2022.06.30~07.07
攻击团伙情报
疑似双尾蝎组织伪装Threema通讯软件攻击分析
疑似Confucius组织最新攻击行动分析
MuddyWater组织持续攻击中东地区
Bitter APT继续瞄准孟加拉国
攻击行动或事件情报
近期对俄定向攻击事件的分析
NPM 供应链攻击影响数百个网站和应用程序
IIS后门软件SessionManager被GELSEMIUM组织利用
恶意代码情报
新僵尸网络家族正在利用IoT设备构建攻击网络
Smoke Loader木马新功能分析
Hezb挖矿木马分析
Hive勒索软件新变种用Rust编写以实现更复杂的加密
漏洞情报
Jenkins 在多个插件中披露了数十个零日漏洞
攻击团伙情报
01
疑似双尾蝎组织伪装Threema通讯软件攻击分析
披露时间:2022年07月06日
情报来源:https://mp.weixin.qq.com/s/1uJaPS-nuGNI8lQ1-ZekIA
相关信息:
近期,研究人员发现一个名为“تسريب-اجتماع-القائد-محمد-دحلان-و-المخابرات-المصريه.pdf(Mohammed Dahlan 指挥官和埃及情报会议 (MoM) 泄漏.pdf)”的攻击文档,Mohammed Dahlan是巴勒斯坦政治家,曾担任巴勒斯坦权力机构在加沙的预防性安全部队的负责人。
通过该文档,研究人员关联到了双尾蝎与之前攻击不太相同的活动,此次攻击行动直接把商业RAT伪装成Threema诱使用户点击打开,Threema是瑞士开发的一款付费的开源端到端加密即时通讯应用程序。
以前的双尾蝎样本大多采用VC 版本、Delphi 版本,很少见到使用公开商业RAT组件进行攻击,此次发现的样本可能是该组织进攻方式的演变,也可能是双尾蝎组织内部出现了新的分支成员所采用的攻击手法。
02
疑似Confucius组织最新攻击行动分析
披露时间:2022年07月04日
情报来源:https://mp.weixin.qq.com/s/UgnkLZWZmaK8pT3zrdUYvw
相关信息:
近期,研究人员监测到疑似Confucius组织的新一轮攻击活动,本次事件中使用到的相关攻击工具与基础设施与2021年国外安全厂商披露的相关攻击活动存在关联,通过对相关基础设施分析,该事件疑似与南亚其他组织如 SideWinder、Patchwork 也存在一定关联。
本次捕获的恶意文档以巴基斯坦三军情报局(Inter-Services Intelligence)招聘信息、宗教相关内容作为诱饵,诱导目标启动宏文档。在进行关联分析时,还发现了属于该组织的多个 .net 下载器,由下载器依次下载第二、三阶段payload,最终下载的最后阶段 payload 文件为文件窃密器,获取用户基本信息进行上传建档。
03
MuddyWater组织持续攻击中东地区
披露时间:2022年06月21日
情报来源:https://lab52.io/blog/muddywaters-light-first-stager-targetting-middle-east/
相关信息:
自2020年最后一个季度以来,MuddyWater组织一直在开展针对中东国家的“长期”感染活动。研究人员发现该活动目前仍处于活动状态。
最近观察到的攻击活动通常始于一个压缩文件,文件中包含一个嵌入VBA宏的恶意Word文档,该文档似乎专门为讲阿拉伯语的用户设计,嵌入的VBA宏代码会释放一个小型的RAT。据观察,攻击活动针对的是巴基斯坦、哈萨克斯坦、亚美尼亚、叙利亚、以色列、巴林、土耳其、南非、苏丹等国家。
04
Bitter APT继续瞄准孟加拉国
披露时间:2022年07月05日
情报来源:https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh/
相关信息:
研究人员发现了最近一次由 “Bitter”组织发起的针对孟加拉国的活动。Bitter 使用恶意文档文件作为诱饵,其中包含所谓的“公式编辑器漏洞”的不同实现,以下载后续阶段的恶意软件。第二阶段包括一个加载程序,它收集有关受感染系统的信息并从远程服务器检索第三阶段。
Bitter攻击的第三阶段可能包含不同类型的恶意软件,例如键盘记录程序、窃取程序或远程访问木马(RAT)。研究人员分析了一种较新使用的RAT,并将其称为“Almond RAT”。
攻击行动或事件情报
01
近期对俄定向攻击事件的分析
披露时间:2022年07月06日
情报来源:https://mp.weixin.qq.com/s/TexTSGe9Jx6RIuUXf7CstA
相关信息:
研究人员发现,在俄乌网络战中除了对乌克兰的攻击活动之外,同样存在大量对俄的定向攻击事件。攻击者通过已泄漏的俄罗斯财政部邮箱[email protected]对俄罗斯境内多个重要机构发送了大批量的钓鱼邮件。
此外,研究人员还发现了从 [email protected] 发向俄罗斯军工单位 JSC-KNIRTI 的钓鱼邮件。除了这些可明确攻击目标的钓鱼邮件之外,我们还捕获了一些“俄乌战争”、“COVID-19”话题相关的攻击诱饵文档。攻击活动中使用的攻击载荷多为商业木马、开源代码加工或使用工具混淆,较难对其归因研判。部分攻击所用的域名资产存在明显伪造俄罗斯境内重点机构官方域名的特征。
从钓鱼邮件收发时间及诱饵文档创建时间来看,此系列攻击事件主要发生在2022年3月下旬至4月中旬。
02
NPM 供应链攻击影响数百个网站和应用程序
披露时间:2022年07月05日
情报来源:https://blog.reversinglabs.com/blog/iconburst-npm-software-supply-chain-attack-grabs-data-from-apps-websites
相关信息:
近日,研究人员最近发现了广泛的软件供应链攻击的证据,该攻击涉及通过NPM包管理器提供的恶意Javascript包。这些可追溯到2021年12月的20多个NPM包,包含混淆的Javascript,旨在从使用部署了恶意包的应用程序或网站的个人那里窃取表单数据。
经过仔细检查,研究人员发现了协同供应链攻击的证据,大量NPM包包含jQuery脚本,旨在从包含它们的已部署应用程序中窃取表单数据。在其中一个案例中,恶意程序包已被下载超过17,000次。
攻击者冒充了高流量的 NPM 模块,例如由ionic.io发布的umbrellajs和软件包。这些明显的恶意攻击依赖于拼写错误,这是一种攻击者通过公共存储库提供名称与合法软件包相似或常见拼写错误的软件包的技术。
03
IIS后门软件SessionManager被GELSEMIUM组织利用
披露时间:2022年06月30日
情报来源:https://securelist.com/the-sessionmanager-iis-backdoor/106868/
相关信息:
研究人员发现,从2021年3月开始,SessionManager 已被用于针对非洲、南美、亚洲、欧洲、俄罗斯和中东的非政府组织、政府、军事和工业组织。通过对受害者以及使用的OwlProxy变体分析,研究人员认为恶意IIS SessionManager模块已经被GELSEMIUM威胁组织利用,作为其间谍活动的一部分。2022年4月下旬,研究人员发现SessionManager仍部署在20多个目标组织中。
SessionManager一直被用于针对Microsoft IIS服务器的攻击,它是用C++开发的,是一个恶意的原生代码IIS模块,此类恶意模块通常来自攻击者看似合法但经过专门设计的HTTP请求,根据攻击者的隐藏指令触发操作,然后将请求透明地传递给服务器,以便像任何其他请求一样对其进行处理。SessionManager提供多种功能,使其成为轻量级的持久初始访问后门。部署成功后,攻击者将利用SessionManager进一步分析目标环境、收集内存密码并部署其他工具。其部署的工具包括用于Mimikatz DLL、Mimikatz SSP、ProcDump的基于PowerSploit的反射加载器,以及来自Avast的合法内存转储工具,这个工具已被攻击者滥用以尝试读取LSASS进程的内存,并启用受感染服务器上的身份验证收集。
恶意代码情报
01
新僵尸网络家族正在利用IoT设备构建攻击网络
披露时间:2022年07月05日
情报来源:https://mp.weixin.qq.com/s/mLOBt1KvWICeYlmb201jYg
相关信息:
近日,研究人员监测发现一个新的僵尸网络正在利用IoT设备的弱口令构建僵尸网络。根据僵尸网络恶意代码中的url、youtube视频内容以及通信命令特征,将这个僵尸网络家族分别命名为RapperBot。截止目前,已发现失陷主机已经超过5000台,但是未监测到攻击者下发任何攻击指令,这说明该僵尸网络仍在持续构建中。
此外,研究人员注意到RapperBot僵尸网络连接过C2地址2.58.149.116,曾经有一个历史解析域名:dota.iwishiwashappy.eu,该域名在Rippr团伙运营的僵尸网络Fbot中也曾使用过。根据相关威胁情报,Rippr团伙运营着Fbot在内多个僵尸网络家族,该团伙拥有极其丰富的0DAY/NDAY武器库,且参与过针对“北京健康宝攻击事件”以及针对“乌克兰DDoS攻击”在内的多起攻击活动。
以上迹象表明,由RapperBot家族构建的僵尸网络已经成为一个重要的潜在威胁源。
02
