APT组织Kimsuky使用HWP和MSC恶意软件的攻击分析——每周威胁情报动态第179期(06.07-06.13)
APT攻击
-
APT组织Kimsuky使用HWP和MSC恶意软件的攻击分析
-
APT组织UTG-Q-008针对全球科研教育领域长达十年的窃密活动
-
攻击组织Sticky Werewolf针对俄罗斯和白俄罗斯展开攻击
攻击活动
-
乌克兰政府和国防部门遭遇针对性网络攻击
-
视频分享平台Niconico遭受网络攻击造成服务暂停
数据泄露
-
迪士尼Confluence服务器遭《俱乐部企鹅》粉丝入侵,2.5GB数据被盗
-
23andMe数据泄露事件引发英国和加拿大隐私监管机构联合调查
恶意软件
-
黑客利用合法打包软件传播恶意软件逃避检测
-
新型银行木马“CarnavalHeist”通过覆盖攻击瞄准巴西
勒索软件
-
Black Basta勒索软件团伙涉嫌利用Windows零日漏洞攻击
-
勒索软件攻击病理服务供应商Synnovis造成伦敦医院服务受阻
APT攻击
APT组织Kimsuky使用HWP和MSC恶意软件的攻击分析
在2024年5月,Genians安全中心(GSC)揭露了APT组织Kimsuky 使用Facebook和MS管理控制台的新攻击策略。这次攻击涉及多步骤的网络钓鱼和社会工程手段,目标是朝鲜人权活动人士。攻击者通过Facebook侦察目标,然后利用伪装成外国通讯社的电子邮件进行接触。攻击中使用了鱼叉式网络钓鱼,以及HWP和MSC文件作为恶意载体,这些文件通过OneDrive链接分发。在蒙古的VirusTotal上发现了一个未被广泛检测到的MSC文件,该文件与PlugX恶意软件相关联,PlugX恶意软件具有逃避检测的特征。本次事件攻击场景复杂,涉及连续性和多层次的策略。攻击者利用了朝鲜人权领域的共同特征,并通过MS管理控制台程序执行的MSC文件与HWP恶意文档结合使用。攻击者还采用了响应式双轨鱼叉式网络钓鱼攻击,通过长期建立信任和亲密关系来维持通信。恶意软件分析显示,基于HWP的APT攻击频率正在降低,而MSC文件的使用正在增加。攻击者利用OLE技术,通过在文档中嵌入恶意链接来执行攻击。MSC文件通过OneDrive链接传递,并且在下载后,图标看起来像Word或PDF文档,但实际上是恶意文件。总结来说,这次APT攻击事件展示了Kimsuky组织在攻击策略上的创新和适应性,以及对新工具和技术的利用。攻击者通过复杂的社会工程手段和多层次的攻击策略来达到目的。同时,这也提醒了安全社区需要不断更新和改进检测技术,以及加强安全意识和教育,以应对日益复杂的网络威胁。
图 1 Kimsuky Group基于HWP的MSC攻击流程图
参考链接:
https://www.genians.co.kr/blog/threat\_intelligence/interview
APT组织UTG-Q-008针对全球科研教育领域长达十年的窃密活动
奇安信威胁情报中心研究发现,长期以来,安全厂商对Linux系统相关的窃密事件研究不足,而Linux服务器在科学研究领域承载着重要数据,其安全性对国家科学技术的高质量发展至关重要。该中心揭露了UTG-Q-008等攻击团伙,特别是UTG-Q-008,它专门针对Linux平台,拥有庞大的僵尸网络,对国内科研教育领域进行窃密活动。UTG-Q-008的攻击活动具有高度针对性,主要针对网络资产,并对生物基因及RNA免疫治疗科研项目表现出浓厚兴趣。攻击者利用僵尸网络资源,通过分布式SYN扫描和爆破手段,在凌晨时段对Linux服务器进行攻击,使用全新跳板服务器,使得传统IOC情报难以有效防御。攻击者还利用SSH登录的源IP进行统计,发现国内被控节点最多,其次是美国。