2021.05.06~05.13
攻击团伙情报
疑似Lazarus利用大宇造船厂为诱饵的系列攻击活动分析
Kimsuky伪装成外交部下发恶意文档的攻击活动分析
Evil Corp网路犯罪团伙疑似发展为东欧地区APT组织
RotaJakiro后门疑似归属于APT组织海莲花
攻击行动或事件情报
美国燃油管道商遭勒索软件攻击停运事件研判报告
多个恶意软件家族利用Proxylogon漏洞进行攻击活动
Roaming Mantis使用新型恶意软件SmsSpy针对日本Android用户
Lemon Duck针对北美地区的新一轮攻击活动
恶意代码情报
DARKSIDE勒索软件的运行模式分析
针对Windows的在野新后门Moriya分析
TeaBot:针对欧洲银行的新Android恶意软件
拉丁美洲的银行木马Ousaban分析
ICEDID银行木马针对金融机构的最新活动
漏洞情报
高通芯片存在代码执行漏洞,影响30%的Android系统
Apple多个最新在野0day漏洞通告
微软补丁日通告:2021年5月版
攻击团伙情报
01
疑似Lazarus利用大宇造船厂为诱饵的系列攻击活动分析
披露时间:2021年05月11日
情报来源:https://mp.weixin.qq.com/s/s6BhpnTDsbqxPF35_uS5iQ
相关信息:
Lazarus APT组织是疑似具有东北亚背景的APT团伙,该组织攻击活动最早可追溯到2007年,其早期主要针对韩国、美国等政府机构,以窃取敏感情报为目的。自2014年后,该组织开始针对全球金融机构 、虚拟货币交易所等为目标,进行以敛财为目的的攻击活动。
据公开情报显示,2014年索尼影业遭黑客攻击事件,2016年孟加拉国银行数据泄露事件,2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击事件都出自Lazarus之手。
近日,奇安信红雨滴团队使用内部高价值样本狩猎流程捕获多个Lazarus组织新攻击样本,此类样本以东亚某知名造船厂(大宇造船:Daewoo Shipbuilding)、居民登记表等信息为诱饵,采用bmp文件隐藏RAT的方式进行载荷隐藏。
02
Kimsuky伪装成外交部下发恶意文档的攻击活动分析
披露时间:2021年05月07日
情报来源:https://blog.alyac.co.kr/3754?category=957259
相关信息:
近日,ESRC观察到一起东亚APT组织Kimsuky仿冒外交部针对相关领域人员的攻击活动。此次攻击为4月发现的“2021年外交部驻外公馆服役相关情况调查”相关的攻击活动后续。该组织近几个月高度活跃,新发现的恶意文件即包含2021年5月7日发行的外交部发言人室封面的假版新闻的正常PDF文件内容,其目的为降低目标的戒备心理,诱使受害人点击运行文件中的jse恶意代码。
jse脚本运行后将在C:\ProgramData\Software\ESTsoft\Common\目录下释放伪装成Eastsoft更新文件的64位恶意DLL文件。该DLL文件运行后,将修改本地注册表键值实现持久化同时连接到texts.letterpaper[.]press上托管的命令和控制(C2)服务器,以接收其他命令。
03
Evil Corp网路犯罪团伙疑似发展为东欧地区APT组织
披露时间:2021年05月05日
情报来源:https://blog.truesec.com/2021/05/05/are-the-notorious-cyber-criminals-evil-corp-actually-russian-spies/
相关信息:
2020年10月,来自东欧地区的勒索病毒家族Evil Corp对一家大公司进行了勒索攻击。Evil Corp首先入侵了一个正常的网站,构建虚假的钓鱼页面诱导访问该页面的用户下载由他们提供的虚假Chrome更新包。下载的更新包中包含了一个SocGholish框架生成的JavaScript脚本,JavaScript脚本运行后将会启动一个后门用于部署第二阶段的CobaltStrike Loader,该Loader用于加载Beacon后门,后门种植成功之后攻击者扫描并利用受害者主机上的漏洞,下发勒索软件。
国外安全研究员对此事件进行完整分析之后发现,从入侵用户主机到下发勒索,攻击者花费了较长时间搜索受害者系统,虽然窃取的数据很少,但是这表明该家族似乎并不是一个单纯的勒索家族,他们会搜索受感染系统中的有价值的文件并进行窃取,当确定目标系统了没有其他有价值的文件之后才会部署勒索软件。
