病毒威胁解读

发布时间:2023-09-22文章来源: 浏览次数:

01

新APT攻击者AtlasCross以红十字会为诱饵的网络攻击活动

 

 

披露时间:2023年9月22日

情报来源:https://mp.weixin.qq.com/s/T_syldYfZHItkhEYSHZJYg

相关信息:

研究人员近期发现了一个以美国红十字会献血信息为主题的钓鱼文档投递活动,并确认了两种新型木马程序(DangerAds与AtlasAgent)以及多种少见的攻击技战术。经分析,研究人员认为该活动来自一个新型威胁组织:AtlasCross。

据悉,本次活动为AtlasCross针对某红十字会相关人士的定向网络攻击,其攻击流程主要分为诱饵文档、加载器以及最终载荷三个阶段。第一阶段诱饵文档名为"Blood Drive September 2023.docm",打开后将提示受害者启用恶意宏代码以释放后续载荷、设置计划任务以及上传受害主机的基本信息。其中,恶意宏代码将释放名为KB***5667.pkg的程序,即第二部分的主要恶意程序:DangerAds。该程序实际上是一种加载器木马,主要功能为检测宿主机环境并在本自身进程中执行一段内置的shellcode,shellcode则用于加载第三阶段的最终载荷。最终载荷阶段,加载器木马会在内存中加载一个x86或x64版本的DLL程序,即最终载荷:AtlasAgent。AtlasAgent的主要功能为获取主机信息,执行shellcode,下载执行等。进一步分析表明,AtlasCross在设计本次活动的攻击流程之前,就已经通过漏洞利用的方式控制了大量公网主机,并将其改造为本次活动中使用的统计服务器或CnC服务器。数据显示,AtlasCross本次活动共投入了12个不同的失陷服务器,这些服务器全部来自美国,归属于亚马逊云主机。

研究人员表示,AtlasCross是一个非常小心谨慎,具有较强的流程和工具开发能力的黑客组织。其在当前阶段的活动范围较小,似乎主要通过钓鱼攻击手段实现域内渗透,攻击方式以针对特定网络域中主机的定向攻击为主,具有的明显的对抗意识,且攻击流程非常健壮成熟。研究人员推断AtlasCross很有可能会将该攻击流程投入更大规模的网络攻击活动中。

 

 


02

Stealth Falcon在中东进行间谍活动使用的复杂后门Deadglyph

披露时间:2023年9月22日

情报来源:https://www.welivesecurity.com/en/eset-research/stealth-falcon-preying-middle-eastern-skies-deadglyph/

相关信息:

研究人员发现了一个非常复杂且未知的后门,将其命名为Deadglyph,从后门中发现的工件得出了这个名称。据研究人员所知,这是对这个先前未记录后门的首次公开分析,该后门由一个表现出相当复杂和专业知识极高的组织使用。根据目标和其他证据,研究人员高度确信 Deadglyph 属于APT 组织 Stealth Falcon。

Deadglyph 的架构很不寻常,因为它由协作组件组成:一个是本机 x64 二进制文件,另一个是 .NET 程序集。这种组合很不寻常,因为恶意软件通常只使用一种编程语言作为其组件。这种差异可能表明这两个组件是单独开发的,同时还利用了它们所使用的不同编程语言的独特功能。不同的语言也可能被用来阻碍分析,因为混合代码更难以导航和调试。

 

 


03

以东南亚政府为目标的攻击中发现疑似与 Gelsemium有关的罕见后门程序

披露时间:2023年9月22日

情报来源:https://unit42.paloaltonetworks.com/rare-possible-gelsemium-attack-targets-se-asia/

相关信息:

研究人员观察到的一组攻击东南亚政府的活动,这一活动是对东南亚政府内部受损环境进行调查的一部分,并将该组织识别为 CL-STA-0046。

这个独特的集群在 2022 年至 2023 年间的活动持续了六个月以上,威胁行为者结合了罕见的工具和技术,利用这些工具和技术获得秘密立足点,并从属于东南亚政府实体的 IIS 服务器收集情报。

