APT32新攻击样本——每周威胁动态第91期(08.05-08.11)
2022-8-12 09:1:9 Author: 白泽安全实验室(查看原文) 阅读量:69 收藏

APT攻击

UNC2447通过窃取思科员工的凭证开展攻击活动

捕获APT32攻击样本

Lazarus Group冒充Coinbase攻击金融科技行业

TAC-040利用Confluence漏洞部署Ljl后门

P2PPhish组织疯狂的钓鱼活动

Lazarus Group部署DTrack和Maui勒索软件

Tropical Scorpius利用ROMCOM RAT开展攻击活动

DeathStalker利用VileRAT工具攻击外汇公司

攻击活动

在PyPI存储库中发现10个恶意Python包

通信巨头Twilio遭短信网络攻击

漏洞数据   

ZCS邮件服务器存在RCE漏洞CVE-2022-27925

勒索软件

BlueSky通过多线程进行快速加密

APT攻击

UNC2447通过窃取思科员工凭证开展攻击活动

近日,思科研究人员就攻击者通过入侵思科员工个人的谷歌账户,窃取同步在谷歌Chrome览器中的思科VPN访问凭证事件做出响应。研究人员发现,攻击者为了绕过多因素身份验证,以各种受信任的公司为幌子,进行了一系列复杂的语音网络钓鱼攻击。研究人员将此攻击归因UNC2447UNC2447是一个具有俄罗斯背景、以牟取经济利益为动机的APT组织。此前曾观察到该组织利用勒索软件实施双重勒索攻击,目前已知其使用的勒索软件包括FIVEHANDS、HELLOKITTY等。

来源:

https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html

捕获APT32攻击样本

研究人员在8月10日披露APT32新样本,表格内为样本具体的IOC。

 

文件名

MD5

SHA1

SHA256

Screenshot.rar

8128a63bab1a0e5802d9db94eb2ce551

1cc32d920971bd7c0040232a2b66b021d36d01ba

1b079dd98d6d085535421d5291cf4730afc23e7191f96f9f5b699ab1794d1335

xc1i5rgl

840637dffacdccb119f54e72fd0515a3

602151c05130e88f38a5fd1f0d7d7a2918a2ee89

685833840db06f40f7834f8014630f52bb33d8b3e07dcfdb1b507f7437439cd2

MSVCR100.7z

c44513f95606e0e2808e87e3d8b27b8d

6ed124d2358a8ee449a8827ee7ef5a12f90db3b0

8195b7d31d79cf1b85d46bfde58deb61fb51545ce77bae4a7706a45e43fc0446

来源:

https://twitter.com/shadowchasing1/status/1557287930267578368

https://bazaar.abuse.ch/browse/tag/oceanlotus/

Lazarus Group冒充Coinbase攻击金融科技行业

近日,朝鲜背景的APT组织Lazarus Group发起了一项新的社会工程攻击活动。该组织冒充Coinbase(世界上最大的加密货币交易平台之一),针对性攻击金融科技行业的员工。攻击者通过社交媒体领英联系目标,并以提供工作机会为由进行初步沟通。当受害者下载关于工作职位的PDF文件时,通过点击PDF图标会下载恶意可执行文件,并进一步加载恶意DLL文件。恶意软件将使用了GitHub作为命令和控制服务器。下图是诱饵文档截图。

来源:

https://www.bleepingcomputer.com/news/security/north-korean-hackers-target-crypto-experts-with-fake-coinbase-job-offers/

https://twitter.com/h2jazi/status/1555205042331947011?cxt=HHwWhsC80eCvmZUrAAAA

TAC-040利用Confluence漏洞部署Ljl后门

Deepwatch研究人员披露TAC-040组织,并发现该组织利用Atlassian Confluence服务器中的CVE-2022-26134漏洞部署一个名为Ljl的新后门。此次攻击发生在5月底,持续了7天。证据表明,攻击者使用Atlassian Confluence目录中的tomcat9.exe父进程执行了恶意命令,此外攻击者执行各种命令来枚举本地系统、网络、环境等信息。据估计,受害目标的大约700MB数据已被泄露。

来源:

https://www.deepwatch.com/labs/deepwatch-ati-detects-and-responds-to-never-before-discovered-backdoor-deployed-using-confluence-vulnerability-for-suspected-espionage/

https://5556002.fs1.hubspotusercontent-na1.net/hubfs/5556002/2022%20PDF%20Download%20Assets/ADA%20Compliant%20pdfs/Reports/ljlBackdoor%20Analysis.pdf

P2PPhish组织疯狂的钓鱼活动

近日,微步研究人员发现通过模仿相关P2P平台域名并以清退为由进行的诈骗活动,微步将该活动背后的组织命名为P2PPhish。该组织至少于2021年开始通过发布虚假新闻,引诱受害者点击钓鱼链接实施诈骗活动。主要通过在新闻社交等渠道发布虚假信息,引诱受害者访问其搭建的伪造钓鱼网站,以“官方回款”、“清退回款”等名义实施诈骗,并附加成功案例弹窗吸引受害者。其选择的目标主要是目前市面上暴雷的P2P平台投资者,利用投资者迫切回款的心理进行定向诈骗,骗取个人隐私信息以及所谓的“债权转让金”进行获利。

