攻击团伙情报
APT29的演变——发现的新攻击和新技术
APT29近期仿冒德国大使馆下发恶意PDF文件
瑞星捕获疑似朝鲜APT组织针对韩国发起的攻击
月光鼠组织近期针对中东地区攻击活动分析
SideCopy组织针对印度政府部门的攻击活动分析
Lazarus攻击 Windows 服务器作为恶意软件分发点
朝鲜攻击者利用 SaaS 提供商进行有针对性的供应链攻击
攻击行动或事件情报
Nitrogen活动:使用搜索引擎广告传播恶意软件
恶意代码正通过软件开发商进行传播
威胁行为者通过木马化的MS Visual Studio针对开发人员
骗子跟随 Twitter 更名为 X 传播恶意软件
针对银行业的开源软件供应链攻击活动披露
攻击者伪装为日本电力和水利基础设施公司投递SpyNote恶意软件
恶意代码情报
分析恶意软件包Decoy Dog
针对Qakbot的全面研究与深入分析
大规模 Rust Infostealer 活动瞄准 macOS Sonoma
警惕借名网络安全公司的Sophos和Cylance勒索软件
PurpleFox 通过 MS-SQL 服务器分发
伪造的 Microsoft 加密钱包网络钓鱼网站传播 Infostealer
解构恶意垃圾邮件活动中的 PowerShell 混淆
关于勒索软件Malox攻击活动的分析报告
漏洞情报
披露时间:2023年7月25日
情报来源:https://www.avertium.com/resources/threat-reports/evolution-of-russian-apt29-new-attacks-and-techniques-uncovered
相关信息:
研究人员最近发布报告,披露了归属于俄罗斯的国家级威胁组织APT29的详细活动信息。报告显示,APT29最早活跃于2020年12月,它首先通过利用SolarWinds漏洞对美国发起了大规模的网络攻击。自此之后,APT29不断对政府、国防实体、关键制造组织和IT服务提供商展开了攻击。据称,APT29依靠各种技术(包括密码喷射、API利用、网络钓鱼和令牌盗窃)来获取受害者系统的凭据和特权访问权限,并在高度复杂的恶意软件攻击活动方面,持续处于领先地位。
披露时间:2023年7月27日
情报来源:https://mp.weixin.qq.com/s/32U2nBhyE0hjBWSKhwCT4g
相关信息:
APT29组织又名Cozy Bear、The Dukes,是具有东欧背景的APT组织,该组织自2008年开始活跃,主要从事以情报收集为主的间谍活动。活动目标为西方政府和相关组织,尤其关注政治、外交和智库部门。
研究人员在对该组织的持续追踪时发现,APT29在俄乌冲突时期加大了对各国相关部门的攻击活动。今年先后仿冒了波兰、乌克兰、土耳其、挪威等欧盟国家大使馆,进行鱼叉式网络钓鱼邮件攻击。该组织在活动中利用合法服务DropBox、GoogleDrive、Slack、Trello、Notion API进行通信,最后下发CobaltStrike、BruteRatel等恶意负载。
近期再次捕获到APT29仿冒德国大使馆的攻击活动,活动攻击流程大致如下:
邮件附件为包含HTML代码的PDF文件,运行后将在本地释放zip文件;
zip文件包含同名HTA文件,运行后在本地释放白文件、恶意DLL文件以及诱饵文件;
恶意DLL文件加载之后将连接开源聊天软件Zulip的API接口进行数据传输,获取后续负载到本地执行。
披露时间:2023年7月21日
情报来源:http://it.rising.com.cn/anquan/20025.html
相关信息:
近日,研究人员捕获到两起针对韩国发起的APT攻击事件,通过与以往感染链的对比分析发现,此次事件的攻击者为APT37组织。该组织将恶意文件伪装成压缩包,通过邮件发送给受害者,一旦受害者双击打开快捷方式,便会下载RokRat远控后门,遭到信息被窃、远程控制等攻击。
在最近的两次攻击中,APT37组织分别使用了两份不同的诱饵文档进行攻击,一份以美国与韩国在四月下旬发表的《华盛顿宣言》为背景,由韩国Jeong Seongjang撰写的文章;另一份为首尔空军酒店举办会议的活动日历表,内容包括演讲的时间、顺序以及人员(韩国的重要官员和著名学者)。虽然两份诱饵文档不同,但攻击方式一模一样。
披露时间:2023年7月21日
情报来源:https://mp.weixin.qq.com/s/XVV3BoAd7CdPaZ0na8ID1Q
相关信息:
研究人员在2023年4月发现月光鼠组织再次活跃的痕迹,此次捕获到的样本依旧伪装成谷歌应用商店。对比2021年月光鼠组织被披露的三个版本的RAT木马,本次样本属于月光鼠家族的第二代安卓RAT:2018年3月开始出现,恶意功能模块化进行了拆分,c2地址采用了AES加密,并增加了混淆对抗保护。样本使用c2为http://app.pal4u.net,此二级域名在2021年曝光,近期再次被攻击者使用。因攻击者服务器的不安全设置,发现了74名受害者资料,主要受害区域为巴勒斯坦。
