长亭百川云 - 文章详情

每周高级威胁情报解读(2024.06.14~06.20)

奇安信威胁情报中心

107

2024-07-13

2024.06.14~06.20

攻击团伙情报

  • Void Arachne组织利用Winos 4.0 C2框架攻击中文用户

  • 疑似Kimsuky(APT-Q-2)以军工招聘为饵攻击欧洲

  • Arid Viper 使用 AridSpy 毒害 Android 应用程序 

  • Operation Celestial Force:Cosmic Leopard组织针对印度实体的活动追踪

  • 攻击俄罗斯的ExCobalt团伙使用新的GoRed后门  

攻击行动或事件情报

  • 嵌入二维码的伪造公文被用于针对中国公民

  • ONNX Store:针对金融机构的网络钓鱼即服务平台

  • 韩国ERP服务器遭攻击者部署VPN程序

  • 自称会议软件的 Vortax 传播信息窃取程序,揭露恶意 macOS 应用程序的庞大网络

  • 利用独特的社会工程学来运行 PowerShell 并安装恶意软件

  • SquidLoader新型恶意软件加载器瞄准中国组织

恶意代码情报

  • Fickle Stealer通过多个攻击链进行分发

  • 新的 Diamorphine rootkit 变体在野外被发现

  • 披露Shinra 和 Limpopo 勒索软件

  • DISGOMOJI 恶意软件被用来攻击印度政府

漏洞情报

  • VMware vCenter Server 多个堆溢出漏洞安全风险通告

攻击团伙情报

01

Void Arachne组织利用Winos 4.0 C2框架攻击中文用户

**披露时间:**2024年6月19日

**情报来源:**https://www.trendmicro.com/en\_us/research/24/f/behind-the-great-wall-void-arachne-targets-chinese-speaking-user.html

相关信息:

研究人员近期报道称,一个姓新威胁组织"Void Arachne"在最近的一次活动中开始利用恶意Windows Installer(MSI)文件,并主要以中文人群以及更广泛的东亚社区为目标。调查显示,MSI文件包含AI软件和其他流行软件(如zh-CN语言包、中文版Google Chrome、虚拟专用软件LetsVPN和QuickVPN、深度伪造色情生成软件)的合法安装文件,但同时捆绑了恶意的Winos有效负载。攻击者主要采用SEO中毒策略,并通过社交媒体和消息平台来传播恶意软件。恶意软件一旦执行,将进一步植入Winos后门,最终损害整个目标系统。

据悉,此次攻击的最终负载是Winos 4.0 C2框架,它基于C++编写,针对Windows平台,可支持由攻击者开发的自定义插件,主要功能包括文件管理、分布式拒绝服务(DDoS)攻击、全盘搜索、控制网络摄像头、屏幕捕获、进程注入、麦克风录音、系统和服务管理、远程shell访问和键盘记录等。另外,研究人员观察到,许多恶意安装程序还在多个Telegram频道间共享,其中一些甚至拥有数万名中文用户,并且Void Arachne还会在上面宣传可用于虚拟绑架的人工智能技术和深度伪造应用程序,以用于欺诈活动。

02

疑似Kimsuky(APT-Q-2)以军工招聘为饵攻击欧洲

**披露时间:**2024年6月20日

**情报来源:**https://mp.weixin.qq.com/s/7vnxz8dYmWf7Z8Cmaa8sVg

相关信息:

Kimsuky,别名Mystery Baby、Baby Coin、Smoke Screen、Black Banshe等,奇安信内部跟踪编号为APT-Q-2。该APT组织于2013年公开披露,攻击活动最早可追溯至2012年,疑似具有东北亚国家背景。Kimsuky主要攻击目标为韩国,涉及国防、教育、能源、政府、医疗以及智囊团等领域,以机密信息窃取为主。该组织通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件,攻击手法多样,拥有针对Windows和Android平台的攻击武器。

近期奇安信威胁情报中心发现一批以美国军工企业在德国地区的招聘为诱饵的攻击样本,同时其他安全研究人员也对相关样本进行了公开披露。攻击者采用不同方式植入同一种木马,该木马与Kimsuky历史攻击样本具有高度相似的代码特征,结合其他线索我们认为此次针对欧洲军工行业人员的攻击活动很可能和Kimsuky有关。

03

Arid Viper 使用 AridSpy 毒害 Android 应用程序

**披露时间:**2024年6月13日

**情报来源:**https://www.welivesecurity.com/en/eset-research/arid-viper-poisons-android-apps-with-aridspy/

相关信息:

研究人员称,与哈马斯关的Arid Viper(也被称为沙漠猎鹰、Grey Karkadann、Mantis)组织正利用被植入木马的的Android应用程序向巴勒斯坦和埃及分发移动间谍软件AridSpy。据悉,自2022年以来,Arid Viper已发起5个AridSpy相关恶意活动,其中3个仍在进行中,恶意软件主要通过冒充各种消息程序、求职程序和巴勒斯坦民事登记程序的专用网站传播,且多个网站均使用了名为myScript.js的独特恶意JavaScript文件。其中,AridSpy是一种远程控制木马,专注于用户数据间谍活动。

调查显示,活动最早始于2021年,AridSpy当时仅包含一个执行阶段,所有恶意代码均在在木马应用程序中实现。第二起事件发生在2022年12月,攻击者部署了捆绑AridSpy的Kora442应用程序,主要针对卡塔尔FIFA世界杯,且该恶意软件此时仍然只有一个阶段。第三、四起事件则分别发生在2023年3月和8月,AridSpy被转变为多级木马,能够从C2服务器下载额外的有效负载。最新的活动中,AridSpy执行链分为三个阶段,第一阶段有效负载会显示仿冒的应用程序名称,与木马应用程序类似,负责从硬编码的URL下载并执行经AES加密的第二阶段有效负载。第二阶段有效负载则是Dalvik可执行文件"prefLog.dex",用于实现恶意功能。最后,AridSpy使用Firebase C2域来接收命令,并使用不同的硬编码C2域来进行数据泄露。

04

Operation Celestial Force:Cosmic Leopard组织针对印度实体的活动追踪

**披露时间:**2024年6月13日

**情报来源:**https://blog.talosintelligence.com/cosmic-leopard/

相关信息:

研究人员近日披露了一项名为"Operation Celestial Force"新恶意软件活动。经进一步调查,研究人员将此次活动归因于巴基斯坦组织,该组织与另一个巴基斯坦APT组织Transparent Tribe在TTP上存在重叠,但目前未有足够的证据将两者联系在一起,研究人员因此将其追踪为"Cosmic Leopard"。"Cosmic Leopard专注于间谍监视活动,似乎多年来持续针对属于国防、政府和相关技术领域的印度实体和个人。据悉,Operation Celestial Force活动至少自2018年开始运行,至今仍然活跃,攻击者主要使用了GravityRAT和HeavyLift恶意软件,且这两个恶意软均由GravityAdmin独立工具管理。

其中,GravityRAT是一个闭源恶意软件家族,于2018年被首次披露,最早可追溯到2016年,是一种基于Windows和Android的多平台RAT,常伪装为合法应用程序通过社交媒体进行分发,主要用于针对印度实体。HeavyLift是以前未被记录的基于Electron的恶意软件加载程序,主要通过针对Windows操作系统的恶意安装程序进行分发。GravityAdmin则是一种管理受感染系统(面板二进制文件)的独立工具,至少从2021年8月起就被使用,由多个内置用户界面(UI)组成,这些用户界面对应于攻击者操作的特定代号活动,负责连接到GravityRAT和HeavyLift的C2服务器。

05

攻击俄罗斯的ExCobalt团伙使用新的GoRed后门

**披露时间:**2024年6月19日

**情报来源:**https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/excobalt-gored-the-hidden-tunnel-technique/

相关信息:

近期,安全人员发现一个用Go编写的未知后门,并将该后门归因至ExCobalt团伙。该团伙至少从2016年开始活跃,主要针对俄罗斯从事间谍活动。此次被发现的未知后门被命名为GoRed。后门运行后,首先会执行service命令和gecko命令,其中,service命令用于在系统中建立持久性,gecko命令则是GoRed后门运行beacon模式的入口点。

命令执行过程中还会结合主机的MAC地址和名称生成MD5值作为识别受害主机的ID。随后,后门将连接远程C2服务器,使用birdwatch命令监测文件系统,设置与C2服务器的心跳周期,监视/etc/shadow/中的密码文件。这之后,后门程序将进入监听与命令执行模式,系统命令和内置命令可通过该模式执行。目前,该后门具备的功能有文件上传/下载、隐身、搜寻文件、设置心跳频率等。

攻击行动或事件情报

01

嵌入二维码的伪造公文被用于针对中国公民

**披露时间:**2024年6月18日

**情报来源:**https://cyble.com/blog/rising-wave-of-qr-code-phishing-attacks-chinese-citizens-targeted-using-fake-official-documents/

