2021.12.16~12.23
攻击团伙情报
PyMICROPSIA:双尾蝎的新型信息窃取木马再度来袭
印度国防参谋长坠机:SideCopy APT组织趁火打劫
Kimsuky利用PebbleDash的攻击活动披露
APT-C-53(Gamaredon)内网后渗透攻击技战术分析
新的 DarkHotel APT 攻击链披露
Muddywater组织利用 Aclip 后门攻击航空公司
攻击行动或事件情报
攻击者利用ManageEngine Desktop Central中新发现的0 day漏洞
Tropic Trooper黑客组织针对交通运输和政府机构
攻击者冒充知名生物科技公司辉瑞进行网络钓鱼
Log4j 攻击者转而通过 RMI 注入 Monero 矿工
恶意代码情报
与Squirrelwaffle 活动有关的无文件 QAKBOT stager分析
Log4j2余毒,BillGates木马正借助漏洞大规模传播
无文件恶意软件DarkWatchman利用Windows注册表逃避检测
Conti勒索软件分析报告
漏洞情报
CVE-2021-45105:Apache Log4j 拒绝服务漏洞通告
联想Vantage 组件存在提权漏洞
攻击团伙情报
01
PyMICROPSIA:双尾蝎的新型信息窃取木马再度来袭
披露时间:2021年12月21日
情报来源:https://mp.weixin.qq.com/s/e3AgyALuDOtrTs_rZlX7DA
相关信息:
双尾蝎(奇安信内部跟踪编号:APT-Q-63)是一个长期针对中东地区的高级持续威胁组织,其最早于2017年被披露。该组织至少自2016年5月起,持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动,开展了有组织,有计划,有针对性的攻击。其攻击行业包括基础设施,国防、教育、政府、媒体、交通等。攻击的国家包括但不限于美国,韩国,巴勒斯坦,日本,瑞典、以色列等。
双尾蝎组织具有Windows和Android双平台攻击武器,且仅Windows平台恶意代码就丰富多变,具有多种语言编译的后门。
近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织以Python构建的攻击样本,该类样本最早由国外厂商发现并命名为PyMICROPSIA。通过对攻击样本的分析,发现本次攻击活动的特点如下:
样本使用python版本从以往的3.4升级到3.6。
样本大小较以往缩小了接近一半。
相比以往攻击,样本主体功能没有较大变动。
延续使用人名作为C2、远控指令、部分变量名的传统。
02
印度国防参谋长坠机:SideCopy APT组织趁火打劫
披露时间:2021年12月20日
情报来源:https://mp.weixin.qq.com/s/EVHcYLFT7QoGoIHi-zlXHQ
相关信息:
近日,奇安信威胁情报中心在日常样本分析研判中捕获到多个以印度国防参谋长坠机相关事件为诱饵的攻击文档。当地时间12月8日,印度国防参谋长乘坐一架军用直升机在南部泰米尔纳德邦坠机身亡。此事件也迅速在网络上发酵传播,攻击者利用此类相关事件作为诱饵文档并在文档里利用远程模板注入功能,将含有恶意DDE域代码的文档文件进行远程加载并执行恶意代码下载后续。
此次捕获的样本针对性强,使用DDE 恶意域代码进行攻击,与此前南亚地区APT 组织腾云蛇所使用的攻击方式类似,说明该组织在不断模仿南亚地区的多个APT团伙的攻击手法。此外,通过进一步分析,此次所捕获的样本中,大量诱饵信息与印度军事、经济相关,疑似SideCopy APT 组织利用这些信息针对印度展开的一次APT 攻击活动。
03
Kimsuky利用PebbleDash的攻击活动披露
披露时间:2021年12月21日
情报来源:https://asec.ahnlab.com/ko/29718/
相关信息:
近期,研究人员发现Kimsuky组织利用鱼叉邮件投递PebbleDash后门恶意软件的攻击活动。鱼叉邮件中包含的ZIP文件解压后为“Junjoong-gye.pif”文件。该恶意软件是一种投放恶意软件,它会投放负责实际恶意行为的PebbleDash后门恶意软件,同时投放并执行正常的PDF文档文件“C:\ProgramData\semi-public”。
本次确认的 PebbleDash 与今年以来确认的形式大体相似,但也存在以下差异。首先,与过去在执行路径中创建system32文件夹并以名称smss.exe复制并递归执行不同,目前已确认的PebbleDash创建system32文件夹,但以名称lsass.exe安装它。
在本次攻击活动中还识别出一个VBS 恶意软件。它使用mshta.exe从外部下载并执行vbs。通过这个进程下载和执行的额外 VBS 脚本窃取信息并注册两个任务调度程序,并定期下载和执行命令。
