2020.05.14-2020.05.21
攻击团伙情报
近期响尾蛇APT组织针对周边国家和地区的攻击活动分析
双尾蝎组织(APT-C-23)针对中东地区的最新攻击活动
COMpfun:Turla组织基于HTTP状态码的恶意软件分析
Turla组织Penquin_x64木马分析
Leery Turtle:针对加密货币公司的攻击组织
Greenbug组织针对南亚电信行业的攻击活动分析
攻击行动或事件情报
RATicate:针对多国工业行业的攻击行动
新披露金指狗木马架构:利用软件漏洞规避杀软
Vendetta:来自欧洲的新攻击组织
Mandrake:持续四年的Android平台攻击行动
恶意代码情报
无文件攻击:通过反射加载注入的Netwalker勒索软件
wolf归来:针对泰国的Android恶意木马
小心魔域私服客户端捆绑传播远控木马和挖矿木马
QNodeService:通过Covid-19诱饵传播Node.js木马
攻击团伙情报
1. 近期响尾蛇APT组织针对周边国家和地区的攻击活动分析
披露时间:2020年05月21日
情报来源:
https://mp.weixin.qq.com/s/9LfElDbKCrQX1QzGFISFPw
相关信息:
响尾蛇(又称SideWinder)是疑似具有南亚背景的APT组织,其攻击活动最早可追溯到2012年,主要针对其周边国家政府,军事,能源等领域开展攻击活动,以窃取敏感信息为攻击目的。
2020年,新冠肺炎在全球爆发,大量黑产团伙、APT组织利用疫情相关诱饵信息开展攻击活动。奇安信威胁情报中心曾撰写《COVID-19| 新冠病毒笼罩下的全球疫情相关网络攻击分析报告》[1]一文对利用疫情相关信息的攻击活动进行了总结概述。但疫情尚未结束,利用这一热点进行的攻击活动也越演越烈,奇安信红雨滴团队持续保持着对相关攻击活动的监测。
近期,奇安信威胁情报中心捕获到几例疫情相关的恶意LNK样本,此类样本伪装为受害国家的军方抗击疫情战略、空军大学疫情期间网络在线课程政策等热点信息开展攻击。一旦受害者执行此类恶意样本,LNK文件将从远程服务器下载恶意脚本执行,恶意脚本将释放展示正常的诱饵文档以迷惑受害者,并继续从远程获取第二阶段恶意脚本执行。第二阶段恶意脚本将在受害者计算机上部署相关恶意软件,并通过白加黑的方式加载最终的远程木马,控制受害者机器,从而窃取敏感信息。
奇安信威胁情报中心在发现此次攻击活动的第一时间向安全社区进行预警。
2. 双尾蝎组织(APT-C-23)针对中东地区的最新攻击活动
披露时间:2020年05月18日
情报来源:
https://blogs.360.cn/post/APT-C-23_target_at_Middle_East.html
相关信息:
双尾蝎组织(APT-C-23),是一个针对中东地区相关国家的教育机构、军事机构等重要领域进行网络间谍活动,以窃取敏感信息为主的网络攻击组织。攻击平台主要包括 Windows 与 Android。该组织的攻击活动最早可追溯到2016年,近年来该组织活动频繁不断被数个国内外安全团队持续追踪和披露。
2020年2月16日,以色列国防军IDF网站称,他们发现哈马斯的一系列网络攻击行动,通过制作了多个聊天工具相关的钓鱼网站,利用社交媒体伪装成美女诱骗以色列国防军士兵下载安装伪装成聊天工具的间谍软件,从而窃取以色列国防军的隐私信息,并最终认为与APT-C-23组织有关。
近期,360烽火实验室发现了与以色列国防军曝光的双尾蝎组织攻击行动相关的另一起网络攻击活动,该活动中使用的间谍软件伪装成MygramIM 应用,并利用钓鱼网站进行传播,根据网站信息,此次攻击活动仍然针对中东地区。
3. COMpfun:Turla组织基于HTTP状态码的恶意软件分析
披露时间:2020年05月14日
情报来源:
https://securelist.com/compfun-http-status-based-trojan/96874/
相关信息:
COMpfun是由G-DATA于2014年披露的恶意软件,卡巴斯基基于受害者等信息,将该木马归属到了APT组织Turla。
