2021.07.08~07.15
攻击团伙情报
Kimsuky使用的新版KGH间谍组件分析
细数黄金鼠组织(APT-C-27)0主要攻击武器
疑似Kimsuky针对韩国军工行业的攻击
Lazarus针对航空航天行业的攻击
攻击行动或事件情报
全球性网络钓鱼活动以能源行业及其供应商为目标
Bandidos:针对西班牙语国家的持续间谍活动
针对乌克兰政府的针对性网络钓鱼攻击扩展到格鲁吉亚
恶意代码情报
国内黑客团伙利用业务漏洞种植挖矿软件
Hancitor尝试使用XLL作为初始攻击文件
Zloader新感染技术:可禁用Office宏警告
漏洞情报
微软7月安全更新,修复9个0day在内的117个漏洞
SolarWinds修复Serv-U中已被利用的远程代码执行漏洞
攻击团伙情报
01
Kimsuky使用的新版KGH间谍组件分析
披露时间:2021年07月14日
情报来源:https://mp.weixin.qq.com/s/cbaePmZSk_Ob0r486RMXyw
相关信息:
Kimsuky APT组织是境外由特定政府支持的、先进的APT组织,其至少从2012年开始运营,近些年一直针对韩国、俄罗斯、美国等政府从事间谍活动,该组织经常使用各种鱼叉式和社会工程学方法来获得对目标的初始访问。
微步情报局近期监测到Kimsuky APT组织使用KGH恶意软件进行的网络间谍活动,经研究人员分析后有如下发现:
攻击者开发私有工具制作钓鱼邮件,对目标进行鱼叉邮件攻击;
木马进入目标系统后,使用漏洞 CVE-2019-0880 进行提权;
攻击者复用了之前 KGH 间谍组件的部分代码,利用 KGH 间谍组件窃取目标隐私信息;
开发者在旧版本 KGH 间谍组件的基础上拓展了持久化、远程控制等功能,根据样本信息显示,疑似多个开发人员协同工作;
在新版本 KGH 间谍组件中,使用 FTP 协议与 C2 服务器通信。
02
黄金鼠组织(APT-C-27)的主要攻击武器披露
披露时间:2021年07月14日
情报来源:https://mp.weixin.qq.com/s/oNTTMnitvikgs0o3pXCYKw
相关信息:
APT-C-27黄金鼠组织是涉及中东的APT攻击组织,从2014年11月起,其对叙利亚、土耳其地区展开了有组织的不间断攻击。PC端和Android端的恶意样本主要伪装成聊天软件,通过水坑攻击配合社会工程学进行攻击,攻击者熟悉阿拉伯语。
此次360高级威胁研究分析中心发现捕获到了该组织大量内部利用工具和攻击样本,其中涉及内部组件、社工攻击相关代码、文件解密工具、njRAT、Android端RAT以及利用了进程守护技术的APK工具等。
03
疑似Kimsuky针对韩国军工行业的攻击
披露时间:2021年07月08日
情报来源:https://mp.weixin.qq.com/s/y4TGzrhr2rvVk5EAca91hA
相关信息:
Kimsuky是来自东亚地区的APT组织,又名(Mystery Baby, Baby Coin, Smoke Screen, Cobra Venom)等。该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术组织等进行攻击,在过去几年里,他们将攻击目标扩大到包括美国、俄罗斯和欧洲各国在内的国家。主要目的为窃取情报、间谍活动等。该组织十分活跃,常用的攻击载荷为带有漏洞的hwp文件、恶意宏文件、释放载荷的PE文件等。
近日, 360高级威胁研究院在日常的威胁狩猎中,监测到一起朝鲜APT组织的PE样本,样本将图标伪装成微软相关的产品,诱使用户点击,用户打开后将展示正常的诱饵文档,同时连接远程地址执行后续后门操作。
04
Lazarus针对航空航天行业的攻击
披露时间:2021年07月12日
情报来源:https://mp.weixin.qq.com/s/CHprzD0K-wosO9SRBG-eYA
相关信息:
Lazarus (APT-C-26) 组织是东亚地区非常活跃的APT组织之一,该组织长期对韩国、美国、印度等国家进行渗透攻击,长期以数字货币、金融行业、航空航天行业等为攻击目标。此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁,该组织最早的攻击活动可以追溯到2007年。
今年6月,360高级威胁研究院在日常的威胁狩猎中,监测到一起朝鲜APT组织的诱饵文档样本,此次攻击以名称“Airbus工作机会机密”为诱饵,诱导受害者点击执行,使用工作机会、招聘信息等为诱饵也是Lazarus常用的手段。当用户启用宏后,将释放后门程序DriverCacheSH执行。
