2021.05.13~05.20
攻击团伙情报
“Operation Magichm” 浅谈蔓灵花组织的CHM文件投放与后续操作
Konni APT组织以“朝鲜局势”相关主题为诱饵对俄进行持续攻击活动
FIN7组织在最近的攻击中使用新的Lizar后门
攻击行动或事件情报
Operation FakeGuard:伪造韩国移动端安全软件的水坑攻击活动
通过RIG Exploit Kit开展的新WastedLoader活动
将Python远控隐藏在文档图片中的行动分析
利用呼叫中心分发BazarLoader恶意软件的攻击活动
恶意代码情报
新Simps僵尸网络针对路由器设备,疑与Keksec团伙存在关系
Bizarro银行木马针对70多个银行进行窃密攻击
攻击者使用MSBuild,无文件传递Remcos和RedLine Stealer
漏洞情报
ZDI对HTTP.sys蠕虫级代码执行漏洞(CVE-2021-31166)分析
攻击团伙情报
01
“Operation Magichm” 浅谈蔓灵花组织的CHM文件投放与后续操作
披露时间:2020年05月19日
情报来源:https://mp.weixin.qq.com/s/adVxC5CgfHoI8_2dKmUGKw
相关信息:
蔓灵花(BITTER)是疑似具有南亚背景的APT组织,该组织长期针对东亚,南亚等地区进行攻击活动,主要针对政府、军工业、电力、核能等单位进行定向攻击,窃取敏感资料。
近日,奇安信威胁情报中心在日常监控过程中发现蔓灵花APT组织开始通过邮箱投递包含有恶意脚本CHM文件的RAR压缩包。经过遥测此类的攻击行动已经持续两年,奇安信研究人员将其命名为Operation Magichm。
经过溯源,本次攻击活动中蔓灵花采用了与以往截然不同的攻击链,使用.net远控作为节点执行命令或者下发插件,并下发了一个之前从未被披露过的新模块。
02
Konni APT组织以“朝鲜局势”相关主题为诱饵对俄进行持续攻击活动
披露时间:2021年05月19日
情报来源:https://mp.weixin.qq.com/s/DDLLGwumDATr4fRsYtYjQw
相关信息:
Konni APT组织据悉由特定政府提供支持,自2014年以来一直持续活动。该组织经常使用鱼叉式网络钓鱼攻击手法,且经常使用与朝鲜相关的主题或社会热点作为诱饵,吸引用户查看并执行附件。
微步近期通过威胁狩猎系统捕获到 Konni APT 组织利用朝鲜局势相关话题针对俄罗斯方向的攻击活动,分析有如下发现:
攻击者以“关于制裁对朝鲜局势的影响”和“解决朝鲜危机的建议”等相关热点话题为诱饵进行鱼叉攻击。
所投递恶意文档语言均为俄语,但部分文档编辑环境为朝鲜语,结合该组织的地缘因素分析,研判主要攻击目标为俄罗斯方向相关组织机构。
文档中携带的恶意模块将会从服务器下载多阶段恶意载荷,最终加载执行后门远控模块,实现对目标主机的远程控制。
根据多维度关联信息显示,本次攻击活动延续了该组织以往的攻击手法。
03
FIN7组织在最近的攻击中使用新的Lizar后门
披露时间:2021年05月14日
情报来源:https://bi-zone.medium.com/from-pentest-to-apt-attack-cybercriminal-group-fin7-disguises-its-malware-as-an-ethical-hackers-c23c9a75e319
相关信息:
BI.ZONE网络威胁研究团队发现, FIN7组织在最近的攻击中使用新的Lizar后门。自2015年中以来,东欧组织FIN7就瞄准了美国的零售、餐饮和酒店行业。
在此次攻击中,FIN7伪装成销售安全分析平台的合法公司,并且自今年2月份以来一直使用新的Lizar后门。该恶意软件是使用.NET框架编写的,在远程Linux主机上运行,支持与Bot客户端的加密通信,具有强大的数据检索和横向移动功能。
04
透明部落APT组织扩展了其Windows恶意软件库
披露时间:2021年05月13日
情报来源:https://blog.talosintelligence.com/2021/05/transparent-tribe-infra-and-targeting.html
相关信息:
Cisco Talos近日发布报告称南亚APT组织透明部落(也称为APT36、Mythic Leopard)扩大了其Windows恶意软件库。该组织在针对印度地区的网络间谍攻击活动中使用了名为ObliqueRAT的新恶意软件。
最新研究发现表明,该组织在各种活动中使用了两种类型的域名:伪装成合法的印度国防和政府相关网站的伪造域名,以及伪装成内容托管站点的恶意域名。这些域相互配合以提供分发带有CrimsonRAT和ObliqueRAT的恶意文档。恶意文档包含多种主题,包括个人简历、军事相关会议议程、蜜罐诱饵和外交主题。
尽管该组织的主要目标仍然为军事和国防人员,但同时也开始针对外交实体、国防承包商、研究组织和与会人员,这表明该组织正在扩大其目标。
攻击行动或事件情报
01
Operation FakeGuard:伪造韩国移动端安全软件的水坑攻击活动
披露时间:2021年05月17日
情报来源:https://mp.weixin.qq.com/s/UJBiqul_2RyIXhs3xYtzug
相关信息:
2020年下半年至今,奇安信病毒响应中心在日常威胁监控过程中发现一款新型的移动端远控程序,该远控伪造韩国SeWorks安全公司移动端安全软件,通过伪造Google Play商店下载页面对相关人员进行水坑攻击,可能通过邮件或者短信的方式诱导受害者下载恶意APK文件,基于样本中相关的字符串我们将该远控命名为DbblogRat。
APK样本功能复杂,免杀效果很好,功能主要为相关信息上传、更新配置文件、打开摄像头或音频、删除用户、电源管理等功能。经过溯源本次活动使用的水坑网站归属大多数是台湾中华电信的动态IP和Vultr VPS服务器。
02
通过RIG Exploit Kit开展的新WastedLoader活动
披露时间:2021年05月18日
情报来源:https://labs.bitdefender.com/2021/05/new-wastedloader-campaign-delivered-through-rig-exploit-kit/
相关信息:
2021年2月,Bitdefender研究人员发现了一个新的RIG Exploit Kit活动。攻击者通过在合法网站发布恶意广告,将访问者重定向到“RIG EK”的登录页面。然后该页面会利用Internet Explorer浏览器中的两个脚本引擎漏洞(CVE-2019-0752和CVE-2018-8174),如果其中一个利用成功,就会执行恶意软件。
恶意软件具备反沙箱、代码混淆、Shellcode解密等功能。可以通过DLL反射注入技术,在当前进程中加载第三阶段的恶意软件模块。所交付的恶意软件似乎为WastedLocker的新变种,其勒索软件部分可能是从C2服务器下载。恶意软件会收集由计算机名、用户名等信息计算的指纹信息并发送给C2。
03
将Python远控隐藏在文档图片中的行动分析
披露时间:2021年05月19日
情报来源:https://mp.weixin.qq.com/s/kASObxoxintb6As-7kR93g
相关信息:
近日,安天CERT通过网络安全监测发现了一起恶意文档释放Python编写的远控木马事件。通过文档内容中涉及的组织信息和其中攻击者设置的诱导提示,研究人员判断该事件是一起针对阿塞拜疆共和国国家石油公司进行的定向攻击活动。
此次事件中,攻击者充分利用技术实现规避反病毒软件查杀,具体为利用了隐写术将远控木马相关文件以压缩包格式存储于恶意文档里的图片中以备后期提取利用。
首先将该恶意文档另存为docx文件,该文件格式具备ZIP文件的特性,然后另存为ZIP格式进行解压并获取其中的图片,最后提取图片中的远控木马文件。此远控木马采用Python语言编写,具备一般远控的上传、下载和命令执行等功能。
04
利用呼叫中心分发BazarLoader恶意软件的攻击活动
披露时间:2021年05月19日
情报来源:https://unit42.paloaltonetworks.com/bazarloader-malware/
相关信息:
2021年2月上旬,Unit42研究人员发现一种基于呼叫中心的BazarLoader分发方法。攻击者通过发送带有电话号码的试用订阅到期电子邮件,引导目标拨打电子邮件中的电话号码,呼叫中心接线员将受害者引导至假公司网站,下载上面的恶意Microsoft Excel文件,启用宏后将感染BazarLoader恶意软件。
BazarLoader(有时称为BazaLoader)是一种恶意软件,可提供对受感染Windows主机的后门访问。客户端被感染后,可以使用此后门来分发后续恶意软件(如Cobalt Strike、Anchor)。
05
针对哥伦比亚的LimeRAT活动,使用Internet Archive托管负载
披露时间:2021年05月17日
情报来源:https://lab52.io/blog/literature-lover-targeting-colombia-with-limerat/
相关信息:
Lab52分析人员发现针对哥伦比亚的攻击活动,攻击者正在通过电子邮件发起感染,使用的邮件主题涉及传票或银行付款,并且具有精心制作的html视图。电子邮件附件实际上是伪装的PDF图标,点击后将从One Drive下载压缩文件。rar文件包含Visual Basic Script脚本,其将创建一个Windows脚本主机Shell对象,下载并执行一个新的Powershell脚本。
攻击者将恶意软件托管在Internet Archive上,并使用注册表项“ HKCU”建立持久性。发现的大多数脚本试图禁用常见的防病毒解决方案,并使用Reflection Assembly技术,在Powershell中以字节数组的形式创建二进制有效载荷。然后使用puppet进程注入将其加载到进程。最终的有效负载为njRAT的修改版本LimeRAT。
恶意代码情报
01
新Simps僵尸网络针对路由器设备,疑与Keksec团伙存在关系
披露时间:2021年05月17日
情报来源:https://www.uptycs.com/blog/discovery-of-simps-botnet-leads-ties-to-keksec-group
相关信息:
Uptycs的威胁研究小组发现了一个名为“Simps”的新僵尸网络,其主要用于DDOS活动。Simf僵尸网络二进制文件通过Shell脚本以及CVE-2017-17215、CVE-2018-10561远程代码执行漏洞利用程序下载。
僵尸网络执行后存在被感染的.log文件,表明其可能处于开发早期阶段。其使用Mirai和Gafgyt类似的模块进行DDOS功能。
该僵尸网络所有者拥有一个YouTube和Discord账户,用于进行僵尸网络的使用演示。相关信息表明Simps僵尸网络与Keksec Group可能存在联系。
