您所在的位置: 首頁 >
安全研究 >
安全通告 >
一周高級威脅情報解讀
2020.05.14-2020.05.21
攻擊團伙情報
近期響尾蛇APT組織針對周邊國家和地區(qū)的攻擊活動分析
雙尾蝎組織(APT-C-23)針對中東地區(qū)的最新攻擊活動
COMpfun:Turla組織基于HTTP狀態(tài)碼的惡意軟件分析
Turla組織Penquin_x64木馬分析
Leery Turtle:針對加密貨幣公司的攻擊組織
Greenbug組織針對南亞電信行業(yè)的攻擊活動分析
攻擊行動或事件情報
RATicate:針對多國工業(yè)行業(yè)的攻擊行動
新披露金指狗木馬架構(gòu):利用軟件漏洞規(guī)避殺軟
Vendetta:來自歐洲的新攻擊組織
Mandrake:持續(xù)四年的Android平臺攻擊行動
惡意代碼情報
無文件攻擊:通過反射加載注入的Netwalker勒索軟件
wolf歸來:針對泰國的Android惡意木馬
小心魔域私服客戶端捆綁傳播遠控木馬和挖礦木馬
QNodeService:通過Covid-19誘餌傳播Node.js木馬
攻擊團伙情報
1. 近期響尾蛇APT組織針對周邊國家和地區(qū)的攻擊活動分析
披露時間:2020年05月21日
情報來源:
https://mp.weixin.qq.com/s/9LfElDbKCrQX1QzGFISFPw
相關(guān)信息:
響尾蛇(又稱SideWinder)是疑似具有南亞背景的APT組織,其攻擊活動最早可追溯到2012年,主要針對其周邊國家政府,軍事,能源等領(lǐng)域開展攻擊活動,以竊取敏感信息為攻擊目的。
2020年,新冠肺炎在全球爆發(fā),大量黑產(chǎn)團伙、APT組織利用疫情相關(guān)誘餌信息開展攻擊活動。奇安信威脅情報中心曾撰寫《COVID-19| 新冠病毒籠罩下的全球疫情相關(guān)網(wǎng)絡(luò)攻擊分析報告》[1]一文對利用疫情相關(guān)信息的攻擊活動進行了總結(jié)概述。但疫情尚未結(jié)束,利用這一熱點進行的攻擊活動也越演越烈,奇安信紅雨滴團隊持續(xù)保持著對相關(guān)攻擊活動的監(jiān)測。
近期,奇安信威脅情報中心捕獲到幾例疫情相關(guān)的惡意LNK樣本,此類樣本偽裝為受害國家的軍方抗擊疫情戰(zhàn)略、空軍大學疫情期間網(wǎng)絡(luò)在線課程政策等熱點信息開展攻擊。一旦受害者執(zhí)行此類惡意樣本,LNK文件將從遠程服務(wù)器下載惡意腳本執(zhí)行,惡意腳本將釋放展示正常的誘餌文檔以迷惑受害者,并繼續(xù)從遠程獲取第二階段惡意腳本執(zhí)行。第二階段惡意腳本將在受害者計算機上部署相關(guān)惡意軟件,并通過白加黑的方式加載最終的遠程木馬,控制受害者機器,從而竊取敏感信息。
奇安信威脅情報中心在發(fā)現(xiàn)此次攻擊活動的第一時間向安全社區(qū)進行預(yù)警。
2. 雙尾蝎組織(APT-C-23)針對中東地區(qū)的最新攻擊活動
披露時間:2020年05月18日
情報來源:
https://blogs.#/post/APT-C-23_target_at_Middle_East.html
相關(guān)信息:
雙尾蝎組織(APT-C-23),是一個針對中東地區(qū)相關(guān)國家的教育機構(gòu)、軍事機構(gòu)等重要領(lǐng)域進行網(wǎng)絡(luò)間諜活動,以竊取敏感信息為主的網(wǎng)絡(luò)攻擊組織。攻擊平臺主要包括 Windows 與 Android。該組織的攻擊活動最早可追溯到2016年,近年來該組織活動頻繁不斷被數(shù)個國內(nèi)外安全團隊持續(xù)追蹤和披露。