僵尸网络的资源分布复杂,涉及多种不同的僵尸网络节点,如Perlbot、Outlaw和mirai等。UTG-Q-008的僵尸网络深度参与了从目标测绘到C&C基础设施的全过程。UTG-Q-008与UTG-Q-006之间的联系表明,两个团伙都依托于庞大的僵尸网络,UTG-Q-006主要针对Windows设备,而UTG-Q-008专注于Linux服务器。两个团伙的爆破节点存在重叠,但具体关系不明。攻击者的武器组件通常以tar格式存储在跳板服务器上,使用Nanobot组件进行横向移动和内网探测。FRP组件用于反向代理,窃密插件用于收集服务器上的敏感信息,而Xmrig组件则用于挖矿,可能掩盖了攻击者的真实目的。奇安信的遥测数据显示,受害IP数量高达1500+,主要集中在教育网。攻击者的工作时区推测为东欧,但真正对科研数据有需求的“甲方”隐藏较深。归因方面,发现nishang框架的payload与UTG-Q-008的跳板IP有关联,但归因证据不足。总结来说,奇安信威胁情报中心的研究揭示了针对Linux系统的APT攻击的新维度,特别是UTG-Q-008团伙的复杂攻击手法和僵尸网络的深度参与。这些攻击对国内科研教育领域的安全构成了严重威胁,同时也暴露了传统安全措施在面对新型攻击手段时的不足。奇安信的全线产品现已支持对此类攻击的精确检测,为保卫国家科学技术安全提供了有力支持。
图 2 攻击示意图
参考链接:
攻击组织Sticky Werewolf针对俄罗斯和白俄罗斯展开攻击
Sticky Werewolf是一个2023年4月首次被检测到的网络威胁组织,最初主要针对俄罗斯和白俄罗斯的公共组织。该组织的活动范围已经扩展到多个领域,包括一家制药公司、一个从事微生物学和疫苗开发的俄罗斯研究所等。在最近的一次行动中,Sticky Werewolf将目标对准了航空业,发送的电子邮件似乎来自莫斯科的AO OKB Kristall公司(一家参与飞机和宇宙飞船生产及维护的公司)的第一副总经理。在这次行动中,Sticky Werewolf使用了包含LNK文件的归档文件,这些文件指向存储在WebDAV服务器上的负载。感染链开始于带有归档附件的网络钓鱼电子邮件,当收件人提取归档文件时,会发现LNK和诱饵文件。这些LNK文件指向托管在WebDAV服务器上的可执行文件。一旦执行,就会启动一个批处理脚本,然后启动一个AutoIt脚本,最终注入最终的有效载荷。技术分析显示,网络钓鱼电子邮件伪装成由AO OKB Kristall的高级管理人员发送,目标是航空和国防领域的个人。电子邮件邀请收件人参加关于未来合作的视频会议,并提供了一个包含恶意负载的密码保护的归档文件,目的是在合法商务邀请的诱惑下欺骗收件人打开有害附件。归档文件包含三个设计用来欺骗收件人执行至少一个恶意内容的文件,具体为一个诱饵PDF文件和两个伪装成DOCX文档的LNK文件。一旦受害者点击LNK文件,就会触发一系列动作,包括持久性注册表项的添加、显示诱饵消息、复制图像文件等。执行的可执行文件是一个NSIS自解压归档文件,属于已知的CypherIT crypter的一个变种。这个crypter被用于多个威胁行动者的多个活动中。NSIS归档提取其文件到$INTERNET_CACHE目录,并运行一个混淆的批处理脚本。该脚本执行多个操作,包括延迟执行、更改文件名、文件连接、执行AutoIt脚本等。AutoIt脚本具备反分析、反仿真、持久性和解除挂钩等能力。其主要目标是在逃避安全解决方案和分析尝试的同时注入负载和建立持久性。脚本检查属于安全供应商仿真器和环境的标志,然后通过覆盖ntdll.dll来移除挂钩。持久性通过计划任务或启动目录建立。在注入负载之前,使用两个shellcode进行RC4解密。