01
海莲花组织以社保话题为诱饵发起钓鱼攻击
披露时间:2024年7月9日
情报来源:https://mp.weixin.qq.com/s/E8DVag1ed9EHDKYaBKzjbg
相关信息:
近期,研究人员发现了海莲花组织的攻击样本,样本以社保、公积金调整等字眼吸引受害者点击。其中,海莲花又称APT32,自2012年起活跃,主要针对东亚及东南亚地区的政府机构、企业、媒体和活动家等。该组织攻击手法多样,拥有大量自研武器,常在攻击活动不同阶段结合开源工具达成攻击目的。
调查显示,活动诱饵样本名为《关于社保、职业年金、公积金缴存基数调整和补扣的通知.docx》,其内置了lnk参数、hta脚本、dropper程序、诱饵文档四部分内容。具体执行流程为,lnk参数执行hta文件,hta文件执行dropper程序&诱饵文档,dropper解密加载shellcode并执行最终Cobalt_Strike RAT程序。此外,经关联分析,研究人员发现本次捕获样本与2023年该组织织模仿APT29利用BMW话题为诱饵发起的攻击活动在多方面存在一致。具体来说:1)lnk参数格式非常一致;2)Cobalt Strike的配置文件较为一致,除url外,伪装的host也相同。
02
针对俄罗斯财务员工的VasyGrek组织活动追踪
披露时间:2024年7月8日
情报来源:https://www.facct.ru/blog/vasygrek-and-mr-burns/
相关信息:
研究人员近日报道称,VasyGrek组织至少自2016年以来一直在攻击俄罗斯公司的财务员工。该组织常借助代表会计部门发送的有关财务主题(如"对账法"、"付款令"、"1C")的电子邮件获取初始感染权限,并会在活动期间使用木马化的合法远程系统管理工具RMS,PureCoder开发的恶意软件(PureCrypter、PureLogs等),以及其他商用恶意软件,如MetaStealer、WarzoneRAT、RedLine Stealer等。调查显示,在2020年5月至12月期间,VasyGrek使用了BurnsRAT.TV恶意软件(TeamViewer的受感染修改版本),该恶意软件将访问C2地址360mediashare.com。
根据交互记录,研究人员发现了该恶意软件的管理员是拥有电报帐户@vasy2020grek和@goga_seksi的用户。其中,@vasy2020grek用户最早化名为mts2015stm,其于2016年10月出现在exploit.in论坛上的关于购买RMS的帖子中。@goga_seksi用户则化名为Mr.Burns,其最早在exploit.in论坛上的活动可追溯到2010年,专注于创建恶意软件,且大多基于合法的远程管理工具,如TeamViewer、RMS(Remote Utilities)、LiteManager等。目前,Mr.Burns最新开发售卖的恶意软件工具集即为BurnsRAT,它采用DLL劫持技术实现加载,并使用标准HTTPS协议与C2服务器进行通信,期间流量则使用RC4算法进行加密。
03
CloudSorcerer:采用云服务传递数据的新型黑客组织
披露时间:2024年7月8日
情报来源:https://securelist.com/cloudsorcerer-new-apt-cloud-actor/113056/
相关信息:
近期,安全人员发现了一种针对俄罗斯联邦政府的新型黑客组织,并将其命名为CloudSorcerer。攻击活动中,攻击者会在获得受害主机的初始访问权限后,手动执行一个恶意软件。该恶意软件是一个C语言编写的PE文件。恶意软件会调用GetModuleFileNameA函数来确定其正在运行的进程。根据检测到的进程名称的不同,恶意软件会激活不同的功能。
