2021.06.24~07.01
攻击团伙情报
疑似Hades组织以军事题材针对乌克兰发起攻击
Nobelium组织入侵并窃取微软客户支持工具
WayBack Campaign:疑似Gorgon针对欧洲地区的大规模攻击活动
Kimsuky伪装成统一部下发恶意文档的攻击活动分析
攻击行动或事件情报
TA543组织使用JSSLoader变体攻击多个行业
针对航空公司的鱼叉式网络钓鱼活动
恶意代码情报
模块化恶意软件DirtyMoe分析
勒索软件团伙PYSA使用新型木马ChaChi,针对教育组织
伪造盗版软件传播的窃密样本分析
Snake键盘记录器及其它窃密工具之间的代码重用分析
漏洞情报
Atlassian域名被曝一次点击账户接管漏洞,可导致供应链攻击
Adobe Experience Manager中RCE 0day披露
攻击团伙情报
01
疑似Hades组织以军事题材针对乌克兰发起攻击
披露时间:2021年06月29日
情报来源:https://mp.weixin.qq.com/s/1wQbepT4pMJdv2k8uoR01w
相关信息:
近日,安恒威胁情报中心猎影实验室捕获到一个恶意攻击样本,通过对样本进行溯源分析发现该样本疑似Hades组织针对乌克兰的又一次攻击行动。Hades是一个充满神秘色彩的APT组织,该组织因为2017年12月22日针对韩国平昌冬奥会的攻击活动被首次发现。该攻击组织的归属问题一直未有明确定论。一方面由于该组织在攻击事件中使用的破坏性恶意代码(Olympic Destroyer)与朝鲜Lazarus组织使用的恶意代码存在相似性。而另一方面则有部分美国媒体认为该事件的幕后黑手是俄罗斯情报机构,他们故意模仿了其他组织的攻击手法以制造虚假flag迷惑安全人员。
研究人员通过对样本进一步关联分析发现,该样本与Hades组织存在较强关联。本次样本的攻击目标、宏代码相似度等方面均与猎影实验室此前发布的“魔鼠行动(OPERATION TRICKYMOUSE)-以新冠病毒为主题攻击乌克兰”相吻合。两次事件都是针对乌克兰作为攻击目标,且宏代码在数据初始化、解密算法、执行功能等方面也基本相同。两个样本都在代码起始位置使用相同方式通过函数初始化要保存到本地的文件数据,然后使用相同方式初始化变量,同时解密函数也完全相同,且在主函数中代码的功能逻辑也完全相同。因此,研究人员认为此次恶意攻击疑似为Hades组织针对乌克兰的又一次攻击行动。
02
Nobelium组织入侵并窃取微软客户支持工具
披露时间:2021年06月25日
情报来源:https://msrc-blog.microsoft.com/2021/06/25/new-nobelium-activity/
相关信息:
6月25日,微软称其遭到了黑客团伙Nobelium的攻击。Nobelium是疑似具有东欧背景的黑客组织,与SolarWinds供应链攻击有关。微软表示该黑客组织一直在进行密码喷洒攻击和暴力攻击,以获取对公司网络的访问权限。在撞库攻击中,他们试图在多个账户中使用相同的密码尝试登录。而在暴力攻击中,一个账户被使用不同密码尝试的登录。
通过调查,微软在其客户支持代理的计算机上检测到一个信息窃取木马,窃取了部分客户的个人信息,而Nobelium将使用这些信息对微软的客户进行有针对性的网络钓鱼攻击。
微软表示,通过渗透微软客户支援工具来攻击微软客户,只是Nobelium庞大攻击活动的一部分。该活动针对特定客户,主要是IT公司(57%),其次是政府(20%),非政府组织和智库以及金融服务的比例较小。且黑客的攻击目标分散在全球36个国家,当中有45%位于美国,10%位于英国,其次是德国及加拿大。
03
WayBack Campaign:疑似Gorgon针对欧洲地区的大规模攻击活动
披露时间:2021年06月29日
情报来源:https://yoroi.company/research/the-wayback-campaign-a-large-scale-operation-hiding-in-plain-sight/
相关信息:
近日,Yoroi研究人员披露了一起针对欧洲地区的大规模攻击活动,攻击者利用serverless技术绕过传统安全防御,此次攻击活动被命名为“WayBack Campaign”,该活动可能与名为Gorgon/Subaat的威胁组织有关。
