点击蓝字关注我们
本期
目录
2022.6.3-6.10
全球情报资讯
“
1
恶意软件
Clipminer新型加密货币挖矿恶意软件分析
Bumblebee加载器正在兴起
Black Basta通过Qbot进行横向移动
SMSFactory Android木马订阅高级服务以窃取资金
新的 Symbiote 恶意软件感染 Linux 系统上所有正在运行的进程
“
2
热点事件
“
3
勒索专题
Cuba勒索团伙推出新变种
Mandiant否认遭到勒索攻击
美国CISA发布有关Karakurt数据勒索组织的安全警报
更新的Black Basta勒索软件支持加密VMware ESXi服务器
“
4
政府部门
意大利巴勒莫市关闭所有系统以抵御网络攻击
针对欧美政府机构的钓鱼攻击活动
“
5
金融行业
“
6
公共事业
“
7
恶意活动
FakeCrack恶意软件传播活动分析
“猎图行动”:针对NFT艺术家的窃密活动分析
传播SVCReady恶意软件的网络钓鱼活动
大规模网络钓鱼活动影响数百万Facebook用户
“
8
攻击团伙
Polonium组织滥用OneDrive平台攻击以色列实体
WatchDog黑客组织发起新的 Docker 加密劫持活动
“
9
高级威胁情报
WIRTE组织近期针对中东地区的攻击活动分析
Kimsuky组织近期BabyShark组件披露
近期LAZARUS持续针对加密货币行业展开攻击活动
SideWinder组织正在攻击巴基斯坦
Bitter、SideWinder以及摩耶象近期活动分析
恶意软件威胁情报
1.Clipminer新型加密货币挖矿恶意软件分析
Clipminer是一种新型加密货币挖矿恶意软件,该恶意软件疑似是KryptoCibule挖矿木马的变体。Clipminer以WinRAR压缩文件的形式存放在主机系统上,并自动解压缩以启动下载动态链接库(.DLL)的控制面板(.CPL)文件。DLL创建一个新的注册表值并将其自身放置在随机文件名下的“C:\Windows\Temp\”上。其目的是分析主机并从Tor网络下载和安装Clipminer有效载荷。
Clipminer通过游戏和盗版软件破解传播,并在 P2P 网络、torrent 索引器或 YouTube 视频上传播。该软件目前已通过从加密货币挖矿和剪贴板劫持获得了至少 170 万美元的非法收益。
参考链接
https://ti.dbappsecurity.com.cn/info/3506
2.Bumblebee加载器正在兴起
2022 年 3 月,研究人员发现一种名为“Bumblebee”的新恶意软件正通过垃圾邮件活动传播,该软件是BazarLoader恶意软件的替代品。Bumblebee 充当下载器,提供已知的攻击框架和开源工具,如 Cobalt Strike、Shellcode、Sliver、Meterpreter 等,还会下载其他类型的恶意软件,如勒索软件、木马等。数据显示,Bumblebee感染事件正在上升。
参考链接
https://ti.dbappsecurity.com.cn/info/3518
3.Black Basta通过Qbot进行横向移动
Black Basta 是一个相对较新的勒索软件操作,在相对较短的时间内破坏了多家公司,勒索大量赎金。研究人员发现,Black Basta正通过 Qakbot 进行横向移动。QBot (QuakBot) 是一种 Windows 恶意软件,可窃取银行凭据、Windows 域凭据,并在受感染设备上提供更多恶意软件负载。
参考链接
https://ti.dbappsecurity.com.cn/info/3513
4.SMSFactory Android木马订阅高级服务以窃取资金
6月1日,研究人员披露,一种名为SMSFactory的Android恶意软件通过发送付费短信和拨打付费电话号码窃取受害者的资金,受害地区包括俄罗斯、巴西、阿根廷、土耳其、乌克兰、美国、法国和西班牙等。攻击者依靠恶意广告来推动活动,受害者会被重定向到一个看似提供破解软件、免费视频应用程序等下载文件的网站。一旦用户点击下载,就会安装SMSFactory恶意应用程序。
参考链接
https://ti.dbappsecurity.com.cn/info/3514
5.新的 Symbiote 恶意软件感染 Linux 系统上所有正在运行的进程
Symbiote是一种新发现的Linux恶意软件,可以感染受感染系统上所有正在运行的进程,窃取帐户凭据,并为攻击者提供后门访问权限。Symbiote 可以hook“libc”和“libpcap”函数并执行各种操作来隐藏其存在,例如隐藏寄生进程、隐藏与恶意软件一起部署的文件等。
参考链接
https://ti.dbappsecurity.com.cn/info/3528
