【安全资讯】【PDF下载】安全威胁情报周报2022年(2022.5.8~5.13)

威胁情报小能手 2022-05-13 14:09:59 284人浏览

【恶意软件】

DCRat恶意软件在俄罗斯论坛上以低价出售

5月9日,研究人员披露了一种名为 DCRat(又名 DarkCrystal RAT)的远程访问木马,该木马以“非常便宜”的价格出售,专业网络犯罪组织和新手都可以使用它。DCRat由化名为“boldenis44”、“crystalcoder”和 Кодер(“Coder”)的人开发和维护,是用.NET编写的功能齐全的后门。DCRat具有模块化架构和定制的插件框架,功能包括监视、侦察、信息窃取、DDoS 攻击以及各种不同语言的动态代码执行。

参考链接:https://ti.dbappsecurity.com.cn/info/3412

Saintstealer信息窃取恶意软件分析

Saintstealer是一种信息窃取恶意软件,旨在窃取凭据和系统信息。该恶意软件可以捕获广泛的信息,从截屏到收集密码、cookie 和存储在基于 Chromium 的浏览器中的自动填充数据,还可以窃取 Discord 多因素身份验证令牌、带有 .txt、.doc 和 .docx 扩展名的文件,也可以从 VimeWorld、Telegram 和 VPN 应用程序中提取信息。

参考链接:https://ti.dbappsecurity.com.cn/info/3411

传播Jester Stealer恶意软件的网络钓鱼活动

5月6日,乌克兰计算机应急响应小组 (CERT-UA) 发布警告称,网络钓鱼攻击会在受感染的系统上部署一种名为Jester Stealer的信息窃取恶意软件。大规模电子邮件活动的主题为“化学攻击”,并包含一个指向启用宏的 Microsoft Excel 文件的链接,打开该文件会导致计算机感染 Jester Stealer。活动由 UAC-0104 临时监控。

参考链接:https://ti.dbappsecurity.com.cn/info/3406

恶意NPM包针对德国公司展开供应链攻击

研究人员在NPM注册表中发现了一些恶意软件包,这些恶意NPM包专门针对一些总部位于德国的知名公司进行供应链攻击。该恶意软件由两部分组成:一个dropper和一个payload。有效负载是一个高度复杂、经过混淆的后门,旨在接收和执行从硬编码命令和控制服务器发送的命令。

参考链接:https://ti.dbappsecurity.com.cn/info/3415

攻击者冒充世界卫生组织,分发新型Nerbian RAT恶意软件

从2022年4月26日开始,研究人员观察到少量电子邮件传播的恶意软件活动。邮件声称代表世界卫生组织 (WHO),提供有关 COVID-19的重要信息,该活动对意大利、西班牙和英国的实体造成了一定影响。活动中的新型恶意软件名为Nerbian RAT,由Go语言编写,包含重要的反分析和反逆向功能。

参考链接:https://ti.dbappsecurity.com.cn/info/3416

FluBot Android恶意软件通过短信活动分发

芬兰国家网络安全中心(NCSC-FI)发布警告称,通过短信和彩信分发FluBot Android恶意软件的新活动正在增加。FluBot在合法的银行和加密货币应用程序之上覆盖网络钓鱼页面来窃取受害者的金融账户凭据,还可以访问 SMS 数据、拨打电话和监控传入通知,以获取临时验证码。

参考链接:https://ti.dbappsecurity.com.cn/info/3417

IceApple新型后利用框架分析

近日,研究人员披露了一个以前未记录的基于.NET的后利用框架,称为 IceApple,该框架已部署在Microsoft Exchange服务器上,其附带的不同模块能够列出和删除文件和目录、写入数据、窃取凭据、查询 Active Directory 以及导出敏感数据。

参考链接:https://ti.dbappsecurity.com.cn/info/3419

Eternity Project恶意软件即服务分析

攻击者启动了一个名为“Eternity Project”的恶意软件即服务项目,黑客可以购买恶意软件工具包,以根据所进行的攻击使用不同的模块进行定制。恶意软件工具包是模块化的,包括信息窃取器、挖矿程序、clipper、勒索软件程序、蠕虫传播器和DDoS bot。