在以往的活动中,该组织常滥用Pastebin服务来托管和投放恶意代码,在最新的活动中,攻击者仍然利用商业平台或软件绕过安全控制和防病毒软件,向全球各地区投放了450多种不同的恶意软件,并使用Internet Archive平台上的多个账户,在其项目的“社区文本”存储库中托管了大量恶意代码,将其恶意工具伪装成打开的书籍和文本。
研究人员表示此次攻击活动只是大规模攻击活动的一部分。其TTP相似的组织Aggah(TH-157)曾针对意大利制造业发起过Roma225及RG Campaign等攻击活动,此外,美国、欧洲和亚洲也曾遭受过该组织发起的大规模攻击行动。
04
Kimsuky伪装成统一部下发恶意文档的攻击活动分析
披露时间:2021年06月25日
情报来源:https://blog.alyac.co.kr/3868
相关信息:
近日,ESRC披露了KimSuky仿冒统一部和统一研究所的攻击事件。其中,冒充统一部的攻击样本于6月22日捕获,冒充统一部研究所的样本由6月24日捕获。两例样本精心构造了看起来正常的发件人邮箱和使用了类似的诱饵主题。在ESRC回溯了电子邮件发件地址之后,发现两例样本都使用了121[.]78[.]88[.]94作为服务器,并且该服务器地址已经存在并投入使用了一段时间。
在攻击者发送的邮件正文中,他们巧妙的盗用了统一部或统一研究所官方所发布的文档封面,将hwp或pdf文档作为附件进行展示并诱导受害者点击,当受害者点击链接之后将会要求输入账号密码以查看文档,攻击者通过这样的方式成功窃取了目标的账号密码。
攻击行动或事件情报
01
TA543组织使用JSSLoader变体攻击多个行业
披露时间:2020年06月24日
情报来源:https://www.proofpoint.com/us/blog/threat-insight/jssloader-recoded-and-reloaded
相关信息:
近期,研究人员在影响各个行业的多起活动中观察到了恶意软件加载器 JSSLoader 的新变体。为了获取更好的免杀性,JSSLoader背后的开发团队将以前.NET写的代码用C++进行了重构。
JSSLoader是最早于2019年出现的一款恶意软件加载器,最开始由.NET编写,自2019年发布之后便一直保持着比较稳定的更新,主要包括通信协议和一些新指令的完善。直到2020年12月份,JSSLoader突然停止了更新,六个月后,一款由C++编写的JSSLoader才重新出现在安全研究员的视线中。由C++编写的JSSLoader保持了之前的通信协议模块,只是在代码层面进行了更新。研究人员认为,此次更新可以使攻击者更好地规避现有的检测功能。JSSLoader的新变体使用“AppJSSLoader”的值名称来设置“registry run”持久性,并且具有与.NET版本类似的系统信息信标风格。
经过比较,研究人员将大多数JSSLoader的活动归因于TA543组织。该组织最近的活动针对多个行业的数百个组织,包括金融、制造业、技术、零售、医疗保健、教育和交通。
02
针对航空公司的鱼叉式网络钓鱼活动
披露时间:2021年06月27日
情报来源:https://www.fortinet.com/blog/threat-research/spear-phishing-campaign-with-new-techniques-aimed-at-aviation-companies
相关信息:
FortiGuard Labs发现了一个鱼叉式网络钓鱼活动,该活动瞄准航空企业。在此活动中,分发AsyncRAT有效负载的恶意链接通过精心设计的消息发送给航空公司。AsyncRAT是一种开源远程管理工具,用于窃取凭据和其他敏感数据,具备在受感染机器上上传和下载文件的功能。
钓鱼邮件包含伪装成 pdf 附件的恶意链接。电子邮件中的链接将用户定向到初始VB脚本负载托管站点。然后.vbs脚本分发第二阶段有效负载xml文件,其中包含内联C#、 .NET汇编代码,用作RAT加载程序。加载器挖空并将最终的有效载荷AsyncRAT注入受害进程(RegSvcs.exe)。AsyncRAT在Pastebin上托管资源和其他有效负载,并采用无文件技术在内存中执行有效负载。