04
Gamaredon内网后渗透攻击技战术分析
披露时间:2021年12月16日
情报来源:https://mp.weixin.qq.com/s/OfDTcrTVAgjACeh0Z5wi7w
相关信息:
具有俄罗斯背景的Gamaredon组织因长期针对乌克兰政府、军事等重点单位进行攻击而受到我们的关注,我们也在今年多次披露了该组织新型攻击载荷的相关情况。通过360安全大脑的大数据遥测,我们发现大约自2016年起,乌克兰境内受Gamaredon控制的计算机数量陡然上升,同时大量嵌有该组织恶意模板地址的Word文档被国内外安全研究人员持续捕获。
本文从模板注入文档感染、可移动设备感染两方面,分析了Gamaredon在短时间内大规模感染目标计算机所用的内网后渗透攻击技术。
05
新的 DarkHotel APT 攻击链披露
披露时间:2021年12月16日
情报来源:https://www.zscaler.com/blogs/security-research/new-darkhotel-apt-attack-chain-identified
相关信息:
DarkHotel 是一个位于韩国的高级持续威胁 (APT) 组织,至少自 2007 年以来一直活跃。众所周知,他们通过渗透的酒店 WiFi 网络将恶意代码上传到他们的计算机,以及通过矛攻击高级业务主管- 网络钓鱼和 P2P 攻击。
研究人员发现了韩国 Dark Hotel APT 组织使用的攻击链的一个先前未记录的变体,以及先前与该 APT 小组相关的命令和控制 (C2) 基础设施上的新活动。他们基础设施上的新活动与该组织过去攻击手法一致:
1.多层恶意文件,利用后释放scriptlet。
2.删除的文件系统工件的文件名,例如 scriptlet 文件 - googleofficechk.sct
3.命令和控制 (C2) 命令与 Dark Hotel 使用的早期有效负载相同。
4.丢弃的有效载荷的时间戳大约与之前记录的 Dark Hotel APT 活动被观察到的时间范围相同。
06
Muddywater组织利用Aclip后门攻击航空公司
披露时间:2021年12月17日
情报来源:https://securityintelligence.com/posts/nation-state-threat-group-targets-airline-aclip-backdoor/
相关信息:
研究人员发现,疑似受伊朗国家支持的APT组织Muddywater在针对一家亚洲航空公司的攻击中部署一个新发现的后门恶意程序“Aclip”。该攻击活动于 2019 年 10 月上旬被发现,以窃取航班预订数据为目的。
Slack是一种合法的消息传递和协作应用程序,可能会混淆操作通信,从而使恶意流量或具有潜在恶意意图的流量被忽视。Aclip 利用 Slack 消息应用程序接口 (API) 进行 C2 以接收命令和发送数据。
Aclip 最初是通过名为“aclip.bat”的 Windows 批处理脚本执行的,该脚本也被添加到 Windows 注册表运行项中,使其能够在重新启动后持续存在并在系统启动时启动。
攻击行动或事件情报
01
攻击者利用ManageEngine Desktop Central中新发现的0 day漏洞
披露时间:2021年12月17日
情报来源:https://www.ic3.gov/Media/News/2021/211220.pdf
相关信息:
自至少2021年10月下旬以来,APT攻击者一直在积极利用MauleEngEngress桌面中央服务器上的零日漏洞,该漏洞现在被识别为CVE-2021-44515,该漏洞允许攻击者绕过身份验证并在桌面中心服务器上执行任意代码。
据观察,攻击者破坏桌面中心服务器,释放覆盖桌面中心合法功能的webshell,下载后开发工具,枚举域用户和组,进行网络侦察,尝试横向移动和转储凭据。
本次攻击活动中,攻击者使用的TTP如下:
DLL侧加载
执行“live off the land”工具,例如bitsadmin
网络扫描,例如nbscan、nb.exe
用于执行命令的Powershell
通过Windows服务实现持久性
从其他受害基础设施下载阶段性的后利用工具
凭证转储,例如Mimikatz, comsvcs.dll, WDigest降级和pwdump
01
Tropic Trooper黑客组织针对交通运输和政府机构
披露时间:2021年12月14日
情报来源:https://www.trendmicro.com/en_us/research/21/l/collecting-in-the-dark-tropic-trooper-targets-transportation-and-government-organizations.html