Smoke Loader木马新功能分析
披露时间:2022年07月04日
情报来源:https://www.anquanke.com/post/id/275795
相关信息:
Smoke Loader木马最早于2011年在野被发现,其主要功能是在受感染的的机器上投放其他更具破坏性的恶意软件。经过多年的演变其已经能够加载多达10 多个可执行文件并运行它们,目前发现的Smoke Loader新增了一系列的反调试、反沙箱、反虚拟机技术使其分析变得非常复杂。
最新披露的Smoke Loader木马样本,使用多种技术手段逃避检测,并在确认未处在分析、调试环境后新建explorer.exe进程,劫持其入口点使其执行恶意代码进行持久化、连接C2、插件执行下载等操作。该样本的shellcode使用多种技巧对抗反编译,如垃圾指令、滥用jmp,使得整块代码变得混乱复杂无法被整体分析。Smoke Loader会创建进程快照获得所有进程名称,并检查其中是否含有安全软件、监控软件的进程名,如包含则退出。反沙箱技术是通过检测文件路径里是否有sample,sandbox,malware,virus字符串来实现。反虚拟机检测主要通过cpuid获得虚拟CPU信息,并判断其中是否含有虚拟化产品名称。反调试则通过NtQueryInformationProcess函数进行反调试操作。
03
Hezb挖矿木马分析
披露时间:2022年07月05日
情报来源:https://mp.weixin.qq.com/s/6L8L80Oej1bwyLhxTNDq5g
相关信息:
研究人员陆续捕获到Hezb挖矿木马攻击样本,该木马在5月份时主要利用WSO2 RCE(CVE-2022-29464)漏洞进行传播,该漏洞是一种无需身份验证的任意文件上传漏洞,允许未经身份验证的攻击者通过上传恶意JSP文件在WSO2 服务器上获得RCE。自Confluence OGNL(CVE-2022-26134)漏洞利用的详细信息公布后,Hezb挖矿木马开始利用该漏洞进行传播,该漏洞可以让远程攻击者在未经身份验证的情况下,构造OGNL表达式进行注入,实现在Confluence Server或Data Center上执行任意代码。以上两种漏洞均属于第三方软件漏洞,不是系统本身漏洞,所以针对企业的服务器传播几率较大,及时更新WSO2和Confluence补丁可避免感染该挖矿木马。
目前,该挖矿木马较为活跃,同时向Linux与Windows双平台传播恶意脚本,下载门罗币挖矿程序进行挖矿:在Linux平台上使用Shell脚本执行挖矿程序,并且该脚本还会清除竞品挖矿程序、下载其他恶意脚本和创建计划任务等功能;在Windows平台上使用 bat脚本执行挖矿程序;脚本其他功能与Shell脚本功能基本一致。
04
Hive勒索软件新变种用Rust编写以实现更复杂的加密
披露时间:2022年07月05日
情报来源:https://www.microsoft.com/security/blog/2022/07/05/hive-ransomware-gets-upgrades-in-rust/
相关信息:
研究人员在分析检测到的用于投放.key文件的Hive勒索软件技术时发现了新变种,新变种进行了几个主要的升级。新的Hive变种用Rust编写,并且使用字符串加密,可以使其更具规避性。在新变种中,用于访问Hive赎金支付网站的用户名和密码必须在命令行中的“-u”参数下提供,这意味着分析人员不能从样本本身获得它们。Hive的勒索信也发生了变化,新变种引用了具有新文件名约定的.key文件,并添加了关于虚拟机(VM)的句子。
漏洞相关
01
Jenkins 在多个插件中披露了数十个零日漏洞
披露时间:2022年06月30日
情报来源:https://www.jenkins.io/security/advisory/2022-06-30/
相关信息:
Jenkins是一个广受欢迎的平台(支持超过 1,700 个插件),全球企业使用它来构建、测试和部署软件。
近日,Jenkins 安全团队宣布了34个安全漏洞,影响Jenkins开源自动化服务器的29个插件,其中29个漏洞是零日漏洞仍有待修补。Jenkins 团队已经修补了其中的四个插件(即 GitLab、requests-plugin、TestNG Results、XebiaLabs XL Release),但仍然存在很多易受攻击的插件。根据 Jenkins 的统计数据,受影响的插件总共有超过 22,000 次安装。
尚未修补的完整漏洞列表包括XSS、存储型 XSS、跨站点请求伪造 (CSRF) 错误、权限检查缺失或不正确,以及以纯文本形式存储的密码、机密、API 密钥和令牌。
点击阅读原文至ALPHA 5.0
即刻助力威胁研判