奇安信威脅情報中心 - 每周高級威脅情報解讀(2022.03.31~04.07)－鑽石舞台

2022.03.31~04.07

攻擊團伙情報

FIN7 活動演變過程分析

海蓮花組織攻擊活動動態淺析

UAC-0056 針對烏克蘭實體的新活動分析

Lazarus 利用木馬化 DeFi 應用程序分發惡意程序

COZY BEAR APT組織供應鏈攻擊活動分析

攻擊行動或事件情報

TellYouThePass 勒索再度來襲

攻擊者使用SocGholish 和 BLISTER 分發LockBit 勒索軟件

WhatsApp 語音郵件網絡釣魚攻擊活動披露

與俄烏戰爭相關的第7個擦除器惡意軟件AcidRain

惡意代碼情報

Colibri Loader結合任務計劃程序和PowerShell以實現持久化

AsyncRAT 活動採用新版本的 3LOSH 加密器

Remcos RAT分析報告

基於Mirai的DDoS活動Beastmode利用TOTOLINK漏洞進行攻擊

新的信息竊取程序Mars利用谷歌廣告傳播

漏洞情報

Spring Framework遠程代碼執行漏洞(CVE-2022-22965)安全風險通告

攻擊團伙情報

FIN7 活動演變過程分析

披露時間：2022年04月04日

情報來源：https://www.mandiant.com/resources/evolution-of-fin7

相關信息：

近日，研究人員發布了近兩年來對FIN7組織的分析研究。研究表明，與 FIN7 有重疊的威脅團體已轉變為涉及 REVIL、DARKSIDE、BLACKMATTER 和 ALPHV 勒索軟件的有針對性的勒索軟件操作。研究人員還強調了 FIN7 活動在這段時間內的顯著變化，包括它們使用新型惡意軟件、合併新的初始訪問向量，以及可能發生的貨幣化策略轉變。

FIN7 在整個入侵過程中繼續利用 PowerShell，包括在一個名為 POWERPLANT 的新後門中，FIN7 在過去兩年中不斷開發該後門。我們還確定了正在開發的 BIRDWATCH 下載器的新版本，它們被跟蹤為 CROWVIEW 和 FOWLGAZE。

FIN7 的初始訪問技術已經多樣化，除了傳統的網絡釣魚技術外，還包括軟件供應鏈入侵和使用被盜憑證。研究人員觀察到 FIN7 在較新的入侵中使用 POWERPLANT 作為他們的第一階段惡意軟件，而不是 LOADOUT 和/或 GRIFFON。

海蓮花組織攻擊活動動態淺析

披露時間：2022年04月02日

情報來源：https://mp.weixin.qq.com/s/tBQSbv55lJUipaPWFr1fKw

相關信息：

APT-C-00（海蓮花)組織，是一個有政府背景的境外黑客組織，攻擊目標主要是東亞國家的企業和政府部門。自2020年起，海蓮花組織的攻擊逐漸從魚叉式網絡釣魚轉變為使用滲透的方式對目標進行攻擊活動，在其後續的內網橫向移動過程中多為使用DLL側加載技術以逃避一些安全軟件的檢測。

本文將淺析海蓮花組織的部分攻擊動態：

1. 使用VBS腳本進行環境信息探測；

2. 使用開源免殺加載器的趨勢有所上升；

3. 投遞修改系統程序代碼的定製化攻擊載荷。

UAC-0056 針對烏克蘭實體的新活動分析

披露時間：2022年04月01日

情報來源：https://blog.malwarebytes.com/threat-intelligence/2022/04/new-uac-0056-activity-theres-a-go-elephant-in-the-room/

相關信息：

UAC-0056 也稱為 SaintBear、UNC2589 和 TA471，是一個網絡間諜活動，自 2021 年初以來一直活躍，主要針對烏克蘭和格魯吉亞。眾所周知，該組織於 2022 年 1 月對多台烏克蘭政府計算機和網站進行了擦除攻擊。

3 月初，該組織使用名為 GrimPlant、GraphSteel 和 CobaltStrike Beacon 的惡意植入物針對烏克蘭的國家組織。

3 月下旬，該組織使用包含宏代碼的 Excel 文檔針對烏克蘭多個實體進行魚叉式網絡釣魚攻擊。惡意宏會釋放文檔中嵌入的有效負載。下一階段的有效載荷將從攻擊者服務器以 Base64 格式下載，最終部署GrimPlant 後門

