2021.03.18~03.25
攻击团伙情报
SilverFish利用受害者网络进行沙盒测试
Lazarus针对日本地区的两款攻击组件分析
双尾蝎组织利用选举话题对巴勒斯坦展开攻击活动
攻击行动或事件情报
针对iOS开发人员的供应链攻击活动
针对美国纳税人的活动传播NetWire、Remcos恶意软件
RemRAT:潜伏在中东多年的Android间谍软件
Golang木马针对带有特定漏洞插件的WordPress网站
黑客利用伪造的Clubhouse分发BlackRock
针对印度陆军的鱼叉式网络钓鱼活动
恶意代码情报
Mylobot僵尸网络依旧活跃,C2解密流程揭露
勒索软件Black KingDom,针对未打补丁的Exchange服务器
Purple Fox恶意软件新增蠕虫功能针对微软系统
凭证窃取器CopperStealer通过软件破解工具网站传播
漏洞情报
Project Zero披露7个零日漏洞:iOS/Android/Windows均受影响
攻击团伙情报
01
SilverFish利用受害者网络进行沙盒测试
披露时间:2021年03月18日
情报来源:https://www.prodaft.com/m/uploads/SilverFish_TLPWHITE.pdf
相关信息:
瑞士安全公司Prodaft上周四称,与SolarWinds攻击有关的黑客团伙SilverFish利用受害者网络进行沙盒测试。
SilverFish已攻击了超过4720个企业和政府组织,包括财富500强企业、政府部门、航空公司、国防承包商、审计和咨询公司以及汽车制造商。该团伙开发了一个由受害者的服务器组成的恶意软件检测沙箱,可以用不同的企业AV和EDR解决方案来测试他们的payload,以增加其攻击的成功率。
02
Lazarus针对日本地区的两款攻击组件分析
披露时间:2021年03月22日
情报来源:https://blogs.jpcert.or.jp/en/2021/03/Lazarus_malware3.html
相关信息:
近日,日本安全公司JPCERTCC的安全研究披露了VSingle和ValeforBeta两款Lazarus在针对日本地区攻击时所用的恶意软件。
VSingle是一款基于HTTP请求协议的加载器,VSingle启动之后会将其dll注入到资源管理器并与攻击者服务器建立链接,使得攻击者可以远程执行代码或下发其他攻击组件。对VSingle进行详细分析之后,安全研究员总结出了VSingle包含了8个功能,包括上传文件、设置通讯间隔、执行任意命令、下载/执行插件、更新软件、发送恶意软件信息、卸载、下载文件。其中下载的插件有四种类型,分别为PE、VBS、BAT和shellcode。
ValeforBeta是一款由Delphi开发的基于HTTP的恶意软件,从功能上来讲,ValeforBeta和VSingle并没有太大的区别,ValeforBeta的功能包括六个部分,包括下载文件、上传文件、执行shell指令、卸载自身、设置睡眠时间、发送系统信息。从通信协议来讲,ValeforBeta会通过三种代理工具与C2建立通信以保护C2,包括3Proxy、Stunnel、Plink
03
双尾蝎组织利用选举话题对巴勒斯坦展开攻击活动
披露时间:2021年03月25日
情报来源:https://mp.weixin.qq.com/s/Y6lPTN4bqiM2qaRYDP2PWA
相关信息:
双尾蝎(APT-C-23)组织至少2016年5月起活跃至今,长期对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的持续性攻击,背后攻击者疑似具备中东背景。攻击活动涉及Windows与Android平台,投递的诱饵主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。
微步情报局近期通过威胁狩猎系统捕获到多起双尾蝎利用选举话题针对巴勒斯坦国的攻击活动,分析有如下发现:
攻击活动以“总统和领导层在选举中的立场以及有关法令的建议”和“开幕式和选举权”等选举相关时事热点为话题,对目标受害者进行鱼叉式钓鱼攻击。
