2021.06.03~06.10
攻击团伙情报
Operation(अग्नि)Angi:游荡在喜马拉雅山脉的幽灵战象
SideWinder武器库更新:利用外交政策针对巴基斯坦的攻击活动分析
PuzzleMaker组织串联Chrome和Windows10漏洞对全球企业展开攻击
Gelsemium组织活动披露:针对东亚和中东地区用户发起攻击
攻击行动或事件情报
国际钓鱼执法“Ironside”行动收网:通过加密聊天平台截获通讯信息
俄罗斯黑客针对乌克兰进行大规模网络钓鱼攻击
网络钓鱼活动进行比特币劫持,传播Agent Tesla新变体
恶意代码情报
利用WebLogic远程代码执行漏洞植入XMRig挖矿软件
银行木马Gootkit分析
Siloscape:针对Windows容器的恶意软件
SteamHide恶意软件利用Steam游戏平台进行传播
Prometheus勒索软件活动,采用双重勒索策略
漏洞情报
Microsoft安全更新,修复7个0day在内的50个漏洞
攻击团伙情报
01
Operation(अग्नि)Angi:游荡在喜马拉雅山脉的幽灵战象
披露时间:2021年06月09日
情报来源:https://mp.weixin.qq.com/s/LJjXXHZEFxtbalU8XSXqVw
相关信息:
奇安信威胁情报中心红雨滴安全研究团队多年来持续对南亚次大陆方向的攻击活动进行追踪,对魔罗桫组织均做了大量的分析和总结。上述组织长期针对东亚和南亚地区进行了长达数年的网络间谍攻击活动,主要攻击领域为政府机构、军工企业、核能行业、商贸会议、通信运营商、智库期刊、广播电台、新闻媒体等。
本文内容是对魔罗桫组织在2020年的攻击活动做一个总结,并对南亚地区有争议的组织进行梳理,正本清源。在此过程中研究人员发现了魔罗桫组织使用的新型攻击手法和恶意软件。包括魔罗桫利用Rar+Documnet+Exe的诱饵投递手法,首次在同一个诱饵文档上使用DDE和VBA Stomping技术、模板注入+DDE auto等。此外,所涉及的恶意域名和IP均已无法访问。
02
SideWinder武器库更新:利用外交政策针对巴基斯坦的攻击活动分析
披露时间:2021年06月08日
情报来源:https://mp.weixin.qq.com/s/GrhuLcA_DopQ1V3F1a-N0A
相关信息:
响尾蛇(又称SideWinder)APT组织是疑似具有南亚背景的APT组织,其攻击活动最早可追溯到2012年。主要针对其周边国家政府、军事、能源等领域开展攻击活动,以窃取敏感信息为攻击目的。
今年3月,奇安信威胁情报中心捕获到几例利用相关国家外交政策为诱饵的恶意样本。此类样本伪装成大使馆向巴基斯坦委员会的投资回信、建立港口防疫能力等热点信息开展攻击。一旦受害者执行此类恶意样本,初始LNK文件将从远程服务器下载恶意脚本执行,恶意脚本将释放展示正常的诱饵文档以迷惑受害者,并继续从远程服务器获取第二阶段恶意脚本执行。第二阶段恶意脚本中更新了在受害者计算机上部署相关恶意软件的流程,最后通过白加黑的方式加载最终的远程木马,控制受害者机器,从而窃取敏感信息。
本文将披露响尾蛇APT组织在2021年上半年攻击活动中更新的攻击手法及代码细节如下:
二阶段荷载不再使用HTA脚本直接将内存数据解码释放在本地,而是由发送本机信息后的回传数据进行后续下载
函数调用不再使用系统API,而是由自定义繁杂的函数名封装所需调用的API
03
PuzzleMaker组织串联Chrome和Windows10漏洞对全球企业展开攻击
披露时间:2021年06月08日
情报来源:https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/
相关信息:
6月8日,卡巴斯基披露了PuzzleMaker组织在今年四月份针对多家公司的高度针对性攻击活动,并表明PuzzleMaker在攻击中串联使用了Chrome和Windows10的0day漏洞,其中包含一个Chrome 0day和两个Windows10 0day。虽然研究员并未还原完整的攻击链,暂未捕获带有完整漏洞利用的JavaScript代码,但是他们表明攻击者使用的Chrome 0day很有可能是今年4月20日由Chrome90.0.4430.72所修复的CVE-2021-21224漏洞发起攻击;使用的Windows10 0day则是早几年就已经披露但是最近才修复的CVE-2021-31955和CVE-2021-31956。
