每周高级威胁情报解读(2022.12.22~12.29)
2022-12-30 10:0:35 Author: 奇安信威胁情报中心(查看原文) 阅读量:14 收藏

2022.12.22~12.29

攻击团伙情报

  • Operation Dragon Dance:悬在博彩行业上的达摩克里斯之剑

  • 双尾蝎组织新型移动端恶意软件揭秘

  • APT-C-36(盲眼鹰)近期攻击活动分析

  • Lazarus Group下属组织引入绕过 Windows MotW 保护新方法

  • SideCopy 针对印度政府官员进行网络攻击

攻击行动或事件情报

  • 黑客组织 Eternity 详情披露

  • 研究人员发布 FIN7 黑客组织在勒索领域的详细报告

  • 朝鲜黑客通过钓鱼网站窃取 NFT

  • 研究人员发布 Windows 系统内核威胁分析报告

恶意代码情报

  • 研究人员披露使用了窃取的证书签名的勒索软件和擦除器

  • 新的窃密软件通过虚假破解站点感染盗版软件使用者

  • 攻击者通过谷歌 PPC 服务部署 IcedID 木马

漏洞情报

  • Microsoft Exchange Server "OWASSRF" 漏洞安全风险通告

  • 严重的Linux内核漏洞影响启用了ksmbd的SMB服务器

攻击团伙情报

01

Operation Dragon Dance:悬在博彩行业上的达摩克里斯之剑

披露时间:2022年12月27日

情报来源:https://mp.weixin.qq.com/s/OkXzINwCPK2zLfY0_O8g7Q

相关信息:

Miuuti Group,是一个针对博彩行业的攻击组,人员组成复杂,具有很强的流动性,可能与已知组织存在重叠,从 2015 年至今使用了多个通讯软件 0day 漏洞。最近几年,我们捕获到两个相同类型的 0day 漏洞。

其中,一个漏洞出现在远端客服软件网页版的访客姓名栏中,由于其未对“<>”进行过滤,导致了跨站漏洞的产生。在对应的 GET 请求中加入添加用户名的参数,可以主动远程修改访客用户名,从而达到执行js的效果,又因为此类软件常使用基于 Chrominum 和 Node.js 的 Electron来进行开发,一旦出现上述xss的问题则会导致 Native 层的 js 代码执行漏洞。攻击者通过这种方式在博彩公司内部立足,并进行进一步的横向渗透。

第二个漏洞则主要是通过聊天的方式触发的,受害者收到攻击者发送的包含 payload 的聊天内容后,该软件会在前台加载攻击者构造的 js 代码,调用和 native 交互的 API 从而在本地执行任意命令,实现每半小时请求一次 C2 服务器,之后会进入下一阶段的攻击,最终执行 Cobalt Strike 远控。此外,还观察到攻击者最终下发国产商业远控 workwin 执行。

02

双尾蝎组织新型移动端恶意软件揭秘

披露时间:2022年12月23日

情报来源:https://mp.weixin.qq.com/s/1pHp4WywrDnNcVBio8lq8w

相关信息:

双尾蝎(别称APT-Q-63)是一个长期针对中东地区的APT组织,其最早于2017年被披露,并且至少自2016年5月起便开始持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动。

双尾蝎的Android端攻击非常活跃,主要通过将恶意软件伪装成聊天软件的手段开展网络钓鱼攻击,并在受害者设备上通过隐藏图标、变换为Google全家桶图标和安装官方聊天软件等方式进行隐匿和持久化。近日,奇安信捕获到了该组织的一款新型恶意样本,样本伪装为可进行视频通话和短信应用的BOTIM软件,且该软件目前的GP下载量已达5000万+。

此外,双尾蝎本次在使用经典武器库的同时,集成了最新的开源Android RAT武器库,并借助SMS和FCM服务,实现了复合型的更强的远程控制功能。该组织本次利用的工具涉及,XHunter:新的开源Android RAT武器,包含Client和Server端。MobiHok:经典的Android RAT武器,恶意样本采用最新的V6版本,并新增了截屏相关的功能。JW:一个目前未知的Android RAT武器,采用FCM下发指令,具有丰富的恶意行为功能。VolatileVenom:该组织旧版样本所使用的武器,主要通过SMS和FCM下发指令。

03

APT-C-36(盲眼鹰)近期攻击活动分析

披露时间:2022年12月27日

情报来源:https://mp.weixin.qq.com/s/mTmJLHYC9bJDnphf_52JmA

相关信息:

APT-C-36近期常采用鱼叉攻击,以PDF文件作为入口点,诱导用户点击文档里面的恶意链接下载RAR压缩包文件。大部分压缩包文件需要密码才能解压,密码基本为4位纯数字,解压后是伪装成PDF文件名的VBS脚本。

VBS脚本被用户点击执行后将开启一段复杂多阶段的无文件攻击链,内存加载远端下载的第一阶段DLL,该DLL继续内存加载第二阶段DLL。为了隐藏最终恶意代码,第二阶段DLL会将AsyncRAT或者NjRAT木马注入到傀儡进程RegAsm或AppLaunch.exe中执行。

最终加载的AsyncRAT或NjRAT木马都经过了混淆处理,并且加入了绕过AMSI机制的代码,这都表明该组织在不断优化其攻击武器。此外,攻击者为了攻击载荷下载不被拦截,常使用邮件服务器或者文本存储服务的网站(如Paste.ee)进行载荷保存。

04

Lazarus Group下属组织引入绕过 Windows MotW 保护新方法

披露时间:2022年12月27日

情报来源:https://securelist.com/bluenoroff-methods-bypass-motw/108383/

相关信息:

BlueNoroff(也被称为APT38)是一个出于经济动机的APT组织,也是臭名昭著的Lazarus Group的一个下属组织。据观察,该团伙近期采用了能够绕过Windows Mark of the Web(MotW)保护的新技术。

BlueNoroff通常利用Word文档和快捷方式文件进行初步入侵。但由于当用户试图打开从互联网下载的Microsoft Office文件时,操作系统会在受保护的视图中打开它,这会限制嵌入式宏的执行(即Windows MotW保护)。为此,该组织最近采用了旨在规避MOTW的新方法:即利用光盘映像(.iso 扩展名)和虚拟硬盘(.vhd扩展名)文件形式传播恶意软件。此外,BlueNoroff还创建了大量冒充风险投资公司和银行的虚假域名,一些虚假域名被发现模仿ABF Capital、Angel Bridge、ANOBAKA、美国银行和三菱UFJ金融集团,但其中大部分域名位于日本。

05

SideCopy针对印度政府官员进行网络攻击

披露时间:2022年12月22日

情报来源:https://www.securonix.com/blog/new-steppykavach-attack-campaign/

相关信息:

研究人员发现一项新的有针对性的网络钓鱼活动已将注意力集中在印度政府官员使用的名为Kavach的双因素身份验证上,根据与先前攻击的战术重叠,将其归因于名为 SideCopy 的威胁行为者。疑似与另一个名为Transparent Tribe(又名 APT36 或 Mythic Leopard)的APT组织有联系。

攻击活动从有针对性的网络钓鱼活动开始感染。诱饵文件包含有关印度政府的新闻文章的引用。这些范围包括报告、会议信息、地址列表或一般 PDF 文档。在最近的案例中,诱饵是一个包含一年前新闻文章的 .png 文件,实际是一个LNK文件,打开后会使用 mshta.exe 执行远程 .HTA 有效载荷。最终下载并运行恶意 C# 负载,充当远程访问木马 (RAT)。

攻击行动或事件情报

01

黑客组织Eternity详情披露

披露时间:2022年12月23日

情报来源:https://mp.weixin.qq.com/s/ntd9BccsL3fIQ59FOMGisA

相关信息:

Jester黑客团伙自2021年7月开始活跃,主要通过售卖不同类型的恶意软件获利。2022年2月,该黑客团伙由于被各地下论坛封禁便更名为Eternity。

Eternity目前运营的恶意软件,包括窃密木马、挖矿程序、剪贴板劫持器、勒索病毒、蠕虫传播器等,最近还开始开发如DDoS程序在内的更多类型的恶意代码。该团伙还会通过投票等方式为后续恶意软件的开发做调查。此外,由于恶意软件均会绕过系统语言为乌克兰语的设备,因此研究人员推测其核心成员来自乌克兰。

目前Eternity黑客团伙已有一定规模,并形成了MaaS(恶意软件即服务)的运营模式,能根据购买者的反馈对其开发的恶意代码不断进行修改,未来将对用户的设备和数据安全构成持续威胁。

02

研究人员发布FIN7黑客组织在勒索领域的详细报告

披露时间:2022年12月22日

情报来源:https://www.prodaft.com/resource/detail/fin7-unveiled-deep-dive-notorious-cybercrime-gang

相关信息:

高度活跃的威胁组织 FIN7 一直在不断扩大他们的网络犯罪范围,最近将勒索软件添加到其攻击武器库中。FIN7 组织因在利用软件供应链、分发恶意 U 盘以及与其他组织合作等方面部署大量后门而声名狼藉。

研究人员对 FIN7 的详尽分析揭示了网络犯罪集团的组织层次结构,同时揭示了其作为发起勒索软件攻击的附属机构的作用。同时,还暴露了该组织与更大的威胁生态系统之间更深层次的联系,包括现已解散的勒索软件 DarkSide、REvil 和 LockBit 系列。

研究人员发现了该组织使用的自动攻击系统 “Checkmarks”,这是针对多个 Microsoft Exchange 远程代码执行和特权提升漏洞(如 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207)的扫描器。此外,FIN7 喜欢在勒索软件受害者的网络上维护一个 SSH 后门,即使在支付赎金后也是如此,目的是向其他团体出售访问权,或者在未来自己尝试新的攻击。

03

朝鲜黑客通过钓鱼网站窃取 NFT

披露时间:2022年12月24日

情报来源:https://slowmist.medium.com/slowmist-our-in-depth-investigation-of-north-korean-apts-large-scale-phishing-attack-on-nft-users-362117600519

相关信息:

朝鲜攻击者正在使用网络钓鱼网站冒充流行的不可替代代币平台和去中心化金融市场,以窃取价值数千美元的数字资产。研究人员表示,攻击者设置了近 500 个诱饵站点,包括一个与世界杯相关的项目,以及 NFT 市场 OpenSea、X2Y2 和 Rarible 。攻击者仅使用其中一个网络钓鱼地址就窃取了 1,055 个 NFT,从而获利 365,000 美元。

攻击者创建虚假的 NFT 相关网站,其中包含旨在欺骗受害者的恶意造币厂。受害用户将他们的钱包连接到诱饵网站,希望创建 NFT,但却让攻击者可以完全访问其中的资产。攻击者还记录了访问者数据,并用它来对受害者运行各种攻击脚本。包括访问受害者的访问记录、授权和插件钱包的使用,以及受害者的批准记录和 sigData 等敏感数据。然后,黑客通过这些信息访问受害者的钱包,暴露他们所有的数字资产,

04

研究人员发布 Windows 系统内核威胁分析报告

披露时间:2022年12月19日

情报来源:https://www.trendmicro.com/en_us/research/22/l/a-closer-look-at-windows-kernel-threats.html

相关信息:

Windows内核威胁长期以来一直受到恶意行为者的青睐,因为它可以让他们获得高特权访问和检测规避能力。根据分析,APT 间谍恶意软件在其攻击中使用最多的是内核级组件。勒索软件和加密货币挖掘相关攻击中也使用了大量内核级组件,这很可能会避免被安全产品检测到,因为它们会投放恶意负载并从受害机器上窃取资源。

研究报告的内容将讨论恶意行为者选择在他们的攻击中追求内核级访问的原因,包括获得对系统资源的非常高的特权访问,执行可以长时间绕过检测的隐身操作,获得第三方防病毒产品的继承信任篡改阻碍恶意活动的第三方安全产品等等;以及不选择追求内核级访问的原因,包括高昂的研发实施成本,系统内核能否正常运行对Rootkit是否有错误更特别敏感等。

此外报告还概述了2015年4月至 2022年10月期间公开报告过的内核级网络威胁。

恶意代码情报

01

研究人员披露使用了窃取的证书签名的勒索软件和擦除器

披露时间:2022年12月22日

情报来源:https://securelist.com/ransomware-and-wiper-signed-with-stolen-certificates/108350/

相关信息:

2022 年 7 月 17 日,阿尔巴尼亚新闻媒体报道了一次影响阿尔巴尼亚政府电子服务的大规模网络攻击。几周后,据透露,网络攻击是协同行动的一部分,可能旨在削弱该国的计算机系统。2022 年 9 月 10 日,阿尔巴尼亚当地新闻报道了针对阿尔巴尼亚的 TIMS、ADAM 和 MEMEX 系统的第二波网络攻击。

大约在同一时间,研究人员发现勒索软件和擦除器恶意软件样本与第一波中使用的样本相似,但进行了一些有趣的修改,可能允许逃避安全控制和更快的攻击速度。这些变化中最主要的是嵌入原始磁盘驱动程序,在恶意软件内部提供直接硬盘访问,修改元数据,以及使用Nvidia 泄露的代码签名证书对恶意软件进行签名。