月光鼠APT组织又名“Gaza Hackers Team”、“Molerats”、“灵猫”等,2012年起在中东地区活跃,主要针对以色列、巴勒斯坦加沙地区与政党相关组织和个人,多采用政治相关主题作为诱饵对目标进行鱼叉式钓鱼攻击。
SideCopy组织针对印度政府部门的攻击活动分析
披露时间:2023年7月25日
情报来源:https://mp.weixin.qq.com/s/qkWD_X3aFPURThJqu7lbvg
相关信息:
SideCopy组织自2020年被披露以来长期处于活跃之中,并主要针对印度国防、外交等部门持续发动网络攻击。近期,研究人员发现了该组织针对印度政府部门的最新攻击行动,攻击者利用钓鱼邮件诱导下载含有恶意LNK的ZIP压缩文件,该LNK文件伪装成PDF或DOCX文件,受害者点击执行后会下载恶意代码从而开启一段复杂多阶段的攻击链,最终释放AllaKoreRAT或ReverseRAT远控组件,从而完成窃密活动。
Lazarus攻击 Windows 服务器作为恶意软件分发点
披露时间:2023年7月24日
情报来源:https://asec.ahnlab.com/en/55369/
相关信息:
研究人员发现 Lazarus正在攻击 Windows Internet 信息服务 (IIS) Web 服务器,并将其用作恶意软件的分发点。
众所周知,该组织使用水坑技术进行初始访问。该组织首先入侵韩国网站并修改该网站提供的内容。当使用易受攻击版本的 INISAFE CrossWeb EX V6 的系统通过 Web 浏览器访问此网站时,Lazarus 恶意软件 (SCSKAppLink.dll) 会通过 INISAFECrossWebEXSvc.exe 漏洞从分发站点安装。虽然INITECH漏洞已经得到修补,但针对尚未修补的系统的漏洞攻击至今仍在继续。Lazarus组织攻击IIS Web服务器并获得控制权后,将利用该服务器分发用于INITECH漏洞攻击的恶意软件。
朝鲜攻击者利用 SaaS 提供商进行有针对性的供应链攻击
披露时间:2023年7月24日
情报来源:https://www.mandiant.com/resources/blog/north-korea-supply-chain
相关信息:
2023 年 7 月,研究人员对影响一家美国软件解决方案实体的供应链妥协做出了回应。研究人员认为,这次妥协最终是由于针对 JumpCloud(一种用于身份和访问管理的零信任目录平台服务)的复杂鱼叉式网络钓鱼活动而开始的。报告称,这种未经授权的访问影响了不到 5 个客户和不到 10 台设备。这篇博文中的详细信息基于研究人员对针对 JumpCloud 受影响客户之一的攻击的调查。
研究人员将这些入侵归因于 UNC4899,这是一个与朝鲜民主主义人民共和国 (DPRK) 关系密切的参与者,该组织有针对加密货币垂直领域内的公司的历史记录。研究人员高度确信 UNC4899 是朝鲜侦察总局 (RGB) 内以加密货币为重点的部门。根据可信合作伙伴的报告,UNC4899 可能对应于TraderTraitor,这是一个出于经济动机的朝鲜威胁组织,主要针对区块链相关公司。
Nitrogen活动:使用搜索引擎广告传播恶意软件
披露时间:2023年7月26日
情报来源:https://news.sophos.com/en-us/2023/07/26/into-the-tank-with-nitrogen/
相关信息:
近期,研究人员对Nitrogen活动进行了分析。攻击者通过Google和Bing的广告来冒充看似合法的网站并诱骗用户下载恶意Windows Installer文件。文件冒充的程序包括AnyDesk、WinSCP、Cisco AnyConnect VPN、TreeSize Free等,攻击者针对不同程序设计了不同的广告网站,以WinSCP的广告网站为例,当用户直接输入广告URL时,网站会跳转至无关内容,当用户通过点击广告进入网站时,网站会展示伪造的WinSCP页面。当用户下载程序后,程序以ISO镜像的形式存储在受害主机上,文件会挂载到Windows资源管理器中,并且映射到驱动器,文件内容将在该驱动器中可用。ISO镜像中包含一个misexec.exe工具,攻击者将其重命名为install.exe或者setup.exe,当用户执行程序时,该程序会使用DLL侧加载技术将msi.dll文件保存到镜像。随后,msi.dll会安装相应的正规程序以迷惑用户,同时部署两个python文件,其中一个为木马化文件,由AES CBC算法加密。除此之外,msi.dll还尝试进行UAC提权,创建注册表建立持久性。随后dll文件会利用DLL预加载技术,将攻击者特制的恶意stager复制到目录下。stager采用四种协议与C2服务器进行通信,协议包括TCP、TCP over SSL、HTTP、HTTPS。研究人员还发现攻击者在后续阶段使用了Meterpreter结合Cobalt Strike对主机进行远程操控。
