2024.05.31~06.06
攻击团伙情报
假面之下:Konni组织冒充政府软件安装包攻击剖析
APT28利用HeadLace恶意软件渗透欧洲关键网络
UAC-0195借助流行社交媒体发起以投票为主题的钓鱼活动
Operation Veles:针对全球科研教育领域长达十年的窃密活动
攻击行动或事件情报
BitRAT和Lumma Stealer通过虚假浏览器更新页面进行传播
FaCai钓鱼团伙正通过谷歌搜索引流进行攻击
释放Excel 文件以在乌克兰部署 Cobalt Strike
假冒巴林政府 Android 应用程序窃取个人数据用于金融诈骗
新型V3B网络钓鱼工具包瞄准54家欧洲银行客户
NiceRAT正通过僵尸网络感染主机
Chalubo木马被用于破坏性活动,导致60万个路由器离线
恶意代码情报
argetCompany勒索软件新Linux变种揭秘
RansomHub:新型勒索软件源自旧版 Knight
DarkGate 通过新的有效载荷和电子邮件模板改变其策略
CarnavalHeist:针对巴西用户的新型银行木马
Darkgate新版本近期攻击活动披露
PikaBot加载器分析
漏洞情报
攻击团伙情报
01
假面之下:Konni组织冒充政府软件安装包攻击剖析
**披露时间:**2024年5月31日
**情报来源:**https://mp.weixin.qq.com/s/3GhWv3wsiAIZTClDBJxG-g
相关信息:
Konni是一个活跃于朝鲜半岛的APT组织,其主要针对俄罗斯、韩国以及周边国家地区的政府机构进行网络攻击活动,以窃取敏感信息为主。该组织的攻击活动最早可追溯到2014年,近年来活动频繁,被数个国内外安全团队持续追踪和披露。
近期,研究人员发现该组织使用MSI载荷进行攻击,这类载荷在Konni之前攻击中很少使用,未被公开披露过。鉴于此,本文主要对此类伪装成政府安装包的样本进行分析,以便用户及时发现,避免中招。在本轮攻击中,Konni组织使用具有诱导性的文件名,如SpravkiBKsetup.msi,在运行MSI程序会释放正确的软件安装程序以迷惑用户,其恶意行为在后台静默执行,从而导致受害者中招,达到窃密目的。
02
APT28利用HeadLace恶意软件渗透欧洲关键网络
**披露时间:**2024年5月30日
**情报来源:**https://go.recordedfuture.com/hubfs/reports/CTA-RU-2024-0530.pdf
相关信息:
研究人员近日披露,隶属于俄罗斯战略军事情报部门GRU的APT28组织在2023年4月至12月期间,分三个阶段部署了HeadLace恶意软件,并利用凭证收集网页发起了一系列针对欧洲各地(重点是乌克兰、土耳其)网络的恶意攻击活动。其中,第一阶段期间涉及采用七阶段攻击链来传播恶意的Windows BAT脚本(即HeadLace),该脚本负责下载并运行后续的shell命令。第二阶段于2023年9月28日开始,攻击者主要使用GitHub作为重定向基础设施的起点。第三阶段则从2023年10月17日开始,并转向使用托管在InfinityFree上的PHP脚本。
此外,研究人员表示,APT28的活动具有高度的隐秘性和复杂性,常通过深度准备和定制工具以及依靠合法互联网服务(LIS)和LOLBins文件来展示其适应性,以隐藏其在常规网络流量中的操作。具体来说,APT28会在Mocky上创建特制的网页,网页则能够与在受感染的Ubiquiti路由器上运行的Python脚本进行交互,进而突破双因素身份验证和CAPTCHA限制,以窃取提供的凭据。据悉,目前受此活动影响的目标包括乌克兰国防部、欧洲交通基础设施以及阿塞拜疆的智库。攻击者似乎旨在通过收集情报,从而调整战场战术和军事战略。此外,APT28对阿塞拜疆经济和社会发展中心的兴趣也表明,他们可能试图了解并影响地区政策。
03
UAC-0195借助流行社交媒体发起以投票为主题的钓鱼活动
**披露时间:**2024年5月30日
**情报来源:**https://cert.gov.ua/article/6279491
相关信息:
UAC-0195正采用双因素身份验证绕过技术,并通过获取流行社交媒体帐户(如SMS、Telegram、WhatsApp)的访问权限发起网络钓鱼攻击。具体来说,攻击者会向目标用户发送包含据称与艺术活动竞赛材料相关的链接,接着邀请其访问包含上述材料的网络资源,以进一步"授权"并支持参赛者。一旦用户扫描二维码、输入电话号码获一次性代码,恶意的第三方设备将被自动添加到受害者的帐户中,之后该账户便会受到被盗用的威胁。
04