功能涉及后门模块、数据收集、代码执行、C2通信、shellcode注入等。恶意软件的后门模块可收集系统的基本信息,收集的信息通过命名管道进行传输。恶意软件还可从同一命名管道读取数据。数据经过解析后包含一个COMMAND结构,其中的COMMAND_ID字段将指示恶意软件进行各类操作,如收集系统中的硬盘信息、读取文件数据、创建并将数据写入任何文件。恶意软件的C2通信模块利用攻击者的Github页面中的一串特定字符串进行解码。该模块还常使用云服务进行数据交互,使用的云服务有Microsoft Graph、Yandex Cloud和Dropbox。
04
Kimsuky 针对日本组织展开攻击
披露时间:2024年7月8日
情报来源:https://blogs.jpcert.or.jp/en/2024/07/attack-activities-by-kimsuky-targeting-japanese-organizations.html
相关信息:
已确认一个名为Kimsuky的攻击组织在2024年3月进行了针对日本组织的攻击活动,本文就从该组织的攻击手法进行介绍。攻击者发送了一封冒充安全和外交组织的针对性攻击电子邮件。电子邮件中附加了一个包含以下文件的 zip 文件,文件扩展名是双倍的。为了隐藏文件扩展名,每个文件名都包含大量空格。当执行 EXE 文件时,会从外部源下载 VBS 文件并使用 wscript.exe 执行。VBS 文件从外部源下载 PowerShell 并使用以下参数调用 PokDoc 函数。此外,它还使用注册表中的 Run 键来配置文件C:\Users\Public\Pictures\desktop.ini.bak,以便通过 WScript 自动启动。
05
揭秘APT-C-26(Lazarus)组织利用PyPI对Windows、Linux和macOS平台的攻击行动
披露时间:2024年7月5日
情报来源:https://mp.weixin.qq.com/s/g2jQ9yeT68SGZb1APY7xtA
相关信息:
APT-C-26(Lazarus)组织是一个高度活跃的APT组织。该组织除了对金融机构和加密货币交易所感兴趣外,也对全球的政府机构、航空航天、军工等不同行业开展攻击活动,主要目的是获取资金和窃取敏感信息等。其攻击方式主要包括网络钓鱼、网络攻击和勒索软件攻击,并且它们的攻击行为具有高度的技术复杂性和隐蔽性,也具备Windows、Linux、MacOS系统攻击能力,以及拥有多种攻击载荷武器。
研究人员捕获到了Lazarus组织通过恶意Python包下发攻击载荷的多个攻击样本,然后通过层层加载,最终完成攻击行为,并且这些样本针对了Windows、Linux、MacOS等不同操作系统,可见该组织针对目标人群不遗余力的开发各类攻击武器。鉴于该组织近期频繁通过将恶意载荷存放于Python包的方式攻击多个平台,因此在这里进行详细分析,希望经过曝光披露,相关的企业和个人可以提高安全防范意识,保护企业财产和相关用户财产免受损失。
06
Turla使用恶意LNK文件感染主机
披露时间:2024年7月5日
情报来源:https://www.gdatasoftware.com/blog/2024/07/37977-turla-evasion-lnk-files?&web_view=true
相关信息:
近期,安全人员发现黑客组织Turla使用恶意LNK文件感染主机。恶意文件以压缩包的形式传播,该文件的感染始于菲律宾某个被黑客攻陷的新闻媒体网站。压缩包中携带一个伪装为PDF的LNK文件,诱饵内容伪装为菲律宾统计局发布的文件。一旦用户双击运行该诱饵文件,LNK文件携带恶意代码将被执行。名为ChromeConnection的程序将被msbuild.exe执行,程序会在受害主机上建立持久性、加载经过混淆的无文件后门。
该后门由SmartAssembly进行混淆。后门可禁用ETW以绕过检测,还可绕过AMSI。后门采用HTTP协议与C2服务器进行通信验证,C2服务器是黑客攻陷的个人用户网站。验证通过后,后门将采用指定url与服务器进行通信,接收服务器下发的指令,指令包括创建文件、执行Powershell脚本、关闭PowerShell运行空间等。
01
未知攻击者使用零日漏洞CVE-2024-38112下发恶意负载
