攻击团伙情报
中招目标首次披露:SolarWinds供应链攻击相关域名生成算法可破解
攻击行动或事件情报
Adrozek新恶意软件每天可感染3万多台电脑
njRAT通过Pastebin进行控制与传播
恶意代码情报
漏洞相关情报
Steam中存在多个可导致计算机被远控的漏洞
攻击团伙情报
1
中招目标首次披露:SolarWinds供应链攻击相关域名生成算法破解
披露时间:2020年12月16日
情报来源:https://mp.weixin.qq.com/s/v-ekPFtVNZG1W7vWjcuVug
相关信息:
近日,全球最著名的网络安全管理软件供应商SolarWinds遭遇国家级APT团伙高度复杂的供应链攻击并植入木马后门。该攻击直接导致使用了SolarWindsOrion管理软件某些版本的企业客户全部受到影响:可任由攻击者完全操控。同时,SolarWinds在其官网发布安全通告称,受影响的产品为2020年3月至2020年6月间发布的2019.4到2020.2.1版本的SolarWinds Orion管理软件,并表示约有18000名客户下载使用了受影响的软件产品,但攻击者并未对所有使用者采取进一步的攻击行动,而仅选择感兴趣的目标开展后续攻击活动。
事件披露后的第一时间,奇安信红雨滴团队联合奇安信A-TEAM等安全团队,对该事件进行了持续分析与监测,并在第一时间对相关的报告、样本、域名和IP进行分析、扩展和验证,输出了目前比较全面的IOC列表以及详细的排查方案和解决方案。而在进一步的样本详细分析过程中我们发现,攻击者植入的恶意代码在生成DGA域名的时候,采用了受害者计算机域进行编码,所以可通过解码部分已知相关DGA域名,从而推导出部分受害者计算机域,我们通过对公开的DGA域名解码后发现大量中招的知名企业和机构,其中不乏Intel、Cisco等高科技企业和各类高校和政企单位。
2
旺刺组织(APT-C-47)使用ClickOnce技术的攻击活动披露
披露时间:2020年12月16日
情报来源:https://mp.weixin.qq.com/s/h_MUJfa3QGM9SqT_kzcdHQ
相关信息:
ClickOnce是近年来微软发布的一种软件部署技术,它可以创建基于Windows的自更新应用程序,让这些应用程序可以在用户交互最少的情况下安装和运行。2019年的美国Blackhat大会上,美国国土安全部所属CISA局的攻防专家曾公布了利用最新的ClickOnce扩展文件(.appref-ms)进行恶意攻击的技术原理。该攻击方式区别于常规的恶意软件植入,由于微软设计的安装交互方式,使其非常容易被用于诱导安装恶意软件。
近期,360检测到多起ClickOnce恶意程序的攻击活动,通过深入研判分析,发现这是一起来自朝鲜半岛地区未被披露APT组织的攻击行动,攻击目标涉及与半岛地区有关联的实体机构和个人,根据数据分析显示,该组织的攻击活动最早可以追溯到2018年。目前还没有任何安全厂商公开披露该组织的攻击活动,也没有安全厂商公开披露利用该技术的真实APT攻击事件。由于此次攻击活动属于360全球首次捕获披露,因此360根据该组织擅长攻击技术的谐音,将其命名为“旺刺”组织,并为其分配了新编号APT-C-47。
3
UNC2452通过SolarWinds供应链向全球用户投放SUNBURST后门
披露时间:2020年12月13日
情报来源:https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
相关信息:
2020年12月13日,著名网络安全公司FireEye发布报告称,其发现了一个名为UNC2452(未分类的攻击团伙)的APT组织发起了一项全球性攻击活动。该组织通过入侵SolarWinds公司,篡改SolarWinds Orion商业软件包植入恶意代码,通过该公司的官方网站进行SUNBURST后门软件的分发。被植入的恶意代码包含信息收集、执行指定命令、读写删除文件等恶意功能,从而获取对受影响系统的控制。
4
落鹰行动-史上影响力最大的供应链攻击行动揭秘
披露时间:2020年12月15日
情报来源:https://mp.weixin.qq.com/s/lh7y_KHUxag_-pcFBC7d0Q
相关信息:
根据SolarWinds公司官网的客户介绍页显示,该公司的客户包括美国财富500强企业、美国所有前十大电信业者、美军所有五大部队、美国国务院、国家安全局,以及美国总统办公室等。该信息从侧面透露了,美国的核心企业、军事机构和政府机构已经遭受了史上最严重的APT攻击,美国的众多重要机构都已经被国家级APT组织入侵。
在此次攻击事件曝光的第一时间,360还原了此次攻击行动的详细过程,并将此次攻击行动命名为“落鹰行动”。在官方发布的2019.4-2020.2.1版本离线安装包、离线安装镜像和升级包中均可发现后门组件,被污染的后门DLL组件也都拥有合法的数字证书签名。因此可以推断攻击者已经控制了该软件的开发打包编译环节,软件在源代码编译时就已经受到了污染,也就是说所有SolarWinds用户从任何渠道安装和升级的SolarWinds Orion平台软件都会被无差别的植入后门程序。