除了一系列 Web shell 之外,威胁参与者使用的主要后门是 OwlProxy 和 SessionManager。这种组合在 2020 年曾被公开记录过一次,非常罕见,之前曾被用来针对老挝的多个实体。

根据相关分析威胁情报,研究人员将 CL-STA-0046 归属于APT组织Gelsemium,并具有中等可信度。

Gelsemium至少自 2014 年起就开始运作。该组织因其针对各种实体的倾向而闻名,包括政府、大学、电子制造商和宗教组织,主要集中在东亚和中东地区。中东。研究人员对这组活动的分析和描述为该组织可能使用的工具和策略提供了深入的技术见解,此外还提供了行动记录时间表,为防御者提供了指标库。

 

 


04

将目光对准高校——ScarCruft组织的新活动

披露时间:2023年9月25日

情报来源:https://mp.weixin.qq.com/s/hwvEqIB68AAdnpQvrKNAeQ

相关信息:

ScarCruft,又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、APT37、Venus 121,是一个来自半岛地区的APT组织,最早自2012年以来一直参与从事各种网络间谍活动。主要针对韩国及亚洲相关国家的包括化学、电子、制造、航空航天、汽车和医疗保健等多个行业,并且在今年发现针对高校的攻击事件。

近期,研究人员在日常的威胁猎捕工作中观察到一起利用超大LNK文件传播RokRAT的攻击活动,虽然没有捕获到初始访问向量,但经过关联分析以及结合公开情报信息,研究人员认为初始访问入口点为钓鱼邮件。文件内包含一个超大的LNK文件,图标伪装成PDF,执行后会从微软的onedrive服务中下载加密载荷并解密,解密后执行一段shellcode并解密出RokRAT,后续使用pcloud,yandex和dropbox的云存储服务进行远程控制等操作。

 

 


05

分析OilRig针对以色列组织的 Outer Space 和 Juicy Mix 活动

披露时间:2023年9月21日

情报来源:https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/

相关信息:

研究人员分析了APT组织OilRig的两项活动:Outer Space (2021) 和 Juicy Mix (2022)。这两项网络间谍活动均专门针对以色列组织,这符合该组织对中东的关注,并使用相同的策略:OilRig 首先入侵一个合法网站用作 C&C 服务器,然后使用 VBS droppers 传递 C# /.NET 后门给受害者,同时还部署了各种主要用于目标系统上的数据泄露的攻击后工具。

在Outer Space活动中,OilRig 使用了一个简单的、以前未记录的 C#/.NET 后门(研究人员将其命名为 Solar),以及一个新的下载程序 SampleCheck5000(或 SC5k),该程序使用 Microsoft Office Exchange Web 服务 API 进行 C&C 通信。在 Juicy Mix 活动中,威胁行为者对 Solar 进行了改进,创建了 Mango 后门,该后门拥有额外的功能和混淆方法。除了检测恶意工具集之外,研究人员还向以色列 CERT 通报了受感染的网站。

 

 


06

神秘黑客组织Sandman瞄准电信提供商部署LuaDream后门

披露时间:2023年9月21日

情报来源:https://www.sentinelone.com/labs/sandman-apt-a-mystery-group-targeting-telcos-with-a-luajit-toolkit/

相关信息:

近期,研究人员观察到一个由未知攻击者发起的新黑客活动,并将攻击者命名为Sandman,将攻击活动中发现的基于LuaJIT平台的后门文件命名为LuaDream。此次攻击活动主要针对中东、西欧和南亚次大陆的电信提供商,活动具有横向移动和避免安全检查的特点。攻击活动主要发生在2023年8月,攻击者在完成凭证窃取和内网信息收集后,瞄准多台主机进行票据传递试图登录内网其他主机。攻击者在获得访问权限后,攻击者将其活动限制为部署加载LuaDream后门所需的文件夹和文件。此次活动中的LuaDream样本最早编译时间为2022年上半年,是一个基于LuaJIT平台的新型模块化后门,主要功能包括窃取系统和用户信息、管理攻击者提供的LuaDream扩展插件。LuaDream的设计极为复杂,目的是绕过安全检测和阻止安全人员的分析。