2020年2月16日,以色列國防軍IDF網(wǎng)站稱,他們發(fā)現(xiàn)哈馬斯的一系列網(wǎng)絡(luò)攻擊行動,通過制作了多個聊天工具相關(guān)的釣魚網(wǎng)站,利用社交媒體偽裝成美女誘騙以色列國防軍士兵下載安裝偽裝成聊天工具的間諜軟件,從而竊取以色列國防軍的隱私信息,并最終認為與APT-C-23組織有關(guān)。
近期,360烽火實驗室發(fā)現(xiàn)了與以色列國防軍曝光的雙尾蝎組織攻擊行動相關(guān)的另一起網(wǎng)絡(luò)攻擊活動,該活動中使用的間諜軟件偽裝成MygramIM 應(yīng)用,并利用釣魚網(wǎng)站進行傳播,根據(jù)網(wǎng)站信息,此次攻擊活動仍然針對中東地區(qū)。
3. COMpfun:Turla組織基于HTTP狀態(tài)碼的惡意軟件分析
披露時間:2020年05月14日
情報來源:
https://securelist.com/compfun-http-status-based-trojan/96874/
相關(guān)信息:
COMpfun是由G-DATA于2014年披露的惡意軟件,卡巴斯基基于受害者等信息,將該木馬歸屬到了APT組織Turla。
近期,卡巴斯基捕獲一起針對歐洲外交實體的攻擊活動,攻擊者以簽證申請為誘餌開展攻擊活動,經(jīng)卡巴斯基深入分析發(fā)現(xiàn),攻擊者采用的惡意軟件屬于COMpfun家族。該家族木馬具有獲取受害者所在位置,收集計算機信息,鍵盤記錄以及屏幕截圖等功能,是一個全功能遠控木馬。
值得注意的是,該組織使用了一個獨有的c2通信協(xié)議,該協(xié)議使用了罕見的HTTP/HTTPS狀態(tài)代碼(即IETF RFC 7231,6585,4918),而ClientError類中的幾個HTTP狀態(tài)代碼(422-429)會使木馬知道操作員想要做什么,在控制服務(wù)器發(fā)送“Payment Required”(402)狀態(tài)之后,會執(zhí)行先前所接收到的命令。
攻擊者將RSA公鑰和唯一的HTTP ETag保留在加密的配置數(shù)據(jù)中。出于Web內(nèi)容緩存原因而創(chuàng)建的此標記也可以用于過濾對C2的請求,如:來自網(wǎng)絡(luò)掃描程序而非目標的請求。除了上述用于與C2通信的RSA公鑰外,該惡意軟件還使用自行生成的AES-128密鑰。
4. Turla組織Penquin_x64木馬分析
披露時間:2020年05月14日
情報來源:
https://www.leonardocompany.com/en/news-and-stories-detail/-/detail/knowledge-the-basis-of-protection
相關(guān)信息:
Turla組織(又稱Snake,Venomous Bear,Group 88,Uroburos,Waterbufg)是最早于2004就開始活躍的APT組織,該組織技術(shù)能力屬于世界頂尖水平,并且以開發(fā)各種復(fù)雜的新型惡意軟件而聞名。
2014年,卡巴斯基捕獲了Turla組織針對Linux操作系統(tǒng)的攻擊組件,并將其命名為Penquin Turla,但自此之后,未有其他公開報告披露該攻擊組件。2020年4月,Leonardo安全研究團隊捕獲一批新的Penquin Turla樣本,且包含一些之前從未分析過的樣本,Leonardo將未披露過的組件命名為” Penquin_x64”,該組件偽裝為系統(tǒng)程序cron進行隱藏運行。
5. Leery Turtle:針對加密貨幣公司的攻擊組織
披露時間:2020年05月20日
情報來源:
https://cyberstruggle.org/delta/LeeryTurtleThreatReport_05_20.pdf
相關(guān)信息:
Leery Turtle是自2017年年底開始活躍的APT組織,該組織主要針對全球范圍內(nèi)的加密貨幣公司進行攻擊活動,主要目標為技術(shù)和行政人員。
該組織使用釣魚郵件作為攻擊入口,郵件附件中包含有密碼的文檔附件以及偽裝為密碼文件的惡意LNK,一旦受害者想獲取密碼而執(zhí)行惡意LNK,該惡意文件將會從遠程獲取惡意腳本,并利用mshta.exe執(zhí)行惡意腳本,同時將以txt文檔的形式展示密碼以迷惑受害者。經(jīng)分析發(fā)現(xiàn),Leery Turtle與微步披露的危險密碼組織存在重疊。
6. Greenbug組織針對南亞電信行業(yè)的攻擊活動分析
披露時間:2020年05月19日
情報來源:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/greenbug-espionage-telco-south-asia
相關(guān)信息:
Greenbug是疑似具有伊朗背景的APT組織,有報道稱其與shamoon組織存在一定的關(guān)系,賽門鐵克在2017年發(fā)現(xiàn),Greenbug的惡意程序先于shamoon出現(xiàn)在受害者的機器,但這不能直接證明兩者的關(guān)系,但或許存在著合作關(guān)系。
近期,賽門鐵克發(fā)現(xiàn)Greenbug正在針對南亞的電信行業(yè)進行攻擊活動,在此次攻擊活動中,該組織利用釣魚郵件作為攻擊入口,并采用公開的工具作為攻擊媒介,主要竊取受害者憑據(jù)。之后攻擊者嘗試利用竊取的憑據(jù)信息連接受害者服務(wù)器。
攻擊行動或事件情報
1. 新披露金指狗木馬架構(gòu):利用軟件漏洞規(guī)避殺軟
披露時間:2020年05月20日
情報來源:
https://mp.weixin.qq.com/s/zrUj0JUSeQWi_qBkoHOZ-Q
相關(guān)信息:
近日,奇安信病毒響應(yīng)中心在日常黑產(chǎn)挖掘過程中發(fā)現(xiàn)一個新型木馬架構(gòu),該架構(gòu)主要出現(xiàn)在全球華語地區(qū),作者疑似具有中文背景。
該木馬架構(gòu)的免殺效果非常好,采用壓縮文件中放置LNK文件的形式進行投遞,樣本執(zhí)行過程中利用了Photodex ProShow Producer軟件的棧溢出漏洞來執(zhí)行shellcode,經(jīng)過幾輪內(nèi)存加載后最終運行大灰狼遠控,遠程控制受害者電腦。按照以往奇安信對于黑產(chǎn)的命名,我們將該木馬架構(gòu)命名為金指狗,英文名GoldfingerDog。
由于存在漏洞的軟件的數(shù)字簽名仍可用,奇安信病毒響應(yīng)中心判斷危害較大,為防止威脅進一步擴散,奇安信病毒響應(yīng)中心負責任地對該木馬架構(gòu)進行披露和分析。
2. Vendetta:來自歐洲的新攻擊組織
披露時間:2020年05月14日
情報來源:
https://blog.360totalsecurity.com/en/vendetta-new-threat-actor-from-europe/
相關(guān)信息:
自4月開始,360baize實驗室捕獲了大量來自未知黑客組織的攻擊樣本,此類樣本偽裝為警察局調(diào)查令,COVID-19檢測通知等,向受害者發(fā)送釣魚郵件。向受害者計算機中部署后門,從而竊密受害者計算機上有價值的敏感數(shù)據(jù)。
360baize實驗室根據(jù)惡意代碼中的PDB路徑,將該未知黑客組織命名為Vendetta。在某些樣本中,黑客聲稱自己來自意大利,但根據(jù)分析,在惡意代碼中的一些變量命名顯示,黑客喜歡使用某些土耳其詞匯進行命名,例如RoboSki。
3. Mandrake:持續(xù)四年的Android平臺攻擊行動
