【安全资讯】【PDF下载】安全威胁情报周报2022年(2022.4.9~4.15)

威胁情报小能手 2022-04-15 07:40:54 2785人浏览

【恶意软件威胁情报】

Emotet感染活动在一个月内增长了三倍

Emotet 于 2014 年首次在野外被发现,随后逐渐发展成一个强大的僵尸网络。2021 年 1 月,Emotet 因多个国家当局的共同打击而中断,其运营团伙花了将近 10 个月的时间重建基础设施, 并于11月回归。自 Emotet回归以来,其活跃度逐渐增加。在 2022 年 3 月,被攻击的用户数量从 2 月的 2,847 猛增至 9,086,增长了三倍多。在 2022 年第一季度,以下国家的用户最常成为 Emotet 的目标:意大利 (10.04%)、俄罗斯 (9.87%)、日本 (8.55%)、墨西哥 (8.36%)、巴西 (6.88%) 、印度尼西亚 (4.92%)、印度 (3.21%)、越南 (2.70%)、中国 (2.62)、德国 (2.19%) 和马来西亚 (2.13%)。

参考链接:https://ti.dbappsecurity.com.cn/info/3312

EnemyBot新型Linux僵尸网络分析

EnemyBot是一个全新的Linux僵尸网络,感染目标涵盖了广泛的设备和平台。恶意软件试图下载13个不同的ELF二进制文件,每个文件都针对不同的系统架构编译。由于支持的架构范围广泛,这个僵尸网络看似对从服务器到物联网设备的基于 Linux 的主机都有效。此外, EnemyBot 恶意软件似乎可以通过 HTTP POST 窃取数据,将数据发送回原始 IP 地址。

参考链接:https://ti.dbappsecurity.com.cn/info/3308

SystemBC代理恶意软件分析

SystemBC是一种代理恶意软件,曾被用于各种勒索软件攻击,最近通过 SmokeLoader 或 Emotet 分发。当攻击者试图以恶意意图访问某个地址时,如果被感染的系统利用 SystemBC 作为 Proxy Bot,则系统可以被用作通道。因为SystemBC还可以作为下载器在外部安装额外的恶意软件。

参考链接:https://ti.dbappsecurity.com.cn/info/3304

Octo新型Android银行恶意软件分析

2022 年 1 月 23 日,研究人员发现了一种名为Octo的新型Android银行恶意软件,该软件具有远程访问功能,允许攻击者执行设备欺诈 (ODF)。经分析发现,Octo Android银行木马为ExobotCompact木马的更名。Octo通过一个名为“Fast Cleaner”的应用程序传播,该应用程序在 2022 年 2 月被发现,在删除之前已经被安装了 50,000 次。其他 Octo 活动依赖于使用虚假浏览器更新通知或虚假 Play 商店应用更新警告的网站。

参考链接:https://ti.dbappsecurity.com.cn/info/3294

攻击者利用Spring4Shell漏洞执行Mirai 恶意软件

3月29日,Spring框架曝出RCE 0day漏洞(CVE-2022-22965)。4月8日,研究人员披露,攻击者正利用Spring4Shell 漏洞执行 Mirai 恶意软件,主要针对新加坡的易受攻击的 Web 服务器。攻击者使用Spring4Shell漏洞将Mirai样本下载到 '/tmp' 文件夹,并在使用'chmod ' 更改权限后执行。

参考链接:https://ti.dbappsecurity.com.cn/info/3302

Lightning Stealer信息窃取程序分析

Lightning Stealer是一种新的信息窃取器变体,可以针对30 多个基于Firefox和chromium的浏览器,窃取加密钱包、Telegram 数据、Discord 令牌和 Steam 用户的数据。与其他信息窃取程序不同,Lightning Stealer 以 JSON 格式存储所有窃取的数据以进行泄露。

参考链接:https://ti.dbappsecurity.com.cn/info/3301

Remcos RAT通过网络钓鱼活动传播

Remcos RAT是一种在线出售的商品木马,攻击者正通过网络钓鱼活动传播该恶意软件。黑客将钓鱼邮件伪装成来自受信任银行的付款通知,要求收件人打开附有密码保护的 Excel 文件,从而执行恶意宏。Remcos 使用 RC4 加密对本地数据和 Remcos 与 C2 服务器之间的流量数据进行加密或解密,使用 TLS v1.3 协议与 C2 服务器通信。

参考链接:https://ti.dbappsecurity.com.cn/info/3300

SolarMarker恶意软件改变攻击模式

SolarMarker是一个以信息窃取和后门功能而闻名的恶意软件家族,该软件自2020年9月以来一直以美国组织为目标,主要通过搜索引擎优化 (SEO) 操作诱使用户下载恶意文档。SolarMarker可以从受害者的网络浏览器中窃取自动填充数据、保存的密码和保存的信用卡信息。研究人员深入研究了新发现的 SolarMarker 活动的技术细节,最近的版本展示了从 Windows EXE文件到使用 Windows 安装程序包文件(MSI文件)的演变。该活动目前仍处于开发阶段。