02
Bizarro银行木马针对70多个银行进行窃密攻击
披露时间:2021年05月17日
情报来源:https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/
相关信息:
Bizarro是一个来自巴西的银行木马家族,现已在世界其他地区发现,如西班牙,葡萄牙,法国和意大利。研究人员发现攻击者正在从欧洲和南美不同国家的70家银行的客户那里窃取凭证。Bizarro是移动端恶意软件,旨在捕获在线银行凭证并劫持Android用户的比特币钱包。分析表明,它是通过Microsoft Installer软件包传播,该软件包可以由受害者直接从垃圾邮件的链接中下载,也可以通过木马化的应用程序进行安装。
Bizarro具有Windows x64模块,以诱骗受害者在伪造的弹出窗口中输入双因素身份验证代码,还利用社会工程攻击诱骗受害者下载移动应用程序。该恶意软件的的核心组件是一个支持100多个命令的后门,只有当其检测到已经连接到一个硬编码的网上银行系统时,后门才会启动。Bizarro利用会员或招募现金骡子来提现或转移。Bizzaro背后的组织使用Azure和Amazon(AWS)上托管的服务器以及受感染的WordPress服务器来存储恶意软件并收集信息。
03
攻击者使用MSBuild,无文件传递Remcos和RedLine Stealer
披露时间:2021年05月13日
情报来源:https://www.anomali.com/blog/threat-actors-use-msbuild-to-deliver-rats-filelessly
相关信息:
Anomali发现了一个活动,其中攻击者使用Microsoft Build Engine(MSBuild)来无文件分发Remcos远程访问工具(RAT)和窃密恶意软件RedLine Stealer。该活动似乎于2021年4月开始,至2021年5月11日仍在进行中。
恶意MSBuild文件包含编码的可执行文件和shellcode,其中一些文件托管在俄罗斯图像托管网站“ joxi[.]net”上。RemcosRAT具备反AV、凭证收集、收集系统信息、键盘记录、持久性保持、屏幕截图、脚本执行功能。RedLine Stealer具备收集Cookies、凭据(聊天客户端、vpn、浏览器、NordVPN、加密货币钱包)、系统信息功能。
04
AHK木马加载器攻击活动分析
披露时间:2021年05月14日
情报来源:https://blog.morphisec.com/ahk-rat-loader-leveraged-in-unique-delivery-campaigns
相关信息:
Morphisec实验室团队追踪到一个独特的使用AutoHotKey脚本传播RAT的攻击活动。研究人员发现攻击活动至少传播了四个版本的RAT,其中每个版本都出现了多种调整。
攻击者使用VBsEdit将VjW0rm和Houdini VBScript等恶意脚本转换为可执行文件。使用相同的脚本和UAC绕过技术来禁用安全程序;下载的木马包括:LimeRAT ,RevengeRAT,AsyncRAT和 Houdini RAT。
漏洞相关
01
ZDI对HTTP.sys蠕虫级代码执行漏洞(CVE-2021-31166)分析
披露时间:2021年05月17日
情报来源:https://www.zerodayinitiative.com/blog/2021/5/17/cve-2021-31166-a-wormable-code-execution-bug-in-httpsys
https://github.com/0vercl0k/CVE-2021-31166
相关信息:
HTTP协议堆栈(HTTP.sys)中存在一个远程执行代码漏洞(CVE-2021-31166)。该漏洞是由于维护UlpParseAcceptEncoding中的循环双链表时存在设计缺陷导致。漏洞存在于Windows 10和Windows Server中的HTTP协议栈(http.sys)处理程序,该程序广泛的用于应用之间或设别之间的通信。常见的组件如Internet Information Services(IIS)便使用该程序进行通信处理。
未授权的攻击者可以通过在Web请求中向目标系统发送特制的Accept-Encoding请求头来利用该漏洞攻击目标服务器,成功利用该漏洞的攻击者可以进行DoS拒绝服务攻击,或在目标服务器以内核权限执行任意代码。
02
MacOS SMB服务器中的信息泄露漏洞
披露时间:2021年05月19日
情报来源:https://blog.talosintelligence.com/2021/05/vuln-spotlight-smb-information-disclosure.html
相关信息:
思科Talos最近在Apple macOS的SMB服务器中发现了一个可利用的整数溢出漏洞,该漏洞可能导致信息泄露。服务器消息块(SMB)是Windows网络环境中常见的网络文件共享,但是MacOS包含其自身对服务器和客户端组件的专有实现。
CVE-2021-1878是一个整数溢出漏洞,在MacOS SMB服务器处理SMB3复合数据包时触发。攻击者可以通过向目标SMB服务器发送特制数据包来利用此漏洞。除了能获取到敏感信息之外,攻击者还可以使用整数溢出来绕过加密检查并进行拒绝服务攻击。