每周高级威胁情报解读(2022.02.10~02.17)
2022-2-18 10:33:44 Author: mp.weixin.qq.com(查看原文) 阅读量:21 收藏

2022.02.03~02.10

攻击团伙情报

  • APT组织Lorec53(洛瑞熊)发动多轮针对乌克兰的网络攻击活动

  • 中东持续活跃的威胁:月光鼠组织借助云服务展开间谍攻击

  • Kimsuky组织针对特定大学教授发起鱼叉式钓鱼攻击

  • Gamaredon对乌克兰外交部发起网络钓鱼攻击活动

  • ModifiedElephant:十年潜伏,印度黑客组织浮出水面

攻击行动或事件情报

  • 与巴勒斯坦有关的黑客使用新的 NimbleMamba 恶意软件

  • TA2541组织针对航空、运输行业分发恶意软件

  • 攻击者将 RedLine Stealer 伪装成 Windows 11 安装程序

恶意代码情报

  • 深入分析CapraRAT

  • 新的 MyloBot 恶意软件变种发送勒索

漏洞情报

  • PHP Everywhere插件的RCE漏洞影响数千个WordPress网站

  • Hancom Office 中的漏洞可能导致内存损坏、代码执行

攻击团伙情报

01

APT组织Lorec53(洛瑞熊)发动多轮针对乌克兰的网络攻击活动

披露时间:2022年02月16日

情报来源:http://blog.nsfocus.net/apt-lorec53-20220216/

相关信息

近期,绿盟科技研究人员捕获到了大量针对乌克兰的钓鱼文件攻击活动,关联恶意文件包括pdf、doc、cpl、lnk等类型。经过分析,确认这一系列钓鱼活动均来自APT组织Lorec53(中文名称:洛瑞熊)。该组织在2021年底至2022年2月的期间内,使用多种攻击手法,对乌克兰国防部、财政部、大使馆、国企、公众医疗设施等关键国家机构投递多种钓鱼文件,进行以收集组织人员信息为主的网络攻击活动。

Lorec53本轮攻击行动持续时间较长,攻击目标十分广泛,且攻击手法带有明显的组织特征。延续了其以往的诱饵设计手法,构建了包括掩盖部分信息的乌克兰政府文档、带有乌克兰语标题和伪装扩展名的快捷方式文件、带有乌克兰语文件名的cpl文件等钓鱼诱饵,并伪装成具有公信力的组织成员分发这些诱饵。

Lorec53这次依然使用了已知的木马程序,包括LorecDocStealer(又名OutSteel)、LorecCPL、SaintBot,并尽可能地对这些木马程序进行了壳封装。

02

中东持续活跃的威胁:月光鼠组织借助云服务展开间谍攻击

披露时间:2022年02月16日

情报来源:https://mp.weixin.qq.com/s/jEdI4dL3JNKeJAUVGCYUDw

相关信息

Molerats APT 组织又名 “Gaza Hackers Team”、“月光鼠”、“灵猫”等,其至少从2012年开始在中东地区活跃,主要攻击目标为以色列地区、巴勒斯坦地区与政党相关的组织和个人,惯用政治相关主题作为诱饵对目标进行鱼叉式钓鱼攻击。

微步情报局近期通过威胁狩猎系统监测到 Molerats 组织针对中东地区的间谍攻击活动,分析有如下发现:

  • 攻击者使用政治相关主题制作诱饵文档和木马对目标进行攻击,其中诱饵文档类主要使用恶意宏和模板注入手法,exe 文件主要使用伪装 Office 文档图标或 pdf 文档图标的方法,;

  • 相关木马使用 Google Drive 等云服务托管恶意载荷,使用 Dropbox API 进行 C2 通信,可提升木马隐蔽性;

  • 木马还支持从合法站点 justpaste.it 动态获取 Dropbox Token 进行 C2 通信,进一步增加了木马的可配置性;

  • 截止分析时,发现已有数十台主机被感染,IP 归属地大多为中东地区,符合 Molerats 组织的攻击目标;