研究人员推测,该活动可能是Snip3加密即服务的一部分,因为其中一些工件具有相似性,如发送者IP、C2IP地址和最终有效载荷。但是此活动不使用PowerShell脚本,而是采用了一种新技术来编译和执行包含在XML中的内联C#代码。
03
Rootkit恶意软件通过供应链攻击,滥用Microsoft签名
披露时间:2021年06月25日
情报来源:https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit
相关信息:
微软已经确认在游戏环境中签署了一个恶意驱动程序,名为“Netfilter”。该驱动程序实际上是一个 rootkit,最早的样本签名可以追溯到2021年3月。该恶意驱动程序在游戏环境中分发,通过 Windows 硬件兼容性计划 (WHCP) 进行认证。其Dropper会释放驱动程序到%APPDATA%\netfilter.sys,接着通过regini.exe x.calm指令注册驱动。
Netfilter驱动程序连接到解码后的远程服务器地址以获取配置信息。响应的信息涉及5个IP相同,路径不同的地址。地址的作用分别为代理设置、获取重定向 IP、使用CPU-ID进行Ping、接收根证书、获取更新。
目前,微软已暂停了这个传播Netfilter恶意驱动程序的帐户,并已审查了该账户提交的其他恶意软件。并完善其合作伙伴访问策略以及验证和签名流程,以进一步加强保护。
恶意代码情报
01
模块化恶意软件DirtyMoe分析
披露时间:2021年06月16日
情报来源:https://decoded.avast.io/martinchlumecky/dirtymoe-1/
相关信息:
Avast研究人员对DirtyMoe恶意软件进行了研究和分析,NuggetPhantom 恶意软件是DirtyMoe的第一个版本,而PurpleFox是其常用漏洞利用工具包。DirtyMoe的目的是进行数字货币劫持和DDoS攻击。其通过EternalBlue漏洞和CVE-2020-0674、CVE-2019-1458、 CVE-2015-1701、 CVE-2018-8120、CVE-2014-6332等漏洞传播。DirtyMoe利用 Windows MSI 安装程序来部署恶意软件。
DirtyMoe层次结构高度模块化,配置和控制非常灵活。DirtyMoe Core和DirtyMoe Executioner为恶意软件作者提供接口,使其可以远程模块化DirtyMoe,并通过MOE对象更改目的和配置。DirtyMoe Core与命令和控制 (C&C) 服务器通信以获取攻击者命令。同时,其采用了混淆机制来混淆最终的C&C服务器地址,使每次通信的地址都不相同,该机制基于DNS请求。
02
勒索软件团伙PYSA使用新型木马ChaChi,针对教育组织
披露时间:2021年06月23日
情报来源:https://blogs.blackberry.com/en/2021/06/pysa-loves-chachi-a-new-golang-rat
相关信息:
黑莓研究人员跟踪并发现了一种新的针对Windows 系统的Golang远程访问木马(RAT),并将其命名为ChaChi。勒索软件团伙PYSA(又名Mespinoza)已经使用这种木马在全球范围内攻击受害者,最近针对的是教育组织。
PYSA 攻击活动的主要特征包括:使用PowerShell 脚本卸载,停止,禁用防病毒和其他基本服务;从 LSASS 转储凭证;使用端口扫描器进行内部网络服务枚举;使用ChaChi 作为持久化工具;利用RDP和PsExec横向移动;可能通过 ChaChi 隧道渗出数据。
03
伪造盗版软件传播的窃密样本分析
披露时间:2021年06月28日
情报来源:https://mp.weixin.qq.com/s/ykQRCzzWveunFbVs-IaAYQ
相关信息:
近日,安天CERT监测到黑产组织利用伪造的盗版软件下载网站分发多个恶意程序的窃密攻击行动,目前共监测伪造相关虚假盗版(破解)软件数百个,中国已有近千台设备受其感染。本起行动中黑产组织使用了多样化的入侵模块以实现更灵活的攻击,黑产组织通过搭建伪造的盗版软件下载网站,通过多个账号在不同社交平台发布声称是知名软件的破解版本的下载链接,诱导受害者下载并执行恶意程序。
该程序执行后会释放模块加载器及7个攻击模块,攻击模块的主要功能包括窃取浏览器Cookie、保存的密码及历史记录,并收集系统信息及网络配置信息,释放广告插件等。目前,攻击者仍在频繁更新攻击模块,未来可能会具有更复杂的功能。
