安恒高级安全威胁情报周报(2022.5.28~6.2)
点击蓝字关注我们
本期
目录
2022.5.28-6.2
全球情报资讯
“
1
恶意软件
-
AppleSeed伪装成路由器安装文件分发
-
EnemyBot恶意软件添加漏洞利用以扩大影响范围
-
XLoader僵尸网络使用新技巧隐藏C2服务器
-
Grandoreiro银行木马通过钓鱼邮件传播
-
Kthmimu挖矿木马分析报告
“
2
热点事件
- 网络犯罪分子在暗网出售美国高校的网络访问凭据
“
3
勒索专题
-
新的“GoodWill”勒索软件迫使受害者帮助穷人
-
哥斯达黎加公共卫生机构遭Hive勒索软件攻击
-
Clop 勒索软件团伙卷土重来
-
奥地利克恩顿州遭到BlackCat勒索软件攻击
-
富士康工厂遭LockBit 2.0 勒索软件攻击
“
4
恶意活动
-
新的恶意软件分发活动提供 Android RAT
-
攻击者滥用Linux的Windows子系统安装有效载荷
-
攻击者利用虚假Windows漏洞PoC传播Cobalt-Strike Beacon
-
模仿印度政府的浏览器 (BITB) 攻击活动
“
5
攻击团伙
- 亲俄黑客组织KillNet计划攻击意大利网站
“
6
高级威胁情报
-
摩诃草组织以巴基斯坦相关政府机构文件为诱饵的攻击活动分析
-
SideWinder组织模仿巴基斯坦政府合法域发起攻击
恶意软件威胁情报
1.AppleSeed伪装成路由器安装文件分发
AppleSeed 是一种后门恶意软件,可以通过接收来自 C&C 的命令来执行各种恶意操作,例如窃取信息和生成额外的恶意软件。迄今为止已知的AppleSeed,主要是通过伪装文档文件或图片文件进行分发。5月26日,研究人员发现了AppleSeed恶意软件伪装成路由器固件安装程序的样本。创建 AppleSeed 的 dropper 恶意软件使用 JS(Java Script)和 VBS(Visual Basic Script)等脚本格式,且使用了伪装的图标和文件名。
参考链接
https://ti.dbappsecurity.com.cn/info/3489
2.EnemyBot恶意软件添加漏洞利用以扩大影响范围
EnemyBot 是一个基于多个恶意软件代码的僵尸网络,目前正在通过快速添加漏洞利用来扩大其影响范围,其新变种添加了24 个针对不同设备和 Web 服务器的漏洞利用。
参考链接
https://ti.dbappsecurity.com.cn/info/3480
3.XLoader僵尸网络使用新技巧隐藏C2服务器
新版本的 XLoader 僵尸网络恶意软件使用新技术隐藏其命令和控制服务器,从而规避研究人员的检测。XLoader在 2.3 版中通过将真实域名隐藏在包含 63 个诱饵的配置中来伪装其实际的命令和控制 (C2) 服务器。而在最新版本中,恶意软件会在每次通信尝试中用新值覆盖其配置列表中随机选择的 64 个域列表中的 8 个。
参考链接
https://ti.dbappsecurity.com.cn/info/3491
4.Grandoreiro银行木马通过钓鱼邮件传播
4 月初,研究人员观察到针对来自巴西、西班牙和墨西哥的银行用户的 Grandoreiro 恶意软件活动。活动以税收为主题,发送网络钓鱼电子邮件。Grandoreiro于2016 年首次被发现,可以使用恶意浏览器扩展记录击键、捕获剪贴板数据、窃取 cookie 和其他用户信息,并监控网上银行活动。
参考链接
https://ti.dbappsecurity.com.cn/info/3502
5.Kthmimu挖矿木马分析报告
自2022年三月以来,研究人员陆续捕获到Kthmimu挖矿木马攻击样本,该木马主要通过Log4j 2漏洞进行传播。自Log4j 2漏洞曝光后,该木马挖矿活动较为活跃,同时向Windows与Linux双平台传播恶意脚本,下载门罗币挖矿程序进行挖矿。该挖矿木马在Windows平台上使用PowerShell脚本下载并执行门罗币开源挖矿程序XMRig。除此之外,该脚本还具有创建计划任务持久化、判断系统用户包含关键字符串和创建计划任务等功能。在Linux平台上,木马使用Shell脚本下载挖矿程序,并且该脚本还会清除竞品挖矿程序、下载其它脚本和创建计划任务等功能。
参考链接
https://ti.dbappsecurity.com.cn/info/3483
热点事件威胁情报