  • 通过资产关联分析,发现攻击者所使用 SSL 证书指纹等与 Molerats 组织过往资产重叠,认定幕后攻击者为 Molerats 组织;

03

Kimsuky组织针对特定大学教授发起鱼叉式钓鱼攻击

披露时间:2022年02月14日

情报来源:https://asec.ahnlab.com/ko/31481/

相关信息

近期,ASEC研究人员发现一起Kimsuky组织针对对属于特定大学的教授进行了鱼叉式网络钓鱼攻击。攻击者向研究生院教授分发了伪装对朝鲜相关手稿的要求的恶意文字 (DOC) 文件。word文档以“3 月月度KIMA手稿_requirements.doc”名称分发,文档标题中提到的KIMA是韩国军事研究所出版的专门从事安全、国防和军事事务的月刊的名称。

诱饵文档的恶意宏代码从攻击者的服务器下载一个附加命令(VBS(Visual Basic Script)脚本)并在内存中执行。从攻击者服务器下载的 VBS 代码从用户的 PC 收集并泄露以下信息:

  • 收集基本系统信息(计算机名称、所有者信息、制造商、计算机型号、系统类型)

  • 操作系统信息(操作系统、操作系统版本、内存容量)

  • 处理器信息

  • 防病毒产品信息

  • 运行进程信息

  • 特定文件夹中的文件列表(桌面路径、我的文档路径、收藏夹文件夹路径、最近文件夹路径、ProgramFiles 路径、下载路径)

  • 最近打开的 Word 文档的标题

04

Gamaredon对乌克兰外交部发起网络钓鱼攻击活动

披露时间:2022年02月11日

情报来源:https://mp.weixin.qq.com/s/jdMsvLamCDJbfErLNgRjLA

相关信息

近期,绿盟科技研究人员获到一封主题为“ПАРТНЕРИ КУЛЬТУРНОЇ ДИПЛОМАТІЇ МЗС УКРАЇНИ”(乌克兰外交部文化外交伙伴)的钓鱼文档,并确认该文档的制作者为俄罗斯APT组织Gamaredon。本次捕获的钓鱼文档伪装成一份政府机构的参考资料,内容上分别罗列了“信息和政治”、“艺术”、“音乐”、“电影”、“戏剧”等领域的乌克兰外交部文化外交伙伴的通信地址信息。

该文档通过内嵌的恶意宏实现攻击。宏代码将两个vbs文件分别释放至系统的startup目录与系统的theme目录中,实现开机自动运行和执行后续攻击流程。

名为Themes.vbs的脚本将计算机名与系统磁盘序列号发送至固定网址,进而从该网址的响应中获得后续木马载荷。值得注意的是,后续木马载荷使用异或加密,异或键为由Themes.vbs发送的磁盘序列号。这种利用宿主机信息的载荷保护技术常见于Gamaredon、OceanLotus等APT组织的活动中。

05

ModifiedElephant:十年潜伏,印度黑客组织浮出水面

披露时间:2022年02月11日

情报来源:https://www.sentinelone.com/labs/modifiedelephant-apt-and-a-decade-of-fabricating-evidence/

相关信息

近期,sentinelone研究人员确定了一个潜伏十年之久的黑客组织。在过去十年中,ModifiedElephant 攻击者试图通过带有恶意文件附件的鱼叉式网络钓鱼电子邮件来感染他们的目标,通过对其过去十年的攻击活动研究发现:

  • ModifiedElephant 负责对印度各地的人权活动家、人权捍卫者、学者和律师进行有针对性的攻击,目的是植入有罪的数字证据。

  • ModifiedElephant 至少从 2012 年开始运营,并多次针对特定个人。

  • ModifiedElephant 通过使用商业上可用的远程访问木马 (RAT) 进行操作,并且与商业监控行业有潜在的联系。

  • 威胁参与者使用带有恶意文档的鱼叉式网络钓鱼来传递恶意软件,例如 NetWire、DarkComet 和具有基础设施重叠的简单键盘记录器,使我们能够连接长期以前未归因的恶意活动。

