APT攻击
APT攻击
APT-C-60组织利用正规系统服务进行复杂的网络攻击活动
网络安全厂商JPCERT/CC近日发现了一起由APT-C-60攻击组织发起的网络攻击事件,该组织自2024年08月起针对实体组织进行了一系列的网络攻击。攻击者通过伪装成求职者,向目标组织的招聘部门发送带有恶意软件的邮件,以此作为攻击的起点。
攻击的初始阶段,攻击者利用针对目标定制的攻击邮件,诱导受害者从邮件中提供的Google Drive链接下载含有恶意软件的VHDX文件。VHDX文件是虚拟磁盘文件格式,攻击者利用该文件隐藏恶意LNK文件和诱骗文档。LNK文件Self-Introduction.lnk通过正常执行文件git.exe来启动IPML.txt文件,该文件负责创建诱骗文档和下载者文件SecureBootUEFI.dat,并实现其持久化。进一步的技术分析显示,SecureBootUEFI.dat利用正规系统服务Bitbucket和StatCounter,通过COM接口ID进行COM劫持,实现恶意软件的持久化和下载。感染的设备通过StatCounter向攻击者发送感染状态,攻击者确认感染后,将下载者上传至Bitbucket。SecureBootUEFI.dat通过编码字符串访问Bitbucket并下载Service.dat,该文件进一步下载并持久化其它恶意文件。
此次攻击中使用的后门软件被称为SpyGrace,包含多个版本信息和配置,能够执行多种命令,如文件操作、网络通信和远程控制。攻击者通过C2服务器发送指令,控制受感染的设备。研究人员还注意到,2024年8月至9月期间,多个安全机构报告了使用同种恶意软件的攻击活动,这些活动具有相似的特征,如利用正规系统服务和COM劫持。
参考链接:
https://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html
揭秘“Moonstone Sleet”APT组织的复杂网络攻击策略
网络安全厂商SocRadar安全研究人员最近分析一个名为“Moonstone Sleet”(别名Storm-1789)的高级持续性威胁(APT)组织。这个APT组织以其结合间谍活动和财务动机的针对性网络攻击而闻名,他们展示了利用社会工程学、部署定制恶意软件和进行勒索软件操作的复杂能力,以支持间谍活动和资助国家利益。
“Moonstone Sleet”组织自2024年初出现,作为疑似朝鲜网络间谍活动的一部分,旨在增强政权的经济实力,同时收集情报以支持其地缘政治目标。该组织通过精心设计的社会工程学攻击,如假冒的LinkedIn工作机会或网络钓鱼邮件,诱使受害者打开恶意附件或点击受感染的链接,从而渗透目标网络。一旦进入网络,他们便依赖各种定制工具和技术来保持持久性和窃取数据。“Moonstone Sleet”组织的行动中,一个显著的例子是FakePenny恶意软件的部署,这标志着该组织攻击方法的重大演变。这种勒索软件攻击要求高达600万美元的比特币赎金,表明该组织转向大规模金融勒索,同时也服务于间谍活动。此外,该组织使用勒索软件作为烟幕,掩盖其主要的网络间谍活动,增加了操作的复杂性。
在技术层面,Moonstone Sleet组织利用Cobalt Strike和其他红队工具进行命令和控制通信,以及在受感染系统中保持立足点。他们还利用木马化的应用程序和开源包来针对开发环境和软件供应链,扩大攻击面,同时破坏高价值网络。特别是,他们使用木马化的PuTTY版本来渗透目标系统,展示了利用受信任工具进行恶意目的的能力。恶意木马软件执行包括四个阶段:第一阶段是木马化的PuTTY,它解密并执行嵌入的第二阶段有效载荷;第二阶段是SplitLoader安装程序,它将额外的文件解压并写入磁盘,通过计划任务或注册表运行键在系统中建立立足点;第三阶段是SplitLoader DLL,安装程序解密并合并两个加密文件到另一个可执行文件中;第四阶段是木马加载器,加载器联系命令和控制(C2)服务器下载并执行进一步的恶意有效载荷,促进长期持久性和数据泄露。
