【安全周报】安恒高级安全威胁情报周报(2021.10.23~10.29)
【恶意软件威胁情报】
Raccoon Stealer窃密软件分析
Raccoon Stealer是一款窃密软件,首次出现于2019年4月,可以窃取用户的敏感信息,如登录凭据、cookie、浏览器存储的密码、信用卡 (CC) 信息、加密钱包和其他敏感详细信息。研究人员发现了Raccoon Stealer的最新变种,该恶意软件可以在 32 位和 64 位系统上运行而无需 .NET 依赖项,并且日志收集在 RAM 中而不是磁盘中。
参考链接:https://ti.dbappsecurity.com.cn/info/2674
SQUIRRELWAFFLE:通过垃圾邮件传播的新型恶意软件加载程序
2021 年 9 月,研究人员观察到一种名为“SQUIRRELWAFFLE”的新型恶意软件加载程序,该程序通过垃圾邮件活动广泛传播。SQUIRRELWAFFLE为攻击者提供了对系统及其网络环境的初步立足点,还可以用来部署其他恶意软件,如Qakbot 恶意软件和渗透测试工具Cobalt Strike。
参考链接:https://ti.dbappsecurity.com.cn/info/2684
Vidar窃密程序针对波罗的海地区和北约实体
Vidar Stealer 是一个恶意软件家族,旨在窃取和泄露用户信息,包括凭据、加密货币钱包和浏览器 cookie 等数据。研究人员发现了一个奇怪的 Vidar 样本。解密后的字符串包括北约战略通讯中心、波兰、爱沙尼亚和拉脱维亚边境警卫队以及立陶宛内政部等组织的域名。
参考链接:https://ti.dbappsecurity.com.cn/info/2686
AbstractEmu恶意软件可以获取设备的root访问权限
AbstractEmu是一种新型 Android 恶意软件,可以获取智能手机的root权限,以完全控制并修改系统设置。AbstractEmu恶意软件隐藏在 Google Play、Amazon Appstore、Samsung Galaxy Store 和其他非官方第三方应用程序商店上传的 19 个 Android 应用程序中。此外,AbstractEmu可以使用代码抽象和反仿真检查来逃避检测。遥测显示共有 17 个国家/地区的用户受到 AbstractEmu 的影响,其中美国受到的影响最大。
参考链接:https://ti.dbappsecurity.com.cn/info/2695
Wslink:作为服务器运行的恶意加载程序
Wslink是一种独特且以前未记录的 Windows 二进制加载程序,该恶意软件作为服务器运行并在内存中执行接收到的模块。Wslink作为服务运行,可以接受来自特定 IP 地址的加密门户可执行 (PE) 文件,然后在执行之前对其进行解密并加载到内存中。
Wslink作为服务器运行并在内存中执行接收到的模块,这些模块重用了加载程序的通信、密钥和套接字功能,因此不必启动新的出站连接。Wslink 还具有完善的加密协议来保护交换的数据。目前,研究人员没有获得关于初始威胁载体的详细信息,也没有代码或操作重叠将该工具与已知的威胁组织联系起来。
参考链接:https://ti.dbappsecurity.com.cn/info/2696
【热点事件威胁情报】
UltimateSMS大规模欺诈活动影响全球安卓用户
UltimaSMS是一场大规模欺诈活动,攻击者使用恶意安卓应用程序,在用户不知情的情况下订阅高级短信订阅服务,导致用户的电话账单产生巨额费用。这场欺诈活动疑似从5月开始,攻击者利用了 151 个 Android 应用程序,这些程序伪装成折扣应用程序、游戏、自定义键盘、二维码扫描仪、视频和照片编辑器、垃圾邮件呼叫拦截器、相机过滤器等,下载量高达 1050 万次。
参考链接:https://ti.dbappsecurity.com.cn/info/2688
用于签署欧盟数字Covid证书的私钥已泄露
