长亭百川云 - 文章详情

安恒高级安全威胁情报周报(2022.6.3~6.10)

安恒威胁情报中心

104

2024-07-13

点击蓝字关注我们

本期

目录

2022.6.3-6.10

全球情报资讯

1

恶意软件

  • Clipminer新型加密货币挖矿恶意软件分析

  • Bumblebee加载器正在兴起

  • Black Basta通过Qbot进行横向移动

  • SMSFactory Android木马订阅高级服务以窃取资金

  • 新的 Symbiote 恶意软件感染 Linux 系统上所有正在运行的进程

2

热点事件

  • 黑客泄露了俄罗斯律所1TB的数据

3

勒索专题

  • Cuba勒索团伙推出新变种

  • Mandiant否认遭到勒索攻击

  • 美国CISA发布有关Karakurt数据勒索组织的安全警报

  • 更新的Black Basta勒索软件支持加密VMware ESXi服务器

4

政府部门

  • 意大利巴勒莫市关闭所有系统以抵御网络攻击

  • 针对欧美政府机构的钓鱼攻击活动

5

金融行业

  • 针对西班牙银行客户的恶意软件攻击活动

6

公共事业

  • 俄罗斯建设、住房公用事业部网站遭到攻击

7

恶意活动

  • FakeCrack恶意软件传播活动分析

  • “猎图行动”:针对NFT艺术家的窃密活动分析

  • 传播SVCReady恶意软件的网络钓鱼活动

  • 大规模网络钓鱼活动影响数百万Facebook用户

8

攻击团伙

  • Polonium组织滥用OneDrive平台攻击以色列实体

  • WatchDog黑客组织发起新的 Docker 加密劫持活动

9

高级威胁情报

  • WIRTE组织近期针对中东地区的攻击活动分析

  • Kimsuky组织近期BabyShark组件披露

  • 近期LAZARUS持续针对加密货币行业展开攻击活动

  • SideWinder组织正在攻击巴基斯坦

  • Bitter、SideWinder以及摩耶象近期活动分析

恶意软件威胁情报

1.Clipminer新型加密货币挖矿恶意软件分析

Clipminer是一种新型加密货币挖矿恶意软件,该恶意软件疑似是KryptoCibule挖矿木马的变体。Clipminer以WinRAR压缩文件的形式存放在主机系统上,并自动解压缩以启动下载动态链接库(.DLL)的控制面板(.CPL)文件。DLL创建一个新的注册表值并将其自身放置在随机文件名下的“C:\Windows\Temp\”上。其目的是分析主机并从Tor网络下载和安装Clipminer有效载荷。

Clipminer通过游戏和盗版软件破解传播,并在 P2P 网络、torrent 索引器或 YouTube 视频上传播。该软件目前已通过从加密货币挖矿和剪贴板劫持获得了至少 170 万美元的非法收益。

参考链接

https://ti.dbappsecurity.com.cn/info/3506

2.Bumblebee加载器正在兴起

2022 年 3 月,研究人员发现一种名为“Bumblebee”的新恶意软件正通过垃圾邮件活动传播,该软件是BazarLoader恶意软件的替代品。Bumblebee 充当下载器,提供已知的攻击框架和开源工具,如 Cobalt Strike、Shellcode、Sliver、Meterpreter 等,还会下载其他类型的恶意软件,如勒索软件、木马等。数据显示,Bumblebee感染事件正在上升。

参考链接

https://ti.dbappsecurity.com.cn/info/3518

3.Black Basta通过Qbot进行横向移动

Black Basta 是一个相对较新的勒索软件操作,在相对较短的时间内破坏了多家公司,勒索大量赎金。研究人员发现,Black Basta正通过 Qakbot 进行横向移动。QBot (QuakBot) 是一种 Windows 恶意软件,可窃取银行凭据、Windows 域凭据,并在受感染设备上提供更多恶意软件负载。

