每周高级威胁情报解读(2024.06.07~06.13)
2024.06.07~06.13
攻击团伙情报
-
APT-C-55(Kimsuky)组织在RandomQuery活动中投递开源RAT的攻击活动分析
-
REF6127通过开展招聘主题的钓鱼活动部署WARMCOOKIE后门
-
UAC-0200利用DarkCrystal RAT恶意软件攻击乌克兰关键组织
-
Commando Cat组织劫持Docker服务器以部署挖矿程序
攻击行动或事件情报
-
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)已发现在野攻击!
-
短信钓鱼团伙Smishing Triad攻击范围扩展至巴基斯坦
-
UwU Lend 被黑分析
-
"成熟后门"再度投递,银狐变种利用MSI实行远控
-
Operations ControlPlug:使用 MSC 文件进行有针对性的攻击活动
-
新Fog勒索软件借助被盗的VPN凭据入侵美国教育部门
恶意代码情报
-
More_eggs恶意软件通过求职网站瞄准工业服务行业
-
剖析 SSLoad 恶意软件
-
针对西班牙语人群的新Agent Tesla活动追踪
-
分析生物识别终端中的 QR 码 SQL 注入和其他漏洞
漏洞情报
-
微软补丁日通告:2024年6月版
攻击团伙情报
01
APT-C-55(Kimsuky)组织在RandomQuery活动中投递开源RAT的攻击活动分析
**披露时间:**2024年6月12日
**情报来源:**https://mp.weixin.qq.com/s/q796regUE66tEOc4RnGtdg
相关信息:
APT-C-55(Kimsuky)组织,也被称为Mystery Baby、Baby Coin、Smoke Screen、BabyShark、Cobra Venom等多个别名,最早由Kaspersky在2013年公开披露。长期以来,该组织专注于对韩国的智囊团、政府外交部门、新闻媒体和教育学术机构等进行网络攻击。在过去几年中,Kimsuky的攻击范围已经扩大,目标包括美国、俄罗斯和欧洲等国家。其主要目的是进行情报窃取等网络攻击活动,以获取关键的政治和军事情报。
在最近对 Kimsuky 组织的基础网络架构进行的深入监控与分析过程中,研究人员成功捕获并详尽地分析了关于名为RandomQuery的攻击活动及其相关的信息窃取组件,而且还揭示了 Kimsuky 组织在其攻击行动中对开源RAT恶意组件的采用。这一次的攻击活动深化了我们对RandomQuery攻击模式的理解,并揭示了 Kimsuky组织攻击策略的进一步细节,这对于预防和应对未来可能的威胁至关重要。
02
REF6127通过开展招聘主题的钓鱼活动部署WARMCOOKIE后门
**披露时间:**2024年6月12日
**情报来源:**https://www.elastic.co/security-labs/dipping-into-danger
相关信息:
研究人员近日报告称,一种名为"Warmcookie"的新型Windows恶意软件在2024年4月下旬通过假冒虚假工作机会的网络钓鱼活动进行传播,以破坏公司网络。据悉,该活动由REF6127组织发起,正在持续进行中,攻击者以招聘相关为主题,结合与求职行业相关的关键词,每周都会创建新域来支持他们的恶意活动,并会使用受感染的基础设施来发送网络钓鱼电子邮件。
邮件将诱使受害者点击内部链接查看职位描述来寻求新的工作机会。一旦点击,用户就会进入一个看起合法的登陆页面,页面提示他们通过输入验证码来下载一个混淆的JavaScript文件(如Update_23_04_2024_5689382.js)。该脚本负责运行PowerShell,然后启动加载WARMCOOKIE。即PowerShell脚本会利用后台智能传输服务(BITS)下载WARMCOOKIE并通过Start导出运行DLL。其中,Warmcookie是一种后门恶意软件,具有各种功能,旨在渗透、实现持久驻存并从受害者系统收集情报,能够进行广泛的机器指纹识别、屏幕截图捕获以及部署额外的有效负载。
03
UAC-0200利用DarkCrystal RAT恶意软件攻击乌克兰关键组织
**披露时间:**2024年6月4日
**情报来源:**https://cert.gov.ua/article/6279561
相关信息:
研究人员近日披露称,UAC-0200(又称Vermin)组织利用DarkCrystal RAT恶意程序对乌克兰公务员、军队和国防企业代表发起了定向网络攻击活动。据悉,UAC-0200组织与卢甘斯克人民共和国(LPR)地区有关,且其活动通常符合俄罗斯的利益,主要动机是从军事组织处窃取敏感信息。调查显示,本次活动感染链始于一封网络钓鱼电子邮件,其中包含一个RARSFX文档。启动文件后,它会提取一个VBE文件、一个BAT文件和一个EXE文件。最终,导致DarkCrystal RAT恶意程序的部署,进而破坏目标系统,并造成未经授权的访问。
04
Commando Cat组织劫持Docker服务器以部署挖矿程序
**披露时间:**2024年6月6日
**情报来源:**https://www.trendmicro.com/en\_no/research/24/f/commando-cat-a-novel-cryptojacking-attack-.html
相关信息:
研究人员称,因使用开源Commando项目生成无害容器而得名的"Commando Cat"组织正利用暴露的Docker远程API服务器来部署加密货币挖矿软件,并使用来自开源Commando项目的Docker镜像,以获取经济利益。据悉,该活动自2024年初以来一直活跃,攻击者主要通过配置错误的Docker远程API服务器,部署名为cmd.cat/chattr的docker镜像,然后使用chroot命令和卷绑定等技术来突破其限制,并获得主操作系统的访问权限,进而从其自己的C2基础设施检索有效负载,最终使用curl/wget将恶意二进制文件下载到目标主机中。
攻击行动或事件情报
01
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)已发现在野攻击!
