【安全资讯】【PDF下载】安全威胁情报周报2022年(2022.6.18~6.24)

威胁情报小能手 2022-06-24 14:37:09 658人浏览

【恶意软件】

BRATA恶意软件攻击正在演变为高级持续威胁模式

BRATA 银行木马背后的攻击者已经改进了他们的策略,并通过信息窃取功能改进了恶意软件。BRATA恶意软件的最新攻击更具针对性,一次只针对一家金融机构,并且只有在其攻击变得低效时才会转向另一家金融机构。在更新的版本中,BRATA 添加了更多权限,可以发送和接收 SMS,从而帮助攻击者窃取银行发送给客户的临时密码,例如一次性密码 (OTP) 和双重身份验证 (2FA)。研究人员表示,BRATA目前的攻击手法符合高级持续威胁 (APT) 活动模式。

参考链接:https://ti.dbappsecurity.com.cn/info/3560

IceXLoader3.0新版本使用Nim语言开发

IceXLoader 是一种商业恶意软件,用于在受感染的机器上下载和部署其他恶意软件。近日,研究人员发现了IceXLoader 的 3.0 版本,新版本由 Nim 语言开发。作为 IceXLoader 的主要功能,攻击者可以交互地向加载程序发送“runFile”命令,以在磁盘上或在内存中无文件地下载和执行其他恶意软件。

参考链接:https://ti.dbappsecurity.com.cn/info/3558

CopperStealer数据窃取器新版本分析

CopperStealer是一个数据窃取程序,可以获取敏感信息以进行更多非法活动。研究人员发现了一个新版本的CopperStealer,可以窃取网络浏览器cookie,还从在线平台 Telegram、Discord 和 Elements、游戏分发服务 Steam 以及电子邮件客户端 Outlook 和 Thunderbird 收集用户数据。这个新版本重用了部分代码,与早前的版本具有以下相似之处:

1.同一个密码器

2.使用具有相同密钥的数据加密标准 (DES)

3.同名的 DLL 导出函数

4.数据泄露到 Telegram 频道

5.使用可执行实用程序 MiniThunderPlatform

参考链接:https://ti.dbappsecurity.com.cn/info/3563

Quantum builder:基于 LNK 文件的构建器

恶意软件研究人员注意到了一种名为 Quantum的新工具,它可以帮助网络犯罪分子创建恶意 .LNK文件,为攻击的初始阶段提供有效载荷。Quantum具有提供 UAC 绕过、Windows Smartscreen 绕过、在单个 LNK 文件上加载多个有效负载的能力、执行后隐藏、启动或延迟执行等功能。此外,Quantum还提供了构建 HTA 文件和 ISO 档案的选项。最近在野外捕获的 LNK 样本的分析表明,Lazarus APT 团伙可能正在使用 Quantum 进行攻击。

参考链接:https://ti.dbappsecurity.com.cn/info/3579

间谍软件供应商与 ISP 合作以感染意大利和哈萨克斯坦用户

6月23日,谷歌披露称,意大利间谍软件供应商 RCS Labs 已获得一些互联网服务提供商 (ISP) 的帮助,利用商业监控工具感染意大利和哈萨克斯坦的Android和iOS用户。研究人员认为,在某些情况下,攻击者与目标的 ISP 合作以禁用移动数据连接。一旦禁用,攻击者将通过 SMS 发送恶意链接,要求目标安装应用程序以恢复其数据连接。如果不能直接与目标的 ISP 合作,攻击者会将恶意应用程序伪装成消息传递应用程序。在这些攻击中发现的 iOS 应用程序带有几个内置漏洞,可以提升受感染设备的权限并窃取文件。目前研究人员已经确定了位于意大利和哈萨克斯坦的受害者。

参考链接:https://ti.dbappsecurity.com.cn/info/3581

热点事件

俄罗斯加强对乌克兰盟友的网络攻击

微软威胁情报中心称,自俄乌战争开始以来,与多个俄罗斯情报机构(包括 GRU、SVR 和 FSB)相关的攻击者试图破坏全球数十个国家的实体。微软目前已经检测到俄罗斯对乌克兰以外 42 个国家/地区的 128 个目标的网络入侵活动,受害者中有 49% 是政府机构,12%是非政府组织 (NGO) ,其余的攻击主要针对关键经济或国防工业部门的组织,以及能源或 IT 公司。

参考链接:https://ti.dbappsecurity.com.cn/info/3576

普京总统的经济论坛演讲因 DDoS 攻击而延迟

近日,一场DDoS攻击扰乱了第 25届圣彼得堡国际经济论坛的进程,俄罗斯总理弗拉基米尔·普京在该论坛上的演讲被推迟了大约100分钟,不得不在预计的开始时间后一个多小时才开始他的演讲。

参考链接:https://ti.dbappsecurity.com.cn/info/3574

BidenCash网站公开出售信用卡信息 

一个名为“BidenCash”的网站正泄露信用卡及其所有者的信息。BidenCash平台于4月底建立,管理员决定免费提供一个包含姓名、地址、电话号码、电子邮件和信用卡号的CSV文件,以推广他们的平台。该文件总共有近800万行,但并非所有行都有信用卡详细信息。据悉,数据库中大约有6600张信用卡。测试显示,网络犯罪分子可以以低至0.15美元的价格购买信用卡。

参考链接:https://ti.dbappsecurity.com.cn/info/3567

勒索专题

威联通NAS设备成为eCh0raix勒索软件攻击的目标

ech0raix又名QNAPCrypt,从 2019 年夏天开始多次大规模攻击QNAP客户。根据ID Ransomware平台上用户提交的报告和样本,ech0raix勒索软件再次将QNAP NAS设备视为攻击目标。尽管只有几十个ech0raix样本,但研究人员表示实际的成功攻击的数量很可能更高,因为只有部分用户会使用ID Ransomware服务来识别勒索软件。

参考链接:https://ti.dbappsecurity.com.cn/info/3564

勒索软件攻击者可以加密SharePoint和OneDrive上的文件

6月16日,研究人员披露称,Microsoft 365套件中的一项功能可能被滥用,以加密存储在SharePoint和OneDrive上的文件。攻击者通过破坏或劫持用户身份来访问一个或多个用户的SharePoint Online或OneDrive帐户,进而访问受感染用户拥有的或由第三方OAuth应用程序控制的所有文件。随后,将文件的版本控制限制减少到一个较低的数字,加密文件的次数超过版本限制,在示例限制为1的情况下,对文件进行两次加密。在某些情况下,攻击者可能会泄露未加密的文件,作为双重勒索策略的一部分。

参考链接:https://ti.dbappsecurity.com.cn/info/3559

汽车软管制造商 Nichirin 遭到勒索软件攻击

2022 年 6 月 14 日,日本汽车和摩托车软管制造商 Nichirin 的子公司 Nichirin-Flex USA 遭到了勒索软件攻击,导致该公司网络脱机。攻击影响了产品分销,并且订单是手动完成的,因此客户应该会延迟收到订单。该公司正在调查未经授权的访问是如何发生的,并确定信息泄露的影响。

参考链接:https://ti.dbappsecurity.com.cn/info/3578

政府部门

立陶宛警告针对政府网站的 DDoS 攻击增加

立陶宛国家网络安全中心(NKSC)发布了一项公开警告,称针对立陶宛公共当局的分布式拒绝服务(DDoS)攻击急剧增加。NKSC 称,由于这些网络攻击,立陶宛的运输机构、金融机构和其他大型实体经历了暂时的服务中断。

参考链接:https://ti.dbappsecurity.com.cn/info/3580

物流行业

英国Yodel快递公司遭到网络攻击

总部位于英国的Yodel快递公司已成为网络攻击的受害者,该事件导致包裹分发和在线跟踪订单出现延迟,服务暂时中断。据等待包裹递送的客户称,Yodel 的跟踪和客户服务在周末出现了问题,一些客户声称他们至少四天都没有包裹信息,有传言称 Yodel 遭到了勒索软件攻击。Yodel 随后在其网站上发表了一份公开声明,确认服务中断是由于网络事件造成的,并通知用户包裹可能会比预期的到达时间晚。此外,Yodel建议客户避免回复、点击链接或从可疑电子邮件地址下载附件。

参考链接:https://ti.dbappsecurity.com.cn/info/3573

恶意活动

Rig Exploit Kit恶意活动传播Dridex木马

Rig Exploit Kit可以滥用浏览器漏洞来分发一系列恶意软件。2022 年 1 月,研究人员发现了RIG Exploit Kit恶意活动,该活动传播Raccoon Stealer信息窃取器。由于Raccoon Stealer在2022 年 3 月暂时关闭了该项目,Rig Exploit Kit 背后的运营商已将 Raccoon Stealer 恶意软件换成 Dridex 木马。

参考链接:https://ti.dbappsecurity.com.cn/info/3575

DFSCoerce:新型 NTLM 中继攻击

是一种新型Windows NTLM中继攻击,可以利用分布式文件系统(DFS):命名空间管理协议(MS-DFSNM)来控制Windows域。MS-DFSNM为管理分布式文件系统配置提供一个远程过程调用(RPC)接口。为了缓解 NTLM 中继攻击,Microsoft建议启用身份验证扩展保护 (EPA)、SMB 签名和关闭 AD CS 服务器上的 HTTP 等保护。

参考链接:https://ti.dbappsecurity.com.cn/info/3568

利用垃圾邮件分发Matanbuchus的恶意活动

研究人员发现了分发Matanbuchus恶意软件的垃圾邮件活动。恶意垃圾邮件活动使用伪装成对先前电子邮件的回复作为诱饵,邮件中包含一个ZIP附件,可下载一个MSI包。随后,会下载两个Matanbuchus DLL有效载荷(“main.dll”),创建了一个计划任务以在系统重新启动后保持持久性,并建立了C2服务器的通信。Matanbuchus恶意软件最终会将Cobalt Strike投放到受感染的机器上。

参考链接:https://ti.dbappsecurity.com.cn/info/3565

针对美国垂直行业用户的钓鱼攻击

攻击者正使用以恶意语音邮件通知为主题的电子邮件针对美国用户,电子邮件包含一个 HTML 附件,当打开该附件时,会将用户重定向到凭据网络钓鱼站点。攻击者的目标为窃取用户的Office365和Outlook凭据。此次活动的受害者为特定垂直领域的美国组织的用户,包括软件安全、美国军方、安全解决方案提供商、医疗保健/制药和制造供应链。

参考链接:https://ti.dbappsecurity.com.cn/info/3561

APT组织事件

猎影实验室发现新APT组织:Cunning Kitten–针对中东相关人士的威胁组织

安恒信息中央研究院猎影实验室追踪到一系列针对中东相关政治活动人士的攻击活动。经研究,这些活动来自于一个新的威胁组织,这一攻击者至少自2021年9月便开始活跃,为方便追踪,我们将其命名为Cunning Kitten(安恒信息内部追踪代号为“APT-LY-1002”)。

Cunning Kitten的攻击目标聚焦于世界各地的使用波斯语的相关人士,选取相关人士关心的政治话题发起攻击。

参考链接:https://mp.weixin.qq.com/s/eyIfchJVi9kJq_the8TIBQ

APT28组织利用Follina漏洞部署信息窃取器

APT28又名Sofacy和Fancy Bear,是一个俄罗斯威胁组织,至少自 2004 年以来一直活跃。在最近的一次活动中,APT28利用Follina 代码执行漏洞部署了信息窃取器。攻击者针对乌克兰用户发送了以“核攻击”为诱饵的电子邮件,使用嵌入在Document.xml.rels文件中的远程模板从 URL检索远程 HTML 文件。HTML 文件使用 JavaScript 调用来window.location.href加载和执行PowerShell 脚本。解码后的脚本用于cmd运行下载并执行最终有效负载。最终的有效载荷是APT28此前用于攻击乌克兰目标的窃取器的变体。与之前的变体一样,窃取器的主要目的是从Google Chrome、Microsoft Edge、Firefox等浏览器中窃取数据。

参考链接:https://ti.dbappsecurity.com.cn/info/3569

ToddyCat:针对欧洲和亚洲知名实体的新APT组织

ToddyCat是一个相对较新的 APT攻击者,至少自 2020 年 12 月以来,针对欧洲、亚洲政府和军事实体发起了一系列攻击。ToddyCat使用了两个独特的工具“Samurai后门”和“Ninja木马”。Samurai 是一种复杂的被动后门,通常在端口 80 和 443 上运行。该恶意软件允许任意 C# 代码执行,并与多个模块一起使用,允许攻击者管理远程系统并在目标网络内横向移动。Samurai 后门还被用来启动Ninja恶意程序,该工具可能是 ToddyCat 专门使用的未知后利用工具包的一个组件。

