2022.06.30~07.07
攻擊團伙情報
疑似雙尾蠍組織偽裝Threema通訊軟件攻擊分析
疑似Confucius組織最新攻擊行動分析
MuddyWater組織持續攻擊中東地區
Bitter APT繼續瞄準孟加拉國
攻擊行動或事件情報
近期對俄定向攻擊事件的分析
NPM 供應鏈攻擊影響數百個網站和應用程序
IIS後門軟件SessionManager被GELSEMIUM組織利用
惡意代碼情報
新殭屍網絡家族正在利用IoT設備構建攻擊網絡
Smoke Loader木馬新功能分析
Hezb挖礦木馬分析
Hive勒索軟件新變種用Rust編寫以實現更複雜的加密
漏洞情報
Jenkins 在多個插件中披露了數十個零日漏洞
攻擊團伙情報
01
疑似雙尾蠍組織偽裝Threema通訊軟件攻擊分析
披露時間:2022年07月06日
情報來源:https://mp.weixin.qq.com/s/1uJaPS-nuGNI8lQ1-ZekIA
相關信息:
近期,研究人員發現一個名為「تسريب-اجتماع-القائد-محمد-دحلان-و-المخابرات-المصريه.pdf(Mohammed Dahlan 指揮官和埃及情報會議 (MoM) 泄漏.pdf)」的攻擊文檔,Mohammed Dahlan是巴勒斯坦政治家,曾擔任巴勒斯坦權力機構在加沙的預防性安全部隊的負責人。
通過該文檔,研究人員關聯到了雙尾蠍與之前攻擊不太相同的活動,此次攻擊行動直接把商業RAT偽裝成Threema誘使用戶點擊打開,Threema是瑞士開發的一款付費的開源端到端加密即時通訊應用程序。
以前的雙尾蠍樣本大多採用VC 版本、Delphi 版本,很少見到使用公開商業RAT組件進行攻擊,此次發現的樣本可能是該組織進攻方式的演變,也可能是雙尾蠍組織內部出現了新的分支成員所採用的攻擊手法。
02
疑似Confucius組織最新攻擊行動分析
披露時間:2022年07月04日
情報來源:https://mp.weixin.qq.com/s/UgnkLZWZmaK8pT3zrdUYvw
相關信息:
近期,研究人員監測到疑似Confucius組織的新一輪攻擊活動,本次事件中使用到的相關攻擊工具與基礎設施與2021年國外安全廠商披露的相關攻擊活動存在關聯,通過對相關基礎設施分析,該事件疑似與南亞其他組織如 SideWinder、Patchwork 也存在一定關聯。
本次捕獲的惡意文檔以巴基斯坦三軍情報局(Inter-Services Intelligence)招聘信息、宗教相關內容作為誘餌,誘導目標啟動宏文檔。在進行關聯分析時,還發現了屬於該組織的多個 .net 下載器,由下載器依次下載第二、三階段payload,最終下載的最後階段 payload 文件為文件竊密器,獲取用戶基本信息進行上傳建檔。
03
MuddyWater組織持續攻擊中東地區
披露時間:2022年06月21日
情報來源:https://lab52.io/blog/muddywaters-light-first-stager-targetting-middle-east/
相關信息:
自2020年最後一個季度以來,MuddyWater組織一直在開展針對中東國家的「長期」感染活動。研究人員發現該活動目前仍處於活動狀態。
最近觀察到的攻擊活動通常始於一個壓縮文件,文件中包含一個嵌入VBA宏的惡意Word文檔,該文檔似乎專門為講阿拉伯語的用戶設計,嵌入的VBA宏代碼會釋放一個小型的RAT。據觀察,攻擊活動針對的是巴基斯坦、哈薩克斯坦、亞美尼亞、敘利亞、以色列、巴林、土耳其、南非、蘇丹等國家。
04
Bitter APT繼續瞄準孟加拉國
披露時間:2022年07月05日
情報來源:https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh/
相關信息:
研究人員發現了最近一次由 「Bitter」組織發起的針對孟加拉國的活動。Bitter 使用惡意文檔文件作為誘餌,其中包含所謂的「公式編輯器漏洞」的不同實現,以下載後續階段的惡意軟件。第二階段包括一個加載程序,它收集有關受感染系統的信息並從遠程服務器檢索第三階段。
Bitter攻擊的第三階段可能包含不同類型的惡意軟件,例如鍵盤記錄程序、竊取程序或遠程訪問木馬(RAT)。研究人員分析了一種較新使用的RAT,並將其稱為「Almond RAT」。
攻擊行動或事件情報
01
近期對俄定向攻擊事件的分析
披露時間:2022年07月06日
情報來源:https://mp.weixin.qq.com/s/TexTSGe9Jx6RIuUXf7CstA
相關信息:
研究人員發現,在俄烏網絡戰中除了對烏克蘭的攻擊活動之外,同樣存在大量對俄的定向攻擊事件。攻擊者通過已泄漏的俄羅斯財政部郵箱anagdaev@roskazna.ru對俄羅斯境內多個重要機構發送了大批量的釣魚郵件。
此外,研究人員還發現了從 gennady.zugrov@mail.ru 發向俄羅斯軍工單位 JSC-KNIRTI 的釣魚郵件。除了這些可明確攻擊目標的釣魚郵件之外,我們還捕獲了一些「俄烏戰爭」、「COVID-19」話題相關的攻擊誘餌文檔。攻擊活動中使用的攻擊載荷多為商業木馬、開源代碼加工或使用工具混淆,較難對其歸因研判。部分攻擊所用的域名資產存在明顯偽造俄羅斯境內重點機構官方域名的特徵。
從釣魚郵件收發時間及誘餌文檔創建時間來看,此系列攻擊事件主要發生在2022年3月下旬至4月中旬。
02
NPM 供應鏈攻擊影響數百個網站和應用程序
披露時間:2022年07月05日
情報來源:https://blog.reversinglabs.com/blog/iconburst-npm-software-supply-chain-attack-grabs-data-from-apps-websites
相關信息:
近日,研究人員最近發現了廣泛的軟件供應鏈攻擊的證據,該攻擊涉及通過NPM包管理器提供的惡意Javascript包。這些可追溯到2021年12月的20多個NPM包,包含混淆的Javascript,旨在從使用部署了惡意包的應用程序或網站的個人那裡竊取表單數據。
經過仔細檢查,研究人員發現了協同供應鏈攻擊的證據,大量NPM包包含jQuery腳本,旨在從包含它們的已部署應用程序中竊取表單數據。在其中一個案例中,惡意程序包已被下載超過17,000次。
攻擊者冒充了高流量的 NPM 模塊,例如由ionic.io發布的umbrellajs和軟件包。這些明顯的惡意攻擊依賴於拼寫錯誤,這是一種攻擊者通過公共存儲庫提供名稱與合法軟件包相似或常見拼寫錯誤的軟件包的技術。
03
IIS後門軟件SessionManager被GELSEMIUM組織利用
披露時間:2022年06月30日
情報來源:https://securelist.com/the-sessionmanager-iis-backdoor/106868/
相關信息:
研究人員發現,從2021年3月開始,SessionManager 已被用於針對非洲、南美、亞洲、歐洲、俄羅斯和中東的非政府組織、政府、軍事和工業組織。通過對受害者以及使用的OwlProxy變體分析,研究人員認為惡意IIS SessionManager模塊已經被GELSEMIUM威脅組織利用,作為其間諜活動的一部分。2022年4月下旬,研究人員發現SessionManager仍部署在20多個目標組織中。
SessionManager一直被用於針對Microsoft IIS服務器的攻擊,它是用C++開發的,是一個惡意的原生代碼IIS模塊,此類惡意模塊通常來自攻擊者看似合法但經過專門設計的HTTP請求,根據攻擊者的隱藏指令觸發操作,然後將請求透明地傳遞給服務器,以便像任何其他請求一樣對其進行處理。SessionManager提供多種功能,使其成為輕量級的持久初始訪問後門。部署成功後,攻擊者將利用SessionManager進一步分析目標環境、收集內存密碼並部署其他工具。其部署的工具包括用於Mimikatz DLL、Mimikatz SSP、ProcDump的基於PowerSploit的反射加載器,以及來自Avast的合法內存轉儲工具,這個工具已被攻擊者濫用以嘗試讀取LSASS進程的內存,並啟用受感染服務器上的身份驗證收集。
惡意代碼情報
01
新殭屍網絡家族正在利用IoT設備構建攻擊網絡
披露時間:2022年07月05日
情報來源:https://mp.weixin.qq.com/s/mLOBt1KvWICeYlmb201jYg
相關信息:
近日,研究人員監測發現一個新的殭屍網絡正在利用IoT設備的弱口令構建殭屍網絡。根據殭屍網絡惡意代碼中的url、youtube視頻內容以及通信命令特徵,將這個殭屍網絡家族分別命名為RapperBot。截止目前,已發現失陷主機已經超過5000台,但是未監測到攻擊者下發任何攻擊指令,這說明該殭屍網絡仍在持續構建中。
此外,研究人員注意到RapperBot殭屍網絡連接過C2地址2.58.149.116,曾經有一個歷史解析域名:dota.iwishiwashappy.eu,該域名在Rippr團伙運營的殭屍網絡Fbot中也曾使用過。根據相關威脅情報,Rippr團伙運營着Fbot在內多個殭屍網絡家族,該團伙擁有極其豐富的0DAY/NDAY武器庫,且參與過針對「北京健康寶攻擊事件」以及針對「烏克蘭DDoS攻擊」在內的多起攻擊活動。
以上跡象表明,由RapperBot家族構建的殭屍網絡已經成為一個重要的潛在威脅源。
02