此外,本次攻击活动中的一个IP地址在一个月后被一个名为Haders的勒索家族使用了,在对两个家族的样本和时间线进行对比分析之后,研究员表明,Evil Corp勒索家族很有可能已经转为APT组织甚至一开始就是APT组织。
04
RotaJakiro后门疑似归属于海莲花组织
披露时间:2021年05月06日
情报来源:https://blog.netlab.360.com/rotajakiro_vs_oceanlotus_cn/
相关信息:
360 NetLab发现一个针对Linux x64系统的零检测后门木马RotaJakiro,至少潜伏3年。RotaJakiro隐蔽性较强,对加密算法使用较多,包括:使用AES算法加密样本内的资源信息;C2通信综合使用了AES,XOR,ROTATE加密和ZLIB压缩算法。其功能包括:上报设备信息、窃取敏感的信息、文件/Plugin管理(查询,下载,删除)、执行特定的Plugin。
近期,有研究人员提出该后门疑似归属于OceanLotus(海莲花)组织,是该组织开发的Linux版本后门木马。RotaJakiro与Mac版的海莲花木马相似点如下:
C2会话建立函数的功能及数据结构相似;
初始化上线包中的构造手法及数据相似;
均存在rotate函数;
后续指令码语义相同。
攻击行动或事件情报
01
美国燃油管道商遭勒索软件攻击停运事件研判报告
披露时间:2021年05月10日
情报来源:https://mp.weixin.qq.com/s/mhGvNTZOmOHRvIvg-acEvA
相关信息:
2021年月7日,美国最大的成品油管道公司Colonial Pipeline遭受勒索软件攻击。美国联邦调查局5月10日证实,此次攻击活动由DarkSide勒索软件团伙发起。DarkSide是一种相对较新的勒索软件,自2020年8月被披露。曾攻击过北美房地产开发商、巴西电力公司等。该勒索软件攻击者曾声称过不会攻击医学、教育、非营利组织和政府部门。
此次勒索活动中,DarkSide通过虚拟桌面基础设施(Virtual Desktop Infrastructure, VDI)或RDP连接的弱密码或受损凭据分发。其对文件进行加密并附加扩展名“.{随机6个字母数字/数字字符}“并使用RSA和SALSA20算法来加密文件。DarkSide使用双重勒索策略,除了加密文件外,还通过泄露数据并威胁要将其发布到互联网上。其影响范围包括所有运行Windows和Linux操作系统的计算机。
02
多个恶意软件家族利用Proxylogon漏洞进行攻击活动
披露时间:2021年05月06日
情报来源:https://www.trendmicro.com/en_us/research/21/e/proxylogon-a-coinminer--a-ransomware--and-a-botnet-join-the-part.html
相关信息:
趋势科技发现从3月开始三个恶意软件家族(BlackKingdom,Prometei,LemonDuck僵尸网络)开始利用ProxyLogon漏洞(Microsoft Exchange Server漏洞CVE-2021-26855)发起攻击。通过漏洞,攻击者可以执行Chopper Web Shell,从而部署各自感染中的最终有效载荷。
BlackKingdom和Prometei利用ExchDefender.exe将自己复制到Windows文件夹中,然后将创建一个包含主例程并作为Microsoft Exchange安全软件的服务。LemonDuck感染利用Windows Management Instrumentation(WMI)修改了OAB。通过PowerShell进程会执行Base64编码命令,修改特定.ASPX文件的ExernalUrl参数。一旦加载.ASPX文件,便可以远程执行命令。
03
Roaming Mantis使用新型恶意软件SmsSpy针对日本Android用户
披露时间:2021年05月05日
情报来源:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/roaming-mantis-amplifies-smishing-campaign-with-os-specific-android-malware/
相关信息:
今年1月,McAfee研究团队发现Roaming Mantis组织使用一种名为SmsSpy的新恶意软件针对日本用户。恶意代码会根据目标设备使用不同的操作系统版本,通过两种变体之一来感染Android用户。这种基于OS版本下载恶意有效负载的能力使攻击者能够感染更多的Android设备。
过去三年中,Roaming Mantis组织一直冒充物流公司从亚洲Android用户那里窃取SMS信息和联系人列表。2020年下半年,该活动通过采用动态DNS服务传播带有受感染网络钓鱼URL的消息来提高其有效性。
