2024.06.28~07.04
攻击团伙情报
Kimsuky组织部署TRANSLATEXT扩展以针对韩国学术界
Transparent Tribe组织利用CapraRAT间谍软件发起CapraTube活动
Rejetto HTTP File Server未授权RCE漏洞被用于投递恶意程序
Andariel组织向韩国国防和制造业分发Xctdoor恶意软件
攻击行动或事件情报
Volcano Demon勒索软件组织活动追踪
蠕虫病毒伪装传播,根目录文件遭神秘删除
8220 Gang挖矿团伙新工具k4spreader揭秘
微软Office漏洞CVE-2021-40444用于部署MerkSpy信息窃取程序
Unfurling Hemlock:向多国传播大量恶意软件以牟取经济利益
Notezilla、RecentX以及Copywhiz程序遭到供应链攻击
伪装成破解程序和商业工具的新型恶意软件正在传播
Water Sigbin组织持续投递PureCrypter加载器和XMRIG挖矿程序
Poseidon窃取程序通过Google广告感染Mac用户
恶意代码情报
Mallox勒索软件新Linux变种现世
Eldorado勒索软件信息公开
勒索新秀 Brain Cipher
FakeBat恶意软件加载器详情披露
Lumma Stealer恶意软件剖析
Orcinius后门新样本分析
漏洞情报
攻击团伙情报
01
Kimsuky组织部署TRANSLATEXT扩展以针对韩国学术界
**披露时间:**2024年6月27日
相关信息:
研究人员近日披露了于2024年3月观察到的由朝鲜政府支持的Kimsuky组织的新间谍活动。据悉,Kimsuky在本次活动中主要利用了新Google Chrome扩展程序"TRANSLATEXT",攻击者最初于2024年3月7日将其上传到控制的GitHub存储库,重点针对韩国学术领域,尤其是参与朝鲜事务相关的政治研究人员。其中,TRANSLATEXT可绕过Gmail、Kakao和Naver等多家著名电子邮件服务服务商的安全措施,专门用于窃取电子邮件地址、用户名、密码、cookie以及捕获浏览器屏幕截图。
调查显示,活动感染链始于一个名为"한국군사학논집 심사평서(1).zip"的压缩文件,文件包含两个诱饵文件,分别是在韩国流行的办公文件HWP文档,以及伪装成相关文档的Windows可执行文件。一旦启动可执行文件,恶意软件就会从攻击者的服务器检索PowerShell脚本,然后上传受害者的基本信息,并进一步从GitHub上获取伪装为Google翻译扩展的"GoogleTranslate.crx",即实际上包含四个恶意Javascript文件的TRANSLATEXT。
02
Transparent Tribe组织利用CapraRAT间谍软件发起CapraTube活动
**披露时间:**2024年7月1日
相关信息:
研究人员近日披露了一个于2023年9月观察到的名为CapraTube的恶意活动。据悉,该活动与Transparent Tribe组织有关,该组织两年来一直在利用CapraRAT针对印度政府和军事人员进行攻击,并存在利用鱼叉式网络钓鱼、水坑攻击等手段来传播各种Windows和Android间谍软件的历史。调查显示,本次活动中,攻击者主要使用了4个武器化的Android应用程序来冒充YouTube等合法程序,旨在通过社会工程学手段向移动游戏玩家、武器爱好者和TikTok粉丝传播CapraRAT间谍软件。其中,CapraRAT为AndroRAT的修改版本,能够捕获各种敏感数据。它的每个新版本均使用WebView来启动YouTube或移动游戏网站CrazyGames.com的URL,同时会在后台利用其权限来访问位置、短信、联系人和通话记录、拨打电话、截屏或录制音频和视频。此外,研究人员表示,截止目前,CapraRAT代码的更新很少,但这表明其开发人员专注于使该工具更加可靠和稳定。
03
Rejetto HTTP File Server未授权RCE漏洞被用于投递恶意程序
**披露时间:**2024年6月28日
**情报来源:**https://asec.ahnlab.com/ko/67509/
相关信息:
近期,安全人员发现漏洞CVE-2024-23692正在遭受攻击者的利用,攻击者向HFS发送包含命令的数据包,导致HFS执行恶意命令。攻击者首先会使用whoami、arp等命令收集系统信息,随后添加后门账户或隐藏账户,安装恶意软件或者进行远程桌面访问。目前,安全人员已观察到攻击者部署XMRig挖矿程序、XenoRAT、Gh0stRAT、PlugX、CobaltStrike、GoThief等。其中,GoThief是攻击者主要使用的信息窃取程序,该程序通过AWS窃取受害主机的信息,信息包括文件信息、截屏图片等。安全人员表示,目前利用该漏洞的攻击者至少有四个,其中一个为LemonDuck。
04
Andariel组织向韩国国防和制造业分发Xctdoor恶意软件
**披露时间:**2024年7月1日
**情报来源:**https://asec.ahnlab.com/en/67558/
相关信息:
研究人员最近发现了一个利用韩国ERP解决方案针对该国国防和制造业进行攻击的案例。据悉,渗透系统后,攻击者破坏了特定韩国ERP解决方案的更新服务器,以控制国防部门的系统。在另一个案例中,存在不当配置或漏洞的韩国制造业公司的Windows IIS Web遭受攻击以传播恶意软件。经进一步分析,研究人员发现了一个将恶意例程插入到现有ERP解决方案更新程序中的恶意软件,由于攻击者在开发过程中使用了字符串"XctMain",恶意软件因此被归类为Xctdoor。其中,插入恶意例程的方法与2017年Andariel组织利用其安装HotCroissant后门的案例类似。
Andariel是Lazarus组织的一个子组织。它于2015年11月首次被发现,其活动直到2016年初才得到确认。该组织最近的ERP攻击活动发生在2024年5月,攻击者通过插入一个例程,接着使用了Regsvr32.exe进程以从特定路径执行能够窃取系统信息并执行攻击者命令的恶意软件DLL,即Xctdoor。Xctdoor采用Go语言开发,执行过程中将首先利用名为"settings.lock"的同样基于Go语言的XcLoader注入器恶意软件,它负责将"roaming.dat"文件注入到explorer.exe进程中,此前还存在一个C语言版本。最终,Xctdoor后门将使用HTTP协议与C2服务器通信,报文加密则采用Mersenne Twister(mt19937)算法和Base64算法,然后会把用户名、计算机名称和恶意软件的PID等基本信息传输到C2服务器,并执行从其接收的命令。此外,它还支持屏幕截图、键盘记录、剪贴板记录和传输驱动器信息等信息盗窃功能。
攻击行动或事件情报
01
Volcano Demon勒索软件组织活动追踪
**披露时间:**2024年7月1日
**情报来源:**https://blog.sonicwall.com/en-us/2024/06/new-orcinius-trojan-uses-vba-stomping-to-mask-infection/
相关信息:
研究人员近期监测到了一个新勒索软件组织,并将其追踪为Volcano Demon,该勒索组织通过从网络收集的通用管理凭据后成功锁定了Windows工作站和服务器,最终利用名为LukaLocker的加密器样本实现了双重勒索操作。其中,LukaLocker样本于2024年6月15日首次被发现,该勒索软件是基于C++编写的x64 PE二进制文件,它还存在Linux版本,常采用API混淆和动态API解析来隐藏其恶意功能,进而逃避检测、分析和逆向工程。加密时,主要采用Curve25519上的椭圆曲线Diffie-Hellman(ECDH)密钥协商算法,加密后则将附加.nba扩展名。
02
蠕虫病毒伪装传播,根目录文件遭神秘删除
**披露时间:**2024年7月3日
**情报来源:**https://mp.weixin.qq.com/s/P\_WqwkTT7ppjyXagQjo6PA
相关信息:
近期,安全人员发现一个名为USB_Disk.exe的蠕虫病毒正在传播,该程序可在后台自动感染插入主机的可移动硬盘,并隐藏自身。经分析,该样本包含多个模块,采用白加黑手段,具有U盘传播、虚拟机检测、自启动设置、文件管理和CMD后门等多种功能。病毒运行后首先进行初始化,检查当前目录,制造伪装以欺骗用户,通过wwnotray.exe加载wweb32.dll文件,并调用其导出函数,该函数可建立持久化、执行蠕虫和创建后门。程序还会通过reg.exe设置注册表实现蠕虫模块和后门模块的自启动。蠕虫模块的主要功能是将病毒文件复制到可移动磁盘中,并将可移动磁盘中的文件移动到隐藏文件夹中。而后门模块的主要功能则是收集主机信息、文件管理、CMD远程执行以及循环发送心跳包以保持连接。此外,该病毒还具有一个vmdetect程序,用于检查当前环境是否为虚拟环境。