近日,用于签署欧盟数字Covid证书的私钥已经遭到泄露,并正在通过消息应用程序和在线数据泄露市场传播。该密钥可以用来生成伪造的欧盟绿色通行证,例如生成阿道夫·希特勒、米老鼠、海绵宝宝等角色持有的证书,而这些证书都可以被政府官方应用程序识别为有效。
一位欧盟发言人回应称,欧盟已经看到了有关涉嫌欺伪造欧盟 Covid 证书的报道。欧盟正在密切关注这一事件的发展,并与正在调查和采取补救措施的相关成员国当局保持联系。在所有会员国的卫生服务都面临抗击大流行的压力之际,欧盟坚决谴责这种恶意行为,这是对敏感和战略领域的干预。
参考链接:https://ti.dbappsecurity.com.cn/info/2697
【电信行业威胁情报】
韩国电信供应商KT公司因路由错误导致全国断网
10月25日,韩国第二大电信供应商KT Corporation在全国范围内断网,有线和无线服务当天出现约40分钟的瘫痪,1650万客户受到影响。KT方面回应称,其全国网络的暂时关闭是由大规模分布式拒绝服务(DDoS)攻击造成的。但韩国政府网络安全部门和警方均表示没有发现大规模黑客攻击的痕迹。KT随后也改口称,服务中断是因“网络路径设置错误”导致的。
参考链接:https://ti.dbappsecurity.com.cn/info/2676
【物联网行业威胁情报】
Pink:超大规模的物联网僵尸网络
2019年12月,研究人员发现了一起大规模的物联网安全事件。黑客通过入侵某网络运营商的家庭用户设备并植入恶意程序,持续地使这些设备变成新的僵尸节点,进而构建起了一个超大规模的僵尸网络。在逆向该恶意程序的过程中多次出现“pink”字符,所以将其命名为Pink僵尸网络。这次攻击事件中受控的设备数量特别巨大,是历史上已公开领域内的规模最大的物联网僵尸网络。
参考链接:https://ti.dbappsecurity.com.cn/info/2665
【能源行业威胁情报】
伊朗石油公司遭遇大规模网络攻击,导致全国多地加油站停止工作
当地时间26日,伊朗国家石油产品分销公司遭遇大规模网络故障,导致全国多地的加油站停止工作。伊朗国家电视台表示,此次故障是由网络攻击引起的。伊朗石油部门官员正在召开紧急会议,以解决技术问题。伊朗最高网络空间委员会认为该事件是由国家支持的黑客组织造成的。
参考链接:https://ti.dbappsecurity.com.cn/info/2683
【勒索专题】
Ranzy Locker勒索软件在 2021 年攻击了超过30家美国公司
10月26日,联邦调查局发布了一个快速警报,称Ranzy Locker勒索软件已经危害了至少30家美国公司。Ranzy Locker团伙至少自2020 年以来一直活跃,攻击了多个行业的实体,包括关键制造业的建筑部门、政府设施部门的学术部门、信息技术部门和交通部门。
Ranzy Locker 勒索软件运营商最常使用的攻击媒介是针对远程桌面协议 (RDP) 凭据的暴力破解。在最近的攻击中,该组织还利用了已知的 Microsoft Exchange Server 漏洞并使用网络钓鱼消息来攻击计算机网络。一旦获得对目标网络的访问权限,勒索软件团伙就会尝试定位敏感数据,包括客户信息、PII 相关文件和财务记录。
参考链接:https://ti.dbappsecurity.com.cn/info/2682
德国汽车排气供应商遭勒索攻击,导致IT基础设施受损
近日,德国跨国公司Eberspächer Group遭到勒索软件攻击,导致其IT基础设施受到严重影响,官方网站、电子邮件系统、办公网络、客户网站和生产系统等全部暂时关闭。由于无法正常协调生产和管理客户订单,该公司已告知其部分工厂员工在处理系统故障期间留在家中带薪休假。
Eberspächer Group是一家德国汽车排气和热管理系统供应商,是全球三大汽车排气供应商之一,目前拥有 10,000 多名员工,在 28 个国家/地区的 80 个地点运营生产工厂,几乎为当今所有顶级汽车品牌提供空调、供暖和排气系统。
