每周高级威胁情报解读(2022.07.28~08.04)
2022-8-5 17:46:20 Author: 奇安信威胁情报中心(查看原文) 阅读量:23 收藏

2022.07.28~08.04

攻击团伙情报

  • Kimsuky组织使用恶意扩展程序窃取用户邮件数据

  • APT组织GAMAREDON在近期加紧对乌克兰的网络攻势

  • Charming Kitten的新工具和策略分析

  • Knotweed组织针对欧洲和中美洲实体部署恶意软件

攻击行动或事件情报

  • 攻击者针对Microsoft邮件服务用户发起大规模AiTM攻击

  • 新型工业间谍团体利用勒索软件窃取数据信息

  • SolidBit勒索软件新变种瞄准游戏玩家和社交媒体用户

恶意代码情报

  • 暗网上发现新的DawDroper银行木马及其DaaS

  • Matanbuchus恶意加载程序分析

  • Bumblebee: 利用文件共享服务分发恶意软件

  • 新发现的Woody RAT恶意软件分析

漏洞情报

  • VMWare 修补了多个产品中的关键漏洞

攻击团伙情报

01

Kimsuky组织使用恶意扩展程序窃取用户邮件数据

披露时间:2022年07月28日

情报来源:https://www.volexity.com/blog/2022/07/28/sharptongue-deploys-clever-mail-stealing-browser-extension-sharpext/

相关信息:

研究人员发现,朝鲜APT组织Kimsuky正在使用恶意浏览器扩展程序窃取Google Chrome或Microsoft Edge用户网络邮件账户中的数据。研究人员将恶意扩展程序称为SHARPEXT,该软件的最新版本支持三种基于Chromium的网络浏览器:Chrome、Edge和Whale,并且可以从Gmail和AOL账户中窃取邮件。

Kimsuky使用恶意浏览器扩展程序,作为攻击传递阶段的一部分,这种策略通常用于感染用户。然而,研究人员第一次观察到恶意浏览器扩展被用作入侵后利用阶段的一部分。通过在用户已登录会话的上下文中窃取电子邮件数据,具有一定的隐蔽性,使得检测非常具有挑战性。并且,扩展程序的工作方式意味着可疑活动不会记录在用户的电子邮件“账户活动”状态页面中。

02

APT组织GAMAREDON在近期加紧对乌克兰的网络攻势

披露时间:2022年07月29日

情报来源:http://blog.nsfocus.net/gamaredon/

相关信息:

研究人员发现,今年第二季度开始,APT组织Gamaredon开始频繁使用多种不同类型的攻击方式对乌克兰赫尔松州、顿涅茨克州等地区的军方和警方目标进行网络攻击。

在该攻击周期中,Gamaredon主要使用了恶意office文档、恶意htm附件、恶意SFX文件等攻击工具,配合精心设计的诱饵信息,组合成三类不同的攻击流程。跟踪分析发现,Gamaredon在7月下旬明显增加了各类攻击活动的频度,诱饵投递数量达到新的高峰。

据观察,Gamaredon增加了对恶意htm附件鱼叉攻击流程和SFX自解压文件攻击流程的依赖,并且攻击者使用的诱饵内容,从早期的新闻类信息逐渐转向现在的军事类信息。此外,Gamaredon对各类攻击方式的区分比较明确,如恶意office类文档主要针对乌东各州警方目标,恶意快捷方式附件主要针对乌军各部队目标,恶意SFX文件则统一携带俄语军事信息类诱饵,但偶尔也会出现交换攻击目标的情况。

03

Charming Kitten的新工具和策略分析

披露时间:2022年08月01日

情报来源:https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/old-cat-new-tricks.html

相关信息:

2021年末时Charming Kitten相关的OPSEC错误导致研究人员发现了用于枚举目标Telegram账户数据的新工具,以及该工具的组件和泄露的受害者数据。Telegram“抓取器”工具似乎至少从2021年1月起就开始使用,并用于针对目标获取对Telegram消息和联系人以及移动恶意软件的特定访问权限。

