2021.10.07~10.14
攻击团伙情报
Kimsuky武器库更新:利用新冠疫情为诱饵针对韩国地区的攻击活动分析
Donot使用印度制造的间谍软件瞄准多哥著名活动家
与伊朗有关的DEV-0343针对美国和以色列国防技术公司进行攻击
Lazarus组织“AppleJeus Operation”新样本分析
混混沄沄,韩国新闻工作者沦为Kimsuky的“掌上玩物”
疑似IronHusky通过MysterySnail RAT进行Windows零日漏洞攻击
攻击行动或事件情报
攻击者使用升级后的Linux恶意软件瞄准华为云
攻击者利用Linux和Windows后门针对供应链进行攻击
TeamTNT在Docker Hub上部署恶意Docker镜像
恶意代码情报
新的挖矿木马NTP正在崛起
NtpClient木马针对Linux平台的挖矿活动
BluStealer恶意软件通过垃圾邮件进行传播
UDP Rat仍通过webhard继续分发
漏洞情报
Microsoft Excel中的UAF漏洞可能导致代码执行
微软10月补丁日修复多个高危漏洞
苹果发布iphone和iPad更新以修补新的零日漏洞
攻击团伙情报
01
Kimsuky武器库更新:利用新冠疫情为诱饵针对韩国地区的攻击活动分析
披露时间:2021年10月11日
情报来源:https://mp.weixin.qq.com/s/sautIOi__PCf4Y_tfdj1zg
相关信息:
近日,奇安信红雨滴团队在日常高价值样本狩猎过程中,捕获疑似Kimsuky组织利用新冠疫情相关信息为诱饵针对韩国地区的攻击样本。根据红雨滴研究人员跟踪分析,此次的攻击活动有如下特点:
诱饵目标为韩国某地方土地管理局。诱饵内容大概是该地区针对COVID-19疫情的处理流程和发热统计表格。
使用PIF可执行文件格式伪装成PDF文件。
使用了新版的远控软件。
相关攻击未发现影响国内,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括威胁情报平台(TIP)、天眼高级威胁检测系统、NGSOC、奇安信态势感知等,都已经支持对此APT攻击团伙攻击活动的精准检测。
02
Donot使用印度制造的间谍软件瞄准多哥著名活动家
披露时间:2021年10月07日
情报来源:https://www.amnesty.org/en/latest/news/2021/10/togo-activist-targeted-with-spyware-by-notorious-hacker-group/
相关信息:
国际特赦组织的一项新调查发现,多哥的活动人士有可能成为阴暗的网络雇佣军的目标,他们利用秘密数字攻击试图窃取受害者的私人信息,然后将其出售给私人客户。
国际特赦组织揭示了与臭名昭著的Donot组织有关的虚假Android应用程序和装有间谍软件的电子邮件是如何被用来瞄准一位著名的多哥人权捍卫者,试图将他们置于非法监视之下的。这一发现是首次在南亚以外的攻击中发现Donot间谍软件。调查还发现了这些攻击中使用的间谍软件和基础设施与印度网络安全公司 Innefu Labs之间的联系。
03
与伊朗有关的DEV-0343针对美国和以色列国防技术公司进行攻击
披露时间:2021年10月11日
情报来源:https://www.microsoft.com/security/blog/2021/10/11/iran-linked-dev-0343-targeting-defense-gis-and-maritime-sectors/
相关信息:
DEV-0343是Microsoft威胁情报中心(MSTIC)于2021年7月下旬首次观察并开始跟踪的新活动集群。MSTIC已观察到DEV-0343对250多个办公室365租户,重点是美国和以色列国防技术公司、波斯湾入境口岸或在中东开展业务的全球海上运输公司。只有不到20个目标租户被成功入侵,但DEV-0343继续改进其技术以改进其攻击。MSTIC指出办公室365启用了多重身份验证(MFA)的帐户可以抵御密码喷射
DEV-034专注于支持美国、欧盟和以色列政府合作伙伴生产军用级雷达、无人机技术、卫星系统和应急响应通信系统的国防公司。微软研究人员表示,该活动符合德黑兰的利益,其TTP与另一个与伊朗有关的威胁参与者的TTP相似。攻击者的目的是获取商业卫星图像和专有运输计划和日志,这些信息可以让伊朗政府为其开发的卫星计划提供补偿。