相关信息:
Earth Centaur,以前称为Tropic Trooper,是一个长期运行的网络间谍威胁组织,自 2011 年以来一直活跃。近期,这些攻击者似乎瞄准了运输行业的组织和与运输相关的政府机构。
研究人员观察到该组织试图访问一些内部文件(例如航班时刻表和财务计划文件)和受感染主机的个人信息(例如搜索历史记录)。通过长期监控,了解到该威胁组织知道如何绕过安全设置并保持其操作畅通无阻。根据目标的不同,它使用不同协议的后门,也可以使用反向代理绕过网络安全系统的监控。开源框架的使用还使该组织能够有效地开发新的后门变种。本文以下部分中介绍了这些技术和其他功能。
03
攻击者冒充知名生物科技公司辉瑞进行网络钓鱼
披露时间:2021年12月20日
情报来源:https://www.inky.com/blog/fresh-phish-phishers-impersonate-pfizer-in-request-for-quotation-scam
相关信息:
研究人员发现一项针对性很强的网络钓鱼活动。攻击者冒充辉瑞公司从受害者那里窃取商业和财务信息。该钓鱼活动在 2021 年 8 月 15 日左右开始,一直持续到12月13日。
网络钓鱼电子邮件本身源自一组易混淆的域,这些域名看起来像是由辉瑞公司控制的,但都是专门为骗局专门创建的,并在 Namecheap 注册,Namecheap 是一个域名注册商,(对网络钓鱼者很有帮助)接受加密货币作为付款。该钓鱼活动中使用及技巧如下:
品牌冒充——带有辉瑞标志的 PDF 文档意味着安全和信任
滥用免费邮件——尽管免费邮件帐户不一定享有盛誉,但它们通常足够干净,可以通过大多数安全措施
新域——威胁情报源尚不知道,因此通过了基本的安全检查
04
Log4j攻击者转而通过RMI注入Monero矿工
披露时间:2021年12月15日
情报来源:https://blogs.juniper.net/en-us/threat-research/log4j-vulnerability-attackers-shift-focus-from-ldap-to-rmi
相关信息:
RMI 是一种机制,允许驻留在一个 Java 虚拟机 (JVM) 中的对象访问或调用在另一个 JVM 上运行的对象。为了促进这种交互,本地 JVM 可能需要与远程对象相关的 Java 字节码。此代码从指定的远程 URL 下载并加载到本地 JVM。RMI 操作受Java 安全管理器的额外检查和约束,但是某些 JVM 版本不会对 JNDI 应用相同的限制和策略。因此RMI有时可以更轻松地实现 RCE(远程代码执行)
一些利用 Apache Log4j 漏洞的威胁行为者已从 LDAP 回调 URL 切换到 RMI,甚至在单个请求中同时使用两者以获得最大成功机会。目前,已观察到攻击者通过RMI注入 Monero 挖矿程序。
恶意代码情报
01
与Squirrelwaffle活动有关的无文件QAKBOT stager分析
披露时间:2021年12月17日
情报来源:https://www.trendmicro.com/en_us/research/21/l/staging-a-quack-reverse-analyzing-fileless-qakbot-stager.html
相关信息:
Squirrelwaffle 成为一种通过垃圾邮件活动传播的新加载程序。它以发送恶意电子邮件作为对预先存在的电子邮件链的回复而闻名,这种策略会降低受害者对恶意活动的防范能力。
根据研究人员的进一步监控和分析发现,Squirrelwaffle 的一个有效载荷包括QAKBOT,这是网络犯罪分子自 2007 年以来一直使用的一种银行木马和信息窃取程序。QAKBOT stager,能够自行实现持久性。此外,虽然 QAKBOT 是它在注册表中无文件暂存的有效载荷之一,但暂存器还能够暂存多个恶意软件,未来可能会在更多活动中滥用这一功能。
01
Log4j2余毒,BillGates木马正借助漏洞大规模快速传播
披露时间:2021年12月22日
情报来源:https://mp.weixin.qq.com/s/sM_qnfIgjBrgVCbVFnELjA
相关信息:
12月10日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,Log4j2 这个组件在 Java 领域被广泛使用,该组件涉及范围广,利用门槛低,危害极大,所以该漏洞带来的影响可谓是重量级的。
近期,研究人员通过蜜罐捕获到 BillGates 家族的木马样本,该木马通过最近爆发的 Log4j2 漏洞传播。BillGates 是 Linux x86僵尸网络的常见家族木马,该家族木马出现后便快速占领互联网,严重影响互联网的安全健康发展,威胁广大网民安全冲浪,损耗互联网及设备资源。