研究人员还发现了一个Charming Kitten早期的移动恶意软件攻击活动,以及一份的监视报告,报告中的文件路径一定程度上显示了Charming Kitten与伊朗伊斯兰革命卫队(IRGC)相关组织的关联。此外,观察到威胁行为者最近在2022年3月使用带宏的模板文件,这是一种与以前不同的新TTP。在使用启用宏的模板文件时,Charming Kitten尝试通过远程模板注入来获取并执行恶意宏。

04

Knotweed组织针对欧洲和中美洲实体部署恶意软件

披露时间:2022年07月27日

情报来源:https://www.microsoft.com/security/blog/2022/07/27/untangling-knotweed-european-private-sector-offensive-actor-using-0-day-exploits/

相关信息:

微软将一个名为Knotweed的威胁组织与一家奥地利间谍软件供应商联系起来,该供应商也是一家名为DSIRF的网络雇佣军组织,该组织使用名为Subzero的恶意软件工具集针对欧洲和中美洲实体。在受感染的设备上,攻击者部署了Corelump和Jumplump,前者是从内存运行以逃避检测的主要载荷,Jumplump是一个严重混淆的恶意软件加载程序,可将Corelump下载并加载到内存中。主要的Subzero有效载荷具有许多功能,包括键盘记录、捕获屏幕截图、窃取数据以及运行从其命令和控制服务器下载的远程shell和任意插件。微软还观察到,Knotweed活动中使用了最近修补的零日漏洞(CVE-2022-22047),该漏洞允许攻击者提升权限、逃离沙箱并获得系统级代码执行。

攻击行动或事件情报

01

攻击者针对Microsoft邮件服务用户发起大规模AiTM攻击

披露时间:2022年08月02日

情报来源:https://www.zscaler.com/blogs/security-research/large-scale-aitm-attack-targeting-enterprise-users-microsoft-email-services

相关信息:

研究人员发现了一种新型大规模网络钓鱼活动。该活动专门针对使用Microsoft电子邮件服务的企业用户而设计,之所以该活动的成功率和危害性高于其他常见的网络钓鱼攻击,是因为它使用能够绕过多因素身份验证的中间人(AiTM)攻击技术。并且在攻击的各个阶段使用了多种规避技术,旨在绕过传统的电子邮件安全和网络安全解决方案。

此次网络钓鱼攻击都始于向受害者发送带有恶意链接的电子邮件。在某些情况下,企业高管的商业电子邮件被这种网络钓鱼攻击所破坏,然后被用来进一步发送网络钓鱼电子邮件。研究人员总结了攻击者注册域名的几种模式:仿冒美联邦信用合作社、仿冒密码重置修改主题。这些恶意链接直接在电子邮件正文中发送或者存在于电子邮件附加的HTML文件中。为了绕过多重身份验证,攻击者使用了AiTM网络钓鱼攻击,AiTM网络钓鱼攻击使用实际邮件提供商的服务器完成身份验证过程,这与传统的使用网络钓鱼工具包不同。他们通过充当中间人代理并在客户端和服务器之间来回中继所有通信来实现这一点。

02

新型工业间谍团体利用勒索软件窃取数据信息

披露时间:2022年08月01日

情报来源:https://www.zscaler.com/blogs/security-research/technical-analysis-industrial-spy-ransomware

相关信息:

Industrial Spy是一个相对较新的勒索软件组织,于2022年4月出现。Industrial Spy最初是一个数据勒索市场,犯罪分子可以在其中购买大公司的内部数据。之后,威胁组织引入了他们自己的勒索软件,以创建将数据盗窃与文件加密相结合的双重勒索攻击。相关勒索软件利用RSA和3DES的组合来加密文件,但同时Industrial Spy缺乏现代勒索软件系列中的许多常见功能,例如反分析和混淆功能。