解密的字节使用RtlDecompressFragment进行解压缩,最终负载通过进程空心化技术注入到合法的AutoIT进程中。总结来说,Sticky Werewolf组织的活动已经从最初的公共组织扩展到了航空、制药和科研等多个领域,其攻击手段也从使用网络钓鱼链接演变到了使用归档文件中的LNK文件指向WebDAV服务器上的负载。该组织使用的技术和策略显示出其在逃避安全检测和分析方面的高级能力。尽管没有明确证据指向特定的国家来源,但地缘政治背景暗示可能与亲乌克兰的网络间谍组织或黑客活动家有关。Morphisec的自动化移动目标防御(AMTD)技术能够有效地在攻击链的各个阶段阻止包括Sticky Werewolf使用的通用RAT或窃取者在内的攻击。
图 3 Sticky Werewolf组织攻击示意图
参考链接:
https://securityaffairs.com/164345/hacking/sticky-werewolf-targets-aviation-industry.html
攻击活动
乌克兰政府和国防部门遭遇针对性网络攻击
乌克兰计算机应急响应小组(CERT-UA)近期监测到一波针对乌克兰政府官员、军事人员及国防企业代表的网络攻击活动。这些攻击主要通过恶意软件DarkCrystal RAT进行,其传播途径为Signal信使平台。攻击者通过伪装成受害者熟悉的联系人或群组成员,发送含有恶意文件的消息,以此提高受害者对消息内容的信任。这些恶意消息通常附带一个压缩文件和密码,以及指导受害者在电脑上打开文件的说明。压缩文件中包含一个可执行文件,扩展名为“.pif”或“.exe”,实际上是一个RARSFX压缩包,内含VBE、BAT和EXE文件。一旦受害者执行这些文件,DarkCrystal RAT便会感染其系统,赋予攻击者未授权的访问权限。这种攻击手段揭示了攻击者利用信使服务和合法账户进行网络攻击的上升趋势。攻击者诱导受害者在电脑上打开文件,实现恶意软件的感染,这一点需要引起高度警觉。CERT-UA特别强调了启用多因素认证的重要性,并呼吁公众在遇到可疑消息、文件或链接时,立即向CERT-UA报告。此次攻击活动已被标记为UAC-0200,CERT-UA也提供了包括文件哈希值和网络地址在内的网络威胁指标,以协助识别和防御这类攻击。
参考链接:
https://cert.gov.ua/article/6279561
视频分享平台Niconico遭受网络攻击造成服务暂停
日本东京的视频分享平台Niconico遭遇了一场严重的网络安全事件,迫使该公司不得不暂停其服务进行全面调查。这场在上周六被发现的“大规模网络攻击”迫使Niconico关闭了其直播平台和用户频道,以最小化对用户和内容提供者的影响。Niconico在周一的声明中表达了对用户和内容提供者的深切歉意,并表示正在积极调查此事件以全面了解损害的程度。尽管攻击的性质和范围尚未完全明确,但Niconico已经意识到了其严重性,并正在与外部专家和警方合作,以确定攻击的源头和影响范围。作为日本最大的视频分享网站之一,Niconico拥有约143万付费会员和8900万活跃会员,以及超过一万个频道。这次网络攻击不仅影响了Niconico的主要视频分享服务,还波及到了其母公司角川集团的其他业务平台,包括官方网站和电子商务网站。这表明攻击可能源于对服务器的未授权访问。尽管Niconico的服务在周一晚间东京时间仍处于不可用状态,公司正在采取积极措施,包括重建整个系统,以加强未来的网络安全防护。Niconico承诺,一旦调查完成,将及时向用户通报结果,并解决与会员费和直播预定相关的疑问。值得注意的是,尽管此次网络攻击对Niconico的运营造成了重大干扰,但公司确认没有用户信用卡信息在事件中被泄露。这一确认为用户提供了一定程度的安心,同时也凸显了在处理用户敏感信息时采取适当安全措施的重要性。此次事件凸显了网络攻击对现代数字服务平台构成的威胁,以及加强网络安全措施的紧迫性。