除了漏洞模块,PuzzleMaker还在攻击中使用了四个额外的恶意模块,其中Stager模块用于反馈漏洞的利用情况;Dropper模块用于安装两个可执行文件;服务模块用于注册并启动服务,远程shell模块用于反弹shell以实现下载、上传、创建进程等基本信息。
04
Gelsemium组织活动披露:针对东亚和中东地区用户发起攻击
披露时间:2021年06月09日
情报来源:https://www.welivesecurity.com/2021/06/09/gelsemium-when-threat-actors-go-gardening/
相关信息:
2020年年中,ESET研究人员追踪到多起攻击活动并将其归因于Gelsemium组织。Gelsemium是一个自2014年以来活跃的网络间谍组织,主要针对的目标包括东亚和中东的政府、大学、电子制造商和宗教组织。攻击手法为使用带有文档附件的鱼叉式网络钓鱼电子邮件,利用CVE-2012-0158 Microsoft Office漏洞来传播恶意软件。
Gelsemium组织在攻击中使用的模块化恶意软件包含3个组件:Gelsemine、Gelsenicine和Gelsevirine。Gelsemine为第一阶段Dropper,Gelsemine使用Microsoft基础类库(MFC)用C++编写,利用zlib静态链接库大大缩减文件大小,并根据用户机器位数(32位与64位)或特权(标准用户与管理员)来删除不同的阶段荷载。加载器Gelsenicine用于检索Gelsevirine并执行。Gelsevirine为攻击链最后阶段的恶意DLL。
此外,研究人员还发现Gelsemium与OwlProxy、Chrommme等恶意软件之间存在相似基因,NightScout活动也被归属到该组织。
攻击行动或事件情报
01
国际钓鱼执法“Ironside”行动收网:通过加密聊天平台截获通讯信息
披露时间:2021年06月08日
情报来源:https://www.afp.gov.au/news-media/media-releases/afp-led-operation-ironside-smashes-organised-crime
相关信息:
自2018年起,美国联邦调查局及其国际执法合作伙伴依托虚假加密手机实施名为“Ironside”的全球“钓鱼执法”行动,运营了名为AN0M(又名Anøm)的加密聊天平台,通过该平台的内部人员秘密获得了访问权限,并拦截了来自全球各地的犯罪成员之间的通讯信息。AN0M平台有一项服务是一台主打安全性的智能手机,该手机不会运行除AN0M之外的其它任何应用程序,且AN0M程序功能非常简单,只有发短信、变声发语音、视频录制功能,并会提供比特币支付,完全为犯罪分子量身定做。
FBI最初依靠卧底特工来推广AN0M设备,截止收网,已经有300多个犯罪集团,大约12000个加密设备被100多个国家犯罪分子使用。在此次行动中查获的物品包括8吨可卡因、250支枪、以及4800万美元的各种货币和加密货币。
目前,已有数百名嫌疑人在“Ironside”钓鱼行动中被逮捕。仅在澳大利亚,执法部门就已抓捕224名嫌疑人,阻止21次谋杀企图,摧毁六个非法实验室,并缴获超过4500万美元的现金。澳大利亚联邦警察局长表示,此次行动以及全球犯罪分子对AN0M加密手机的盲目信任,为执法部门提供了一个看到“前所未有的犯罪规模”的宝贵机会。
02
俄罗斯黑客针对乌克兰进行大规模网络钓鱼攻击
披露时间:2021年06月04日
情报来源:https://ssu.gov.ua/novyny/sbu-zablokuvala-masovu-kiberataku-spetssluzhb-rf-na-kompiuterni-merezhi-ukrainskykh-orhaniv-vlady
相关信息:
上周,包括乌克兰特勤局在内的三个乌克兰网络安全机构(乌克兰特勤局、 乌克兰网络警察和乌克兰CERT)警告称,与俄罗斯有关联的黑客针对其公共机构、地方政府进行了大规模鱼叉式网络钓鱼活动。
