【安全资讯】安恒高级安全威胁情报周报(2021.10.10~10.15)

威胁情报小能手 2021-10-19 02:17:37 711人浏览

【恶意软件威胁情报】

针对德国银行业用户的Hydra银行木马变种分析

Hydra是于2019年最初发现的Android银行木马,近日,研究人员在针对德国商业银行的网络钓鱼活动中,发现了Hydra银行木马的新变种。Hydra除了标准的银行木马行为(如创建用于窃取凭证的覆盖页面)之外,还整合了 TeamViewer 功能,类似于SOVA 恶意软件,并且还使用不同的加密技术来逃避检测并使用 Tor 进行通信。

Hydra恶意软件的开发者正在增强其 TTP,向银行木马添加新功能,采用新技术来窃取受害者的信息和金钱。

参考链接:https://ti.dbappsecurity.com.cn/info/2593

攻击者通过多种载体传播Trickbot和BazarLoader

Trickbot自2016年以来一直活跃,是过去五年最危险的银行木马之一,与大量涉及比特币挖矿,盗窃银行信息、个人身份信息和凭据的恶意活动有关。BazarLoader是Trickbot木马的衍生软件,两者都易于修改,并且能够提供多级有效载荷并完全接管计算机。10月8日,研究人员发布了对Trickbot 和 BazarLoader 使用的不同交付载体的分析。

参考链接:https://ti.dbappsecurity.com.cn/info/2594

热点事件威胁情报

美国发布针对其水务系统的网络威胁联合警报

10月14日,美国联邦调查局 (FBI)、网络安全和基础设施局 (CISA)、环境保护局 (EPA) 和国家安全局 (NSA) 发布联合警报,报告了从 2019 年到 2021 年初,针对美国WWS部门(水和废水系统)的持续网络威胁,并提供了缓解措施。

WWS设施可能容易受到以下常见策略、技术和程序 (TTP) 的影响,攻击者使用这些方式来破坏 IT 和 OT 网络、系统和设备:(1)鱼叉式网络钓鱼人员提供恶意负载,包括勒索软件;(2)利用不受支持的或过时的操作系统和软件;(3)利用具有易受攻击的固件版本的控制系统设备。

参考链接:https://ti.dbappsecurity.com.cn/info/2619

知名电子游戏直播平台Twitch源代码和业务数据遭泄露

10月6日,一位匿名用户在4chan匿名网站的讨论区发帖,泄露了Twitch的源码和用户敏感信息。Twitch是一家全球知名电子游戏直播平台,Twitch上的视频游戏流媒体所覆盖的游戏种类非常广泛,几乎涵盖了市面上所有游戏种类。该匿名用户分享了一个种子链接,共享了从6000个内部Twitch Git库窃取的125 GB的数据。

参考链接:https://ti.dbappsecurity.com.cn/info/2596

披着羊皮的狼:攻击者伪装成国际特赦组织,传播Sarwent恶意软件

国际特赦组织是一个国际性非政府人权组织,致力于监察国际上违反人权的事件。7月18日,该组织发布了一份报告,披露以色列NSO集团使用“pegasus”间谍软件监听全球5万名政要记者,此次事件一经披露,迅速成为国际头条新闻。然而近日,有攻击者冒充国际特赦组织,通过虚假网站宣传伪造的反Pegasus工具的杀毒软件,实际上在受害者设备上安装Sarwent恶意软件。

参考链接:https://ti.dbappsecurity.com.cn/info/2599

【勒索专题】

宏碁今年再遭勒索软件攻击,导致印度经销数据泄露

10月14日,中国台湾电子科技巨头宏碁披露了今年内发生的第二次网络攻击。该公司透露,其印度分公司的售后服务系统遭到攻击,目前正在应急响应,并正通知印度可能受影响的客户。虽然宏碁没有提供有关此事件背后攻击者身份的详细信息,但一名威胁行为者在一个流行的黑客论坛上声称发动了这次攻击,并表示窃取了宏碁超60GB内部数据。

参考链接:https://ti.dbappsecurity.com.cn/info/2621

新型Yanluowang勒索软件瞄准大型企业

研究人员发现了一种名为Yanluowang的勒索软件家族,该勒索软件被用于针对大型企业发起攻击。攻击者在部署Yanluowang勒索软件之后,将停止管理程序虚拟机,结束由前驱工具(包括 SQL 和 Veeam)收集的所有进程,加密文件并附加 .yanluowang 扩展名。尽管Yanluowang恶意软件目前仍在开发中,但鉴于勒索软件是全球组织面临的最大威胁之一,Yanluowang仍然是非常危险的恶意软件。

