安全威胁情报周报（3.13~3.19）

安全威胁情报周报（3.13~3.19）
2023-3-19 22:9:50 Author: 微步在线研究响应中心(查看原文) 阅读量:24 收藏

Lazarus APT 组织利用 0day 漏洞攻击韩国金融企业

Tag：Lazarus，0day，金融

事件概述：

近日，外媒报道称朝鲜背景威胁组织 Lazarus APT 利用未公开软件中的 0day 漏洞在一年内两次入侵韩国的一家金融企业。第一次攻击是在 2022 年 5 月发现的，威胁组织利用韩国公共机构和大学广泛使用的易受攻击的证书软件版本攻击韩国金融企业。2022年10月发现第二次攻击，威胁组织利用影响同一软件的 0day 漏洞针对目标进行渗透后的横向移动，还使用自称为自带易受攻击的驱动程序 ( BYOVD ) 的技术禁用了反恶意软件。

技术手法：

威胁组织利用证书软件漏洞渗透目标设备，创建了一个恶意文件通过注入的 ftp.exe 执行 C2 服务器通信和后门功能。然后将恶意线程注入到 svchost.exe 进程而非 ftp.exe，并利用访问权限进行恶意行为，通过创建 fswss.exe 扫描内部网络，随后使用 svchost.exe 两次连接另一个目标设备中证书软件的服务端口。然后更改文件名称进行防御规避，禁用安全产品，创建并执行恶意文件。

来源：
https://malware.news/t/lazarus-group-attack-case-using-vulnerability-of-certificate-software-commonly-used-by-public-institutions-and-universities/67715

Dark Pink APT 组织利用 KamiKakaBot 攻击东南亚国家政府实体组织

Tag：Dark Pink，KamiKakaBot

事件概述：

Dark Pink 是一个活跃于东盟地区的高级持续威胁 (APT) 组织，该组织最早活跃于2021 年年中，2022 年活动增加。2023 年 2 月，EclecticIQ 研究人员发现 Dark Pink APT 组织通过获得受感染设备的初始访问权限以执行远程代码，利用多种 KamiKakaBot 恶意软件针对东南亚联盟国家的政府实体组织展开攻击，旨在窃取存储在 Chrome、Edge 和 Firefox 等网络浏览器中凭据、浏览历史记录和 cookie 等数据。

技术手法：

KamiKakaBot 通过包含恶意 ISO 文件附件的网络钓鱼电子邮件进行传播。初次感染后，攻击者可以升级恶意软件或在目标设备上执行远程代码，使他们能够执行进一步的开发后活动。恶意 ISO 文件包含由 Microsoft 合法签名的 WinWord.exe 和 XOR 加密的诱饵文档。WinWord.exe 侧加载 KamiKakaBot 加载程序 (MSVCR100.dll) ，解密并执行写入磁盘的 XML KamiKakaBot 有效负载。在执行解密的 XML 负载之前，KamiKakaBot 加载程序写入注册表项以滥用 Windows 组件功能来建立持久访问。然后，KamiKakaBot 从 Chrome、MS Edge 和 Firefox 网络浏览器中提取敏感信息，将被盗的浏览器数据以压缩的 ZIP 格式发送到攻击者的 Telegram 机器人频道。

来源：
https://blog.eclecticiq.com/dark-pink-apt-group-strikes-government-entities-in-south-asian-countries

YoroTrooper 组织针对独联体国家能源组织发起攻击

Tag：YoroTrooper

事件概述：

据思科披露称，“YoroTrooper”是一个新的威胁组织，至少自 2022 年 6 月开始活跃，主要目标是阿塞拜疆、塔吉克斯坦、吉尔吉斯斯坦和其他独立国家联合体 (CIS) 的政府或能源组织，旨在开展间谍活动，窃取的信息包括来自多个应用程序的凭据、浏览器历史记录和 cookie、系统信息和屏幕截图。YoroTrooper 的主要工具包括基于 Python 的、定制的和开源的信息窃取器，例如通过Nuitka 框架和PyInstaller包装到可执行文件中的Stink 窃取器。其感染链由恶意快捷方式文件 (LNK) 和可选的诱饵文件组成，并利用部署的商用恶意软件（例如 AveMaria/Warzone RAT、LodaRAT 和 Meterpreter）进行远程访问。

技术手法：

威胁组织通过投递恶意存档（RAR 或 ZIP）文件，以涉及独联体国家感兴趣的主题诱导目标下载恶意 LNK 文件，使用通用文件名打消目标疑虑。恶意 LNK 文件是简单的下载程序，使用 mshta.exe 在受感染的端点上下载和执行远程 HTA 文件，基于 PowerShell 命令在感染链不断引入新的恶意软件载荷，其中引入的自定义 Python RAT 使用 Telegram 作为 C2 通信和渗透的媒介，在受感染端点上运行任意命令，提取 Chrome 浏览器的登录数据并通过Telegram 机器人泄露文件。

来源：
https://blog.talosintelligence.com/yorotrooper-espionage-campaign-cis-turkey-europe/

