每周高级威胁情报解读(2021.06.10~06.17)
2021-06-18 11:04:49 Author: mp.weixin.qq.com(查看原文) 阅读量:70 收藏

2021.06.10~06.17

攻击团伙情报

• Andarie组织针对韩国实体传播勒索软件

• Evilnum 组织近期针对欧洲金融企业的攻击活动

• BackdoorDiploacy使用Turian后门针对非洲及中东外交组织

• 肚脑虫(APT-C-35)组织最新攻击框架披露

• APT34组织最新攻击活动深度分析报告

攻击行动或事件情报

• 美国核武器承包商遭REvil勒索软件团伙攻击

• PJobRAT:针对印度军事人员的间谍软件

恶意代码情报

• 恶意软件托管域cyberium传播Mirai变体

• Keksec团伙更新武器库,利用基于Tsunami的DDoS恶意软件

• Hades勒索软件或归因到GOLD WINTER组织

• Fancy Lazarus组织发起DDOS勒索攻击活动

漏洞情报

• Apple紧急更新,修复iOS中已被在野利用的2个0day

• 微软补丁日通告:2021年6月版

攻击团伙情报

01

Andarie组织针对韩国实体传播勒索软件

披露时间:2021年06月15日

情报来源:https://securelist.com/andariel-evolves-to-target-south-korea-with-ransomware/102811/

相关信息

2021年4月,Kaspersky研究人员捕获了一例带有新型宏代码的韩语诱饵文档,并将其归属于APT组织Andariel。Andariel是Lazarus组织下的一个子组,主要攻击目标为韩国企业和政府机构。从2020年年中开始,Andariel一直在第三阶段部署后门软件,但在此次攻击活动中,该组织在第三阶段部署了自定义勒索软件。

此次攻击活动的初始感染链如下:1.用户打开恶意文档,允许宏执行;2.弹出消息框迷惑用户;3.将当前文档及图像文件以HTML格式保存在%temp%路径;4.显示诱饵文件;5.将%temp%[document name]\image003.png转换为BMP文件格式并添加扩展名.zip;6.使用mshta.exe执行image003.zip,该文件中包含HTA代码;7.删除临时文件。

其第二阶段感染链将解密C2地址并与服务器建立通信以分发后门模块,在第三阶段中,后门模块将用于批量处理文件、执行Windows命令,如更改工作目录,连接到指定的IP地址、获取磁盘信息,文件列表、截屏等。此外,在此次攻击中,研究人员发现有目标在第三阶段感染了勒索软件,该勒索软件由命令行参数控制,可以从 C2 检索加密密钥,或者作为启动时的参数。这为Andariel组织的攻击活动增加了经济动机。

02

Evilnum 组织近期针对欧洲金融企业的攻击活动

披露时间:2021年06月16日

情报来源:https://mp.weixin.qq.com/s/lryl3a65uIz1AwZcfuzp1A

相关信息

Evilnum是恶意软件Evilnum背后的APT组织,该组织擅长使用鱼叉式网络钓鱼电子邮件,主要针对欧洲金融科技公司。该组织投放的诱饵内容多为信用卡扫描件、水电费账单、身份证、驾驶执照和其他身份信息图片。窃取目标包括客户列表和投资及交易信息的文档、演示文稿、交易软件的凭证、浏览器数据、电子邮件登录信息、客户信用卡数据等。微步情报局近期捕获到Evilnum组织针对数字货币企业的攻击活动,此次活动具有如下特点:

• 攻击者以“通用数据保护条例(GDPR)”为诱饵针对KOT4X单位进行鱼叉攻击,除此还有身份验证信息类型诱饵;

• 诱饵文档采用LNK加载JS代码的方法加载执行,LNK文件包含JS代码、PDF、EXE等数据,经过JS代码多层解密后执行最后的后门程序,整体分多个阶段执行,复杂程度较高;

• 载荷具备反调试、检测杀软的功能,多个阶段的载荷都有延迟代码,在获取最终阶段的载荷失败,则会等待3个小时后再次运行,这意味着该后门将隐蔽性放在第一原则。

03

BackdoorDiploacy使用Turian后门针对非洲及中东外交组织

披露时间:2021年06月10日

情报来源:https://www.welivesecurity.com/2021/06/10/backdoordiplomacy-upgrading-quarian-turian/

相关信息

BackdoorDiplomacy是一个于2017年披露的针对中东和非洲的APT组织。近期,ESET的安全研究员发现该组织的更新了基于Quarian的自定义后门,研究员将其命名为Turian。

