2025.01.03~01.09
攻击团伙情报
“海莲花”组织在GitHub投毒进行攻击
EAGERBEE后门更新组件对中东地区展开攻击
韩国 2024 年 12 月 APT 攻击威胁趋势报告
攻击行动或事件情报
网络钓鱼活动传播Formbook窃取器
绿湾包装工官网遭黑客攻击致顾客信用卡信息被窃取
攻击活动利用虚假游戏网站下载信息窃取木马
伪装成以太坊工具的恶意混淆 NPM 包部署 Quasar RAT
恶意代码情报
PEAKLIGHT恶意软件分析
Gayfemboy僵尸网络利用0day漏洞传播样本,发起全球DDos攻击
PLAYFULGHOST 通过网络钓鱼和 SEO 投毒传播
NonEuclid远程访问木马揭秘
漏洞情报
CVE-2024-38054 Windows ksthunk.sys驱动提权漏洞分析
8月未知 Windows 在野提权 Nday 漏洞研究
攻击团伙情报
01
“海莲花”组织在GitHub投毒进行攻击
披露时间:2025年1月8日
情报来源:https://mp.weixin.qq.com/s/ih36z93y6BazatjeoGjp1A
相关信息:
近期,微步发现东南亚APT组织“海莲花”利用GitHub发布带有木马的Cobalt Strike漏洞利用插件,针对国内安全从业者和指定大企业发起定向攻击。攻击者首次使用了向Visual Studio工程中投递恶意.suo文件的手法,当受害者编译该Visual Studio工程时,木马会自动执行。
攻击者在GitHub上注册账号,并伪装成国内某头部FinTech公司安全研究员,发布安全工具开源项目以吸引国内安全研究人员下载和二次传播。2024年10月14日和10月21日,攻击者发布了两个恶意投毒项目,内容为国内常用红队工具Cobalt Strike的插件,包含新的漏洞利用功能。
当受害者使用Visual Studio打开项目的解决方案文件(.sln)进行编译时,Visual Studio会自动加载并调用相关的.suo文件,从而触发其中恶意代码执行。该攻击手法具有极强的隐蔽性,因为Visual Studio在关闭时会将新内容保存到.suo文件,恶意代码会被清除,使攻击更难以被发现。
02
EAGERBEE后门更新组件对中东地区展开攻击
披露时间:2025年1月6日
情报来源:https://securelist.com/eagerbee-backdoor/115175/
相关信息:
Securelist在最近对EAGERBEE后门的调查中发现,EAGERBEE后门正在中东地区的互联网服务提供商(ISP)和政府机构中部署。该变种被评估与名为CoughingDown的威胁团体相关,EAGERBEE的架构旨在执行基本的系统枚举并交付后续的恶意程序,用于后期利用。分析揭示了这些攻击中使用的多种新型组件,包括一种新型的服务注入器,其以Themes服务进程为目标,用于将EAGERBEE后门注入到服务进程内存中。此外,研究人员还发现了之前未记录过的插件,这些插件在后门安装后被部署,支持一系列恶意活动,如部署额外的有效载荷、探索文件系统、执行命令shell等。主要插件可以根据其功能分为以下几类:插件编排器、文件系统操作、远程访问管理器、进程探索、网络连接列表和服务管理。
03
韩国 2024 年 12 月 APT 攻击威胁趋势报告
披露时间:2025年1月8日
情报来源:https://asec.ahnlab.com/en/85607/
相关信息:
针对韩国目标的 APT 攻击按渗透类型进行分类,发现大多数是鱼叉式网络钓鱼。2024 年 12 月,使用鱼叉式网络钓鱼分发的初始攻击载体中, LNK 文件的攻击占比最高,其中又可以分为两大类。
类型A:创建包含多个恶意脚本的压缩CAB文件,用于窃取信息和下载额外恶意软件.分发的LNK文件包含恶意PowerShell命令,用于提取CAB文件和LNK文件内的诱饵文件数据,并在用户PC上创建它们.然后解压缩CAB文件,执行包含在内的多个脚本文件(bat、ps1、vbs等),执行恶意行为.
类型B:执行远程访问木马(RAT)恶意软件.通常作为压缩文件与合法文件一起分发,分发的LNK文件包含恶意PowerShell命令,除了使用DropBox API或Google Drive下载恶意软件外,还会在执行时创建额外脚本文件和混淆的RAT在TEMP或PUBLIC文件夹中.最终执行的RAT恶意软件可根据攻击者的命令执行各种恶意行为,如键盘记录和截屏.发现的RAT类型包括XenoRAT和RoKRAT.
