每周高级威胁情报解读(2023.02.02~02.09)
2023.02.02~02.09
攻击团伙情报
Gamaredon组织针对乌克兰当局开展间谍活动
疑似Lazarus攻击印度医疗机构和能源部门
APT-C-35(肚脑虫)组织近期攻击活动披露
UAC-0056针对乌克兰部署新型信息窃取恶意软件
攻击行动或事件情报
俄乌网络DDOS混战祸及Akamai
OneNote 文档越来越频繁地用于传播恶意软件
新Medusa Botnet通过Mirai Botnet出现以瞄准Linux用户
新的 BATLoader 传播 RAT 和窃取器
潜在 BEC 活动以针对全球的大公司
恶意代码情报
TgToxic 恶意软件的自动化框架针对东南亚 Android 用户
恶意软件Quasar RAT 由私人 HTS 计划分发
大规模勒索软件攻击以 VMware ESXi 服务器为目标
HeadCrab用新颖的先进的Redis恶意软件攻击全球服务器
在 AD 环境中具有自我传播功能的 DarkSide 勒索软件
漏洞情报
Jira Service Management Server 和 Data Center 存在身份认证绕过漏洞
ImageMagick因多个高危漏洞面临安全风险
攻击团伙情报
01
Gamaredon组织针对乌克兰当局开展间谍活动
披露时间:2023年2月1日
情报来源:https://cert.gov.ua/article/3761023
相关信息:
研究人员近日指出,由俄罗斯国家支持的Gamaredon组织对该国的公共机构和关键信息基础设施进行了针对性的网络攻击。该组织对乌克兰的攻击最早可追溯至2013年,本次攻击的特点为:采用了多步骤下载方法并执行了用于维持对受感染主机的控制的间谍软件有效载荷,且主要目标是进行间谍活动和信息窃取。
活动攻击链始于带有RAR文档的鱼叉式网络钓鱼电子邮件,攻击者采取类似网页的形式,通过冒充乌克兰外交部、乌克兰安全局和波兰警方(Policja),试图诱骗访问者下载声称可以检测受感染计算机的软件。目前,SCPC称Gamaredon组织主要使用了GammaLoad和GammaSteel间谍软件。GammaLoad是一种VBScript dropper恶意软件,旨在从远程服务器下载下一阶段的VBScript。GammaSteel则是一个PowerShell脚本,可用于进行侦察和执行其他命令。
02
疑似Lazarus攻击印度医疗机构和能源部门
披露时间:2023年2月2日
情报来源:https://labs.withsecure.com/content/dam/labs/docs/WithSecure-Lazarus-No-Pineapple-Threat-Intelligence-Report-2023.pdf
相关信息:
朝鲜军方臭名昭著的黑客组织——被称为Lazarus——被指控以公共和私营部门研究组织、一家印度医学研究公司和能源领域的其他企业为目标。
安全分析师表示,他们被要求对最初与 BianLian 组织有关的网络攻击做出回应,BianLian 组织是一个勒索软件团伙,至少从2021年12月开始就以医疗保健、教育、保险和媒体行业为目标。但经过仔细检查,他们评估了几个关键因素指向Lazarus。由于在调查期间发现的后门工具代码中发现了错误消息,研究人员将该活动命名为“No Pineapple”。攻击者专注于情报收集,并开始攻击一家未具名的公司,利用漏洞(CVE-2022-27925、CVE-2022-37042)在2022年8月底访问了 Zimbra 邮件服务器,并可能泄露了邮箱的内容。
03
APT-C-35(肚脑虫)组织近期攻击活动披露
披露时间:2023年2月7日
情报来源:https://mp.weixin.qq.com/s/rslBGQgTL_jZD73AJqI05Q
相关信息:
APT-C-35,也称Donot,是一个来自于南亚的境外APT组织,其主要针对巴基斯坦及周边国家地区的政府机构进行网络间谍活动,以窃取敏感信息为主。该组织的攻击活动最早可追溯到2016年,近年来该组织活动频繁,不断被数个国内外安全团队持续追踪和披露。
近期,研究人员多次发现APT-C-35(肚脑虫)组织的攻击活动。在本轮攻击行动中,该组织依然采用宏文档作为恶意载体,从自身释放恶意载荷并执行,通过层层下载的方式加载远控模块,从而实现窃密行动,并且整个过程的恶意代码均带有数字签名信息。
APT-C-35组织使用PPT或者XLS文档作为攻击载体,当受害者打开恶意文档时,会立即释放一个压缩包文件和批处理文件,并创建3个定时任务。其中Tls_SSL计划任务每隔4分钟执行批处理文件,批处理文件主要作用是将释放的压缩包进行解压操作,得到恶意可执行文件comd.exe,并删除Tls_SSL计划任务。My_Drive计划任务是定时执行comd.exe,comd.exe负责继续下载下一阶段载荷,同时下载一个批处理脚本作为Pls_SSL计划任务的启动项从而启动下载的载荷,载荷的主要功能为下载远控模块mnps.exe,从而实现恶意活动。
04
UAC-0056针对乌克兰部署新型信息窃取恶意软件
披露时间:2023年2月8日
情报来源:https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/nodaria-ukraine-infostealer
相关信息:
与俄罗斯有联系的 Nodaria 集团部署了一种新的威胁,旨在从受感染的计算机中窃取各种信息。Nodaria 间谍组织(又名 UAC-0056)正在使用一条新信息窃取针对乌克兰目标的恶意软件。该恶意软件(Infostealer.Graphiron)是用 Go 编写的,旨在从受感染的计算机中收集各种信息,包括系统信息、凭据、屏幕截图和文件。Graphiron 的最早证据可追溯到2022年10月。它至少持续使用到2023年1月中旬,可以合理地假设它仍然是 Nodaria 工具包的一部分。
攻击行动或事件情报
01
俄乌网络DDOS混战祸及Akamai
披露时间:2023年2月3日
情报来源:https://mp.weixin.qq.com/s/DN-QtnG9VSnQPBc6znJfDw
相关信息:
Akamai(阿卡迈科技)公司 是 CDN 技术的先驱,当前也是全球CDN服务领域的顶级玩家,其遍布于全球的服务节点承载着海量的互联网流量。奇安信威胁情报中心监测到 Akamai 自己的官方网站( akamai.com )频繁遭受来Mirai 和 Moobot 家僵尸网络的猛烈攻击。
第一波攻击由一个 Mirai 僵尸网络于北京时间 2023-02-02 03:17:17 发起,攻击方式为 UDP Plain Flood,持续不到 1 分钟。
第二波攻击由一个 Moobot 僵尸网络发起于北京时间的 2023-02-02 的 03:39, 04:22, 17:02 分 打出 3 次攻击,又于 2023-02-03 03:14 开始打出更大的一次攻击。每次持续数分钟,攻击方式都是 UDP Plain Flood。
我们发现 Akamai 官方推特这两天连发两贴关于俄乌战争的分析,重点关注俄方阵营网络攻击组织 Killnet 针对医疗行业的攻击活动。猜测或许 Akamai 官方网站被攻击是受到了来自亲俄组织的报复。
02
OneNote 文档越来越频繁地用于传播恶意软件
披露时间:2023年2月1日
情报来源:https://www.proofpoint.com/us/blog/threat-insight/onenote-documents-increasingly-used-to-deliver-malware
相关信息:
研究人员最近发现,2022年12月和2023年1月,威胁行为者使用 OneNote 文档通过电子邮件向毫无戒心的最终用户传播恶意软件的情况有所增加。OneNote 是 Microsoft 创建的数字笔记本,可通过 Microsoft 365产品套件获得。威胁行为者主要通过 OneNote 文档(扩展名为.one)、电子邮件附件和 URL 传播恶意软件。
攻击者使用 OneNote 附件传播的恶意软件为AsyncRAT。2023年1月,研究人员观察到超过50个 OneNote 活动提供不同的恶意软件有效负载,包括 AsyncRAT、Redline、AgentTesla 和 DOUBLEBACK。值得注意的是,最初的访问代理 TA577 于 2023年1月底开始使用 OneNote 文档来交付 Qbot。这些活动包括多个发件人和主题,根据活动的不同,目标和数量也不同。