近期,卡巴斯基捕获一起针对欧洲外交实体的攻击活动,攻击者以签证申请为诱饵开展攻击活动,经卡巴斯基深入分析发现,攻击者采用的恶意软件属于COMpfun家族。该家族木马具有获取受害者所在位置,收集计算机信息,键盘记录以及屏幕截图等功能,是一个全功能远控木马。
值得注意的是,该组织使用了一个独有的c2通信协议,该协议使用了罕见的HTTP/HTTPS状态代码(即IETF RFC 7231,6585,4918),而ClientError类中的几个HTTP状态代码(422-429)会使木马知道操作员想要做什么,在控制服务器发送“Payment Required”(402)状态之后,会执行先前所接收到的命令。
攻击者将RSA公钥和唯一的HTTP ETag保留在加密的配置数据中。出于Web内容缓存原因而创建的此标记也可以用于过滤对C2的请求,如:来自网络扫描程序而非目标的请求。除了上述用于与C2通信的RSA公钥外,该恶意软件还使用自行生成的AES-128密钥。
4. Turla组织Penquin_x64木马分析
披露时间:2020年05月14日
情报来源:
https://www.leonardocompany.com/en/news-and-stories-detail/-/detail/knowledge-the-basis-of-protection
相关信息:
Turla组织(又称Snake,Venomous Bear,Group 88,Uroburos,Waterbufg)是最早于2004就开始活跃的APT组织,该组织技术能力属于世界顶尖水平,并且以开发各种复杂的新型恶意软件而闻名。
2014年,卡巴斯基捕获了Turla组织针对Linux操作系统的攻击组件,并将其命名为Penquin Turla,但自此之后,未有其他公开报告披露该攻击组件。2020年4月,Leonardo安全研究团队捕获一批新的Penquin Turla样本,且包含一些之前从未分析过的样本,Leonardo将未披露过的组件命名为” Penquin_x64”,该组件伪装为系统程序cron进行隐藏运行。
5. Leery Turtle:针对加密货币公司的攻击组织
披露时间:2020年05月20日
情报来源:
https://cyberstruggle.org/delta/LeeryTurtleThreatReport_05_20.pdf
相关信息:
Leery Turtle是自2017年年底开始活跃的APT组织,该组织主要针对全球范围内的加密货币公司进行攻击活动,主要目标为技术和行政人员。
该组织使用钓鱼邮件作为攻击入口,邮件附件中包含有密码的文档附件以及伪装为密码文件的恶意LNK,一旦受害者想获取密码而执行恶意LNK,该恶意文件将会从远程获取恶意脚本,并利用mshta.exe执行恶意脚本,同时将以txt文档的形式展示密码以迷惑受害者。经分析发现,Leery Turtle与微步披露的危险密码组织存在重叠。
6. Greenbug组织针对南亚电信行业的攻击活动分析
披露时间:2020年05月19日
情报来源:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/greenbug-espionage-telco-south-asia
相关信息:
Greenbug是疑似具有伊朗背景的APT组织,有报道称其与shamoon组织存在一定的关系,赛门铁克在2017年发现,Greenbug的恶意程序先于shamoon出现在受害者的机器,但这不能直接证明两者的关系,但或许存在着合作关系。
近期,赛门铁克发现Greenbug正在针对南亚的电信行业进行攻击活动,在此次攻击活动中,该组织利用钓鱼邮件作为攻击入口,并采用公开的工具作为攻击媒介,主要窃取受害者凭据。之后攻击者尝试利用窃取的凭据信息连接受害者服务器。
攻击行动或事件情报
1. 新披露金指狗木马架构:利用软件漏洞规避杀软
披露时间:2020年05月20日
情报来源:
https://mp.weixin.qq.com/s/zrUj0JUSeQWi_qBkoHOZ-Q
相关信息:
近日,奇安信病毒响应中心在日常黑产挖掘过程中发现一个新型木马架构,该架构主要出现在全球华语地区,作者疑似具有中文背景。
该木马架构的免杀效果非常好,采用压缩文件中放置LNK文件的形式进行投递,样本执行过程中利用了Photodex ProShow Producer软件的栈溢出漏洞来执行shellcode,经过几轮内存加载后最终运行大灰狼远控,远程控制受害者电脑。按照以往奇安信对于黑产的命名,我们将该木马架构命名为金指狗,英文名GoldfingerDog。
由于存在漏洞的软件的数字签名仍可用,奇安信病毒响应中心判断危害较大,为防止威胁进一步扩散,奇安信病毒响应中心负责任地对该木马架构进行披露和分析。
2. Vendetta:来自欧洲的新攻击组织
披露时间:2020年05月14日
情报来源:
https://blog.360totalsecurity.com/en/vendetta-new-threat-actor-from-europe/
相关信息:
自4月开始,360baize实验室捕获了大量来自未知黑客组织的攻击样本,此类样本伪装为警察局调查令,COVID-19检测通知等,向受害者发送钓鱼邮件。向受害者计算机中部署后门,从而窃密受害者计算机上有价值的敏感数据。
360baize实验室根据恶意代码中的PDB路径,将该未知黑客组织命名为Vendetta。在某些样本中,黑客声称自己来自意大利,但根据分析,在恶意代码中的一些变量命名显示,黑客喜欢使用某些土耳其词汇进行命名,例如RoboSki。
3. Mandrake:持续四年的Android平台攻击行动
披露时间:2020年05月14日
情报来源:
https://labs.bitdefender.com/2020/05/mandrake-owning-android-devices-since-2016/
相关信息:
Bitdefender近期披露了一个高度复杂的Android恶意框架,因为攻击者常在恶意代码中使用植物名称,Bitdefender将该恶意软件背后的黑客团体命名为”Mandrake”。该恶意软件已在野存在四年之久,且一直持续升级换代。该恶意软件可完全控制受害者设备,例如获取受害者设备的通讯录,短信,位置,照片等信息,还可以加载网页完成钓鱼攻击。
据Bitdefender观测显示,该恶意软件主要针对澳大利亚,欧洲,美洲等,澳大利亚为主要的受害地。目前,已在Google Play商店发现了7个类别的恶意软件,主要关于财务,汽车,视频播放器,艺术等主题,同时,为了证明恶意软件是正规合法的应用,攻击者还会搭建网站,创建twitter等社交媒体账户。
4. RATicate:针对多国工业行业的攻击行动
披露时间:2020年05月14日
情报来源:
https://news.sophos.com/en-us/2020/05/14/raticate/
相关信息:
据sophos研究人员观测,自2019年11月到2020年1月,一个未知的黑客团体利用钓鱼邮件开展攻击活动,在这些活动中,攻击者利用NSIS安装程序部署恶意木马。其主要针对欧洲,中东,韩国的工业公司进行攻击。sophos将该未知黑客团体命名为RATicate。
NSIS安装程序通过钓鱼邮件附件文档释放或远程链接下载释放。然后,它将释放初始DLL加载程序和加密数据。加载程序从内存缓冲区中的Cluck文件解密shellcode和第二个加载程序,在NSIS释放垃圾文件时将该加载程序注入内存。第二个加载程序再次读取Cluck文件,解密从未使用过的shellcode,在子进程中注入最终的有效载荷,其中包括Lokibot、Betabot、Formbook和AgentTesla。
根据捕获的电子邮件,sophos研究人员已确定RATicate针对的公司包括:
罗马尼亚的电气设备制造商;
一家科威特建筑服务和工程公司;
韩国互联网公司;
韩国投资公司;
英国建筑供应商;
韩国医学新闻刊物;
韩国电信和电缆制造商;
瑞士出版设备制造商;
日本的快递和运输公司
恶意代码情报
1. wolf归来:针对泰国的Android恶意木马
披露时间:2020年05月19日
情报来源:
https://blog.talosintelligence.com/2020/05/the-wolf-is-back.html
相关信息:
思科Talos团队近期发现了一种新的Android恶意软件,根据该恶意软件的c2通信基础架构与Wolf Research存在联系,Talos团队将该木马命名为WolfRAT。WolfRAT主要针对泰国开展攻击活动,一些c2服务器位于泰国,c2域名还包含一些泰国食物的名字,c2的Javascript代码中还包含有泰国文字的注释。
WolfRAT基于泄露的DenDroid进行开发。通过模仿合法服务,例如Google服务,Flash更新等诱导受害者使用。较之一些成熟的Android恶意软件,WolfRAT功能单一,且大量复制使用公开代码,导致恶意程序不稳定且包含大量无用代码。
2. 小心魔域私服客户端捆绑传播远控木马和挖矿木马
披露时间:2020年05月19日
情报来源:
https://mp.weixin.qq.com/s/eBPMlCSbYM_Ql5Mky9XTAw
相关信息:
近期腾讯安全威胁情报中心检测到网络游戏《魔域》私服传播挖矿木马和远程控制木马。木马首先伪装成游戏保护进程TQAT.exe随着游戏启动而执行,随后释放大灰狼远控木马DhlServer.exe,并利用远控木马的下载执行功能继续下载门罗币挖矿木马ws.exe,腾讯安全威胁情报中心将其命名为MoyuMiner。
大灰狼远控木马安装后会完全控制用户系统,上传用户文件,窃取隐私,在用户电脑下载安装其他木马,利用用户电脑做跳板攻击其他系统。而门罗币挖矿木马运行之后,会增加系统资源消耗,影响游戏软件的流畅运行。
《魔域》是网龙网络控股有限公司研发的大型网络游戏,在外网存在较多私服版本,这些私服版本游戏由于不受官方控制,容易成为病毒木马的传播渠道,截止目前MoyuMiner已感染超过5000台电脑。
3. QNodeService:通过Covid-19诱饵传播Node.js木马
披露时间:2020年05月14日
情报来源:
https://blog.trendmicro.com/trendlabs-security-intelligence/qnodeservice-node-js-trojan-spread-via-covid-19-lure/
相关信息:
趋势科技研究人员根据公开信息,发现一例检测率较低的JAVA下载器。该下载器名为”Company PLP_Tax relief due toCovid-19 outbreak CI+PL.jar”,表明该样本是利用COVID-19热点进行攻击的网络钓鱼活动。该下载器运行后将会从远程下载Node.js编写的木马执行。Node.js恶意木马不常见,因为Node.js是为web服务器开发而设计的,一般受害者计算机不会预装相关软件,但是,用不常见的平台可能有助于逃避防病毒软件的检测。下载执行的Node.js恶意软件具有下载文件,上传文件,执行其他文件等功能,并能从Chrome/Firefox浏览器窃取用户账户密码。
4. 无文件攻击:通过反射加载注入的Netwalker勒索软件
披露时间:2020年05月18日
情报来源:
https://blog.trendmicro.com/trendlabs-security-intelligence/netwalker-fileless-ransomware-injected-via-reflective-loading/
相关信息:
威胁行动者正在不断创造出更复杂的方式来使恶意软件逃避防御。趋势科技近期观测到Netwalker 勒索软件使用了新的攻击方式,且采用powershell进行部署,直接在内存中执行勒索功能,而没有将实际的勒索软件二进制文件存储到磁盘中。此类方法使得该勒索软件变种成为无文件威胁,从而使其能够保持持久性并逃过杀软的检测。
这种类型的威胁利用了一种称为反射式动态链接库(DLL)注入的技术,也称为反射式DLL加载。该技术允许从内存而不是从磁盘注入DLL。该技术比常规的DLL注入更为隐秘,因为除了不需要磁盘上的实际DLL文件之外,它也不需要任何Windows加载程序即可注入。