相关信息:

近期,研究人员发现了一项利用Word文档针对中国居民进行二维码网络钓鱼攻击的活动。文档伪装成人力资源和社会保障部的官方文件,内容涉及试用期补贴、社保补贴、交通补贴等多种个人劳动补贴,并且提供二维码,引导用户扫码填写信息领取补贴。当用户扫描Word文档中的二维码时,他们会被引导至特定链接。

访问此链接后,用户会被重定向至子域名为tiozl[.]cn的URL,该URL由域名生成算法(DGA)生成,托管着一个冒充中华人民共和国人力资源和社会保障部的钓鱼网站。当用户点击领取补贴按钮后,网页会要求用户输入姓名和身份证号码,随后要求用户绑定银行卡信息(电话、银行卡号、银行卡余额),信息填写完毕后,网页将提示用户输入银行卡密码以进行信息验证。

02

ONNX Store:针对金融机构的网络钓鱼即服务平台

**披露时间:**2024年6月18日

**情报来源:**https://blog.eclecticiq.com/onnx-store-targeting-financial-institution

相关信息:

2024 年 2 月,研究人员发现了针对金融机构的网络钓鱼活动。威胁行为者使用PDF 附件中嵌入的二维码将受害者重定向到网络钓鱼 URL。这些活动由名为 ONNX Store 的网络钓鱼即服务 ( PhaaS ) 平台推动,该平台通过可通过Telegram 机器人访问的用户友好界面运行,从而实现网络钓鱼攻击的编排。

ONNX Store 具有双因素身份验证 (2FA) 绕过机制,可拦截来自受害者的 2FA 请求。通过绕过 2FA 安全性,它可以提高企业电子邮件入侵 (BEC) 攻击的成功率。钓鱼页面看起来像真正的 Microsoft 365 登录界面,诱骗目标输入其身份验证详细信息。研究人员高度有信心地评估,ONNX Store 网络钓鱼工具包很可能是Mandiant 于 2022 年首次发现的 Caffeine 网络钓鱼工具包的改版版本。

03

韩国ERP服务器遭攻击者部署VPN程序

**披露时间:**2024年6月10日

**情报来源:**https://asec.ahnlab.com/ko/66581/

相关信息:

研究人员最近确认了一起针对韩国企业ERP服务器安装VPN的攻击活动。安全人员推测攻击者疑似通过配置不当的MS-SQL服务器获取初始访问权限,攻击者在渗透后通过whoami、ipconfig等命令查询当前主机的基本信息,随后攻击者尝试安装vmtoolsd1.exe,该程序未携带恶意代码,疑似攻击者通过该种方法测试当前主机是否可以下载有效负载。测试完毕后,Webshell程序被下载并安装,攻击者使用该程序创建注册表、窃取服务器的各类凭证信息,随后下载bat脚本并运行,脚本将安装SoftEther VPN服务器。安全人员推测,攻击者似乎正试图将ERP服务器构建为其C2服务器基础设施。

04

自称会议软件的 Vortax 传播信息窃取程序,揭露恶意 macOS 应用程序的庞大网络

**披露时间:**2024年6月17日

**情报来源:**https://go.recordedfuture.com/hubfs/reports/cta-2024-0617.pdf

相关信息:

研究人员发现,Vortax(一款所谓的虚拟会议软件)传播了三种信息窃取程序 - Rhadamanthys、Stealc 和 Atomic macOS Stealer (AMOS)。这项大规模活动利用 macOS 漏洞,针对加密货币用户。该活动由威胁行为者“markopolo”运营,对 macOS 安全具有重大影响,表明 AMOS 攻击可能会增加。

Vortax 及其相关应用程序已被用于旨在盗窃加密货币的大规模活动中,对 macOS 用户产生了重大影响。该活动与之前报道的针对 Web3 游戏的活动有关联,表明这两起活动的背后都有同一个威胁行为者(“markopolo”)。markopolo 使用共享主机和 C2 基础设施来实现灵活性,一旦发现新的骗局,便可快速转向。该活动表明存在大规模凭证收集行动,可能将 markopolo 定位为俄罗斯市场或 2easy Shop 等暗网商店的初始访问代理或“日志供应商”。

05

利用独特的社会工程学来运行 PowerShell 并安装恶意软件

**披露时间:**2024年6月17日

**情报来源:**https://www.proofpoint.com/us/blog/threat-insight/clipboard-compromise-powershell-self-pwn

相关信息:

研究人员发现一种利用独特社会工程学技术的攻击有所增加,该技术会引导用户复制和粘贴恶意的 PowerShell 脚本,从而用恶意软件感染用户计算机。包括初始访问代理 TA571 和至少一个虚假更新活动集在内的威胁行为者正在使用此方法来传播恶意软件,包括 DarkGate、Matanbuchus、NetSupport 和各种信息窃取程序。 

无论最初的活动是通过恶意垃圾邮件开始,还是通过网络浏览器注入进行,其技术都是相似的。用户会看到一个弹出文本框,提示在尝试打开文档或网页时发生错误,并提供说明将恶意脚本复制并粘贴到 PowerShell 终端或 Windows 运行对话框中,最终通过 PowerShell 运行该脚本。 

研究人员早在 2024 年 3 月 1 日就由 TA571 观察到了这种技术,在 4 月初由 ClearFake 集群观察到了这种技术,而在 6 月初两个集群也都观察到了这种技术。

06

SquidLoader新型恶意软件加载器瞄准中国组织

**披露时间:**2024年6月19日

**情报来源:**https://cybersecurity.att.com/blogs/labs-research/highly-evasive-squidloader-targets-chinese-organizations

相关信息:

研究人员最近发现了一种新的可高度规避检测的恶意软件加载程序:SquidLoader。据悉,恶意活动始于2024年4月下旬,加载器通过网络钓鱼附件实现分发,且钓鱼样本均以中国公司命名(如中国移动集团陕西有限公司、嘉奇智能科技或黄河水利技术研究所(YRCTI)等),其中一个钓鱼文件名为"华为工业级路由器相关产品介绍和优秀客户案例",旨在通过迷惑性文件名诱导相关员工打开伪装为Word文档的可执行二进制文件,最终通过执行SquidLoader加载程序进而部署Cobalt Strike有效负载。

期间,样本大多使用了合法的过期证书,并包含大量引用微信或mingw-gcc等流行软件产品的代码,试图误导检查文件的安全研究人员。SquidLoader使用的C2服务器则采用自签名证书,该加载器不具备任何持久性机制,但Cobalt Strike能够创建服务和修改注册表项,这使得攻击者同样可对受害主机实现持久控制。此外,SquidLoader采用了很多防御规避和混淆技术,包括:1)函数使用无意义或晦涩的x86指令;2)使用加密的shellcode;3)栈内加密字符串;4)跳转到指令中间,为函数体产生错误的汇编。

恶意代码情报

01

Fickle Stealer通过多个攻击链进行分发

**披露时间:**2024年6月19日

**情报来源:**https://www.fortinet.com/blog/threat-research/fickle-stealer-distributed-via-multiple-attack-chain

相关信息:

近期,安全人员捕获到一款基于Rust的窃取程序并对其进行了分析。安全人员将该程序命名为Fickle Stealer。该程序可通过VBA脚本、LNK文件或者可执行文件进行初始感染。其中,VBA脚本通过宏执行命令获取Power shell脚本,LNK文件通过其携带的命令直接下载后续阶段Power shell脚本,而可执行文件则伪装为PDF查看程序执行恶意命令下载Power shell脚本。

获取的Power shell脚本有三种,一种绕过UAC执行Fickle Stealer。一种将枚举主机磁盘中的所有文件,并将恶意代码注入至特定文件。一种则频繁向攻击者的Telegram发送信息以显示其状态。Fickle Stealer伪装为合法程序,具有多种反分析技术,最终程序窃取的数据包括加密钱包信息、特定的路径文件以及命中指定关键词的文件。

02

新的 Diamorphine rootkit 变体在野外被发现

**披露时间:**2024年6月18日

**情报来源:**https://decoded.avast.io/davidalvarez/new-diamorphine-rootkit-variant-seen-undetected-in-the-wild/?utm\_source=feedly&utm\_medium=rss&utm\_campaign=new-diamorphine-rootkit-variant-seen-undetected-in-the-wild

相关信息:

Diamorphine是一个著名的 Linux 内核 rootkit,支持不同的 Linux 内核版本( 2.6.x、 3.x、 4.x、 5.x和6.x)和处理器架构( x86、 x86_64和ARM64)。简而言之,加载后,模块将变得不可见,并隐藏所有以攻击者在编译时选择的魔法前缀开头的文件和文件夹。之后,威胁行为者可以通过发送允许以下操作的信号与 Diamorphine 进行交互:隐藏/取消隐藏任意进程、隐藏/取消隐藏内核模块以及提升权限以成为 root。