Industrial Spy勒索软件主要有两个与其相关的可执行文件。其中一个二进制文件,不实现任何破坏性功能,主要使用破解、广告软件和其他恶意软件加载程序进行分发,第二个执行文件进行加密。研究人员观察到这个二进制文件与其他加载程序和窃取程序一起在野外分发,包括SmokeLoader、GuLoader和Redline Stealer。该恶意软件的唯一目的是窃取数据信息,以此来推广他们的暗网市场;它不会对目标系统造成任何实际损害。

03

SolidBit勒索软件新变种瞄准游戏玩家和社交媒体用户

披露时间:2022年08月02日

情报来源:https://www.trendmicro.com/en_us/research/22/h/solidbit-ransomware-enters-the-raas-scene-and-takes-aim-at-gamer.html

相关信息:

研究人员最近分析了针对流行视频游戏和社交媒体平台用户的新SolidBit勒索软件变体样本。该恶意软件被上传到GitHub,伪装成不同的应用程序,包括英雄联盟账户检查工具和Instagram追随者机器人,以吸引受害者。

GitHub上的英雄联盟户检查器与一个文件捆绑在一起,该文件包含有关如何使用该工具的说明,但它没有图形用户界面(GUI )或与其假定功能相关的任何其他行为,伪装较为粗略。当毫无戒心的受害者运行应用程序时,它会自动执行恶意PowerShell代码以释放勒索软件。

此外,上述GitHub户还上传了这个新的SolidBit变体,伪装成其他名为“Social Hacker”和“Instagram Follower Bot”的合法应用程序。这两个恶意应用程序在虚拟机上执行时都会显示错误消息。它们与虚假英雄联盟户检查器的行为相同,其中它们丢弃并执行一个可执行文件,该可执行文件将依次丢弃并执行SolidBit勒索软件有效负载

恶意代码情报

01

暗网上发现新的DawDroper银行木马及其DaaS

披露时间:2022年07月29日

情报来源:https://www.trendmicro.com/en_us/research/22/g/examining-new-dawdropper-banking-dropper-and-daas-on-the-dark-we.html

相关信息:

研究人员发现了一场恶意活动,利用谷歌Play商店上17个看似无害的Android Dropper应用程序来分发银行恶意软件,这些应用程序统称为DawDropper。DawDropper的开发者将这种恶意程序即服务(Dropper-as-a-service (DaaS))提供给网络罪犯,让他们可以利用它来传播恶意软件。

据报告描述,这17款应用包括了如文档扫描仪、VPN服务、二维码阅读器和通话记录器等多种类型,共携带了四个银行木马系列,包括 Octo、Hydra、Ermac和TeaBot。它们都使用第三方云服务 Firebase Realtime Database作为其命令和控制(C&C)服务器和数据存储,来逃避检测并动态获取有效载荷下载地址,并在 GitHub 上托管恶意有效载荷。这些有效载荷是以银行信息为目标的数据窃取恶意程序。截至报告发布时,这些恶意应用程序已从 Google Play 中移除。

02

Matanbuchus恶意加载程序分析

披露时间:2022年07月26日

情报来源:https://www.cyberark.com/resources/threat-research-blog/inside-matanbuchus-a-quirky-loader

相关信息:

Matanbuchus 是一种恶意软件即服务加载程序,用于在目标环境中下载和执行恶意软件负载,如 Qbot 和 Cobalt Strike beacon。Matanbuchus由两个阶段组成:初始加载程序(第一阶段)和主加载程序(第二阶段)。第一阶段主要执行检查以确保当前环境不受监控,第二阶段的主要目标是加载攻击者的有效载荷。