参考链接

https://ti.dbappsecurity.com.cn/info/3513

4.SMSFactory Android木马订阅高级服务以窃取资金

6月1日,研究人员披露,一种名为SMSFactory的Android恶意软件通过发送付费短信和拨打付费电话号码窃取受害者的资金,受害地区包括俄罗斯、巴西、阿根廷、土耳其、乌克兰、美国、法国和西班牙等。攻击者依靠恶意广告来推动活动,受害者会被重定向到一个看似提供破解软件、免费视频应用程序等下载文件的网站。一旦用户点击下载,就会安装SMSFactory恶意应用程序。

参考链接

https://ti.dbappsecurity.com.cn/info/3514

5.新的 Symbiote 恶意软件感染 Linux 系统上所有正在运行的进程

Symbiote是一种新发现的Linux恶意软件,可以感染受感染系统上所有正在运行的进程,窃取帐户凭据,并为攻击者提供后门访问权限。Symbiote 可以hook“libc”和“libpcap”函数并执行各种操作来隐藏其存在,例如隐藏寄生进程、隐藏与恶意软件一起部署的文件等。

参考链接

https://ti.dbappsecurity.com.cn/info/3528

热点事件威胁情报

1.黑客泄露了俄罗斯律所1TB的数据

Anonymous的附属组织B00da和Porteur宣布入侵了俄罗斯顶级律师事务所Rustam Kurmaev and Partners(RKP Law) ,窃取了约1TB的数据。Porteur在Twitter上称,已窃取了电子邮件、法庭文件、客户文件和备份等文件,以及一个包含220个客户的列表。目前,被盗数据已被公开在DDoSecrets上。

参考链接

https://ti.dbappsecurity.com.cn/info/3511

勒索专题

1.Cuba勒索团伙推出新变种

Cuba是一个勒索软件家族,在2021年攻击了5个关键基础设施领域的 49 个组织,累积了至少 4390 万美元的赎金。研究人员披露,Cuba勒索软件从今年3月开始重新回归,在其 Tor 网站上于 4 月和 5 月分别列出了 3 名受害者和 1 名受害者。Cuba勒索组织使用不同的感染技术推出了一种新的恶意软件变种,新二进制文件包括一些小的添加和更改,会在加密之前终止更多进程,包括 Outlook、MS Exchange 和 MySQL。

参考链接

https://ti.dbappsecurity.com.cn/info/3522

2.Mandiant否认遭到勒索攻击

2022年6月6日,LockBit勒索团伙在暗网上声称攻破了美国网络安全厂商Mandiant,并且扬言要发布从Mandiant窃取的上万份机密文件。随后,Lockbit勒索团伙在其暗网网站上发布了文件,但并不是 Mandiant的机密数据,而是关于试图与Evil Corp网络犯罪团伙撇清关系的内容。因为Mandiant曾在6月2日发布的报告中称Evil Corp团伙使用了LockBit 2.0组织的勒索软件以实施网络攻击。6日,Mandiant回应称,正在调查LockBit勒索软件团伙入侵公司网络并窃取数据的说法,但根据已发布的数据,目前没有迹象表明 Mandiant的数据已泄露。

参考链接

https://ti.dbappsecurity.com.cn/info/3516

3.美国CISA发布有关Karakurt数据勒索组织的安全警报

6月1日,美国联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA)、财政部 (Treasury) 和金融犯罪执法网络 (FinCEN) 发布联合网络安全咨询,以提供关于Karakurt数据勒索组织的信息。Karakurt勒索组织不会对受感染机器或文件进行加密,而是窃取数据并威胁称要将其拍卖或向公众发布。已知的比特币赎金要求从 25,000 美元到 13,000,000 美元不等。Karakurt 似乎没有针对特定部门、行业或受害者类型。

