2021.04.08~04.15
攻击团伙情报
伊朗的APT34返回,武器库更新
Lazarus团伙利用新恶意软件Vyveva攻击南非的货运公司
SideWinder APT针对南亚某区域的攻击活动分析
Win32k提权漏洞(CVE-2021-28310)已被APT组织BITTER利用
攻击行动或事件情报
新恶意软件下载器Saint Bot,通过网络钓鱼邮件传播
BazarCall和IcedID恶意软件活动激增,通过垃圾邮件传播
FormBook变体通过网络钓鱼活动传播
通过破解版Office套件传播恶意软件的活动,窃取Monero币
恶意代码情报
Cring勒索软件攻击活动利用Fortigate VPN服务器漏洞
新安卓蠕虫恶意软件通过WhatsApp自动回复传播
针对美国教育组织的挖矿劫持活动
Muhstik僵尸网络依旧活跃,针对Linux云服务
漏洞情报
Chrome和Edge远程代码执行0Day漏洞通告
攻击团伙情报
01
伊朗的APT34返回,武器库更新
披露时间:2021年04月08日
情报来源:https://research.checkpoint.com/2021/irans-apt34-returns-with-an-updated-arsenal/
相关信息:
APT34自从2019年工具被泄露之后,该组织就一直在积极的重新设计和更新其武器库以避免被检测。今年一月份,Check Point的安全研究员捕获并详细分析了APT34针对黎巴嫩的攻击活动。
攻击活动最初由一个带有恶意宏代码的doc文档展开,恶意宏通过DNS隧道与C2建立连接并且释放第二阶段的SideTwist。
SideTwist是APT34的全新后门组件,该组件首先会注册一个计划任务实现持久化,接着收集并格式化当前计算机的受害者信息并将其用在后续的通信中。与C2请求后,C2将会返回带有base64编码的HTML代码,SideTwist会获取并对其进行base64解码,解码之后执行对应的远控指令。
02
Lazarus团伙利用新恶意软件Vyveva攻击南非的货运公司
披露时间:2021年04月08日
情报来源:https://www.welivesecurity.com/2021/04/08/are-you-afreight-dark-watch-out-vyveva-new-lazarus-backdoor/
相关信息:
朝鲜黑客组织Lazarus使用了新型恶意软件Vyveva,对南非一家货运物流公司发起定向攻击。ESET发现,Lazarus最初是在2020年6月的攻击中使用Vyveva,但在2018年12月之前的攻击中就一直在部署它。
Vyveva具有后门功能,可执行任意恶意代码并支持时间戳命令。研究人员发现Vyveva仅感染了两台属于同一家货运公司的服务器,并且是首次在野外被利用,因此推测其可能会被用于其他有针对性的间谍活动。
03
SideWinder APT针对南亚某区域的攻击活动分析
披露时间:2021年04月09日
情报来源:https://mp.weixin.qq.com/s/uIuYqWxN73jdPcfEUWJt7Q
相关信息:
近日,NDR团队捕获多起南亚APT组织SideWinder的攻击样本,该组织以窃取政府、能源、军事、矿产等领域的机密信息为主要目的。本次捕获到的攻击样本手法与往期相似,即通过带漏洞的RTF文档释放并执行JS脚本。
研究人员在对SideWinder攻击样本分析后发现,该组织在最后阶段的App.dll与以往使用的工具非常相似,其添加了异常回传、启动Decoy功能。
04
Win32k提权漏洞(CVE-2021-28310)已被APT组织BITTER利用
披露时间:2021年04月13日
情报来源:https://securelist.com/zero-day-vulnerability-in-desktop-window-manager-cve-2021-28310-used-in-the-wild/101898/
相关信息:
Kaspersky调查BITTER APT组织在攻击中使用的CVE-2021-1732漏洞时,发现了与该组织有关的另一个Win32k提权漏洞(CVE-2021-28310)。Microsoft在4月的安全更新中发布了包括此漏洞以及其他4个0day在内的108个漏洞的修补程序。
此漏洞利用的整个利用过程如下:
创建大量具有特定大小属性的资源,以使堆进入可预测状态。
创建具有特定大小和内容的属性附加资源,以便在特定位置使用假属性来加载内存。
释放在第二阶段创建的资源。