参考链接:https://ti.dbappsecurity.com.cn/info/2623

Agrius组织使用Apostle勒索软件攻击以色列大学

自2020年12月以来,研究人员一直在跟踪名为Agrius的APT组织。该组织疑似来自伊朗,主要在中东地区活动。近日,研究人员发现Agrius组织可能利用自定义的Apostle勒索软件对以色列大学Bar-Ilan发起了勒索攻击。除了赎金要求外,受Apostle影响的机器上使用的壁纸图片也发生了变化,这次呈现的是小丑的形象。

参考链接:https://ti.dbappsecurity.com.cn/info/2595

SnapMC组织直接窃取公司数据进行勒索

研究人员发现了一种新的威胁组织并将其命名为SnapMC。SnapMC的攻击非常迅速,通常可以在30分钟内完成。SnapMC采取的是数据泄露勒索攻击方式,使用渗漏工具mc.exe,直接窃取公司的文件。随后威胁受害者称若不支付赎金,则将受害者公司的数据泄露到网上。这种攻击方式与传统的勒索软件攻击相比,跳过了部署勒索软件的步骤,因此大大节省了时间成本。

参考链接:https://ti.dbappsecurity.com.cn/info/2607

Ranion勒索软件:出于教育目的而创建的RaaS

Ranion是一种勒索即服务 (RaaS),至少自 2017 年 2 月以来一直活跃。Ranion的目的看起来与其他勒索软件相同,可以加密受感染机器上的文件并从用户那里接收赎金以恢复他们的文件,但事实上,Ranion RaaS 的内部工作原理与其他勒索软件并不相同。

Ranion的商业模式与其他 RaaS 供应商截然不同。通常,勒索软件即服务供应商会将 60%-80% 的赎金支付给已成功将其勒索软件安装到受害者设备上的“关联公司”,但Ranion开发人员不收分成。此外,一些 RaaS 供应商通常会试图招募有经验的附属公司,在允许他们注册服务之前筛选潜在的附属公司,但Ranion开发人员不设门槛,因此许多没有经验的附属公司也可以选择Ranion的服务。

参考链接:https://ti.dbappsecurity.com.cn/info/2600

针对独联体企业的勒索软件分析

10月7日,Kaspersky发布报告,分析了2021年上半年针对独联体(CIS)的勒索软件木马家族及其技术特征,包括BigBobRoss、Crysis、Phobos、Cryakl、CryptConsole、Fonix、Limbozar、Thanos以及XMRLocker。2021 年 1 月至 7 月,CIS 中遭到勒索软件攻击的企业用户数量一直在2000以上,且许多恶意软件仍在积极发展,部分威胁在被发现后暂时关闭,但随后又重新出现在市场上。尽管存在不同的恶意软件分发载体,但当前针对独联体企业的大多数勒索软件威胁都是通过 RDP 渗透到受害者的网络中的。因此,研究人员建议用户阻止来自 Internet 的 RDP 访问。

参考链接:https://ti.dbappsecurity.com.cn/info/2608

【金融行业威胁情报】

MirrorBlast:TA505组织针对金融公司展开的恶意活动

MirrorBlast是一项针对金融组织的活动,当前的攻击活动始于9月初,影响加拿大、美国、香港、欧洲等地区。MirrorBlast恶意活动与TA505组织的攻击活动具有相似的攻击链、GetandGo 功能、最终有效载荷以及域名模式,因此研究人员将该活动归因于TA505组织。TA505据悉位于俄罗斯,至少自 2014 年以来一直活跃,该组织的攻击活动具有财务动机。

参考链接:https://ti.dbappsecurity.com.cn/info/2620

厄瓜多尔最大私人银行遭受大规模网络攻击

近日,厄瓜多尔最大的私人银行 Banco Pichincha 遭受网络攻击,导致业务中断,ATM 和在线银行门户网站下线。Banco Pichincha尚未公开披露此次袭击的性质,然而消息人士表示,此次攻击是一次勒索软件攻击,攻击者在银行网络上安装了 Cobalt Strike 信标。

参考链接:https://ti.dbappsecurity.com.cn/info/2614

【恶意活动威胁情报】

ITG23网络犯罪团伙正扩大恶意软件分发渠道

ITG23是一个著名的网络犯罪团伙,也被称为“TrickBot Gang”和“Wizard Spider”。ITG23是Trickbot银行木马的开发者,该木马于2016年首次被发现,最初用于网上银行欺诈。近年来,Trickbot已发展成为一个模块化恶意软件家族,能够窃取凭据并横向移动,并被用于下载其他后门和勒索软件,如 Ryuk 和 Conti。

研究人员发现该组织正在积极扩大其恶意软件分发渠道,用Trickbot和BazarLoader感染企业用户,因此导致了更多的勒索软件攻击,尤其是使用Conti勒索软件的攻击。

