2020.05.07-2020.05.14

　　攻击团伙情报

　　BackConfig更新换代：针对南亚政府和军事组织的恶意软件分析

　　东欧杀手：Gamaredon APT组织定向攻击乌克兰事件分析

　　Ramsay：DarkHotel针对隔离网络的新型恶意工具包

　　攻击行动或事件情报

　　SilverTerrier：利用COVID-19相关信息为诱饵的攻击行动

　　利用“顺丰速运”下发GuLoader恶意软件的风险分析

　　利用JsOutProx RAT针对印度金融业的攻击活动分析

　　Mykings僵尸网络更新基础设施，大量使用PowerShell脚本进行“无文件”攻击挖矿

　　“8220”挖矿木马入侵服务器挖矿，组建“海啸”僵尸网络，可发起DDoS攻击

　　恶意代码情报

　　【流行威胁追踪】深度分析Netwalker勒索软件

　　Astaroth：利用YouTube频道作C2的恶意软件

　　Poulight Stealer，新型窃密木马

　　ClodCore：通过云控下发挖矿模块的恶意木马

攻击团伙情报

　　1. 东欧杀手：GamaredonAPT组织定向攻击乌克兰事件分析

　　披露时间：2020年05月11日

　　情报来源：

　　https://ti.qianxin.com/blog/articles/analysis-of-gamaredon-apt-targeted-attack-on-ukraine/

　　相关信息：

　　Gamaredon APT组织是疑似具有东欧背景的APT团伙，该组织攻击活动最早可追溯到2013年，其主要针对乌克兰政府机构官员，反对党成员和新闻工作者，以窃取情报为目的。

　　根据奇安信红雨滴团队观测从2019年末至今，Gamaredon组织保持高强度的活跃状态，且每次活动都与乌克兰地区的政治以及安全动态有关。2020年1月25日乌克兰安全局宣布在2019年共阻止了482次针对关键基础设施的网络攻击。

　　在五一假期前后，奇安信红雨滴团队发现Gamaredon组织开始了新活动，在此次活动中，该组织依然使用模板注入的方式从远程服务器下载payload，与以往不同的是本次活动下载的payload为带有cve-2017-11882漏洞的rtf文档，而非以往的带有恶意的宏文档来执行后续代码，由于模板注入免杀效果较好，VT上仅有为数不多的杀软报毒。

　　2. Ramsay：DarkHotel针对隔离网络的新型恶意工具包

　　披露时间：2020年05月13日

　　情报来源：

　　https://www.welivesecurity.com/2020/05/13/ramsay-cyberespionage-toolkit-airgapped-networks/

　　相关信息：

　　ESET研究人员在VirusToal发现了一个之前未曾披露过的新型恶意框架，该框架用于收集受害者机器上的敏感文档等信息，ESET将该框架命名为Ramsay。

　　根据ESET的观测显示，自2019年到目前，已有三个版本的Ramsay框架在野利用。分别通过CVE-2017-0199/CVE-2017-11882恶意文档以及7zip安装程序作为攻击媒介。表明该框架仍在不断进行升级换代。且该框架与传统恶意软件不同，Ramsay没有基于网络的C&C通信协议，也不会主动去尝试连接远程服务器。获取控制指令只要靠扫描所有的网络共享以及可移动磁盘中的具有特殊标记的文件，从中读取命令执行。

　　ESET根据Ramsay组件中的某些代码片段发现，该框架与Darkhotel的Retro后门存在相似性，例如多个相同的字符串，相似的解密算法。同时，在恶意文档的元数据中，还存在着韩语相关的信息。

　　3. BackConfig更新换代：针对南亚政府和军事组织的恶意软件分析

　　披露时间：2020年05月11日

　　情报来源：

　　https://unit42.paloaltonetworks.com/updated-backconfig-malware-targeting-government-and-military-organizations/

　　相关信息：

　　Unit42研究人员在过去的4个月中，持续监测到利用鱼叉式钓鱼邮件针对南亚政府和军事组织的攻击活动，此类攻击通过带有恶意的宏的xls文档进行攻击，一旦受害者启用宏后，恶意宏将释放多个恶意组件安装最终的恶意程序，最终插件式木马BackConfig将被执行起来，BackConfig可下载执行各种功能的恶意组件，包括收集系统信息，键盘记录，上传文件等。

　　根据Unit42的分析表明，该APT组织一直在尝试改变攻击方式，但一些习惯却难以改变，例如该组织的宏利用样本，在启用宏后，都会弹出一个虚假的错误消息框，以促使受害者相信文件损坏导致无法查看。但错误消息框的消息内容都存在着拼写或语法错误。

攻击行动或事件情报

　　1. SilverTerrier：利用COVID-19相关信息为诱饵的攻击行动

　　披露时间：2020年05月07日

　　情报来源：

　　https://unit42.paloaltonetworks.com/silverterrier-covid-19-themed-business-email-compromise/

