2021.11.18~11.25
攻击团伙情报
深度剖析MuddyWater武器库之POWERSTATS后门
“肚脑虫”组织近期利用Google云盘分发新款恶意插件的攻击活动分析
起底国家级APT组织:肚脑虫(APT-Q-38)
疑似Lazarus针对韩国航空业展开定向攻击
疑似Kimsuky利用商业软件Web Browser Password Viewer进行攻击
近期Sidecopy针对印度军事训练营的鱼叉攻击活动
攻击行动或事件情报
RedCurl 企业间谍黑客使用更新的工具恢复攻击
疑似间谍软件公司candiru参与针对中东地区的钓鱼活动
攻击者利用微软Exchange服务器发送恶意邮件
恶意代码情报
新版Remcos RAT已开始通过邮件传播
BazarLoader 将受损的安装程序、ISO 添加到到达和交付向量中
恶意 Python 包窃取 Discord 令牌以安装 shell
双平台传播——活跃的H2Miner组织挖矿分析
漏洞情报
GitHub解决了NPM包管理器中的两个主要漏洞
CloudLinux Imunity360 中的 PHP 反序列化漏洞可导致任意代码执行
研究人员披露了一个新的Windows零日漏洞
攻击团伙情报
01
深度剖析MuddyWater武器库之POWERSTATS后门
披露时间:2021年11月25日
情报来源:https://mp.weixin.qq.com/s/NAyf-l3cs4jzOjxn2EI0KQ
相关信息:
MuddyWater APT组织于2017 年 2 月被Unit42披露命名,被认为是来源于中东地区的APT组织,主要针对周边国家及其他地区进行攻击。该组织早期的攻击活动与FIN7组织有关联,但由于其动机完全不同所以被划分为两个不同的组织。
MuddyWater组织的攻击通常始于向组织发送有针对性的电子邮件,然后从该组织内受感染的系统中窃取合法文件,然后将其武器化并分发给其他受害者。其攻击的特点是善于使用高度混淆的PowerShell后门,被称为POWERSTATS。
近日,奇安信威胁情报中心红雨滴团队捕获到一例样本,经分析为MuddyWater早期的样本,属于老样本新上传,鉴于POWERSTATS后门一直保持着较好的免杀效果,本文将对MuddyWater早期的攻击武器及攻击手法做一个剖析。
02
“肚脑虫”组织近期利用Google云盘分发新款恶意插件的攻击活动分析
披露时间:2021年11月23日
情报来源:https://mp.weixin.qq.com/s/J2FL52rVX2tTCODdwIin4Q
相关信息:
Donot“肚脑虫”(APT-Q-38)是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构 为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。
近日,奇安信威胁情报中心红雨滴在日常的威胁狩猎捕获一起Donot APT组织近期攻击活动。根据红雨滴研究人员跟踪分析,Donot此次的攻击活动有如下特点:
1.RTF文档中嵌入Package对象,打开后自动释放文件到%temp%目录;
2.C2不再硬编码到文件中,而是由第三方网站托管;
3.此次捕获多个组件,相比以前功能较为完善。
03
起底国家级APT组织:肚脑虫(APT-Q-38)
披露时间:2021年11月24日
情报来源:https://mp.weixin.qq.com/s/7xIOyLExIv7N3GXbErVuaA
相关信息:
肚脑虫是据称有南亚背景的APT组织,其攻击活动最早由奇安信威胁情报中心于2017年率先发现并公开披露。
肚脑虫组织主要针对巴基斯坦、中国、斯里兰卡、泰国,以及克什米尔地区等国家和地区发起攻击,对政府机构、国防军事部门以及商务领域重要人士实施网络间谍活动。奇安信内部跟踪编号为APT-Q-38。
此外文中将介绍肚脑虫组织的背景、攻击手段、相关攻击工具以及著名攻击事件。详情见情报来源链接。
04
疑似Lazarus利用漏洞文档针对韩国航空业展开定向攻击
披露时间:2021年11月24日