来源:

https://mp.weixin.qq.com/s/45cycP3E-ERxSDkyDAfSpg

Lazarus Group部署DTrack和Maui勒索软件

近日,卡巴斯基研究人员在同一台服务器上检测到攻击者部署的DTrack恶意软件以及Maui勒索软件。Lazarus Group有选择地部署勒索软件以牟取经济利益。根据这次攻击的手法,发现Maui勒索软件事件背后的TTP与Andariel事件(又名Stonefly事件)非常相似,因此将此次攻击活动归因于Lazarus Group。下图是受害者的地理分布情况。

源:

https://securelist.com/andariel-deploys-dtrack-and-maui-ransomware/107063/

Tropical Scorpius利用ROMCOM RAT开展攻击活动

Tropical Scorpius(又名UNC2596),自2019年开始活跃,研究人员发现Tropical Scorpius已使用Cuba Ransomware攻击政府、金融、服务、科技等多个领域。该组织除了与Cuba Ransomware有关,还发现与Industrial Spy网站有关,该网站允许攻击者或者竞争对手购买从受害商业公司窃取的数据。Industrial Spy使用的赎金票据与Cuba Ransomware赎金票据非常相似,两份票据包含了完全相同的联系信息。此次攻击活动中,攻击者使用了自定义远程访问木马ROMCOM RAT,其中包含了独特的C2协议。

来源:

https://unit42.paloaltonetworks.com/cuba-ransomware-tropical-scorpius/

DeathStalker利用VileRAT工具攻击外汇公司

DeathStalker(又名Evilnum),自2012年开始活跃,主要针对欧洲金融和投资公司开展攻击活动。近日,卡巴斯基披露了该组织利用VileRAT工具针对外汇公司的攻击。VileRAT(也称为PyVil)是一种Python植入程序,在经过混淆和打包将VileRAT程序与py2exe捆绑为一个独立的二进制文件,作为攻击手法更新的一部分。下图是VileRAT感染流程。

源:

https://securelist.com/vilerat-deathstalkers-continuous-strike/107075/

攻击活动

在PyPI存储库中发现10个恶意Python包

CloudGuard Spectral在PyPI上检测到10个恶意包。PyPI是开发人员用于Python编程语言的Python包索引,是Python用户最常用的存储库。攻击者在恶意程序包中安装信息窃取程序,使攻击者能够窃取开发人员的私人数据。

来源:

https://research.checkpoint.com/2022/cloudguard-spectral-detects-several-malicious-packages-on-pypi-the-official-software-repository-for-python-developers/

通信巨头Twilio遭短信网络攻击

近日,通信巨头公司Twilio称遭到短信网络攻击。攻击者通过发送钓鱼短信,诱使Twilio的员工点击其中嵌入的链接,并成功窃取了多名员工的登录凭据。攻击者使用窃取的凭据访问Twilio公司内部系统,并查看某些重要客户数据。

来源:

https://www.bleepingcomputer.com/news/security/twilio-discloses-data-breach-after-sms-phishing-attack-on-employees/

漏洞情报

ZCS邮件服务器存在RCE漏洞CVE-2022-27925

Volexity研究人员在处理的攻击事件中,发现受害者的Zimbra Collaboration Suite(ZCS)电子邮件服务器遭到严重破坏。调查证据表明,攻击者利用了ZCS中的远程代码执行(RCE)漏洞CVE-2022-27925开展攻击活动。Volexit确认了全球1,000多个被入侵的ZCS电子邮件服务器实例。下图是受感染Zimbra服务器的地理分布情况。

来源:

https://www.volexity.com/blog/2022/08/10/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-27925/

勒索软件

BlueSky通过多线程进行快速加密

BlueSky是一款新兴勒索软件,主要针对Windows系统,并利用多线程加密技术加快文件加密速度。研究人员观察该勒索软件与Conti勒索软件和Babuk Ransomware分别在代码和加密方法上存在一定相似性。从技术趋势上看,勒索软件正在采用现代先进技术,包括对恶意样本进行编码和加密,或使用多阶段勒索软件投递和加载来防御规避。

来源:

https://unit42.paloaltonetworks.com/bluesky-ransomware/

往期推荐

肚脑虫组织攻击样本——每周威胁动态第90期(07.29-08.04)

疑似海莲花攻击样本——每周威胁动态第89期(07.22-07.28)

揭秘集多种攻击服务于一体的商业型性APT组织——Atlas Intelligence Group(AIG)


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MTE4ODY3Nw==&mid=2247490475&idx=1&sn=7bed18c8bae350ccc2e2df7d8c19401b&chksm=e90e3181de79b8979a1c062fc28303941df9c8ce4938a6f03fed2de09b79ccca016c96887058#rd
如有侵权请联系:admin#unsafe.sh