5
APT32组织疑似与越南IT公司有关
披露时间:2020年12月10日
情报来源:https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/
相关信息:
近日,Facebook发现两支不同的黑客组织:越南的APT32和孟加拉国某组织滥用Facebook平台进行恶意活动。其中孟加拉国致力于删除、纂改目标的Facebook账户页面,并将其中一些被泄露的账户用于自己的运营目的,包括涉嫌冒充、侵犯知识产权、裸体和恐怖主义;越南APT32组织的主要行为是将恶意软件下发至目标,APT32是总部设在越南的APT组织,其目标是当地和国外的越南人权活动分子、包括老挝和柬埔寨政府在内的各个外国政府、非政府组织、通讯社和信息技术、酒店业、农业和商品、医院等多家企业,零售业、汽车业和带有恶意软件的移动服务。Facebook调查后将这一活动与越南的一家IT公司CyberOne Group联系在一起。
6
Earth Kitsune水坑攻击活动关联到APT37
披露时间:2020年12月15日
情报来源:https://www.trendmicro.com/en_us/research/20/l/who-is-the-threat-actor-behind-operation-earth-kitsune-.html
相关信息:
近日,趋势科技对Earth Kitsune活动的TTP进行详尽分析时,注意到其开发环境与TTP在某些方面与已存在组织高度相似,或许可归因APT37。
7
MoleRats利用Facebook和Dropbox进行间谍活动
披露时间:2020年12月15日
情报来源:https://www.cybereason.com/blog/molerats-apt-new-malware-and-techniques-in-middle-east-espionage-campaign
相关信息:
Cybereason的安全研究人员观察到一种出于政治动机的APT,命名为“ Molerats”,它使用三种新的恶意软件变体在整个中东进行间谍活动。最新的活动利用了钓鱼文件,其中包括与当前中东事件有关的各种主题,包括据报道的穆罕默德·本·萨勒曼殿下、沙特阿拉伯王储、美国国务卿迈克·蓬佩奥和以色列总理本杰明·内塔尼亚胡的秘密会晤。
SharpStage是Cybereason Nocturnus检测到的三个新恶意软件变体中的第一个,是具有后门功能的.NET恶意软件。该后门成功安装后,会通过Dropbox API与C2服务器进行通信,捕获受害者屏幕的快照,下载并执行其他文件,同时检查受感染机器上是否存在阿拉伯语,从而避免在其权限范围之外的计算机上执行。
第二个变体与SharpStage相似,仅当受感染的计算机配置了阿拉伯语时,DropBook才能在计算机上执行。其通过使用DropBox上载和下载文件来模仿SharpStage。此外。它还利用Facebook上的应用程序Simplenote接收C2指令。通过使用Facebook和Simplenote作为通信渠道,攻击者可以继续向受感染的计算机施加其他威胁。次要恶意软件包括Quasar RAT和SharpStage。
第三个变体为MoleNet Downloader工具,该工具自2019年以来一直在积极开发中。MoleNet Downloader高度混淆并用.NET编写,使攻击者能够分析受感染计算机的操作系统,并将结果信息提交给C2。该恶意软件还具有从C2下载其他有效负载并使用PowerShell建立持久性的能力。
8
AridViper新型窃密木马PyMICROPSIA分析
披露时间:2020年12月14日
情报来源:https://unit42.paloaltonetworks.com/pymicropsia/
相关信息:
PyMICROPSIA是使用Python构建的信息窃取木马,并使用PyInstaller制成Windows可执行文件。它通过运行循环来实现其主要功能,在循环中初始化不同的线程并定期调用几个任务,通过WMI、win32security和ntsecuritycon以收集信息并与C2进行交互。另外,其具有丰富的信息窃取和控制功能,包括文件上传、有效载荷下载和执行、浏览器凭证窃取、清除浏览历史和配置文件、截图和键盘记录、压缩RAR文件以获取被盗信息、收集进程信息并终止进程、收集文件列表信息并删除文件、重新启动计算机、收集Outlook .ost文件并终止和禁用Outlook进程、从USB驱动器收集信息。
攻击行动或事件情报
1
Adrozek新恶意软件每天可感染3万多台电脑
披露时间:2020年12月10日
情报来源:https://www.microsoft.com/security/blog/2020/12/10/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/
相关信息:
