攻击团伙情报
从Solarwinds供应链攻击(金链熊)看APT行动中的隐蔽作战
FoxKitten使用pay2key勒索软件瞄准以色列公司
NSO利用iOS中的零点击0day攻击AlJazeera员工
Lazarus伪装为虚拟货币交易软件的攻击活动分析
PawnStorm在中东地区非复杂性攻击技术分析
攻击行动或事件情报
SUNBURST,TEARDROP和NetSec新常态
SunburstDNS请求连接的域名解码分析
恶意代码情报
伪冒银行木马“BYL”持续入侵
XavgMiner挖矿家族最新动向
SUPERNOVA:SolarWinds供应链中的新型.NET Webshell
TeamTNT正在部署具有DDoS功能的IRC Bot TNTbotinger
多个勒索软件在攻击中使用SystemBC Tor后门
漏洞相关情报
防范未修复的Kubernetes漏洞(CVE-2020-8554)
攻击团伙情报
1
从Solarwinds供应链攻击(金链熊)看APT行动中的隐蔽作战
披露时间:2020年12月23日
情报来源:https://mp.weixin.qq.com/s/UqXC1vovKUu97569LkYm2Q
相关信息:
最近,由火眼团队披露的SolarWinds供应链事件广受业内人员关注。奇安信A-TEAM亦将基于现有的事实从全局出发,以技术作为手段,以代码、手法和行为作为支撑,结合多维度的分析与推断,通过推测对方的实际行为、人员配比、后续行动,尽最大可能窥视并揭露行动背后掩藏的真相。
在执行后门功能前,代码将进行9层的判断,用于检测当前运行环境。通过自定义hash算法进行编码,可保证无论是在源码还是在编译后的程序集中,均不会存在敏感字符串,从而降低被查杀的可能。
通过检测后则进入DNS敲门阶段。在此生存周期内会通过DnsRecords对象保存敲门阶段获取的信息,并传递至控制阶段。
具体控制指令仅有基本信息、文件管理、注册表管理、无回显命令执行、重启等基本功能,不存在动态拓展、也不存在横向移动等后渗透阶段的相关能力支持。简陋的控制功能和复杂的上线逻辑形成了较大的反差,因此ATEAM推测该后门在实质上是一个高隐蔽性的探针,后续攻击会更换后渗透的攻击套件进行下一阶段的行动。
从样本DGA算法中可知:敲门阶段的DGA域名包含可解密信息,且互联网上可供查询的PDNS记录能够为此提供足够多的样本。根据奇安信CERT对该事件的持续追踪,截止12月16日,已确认受害的重要机构至少200家,波及北美、欧洲等全球重要科技发达地区的敏感机构,其中美国占比超过60%。
此样本的编码非常工整。代码本身高度仿照了SolarWinds的编码方式与命名规范,类名、方法全部采用Pascal命名,而字段和方法则使用驼峰式命名,将大量可复用功能单独抽取变为方法,将同功能代码封装为类,这些均是微软推荐的标准C#编程规范。
除供应链攻击的核心探针工程之外,还存在一个带有webshell功能的扩展文件,其作用为动态编译代码并反射加载执行。
通过分析相关的DGA数据获取的信息可以得出本次行动的供应链攻击环节由三月份开始并在七月份达到顶峰,随后成逐渐下降的趋势并于十月份消失在视野之中。
2
Fox Kitten使用pay2key勒索软件瞄准以色列公司
披露时间:2020年12月20日
情报来源:https://www.clearskysec.com/wp-content/uploads/2020/12/Pay2Kitten.pdf
相关信息:
威胁情报公司ClearSky称伊朗黑客利用Pay2Key瞄准以色列的公司。此次攻击活动发生于2020年11月到12月,或与伊朗黑客组织FoxKitten有关。
3
NSO利用iOS中的零点击0day攻击Al Jazeera员工
披露时间:2020年12月20日
情报来源:https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/
相关信息:
多伦多大学的研究人员发现,黑客利用iOS iMessage应用中的零点击0day攻击Al Jazeera员工。此次攻击活动是名为Kismet的攻击链的一部分,由间谍软件供应商NSO group开发并销售。
在过去一年多的时间里,驻伦敦的记者Rania Dridi和至少36名为半岛电视台新闻社工作的记者、制作人和高管都成为了所谓的“零点击”攻击的目标,这一攻击利用了苹果iMessage现已修复的漏洞。攻击无形中破坏了设备,而不必诱使受害者打开恶意链接。
4
Lazarus伪装为虚拟货币交易软件的攻击活动分析
