长亭百川云 - 文章详情

每周高级威胁情报解读(2024.06.21~06.27)

奇安信威胁情报中心

67

2024-07-13

2024.06.21~06.27

攻击团伙情报

  • Kimsuky组织新型后门HappyDoor披露

  • UAC-0184组织向乌克兰用户分发XWORM RAT

  • 深入分析响尾蛇针对国内的攻击行动     

  • 揭秘APT-C-56(透明部落)利用Linux桌面文件的攻击手法

攻击行动或事件情报

  • 俄罗斯多个行业遭到ReaverBits组织攻击

  • “游蛇”黑产团伙利用恶意文档进行钓鱼攻击活动分析

  • SneakyChef 间谍组织利用 SugarGh0st 和其他感染技术攻击政府机构

  • GrimResource技术:在MSC文件中引用存在漏洞的APDS资源并下发后门

  • PHANTOM#SPIKE活动:攻击者使用CHM文件向巴基斯坦用户发送C#后门

  • Boolka组织使用BeEF框架构建网页传播多种恶意软件

恶意代码情报

  • Cobalt Strike恶意软件最新发现揭秘

  • 新Medusa木马变种可瞄准七个国家的安卓用户

  • utilitytool系列Py包开展XenoRAT远控木马投毒

  • P2Pinfect僵尸网络恶意软件不断发展以部署勒索和挖矿程序

漏洞情报

  • Progress MOVEit Transfer身份认证绕过漏洞(CVE-2024-5806)存在安全风险

攻击团伙情报

01

Kimsuky组织新型后门HappyDoor披露

**披露时间:**2024年6月26日

**情报来源:**https://asec.ahnlab.com/ko/67128/

相关信息:

安全人员近期披露了Kimsuky组织的新后门HappyDoor。该后门在2021年被安全人员发现,最新版本在2024年1月被生成。后门主要通过钓鱼邮件分发,邮件附件包含一个压缩文件,文件中存在经过混淆的恶意JS脚本或者加载器。恶意代码运行后会通过regsvr32.exe运行后门核心文件,核心文件是一个dll文件。文件会自我复制,可进行信息窃取,窃取的信息涉及屏幕截图、键盘记录、文件、录音等。窃取的数据通过RSA和RC4加密。此外,HappyDoor后门还提供命令执行、dll执行、内存执行、文件上传等多种指令。

02

UAC-0184组织向乌克兰用户分发XWORM RAT

**披露时间:**2024年6月25日

**情报来源:**https://cyble.com/blog/uac-0184-abuses-python-in-dll-sideloading-for-xworm-distribution/

相关信息:

近期,安全人员发现黑客组织UAC-0184针对乌克兰投递远控木马。攻击者通过钓鱼攻击传播zip压缩文件,压缩包中包含恶意LNK文件,当用户打开LNK文件后,文件将执行起携带的恶意代码,展示诱饵excel,下载pkg.zip和sud.exe文件。pkg.zip解压后会执行pythonw.exe。pythonw.exe将通过DLL侧加载技术加载名为python310.dll的文件,python310.dll会cmd初始化MSBuild进程,程序会解密Shadowladder恶意程序并利用Process Hollowing技术将特定shellcode注入到MSBuild程序中。经分析,注入的shellcode为XWORM RAT。XWORM RAT可提供数据窃取、DDos攻击、加密货币地址置换、勒索软件部署等功能。

03

深入分析响尾蛇针对国内的攻击行动   

**披露时间:**2024年6月24日

**情报来源:**https://mp.weixin.qq.com/s/ENDm2bVzw89TlkljZYFdbw

相关信息:

响尾蛇组织, 又称SideWinder、APT-C-17、T-APT-04,是一个来自南亚地区的境外APT组织。该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2012年,至今还非常活跃,该组织主要针对政府机构、军事单位、高等院校进行攻击。

攻击链路各个阶段都有所变化,初始访问:1.a文件变成网络下载在内存中执行javascript代码,不再落地为文件;持久化:新增服务驻留操作;命令控制:驻留的加载器不断访问C2获取组件加载执行,组件有多种:命令执行、窃密、远控等。

04

揭秘APT-C-56(透明部落)利用Linux桌面文件的攻击手法

**披露时间:**2024年6月21日

**情报来源:**https://mp.weixin.qq.com/s/FT7xvyGdk-WaB9nfYWPMUg

相关信息:

近期,研究人员捕获到了一起南亚APT-C-56组织通过Linux桌面应用分发恶意载荷的攻击活动。调查显示,活动感染链始于一个zip压缩文件,攻击者将诱导用户在Linux环境下执行压缩包中的"approved_copy.desktop"文件。据悉,.desktop类型的文件是Linux桌面环境中用于定义应用程序启动器的文件格式,可以视为Linux系统中的快捷文件。该文件大小超过1MB,使用了大量的"#"符号来增大文件以绕过安全检测,运行后会下载并打开诱饵文件approved_copy.pdf,接着创建隐藏目录local/share并在该目录下保存下载的两个恶意载荷bsdutils-taR和notification-update,然后创建/dev/shm/myc.txt脚本以重启计算机并执行恶意载荷。其中,下载的两个恶意载荷功能相同,均为由Golang编写的ELF文件,实际上属于Mythic框架下的Poseidon组件,主要用于设置持久化,等待服务器响应并执行指令,功能包括:键盘记录、上传下载、端口扫描、屏幕捕获、内存执行、远程管理和命令执行等,进而实现窃密活动。

攻击行动或事件情报

01

俄罗斯多个行业遭到ReaverBits组织攻击

**披露时间:**2024年6月26日

**情报来源:**https://www.facct.ru/blog/reaverbits/

相关信息:

近期,安全人员发现存在一批新的攻击者针对俄罗斯各个公司和部门发送恶意电子邮件。安全人员将该组织命名为ReaverBits。目前,安全人员共捕获到5封邮件,分别针对了俄罗斯的零售公司、电信公司、加工公司、农工协会和联邦基金。其中,邮件一内容为通知用户获得Skyey商店的高额礼品卡。邮件二伪装为俄罗斯UAZ公司,向农工协会发送UAZ车辆折扣。邮件三、四伪装为俄罗斯数字发展部针对零售业公司。邮件五伪装为俄罗斯联邦基金部门员工向另一名员工发送信息。这些邮件都包含zip压缩包,压缩包中存在恶意文件,可使主机感染MetaStealer或者LuckyDownloader。安全人员分析发现LuckyDownloader背后还存在另一个攻击者,并将该攻击者命名为LuckyBogdan。

02

“游蛇”黑产团伙利用恶意文档进行钓鱼攻击活动分析

**披露时间:**2024年6月21日

**情报来源:**https://mp.weixin.qq.com/s/DXOB2FCtN524qM8cyGl8ag

相关信息:

近期,安全人员监测到游蛇黑产团伙针对财税人员传播恶意Excel文件。文件名称为“(六月)偷-漏涉-稅-违规企业名单公示.xlsx”,文件打开后是一个伪装为国家税务总局的内容,内容会诱导用户点击超链接。超链接将提供一个压缩包文件的下载,压缩包中包含一个exe文件和一个asp文件。

其中,exe文件是一款名为“SmartServer智能端口急速版”的服务器工具,该工具运行后会加载同路径中asp脚本文件。asp文件中含有恶意代码,代码会分多个阶段下载执行恶意的AutoHotKey、Python脚本以及Shellcode,最终一个名为“登录模块.dll”的远控木马将在内存中执行。该远控木马具有键盘记录、剪贴板监控、屏幕截图等功能。

03

SneakyChef 间谍组织利用 SugarGh0st 和其他感染技术攻击政府机构

**披露时间:**2024年6月21日

**情报来源:**https://blog.talosintelligence.com/sneakychef-sugarghost-rat/

相关信息:

研究人员最近披露了来自SneakyChef间谍组织的持续恶意活动。据悉,SneakyChef是一个新威胁组织,早在2023年8月就开始使用SugarGh0st恶意软件针对韩国和乌兹别克斯坦用户,现在目标已遍布欧洲、中东、非洲和亚洲国家。

研究人员表示,SneakyChef常使用的诱饵是政府机构的扫描文件,且其中大部分与各国外交部或大使馆有关。具体来说,在针对南部非洲国家时,攻击者使用了假冒安哥拉外交部的诱饵文件。针对中亚国家时,则涉及冒充土库曼斯坦或哈萨克斯坦外交部。针对中东国家时,利用了一份关于宣布沙特阿拉伯王国建国日法定假日的官方通告。针对南亚国家时,涉及利用印度护照申请表,以及Aadhar卡副本来冒充印度外交部。针对欧洲国家时,涉及冒充立陶宛大使馆来攻击拉脱维亚外交部。除了以政府为主题的样本外,攻击者还会利用如注册通用研究集群(URC)举办的会议的申请表和ICCS国际会议的研究论文摘要等诱饵主题。

另外值得注意的是,SneakyChef还被观察到使用SFX RAR文件传播SugarGh0st。其中,SFX脚本主要负责将诱饵文档、DLL加载程序、加密的SugarGh0st和恶意VB脚本放入受害者的用户配置文件临时文件夹中,并执行恶意VB脚本。恶意VB脚本再通过将命令写入注册表项UserInitMprLogonScript来建立持久性。当用户登录系统时,命令运行并使用regsvr32.exe启动加载程序DLL"update.dll"。该程序最终负责读取加密的SugarGg0st RAT"authz.lib",通过对其进行解密并将其注入进程中。

