2022.02.17~02.24
攻击团伙情报
百密一疏,透明部落与SideCopy共用基础设施露出马脚
“响尾蛇”组织针对巴基斯坦发起钓鱼攻击
APT28瞄准美国国防承包商发起攻击
Gorgon Group近期攻击活动
攻击行动或事件情报
攻击者针对伊朗国家广播公司(IRIB)发起攻击
攻击者利用Qbot和Zerologon漏洞实现全域感染
从Dridex到Macaw,犯罪团伙Evil Corp发展之路
针对MS-SQL服务器的攻击分析
恶意代码情报
Mac Coinminer 利用开源二进制文件和 I2P 网络隐藏恶意流量
黑客通过Microsoft Teams分发恶意软件
PseudoManuscrypt 以与 Cryptbot 相同的方法分发
新的Golang僵尸网络Anubis正在发展
漏洞情报
VMware NSX 数据中心存在漏洞可能使虚拟系统受到攻击
Linux系统的Snap-confine功能中发现多个漏洞
攻击团伙情报
01
百密一疏,透明部落与SideCopy共用基础设施露出马脚
披露时间:2022年02月17日
情报来源:https://mp.weixin.qq.com/s/olI67y-qKpDfLGZTOIWXqw
相关信息:
近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到Transparent Tribe组织的针对印度国防军官的攻击样本。根据红雨滴研究人员深入分析,发现Transparent Tribe组织与SideCopy居然共用了网络基础设施,两者可能属于统一组织或有较大关联。此次的攻击活动有如下特点:
该组织将其downloader伪装为印度政府国家信息中心的Kavach身份验证程序,Crimson RAT也利用Chrome图标进行了伪装;
此次攻击使用的Crimson RAT存在较多与恶意软件的更新、下发和执行有关的C2指令;
在downloader下载Crimson RAT及诱饵的域名下发现了疑似SideCopy组织的样本。
02
“响尾蛇”组织针对巴基斯坦发起钓鱼攻击
披露时间:2022年02月18日
情报来源:http://blog.nsfocus.net/apt-sidewinder-20220218/
相关信息:
近日,研究人员发现南亚APT组织SideWinder(响尾蛇)发起钓鱼攻击,其文档使用巴基斯坦国庆相关内容作为话题诱饵,其C&C域名被伪造为巴基斯坦政府网站,具有一定迷惑性。
在此次活动中,RTF文档通过巴基斯坦国庆日相关主题来引诱目标将其打开,话题内容为邀请当事人参与庆祝并准备爱国演讲。不过,正文提及的时间为2021年,可能是攻击者在制作诱饵时不够细致,直接引用了去年的内容。文档打开后通过携带的公式编辑器漏洞CVE-2017-11882来触发js代码,然后解码并在内存中加载一个.NET可执行文件,目的是连接C&C下载后续内容。
在js中,攻击者使用了ActiveXObject来加载.NET程序,而没有使用powershell可能是担心目标主机上的安全软件会监控powershell相关操作,故采取了DotNetToJScript的方式。攻击者使用的C&C域名中包含mofa-gov-pk字串,mofa-gov-pk是巴基斯坦政府外交部网站,攻击者试图利用域名白名单机制逃过检测。
03
APT28瞄准美国国防承包商发起攻击
披露时间:2022年02月16日
情报来源:https://www.cisa.gov/uscert/ncas/alerts/aa22-047a
相关信息:
至少从 2020 年 1 月到 2022 年 2 月,APT28一直以美国疾控中心为目标。攻击者利用对 CDC 网络的访问权获取有关美国国防和情报计划和能力的敏感数据。受损实体包括支持美国陆军、美国空军、美国海军、美国太空部队以及国防部和情报计划的 CDC。
在这两年期间,这些参与者一直保持对多个 CDC 网络的持续访问,在某些情况下至少持续了六个月。在攻击者成功获得访问权限的情况下,FBI、NSA 和 CISA 已经注意到电子邮件和数据的定期和反复泄露。例如,在 2021 年的一次妥协中,威胁参与者窃取了数百份与公司产品、与其他国家的关系以及内部人员和法律事务相关的文件。
通过这些入侵,攻击者获得了非机密的 CDC 专有和出口控制信息。这次攻击活动让行动者对美国武器平台的开发和部署时间表、通信基础设施计划以及美国政府和军方采用的特定技术有了重要的了解。尽管许多合同授予和描述都可以公开访问,但程序开发和公司内部沟通仍然很敏感。员工之间或与政府客户之间的未分类电子邮件通常包含有关技术和科学研究的专有详细信息,以及计划更新和资金状态。有关目标客户、行业和信息的信息,
04
Gorgon Group近期攻击活动
披露时间:2022年02月23日
情报来源:https://mp.weixin.qq.com/s/X0kAIHOSldiFDthb4IsmbQ
相关信息:
APT-C-58(Gorgon Group)组织疑似具有巴基斯坦国家民族背景或与巴基斯坦有联系的国家民族背景。该组织实施了网络犯罪和有针对性的网络攻击,包括针对英国、西班牙、俄罗斯和美国的政府组织的活动。Gorgon也曾经被怀疑与Transparent Tribe、APT 36有关联,并可能负责Aggah活动。
2020年Gorgon以商业买卖为主题对外贸公司进行钓鱼攻击,最终窃取受害人的敏感信息。近期360发现该组织在全球外贸论坛中利用发帖链接诱使外贸人士下载CVE-2017-11882漏洞利用的恶意文档,文档运行后释放vbs脚本,调用cmd命令启动cscript程序并启动后续载荷ServerCrypted.vbs,最终通过IEX命令执行DownloadString下载jpg文件注入到RegAsm.exe中。
研究人员通过对APT-C-58组织曾经使用的IP、域名进行分析,与此次攻击使用的www.m9c[.]net域名一致,在分析中提到的Agent Tesla也是Gorgon惯用的商业RAT;同时,此次攻击的目标也是全球外贸人士,这与其过往的攻击目标相符合。
攻击行动或事件情报
01
攻击者针对伊朗国家广播公司(IRIB)发起攻击
披露时间:2022年02月18日
情报来源:https://research.checkpoint.com/2022/evilplayout-attack-against-irans-state-broadcaster/
相关信息:
在过去的几个月里,新一波网络攻击已经涌入伊朗。这些攻击不是小规模的网络攻击,最近一波攻击正在冲击伊朗国家基础设施,并对公共服务造成重大破坏。
1月27日,伊朗国家广播公司(IRIB)成为攻击者针对性网络攻击的对象,导致几个国营电视频道播放反对派领导人的录像。研究人员调查了此次攻击,并从公开资源中检索与该事件有关的文件和证据。跟进调查后发现了恶意可执行文件,其目的是播放抗议信息,此外,研究人员还发现了使用Wiper恶意软件的证据。这表明,攻击者的目的也是为了破坏国家广播网络。国家广播网络受到的破坏可能比官方报道的更加严重。
分析此次攻击中的工具,发现了对受害者屏幕进行截图的恶意软件,几个定制的后门例如WinScreeny、HttpCallbackService,以及用于安装和配置恶意可执行文件的相关批处理脚本和配置文件。目前找不到任何证据表明这些工具以前被使用过,因此不能将其归因于一个特定的威胁组织。
02
攻击者利用Qbot和Zerologon漏洞实现全域感染
披露时间:2022年02月21日
情报来源:https://thedfirreport.com/2022/02/21/qbot-and-zerologon-lead-to-full-domain-compromise/
相关信息:
在一场从2021年11月开始的攻击活动中,攻击者通过执行恶意DLL获得对Windows工作站的初始访问,接着使用Qbot恶意软件在环境中获得了初始立足点。Qbot执行后不久就建立了C2连接,并创建定时计划每30分钟启动一次beacon。一旦攻击者建立了持久性,他们就会使用Nltest、net和ADFind等工具继续扫描环境。
之后,攻击者会利用Zerologon漏洞(CVE-2020-1472)结合哈希传递攻击的方法获得域管理员权限,并滥用此权限部署额外的Cobalt Strike beacon,借此横向移动至网络中的其他敏感主机,从中窃取敏感文件。其中,攻击者对财务报表、勒索软件报告和工资数据的文件最感兴趣。
03
从Dridex到Macaw,犯罪团伙Evil Corp发展之路
披露时间:2022年02月23日
情报来源:https://www.sentinelone.com/labs/sanctions-be-damned-from-dridex-to-macaw-the-evolution-of-evil-corp/
相关信息:
Evil Corp("EC",又名"Indrik Spider"),是一个源自俄罗斯的犯罪集团,自2007年以来一直很活跃。2019年12月,美国财政部外国资产管制处(OFAC)对EC发出制裁,因为其利用Dridex造成了超过1亿美元的经济损失。
OFAC起诉后,Evil Corp组织的TTP发生了变化,从2020年开始,频繁改变有效载荷特征,使用不同的开发工具和初始访问方法。从Dridex转向SocGholish框架,以达到混淆归属的目的,并减少使用Dridex和Bitpaymer。在此期间,此组织不再利用PowerShell Empire,而是更多地依赖Cobalt Strike来获得最初的立足点并进行横向渗透。
2020年5月,一个新的勒索软件WastedLocker出现。WastedLocker采用了混淆代码技术,并且功能与BitPaymer和Dridex的部分功能相似。2020年12月,一个名为Hades的新勒索软件变体首次出现并被公开报道。Hades是WastedLocker的一个64位编译版本,重要代码和功能与WastedLocker重叠。几个月后,在2021年3月,一个新的变体Phoenix Locker出现。分析表明,这是Hades的一个重塑版本,几乎没有任何变化。后来,一个名为PayloadBIN的新变体出现,是Phoenix Locker的延续。BitPaymer、WastedLocker、Hades、Phoenix Locker、PayloadBIN,这些恶意软件的代码高度重叠并且共享配置,足以证明其来自同一代码库。
