2022.09.29~10.13
攻击团伙情报
深入分析APT35组织
APT组织ZINC利用武器化开源软件发起攻击
Lazarus 在荷兰和比利时的亚马逊主题活动
DeftTorero组织详情披露
POLONIUM使用新工具针对以色列
攻击行动或事件情报
Water Labbu滥用恶意DApp窃取加密货币
Eternity在暗网中出售LilithBot恶意软件
LofyGang分发大量恶意NPM包窃取信用卡信息
BazarCall攻击者改进其社会工程策略
Prilex黑客组织针对PoS系统发起攻击
恶意代码情报
虚假网站欺骗Zoom用户下载Vidar Stealer恶意软件
新的间谍软件RatMilad攻击中东企业
Agent Tesla和njRat近期通过钓鱼活动传播
IcedID银行木马感染策略分析
发现针对VMware ESXi Hypervisor的新恶意软件系列
漏洞情报
VMware vCenter中的数据反序列化可能导致远程代码执行
Microsoft 2022年10月补丁
攻击团伙情报
01
深入分析APT35组织
披露时间:2022年09月27日
情报来源:https://explore.avertium.com/resource/in-depth-look-at-apt35-aka-charming-kitten
相关信息:
伊朗组织APT35,也称为Charming Kitten或Phosphorus,自2014年以来一直活跃。2022年,APT35使用新战术攻击范围广泛的目标。
研究人员观察到该组织使用了一个新工具集,其中包括一个新的后门、恶意软件加载程序、一个浏览器信息窃取程序和一个键盘记录器。他们还使用开源工具,例如DiskCryptor库、BitLocker和Fast Reverse Proxy。此外APT35部署了一个名为PowerLess Backdoor的新PowerShell后门,他们正在使用一种隐秘技术来避免检测。PowerShell后门在.NET上下文中运行,而不是生成PowerShell进程。PowerLess Backdoor支持以下功能:
• 下载和执行其他恶意软件和文件(键盘记录模块和浏览器信息窃取程序)
• 键盘记录
• 杀死进程
• 窃取浏览器数据
• 执行任意命令
• 使用C2加密通道
截至2022年8月,研究人员观察到Charming Kitten使用一种名为Hyperscrape的新工具从受害者邮箱中提取电子邮件。该工具允许威胁参与者从Yahoo、Google和Microsoft Outlook中提取电子邮件。
02
APT组织ZINC利用武器化开源软件发起攻击
披露时间:2022年09月29日
情报来源:https://www.microsoft.com/security/blog/2022/09/29/zinc-weaponizing-open-source-software/
相关信息:
近几个月来,研究人员发现了ZINC组织一个广泛的社会工程活动,这些活动使用武器化的合法开源软件。研究人员观察到该组织针对美国、英国、印度和俄罗斯的媒体、国防和航空航天以及IT服务等多个行业组织的员工的活动。据研究人员声称,ZINC是一个位于朝鲜以外的国家支持的组织,其目标主要集中在间谍活动、数据盗窃、经济利益和网络破坏上。
从2022年6月开始,ZINC采用传统的社会工程策略,最初与LinkedIn上的个人建立联系,以建立与目标的信任水平。成功连接后,ZINC鼓励通过WhatsApp继续通信,WhatsApp作为其恶意负载的传递手段。
ZINC将各种开源软件武器化,包括 PuTTY、KiTTY、TightVNC、Sumatra PDF Reader和muPDF/Subliminal Recording软件安装程序,用于攻击。ZINC试图横向移动并从受害者网络中泄露收集到的信息。自2022年6月以来,ZINC组织成功入侵了许多组织。
03
Lazarus 在荷兰和比利时的亚马逊主题活动
披露时间:2022年09月30日
情报来源:https://www.welivesecurity.com/2022/09/30/amazon-themed-campaigns-lazarus-netherlands-belgium/
相关信息:
近期,研究人员披露了Lazarus APT组织在2021年秋季的攻击活动。该活动以包含恶意亚马逊主题文件的鱼叉式网络钓鱼电子邮件开始,针对荷兰一家航空航天公司的一名员工和比利时的一名政治记者。