Turian是一款基于Quarian的由Backdoor Diplomacy使用的自定义后门,大部分Turian都使用了VMP进行混淆。Truian启动之后将会在当前工作目录中创建名为tmp.bat的文件建立持久性,该bat文件会将Turian的运行路径写入到Run注册表键值中,接着,Turian将会检测当前目录下是否存在sharedaccess.ini,若文件存在则尝试读取该文件的内容请求C2。初步分析,Truian的功能包含获取系统信息、交互shell、截屏、创建线程实现写文件、列出目录、移动文件、删除文件等功能。

04

APT34组织最新攻击活动深度分析报告

披露时间:2021年06月16日

情报来源:https://mp.weixin.qq.com/s/o_EVjBVN2sQ1q7cl4rUXoQ

相关信息

APT34首次被披露于2016年,是一个来自于中东地区的APT组织,其最早活跃时间可追溯到2014年,攻击目标主要集中在中东及亚洲地区,涉及金融、政府、能源、化工、电信等行业。2021年,启明星辰ADLab追踪到多起以军队事务和移动运营商业务为话题的定向攻击活动。攻击者伪装成为军事部门以军队内部事务如海军战舰就绪清单、某军官解雇令为诱饵对目标发起定向攻击并植入木马,同时也常常伪装成为一些国家的重要企业以招聘人员为由攻击目标

APT34在此次活动中做了大量的技术改进和升级,其中大部分都是以提高攻击的匿名性、隐蔽性、可控性和安全性为目的,防止被检测和追踪。在本次攻击中,APT34组织首次利用预攻击诱饵文档关闭宏提示;首次使用“匿名DNS隧道技术”,借助公共服务商RequestBin提供的匿名DNS服务,隐匿的上报设备指纹信息和感染进度;升级Karkoff后门,优化了“EWS隧道技术”,提高了基于EWS通信的内容安全,如基于EWS隧道利用RSA和AES算法对控制指令进行加密、提高了邮件载体的迷惑性以及利用窃取的EWS账号作为控制命令服务器等等手段以掩人耳目;首次使用JS代码注释作为控制通道,将控制指令加密隐藏于Javascript的注释中,使得控制命令的下发难以检测等等。

此外,本次攻击活动中,攻击者还将窃取的黎巴嫩军方和移动运营商账户作为本次攻击的控制命令服务器,而APT34为了进一步的隐蔽自身,长期对Exchange服务进行攻击扫描,控制大量国家重要机构和企业的Exchange服务器,同时从这些服务器上窃取了相关的登录凭证,进而利用Exchange服务作为控制端服务器从事间谍活动。

05

肚脑虫(APT-C-35)组织最新攻击框架披露

披露时间:2021年06月11日

情报来源:https://mp.weixin.qq.com/s/rMgQWQ8uW9foOy60LKtRJw

相关信息

肚脑虫组织(APT-C-35),又称Donot,是一个针对巴基斯坦、斯里兰卡等印度周边国家政府机构等领域进行网络间谍活动,以窃取敏感信息为主的攻击组织。在对该组织追踪溯源的过程中,研究人员发现Donot在此次活动中使用了一系列新型的后门框架,该框架攻击组件一共分为七类,包括加密算法、组件下载、文件搜集、文件上传、浏览器文件搜集、键盘鼠标消息记录、获取屏幕截图、获取可移动磁盘文件。攻击者通过Downloader下发并调用其他组件。在其他组件中,通过Downloader传入的参数1\0来控制功能是否执行。根据这些后门框架使用的组件名,该框架被命名为“Jaca”。

该组织多次对其程序进行更新。在路径和计划任务名称上,采用了更贴合微软官方的命名,如文件路径变更为“C:\ProgramData\Microsoftt\”,以及Dll名称前缀从“Jaca“变更到“winlog”,相比之前更具有欺骗性。在API函数上,以Uploader为例,可以看到“Jaca“框架采用动态导入+函数名称加密的方式,在导入函数上暴露信息更少,仅保留了少部分标准函数引用的API函数。

攻击行动或事件情报

01

美国核武器承包商遭REvil勒索软件团伙攻击

披露时间:2021年06月11日

情报来源:https://threatpost.com/revil-hits-us-nuclear-weapons-contractor-sol-oriens/166858/

相关信息

美国核武器承包商Sol Oriens遭到了REvil勒索软件攻击。该公司称其主要协助国防部、能源部、航空航天承包商和技术公司开展复杂的项目。REvil团伙正在拍卖攻击期间窃取的数据,其中包括业务数据和员工信息,例如员工社会安全号码、招聘概览文件、工资单文件和工资报告等。Sols Oriens也证实了其在2021年5月遭到了网络攻击,可能已经泄露部分数据,目前调查仍在进行中。