 

 


01

揭秘Snatch勒索组织TTP

披露时间:2023年9月20日

情报来源:https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-263a

相关信息:

美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)近期联合发布报告,揭秘了其于2023年6月1日发现的Snatch勒索软件变体相关的IOC和TTP。

据悉,Snatch勒索组织于2018年首次出现,基于关键成员的昵称,该组织最初被称为Team Truniger,曾作为GandCrab附属公司运营,采用勒索软件即服务(RaaS)运营模式并实施双重勒索操作。2019年,该组织攻击了第一个美国的受害者,2021年中期以后,Snatch不断改进其策略,攻击对象涉及广泛的关键基础设施部门,包括国防工业基地(DIB)、粮食和农业以及信息技术部门。

经进一步调查发现,Snatch附属机构主要依赖于利用远程桌面协议(RDP)中的弱点,以暴力破解并获取受害者网络的管理员凭据。在某些情况下,Snatch附属机构也会从犯罪论坛中寻找被盗的凭证以获取初始访问权限。此外,攻击者还会通过获取管理员帐户来进一步建立持久性并通过端口443与位于俄罗斯防弹托管服务上的C2服务器建立连接。在加密阶段,Snatch则会使用定制的勒索软件变体,将设备重新启动至安全模式,使勒索软件能够绕过防病毒或端点保护的检测,然后在很少有服务运行时加密文件。

 

02

STARK#VORTEX活动:UAC-0154组织向乌克兰军方投递MerlinAgent恶意软件

披露时间:2023年9月25日

情报来源:https://www.securonix.com/blog/threat-labs-security-advisory-new-starkvortex-attack-campaign-threat-actors-use-drone-manual-lures-to-deliver-merlinagent-payloads/

相关信息:

研究人员最近发现了一个针对乌克兰军方的恶意活动:STARK#VORTEX。据悉,该活动归属于UAC-0154组织,其攻击链始于以无人机服务手册为主题的诱饵文件,旨在传播MerlinAgent恶意软件有效负载。其中,诱饵文件名为"军队无人机训练信息",它将自身呈现为Microsoft帮助文件或.chm文件。一旦用户通过嵌入HTML页面之一的恶意JavaScript代码块打开此武器化的文档,混淆的PowerShell单行代码就会通过Windows二进制文件hh.exe得到执行,进而实现连接远程C2服务器以继续下载后续有效负载。这期间,将涉及一个基于Go语言编写的开源C2框架MerlinAgent,它的功能类似于Cobalt Strike或Sliver,不仅可设置一个服务器实例来构建自己的二进制有效负载,还能够实现使用TLS进行加密的C2通信、远程命令执行、模块支持(如Mimikatz)等功能。随后,一旦有效负载与其C2服务器建立通信,攻击者就可完全控制受害主机。

 

03

ALPHV/Blackcat/Sccatered Spider 勒索软件针对酒店集团进行攻击

披露时间:2023年9月25日

情报来源:https://blog.morphisec.com/mgm-resorts-alphv-spider-ransomware-attack

相关信息:

9 月 10 日,国际酒店集团遭遇勒索软件攻击,由于该公司的知名度、声誉和客户影响,以及攻击造成的整体业务中断程度,这次攻击成为头条新闻。三天前,另一家著名度假村凯撒娱乐公司遭到网络攻击。

根据研究,这些组织专门针对管理员员工并进行相关攻击。一条SMS网络钓鱼消息会发送给员工,点击该消息后,该组即可进行SIM卡交换。接下来,该小组将联系IT帮助台并提供发送MFA重置代码的详细信息,从而获得对云环境的访问权限。根据勒索软件组织博客中的证据,即使MGM让Okta同步服务器脱机,攻击者仍可以访问网络。