03
8220 Gang挖矿团伙新工具k4spreader揭秘
**披露时间:**2024年6月25日
**情报来源:**https://blog.xlab.qianxin.com/8220-k4spreader-new-tool-cn/
相关信息:
奇安信近期发现了一个VT 0检测率的基于C语言编写的ELF样本,该样本使用变形的UPX加壳,脱壳后可得到另一个加壳的使用cgo的方式编写的elf文件。经研究人员分析发现,此文件为8220 Gang挖矿团伙的新二进制工具:k4spreader,主要用于安装其它恶意软件,如构建Tsunami DDoS僵尸网络和安装PwnRig挖矿程序。据悉,该工具最早出现在2024年2月,主要利用CVE_2020_14882、JBoss_AS_3456_RCE和YARN_API_RCE漏洞进行传播,其核心功能基于Go编写,尚处于开发阶段,目前已出现3个变种。三个版本中,在静态免杀方面,v1/v2只有一层变形的upx加壳,v3则变成了两层。在整体功能改动上,v1版本实现了基础的持久化、下载更新自身、释放内嵌的Tsunami/PwnRig程序并执行的功能。v2版本在v1基础上修改了cc域名,能够关闭防火墙、放行所有网络流量、检查自身运行状态,并规范了样本下载流程。v3则在v2基础上再次修改cc域名,同时增加了日志打印功能,还可检测不同的运行时端口。期间,下载的Tsunami为流行的僵尸网络家族,它通过IRC协议进行控制和通信,主要功能包括远程控制和DDoS攻击。PwnRig则基于开源的XMRig挖矿工具修改,主要用于门罗币挖矿。
04
微软Office漏洞CVE-2021-40444用于部署MerkSpy信息窃取程序
**披露时间:**2024年6月27日
相关信息:
近期,安全人员发现攻击者利用微软Office漏洞CVE-2021-40444部署名为MerkSpy的信息窃取程序。MerkSpy可监测用户活动、捕捉敏感信息、建立持久性。本次攻击活动始于一个word文档,文档内容为软件开发岗的岗位描述。当用户打开文档后,文档会触发CVE-2021-40444漏洞的利用。无需用户交互,攻击者就可以进行远程命令执行。命令将下载后续阶段载荷,载荷为html文件,文件末尾携带shellcode。当系统架构为x64时,shellcode会被释放并写入内存,随后通过创建进程执行注入的shellcode。shellcode实际是一个下载器,可从远程服务器下载并执行恶意负载。负载伪装为GoogleUpdate,携带加密的核心恶意代码。核心恶意代码由VMProtect保护,可将MerkSpy注入至系统进程。MerkSpy初始化后将进行截屏、记录键盘输入、获取Chrom登录凭据等操作。窃取的数据通过HTTP POST请求传输至攻击者主机。
05
Unfurling Hemlock:向多国传播大量恶意软件以牟取经济利益
**披露时间:**2024年6月27日
**情报来源:**https://outpost24.com/blog/unfurling-hemlock-cluster-bomb-campaign/#introducing-unfurling-hemlock
相关信息:
近期,安全人员披露了一个新的黑客组织,并将其命名为Unfurling Hemlock。该组织疑似与东欧国家存在关联,无固定攻击目标,主要目的为大批量传播恶意软件以牟取经济利益。该组织常使用CAB文件进行初始感染,文件被命名为““WEXTRACT.EXE .MUI”,伪装成Windows官方文件,文件内容一旦被解压,其中的恶意代码就会被执行,文件会逐步释放恶意程序,如Redline、Smokeloader。攻击活动从2023年2月开始一直持续到2024年初,数以千计的样本通过该种方式进行了大批量传播。传播的恶意软件程序主要包括Redline、Mystic Stealer、RisePro、Amadey、SmokeLoader。目前,遭到该组织攻击的国家有美国、德国、俄罗斯、土耳其等。