参考链接:
https://therecord.media/niconico-japan-video-streaming-site-cyberattack
数据泄露
迪士尼Confluence服务器遭《俱乐部企鹅》粉丝入侵,2.5GB数据被盗
《俱乐部企鹅》的粉丝近日入侵了迪士尼的Confluence服务器,原意是为了获取有关他们喜爱的游戏的信息,但最终却带走了2.5GB的迪士尼内部企业数据。《俱乐部企鹅》是一个从2005年运营至2018年的多人在线游戏,由New Horizon Interactive最初创建,后被迪士尼收购。尽管《俱乐部企鹅》在2017年正式关闭,其继任者《俱乐部企鹅岛》也在2018年关闭,但该游戏在粉丝和独立开发者运营的私人服务器上继续存在。尽管迪士尼对一个更知名的《俱乐部企鹅重写版》进行了打压,导致其运营者被捕,但私人服务器至今仍在运行,拥有成千上万的玩家。本周,一位匿名人士在4Chan留言板上上传了一个链接,标题为“内部《俱乐部企鹅》PDF”。该链接指向一个415 MB的存档,包含137个PDF文件,其中包含有关《俱乐部企鹅》的旧内部信息,包括电子邮件、设计图、文档和角色表。BleepingComputer了解到,《俱乐部企鹅》的数据只是从迪士尼Confluence服务器窃取的更大数据集的一小部分,该服务器存储了迪士尼内部用于各种业务、软件和IT项目的文档。据匿名消息人士称,攻击者使用之前暴露的凭证入侵了迪士尼的Confluence服务器。消息人士表示,威胁行为者最初正在寻找《俱乐部企鹅》的数据;他们最终下载了有关迪士尼公司战略、广告计划、Disney+、内部开发工具、商业项目和内部基础设施的2.5 GB数据。
此外,泄露的数据中还包含了指向迪士尼开发者使用的内部网站的链接,这些信息对潜在的威胁行为者来说价值重大。尽管《俱乐部企鹅》的数据较为陈旧,但其他在Discord上流传的数据则包含最新的2024年信息。BleepingComputer在尝试联系迪士尼以获取对此次事件的回应时,尚未收到任何回复。
参考链接:
23andMe数据泄露事件引发英国和加拿大隐私监管机构联合调查
隐私监管机构在加拿大和英国针对23andMe数据泄露事件的联合调查正在进行中,该事件在去年对敏感客户信息的安全构成了严重威胁。23andMe是一家领先的基因检测服务提供商,遭遇了一场精心策划的凭证填充攻击,攻击时间跨度达五个月,从四月底延续至九月底。在这场攻击中,攻击者非法获取了包括健康报告和原始基因型数据在内的客户信息。加拿大隐私专员Philippe Dufresne和英国信息专员John Edwards均强调了个人信息保护的重要性,特别是在遗传信息可能被滥用于监视或歧视的情况下。他们指出,公众需要对处理其敏感个人信息的组织抱有信任,相信这些组织具备必要的安全措施。23andMe在去年十月上旬检测到攻击后迅速响应,要求所有客户重置密码,并从去年十一月份开始为所有账户默认启用双因素认证,以增强账户安全。然而,该公司后来透露,攻击者已经下载了近七百万客户的数据,并且部分被盗数据在线上黑客论坛上被公开,其中包括410万英国居民和100万阿什肯纳兹犹太人的敏感信息。此次泄露的数据量和性质都引起了广泛关注,因为泄露的信息可能被用于不正当目的,包括身份盗窃、欺诈或其他形式的个人隐私侵犯。由于数据泄露的严重性,23andMe面临了多起集体诉讼,这促使公司更新其使用条款,试图通过仲裁程序解决争端,而不是通过集体诉讼。
参考链接:
恶意软件
黑客利用合法打包软件传播恶意软件逃避检测