参考链接:
https://socradar.io/dark-web-profile-moonstone-sleet/
攻击活动
网络安全研究人员发现了一个由名为Matrix的黑客组织发起的新型分布式拒绝服务(DDoS)攻击活动,该组织可能是俄罗斯的网络攻击者。此次攻击活动利用了大量互联网连接设备,包括IoT设备、摄像头、路由器、DVR和企业系统,标志着DDoS攻击焦点的转变。Matrix组织主要依赖蛮力攻击,利用默认的弱口令和配置错误来获得初始访问权限。一旦设备被入侵,它们就会被纳入一个更大的僵尸网络。攻击者还使用各种公共脚本和工具来扫描易受攻击的系统、部署恶意软件和执行攻击。Matrix黑客组织还利用GitHub账户存储和管理恶意工具和脚本,主要使用Python、Shell和Golang编写。他们专注于如_scanner_、gggggsgdfhgrehgregswegwe、_musersponsukahaxuidfdffdf_和_DHJIF_等存储库,这些存储库包含各种工具,旨在扫描、利用和在IoT设备和服务器上部署恶意软件,主要是Mirai和其他与DDoS相关的工具。
此次攻击活动利用了一系列新旧漏洞,包括CVE-2014-8361、CVE-2017-17215、CVE-2018-10562、CVE-2022-30525、CVE-2024-27348等。这些漏洞与广泛使用的弱口令相结合,为攻击者提供了一个巨大的攻击面。大约95%的活动发生在工作日,说明这是有预谋和组织的攻击,以确保攻击效果最大化。这场活动可能影响数百万互联网连接设备。研究人员指出,如果1%的设备被入侵,僵尸网络可能达到35万设备;如果5%被入侵,可能增长到170万,与过去主要攻击相媲美。
参考链接:
https://hackread.com/matrix-hackers-new-iot-botnet-ddos-attacks/
数据泄露
据最新报道,安德鲁·泰特的在线大学平台遭受黑客攻击,导致80万用户的敏感数据被泄露。此次攻击由一群自称“黑客活动家”的黑客组织实施,他们声称攻击过程“异常容易”。黑客活动家组织利用平台的“安全漏洞”入侵系统,上传表情符号、删除附件、使客户端崩溃,并临时禁止用户访问。据《每日点》网站独家报道,黑客泄露了大约794,000个用户名,这些用户名被认为是该网站的当前和前任成员,以及221个公共和395个私人聊天服务器的内容。此外,还泄露了324,382个因未支付费用而被删除的独特电子邮件地址。
参考链接:
https://www.bitdefender.com/en-us/blog/hotforsecurity/andrew-tate-university-hacked-chat-logs-leaked-data-800-000-users
Forces Penpals平台数据泄露,涉及美国和英国军人敏感信息
Bitdefender安全研究团队近日披露了一起严重的数据泄露事件,涉及美国和英国军事人员专用的社交网络和交友平台Forces Penpals。该平台的一个数据库被发现可以公开访问,暴露了超过110万条敏感记录,包括用户图片和证明文件,引发了对军事人员及其支持者隐私和安全的担忧。
在这次事件中,网络安全研究员发现并报告给vpnMentor的不安全数据库,暴露了1,187,296条记录,其中包括用户图片和证明文件,这些文件揭示了用户的全名、邮寄地址、美国社会安全号码(SSN)、英国国家保险号码(NIN)以及服务详情如军衔、军种和位置。这种数据的泄露不仅增加了身份盗窃、网络钓鱼攻击的风险,还可能对现役军人和拥有安全许可的人员构成国家安全风险。研究人员在分析中指出,该数据库未设置密码保护或加密,包含了大量用户图片以及可能敏感的证明服务文件的照片。在发现这一问题后,研究人员立即向Forces Penpals公司发送了负责任的披露通知,该公司也迅速响应,在第二天限制了对数据库的公开访问。Forces Penpals公司回应称,这次曝光是由于编码错误导致的,文件错误地发送到了错误的存储桶,使得敏感信息处于易受攻击的状态。