FAKECALLS：韩国 Android 银行业务的威胁

Tag：Android，FAKECALLS

事件概述：

Check Point 研究团队于近日发现了一种名为 FakeCalls 的 Android木马，这种恶意软件可以伪装成 20 多种金融应用程序，模仿与银行或金融服务员工的电话交谈进行语音网络钓鱼。FakeCalls 恶意软件目标主要集中于韩国市场，旨在从受害者的设备中提取私人数据。语音网络钓鱼攻击在韩国市场由来已久。据韩国政府网站发布的报告指出，2020 年语音网络钓鱼造成的经济损失约为6 亿美元，2016 年至 2020 年期间受害者人数高达 17 万人。

技术手法：

威胁组织通过模仿银行业最大和最著名的金融机构的应用程序，增加吸引合适受害者的机会，诱导受害者安装绑定 FakeCalls 恶意软件虚假的应用程序，欺骗目标使用虚假的应用程序，以低利率贷款提议继续展开钓鱼。然后威胁组织通过播放预先录制的音频来模仿银行的指令，而不是与恶意软件操作员进行电话交谈。几个不同的录音被嵌入到对应于不同金融组织的不同恶意软件样本中，以此误导受害者在与真实的银行及其真实员工进行对话骗取信任。一旦建立信任后，受害人就会被诱骗“确认”信用卡详细信息，以期获得（假）贷款资格。

来源：
https://research.checkpoint.com/2023/south-korean-android-banking-menace-fakecalls/

朝鲜威胁组织 UNC2970 利用新的恶意软件扩大攻击活动

Tag：朝鲜，APT

事件概述：

近日，研究人员监测到朝鲜威胁组织 UNC2970 通过新的恶意软件扩大攻击活动，利用“精心设计和专业策划”的虚假账户冒充招聘人员直接在 LinkedIn 上接近用户，以职业为幌子展开攻击。自 2022 年 6 月以来，该组织被观察到使用以前未记录的恶意软件系列针对美国和欧洲媒体和技术组织展开鱼叉式网络钓鱼活动。该行动利用电子邮件中的工作招聘诱饵来触发感染序列，与一项名为“ Dream Job ”的长期行动存在“多重重叠”。该组织也是威胁情报公司映射到 UNC577（又名Temp.Hermit）的朝鲜网络活动指定的新绰号，它还包括另一个被追踪为 UNC4034 的新生威胁集群。Temp.Hermit 是与朝鲜侦察总局 (RGB) 以及Andariel和APT38（又名 BlueNoroff）相关的主要黑客单位之一，这三个组织统称为 Lazarus Group（又名 Hidden Cobra 或 Zinc）。

技术手法：

UNC2970 组织使用“精心设计和专业策划”的虚假账户冒充招聘人员直接在 LinkedIn 上接近用户，然后将对话转移到 WhatsApp，以职位描述为幌子将网络钓鱼有效负载传递给目标，部署木马化版本的 TightVNC（名为 LIDSHIFT）加载下一阶段有效载荷 LIDSHOT，从远程服务器下载和执行 shellcode。通过基于 C++的PLANKWALK 后门在受感染的环境中建立立足点，分发植入程序、键盘记录器、通信工具和后门等其他工具，展开攻击。

来源：
https://blog.eclecticiq.com/dark-pink-apt-group-strikes-government-entities-in-south-asian-countries

Fortinet 通报并修复 FortiOS 和 FortiProxy 中的 RCE 漏洞

Tag：漏洞

事件概述：

近日，Fortinet 发布通告修复 FortiOS、 FortiProxy 等各种产品中的 15 个漏洞，其中包括 CVE-2023-25610。这是一个影响运行 FortiOS 和 FortiProxy 的设备的严重漏洞，该漏洞允许攻击者在没有事先身份验证的情况下通过发送特制请求被远程利用。根据目标设备的不同，这可能会导致其 GUI 出现拒绝服务 (DoS)，或者可能允许攻击者在设备上执行任意代码，漏洞公告还修复了多个其他漏洞。据 Fortinet 指出已修补的漏洞目前均未被积极利用，但 Fortinet 的设备已然成为勒索软件团伙和其他网络攻击者的目标，建议快速实施所提供的安全更新。

来源：
https://www.fortiguard.com/psirt-monthly-advisory/march-2023-vulnerability-advisories

2023年3月12日

Medusa 勒索软件团伙愈发活跃，肆虐席卷全球
外媒称 Medusa 勒索软件于2021年6月开始行动，活动相对较少，受害者很少。2023 年，勒索软件团伙的活动开始较为活跃，并推出了一个“美杜莎博客”，用于泄露拒绝支付赎金的受害者数据。本周 Medusa 勒索团伙声称对明尼阿波利斯公立学校 (MPS) 学区的袭击事件负责并分享了被盗数据视频，并在其 Tor 数据泄露网站上将 MPS 列为受害者，威胁要在 2023 年 3 月 17 日之前公布据称从公立学区窃取的所有数据。随后，MPS 公开回应加密事件导致的网络中断，表示绝不会向勒索软件组织支付赎金。目前调查也没有发现任何证据表明泄露的数据已被用于欺诈，但还是提醒用户，需警惕面临增加的网络钓鱼攻击和诈骗。
来源：
https://www.bleepingcomputer.com/news/security/medusa-ransomware-gang-picks-up-steam-as-it-targets-companies-worldwide/

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247500335&idx=1&sn=e4d49f3600e53257d6070ff76de6759e&chksm=cfcaa13bf8bd282d5fc603ae8073cb8ba20241afb36f48e2eb06244599f81b01f87acc762f1d#rd
如有侵权请联系:admin#unsafe.sh