参考链接

https://ti.dbappsecurity.com.cn/info/3509

4.更新的Black Basta勒索软件支持加密VMware ESXi服务器

Black Basta 勒索软件团伙更新了其功能,可以加密在 Linux 服务器上运行的 VMware ESXi 虚拟机 (VM)。Black Basta 自 2022 年 4 月以来一直活跃,实施双重勒索攻击模型。勒索软件会将 .basta 扩展名附加到加密文件名,并在每个文件夹中创建名为 readme.txt 的勒索记录。此次更新是为了扩大潜在目标。

参考链接

https://ti.dbappsecurity.com.cn/info/3527

政府部门威胁情报

1.意大利巴勒莫市关闭所有系统以抵御网络攻击

意大利南部巴勒莫市于本月初遭受网络攻击,受影响的系统包括公共视频监控管理、市警察行动中心以及市政府的所有服务。此外,游客无法在线预订博物馆和剧院的门票,无法确认对体育设施的预订,也无法获取限制交通的区域卡。在网络攻击发生之后,当地所有的服务、公共网站和在线门户都处于离线状态。巴勒莫市议员表示,已经关闭了所有系统并与网络隔离,以应对网络攻击。

参考链接

https://ti.dbappsecurity.com.cn/info/3515

2.针对欧美政府机构的钓鱼攻击活动

6月6日,研究人员披露了一项针对欧美多个政府机构的钓鱼攻击。活动使用了以加薪为诱饵的恶意RTF文档,部署一个Powershell脚本作为最终payload。文档中利用的安全漏洞为CVE-2022-30190,是Microsoft Windows支持诊断工具(MSDT)远程代码执行漏洞(Follina)。研究人员怀疑这场活动是由国家支持的攻击者发起的,但目前没有归因于特定团伙。

参考链接

https://ti.dbappsecurity.com.cn/info/3525

金融行业威胁情报

1.针对西班牙银行客户的恶意软件攻击活动

一种Android恶意软件正伪装成 BBVA 银行的官方消息传播。该活动自 2020 年以来就一直在西班牙传播,专门针对 BBVA 银行用户。一旦用户单击收到的 SMS 中的网络钓鱼链接,就会被要求下载伪装成合法 BBVA 银行应用程序的恶意程序。恶意程序可以请求多种权限,包括录制音频、接收读取消息等,可以窃取 BBVA 银行用户的账户余额和银行凭证。

参考链接

https://ti.dbappsecurity.com.cn/info/3523

公共事业威胁情报

1.俄罗斯建设、住房公用事业部网站遭到攻击

俄罗斯建设、住房公用事业部网站遭到黑客攻击,在互联网上搜索该网站后,会显示“荣耀归于乌克兰”的标志。俄外交部代表称,用户的个人数据未受影响,该网站已经关闭。俄新社称,黑客要求该部门支付赎金以防止个人数据泄露。

参考链接

https://ti.dbappsecurity.com.cn/info/3512

恶意活动威胁情报

1.FakeCrack恶意软件传播活动分析

FakeCrack是一项新的恶意软件传播活动,通过伪造的CCleaner Pro Windows优化程序的破解版本来传播窃取用户密码、信用卡和加密钱包的恶意软件。感染链始于可疑网站,这些网站声称提供破解版的知名软件,例如游戏、办公程序或下载多媒体内容的程序,实际上会下载恶意软件。FakeCrack活动的受害者大多来自法国、巴西、印度尼西亚和印度。

参考链接

https://ti.dbappsecurity.com.cn/info/3524

2**.“猎图行动”:针对NFT艺术家的窃密活动分析**

自今年4月以来,研究人员监测到多起针对非同质化代币(简称NFT)艺术家的窃密活动,目前已出现多个受害者。根据攻击手法、C2地址等特征将其关联为同一攻击组织发起的规模化窃密行动,由于攻击者的主要目标为NFT艺术品,因此将该活动命名为“猎图行动”。