**披露时间:**2024年6月12日
**情报来源:**https://mp.weixin.qq.com/s/WBJ58c\_qjt1XoN-hQ9rRJQ
相关信息:
2024年6月6日,奇安信CERT监测到官方修复PHP CGI Windows平台特定语系(简体中文936/繁体中文950/日文932)远程代码执行漏洞(CVE-2024-4577),未经身份认证的远程攻击者可以通过特定的字符序列绕过此前CVE-2012-1823的防护,通过参数注入在配置了cgi选项的远程PHP服务器上执行任意代码,从而导致远程代码执行、敏感信息泄露或造成服务器崩溃。需要注意的是cgi选项默认在xmapp中开启。
该漏洞在网上公开披露后,奇安信威胁情报红雨滴团队第一时间进行了跟进,发现自6月7号该漏洞细节披露后,从8号开始出现了多起以该漏洞为攻击向量的攻击事件。
02
短信钓鱼团伙Smishing Triad攻击范围扩展至巴基斯坦
**披露时间:**2024年6月11日
相关信息:
近期,安全人员发现Smishing Triad团伙的钓鱼攻击范围扩展至巴基斯坦,常伪装为巴基斯坦邮局通过iMessage和SMS向用户发送恶意消息。其目标是窃取用户的个人信息和财务信息。攻击者常使用本地电话号码伪装为当地邮局或公司发送短信,短信中存在网络钓鱼链接,当用户点击钓鱼链接,链接将显示伪造的巴基斯坦邮局收件付款表格,要求受害者提供信用卡信息以支付接收包裹所需的额外费用。目前,安全人员已发现针对美国、欧盟、阿联酋、沙特阿拉伯等多个国家和地区的短信钓鱼活动。安全人员根据攻击者活动的规模推测该组织每天发送的短信量大概在50,000-100,000条。
03
UwU Lend 被黑分析
**披露时间:**2024年6月11日
**情报来源:**https://mp.weixin.qq.com/s/mcCNO6IwaI-L1Aj1VRBi2w
相关信息:
2024 年 6 月 10 日,据相关安全监控系统监测,EVM 链上提供数字资产借贷服务的平台 UwU Lend 遭攻击,损失约 1,930 万美元。研究人员对该事件展开分析并将结果发布在推特平台,此文是有关此次攻击的详细分析,本次攻击的核心点在于攻击者可以通过在 CurveFinance 的池子中进行大额兑换直接操纵价格预言机,影响 sUSDE 代币的价格,并利用被操纵后的价格套出池子中的其他资产。
04
"成熟后门"再度投递,银狐变种利用MSI实行远控
**披露时间:**2024年6月12日
**情报来源:**https://mp.weixin.qq.com/s/dIuE6sXutFQ5GS5l6yMqwA
相关信息:
近期,研究人员监测到一款伪装成MSI安装包的恶意木马正在传播,火绒安全工程师第一时间提取样本进行分析。分析中发现样本在双击执行后会启动数个cmd进程执行释放的木马,该木马不断从远端服务器上下载后续阶段所需的恶意组件,并在多层文件跳转和解密后生成远控模块实现对受害者机器的完全控制。经溯源对比,确认其为“银狐”系列变种木马。
05
Operations ControlPlug:使用 MSC 文件进行有针对性的攻击活动
**披露时间:**2024年6月5日
**情报来源:**https://jp.security.ntt/tech\_blog/controlplug
相关信息:
研究人员近期观察到,名为DarkPeony的威胁组织在2024年5月下旬开始利用MSC文件发起针对性攻击活动:Operation ControlPlug,且此活动似乎主要针对缅甸、菲律宾、蒙古和塞尔维亚的军事和政府机构。据悉,.MSC文件代表Microsoft通用控制台文档,其内部格式是XML,并具有一个称为Console Taskpad的功能,因此允许用户执行任意命令。调查显示,活动涉及的MSC文件内含执行PowerShell脚本的恶意链接,PowerShell脚本负责远程下载并运行MSI文件,MSI文件则包含外观设置,允许攻击者诱骗用户单击控制台任务板链接而不引起怀疑,但它实际上包含一个EXE文件、一个DLL文件和一个DAT文件。其中,EXE文件是常规可执行文件,主要用于加载驻留在同一目录中的DLL文件,进而读取和解码DAT文件,并最终运行PlugX。
06