披露時間:2020年05月14日
情報來源:
https://labs.bitdefender.com/2020/05/mandrake-owning-android-devices-since-2016/
相關(guān)信息:
Bitdefender近期披露了一個高度復(fù)雜的Android惡意框架,因為攻擊者常在惡意代碼中使用植物名稱,Bitdefender將該惡意軟件背后的黑客團體命名為”Mandrake”。該惡意軟件已在野存在四年之久,且一直持續(xù)升級換代。該惡意軟件可完全控制受害者設(shè)備,例如獲取受害者設(shè)備的通訊錄,短信,位置,照片等信息,還可以加載網(wǎng)頁完成釣魚攻擊。
據(jù)Bitdefender觀測顯示,該惡意軟件主要針對澳大利亞,歐洲,美洲等,澳大利亞為主要的受害地。目前,已在Google Play商店發(fā)現(xiàn)了7個類別的惡意軟件,主要關(guān)于財務(wù),汽車,視頻播放器,藝術(shù)等主題,同時,為了證明惡意軟件是正規(guī)合法的應(yīng)用,攻擊者還會搭建網(wǎng)站,創(chuàng)建twitter等社交媒體賬戶。
4. RATicate:針對多國工業(yè)行業(yè)的攻擊行動
披露時間:2020年05月14日
情報來源:
https://news.sophos.com/en-us/2020/05/14/raticate/
相關(guān)信息:
據(jù)sophos研究人員觀測,自2019年11月到2020年1月,一個未知的黑客團體利用釣魚郵件開展攻擊活動,在這些活動中,攻擊者利用NSIS安裝程序部署惡意木馬。其主要針對歐洲,中東,韓國的工業(yè)公司進行攻擊。sophos將該未知黑客團體命名為RATicate。
NSIS安裝程序通過釣魚郵件附件文檔釋放或遠程鏈接下載釋放。然后,它將釋放初始DLL加載程序和加密數(shù)據(jù)。加載程序從內(nèi)存緩沖區(qū)中的Cluck文件解密shellcode和第二個加載程序,在NSIS釋放垃圾文件時將該加載程序注入內(nèi)存。第二個加載程序再次讀取Cluck文件,解密從未使用過的shellcode,在子進程中注入最終的有效載荷,其中包括Lokibot、Betabot、Formbook和AgentTesla。
根據(jù)捕獲的電子郵件,sophos研究人員已確定RATicate針對的公司包括:
羅馬尼亞的電氣設(shè)備制造商;
一家科威特建筑服務(wù)和工程公司;
韓國互聯(lián)網(wǎng)公司;
韓國投資公司;
英國建筑供應(yīng)商;
韓國醫(yī)學新聞刊物;
韓國電信和電纜制造商;
瑞士出版設(shè)備制造商;
日本的快遞和運輸公司
惡意代碼情報
1. wolf歸來:針對泰國的Android惡意木馬
披露時間:2020年05月19日
情報來源:
https://blog.talosintelligence.com/2020/05/the-wolf-is-back.html
相關(guān)信息:
思科Talos團隊近期發(fā)現(xiàn)了一種新的Android惡意軟件,根據(jù)該惡意軟件的c2通信基礎(chǔ)架構(gòu)與Wolf Research存在聯(lián)系,Talos團隊將該木馬命名為WolfRAT。WolfRAT主要針對泰國開展攻擊活動,一些c2服務(wù)器位于泰國,c2域名還包含一些泰國食物的名字,c2的Javascript代碼中還包含有泰國文字的注釋。
WolfRAT基于泄露的DenDroid進行開發(fā)。通過模仿合法服務(wù),例如Google服務(wù),F(xiàn)lash更新等誘導(dǎo)受害者使用。較之一些成熟的Android惡意軟件,WolfRAT功能單一,且大量復(fù)制使用公開代碼,導(dǎo)致惡意程序不穩(wěn)定且包含大量無用代碼。