攻击者通过LinkedIn消息、电子邮件将恶意文件发送给目标。这些文件被打开后,攻击就开始了。攻击者在每个系统上部署了多个恶意工具,包括释放器、加载器、功能齐全的HTTP(S)后门BLINDINGCAN、HTTP(S)上传器和下载器。释放器之间的共同点是它们是木马化的开源项目,使用现代分组密码解密嵌入式有效负载,长密钥作为命令行参数传递。在许多情况下,恶意文件是由合法 EXE 侧加载的 DLL 组件,但来自文件系统中的不寻常位置。
在攻击过程中,Lazarus滥用了已经存在13年的Dell重大风险固件漏洞CVE-2021-21551,从而关闭Windows计算机上多项的安全防护机制,以植入窃取受害用户资讯的恶意程序,包括Blindingcan远程访问木马。
04
DeftTorero组织详情披露
披露时间:2022年10月03日
情报来源:https://securelist.com/defttorero-tactics-techniques-and-procedures/107610/
相关信息:
APT组织DeftTorero(别名Lebanese Cedar, Volatile Cedar)来自中东,早在2015年就被公开披露,但直到2021年才被共享相关情报,研究人员推测该组织可能转向使用无文件/LOLBINS技术。该组织主要攻击埃及、约旦、科威特、黎巴嫩、沙特阿拉伯、土耳其等中东国家和地区。目标包括企业、教育、政府、军事、媒体和电信公司等多个行业的Web服务器。
DeftTorero组织在公开的报告中被揭露使用的最终有效载荷为:Explosive RAT,且其初始webshell为Caterpillar和ASPXSpy。研究人员在对Caterpillar分析过程中发现,攻击者主要利用目标Web服务器上文件上传和命令注入漏洞。且攻击者可能从其他系统获得服务器凭据,并使用远程桌面登录以部署webshell。成功安装webshell后,攻击者最终会尝试加载并调用例如Lazagne.exe、Mimikatz、LSASS.exe等工具来转储本地凭据和域凭据。
05
POLONIUM使用新工具针对以色列
披露时间:2022年10月11日
情报来源:https://www.welivesecurity.com/2022/10/11/polonium-targets-israel-creepy-malware/
相关信息:
研究人员发现至少自2021年9月以来,POLONIUM使用至少7个自定义后门针对以色列的十几个组织,该组织的最新行动是在2022年9月观察到的,其针对的目标领域包括工程、信息技术、法律、通信、品牌和营销、媒体、保险和社会服务,目的是收集机密数据。
• POLONIUM的工具集由七个自定义后门组成:
• CreepyDrive,滥用OneDrive和Dropbox云服务用于C&C;
• CreepySnail,它执行从攻击者自己的基础设施接收到的命令;
• DeepCreep和MegaCreep,分别使用Dropbox和Mega文件存储服务;
• FlipCreep、TechnoCreep和PapaCreep,它们从攻击者的服务器接收命令。
此外,该组织还使用了几个自定义模块来监视其目标。该组织的大多数恶意模块都很小,功能有限。在一种情况下,攻击者使用一个模块截屏,然后通过另一个模块将它们上传到C&C服务器。同样,他们喜欢将后门中的代码分割,将恶意功能分布到各种小型DLL中,或许是希望防御者或研究人员不会发现其完整的攻击链。
攻击行动或事件情报
01
Water Labbu滥用恶意DApp窃取加密货币
披露时间:2022年10月03日
情报来源:https://www.trendmicro.com/en_us/research/22/j/water-labbu-abuses-malicious-dapps-to-steal-cryptocurrency.html
相关信息:
研究人员发现了一个新的威胁攻击者,并将其命名为Water Labbu,该攻击者针对的是加密货币诈骗网站。通常,加密货币诈骗者使用社会工程技术,与受害者互动以获得他们的信任,然后操纵他们提供转移加密货币资产所需的权限。虽然Water Labbu设法通过类似方法通过从受害者的钱包中获取访问权限和令牌许可来窃取加密货币,但与其他类似的活动不同,他们没有使用任何类型的社会工程——至少没有直接使用。相反,Water Labbu让其他诈骗者使用他们的社会工程技巧来欺骗毫无戒心的受害者。
威胁行为者以寄生方式入侵了冒充去中心化应用程序(DApp)的其他诈骗者的网站,并将恶意JavaScript代码注入其中。当威胁参与者发现受害者在连接到其中一个诈骗网站的钱包中存储了大量加密货币时,注入的JavaScript有效负载将发送权限请求。该请求被伪装成看起来像是从一个受感染的网站发送的,并请求允许(令牌配额)转移几乎无限量的美元Tether(USDT,这是一种与美元挂钩的稳定币,价值1 :1)来自目标的钱包。