披露时间:2023年7月25日
情报来源:https://asec.ahnlab.com/ko/55524/
相关信息:
研究人员最近证实,恶意代码正通过特定的程序开发公司进行传播,例如伪装成韩国VPN公司和营销程序供应商的安装文件进行分发。据悉,此类活动自2023年上半年以来持续活跃,且攻击者当前使用的恶意软件类型为恶意软件下载器和注入器,其恶意代码均基于Go语言开发,并经过混淆处理。进一步调查显示,在最初的攻击中,恶意安装文件则基于.Net开发,主要用于创建并执行正常安装文件和SparkRAT恶意软件。其中,SparkRAT则是一款采用Go语言开发并发布在GitHub上的开源恶意软件,提供控制受感染系统的功能,例如执行命令、窃取信息、控制进程和文件等。不过此后,相关VPN公司的主页上不断被上传其它的恶意代码,攻击者除了在受感染的系统上安装SparkRAT后门,还额外安装了开源渗透测试工具"Sliver C2"和用于远程桌面连接的MeshAgent,以获取对受感染系统的控制权,实现窃取PC中存储的用户信息、执行后续恶意操作等目的。
威胁行为者通过木马化的MS Visual Studio针对开发人员
披露时间:2023年7月25日
情报来源:https://blog.cyble.com/2023/07/25/threat-actor-targeting-developers-via-trojanized-ms-visual-studio/
相关信息:
研究人员最近发现了一个欺骗性的安装程序,它伪装成真正的 Microsoft Visual Studio 安装程序,提供 Cookie Stealer。该窃取程序专门用于渗透和提取浏览器 cookie 中存储的敏感信息,从而使攻击者能够危害用户帐户并侵犯隐私。
信息窃取者瞄准软件开发人员,因为他们拥有宝贵的数据并可以访问密码和秘密代码等敏感资源。攻击者可以通过窃取某些信息来获得对各种服务和数据库的未经授权的访问。开发人员通常拥有高级访问权限,使得恶意软件很容易在网络上传播。这些恶意安装程序可以通过各种欺骗方式传播,例如钓鱼网站、第三方网站、文件共享平台、社会工程策略、误导性广告等。
骗子跟随 Twitter 更名为 X 传播恶意软件
披露时间:2023年7月25日
情报来源:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/scammers-follow-the-rebranding-of-twitter-to-x-to-distribute-malware/
相关信息:
2023 年 7 月 23 日,埃隆·马斯克宣布社交网站 Twitter 更名为“X”。该消息促使 Twitter 和 X 登上新闻头条,并成为流行社交媒体平台上的热门话题。诈骗者抓住了这个机会,开始将各种被黑的 YouTube 和其他社交媒体帐户重命名为“twitter-x”和“twitter Fund”,以推广带有新 X 品牌的诈骗链接。
此类骗局已经活跃了一段时间,并使用创新的方法来引诱受害者。为了使这个骗局更加真实,攻击者通过赞助电子邮件来瞄准著名的影响者,其中包含窃取密码的恶意软件作为电子邮件附件。当密码窃取恶意软件被执行时,影响者的会话cookie(唯一的访问令牌)被盗并上传到攻击者控制的系统。
披露时间:2023年7月21日
情报来源:https://checkmarx.com/blog/first-known-targeted-oss-supply-chain-attacks-against-the-banking-sector/
相关信息:
近期,研究人员发现一个攻击者利用NPM平台上传了几个包含恶意脚本的软件包,攻击者还将这些软件链接到了某银行员工LinkedIn的个人资料页面。在确认此次行为非目标银行的内部行为后,对该活动进行了分析。第一阶段的脚本首先会识别主机操作系统,并根据系统解码相应的加密文件。解码后的脚本文件利用Azure的CDN子域来获取第二阶段的有效负载。为了增加可信度,攻击者还选择了一个包含目标银行名称的子域。在第二阶段,攻击者使用Havoc框架进行攻击,Havoc框架是一个先进的后渗透命令和控制框架,可以绕过Windows Defender等软件的防御。另一个攻击活动中发现不同的攻击者针对其他的银行,攻击者同样通过NPM上传存在恶意代码的软件包,代码可以融入银行网站秘密获取登录数据并传输到远程服务器。
