​每周高级威胁情报解读(2023.06.15~06.22)
2023-6-23 10:36:44 Author: 奇安信威胁情报中心(查看原文) 阅读量:14 收藏

2023.06.15~06.22

攻击团伙情报

  • Red Eyes Group 利用FadeStealer窃听个人信息

  • 针对中东和非洲政府的新APT组织CL-STA-0043

  • BlueDelta 利用乌克兰政府 Roundcube 邮件服务器支持间谍活动

  • DoNot APT 通过在 Google Play 商店部署恶意 Android 应用程序来提升其策略

  • 双重行动、三重感染和新 RAT:SideCopy 持续瞄准印度国防

  • Shuckworm:俄罗斯针对乌克兰的无情网络攻击

  • APT37针对韩国 macOS 用户的进行攻击

  • GhostWriter组织使用PicassoLoader和Cobalt Strike Beacon对乌克兰国家发起攻击

攻击行动或事件情报

  • 新的恶意软件活动针对 LetsVPN 用户

  • 黑客使用新的漏洞利用技术劫持 S3 存储桶

  • 追踪 Diicot:新兴的罗马尼亚攻击者

  • 跨平台后门暗示着更大的Mac OS攻击

  • Shampoo:恶意广告扩展ChromeLoader部署新活动

  • 针对 UKR.NET 服务用户的网络攻击

  • 起底Frosted DDoS攻击团伙

恶意代码情报

  • FickerStealer:rust窃密木马

  • 逆向分析基于Flutter 的 Android 恶意软件“Fluhorse”

  • 勒索软件RedEnergy Stealer技术分析

  • 分析TriangleDB,一个Triangulation间谍软件的植入物

  • 分布在Linux SSH服务器上的DDoS恶意软件Tsunami

  • Mystic Stealer :不断发展的“隐形”恶意软件

  • 深入研究 PyPI 托管的恶意软件

  • Android GravityRAT可以窃取 WhatsApp 备份文件

漏洞情报

  • Apple多个产品高危漏洞安全风险通告

攻击团伙情报

01

Red Eyes Group 利用FadeStealer窃听个人信息

披露时间:2023年6月21日

情报来源:https://asec.ahnlab.com/en/54349/

相关信息:

Red Eyes(也称为APT37、ScarCruft和Reaper)是一个由国家资助的 APT 组织,主要对朝鲜叛逃者、人权活动家和大学教授等个人进行攻击。众所周知,他们的任务是监视特定个人的生活。2023年5月,研究人员发现RedEyes组织分发和使用具有窃听功能的Infostealer,这是以前未知的,以及使用GoLang开发的利用 Ably 平台的后门。

威胁参与者通过使用 Ably 服务的GoLang后门发送命令。命令通信所需的 API 密钥值保存在GitHub存储库中。此API密钥值对于与威胁参与者的通道进行通信是必需的,因此任何人如果知道此密钥值都可以订阅。因此,可以识别威胁参与者在分析时使用的一些命令。

02

针对中东和非洲政府的新APT组织CL-STA-0043

披露时间:2023年6月14日

情报来源:https://www.paloaltonetworks.com/blog/security-operations/through-the-cortex-xdr-lens-uncovering-a-new-activity-group-targeting-governments-in-the-middle-east-and-africa/

相关信息:

研究人员发现多起针对中东和非洲政府实体的间谍攻击。根据调查结果,攻击的主要目标是获取高度机密和敏感的信息,特别是与政客、军事活动和外交部有关的信息。这些攻击大约发生在同一时间范围内,在战术、技术和程序 (TTP) 方面有几个非常独特的相似之处,其中一些以前从未在野外报告过,而其他技术则相对罕见,只有少数攻击者报告使用了它们。

目前命名该组为CL-STA-0043。该活动组织的复杂程度、适应性和受害者学水平表明,这是一个能力很强的APT威胁行为者,而且它被怀疑是民族国家威胁行为者。

在跟踪和分析CL-STA-0043时,研究人员发现了攻击者使用的新规避技术和工具,例如用于秘密运行webshell的内存中VBS植入,以及首次在野外发现的罕见凭证盗窃技术。