02

新的窃密软件通过虚假破解站点感染盗版软件使用者

披露时间:2022年12月22日

情报来源:https://blog.sekoia.io/new-risepro-stealer-distributed-by-the-prominent-privateloader/

相关信息:

研究人员发现一个以前未有记录的信息窃取程序RisePro,目前正通过假冒的软件破解包和密钥生成器实现分发,RisePro用于帮助攻击者实现从受感染的设备中窃取受害者的信用卡、密码和加密钱包,威胁行为者已经开始在俄罗斯暗网市场上出售数以千计的 RisePro窃密数据(从受感染设备窃取的日志包)。

PrivateLoader是网络黑产市场上的一种按安装付费的恶意软件分发服务,主要通过伪装成软件破解、密钥生成器和游戏修改等帮助攻击者传播恶意软件。分析发现RisePro 加载程序功能的这一部分与 PrivateLoader 的代码有广泛的重叠。相似之处包括字符串混淆技术、HTTP 消息混淆以及 HTTP 和端口设置。

研究人员称一种可能的情况是PrivateLoader背后的人员开发了RisePro。另一种是,RisePro 是 PrivateLoader 的演变,或者是现在推广类似 PPI 服务的流氓前开发人员的创建。

03

攻击者通过谷歌 PPC 服务部署 IcedID 木马

披露时间:2022年12月23日

情报来源:https://www.trendmicro.com/en_us/research/22/l/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware.html

相关信息:

研究人员近期在跟踪IcedID僵尸网络的活动时,发现攻击者自2022年12月以来持续利用谷歌的广告服务(pay per click,PPC)部署IcedID木马。

攻击者通过克隆合法组织和知名应用程序的网页,利用合法的Keitaro流量导向系统 (TDS) 来过滤流量,使受害者在Google搜索引擎上搜索指定的知名品牌应用关键字时(例如Adobe 、AnyDesk 、Brave Browser、Chase Bank等),将受害者重定向到一个恶意网站,从而引诱毫无戒心的用户下载IcedID木马。该恶意软件能够加载Cobalt Strike等其他恶意软件,最终实现如数据盗窃和勒索在内的恶意操作。

漏洞情报相关

01

Microsoft Exchange Server "OWASSRF" 漏洞安全风险通告

披露时间:2022年12月24日

情报来源:https://mp.weixin.qq.com/s/3-Sspc7MM5RwnzOydY78yA

相关信息:

近日,奇安信CERT监测到CrowdStrike发布针对Microsoft Exchange Server新的利用链的技术细节,并将其命名为"OWASSRF",其中涉及两个漏洞:

Microsoft Exchange Server权限提升漏洞(CVE-2022-41080):经过身份认证的远程攻击者可通过Outlook Web Application (OWA)端点获得在系统上下文中执行PowerShell的权限。

Microsoft Exchange Server远程代码执行漏洞(CVE-2022-41082):具有执行PowerShell权限的远程攻击者可利用此漏洞在目标系统上执行任意代码。

组合这两个漏洞,经过身份认证的远程攻击者可通过Outlook Web Application (OWA)端点最终执行任意代码。值得注意的是,"OWASSRF"漏洞利用链绕过了之前Microsoft为"ProxyNotShell"提供的缓解措施。

02

严重的 Linux 内核漏洞影响启用了 ksmbd 的 SMB 服务器

披露时间:2022年12月25日

情报来源:https://securityaffairs.co/140013/hacking/critical-linux-kernel-vulnerability.html

相关信息:

KSMBD是一个Linux内核实现的服务器功能,它在内核空间实现SMB3协议,用于通过网络共享文件。

近期研究人员发现KSMBD存在严重的安全漏洞,CVSS得分为0,该特定缺陷存在于 SMB2_TREE_DISCONNECT 命令的处理过程中,问题是由于在对对象执行操作之前没有验证对象的存在,攻击者可以利用此漏洞在内核上下文中执行代码,并且允许远程攻击者在受影响的 Linux 内核安装上执行任意代码。使用 ksmbd 的管理员必须更新到 8 月发布的Linux 内核版本5.15.61或更新版本可消除此漏洞带来的影响。

点击阅读原文ALPHA 5.0

即刻助力威胁研判


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247504962&idx=2&sn=0cdb000f20245c566ee5225b7e8f7fa5&chksm=ea662335dd11aa23c27cb8c4e46ef76450b7b886981aaba2904e66048bc59552a8fa68f4cf2f#rd
如有侵权请联系:admin#unsafe.sh