披露时间:2024年7月9日
情报来源:https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet-shortcut-file-to-lure-victims-cve-2024-38112/
相关信息:
近期,安全人员发现攻击者使用新的技巧来引诱Windows用户实现远程代码执行。攻击者使用伪装为pdf的.url文件作为诱饵,当文件被运行后,文件将调用IE浏览器来访问攻击者设置的URL。目前,该攻击活动最早可以追溯到2023年1月。在安全人员捕获的最新样本中,.url文件中具有一个以mhtml开头的字符串。
mhtml技巧曾在漏洞CVE-2021-40444中出现过,文件document.xml.rels包含一个相同的mhtml开头的字符串。经过分析,当用户双击文件后,IE浏览器将弹窗提示用户打开一个pdf文件,用户点击打开文件后,IE的保护模式将弹出告警,若用户忽略告警,则文件将下载恶意hta文件,并执行其中的恶意代码。目前,该利用方式以被微软发布官方补丁,漏洞编号被追踪为CVE-2024-38112。
02
“银狐”家族木马升级攻击活动分析
披露时间:2024年7月8日
情报来源:https://mp.weixin.qq.com/s/q-4zUIBkxTdGSwrp0X3taw
相关信息:
近日,在日常分析运营过程中发现大量chm文件诱饵,它们伪装成各行业相关名单、年季度报告、说明文档和数字名称帮助文档等通过多种渠道传播。我们对这些诱饵chm文件进行分析发现,其点击后显示无法正常使用查看,但在后台同时具有大量的网络流量和序列化负载文件。受害者一旦运行后,后续无需任何操作,木马会逐级分阶段下载执行恶意文件,操作注册表,直至最终安装远程控制木马,获得受害者系统操作权限进行持续监控。
此次攻击活动中出现的恶意代码特征以及攻击手法,与此前披露的使用“银狐”工具的黑产组织高度相似,且在攻击链和反安全检测上更加复杂,我们怀疑此次攻击是银狐组织的其中一个升级家族攻击活动。
03
Microsoft SmartScreen漏洞CVE-2024-21412遭到活跃利用
披露时间:2024年7月5日
情报来源:https://cyble.com/blog/increase-in-the-exploitation-of-microsoft-smartscreen-vulnerability-cve-2024-21412/
相关信息:
研究人员最近发现了一项利用Microsoft SmartScreen漏洞(CVE-2024-21412)的活跃活动。据悉,活动主要针对包括西班牙、美国和澳大利亚在内的多个地区,感染链始于一封包含恶意链接的垃圾邮件,钓鱼诱饵与医疗保险计划、交通通知和税务相关通信相关,以欺骗目标用户进一步下载恶意负载。
其中,链接会使用搜索协议将用户重定向到WebDAV共享上托管的Internet快捷方式文件。一旦点击,它就会利用CVE-2024-21212漏洞并执行同一WebDAV共享上托管的另一个LNK文件,从而启动感染过程。期间,攻击者还会利用合法工具(例如forfiles.exe、PowerShell、mshta和其他可信文件)进行多阶段攻击,以规避安全措施。最终,再利用DLL侧载技术和IDATLoader将最终有效负载(Lumma和Meduza Stealer)注入到explorer.exe程序中。
04
银狐团伙开始采用随机化特征方式发起钓鱼攻击
披露时间:2024年7月5日
情报来源:https://mp.weixin.qq.com/s/5HQnn_wjpxL-2XNgREuILA
相关信息:
近日,研究人员发现银狐团伙正通过随机化特征的方式对抗安全软件的检测,具体行为包括样本文件hash随机化和C2地址批量生产。据悉,研究人员在同一天捕获到大量的相似样本,样本间仅存在少量字节不同,疑似通过自动化工具批量生成。同时C2 IP地址也存在A段、B段相同的情况,疑似从网络服务商批量购买了IP地址用作远控木马的C2服务器。