披露时间:2020年12月22日
情报来源:https://teamt5.org/tw/posts/north-korea-linked-lazarus-apt-uses-a-macos-malware-in-cryptocurrency-exchange-attack/
相关信息:
近日,TeamT5发现北韩APT组织Lazarus开发出macOS系统的恶意程序MovieRAT,并试图攻击虚拟货币的使用者,借此盗取帐户内的虚拟货币。MovieRAT是一个轻量级的后门程序,仅支持最基本的信息上传/下载,获取指令执行等操作。通常用于释放二阶段载荷。
经分析,TeamT5将此次活动与Lazarus联系起来。Lazarus为北韩黑客组织,拥有多起攻击金融产业的纪录,尤其针对SWIFT跨国转帐交易系统和ATM自动柜员机系统进行攻击。TeamT5推测其为了替北韩政权筹措资金发展武器与实验,所以多选择金融产业和具有关键技术的私人企业进行攻击。
5
Pawn Storm在中东地区非复杂性攻击技术分析
披露时间:2020年12月17日
情报来源:https://www.trendmicro.com/en_us/research/20/l/pawn-storm-lack-of-sophistication-as-a-strategy.html
相关信息:
2020年,Pawn Storm黑客组织传播了Google云端硬盘和IMAP远程访问木马(RAT)进行网络攻击,目标群体包括外交部、大使馆、国防工业和军事部门以及世界各地的各行业。该组织还通过网络攻击窃取公司电子邮件帐户的凭据,还利用IMAP RAT恶意软件对军方和政府相关的电子邮件地址进行了硬编码,与计算机进行通信。最近,挪威当局宣布Pawn Storm黑客组织通过网络攻击入侵了挪威议会 。
在12月上旬,该组织使用VPN服务连接到受感染的云服务器,使用云服务器连接到商业电子邮件服务提供商,登录到阿曼一家养鸡场的受感染电子邮件帐户,向全球目标发送了网络钓鱼垃圾邮件。这表明Pawn Storm黑客在多个级别上模糊了其攻击轨迹。
中东各种受感染电子邮件帐户的滥用始于2019年5月,并一直持续到今天。自2020年8月以来,他们不再发送网络钓鱼电子邮件,而是利用IMAP RAT中受损系统进行通信。
攻击行动或事件情报
1
SUNBURST,TEARDROP和NetSec新常态
披露时间:2020年12月22日
情报来源:https://research.checkpoint.com/2020/sunburst-teardrop-and-the-netsec-new-normal/
相关信息:
2020年12月,针对许多组织(主要是科技公司,主要在美国,但不仅限于美国)的大规模供应链攻击已经持续了几个月。这次袭击具有一定程度的复杂性,导致外国政府迅速介入,并且在攻击者在谨慎程度和外来入侵媒介方面都非常出色。他们没有进行通常的网络钓鱼甚至是剥削,而是进行了精心设计的供应链攻击。
2
Sunburst DNS请求连接的域名解码分析
披露时间:2020年12月18日
情报来源:https://securelist.com/sunburst-connecting-the-dots-in-the-dns-requests/99862/
相关信息:
区别于其他事件的是,Sunburst有更为明确的受害者需求。其通过发送编码后的DNS请求与C2服务器进行通信。若这些包含受感染计算机信息的编码在攻击者的目标范围,那么DNS响应才会指向二级C2服务器的CNAME记录。
卡巴斯基基于奇安信发布的Python脚本进行解码,进一步加深了对此次事件中DGA域名解码的分析。
恶意代码情报
1
伪冒银行木马“BYL”持续入侵
披露时间:2020年12月21日
情报来源:https://mp.weixin.qq.com/s/8enzy3eeB5_w4qpFEJv4Nw
相关信息:
2020年10月,奇安信移动安全团队发布报告首次揭露了一个伪冒国内银行应用的的信息窃取木马新家族”BYL”。
2020年12月12日,奇安信威胁情报中心移动安全团队发现到攻击者开始更换网络资产展开新一轮传播,通过奇安信数据监测雷达我们发现到该木马家族短短四天(截至到12月16日)国内影响量级已为千级,为避免更多用户个人财产受到损失,奇安信对其再次进行披露。
2
XavgMiner挖矿家族最新动向
披露时间:2020年12月22日
情报来源:https://mp.weixin.qq.com/s/jEeKYAqyYkzRR8vbJ7W7GA