后门可能是通过第3方远程控制应用程序或复杂的框架(如Cobalt Strike、Brute Ratel 等)实现的。获得环境访问权限后,攻击者能够从域控制器窃取哈希转储。

 

 


04

警惕:银狐木马持续对企业用户发起钓鱼攻击

披露时间:2023年9月23日

情报来源:https://mp.weixin.qq.com/s/9KgDNEi8jsoQkI44mdOs7A

相关信息:

近期,研究人员监测到银狐木马有持续爆发的趋势,大量用户存在被攻击的情况。攻击者通过即时通讯软件(如QQ、微信)或者搜索引擎广告传播伪装成正常工具的恶意软件。银狐木马是一种主要针对企事业单位管理人员、财务人员、销售人员、金融从业人员及电商商家的木马。该攻击团伙自2022年9月开始活跃,主要通过白加黑等手段传播远控木马,进行诈骗活动等。木马伪装成知名厂商软件,携带过期的官方签名。软件中存在正常软件和dat文件,通过白加黑的技术手段,攻击者利用正常软件加载dat文件,dat文件加载后,程序将调用其中的lua脚本执行shellcode。shellcode将修复一个dll文件,文件执行将会创建计划任务建立持久化,随后解密同目录下的图片文件,文件携带着最终的恶意代码。木马部署成功后,可进行键盘记录、UAC绕过、浏览器信息窃取等操作。攻击者还会通过即时通讯软件将受害者的好友聚集在同一个群聊,进一步实施诈骗活动。

 

 


05

Gold Melody组织向犯罪分子出售网络访问权限  

披露时间:2023年9月20日

情报来源:https://www.secureworks.com/research/gold-melody-profile-of-an-initial-access-broker

相关信息:

研究人员近日披露,一个名为GOLD MELODY的威胁组织正充当初始访问经纪人(IAB)角色,通过向其它犯罪分子出售受感染组织的网络访问权限,以实施勒索软件(如Egregor、MountLocker和CryptoDefense)等后续攻击。据观察,截至2020年中期,GOLD MELODY的受害者足迹已扩大到北美、北欧和西亚的零售、医疗保健、能源、金融交易和高科技组织。

经进一步调查发现,GOLD MELODY通常依靠Web shell、内置操作系统实用程序以及专有的远程访问木马和隧道工具来实现其在受感染环境中的恶意活动。自2020年以来,研究人员观察到该组织使用的各种工具包括:

  1. Burp Suite Collabfiltrator:此Burp Suite扩展用于利用易受攻击的面向互联网的服务器,可提供对DNS请求成功利用的确认;

  2. IHS Back-Connect:该后门基于Perl编写,可使用攻击者控制的基础设施创建反向shell;

  3. Wget:此开源实用程序可使用HTTP、HTTPS、FTP和FTPS从远程服务器检索文件;

  4. Mimikatz:可从内存中检索明文密码和密码哈希值;

  5. TxPortMa:可扫描远程主机上的端口并检索横幅信息;

  6. WinExe:此Linux二进制文件可支持在Windows主机上远程执行命令;

  7. GOTROJ:该RAT由Golang编写,可执行任意命令、列出进程、收集系统信息以及安装持久性服务;

  8. PAExec:相当于Microsoft PsExec的开源工具,可用于在网络内横向移动并远程执行命令;

  9. AUDITUNNEL:可使用硬编码IP地址建立反向隧道,以创建交互式shell会话;

  10. PuTTY:此开源终端仿真器可支持SSH和telnet等网络协议;

  11. 7-Zip:可压缩文件并使用密码保护文件以防止泄露;

  12. Responder:此Python工具可操纵Windows网络协议来获取帐户凭据。

 

 


06

前埃及议员成为间谍软件Predator的攻击目标

披露时间:2023年9月22日

情报来源:https://citizenlab.ca/2023/09/predator-in-the-wires-ahmed-eltantawy-targeted-with-predator-spyware-after-announcing-presidential-ambitions/