此外,在钓鱼样本文件的命名特点上,以"合同"、"查询"、"表格"为关键词进行命名的有所增多,同时还出现了使用"ziliao"、"mingdan"、"cailiao"等拼音来代替原有的"资料"、"名单"、"材料"等关键词,企图以此来对抗情报自动化分析系统的感知策略。相关数据显示,2024年6月初至七月,银狐钓鱼攻击呈现增长趋势,平均每天攻击超过11万次,高峰时期一天超过27万次,且攻击样本呈现出批量化、自动化生产的特点,部分具有明显共同家族特征的的样本,近一个月内甚至检测出300多个变种。
05
瞄准拉丁美洲银行的Mekotio银行木马活动激增
披露时间:2024年7月4日
情报来源:https://www.trendmicro.com/en_us/research/24/g/mekotio-banking-trojan.html
相关信息:
研究人员近日报道称,涉及Mekotio银行木马的攻击活动激增。据悉,Mekotio是一种复杂的恶意软件,至少自2015年以来一直活跃,主要针对拉丁美洲国家,旨在窃取敏感信息,尤其是银行凭证。它起源于拉丁美洲地区,在巴西、智利、墨西哥、西班牙和秘鲁尤其活跃。此外,Mekotio似乎与其它著名的拉丁美洲银行恶意软件(如今年早些时候被执法部门破坏的Grandoreiro)有着共同的起源。该恶意软件常通过网络钓鱼邮件传播,并会利用社会工程学策略诱骗用户与恶意链接或附件进行交互。执行后,Mekotio就会收集系统信息并与C2服务器建立连接,进一步执行凭证盗窃、信息收集、实现持久性等恶意操作。
01
EstateRansomware勒索软件感染活动分析
披露时间:2024年7月10日
情报来源:https://www.group-ib.com/blog/estate-ransomware/
相关信息:
近期,安全人员发现攻击者。攻击者通过VPN账户口令爆破获取到初始访问权限,随后转为使用RDP服务连接到特定服务器。攻击者通过部署名为svchost.exe的后门,通过设置计划任务确保后门每日执行。经分析,svchost文件可使用HTTP协议,通过反向隧道连接C2服务器,从而为攻击者提供远程执行命令的途径。此后,攻击者转移到受害网络的文件服务器,收集重要凭据,利用Veeam软件中的漏洞执行命令,并在备份服务器上创建账户。此后,攻击者使用工具进行内网信息收集,针对域控服务器进行扫描,攻击者在每一台攻陷的服务器中,均禁用了Windows Defender,下发并运行了勒索软件,清除了所有受影响服务器上的重要日志。安全人员将此次活动中的勒索软件命名为EstateRansomware。
02
ViperSoftX :利用 AutoIt 和 CLR实现隐秘执行PowerShell
披露时间:2024年7月9日
情报来源:https://www.trellix.com/blogs/research/the-mechanics-of-vipersofts-exploiting-autoit-and-clr-for-stealthy-powershell-execution/
相关信息:
在网络威胁的动态格局中,ViperSoftX 已成为一种高度复杂的恶意软件,擅长渗透系统和窃取敏感信息。自 2020 年首次被发现以来,ViperSoftX 经历了多次迭代,每个版本都展示了更高的复杂性和高级功能。最初,它主要通过破解软件传播,用盗版应用程序引诱用户秘密安装恶意软件。
ViperSoftX 当前变体的一个显著特点是它使用公共语言运行时 (CLR) 动态加载和运行 PowerShell 命令,从而在 AutoIt 中创建用于操作的 PowerShell 环境。通过利用 CLR,ViperSoftX 可以无缝集成 PowerShell 功能,使其能够执行恶意功能,同时逃避可能标记独立 PowerShell 活动的检测机制。本博客将深入研究 ViperSoftX 的工作原理,探索其感染链、有效载荷执行以及它为保持不被发现而采用的各种技术。
03
鱼死网破,AppMiner新变种来袭!