使用属性创建其他资源。这些资源将用于执行OOB写操作。
在第1阶段创建的资源中打洞。
为在第4阶段创建的资源创建其他属性。它们的缓冲区将分配到特定的位置。
对于在第4阶段创建的资源,创建“特殊”属性会导致在内核模式/用户模式下分配给同一资源的属性数不一致。
使用OOB写入漏洞来编写shellcode,创建对象并执行代码。
将其他shellcode注入另一个系统进程。
攻击行动或事件情报
01
新恶意软件下载器Saint Bot,通过网络钓鱼邮件传播
披露时间:2021年04月09日
情报来源:https://blog.malwarebytes.com/threat-analysis/2021/04/a-deep-dive-into-saint-bot-downloader/
相关信息:
Malwarebytes发现通过网络钓鱼电子邮件传播Saint Bot的恶意软件活动。邮件中包含恶意软件的zip文件,该zip文件中包含一个PowerShell脚本,该脚本将启动一系列感染,最终分发Saint Bot。
Saint Bot可以禁用Windows Defender,某些字符串使用FLOSS工具进行了模糊处理,其在执行前会进行多种检查主机环境,包括语言环境检查、注册表虚拟环境键值检查等。Saint Bot通过创建互斥量避免多次部署,通过计划任务和注册表来维护持久性。
Saint Bot带有硬编码的C2服务器地址,其根据C2给定的链接下载可执行文件,将其放在“ProgramData”目录中,然后执行。其控制面板包含被控主机用户名、IP、操作系统、架构、部署bot时使用的特权、国家、与C2通信的第一个和最后一个时间戳,以及部署的操作信息。
02
BazarCall和IcedID恶意软件活动激增,通过垃圾邮件传播
披露时间:2021年04月12日
情报来源:https://www.trendmicro.com/en_us/research/21/d/a-spike-in-bazarcall-and-icedid-activity.html
相关信息:
趋势科技发现近期BazarCall和IcedID活动激增。这两个活动的共同点是使用垃圾邮件诱使目标下载恶意文件。
BazarCall通过仿冒的“医疗提醒服务”公司主题的垃圾邮件传播,指示用户去钓鱼网页取消订阅,一旦受害者输入订阅号,网站就会自动下载恶意Excel文档。一旦启用宏,将会释放恶意二进制文件,恶意文件会和C2通信并下载BazarLoader有效负载。
IcedID银行木马则以带有zip格式附件的垃圾邮件传播,其中包含XLSM文件,启用宏后将下载恶意IcedID。
03
FormBook变体通过网络钓鱼活动传播
披露时间:2021年04月12日
情报来源:https://www.fortinet.com/blog/threat-research/deep-analysis-new-formbook-variant-delivered-phishing-campaign-part-I
相关信息:
FortiGuard Labs发现一起网络钓鱼活动,该网络活动以电子邮件附件的形式提供Microsoft PowerPoint文档,以传播FormBook恶意软件的新变种。
FormBook使用键盘记录器和表单抓取器来窃取个人信息,例如浏览器,IM,Email客户端和FTP客户端上的凭据。恶意PowerPoint文档通过VBA代码以下载PowerShell代码,该代码提取.Net文件“item3.jpg”。FormBook载荷通过三个 .net模块Li7f、zOAI、AMe8传输,并最终由AMe8执行。
04
通过破解版Office套件传播恶意软件的活动,窃取Monero币
披露时间:2021年04月13日
情报来源:https://labs.bitdefender.com/2021/04/from-cracks-to-empty-wallets-how-popular-cracks-lead-to-digital-currency-and-data-theft/
相关信息:
Bitdefender分析人员最近发现一系列攻击,攻击者试图利用Office工具和图像编辑软件破解版来破坏计算机,劫持加密货币钱包并通过TOR网络渗漏信息。破解Office软件执行后将会释放ncat.exe(一种通过网络发送原始数据的合法工具)和TOR代理文件,并通过计划任务每隔45分钟运行一次。恶意行为包括通过TOR进行文件渗漏、关闭防火墙、Firefox浏览器配置文件数据窃取、利用CLI客户端盗窃Monero钱包。