Smoke Loader木馬新功能分析
披露時間:2022年07月04日
情報來源:https://www.anquanke.com/post/id/275795
相關信息:
Smoke Loader木馬最早於2011年在野被發現,其主要功能是在受感染的的機器上投放其他更具破壞性的惡意軟件。經過多年的演變其已經能夠加載多達10 多個可執行文件並運行它們,目前發現的Smoke Loader新增了一系列的反調試、反沙箱、反虛擬機技術使其分析變得非常複雜。
最新披露的Smoke Loader木馬樣本,使用多種技術手段逃避檢測,並在確認未處在分析、調試環境後新建explorer.exe進程,劫持其入口點使其執行惡意代碼進行持久化、連接C2、插件執行下載等操作。該樣本的shellcode使用多種技巧對抗反編譯,如垃圾指令、濫用jmp,使得整塊代碼變得混亂複雜無法被整體分析。Smoke Loader會創建進程快照獲得所有進程名稱,並檢查其中是否含有安全軟件、監控軟件的進程名,如包含則退出。反沙箱技術是通過檢測文件路徑里是否有sample,sandbox,malware,virus字符串來實現。反虛擬機檢測主要通過cpuid獲得虛擬CPU信息,並判斷其中是否含有虛擬化產品名稱。反調試則通過NtQueryInformationProcess函數進行反調試操作。
03
Hezb挖礦木馬分析
披露時間:2022年07月05日
情報來源:https://mp.weixin.qq.com/s/6L8L80Oej1bwyLhxTNDq5g
相關信息:
研究人員陸續捕獲到Hezb挖礦木馬攻擊樣本,該木馬在5月份時主要利用WSO2 RCE(CVE-2022-29464)漏洞進行傳播,該漏洞是一種無需身份驗證的任意文件上傳漏洞,允許未經身份驗證的攻擊者通過上傳惡意JSP文件在WSO2 服務器上獲得RCE。自Confluence OGNL(CVE-2022-26134)漏洞利用的詳細信息公布後,Hezb挖礦木馬開始利用該漏洞進行傳播,該漏洞可以讓遠程攻擊者在未經身份驗證的情況下,構造OGNL表達式進行注入,實現在Confluence Server或Data Center上執行任意代碼。以上兩種漏洞均屬於第三方軟件漏洞,不是系統本身漏洞,所以針對企業的服務器傳播幾率較大,及時更新WSO2和Confluence補丁可避免感染該挖礦木馬。
目前,該挖礦木馬較為活躍,同時向Linux與Windows雙平台傳播惡意腳本,下載門羅幣挖礦程序進行挖礦:在Linux平台上使用Shell腳本執行挖礦程序,並且該腳本還會清除競品挖礦程序、下載其他惡意腳本和創建計劃任務等功能;在Windows平台上使用 bat腳本執行挖礦程序;腳本其他功能與Shell腳本功能基本一致。
04
Hive勒索軟件新變種用Rust編寫以實現更複雜的加密
披露時間:2022年07月05日
情報來源:https://www.microsoft.com/security/blog/2022/07/05/hive-ransomware-gets-upgrades-in-rust/
相關信息:
研究人員在分析檢測到的用於投放.key文件的Hive勒索軟件技術時發現了新變種,新變種進行了幾個主要的升級。新的Hive變種用Rust編寫,並且使用字符串加密,可以使其更具規避性。在新變種中,用於訪問Hive贖金支付網站的用戶名和密碼必須在命令行中的「-u」參數下提供,這意味着分析人員不能從樣本本身獲得它們。Hive的勒索信也發生了變化,新變種引用了具有新文件名約定的.key文件,並添加了關於虛擬機(VM)的句子。
漏洞相關
01
Jenkins 在多個插件中披露了數十個零日漏洞
披露時間:2022年06月30日
情報來源:https://www.jenkins.io/security/advisory/2022-06-30/
相關信息:
Jenkins是一個廣受歡迎的平台(支持超過 1,700 個插件),全球企業使用它來構建、測試和部署軟件。
近日,Jenkins 安全團隊宣布了34個安全漏洞,影響Jenkins開源自動化服務器的29個插件,其中29個漏洞是零日漏洞仍有待修補。Jenkins 團隊已經修補了其中的四個插件(即 GitLab、requests-plugin、TestNG Results、XebiaLabs XL Release),但仍然存在很多易受攻擊的插件。根據 Jenkins 的統計數據,受影響的插件總共有超過 22,000 次安裝。
尚未修補的完整漏洞列表包括XSS、存儲型 XSS、跨站點請求偽造 (CSRF) 錯誤、權限檢查缺失或不正確,以及以純文本形式存儲的密碼、機密、API 密鑰和令牌。
點擊閱讀原文至ALPHA 5.0
即刻助力威脅研判
留言列表