04
Lemon Duck针对北美地区的新一轮攻击活动
披露时间:2021年05月07日
情报来源:https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html
相关信息:
Cisco Talos研究人员发现Lemon Duck针对北美地区的新一轮攻击活动改变了攻击策略。去年8月,Lemon Duck主要针对埃及、印度、伊朗、菲律宾和越南进行挖矿的活动。在4月份开始的新一轮中,该团伙改变了目标,主要针对北美地区,其次是欧洲、东南亚、非洲和南美。
在此次攻击活动中,该团伙使用了Cobalt Strike攻击框架,并在东亚顶级域名(TLD)上使用伪造的域名来隐藏命令和控制(C2)基础架构,旨在增强反检测的能力。
恶意代码情报
01
DARKSIDE勒索软件的运行模式分析
披露时间:2021年05月11日
情报来源:https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html
相关信息:
自2020年8月首次出现以来,DARKSIDE勒索软件的创建者及其分支机构掀起了一场全球犯罪大潮,影响了15个以上国家和多个行业组织。包括近日的美国燃油管道商Colonial Pipeline停运事件。但并非所有DarkSide入侵事件都是相同的,因为DARKSIDE勒索软件以一种勒索软件即服务(RaaS)的形式运行,其利润在所有者和合作伙伴共享,前者提供恶意代码,后者部署勒索软件。
Mandiant在跟踪部署了该勒索软件的多个威胁组织后,发现这些组织在整个入侵过程中表现出不同程度的技术复杂性。尽管这些威胁组织大多依赖商业工具来完成各个阶段的攻击,但其中一个组织采用了现已修补的0 day漏洞。
02
针对Windows的在野新后门Moriya分析
披露时间:2021年05月06日
情报来源:https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/
相关信息:
Kaspersky的研究人员在野发现针对Windows系统的新后门Moriya。该后门几乎可以完全控制操作系统。Moriya可收集并分析来自Windows内核地址空间的网络流量,操作系统内核所在的内存区域通常只有特权和可信代码才能运行。除此之外,该后门还可以隐藏发给受感染主机的恶意命令,这使得攻击者秘密控制了目标组织的网络长达数月。
根据Kaspersky的遥测技术,本次攻击具有很强的针对性,该恶意软件已被安装在近10个组织的网络上。最突出的受害者是东南亚和非洲的两个大型区域外交组织,其他所有组织都是南亚的受害者。此外,攻击者还在攻击后期安装了其他工具,包括BOUNCER、Termite和Earth等,以在目标网络上扫描并发现新的目标,并横向移动。
3
TeaBot:针对欧洲银行的新Android恶意软件
披露时间:2021年05月10日
情报来源:https://www.cleafy.com/documents/teabot
相关信息:
Cleafy发现一个新的Android银行木马并将其称为TeaBot。TeaBot的主要目标是窃取受害者的凭据和SMS消息,以针对预定义的银行列表(涉及60多个目标银行)启用欺诈方案。2021年3月,Cleafy检测到该恶意软件对意大利银行、比利时和荷兰银行的注入。
一旦在受害者的设备中成功安装了TeaBot,攻击者就可以按需获取设备屏幕的实时流,并通过Accessibility Services与之交互。TeaBot主要功能包括:能够对多个银行应用程序执行覆盖攻击,以窃取登录凭据和信用卡信息;能够发送/拦截/隐藏短信;启用关键日志记录功能;能够窃取Google身份验证代码;能够获得Android设备的完全远程控制(通过辅助功能和实时屏幕共享)。分析结果显示,该TeaBot似乎处于开发的早期阶段。
4
拉丁美洲的银行木马Ousaban分析
披露时间:2021年05月05日
情报来源:https://www.welivesecurity.com/2021/05/05/ousaban-private-photo-collection-hidden-cabinet/
相关信息:
Ousaban是自2018年以来仅在巴西活跃的银行木马,由Delphi语言编写,它的后门功能与典型的拉丁美洲银行木马非常相似。与典型的拉丁美洲银行木马程序一样,Ousaban使用覆盖窗口攻击金融机构的用户,但Ousaban的开发人员已扩展了覆盖窗口的使用范围,以从流行的区域电子邮件服务中窃取凭证。