03

BlueDelta利用乌克兰政府Roundcube邮件服务器支持间谍活动

披露时间:2023年6月20日

情报来源:https://www.recordedfuture.com/bluedelta-exploits-ukrainian-government-roundcube-mail-servers

相关信息:

研究人员发现了一项针对乌克兰知名实体的活动,该活动与通过网络流量情报发现的鱼叉式网络钓鱼活动相互关联。该活动利用有关俄罗斯对乌克兰战争的新闻来鼓励收件人打开电子邮件,这会立即危及易受攻击的 Roundcube 服务器(一种开源网络邮件软件),使用CVE-2020-35730,而无需处理附件。此外还发现该活动与 2022 年利用 Microsoft Outlook 零日漏洞CVE-2023-23397的历史性 BlueDelta 活动重叠。

 BlueDelta 似乎自 2021 年 11 月开始活动。该活动与 CERT-UA归因于 APT28(也称为 Forest Blizzard 和 Fancy Bear)的活动重叠,多个西方政府将其归因于总局俄罗斯联邦武装部队(GRU)总参谋部。在这次行动中,BlueDelta 主要针对乌克兰组织,包括涉及飞机基础设施的政府机构和军事实体。

04

DoNot APT 通过在 Google Play 商店部署恶意 Android 应用程序来提升其策略

披露时间:2023年6月16日

情报来源:https://www.cyfirma.com/outofband/donot-apt-elevates-its-tactics-by-deploying-malicious-android-apps-on-google-play-store/

相关信息:

研究人员最近获得了"SecurITY Industry "账户托管在Google Play Store上的可疑Android应用程序。进一步的技术分析显示,该应用程序具有恶意软件的特征,属于臭名昭著的高级持续性威胁集团:"DoNot",最近针对克什米尔地区进行攻击。在最近的一次观察中,发现威胁者正在使用安卓系统的有效载荷来对付巴基斯坦地区,然而,仍然不知道是什么促使他们在南亚地区进行网络打击。技术分析表明,攻击背后的动机是通过stager payload收集信息,并将收集到的信息用于第二阶段的攻击,使用具有更多破坏性的恶意软件。

05

双重行动、三重感染和新RAT:SideCopy持续瞄准印度国防

披露时间:2023年6月15日

情报来源:https://www.seqrite.com/blog/double-action-triple-infection-and-a-new-rat-sidecopys-persistent-targeting-of-indian-defence

相关信息:

研究人员发现 SideCopy APT 针对印度国防部门新的攻击活动。该组织利用网络钓鱼电子邮件附件和 URL 作为感染媒介来下载恶意存档文件,从而导致部署两种不同的有效负载:Action RAT 和一种新的基于 .NET 的 RAT。使用了三个主题的感染链:DRDO 的“Invitation Performa”,这是其国防采购程序 (DPP) 的一部分,这是一个蜜罐诱饵,还包括印度军方的“选择外国任务的军官”主题。在一名高级 DRDO 科学家因向被困在他身边的巴基斯坦特工泄露敏感信息而被捕后,正在进行的活动曝光。此"蜂蜜陷阱 "在Facebook、Twitter、WhatsApp等社交媒体平台上大幅增加,有数百万非法账户被用作机器人或诱饵。

06

Shuckworm:俄罗斯针对乌克兰的无情网络攻击

披露时间:2023年6月15日

情报来源:https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-russia-ukraine-military

相关信息:

Shuckworm 间谍组织继续对乌克兰发动多次网络攻击,最近的目标包括安全部门、军队和政府组织。在某些情况下,Shuckworm已成功发起入侵,持续时间长达三个月。攻击者多次试图访问和窃取敏感信息,例如有关乌克兰军人死亡、敌人交战和空袭、军火库库存、军事训练等的报告。为了避免被检测出来,Shuckworm反复更新其工具集,推出已知工具的新版本和短期基础设施,以及新添加的工具,例如 USB 传播恶意软件。

Shuckworm(又名 Gamaredon、Armageddon)是一个与俄罗斯有联系的组织,自 2014 年首次出现以来,其行动几乎完全集中在乌克兰。乌克兰官员公开表示,该组织代表俄罗斯联邦安全局 (FSB) 开展活动。