参考链接:https://ti.dbappsecurity.com.cn/info/3420

热点事件

网络犯罪分子在Youtube频道通过宣传虚假视频窃取数百万美元

网络犯罪分子正在Youtube频道上的名为“The B Word”的直播中重放Elon Musk、Jack Dorsey 和 Cathie Wood 对加密货币的讨论的编辑版本,宣传虚假的“双倍投资”计划,承诺偿还受害者发送给骗子的加密货币金额的两倍,从而骗取受害者的资金。原始视频如下图左侧,修改后的视频为下图右侧。

参考链接:https://ti.dbappsecurity.com.cn/info/3401

亲俄黑客瞄准意大利机构网站

“Killnet”黑客组织攻击了包括参议院在内的几家意大利机构的网站,以及意大利国家卫生研究所(ISS)和意大利汽车俱乐部。“Killnet”是一个亲俄罗斯的黑客组织,曾于4月29日针对罗马尼亚政府网站发起DDoS攻击。目前,意大利参议院、议会上院和国际空间站的网站已恢复正常。

参考链接:https://ti.dbappsecurity.com.cn/info/3422

勒索专题

美国林肯学院因勒索攻击永久关闭

近日,位于美国伊利诺伊州农村的林肯学院表示,由于新冠疫情和勒索软件的打击,该学院将于2022年5月13日起关闭。这所学校以亚伯拉罕·林肯总统的名字命名,已经成立157年,是少数几所被教育部认定为黑人为主的美国乡村大学之一。2021年12月,林肯学院遭受了一次勒索软件攻击,攻击阻碍了学院的招生活动和对所有机构数据的访问,从而导致该学校对2022 年秋季入学的预测不清晰。2022年3月完全恢复后,预测显示入学人数严重不足,林肯学院无法改善其财务状况,因此决定永久关闭。

参考链接:https://ti.dbappsecurity.com.cn/info/3413

哥斯达黎加因Conti勒索软件攻击进入国家紧急状态

5月8日,哥斯达黎加新总统Chaves宣布全国进入紧急状态,以应对持续不断的Conti勒索软件攻击。4月,Conti勒索软件声称对哥斯达黎加政府实体发起了勒索软件攻击。截至5月8日,Conti团伙已泄露672 GB数据转储中的97%,据称其中包含从哥斯达黎加政府机构窃取的信息。

参考链接:https://ti.dbappsecurity.com.cn/info/3409

Conti声称已入侵秘鲁国家情报局

Conti勒索团伙声称已入侵秘鲁国家情报局MOF–DIGIMIN,并窃取了该组织的9.41 GB数据。秘鲁国家情报局负责国家、军事和警察情报以及反情报工作。目前,秘鲁DIGIMIN的网站已无法访问。

参考链接:https://ti.dbappsecurity.com.cn/info/3404

LockBit使用合法的 VMware 实用程序侧载 Cobalt Strike Beacon

近日,研究人员发现 LockBit Ransomware-as-a-Service (Raas) 正通过签名的 VMware xfer logs 命令行实用程序侧载 Cobalt Strike Beacon。攻击者使用 PowerShell 下载 VMware xfer 日志实用程序以及恶意 DLL,以及包含加密 Cobalt Strike Reflective Loader的.log文件。

参考链接:https://ti.dbappsecurity.com.cn/info/3402

Cobalt Mirage组织利用BitLocker和 DiskCryptor发起勒索软件攻击

Cobalt Mirage是一个伊朗黑客组织,该组织至少从 2020 年 6 月开始运作,与伊朗APT35组织有关。研究人员确定了两个不同的 COBALT MIRAGE 入侵集群。在集群 A 中,攻击者使用BitLocker和DiskCryptor进行勒索软件攻击以获取经济利益。集群 B 专注于有针对性的入侵以获取访问权限和收集情报,在其中一些活动也尝试使用了勒索软件。Cobalt Mirage针对的目标为以色列、美国、欧洲和澳大利亚组织。