2024 年 3 月初,研究人员发现了一种未被发现的新型Diamorphine变种。获取样本后,检查了 .modinfo 部分,发现它伪造了合法的x_tables Netfilter 模块,并针对特定内核版本(内核 5.19.17)进行了编译。所分析的样本由Diamorphine内核 rootkit 组成(例如module_hide、hacked_kill、get_syscall_table_bf、find_task、is_invisible和module_show)。还可以在模块中看到其他函数(a、b、c、d、e、f和setup),这表明该样本配备了更多有效载荷。

由于 Diamorphine 是一款众所周知的开源 Linux 内核 rootkit,本博文将重点介绍其实现的新功能:

1.通过向暴露的设备发送消息来  停止Diamorphine :xx_tables。

2.通过魔包执行任意操作系统命令。

03

披露Shinra 和 Limpopo 勒索软件

**披露时间:**2024年6月14日

**情报来源:**https://www.fortinet.com/blog/threat-research/ransomware-roundup-shinra-and-limpopo-ransomware

相关信息:

Shinra 勒索软件于 2024 年 4 月首次提交给公开的文件扫描服务。威胁行为者在部署和运行勒索软件以在加密文件之前窃取受害者的数据。勒索软件还旨在删除卷影副本以阻止系统恢复。目前尚不清楚 Shinra 勒索软件威胁行为者所使用的感染媒介。不过,它与其他勒索软件组织可能并无太大区别。

另一种勒索软件 Limpopo,该软件于 2024 年 2 月提交给一个针对 ESXi 环境的公开文件扫描服务。目前尚不清楚 Limpopo 勒索软件威胁行为者所使用的感染媒介。鉴于BushidoToken 的推文称该恶意软件正在影响拉丁美洲和泰国,再加上之前对亚洲的 Socorta 勒索软件的调查,不难想象他们正在以某种方式广泛传播勒索软件,例如通过木马软件或利用漏洞。

04

DISGOMOJI 恶意软件被用来攻击印度政府

**披露时间:**2024年6月13日

**情报来源:**https://www.volexity.com/blog/2024/06/13/disgomoji-malware-used-to-target-indian-government/?ref=thestack.technology

相关信息:

2024 年,研究人员发现了一个疑似巴基斯坦威胁行为者发起的网络间谍活动,目前以别名 UTA0137 对其进行跟踪。这些近期活动中使用的恶意软件(Volexity 将其跟踪为 DISGOMOJI)是用 Golang 编写的,并针对 Linux 系统进行编译。研究人员高度确信 UTA0137 具有与间谍活动相关的目标,其职责是针对印度政府实体。

DISGOMOJI 似乎是 UTA0137 的独家使用工具。它是公共项目discord-c2的修改版本,该项目使用消息服务 Discord 进行命令和控制 (C2),并使用表情符号进行 C2 通信。使用 Linux 恶意软件与诱饵文档(暗示网络钓鱼环境)配对进行初始访问并不常见,因为攻击者只有在知道目标是 Linux 桌面用户时才会这样做。研究人员评估认为,此活动及其所使用的恶意软件极有可能专门针对印度的政府机构,这些机构使用名为BOSS的自定义 Linux 发行版作为其日常桌面。

漏洞情报

01

VMware vCenter Server 多个堆溢出漏洞安全风险通告

**披露时间:**2024年6月18日

**情报来源:**https://mp.weixin.qq.com/s/l-RVfPvtDRMolxQvyhF2Bg

相关信息:

VMware vCenter Server 是 VMware 公司提供的一款关键的数据中心管理软件,它提供了 vSphere 虚拟基础架构的集中式管理。IT 管理员可以确保安全性和可用性,简化日常任务,并降低管理虚拟基础架构的复杂性。

近日,奇安信CERT监测到官方修复VMware vCenter Server 堆溢出漏洞(CVE-2024-37079、CVE-2024-37080),具有 vCenter Server 网络访问权限的远程攻击者通过发送特制的网络数据包在 DCERPC 协议实施过程中来触发堆溢出漏洞,从而导致远程代码执行。VMware vCenter Server 堆溢出漏洞(CVE-2024-37079、CVE-2024-37080)由奇安信天工实验室安全研究员发现并提交。

点击阅读原文至ALPHA 7.0

即刻助力威胁研判

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2