07

APT37针对韩国 macOS 用户的进行攻击

披露时间:2023年6月20日

情报来源:https://www.genians.co.kr/blog/threat_intelligence_report_macos

相关信息:

5 月 17 日,研究人员发现了 APT37 的新网络威胁活动,该组织被称为与朝鲜有关的黑客组织,之后密切监视 APT(高级持续威胁)组织的威胁活动。本案经核实,是针对韩国境内从事朝鲜人权和朝鲜事务的特定人员的分两阶段的缜密APT攻击。

攻击者在进行初级网络钓鱼攻击和侦察活动以窃取受害者的电子邮件密码后,利用在此过程中识别的网络浏览器和操作系统信息进行基于 macOS 的恶意文件攻击。已识别出多名受害者,并确认他们主要使用 MacBook。

08

GhostWriter组织使用PicassoLoader和Cobalt Strike Beacon对乌克兰国家发起攻击

披露时间:2023年6月16日

情报来源:https://cert.gov.ua/article/4905718

相关信息:

研究人员发现了PPT文件“daewdfq342r.ppt”,其中包含一个宏和一个缩略图,上面有以伊万·切尔尼亚希夫斯基命名的乌克兰国防大学的徽章。

如果打开该文档并激活宏,则会在受害者的计算机上创建一个可执行文件“%APPDATA%\Signal_update_6.0.3.4\glkgh90kjykjkl650kj0.dll”,以及一个旨在运行后的快捷方式文件。文件“glkgh90kjykjkl650kj0.dll”被归类为 PicassoLoader 恶意软件,通常由 UAC-0057 (GhostWriter) 组织使用,旨在下载图像、解密并启动生成的有效负载。同时,最近使用RC4代替AES。在相关事件中,PicassoLoader 将确保下载并启动 .NET dropper,该释放器将执行解密 (AES) 并启动可执行文件“PhotoMetadataHandler.dll”,而该文件又将执行解密并启动 Cobalt Strike受害者电脑上的信标。

攻击行动或事件情报

01

新的恶意软件活动针对 LetsVPN 用户

披露时间:2023年6月16日

情报来源:https://blog.cyble.com/2023/06/16/new-malware-campaign-targets-letsvpn-users/

相关信息:

近日,研究人员在进行例行威胁搜寻活动时,发现存在大量假冒LetsVPN网站。这些欺诈网站共享一个通用的用户界面,并故意设计用于分发恶意软件,伪装成真正的 LetsVPN 应用程序。

LetsVPN 是由 LetsGo Network 开发的一款 VPN 应用程序,旨在通过提供高速连接来增强互联网体验,同时确保用户的设备安全。LetsVPN 提供了一系列功能,包括点对点功能、对多种协议的支持、以不同语言浏览的能力、用于增加安全性的终止开关、策略管理选项等等。

02

黑客使用新的漏洞利用技术劫持 S3 存储桶

披露时间:2023年6月15日

情报来源:https://checkmarx.com/blog/hijacking-s3-buckets-new-attack-technique-exploited-in-the-wild-by-supply-chain-attackers/

相关信息:

该攻击最初是在一个名为 bignum 的npm 软件包受到攻击时注意到的,该软件包在 0.13.0 版之前依赖 Amazon S3 存储桶在安装过程中下载名为 node-pre-gyp 插件的预构建二进制版本。根据研究人员分享的报告,攻击者将恶意二进制文件注入到 S3 存储桶中,该存储桶提供了 NPM 包“bignum”所需的二进制文件,而没有更改任何一行代码。

根据 2023 年 5 月 24 日发布的 GitHub 公告,“这些二进制文件发布在现已过期的 S3 存储桶上,该存储桶已被恶意第三方占用,该第三方现在正在提供包含恶意软件的二进制文件,这些恶意软件会从用户计算机中窃取数据”。

03

追踪 Diicot:新兴的罗马尼亚攻击者

披露时间:2023年6月15日

情报来源:https://www.cadosecurity.com/tracking-diicot-an-emerging-romanian-threat-actor/