2. 小心魔域私服客戶端捆綁傳播遠控木馬和挖礦木馬
披露時間:2020年05月19日
情報來源:
https://mp.weixin.qq.com/s/eBPMlCSbYM_Ql5Mky9XTAw
相關(guān)信息:
近期騰訊安全威脅情報中心檢測到網(wǎng)絡(luò)游戲《魔域》私服傳播挖礦木馬和遠程控制木馬。木馬首先偽裝成游戲保護進程TQAT.exe隨著游戲啟動而執(zhí)行,隨后釋放大灰狼遠控木馬DhlServer.exe,并利用遠控木馬的下載執(zhí)行功能繼續(xù)下載門羅幣挖礦木馬ws.exe,騰訊安全威脅情報中心將其命名為MoyuMiner。
大灰狼遠控木馬安裝后會完全控制用戶系統(tǒng),上傳用戶文件,竊取隱私,在用戶電腦下載安裝其他木馬,利用用戶電腦做跳板攻擊其他系統(tǒng)。而門羅幣挖礦木馬運行之后,會增加系統(tǒng)資源消耗,影響游戲軟件的流暢運行。
《魔域》是網(wǎng)龍網(wǎng)絡(luò)控股有限公司研發(fā)的大型網(wǎng)絡(luò)游戲,在外網(wǎng)存在較多私服版本,這些私服版本游戲由于不受官方控制,容易成為病毒木馬的傳播渠道,截止目前MoyuMiner已感染超過5000臺電腦。
3. QNodeService:通過Covid-19誘餌傳播Node.js木馬
披露時間:2020年05月14日
情報來源:
https://blog.trendmicro.com/trendlabs-security-intelligence/qnodeservice-node-js-trojan-spread-via-covid-19-lure/
相關(guān)信息:
趨勢科技研究人員根據(jù)公開信息,發(fā)現(xiàn)一例檢測率較低的JAVA下載器。該下載器名為”Company PLP_Tax relief due toCovid-19 outbreak CI+PL.jar”,表明該樣本是利用COVID-19熱點進行攻擊的網(wǎng)絡(luò)釣魚活動。該下載器運行后將會從遠程下載Node.js編寫的木馬執(zhí)行。Node.js惡意木馬不常見,因為Node.js是為web服務(wù)器開發(fā)而設(shè)計的,一般受害者計算機不會預(yù)裝相關(guān)軟件,但是,用不常見的平臺可能有助于逃避防病毒軟件的檢測。下載執(zhí)行的Node.js惡意軟件具有下載文件,上傳文件,執(zhí)行其他文件等功能,并能從Chrome/Firefox瀏覽器竊取用戶賬戶密碼。
4. 無文件攻擊:通過反射加載注入的Netwalker勒索軟件
披露時間:2020年05月18日
情報來源:
https://blog.trendmicro.com/trendlabs-security-intelligence/netwalker-fileless-ransomware-injected-via-reflective-loading/
相關(guān)信息:
威脅行動者正在不斷創(chuàng)造出更復(fù)雜的方式來使惡意軟件逃避防御。趨勢科技近期觀測到Netwalker 勒索軟件使用了新的攻擊方式,且采用powershell進行部署,直接在內(nèi)存中執(zhí)行勒索功能,而沒有將實際的勒索軟件二進制文件存儲到磁盤中。此類方法使得該勒索軟件變種成為無文件威脅,從而使其能夠保持持久性并逃過殺軟的檢測。
這種類型的威脅利用了一種稱為反射式動態(tài)鏈接庫(DLL)注入的技術(shù),也稱為反射式DLL加載。該技術(shù)允許從內(nèi)存而不是從磁盤注入DLL。該技術(shù)比常規(guī)的DLL注入更為隱秘,因為除了不需要磁盤上的實際DLL文件之外,它也不需要任何Windows加載程序即可注入。