06
Notezilla、RecentX以及Copywhiz程序遭到供应链攻击
**披露时间:**2024年6月27日
相关信息:
近期,安全人员发现一起供应链攻击活动。攻击者攻陷了印度公司Conceptworld的官网,并且替换了官网提供的Notezilla、RecentX以及Copywhiz试用程序。攻击者将三种程序都替换为经过木马化的版本,程序可导致信息窃取软件感染主机。安全人员以木马化Notezilla程序进行分析,程序采用Smart Install Maker进行打包。经分析,该程序除了包含正规的Notezilla程序,还包含多个其他文件,如dllCrt32.exe。
当程序运行后,用户只会看到Notezilla程序的安装页面,实际上,dllCrt32.exe程序也会被执行,通过调用函数执行bat脚本,脚本会创建隐藏的计划任务。任务将在用户安装程序三个小时后执行后续恶意exe文件。最终,常用浏览器的数据和多种数字货币钱包的信息将被窃取。所有窃取的数据均会通过7z程序打包,并被上传至远程C2服务器。此外,程序还可下发具有键盘记录和恶意代码下载功能的文件。安全人员深入分析后,将经过木马化的程序归因到一个无名的恶意软件家族,并将其命名为dllFake,该家族至少从2024年一月开始进行恶意程序分发。
07
伪装成破解程序和商业工具的新型恶意软件正在传播
**披露时间:**2024年6月27日
**情报来源:**https://asec.ahnlab.com/en/67502/
相关信息:
近期,研究人员发现一种伪装成破解程序和商业工具的新型恶意软件正在传播。恶意软件伪装为Office产品破解版、Opera浏览器安装包、360安全产品安装包等,当用户点击下载链接时,链接并非分发固定的恶意软件,而是立即生成一个恶意软件进行响应。由于用户的每次请求都会创建并分发一种新的恶意软件变种,软件每次下载时,样本本身的C2 URI和哈希值都会发生变化。
恶意软件采用InnoSetup创建,攻击者使用InnoDownloadPlugin插件来下载额外的安装程序。在进行C2通信时,进一步的恶意软件样本下载链接被置于HTTP报文的Location字段中。此外,一个伪装为Microsoft Visual C++安装程序的恶意MSI文件也将被下载至本地主机,当MSI文件执行后,文件会创建并执行一个Node.js文件和一个经过混淆的恶意脚本。该恶意脚本为Lu0Bot恶意软件,该软件会收集受害主机的信息并执行命令。
08
Water Sigbin组织持续投递PureCrypter加载器和XMRIG挖矿程序
**披露时间:**2024年6月28日
**情报来源:**https://www.trendmicro.com/en\_us/research/24/f/water-sigbin-xmrig.html
相关信息:
Water Sigbin组织,又名8220 Gang,主要部署数字货币挖矿程序。攻击者近期常利用Weblogic漏洞CVE-2017-3506和CVE-2023-21839部署恶意程序。近期,安全人员对该组织投递PureCrypter加载器和XMRIG挖矿程序的攻击活动进行了分析。恶意负载首先通过漏洞CVE-2017-3506执行,负载会使用Base64解码第一阶段的载荷。
载荷将下发并执行伪装为wireguard2-3.exe的文件,该文件实际是一个木马加载器,可在内存中执行第二阶段的载荷。第二阶段载荷仍然是一个木马加载器,可通过AES算法解密其携带的负载,负载随后通过GZip解压,通过protobuf-net进行反序列化。加载器创建了一个新的进程,并通过进程注入将下一阶段载荷加载到内存中。最终,PureCrypter加载器和XMRig挖矿程序将被部署。
09
Poseidon窃取程序通过Google广告感染Mac用户
**披露时间:**2024年6月27日
**情报来源:**https://www.malwarebytes.com/blog/news/2024/06/poseidon-mac-stealer-distributed-via-google-ads
相关信息:
研究人员今日观察到一项恶意活动正通过Arc浏览器的Google广告分发针对Mac用户的窃取程序。据悉,本次活动中投放的macOS窃取程序此前被跟踪为"OSX.RodStealer",现在被研究人员重命名为"Poseidon"。经进一步调查显示,一个名为"Rodrigo4"的攻击者一直在XSS论坛中开发一种与臭名昭著的Atomic Stealer(AMOS)具有相似功能和代码库的Poseidon窃取程序,它包括文件抓取器、加密钱包提取器、密码窃取器和浏览器数据收集器等几大功能,似乎还被宣传为可从Fortinet和OpenVPN窃取VPN配置。该窃取程序被发现通过一则属于"Coles & Co"的Arc浏览器的Google广告进行分发,用户一旦点击广告,就会被重定向到一个仅提供Arc for Mac的钓鱼网站,进而下载类似于安装新Mac应用程序时的DMG文件,它可绕过安全保护,最终将获取Poseido程序。
恶意代码情报
01
Mallox勒索软件新Linux变种现世
**披露时间:**2024年7月3日
**情报来源:**https://www.uptycs.com/blog/mallox-ransomware-linux-variant-decryptor-discovered
相关信息:
Mallox勒索软件也称为Mawahelper,自2021年中期以来一直活跃,采用双重勒索策略,并从2022年中期开始执行勒索软件即服务分发模式。在初始版本中,Mallox主要针对Windows系统,其有效负载通常是基于.NET、.EXE或.DLL文件,这些文件通过各种方法传播,包括暴露的MS-SQL服务器以及网络钓鱼或垃圾邮件。近期,Uptycs发现了一个名为web_server.py的Python脚本。经进一步分析发现,它为基于Flask的Mallox勒索软件Web面板,可用于为Linux系统创建快速且可定制的勒索软件。该脚本本质上是为任何注册用户创建一个Mallox勒索软件加密器和一个解密器,它使用数据库凭据的环境变量连接到后端数据库,包括用户身份验证、构建管理和管理功能的路由,支持新用户注册、登录、密码重置以及勒索软件构建、管理和下载。此外,该应用程序还具有用户配置文件管理、构建聊天界面以及自定义404错误页面等功能。
02
Eldorado勒索软件信息公开
**披露时间:**2024年7月3日
**情报来源:**https://www.group-ib.com/blog/eldorado-ransomware/
相关信息:
近期,安全人员披露了一个新的勒索软件Eldorado。该软件基于Go语言,包含两种版本分别针对Windows平台和Linux平台。勒索软件使用Chacha20算法进行文件加密,使用RSA-OAEP进行密钥加密,加密文件均携带.00000001后缀,文件加密完成后,勒索软件会运用Powershell命令用随机字节覆盖加密器,然后删除卷影副本。截至2024年6月,已有16家来自不同国家和行业的公司遭受到了Eldorado勒索软件的攻击,其中主要遭受攻击的国家为美国、意大利和克罗地亚,遭受攻击的行业有房地产、教育、专业服务、医疗保健、制造业等。
03
勒索新秀 Brain Cipher
**披露时间:**2024年6月28日
**情报来源:**https://mp.weixin.qq.com/s/xXUBLE43ZZorfVd62FWm4g
相关信息:
研究人员近日披露,新兴勒索软件组织Brain Cipher入侵了印度尼西亚国家数据中心,扰乱了机场的移民检查,并试图勒索1310亿印度尼西亚盾的赎金。经研究人员对比发现,该勒索软件与此前泄露的Lockbit 3.0构建器生成的勒索软件具有高度相似性,可能是基于此构建器生成,且其使用了2种勒索信。不过,与其它勒索团伙不同,Brain Cipher并未在勒索信中写明赎金金额和钱包地址,相关信息仅在勒索信中指定的Tor交流页面中进行沟通。但Brain Cipher也有一个数据泄漏站点,目前看起来像是半成品,仅包含当前受害者的勒索信息。
04
FakeBat恶意软件加载器详情披露
**披露时间:**2024年7月2日
相关信息:
2024年,研究人员发现了多个分发FakeBat(又名EugenLoader、PaykLoader)的恶意活动,攻击者常利用冒充合法软件的登陆页面,并通过恶意广告、受感染网站上的虚假网络浏览器更新以及社交网络上的社会工程学策略进行传播。据了解,FakeBat以恶意软件即服务(MaaS)的形式出售给犯罪分子,它在2024年第一季度是使用偷渡式下载技术的最广泛的加载器之一。