02
Eternity在暗网中出售LilithBot恶意软件
披露时间:2022年10月05日
情报来源:https://www.zscaler.com/blogs/security-research/analysis-lilithbot-malware-and-eternity-threat-group
相关信息:
2022年7月,ThreatLabz团队发现了一个名为LilithBot的多功能恶意软件机器人,该恶意软件由Eternity(别名EternityTeam、Eternity Project)犯罪集团以订阅方式出售。Eternity与俄罗斯“Jester Group”威胁组织相关,至少自2022年1月以来一直活跃。
研究人员发现,LilithBot由专门的Telegram广告频道(@EternityDeveloper)和一个Tor链接([email protected][.]org)进行代理分发。该恶意软件除了具有主要的僵尸网络功能外,它还可用作矿工、窃取器等。攻击者可在其僵尸网络上注册用户,然后窃取用户信息并将其作为zip文件并通过Tor网络上传至C2服务器。此外,恶意软件使用例如许可证密钥、编码密钥和GUID的各种类型字段,通过AES加密并在运行时自行解密,最终利用虚假证书绕过安全检测。
03
LofyGang分发大量恶意NPM包窃取信用卡信息
披露时间:2022年10月07日
情报来源:https://checkmarx.com/blog/lofygang-software-supply-chain-attackers-organized-persistent-and-operating-for-over-a-year/
相关信息:
研究人员最近发现了大约200个恶意NPM包,并确定与LofyGang组织有关。LofyGang犯罪集团疑似来源于巴西,并且运营已有一年多,其专注于窃取信用卡数据、以及出售与Discord Nitro、游戏和流媒体服务相关的帐户。它于2021年10月31日创建了Discord服务器与一个机器人“Lofy Boost”,用于出售被盗信用卡。该组织还以别名DyPolarLofy在黑客社区出售了数千个Disney+和Minecraft帐户,且其主要产品是出售虚假的Instagram粉丝。此外,攻击者还在他们的GitHub账户PolarLofy下推广黑客工具和机器人(例如密码窃取程序、垃圾邮件发送工具、wiper等)。目前,许多恶意软件包已被删除,但还有部分仍可供下载。
04
BazarCall攻击者改进其社会工程策略
披露时间:2022年10月06日
情报来源:https://www.trellix.com/en-us/about/newsroom/stories/research/evolution-of-bazarcall-social-engineering-tactics.html
相关信息:
研究人员最近发现了大约200个恶意NPM包,并确定与LofyGang组织有关。LofyGang犯罪集团疑似来源于巴西,并且运营已有一年多,其专注于窃取信用卡数据、以及出售与Discord Nitro、游戏和流媒体服务相关的帐户。它于2021年10月31日创建了Discord服务器与一个机器人“Lofy Boost”,用于出售被盗信用卡。该组织还以别名DyPolarLofy在黑客社区出售了数千个Disney+和Minecraft帐户,且其主要产品是出售虚假的Instagram粉丝。此外,攻击者还在他们的GitHub账户PolarLofy下推广黑客工具和机器人(例如密码窃取程序、垃圾邮件发送工具、wiper等)。目前,许多恶意软件包已被删除,但还有部分仍可供下载。
05
Prilex黑客组织针对PoS系统发起攻击
披露时间:2022年09月28日
情报来源:https://securelist.com/prilex-atm-pos-malware-evolution/107551/
相关信息:
Prilex黑客组织开发的恶意代码已经从以ATM为攻击重点的恶意软件演变为模块化的针对销售系统的恶意软件。该黑客组织是该国最大的ATM攻击事件之一的幕后策划者,自2014年开始活跃,2016年,该组织决定放弃以ATM为攻击目标的恶意软件,将所有攻击目标集中在PoS系统上,直接瞄准支付行业的核心。
Prilex擅长执行EMV重放攻击,其中来自基于EMV的合法芯片卡交易的流量被捕获并重放到万事达卡等支付处理器,但交易字段被修改为包括被盗卡数据。然而,在2022年发现的最新分期付款显示出一个关键区别,即重放攻击已被一种替代技术所取代,该技术在店内支付过程中使用受害者卡生成的密码非法兑现资金。
该方法称为GHOST交易,包括一个窃取组件,该组件在交易期间抓取PoS软件和用于读取卡的PIN键盘之间的所有通信,以获取卡信息。随后将其传输到命令和控制(C2)服务器,允许威胁参与者通过以假公司名义注册的欺诈性PoS设备进行交易。
恶意代码情报
01
虚假网站欺骗Zoom用户下载Vidar Stealer恶意软件
披露时间:2022年09月19日
情报来源:https://blog.cyble.com/2022/09/19/new-malware-campaign-targets-zoom-users/
相关信息:
研究人员最近发现了仍在运行的六个虚假的Zoom网站,站点具有相同的用户界面,攻击者利用虚假网站伪装成合法的Zoom应用下载平台诱导用户下载,用户点击后便通过重定向到后端的GitHub URL最终在目标用户机器上下载Vidar Stealer恶意应用软件。
Vidar是一种信息窃取恶意软件,该恶意软件自2018年以来一直存在,可窃取受害者的银行信息、保存的密码、IP地址、浏览器历史记录、登录凭据和加密钱包等。执行该恶意程序后,它会在目标系统的临时文件夹中释放两个二进制文件。其中的Decoder.exe文件是一种恶意.NET二进制文件,可将恶意窃取程序代码注入一个可用于构建应用程序的平台的MSBuild.exe,然后恶意软件提取托管DLL和配置数据的IP地址以进行后续攻击操作。
02
新的间谍软件RatMilad攻击中东企业
披露时间:2022年10月05日
情报来源:https://www.zimperium.com/blog/we-smell-a-ratmilad-mobile-spyware/
相关信息:
最近,研究人员披露了针对中东企业移动设备的新间谍软件,并将其命名为RatMilad。此外,研究人员发现RatMilad的原始变体隐藏在VPN和名为Text Me的欺骗应用之后,并借助社交媒体和Telegram等通信工具上的链接分发。然后,攻击者诱使用户侧加载应用并授予更广泛的权限。该软件一旦被安装,便能在受害者机器上接收和执行特定命令以收集和泄露用户数据并执行各种恶意操作(例如:收集设备信息、文件操作、录音和应用程序权限修改等)。
Zimperium推测,负责RatMilad的运营团队从伊朗黑客团伙AppMilad处获取了源码,并将其集成到了欺诈性应用程序中。其攻击者可能已经收集了大量有关受害者的个人和公司信息。
03
Agent Tesla和njRat近期通过钓鱼活动传播
披露时间:2022年10月03日
情报来源:https://www.fortinet.com/blog/threat-research/leveraging-microsoft-office-documents-to-deliver-agent-tesla-and-njrat
相关信息:
最近研究人员发现了一些恶意的Microsoft Office网络钓鱼文档,它们试图利用合法网站(MediaFire和Blogger)执行shell脚本,最终在受害者机器上释放Agent Tesla和njRat两个恶意软件变种。
Agent Tesla是一个著名的间谍软件,于2014年首次被发现,它使用典型的应用程序列表来窃取登录凭据、cookie、邮件信息和VPN数据。该变体在今年9月中旬开始传播,它包含合法文件信息,来自“NirSoft”公司的“Web Browser Password Viewer”,并使用FTP发送被盗数据。此变体还将自身复制到具有文件名“NGCwje.exe”的%appdata%目录中以保持持久性。
njRat(别称Bladabindi)是一种.NET类型的远程木马,于2013年首次被发现,用于远程控制和监视受害者的设备。首先,它在“Startup”和“Templates”文件夹中创建文件名为“Windows”的lnk和exe文件,以伪装成合法的Windows文件。然后在获取到C2服务器的主机名和端口号后,收集受害者机器信息并使用base64对其进行编码。最终使用硬编码的TCP端口7575将数据传输到服务器“mobnew6565[.]duckdns[.]org”。
04
IcedID银行木马感染策略分析
披露时间:2022年10月07日
情报来源:https://www.team-cymru.com/post/a-visualizza-into-recent-icedid-campaigns