情报来源:https://mp.weixin.qq.com/s/ZMnO3Q6MAxafmOOO2cQMfw
相关信息:
Lazarus 是来自境外的大型 APT 组织,该组织常年持续针对政府、科研、金融、航天、加密货币等机构进行定向攻击活动,其主要目的为窃取重要情报信息及获取经济利益,该组织经常以各种社会工程学方法对目标进行渗透攻击。
近期,研究人员监测到疑似 Lazarus 组织针对航空业的定向攻击活动,分析有如下发现:
攻击者以“仁川国际机场求职信”等为主题向目标投递诱饵文档进行鱼叉攻击;
所投递文档为使用漏洞 CVE-2017-11882 的 RTF 文档;
漏洞触发之后将会从 C2 服务器下载执行下阶段恶意载荷,最终实现远程控制;
通过关联分析,发现攻击者复用了以往的攻击手法及网络资产,在近期策划了疑似针对韩国航空公司“仁川国际机场”的定向攻击活动。
05
疑似Kimsuky利用商业软件Web Browser Password Viewer进行攻击
披露时间:2021年11月19日
情报来源:https://mp.weixin.qq.com/s/QDI912ogVKyyKFYdKvBGdQ
相关信息:
近日,研究人员捕获疑似Kimsuky组织利用利用商业软件Web Browser Password Viewer进行测试的样本,疑似测试功能是收集用户浏览器密码信息,可见该APT组织再次活跃并“蠢蠢欲动”。根据研究人员跟踪分析,此次活动有如下特点:
此次捕获样本疑似在测试阶段,功能尚不完善。初始载荷与近期Kimsuky组织投递的hancom载荷样本有所差异。
样本利用RC4+ZLIB解密出后续载荷, 载荷后续注入到svchost.exe进程中。
第二阶段载荷利用开源商业软件Web Browser Password Viewer进行更改,疑似测试功能为收集用户浏览器密码信息。
本次捕获样本并没有进行持久化的的注册表写入操作,收集的信息,也没有相关上传操作。
06
近期SIDECOPY针对印度军事训练营的鱼叉攻击活动披露
披露时间:2021年11月24日
情报来源:http://blog.nsfocus.net/apt-sidecopy/
相关信息:
研究人员发现了两份恶意的快捷方式文件,分别名为”Address-List-ERE-Update-Sep-2021.pdf.lnk”与” NCERT-NCF-LTV-Vislzr-2022.pdf.lnk”。经过分析发现,该文件是巴基斯坦APT组织SideCopy在近期攻击活动中使用的组件。直至发现时,整个攻击流程中的投放节点依然有效,能够在宿主机植入最终的木马程序。
本次攻击活动包含两种诱饵,内容分别包括印度的NCERT培训课程文档和NCC单位联系列表。由此推测,SideCopy本次攻击针对的是印度包括军校在内的教育系统,试图获取青年军培训有关的信息,符合该组织的一贯攻击目标倾向。
本次发现的SideCopy活动,主体流程由三个阶段构成,每个阶段都以一个恶意hta脚本为核心,通过失陷站点获取后续数据,随后利用多种免杀技术,释放ReverseRAT木马和AllaKore客户端程序并运行。
07
“幼象”组织在南亚地区的网络攻击活动分析
披露时间:2021年11月19日
情报来源:https://mp.weixin.qq.com/s/9emBT2btFA811QLRjU54tA
相关信息:
幼象组织疑似来源于印度,其自被曝光揭露以来,攻击投放行为、和攻陷目标数量依然快速增长。相比于早期未成章法的探索尝试,如今该组织已形成了几套较固定的工具组合模式,可供在新攻击节点中部署使用,且攻击目标也从初期仅为南亚地区开始指向我国境内。这与2013年后“白象”组织攻击目标重点逐渐从南亚地区迁移至中国有类似之处。
幼象组织长久以来攻击向量的首次出现时间和累计样本数量如下图,其中除了自解压诱饵鲜有再现以外,大多手法如今依然保持活跃更新。
本报告对2020年至今发现的幼象组织攻击活动、手法和工具做一定程度的总结,整体活动的特征等详见链接。
攻击行动或事件情报
01
RedCurl 企业间谍黑客使用新的工具恢复攻击
披露时间:2021年11月18日
