每周高级威胁情报解读(2022.09.08~09.15)
2022-9-16 14:38:37 Author: 奇安信威胁情报中心(查看原文) 阅读量:17 收藏

2022.09.08~09.15

攻击团伙情报

  • 来自Kimsuky组织的突刺:多种攻击武器针对韩国的定向猎杀

  • NSA方程式组织“Bvp47”后门关键组件深度揭秘

  • 伊朗黑客组织TA453使用“多角色模拟”新技术

  • 伪猎者APT组织瞄准基金会代表和平昌和平论坛政界人士

  • Lazarus瞄准能源供应商

  • 新伊朗黑客组织APT42详情披露

攻击行动或事件情报

  • Vice Society勒索软件组织攻击美国教育机构

  • 西工大遭网袭事件关键细节公布

  • NoName057(16)组织通过DDoS攻击瞄准乌克兰支持者

  • Lorenz勒索软件团伙滥用CVE-2022-29499漏洞发起攻击

恶意代码情报

  • “魔盗”窃密木马正在大规模传播

  • 攻击者基于可信云平台部署Lampion银行木马

  • SideWalk后门的Linux变体披露

漏洞情报

  • 微软补丁通告:2022年9月版

攻击团伙情报

01

来自Kimsuky组织的突刺:多种攻击武器针对韩国的定向猎杀

披露时间:2022年09月14日

情报来源:https://mp.weixin.qq.com/s/s7bQggtes5YQEtCBeLsOrw

相关信息:

近期,在美韩联合演习背景下,研究人员监测到大量来自Kimsuky组织的攻击。Kimsuky于2013年被公开披露并命名,是疑似具有东亚国家背景的APT组织。Kimsuky组织十分活跃,长期针对韩国政府、新闻机构等目标发起攻击活动。其通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件,拥有功能完善的恶意代码武器库。

Kimsuky组织在此次攻击中则主要使用pif、hwp、doc等文件做为诱饵进行初始攻击,后续载荷包括其常使用的AppleSeed、PebbleDash等木马。攻击者使用的pif文件实际为可执行程序,它伪装成PDF图标,实际功能为Dropper程序,可用于释放诱饵并加载执行后续载荷PebbleDash木马。其中部分诱饵被韩国DRM软件加密,疑似由Kimsuky组织在其他攻击活动中所窃取,可用于实施定向攻击。此外攻击者利用的诱饵还擅用加解密算法来躲避相关杀软的静态查杀。Kimsuky组织攻击手法灵活多变,武器库层出不穷,是攻击能力较强的APT团伙。

02

NSA方程式组织“Bvp47”后门关键组件深度揭秘

披露时间:2022年09月13日

情报来源:https://mp.weixin.qq.com/s/YN8AJOrQWcpleV0tqhRGQQ

相关信息:

在报告“Bvp47-美国NSA方程式组织的顶级后门”的描述中,Bvp47本身像是一个巨大的壳或压缩包,共包含了18个分片,盘古实验室展示了对于Bvp47后门程序的归属分析和部分技术细节的描述,比如BPF隐蔽隧道,但依然还有部分其他模块值得深入探究,这些模块既可以作为Bvp47的一部分一起执行任务,也可以被独立使用。

基于特征的入侵分析取证发现,国内大量重要组织机构受到了这个美国国家安全局(NSA)来源的“饮茶”(Suctionchar_Agent)木马程序的侵袭,其中就包括了近期披露的被网络渗透的西北工业大学。有证据显示,NSA利用“饮茶”木马程序窃取了世界各国难以确切估量的账号密码,在美国各地建立了多个高度机密的账号密码海量数据存储中心,供NSA的行动部门TAO随时查询并“合法”进入受害者的信息系统。本报告将会通过对“饮茶”、Dewdrop、Bvp47_loader等程序和系统模块的技术分析来进一步理解Bvp47这个顶级后门平台的部分工作方式和执行逻辑。

03

伊朗黑客组织TA453使用“多角色模拟”新技术

披露时间:2022年09月13日

情报来源:https://www.proofpoint.com/us/blog/threat-insight/ta453-uses-multi-persona-impersonation-capitalize-fomo

相关信息:

TA453(Charming Kitten)是一个伊朗威胁组织,曾攻击中东的学者和政策专家。2022年6月,TA453组织使用一种新的、精心设计的网络钓鱼技术,通过使用多个角色和电子邮件帐户,诱导目标认为这是一个真实的电子邮件对话。研究人员将这种社会工程技术称为“多角色模拟”(MPI)。攻击者向目标发送一封电子邮件,同时抄送由攻击者控制的另一个电子邮件地址,然后从该电子邮件中回复,进行虚假对话。此次活动的目标包括从事中东研究或核安全的研究人员。

其中一些活动会提供托管恶意文档的 OneDrive 链接,链接下载的恶意文档是远程模板注入文档的最新版本,该文档会从下载启用宏的模板文档,被研究人员称为Korg,其具有三个宏:Module1.bas、Module2.bas和ThisDocument.cls。宏代码会收集用户名、正在运行的进程列表以及用户的公共 IP 等信息,然后使用 Telegram API 泄露这些信息。

04

伪猎者APT组织瞄准基金会代表和平昌和平论坛政界人士

披露时间:2022年09月14日

情报来源:https://mp.weixin.qq.com/s/MElSffbcrQkBYdVKo3hzFg

相关信息:

伪猎者APT组织于2021年由国内安全厂商披露,据悉,其最早攻击时间可以追溯到2018年,历史攻击目标为包含中国在内的人力资源和贸易相关机构。近期研究人员发现,该组织从2021年12月份至今依然活跃,在今年6月,该组织对韩国境内目标发起定向攻击活动。通过分析攻击事件,有如下发现:

1. 本批次攻击活动目标人员包括汉斯赛德尔基金会韩国代表Bernhard Seliger博士、以及可能与2022平昌和平论坛相关的政界人士。

2. 攻击事件时间节点包括两个:2022年2月上旬针对2022平昌和平论坛相关人士的攻击;2022年6月中旬对Bernhard Seliger博士的定向攻击。均为鱼叉邮件类型的攻击。

3. 攻击者用于攻击载荷托管、C&C通信的网络资产包括公开免费的云端存储站点(如bitbucket.org、statcounter.com)和攻击者私有C&C资产。木马回连地址会涉及这两类的多个url地址。

05

Lazarus瞄准能源供应商

披露时间:2022年09月08日

情报来源:https://blog.talosintelligence.com/2022/09/lazarus-three-rats.html

相关信息:

研究人员观察到朝鲜政府支持的APT组织Lazarus在2022年2月至2022年7月期间进行了恶意活动。其入口向量包括成功利用VMWare产品中的漏洞在企业网络中建立初步立足点,然后部署该组织的定制恶意软件植入程序VSingle和YamaBot。除了这些已知的恶意软件家族之外,还发现了一种以前未知的恶意软件植入物的使用,将其称之为“MagicRAT”。

Lazarus攻击目标组织是来自世界各地的能源供应商,包括总部位于美国、加拿大和日本的能源供应商。该活动旨在渗透世界各地的组织,以建立长期访问权限,并随后将感兴趣的数据泄露给对手的民族国家。

06

新伊朗黑客组织APT42详情披露

披露时间:2022年09月07日

情报来源:https://www.mandiant.com/resources/reports/apt42-spear-phishing-and-surveillance

相关信息:

APT42是一个由伊朗国家资助的新黑客组织,其长期使用高针对性的鱼叉式网络钓鱼方式和社会工程技术针对政府官员、记者、全球学者和伊朗持不同政见者,主要目标是窃取帐户凭据。

自2015年以来,APT42已在14个国家/地区开展了至少30次活动,且该组织多次切换目标以匹配不断变化的情报收集兴趣。该组织大部分活动集中在中东地区,且其主要使用定制的Android恶意软件针对伊朗政府个人和组织进行网络间谍活动,以实现伊朗国内政治、外交政策和政权稳定。Android恶意软件主要通过SMS文本传播给伊朗目标,其中包含可以帮助绕过政府施加的限制的消息或VPN应用程序的链接。该组织已证明有能力记录电话、激活麦克风和记录音频、泄露图像并根据命令拍照、阅读SMS消息以及实时跟踪受害者的GPS位置。APT42还在Windows系统上使用一组丰富的轻量级自定义恶意软件来建立立足点并窃取凭据,使他们能够提升权限并在网络上执行侦察。

攻击行动或事件情报

01

Vice Society勒索软件组织攻击美国教育机构

披露时间:2022年09月06日

情报来源:https://www.cisa.gov/uscert/ncas/alerts/aa22-249a

相关信息:

最近,FBI、CISA和MS-ISAC发布警告,称美国教育机构成为Vice Society勒索软件组织的攻击目标,预计新学年开始后还会发生更多攻击。Vice Society是一个以在受害者网络上部署多种勒索软件而闻名的黑客组织,于2021年夏天首次出现,部署的勒索软件包括Hello Kitty/Five Hands和Zeppelin勒索软件及其他变体。该勒索团伙还在加密之前从受感染的系统中窃取敏感数据,然后将其用于双重勒索。

Vice Society组织通过窃取面向互联网的应用程序的凭证获得初始网络访问权限。该组织使用包括SystemBC、PowerShell Empire和Cobalt Strike的各种工具进行横向移动并利用PrintNightmare漏洞(CVE-2021-1675 和 CVE-2021-34527)来提升权限。Vice Society组织试图通过将他们的恶意软件和工具伪装成合法文件、使用进程注入来逃避检测。Vice Society组织已成功提升权限并获得了对域管理员帐户的访问权限,其通过运行脚本来更改受害者网络帐户的密码。

02

西工大遭网袭事件关键细节公布

披露时间:2022年09月13日

情报来源:https://mp.weixin.qq.com/s/Xt8YvU6HmeOObKlaWJjjew

相关信息:

国家计算机病毒应急处理中心在对西北工业大学遭境外网络攻击事件进行调查过程中,在西北工业大学的网络服务器设备上发现了美国国家安全局(NSA)专用的网络武器“饮茶”(NSA命名为“suctionchar”)。国家计算机病毒应急处理中心联合奇安信公司对该网络武器进行了技术分析,分析结果表明,该网络武器为“嗅探窃密类武器”,主要针对Unix/Linux平台,其主要功能是对目标主机上的远程访问账号密码进行窃取。

经技术分析与研判,该网络武器针对Unix/Linux平台,与其他网络武器配合,攻击者可通过推送配置文件的方式控制该恶意软件执行特定窃密任务,该网络武器的主要目标是获取用户输入的各种用户名密码,包括SSH、TELNET、FTP和其他远程服务登录密码,也可根据配置窃取保存在其他位置的用户名密码信息。

03

NoName057(16)组织通过DDoS攻击瞄准乌克兰支持者

披露时间:2022年09月06日

情报来源:https://decoded.avast.io/martinchlumecky/bobik/

相关信息:

从2022年6月开始,研究人员调查并分析了用于对乌克兰境内及周边地区的网站进行DDoS攻击的恶意软件,确定该恶意软件是一种名为Bobik的 RA 的.NET变体,包括一个DDoS模块,并通过僵尸网络传播。感染Bobik的设备是僵尸网络的一部分,攻击者通过C2服务器控制它们,向单个机器人发送命令。Bobik机器人使用C2服务器和HTTP通信协议,研究人员通过解密HTTP协议、监控C2服务器并收集有关定义DDoS目标的僵尸网络架构和XML配置的信息,确定了一个名为NoName057(16) 的亲俄罗斯黑客组织。

NoName057(16)专注于DDoS攻击,并寻找支持乌克兰或“反俄”的公司和组织,他们不会像其他危险组织那样试图窃取数据或访问系统,攻击成功率在40%左右。该组织正在利用僵尸网络对属于乌克兰政府、新闻机构、军队、供应商、电信公司、运输当局、金融机构等组织的网站以及支持乌克兰的邻国(如爱沙尼亚、立陶宛、挪威、波兰)进行DDoS攻击。

04

Lorenz勒索软件团伙滥用CVE-2022-29499漏洞发起攻击

披露时间:2022年09月12日

情报来源:https://arcticwolf.com/resources/blog/lorenz-ransomware-chiseling-in/

相关信息:

Lorenz是一个至少从2021年2月开始活跃的勒索软件组织,执行双重勒索操作。在上个季度,该团伙主要针对位于美国的中小型企业 (SMB),目标也包括中国和墨西哥。研究人员发现,Lorenz 勒索软件组织利用CVE-2022-29499漏洞,破坏Mitel MiVoice Connect以获得初始访问权限。最初的恶意活动源于位于网络外围的Mitel设备,Lorenz利用CVE-2022-29499漏洞来获取反向Shell,随后使用Chisel作为隧道工具进入环境。攻击者会在获得初始访问权限后等待一个月,然后进行横向移动,利用FileZilla进行数据泄露,并利用BitLocker和Lorenz勒索软件对ESXi进行加密。