攻击行动或事件情报
01
网络钓鱼活动传播Formbook窃取器
披露时间:2025年1月7日
情报来源:https://www.seqrite.com/blog/formbook-phishing-campaign-analysis/
相关信息:
Seqrite Lab发现了一起通过电子邮件附件传播Formbook窃取器的网络钓鱼活动。自2016年以来,Formbook不断演变,其在部署有效载荷前使用了多层技术,并仅在内存中加载以避免被识别。该变种包含三个阶段,在最终有效载荷之前,依次为Purchase Order.exe、Arthur.dll、Montero.dll和MASM(最终有效载荷)。攻击过程中使用了多种技术,如睡眠延迟执行、资源隐藏恶意软件、加密解密、内存加载、创建互斥体以避免重复运行、设置消息框欺骗用户、添加排除路径以躲避检测、下载额外恶意软件或接收命令等。此次攻击活动的特点是利用多种技术来躲避检测和实现持久化。
02
绿湾包装工官网遭黑客攻击致顾客信用卡信息被窃取
披露时间:2025年1月6日
情报来源:https://www.documentcloud.org/documents/25479703-green-bay-packers-pro-shop-breach-notification/
相关信息:
绿湾包装工美式足球队宣布,其官方在线零售商店在2024年10月遭黑客攻击,攻击者在网站上注入了卡片盗取脚本,窃取了顾客的个人和支付信息。此次攻击发生在10月23日,绿湾包装工立即关闭了所有支付和结账功能,并开始进行调查。调查发现,恶意代码从9月下旬到10月上旬期间窃取了用户的支付信息,但不涉及使用礼品卡、Pro Shop账户、PayPal或Amazon Pay支付的交易。此次攻击使用了JSONP回调和YouTube的oEmbed功能绕过内容安全策略(CSP),恶意脚本从指定网站提取并发送用户数据。泄露的信息包括顾客姓名、地址、电子邮件以及信用卡详细信息。绿湾包装工已为受影响顾客提供了三年的信用监控和身份盗窃恢复服务,并建议顾客密切关注账户声明。
03
攻击活动利用虚假游戏网站下载信息窃取木马
披露时间:2025年1月3日
情报来源:https://www.malwarebytes.com/blog/news/2025/01/can-you-try-a-game-i-made-fake-game-sites-lead-to-information-stealers
相关信息:
近期网络上出现一种新的恶意活动,不法分子在Discord服务器上向目标发送直接消息,询问其是否有兴趣测试新游戏,若目标感兴趣,将收到包含虚假安装程序的下载链接及密码,实际下载安装的是信息窃取木马,如Nova Stealer、Ageo Stealer、Hexon Stealer等。这些木马会窃取浏览器存储的凭据、Discord和Steam等平台的会话cookie、数字货币钱包等信息,尤其关注Discord凭据,以扩大受感染账户网络。部分网站使用标准模板,增加了识别难度,且托管网站对下架请求反应迟钝,常受Cloudflare保护。
04
伪装成以太坊工具的恶意混淆 NPM 包部署 Quasar RAT
披露时间:2025年1月2日
情报来源:https://thehackernews.com/2025/01/malicious-obfuscated-npm-package.html
相关信息:
网络安全研究人员在 npm 软件包注册表中发现了一个恶意软件,它伪装成一个用于检测以太坊智能合约漏洞的库,但实际上,它会将一个名为 Quasar RAT 的开源远程访问木马投放到开发人员系统中。这个被严重混淆的软件包名为ethereumvulncontracthandler,由名为“solidit-dev-416”的用户于 2024 年 12 月 18 日发布到 npm。截至撰写本文时,它仍可供下载。迄今为止,它已被下载了 66 次。
研究人员表示,安装后,它会从远程服务器检索恶意脚本,并悄悄执行该脚本以在 Windows 系统上部署 RAT。
嵌入在 ethereumvulncontracthandler 中的恶意代码经过多层混淆,利用 Base64 和 XOR 编码等技术以及最小化来抵抗分析和检测。该恶意软件还会执行检查以避免在沙盒环境中运行,然后充当加载器,从远程服务器获取并执行第二阶段有效负载(“jujuju[.]lat”)。该脚本旨在运行 PowerShell 命令来启动 Quasar RAT 的执行。
恶意代码情报
01
PEAKLIGHT恶意软件分析
披露时间:2025年1月5日
情报来源:https://medium.com/trac-labs/peaklight-illuminating-the-shadows-02a1bb44885c
相关信息:
PEAKLIGHT是一个基于PowerShell的混淆下载器,最初由Mandiant发现,用于提供恶意软件即服务的信息窃取程序。初始感染向量为Microsoft快捷方式文件(LNK),连接到托管JavaScriptdropper的内容分发网络(CDN)。通过dropper交付的有效负载最终执行PowerShell下载器脚本。观察到的有效负载包括LummaC2、HijackLoader和CryptBot。该攻击活动利用多种技术,如利用PowerShell作为LOLBin执行恶意脚本,通过mshta.exe执行恶意文件,以及使用AutoIt脚本进行进一步的恶意操作。攻击者滥用合法工具和技术来传播和执行恶意软件,同时逃避传统的检测机制。通过利用混淆、仅在内存中执行以及看似无害的进程,攻击者可以有效绕过端点防御。