情报来源:https://www.bleepingcomputer.com/news/security/redcurl-corporate-espionage-hackers-resume-attacks-with-updated-tools/
相关信息:
RedCurl是一群专门从事企业间谍活动的高技能黑客,该组织已经恢复活动。攻击者使用精心构建的鱼叉式网络钓鱼电子邮件和初始阶段的恶意软件攻击了俄罗斯一家大型批发公司。出于未知的原因,RedCurl 两次攻击了这家公司,通过冒充公司人力资源部门宣布奖金和政府服务门户的电子邮件获得了初始访问权限。
研究人员注意到RedCurl 的活动有 7 个月的间隔,黑客利用这段时间对他们的自定义工具和攻击方法集进行了重大改进。
在调查过程中,研究人员发现 RedCurl 的攻击链从之前发现的三四个步骤扩展到了五个阶段。RedCurl 还将批处理和 PowerShell 脚本的使用转变为可执行文件,并且防病毒软件未能检测到初始感染或攻击者在受害者网络上横向移动。
02
疑似间谍软件公司candiru参与针对中东地区的钓鱼活动
披露时间:2021年11月16日
情报来源:https://www.welivesecurity.com/2021/11/16/strategic-web-compromises-middle-east-pinch-candiru/
相关信息:
今日,研究人员披露了一起针对中东知名网站的水坑攻击,并关联到以色列私营间谍软件公司Candiru。
跟踪显示,水坑攻击主要针对中东知名实体,尤其是也门,也有小部分来自英国、意大利和南非的受害者,目标网站涵盖了媒体机构、外交部、电力部、政府、财政部、互联网服务提供商、航天、军用技术公司。
此次活动的攻击者使用的一些C2服务器与以色列私营间谍软件公司Candiru公司的域相似。此外,Candiru 武器库包括适用于 Chrome 的 CVE-2021-21166 和 CVE-2021-30551 ,以及适用于 Internet Explorer 的 CVE-2021-33742等漏洞利用。这些完整的远程代码执行漏洞利用允许攻击者通过让受害者访问特定 URL 来控制机器,这表明Candiru具有利用浏览器进行水坑攻击的能力。
因此认为注入受感染网站的第一台 C&C 服务器将重定向到另一台 C&C 服务器,该服务器由 Candiru 等间谍软件公司拥有并提供浏览器漏洞利用。
03
攻击者利用微软Exchange服务器发送恶意邮件
披露时间:2021年11月19日
情报来源:https://www.trendmicro.com/en_us/research/21/k/Squirrelwaffle-Exploits-ProxyShell-and-ProxyLogon-to-Hijack-Email-Chains.html
相关信息:
研究人员发现了一种策略,即利用受害者受感染的微软Exchange服务器向公司内部用户发送恶意邮件作为对现有电子邮件的回复,以降低受害者对恶意活动的防范能力。攻击者通过垃圾邮件投放的恶意软件,包括Qbot、IcedID、Cobalt Strike和SquirrelWaffle有效载荷。作为诱骗企业目标打开恶意附件的一种方法,攻击者使用ProxyShell和ProxyLogon漏洞利用微软Exchange服务器进行攻击。然后,使用这些被入侵的Exchange服务器来回复公司的内部电子邮件,这些回复链攻击包含指向安装各种恶意软件的恶意文档链接。
04
新的 Aggah 活动劫持剪贴板以替换加密货币地址
披露时间:2021年11月17日
情报来源:https://www.riskiq.com/blog/external-threat-management/aggah-clipboard-hijack-crypto/
相关信息
Aggah 是一个威胁组织,以在全球范围内从事间谍活动和信息盗窃而闻名,并巧妙地使用免费和开源基础设施进行攻击。该组织与Mana Tools恶意软件分发和命令与控制 (C2) 面板。研究人员最近发现了一个新的 Aggah 活动。