披露时间:2024年7月8日
情报来源:https://mp.weixin.qq.com/s/z3PG44ABsfB2EB8O93H0ZQ
相关信息:
近期,研究人员在日常威胁巡检中发现了一种混淆的门罗币挖矿木马,分析发现其为AppMiner新变种,这是该家族继2024年1月的又一次更新。挖矿并不新鲜,但将宿主机弄崩溃的实属少见。攻击者愈发贪婪,以前仅是隐秘挖矿,新变种直接删除主机密码存储和身份认证相关系统文件实现防卸载,致使重启主机无法进入系统界面,堪称鱼死网破之举!截至发稿时其已感染近400台主机,挖矿收益约5 XMR(价值约6000元);新变种还进一步强化对抗,对C2等敏感信息加密处理以隐藏痕迹。
04
揭秘Kematian-Stealer信息窃取器
披露时间:2024年7月6日
情报来源:https://www.cyfirma.com/research/kematian-stealer-a-deep-dive-into-a-new-information-stealer/
相关信息:
研究人员最近发现了一个疑似通过垃圾或钓鱼邮件分发的RAR压缩文档,文档内包含一个加载程序二进制文件,它负责部署旨在收集用户敏感信息的批处理和PowerShell脚本,脚本则会尝试下载额外的恶意二进制文件,即Kematian-Stealer。
目前,该新兴信息窃取器正在积极开发并作为GitHub存储库上的开源教育工具使用,且该存储库还在同一帐户"Somali-Devs"下托管了其他相关的恶意脚本。据悉,Kematian-Stealer的构建器托管在GitHub上,允许用户自定义和部署恶意软件,主要针对Windows系统,可从各种应用程序中秘密提取大量敏感信息,包括消息应用程序、游戏平台、VPN服务、电子邮件客户端、FTP客户端、密码管理器和加密货币钱包等。同时,还可进行屏幕截图、Cookie窃取,删除痕迹等恶意操作。
05
GootLoader恶意软件使用耗时循环延迟恶意代码的执行
披露时间:2024年7月3日
情报来源:https://unit42.paloaltonetworks.com/javascript-malware-gootloader/
相关信息:
安全人员近期通过Node.js调试绕过GootLoader恶意软件的反分析技术。GootLoader是一款具有后门功能和加载器功能的恶意软件,其运营者通过虚假论坛帖子积极传播。GootLoader的感染过程从JavaScript文件开始。恶意软件常通过休眠的方式绕过沙箱检测,而恶意软件进入休眠的最常见方式是调用Wscript.sleep()或setTimeout()方法。
安全人员使用了Node.js和Visual Studio Code的环境进行文件分析,通过下断点逐步调试的方式,安全人员发现GootLoader的创建者利用耗时的while循环和函数数组来故意延迟恶意代码的执行。这种方法有效地实施了一种逃避技术,通过睡眠期来掩盖GootLoader的恶意性质。
06
AsyncRAT伪装为电子书文件进行分发
披露时间:2024年7月3日
情报来源:https://asec.ahnlab.com/ko/67571/
相关信息:
安全人员发现恶意软件AsyncRAT正伪装为多种文件进行分发。最近活动中,该恶意软件伪装成电子书压缩文件,文件中携带恶意LNK文件、Powershell脚本、诱饵文件。当用户点击运行伪装的LNK文件后,文件将执行名为RM.TXT的文件,RM.TXT文件主要由无意义的字符串组成,用于隐藏恶意PowerShell脚本。实际上,脚本将包含下载器的文件目录更改为隐藏属性,同时执行混淆脚本。混淆脚本会搜索系统中存在的安全产品,并根据结果执行伪装成视频文件的恶意代码。目录中共有三个视频文件,主要负责创建计划任务、下载执行AsyncRAT。AsyncRAT,具有AntiVM、AntiAV、持久化维护等功能,可窃取用户信息。此外,还可以通过接收攻击者的命令来执行各种恶意操作。
07
BlackSuit勒索软件分析
披露时间:2024年7月2日
情报来源:https://areteir.com/article/understanding-blacksuit-ransomware/
相关信息:
BlackSuit勒索团伙于2023年5月首次出现,主要攻击医疗保健、教育、信息技术、政府、零售和制造业的实体。该团伙没有公共附属机构,但似乎与Royal勒索软件团伙有着密切的联系。近期,安全人员对BlackSuit勒索软件进行了分析。BlackSuit勒索软件使用命令行参数来执行和加密系统中的文件,勒索软件需要一个id参数开启执行,该参数要求输入一个长度32的字符串,字符串是每次攻击的唯一标识。