至少从2020年5月开始,互联网上就在大面积地传播一款可恶意纂改浏览器内容的程序,微软在捕获到该恶意程序后将其命名为Adrozek。在8月份的高峰时期,每天有超过30000台设备上都可以看到Adrozek的身影。该恶意软件旨在将广告注入搜索引擎结果页面,影响多个浏览器Microsoft Edge、Google Chrome、Yandex Browser和Mozilla Firefox。
Adrozek通过添加浏览器扩展针对每个目标浏览器修改特定的DLL,并更改浏览器设置以将其他未经授权的广告插入网页,通常是在搜索引擎的合法广告之上。预期的效果是使用户在搜索某些关键字时无意中点击了这些插入了恶意软件的广告,从而导致了相关页面。攻击者通过广告点击量赚钱,广告商则通过页面的流量来支付。
2
njRAT通过Pastebin进行控制与传播
披露时间:2020年12月09日
情报来源:https://unit42.paloaltonetworks.com/njrat-pastebin-command-and-control/
相关信息:
Unit 42研究人员发现,自今年10月以来攻击者一直在利用远控木马njRAT(也称Bladabindi)从广受欢迎的知名网站Pastebin下载第二阶段有效载荷。
攻击者利用此服务发布加密后的恶意程序:key logger、后门或其他木马,njRAT则可以通过短链接访问这些恶意数据,编码和转换方式包括传统的base64编码,十六进制和JSON数据,压缩的blob以及带有嵌入式恶意URL的纯文本数据,从而使他们避免使用自己C2服务器,增加了隐蔽性。
恶意代码情报
1
新版本的勒索软件MountLocker大小仅为46KB
披露时间:2020年12月11日
情报来源:https://blogs.blackberry.com/en/2020/12/mountlocker-ransomware-as-a-service-offers-double-extortion-capabilities-to-affiliates
相关信息:
MountLocker勒索软件自2020年7月开始活跃。在2020年11月上旬进行了更新,以扩大文件类型的目标范围并逃避安全软件。其使用ChaCha20对受害者的文件进行加密,并使用RSA-2048对文件加密密钥进行加密。攻击者使用具有受损凭据的远程桌面(RDP)来访问受害者的环境。AdFind用于执行网络侦察,自定义批处理文件用于通过FTP从关键系统中窃取敏感文档,使用CobaltStrike Beacon等现成的商用工具来部署MountLocker勒索软件,在加密之前通过FTP提取敏感的客户端数据。
2
PGMiner:通过PostgreSQL交付的新加密货币挖矿僵尸网络
披露时间:2020年12月10日
情报来源:https://blog.360totalsecurity.com/en/secret-stealing-trojan-active-in-brazil-releases-the-new-framework-solarsys/
相关信息:
最近,Unit 42研究人员发现了一个新颖的基于Linux的加密货币挖掘僵尸网络,该僵尸网络利用PostgreSQL远程代码执行(RCE)漏洞,该漏洞会危及数据库服务器进行加密劫持。其恶意有效负载便通过SOCKS5代理与后端C2服务器通信。之后,它将根据系统架构下载硬币开采有效载荷。
Unit42根据其交付渠道和挖掘行为将其命名为“ PGMiner”。PGMiner的核心是尝试连接到Monero采矿的矿池。研究人员认为PGMiner是第一个通过PostgreSQL交付的加密货币挖掘僵尸网络。值得注意的是,恶意软件操控者不仅已开始对已确认的CVE进行武器化,而且还对有争议的CVE也进行了武器化。
3
TeamTNT挖矿团伙升级优化木马模块,木马持续改进有危害扩大迹象
披露时间:2020年12月15日
情报来源:https://s.tencent.com/research/report/1200.html
相关信息:
11月份,腾讯检测到TeamTNT挖矿木马攻击云服务器挖矿。本周,腾讯再次发现TeamTNT挖矿木马变种更新,新变种对数据回传和横向移动的模块代码进行升级优化,表明该黑产团伙正在继续改进木马功能模块,有危害扩大迹象。
TeamTNT挖矿团伙通过批量扫描公网上开放2375端口的云服务器,并尝试利用Docker Remote API未授权访问漏洞对云服务器进行攻击。TeamTNT在成功入侵云服务器后,会隐藏进程,通过安装定时任务持久化,并收集主机上的隐私数据(如主机用户名和密码、RSA登录凭证、AWS CLI跨账户授权信息、docker配置信息)上传到C2服务器。与此同时,为了控制更多肉鸡系统,增加挖矿收益,TeamTNT团伙还利用SSH复用连接进行横向移动以感染更多服务器。
漏洞相关情报
1
Steam中存在多个可导致计算机被远控的漏洞
披露时间:2020年12月10日
情报来源:https://research.checkpoint.com/2020/game-on-finding-vulnerabilities-in-valves-steam-sockets/
相关信息: