每周高级威胁情报解读(2023.02.23~03.02)
2023-3-3 09:56:56 Author: 奇安信威胁情报中心(查看原文) 阅读量:53 收藏

2023.02.23~03.02

攻击团伙情报

  • APT-C-61(腾云蛇)组织2022年攻击活动分析

  • WinorDLL64:疑似来自庞大的 Lazarus 武器库的后门 

  • 近期TA569攻击活动的分析报告

  • APT组织SideCopy针对印度政府的钓鱼攻击活动分析

  • APT-C-36针对哥伦比亚、厄瓜多尔、智利和西班牙的攻击行动

  • Lazarus利用公证软件漏洞针对金融业务

攻击行动或事件情报

  • Kaiji僵尸网络重出江湖,Ares黑客团伙浮出水面?

  • 新的Telegram重打包样本瞄准国内用户

  • 披露利用盗版应用针对macOS的恶意挖矿活动

  • 日益严重的数据泄露——非法数据查询服务加剧了隐私问题

  • Parallax RAT 以复杂的注入技术瞄准加密货币公司

  • SCARLETEEL使用高级云技术窃取源代码、数据

恶意代码情报

  • 近期捕获活跃的hoze挖矿木马

  • 调查伪装成合法 Windows 调试器工具的 PlugX 木马

  • 通过 MaaS 模型出售新的 WhiteSnake Stealer

  • PureCrypter恶意软件已影响亚太和北美地区的多个政府组织

  • R3NIN 嗅探器工具包——对消费者不断演变的威胁

  • 与 LockBit 勒索软件相关联的新 Exfiltrator-22开发工具包

漏洞情报

  • Smartbi存在远程命令执行漏洞

攻击团伙情报

01

APT-C-61(腾云蛇)组织2022年攻击活动分析

披露时间:2023年2月27日

情报来源:https://mp.weixin.qq.com/s/s740Y3HaXBXkS5RJi9LaHQ

相关信息:

APT-C-61(腾云蛇)组织是一个主要在南亚地区活跃的APT组织。该组织攻击活动范围主要围绕巴基斯坦、孟加拉等国,并且在2021年末开始,腾云蛇将活动范围扩大到了伊朗以及土耳其,针对这两个国家的外交人员进行了一系列攻击活动。

腾云蛇组织在投递鱼叉邮件时,除了使用公开邮箱中注册的邮件进行发件外,还通过模仿政府部门单位名称注册域名进行发件。相比2021年单调的使用DDE漏洞文档作为代码执行的载荷,腾云蛇在载荷投递方向上存在较大的变化,虽然仍旧存在小部分攻击活动使用“DDE漏洞文档+损坏PDF”打包的形式进行投递。但除此之外,还使用了以下几种不同的载荷:

  • 邮件内链接诱导下载

  • 远程模板注入

  • 伪装光盘映像文件(.iso)

  • lnk+mshta 

02

WinorDLL64:疑似来自庞大的 Lazarus 武器库的后门

披露时间:2023年2月23日

情报来源:https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal/

相关信息:

研究人员发现了Wslink下载器的有效载荷。根据其文件名 WinorDLL64.dll 将此有效载荷命名为WinorDLL64。文件名为WinorLoaderDLL64.dll的 Wslink是 Windows 二进制文件的加载器,与其他此类加载器不同,它作为服务器运行并在内存中执行接收到的模块。正如措辞所暗示的那样,加载程序用作将有效负载或实际恶意软件加载到已经受损的系统上的工具。尚未确定最初的 Wslink 妥协向量。

在2021年,没有发现任何数据表明 Wslink 是来自已知威胁参与者的工具。然而,在对有效载荷进行广泛分析后,研究人员将WinorDLL64归因于 Lazarus APT 组织,基于目标区域的置信度较低,并且行为和代码与已知的 Lazarus 样本有重叠。该文章解释了 WinorDLL64 归因于 Lazarus,并提供了对有效负载的分析。

03

近期TA569攻击活动的分析报告

披露时间:2023年2月26日

情报来源:https://www.proofpoint.com/us/blog/threat-insight/ta569-socgholish-and-beyond

相关信息:

研究人员在2月26日发布了关于TA569攻击活动的分析报告。TA569是一个多产的攻击团伙,利用了多种类型的注入方式、流量分配系统(TDS)和payload,包括但不限于SocGholish。TA569被认为是一个初始访问代理(IAB)或独立的网络犯罪团伙,其TTP在过去几个月中发生了变化。目标访问遭到TA569注入攻击的网站时,其浏览器会解释注入的JavaScript,满足特定条件后会抛出一个诱饵,如虚假的浏览器更新。这些诱饵用于分发各种恶意软件payload,包括信息窃取程序或RAT。

04

APT组织SideCopy针对印度政府的钓鱼攻击活动分析

披露时间:2023年2月25日

情报来源:https://mp.weixin.qq.com/s/RD03YH2ngRUbUmE80d18Uw

相关信息:

近期,研究人员监测到一份恶意宏文档,名为”Cyber Advisory 2023.docm”(网络安全通告2023)。经分析,确认该文档由巴基斯坦APT组织SideCopy投递,目的是引诱目标打开阅览的同时下载ReverseRAT木马,以接收C&C指令进行窃密活动。

本次事件中,SideCopy作者冒充印度政府信息部门官员投递诱饵文档,类型为通告(Advisory),主题为“安卓威胁与预防措施”,并在正文部分列出了几种针对安卓手机的攻击方式和应对手段,推测其本次攻击的目标应为印度政府、军队或重点科研单位人员,尤其是安卓手机用户。从正文落款来看,通告的“作者”为印度安全保障部的安全审计总监Vinai Kumar Kanaujia。并包含其个人签名,但该签名与印度政府官网公开文档中的真人签名有显著差异。相比之下,历史签名更能看出对应的人名字母,而此次文档中的签名则非常潦草,存在伪造签名的情况。

05

APT-C-36针对哥伦比亚、厄瓜多尔、智利和西班牙的攻击行动

披露时间:2023年2月27日

情报来源:https://blogs.blackberry.com/en/2023/02/blind-eagle-apt-c-36-targets-colombia

相关信息:

APT-C-36,也称为 Blind Eagle,至少自2019年以来一直在积极瞄准哥伦比亚和厄瓜多尔的目标,依靠发送给特定战略公司的鱼叉式网络钓鱼电子邮件来开展活动。2月20日,研究人员目睹了一场新的活动,威胁者冒充哥伦比亚政府税务机构,针对哥伦比亚的关键行业,包括卫生、金融、执法、移民和负责和平谈判的国内机构。

该组织过去几年的主要目标是与金融和政府实体相关。感染的初始媒介通常是通过电子邮件发送的 PDF 附件。附加到网络钓鱼电子邮件的 PDF 试图用与国家税务和海关总署相关的徽标和消息来欺骗收件人,该组织经常在他们的鱼叉式网络钓鱼诱饵中使用 DIAN,而PDF 包含的 URL 不同于指向 DIAN 网站的合法超链接,即 https://www.dian.gov.co/。显示的网址是真实的,但是,如果用户单击它,将被重定向到另一个网站,这个新站点的 URL 字段包含一个从公共服务 Discord 下载第二阶段有效负载的 URL。

06

Lazarus利用公证软件漏洞针对金融业务

披露时间:2023年2月27日

情报来源:https://asec.ahnlab.com/ko/48416/

相关信息:

2022年5月,Lazarus攻击团伙第一次利用0day漏洞入侵了某受害目标,随后该企业将所有软件都更新到最新版本并运行。然而2022年10月至11月,该目标再次被Lazarus利用该公证软件中的 0-Day 漏洞进行入侵破坏,该公正软件在韩国被公共机构和高校广泛使用。

通过分析,确认两台计算机受到了利用证书软件漏洞的横向移动攻击。此外,研究人员发现攻击者使用不同的方法禁用了目标系统上的安全产品,其中一种技术是 BYOVD ,该技术利用易受攻击的驱动程序内核模块。攻击者还在两个系统上执行反取证操作,例如更改和删除文件名或操纵时间信息以隐藏恶意操作。

攻击行动或事件情报

01

 Kaiji僵尸网络重出江湖,Ares黑客团伙浮出水面?