Operation Veles:针对全球科研教育领域长达十年的窃密活动
**披露时间:**2024年6月4日
**情报来源:**https://mp.weixin.qq.com/s/B4RnCdMCQvsrD1ObWV6gRA
相关信息:
长期以来,安全厂商在研究与Linux系统相关的窃密事件方面一直存在不足,市面上披露的大部分APT攻击都集中在非涉密的办公机器(windows平台),窃取的数据大部分为非涉密的未公开内部文档,我们认为这种类型的窃密攻击炒作噱头大于实际危害。然而,在科学研究领域,Linux服务器通常承载着重要数据,其安全性至关重要。因此,加强对linux系统的安全研究和事件监控,是保卫国家科学技术高质量发展的关建任务。
奇安信威胁情报中心在启动UTG编号后,一直在政企终端中紧密监控只针对服务器区进行渗透的攻击集合,发现了UTG-Q-008、UTG-Q-009等数个对政企造成巨大危害的攻击团伙,其中UTG-Q-008是唯一一个只针对Linux平台进行攻击活动的组织,背后拥有庞大的僵尸网络,经过长达一年的高强度跟踪,我们最终证实了UTG-Q-008调用僵尸网络资源针对国内科研教育领域进行窃密活动的证据,攻击活动中高达70%的基础设施为跳板服务器,并且每次开展新活动时都会更换新跳板,攻击者掌握的域名中最早十年前就开始活跃,对抗强度远超主流APT组织,让我们深刻体会到网络资源就是最好的“0day武器”。
攻击行动或事件情报
01
BitRAT和Lumma Stealer通过虚假浏览器更新页面进行传播
**披露时间:**2024年5月29日
**情报来源:**https://www.esentire.com/blog/fake-browser-updates-delivering-bitrat-and-lumma-stealer
相关信息:
近期,安全人员发现攻击者伪造浏览器更新页面传播恶意程序。当用户访问包含恶意js代码的网站时,代码将向用户展示伪造的浏览器更新页面。当用户点击页面中的更新按钮时,一个名为Update.zip的文件将被下载至受害者主机,该文件被托管在Discord。zip文件中包含几个PowerShell脚本,脚本将从远程服务器下载后续阶段的加载器和有效负载。下载的有效负载均为png文件,实际为BitRAT、Lumma Stealer、持久化程序以及加载器。
Powershell脚本运行后会绕过AMSI,重命名png文件,并将文件隐藏至指定路径,通过修改注册表使文件在主机启动时运行。负载中的加载器是一个基于.NET的文件,负责将二进制负载注入到RegSvcs.exe中。负载中的BitRAT是一款功能丰富的远程访问工具,支持反向代理、门罗币挖矿、键盘记录等多种功能。负载中部署的Lumma Stealer由C语言编写,主要窃取加密货币、浏览器数据。
02
FaCai钓鱼团伙正通过谷歌搜索引流进行攻击
**披露时间:**2024年6月5日
**情报来源:**https://mp.weixin.qq.com/s/SsXfrYYjToet4TBxLprCGA
相关信息:
研究人员近期观察到有攻击者在谷歌搜索购买某翻译软件的引流服务,达到相关用户在谷歌搜索"有**典"时,将伪造的下载网站在前两个结果里面显示,进而诱导用户下载安装恶意文件,最终植入远控木马。据悉,此次攻击易受影响用户主要为外语相关工作的从业人员。攻击者通过将木马文件嵌入常用的翻译类软件的安装包,并在其运行后,在用户文档目录下释放一个负责启动Windows脚本执行工具AutoHotkey.exe的快捷方式,AutoHotkey.exe工具再接着执行攻击者编写的特定脚本文件AutoHotkey.ahk。其中,AutoHotkey.ahk脚本内容则分为启动正常软件安装和下载木马相关文件的两个部分。AutoHotkey完成木马payload下载后,会进一步执行Python脚本,然后在python代码中加载shellcode。shellcode最终再加载经过修改的Gh0st远控木马,并连接到C2地址:154.82.84.205:6666。
经进一步关联分析,研究人员发现攻击者使用的远控木马类型、安装计划任务进行持久化攻击、将木马二进制数据写入注册表HKEY_CURRENT_USER\Console\0、与C2通信使用"6666"端口进行通信,并且加密流量文本反复出现"6666.6"等特点均与"FaCai"钓鱼团伙一致,因此确认此次攻击归属于"FaCai"团伙。
03
释放Excel 文件以在乌克兰部署 Cobalt Strike
**披露时间:**2024年6月3日
相关信息:
研究人员最近发现了一次复杂的网络攻击,攻击涉及嵌入了 VBA 宏的 Excel 文件,该宏旨在部署 DLL 文件。攻击者使用多阶段恶意软件策略来传递臭名昭著的“Cobalt Strike”有效载荷并与命令和控制 (C2) 服务器建立通信。这次攻击采用了各种规避技术来确保成功传递有效载荷。
过去几年,乌克兰因其地缘政治局势而成为重要目标。在 2022 年,研究人员发现攻击者使用以乌克兰军方为主题的恶意 Excel 文档来传递多阶段 Cobalt Strike 加载器的攻击活动。2023 年,乌克兰计算机应急响应小组 (CERT-UA)披露,UAC-0057 参与了一次攻击,该攻击使用包含宏和诱饵图像的恶意 XLS 文件在受感染的系统上部署 PicassoLoader 和 Cobalt Strike Beacon。本文将探讨此次最新多阶段攻击的技术细节。
04
假冒巴林政府 Android 应用程序窃取个人数据用于金融诈骗
**披露时间:**2024年5月31日
相关信息:
研究人员近日发现了一款伪装成巴林劳动力市场监管局(LMRA)政府机构服务的InfoStealer Android恶意软件。该恶意软件假冒巴林的官方应用程序,并宣传用户可以在移动设备上更新或申请驾驶执照、签证和身份证。据悉,攻击者主要通过Facebook页面和SMS消息分发这些应用程序,再结合社会工程策略,将用户引导至网络钓鱼网站,包括WordPress博客网站或旨在下载应用程序的自定义网站,旨在窃取用户个人信息以进一步用于金融欺诈活动。数据显示,巴林已有62位用户使用过该应用程序。
05
新型V3B网络钓鱼工具包瞄准54家欧洲银行客户
**披露时间:**2024年6月3日
相关信息:
研究人员近期发现,网络犯罪分子正在Telegram上推广一种名为"V3B"的新型网络钓鱼工具包,旨在拦截敏感信息,包括凭据和OTP代码,且其主要目标是欧盟的银行客户,涉及爱尔兰、荷兰、芬兰、奥地利、德国、法国、比利时、希腊、卢森堡和意大利的54家主要金融机构的客户。据悉,钓鱼工具包由两个主要组件组成:基于场景的凭据拦截系统(V3B)和模仿网上银行的授权页面,它通过网络钓鱼即服务(PhaaS)模型提供,也可用于自托管,价格在每月130至450美元之间,具有高级混淆、本地化选项、OTP/TAN/2FA支持、与受害者实时聊天以及各种逃避机制。
具体来说,V3B在自定义CMS上使用高度混淆的JavaScript代码来逃避反网络钓鱼和搜索引擎机器人的检测,包含芬兰语、法语、意大利语、波兰语和德语等多种语言的专业翻译页面,以增强网络钓鱼攻击的有效性,使攻击者能够开展多国活动。并且可在移动和桌面平台上运行,能够拦截银行账户凭证和信息以及信用卡详细信息。此外,其管理面板(uPanel)允许欺诈者通过聊天系统与受害者实时互动,通过发送自定义通知来获取一次性密码(OTP)。被盗信息最终再通过Telegram API回传给网络犯罪分子。该套件的另一个显著特点是支持PhotoTAN和Smart ID,以绕过德国和瑞士银行广泛使用的高级身份验证技术。目前,其Telegram频道已拥有超过1,250名成员,这表明新的网络钓鱼即服务(PhaaS)平台正在网络犯罪领域迅速获得关注。
06
NiceRAT正通过僵尸网络感染主机
**披露时间:**2024年6月3日
**情报来源:**https://asec.ahnlab.com/ko/66040/
相关信息:
近期,研究人员证实NiceRAT正通过僵尸网络感染主机。攻击者常通过文件共享网站或者博客网站,将恶意软件伪装成Windows正版认证工具、Office认证工具,或者通过游戏免费服务器传播恶意软件。恶意软件执行时,会在特定路径中创建NanoCore恶意软件,NanoCore恶意软件执行后注册计划任务,构建僵尸网络。僵尸网络将被用于分发NiceRAT。NiceRAT是一个由Python编写的开源程序,包含调试环境检测、虚拟机检测、启动程序注册依赖等功能。NiceRAT还会收集系统信息、浏览器信息和加密货币信息,并将信息泄露给攻击者,信息通过Discord传递。
07
Chalubo木马被用于破坏性活动,导致60万个路由器离线
**披露时间:**2024年5月30日
**情报来源:**https://blog.lumen.com/the-pumpkin-eclipse/
相关信息:
研究人员近日发现了一起破坏性事件,属于同一互联网服务提供商(ISP)的超过600,000个小型办公室/家庭办公室(SOHO)路由器离线。据悉,该事件发生在2023年10月25日至27日之间的72小时内,导致受感染的设备永久无法运行,需要进行硬件更换。经研究人员分析确定,名为"Chalubo"的商用远程访问木马是该事件的主要有效负载,但暂未发现攻击者用于获取初始访问权限的漏洞,疑似利用了弱凭据或暴露的管理界面。