勒索软件中携带的字符串都经过编码,每个编码的字符串都有其特定的解码循环。该勒索软件还采用动态API解析来绕过安全分析。在加密文件前,勒索软件会终止主机上一系列正在运行的进程和服务。文件加密采用AES算法进行加密,加密文件都携带.blacksuit后缀。加密结束后,勒索软件将删除卷影副本,阻止受害者从备份中恢复文件。
漏洞情报
01
微软补丁日通告:2024年7月版
披露时间:2024年7月10日
情报来源:https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul
相关信息:
研究人员近期发布了2024年7月的安全更新。本次安全更新修复了总计142个安全漏洞(包括2个被积极利用的漏洞以及2个公开披露的零日漏洞),其中有134个重要漏洞(Important)、5个严重漏洞(Critical)。在漏洞类型方面,主要包括59个远程代码执行漏洞、26个特权提升漏洞、24个安全功能绕过漏洞、17个拒绝服务漏洞、9个信息泄露漏洞、7个欺骗漏洞。本次发布的安全更新涉及.NET and Visual Studio、Active Directory Rights Management Services、Azure、Intel、Microsoft、NDIS、SQL Server、Windows和XBox Crypto Graphic Services等多个产品和组件。
以下为重点关注漏洞列表:
CVE-2024-38112:Windows MSHTML Platform欺骗漏洞。该零日漏洞的CVSSv3评分为7.5分。它是由于输入验证不当而存在,允许远程攻击者进行欺骗攻击并诱骗受害者执行特制文件。目前,该漏洞已被在野利用。
CVE-2024-38080:Windows Hyper-V权限提升漏洞。该零日漏洞的CVSSv3评分为7.8分。它由于Windows Hyper-V组件中的整数溢出而导致,允许本地用户触发整数溢出并以SYSTEM权限执行任意代码。目前,该漏洞已被在野利用。。
CVE-2024-38060:Windows Imaging Component远程代码执行漏洞。该漏洞的CVSSv3评分为8.8分。它由于Windows Imaging组件中的边界错误而存在,允许远程用户将特制数据传递给应用程序,触发基于堆的缓冲区溢出并在目标系统上执行任意代码。成功利用此漏洞将会导致易受攻击的系统完全被攻陷。
CVE-2024-38023:Microsoft SharePoint Server远程代码执行漏洞.该漏洞的CVSSv3评分为7.2分。它由于在Microsoft SharePoint Server中处理序列化数据时输入验证不安全而导致,允许远程管理员将特制数据传递给应用程序并在目标系统上执行任意代码。成功利用此漏洞可能导致易受攻击的系统完全被攻陷。
CVE-2024-38077/CVE-2024-38076:Windows远程桌面授权服务远程代码执行漏洞。该漏洞的CVSSv3评分为9.8分。它由Windows远程桌面授权服务中的基于堆的缓冲区溢出引起,允许攻击者通过发送特制的请求到受影响的服务来完全控制系统。
CVE-2024-38074:Windows远程桌面授权服务远程代码执行漏洞。该漏洞的CVSSv3评分为9.8分。它由于Windows远程桌面授权服务中的整数下溢而存在,允许远程攻击者向受影响的应用程序发送特制的数据包,触发整数下溢并在目标系统上执行任意代码。成功利用此漏洞可能导致易受攻击的系统完全被攻陷。
CVE-2024-38094:Microsoft SharePoint远程代码执行漏洞。该漏洞的CVSSv3评分为7.2分。它由于在Microsoft SharePoint中处理序列化数据时输入验证不安全而导致,允许远程管理员将特制数据传递给应用程序并在目标系统上执行任意代码。成功利用此漏洞可能导致易受攻击的系统完全被攻陷。
CVE-2024-38099:Windows远程桌面授权服务拒绝服务漏洞。该漏洞的CVSSv3评分为5.9分。它由于Windows远程桌面授权服务在处理身份验证请求时出现错误而导致,允许远程攻击者绕过身份验证过程并执行拒绝服务(DoS)攻击。
CVE-2024-38059:Win32k权限提升漏洞。该漏洞的CVSSv3评分为7.8分。它由于Windows Win32k的释放后使用错误而存在,允许本地用户在目标系统上获得权限提升。
CVE-2024-39684:Github:TenCent RapidJSON权限提升漏洞。该漏洞的CVSSv3评分为7.8分。它由于腾讯RapidJSON库中的整数溢出而导致,允许远程攻击者诱骗受害者打开特制文件,触发整数溢出并获得目标系统的提升权限。