1.网络犯罪分子在暗网出售美国高校的网络访问凭据
5月26日,FBI发布警告称,攻击者正在暗网上出售美国高校的网络访问凭证和VPN访问权限。攻击者利用鱼叉式钓鱼攻击和勒索攻击等策略来收集凭证,然后以几美元到几千美元不等的价格出售获得的凭证。
参考链接
https://ti.dbappsecurity.com.cn/info/3488
勒索专题
1.新的“GoodWill”勒索软件迫使受害者帮助穷人
2022年3月,研究人员发现了一种特殊的名为GoodWill的勒索软件。GoodWill勒索软件是用 .NET 编写的,使用 UPX 打包程序打包,利用AES_Encrypt函数进行加密。一旦被感染,GoodWill 勒索软件蠕虫会加密文档、照片、视频、数据库和其他重要文件。GoodWill勒索团伙并不要求受害者支付赎金,而是要求受害者帮助不幸的人以换取密钥,如向穷人捐赠金钱和衣服、带贫困儿童去快餐店等。GoodWill软件中有一个用“HINGLISH”(印式英语)写的字符串,因此研究人员认为该软件的操作者来自印度。
参考链接
https://ti.dbappsecurity.com.cn/info/3486
2.哥斯达黎加公共卫生机构遭Hive勒索软件攻击
5月31日早,哥斯达黎加公共卫生服务网络遭到 Hive 勒索软件攻击,随后所有计算机系统都处于离线状态。哥斯达黎加政府机构表示,存储在 EDUS(统一数字健康)和 SICERE(集中税收系统)数据库中的公民健康和税务信息没有受到损害。此前,哥斯达黎加曾因 Conti 勒索软件攻击宣布进入国家紧急状态。
参考链接
https://ti.dbappsecurity.com.cn/info/3492
3.Clop 勒索软件团伙卷土重来
Clop于2019年2月首次被发现,是一个活跃的勒索团伙。去年11月至今年2月期间,Clop勒索软件组织关闭了运营,但于近日卷土重来,在4月份的一个月内向其数据泄露站点添加了21名新受害者。该团伙主要针对的领域是工业部门,45%的Clop勒索软件攻击针对工业组织,27%针对科技公司。
参考链接
https://ti.dbappsecurity.com.cn/info/3485
4.奥地利克恩顿州遭到BlackCat勒索软件攻击
奥地利克恩顿州遭到了BlackCat勒索团伙的攻击。攻击发生在上周二,导致该州政府服务的运营中断,据悉,数千个工作站已被加密。目前,Carinthia的官网和邮件服务处于离线状态,政府无法签发护照或处理罚款。BlackCat提出了500万美元的赎金要求,但克恩顿州发言人表示不会支付赎金,因为没有证据表明 BlackCat 从该州的系统中窃取了数据。
参考链接
https://ti.dbappsecurity.com.cn/info/3482
5.富士康工厂遭LockBit 2.0 勒索软件攻击
LockBit 2.0勒索软件团伙声称已经破坏了墨西哥富士康一家重要工厂的系统,并威胁称,如果该公司不支付赎金,则会在6月11日发布窃取的文件。LockBit 2.0团伙最近还声称窃取了轮胎和橡胶巨头普利司通美洲公司的文件。
参考链接
https://ti.dbappsecurity.com.cn/info/3504
恶意活动威胁情报
1.新的恶意软件分发活动提供 Android RAT
研究人员发现了几个 Android 恶意软件样本,这些样本大多使用 Invoice.apk、Google.apk、prueba.apk、ZiniTevi.apk 和 cisamu.apk 等合法应用程序的名称和图标,从而引诱用户执行,实际上会提供恶意RAT。这个新的Android RAT分发活动自 2022 年 3 月以来一直很活跃,恶意应用程序可以窃取剪贴板数据、设备信息、SIM 详细信息、设备 IP、SMS、设备位置、通话记录、设备 MAC 地址等数据。
参考链接
https://ti.dbappsecurity.com.cn/info/3490
2**.攻击者滥用Linux的Windows子系统安装有效载荷**
2016 年 4 月,微软宣布推出适用于 Linux 的 Windows 子系统 (WSL) ,这是一项补充功能,可在 Windows 上原生运行 Linux 映像。近日,研究人员发现了几个用 Python 编写并以 Linux 二进制格式 ELF为 Debian 操作系统编译的恶意文件,这些文件充当加载程序,运行嵌入在样本中或从远程服务器检索的有效负载,然后使用 Windows API 调用将其注入正在运行的进程中。这些样本表明,已经出现了滥用 WSL 来安装后续有效载荷的攻击者。