攻击行动或事件情报

01

与巴勒斯坦有关的黑客使用新的 NimbleMamba 恶意软件

披露时间:2022年02月10日

情报来源:https://www.proofpoint.com/us/blog/threat-insight/ugg-boots-4-sale-tale-palestinian-aligned-espionage

相关信息

2021 年底,Proofpoint 分析师发现了一个针对中东政府、外交政策智囊团和一家国有航空公司的复杂攻击链。在三个多月的时间里,Proofpoint 观察到了这个攻击链的三个细微变化。Proofpoint 将这些活动归因于 TA402,该攻击者通常被追踪为 Molerat 并被认为是为了巴勒斯坦领土的利益而运作。

根据 Proofpoint 的研究,TA402 对中东的组织和政府构成持续威胁,不仅定期更新他们的恶意软件植入,而且还更新他们的交付方式。在 2021 年 6 月发布 Proofpoint 的 TA402 研究后,TA402 似乎在短时间内停止了其活动,几乎可以肯定是要进行重组。Proofpoint 研究人员认为,他们利用这段时间来更新他们的植入物和传递机制,使用名为 NimbleMamba 和 BrittleBush 的恶意软件。TA402 还经常使用地理围栏技术和各种攻击链,这使防御者的检测工作变得复杂。

02

TA2541组织针对航空、运输行业分发恶意软件

披露时间:2022年02月15日

情报来源:https://www.proofpoint.com/us/blog/threat-insight/charting-ta2541s-flight

相关信息

TA2541 是一个高度活跃的网络犯罪分子,它分发针对航空、航天、运输和国防等行业的各种远程访问木马 (RAT)。自 2017 年 1 月以来,TA2541 持续不断的发起攻击活动。通常,其恶意软件活动包括数百到数千封钓鱼邮件,尽管很少看到 TA2541 一次发送超过 10,000 封邮件。其活动影响了全球数百个组织,其目标反复出现在北美、欧洲和中东。

在最近的活动中,Proofpoint 观察到该组在电子邮件中使用 Google Drive URL,导致混淆的 Visual Basic 脚本 (VBS) 文件。如果成功执行,PowerShell 从托管在各种平台(如 Pastetext、Sharetext 和 GitHub)上的文本文件中提取可执行文件。攻击者在各种 Windows 进程中执行 PowerShell 并查询 Windows Management Instrumentation (WMI) 以获取防病毒和防火墙软件等安全产品,并尝试禁用内置的安全保护。威胁参与者将在主机上下载 RAT 之前收集系统信息。

03

攻击者将 RedLine Stealer 伪装成 Windows 11 安装程序

披露时间:2022年02月14日

情报来源:https://threatresearch.ext.hp.com/redline-stealer-disguised-as-a-windows-11-upgrade/

相关信息

2022 年 1 月 27 日,也就是宣布Windows 11 升级最后阶段的第二天,惠普安全研究员注意到一名恶意行为者注册了windows-upgraded[.]com域名,该域名引起了我们的注意,因为它是新注册的,且模仿了合法品牌并利用了最近的公告。威胁行为者使用该域名分发RedLine Stealer,这是一个信息窃取恶意软件系列,在地下论坛中广泛宣传出售。

攻击者复制了合法 Windows 11 网站的设计,但单击“立即下载”按钮会下载一个名为Windows11InstallationAssistant.zip的可疑 zip 文件,包含伪装为Windows 11 安装程序的RedLine Stealer恶意软件。

恶意代码情报

01

深入分析CapraRAT

披露时间:2022年02月11日

情报来源:https://blog.cyble.com/2022/02/11/deep-dive-analysis-caprarat/

相关信息

Cyble 安全研究人员发现一篇文章,其中提到了一种名为 capraRAT 的新 Android 恶意软件。该恶意软件被一个名为 APT36(又名透明部落)的高级持续威胁 (APT) 组织使用,该组织已被观察到针对印度政府及其国防人员。