　　相关信息：

　　Unit42研究人员在监测到3个尼日尼亚网络团伙利用疫情相关信息开展攻击活动，Unit42将此类攻击活动统称为SilverTerrier。在SilverTerrier活动中，Uint42在其客户群体中捕获了超过170封钓鱼邮件，这些攻击活动主要针对美国、澳大利亚、加拿大、意大利和英国等地的政府医疗机构、地方政府、保险公司等。

　　在SilverTerrier大多数攻击活动中，攻击者伪装为来自合法部门的邮件，利用疫情相关信息为诱饵，诱导受害者启用恶意附件，从而分发Lokibot,AgentTesla,NanoCore等恶意软件。

　　2. 利用“顺丰速运”下发GuLoader恶意软件的风险分析

　　披露时间：2020年05月09日

　　情报来源：

　　https://cert.360.cn/report/detail?id=c71f09a26d7c130abcdef0fda0aac3bf

　　相关信息：

　　GuLoader是一个使用VB语言编写的恶意软件下载器。它通常从Google Drive、Microsoft OneDrive、MediaFire等托管站点下载恶意代码执行。常见的后续恶意远控程序有：LokiBot、Remcos RAT和AgentTesla等等。GuLoader本身具有较为复杂的执行流程，较强的反调机制使得当前部分在线沙盒无法精确检测恶意行为，同时也给分析人员造成一定阻碍。

　　360-CERT监测到今年以来使用GuLoader恶意软件的网络攻击活动呈现不断增加的态势。近期，360-CERT捕获一例GuLoader钓鱼邮件，该邮件伪装为“顺丰速运”，诱导受害者点击邮件正文的钓鱼链接，从而下载GuLoader压缩包执行。

　　3. 利用JsOutProxRAT针对印度金融业的攻击活动分析

　　披露时间：2020年05月11日

　　情报来源：

　　https://www.zscaler.com/blogs/research/targeted-attacks-indian-government-and-financial-institutions-using-jsoutprox-rat

　　相关信息：

　　2020年4月，ThreatLabz监测到几起针对印度政府机构和银行业的攻击事件，在攻击活动者，攻击者已将钓鱼邮件发送给了印度储备银行，IDBI银行，印度农业银行等金融相关机构，邮件附件中包含基于JavaScript和Java的恶意程序。

　　通过对附件中恶意软件分析发现，基于JavaScript的后门属于JsOutProx RAT家族，该恶意家族最早于2019年12年被披露，同时，基于Java的后门功能也与JsOutProx RAT相似，该家族是具有全功能的JavaScript后门，具有下载执行其他脚本，收集受害者机器信息，重启电脑等功能。

　　4. Mykings僵尸网络更新基础设施，大量使用PowerShell脚本进行“无文件”攻击挖矿

　　披露时间：2020年05月12日

　　情报来源：

　　https://mp.weixin.qq.com/s/Eyqm-lgQovFaJnk3FHihJQ

　　相关信息：

　　MyKings僵尸网络2017年2月左右开始出现，该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机，然后传播包括DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强，影响范围较广，对企业用户危害严重。

　　腾讯安全威胁情报中心发现此次MyKings僵尸网络做了如下更新：

　　1.新增IP、域名、URL;

　　2.大量采用POWERSHELL脚本进行“无文件”落地攻击;

　　3.在清理竞争对手挖矿木马名单中增加了“新冠”挖矿木马;

　　4.使用挖矿账号登陆，隐藏了钱包地址;

　　5.新增白利用文件;

　　6.不同系统版本执行脚本不同;

　　7.获取windows登陆密码。

　　5.“8220”挖矿木马入侵服务器挖矿，组建“海啸”僵尸网络，可发起DDoS攻击

　　披露时间：2020年05月12日

　　情报来源：

　　https://mp.weixin.qq.com/s/X0LeyXch6Bsa_2aF-cItXQ

　　相关信息：

　　“8220”是奇安信威胁情报中心发现命名的挖矿团伙，近期，腾讯安全威胁情报中心检测到“8220”挖矿木马变种攻击。“8220”挖矿团伙擅长利用WebLogic、JBoss反序列化漏洞，Redis、Hadoop未授权访问漏洞等Web漏洞攻击服务器挖矿。该团伙在攻击活动中通过Apache Struts远程代码执行漏洞(CVE-2017-5638)、Tomcat弱口令爆破进行传播的木马大幅增加。

　　木马在横向移动阶段会利用Python实现的Redis未授权漏洞访问漏洞对随机生成的约16万个IP进行扫描攻击，并且利用植入的shell脚本hehe.sh继续利用已有公钥认证记录的机器建立SSH连接进行内网扩散，最终在失陷机器植入多款门罗币挖矿木马以及Tsunami僵尸网络木马，后者被该团伙用来进行DDoS攻击。