此外,该恶意软件使用Themida或Enigma二进制混淆器来保护其可执行文件,还使用了二进制填充将大多数EXE扩展到大约400MB,这样做可能是为了绕过检测和自动删除。
05
ICEDID银行木马针对金融机构的最新活动
披露时间:2021年05月12日
情报来源:http://blog.nsfocus.net/icedid-gziploader/
相关信息:
绿盟科技发现ICEDID银行木马的最新活动。攻击者新构了一种恶意软件加载器Gziploader。该类样本在2021年3月中旬开始大量活跃,样本数量众多,主要通过垃圾邮件或钓鱼邮件的方式进行传播。攻击样本使用了宏4.0技术。
攻击者在开发过程中使用了多种隐藏恶意代码的手法,如将宏代码的字体设置为和底色一致;利用xlsx文件充当下载器,下载的恶意文件会解密出一个另一个Dll组件并在内存中加载执行,实现无文件攻击;API的调用则通过对比hash值动态加载,因此依靠传统特征码扫描的检测方式难以检测;内存加载执行的Dll组件会从自身内嵌的数据中解密出C2地址,下载后续组件并执行。
漏洞相关
01
高通芯片存在代码执行漏洞,影响30%的Android系统
披露时间:2021年05月06日
情报来源:https://research.checkpoint.com/2021/security-probe-of-qualcomm-msm/
相关信息:
Check Point发现高通(Qualcomm)调制解调器(MSM)接口(简称为QMI)中存在代码执行漏洞。据统计,全球约30%的手机都在使用QMI,包括Google Pixels、LG、OnePlus、三星Galaxy系列和小米手机。
该漏洞追踪为CVE-2020-11292,是qmi_voicei_srvcc_call_config_req处理程序(0x64)中的堆溢出漏洞,攻击者可以利用此漏洞远程执行代码,来访问用户的通话记录和短信。
02
Apple多个最新在野0day漏洞通告
披露时间:2021年05月08日
情报来源:https://mp.weixin.qq.com/s/0Ivm7ZyoDcl6iaortOezjw
相关信息:
近期,360侦测到多起利用Apple产品在野0day的攻击活动,iOS、macOS系统均受影响。
攻击者可以利用这些漏洞制作多个钓鱼页面诱导用户访问,然后通过用户访问页面时发送的请求包判断用户浏览器类型。若为Safari则发送携带exploit的JS代码,利用多个浏览器漏洞和内核提权漏洞进行组合攻击,最后使用自定义的Loader加载Mash-o后门程序。
苹果官方已于4月26日开始至5月陆续发布安全补丁修复相关0day漏洞。
03
微软补丁日通告:2021年5月版
披露时间:2021年05月13日
情报来源:https://msrc.microsoft.com/update-guide/releaseNote/2021-May
相关信息:
本月微软发布了55个软件安全修复程序,涉及产品包括Windows操作系统、Exchange Server、.Net Core、Office、SharePoint Server、Hyper-V、Visual Studio。其中包含4个严重漏洞,50个高危漏洞。以下为关键漏洞说明:
HTTP 协议远程代码执行漏洞 (CVE-2021-31166)
攻击者通过向主机发送特制流量包可触发该漏洞。该漏洞可以造成蠕虫级影响,可在可通信设备之间广泛传播。由于此漏洞的利用方式不需要身份验证,建议使用HTTP.sys协议栈的组织优先修复此漏洞。
.NET和Visual Studio特权提升漏洞 (CVE-2021-31204)
存在在野利用,.NET 5.0 以及 .NET Core 3.1 受到该漏洞影响,并同时影响VS2019。成功利用该漏洞可实现低等级用户升级为高等级用户。
Microsoft Exchange Server安全功能绕过漏洞 (CVE-2021-31207)
存在在野利用,该漏洞为2021 Pwn2Own 上公开的漏洞,成功利用该漏洞可获得一定的服务器控制权限。
Common Utilites远程执行代码漏洞 (CVE-2021-31200)
该漏洞存在于Microsoft的NNI(神经网络智能)工具包。Resec System的Abhiram V在GitHub中披露了此漏洞。存在在野利用,成功利用该漏洞可在服务器上执行任意代码,并最终控制该服务器。
Windows无线网络信息泄露漏洞 (CVE-2020-24587)
该漏洞使攻击者能够在受影响的系统上泄露加密的无线数据包的内容。
如有侵权请联系:admin#unsafe.sh