03
无文件恶意软件DarkWatchman利用Windows注册表逃避检测
披露时间:2021年12月14日
情报来源:https://www.prevailion.com/darkwatchman-new-fileness-techniques/
相关信息:
11 月下旬,安全人员发现了一个基于 javascript 的恶意远程访问木马 (RAT),它使用强大的域生成算法 (DGA) 来识别其命令和控制 (C2) 基础设施,并利用用于无文件持久性、系统活动和动态运行时功能(如自更新和重新编译)的新方法。这个 RAT被称为“DarkWatchman”,已被观察到通过电子邮件分发并代表无文件恶意软件技术的演变,因为它使用注册表进行几乎所有临时和永久存储,因此从不向磁盘写入任何内容,允许它在大多数安全性的检测阈值以下或附近运行工具。
DarkWatchman 是与 C# 键盘记录器配对的“无文件”JavaScript RAT。DarkWatchman 大量使用LOLbins以及一些避免检测的模块之间数据传输的新方法。分析发现DarkWatchman似乎针对说俄语的个人或组织。
04
Conti勒索软件分析报告
披露时间:2021年12月20日
情报来源:https://mp.weixin.qq.com/s/kEzJ_PrT9CSkfV-UCGBdaA
相关信息:
近日,安全人员监测到Conti勒索软件呈现活跃趋势。该勒索软件家族被发现于2019年,自2020年5月开始,攻击活动逐渐增多,持续活跃至今。该勒索软件主要通过钓鱼邮件、利用其他恶意软件、漏洞利用和远程桌面协议(RDP)暴力破解进行传播,组合利用多种工具实现内网横向移动。2021年12月Log4j被曝漏洞(CVE-2021-44228)后,Conti勒索软件运营者开始利用存在Log4j漏洞的VMWare vCenter进行横向移动。2020年7月利用匿名化Tor建立赎金支付与数据泄露平台,采用“威胁曝光企业数据+加密数据勒索”双重勒索策略。
通过关联分析发现,该组织同运营Ryuk勒索软件的Wizard Spider黑客组织分支机构Grim Spider存在一定关系。结合Ryuk勒索软件攻击活跃度逐渐降低,二者使用的攻击工具部分相同,攻击载荷代码段相似,都曾利用TrickBot、Emotet、IcedID和BazarLoader等木马程序进行传播等多种原因,推测Conti勒索软件将成为Ryuk勒索软件的继承者。
漏洞相关
01
CVE-2021-45105:Apache Log4j 拒绝服务漏洞通告
披露时间:2021年12月17日
情报来源:https://mp.weixin.qq.com/s/Nn3B3u8d6CuOpg9PLmkT6g
相关信息:
Apache Log4j是Apache的一个开源项目,Apache log4j2是Log4j的升级版本,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
近日, Apache官方发布了Apache Log4j 拒绝服务攻击漏洞(CVE-2021-45105),此漏洞需要在非默认配置下才能触发。当系统日志配置使用带有Context Lookups的非默认 Pattern Layout(例如$${ctx:loginId})时,攻击者可构造包含递归查找的恶意输入数据,成功利用此漏洞将触发无限循环,导致系统崩溃。
02
联想Vantage 组件存在提权漏洞
披露时间:2021年12月17日
情报来源:https://support.lenovo.com/cy/en/product_security/len-75210
相关信息:
Lenovo Vantage 和 Commercial Vantage 使用的 Lenovo System Interface Foundation 的 IMController 组件中报告了以下漏洞:
CVE-2021-3922:联想系统接口基金会的软件组件 IMController 中报告了一个竞争条件漏洞,该漏洞可能允许本地攻击者连接 IMController 子进程的命名管道并与之交互。
CVE-2021-3969:在联想系统接口基金会的软件组件 IMController 中报告了一个使用时间检查时间 (TOCTOU) 漏洞,该漏洞可能允许本地攻击者提升权限。
由于 ImController 需要从联想服务器获取和安装文件、执行子进程以及执行系统配置和维护任务,因此以 SYSTEM 权限运行。SYSTEM 权限是 Windows 中可用的最高用户权限,允许某人在操作系统上执行几乎任何命令。
点击阅读原文至TIP-1000
即刻助力威胁研判
如有侵权请联系:admin#unsafe.sh