参考链接:https://ti.dbappsecurity.com.cn/info/3297

ZingoStealer新型信息窃取器分析

ZingoStealer于2022年3月首次出现在网络犯罪社区中,由名为“Haskers Gang”的威胁参与者免费发布,目前正在积极开发中。ZingoStealer具有强大的数据窃取功能,可以泄露凭据等敏感信息,窃取加密货币钱包信息,并且能够加载额外的有效负载,包括RedLine Stealer和XMRig加密货币挖掘恶意软件。

参考链接:https://ti.dbappsecurity.com.cn/info/3316

热点事件

微软破坏了关键的 ZLoader 基础设施

由微软数字犯罪部门 (DCU) 领导的全球行动已经摧毁了数十个被ZLoader 僵尸网络用作命令和控制 (C2) 服务器的域。此外,微软还发现了创建ZLoader 僵尸网络中用于分发勒索软件组件的黑客之一:居住在克里米亚半岛辛菲罗波尔市的 Denis Malikov。

参考链接:https://ti.dbappsecurity.com.cn/info/3311

勒索专题

BlackCat勒索软件组织声称攻击了佛罗里达国际大学

BlackCat(ALPHV)勒索软件组织表示,佛罗里达国际大学(FIU)已成为该组织的最新受害者。BlackCat声称已窃取了1.2 TB的数据,其中包括合同、会计文件、社会安全号码、电子邮件数据库等。虽然FIU对于信息泄露事件予以否认,但网络安全专家证实,泄露的数据中确实包含来自大学教职员工和学生的敏感信息。

参考链接:https://ti.dbappsecurity.com.cn/info/3305

疑似伊朗黑客开发的EvilNominatus勒索软件分析

研究人员检测到一个从伊朗上传的恶意 BAT 文件,该文件执行EvilNominatus 勒索软件。编码后的BAT文件可以下载额外的恶意文件,删除卷影副本,加密文件,取消注册表编辑工具。EvilNominatus勒索软件最初于 2021 年底曝光,该勒索软件的开发者疑似是一位年轻的伊朗人。

参考链接:https://ti.dbappsecurity.com.cn/info/3299

攻击者在美国政府机构网络中部署Lockbit勒索软件

在一次攻击中,黑客在一家美国地区政府机构的网络中部署了Lockbit勒索软件有效负载。从受感染机器中检索到的日志显示,有两个或更多的威胁组织入侵了该机构,并进行了侦察和远程访问操作。在部署勒索软件之前,未知的攻击团伙在该机构的网络中潜伏了至少五个月。

参考链接:https://ti.dbappsecurity.com.cn/info/3306

美国汽车工具制造商Snap-on遭Conti勒索软件团伙攻击

3月,Conti勒索软件团伙在其数据泄露网站上增加了一个新的受害者:位于威斯康星州基诺沙的汽车工具制造商Snap-On Tools。Snap-on提供交通运输行业使用的工具、软件和诊断服务,旗下品牌包括 Mitchell1、Norbar、Blue-Point、Blackhawk 和 Williams。4月7日,Snap-on发布通知称,该公司于3 月初检测到异常活动,随后迅速关闭了网络连接。此次事件可能会泄露员工和加盟商的数据,包括姓名、社会保险号、出生日期和员工身份证号等信息。

参考链接:https://ti.dbappsecurity.com.cn/info/3295

OldGremlin勒索软件团伙攻击俄罗斯采矿业公司

OldGremlin是一个鲜为人知的勒索团伙,该组织不太活跃,自 2021 年初以来只发起了不到五次攻击活动。但该团伙与其他勒索软件有显著的区别,因为其攻击活动仅针对俄罗斯的企业。在时隔一年多后,OldGremlin组织于上个月卷土重来,于2022年3月末发起两次网络钓鱼活动,至少有一家采矿业的俄罗斯公司在受害者名单上。

参考链接:https://ti.dbappsecurity.com.cn/info/3317

金融行业

针对非洲银行的RemcosRAT恶意软件活动

2022 年初,研究人员检测到针对一家非洲银行员工的有针对性的恶意软件活动,该活动使用 HTML 走私技术和虚假银行域来传播RemcosRAT远程访问木马。攻击始于一封电子邮件,用于发送邮件的域是一个伪造竞争对手银行的虚假域,邮件向收件人提供了一份丰厚的工作机会,并附有提供详细信息的链接。通过该链接,受害者将进入包含应用程序说明的网页,此页面复制了被模仿银行的网页,因此看起来非常逼真,但这些网站并不执行网络钓鱼或托管恶意软件。