虽然利用 OneNote 传播恶意软件的活动数量有所增加,但它的使用并不常见。自从 Microsoft 于2022年开始默认阻止宏以来,威胁参与者已经尝试了许多新的策略、技术和程序 (TTP),包括使用以前不常观察到的文件类型,例如虚拟硬盘 (VHD)、编译的 HTML (CHM) 和现在是 OneNote (.one)。
03
新Medusa Botnet通过Mirai Botnet出现以瞄准Linux用户
披露时间:2023年2月3日
情报来源:https://blog.cyble.com/2023/02/03/new-medusa-botnet-emerging-via-mirai-botnet-targeting-linux-users/
相关信息:
最近,研究人员发现了 Mirai 僵尸网络的一个变种,它下载并传播一个名为“美杜莎僵尸网络”的新僵尸网络。运行时,Mirai 僵尸网络连接到命令和控制服务器并检索“medusa_stealer.sh”文件,然后执行该文件。下载的 medusa_stealer.sh 文件包含在 Linux 机器上下载和执行 Medusa 恶意软件文件的命令。在分析时,下载链接不可用。然而,基于 C&C 通信模式,研究人员能够识别出 Medusa 僵尸网络的 Python 源代码。技术细节部分概述了用 Python 编写的 Medusa 僵尸网络的功能。
Medusa 僵尸网络能够对网络层次结构的各个级别发起分布式拒绝服务 (DDoS) 攻击。这些攻击可以通过使用欺骗性 IP 地址或 IP安装客户端的受害者机器的地址。该僵尸网络使用spoofer()函数生成随机 IP 地址,使受害者难以确定 DDoS 攻击的来源。使用MedusaRansomware()函数对目标机器发起勒索软件攻击,使用ScanWorld功能对运行在互联网连接设备上的 Telnet 服务进行暴力攻击,最后使用end_data ()函数收集有关系统的各种信息,并将其发送到位于“hxxps://medusa-stealer[.]cc/add/bot”的远程服务器。
04
新的 BATLoader 传播 RAT 和窃取器
披露时间:2023年2月2日
情报来源:https://blog.cyble.com/2023/02/02/new-batloader-disseminates-rats-and-stealers/
相关信息:
攻击者使用垃圾邮件诱骗个人下载远程访问木马 (RAT) 和窃取程序等恶意软件,以感染他们的设备并窃取敏感信息。最近,研究人员观察到一种用于分发一系列 RAT 和 Stealer 恶意软件系列的新型 BAT 加载程序。该加载程序使用一种独特的方法将恶意负载传送到用户系统。我们已经看到使用这个新的 BAT 加载程序交付的多个恶意软件系列。该研究表明,OneNote 附件正在使用新的 BAT 加载程序变体,它通过垃圾邮件传播。该分析详细介绍了 BAT 加载程序的感染技术及其有效负载传递。
05
潜在 BEC 活动以针对全球的大公司
披露时间:2023年2月2日
情报来源:https://www.trendmicro.com/en_us/research/23/b/what-socs-need-to-know-about-water-dybbuk.html?&web_view=true
相关信息:
2022年9月,研究人员观察到一个新的潜在 BEC 活动,该活动针对全球的大公司,其认为该活动自2022年4月以来一直在运行。通过仔细选择目标受害者并利用开源工具,该活动背后的团队得以留下来在雷达下很长一段时间。
这种攻击利用了附加到电子邮件的 HTML 文件(这是经过混淆处理的 JavaScript)。根据攻击者从服务器端部署的 JavaScript (JS) 和 PHP 代码中启用的一些功能确定这是一次有针对性的攻击。
与其他典型的 BEC 方案一样,初始阶段总是涉及对单个目标的鱼叉式网络钓鱼攻击。此活动背后的威胁行为者使用恶意 JavaScript 附件(趋势科技检测为 Trojan.JS.DYBBUK.SMG),将用户重定向到欺诈性 Microsoft 网络钓鱼页面。