Lazarus 利用木馬化 DeFi 應用程序分發惡意程序

披露時間：2022年03月31日

情報來源：https://securelist.com/lazarus-trojanized-defi-app/106195/

相關信息：

近日，研究人員發現了一個木馬化的 DeFi 應用程序，該應用程序於 2021 年 11 月編譯。該應用程序包含一個名為 DeFi Wallet 的合法程序，該程序可以保存和管理加密貨幣錢包，但在執行時還會植入惡意文件。該惡意軟件是一個功能齊全的後門，包含足夠的功能來控制受感染的受害者。在研究了這個後門的功能後，發現與 Lazarus 小組使用的其他工具有許多重疊之處。

該惡意軟件運營商專門使用位於韓國的受感染 Web 服務器進行此次攻擊。攻擊者服務器設置為多個階段。第一階段是後門的來源，而第二階段服務器的目標是與植入物進行通信。這是 Lazarus 基礎設施中使用的常見方案。

COZY BEAR APT組織供應鏈攻擊活動分析

披露時間：2022年03月31日

情報來源：http://blog.nsfocus.net/cozy-bear-apt/

相關信息：

Cozy Bear又稱為Nobelium（APT29），被認為與俄羅斯情報局有關，最早的活動可追溯至2008年，主要以搜集情報以支持外交和安全政策的決策。該組織的主要攻擊目標為歐洲及北約成員國的政府部門。

SolarWinds入侵事件是一起典型的供應鏈攻擊事件，Cozy Bear組織通過對惡意DLL進行合法數字簽名，再替換官方DLL文件，讓惡意DLL正常執行。當Solorigate後門成功被部署後，攻擊者即可遠程控制受害主機，而且形成非常隱蔽的殭屍網絡，具備向外發起DDoS攻擊的條件。該樣本是一個基於C#開發的32位DLL文件，其會先進行運行環境的檢測，當檢測通過後，update()函數中的核心功能便會被執行：

1．利用DGA算法，獲取C2服務器域名

2．使用https協議與C2通信

3．執行指令功能

攻擊行動或事件情報

TellYouThePass 勒索再度來襲

披露時間：2022年04月02日

情報來源：https://mp.weixin.qq.com/s/R9aPkT-I1GpiJMztUcgeSQ

相關信息：

近期奇安信病毒響應中心在雲端檢測到TellYouThePass勒索家族存在異常活動，此家族啟用了新C2，黑客通過業務漏洞（通常是OA系統漏洞）獲取權限，並最終調用msiexec.exe執行從C2下載的惡意msi文件。

由於新C2前期均無活動，因此奇安信病毒響應中心認為這是此家族背後團伙重新開始活動的重要徵兆。

新變種由C#或Golang語言編寫而成，會加密多種後綴的文件，包括："1cd","3dm","3ds","3fr","3g2","3gp","3pr","602","7z","ps1","7zip","aac","ab4","accdb","accde","accdr","accdt","ach","acr","act","adb","adp","ads","aes","agdl","ai","aiff","ait","al","aoi","apj","arc","arw","asc","asf","asm","asp","aspx","asx","avi","awg","back","backup","backupdb","bak","bank","bat","bay","bdb","bgt","bik","bin","bkp","blend","bmp","bpw","brd","c","cdf","cdr","cdr3","cdr4","cdr5","cdr6","cdrw","cdx","ce1","ce2","cer","cfg","cgm","cib","class","cls","cmd","cmt","conf","config","contact","cpi","cpp","cr2","craw","crt","crw","cs","csh","csl","csr","css"等。

攻擊者使用SocGholish 和 BLISTER 分發LockBit 勒索軟件

披露時間：2022年04月05日

情報來源：https://www.trendmicro.com/en_us/research/22/d/Thwarting-Loaders-From-SocGholish-to-BLISTERs-LockBit-Payload.html

相關信息：

近日，研究人員發現了一系列涉及BLISTER和 SocGholish加載程序的攻擊活動。BLISTER和SocGholish都以其隱身和規避策略而聞名，以提供破壞性的有效載荷。研究發現，攻擊者使用SocGholish 釋放 BLISTER 作為第二階段加載程序，最終釋放LockBit 有效載荷。