恶意代码情报
01
Cring勒索软件攻击活动利用Fortigate VPN服务器漏洞
披露时间:2021年04月07日
情报来源:https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/
相关信息:
卡巴斯基ICS CERT发现,攻击者在Cring勒索软件活动中利用了Fortigate VPN服务器漏洞,受害者包括欧洲各国的工业公司。攻击者利用FortiOS SSL VPN中的目录遍历漏洞(CVE-2018-13379)获取对企业网络的访问权限,该漏洞用于提取VPN网关的会话文件,会话文件包含例如用户名和纯文本密码等有价值信息。
攻击者在获得初始访问权限后会下载定制的Mimikatz和CobaltStrike到该系统,Mimikatz用于窃取以前登录受感染系统的Windows用户帐户凭据。Cobalt Strike框架则用于横向移动,获得对受感染系统的控制后下载cmd脚本到计算机,该脚本可以下载和启动Cring勒索软件。为了能够加密数据库文件并删除备份副本,Cring恶意软件会停止Veritas NetBackup和Microsoft SQL Server的相关服务进程。
02
新安卓蠕虫恶意软件通过WhatsApp自动回复传播
披露时间:2021年04月07日
情报来源:https://research.checkpoint.com/2021/new-wormable-android-malware-spreads-by-creating-auto-replies-to-messages-in-whatsapp/
相关信息:
Check Point Research最近在Google Play上发现名为FlixOnline的Android恶意软件伪装成Netflix恶意软件,该软件能够通过用户的WhatsApp消息进行传播。
其要求用户授予恶意软件适当权限,包括覆盖、电池优化忽略和通知权限,这些权限能够为恶意软件提供创建虚假“登录”窗口,侦听通知消息的能力,并且可以避免恶意软件被设备的电池优化例程关闭。使最终有效负载可以自动回复受害者收到的WhatsApp消息,让攻击者能够进行网络钓鱼攻击,散布虚假信息或从用户的WhatsApp帐户中窃取凭据和和信用卡信息。
目前,Google已将该恶意软件从Play商店中删除。
03
针对美国教育组织的挖矿劫持活动
披露时间:2021年04月08日
情报来源:https://unit42.paloaltonetworks.com/attackers-conducting-cryptojacking-u-s-education-organizations/
相关信息:
Unit 42研究人员发现针对华盛顿州教育机构的攻击活动,活动中使用经过UPX打包的cpuminer。分析人员通过恶意流量捕获到攻击活动,有效负载通过wget下载,并且还会下载一个伪装成合法wp-load.php文件的shell。攻击者的最终目标是进行挖矿劫持活动。
04
Muhstik僵尸网络依旧活跃,针对Linux云服务
披露时间:2021年04月12日
情报来源:https://bluehexagon.ai/blog/cloud-threat-advisory-muhstik-botnet-strikes-again/
相关信息:
Blue Hexagon研究人员最近发现Muhstik僵尸网络针对云服务的攻击活动激增,目标为基于Linux的服务和设备。恶意文件在端口59000/TCP上进行本地侦听,并使用IRC协议在端口8080上建立C2远程连接。
其功能包括泛洪攻击、文件下载、SSH暴力破解、shell命令、IRC命令。
漏洞相关
01
Chrome和Edge远程代码执行0Day漏洞通告
披露时间:2021年04月14日
情报来源:https://mp.weixin.qq.com/s/V3SgFcCt_D62dskBK-Vw2w
相关信息:
研究人员在Rajvardhan Agarwal在Twitter发布了Chrome和Edge等应用中的RCE 0day的PoC。该漏洞是基于Chromium的浏览器的V8 JavaScript引擎中远程执行代码漏洞,影响了Chrome、Edge、Opera和Brave等浏览器。
此外,Agarwal表示该0day需要与另一个可以在Chromium的沙箱逃逸的漏洞一起使用才能发挥作用。目前,该漏洞已在V8 JavaScript引擎的最新版本中被修复。