热点事件威胁情报
1.黑客泄露了俄罗斯律所1TB的数据
Anonymous的附属组织B00da和Porteur宣布入侵了俄罗斯顶级律师事务所Rustam Kurmaev and Partners(RKP Law) ,窃取了约1TB的数据。Porteur在Twitter上称,已窃取了电子邮件、法庭文件、客户文件和备份等文件,以及一个包含220个客户的列表。目前,被盗数据已被公开在DDoSecrets上。
参考链接
https://ti.dbappsecurity.com.cn/info/3511
勒索专题
1.Cuba勒索团伙推出新变种
Cuba是一个勒索软件家族,在2021年攻击了5个关键基础设施领域的 49 个组织,累积了至少 4390 万美元的赎金。研究人员披露,Cuba勒索软件从今年3月开始重新回归,在其 Tor 网站上于 4 月和 5 月分别列出了 3 名受害者和 1 名受害者。Cuba勒索组织使用不同的感染技术推出了一种新的恶意软件变种,新二进制文件包括一些小的添加和更改,会在加密之前终止更多进程,包括 Outlook、MS Exchange 和 MySQL。
参考链接
https://ti.dbappsecurity.com.cn/info/3522
2.Mandiant否认遭到勒索攻击
2022年6月6日,LockBit勒索团伙在暗网上声称攻破了美国网络安全厂商Mandiant,并且扬言要发布从Mandiant窃取的上万份机密文件。随后,Lockbit勒索团伙在其暗网网站上发布了文件,但并不是 Mandiant的机密数据,而是关于试图与Evil Corp网络犯罪团伙撇清关系的内容。因为Mandiant曾在6月2日发布的报告中称Evil Corp团伙使用了LockBit 2.0组织的勒索软件以实施网络攻击。6日,Mandiant回应称,正在调查LockBit勒索软件团伙入侵公司网络并窃取数据的说法,但根据已发布的数据,目前没有迹象表明 Mandiant的数据已泄露。
参考链接
https://ti.dbappsecurity.com.cn/info/3516
3.美国CISA发布有关Karakurt数据勒索组织的安全警报
6月1日,美国联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA)、财政部 (Treasury) 和金融犯罪执法网络 (FinCEN) 发布联合网络安全咨询,以提供关于Karakurt数据勒索组织的信息。Karakurt勒索组织不会对受感染机器或文件进行加密,而是窃取数据并威胁称要将其拍卖或向公众发布。已知的比特币赎金要求从 25,000 美元到 13,000,000 美元不等。Karakurt 似乎没有针对特定部门、行业或受害者类型。
参考链接
https://ti.dbappsecurity.com.cn/info/3509
4.更新的Black Basta勒索软件支持加密VMware ESXi服务器
Black Basta 勒索软件团伙更新了其功能,可以加密在 Linux 服务器上运行的 VMware ESXi 虚拟机 (VM)。Black Basta 自 2022 年 4 月以来一直活跃,实施双重勒索攻击模型。勒索软件会将 .basta 扩展名附加到加密文件名,并在每个文件夹中创建名为 readme.txt 的勒索记录。此次更新是为了扩大潜在目标。
参考链接
https://ti.dbappsecurity.com.cn/info/3527
政府部门威胁情报
1.意大利巴勒莫市关闭所有系统以抵御网络攻击
意大利南部巴勒莫市于本月初遭受网络攻击,受影响的系统包括公共视频监控管理、市警察行动中心以及市政府的所有服务。此外,游客无法在线预订博物馆和剧院的门票,无法确认对体育设施的预订,也无法获取限制交通的区域卡。在网络攻击发生之后,当地所有的服务、公共网站和在线门户都处于离线状态。巴勒莫市议员表示,已经关闭了所有系统并与网络隔离,以应对网络攻击。
参考链接
https://ti.dbappsecurity.com.cn/info/3515
2.针对欧美政府机构的钓鱼攻击活动
6月6日,研究人员披露了一项针对欧美多个政府机构的钓鱼攻击。活动使用了以加薪为诱饵的恶意RTF文档,部署一个Powershell脚本作为最终payload。文档中利用的安全漏洞为CVE-2022-30190,是Microsoft Windows支持诊断工具(MSDT)远程代码执行漏洞(Follina)。研究人员怀疑这场活动是由国家支持的攻击者发起的,但目前没有归因于特定团伙。
参考链接
https://ti.dbappsecurity.com.cn/info/3525
金融行业威胁情报
1.针对西班牙银行客户的恶意软件攻击活动