　　“8220”挖矿木马团伙的攻击目标包括Windows和Linux服务器，在其使用的FTP服务器上，可以发现针对不同操作系统的攻击模块。该团伙释放挖矿木马时，会检查服务器是否有其他挖矿木马运行，将所有竞争挖矿木马进程结束，以独占服务器资源。

　　根据代码的相似性、C2关联性、挖矿时使用的相同门罗币钱包以及配置文件解密方法、相似的FTP服务器。腾讯安全专家认为，2020年初出现的StartMiner与“8220”挖矿木马属于同一团伙。该团伙当前版本恶意程序与C2服务器的通信已不再使用“8220”端口，根据近期捕获到的样本对其攻击偏好使用的文件名进行总结，发现其具有使用多种脚本包括VBS、PHP、Python、Powershell、Shell进行组合攻击的特点。

恶意代码情报

　　1.【流行威胁追踪】深度分析Netwalker勒索软件

　　披露时间：2020年05月08日

　　情报来源：

　　https://mp.weixin.qq.com/s/IeTZSDhX7E_l2cyT5QJgQA

　　相关信息：

　　Netwalker勒索，也被称为Mailto勒索，Mailto是基于加密文件名格式的勒索软件的名称，Netwalker是基于勒索软件的勒索信内容给出的名称，目前针对的目标是企业和政府机构，近期开始活跃。

　　该家族发展历程如下，2019 年 9 月左右发现了一个新变种的勒索病毒，该勒索病毒根据被加密文件的扩展名被命名为 Mailto。针对企业的Mailto勒索病毒在 2020 年 1 月 31 日针对性攻击澳洲货运与物流公司 Toll Group 的公司网络，加密了连接至公司网络的所有 Windows 设备，高达 1000 台主机被感染，导致该公司关闭许多 IT 系统。2020 年 2 月初澳洲Australian Signals Directorate 的 Australian CyberSecurity Centre (ACSC)发布了此勒索病毒的警报通知。

　　深信服安全团队近期捕获了该勒索软件家族的新变种，经分析该变种采用了PowerShell加载执行dll的方式来执行核心勒索，此样本的核心勒索为一个32位dll文件，提取后查找到实际文件名为Netwalker_dll.dll，经后续分析该勒索会采用多种技巧来规避杀软查杀。

　　2. Astaroth：利用YouTube频道作C2的恶意软件

　　披露时间：2020年05月11日

　　情报来源：

　　https://mp.weixin.qq.com/s/IeTZSDhX7E_l2cyT5QJgQA

　　相关信息：

　　近期，思科Talos团队发现一种新的信息窃取者恶意软件Astaroth，该恶意软件主要针对巴西。通常采用葡萄牙语编写各种诱饵向巴西受害者发送钓鱼邮件，其中还包括COVID-19相关的诱饵邮件。邮件诱导受害者点击邮件中的钓鱼链接， 从而下载执行恶意软件。

　　Astaroth采用了多种混淆和反分析技术以躲避安全研究人员的分析，在第二阶段的js中采用大量混淆干扰分析，当恶意软件落地后，还将进行检查运行环境，检查是否处于虚拟机或沙箱，检查当前运行环境是否有安全研究人员常用的分析工具进程等一系列检查。同时，该恶意软件将YouTube频道作为C2，从频道中获取命令执行。

　　3. Poulight Stealer，新型窃密木马

　　披露时间：2020年05月07日

　　情报来源：

　　https://yoroi.company/research/poulight-stealer-a-new-comprehensive-stealer-from-russia/

　　相关信息：

　　如今，信息窃取是最常见的威胁之一。这类恶意软件包括Azorult，Agent Tesla和Hawkeye等。信息窃取市场是网络罪犯最赚钱的市场之一，从受感染系统收集的信息可以转售到地下网络犯罪中，或用于凭证填充攻击。

　　在过去的两个月中，Yoroi监控了Poulight Stealer信息窃取者的演变和扩散，该信息窃取者很可能起源于俄罗斯。该恶意软件是.NET木马，未采取任何混淆，运行后首先会检查运行环境，判断是否处于虚拟机或沙箱中，之后将进入恶意功能流程，收集受害者计算机上多种敏感信息，例如Skype,Filezilla,Steam等账户密码信息，同时值得注意的是，恶意软件会使用英语和俄语两种语言对窃取的信息进行存储。

　　4. ClodCore：通过云控下发挖矿模块的恶意木马

　　披露时间：2020年05月09日

　　情报来源：

　　https://blog.360totalsecurity.com/en/clodcore-a-malware-family-that-delivers-mining-modules-through-cloud-control/

　　相关信息：

　　近期，360 Baize Lab检测到一个黑客组织已通过各种破解游戏传播了ClodCore木马。感染木马后，病毒作者将使用云控分发挖矿，暗刷和其他病毒模块，以使用受害机器疯狂敛财。受害机器主要分布在俄罗斯，乌克兰和其他国家，累积感染超过50,000。