6月初,攻击者伪装成政府机构发送了大量电子邮件,钓鱼邮件为税收主题,恶意附件为RAR格式,里面包含通过文件扩展名伪装的恶意exe文件。当运行这些文件时,将安装RemoteUtilities的修改版本,用于连接到攻击者的命令和控制服务器。
目前,乌克兰安全局已公开了此次攻击的技术细节,如IoC、C2服务器和域名等,并建议相关组织对系统进行紧急检查,并及时采取预防措施。
03
网络钓鱼活动进行比特币劫持,传播Agent Tesla新变体
披露时间:2021年06月04日
情报来源:https://www.fortinet.com/blog/threat-research/phishing-malware-hijacks-bitcoin-addresses-delivers-new-agent-tesla-variant
相关信息:
FortiGuard Labs最近捕获到一个新的网络钓鱼活动,其中附加到垃圾邮件的Microsoft Excel文档下载并执行VBscript 代码。该恶意软件用于劫持比特币地址信息,并将Agent Tesla的新变体下载到受害者的设备上。Agent Tesla于2014年底首次被发现,是一种已知的间谍软件,专注于从受害者的设备中窃取敏感信息,例如保存的应用程序凭据、键盘输入(键盘记录器)等。
邮件附件主题为“订单要求和规格”,一旦受害者打开文件,将会弹出安全通知警告,一旦启用宏,将通过mshta命令获取VBScript恶意代码。部署的Agent Tesla变体通过严重混淆,启动后会检测是否仅有一个实例在运行。其会窃取保存在受感染设备上的应用程序凭据,如Web浏览器、FTP客户端等,并将窃取的数据发送给攻击者。
恶意代码情报
01
利用WebLogic远程代码执行漏洞植入XMRig挖矿软件
披露时间:2021年06月03日
情报来源:https://thedfirreport.com/2021/06/03/weblogic-rce-leads-to-xmrig/
相关信息:
近日,DFIR研究人员检测到一起利用WebLogic远程代码执行漏洞(CVE-2020–14882)入侵并植入XMRig矿机的攻击活动。此次活动中,攻击者通过利用WebLogic漏洞入侵主机,执行PowerShell指令从远程服务器下载PowerShell脚本,获取后续组件加载XMRig。
研究人员发现,攻击者利用netstat来查找是否有正在使用挖矿相关端口的进程,还禁用了防火墙规则以确保与矿池的稳定连接。此外,在这次攻击中,攻击者从初始访问到运行一个XMRig矿机大约需要2分钟。该漏洞针对目标运行的速度和次数表明这很可能不是人为操作的入侵,而是自动攻击。
02
银行木马Gootkit分析
披露时间:2021年06月07日
情报来源:https://securelist.com/gootkit-the-cautious-trojan/102731/
相关信息:
Gootkit为多阶段银行木马,能够执行浏览器数据窃取、浏览器中间人攻击、键盘记录、截屏等许多其他恶意操作。其受害者主要分布在德国、意大利等欧盟国家。
研究人员分析了最近发现的Gootkit样本,样本由C++编写的加载器组件和JS编写并由Node.js解释的主体组成。主体为模块化框架,包含注册、间谍软件、VMX检测等模块。加载器由定制的多级打包器打包,该打包器会逐步解密最终的有效载荷,最终生成一个shellcode,解密原始加载器可执行文件并将其映射到内存中。
加载器可启动四个线程,分别完成四个功能,更新;解密可执行文件并注入浏览器进程;持久化;唯一化。主体程序会收集受害主机保存的cookie(IE、Firefox、Chromium)并遍历服务器列表以查找可用的C2,找到后即启动事件侦听,并通过特殊格式的数据包将收集到的数据发送到C2。
03
Siloscape:针对Windows容器的恶意软件
披露时间:2021年06月04日
情报来源:https://unit42.paloaltonetworks.com/teamtnt-operations-cloud-environments/
相关信息:
Unit42披露了首个针对Windows容器的恶意软件Siloscape。Siloscape是一种经过高度混淆的恶意软件,通过Windows容器针对Kubernetes集群。