一种Android恶意软件正伪装成 BBVA 银行的官方消息传播。该活动自 2020 年以来就一直在西班牙传播,专门针对 BBVA 银行用户。一旦用户单击收到的 SMS 中的网络钓鱼链接,就会被要求下载伪装成合法 BBVA 银行应用程序的恶意程序。恶意程序可以请求多种权限,包括录制音频、接收读取消息等,可以窃取 BBVA 银行用户的账户余额和银行凭证。
参考链接
https://ti.dbappsecurity.com.cn/info/3523
公共事业威胁情报
1.俄罗斯建设、住房公用事业部网站遭到攻击
俄罗斯建设、住房公用事业部网站遭到黑客攻击,在互联网上搜索该网站后,会显示“荣耀归于乌克兰”的标志。俄外交部代表称,用户的个人数据未受影响,该网站已经关闭。俄新社称,黑客要求该部门支付赎金以防止个人数据泄露。
参考链接
https://ti.dbappsecurity.com.cn/info/3512
恶意活动威胁情报
1.FakeCrack恶意软件传播活动分析
FakeCrack是一项新的恶意软件传播活动,通过伪造的CCleaner Pro Windows优化程序的破解版本来传播窃取用户密码、信用卡和加密钱包的恶意软件。感染链始于可疑网站,这些网站声称提供破解版的知名软件,例如游戏、办公程序或下载多媒体内容的程序,实际上会下载恶意软件。FakeCrack活动的受害者大多来自法国、巴西、印度尼西亚和印度。
参考链接
https://ti.dbappsecurity.com.cn/info/3524
2**.“猎图行动”:针对NFT艺术家的窃密活动分析**
自今年4月以来,研究人员监测到多起针对非同质化代币(简称NFT)艺术家的窃密活动,目前已出现多个受害者。根据攻击手法、C2地址等特征将其关联为同一攻击组织发起的规模化窃密行动,由于攻击者的主要目标为NFT艺术品,因此将该活动命名为“猎图行动”。
攻击者伪装成移动游戏开发公司PlayMe Studio、NFT项目“赛博朋克猿高管”等企业的工作人员,通过艺术创作社交平台发送招聘信息。攻击信息中均包含一个指向下载页面的链接,受害者可从该页面下载一个压缩包,其中包括伪装为图片的窃密木马。窃密木马执行后会自动收集计算机的系统信息、浏览器数据、电子钱包、NFT管理器和密码管理器等软件数据,而后将数据加密回传至攻击者服务器。
参考链接
https://ti.dbappsecurity.com.cn/info/3519
3.传播SVCReady恶意软件的网络钓鱼活动
自 2022 年 4 月底以来,新的网络钓鱼活动传播了一种名为SVCReady的恶意软件。攻击者通过包含VBA宏的电子邮件向目标发送Microsoft Word文档附件,以部署SVCReady恶意有效载荷。SVCReady可能正处于开发的早期阶段,其开发者在5月多次更新了恶意软件。
参考链接
https://ti.dbappsecurity.com.cn/info/3517
4.大规模网络钓鱼活动影响数百万Facebook用户
研究人员披露了一起大规模的网络钓鱼活动,该操作滥用Facebook和Messenger,引诱数百万用户访问网络钓鱼页面,以诱使用户输入帐户凭证。攻击者使用被盗账户向他们的朋友发送更多的钓鱼信息,并通过在线广告佣金赚取了可观的收入。据悉,该活动至少自2021年9月以来一直很活跃,在2022年4月至5月达到顶峰,迄今为止大约有 850 万用户访问了攻击者的页面。
参考链接
https://ti.dbappsecurity.com.cn/info/3529
攻击团伙威胁情报
1.Polonium组织滥用OneDrive平台攻击以色列实体
6月2日,微软宣布成功阻止了Polonium黑客组织滥用OneDrive云存储平台的攻击活动。POLONIUM是一个黎巴嫩黑客团伙,在攻击中部署一系列自定义植入程序,这些植入程序利用云服务进行命令和控制以及数据泄露。在过去的三个月里,POLONIUM已经攻击了 20 多个以色列组织,主要目标为以色列的关键制造业、IT 和国防工业组织。
参考链接
https://ti.dbappsecurity.com.cn/info/3508
2**.WatchDog黑客组织发起新的 Docker 加密劫持活动**
WatchDog黑客组织正在开展一项新的加密劫持活动,针对暴露的 Docker Engine API 端点和 Redis 服务器,可以快速从一台受感染的机器传播到整个网络。WatchDog通过端口2375破解配置不当的Docker引擎API端点来启动攻击,使黑客能够访问出厂设置中的保护进程。攻击者先运行cronb.sh脚本检查主机的感染状态,然后创建进程列表,并为第二阶段攻击提取AR.SH有效负载。随后攻击者运行第二个脚本来拦截ps命令,执行隐藏shell脚本的进程。此外,它还会更改时间戳以迷惑安全研究人员。