捕获到的Windows平台样本包含VC和Delphi开发的两种后门(Delephi版本后门也称Micropsia),其中VC版本后门已迭代更新到8.0版本,两种后门具备的功能和早期版本相比指令趋向于精简化。这让攻击更加隐蔽,攻击者会挑选特定感兴趣的目标然后下发后续攻击载荷。
Android 平台的活动则是保持双尾蝎惯用做法,通过伪造高度相似的Telegram网站,诱饵Android目标受害者进行下载。
攻击行动或事件情报
01
针对iOS开发人员的供应链攻击活动
披露时间:2021年03月18日
情报来源:https://labs.sentinelone.com/new-macos-malware-xcodespy-targets-xcode-developers-with-eggshell-backdoor/
相关信息:
SentinelOne发现了新的供应链攻击活动,使用名为XcodeSpy的恶意Xcode项目针对iOS开发人员。Xcode是Apple创建的集成开发环境(IDE),开发人员可利用其创建macOS、iOS、tvOS和watchOS应用程序。
在该攻击中,黑客克隆了合法的TabBarInteraction项目,并添加了模糊的恶意Run脚本XcodeSpy,以将攻击者的C2服务器连接到开发人员的项目。XcodeSpy于9月4日首次被上传到VirusTotal,研究人员怀疑这是攻击者为测试检测率而自己上传的样本。
SentinelOne研究人员发现攻击者正在通过滥用Apple Xcode IDE中的运行脚本功能,以通过共享的Xcode项目感染Apple开发人员。活动至少在2020年7月至2020年10月之间进行,并且也可能针对亚洲的开发人员。该恶意的Xcode项目会在开发人员的macOS计算机上安装自定义的EggShell后门变体,并通过LaunchAgent以保持持久性。后门具有记录感染者麦克风、相机和键盘,上传和下载文件的功能。
02
针对美国纳税人的活动传播NetWire和Remcos恶意软件
披露时间:2021年03月18日
情报来源:https://www.cybereason.com/blog/cybereason-exposes-malware-targeting-us-taxpayers
相关信息:
Cybereason Nocturnus发现一项针对美国纳税人的新活动,该活动使用包含税收相关的恶意宏钓鱼文档,向目标提供NetWire和Remcos恶意软件。感染用户的恶意文档大小约为7MB,可以规避传统的AV机制和启发式检测。
在感染链中,会下载OpenVPN客户端以侧载有效负载,侧载的负载会将其他DLL内存解压缩并注入“notepad.exe”。然后从云服务(例如“ imgur”)下载托管的隐藏在图像文件中的Netwire和Remcos有效负载。
NetWire和Remcos恶意软件均为商业软件。NetWire主要功能包括下载执行其他负载、文件和系统管理、屏幕截图、浏览器凭证和历史记录窃取、受害者系统信息收集。Remcos RAT主要功能包括执行远程Shell命令、下载和执行其他负载、屏幕截图、剪贴板数据管理。
03
RemRAT:潜伏在中东多年的Android间谍软件
披露时间:2021年03月23日
情报来源:https://blogs.360.cn/post/analysis-of-RemRAT.html
相关信息:
近期,360安全发现了一个和“阿勒颇战役“相关的新移动RAT,该RAT使用此战役期间Jabhat al-Nusra组织参战的图标进行伪装。通过分析,360发现该类RAT家族最早出现于2016年3月,至今仍在活跃,主要通过以apk子包的方式嵌入到含有正常功能的母包中进行隐蔽传播。鉴于该家族RAT包名的特点,360将此RAT命名为RemRAT。
RemRAT主要以子包的形式存在于有正常功能应用的assets资源文件中。目前已发现的被用来作为传播载体的母包均与伊斯兰宗教书籍相关。载体母包启动后,会诱导用户安装恶意子包RemRAT。子包RemRAT的主要功能为隐私信息窃取,其中包括常规RAT所拥有的功能。RemRAT共有三种通信方式,分别为MQTT通信、HTTP通信、TOR代理通信。旧版本使用MQTT通信和HTTP通信两种通信方式,新版本增加了对TOR代理通信的支持。
04
Golang 木马针对带有特定漏洞插件的WordPress网站
披露时间:2021年03月24日