新Fog勒索软件借助被盗的VPN凭据入侵美国教育部门
**披露时间:**2024年6月4日
**情报来源:**https://arcticwolf.com/resources/blog/lost-in-the-fog-a-new-ransomware-threat/
相关信息:
研究人员近日报告称,一种名为"Fog"的新勒索软件于2024年5月上旬启动,利用被盗的VPN凭据破坏美国教育组织的网络。据悉,最后记录的恶意活动发生在2024年5月23日,该勒索软件团伙尚未建立勒索门户,也未观察到其窃取数据的情况,但可确认其采用双重勒索策略,并至少使用了来自2个不同VPN网关供应商的被盗VPN凭据来访问受害者环境。一旦获取内部网络的访问权限,攻击者就会对管理员帐户执行""pass-the-hash"攻击,这些帐户则用于与运行Hyper-V的Windows服务器建立RDP连接。
或者,使用凭证填充来劫持有价值的帐户,然后在多个主机上部署PsExec。如果在Windows服务器上,Fog还会禁用Windows Defender,以防止发出警报。部署勒索软件后,它将继续执行Windows API来收集有关系统的信息,并在开始加密之前,根据其配置中的硬编码列表终止一系列进程和服务。加密时,勒索软件则会对虚拟机(VM)存储中的VMDK文件进行加密,并从Veeam和Windows卷影副本中的对象存储中删除备份,以防止恢复。加密完成后,文件会附加".FOG"或".FLOCKED"扩展名,最后,创建勒索字条并将其放入受影响的目录中,以向受害者提供有关支付解密密钥的说明。此外,研究人员表示,目前尚不清楚Fog是否作为接受附属机构的开放式勒索软件即服务(RaaS)运作,或者其背后是否有一个小型的网络犯罪圈子。
恶意代码情报
01
More_eggs恶意软件通过求职网站瞄准工业服务行业
**披露时间:**2024年6月6日
**情报来源:**https://www.esentire.com/blog/more-eggs-activity-persists-via-fake-job-applicant-lures
相关信息:
近期,安全人员发现More_eggs恶意软件使用者伪装为领英求职者瞄准工业服务行业。攻击者向目标提供虚假简历下载链接,当受害目标点击链接后,网页将提示目标下载简历,下载的简历文件实际为恶意LNK文件。一旦受害者打开该文件,文件将调用cmd.exe执行一长串的混淆命令。命令实际会生成并保存一系列字符串至特定INF文件中。代码将根据INF文件从远程服务器下载恶意dll,随后恶意dll文件将被注册至注册表,通过regsvr32.exe运行dll以建立持久性。dll文件可收集主机信息,释放其他负载。
该恶意软件的核心dll被命名为55609.dll,该文件具有反调试和反沙箱机制,并且其携带的字符串均采用RC4算法进行加密。经解密分析,dll文件将通过注册表建立持久性,下发msxsl.exe恶意二进制文件以及两个包含恶意js代码的txt文件。代码可与C2服务器进行通信、检查当前脚本具有的系统权限、下载并执行其他文件等。
02
剖析 SSLoad 恶意软件
**披露时间:**2024年6月10日
**情报来源:**https://intezer.com/blog/research/ssload-technical-malware-analysis/
相关信息:
研究人员最近对SSLoad恶意软件进行了全面的技术分析。据悉,SSLoad是一种新型恶意软件,自2024年4月以来一直活跃,主要用于通过网络钓鱼电子邮件渗透目标系统、收集侦察信息并将其回传给攻击者,同时传播各种有效负载。在最近一项利用SSLoad的活动中,一种攻击媒介涉及一个诱饵Word文档,文档负责提供SSLoad DLL,最终执行Cobalt Strike。另一种则涉及利用钓鱼邮件,邮件会引导用户至虚假的Azure页面,以下载JavaScript脚本,最终下载可加载SSLoad有效负载的MSI安装程序。
经进一步调查显示,SSLoad的初始加载器是一个基于C/C++编写的32位DLL:PhantomLoader。PhantomLoader试图伪装为与360防病毒程序相关的合法"MenuEx.dll",它首先会解密存根函数,然后从资源部分提取有效负载。SSLoad下载器是一个基于Rust编写的32位DLL,它负责解密定向到名为SSLoad的Telegram频道地址和用户代理。SSLoad有效负载则是另一个Rust文件,它主要负责与C2服务器建立连接。