参考链接:https://ti.dbappsecurity.com.cn/info/2689
意大利数据保护机构SIAE遭到Everest勒索攻击
10月21日,意大利数据保护机构确认,负责保护版权持有人知识产权的政府机构SIAE遭到Everest勒索软件攻击,导致数据泄露。Everest团伙在其数据泄露网站宣布已经获得60GB的数据,包括与意大利的演员、音乐家、艺术家、作家和知名创作者有关的合同等信息。
参考链接:https://ti.dbappsecurity.com.cn/info/2667
Grief 勒索软件团伙攻击美国全国步枪协会
Grief勒索软件团伙声称攻击了美国全国步枪协会 (NRA),并发布了被盗数据作为此次攻击的证据。美国全国步枪协会是美国最大的枪械拥有者组织,会员数近500万人。虽然NRA是非党派性、非营利性的组织,但是它积极参加美国政治活动,在美国政治中具有巨大的影响力。
参考链接:https://ti.dbappsecurity.com.cn/info/2687
【攻击团伙威胁情报】
Evilnum组织近期网络资产扩充及大规模攻击活动
近期,安恒威胁情报中心猎影实验室捕获到一批Evilnum的最新域名资产及与之通信的样本。Evilnum组织活跃时间最早可追溯到2012年,该组织的行动主要受到利益驱使,针对欧洲的金融行业公司的已经有过多次针对性攻击。
Evilnum组织更新使用的工具频率很快,这是第一次捕获到他们使用CVE-2017-0199的记录。虽然制作的样本尚十分粗糙,但Evilnum以往的行动表明他们有着足够的实力对目标造成危害。此外,首次发现了疫情主题的伪装域名,Evilnum在未来的攻击中也可能会出现这类主题。
参考链接:https://ti.dbappsecurity.com.cn/info/2672
TA2722组织冒充菲律宾政府实体传播远控木马
研究人员发现了一个新的高度活跃的威胁组织TA2722(又名Balikbayan Foxes),该组织冒充菲律宾政府实体,包括卫生部、海外就业管理局和海关局,还伪装成沙特阿拉伯驻马尼拉大使馆和菲律宾DHL邮递和物流集团,传播Remcos 和 NanoCore 远程访问木马。攻击活动面向北美、欧洲和东南亚的各个行业,包括航运、物流、制造、商业服务、制药、能源和金融。
参考链接:https://ti.dbappsecurity.com.cn/info/2690
TA551组织使用“SLIVER”红队工具展开攻击活动
TA551组织又名Shathak,可以访问被盗邮件或被盗电子邮件帐户,在电子邮件活动中分发恶意软件。TA551曾分发过 Ursnif、IcedID、Qbot 和 Emotet 等恶意软件负载。近日,研究人员发现了TA551组织使用红队工具“SLIVER”展开的攻击活动。研究人员以高置信度评估,新的攻击活动可能导致勒索软件感染。
参考链接:https://ti.dbappsecurity.com.cn/info/2668
TeamTNT组织针对野外暴露的Docker API部署挖矿程序
近日,研究人员发现了一个新的 TeamTNT Docker镜像,该镜像冒充Apache服务器,针对的目标是野外暴露的 Docker API。成功部署后,来自 Docker hub 帐户的名为“apache”的 Docker 映像会创建一个 crontab 条目,该条目定期执行并从 hXXP://crypto[.]htxrecieve[.]top下载额外的有效负载,如挖矿工具。
TeamTNT攻击者仍在利用弱密码和错误配置来获取云环境中的初始访问权限。研究人员建议用户确保系统对弱凭证以及过时的软件进行了加固,并且不会暴露未经身份验证的 API 端点,这对于保护云资产至关重要。
参考链接:https://ti.dbappsecurity.com.cn/info/2681
【恶意活动威胁情报】