其中,Chalubo木马于2018 年首次被发现,在2023年11月高度活跃,并一直保持到2024年初。仅在2023年10月份,超过330,000个唯一IP地址与攻击者的75个C2地址至少通信了两天,因此确诊被感染。研究人员表示,Chalubo拥有专为所有主要SOHO/IoT内核设计的有效负载、执行DDoS攻击的预构建功能,并且可以执行发送到机器人的任何Lua脚本。它可利用精明的技术来混淆其活动,从磁盘中删除所有文件以在内存中运行,并可假定设备上已存在的随机进程名称,同时加密与C2服务器的所有通信。
恶意代码情报
01
argetCompany勒索软件新Linux变种揭秘
**披露时间:**2024年6月5日
相关信息:
研究人员发现TargetCompany 勒索软件组织目前正在使用一种新的 Linux 变种,该变种使用自定义 shell 脚本作为有效负载传递和执行的手段,这是以前的变种中从未见过的技术。该 shell 脚本还将受害者的信息泄露到两个不同的服务器,以便勒索软件参与者可以备份这些信息。基于Linux的变体可以确定受害者的机器是否在VMWare ESXi环境中运行。通过瞄准 ESXi 服务器,TargetCompany 背后的勒索软件参与者旨在更有效地破坏运营并增加获得赎金的机会。
02
RansomHub:新型勒索软件源自旧版 Knight
**披露时间:**2024年6月5日
**情报来源:**https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomhub-knight-ransomware
相关信息:
RansomHub 是一种新型勒索软件即服务 (RaaS),已迅速成为目前最大的勒索软件团体之一,它很可能是旧版 Knight 勒索软件的更新和更名版本。研究人员对 RansomHub 负载的分析显示,这两种威胁高度相似,表明 Knight 是 RansomHub 的起点。尽管起源相同,但 Knight 的创建者现在不太可能运营 RansomHub。在 Knight 的开发人员决定关闭其运营后,Knight(最初称为 Cyclops)的源代码于 2024 年 2 月在地下论坛上出售。其他参与者可能在启动 RansomHub 之前购买了 Knight 源代码并对其进行了更新。
03
DarkGate 通过新的有效载荷和电子邮件模板改变其策略
**披露时间:**2024年6月5日
**情报来源:**https://blog.talosintelligence.com/darkgate-remote-template-injection/
相关信息:
研究人员发现近期恶意电子邮件活动的增加,其中包含可疑的 Microsoft Excel 附件,该附件在打开后会使用DarkGate恶意软件感染受害者的系统。这些活动自三月第二周开始活跃,利用了之前在 DarkGate 攻击中未曾观察到的策略、技术和程序 (TTP) 。其依靠一种名为“远程模板注入”的技术来绕过电子邮件安全控制,并欺骗用户在打开 Excel 文档时下载并执行恶意代码。DarkGate 长期以来一直使用 AutoIT 脚本作为感染过程的一部分。然而,在这些活动中,使用的是 AutoHotKey 脚本,而不是 AutoIT。 最终的 DarkGate 有效负载被设计为在内存中执行,而无需写入磁盘,而是直接从 AutoHotKey.exe 进程中运行。
04
CarnavalHeist:针对巴西用户的新型银行木马
**披露时间:**2024年5月31日
**情报来源:**https://blog.talosintelligence.com/new-banking-trojan-carnavalheist-targets-brazil/
相关信息:
研究人员近日报道称,自2024年2月以来,一个使用"CarnavalHeist"(也被称为AllaSenha家族)新型银行木马的恶意软件活动持续活跃,且该活动主要针对巴西用户。由于活动背后的参与者在其有效负载托管站点的域名注册过程中犯下了一些操作错误,恶意软件本身又基于葡萄牙语,并且还使用了巴西俚语来描述某些银行,研究人员推测CarnavalHeis恶意软件来源于巴西,其开发者的成熟程度为中低水平。