参考链接:https://ti.dbappsecurity.com.cn/info/3421

媒体行业

俄罗斯视频网站Rutube遭到黑客攻击

5月9日,俄罗斯总统普京在“胜利日”阅兵式上发表讲话时,亲乌克兰的黑客组织攻击了俄罗斯在线电视节目表页面以显示“blood is on your hands”(你手上有血)等反战信息。俄罗斯视频内容提供商 RuTube 也宣布其网站在遭受网络攻击后下线。RuTube 是一个类似于 YouTube 的视频流媒体网站,每月约有 300 万访问者,主要面向讲俄语的访客。

参考链接:https://ti.dbappsecurity.com.cn/info/3407

APT组织事件

Bitter APT组织将孟加拉国视为新的攻击目标

Bitter又名T-APT-17,是疑似南亚的APT组织,自 2013 年以来一直活跃,针对中国、巴基斯坦和沙特阿拉伯的能源、工程和政府部门展开间谍活动。在最近的活动中,该组织将目标扩大到了孟加拉国政府实体。

与猎影实验室此前披露的Bitter攻击活动一致,诱饵文件是一封发送给孟加拉国警察快速行动营 (RAB) 高级官员的鱼叉式网络钓鱼电子邮件。电子邮件包含恶意 RTF 文档或被武器化以利用已知漏洞的 Microsoft Excel 电子表格。一旦受害者打开恶意文档,Microsoft Equation Editor 应用程序就会自动启动以运行包含 shellcode 的嵌入式对象,以利用 CVE-2017-11882、CVE-2018-0798 和 CVE-2018-0802,然后从托管服务器下载名为“ZxxZ”的木马并在受害者的机器上运行。

参考链接:https://ti.dbappsecurity.com.cn/info/3418

伊朗APT34组织使用新的Saitama后门攻击约旦政府

4月26日,研究人员发现了一封针对约旦外交部政府官员的可疑电子邮件。该电子邮件包含一个恶意 Excel 文档,其中包含一个名为Saitama的新后门。经调查,研究人员将此次攻击归因于已知的伊朗组织APT34。APT34又名OilRig/COBALT GYPSY/IRN2/HELIX KITTEN,是一个伊朗威胁组织,至少自 2014 年以来针对中东国家和全球受害者发起攻击,目标行业为金融、政府、能源、化学和电信行业。

参考链接:https://ti.dbappsecurity.com.cn/info/3414

APT28组织通过网络钓鱼活动传播CredoMap_v2恶意软件

乌克兰 CERT-UA 计算机应急响应组织披露了一项网络钓鱼攻击活动。电子邮件名为“Кібератака”(在乌克兰语中意为网络攻击),伪装成来自 CERT-UA 的安全通知,并带有一个 RAR 存档文件“UkrScanner.rar”附件。当打开该文件时,会部署一个名为 CredoMap_v2 的恶意软件。CERT-UA将此活动归因于俄罗斯APT28组织。

参考链接:https://ti.dbappsecurity.com.cn/info/3408

Lazarus组织初始访问技巧分析

月5日,研究人员发布了Lazarus组织在初始访问阶段使用的恶意软件和攻击技巧的分析。研究人员恢复了作为计划任务执行的恶意下载器,已识别的样本似乎是 LCPDot 的变体。在初始访问阶段,Lazarus组织使用了以下技巧:

  • 使用 LinkedIn 个人资料冒充其他合法公司的员工
  • 通过 WhatsApp 等沟通渠道与目标员工进行沟通。
  • 诱使受害者下载伪装成招聘广告的恶意文档(zip 文件)

参考链接:https://ti.dbappsecurity.com.cn/info/3400

相关附件

安全威胁情报资讯周报5月8日-5月13日.pdf (文件大小:659.33KB)

APT 勒索软件 媒体行业
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。