从历史上看,Evil Corp运作主要有两种方式,第一种是通过传播Dridex(及其衍生产品)进行僵尸网络操作,开展大规模的垃圾邮件活动。第二种是使用BitPaymer勒索软件进行小批量的勒索。这种长期实行的不同的战术都体现了此组织的复杂程度和高适应性。
04
针对MS-SQL服务器的攻击分析
披露时间:2022年02月21日
情报来源:https://asec.ahnlab.com/en/31811/
相关信息:
ASEC分析小组最近发现有攻击者针对有漏洞的MS-SQL服务器传播Cobalt Strike的情况。MS-SQL服务器是典型的Windows环境数据库,它一直以来都是攻击的目标。针对MS-SQL服务器的攻击包括对漏洞的利用、暴力破解攻击。
攻击者或恶意软件通常会扫描1433端口,以检查MS-SQL服务器是否对外开放。然后,对管理账号进行暴力破解,试图登录。即使MS-SQL服务器不向公众开放,也有一些恶意软件,比如Lemon Duck恶意软件,它会扫描1433端口,并为内部网络中进行横向移动做准备。
除了Lemon Duck之外,针对MS-SQL服务器的其他恶意软件还包括Kingminer和Vollgar等挖矿软件。在攻击者成功登录管理账号后,会通过远程执行命令部署Cobalt Strike beacon。
恶意代码情报
01
Mac Coinminer 利用开源二进制文件和 I2P 网络隐藏恶意流量
披露时间:2022年02月21日
情报来源:https://www.trendmicro.com/en_us/research/22/b/latest-mac-coinminer-utilizes-open-source-binaries-and-the-i2p-network.html
相关信息:
Coinminers 是恶意行为者更有利可图的恶意软件类型之一,一旦安装在受害者的设备上,它们几乎不需要维护。
研究人员发现,2022 年 1 月上旬的Coinminers样本使用了几个经过修改的开源组件,攻击者对其进行了修改。该样本还被发现使用i2pd(又名 I2P 守护程序)来隐藏其网络流量。I2pd 是隐形 Internet 协议或I2P客户端的 C++ 实现。I2P 是一个通用匿名网络层,它允许匿名的端到端加密通信——参与者不会透露他们的真实 IP 地址。以前,其他 Mac 恶意软件样本(Eleanor、DOK、Keranger)使用 Tor 来隐藏其网络活动,因此 i2pd 的这种用法是新出现的。
在与旧样本对比后发现了一些相同之处:
这些样本伪装成 Adobe Photoshop 或 Logic Pro X。
所有五个旧样本都使用 i2pd 访问同一个 i2pd 下载服务器。
下载服务器托管多个文件。
一些样本利用随机文件名和零字节填充来逃避检测。
观察到四个样本具有持久性。其中一个尝试覆盖已安装的 Adobe Photoshop 应用程序中的 Mach-O 可执行文件。
所有样本都被打包在 DMG 文件中,因为这些样本尝试从默认挂载 DMG 文件的 /Volumes 目录启动或复制。
对于下载的后缀为“_md5”的文件,其内容预计为md5哈希。哈希值将与其他下载文件的 md5 哈希值进行比较。如果它们不相等,带有“_md5”后缀的文件将重试下载。
对于较旧的样本,创建了两个隧道,但只使用了 127.0.0.1:4546。最新的 coinminer 样本只创建了一个隧道:127.0.0.1:4545。
02
黑客通过Microsoft Teams分发恶意软件
披露时间:2022年02月17日
情报来源:https://www.avanan.com/blog/hackers-attach-malicious-.exe-files-to-teams-conversations
相关信息:
从 2022 年 1 月开始,Avanan 研究人员观察到黑客如何在 Teams 对话中释放恶意可执行文件。该文件将数据写入 Windows 注册表,安装 DLL 文件并创建允许程序自行管理的快捷方式链接。Avanan 每个月都会看到数千起此类攻击。
攻击者侵入 Teams,通过电子邮件或欺骗用户开始其攻击活动。然后,攻击者将一个名为“User Centric”的 exe 可执行文件附加到聊天中。该文件是一个木马程序,会安装DLL文件并创建快捷链接。
03
PseudoManuscrypt 以与 Cryptbot 相同的方法分发
披露时间:2022年02月18日
情报来源:https://asec.ahnlab.com/en/31683/
相关信息:
ASEC 研究人员发现,PseudoManuscrypt 伪装成类似于 Cryptbot 形式的安装程序,并且正在进一步传播。它的文件形式不仅与 Cryptbot 相似,而且在用户搜索 Crack 和 Keygen 等商业软件相关的非法程序时,还会通过顶部搜索页面上暴露的恶意站点进行分发。这种分发方法以随机用户为目标。其攻击流程如下:
伪装成非法程序的顶层文件是NSIS(Nullsoft Scriptable Install System)Installer形式,它会创建“setup_installer.exe”文件并执行。“Setup_installer.exe”创建一个Loader文件、各种恶意软件和大量的dll文件。
Loader 执行由“Setup_installer.exe”一起创建的恶意软件,这个过程与 Cryptbot 的执行过程相同。除了 PseudoManuscrypt,Loader 执行的恶意软件还有 SmokeLoader、Glupteba 等,而 PseudoManuscrypt 是 7z SFX 的形式。最后,PseudoManuscrypt 在 %TEMP% 路径中创建 install.dll(执行解码的加载程序)和 install.dat(编码的 shellcode)。
04
新的Golang僵尸网络Anubis正在发展
披露时间:2022年02月22日
情报来源:https://www.zerofox.com/blog/quick-update-kraken-completes-its-rebrand-to-anubis/
相关信息:
2021 年 10 月下旬,ZeroFox Intelligence 发现了一个以前不为人知的僵尸网络,名为 Kraken。虽然仍处于积极开发阶段,但 Kraken 已经具备下载和执行二级有效载荷、运行 shell 命令以及截取受害者系统屏幕截图的能力。
它目前利用 SmokeLoader(一种用于安装其他恶意软件的恶意软件)进行传播,每次部署新的命令和控制服务器时,都会迅速获得数百个机器人。尽管名称相同,但不应将其与 2008 年的 Kraken 僵尸网络混淆,因为它们几乎没有其他共同点。
在研究人员发布相关报告后,该僵尸网络作者在 2022 年 1 月 4 日至 2022 年 1 月 7 日之间的某个时间,开始在内部使用名称“Anubis”和“Pepega”。
漏洞相关情报
01
VMware NSX 数据中心存在漏洞可能使虚拟系统受到攻击
披露时间:2022年02月18日
情报来源:https://www.secforce.com/blog/escaping-vmwares-nsx-edge-os-jailed-shell/
相关信息:
VMware Cloud Director是一个允许管理大型云基础架构的平台。可以创建托管在物理数据中心或分布在不同地理位置的多个数据中心上的虚拟数据中心 (VDC)。在 VMWare Cloud Director 中,具有“组织管理员”权限的用户可以在 NSX Edge 路由器上启用 SSH,这将授予他们访问受限 Linux shell 的权限,他们可以使用该 shell 来配置路由器的服务。
近日,研究人员发现VMware Cloud Director存在一个 CLI 注入漏洞。如果攻击者获得对运行 NSX Edge 操作系统易受攻击版本的设备的 SSH 访问权限,他们可以利用此漏洞获得对底层操作系统的 root 访问权限。利用此问题可能会对系统的机密性、完整性和可用性产生不利影响。例如:
不受限制地访问底层操作系统
对虚拟服务器的无限制网络访问,包括网络流量捕获和潜在的 MITM 攻击
在虚拟设备上安装恶意软件
02
Linux系统的Snap-confine功能中发现多个漏洞
披露时间:2022年02月17日
情报来源:https://blog.qualys.com/vulnerabilities-threat-research/2022/02/17/oh-snap-more-lemmings-local-privilege-escalation-vulnerability-discovered-in-snap-confine-cve-2021-44731
相关信息:
Snap是Canonical为使用Linux内核的操作系统开发的软件打包和部署系统。这些称为 snaps 的包和使用它们的工具 snapd 可以在一系列 Linux 发行版中工作,并允许上游软件开发人员将他们的应用程序直接分发给用户。Snap 是在沙箱中运行的独立应用程序,可通过中介访问主机系统。Snap-confine 是 snapd 内部使用的一个程序,用于构建 snap 应用程序的执行环境。
Qualys 研究团队在 Linux 操作系统的 snap-confine 功能中发现了多个漏洞,其中最重要的漏洞CVE-2021-44731可被利用来提升权限以获得 root 权限。
除了 CVE-2021-44731,Qualys 还发现了其他六个漏洞:
点击阅读原文至ALPHA 5.0
即刻助力威胁研判