第二部分开始执行一些有趣的检查。之后,它收集有关受害者机器的信息,并将其作为加密的 JSON 发送到 C2 服务器。之后,C2 服务器选择它希望在目标环境中执行的有效负载以及通过哪种方法/方式。例如,C2 可以决定以无文件方式运行可执行文件。值得一提的是,加载程序可以从任何远程服务器(如免费托管服务)下载攻击者的有效载荷。承载有效负载的服务器不必是 C2 服务器。

03

Bumblebee: 利用文件共享服务分发恶意软件

披露时间:2022年08月03日

情报来源:https://unit42.paloaltonetworks.com/bumblebee-malware-projector-libra/

相关信息:

分发Bumblebee的威胁参与者包括Projector Libra。Projector Libra也称为EXOTIC LILY,是一个犯罪集团,它使用文件共享服务在与潜在受害者直接通过电子邮件通信后分发恶意软件。

如果潜在受害者回复了攻击者发送的钓鱼邮件,Projector Libra会发送回复,说明已通过文件共享服务发送了一封单独的电子邮件,以提供与讨论相关的文件。文件共享服务生成的电子邮件包含一个托管恶意软件的链接,并伪装成之前Projector Libra消息中讨论的文件。

Projector Libra会分发一个ISO映像,其中包含一个WINdows快捷方式,以及一个被隐藏的DLL文件,即Bumblebee,通过快捷方式运行该Bumblebee恶意软件。在其他情况下,ISO映像包含一个BumblebeeDLL,该DLL包含在受密码保护的7-Zip存档(.7Z文件)中。在这些情况下,LNK文件运行7-Zip独立控制台的隐藏副本,以从其受密码保护的7Z文件中提取Bumblebee。

04

新发现的Woody RAT恶意软件分析

披露时间:2022年08月03日

情报来源:https://blog.malwarebytes.com/threat-intelligence/2022/08/woody-rat-a-new-feature-rich-malware-spotted-in-the-wild/

相关信息:

研究人员发现了一种新的远程访问特洛伊木马,并将其称之为Woody Rat,该木马已在野外生存了至少一年。根据威胁参与者注册的虚假域,可以知道他们试图针对一个名为OAK的俄罗斯航空航天和国防实体。

Woody Rat使用两种不同的格式分发:存档文件和使用Follina漏洞的Office文档。攻击者使用Follina漏洞文档分发Woody Rat时,使用的诱饵在俄语中称为“信息安全备忘录”,提供密码、机密信息等的安全措施。

Woody Rat的最早版本通常被归档成一个zip文件,并伪装成一个特定于俄罗斯团体的文件。当Follina洞为全世界所知时,威胁参与者便切换到zip文件的格式来分发有效负载。在这种方法中,Woody Rat被打包成一个存档文件并发送给受害者,这些存档文件可能是使用鱼叉式网络钓鱼电子邮件分发的。

漏洞情报

01

VMWare 修补了多个产品中的关键漏洞

披露时间:2022年08月02日

情报来源:https://www.vmware.com/security/advisories/VMSA-2022-0021.html

相关信息:

在新的关键安全公告 VMSA-2022-0021中,VMWare 描述了其多个产品中的多个漏洞,这些漏洞将使攻击者能够远程执行代码或将权限升级为未修补服务器上的“root”权限。漏洞概要如下,详见情报来源链接。

CVE-2022-31656:身份验证绕过漏洞,存在于VMware Workspace ONE Access、Identity Manager和vRealize Automation中;

CVE-2022-31659和CVE-2022-31658:远程代码执行(RCE)漏洞,影响VMware Workspace ONE Access、Identity Manager和vRealize Automation产品;

CVE-2022-31665:JDBC注入RCE漏洞,存在于VMware Workspace ONE Access、Identity Manager和vRealize Automation中。


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247502984&idx=1&sn=d587c57dacba32b109c3c2b75419da4e&chksm=ea663bffdd11b2e9bde49b24f8077e907ef3c5b2af952b05c18635a82b6e3762e2a1af516324#rd
如有侵权请联系:admin#unsafe.sh