04
Snake键盘记录器及其它窃密工具之间的代码重用分析
披露时间:2021年06月28日
情报来源:https://threatresearch.ext.hp.com/the-many-skins-of-snake-keylogger/
相关信息:
Snake是一个模块化的.NET键盘记录器和凭据窃取器,于2020年11月下旬首次被发现。本文描述了Snake的能力、其感染链和代码与其他四个键盘记录器:Matiex,404,Phoenix和Cheetah的相似之处。
Snake使用恶意邮件分发;利用解包器CaptIt.dll解压和执行恶意负载;注入进程RunPE中执行;使用多种工具对代码进行混淆;通过建立run注册表键值以持久化。
研究人员认为Matiex和Snake可能共享相同的代码库,Snake是从前者派生出来的。404和Phoenix使用略微不同的函数来记录击键,并且可以使用PastebinAPI过滤数据。Cheetah使用与Snake和Matiex相同的键盘记录功能,但提取密码的模块较少,数据回传方式与Snake相同,即Telegram、FTP或SMTP。
05
安卓银行木马OSCORP窃取银行凭据和加密货币
披露时间:2021年06月14日
情报来源:https://www.revelock.com/hubfs/REVELOCK/resources/malware-report/revelock-malware-report-oscorp_EN.pdf?hsCtaTracking=b401a046-3b10-4c4a-aeef-3f09900cd563%7C8c64dcdc-2fb2-4ff7-a444-b20dbd218f15
相关信息:
REVELock对安卓银行木马家族OSCORP进行分析。其通过一个假网站进行木马的传播,目前该网站已停用。一旦用户安装了应用程序后,恶意软件首先让用户提供访问权限,该木马包含安装计时器,每8秒检查一次用户是否赋予应用可访问权限。如果没有,将打开系统的可访问性设置,试图迫使用户提供这些设置,从而阻止用户正常使用系统。
安装后,该木马会从银行应用程序窃取凭证,如果用户正在使用特定的钱包应用程序,则通过替换钱包地址窃取加密货币。此外,恶意软件可以接收短信并转发给攻击者,并且使攻击者可以向选择的电话号码发送短信和呼叫转移。
漏洞相关
01
Atlassian域名被曝一次点击账户接管漏洞,可导致供应链攻击
披露时间:2021年06月24日
情报来源:https://research.checkpoint.com/2021/a-supply-chain-breach-taking-over-an-atlassian-account/
相关信息:
2021年6月24日,Check Point Research研究人员披露了Atlassian 子域名中的XSS、CSRF和一次点击账户接管漏洞。攻击者通过跨站脚本和跨站请求伪造攻击可以劫持由这些子域名访问的账户。
研究人员表示,攻击者只需说服目标用户点击恶意链接即可触发漏洞利用链并控制帐户,可执行的攻击包括账户劫持、数据盗取、以用户身份执行的操作以及获取对 Jira 工单的访问权限等。
02
Adobe Experience Manager中RCE 0day披露
披露时间:2021年06月28日
情报来源:https://labs.detectify.com/2021/06/28/aem-crx-bypass-0day-control-over-some-enterprise-aem-crx-package-manager/
相关信息:
研究团队发现Adobe Experience Manager(AEM)中存在RCE 0day。AEM是流行的内容管理解决方案,已成为许多知名企业的首选内容管理系统 (CMS),包括万事达卡、LinkedIn、PlayStation和McAfee在内的多家公司都受到了影响。
该漏洞存在于生在CRX /crx/packmgr/端点,攻击者可以绕过Dispatcher中的身份验证来访问CRX Package Manager,然后在AEM中上传恶意包来获得对应用程序的完全控制。
点击阅读原文至ALPHA威胁分析平台
开启新一天狩猎 ^-^