近期网络安全领域出现新威胁,黑客开始利用合法的商业打包软件,如BoxedApp,来包装和分发恶意软件。这些行为者通过这种方式成功逃避了安全检测,对金融机构和政府行业构成了严重威胁。Check Point的安全研究员Jiri Vinopal发现,从2023年5月开始,使用BoxedApp打包的恶意软件样本数量激增,主要源自土耳其、美国、德国、法国和俄罗斯。这些恶意软件家族包括但不限于Agent Tesla、AsyncRAT、LockBit等,它们通过BoxedApp的打包功能,增加了额外的混淆层,以抵抗安全分析。BoxedApp Packer和BxILMerge等产品由于其打包能力,成为了攻击者部署恶意软件时的首选工具。尽管BoxedApp打包的应用程序,包括非恶意的,经常在反恶意软件引擎中产生高误报率,但这并未阻止攻击者利用其高级功能,如虚拟存储,来降低被检测的风险。此外,还出现了使用NSIS的非法打包器NSIXloader,它通过Nullsoft Scriptable Install System的脚本能力,为恶意软件开发者提供了创建难以区分于合法安装程序的样本的能力。这种打包器的使用表明,恶意软件的传播已经商品化,并在暗网上被货币化。同时,QiAnXin XLab团队揭露了另一个名为Kiteshield的打包器,它被多个威胁行为者用于针对Linux系统的攻击。Kiteshield通过多层加密和加载器代码,实现了在用户空间完全解密、映射和执行打包的二进制文件。这一事件的发展提醒了企业和个人用户,面对不断演变的网络威胁,必须采取更加严格的安全措施,以确保信息安全。
参考链接:
https://thehackernews.com/2024/06/hackers-exploit-legitimate-packer.html
新型银行木马“CarnavalHeist”通过覆盖攻击瞄准巴西
CarnavalHeist作为一种新型银行木马,其复杂性和针对性对巴西用户构成了严重威胁。用户应保持警惕,避免点击可疑链接,并实施多因素认证等防护措施,以确保个人和财务信息的安全。自2024年2月以来,网络安全厂商Cisco Talos监测到一系列针对巴西用户的网络攻击活动。这些攻击由一种新型银行木马“CarnavalHeist”发起,其开发和操作被高度确定为巴西黑客所为。该木马采用了一系列常见的战术、技术和程序(TTPs),通过金融主题的垃圾邮件、基于Delphi的DLL、覆盖攻击方法和输入捕获技术进行传播。CarnavalHeist的感染始于一封含有虚假发票的金融主题垃圾邮件,诱使受害者点击恶意链接。该链接通过IS.GD URL缩短服务将用户重定向到托管恶意网页的服务器,用户在该网页上下载恶意软件。下载的文件通常是一个LNK文件,执行后会启动下一阶段的感染过程。该木马的独特之处在于其使用基于Python的加载器作为DLL注入过程的一部分,并专门针对银行桌面应用程序,以便跟踪其他巴西金融机构。CarnavalHeist的命令和控制(C2)基础设施完全使用Microsoft Azure的BrazilSouth可用区来控制感染的机器,特别针对巴西的知名金融机构。CarnavalHeist通过覆盖攻击方法窃取受害者的银行凭证。当检测到特定银行的窗口标题时,恶意软件会将窗口设置为不可见,并用捆绑的覆盖图像替换。此外,该木马还具备键盘捕获、屏幕截图、视频捕获和远程控制等功能,允许攻击者在用户与假登录屏幕交互时窃取银行登录信息。Cisco Talos的分析表明,CarnavalHeist的开发和操作由巴西的黑客进行,他们在域名注册过程中犯了一些操作错误,暴露了他们的身份信息。该恶意软件自2023年11月以来一直在开发中,并在2024年2月开始大规模活动。CarnavalHeist的持续活动表明其作者正在积极开发和改进该恶意软件。