在這種情況下，用戶在不知情的情況下訪問了一個受感染的合法網站，這將使惡意文件下載到他們的系統中。這種分發惡意文件的方法是 SocGholish 的一個明顯標誌。下載的惡意文件偽裝成瀏覽器的更新以釋放下一階段的有效載荷，攻擊者還使用以下幾種技術來避免檢測：

使用有效的代碼簽名證書在系統中持久化

使用直接系統調用來避免反病毒 Userland 的鈎子

代碼執行延遲 10 分鐘以規避沙盒檢測

將有效負載注入到werfault.exe等合法進程中，並重命名 Rundll32.exe 等合法DLL以保持低調。

WhatsApp 語音郵件網絡釣魚攻擊活動披露

披露時間：2022年04月04日

情報來源：https://www.armorblox.com/blog/whatsapp-voicemail-phishing-attack/

相關信息：

近日，研究人員分析了一種網絡釣魚攻擊，該攻擊會欺騙來自國際移動消息應用程序 WhatsApp 的語音消息通知。單擊該鏈接會嘗試將 Infostealer 惡意軟件安裝到計算機上。

釣魚郵件的標題是「新傳入語音消息」，單擊電子郵件中的「播放」鏈接後，收件人被重定向到試圖安裝特洛伊木馬 JS/Kryptik 的頁面。這是嵌入在 HTML 頁面中的惡意混淆 JavaScript 代碼，可將瀏覽器重定向到惡意 URL 並實施特定漏洞利用。

一旦目標登陸惡意網頁，就會提示他或她確認他們「不是機器人」。如果目標在 URL 中的彈出通知上單擊「允許」，則可能會通過瀏覽器廣告服務將惡意負載安裝為 Windows 應用程序，以繞過用戶帳戶控制。一旦安裝了惡意軟件 (Infostealer)，它就可以竊取敏感信息，例如存儲在瀏覽器中的憑據。

與俄烏戰爭相關的第7個擦除器惡意軟件AcidRain

披露時間：2022年03月31日

情報來源：https://www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/

相關信息：

近日，研究人員發現了新的數據擦除惡意軟件「AcidRain」，這是與俄羅斯入侵烏克蘭有關的第 7 個擦除惡意軟件。經分析，AcidRain 是一種 ELF MIPS 惡意軟件，旨在擦除調製解調器和路由器，同時Viasat 證實在 2 月 24 日對他們的調製解調器的攻擊中使用了 AcidRain 雨刷器。

AcidRain 的功能相對簡單，並且會進行暴力嘗試，執行文件系統和各種已知存儲設備文件的深入擦除。如果代碼以 root 身份運行，AcidRain 將對文件系統中的非標準文件執行初始遞歸覆蓋和刪除。此擦除器使用最多 0x40000 字節的數據覆蓋文件，或者（在 /dev/mtd* 設備文件的情況下）使用IOCTLS 擦除數據，完成各種擦除過程後，將重新啟動設備。

惡意代碼情報

Colibri Loader 結合任務計劃程序和PowerShell以實現持久化

披露時間：2022年04月05日

情報來源：https://blog.malwarebytes.com/threat-intelligence/2022/04/colibri-loader-combines-task-scheduler-and-powershell-in-clever-persistence-technique/

相關信息：

研究人員最近發現了一個新的 Colibri Loader 活動，將 Vidar Stealer 作為最終有效載荷，發現攻擊者使用了以前從未見過的持久性技術，即創建一個執行帶有隱藏窗口的PowerShell的計劃任務。

同時Colibri 將其副本放置在 %APPDATA%\Local\Microsoft\WindowsApps 中，並將其命名為 Get-Variable.exe，碰巧Get-Variable是一個有效的 PowerShell cmdlet（cmdlet 是在 Windows PowerShell 環境中使用的輕量級命令），用於在當前控制台中檢索變量的值。此外，WindowsApps 默認位於執行 PowerShell 的路徑中。因此，當在執行 PowerShell 時發出 Get-Variable 命令時，系統首先會在路徑中查找 Get-Variable 可執行文件並執行惡意二進制文件，而不是查找 PowerShell cmdlet。