披露时间:2023年2月27日

情报来源:https://mp.weixin.qq.com/s/xdbXItNYMWRqckOgWQScCA

相关信息:

近期,奇安信威胁情报中心威胁监控系统监测到一个基于GO语言编写的僵尸网络正在通过多个漏洞进行传播,经过分析确认该样本属于已经被披露的僵尸网络家族 Kaiji,该僵尸网络在2020年由 MalwareMustDie 曝光。深信服千里目安全实验室于2022年七月曾发布文章表示 Kaiji 僵尸网络正在重构,而我们于今年发现该僵尸网络重出江湖并进行了更新迭代。

分析师在对 Kaiji 僵尸网络变种进行关联时,意外发现 Kaiji 僵尸网络竟然和我们正在跟踪的一个巨型僵尸网络租赁团伙Ares有关。Ares 团伙除了拥有 Kaiji 僵尸网络以外,还拥有多个其他家族的僵尸网络,其中包括了Mirai、Moobot及Lucifer,其中Moobot家族数量极大,且在原版基础上经过修改,我们在去年开始跟踪此团伙时将此变种命名为Moobot_jack5tr。Ares团伙资产及关联如下:

02

新的Telegram重打包样本瞄准国内用户

披露时间:2023年2月24日

情报来源:https://mp.weixin.qq.com/s/gY7cK4UaxnvBQJisg28_CQ

相关信息:

近期,研究人员捕获到一批Telegram重打包样本,最早活跃时间为2022年7月,一直持续活跃至今。此批Telegram应用不仅篡改受害者钱包,还会窃取设备和用户信息。经过受害者情况分析,此样本分发面广,已发现国内受害终端超2200个,且还在不断增加。此次捕获到的Telegram重打包样本,和以往使用的恶意功能有所不同,窃取虚拟货币的方式有了新变化。

为求长期存活,初始样本并未嵌入太多恶意功能,攻击者将用户接发信息中的虚拟钱包地址替换为自己的,从而达到窃取该用户转账金额的目的。更新后的样本,在原有恶意功能上增加了窃取设备信息和用户信息并上传的行为,推测攻击者可能会针对钱包转账额度大的人,打上标记,用作针对性社工钓鱼攻击。

通过对受害者进行数据分析,发现此样本曾尝试上架国内应用市场,国内受害者多达2200人,地区分布以广东、河南、山东、江苏居多。

03

披露利用盗版应用针对macOS的恶意挖矿活动

披露时间:2023年2月23日

情报来源:https://www.jamf.com/blog/cryptojacking-macos-malware-discovered-by-jamf-threat-labs/

相关信息:

研究人员在2月23日披露了针对macOS的恶意挖矿活动。该活动利用了木马化Apple视频编辑软件Final Cut Pro,来分发XMRig挖矿程序。研究人员深入分析后发现,该恶意软件经历了三个主要的发展阶段,每个阶段都添加了更复杂的绕过技术。

从第一代开始,该恶意软件就使用i2p网络层进行C2通信以匿名化流量;第二代在2021年4月至10月出现,对隐藏在应用程序包中的可执行文件进行base 64编码;第三代出现于2021年10月,它可以在Spotlight上将其恶意进程伪装成系统进程来绕过检测。

04

日益严重的数据泄露——非法数据查询服务加剧了隐私问题

披露时间:2023年2月27日

情报来源:https://blog.cyble.com/2023/02/27/growing-data-breaches-illicit-data-lookup-services-exacerbating-privacy-issues/

相关信息:

受损数据库的生命周期不会随着初始泄漏而结束。它经常在多个网络犯罪论坛中重新分发,由威胁行为者收集、汇总并再次共享。研究人员观察到威胁参与者为其数据收集提供付费和免费搜索引擎。

在多个场合,发现威胁行为者聚合数据库以编译他们自己的数据宝库,这些数据宝库后来被用来为他们的泄漏创建可搜索的界面,并作为付费服务提供给论坛成员。此外,威胁参与者还为集合中引用的不同数据类型提供查找服务。常见的数据查询包括来自不同国家/地区的公民的社会安全号码 (SSN)、信用卡号码和身份证号码。

05

Parallax RAT 以复杂的注入技术瞄准加密货币公司

披露时间:2023年2月28日

情报来源:https://www.uptycs.com/blog/cryptocurrency-entities-at-risk-threat-actor-uses-parallax-rat-for-infiltration

相关信息:

自2019年12月以来,Parallax RAT(又名 ParallaxRAT)已通过垃圾邮件活动或网络钓鱼电子邮件(带附件)传播。该恶意软件执行恶意活动,例如读取登录凭据、访问文件、键盘记录、远程桌面控制和远程控制受感染机器。

研究人员最近检测到针对加密货币组织的远程访问木马“ParallaxRAT”的活跃样本。它使用注入技术隐藏在合法进程中难以检测,一旦成功注入,攻击者就可以通过可能用作通信渠道的 Windows 记事本与受害者进行交互。

06

SCARLETEEL使用高级云技术窃取源代码、数据

披露时间:2023年2月28日

情报来源:https://sysdig.com/blog/cloud-breach-terraform-data-theft/

相关信息:

研究人员最近在发现了一个名为 SCARLETEEL 的基于云的活动,该活动导致专有数据被盗。攻击者使用容器化工作负载,然后利用它对 AWS 账户执行权限提升,以窃取专有软件和凭证。他们还尝试使用 Terraform 状态文件将其转移到其他连接的 AWS 账户,以将其影响范围扩展到整个组织。

这种攻击比大多数攻击都更加复杂,因为它从受感染的 Kubernetes 容器开始并传播到受害者的 AWS 账户。攻击者还了解 AWS 云机制,例如弹性计算云 (EC2) 角色、Lambda 无服务器函数和 Terraform。最终结果不仅仅是一次典型的加密劫持攻击。攻击者还有其他更恶意的动机:盗窃专有软件。

恶意代码情报

01

近期捕获活跃的hoze挖矿木马

披露时间:2023年2月28日

情报来源:https://mp.weixin.qq.com/s/-mZD0pPbeIgxoTUNNFBnrw

相关信息:

近期,研究人员通过捕风蜜罐系统捕获了一批活跃的hoze挖矿木马样本,该挖矿木马主要利用SSH弱口令暴力破解对Linux平台进行攻击。由于其初始攻击脚本名称与加密攻击脚本集合包的解密密钥均为“hoze”,具备一定的行为特征,因此研究人员将该挖矿木马命名为hoze挖矿木马。

hoze挖矿木马在传播方式和初始执行脚本等攻击方式上与其他流行挖矿木马家族并无区别,但在攻击样本方面使用 shc 工具加密 Shell 脚本,利用该工具可以使 Shell 脚本转换成二进制可执行文件(ELF),使用RC4 加密算法对其进行加密,目的是为了增加反病毒软件的检测难度。另一方面根据公开矿池地址发现该挖矿木马算力已经达到平均1.5MH/s,在排除显卡的加持下,以一台Intel Core i7-4500U处理器为例,该处理器在进行全速挖矿时最高算力可达100h/s,相当于有15000台该处理器在同时进行挖矿。

02

调查伪装成合法 Windows 调试器工具的 PlugX 木马

披露时间:2023年2月24日

情报来源:https://www.trendmicro.com/en_us/research/23/b/investigating-the-plugx-trojan-disguised-as-a-legitimate-windows.html

相关信息:

研究人员发现使用名为x32dbg.exe的文件通过 DLL旁加载我们确定为 PlugX 变体的恶意 DLL。此文件是适用于 Windows 的合法开源调试器工具,通常用于检查内核模式和用户模式代码、故障转储或 CPU 寄存器。同时它也是是一个知名的远程访问木马,用于远程访问和控制受感染的机器,允许攻击者获得对系统的未授权访问权限、窃取敏感数据并将受感染的机器用于恶意目的。研究人员采用了多项先进的安全技术和解决方案来全面了解此次攻击,并将在本报告中予以披露。

03

通过 MaaS 模型出售新的 WhiteSnake Stealer

披露时间:2023年2月24日

情报来源:https://blog.cyble.com/2023/02/24/new-whitesnake-stealer-offered-for-sale-via-maas-model/

相关信息:

研究人员发现了一种名为“WhiteSnake”Stealer 的新型恶意软件,该恶意软件于本月初首次在网络犯罪论坛上被发现,旨在从受害者的计算机中提取敏感信息。

这个窃取器有为 Windows 和 Linux 设计的版本。它能够收集一系列敏感信息,包括密码、cookie、信用卡号、屏幕截图和其他个人或财务数据。一旦收集并压缩了被盗文件,窃取者就会将它们发送给 Telegram 机器人。值得注意的是,Infostealer 二进制文件每天都会受到威胁参与者的频繁更新,因为它仍处于开发阶段。