恶意代码情报
01
TgToxic 恶意软件的自动化框架针对东南亚 Android 用户
披露时间:2023年2月3日
情报来源:https://blog.cyble.com/2023/02/03/new-medusa-botnet-emerging-via-mirai-botnet-targeting-linux-users/
相关信息:
研究人员分析了自2022年7月以来一直针对东南亚 Android 用户的持续活动。以下是活动时间表的简要总结,后续部分将介绍所涉及的一些细节:
2022 年 7 月:Facebook 上出现欺诈性帖子,其中嵌入了通过社交工程在社交媒体平台上针对台湾用户的钓鱼链接
2022 年 8 月下旬至10月:性勒索诈骗还针对台湾和印度尼西亚用户,诱使他们注册,以便恶意行为者窃取他们的凭据
2022 年 11 月至 2023 年 1 月:钓鱼链接针对泰国用户。在此期间使用的一些网络钓鱼网站也显示威胁者通过加密货币骗局进一步将活动扩展到印度尼西亚。
该活动的目标是从金融和银行应用程序(例如加密货币钱包、移动官方银行应用程序的凭证和存款)中窃取受害者的资产。攻击者使用名为 TgToxic 的银行木马嵌入到多个虚假应用程序中。虽然之前针对台湾用户,但截至撰写本文时,研究人员观察到针对泰国和印度尼西亚用户的欺诈活动和网络钓鱼诱饵。建议用户警惕打开来自未知电子邮件和消息发件人的嵌入式链接,并避免从第三方平台下载应用程序。
02
恶意软件Quasar RAT 由私人 HTS 计划分发
披露时间:2023年2月8日
情报来源:https://asec.ahnlab.com/en/47283/
相关信息:
研究人员最近通过私人家庭交易系统(HTS)发现了 Quasar RAT 的分布。在查找攻击中使用的名为 HPlus 的 HTS 时,找不到任何信息。此外,甚至在安装过程的条款中也找不到该公司的名称,因此可以推测,受害者不是从一家机构金融公司安装的HTS,而是通过未经批准的来源或变相的金融投资公司得到了HPlus HTS。由私人 HTS 安装的恶意软件 Quasar 是一种 RAT 恶意软件,它允许威胁行为者控制受感染的系统以窃取信息或执行恶意行为。
03
大规模勒索软件攻击以 VMware ESXi 服务器为目标
披露时间:2023年2月6日
情报来源:https://blog.cyble.com/2023/02/06/massive-ransomware-attack-targets-vmware-esxi-servers/
相关信息:
2月3日,研究人员警告用户注意针对 VMware ESXi 服务器的勒索软件攻击,以部署 ESXiArgs 勒索软件。该报告还指出,威胁参与者 (TA) 利用了一个已存在两年的漏洞,该漏洞被追踪为CVE-2021-21974。根据 VMware 的说法,ESXi70U1c的7.0版、ESXi670-202102401-SG 之前的6.7版和 ESXi650-202102101-SG 之前的6.5版在 OpenSLP 中存在堆溢出漏洞。与有权访问端口427的 ESXi 机器位于同一网络的 TA 可能能够利用此漏洞远程执行代码。
在线扫描器还显示,勒索软件感染范围很广,已感染全球近1000台服务器。该勒索软件主要影响了法国,其次是美国和德国。研究人员还能够识别出与此次勒索软件攻击相关的样本,其中包括两个名为“encrypt.sh”和“encrypt”的文件,负责加密。“encrypt.sh”是一个 shell 脚本,它在开始加密过程之前执行多项操作,并执行“encrypt”ELF 可执行文件来加密文件。
04
HeadCrab用新颖的先进的Redis恶意软件攻击全球服务器
披露时间:2023年2月1日
情报来源:https://blog.aquasec.com/headcrab-attacks-servers-worldwide-with-novel-state-of-art-redis-malware
相关信息:
研究人员发现了一种新且难以捉摸的严重威胁,自2021年9月上旬以来,它一直在渗透并驻留在全球的服务器上。这个先进的威胁行为者被称为HeadCrab,它利用一种最先进的、定制的恶意软件,无法被无代理和传统的反病毒解决方案检测到,从而破坏了大量的Redis服务器。HeadCrab 僵尸网络已经控制了至少1,200台服务器。Redis 是一种开源的内存数据结构存储,可用作数据库、缓存或消息代理。默认情况下,Redis 服务器没有启用身份验证,旨在运行在安全、封闭的网络上,而不是暴露在互联网上。这使得可以从互联网上访问的默认Redis服务器容易受到未经授权的访问和命令执行的影响。
这始于对蜜罐的攻击,当时威胁行为者以 Redis 服务器为目标。该服务器最终使用SLAVEOF 命令被攻破,将其设置为攻击者控制的另一台 Redis 服务器的从服务器。Redis 主服务器随后启动了从服务器的同步,从服务器又将恶意 Redis 模块 HeadCrab 恶意软件下载到从服务器(研究人员搭建的蜜罐)上。攻击者已使用此技术一段时间,并允许他们将恶意 Redis 模块加载到受影响的主机上。
05
在 AD 环境中具有自我传播功能的 DarkSide 勒索软件
披露时间:2023年2月6日
情报来源:https://asec.ahnlab.com/en/47174/
相关信息:
本篇文章是主要分析在 AD 环境中具有自我传播功能的 DarkSide 勒索软件。为了逃避分析和沙箱检测,DarkSide 勒索软件仅在加载程序和数据文件都存在时才会运行。名为“msupdate64.exe”的加载程序读取包含编码勒索软件的同一路径中的“config.ini”数据文件,并在正常进程的内存区域运行勒索软件。勒索软件的结构仅在特定参数匹配时才运行。然后它将自己注册到任务调度程序并定期运行自己。
同时该文章总结出DarkSide 勒索软件的特点:
加密目标异常列表;
强制终止运行中的进程;
终止服务目标;
删除卷影,暂停Windows事件记录,停用Windows恢复功能;
勒索票据和文件加密扩展;
自删除与内部传播。
漏洞情报
01
Jira Service Management Server 和 Data Center 存在身份认证绕过漏洞
披露时间:2023年2月6日
情报来源:https://mp.weixin.qq.com/s/C8zYx06tnGPZPvtaJ93wRQ
相关信息:
Jira Service Management基于Jira平台,是Atlassian为所有团队提供的服务管理解决方案。
近日,奇安信CERT监测到Atlassian官方发布Jira Service Management Server和Data Center身份认证绕过漏洞(CVE-2023-22501)通告,当Jira Service Management开启用户目录和邮件外发的写入权限时,攻击者可获取尚未登录过账户的用户注册凭证,最终攻击者可冒用这些用户身份获得对Jira Service Management实例访问权限。值得一提的是大部分机器人账户容易被利用。鉴于该漏洞影响较大,建议客户尽快做好自查及防护。
02
ImageMagick因多个高危漏洞面临安全风险
披露时间:2023年2月3日
情报来源:https://mp.weixin.qq.com/s/PRoeMJml9F03zRLIue_EOg
相关信息:
ImageMagick 是一款免费软件,以随时可用的二进制分发版或源代码形式提供,您可以在开放和专有应用程序中使用、复制、修改和分发。可以使用ImageMagick®创建、编辑、合成或转换数字图像。它可以读取和写入多种格式(超过 200 种)的图像。
近日,奇安信 CERT 监测到ImageMagick 信息泄露漏洞(CVE-2022-44267) 和拒绝服务漏洞(CVE-2022-44268)的技术细节及PoC在互联网上公开,远程攻击者可通过制作恶意的PNG文件并上传至受影响的使用ImageMagick 解析图片的网站来利用这两个漏洞,当网站或应用使用 ImageMagick 对恶意的 PNG 文件进行解析时将触发这两个漏洞,从而造成敏感信息泄露或拒绝服务。目前奇安信CERT已成功复现这两个漏洞。鉴于这些漏洞影响范围较大,建议客户尽快做好自查及防护。
点击阅读原文至ALPHA 6.0
即刻助力威胁研判