参考链接:https://ti.dbappsecurity.com.cn/info/3570

MedusaLocker黑客组织Windows LPE 1day新组件披露

2022年5月初,VirusTotal 出现了一例 Windows LPE 1day 漏洞利用样本,与MedusaLocker黑客组织存在强关联线索。而结合与2021年挖掘得到的 Windows LPE exploit利用样本进行代码相似度比对发现存在极高相似度。其背后属于同一个组织的可能性非常大,因此为了后续追踪溯源,研究人员将其命名为AzizjLpeWild 组织。研究人员根据样本得到以下结论:

1)基于漏洞利用样本上传地区的不同,开发源码在小范围私密环境中存在共享,基于同一套漏洞利用开发源码迭代开发。

2)MedusaLocker组织拥有 Windows 内核漏洞利用能力,可自行开发exploit。

3)MedusaLocker 组织向第三方购买了 Windows 内核 exploit,存在漏洞交易的可能。

参考链接:https://ti.dbappsecurity.com.cn/info/3571

Lyceum组织以军事热点事件为诱饵针对中东地区的定向攻击

Lyceum,又名Hexane、Siamesekitten,是疑似具有中东地区国家背景的APT组织。研究人员捕获了Lyceum组织近期的攻击样本,初始攻击入口可能是鱼叉式钓鱼邮件,诱骗受害者点击下载docm文件或者伪装的SCR屏幕保护程序。攻击样本被下载执行后,会释放一个诱饵文件来迷惑受害者。此次Lyceum的攻击活动中,该组织的攻击手段具有以下特点:

(1) Lyceum组织通过planet-informer[.]me域托管攻击样本;

(2) SCR攻击样本实际为带有密码保护的SFX文件,SFX解压得到的释放器从伪装的jpg图片文件中提取出后门和诱饵释放器的可执行文件数据;

(3) 第一阶段释放器和后门依然沿用了Lyceum组织此前样本中使用的C#代码控制流平坦化手段。

参考链接:https://ti.dbappsecurity.com.cn/info/3572

“暗象”组织:潜藏十年的网络攻击

“暗象”组织(DarkElephant Group)是一个疑似来自印度的APT攻击组织,主要针对印度境内的社会活动人士、社会团体和在野政党等,同时也会窃取印度周边国家如中国和巴基斯坦等的军事政治目标的重要情报。“暗象”组织的主要攻击手段是使用谷歌/雅虎邮箱或者利用盗取的邮箱,向对方发送极具迷惑性的鱼叉邮件,诱骗对方运行具备多种免杀技巧、包含成熟商用远控木马载荷。至少自2012年以来,该组织针对印度境内的目标,以及包括中国在内的印度周边的目标,发动了长达十年的网络攻击活动。

参考链接:https://ti.dbappsecurity.com.cn/info/3566

近期疑似海莲花组织攻击活动样本溯源分析

2022年6月15日,研究人员在追踪高级黑客组织的过程中发现了可疑的木马加载器,依据以往海莲花黑客组织的攻击情报,结合该恶意文件的上传地区为中国香港,且上传时间为2022年6月15日,虽然从恶意文件中提取的 C2 资产已失效,但经过 TTP 与提取的 C2 存活周期时间以及2021年中获取的攻击事件恶意文件 beacon 通信配置比对可追溯到可能为海莲花黑客组织2021年6月份前后的攻击活动,由于同时间出现另一个经过修改的恶意文件(实质为同一个恶意文件),经过恶意文件二进制层面比对后猜测疑似相关人员针对恶意文件进行研究修改,随后同时间上传 VirusTotal 检测从而出现了相关恶意文件。

参考链接:https://ti.dbappsecurity.com.cn/info/3583

相关附件

安全威胁情报资讯周报6月18日-6月24.pdf (文件大小:861.64KB)

勒索软件 僵尸网络Botnet 政府部门
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。