参考链接:https://ti.dbappsecurity.com.cn/info/2622

MyKings僵尸网络通过恶意活动积累2400万美元的加密货币

MyKings又名Smominru 和 DarkCloud,是一个长期存在的僵尸网络,至少从 2016 年开始活跃。其庞大的基础设施由多个部分和模块组成,包括 bootkit、挖矿程序、dropper、剪贴板窃取器等。MyKings自投入运营以来,在5年的时间内已积累2400万美元的加密货币,其基础设施庞大,功能完善,且仍在广泛传播并扩展其基础设施,是一种值得注意的威胁。

参考链接:https://ti.dbappsecurity.com.cn/info/2605

意图收集用户凭据的大规模网络钓鱼活动

商业电子邮件泄露 (BEC) 和个人电子邮件帐户泄露 (EAC) 是一项最普遍和代价最高的网络威胁。由于利润丰厚,促使犯罪分子不断修改和升级他们的策略。研究人员发现了一种较新的技术,集成了鱼叉式网络钓鱼、自定义网页和复杂的云单点登录生态系统,以诱使用户不知情地泄露他们的凭据。由于这种策略不包含任何恶意软件,因此很难被网络安全产品检测为恶意活动。

参考链接:https://ti.dbappsecurity.com.cn/info/2601

CryptoRom:针对美国和欧洲约会应用程序用户的欺诈性活动

Sophos的研究人员发现了一个欺诈性骗局,攻击者主要针对使用约会应用程序的iPhone用户,引诱受害者下载一个虚假的加密货币交易应用程序,骗取受害者钱财的同时,还会远程控制受害者的手机。研究人员将此次欺诈活动命名为CryptoRom。此前,此活动主要针对亚洲的受害者,近日,欺诈性活动已经扩展到美国和欧洲。

参考链接:https://ti.dbappsecurity.com.cn/info/2611

【高级威胁情报】

Lazarus APT组织的多个活动集群及其联系

Lazarus APT组织是疑似具有东北亚背景的APT组织,攻击活动最早可追溯到2007年,该组织因其高调和复杂的威胁活动获得广泛关注。一开始,Lazarus组织的恶意软件集群相对较小,然而从 2018 年开始,他们的作案手法在复杂性上取得了重大飞跃。几个恶意软件集群开始从原始恶意软件中分拆出来并独立开发。研究人员识别出几种不同的集群,包括ThreatNeedle、DeathNote、Bookcode、MATA、AppleJeus、CookieTime。

参考链接:https://ti.dbappsecurity.com.cn/info/2597

Kimsuky武器库更新:利用新冠疫情为诱饵针对韩国地区的攻击活动分析

Kimsuky组织是疑似具有东亚国家背景的APT组织,该团伙长期针对韩国政府、新闻机构等目标发起攻击活动,通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件,拥有功能完善的恶意代码武器库。近日,研究人员捕获了疑似Kimsuky组织利用新冠疫情相关信息为诱饵,针对韩国地区的攻击样本,诱饵目标为韩国某地方土地管理局,诱饵内容为该地区针对COVID-19疫情的处理流程和发热统计表格。

参考链接:https://ti.dbappsecurity.com.cn/info/2598

与伊朗相关的DEV-0343组织攻击美国和以色列国防科技公司

10月11日,微软威胁情报中心披露,与伊朗有关的威胁活动集群DEV-0343正在针对 Office 365账户发起大规模的密码喷洒攻击。此次攻击活动至少自2021年7月开始。微软表示,已观察到 DEV-0343 的目标是支持美国、欧盟和以色列政府合作伙伴生产军用级雷达、无人机技术、卫星系统和应急响应通信系统的国防公司。进一步的活动针对地理信息系统 (GIS)、空间分析、波斯湾区域性入境口岸以及几家专注于中东业务的海运和货物运输公司的客户。

参考链接:https://ti.dbappsecurity.com.cn/info/2602

SideCopy组织在针对印度政府机构的攻击中使用CetaRAT

CetaRAT首次出现在SideCopy APT的攻击活动中,攻击者使用恶意的LNK文件来传播恶意软件,从而窃取用户数据。随后CetaRAT软件不断扩大其活动。近期,该木马针对印度政府机构的攻击有所增加。CetaRAT感染链始于带有恶意邮件附件的鱼叉式网络钓鱼邮件。附件可以是一个zip文件,从一个远程的、已泄露的 URL 下载 HTA 文件。一旦使用mshta.exe执行此 HTA 文件,它就会释放并执行启动活动的 CetaRAT 负载。

参考链接:https://ti.dbappsecurity.com.cn/info/2613

 

APT 勒索软件 金融
    0条评论
    1
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。