APT37利用IE浏览器0Day漏洞开展攻击——每周威胁情报动态第107期(12.02-12.08)
2022-12-9 09:1:14 Author: 白泽安全实验室(查看原文) 阅读量:20 收藏

APT攻击

APT37利用IE浏览器0Day漏洞开展攻击

Agrius在供应链攻击中使用了新的Fantasy Wiper 

DEV-0139利用Telegram攻击加密货币公司

疑似APT-C-56针对恐怖主义的攻击活动分析

披露响尾蛇的样本

攻击活动

俄罗斯第二大银行VTB的网站遭到大规模DDoS攻击

恶意软件

新的Redis后门恶意软件——Redigo

新的基于Go的"Zerobot"僵尸网络活动

勒索软件

跨国医疗组织Keralty遭受RansomHouse勒索软件攻击

APT攻击

APT37利用IE浏览器0Day漏洞开展攻击

近日,谷歌的研究人员披露了具有朝鲜背景的APT组织APT37,使用一个此前未被披露的Internet Explorer 0Day漏洞展开了攻击。该漏洞被追踪为CVE-2022-41128,存在于浏览器的“JScript9”JavaScript引擎中,远程攻击者可以利用该漏洞在目标系统上执行任意代码。谷歌将安全缺陷描述为导致类型混淆的错误JIT优化问题。攻击者使用的恶意Microsoft Office文件引用了2022年10月29日万圣节庆祝活动期间在首尔发生的悲惨事件,利用CVE-2022-41128漏洞攻击韩国目标。该恶意文档一旦在受害者的设备上打开,在下载一个RTF格式的远程模板后传递一个未知的载荷,同时调用Internet Explorer访问远程HTML。远程加载的包含漏洞利用的HTML内容允许攻击者触发上述0Day漏洞。即使目标并未将Internet Explorer作为默认Web浏览器,攻击过程也仍然有效。虽然谷歌的研究人员无法确认APT37在其韩国目标计算机上分发的最终恶意载荷,但是却观察到了同一组可能的植入物,包括ROKRAT、BLUELIGHT和DOLPHIN。

来源:

https://blog.google/threat-analysis-group/internet-explorer-0-day-exploited-by-north-korean-actor-apt37/

Agrius在供应链攻击中使用了新的Fantasy Wiper 

近日,ESET的研究人员披露了具有伊朗背景的APT组织Agrius,在针对以色列、香港和南非组织的供应链攻击中使用了新的“Fantasy Wiper”。据研究人员分析,攻击者于2022年2月20日入侵了一家南非钻石行业组织,在其网络上投放了MiniDump和SecretsDump等凭证收集工具以窃取帐户凭证。之后,攻击者利用窃取的凭据在整个被破坏的网络中进一步入侵,收集信息并获得对其他系统的访问权限。Fantasy Wiper是32位Windows可执行文件,执行后会获得所有驱动器及其目录的列表,Windows文件夹除外(被跳过),以及每个目录中的所有文件。Fantasy Wiper用随机数据覆盖每个文件的内容,并会将时间戳设置为2037年午夜,然后将其删除。并且此过程会试图阻止使用数据恢复工具恢复文件。接下来,Fantasy Wiper会删除HKCR中的注册表项,清除所有Windows事件日志,删除Windows SystemDrive文件夹,然后进入两分钟的睡眠。最后,覆盖主引导记录,删除自身,并在另一个30秒延迟后重新启动系统。

来源:

https://www.welivesecurity.com/2022/12/07/fantasy-new-agrius-wiper-supply-chain-attack/

DEV-0139利用Telegram攻击加密货币公司

近期,微软表示,加密货币投资公司已成为其追踪为DEV-0139的威胁组织的目标,并通过用于与公司的VIP客户进行沟通的Telegram群筛选目标。在本次活动中,对加密投资行业有广泛了解的攻击者邀请至少一个目标(冒充其他加密资产管理公司的代表)加入另一个Telegram群,并在群中询问有关加密货币交易平台费用结构的反馈。在获得目标的信任后,攻击者向受害者发送了名为“OKX Binance&Huobi VIP fee comparison.xls”的恶意Excel电子表格,其中包含加密货币交易公司VIP费用结构之间的数据比较(可能准确以提高可信度)。一旦受害者打开文档并启用宏,文件中嵌入的第二个工作表将下载并解析PNG文件以提取恶意DLL、异或编码后门以及稍后用于旁路加载DLL的合法Windows可执行文件。该DLL将解密并加载后门,为攻击者提供对受害主机的远程访问权限。此外,攻击者还提供了第二个有效负载,即CryptoDashboardV2应用程序的MSI包,这表明攻击者还实施了使用相同技术推送自定义有效载荷的其他攻击。微软没有将这次攻击归因于特定的组织,但威胁情报公司Volexity将其与朝鲜的Lazarus组织 联系了起来。攻击链图如下图所示。

来源:

https://www.microsoft.com/en-us/security/blog/2022/12/06/dev-0139-launches-targeted-attacks-against-the-cryptocurrency-industry/

疑似APT-C-56针对恐怖主义的攻击活动分析

近日,360威胁情报中心的研究人员披露了疑似为具有巴基斯坦背景的APT组织APT-C-56,针对恐怖主义的攻击活动。研究人员通过对样本的溯源关联发现,此次攻击活动至少开始于2018年6月,并且至今仍处于活跃状态。此外,还发现了攻击者使用的Android和Window平台的远控工具,其中Android平台使用了商业间谍软件SpyNote和SonicSpy,以及开源间谍软件AhMyth和Metasploit;Windows平台则使用了开源远控工具AsyncRAT。同时,通过对攻击样本进行分析发现:攻击者的PC设备位于巴基斯坦;在设备还发现了APT-C-56组织使用的远控测试样本。其他安全厂商揭露过APT-C-56曾使用过伪装成恐怖主义相关文档进行攻击,与本次攻击样本的伪装类型相同,由此认定本次攻击与APT-C-56高度相关。

来源:

https://mp.weixin.qq.com/s/J_A12SOX0k5TOYFAegBv_w

披露响尾蛇的样本

近日,研究人员披露了响尾蛇组织的恶意样本,IOC信息如下所示:

文件名:GUIDELINES FOR JOURNAL - 2023 PAKISTAN NAVY WAR COLLEGE (PNWC).docx

IP:5.230.73.106

Domain:bol-north.com

SHA256:cd09bf437f46210521ad5c21891414f236e29aa6869906820c7c9dc2b565d8be

来源:

https://twitter.com/shadowchasing1/status/1599768910030864384

攻击活动

俄罗斯第二大银行VTB的网站遭到大规模DDoS攻击

近日,根据媒体报道,俄罗斯第二大金融机构VTB银行表示,由于持续的DDoS攻击,其网站和移动应用暂时无法访问。VTB发言人称,这不仅是今年最大规模的攻击,也是该银行整个历史上最大的网络攻击。现已确定大多数恶意DDoS请求都来自国外,但是也涉及多个俄罗斯的IP地址。黑客团伙IT Army of Ukraine声称对此次攻击负责,并于11月底在Telegram上宣布了此次活动。目前,VTB的门户网站处于离线状态,但所有核心服务都在正常运行,客户数据也未受影响。

来源:

https://www.bleepingcomputer.com/news/security/massive-ddos-attack-takes-russia-s-second-largest-bank-vtb-offline/

恶意软件

新的Redis后门恶意软件——Redigo

近期,研究人员通过自行搭建的Redis蜜罐,发现了一种新型的针对Redis服务器的基于Go语言编写的恶意软件。攻击者利用扫描器或僵尸网络在互联网上搜寻暴露6379端口的Redis服务器,通过Redis命令初始访问搜集信息,并利用已知的Redis远程任意命令执行漏洞(CVE-2022-0543),最终加载称为Redigo的后门程序。研究人员认为攻击者可能最终会将被感染服务器用于分布式拒绝服务或挖矿等活动。攻击链图如下图所示。

来源:

https://blog.aquasec.com/redigo-redis-backdoor-malware

新的基于Go的"Zerobot"僵尸网络活动

近期,Fortinet的研究人员发现了一个能够自我复制和自我传播的僵尸网络Zerobot正在利用多个物联网(IoT)漏洞进行传播。Zerobot于11月18日首次出现,由Go语言编写的,具有多个用于自我复制、自我传播和对不同协议进行攻击的模块。根据研究人员分析,该恶意软件通过WebSocket协议与其命令和控制(C&C)服务器通信,并针对十二种硬件架构,包括i386、amd64、arm64、arm、mips、mipsle、mips64、mips64le、ppc64、ppc64le、riscv64和s390x。迄今为止,Fortinet已经确定了僵尸网络的两个变体,一个包含基本功能并在11月24日之前使用,另一个可以自我复制并针对更多平台,从11月中旬开始分发。该恶意软件包含21个漏洞利用代码,包括针对最近的Spring4Shell和F5 Big-IP漏洞利用代码、以及其他已知漏洞以及物联网设备(如路由器、监控摄像头和防火墙)中的各种安全缺陷的利用代码。一旦物联网设备遭到破坏,Zerobot就会将自身复制到系统中,设置一个模块以防止用户中断其操作,之后会初始化与C&C的连接,并发送包含受害者信息的JSON文件,然后等待来自C&C的命令服务器。易受Zerobot攻击的设备和漏洞如下图所示。

来源:

https://www.fortinet.com/blog/threat-research/zerobot-new-go-based-botnet-campaign-targets-multiple-vulnerabilities

勒索软件

跨国医疗组织Keralty遭受RansomHouse勒索软件攻击

据报道,跨国医疗保健组织Keralty遭受了RansomHouse勒索软件的攻击,并扰乱了该公司及其子公司的网站和运营。Keralty是哥伦比亚的一家医疗保健提供商,在拉丁美洲、西班牙、美国和亚洲运营着一个由12家医院和371个医疗中心组成的国际医疗网络。该集团拥有24,000名员工和10,000名医生,为超过600万患者提供医疗服务。该公司通过其子公司Colsanitas、Sanitas USA和EPS Sanitas提供进一步的医疗保健服务。但是,在过去的几周内,Keralty 及其子公司EPS Sanitas和Colsanitas的IT运营、医疗预约安排及其网站都受到了攻击,IT系统中断影响了哥伦比亚的医疗保健系统,据当地媒体报道说,患者排队等候12多个小时才能接受治疗,一些患者因缺乏医疗护理而晕倒。Keralty于11月29日发表了另一份声明,确认了中断是由网络攻击造成的,导致其IT系统出现技术故障。30日,一位名叫亚历山大的Twitter 用户在推特上发布了一张VMware ESXi服务器的屏幕截图,并附有一张显示“亲爱的Keralty ”的勒索字条,表明这家医疗保健公司遭受了勒索软件攻击。BleepingComputer从独立消息来源确认了RansomHouse是对Keralty的攻击的幕后黑手。

来源:

https://www.bleepingcomputer.com/news/security/keralty-ransomware-attack-impacts-colombias-health-care-system/?&web_view=true

往期推荐

针对乌克兰的新勒索软件RansomBoggs与Sandworm有关——每周威胁情报动态第106期(11.25-12.01)

DUCKTAIL使用新的恶意软件变体展开攻击——每周威胁情报动态第105期(11.18-11.24)

Lazarus Group使用DTrack后门针对欧洲和拉丁美洲——每周威胁情报动态第104期(11.11-11.17)

新APT组织OPERA1ER针对非洲目标开展攻击活动——每周威胁情报动态第103期(11.04-11.10)


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MTE4ODY3Nw==&mid=2247490642&idx=1&sn=6e15348186f3971fae343c1df6a671ba&chksm=e90e3678de79bf6eea6f9a40bc333fd2e3e83e2b01f59e4a5f62f12472180a3d083dab5b2dc6#rd
如有侵权请联系:admin#unsafe.sh