相关信息:

在最近对蜜罐传感器遥测的审查中,研究人员发现一种有趣的攻击模式,该模式可能归因于Diicot(以前称为“Mexals”)。

对 Diicot 使用的 C2 服务器进行调查,发现了几个有效负载,其中一些似乎没有任何公开报告,并且在常见的公共恶意软件存储库中丢失。这些有效负载似乎被这个新兴组织用作活动的一部分。

此外还发现该组织部署基于 Mirai 的僵尸网络代理(名为 Cayosin)的证据。该代理的部署针对运行基于 Linux 的嵌入式设备操作系统OpenWrt 的路由器。Cayosin 的使用表明 Diicot 愿意根据遇到的目标类型进行各种攻击(不仅仅是加密劫持)。这表明该组织仍在投入工程来部署 Cayosin以获得DDoS 攻击的能力,根据之前的报道,这是 Cayosin 的主要目标。

04

跨平台后门暗示着更大的Mac OS攻击

披露时间:2023年6月16日

情报来源:https://www.bitdefender.com/blog/labs/fragments-of-cross-platform-backdoor-hint-at-larger-mac-os-attack/

相关信息:

研究人员透露其发现了一组具有后门功能的恶意文件,并推断是针对Apple macOS系统的复杂工具包的一部分。目前调查仍在进行中,样本的大部分仍未被发现。研究人员共分析了上传到VirusTotal的四个样本,其中最早的于4月18日由匿名用户上传。研究人员发现的恶意文件分别是一个通用的Python后门shared.dat,一个强大的后门sh.py,以及一个FAT二进制文件xcc。研究人员将Python组件跟踪为JokerSpy。

05

Shampoo:恶意广告扩展ChromeLoader部署新活动

披露时间:2023年6月14日

情报来源:https://threatresearch.ext.hp.com/shampoo-a-new-chromeloader-campaign/

相关信息:

研究人员近检测到了一个名为"Shampoo"的恶意软件活动,且活动主要涉及部署ChromeLoader恶意扩展。其中,ChromeLoader是Google Chrome浏览器扩展恶意软件家族,于2022年初首次被披露,其功能为在Google Chrome中安装用于传播广告的恶意扩展程序。旧版本的ChromeLoader感染链始于诱导受害者从托管非法内容的网站下载恶意的ISO文件。Shampoo活动始于2023年3月上旬,并且感染链与之前非常相似,依旧通过诱使受害者从网站下载伪装成免费电影、视频游戏的恶意VBScript文件,进而部署具有扩展名为"Shampoo"的ChromeLoader恶意扩展。此外,一旦ChromeLoader连接到Chrome会话,该扩展程序还会将敏感信息回传至C2服务器。

06

针对 UKR.NET 服务用户的网络攻击

披露时间:2023年6月19日 

情报来源:https://cert.gov.ua/article/4928679

相关信息:

研究人员收到了信息交换参与者发来的一封电子邮件,主题为“@UKR.NET 观察到可疑活动”,并附有 PDF 文件“安全警告.pdf”形式的附件,显然是代表 UKR 发送的。

上述 PDF 文档包含一个指向模仿邮政服务网页的欺诈性网络资源的链接。如果在假冒网站上进行身份验证,用户的登录名和密码将被发送给攻击者,这将为第三方未经授权访问用户的电子邮箱创造条件。

07

起底Frosted DDoS攻击团伙

披露时间:2023年6月20日

情报来源:https://mp.weixin.qq.com/s/4rmT16xpqW8j11UfR6z3lw

相关信息:

2023 年 6月初,奇安信威胁情报中心威胁监控系统监测到一起未知家族恶意样本利用CVE-2021-22205漏洞传播的事件,经过分析确认该样本不属于已知的僵尸网络家族。通过对该家族的特征进行分析,我们将此新型僵尸网络称为 DarknessQbot。

对该僵尸网络进行溯源时我们发现,CNCERT 物联网威胁研究团队和绿盟科技伏影实验室于2022年12月发表的一份联合报告对本次发现的僵尸网络作者曾进行过披露,并将该僵尸网络犯罪团伙命名为 Frosted,我们猜测是通过僵尸网络作者的ID进行团伙的命名,本文将详细披露 Frosted 僵尸网络犯罪团伙。