攻击者伪装为日本电力和水利基础设施公司投递SpyNote恶意软件
披露时间:2023年7月21日
情报来源:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-spynote-attacks-electric-and-water-public-utility-users-in-japan/
相关信息:
研究人员于2023年6月上旬观察到了一起针对日本安卓用户的网络钓鱼攻击活动。调查显示,活动自2023年6月7日仅持续了很短一段时间,攻击者主要发送了冒充为电力和水利基础设施的钓鱼短信,短信内容则以支付问题相关警报为主题,引诱受害者跳转至钓鱼网站,最终在目标机器上下载安装了安卓恶意软件:SpyNote。
据了解,SpyNote是一种是具有远程控制功能的间谍软件,能够利用辅助服务和设备管理员权限,窃取目标设备信息和敏感用户信息,如设备位置、联系人、收发短信和电话,并通常使用合法的应用程序图标来欺骗用户。此外,其源代码于2022年10月份公开,自此之后利用该恶意软件进行的攻击活动激增。最近的活动包括2023年1月份被用于攻击金融机构以及2023年4月被用于针对日本银行。
披露时间:2023年7月25日
情报来源:https://blogs.infoblox.com/cyber-threat-intelligence/decoy-dog-is-no-ordinary-pupy-distinguishing-malware-via-dns/
相关信息:
2023年4月,研究人员披露了 Decoy Dog ,这是一种使用域名系统 (DNS) 进行通信的恶意软件工具包。
Decoy Dog 使用 DNS 执行命令和控制 (C2)。Decoy Dog 基于 Pupy(一种开源远程访问木马 (RAT)),但比渗透测试仪的工具复杂得多。研究人员目前正在跟踪21个 Decoy Dog 控制器域,并正在积极监控 DNS 以获取更多信息;这些领域似乎受到至少三个参与者的控制。在本文中,使用术语 Pupy 来特指 Pupy DNS C2 组件。
披露时间:2023年7月25日
情报来源:https://www.zscaler.com/blogs/security-research/hibernating-qakbot-comprehensive-study-and-depth-campaign-analysis
相关信息:
Qakbot(也称为 QBot 或 Pinkslipbot)是一种高度复杂且持久的恶意软件,自2007年以来一直活跃,针对不同国家的企业。Qakbot 主要关注从网络浏览器窃取财务数据和登录凭据,它还充当注入 Cobalt Strike 和勒索软件等下一阶段有效负载的后门。
最近的活动揭示了 Qakbot 对不断变化的条件的适应能力。2023年1月,微软在所有 Office 应用程序中默认禁用宏后,Qakbot 开始滥用 OneNote 文件作为传播手段。而研究人员观察到6月之后 Qakbot 活动显着下降,这表明威胁行为者的行动可能会暂停。研究人员调查以揭示 Qakbot 使用的各种攻击链,这篇文章深入研究,针对Qakbot全面的技术分析,以了解其行为、攻击向量和分布方法。
大规模 Rust Infostealer 活动瞄准 macOS Sonoma
披露时间:2023年7月25日
情报来源:https://www.sentinelone.com/blog/apple-crimeware-massive-rust-infostealer-campaign-aiming-for-macos-sonoma-ahead-of-public-release/
相关信息:
本月早些时候,安全研究人员iamdeadlyz报告称,多个虚假区块链游戏被用来通过信息窃取程序感染 Windows 和 macOS 目标,这些程序能够清空加密钱包并窃取存储的密码和浏览器数据。
该信息窃取者是一种用 Rust 编写的新恶意软件,被称为“realst”。基于之前的分析,研究人员识别并分析了59个真实恶意软件的恶意 Mach-O 样本。其中,发现一些样本已经针对 Apple 即将发布的操作系统版本 macOS 14 Sonoma。
这篇文章将详细描述该恶意软件,以帮助威胁追踪者和安全团队识别和检测 Realst Infostealer 的危害。
警惕借名网络安全公司的Sophos和Cylance勒索软件
披露时间:2023年7月25日
情报来源:https://mp.weixin.qq.com/s/vDgrPKCooiG41MP-Gc8HOw
相关信息:
近期研究人员发现与网络安全公司同名的Sophos中勒索软件,网络安全公司Sophos发表声明称与该勒索软件并无关系。
Sophos勒索软件被发现于2023年7月,其攻击载荷通过Rust编程语言开发,经分析发现,样本库文件路径中带有Dubinin字样,猜测可能为载荷开发人员的相关信息,该勒索软件勒索信格式和添加后缀名的逻辑与Phobos勒索软件较为相似。Sophos勒索软件执行流程不完善,截至发稿前暂未发现受害者信息,结合多种原因,猜测该勒索软件当前处于测试阶段,尚未投入正式攻击活动。
PurpleFox 通过 MS-SQL 服务器分发
披露时间:2023年7月24日
情报来源:https://asec.ahnlab.com/en/55492/
相关信息:
7月24日,研究人员称其发现了通过管理不善的MS-SQL服务器分发PurpleFox的活动。攻击首先通过sqlservr.exe执行PowerShell,这是一个与MS-SQL服务器相关的进程。当执行上述PowerShell时,将下载并加载另一个经过混淆的PowerShell。其中包含一个攻击者开发的函数MsiMake,可下载一个MSI文件。MSI包更改注册表项以实现持久性和权限提升。最后,MSI包会尝试重启系统,接着SENS服务会被执行,从而激活恶意软件。
伪造的 Microsoft 加密钱包网络钓鱼网站传播 Infostealer
披露时间:2023年7月21日
情报来源:https://www.fortinet.com/blog/threat-research/microsoft-message-queuing-service-vulnerabilities
相关信息:
研究人员最近发现了一个 URL 为“hxxps[:]//microsoft-en[.]com/cryptowallet/”的网络钓鱼网站,该网站冒充合法的 Microsoft 加密钱包平台。该欺诈网站的主要目标受害者是加密货币爱好者。该网站采用了巧妙的伪装,提示用户下载一个据称代表官方加密钱包的可执行文件。
不幸的是,在提供尖端加密货币解决方案的外表下,这个欺骗性网站隐藏着一个名为“ Luca Stealer ”的恶意 InfoStealer。Luca Stealer 的主要目的是从毫无戒心的用户那里秘密收集敏感信息和个人数据。
解构恶意垃圾邮件活动中的 PowerShell 混淆
披露时间:2023年7月24日
情报来源:https://www.sentinelone.com/blog/deconstructing-powershell-obfuscation-in-malspam-campaigns/
相关信息:
本文探讨了现实世界恶意垃圾邮件活动中常见的各种 PowerShell 混淆技术。这些脚本通常由 VBA 宏启动,嵌入到 Office 文档中,并充当下载基础来检索和执行远程辅助阶段有效负载。事实证明,这些方法对于基于静态签名的检测非常有效。本文将讨论三种不同的恶意垃圾邮件活动,并探索八种不同的代码和字符串混淆技术。
披露时间:2023年7月20日
情报来源:https://unit42.paloaltonetworks.com/mallox-ransomware/
相关信息:
7月20日,研究人员发布了关于勒索软件Malox攻击活动的分析报告。Mallox(又名TargetCompany)是一种针对Microsoft Windows系统的勒索软件,自2021年6月以来一直活跃,主要利用不安全的MS-SQL服务器作为载体,入侵目标的网络。近观察到Mallox攻击活动有所增加,与前一年相比增加了近174%。Mallox使用了暴力破解、数据泄露和网络扫描工具等。此外,研究人员发现有迹象表明该组织正在努力扩大其业务,并在黑客论坛上招募附属机构。
披露时间:2023年7月24日
情报来源:https://www.fortinet.com/blog/threat-research/microsoft-message-queuing-service-vulnerabilities
相关信息:
在过去的几个月中,研究人员发现并报告了 Microsoft 消息队列 (MSMQ) 服务中发现的多个漏洞。Microsoft 在 2023 年 4 月和 7 月的安全更新中修复了这些漏洞。
MSMQ 是 Microsoft 开发的专有消息传递协议,允许在不同计算机上运行的应用程序以故障安全方式进行通信。MSMQ 通过将无法到达其预期目的地的消息放入队列中,然后在到达目的地后重新发送这些消息来确保可靠的传送。RabbitMQ 是一种类似于 MSMQ 的开源消息队列协议。
在这篇文章中,研究人员将介绍 MSMQ 的攻击面、为解决模糊测试过程中遇到的挑战而采取的方法,最后,将提供漏洞的详细信息。