研究人员披露利用Confluence服务器漏洞的攻击活动
2021年8月,研究人员披露,攻击者可以利用CVE-2021-26084漏洞,在未打补丁的Confluence服务器和数据中心运行任意代码。9 月,研究人员观察到许多针对此漏洞的攻击者,其目标是下载恶意负载,随后在用户网络中安装后门或挖矿软件,威胁类型包括加密挖矿、部署Setag 后门、无文件攻击和Muhstik僵尸网络。
参考链接:https://ti.dbappsecurity.com.cn/info/2673
针对巴以地区长达三年的攻击活动揭露
研究人员发现了一起针对巴以地区(巴勒斯坦和以色列)的攻击活动,该攻击活动自2018年开始,并持续至今。攻击者在活动中使用了多种商业间谍软件,包括SpyNote、Mobihok、WH-RAT、888RAT,同时也基于开源代码构建了独有的间谍软件EsecretRAT。
由于宗教信仰、地缘政治、历史原因等因素,巴以地区冲突不断,各方都在试图通过网络情报和网络攻击活动占领先机。
参考链接:https://ti.dbappsecurity.com.cn/info/2680
使用TodayZoo钓鱼工具包的大规模凭据窃取网络钓鱼活动
10月21日,微软披露了一系列大规模的凭据网络钓鱼活动,这些活动利用自定义网络钓鱼工具包“TodayZoo”,将至少五个不同的组件拼接在一起,目的是窃取用户登录凭据信息。TodayZoo网络钓鱼工具包通常在地下论坛上以一次性付款的方式出售,是包含图像、脚本和 HTML 页面的打包存档文件,攻击者能够设置网络钓鱼电子邮件和页面,使用它们作为诱饵来收集凭据并将其传输到服务器。
参考链接:https://ti.dbappsecurity.com.cn/info/2670
仿冒合法站点分发恶意软件的网络钓鱼活动
Multilogin是一款可以让用户方便地管理多个在线帐户的应用程序。近日,研究人员发现了一个实时网络钓鱼活动,攻击者伪造了一个下载Multilogin的钓鱼网站,诱使用户访问网站并下载托管在网站上的恶意安装程序,从而窃取用户数据。
参考链接:https://ti.dbappsecurity.com.cn/info/2671
【高级威胁情报】
Nobelium组织针对IT服务供应商的攻击活动仍在继续
Nobelium APT组织是SolarWinds事件的攻击者,是俄罗斯外国情报局 (SVR) 支持的黑客组织,也被称为APT29、Cozy Bear和The Dukes。10月25日,微软威胁情报中心发布报告称,Nobelium组织自2021年5月以来一直在开展持续性的攻击活动,目标是美国和欧洲的至少140家组织,其中14家企业的系统已被破坏。
参考链接:https://ti.dbappsecurity.com.cn/info/2675
疑似俄罗斯APT组织“SaintBear”针对军队、政府展开经济犯罪和间谍攻击
研究人员捕获了一批针对格鲁吉亚、乌克兰地区的攻击样本,攻击者疑似具有俄罗斯背景,使用涉及军政、COVID 疫苗等相关话题投递攻击诱饵。除此之外,也存在一些伪造成发票、比特币相关话题的鱼叉邮件。基于已捕获攻击事件,攻击者的攻击意图同时包含偏 APT 类的高级情报刺探和偏黑产团伙类的个人信息窃密、敛财,与已披露的俄罗斯背景的 Gamaredon 组织存在一定相似之处。研究人员将该组织命名为SaintBear(圣贤熊)组织。
参考链接:https://ti.dbappsecurity.com.cn/info/2685
Thallium APT组织冒充新闻网站发起钓鱼攻击
研究人员捕获了与朝鲜有关的APT组织“Thallium”的最新攻击活动,此次攻击的目标是研究朝鲜领域问题的专家。与传统的鱼叉式网络钓鱼攻击不同,攻击者并不是将恶意文件作为电子邮件附件发送,而是使用社会工程网络钓鱼技术,诱导用户点击政治新闻正文中的 URL 链接地址。
参考链接:https://ti.dbappsecurity.com.cn/info/2694