恶意代码情报

01

“魔盗”窃密木马正在大规模传播

披露时间:2022年09月09日

情报来源:https://mp.weixin.qq.com/s/AXORtlDzPTgiWoSxhEJsKA

相关信息:

近期,研究人员监测到一批伪装成CorelDraw、Notepad++、IDA Pro、WinHex等多款实用软件进行传播的窃密木马。通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)最多已超过1.3万,由于该窃密木马会收集浏览器书签、邮箱账户等信息,故将其命名为“魔盗”。

攻击者利用“cdr[.]jyxwlkj.cn”及“cdrnb[.]jyxwlkj.cn”域名建立多个软件下载页面,用于投放伪装成实用软件的“魔盗”窃密木马。窃密木马运行后会收集受害者主机中已安装的软件列表与多款浏览器的历史记录、书签数据和邮件客户端邮箱账户信息,并加密回传至攻击者服务器。由于部分恶意程序具备在线升级能力,因此攻击者可随时更改攻击载荷(如勒索、挖矿、窃密等不同目的的攻击载荷),给受害者造成更大损失。

02

攻击者基于可信云平台部署Lampion银行木马

披露时间:2022年09月13日

情报来源:https://cofense.com/blog/lampion-trojan-utilizes-new-delivery-through-cloud-based-sharing

相关信息:

研究人员最近分析了一封网络钓鱼邮件,该邮件要求用户下载“付款证明”以及其他文件。收件人一旦点击邮件链接,就会下载Lampion银行木马,该木马自2019年以来一直存在,目前尚未确定该恶意软件的幕后黑手,但它以使用VBS加载程序而闻名。

研究人员发现攻击者使用了一种新的VBS文件交付形式:用于支付的可信云平台WeTransfer。攻击者通过利用受信任的支付站点,发送给收件人带有付款证明和其他文件的电子邮件。当收件人与URL进行交互时,受害人便会被定向到可以下载包含电子邮件中引用的文档的ZIP文件的页面。下载ZIP文件后,研究人员通过提取其内容发现包含一个VBS文件启动脚本,其可以引导后续恶意进程。

03

SideWalk后门的Linux变体披露

披露时间:2022年09月14日

情报来源:https://www.welivesecurity.com/2022/09/14/you-never-walk-alone-sidewalk-backdoor-linux-variant/

相关信息:

SideWalk的Windows版本在2021年8月24日被披露,这是一个多用途后门,可以加载从C&C服务器发送的附加模块。它利用Google Docs作为死点解析器,并将Cloudflare用作其C&C服务器,它可以正确处理代理背后的通信。

近期,研究人员发现了SideWalk后门的Linux变体,这是SparklingGoblin组织使用的多个自定义植入程序之一。该变体于2021年2月针对一所香港大学部署,该大学在2020年5月的学生抗议活动中已成为SparklingGoblin的目标。研究人员最初将此后门命名为StageClient,但现在将其简称为SideWalk Linux。分析发现,StageClient变体与Windows的SideWalk之间存在大量代码重叠。此外研究人员还发现,以前已知的Linux后门Spectre RAT,实际上也是 SideWalk Linux 变体。

漏洞情报

01

微软补丁通告:2022年9月版

披露时间:2022年09月14日

情报来源: https://mp.weixin.qq.com/s/uo3Lcmptvzue17W0iNMHxg

相关信息:

本月,微软共发布了63个漏洞的补丁程序,修复了Windows Server、Microsoft Office、.NET Framework、Microsoft SharePoint等产品中的漏洞。其中CVE-2022-34718 Windows TCP/IP 远程代码执行漏洞由奇安信代码安全实验室发现。经研判,有11个重要漏洞值得关注,包括个5紧急漏洞和6个重要漏洞,详见情报来源链接。

其中CVE-2022-23960 ARM:缓存推测限制漏洞细节已公开,CVE-2022-37969 Windows common log file system driver权限提升漏洞已检测到在野利用。

点击阅读原文ALPHA 5.0

即刻助力威胁研判


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247503823&idx=1&sn=46ed2e00edd2495e0249be5a9f8c732d&chksm=ea6638b8dd11b1ae88a07f03a9c180d6570d3b6f0ea924d4f3a14ff2842cb240de2326b4e9c1#rd
如有侵权请联系:admin#unsafe.sh