情报来源:https://labs.bitdefender.com/2021/03/golang-bot-starts-targeting-wordpress-websites/
相关信息:
Bitdefender的安全研究人员发现了一个新版本已知漏洞扫描器。这个用Golang编写程序攻击的是WordPress的 "Ultimate GDPR & CCPA Compliance Toolkit "插件,该插件存在一个关键漏洞,可以让攻击者将流量重定向到一个恶意网站。
木马会检索网络服务的首页,并寻找某些字符串。这些字符串对应于攻击者控制的域,它们的存在表明目标已经被入侵。否则,后续检查会显示目标是否使用了脆弱的WordPress插件,以启动漏洞利用程序。
典型的利用流程如下:木马向C2查询目标域;扫描目标漏洞,并向C2发送报告。在某些情况下,木马会启动漏洞利用,通过注入数据来危害目标。目标网站的访问者执行攻击者提供的脚本,会被重定向到一个恶意网站。
05
黑客利用伪造的Clubhouse分发BlackRock
披露时间:2021年03月19日
情报来源:https://blog.eset.ie/2021/03/19/beware-android-trojan-posing-as-clubhouse-app/
相关信息:
上周五,ESET的研究人员发现黑客利用伪造的Android版Clubhouse分发BlackRock Trojan。Clubhouse是音频聊天应用,但目前只在iOS上当前可用,尚未发布Android版本的Clubhouse。
BlackRock最初于2020年5月被发现,旨在窃取用户在各种互联网应用(超过458个)上的信息。该木马能够拦截和篡改SMS消息、隐藏通知、在用户运行杀毒软件时将其重定向到设备主屏幕和远程锁定屏幕。
06
针对印度陆军的鱼叉式网络钓鱼活动
披露时间:2021年03月22日
情报来源:https://www.seqrite.com/blog/new-spear-phishing-campaign-using-army-welfare-education-societys-scholarship-form/
相关信息:
Seqrite研究人员发现针对印度陆军的潜在鱼叉式网络钓鱼活动。在此次攻击中,攻击者使用“陆军福利教育协会(AWES)”奖学金主题作为诱饵,陆军福利教育协会(AWES)通过地方军事当局管理并确保为印度陆军人员子女提供适当的教育设施。
该诱饵文档会触发CVE-2017-0199漏洞,从而进一步通过模板注入加载.dotm文件。最终有效负载使用.NET编写,执行后会收集受感染主机信息:处理器ID、用户名、常规信息(体系结构,标题,版本)、设备类型、设备型号。
收集到有关主机的信息后,有效负载会将其发送给C&C,并根据C&C发出的命令执行以下操作:获取进程列表、写入和执行文件。通过常见的将LNK文件写入启动文件夹方式获得持久性。攻击成功,则攻击者可能会从受害者计算机中窃取敏感数据。
恶意代码情报
01
Mylobot僵尸网络依旧活跃,C2解密流程揭露
披露时间:2021年03月21日
情报来源:https://mp.weixin.qq.com/s/5YBvsb_pZGq_vxDlTNatEA
相关信息:
奇安信病毒响应中心发现Mylobot僵尸网络依旧活跃。Mylobot僵尸网络使用复杂的检测规避技术和多种持久化手段。其会检测并删除其他僵尸网络(例如Phorpiex、DorkBot)的文件夹下的可执行文件,以独占失陷计算机资源。
与样本进行通信的域名由大量硬编码域名端口对组成,当满足潜伏时间大于3/12/14天(不同版本潜伏时间不同)时,尝试解析其对应的m<0-43>(0-43范围的一个随机数)子域名,返回的信息为下一阶段的域名。
其攻击行为完全取决于后续的有效载荷,意味着包括资源利用、传播方式都是动态变化的。Mylobot通过内存执行、PE映射、反沙箱、反虚拟机、线程注入、APC注入方式来隐藏自身。
02
勒索软件Black KingDom,针对未打补丁的Exchange服务器
披露时间:2021年03月23日
情报来源:https://news.sophos.com/en-us/2021/03/23/black-kingdom/