参考链接:
https://www.bitdefender.com/en-us/blog/hotforsecurity/over-1-million-records-from-us-and-uk-military-dating-social-networking-service-exposed-online
恶意软件
网络安全公司CRIL最近发现一个恶意攻击活动,该活动利用Ursnif银行木马,展示了网络攻击的复杂性和隐蔽性。攻击者通过发送伪装成PDF文档的恶意LNK文件作为初始感染向量,这些文件被嵌入在ZIP存档中,可能通过垃圾邮件传播。一旦用户被诱骗打开这些伪装的文件,攻击链就会启动。
攻击活动始于一个伪装成PDF文件的恶意LNK文件,该文件被嵌入在ZIP存档中,并通过垃圾邮件发送给目标用户。这个LNK文件利用了用户的惯性思维,使其误以为是一个合法的PDF文档。当用户执行该文件时,攻击链被触发。该LNK文件通过cmd.exe运行,调用系统上合法的certutil.exe工具,解码并准备下阶段的有效载荷——一个恶意的HTML应用程序(HTA)文件。这个HTA文件被保存在系统临时目录下,并使用mshta.exe执行。执行后,HTA文件打开一个诱饵PDF文档以迷惑受害者,同时在后台释放并执行一个嵌入在HTA文件内容中的恶意DLL文件。这个DLL文件作为加载器,负责解密并执行后续的有效载荷和shellcode,这些代码负责加载Ursnif银行木马的核心组件。Ursnif银行木马一旦被加载,它就会尝试与其命令和控制(C&C)服务器建立连接,并下载额外的模块以窃取受害者机器上的敏感信息。攻击者在整个攻击过程中采用多阶段操作,这些操作完全在内存中执行,有效地规避了安全产品的检测发现。
参考链接:
https://cyble.com/blog/ursnif-trojan-hides-with-stealthy-tactics/
Raspberry Robin是一个自2021年被发现的先进恶意下载器,因其独特的技术手段在网络安全领域引起了广泛关注。这种恶意软件可以通过感染USB设备传播,利用复杂的多层执行策略和高级混淆技术,使得其行为难以被传统安全工具检测和分析。Zscaler研究人员的最新研究揭示了Raspberry Robin的传播机制、执行流程和网络通信策略,展现了其对全球网络安全构成的严重威胁。
Raspberry Robin的传播始于USB设备,通过伪装成合法文件或利用操作系统的自动播放功能,诱使受害者执行恶意代码。一旦成功感染主机,Raspberry Robin会利用系统的脆弱性,通过网络共享和远程桌面协议在内网中横向移动,迅速扩散到其他设备。这种恶意软件的执行过程涉及多个层次,每一层都有特定的功能,如代码模拟检测、解压缩和反分析,其中第六层特别包含了多种反分析技术,能够在检测到非分析或沙箱环境时部署诱饵有效载荷,进一步混淆研究人员的视线。
在混淆技术方面,Raspberry Robin广泛采用了控制流平坦化、混合布尔算术操作和自定义加密算法,使得其代码难以被逆向工程。每个混淆的函数都包含一个加密的数组表,用于解密字符串和映射变量,增加了分析的难度。核心层的功能包括同步和代码执行行为、逃避和反分析、隐蔽的注册表修改、持久性、网络传播、本地权限提升和网络通信。
Raspberry Robin的网络通信策略同样复杂,它通过TOR网络与命令和控制服务器通信,增加了其匿名性和抗检测能力。在执行过程中,Raspberry Robin会收集受害主机的详细信息,并利用AES-CTR加密和Base64编码发送到其C2服务器,接收进一步的指令。此外,Raspberry Robin还会利用已知的系统漏洞提升其在受感染系统上的权限,如CVE-2024-26229和CVE-2021-31969,使得恶意软件能够以更高权限执行操作,进一步扩大其控制范围。