04
Lazarus组织“AppleJeus Operation”新样本分析
披露时间:2021年10月11日
情报来源:https://www.telsy.com/lazarus-group-continues-applejeus-operation/
相关信息:
Telsy分析了与Lazarus Group相关的新样本,尤其是“AppleJeus Operation”。虽然一些细节发生了变化,但当前方案中使用的方法看起来与“AppleJeus”之前的工作方式非常相似。他们都使用合法的加密交易应用程序,并且都有一个二级程序,即恶意软件组件。
黑客组织发布了合法加密交易应用程序“QtBitcoinTrader”的木马化版本,尽管与之前的操作不同,感染的各个阶段都位于MSI包中。MSI包嵌入了恶意库、shellcode,并且在Virustotal上的检测率非常低。此外,安装程序将其内容放入目录“%appdata%/QtBitcoinTrader”后,将名为“CertEnrollCtrl.exe”的合法可执行文件复制到同一目录中,然后将其安排为任务。
05
混混沄沄,韩国新闻工作者沦为Kimsuky的“掌上玩物”
披露时间:2021年10月13日
情报来源:https://mp.weixin.qq.com/s/BW_HKvWI7IXFNIuvvxMPkA
相关信息:
微步情报局近期通过威胁狩猎系统监测到KimsukyAPT组织使用KGH间谍组件、PDF漏洞以及针对韩国新闻工作者等攻击活动,分析有如下发现:
攻击者将KGH间谍组件伪装成浏览器扩展组件,诱导用户执行;
在KGH间谍组件中使用多种手段如反沙箱、反虚拟机、反调试等对抗分析;
相关KGH组件在目标主机上以服务方式隐蔽运行,可响应C2服务器10余种远程指令;
此次攻击活动中的相关样本基本延续了以往攻击活动中KGH间谍组件的功能,有一定程度的拓展;
攻击者使用CVE-2020-0986提权漏洞搭配KGH间谍组件使用;
所使用攻击组件针对性强,定向攻击特征明显;
攻击者疑似向目标发送简历模板文档进行攻击活动;
Kimsuky使用PDF漏洞CVE-2020-9715对韩国政府相关机构进行定向攻击;
此外还冒充KISA员工,对韩国媒体“朝鲜日报”新闻工作者李光白进行定向攻击。
06
疑似IronHusky通过MysterySnail RAT进行 Windows 零日漏洞攻击
披露时间:2021年10月12日
情报来源:https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/
相关信息:
卡巴斯基分析表明CVE-2016-3309漏洞是一个零日漏洞。其在 Win32k 驱动程序中使用了一个以前未知的漏洞,并且利用在很大程度上依赖于泄漏内核模块基地址的技术。
除了在野外发现零日漏洞之外,我们还分析了与零日漏洞利用一起使用的恶意软件负载,发现在针对 IT 公司、军事/国防承包商和外交实体的广泛间谍活动中检测到了恶意软件的变体。
卡巴斯基称这个活动集群为 MysterySnail。根据发现的代码相似性和 C2 基础设施的重用,可以将这些攻击与可追溯到 2012 年的 IronHusky APT活动联系起来。
攻击行动或事件情报
01
攻击者使用升级后的Linux恶意软件瞄准华为云
披露时间:2021年10月08日
情报来源:https://www.trendmicro.com/en_us/research/21/j/actors-target-huawei-cloud-using-upgraded-linux-malware-.html
相关信息:
02
攻击者利用 Linux 和 Windows 后门针对供应链进行攻击
披露时间:2021年10月13日
情报来源:https://www.telsy.com/new-malicious-campaign-spreading-windows-and-linux-backdoors/
相关信息:
03
Team TNT在Docker Hub上部署恶意Docker镜像
披露时间:2021年10月07日