在这个最新的活动中,攻击者部署了剪贴板劫持代码,这种劫持技术将受害者加密货币地址替换为攻击者自己的地址,并安装与动态 DNS (DDNS) 子域通信的特洛伊木马后门恶意软件文件。
这些新活动类似于之前报道的 Aggah 活动,因为该组织使用免费服务 Bitly、Blogspot 和 usrfiles[.]com 来托管其恶意资源。到目前为止,已经观察到这种剪贴板劫持技术取代了七种不同加密货币的加密货币地址。
恶意代码情报
01
新版Remcos RAT已开始通过邮件传播
披露时间:2021年11月22日
情报来源:https://mp.weixin.qq.com/s/cU6fh9gNP4Z4t_lkPJEtPQ
相关信息:
Remcos RAT是一款自2016年下半年开始公开售卖的远程控制木马,其后经过多次的版本更新,功能逐渐完善并成为网络犯罪团伙的首要选择。
近日,奇安信红雨滴团队在日常样本狩猎过程中,捕获最新版Remcos RAT通过邮件进行传播的样本。根据红雨滴研究人员跟踪分析,此次的攻击活动有如下特点:
以简历信息为诱饵,诱惑用户运行附件携带的vbs文件。
恶意代码在内存中执行,全程无落地。
使用最新版Remcos RAT。
02
恶意 Python 包窃取 Discord 令牌以安装 shell
披露时间:2021年11月18日
情报来源:https://jfrog.com/blog/python-malware-imitates-signed-pypi-traffic-in-novel-exfiltration-technique/
相关信息:
Python Package Index (PyPI) 的运营商本周从其门户中删除了 11 个 Python 库,这些库用于各种恶意行为,包括收集和窃取用户数据、密码和 Discord 访问令牌以及安装远程访问 shell 以进行远程访问到受感染的系统。
据发现这组恶意库的 DevOps 平台 JFrog 的安全团队称, 在这些包被发现和报告之前,这 11 个包已被下载和安装超过 30,000 次。
值得一提的是,这些软件包似乎不是由同一位作者开发的,因为每个软件包都包含略有不同的恶意行为和从受感染系统中窃取数据的方法。
03
BazarLoader 将受损的安装程序、ISO 添加到到达和交付向量中
披露时间:2021年11月23日
情报来源:https://www.trendmicro.com/en_us/research/21/k/bazarloader-adds-compromised-installers-iso-to-arrival-delivery-vectors.html
相关信息:
研究人员发现BazarLoader现有的交付技术名册中包含两种新的到达机制。
其中一种方法涉及使用受感染的软件安装程序,因为恶意行为者将 BazarLoader 与合法程序捆绑在一起。第二种方法涉及使用带有 Windows 链接 (LNK) 和动态链接库 (DLL) 负载的 ISO 文件。我们观察到美洲是 BazarLoader 数量最多的地区
通过受感染的安装程序到达交付向量的流程如下:
滥用ISO文件的传递机制的攻击流程如下:
04
双平台传播——活跃的H2Miner组织挖矿分析
披露时间:2021年11月18日
情报来源:https://mp.weixin.qq.com/s/Rp-QIaLp_6gitUor2IIcAQ
相关信息:
H2Miner组织最早在2019年底使用Kinsing僵尸网络发起攻击,主要针对Linux服务器进行攻击。2020年末新版本更新中增加了对Windows平台的攻击。H2Miner主要使用RCE漏洞进行传播,本次捕获到的样本利用了CVE-2020-14883(WebLogic RCE漏洞)进行传播。
该组织在Linux平台上传播Kinsing僵尸网络,起名原因是其守护进程名为“kinsing”。该恶意软件具有挖矿功能,同时在失陷主机上开放后门,具有masscan端口扫描的功能,连接C2服务器上传基础信息,还具有下载脚本进行横向移动等功能。