02
Gayfemboy僵尸网络利用0day漏洞传播样本,发起全球DDos攻击
披露时间:2025年1月7日
情报来源:https://blog.xlab.qianxin.com/gayfemboy/
相关信息:
Gayfemboy僵尸网络自2024年2月初被发现并持续活跃。其早期为使用UPX加壳的Mirai的派生版本,后不断进化,利用20多个漏洞和Telnet弱口令传播样本,包括四信工业路由0day漏洞(CVE-2024-12856)以及Neterbit路由器和Vimar智能家居设备的未知漏洞。该僵尸网络通过感染设备扩大规模,日活跃节点超过1.5万,主要分布在中国、美国、伊朗、俄罗斯、土耳其。其攻击目标遍布全球,攻击方式包括DDoS攻击,攻击流量可能达百G。
03
PLAYFULGHOST 通过网络钓鱼和 SEO 投毒传播
披露时间:2025年1月4日
情报来源:https://thehackernews.com/2025/01/playfulghost-delivered-via-phishing-and.html
相关信息:
PLAYFULGHOST 是一种新发现的恶意软件,具有键盘记录、屏幕捕获、音频捕获、远程 shell 和文件传输/执行等多种信息收集功能。该后门与已知的远程管理工具 Gh0st RAT 功能上存在重叠,后者在 2008 年源代码被公开泄露。
PLAYFULGHOST 的初始访问途径包括使用带有行为准则相关诱饵的网络钓鱼电子邮件和搜索引擎优化(SEO)投毒技术来分发木马化的 VPN 应用程序(如 LetsVPN)。在一种网络钓鱼案例中,攻击者诱骗受害者打开一个伪装成图像文件的恶意 RAR 存档,该存档会释放一个恶意的 Windows 可执行文件,最终从远程服务器下载并执行 PLAYFULGHOST。
通过 SEO 投毒的攻击链则试图欺骗用户下载带有恶意软件的 LetsVPN 安装程序,该安装程序在启动时会投放负责检索后门组件的临时有效载荷。该感染利用 DLL 搜索顺序劫持和侧载等方法来启动恶意 DLL,然后用于解密并将 PLAYFULGHOST 加载到内存中。
04
NonEuclid远程访问木马揭秘
披露时间:2025年1月2日
情报来源:https://www.cyfirma.com/research/noneclid-rat/
相关信息:
NonEuclid远程访问木马于2025年1月发布,由C#开发,针对组织和个人。它能够在不被用户察觉的情况下实现未经授权的远程访问和控制。该RAT具备多种高级逃避技术,包括绕过杀毒软件、提升权限、抗检测和对关键文件进行勒索软件加密。它在地下论坛、社交媒体平台和教程平台上被广泛推广,因其隐蔽性、动态DLL加载、抗虚拟机检测和AES加密能力而受到网络犯罪分子的青睐,对网络安全构成了严重威胁。
漏洞情报
01
CVE-2024-38054 Windows ksthunk.sys驱动提权漏洞分析
披露时间:2025年1月8日
情报来源:https://mp.weixin.qq.com/s/GwH8LePY-1E3NU82rYf8Sg
相关信息:
奇安信研究人员分析了CVE-2024-38054漏洞,这是一个在Windows ksthunk.sys驱动中的堆溢出漏洞,由Angelboy提交给微软,并在2024年7月得到修补。该漏洞存在于Kernel Streaming框架中,该框架主要用于支持Windows中的音频、视频等设备。
Kernel Streaming框架提供三种多媒体类驱动模型:port类, stream类和 AVStream类。文章指出漏洞主要发生在CKSThunkPin::ThunkStreamingIrp函数中,由于在32位到64位结构体转换过程中,内存大小计算错误导致了堆溢出。通过该漏洞可以实现任意地址读写。与传统的堆溢出漏洞相比,该漏洞较为隐蔽,因此更具挑战性。
02
8月未知 Windows 在野提权 Nday 漏洞研究
披露时间:2025年1月8日
情报来源:https://mp.weixin.qq.com/s/fFQc_CuICe5QVVWQgxsq4A
相关信息:
近期,我们发现一个未知 Windows 在野提权 Nday 漏洞样本,该漏洞样最早被上传时只有6个查杀。经过分析确认该漏洞应该是在八月的微软补丁中被修复,是一个被修复的未知nday利用。该漏洞利用了Windows的ALPC(Advanced Local Procedure Call)机制,通过一系列复杂的操作实现提权。ALPC是一种在Windows操作系统中广泛使用的进程间通信机制,其核心组件是ALPC端口对象。漏洞的利用过程包括以下几个关键步骤:
1. 连接到PDC ALPC端口:利用NtAlpcConnectPort函数连接到PDC ALPC端口,获取一个ALPC连接句柄。
2. 线程绑定与释放:通过NtRegisterThreadTerminatePort函数将ALPC端口句柄与一个线程绑定,当线程退出时,内核会发送一条LPC终止消息。该消息的处理过程中,会释放与ALPC端口相关的内存。
3. 内存重用与修改:通过NtCreateEvent函数的spray操作,重用被释放的内存,并在其中构造恶意数据。当再次发送消息时,这些恶意数据会被用来修改关键的内核对象指针。
4. 实现任意地址写入:通过修改内核对象指针,实现对任意地址的写入,从而获取提权能力。利用该能力,攻击者可以通过修改I/O ring或PreviousMode等机制实现提权。
点击阅读原文至ALPHA 7.0
即刻助力威胁研判