情报来源:https://www.uptycs.com/blog/team-tnt-deploys-malicious-docker-image-on-docker-hub-with-pentesting-tools
相关信息:
恶意代码情报
01
新的挖矿木马NTP正在崛起
披露时间:2021年10月08日
情报来源:https://mp.weixin.qq.com/s/QxenSWkNNZO7pvgYC0oh0g
相关信息:
腾讯安全威胁情报中心检测到,一个新的挖矿木马正在快速传播。该挖矿木马具备蠕虫化攻击扩散能力,攻击成功后投递的最终载荷名为ntpclient,其主要目的为感染主机挖矿牟利,腾讯安全因此将其命名为NTP挖矿蠕虫。该挖矿木马在蠕虫化传播扩散过程中利用了至少12种高危漏洞攻击武器。
根据腾讯安全云原生预警系统的检测数据,已观察到较多未安装任何防护系统的主机被入侵感染。我们建议企业安全运维人员提高警惕,积极修复安全漏洞,部署主机防护软件以应对NTP挖矿蠕虫的攻击,已部署腾讯云防火墙的主机可成功防御相关漏洞攻击。
02
NtpClient木马针对Linux平台的挖矿活动
披露时间:2021年10月13日
情报来源:https://cert.360.cn/warning/detail?id=59fb5cdc6fe68ddab7b24b975d97694b
相关信息:
360安全大脑监测发现最新的NtpClient挖矿木马攻击。该木马利用Drupal、WebLogic、Confluence、MongoDB等众多流行框架漏洞进行传播,入侵机器后占用系统资源进行挖矿,严重影响主机上的正常业务运转。由于其最终投递的木马文件名为ntpclient,遂将其命名为NtpClient挖矿木马。
03
BluStealer 恶意软件通过垃圾邮件进行传播
披露时间:2021年10月07日
情报来源:https://blogs.blackberry.com/en/2021/10/threat-thursday-blustealer-infostealer#her
相关信息:
04
UDP Rat仍通过webhard继续分发
披露时间:2021年10月08日
情报来源:https://asec.ahnlab.com/ko/27586/
相关信息:
据ASEC分析团队称,在其国内最近引入了UDP Rat恶意代码和用于分布这些代码的web硬帖。即使在下面的博客发布后,被认为是攻击者的上传者仍在使用另一个难以伪装成成人游戏的类似恶意代码的网站,并且仍然可以下载。
上传帖子的所有附件都是伪装成egg扩展的压缩文件。压缩文件中,Game.exe是一个启动器,wode.dat将下载器注入正常进程,std.dat删除并运行另一个运行它的启动器。
当用户执行Game.exe时,执行的恶意代码感染流程如下。即通过以下过程,注入正常进程comsvcconfig.exe的恶意代码最终作为下载器运行。与之前的博客不同的是,压缩文件中包含的注入器,即Chrome.exe恶意软件,是通过Discord下载的。
漏洞相关
01
Microsoft Excel中的UAF漏洞可能导致代码执行
披露时间:2021年10月12日
情报来源:https://blog.talosintelligence.com/2021/10/vuln-spotlight-excel-code-execution.html
相关信息:
02
微软10月补丁日修复多个高危漏洞
披露时间:2021年10月13日
情报来源:https://mp.weixin.qq.com/s/mHLB5uGbugVG_yWzncoZSg
相关信息:
03
苹果发布紧急 iphone 和 iPad 更新以修补新的零日漏洞
披露时间:2021年10月11日
情报来源:https://thehackernews.com/2021/10/apple-releases-urgent-iphone-and-ipad.html
相关信息:
苹果周一发布了iOS和iPad的安全更新,以解决一个关键漏洞,苹果称该漏洞正在野外被利用,使其成为该公司自今年年初以来在其产品中解决的第17个零日缺陷。
该弱点被分配了标识符CVE-2021-30883,它涉及"IOMobile帧缓冲器"组件中的记忆损坏问题,该问题允许应用程序使用内核特权执行任意代码。苹果称,这个问题可能已被积极利用。
如有侵权请联系:admin#unsafe.sh