APT攻击
Transparent Tribe新样本披露
APT-C-01的钓鱼活动
Confucius:隐藏在CloudFlare下的垂钓者
Luna Moth:虚假订阅骗局背后的攻击者
SideCopy利用LNK诱饵文件攻击印度国防部
Lorec53再次使用Cobalt Strike攻击乌克兰政府
漏洞数据
Lenovo UEFI固件多个缓冲区溢出漏洞
恶意软件
新Android恶意软件Autolycos安装300万次
勒索软件
BackCat勒索软件创建可搜索数据库
APT攻击
Cisco研究人员最近发现了透明部落APT组织,针对印度各教育机构进行的持续攻击活动。历史上该APT组织专注于使用CrimsonRAT和ObliqueRAT等远控木马(RAT)攻击政府部门。此次攻击中,攻击者通过鱼叉式网络钓鱼电子邮件向目标投送恶意附件或链接,最后投递恶意软件是CrimsonRAT。CrimsonRAT依然是该组织对受害目标建立长期访问权限的首选植入物,此活动中部署的CrimsonRAT有效载荷与过去使用的非常相似,会持续更新和添加新功能,并对植入物进行混淆。
来源:
https://blog.talosintelligence.com/2022/07/transparent-tribe-targets-education.html
近日,奇安信研究人员捕获Transparent Tribe的新攻击样本,样本的C2:38.74.14.137:{7516,12267,18197,25821,26442},目前新样本已上传到VirusTotal。
来源:
https://twitter.com/reddrip7/status/1545363738991403009
APT-C-01(又名绿斑),该组织惯用鱼叉式钓鱼网络攻击,会选取与攻击目标贴合的诱饵内容进行攻击活动。近日,研究人员在利用FOFA进行威胁狩猎时捕获到了APT-C-01的钓鱼活动,其钓鱼站点分布的位置包括:美国,新加坡,日本,瑞典,韩国和德国。
来源:
https://twitter.com/baoshengbincumt/status/1545310111370846208
近期,安天研究人员发现一起Confucius组织针对巴基斯坦政府、军事机构的攻击活动。此次攻击活动中,攻击者主要以巴基斯坦政府工作人员的名义向目标投递鱼叉式钓鱼邮件。攻击者在钓鱼邮件的正文中或附件PDF文件中嵌入了不同类型的恶意链接,诱导目标点击恶意链接下载具有恶意宏代码的文档。下图是攻击流程图。攻击者利用多种手段防御规避,包括:域名都使用CloudFlare(美国内容交付网络和DDoS缓解公司)的CDN加速服务,该服务可以有效隐藏域名所解析服务器的真实IP地址;以及利用CloudFlare防火墙功能对访问IP的地址位置进行筛选,只有访问IP位于特定国家时,访问页面才会跳转至真正的恶意宏文档下载页面。
来源:
https://mp.weixin.qq.com/s/n6XQAGtNEXfPZXp1mlwDTQ
近日,Sygnia研究人员披露了勒索组织“Luna Moth”(又名TG2729)。该组织自2022年3月末开始运作,初始接入方式为通过以Zoho MasterClass和Duolingo订阅为主题的网络钓鱼活动来欺骗受害者,进而在受感染主机上安装远程访问工具(RAT)。攻击者主要使用商业RAT和其他公开可用的工具,例如Atera、Splashtop、Syncro和AnyDesk在受感染的设备上进行持久化操作,进一步开展攻击活动。
来源:
https://blog.sygnia.co/luna-moth-false-subscription-scams
近日,安恒信息捕获到APT组织SideCopy疑似针对印度国防部的攻击样本。样本攻击流程仍然以模仿SideWinder为主,通过钓鱼邮件下发包含有恶意LNK文件的压缩包,该LNK文件伪装成PDF文件诱使目标运行,运行后下载多阶段加载器,最后释放SideCopy组织常用的远控工具AllaKoreRAT开展攻击活动。
来源:
https://mp.weixin.qq.com/s/wqcBiOYqPOLlOI6owyHxEw
疑似与俄罗斯有关的APT组织Lorec53(又名UAC-0056,TA471)在最新活动中继续攻击乌克兰的目标。Malwarebytes研究人员发现了该组织使用与此前相同的TTP,攻击了乌克兰政府实体。攻击者通过建立注册表实现持久性,并部署Cobalt Strike开展后续攻击活动。下图是近四个月该组织不同样本之间的关系图。
来源:
https://blog.malwarebytes.com/threat-intelligence/2022/07/cobalt-strikes-again-uac-0056-continues-to-target-ukraine-in-its-latest-campaign/
漏洞情报
2022年7月12日,联想(Lenovo)发布BIOS更新,修复了影响70多款笔记本电脑型号的3个缓冲区溢出漏洞。下表是漏洞详情。
漏洞名称 | 描述 |
CVE-2022-1890 | 某些Lenovo笔记本产品的 ReadyBootDxe 驱动程序中存在缓冲区溢出,可以本地利用此漏洞实现任意代码执行。 |
CVE-2022-1891 | 某些Lenovo笔记本产品的 SystemLoadDefaultDxe 驱动程序中存在缓冲区溢出,可以本地利用此漏洞实现任意代码执行。 |
CVE-2022-1892 | 某些Lenovo笔记本产品的SystemBootManagerDxe驱动程序中存在缓冲区溢出,可以本地利用此漏洞实现任意代码执行。 |
来源:
https://mp.weixin.qq.com/s/eXS4wGZEgZT_mA-GA7WdrA
恶意软件
Autolycos是一个新Android恶意软件家族,至少存在于八个Android应用程序中,目前下载量已经超过3,000,000次。Autolycos能够隐蔽执行恶意行为,例如在远程浏览器上执URL,然后将结果包含在HTTP请求中,而不是使用 Webview。此外,Autolycos还会访问受害者的SMS文本消息。
来源:
https://www.bleepingcomputer.com/news/security/new-android-malware-on-google-play-installed-3-million-times/
勒索软件
勒索软件BlackCat 也称为ALPHV”或“AlphaVM”和“AphaV”,是一个用 Rut 编程言创建的勒索软件系列。2022年4月,美国FBI 发布了关于 BlckCat 勒索件的紧急警报,将该组织列为最大的勒索软件威胁之一。 该勒索组织组织近日发布了新的受害者:COUNT+CARE Gmbh(一家来自德国的信息技术和服务公司)、迪拜的Dusit D2 Kenz酒店、以及Sinclair Wilson(一家来自澳大利亚的会计和财富管理服务公司)等。
来源:
https://resecurity.com/blog/article/blackcat-aka-alphv-ransomware-is-increasing-stakes-up-to-25m-in-demands
往期推荐
疑似摩诃草攻击样本——每周威胁动态第86期(07.01-07.07)