04

GrimResource技术:在MSC文件中引用存在漏洞的APDS资源并下发后门

**披露时间:**2024年6月22日

**情报来源:**https://www.elastic.co/security-labs/grimresource

相关信息:

安全人员发现了一种新的感染技术,利用特制的MSC文件实施感染,安全人员将其称为 GrimResource。GrimResource技术由apds.dll库中的XSS漏洞造成。攻击者会在精心构造的MSC文件中选择合适的StringTable节,并在其中引用存在漏洞的APDS资源。被构造的MSC文件在报告编写时,仍然是0检测率。

样本还使用transformNode函数处理混淆代码以绕过ActiveX安全告警。样本携带的混淆代码实际是一个VBS脚本,可使用DotNetToJs技术执行内嵌的.NET加载器。安全人员将该加载器命名为PASTALOADER。PASTALOADER会生成一个dllhost.exe的新实例,并将恶意负载注入其中。经分析,最终的恶意负载为Cobalt Strike。

05

PHANTOM#SPIKE活动:攻击者使用CHM文件向巴基斯坦用户发送C#后门

**披露时间:**2024年6月21日

**情报来源:**https://www.securonix.com/blog/analysis-of-phantomspike-attackers-leveraging-chm-files-to-run-custom-csharp-backdoors-likely-targeting-victims-associated-with-pakistan/

相关信息:

近期,安全人员发现攻击者针对巴基斯坦发起攻击活动。攻击者首先通过钓鱼攻击下发需要密码的ZIP压缩包文件。诱饵文件以军事主题会议为内容,当用户运行其中的CHM文件,文件将执行其携带的恶意代码,代码会运行同目录下隐藏的RuntimeIndexer.exe文件,同时向用户展示诱饵图片。RuntimeIndexer.exe是一个由C#编写的程序,伪装为Windows合法进程搜索程序。经分析,该程序实际为一个后门程序,可与C2服务器进行通信、远程执行命令。在与C2服务器通信的过程中,程序使用HTTPS协议以确保流量融入正常的通信流量中。后门成功建立通信后,攻击者还会通过systeminfo、tasklist等命令收集进一步的信息,并且通过schtasks为后门创建计划任务。

06

Boolka组织使用BeEF框架构建网页传播多种恶意软件

**披露时间:**2024年6月21日

**情报来源:**https://www.group-ib.com/blog/boolka/

相关信息:

近期,安全人员发现一起新的攻击活动,并将活动攻击组织追踪为Boolka。Boolka至少从2022年开始活跃,主要针对全球存在漏洞的网站发起攻击并插入JS脚本。近期,安全人员观察到攻击者使用基于BeEF框架的测试页面传递木马BMANAGER。当用户访问遭到攻陷的网站时,网站中的JS脚本将通过HTTP请求向攻击者的服务器发送请求,传递主机信息,随后窃取用户输入的内容。

此外,安全人员发现攻击者基于BeEF平台创建了一个登录页面,该页面被应用于三个域名网站,可传递BMANAGER木马的下载器。安全人员共发现多个Boolka组织使用的样本,所有样本均由PyInstaller创建。BMANAGER下载器将下载、配置并执行BMANAGER。BMANAGER可从C2服务器下载文件、创建启动任务、删除启动任务以及运行可执行文件。其他的样本如BMREADER可窃取主机数据,BMLOG可进行键盘记录,BMBACKUP可进行文件窃取。

恶意代码情报

01

Cobalt Strike恶意软件最新发现揭秘

**披露时间:**2024年6月26日

**情报来源:**https://unit42.paloaltonetworks.com/attackers-exploit-public-cobalt-strike-profiles/

相关信息:

研究人员近日介绍了Cobalt Strike恶意软件基础设施的最新发现。据悉,Cobalt Strike 是一个商业软件框架,使专业安全人员能够将自己模拟为嵌入网络环境中的攻击者,但攻击者也常在现实世界中使用Cobalt Strike的破解版本来实现恶意目的。研究人员表示,他们查找到了托管在互联网上的Cobalt Strike服务器,并发现了相关的Beacon文件。经分析,Beacon文件主要借用了托管在公共可用软件存储库上的名为ocsp.profile的Malleable C2配置文件。其中,配置文件并非为恶意,但它可使攻击者灵活地发起Cobalt Strike C2通信,通过频繁地更改配置文件以逃避检测并维持恶意活动。

02

新Medusa木马变种可瞄准七个国家的安卓用户

**披露时间:**2024年6月24日

**情报来源:**https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered

相关信息:

研究人员近日披露,Android版的Medusa银行木马保持低调一年后,在针对法国、意大利、美国、加拿大、西班牙、英国和土耳其的活动中再次出现。其中,Medusa也称为TangleBot,是2020年发现的Android恶意软件即服务(MaaS)操作,具有RAT功能,能够执行键盘记录、屏幕控制和短信操作等恶意行为,进而实现ODF(设备上欺诈)欺诈,且其与在名称上相同的勒索软件团伙和基于Mirai的分布式拒绝服务(DDoS)攻击僵尸网络在操作上并不相同。

经进一步调查显示,新活动似乎最早发生在2023年7月份,攻击者通过短信网络钓鱼活动诱导受害者植入假冒Chrome浏览器、5G连接程序和名为4K Sports的流媒体等应用程序,进而侧加载恶意软件。据研究人员观察,已存在24个使用该恶意软件的活动,并将其归因于5个独立的僵尸网络(UNKN、AFETZEDE、ANAKONDA、PEMBE和TONY)。据悉,活动相关恶意软件变种体量更小,现在仅需要更少的权限并具有新的功能,试图直接从受感染的设备发起交易。同时,恶意软件作者从之前版本的恶意软件中删除了17个命令,并添加了5个新命令。总体而言,Medusa银行木马行动似乎扩大了其目标范围,并且变得更加隐蔽,为更大规模的部署和更多的受害者数量奠定了基础。

03

utilitytool系列Py包开展XenoRAT远控木马投毒

**披露时间:**2024年6月24日

**情报来源:**https://buaq.net/go-246786.html

相关信息:

近期,安全人员在Pypi官方仓库中捕获到2起针对Windows系统的Python包投毒事件,涉及的Python包为utilitytool和utilitytools。目前,utilitytool相关Python包在官方仓库的下载量已达1245次,并且国内清华大学Pypi镜像源仍然提供utilitytool相关Python包的下载。经分析,投毒安装包的setup.py和run.py中存在一个函数可从github远程下载被命名为pics.exe的文件,文件实际为XenoRAT远控木马,具有文件管理、屏幕捕获、键盘记录、设备远控等功能。

04

P2Pinfect僵尸网络恶意软件不断发展以部署勒索和挖矿程序

**披露时间:**2024年6月25日

**情报来源:**https://www.cadosecurity.com/blog/from-dormant-to-dangerous-p2pinfect-evolves-to-deploy-new-ransomware-and-cryptominer

相关信息:

研究人员近期跟踪发现,P2PInfec僵尸网络恶意软件开始活跃,通过部署勒索软件模块和加密挖矿程序来攻击Redis服务器。据悉,P2PInfec是一种基于Rust的复杂蠕虫病毒,于2023年7月被首次披露,似乎作为可雇佣的僵尸网络恶意软件运行,主要通过存在历史漏洞的Redis服务器和SSH程序进行传播。2023年8月-9月期间,P2PInfect的活动可达到每周数千次,还引入了基于cron的持久性机制、回退通信系统和SSH锁定等新功能,但其当时并未对受感染的系统执行任何恶意操作。2023年12月,一种新的P2PInfect变体出现,旨在针对路由器和物联网设备中的32位MIPS处理器。

不过,从2024年5月16日起,感染P2PInfect的设备收到开始从指定URL处下载并运行勒索软件有效负载(rsagen)的命令,且此命令有效期至2024年12月17日。启动后,勒索软件会加密数据库文档和媒体文件,并添加".encrypted"扩展名,然后将加密文件的数据库存储在扩展名为".lockedfiles"的临时文件中。同时,在之前迭代中处于休眠状态的XMR(门罗币)挖矿软件现在也已被激活,它被放入临时目录,并在主要有效负载启动后五分钟启动。数据显示,攻击者已从预配置钱包和矿池赚取了71个XMR,约合10,000美元。另外,值得注意的是,P2PInfec还增加了一个新的用户模式Rootkit,它使P2PInfect机器人能够通过劫持多个进程向安全工具隐藏其恶意进程和文件。

漏洞情报

01

Progress MOVEit Transfer身份认证绕过漏洞(CVE-2024-5806)存在安全风险

**披露时间:**2024年6月26日

**情报来源:**https://mp.weixin.qq.com/s/Vr2AkXYPooSoZ9gtUNJxMw

相关信息:

Progress MOVEit Transfer 是一款专为大型企业设计的文件共享和协作应用程序。它允许基于 Windows 的服务器像网络附加存储(NAS)设备一样运作,提供了多种方式供用户传输和管理文件。

近日,奇安信CERT监测到Progress MOVEit Transfer身份认证绕过漏洞(CVE-2024-5806)在互联网上公开,该漏洞是一个严重的认证绕过缺陷,它使得攻击者能够在没有任何有效凭证的情况下,通过特定的技术手段来冒充服务器上的任何用户,从而获取对敏感数据的未授权访问。目前该漏洞技术细节与PoC已在互联网上公开,鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

点击阅读原文至ALPHA 7.0

即刻助力威胁研判

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2