攻击者伪装成移动游戏开发公司PlayMe Studio、NFT项目“赛博朋克猿高管”等企业的工作人员,通过艺术创作社交平台发送招聘信息。攻击信息中均包含一个指向下载页面的链接,受害者可从该页面下载一个压缩包,其中包括伪装为图片的窃密木马。窃密木马执行后会自动收集计算机的系统信息、浏览器数据、电子钱包、NFT管理器和密码管理器等软件数据,而后将数据加密回传至攻击者服务器。

参考链接

https://ti.dbappsecurity.com.cn/info/3519

3.传播SVCReady恶意软件的网络钓鱼活动

自 2022 年 4 月底以来,新的网络钓鱼活动传播了一种名为SVCReady的恶意软件。攻击者通过包含VBA宏的电子邮件向目标发送Microsoft Word文档附件,以部署SVCReady恶意有效载荷。SVCReady可能正处于开发的早期阶段,其开发者在5月多次更新了恶意软件。

参考链接

https://ti.dbappsecurity.com.cn/info/3517

4.大规模网络钓鱼活动影响数百万Facebook用户

研究人员披露了一起大规模的网络钓鱼活动,该操作滥用Facebook和Messenger,引诱数百万用户访问网络钓鱼页面,以诱使用户输入帐户凭证。攻击者使用被盗账户向他们的朋友发送更多的钓鱼信息,并通过在线广告佣金赚取了可观的收入。据悉,该活动至少自2021年9月以来一直很活跃,在2022年4月至5月达到顶峰,迄今为止大约有 850 万用户访问了攻击者的页面。

参考链接

https://ti.dbappsecurity.com.cn/info/3529

攻击团伙威胁情报

1.Polonium组织滥用OneDrive平台攻击以色列实体

6月2日,微软宣布成功阻止了Polonium黑客组织滥用OneDrive云存储平台的攻击活动。POLONIUM是一个黎巴嫩黑客团伙,在攻击中部署一系列自定义植入程序,这些植入程序利用云服务进行命令和控制以及数据泄露。在过去的三个月里,POLONIUM已经攻击了 20 多个以色列组织,主要目标为以色列的关键制造业、IT 和国防工业组织。

参考链接

https://ti.dbappsecurity.com.cn/info/3508

2**.WatchDog黑客组织发起新的 Docker 加密劫持活动**

WatchDog黑客组织正在开展一项新的加密劫持活动,针对暴露的 Docker Engine API 端点和 Redis 服务器,可以快速从一台受感染的机器传播到整个网络。WatchDog通过端口2375破解配置不当的Docker引擎API端点来启动攻击,使黑客能够访问出厂设置中的保护进程。攻击者先运行cronb.sh脚本检查主机的感染状态,然后创建进程列表,并为第二阶段攻击提取AR.SH有效负载。随后攻击者运行第二个脚本来拦截ps命令,执行隐藏shell脚本的进程。此外,它还会更改时间戳以迷惑安全研究人员。

参考链接

https://ti.dbappsecurity.com.cn/info/3507

高级威胁情报

1.WIRTE组织近期针对中东地区的攻击活动分析

安恒信息中央研究院猎影实验室捕获到一批疑似来自WIRTE组织的样本,这些样本使用一些政治相关主题,目标指向中东地区的各国政府部门。WIRTE组织主要针对中东地区各种垂直领域,包括外交和金融机构、政府、律师事务所、军事组织和技术公司。近些年受影响的包括亚美尼亚、塞浦路斯、埃及、巴勒斯坦、叙利亚和土耳其等中东地区国家。本次所发现的样本,与WIRTE组织在此前的行动中相似之处,对比该组织过往的活动情况有以下发现:

1.攻击者以“大使理事会和阿拉伯外交使团团长会议议程草案”等政治相关主题作为诱饵攻击;

2.投诱饵文档使用了此前未记录过的ppam格式文件进行投递;