相关信息:
IcedID(别称BokBot)于2017年初作为银行木马开始使用,后来演变为dropper类顶级恶意软件,具有下载和部署其他恶意软件(例如Cobalt Strike、Quantum)的功能,它通常利用电子垃圾邮件活动进行传播。
2022年9月,研究人员观察到了IcedID恶意软件的几次攻击活动,且活动受害者多为英文用户。活动背后的攻击者使用多种分发方法,并利用各种不同的诱饵类型和攻击流程,疑似在评估不同感染途径的有效性。在感染方式上,其通常利用受密码保护的zip文件和ISO形式的电子邮件进行交付,此方法效果相对较好。其次利用PrivateLoader感染活动也相对成功。此外,恶意软件隐藏在破解软件下载中的方法也值得关注。
05
发现针对VMware ESXi Hypervisor的新恶意软件系列
披露时间:2022年09月29日
情报来源1:https://www.mandiant.com/resources/blog/esxi-hypervisors-malware-persistence
情报来源2:https://www.mandiant.com/resources/blog/esxi-hypervisors-detection-hardening
相关信息:
研究人员已经发现威胁参与者在VMware的虚拟化软件中部署了前所未有的感染后植入程序,以控制受感染的系统并逃避检测。
研究人员称这个影响VMware ESXi、Linux vCenter服务器和Windows虚拟机的新型恶意软件生态系统,使威胁行为者能够采取以下行动:
• 保持对管理程序的持久管理访问
• 向管理程序发送命令,这些命令将被路由到guest VM以执行
• 在 ESXi 管理程序和在其下运行的guest计算机之间传输文件
• 篡改管理程序上的日志服务
• 执行从一个guest VM到另一个在同一管理程序上运行的guest VM的任意命令
根据研究人员的说法,超级劫持攻击涉及使用恶意vSphere安装包( VIB )在ESXi管理程序上潜入两个植入程序,称为VIRTUALPITA和VIRTUALPIE。
漏洞情报
01
VMware vCenter中的数据反序列化可能导致远程代码执行
披露时间:2022年10月10日
情报来源:https://blog.talosintelligence.com/2022/10/vuln-spotlight-vcenter-.html
相关信息:
研究人员最近在VMware vCenter服务器平台中发现了一个可利用的数据反序列化漏洞。
VMware是目前最流行的虚拟机解决方案之一,其vCenter软件允许用户管理整个虚拟机环境。Talos 发现的漏洞是一个身份验证后 Java 反序列化问题,它可能会破坏软件,从而使攻击者能够利用目标计算机上的任意代码。
如果攻击者向目标机器发送特制的 HTTP 请求,则会触发TALOS-2022-1587 (CVE-2022-31680)。攻击者首先必须使用合法凭据登录到vCenter才能成功。
02
Microsoft 2022年10月补丁
披露时间:2022年10月12日
情报来源:https://mp.weixin.qq.com/s/aRlAyS3oSivpESNKa5-Bzg
相关信息:
2022年10月12日,微软发布了2022年9月份安全更新,事件等级:严重,事件评分:10.0。
此次安全更新发布了96个漏洞的补丁,主要覆盖了以下组件:Active Directory Domain Services、Microsoft Edge (Chromium-based)、Microsoft Office、Visual Studio Code、Windows Active Directory Certificate Services、Windows Defender、Windows Group Policy、Windows Internet Key Exchange (IKE) Protocol、Windows Kernel、Windows Local Security Authority (LSA)、Windows Workstation Servic等等。其中包含15个严重漏洞,73个高危漏洞,5个中危漏洞,3个低危漏洞。
微软本次的安全更新包含2个0day漏洞,其中CVE-2022-41033(Windows COM+ 事件系统服务特权提升漏洞)已发现被积极利用,CVE-2022-41043(Microsoft Office信息泄露漏洞)已公开披露。详见情报来源链接。
点击阅读原文至ALPHA 5.0
即刻助力威胁研判