该组织在Windows平台上传播挖门罗币的程序,该程序使用开源挖矿程序xmrig.exe进行挖矿,版本号为6.4.0,目前配置文件中的钱包地址已被各大矿池封禁。
05
新的勒索软件Memento使用受密码保护的档案绕过加密保护
披露时间:2021年11月18日
情报来源:https://news.sophos.com/en-us/2021/11/18/new-ransomware-actor-uses-password-protected-archives-to-bypass-encryption-protection/
相关信息:
最近研究人员发现了一个新的勒索软件组织,该组织采用有趣的方法将受害者的文件锁定在密码保护的存档中。该组织使用的勒索软件自称为“Memento Team”,不会对文件进行加密。相反,它使用合法文件实用程序 WinRAR 的重命名的免费软件版本将文件复制到受密码保护的档案中,然后加密密码并删除原始文件。
攻击者还在使用远程桌面协议在网络内横向移动时,在多台机器上部署了一个基于 Python 的开源键盘记录器。
漏洞相关情报
01
GitHub解决了NPM包管理器中的两个主要漏洞
披露时间:2021年11月16日
情报来源:https://securityaffairs.co/wordpress/124671/security/github-npm-package-flaws.html
相关信息:
GitHub 披露了 npm 中已经解决的两个主要漏洞。第一个漏洞可以被攻击者利用,在未经适当授权的情况下使用帐户发布任何 npm 包的新版本。该公司通过确保发布服务和授权服务的一致性在几个小时内解决了该漏洞。
第二个漏洞是由 GitHub 的安全团队于 10 月 26 日发现的,是由项目公开的 npm 服务之一的日常维护引起的。问题是 npmjs 的复制服务器上的数据泄漏,这是由“日常维护”引起的。泄漏在维护窗口期间暴露了私有 npm 包的名称列表。包的内容不会在同一时间范围内公开。
02
CloudLinux Imunity360 中的 PHP 反序列化漏洞可能导致任意代码执行
披露时间:2021年11月22日
情报来源:https://blog.talosintelligence.com/2021/11/vulnerability-spotlight-php-deserialize.html
相关信息:
Cisco Talos 最近在 CloudLinux Inc Imunify360 的 Ai-Bolit 功能中发现了一个漏洞,该漏洞可能导致任意代码执行。
Imunify360 是网络托管服务器的安全平台,允许用户配置各种设置以实现实时网站保护和网络服务器安全。
如果 Immunify 配置了实时文件系统扫描,TALOS-2021-1383 (CVE-2021-21956) 可能会在攻击者在系统中创建恶意文件后自动触发。如果用户使用 Ai-Bolit 扫描仪扫描攻击者提供的恶意文件,它也可能被触发。攻击者可以用可控数据引起反序列化条件,然后执行任意代码。
03
Concrete CMS 中的服务器端漏洞使数千个网站受到威胁
披露时间:2021年11月17日
情报来源:https://www.fortbridge.co.uk/research/multiple-vulnerabilities-in-concrete-cms-part1-rce/
相关信息:
Concrete CMS 旨在为具有最少技术技能的用户提供易用性。它使用户能够直接从页面编辑站点内容。它为每个页面提供版本管理,类似于维基软件,另一种网站开发软件。Concrete5 允许用户通过页面上的嵌入式编辑器编辑图像。截至 2021 年,有超过 62,000 个使用 Concrete CMS 构建的实时网站。
研究人员发现了多个Concrete CMS安全漏洞,称其可能允许恶意攻击者完全控制底层 Web 服务器。并详细介绍了其中两个竞争条件漏洞与uniqid()函数的不安全使用相结合如何允许低权限攻击者实现远程代码执行 (RCE)。uniqid()函数返回一个伪随机数,“允许我们猜测伪随机目录的名称,然后在服务器上上传一个 web shell”。