其他
2022年第3季度IT威胁演变
关键词
固件rootkit、勒索软件、APT
2020年8月下旬,研究人员发布了DeathStalker及其活动的概述,包括Janicab、Evilnum和PowerSing等活动。研究人员认为DeathStalker是一个黑客雇佣组织,提供雇佣黑客或者充当信息中间人进行情报交易的服务。同时,在2020年8月,研究机构还为其威胁情报客户发布了一份关于VileRAT的私人报告。VileRAT是一种Python植入程序,是针对外汇和加密货币交易公司的高度复杂攻击活动的一部分。自2020 年 6 月以来,DeathStalker攻击者一直在不断利用和更新VileRAT恶意软件,以攻击外汇和加密货币交易公司。
VileRAT 感染链如下:
DeathStalker的业务范围包括职业调查、资产追回、在诉讼或仲裁案件中收集信息、帮助客户逃脱制裁、监视目标客户等,然而,这似乎不是直接的财政收益,DeathStalker针对这些组织的真实意图依然不为人知。
4. GoldDragon集群和C2运维Kimsuky是一个活跃的APT攻击组织,其主要的攻击目标为韩国境内实体机构。同其他APT组织一样,该组织也会频繁更新迭代攻击工具。近期,研究人员有机会调查攻击者如何配置其GoldDragon集群,以及它使用何种技巧来确认其受害者。
首先,攻击者向潜在受害者发送钓鱼电子邮件,诱使其下载其他文件。 如果受害者点击链接,则连接第一阶段C2服务器,同时将邮箱地址作为参数传递给C2。 第一阶段C2服务器会验证传入的邮箱地址参数,如果此邮箱地址在目标列表中,就会回传恶意文档。第一阶段脚本还将受害者的IP地址转发到下一阶段服务器。 当目标打开获取到的文档时,它将连接到第二阶段C2服务器。第二阶段C2服务器上的对应脚本检查从第一阶段服务器转发的IP地址,以验证它是否是来自同一受害者的预期请求。 除此之外,攻击者会使用其他多个进程传递下一阶段的攻击载荷。 第二阶段C2服务器上的另一个C2脚本检查操作系统类型和预定义的用户代理字符串,以过滤出来自安全研究人员或自动分析系统的请求。
安全人员的研究强调了Kimsuky如何确认受害者并向他们提供下一阶段有效载荷,同时采取措施使安全人员的分析变得困难。
5. 针对工业企业的攻击2022年8月,卡巴斯基ICS CERT专家报告说,白俄罗斯、乌克兰和阿富汗的军事工业综合企业和公共机构遭到一波有针对性的袭击。今年早些时候发生的袭击事件影响到工厂、设计局和研究机构、政府机构、部委等多个部门。研究人员识别了十几个目标,并观察到与威胁者TA428的TTP(战术、技术和程序)存在显著重叠。攻击者通过精心编制的网络钓鱼电子邮件进入企业网络,邮件中包含一些非公开的信息,这表明攻击者在之前进行了侦察,或者该信息来自对与目标有关联的其他组织的早期攻击。附在钓鱼邮件上的Microsoft Word文档中包含CVE-2017-11882漏洞利用程序,该漏洞为缓冲区溢出漏洞,攻击者可以利用其执行任意代码。
一旦获得初始访问权,攻击者就试图横向移动到网络上的其他计算机。获得域管理员权限后,他们将搜索并将敏感数据传送到托管在不同国家的服务器,这些服务器也用作第一阶段C2服务器。攻击者将盗取的机密文件压缩到加密保护的ZIP中。收到数据后,第一阶段C2服务器将该压缩文件转发至第二阶段服务器。
END
参考链接:https://securelist.com/it-threat-evolution-q3-2022/107957/
编辑|黄禧敏
审校|何双泽、金矢
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。