02

PJobRAT:针对印度军事人员的间谍软件

披露时间:2021年06月15日

情报来源:https://mp.weixin.qq.com/s/VTHvmRTeu3dw8HFyusKLqQ

相关信息

近期,360烽火实验室发现一起主要针对印度军事相关目标的攻击活动,本次攻击活动使用了一种新的Android恶意软件,根据恶意软件包结构我们将其命名为PJobRAT。

PJobRAT主要伪装成印度婚恋交友和即时通讯软件。通过对同源样本进行分析,我们推测本次攻击时间从2021年1月开始,该RAT家族或最早出现于2019年12底,本次攻击活动主要针对具有军事相关背景的印度人员。

PJobRAT会对手机中指定后缀的文档进行上传,通过Android辅助功能获取窗口节点信息,进一步获取Whatsapp联系人列表和对话消息等隐私数据。其他功能还包括:上传通讯录、上传短信、上传音频文件、上传视频文件、上传图片文件、上传已安装应用列表、上传外部存储文件列表、上传WIFI、地理位置等信息更新电话号码和录音。PJobRAT主要包含Firebase Cloud Message(FCM)和HTTP两种通信方式。通过FCM消息推送功能实现从服务器端向客户端发送指令。

恶意代码情报

01

恶意软件托管域cyberium传播Mirai变体

披露时间:2021年06月14日

情报来源:https://cybersecurity.att.com/blogs/labs-research/malware-hosting-domain-cyberium-fanning-out-mirai-variants

相关信息

AT&T Alien Labs观察到Mirai变体僵尸网络,称为Moobot,其通过常见路由器Tenda中的远程代码执行漏洞(CVE-2020-10987、CVE-2017-17215、CVE-2014-8361)传播。

研究人员通过对URL进行分析发现了其恶意软件托管域cyberium.cc,提供了几种不同的Mirai变体,如Moobot和Satori。至少从2020年5月以来,攻击者一直在反复利用其子域,大多数攻击持续一周,然后关闭子域解析。

Moobot和Satori样本之间的相似性包括:下载方式、loT设备中的漏洞扫描和目标、执行后打印的字符串9xsspnvgc8aj5pi7m28p、隐藏在(/var/Sofia)后面的进程名称。

Moobot和Satori样本之间的差异性包括:1.Satori样本中不存在字符串“w5q6he3dbrsgmclkiu4to18npavj702f”;2.Satori通知成功感染的C2域是bin.rippr[.]cc,它以前与其他Satori活动相关联;3.Satori样本中,代码没有被加密,无需任何额外操作就可以读取更多的字符串,而Moobot样本需要被编码才能减少纯文本中的字符串数量。

02

Hades勒索软件或归因到GOLD WINTER组织

披露时间:2021年06月15日

情报来源:https://www.secureworks.com/blog/hades-ransomware-operators-use-distinctive-tactics-and-infrastructure

相关信息

近日,研究人员披露了Hades勒索软件运营商采用的策略、技术和程序(TTP),并将其归因于一个名为GOLD WINTER的出于经济动机的威胁组织。

Hades勒索软件利用了两个不同的初始访问向量(IAV)。在某些入侵中,攻击者以虚拟专用网络和远程桌面协议为目标,获得初始立足点并保持对受害环境的访问,通过Cobalt Strike等工具实现持久性。在另一种情况下,Hades利用SocGholish恶意软件作为初始访问向量。SocGholish诱骗用户访问受感染的网站,使用社会工程主题模拟浏览器更新以在没有用户干预的情况下触发恶意下载。

此外,与GOLD WINTER基础设施相关的域由俄罗斯注册商REG.RU发布。该域的注册数据显示州为印第安纳州,但国家代码为芬兰和新泽西州的电话号码,这表明攻击者可能故意提供错误信息。Hades运营商使用与其他勒索软件运营商无关的TTP,且不在地下论坛和市场上。这意味着Hades可能作为私人勒索软件而不是勒索软件即服务(RaaS)运营。

03

Keksec团伙更新武器库,利用基于Tsunami的DDoS恶意软件

披露时间:2021年06月10日

情报来源:https://www.lacework.com/keksec-tsunami-ryuk/

相关信息

Lacework研究人员发现Keksec现在正在利用一种名为“Ryuk”(非勒索软件系列)的基于Tsunami的DDoS恶意软件。该恶意软件出现在2021年5月中旬至6月期间,该恶意软件Ryuk有几种不同的变体,由keksec基础设施中的Ryuk组件托管。大部分样本都是由UPX封装,还利用了一种简单的编码方法来混淆C2IP和写入日志文件的消息。

开源情报信息显示,该恶意软件被用作Necro SSH 暴力破解活动的有效载荷。其通过简单的编码来混淆C2地址和写入日志文件的消息。解码后的消息显示了 Instagram和Discord帐户:This-Device-Is-Infected-By-Ryuk-Botnet-Instagram:@ur0a_Discord:UR0A#2199-Ryuk#4652。