相关信息:
Sophos研究人员发现Black KingDom勒索软件正在针对未打补丁的Microsoft Exchange服务器。其样本通过Tor服务器发送,由于样本中的地址属于Tor退出节点,因此无法得知攻击者的实际位置。攻击者针对Microsoft Exchange Server的本地版本,利用远程代码执行(RCE)漏洞:ProxyLogon(CVE-2021-27065)。
在成功破解Exchange服务器后,攻击者会部署一个webshell。此webshell提供对服务器的远程访问,并执行任意命令,下载恶意负载并通过WMI(Windows管理界面)调用Win32_Process来执行。
勒索软件会删除Windows事件日志,一旦系统加密完成或运行20分钟后,勒索软件将运行一个子程序以禁用鼠标和键盘,并在桌面弹出全屏窗口。根据攻击者加密货币钱包记录的交易最新概述,至少有一名受害者支付了赎金要求。
03
Purple Fox恶意软件新增蠕虫功能针对微软系统
披露时间:2021年03月23日
情报来源:https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/
相关信息:
Purple Fox是一种通过漏洞利用工具和网络钓鱼邮件分发的一种恶意软件,现在添加了一个新的蠕虫模块,可以扫描并感染Windows系统。该恶意软件具有rootkit及后门功能,最初于2018年被发现。
该恶意软件的活动始于去年年底,在扫描通过Internet可以访问的设备并发现暴露的Windows系统后,Purple Fox的新添加的蠕虫模块可以使用SMB密码进行暴力破解,同时它还可以利用网络钓鱼活动和Web浏览器漏洞来部署其有效负载。
根据Guardicore Labs的报告,到目前为止,Purple Fox已将其恶意软件删除程序和其他模块部署在广泛的bot网络中,该网络由近2,000台受感染的服务器组成。
04
凭证窃取器CopperStealer通过软件破解工具网站传播
披露时间:2021年03月18日
情报来源:https://www.proofpoint.com/us/blog/threat-insight/now-you-see-it-now-you-dont-copperstealer-performs-widespread-theft#
相关信息:
Proofpoint发现了一个活跃的带有下载功能的密码cookie窃取器CopperStealer,其能够在执行窃取活动后分发其他有效负载。最早发现的样本可追溯到2019年7月。CopperStealer被托管在恶意网站上,这些恶意网站宣称提供合法软件的“破解”、“秘钥生成器”和“序列号”,以向用户提供恶意的可执行文件。
CopperStealer采用了几种基本的反分析技术,包括IsDebuggerPresent()检查、系统默认语言检查、寻找通用分析工具的窗口/类枚举、虚拟化设备发现。其会查找和发送在浏览器中存储的Facebook和Instagram凭证。CopperStealer使用HTTP与C2服务器(使用DGA生成)进行通信,能从C2服务器检索下载配置,已发现的下载的恶意软件包括Smokeloader。
漏洞相关
01
Project Zero披露7个零日漏洞:iOS/Android/Windows均受影响
披露时间:2021年03月18日
情报来源:https://googleprojectzero.blogspot.com/2021/03/in-wild-series-october-2020-0-day.html
相关信息:
Google’s Project Zero团队发布了2020年某黑客组织攻击活动的报告。报告发现,该团伙在2020年2月和10月发起了两次攻击活动,利用了至少11个零日漏洞。黑客通过一系列攻击活动建立恶意网站,将访问者重定向到托管了Android、Windows和iOS设备的攻击链的服务器上。
其中,2月份的攻击使用了CVE-2020-6418和CVE-2020-0938等4个漏洞,10月份的攻击使用了CVE-2020-15999(Chrome Freetype堆缓冲区溢出)、CVE-2020-17087(cng.sys Windows堆缓冲区溢出)等7个漏洞。