相关信息:
近日,奇安信安全能力中心通过TG-DATA威胁分析平台捕获到多起通过攻击Tomcat服务器投递挖矿病毒的威胁事件,通过溯源分析发现该团伙在2019年开始活跃。
攻击者使用最新的Weblogic漏洞CVE-2020-14882写入恶意的JSP文件,一旦运行即会从公共云存储平台下载矿机并运行,同时该攻击样本兼顾Windows和Linux双平台。运行过程中通过清除竞品使得获取最大化收益。
3
SUPERNOVA:SolarWinds供应链中的新型.NETWebshell
披露时间:2020年10月09日
情报来源:https://labs.bitdefender.com/2020/10/theres-a-new-a-golang-written-rat-in-town/
相关信息:
研究人员发现SolarWinds Orion供应链攻击活动中存在新的SUPERNOVA后门,可能来自另一个黑客组织。该恶意软件名为SUPERNOVA,SUPERNOVA是植入Orion网络和应用程序监视平台代码中的Web shell,攻击者可利用该恶意软件在计算机上运行任意代码。该恶意代码仅包含一种DynamicRun方法,可将参数动态编译到内存中的.NET程序集中,因此不会在受感染设备上留下任何痕迹。
4
TeamTNT正在部署具有DDoS功能的IRC Bot TNTbotinger
披露时间:2020年12月18日
情报来源:https://www.trendmicro.com/en_us/research/20/l/teamtnt-now-deploying-ddos-capable-irc-bot-tntbotinger.html
相关信息:
今年早些时候,趋势科技观察到网络犯罪组织TeamTNT使用XMRig加密货币矿工攻击暴露的Docker API。TeamTNT使用窃取Amazon Web Services(AWS)secure shell(SSH)凭证和用于传播的自我复制行为开展攻击。
TeamTNT的最新攻击涉及到该组织自己的IRC(互联网中继聊天)bot。IRCbot被称为TNTbotinger,能够进行分布式拒绝服务(DDoS)。
5
多个勒索软件在攻击中使用SystemBC Tor后门
披露时间:2020年12月16日
情报来源:https://news.sophos.com/en-us/2020/12/16/systembc/
相关信息:
SophosMTR在对许多最近的勒索软件攻击的调查中,观察到与以多种方式部署的多种勒索软件相关的工具集,表明它们被一个或多个勒索软件使用。这些工具之一是SystemBC后门,可为攻击者提供与受害者系统的持久连接。
SystemBC于2019年首次出现,是一种代理和远程管理工具,由研究人员以其控制面板使用的URI中的字符串命名。它既充当隐式通信的网络代理,又充当远程管理工具(RAT),能够执行Windows命令,并交付和执行脚本,恶意可执行文件和动态链接库(DLL)。在被其他恶意软件丢弃后,它为攻击者提供了持久的后门。
尽管SystemBC已经存在了一年多,但仍然能看到它的用途和功能在不断发展。SystemBC的最新样本中载有代码,而不是实质上通过SOCKS5代理充当虚拟专用网,而是使用Tor匿名网络来加密和隐藏命令和控制流量的目的地。
漏洞相关情报
1
防范未修复的Kubernetes漏洞(CVE-2020-8554)
披露时间:2020年12月21日
情报来源:https://unit42.paloaltonetworks.com/cve-2020-8554/
相关信息:
2020年12月4日,Kubernetes产品安全委员会披露了一个新的Kubernetes漏洞,漏洞名为CVE-2020-8554。这是一个严重程度中等的问题,影响到所有的Kubernetes版本,目前尚未修补。CVE-2020-8554是一个设计缺陷,允许Kubernetes Services拦截到任何IP地址的群集流量。可以管理服务的用户可以利用此漏洞对群集中的Pod和节点进行中间人(MITM)攻击。
攻击者可能利用MITM攻击来伪装成内部或外部端点,从网络流量中收集凭据,在将受害者的数据发送到其预期目标之前篡改受害者的数据,或者完全阻止与特定IP的通信。使用诸如传输层安全性(TLS)之类的加密协议可能会有所帮助,因为攻击者无法轻松访问其流量。
多租户群集面临的风险最大,因为它们很可能拥有可以管理服务的非管理员用户。危害单个租户的攻击者可能利用此漏洞对群集中的其他租户执行MITM攻击。