参考链接:https://ti.dbappsecurity.com.cn/info/3310

政府部门

芬兰政府网站因 DDoS 攻击被迫下线

4月8日,芬兰国防和外交网站在受到DDoS攻击后下线。格林尼治时间上午10点45分,芬兰国防部表示网站defmin.fi受到攻击,国防部正在调查,并将暂时关闭网站,直到有害流量消失。不久之后,芬兰外交部表示,Um.fi和Finlanabroad.fi站点遭受拒绝服务攻击,外交部网络服务中断。外交部正试图尽快启动和运行这些服务。目前这些网站已恢复运行。

参考链接:https://ti.dbappsecurity.com.cn/info/3296

攻击者利用 IcedID 恶意软件和 Zimbra 漏洞攻击乌克兰政府

乌克兰计算机应急响应小组 (CERT-UA) 检测到了一个分发名为“Mobilization Register.xls”的 XLS 文档的大规模恶意活动,用户如果打开文档并点击“启用内容”进行查看,则会执行恶意宏以下载和运行恶意文件。该文件是 GzipLoader 恶意软件,它会获取、解密并执行最终的有效负载IcedID(又名 BankBot)。CERT-UA将此次IcedID网络钓鱼攻击以中等置信度归因于UAC-0041组织。

参考链接:https://ti.dbappsecurity.com.cn/info/3318

【高级威胁情报】

美国联合网络安全警告:APT组织瞄准工业控制系统

4月13日,美国能源部 (DOE)、网络安全和基础设施安全局 (CISA)、国家安全局 (NSA) 和联邦调查局 (FBI) 发布联合网络安全公告警告称,某些高级持续威胁组织(APT) 已经展示了获取多个工业控制系统 (ICS)/监督控制和数据采集 (SCADA) 设备的完整系统访问权限的能力。有被入侵和劫持风险的 ICS/SCADA 设备包括:

  • 施耐德电气可编程逻辑控制器 (PLC)
  • Omron Sysmac NJ 和 NX PLC
  • 开放平台通信统一架构 (OPC UA) 服务器

参考链接:https://ti.dbappsecurity.com.cn/info/3313

Bahamut组织近期攻击活动揭露

Bahamut是一个针对中东和南亚的高级威胁组织,该组织属于网络攻击雇佣军。Bahamut组织主要使用钓鱼网站、假新闻网站、社交网站进行攻击。近期,研究人员观察到疑似该组织的移动端攻击活动,活动始于1月份,使用钓鱼网站投递移动RAT样本。攻击使用的RAT为具备远控功能的聊天软件,聊天功能和远控功能单独开发。聊天功能的服务器地址和远控功能的C&C使用的是同一个地址。该样本属于未被披露过的新家族,疑似属于该组织的特有攻击武器。

参考链接:https://ti.dbappsecurity.com.cn/info/3309

Sandworm组织试图攻击乌克兰能源供应商

俄罗斯国家资助的APT组织Sandworm,试图于4月8日晚攻击一家大型乌克兰能源供应商。攻击者使用了为目标高压变电站定制的Industroyer ICS 恶意软件新版本(命名为Industroyer2),然后尝试通过执行 CaddyWiper 和其他数据擦除恶意软件来消除攻击痕迹。目前,恶意计划的实施已被阻止。

参考链接:https://ti.dbappsecurity.com.cn/info/3307

疑似Lazarus组织针对韩国企业的攻击活动分析

研究人员捕获到了大量针对韩国企业的鱼叉式网络钓鱼攻击样本。其通过带漏洞的文档或chm文件进行感染,并区分当前操作系统位数,执行对应系统位数的宏代码,以达到最佳的攻击效果。活动中的初始感染文档均使用CVE-2017-0199远程执行代码漏洞下载后续执行;后续攻击利用本地RPC接口的UAC Bypass技术进行权限提升; 后续载荷加壳干扰分析,并使用简单手段来检测是否在沙箱中。研究人员认为本次攻击疑似出自APT组织Lazarus之手。

参考链接:https://ti.dbappsecurity.com.cn/info/3298

Lazarus组织针对韩国化工行业开展间谍活动

2022年1月,研究人员在韩国多家化学部门和信息技术部门的网络上检测到攻击活动。证据表明,这项活动是被称为“Operation Dream Job”的Lazarus组织攻击活动的延续。在Operation Dream Job活动中,Lazarus组织使用虚假工作机会作为诱饵,诱使受害者点击恶意链接或打开恶意附件,从而导致安装用于间谍活动的恶意软件。

参考链接:https://ti.dbappsecurity.com.cn/info/3319

相关附件

安全威胁情报资讯周报4月9日-4月15日.pdf (文件大小:798.06KB)

APT 木马 数据泄露 僵尸网络Botnet 政府部门 金融
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。