研究人员发现Necro恶意软件的版本更新包括针对Vesta控制面板、ZeroShell 3.9.0、SCOOpenServer 5.0.7和VMWarevCenter (CVE-2021-21972)的漏洞利用、新增了DGA算法以及see、random-range参数更新。

04

Fancy Lazarus组织发起DDOS勒索攻击活动

披露时间:2021年06月10日

情报来源:https://www.proofpoint.com/us/blog/threat-insight/ransom-ddos-extortion-actor-fancy-lazarus-returns

相关信息

研究人员发现了勒索组织“Fancy Lazarus”发起的新的分布式拒绝服务(DDoS)勒索活动,该组织以伪装成各种APT组织而闻名,与同名的朝鲜Lazarus Group和俄罗斯的Fancy Bear组织没有联系。

Fancy Lazarus针对的行业包括能源、金融、保险、制造、公用事业和零售业,此次活动主要针对美国公司或遍布全球的公司。该组织向受害公司索要两枚比特币作为赎金(约75,000美元),以避免公司遭受严重的DDoS攻击,截止日期后未付款将把赎金翻倍至4BTC,之后每天增加1BTC。FancyLazarus在2021年4月到5月停止了活动,近日该组织在改进其技术和程序后再次活跃。

漏洞相关

01

Apple紧急更新,修复iOS中已被在野利用的2个0day

披露时间:2021年06月14日

情报来源:https://support.apple.com/en-us/HT212548

相关信息

Apple发布紧急更新,修复iOS 12.5.3中已被在野利用的2个0day。这两个0day为WebKit浏览器引擎中的内存损坏漏洞(CVE-2021-30761)和释放后使用漏洞(CVE-2021-30762),均可被用来远程执行任意代码。

Apple表示该漏洞可能已被积极利用,但并未透露任何有关此类攻击的详细信息。此外,此次更新还修复了ASN.1解码器中的内存损坏漏洞(CVE-2021-30737)。

02

微软补丁日通告:2021年6月版

披露时间:2021年06月17日

情报来源:https://msrc.microsoft.com/update-guide/releaseNote/2021-Jun

相关信息

本月微软修复了50个安全漏洞,涉及Windows、Microsoft Office、Microsoft Edge、Visual Studio 、SharePoint Server等广泛使用的产品,其中包括远程代码执行和权限提升等高危漏洞类型。其中严重程度为危急(Critical)的漏洞有5个,重要(Important)漏洞有45个。微软警告说,黑客正利用以下六个漏洞进行定向攻击。

• CVE-2021-33742,Windows HTML 组件中的远程代码执行错误。

如果用户查看特制的网页内容,这个漏洞可能允许攻击者在目标系统上执行代码。由于该漏洞存在于Trident(MSHTML)引擎本身,除了Internet Explorer,其的应用程序也都受到影响。目前还不清楚攻击的范围具体有多大,但考虑到该漏洞影响到所有支持的Windows版本,奇安信威胁情报中心建议广大用户尽早更新至最新版本。

• CVE-2021-31955,Windows 内核中的信息泄露漏洞

• CVE-2021-31956,Windows NTFS 中的提权漏洞

这两个漏洞由同一个研究人员报告。这些漏洞可被结合使用,使用内存泄漏来获得升级权限所需的地址。参考以下信息:

2021年4月,卡巴斯基发现攻击者PuzzleMaker利用了一系列Google Chrome和Microsoft Windows零日漏洞。该组织使用了定制的权限提升漏洞利用模块,通过滥用Windows内核中的信息泄漏漏洞(CVE-2021-31955)和Windows NTFS权限提升漏洞(CVE-2021-31956)来攻击最新版本的Windows10,其中前者通常用于泄漏运行进程的Eprocess结构内核的地址,后者可被利用来获得更高的系统权限。

• CVE-2021-33739,Microsoft 桌面窗口管理器中的提权漏洞 攻击者通过构造特制的二进制文件并诱使用户打开,即可控制用户计算机。此漏洞由安恒威胁情报中心报告给MSRC。

• CVE -2021-31201,CVE-2021-31199 Microsoft Enhanced Cryptographic Provider 中的特权提升漏洞 这两个漏洞与上个月被列为主动攻击的Adobe Reader漏洞(CVE-2021-28550)有关。


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247495912&idx=1&sn=12043634134d41035fe94427f240b2f2&chksm=ea66079fdd118e8908bcbb43f8b27e428c9748e9f8d2147bed25662e7007a0e79c250ce1196f#rd
如有侵权请联系:admin#unsafe.sh