相关信息:

2023 年 5 月至 9 月期间,前埃及议员 Ahmed Eltantawy 通过短信和 WhatsApp 发送的链接成为Predator的攻击目标。Eltantawy公开表示计划在 2024 年埃及选举中竞选总统后,就发生了袭击事件。

2023 年 8 月和 9 月,Eltantawy 的 Vodafone Egypt 移动连接持续被选择通过网络注入进行攻击;当 Eltantawy 访问某些不使用 HTTPS 的网站时,安装在相关网络边界的设备会自动将他重定向到恶意网站,从而用Predator 间谍软件感染他的手机。

在研究人员的调查过程中,与 Google 威胁分析小组 (TAG) 合作,获取了一个 iPhone 零日漏洞利用链(CVE-2023-41991、CVE-2023-41992、CVE-2023-41993),旨在通过相关方式在 iOS 版本上安装 Predator。此外还获得了该间谍软件的第一阶段,它与在 2021 年获得的Predator间谍软件样本有显着相似之处。

 

 

 

07

GitHub 存储库受到伪装成 Dependabot的攻击

披露时间:2023年9月27日

情报来源:https://checkmarx.com/blog/surprise-when-dependabot-contributes-malicious-code/

相关信息:

Dependabot是 GitHub 的免费软件项目自动化依赖管理工具。它持续监视项目的依赖项(例如库和包)是否存在安全漏洞和过时的版本。当它检测到问题时,它会自动生成带有更新的拉取请求,帮助开发人员保持其软件的安全性和时效性。7 月 8 日至 11 日期间,一名威胁行为者开始入侵数百个 GitHub 存储库,包括公共和私人存储库。大多数受害者是印度尼西亚用户帐户。攻击者使用一种技术伪造提交消息来欺骗开发人员,使其认为这是由真正的dependentabot贡献的,并忽略此活动。

攻击者创建了一条提交消息“fix”,让其看起来像是由用户帐户“dependabot[bot]”贡献的。名为“hook.yml”的新 GitHub Action 文件被添加为新的工作流程文件,触发代码推送事件。它将 GitHub 机密和变量发送到 URL hxxps://send[.]wagateway.pro/webhook,每个推送事件都会触发此操作 。

 

 


08

黑客ShadowSyndicate与多个勒索软件有关联

披露时间:2023年9月26日

情报来源:https://www.group-ib.com/blog/shadowsyndicate-raas/

相关信息:

研究人员发现被称为ShadowSyndicate的威胁参与者在许多服务器上使用相同的Secure Shell (SSH) 指纹(大概有85个),至少有52 台具有此 SSH 的服务器被用作Cobalt Strike C2框架。

ShadowSyndicate是一个威胁行为者,与各种勒索软件组织和勒索软件程序附属机构合作。该软件自 2022 年 7 月以来一直活跃,在攻击中使用了“现成”工具包,包括Cobalt Strike、IcedID和Sliver恶意软件。研究人员非常有信心地将 ShadowSyndicate 归因于2022 年 9 月的Quantum勒索软件活动、 2022 年 10 月、2022 年 11 月和 2023 年 3 月的Nokoyawa勒索软件活动以及2023 年 2 月的ALPHV活动。在可信度较低的情况下,可以将 ShadowSyndicate 归因于Royal、Cl0p、Cactus和Play勒索软件活动。此外还发现其 基础设施和Cl0p/Truebot之间有联系。

 

 


恶意代码情报

01

Xenomorph恶意软件再次袭击:超过30家美国银行现已成为攻击目标

披露时间:2023年9月25日

情报来源:https://www.threatfabric.com/blogs/xenomorph#appendix

相关信息:

Xenomorph是一个非常先进的恶意软件家族,它的运行范围从简单的短信操作到全面的设备控制,这得益于通过辅助服务权限提供的远程访问功能获得非常强大的自动传输系统 (ATS) 框架 。该恶意软件家族自 2022 年初发现以来一直在不断发展,在几个月内不断添加功能。Xenomorph 使用叠加层作为获取个人身份信息 (PII)(例如用户名、密码、信用卡号等)的主要方式。控制服务器向机器人传输一个URL列表,其中包含恶意软件可以检索受感染设备的覆盖层的地址。

从纯粹的技术角度来看,在这一新攻击事件中并没有对其之前的迭代进行重大修改。这证明了这个Android Banker的成熟度。操作Xenomorph的威胁行为者其大部分工作是开发额外的ATS模块,最重要的是分发他们的产品。

 

 


02

从 ScreenConnect 到 Hive 勒索软件

披露时间:2023年9月25日

情报来源:https://thedfirreport.com/2023/09/25/from-screenconnect-to-hive-ransomware-in-61-hours/

相关信息:

在这次入侵攻击中,研究人员观察到威胁行为者依赖 RMM 工具作为初始访问,并以 Hive 勒索软件部署结束。初始有效负载是伪装成合法文档的可执行文件。根据相关人员说法,该活动很可能是通过电子邮件发送的,其中包含一个链接,点击后就会下载可执行文件。

该文件的执行导致安装ScreenConnect。在调查过程中,发现这种初始访问方法要求最终用户是本地管理员。执行后大约一个小时,威胁参与者使用systeminfo、ipconfig和net等标准 Windows 实用程序通过 ScreenConnect 启动发现命令。几分钟后,威胁行为者继续运行 BITS 传输作业来部署 Cobalt Strike 信标。

暂停活动一小时后,使用 ScreenConnect 下载额外的二进制文件。这个新文件是一个木马化的 ApacheBench 可执行文件,带有 Metasploit shellcode 后门。执行时,shellcode 将启动 Meterpreter 命令和控制通道。启动这个新的命令和控制通道后,威胁参与者使用远程服务进行横向移动,在服务器上执行 Atera 和 Splashtop 的 PowerShell 和 MSI 安装程序。观察到额外的 BITS 转移以建立进一步的 Cobalt Strike 立足点。

第二天,威胁参与者在多台服务器上投放了 Mimikatz 二进制文件,并使用 wmiexec 远程执行它们。

 

 


03

Drinik 恶意软件卷土重来,印度纳税人面临多方面威胁

披露时间:2023年9月20日

情报来源:https://cyble.com/blog/indian-taxpayers-face-a-multifaceted-threat-with-drinik-malwares-return/

相关信息:

Drinik 恶意软件活动自 2020 年以来一直在运作,特别针对印度所得税用户。随着时间的推移,这种恶意活动通过将新技术融入到其恶意软件中,表现出了适应性。最初,该恶意软件依靠网络钓鱼方法来危害受害者。然而,在后续版本中,它已经发展为利用 Android 设备上的辅助服务,从而使其能够更有效地执行恶意活动。

研究人员一直在监控 Drinik 恶意软件的活动。2022 年 10 月发现了Drinik恶意软件的高级变种。该变体因其使用屏幕录制和键盘记录作为窃取登录凭据的主要技术而闻名,特别针对在印度提交所得税申报表的个人。

Drinik全年都保持活跃状态。然而,在 2023 年 6 月左右,恰逢印度纳税人开始提交所得税申报表,威胁行为者 (TA) 加大了传播 Drinik 恶意软件的力度。分发该恶意软件的主要方法涉及网络钓鱼技术。

许多所得税用户报告收到网络钓鱼消息,其中包含将他们重定向到用于恶意软件分发的 URL 的链接。

 

04

勒索软件综述:Retch、SHO

披露时间:2023年9月21日

情报来源:https://www.fortinet.com/blog/threat-research/ransomware-roundup-retch-and-sho

相关信息:

Retch 是一种新的勒索软件变种,于 2023 年 8 月中旬首次发现。它对受感染计算机上的文件进行加密,并留下两张勒索字条,要求受害者支付赎金以进行文件解密。目前无法获得有关 Retch 勒索软件威胁行为者所使用的感染媒介的信息。然而,它不太可能与其他勒索软件组有显着不同。事实证明,Retch 勒索软件是基于公开的勒索软件源代码开发的,该勒索软件声称用于教育目的,该源代码似乎是基于著名的开源勒索软件“HiddenTear”。

目前尚无有关 SHO 勒索软件威胁行为者所使用的感染媒介的信息。SHO 使用 RSA 公钥和 Microsoft“Rijndael Managed”C# 库加密每个文件。完成加密运行后,它会用自己的壁纸替换桌面壁纸,要求受害者查找并阅读文件“readme.txt”,这是一张勒索信。尽管赎金票据上有属于攻击者的不同比特币地址,但赎金费用始终保持在 200 美元。

 

05

hailBot,kiraiBot,catDDoS:多个新型Mirai僵尸网络变种来势汹汹

披露时间:2023年9月26日

情报来源:https://mp.weixin.qq.com/s/w0nRSums97lbDkI43P7vqA

相关信息:

研究人员近期监测到多个基于Mirai开发而来的新型僵尸网络变种家族来袭,其中以hailBot, kiraiBot以及CatDDoS最为活跃,它们正在加速传播,大范围布局,已构成不小的威胁。

据了解,hailBot基于Mirai源码开发而来,其命名源自于运行后输出的字符串信息"hail china mainland",但该独特的表达方式疑似有栽赃陷害的嫌疑。在流量方面,hailBot修改了原版Mirai的上线包。在攻击方式上,支持基于TCP和UDP协议在内的四种DDoS攻击方式。在传播手段上,主要通过漏洞利用和弱口令扫描爆破的方式传播,且当前版本在漏洞方面仅内置了CVE-2017-17215一种。近期活动上,hailBot的控制并未下发太多指令,仍以试探性测试攻击为主,但其活跃C2数量持续不断增多,表明其正在大规模布局。值得注意的是,hailBot的C2基础设施早期曾传播过多个搭载CVE-2017-11882漏洞的诱饵文档,这些诱饵文档以"发票"、"产品需求清单"、"贸易术语"等作为文件名,诱导受害者打开文档以触发漏洞,从而下载执行Lokibot和Formbook在内的多款商业化窃密型银行木马。

kiraiBot为近期开始传播的一个借鉴了Mirai源码但又添加了诸多个人设计的新型Mirai变种家族,其命名源于样本中留有的字符串信息"kirai"。在流量方面,kiraiBot上线包以字符串信息"BUILD"拼接文件运行的路径构成。CatDDoS家族的控制者则重视木马的隐匿性,不仅在Mirai源码的基础上引入了ChaCha20算法,还引入OpenNIC域名。在攻击方式上,CatDDoS同样内置了多种DDoS攻击方式,但倾向于使用ack_flood和greip_flood方式。

 

 


漏洞情报

01

Openfire消息传递软件中的漏洞允许未经授权访问受感染的服务器

披露时间:2023年9月25日

情报来源:https://news.drweb.com/show/?i=14756&lng=enu

相关信息:

此次感染是Openfire 消息软件中CVE-2023-32315漏洞后利用的一部分。此漏洞执行目录遍历攻击,并允许未经授权访问 Openfire 软件的管理界面,攻击者利用该界面创建具有管理权限的新用户。然后,攻击者使用新创建的帐户登录并安装恶意插件helloworld-openfire-plugin- assembly.jar,可以运行任意代码。

第一个木马是一个挖矿木马,用 Go 编写,称为kinsing (Linux.BtcMine.546 )。在另一种攻击场景中,系统感染了Linux.BackDoor.Tsunami.1395木马,该木马是用C语言编写的,并用UPX打包。第三种情况是最有趣的,因为攻击者没有在系统中安装木马,而是使用恶意 Openfire 插件来获取有关受感染服务器的信息。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

关闭 打印责任编辑:刘悦