勒索软件
Zyxel公司近日警告称,勒索软件团伙正在利用其防火墙中的一个最近修补的命令注入漏洞(CVE-2024-42057)进行初始入侵。该漏洞允许远程未经认证的攻击者在易受攻击的设备上执行操作系统命令。根据Zyxel发布的安全公告,只有在设备配置为基于用户的预共享密钥(User-Based-PSK)认证,并且存在一个用户名超过28个字符的有效用户时,攻击才可能成功。攻击者通过发送精心构造的用户名到易受攻击的设备,利用 IPSec VPN 功能的命令注入漏洞执行操作系统命令。Zyxel已通过发布固件版本5.39来解决ATP、USG FLEX和USG FLEX 50(W)/USG20(W)-VPN系列中的这些漏洞。Zyxel欧洲、中东和非洲(EMEA)团队报告称,威胁行为者正在针对之前存在漏洞的Zyxel安全设备。公司敦促用户更新管理员和用户账户密码以增强保护。Zyxel建议用户立即升级到修补过的固件,并推荐暂时禁用对易受攻击防火墙的远程访问。此外,Zyxel还称,威胁行为者能够从之前的漏洞中窃取有效凭证信息,并且这些凭证没有被更改,使得攻击者能够创建SSL VPN隧道,并修改安全策略以获得对设备和网络的访问权限。
网络安全公司Sekoia最近详细描述了Helldown勒索软件团伙进行的一系列攻击。专家推测,该勒索软件团伙针对Zyxel防火墙以获得对目标组织的初始访问权限。报告指出,至少在一次入侵中,攻击者的战术与典型的勒索软件方法一致。破坏防火墙或VPN网关是勒索软件团伙的常见入口技术,因为它提供了一个通常监控不足且能够访问关键资源的组织的系统立足点。
参考链接:
https://securityaffairs.com/171382/cyber-crime/zyxel-firewall-ransomware-attacks.html
揭示Elpaco勒索软件的复杂攻击链
Kaspersky研究人员最近深入分析了Elpaco勒索软件,这是Mimic勒索软件家族的一个新变种,它通过一系列复杂的技术手段对受害者的系统进行攻击和加密。Elpaco勒索软件的攻击链始于通过暴力破解RDP凭证成功连接到受害者服务器,随后利用CVE-2020-1472(Zerologon)漏洞提升权限,最终部署勒索软件。
在分析过程中,研究人员发现Elpaco勒索软件滥用了Everything库,这是一个合法的文件名搜索引擎,它通过索引Windows系统内的文件提供快速搜索和实时更新。这种滥用行为使得勒索软件能够高效地发现和加密受害者的文件。Elpaco勒索软件包含了一个图形用户界面(GUI),允许攻击者定制其操作,如选择加密的驱动器、隐藏恶意进程、自定义勒索通知,甚至排除特定目录、文件或格式的加密。Elpaco勒索软件的执行涉及到多个阶段,包括使用7-Zip安装机制打包和解压恶意载荷,以及利用Defender Control工具(DC.exe)禁用Windows Defender。此外,勒索软件还能够导入和导出配置文件,根据攻击者设定的参数调整其行为。在加密过程中,Elpaco使用ChaCha20流密码算法加密文件,并通过RSA-4096非对称加密算法保护密钥,使得没有私钥的情况下无法解密文件。Elpaco勒索软件的自我删除功能进一步增加了其隐蔽性,它在加密文件后会删除所有相关的可执行文件、配置文件、DLLs等,以规避检测和分析。Kaspersky的研究人员通过YARA规则在全球范围内检测到了Elpaco样本的使用,主要分布在美国、俄罗斯、荷兰、德国和法国,但也在加拿大、罗马尼亚、韩国、英国等地有所发现。
参考链接:
https://securelist.com/elpaco-ransomware-a-mimic-variant/114635/
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)