参考链接
https://ti.dbappsecurity.com.cn/info/3481
3.攻击者利用虚假Windows漏洞PoC传播Cobalt-Strike Beacon
研究人员发现了针对信息安全社区的恶意软件活动。攻击者在GitHub存储库中发布了CVE-2022-24500和CVE-2022-26809的虚假漏洞PoC。虚假PoC会使用cmd.exe执行PowerShell命令以安装实际的payload,即Cobalt-Strike Beacon。
参考链接
https://ti.dbappsecurity.com.cn/info/3479
4.模仿印度政府的浏览器 (BITB) 攻击活动
近日,研究人员观察到了一种新的浏览器 (BITB) 攻击。攻击者冒充印度政府网站,称由于用户反复访问色情网站,其浏览器被阻止,需要通过输入卡详细信息来支付罚款。如果受害者拒绝付款,攻击者则会威胁称要发布有关受害者的敏感信息。
参考链接
https://ti.dbappsecurity.com.cn/info/3501
攻击团伙威胁情报
1.亲俄黑客组织KillNet计划攻击意大利网站
Killnet黑客组织于2022年2月25日开始运营,是一个亲俄的黑客组织。Killnet黑客组织的主要目标之一是意大利,已呼吁其成员采取行动,其目标清单包括意大利银行、媒体、能源公司等。近日,Killnet黑客组织在Telegram上宣布计划于5月30日对意大利发动大规模攻击。意大利的计算机安全事件响应小组 (CSIRT) 发布了紧急警报,以提高群众对网络攻击对国家实体的高风险的认识。目前,意大利CSIRT的网站间歇性不可用,但没有发现长时间的连接问题。此外,意大利国家警察和意大利外交部和国防部的在线门户网站似乎也受到了DDoS的影响。
参考链接
https://ti.dbappsecurity.com.cn/info/3487
高级威胁情报
1.摩诃草组织以巴基斯坦相关政府机构文件为诱饵的攻击活动分析
近期,研究人员捕获了Patchwork组织的多个攻击样本。本次捕获的两例攻击样本为RTF文件,且均携带CVE-2017-11882公式编辑器漏洞。在此攻击活动中,攻击者使用带漏洞的RTF文件进行鱼叉攻击,当受害者点击执行诱饵文件之后,将会通过漏洞执行变种BADNEWS木马。该组织的攻击手段具有以下特点:
1. 熟悉目标国家的政府机构,使用政府机构图标增强诱饵的可信性;
2. 初始感染文档使用CVE-2017-11882公式编辑器漏洞执行后续载荷;
3. 提升加密效率,使用RC4算法替换AES-CBC-128算法对数据的加密。
参考链接
:https://ti.dbappsecurity.com.cn/info/3499
2**.SideWinder组织模仿巴基斯坦政府合法域发起攻击**
SideWinder又名 Rattlesnake、Hardcore Nationalist、RAZOR TIGER、T-APT-04和APT-C-17,至少从2012年开始活跃,是一个疑似来自印度的APT组织。自2020年4月以来,SideWinder针对巴基斯坦、中国、尼泊尔和阿富汗的组织发起了将近1000次攻击。
SideWinder在最近的网络钓鱼活动中建立了多个模仿巴基斯坦政府合法域的网络钓鱼域,在发现的网络钓鱼链接中,研究人员还发现了一个下载虚假“Secure VPN”应用的网络钓鱼链接,但研究人员目前无法确认虚假VPN 应用程序的用途是否是恶意的。此外,SideWinder使用了一个自定义工具,研究人员将其追踪为SideWinder.AntiBot.Script。
参考链接
https://ti.dbappsecurity.com.cn/info/3503
安恒安全数据部, 下设猎影实验室、零壹实验室、析安实验室和回声实验室,团队以数据分析与技术研究为核心,致力于数据驱动安全创造用户价值。
猎影实验室
高级威胁研究团队,专注于APT攻击发现、分析、检测、溯源、防御等研究,以及积累了海量的IoC情报数据。
安恒威胁分析平台, 分析安全威胁数据、多源情报数据,跟踪APT事件,为客户提升区域安全态势感知、 未知威胁检测、威胁溯源分析、主动防御等场景。