参考链接
https://ti.dbappsecurity.com.cn/info/3507
高级威胁情报
1.WIRTE组织近期针对中东地区的攻击活动分析
安恒信息中央研究院猎影实验室捕获到一批疑似来自WIRTE组织的样本,这些样本使用一些政治相关主题,目标指向中东地区的各国政府部门。WIRTE组织主要针对中东地区各种垂直领域,包括外交和金融机构、政府、律师事务所、军事组织和技术公司。近些年受影响的包括亚美尼亚、塞浦路斯、埃及、巴勒斯坦、叙利亚和土耳其等中东地区国家。本次所发现的样本,与WIRTE组织在此前的行动中相似之处,对比该组织过往的活动情况有以下发现:
1.攻击者以“大使理事会和阿拉伯外交使团团长会议议程草案”等政治相关主题作为诱饵攻击;
2.投诱饵文档使用了此前未记录过的ppam格式文件进行投递;
3.疑似在POST请求头中以“rv”参数标记攻击目标。
参考链接
https://mp.weixin.qq.com/s/JkVX2YycMREFc75ypeExYA
2**.Kimsuky组织近期BabyShark组件披露**
2019年2月,一个名为 BabyShark 的组件被发现针对美国的国家安全智库和学术机构。该活动中,BabyShark组件主要用于收集目标的机密和敏感信息,后续该组件被用于从事核安全和朝鲜半岛国家安全问题的间谍活动、通过渗透加密行业获取经济收益等目的。2022年上半年,研究人员发现了来自Kimsuky组织BabyShark组件的多起攻击活动,该组件会针对特定用户进行定向攻击活动,隐蔽性强,并通过对多个地址访问请求增强其溯源难度。
参考链接
https://ti.dbappsecurity.com.cn/info/3521
3.近期LAZARUS持续针对加密货币行业展开攻击活动
近期安恒安全数据部猎影实验室捕获到一批疑似来自Lazarus组织的样本,这些样本目标指向风投、加密货币等前沿产业。一些诱饵文档标题伪装成受密码保护的各类相关文档,引导用户点击意为密码的恶意lnk文件,在点击后下载执行hta文件并部署后门。这些文件从攻击目标和手法上与Lazarus组织关联度较高,疑似来自Lazarus组织的BlueNorOff小组。
参考链接
https://ti.dbappsecurity.com.cn/info/3530
4.SideWinder组织正在攻击巴基斯坦
SideWinder 组织,又被称“响尾蛇”、“APT-C-17”、“T-APT-04”,主要针对巴基斯坦等南亚国家进行定向攻击。近日,研究人员检测到SideWinder 组织常用的鱼叉式钓鱼攻击文件,以及相关远控程序。此次钓鱼攻击针对的目标为巴基斯坦财务司和外交部。
攻击者使用鱼叉式钓鱼文件 Pay and Pension Increase Circular_Finance Division.zip(工资和养老金增加通知_财务司.zip),解压后得到 SideWinder 常用lnk攻击文件,使用 mshta 去下载远程 hta 文件。针对巴基斯坦外交部的鱼叉式钓鱼文件 Belarus & CSTO.docx 后续下载的远程模板文件。远程模板仍然是采用 CVE-2017-11882 漏洞利用执行释放在 %temp% 下名为 1.a的 js 脚本文件。最后由 1.a 去内存加载 SideWinder 的 downloader,下载下阶段文件。
参考链接
https://ti.dbappsecurity.com.cn/info/3531
5.Bitter、SideWinder以及摩耶象近期活动分析
6月8日,研究人员披露了Bitter团伙在四月份最新的攻击活动中使用的新的攻击手法和样本,以及摩耶象近期的钓鱼活动和SideWinder今年以来的基础设施:
蔓灵花组织仿冒军贸客户(孟加拉海军)以维修船体声纳为主题向军工企业投递的带有chm附件的钓鱼邮件,还投递了带有DDE auto的文档作为附件,仿冒军工企业以推销反无人机系统为主题向军贸客户(孟加拉空军)投递钓鱼邮件。
摩耶象通过投递html或者压缩包中带有html的方式诱导受害者双击html。
响尾蛇组织在过去的一段时间内仍利用11882等古董漏洞和带有Lnk的压缩包进行鱼叉攻击。
参考链接
https://ti.dbappsecurity.com.cn/info/3520
安恒安全数据部, 下设猎影实验室、零壹实验室、析安实验室和回声实验室,团队以数据分析与技术研究为核心,致力于数据驱动安全创造用户价值。
猎影实验室
高级威胁研究团队,专注于APT攻击发现、分析、检测、溯源、防御等研究,以及积累了海量的IoC情报数据。
安恒威胁分析平台, 分析安全威胁数据、多源情报数据,跟踪APT事件,为客户提升区域安全态势感知、 未知威胁检测、威胁溯源分析、主动防御等场景。