04

PureCrypter恶意软件已影响亚太和北美地区的多个政府组织

披露时间:2023年2月23日

情报来源:https://www.menlosecurity.com/blog/purecrypter-targets-government-entities-through-discord/

相关信息:

近日,研究人员称攻击者正使用Discord来托管其初始有效载荷以规避威胁活动检测,且活动主要攻击目标为政府实体。该活动的一个特征为:使用了PureCrypter恶意软件下载器,该恶意软件基于.NET编写,于2021年首次在野出现,且它的运营商通常将其出租给其他网络犯罪分子以传播多种恶意软件。

本次攻击始于一封网络钓鱼电子邮件,邮件包含指向PureCrypter有效载荷的Discord应用程序链接。此外,攻击者还使用了一个受感染的非营利组织的域作为其C2服务器来提供其第二个有效负载。据研究人员称,目前该活动已影响了亚太和北美地区的多个政府组织,且活动涉及的恶意软件包括:Redline Stealer、AgentTesla、Eternity、Blackmoon和Philadelphia勒索软件等。

05

R3NIN 嗅探器工具包——对消费者不断演变的威胁

披露时间:2023年2月28日

情报来源:https://blog.cyble.com/2023/02/28/r3nin-sniffer-toolkit-an-evolving-threat-to-e-commerce-consumers/

相关信息:

信用卡嗅探器是通常使用 JavaScript 编写的恶意代码,旨在暗中窃取受害者在受感染的电子商务/商家网站上输入的支付卡信息和个人身份信息 (PII)。嗅探器程序通常也称为“在线浏览器”,而R3NIN 是此类嗅探器的最新示例。

攻击者向 Web 服务器注入经过混淆的恶意脚本,一旦受害者访问受感染的页面,该脚本就会触发。该脚本捕获输入变量,将它们转换为字符串,并将其发送到攻击者托管的嗅探器面板。

除此外攻击者还通过诱骗受害者输入虚假弹出窗口要求的额外数据来利用 iFrame(网页内使用的内联框架,用于在其中加载另一个 HTML 文档),而理想情况下,合法页面不需要这些数据。

06

与 LockBit 勒索软件相关联的新 Exfiltrator-22开发工具包

披露时间:2023年2月·24日

情报来源:https://www.cyfirma.com/outofband/exfiltrator-22-an-emerging-post-exploitation-framework/

相关信息:

研究人员对名为 EXFILTRATOR-22又名 EX-22的新开发后框架进行了初步分析。在分析可用信息后,发现负责创建恶意软件的人来自北亚、东亚或东南亚。这些人拥有全面的防御规避和反分析技术知识。他们利用从后开发框架中泄露的源代码来开发自己的后开发框架即服务模型。可能是 LockBit 的前附属公司,研究表明,第一版 EXFILTRATOR-22的开发已于2022年11月27日(或之前)完成。之后不久,即2022年12月7日,威胁者创建了一个电报频道来宣传恶意软件,以吸引潜在买家。截至2023年2月13日,该恶意软件在在线沙盒上仍有5/70的检测结果,即使在执行了多次动态扫描之后也是如此。

漏洞情报

01

Smartbi存在远程命令执行漏洞

披露时间:2023年3月1日

情报来源:https://mp.weixin.qq.com/s/qCXvo1cXQaYLlXbNHeESgg

相关信息:

Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌,为企业客户提供一站式商业智能解决方案。Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等等。

近日,奇安信CERT监测到Smartbi官方发布安全更新,其中包含Smartbi 远程命令执行漏洞。Smartbi大数据分析平台存在远程命令执行漏洞,未经身份认证的远程攻击者利用此漏洞向系统发送恶意数据,可能执行任意命令,导致系统被攻击与控制。鉴于此产品用量较多,建议客户尽快更新至最新版本。

点击阅读原文ALPHA 6.0

即刻助力威胁研判


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247505548&idx=1&sn=87eba2a7e699c971352caf8539c3e290&chksm=ea6621fbdd11a8ed193e1551ac8fdbf6683c90000eb9383cf521548e5fa4391ab6e92c4b7ceb#rd
如有侵权请联系:admin#unsafe.sh