Siloscape通过常见的漏洞来进行初始访问,使用Windows容器逃逸技术来逃逸容器并获得底层节点上的代码执行,滥用节点的凭据在集群中传播,通过Tor代理和.onion域匿名连接到其命令和控制(C2)服务器。该恶意软件可以利用Kubernetes集群中的计算资源进行加密劫持,并可能从受感染集群中运行的数百个应用程序中窃取敏感数据。
研究人员设法访问了这台服务器,确定了23个Siloscape的受害者。此外,还发现该服务器托管了313个用户,这意味着Siloscape只是更大范围活动的一小部分。
04
SteamHide恶意软件利用Steam游戏平台进行传播
披露时间:2021年06月08日
情报来源:https://www.gdatasoftware.com/blog/steamhide-malware-in-profile-images
相关信息:
近日,研究人员发现SteamHide恶意软件滥用Steam游戏平台进行传播。攻击者通过在Steam平台上更新个人资料头像将恶意软件以加密的形式隐藏其中。Steam平台只是承载恶意文件的工具。下载、解包和执行恶意负载的繁重工作由一个外部组件处理,该组件访问一个Steam配置文件上的图像。这种有效载荷可以通过电子邮件或被泄露的网站传播。Steam个人资料图像既不具有传染性,也不可执行,它充当实际恶意软件的载体,需要提取一个下载程序。该下载程序具有硬编码密码“{PjlD\\bzxS#;8@\\x.3JT&<4^MsTqE0”,并使用TripleDES从图像中解密有效载荷。
研究人员表示,目前SteamHide似乎正在积极开发中,其二进制文件中有一些代码段目前尚未使用。恶意软件通过查找SquirrelTemp\SquirrelSetup.log的存在来检查是否安装了Teams,但没有对这些信息进行任何处理。其中EnumerateVulnerable方法可用于检查受感染系统上已安装的应用程序。因此,研究人员认为SteamHide恶意软件未来还会不断更新和传播。
05
Prometheus勒索软件活动,采用双重勒索策略
披露时间:2021年06月09日
情报来源:https://unit42.paloaltonetworks.com/prometheus-ransomware/
相关信息:
Prometheus是新出现的勒索软件家族,其使用与勒索软件Thanos类似策略。Prometheus采用双重勒索策略并且托管了一个用于发布盗窃数据的泄密站点。其背后组织声称已经侵入了美国、英国、亚洲、欧洲、中东和南美的十几个国家的政府、金融服务、制造、物流、咨询、农业、医疗保健服务、保险机构、能源和律师事务所的30个组织。
Prometheus至少从2020年上半年开始,Thanos勒索软件就在地下论坛上进行广告销售,其有一个构建器,允许攻击者进行自定义配置。Prometheus勒索软件被执行时,会杀死多个备份和安全软件相关进程,例如Raccine。加密的文件扩展名为 .[ XXX-XXX-XXXX ],其中包含受害者身份标识信息。Prometheus勒索软件团伙根据受害者组织定制赎金要求。目前发现的事件中,勒索赎金低至 6000 美元,高至 100000 美元。该勒索软件分发策略暂不清楚。
漏洞相关
01
Microsoft安全更新,修复7个0day在内的50个漏洞
披露时间:2021年06月08日
情报来源:https://msrc.microsoft.com/update-guide
相关信息:
Microsoft发布了6月份的周二安全更新,修复了包括7个0day在内的50个漏洞。此次修复的0day包括Windows内核信息泄露漏洞(CVE-2021-31955)、Windows NTFS提权漏洞(CVE-2021-31956)、Microsoft DWM提权漏洞(CVE-2021-33739)、Windows MSHTML平台RCE漏洞(CVE-2021-33742)、Microsoft增强型加密提供程序提权漏洞(CVE-2021-31199和CVE-2021-31201)和Windows远程桌面服务拒绝服务漏洞(CVE-2021-31968)。其中,前6个0day已被利用过。
如有侵权请联系:admin#unsafe.sh