分析表明,在成功执行后,恶意软件会从 Android 设备的屏幕上隐藏其图标,从受害者的设备中窃取敏感数据,例如联系人、通话记录、短信、位置、截屏、记录通话和麦克风音频、发送短信等。并不断与命令和控制 (C&C) 服务器通信,根据从 C&C 服务器接收到的命令执行删除文件、发送短信、拨打电话、从摄像头拍照等操作。

02

新的 MyloBot 恶意软件变种发送勒索邮件

披露时间:2022年02月07日

情报来源:https://blog.minerva-labs.com/mylobot-2022-so-many-evasive-techniques-just-to-send-extortion-emails

相关信息

MyloBot 于 2018 年首次被发现,是当时最具规避性的僵尸网络之一。根据各种报告,它采用了不同的技术,例如:

  • 反虚拟机技术

  • 反沙盒技术

  • 反调试技术

  • 用加密的资源文件包装内部零件

  • 代码注入

  • 进程空心化——一种攻击者创建处于挂起状态的新进程,然后用恶意代码替换该进程的代码以保持不被发现的技术。

  • 反射式 EXE - 直接从内存执行 EXE 文件,无需将它们放在磁盘上。

  • 访问其命令和控制服务器之前的 14 天延迟机制。

Minerva研究人员最近发现了一个 2022 版本的 MyloBot,分析表明其一些反调试和反 VM 技术已经消失,开始使用实施注入技术,最终从 C&C 服务器下载的第二阶段有效负载用于发送勒索电子邮件。

漏洞相关情报

01

PHP Everywhere插件的RCE漏洞影响数千个WordPress网站

披露时间:2022年02月08日

情报来源:https://www.wordfence.com/blog/2022/02/critical-vulnerabilities-in-php-everywhere-allow-remote-code-execution/

相关信息

2022 年 1 月 4 日,Wordfence 威胁情报团队开始负责披露 PHP Everywhere 中的几个远程代码执行漏洞,这是一个安装在 30,000 多个网站上的 WordPress 插件。

第一个漏洞被跟踪为 CVE-2022-24663,CVSS 严重性评分为 9.9。WordPress 允许经过身份验证的用户通过 parse-media-shortcode AJAX 操作执行简码。在这种情况下,如果登录的用户——即使他们几乎没有权限,比如他们是订阅者——可以发送一个精心设计的请求参数来执行任意 PHP,从而导致整个网站被接管。

第二个漏洞CVE-2022-24664 的严重性评分也为 9.9。该漏洞使不受信任的贡献者级别的用户可以创建帖子,将 PHP 代码添加到 PHP Everywhere 元框,然后预览帖子来实现网站上的代码执行

第三个漏洞被跟踪为 CVE-2022-24665,并且在严重性等级上也已发布 9.9。所有具有 edit_posts 权限的用户都可以使用 PHP Everywhere Gutenberg 块,攻击者可以通过这些函数执行任意 PHP 代码来篡改网站的功能。

02

Hancom Office 中的漏洞可能导致内存损坏、代码执行

披露时间:2022年02月16日

情报来源:https://blog.talosintelligence.com/2022/02/vuln-spotlight-.html

相关信息

Cisco 研究人员最近在韩国流行的软件套件 Hancom Office 中发现了一个漏洞,该漏洞可能允许攻击者破坏目标机器上的内存或执行远程代码。

Hancom Office 提供与 Microsoft Office 类似的服务,包括文字处理和电子表格创建和管理。

TALOS-2021-1386 (CVE-2021-21958) 存在于 Hancom Office 的 HwordApp.dll 中。攻击者创建的恶意文档可能会触发基于堆的缓冲区溢出,如果攻击者遵循特定的攻击向量,最终会导致代码执行和/或内存损坏。

点击阅读原文ALPHA 5.0

即刻助力威胁研判


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247498757&idx=1&sn=05f8992ff2889ead38a73c9b0d3b0337&chksm=ea660b72dd1182642430bea8b4018aa91d24582cd71dd2c7184733451059d34d1ebd33297186#rd
如有侵权请联系:admin#unsafe.sh