攻击行动或事件情报
01
全球性网络钓鱼活动以能源行业及其供应商为目标
披露时间:2021年07月07日
情报来源:https://www.intezer.com/blog/research/global-phishing-campaign-targets-energy-sector-and-its-suppliers/
相关信息:
攻击者使用盗版和欺骗性电子邮件发起鱼叉式钓鱼攻击,电子邮件附件通常是IMG、ISO或CAB文件,利用这些文件格式来逃避基于电子邮件的防病毒扫描程序的检测。投放的恶意软件包括Formbook和Agent Tesla、Loki、Snake Keylogger和AZORult,这些恶意软件通常能够窃取私人信息、记录键盘敲击和窃取浏览器数据。在几封电子邮件中,发件人域似乎已被攻击者域名抢注,其中许多被盗用域名模仿韩国公司的合法域名。
02
Bandidos:针对西班牙语国家的持续间谍活动
披露时间:2021年07月07日
情报来源:https://www.welivesecurity.com/2021/07/07/bandidos-at-large-spying-campaign-latin-america/
相关信息:
2021年,ESET Research发现一项针对西班牙语国家的持续间谍活动,其中90%的检测发生在委内瑞拉。至少自2015年以来一直很活跃,使用的恶意软件被称为Bandook。攻击者向目标发送带有PDF附件的恶意电子邮件。PDF文件包含下载压缩文件的链接和解压密码。压缩文件中有一个可执行文件:该文件为dropper,可以将Bandook通过进程挖空注入Internet Explorer进程。有效负载和C&C通信,接收执行命令。
发现的样本涉及132个命令,例如从受害者的驱动单元获取信息、列出特定目录的内容、文件操作、截屏、控制受害者机器上的光标、安装或卸载恶意DLL、杀死正在运行的进程或线程、从URL下载文件等。其中的恶意dec.dll执行后可以创建恶意Chrome扩展程序,该恶意扩展可以在浏览器发送URL之前,读取表单标签中的值来检索提交给URL的任何凭据。
03
针对乌克兰政府的针对性网络钓鱼攻击扩展到格鲁吉亚
披露时间:2021年07月14日
情报来源:https://www.intezer.com/blog/malware-analysis/targeted-phishing-attack-against-ukrainian-government-expands-to-georgia/
相关信息:
2021 年 5 月,Fortinet 发布了一份 关于针对乌克兰政府正在进行的网络钓鱼攻击的早期阶段的报告。据 Malwarebytes 报道,该攻击最初基于Saint Bot 下载器,也针对乔治亚州。自 6 月以来,这个威胁行为者通过针对佐治亚州政府实体的新样本扩大其活动。
攻击的切入点是一封鱼叉式网络钓鱼电子邮件,涉及政府相关主题,包括退伍军人、乌克兰反恐行动 (ATO)、格鲁吉亚境内流离失所者 (IDP)、格鲁吉亚私营部门组织和 COVID-19。这次袭击主要针对乌克兰和格鲁吉亚的政府机构。
恶意软件提供的主要负载是用 AutoIt 编写的信息窃取程序。它的主要目标是从受害者的机器上窃取文件,将它们上传到预定义的命令和控制 (C2) 服务器。根据受害者的分析以及这次攻击试图从政府实体窃取文件这一民族国家团体的典型目标这一事实,它很可能由俄罗斯民族国家运营。这次攻击与过去的 APT28 活动之间有一些相似之处。
恶意代码情报
01
国内黑客团伙利用业务漏洞种植挖矿软件
披露时间:2021年07月08日
情报来源:https://mp.weixin.qq.com/s/FZ6h7qed1lEuOzDnz0kOCw
相关信息:
奇安信病毒响应中心近期监测到有国内黑客团伙正瞄准各企业机构使用的常见业务展开疯狂攻击,该组织的主要目标非常清晰——拿下服务器权限后挖矿获益。这些游弋在虚拟世界中的网络幽灵不停的寻找暴露在公网上且存在已知漏洞的业务服务器,一旦发现目标便会发动进攻,成功后会在目标服务器上植入挖矿木马。为了方便描述,奇安信病毒响应中心将此团伙称为:掘金团伙。
据目前已知情报的监测统计数据来看,掘金团伙新一轮的攻击于6/12开始,并一直活跃至今。分析人员在复盘该团伙多个事件的攻击流程后发现,该团伙手法相对固定,应该是已经具备自动化的攻击框架,其通常的攻击套路如下:
1. 搜集企业常见业务漏洞
2. 利用漏洞拿下目标
3. 投放挖矿工具到目标
该团伙会搜集常见于各企业使用的业务系统漏洞,如OA系统、财务管理系统等。然后攻击这些暴露于公网的服务器,利用相关漏洞拿下机器,再投递挖矿工具进行挖矿。
02
Hancitor正在尝试使用XLL作为初始攻击文件
披露时间:2021年07月09日
情报来源:https://isc.sans.edu/diary/27618
相关信息:
Hancitor是TA511组织常用的恶意软件,自2020年10月以来,Hancitor一直保持着比较稳定的感染模式:发送带有恶意链接的电子邮件诱使受害者下载恶意Word文档、通过文档诱饵诱导受害者启用宏代码、释放Hancitor dll并调用rundll32.exe加载执行、与C2链接通信。值得注意的是,以前Hancitor通常会加载Ficker Stealer恶意软件,自2020年10月之后,Hancitor开始尝试加载CobaltStrike恶意软件。
2021年7月初,国外安全研究员发现Hancitor的感染方式有所更新:Hancitor正在尝试使用XLL替代Word作为第一阶段的攻击载荷。XLL是Excel的加载项文件,当用户打开并允许XLL加载之后,XLL将会尝试加载一个远程hta,由HTA文件去加载执行Hancitor,执行之后的Hancitor和之前的行为保持一致。
03
Zloader新感染技术:可禁用Office宏警告
披露时间:2021年07月08日
情报来源:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/zloader-with-a-new-infection-technique/
相关信息:
McAfee Labs 发现了一种新技术,可以下载和执行恶意 DLL (Zloader)。恶意软件通过包含 Microsoft Word 文档作为附件的网络钓鱼电子邮件到达。在Word 文档中的用户表单组合框组件中存储了连接到远程 Excel 文档所需的所有内容,包括 Excel 对象、URL 和打开 Excel 文档所需的密码。打开文档并启用宏后,Word 文档会依次下载并打开另一个受密码保护的 Microsoft Excel 文档。Excel文档随机在其单元格中储存了一些字符串,后续将形成新的VBA宏。下载 XLS 文件后,Word VBA 从 XLS 读取单元格内容,为XLS创建一个新宏,并将单元格内容作为函数写入 XLS VBA 宏。
一旦宏编写完毕并准备就绪,Word 文档将在注册表中设置策略以禁用 Excel 宏警告并从 Excel 文件调用恶意宏功能,下载 Zloader 负载,然后使用 rundll32.exe 执行 Zloader 负载。
漏洞相关
01
微软发布7月份安全更新,修复9个0day在内的117个漏洞
披露时间:2021年07月15日
情报来源:https://msrc.microsoft.com/update-guide/vulnerability
相关信息:
微软发布了2021年7月份的周二补丁,修复了包括9个0day在内的117个漏洞。这些漏洞中,44个为远程代码执行,32个为提权漏洞,14个为信息泄露漏洞,12个为拒绝服务漏洞,8个为安全功能绕过漏洞,7个为欺骗漏洞。
此次修复的9个0day中,有4个已被在在野利用,包括PrintNightmare漏洞(CVE-2021-34527)、Windows内核提权漏洞(CVE-2021-33771和CVE-2021-31979)以及脚本引擎内存损坏漏洞(CVE-2021-34448)。
02
SolarWinds修复Serv-U中已被利用的远程代码执行漏洞
披露时间:2021年07月13日
情报来源:https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
相关信息:
SolarWinds在7月9日发布的Serv-U 15.2.3 HF2中修复了一个已被利用的0day。Microsoft披露了Serv-U产品的远程代码执行0day(CVE-2021-35211),远程攻击者利用此漏洞能够以特殊权限执行任意代码,在目标系统上安装并运行程序、查看、更改或删除数据等。
目前该漏洞已经出被野利用,但SolarWinds表示,如果Serv-U环境中未启用SSH,则该漏洞不存在。
点击阅读原文至TIP-1000
即刻助力威胁研判
如有侵权请联系:admin#unsafe.sh