AsyncRAT 活動採用新版本的 3LOSH 加密器

披露時間：2022年04月05日

情報來源：https://blog.talosintelligence.com/2022/04/asyncrat-3losh-update.html

相關信息：

近期，研究人員觀察到了一系列利用新版本3LOSH 加密器的活動。這些活動背後的攻擊者一直在使用 3LOSH 生成負責初始感染過程的混淆代碼。分析發現，同一攻擊者可能正在分發各種商品 RAT，例如 AsyncRAT 和 LimeRAT。

感染過程從包含惡意 VBScript 的 ISO 開始，執行時會啟動多階段感染過程。VBS 包含垃圾數據並使用字符串替換來嘗試混淆執行的代碼，它從攻擊者控制的服務器中檢索並執行下一個階段。

在分析第 2 階段 PowerShell 的代碼執行時，我們發現3LOSH 構建器/加密器的新版本被用於混淆 RAT 有效負載並促進感染過程。這個新版本的加密器與以前的版本相比具有以下顯著變化。

二進制有效負載現在使用 GZIP 壓縮而不是簡單的 Base64 編碼嵌入，並且腳本具有在兩個樣本集群中相同的解壓縮功能。

感染鏈更為複雜，其特點是使用多個基於腳本的組件（BAT、VBS、PS1）來促進感染過程。

Remcos RAT分析報告

披露時間：2022年04月04日

情報來源：https://www.rewterz.com/articles/malware-analysis-report-rewterz-remcos-rat

相關信息：

Remcos 是一個廣泛而強大的遠程管理工具，於 2016 年下半年首次在地下論壇上市銷售。自出現以來，它經歷了許多更新，為其添加了更多功能。已經觀察到它的有效載荷通過許多活動在野外分布。

近日，研究人員捕獲了用於分發Remcos 的 doc 文件，分析發現 doc 文件包含惡意 VB 宏。在進一步分析該文件後，發現此 doc 文件在 %temp% 文件夾中放置了一個帶有 .exe 擴展名的 dropper。該 exe 擴展文件執行一些惡意活動，例如嘗試與 C&C 服務器通信。它還將密鑰輸入到 Windows 註冊表中。

基於Mirai的DDoS活動Beastmode利用TOTOLINK漏洞進行攻擊

披露時間：2022年04月01日

情報來源：https://www.fortinet.com/blog/threat-research/totolink-vulnerabilities-beastmode-mirai-campaign

相關信息：

被追蹤為 Beastmode（又名 B3astmode）的基於 Mirai 的分布式拒絕服務 (DDoS) 殭屍網絡已更新其漏洞利用列表，其中包括幾個新漏洞，其中三個針對各種型號的 Totolink 路由器：

CVE-2022-26210 ，命令注入漏洞使攻擊者能夠通過特製請求執行任意命令。影響 Totolink A800R、A810R、A830R、A950RG、A3000RU 和 A3100R。

CVE-2022-26186 ，通過 cstecgi.cgi 的 export0vpn 接口的命令注入漏洞，影響 Totolink N600R 和 A7100RU。

CVE-2022-25075到 25084 ，一組嚴重的嚴重缺陷，允許遠程攻擊者通過 QUERY_STRING 參數執行任意命令。影響 Totolink A810R、A830R、A860R、A950RG、A3100R、A3600R、T6 和 T10 路由器。

新的信息竊取程序Mars利用谷歌廣告傳播

披露時間：2022年03月30日

情報來源：https://blog.morphisec.com/threat-research-mars-stealer

相關信息：

近日，研究人員對新的Mars Stealer活動進行了研究。Mars Stealer 竊取存儲在各種瀏覽器以及許多不同的加密貨幣錢包中的用戶憑據，其正在通過社會工程技術、惡意垃圾郵件活動、惡意軟件破解和註冊機進行分發。

在此活動中，攻擊者通過知名軟件的克隆網站分發 Mars Stealer。他們使用 Google Ads 廣告平台誘使搜索原始軟件的受害者訪問惡意網站，誘使受害者下載由Babadeda加密程序或 Autoit 加載程序打包的Mars Stealer有效負載。攻擊者通過被盜信息為這些 Google Ads 廣告活動付費。