恶意代码情报

01

FickerStealer:rust窃密木马

披露时间:2023年6月21日

情报来源:https://mp.weixin.qq.com/s/Kjp6oOQPzFOfyRi7hw9l-Q

相关信息:

本文将主要介绍该窃密木马的执行全流程,且该流程也被当前大多数Windows恶意样本所采用,通过该执行流程,可以很好的隐藏自身,以逃避安全设备和安全软件的检测,可以说是目前常见逃逸思路中较为主流的一种思路。

02

逆向分析基于Flutter的Android恶意软件“Fluhorse”

披露时间:2023年6月21日

情报来源:https://www.fortinet.com/blog/threat-research/fortinet-reverses-flutter-based-android-malware-fluhorse

相关信息:

Android/Fluhorse是最近发现的恶意软件家族,于 2023 年 5 月出现。该恶意软件的独特之处在于它利用了 Flutter,这是一种开源 SDK(软件开发工具包),因其能够构建与 Android、iOS 兼容的应用程序而在开发人员中享有盛誉。Android/Fluhorse 系列代表了一个重大转变,因为它将恶意组件直接合并到 Flutter 代码中。研究人员成功地以静态方式对 Fluhorse 恶意软件进行了完全逆向工程,无需动态执行。此文就是对该恶意软件的详细分析。

03

勒索软件RedEnergy Stealer技术分析

披露时间:2023年6月21日

情报来源:https://www.zscaler.com/blogs/security-research/ransomware-redefined-redenergy-stealer-ransomware-attacks

相关信息:

研究人员发现了一种新的恶意软件变体RedEnergy 窃取程序。RedEnergy 窃取者利用虚假更新活动来针对多个行业垂直领域,并拥有从各种浏览器窃取信息的能力,从而能够泄露敏感数据,同时还结合了不同的模块来执行勒索软件活动。该恶意软件的名称是在以分析过程中观察到的常用方法来命名。

该博客提供了与这种新发现的恶意软件相关不同活动的详细见解,以及对其窃取者和勒索软件特征的技术分析。

04

分析TriangleDB,一个Triangulation间谍软件的植入物

披露时间:2023年6月21日

情报来源:https://securelist.com/triangledb-triangulation-implant/110050/

相关信息:

该植入程序被研究人员称为 TriangleDB,是在攻击者利用内核漏洞获得目标 iOS 设备的 root 权限后部署的。它部署在内存中,这意味着当设备重新启动时,植入物的所有痕迹都会丢失。因此,如果受害者重新启动设备,攻击者必须通过发送带有恶意附件的 iMessage 来重新感染设备,从而再次启动整个漏洞利用链。如果没有重新启动,植入程序将在 30 天后自行卸载,除非攻击者延长此期限。截至目前,研究人员已经完成了对间谍软件植入的分析,并在此文分享其详细信息。

05

分布在Linux SSH服务器上的DDoS恶意软件Tsunami

披露时间:2023年6月20日

情报来源:https://asec.ahnlab.com/en/54647/

相关信息:

研究人员最近发现了一个攻击活动,其中包括在管理不善的 Linux SSH 服务器上安装 Tsunami DDoS Bot。威胁行为者不仅安装了 Tsunami,还安装了各种其他恶意软件,例如 ShellBot、XMRig CoinMiner 和 Log Cleaner。

Tsunami 是一种 DDoS 机器人,也称为 Kaiten。它是针对普遍易受攻击的物联网设备时与 Mirai 和 Gafgyt 一起持续传播的几种恶意软件之一。虽然它们都有 DDoS 机器人的共同点,但 Tsunami 从其他机器人中脱颖而出,因为它作为 IRC 机器人运行,利用 IRC 与威胁行为者进行通信。

这篇文章将介绍一个案例,其中威胁行为者在执行字典攻击后设法登录到管理不善的 SSH 服务器,然后安装 DDoS 机器人和 XMRig CoinMiner。

06

Mystic Stealer :不断发展的“隐形”恶意软件

披露时间:2023年6月15日

情报来源:https://www.cyfirma.com/outofband/mystic-stealer-evolving-stealth-malware/

相关信息:

研究团队最近发现一种名为“Mystic Stealer”的信息窃取者在地下论坛中得到推广,威胁行为者利用 Telegram 渠道进行操作。该威胁行为者不断增强恶意软件,融入新功能以增强其有效性并扩大其用户群。调查显示存在 50 多个主动命令和控制 (C2) 服务器,表明这种威胁日益普遍。鉴于对有效信息窃取程序的持续需求,“Mystic Stealer”成为该领域的潜在竞争者。

2023 年 4 月下旬,Mystic Stealer 在著名的地下论坛上首次亮相,以其宣传的特性、功能和价格吸引了人们的注意。在接下来的几周里,该窃取程序可供论坛内的知名资深人士进行测试,他们验证了其有效性并为进一步改进提供了宝贵的反馈。

07

深入研究 PyPI 托管的恶意软件

披露时间:2023年6月19日 

情报来源:https://blog.virustotal.com/2023/06/inside-of-wasps-nest-deep-dive-into.html

相关信息:

在监控过程中,研究人员能够识别出数十个可疑软件包,据称这些软件包是由试图滥用 PyPI 的威胁行为者上传的。在某些情况下,攻击者会毒害众所周知的合法 Python 库,并利用拼写错误重新上传它们,例如模仿pyOpenSSL的“pylOpenSSL” 。在其他情况下,他们上传完全由恶意代码组成的假包,例如scapy库。

一般来说,这些攻击的主要目标似乎是受害者的环境数据,其中重点是浏览器的cookie。在某些情况下,恶意库实现了相当原始的功能,例如劫持受害者剪贴板中的加密钱包地址。

在这篇文章中,研究人员将分享对 PyPi 可疑库的见解,并仔细研究滥用它的特定活动。

08

Android GravityRAT可以窃取 WhatsApp 备份文件

披露时间:2023年6月15日

情报来源:https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/

相关信息:

研究人员已经确定了一个更新版本的 Android GravityRAT 间谍软件正在作为消息应用程序 BingeChat 和 Chatico 进行分发。GravityRAT 是一种远程访问工具,已知至少从 2015 年开始使用,之前曾用于针对印度进行攻击。其在Windows、Android 和 macOS 下都可用。GravityRAT 背后的TA仍然未知,因此研究人员在内部将该组织跟踪为 SpaceCobra。

自2022年8月以来,BingeChat活动仍在进行,但Chatico相关活动已不再活跃。BingeChat 通过广告免费消息服务的网站进行分发。在新发现的活动中,GravityRAT 可以泄露 WhatsApp 备份并接收删除文件的命令。恶意应用程序还提供基于开源OMEMO Instant Messenger 应用程序的合法聊天功能。

漏洞情报

01

Apple多个产品高危漏洞安全风险通告

披露时间:2023年6月22日

情报来源:https://mp.weixin.qq.com/s/tCMzaUKCONrVX6XuA4Rd0Q

相关信息:

Apple WebKit 是由苹果公司开发的一款开源浏览器引擎,它是/ Safari 浏览器的核心组件,也被 Google、Adobe 等公司使用在其产品中。WebKit 引擎采用 C++ 语言编写,支持 HTML、CSS、JavaScript 等 Web 标准,并提供了高性能的渲染和布局引擎,能够快速准确地呈现网页内容。

近日,奇安信CERT监测到Apple官方发布了多个产品高危漏洞,包括Apple WebKit 任意代码执行漏洞(CVE-2023-32439)和Apple Kernel 权限提升漏洞(CVE-2023-32434)。鉴于这些漏洞影响范围较大,且已发现在野利用,建议客户尽快做好自查及防护。

点击阅读原文ALPHA 6.0

即刻助力威胁研判


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247506822&idx=1&sn=abebb9e2933f4b76b102f4971d78648a&chksm=ea662cf1dd11a5e7e352c2cec5a9ccad8036f6c05c530572811c9bbf46163e2fc005d37151b0#rd
如有侵权请联系:admin#unsafe.sh