经进一步调查显示,活动感染链始于一封以金融为主题的未经请求的电子邮件,它使用虚假发票作为诱饵,诱使用户打开恶意URL,恶意链接再继续使用IS.GD URL缩短服务将用户重定向到第一阶段有效负载。而最终有效负载CarnavalHeist似乎至少从2023年11月起就一直在积极开发,它将通过覆盖攻击方法,试图窃取受害者在巴西多家金融机构的凭证,其独特之处则在于动态使用基于Python的加载程序作为DLL注入过程的一部分,并可针对银行桌面应用程序进行特定定位,以跟踪其他巴西金融机构。此外,CarnavalHeist还会使用不同的算法来生成子域,用于下载其它有效负载并与其C2服务器通信。
05
Darkgate新版本近期攻击活动披露
**披露时间:**2024年6月3日
**情报来源:**https://www.trellix.com/blogs/research/darkgate-again-but-improved/
相关信息:
近期,安全人员发现DarkGate新变种的活动并对其进行了分析。Darkgate的感染链分为五个阶段,第一阶段常通过电子邮件传播恶意Excel文件或者HTML文档。文档会提示用户启用相关设置以执行其携带的恶意代码,从远程服务器下载vbs脚本,vbs脚本会执行远程Powershell脚本,脚本负责下载三个文件,一个正常的AutoHotKey解释器、一个AutoHotKey脚本和一个纯文本文件,文本文件中保存着经过十六进制编码的DarkGate有效负载。新版DarkGate中的配置文件改为加密内容,并且新版支持77种不同的命令,涉及获取系统信息、遍历目录、将文件传输至远程C2服务器、截图、录音、鼠标键盘控制等命令。
06
PikaBot加载器分析
**披露时间:**2024年6月3日
**情报来源:**https://blog.sekoia.io/pikabot-a-guide-to-its-deep-secrets-and-operations/
相关信息:
近期,安全人员公开了PikaBot的相关情报。PikaBot是一种恶意软件加载器,最早由TA577组织在2023年2月通过钓鱼邮件传播。PikaBot分为三个阶段,每个阶段都是一个DLL文件。第一阶段,DLL文件充当PE解包器,后续阶段使用XOR运算进行混淆,文件还使用动态API避免静态分析。最终文件将重建修复文件,包括反混淆并复制PE部分、修复reloc部分、修复导入表等。另外,该文件中包含大量垃圾代码,包括对无用函数的调用和无意义的Windows函数,以及许多不必要的布尔表达式。第二阶段,DLL文件将进行字符串混淆、环境检测和反调试。当环境检测通过后,程序将解密下一阶段,PikaBot下一阶段的内容均采用RC4加密,并以Base64编码存储在DLL中。一旦数据被全部解密,当前阶段将启动一个新进程来托管PikaBot的核心DLL文件。最新版本的PikaBot采用SysWhispers2来绕过安全检测。最后,代码通过线程劫持技术完成核心DLL的执行。核心DLL运行后会识别主机指纹,监听C2服务器的指令,指令包括更新beacon、执行命令、下载PE文件并注入进程等。
漏洞情报
01
RedTail 利用 PAN-OS CVE-2024-3400 漏洞
**披露时间:**2024年5月30日
**情报来源:**https://www.akamai.com/blog/security-research/2024/may/2024-redtail-cryptominer-pan-os-cve-exploit
相关信息:
2024年4月,Palos Alto发布了一份公告称其PAN-OS产品中存在一个零日漏洞。该漏洞允许攻击者创建任意文件,最终以root权限执行命令。目前,安全人员发现攻击者利用该漏洞下载执行bash脚本的攻击活动逐渐增多。bash脚本执行后首先会检查受害主机的处理器架构,然后下载相应的恶意二进制文件。恶意二进制文件以.redtailm命名,是此前曾被披露过的RedTail挖矿程序。该文件经过UPX加壳,实际代码为门罗币挖矿程序。
安全人员对该变种进行分析发现,变种新增加密配置信息的内容。此外,该变种还优化了其挖矿操作,攻击者使用了新的RandomX算法,算法利用非均匀内存访问(NUMA)节点来提高效率,并且使用了hugepages配置,根据XMRig文档,该配置可以将性能提高1%至3%。并且,该变种还通过多次分叉自身、杀死GDB实例的方式绕过安全检测。为了保持持久性,该变种还会添加cron任务,以在系统重启后运行。攻击者除了使用PAN-OS漏洞CVE-2024-3400外,还被观察到利用漏洞Ivanti Connect Secure SSL-VPN CVE-2023-46805和CVE-2024-21887。
点击阅读原文至ALPHA 7.0
即刻助力威胁研判