3.疑似在POST请求头中以“rv”参数标记攻击目标。

参考链接

https://mp.weixin.qq.com/s/JkVX2YycMREFc75ypeExYA

2**.Kimsuky组织近期BabyShark组件披露**

2019年2月,一个名为 BabyShark 的组件被发现针对美国的国家安全智库和学术机构。该活动中,BabyShark组件主要用于收集目标的机密和敏感信息,后续该组件被用于从事核安全和朝鲜半岛国家安全问题的间谍活动、通过渗透加密行业获取经济收益等目的。2022年上半年,研究人员发现了来自Kimsuky组织BabyShark组件的多起攻击活动,该组件会针对特定用户进行定向攻击活动,隐蔽性强,并通过对多个地址访问请求增强其溯源难度。

参考链接

https://ti.dbappsecurity.com.cn/info/3521

3.近期LAZARUS持续针对加密货币行业展开攻击活动

近期安恒安全数据部猎影实验室捕获到一批疑似来自Lazarus组织的样本,这些样本目标指向风投、加密货币等前沿产业。一些诱饵文档标题伪装成受密码保护的各类相关文档,引导用户点击意为密码的恶意lnk文件,在点击后下载执行hta文件并部署后门。这些文件从攻击目标和手法上与Lazarus组织关联度较高,疑似来自Lazarus组织的BlueNorOff小组。

参考链接

https://ti.dbappsecurity.com.cn/info/3530

4.SideWinder组织正在攻击巴基斯坦

SideWinder 组织,又被称“响尾蛇”、“APT-C-17”、“T-APT-04”,主要针对巴基斯坦等南亚国家进行定向攻击。近日,研究人员检测到SideWinder 组织常用的鱼叉式钓鱼攻击文件,以及相关远控程序。此次钓鱼攻击针对的目标为巴基斯坦财务司和外交部。

攻击者使用鱼叉式钓鱼文件 Pay and Pension Increase Circular_Finance Division.zip(工资和养老金增加通知_财务司.zip),解压后得到 SideWinder 常用lnk攻击文件,使用 mshta 去下载远程 hta 文件。针对巴基斯坦外交部的鱼叉式钓鱼文件 Belarus & CSTO.docx 后续下载的远程模板文件。远程模板仍然是采用 CVE-2017-11882 漏洞利用执行释放在 %temp% 下名为 1.a的 js 脚本文件。最后由 1.a 去内存加载 SideWinder 的 downloader,下载下阶段文件。

参考链接

https://ti.dbappsecurity.com.cn/info/3531

5.Bitter、SideWinder以及摩耶象近期活动分析

6月8日,研究人员披露了Bitter团伙在四月份最新的攻击活动中使用的新的攻击手法和样本,以及摩耶象近期的钓鱼活动和SideWinder今年以来的基础设施:

蔓灵花组织仿冒军贸客户(孟加拉海军)以维修船体声纳为主题向军工企业投递的带有chm附件的钓鱼邮件,还投递了带有DDE auto的文档作为附件,仿冒军工企业以推销反无人机系统为主题向军贸客户(孟加拉空军)投递钓鱼邮件。

摩耶象通过投递html或者压缩包中带有html的方式诱导受害者双击html。

响尾蛇组织在过去的一段时间内仍利用11882等古董漏洞和带有Lnk的压缩包进行鱼叉攻击。

参考链接

https://ti.dbappsecurity.com.cn/info/3520

安恒安全数据部, 下设猎影实验室、零壹实验室、析安实验室和回声实验室,团队以数据分析与技术研究为核心,致力于数据驱动安全创造用户价值。

猎影实验室

高级威胁研究团队,专注于APT攻击发现、分析、检测、溯源、防御等研究,以及积累了海量的IoC情报数据。

安恒威胁分析平台, 分析安全威胁数据、多源情报数据,跟踪APT事件,为客户提升区域安全态势感知、 未知威胁检测、威胁溯源分析、主动防御等场景。

平台地址:https://ti.dbappsecurity.com.cn/

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2