03
针对西班牙语人群的新Agent Tesla活动追踪
**披露时间:**2024年6月7日
相关信息:
研究人员最近捕获了一个网络钓鱼活动,该活动传播了针对西班牙语人群的新Agent Tesla变种。其中,Agent Tesla是一种著名的基于.Net的远程访问木马,旨在秘密渗透受害者的计算机并窃取其敏感信息,例如计算机的硬件信息、登录用户信息、用户击键、电子邮件联系人、浏览器cookie文件、系统剪贴板数据、屏幕截图和基本信息(如登录用户名、计算机名称、操作系统信息、CPU和RAM信息),以及广泛安装软件中保存的凭据等。目前,研究人员已观察到攻击者利用多种技术来交付Agent Tesla核心模块,包括通过已知的MS Office漏洞、JavaScript代码、PowerShell代码、无文件模块等。
具体来说,活动钓鱼邮件用西班牙语编写,邮件内容以大型金融机构的标准SWIFT转账通知为主题,其中内嵌了伪装的Excel文件(transferencia_swift_87647574684.xla)。Excel文档采用OLE格式,它包含一个可利用CVE-2017-0199漏洞的嵌入的OLE超链接,以自动下载一个RTF文档,进而利用Microsoft Office公式编辑器组件(EQNED32.EXE)中的RCE漏洞(CVE-2017-11882),以劫持进程,然后跳转并执行堆栈中复制的恶意代码。最终,再下载Agent Tesla可执行模块,即一个32位的.Net框架程序,它被混淆为无文件模块,能够检测是否在调试或在虚拟集中运行,最终从受害者设备中窃取敏感信息。
04
分析生物识别终端中的 QR 码 SQL 注入和其他漏洞
**披露时间:**2024年6月11日
**情报来源:**https://securelist.com/biometric-terminal-vulnerabilities/112800/
相关信息:
本文将从红队的角度探讨生物识别扫描仪的安全性,并以一种流行的混合终端模型为例,展示扫描仪的分析方法。诚然,这些方法已相当知名,可用于分析任何类型的设备。接下来还讨论了生物识别扫描仪在门禁控制系统中的优势,以及在当今现实情况下它们在确保适当安全标准方面的作用。此外,研究人员还发现并分析了一家全球主要供应商的生物识别扫描仪的安全级别时发现的漏洞:CVE-2023-3938、CVE-2023-3939、CVE-2023-3940、CVE-2023-3941、CVE-2023-3942、CVE-2023-3943。
漏洞情报
01
微软补丁日通告:2024年6月版
**披露时间:**2024年6月13日
**情报来源:**https://msrc.microsoft.com/update-guide/releaseNote/2024-Jun
相关信息:
研究人员近期发布了2024年6月的安全更新。本次安全更新修复了总计51个安全漏洞(不包括7个Microsoft Edge漏洞),其中有50个重要漏洞(Important)、1个严重漏洞(Critical)。在漏洞类型方面,主要包括25个特权提升漏洞、18个远程代码执行漏洞、5个拒绝服务漏洞、3个信息泄露漏。本次发布的安全更新涉及Microsoft Office Outlook、Visual Studio、Windows DHCP Server等多个产品和组件。
以下为重点关注漏洞列表:
CVE-2024-30080:Microsoft消息队列(MSMQ)远程代码执行漏洞。该零日漏洞的CVSSv3评分为9.8分。未经身份验证的攻击者可利用此漏洞向目标发送特制数据包实现远程代码执行。
CVE-2023-50868:CPU耗尽漏洞。该漏洞的CVSSv3评分为7.5分。攻击者可以利用DNS服务器上的资源来利用用于DNS完整性的DNSSEC协议,从而导致拒绝服务。
CVE-2024-30082:Win32k特权提升漏洞。该漏洞的CVSSv3评分为7.8分。攻击者可以利用该漏洞提升权限。
点击阅读原文至ALPHA 7.0
即刻助力威胁研判