其中,FakeBat是一种MSI格式的加载器,至少自2022年12月起,就被攻击者Eugenfest(又名Payk_34)在漏洞利用论坛上作为加载器即服务进行出售,提供多种反检测功能,主要用于下载并执行下一阶段有效负载,例如IcedID、Lumma、Redline、SmokeLoader、SectopRAT和Ursnif。通过购买此服务,FakeBat客户可以访问管理面板,通过提供的模版来木马化合法软件,从而引导受害者执行FakeBat。除了标准MaaS软件包外,FakeBat运营商还提供基于加载程序、专用登陆页面和可能的搜索引擎广告的分发服务。
05
Lumma Stealer恶意软件剖析
**披露时间:**2024年6月29日
**情报来源:**https://www.cyfirma.com/research/lumma-stealer-tactics-impact-and-defense-strategies/
相关信息:
研究人员近期对Lumma Stealer信息窃取恶意软件进行了全面分析。据悉,Lumma Stealer(也称为 LummaC2 Stealer)基于C语言编写,目标数据范围广泛,包括个人、财务和各种应用程序,旨在窃取敏感数据(如加密货币钱包、网络浏览器信息、电子邮件凭证、财务数据、用户目录中的敏感文件、个人数据、FTP客户端数据等),它可采用事件控制写入操作和加密等先进技术来逃避检测,并将恶意代码注入到合法的Windows进程中以执行数据窃取和泄露,常通过钓鱼网站冒充合法防病毒软件(如Bitdefender)进行分发和推广,且至少自2022年8月起,就一直在俄语论坛上作为恶意软件即服务(MaaS)运行,其背后的开发者据信是"Shamel",目前则正在Telegram和专用网站上出售。
06
Orcinius后门新样本分析
**披露时间:**2024年6月27日
**情报来源:**https://blog.sonicwall.com/en-us/2024/06/new-orcinius-trojan-uses-vba-stomping-to-mask-infection/
相关信息:
近期,安全人员捕获到Orcinius的一个新样本。Orcinius是一个多阶段木马,使用Dropbox和Google Docx下载后续阶段负载。感染链始于一个Excel文件,文件内容为意大利各城市计费周期。文件包含一个通过VBA stomping技术修改的VBA宏。宏代码运行后将检测并创建VBAWarnings注册表以隐藏告警,随后建立持久化,访问远程服务器下载负载,监控键盘输入。此外,安全人员还发现下载Synaptics文件的URL。Remcos、AgentTesla、Neshta等多个恶意软件常常伪装为Synaptics.exe。
漏洞情报
01
OpenSSH 远程代码执行漏洞(CVE-2024-6387)存在安全风险
**披露时间:**2024年7月2日
**情报来源:**https://mp.weixin.qq.com/s/dq9PW-FXgwMS3SawpENwsQ
相关信息:
OpenSSH是一套基于安全外壳(SSH)协议的安全网络实用程序,它提供强大的加密功能以确保隐私和安全的文件传输,使其成为远程服务器管理和安全数据通信的必备工具。
近日,奇安信CERT监测到官方修复OpenSSH 远程代码执行漏洞(CVE-2024-6387),该漏洞是由于OpenSSH服务器 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。目前该漏洞技术细节和POC已在互联网上公开,该漏洞为之前CVE-2006-5051的二次引入,当前的漏洞利用代码仅针对在32位Linux系统上运行的OpenSSH,64位Linux系统上利用该漏洞的难度会更大,在Linux系统上以Glibc编译的OpenSSH上成功利用,不过利用过程复杂、成功率不高且耗时较长。平均要大于10000次才能赢得竞争条件,需要6~8小时才能获得远程root shell。在以非Glibc编译的OpenSSH上利用此漏洞也是可能的,但尚未证实。
点击阅读原文至ALPHA 7.0
即刻助力威胁研判