参考链接:
https://blog.talosintelligence.com/new-banking-trojan-carnavalheist-targets-brazil/
勒索软件
Black Basta勒索软件团伙涉嫌利用Windows零日漏洞攻击
Black Basta勒索软件团伙被怀疑利用了Windows系统中的一个高严重性权限提升漏洞(CVE-2024-26169),该漏洞在微软发布补丁之前被作为零日漏洞进行攻击。该漏洞允许攻击者将权限提升至系统级别,对用户系统安全构成严重威胁。微软已于2024年3月12日的月度更新中修复了此漏洞。赛门铁克的报告指出,Cardinal网络犯罪集团,也就是Black Basta团伙的运营者,已经积极利用了这一漏洞。该团伙使用DarkGate加载器进行初始感染,随后部署了针对该漏洞的利用工具。分析人员通过攻击者使用的特定脚本和持久性建立技术,将此次攻击与Black Basta团伙联系起来。利用工具的变体显示,Black Basta可能在微软发布修复补丁前就有可用的攻击工具,时间跨度可能从14天到85天不等。尽管便携式可执行文件的时间戳可能被修改,但攻击者似乎没有必要伪造时间戳,因此这一发现增加了零日漏洞被利用的可能性。Black Basta团伙与已解散的Conti网络犯罪集团有关联,并且已经显示出对Windows平台的深入理解和滥用能力。美国网络安全与基础设施安全局(CISA)和联邦调查局(FBI)在2024年5月的报告中强调了Black Basta的高活动量,该团伙自2022年4月成立以来已导致500次安全漏洞。区块链分析公司Elliptic在2023年11月的报告中指出,Black Basta通过勒索软件攻击赚取了超过1亿美元的赎金。
参考链接:
勒索软件攻击病理服务供应商Synnovis造成伦敦医院服务受阻
本周,伦敦的NHS医院和基层医疗机构经历了一场由勒索软件引起的严重服务中断。病理服务供应商Synnovis遭受攻击,导致其IT系统全面瘫痪,影响了包括移植、血液检测在内的关键医疗活动。据信,此次攻击是由俄罗斯语系的网络犯罪团伙Qilin所策划。英国国家网络安全中心前首席执行官Ciaran Martin将此次事件定性为英格兰遭遇的严重网络攻击之一。攻击导致Synnovis的病理服务能力大幅下降,只能优先处理紧急病例。NHS在伦敦的多个组织,包括Guy's and St Thomas' NHS Foundation Trust和King's College Hospital NHS Foundation Trust,目前都处于紧急状态。此外,其他受影响的医疗机构包括Oxleas NHS Foundation Trust、South London and Maudsley NHS Foundation Trust等,它们都在努力应对由此带来的连锁反应。安全专家Brett Callow指出,医疗行业由于其关键性,已成为网络犯罪分子的主要目标。他强调,只有通过加强安全措施和消除网络攻击的财务动机,才能有效遏制此类事件的发生。目前,Synnovis已暂停所有东南伦敦的采血预约,以确保实验室能力能够集中处理紧急请求,并且部分采血点将无限期关闭。此次事件再次凸显了医疗保健行业在网络安全方面的脆弱性,以及迫切需要采取的预防和应对措施。随着网络犯罪手法的不断演变,保障患者护理和数据完整性变得尤为重要。
参考链接:
https://www.cysecurity.news/2024/06/ransomware-attack-on-pathology-services.html
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
