APT攻击
揭秘新APT组织LilacSquid的隐蔽数据窃取活动
APT28组织利用HeadLace恶意软件和凭据收集攻击欧洲
APT组织Kimsuky使用MS-Office公式编辑器漏洞安装的键盘记录器
攻击活动
数据泄露
西班牙最大的银行Santander确认3000万用户数据泄露
3.61亿账户凭证泄露于Telegram
恶意软件
勒索软件
伦敦医院系统遭受Qilin勒索软件攻击
美国电信巨头Frontier Communications遭RansomHub勒索软件攻击,200万客户信息被盗
APT攻击
揭秘新APT组织LilacSquid的隐蔽数据窃取活动
CiscoTalos揭露了一个名为“LilacSquid”的新APT组织自2021年以来一直在进行的复杂数据盗窃活动。这个APT组织针对了美国的技术公司、欧洲的能源部门和亚洲的制药行业,显示出其对行业垂直领域的不特定性,并试图从多个来源窃取数据。LilacSquid组织的感染链主要有两种主要方式:一是利用了开源远程管理工具MeshAgent和一个定制版的QuasarRAT(名为“PurpleInk”)作为其主要的植入工具。二是通过利用公开应用服务器的漏洞和被泄露的RDP凭据进行攻击。成功入侵后,他们会部署包括MeshAgent、SSF、InkBox和InkLoader在内的多种工具和恶意软件作为远程设备管理工具,允许操作员控制设备的多个方面,并且激活其他工具,以建立对受害组织的长期访问权限,并窃取数据。PurpleInk是一个高度多功能和混淆的植入物,具有多种远程访问功能,如枚举进程、终止进程、运行新应用、获取驱动器信息、读取文件、替换文件内容、启动远程shell、重命名或移动文件、删除文件、以及连接到指定的远程地址等。InkBox是一个早期使用的恶意软件加载器,用于部署PurpleInk。而从2023年开始,LilacSquid采用了模块化的感染链,使PurpleInk可以作为单独的进程运行,并通过InkLoader组件来运行。LilacSquid的活动与朝鲜APT组织Andariel和Lazarus有某些战术、技术和程序(TTPs)的重叠,例如使用MeshAgent作为维护入侵后访问的工具,以及使用SOCKS代理和隧道工具以及定制的恶意软件作为次级访问和数据泄露的通道。总的来说,LilacSquid的活动是一个典型的APT攻击案例,涉及复杂的多阶段攻击链,利用多种工具和策略,以实现长期潜伏和数据窃取的目的。
图 1 LilacSquid组织攻击示意图
参考链接:
https://blog.talosintelligence.com/lilacsquid/
APT28组织利用HeadLace恶意软件和凭据收集攻击欧洲
APT28组织,也被称为BlueDelta、Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、ITG05、Pawn Storm、Sednit、Sofacy和TA422,是一个疑似与俄罗斯战略军事情报单位GRU有关的高级持续性威胁(APT)组织。这个组织以高度隐蔽和复杂的操作著称,经常通过精心准备和深度定制化工具展示他们的适应能力,并依赖于合法的互联网服务(LIS)和本地二进制文件(LOLBins)来隐藏其在常规网络流量中的操作。APT28组织被认为与最近一系列针对欧洲网络的活动有关,这些活动使用了HeadLace恶意软件和收集凭证的网页。这些活动从2023年4月持续到12月,使用地理围栏技术针对整个欧洲的网络,特别集中在乌克兰。APT28组织的间谍活动反映了一种更广泛的战略,旨在收集对俄罗斯在乌克兰军事活动背景下具有军事意义的实体的情报。HeadLace恶意软件通过钓鱼邮件传播,这些邮件包含恶意链接,一旦点击,就会启动一个多阶段的感染序列来投放恶意软件。整个攻击过程,APT28组织会在初始阶段构建一个复杂的七阶段基础设施链。这个链路的目的是安全地投递恶意的Windows BAT脚本,即HeadLace。这种脚本具备下载和执行后续shell命令的能力。APT28通过这种方式确保了恶意软件能够绕过初步的安全检测,因为这些命令在执行前会经过沙箱环境的检查以及地理位置的验证,以避免在非目标区域触发。进入了第二阶段后,会利用GitHub作为攻击的起点。APT28组织可能通过GitHub上的某些项目或仓库来引导受害者,这些项目或仓库被用来隐藏恶意重定向链接。通过这种方式,APT28可以利用GitHub的信誉和广泛使用,增加攻击的隐蔽性和成功率。到第三阶段APT28开始使用InfinityFree托管服务来托管PHP脚本。这些PHP脚本可能用于进一步的命令与控制(C2)操作,或者用于执行更复杂的攻击行为,如数据泄露、系统控制等。通过在InfinityFree上托管这些脚本,APT28能够保持其操作的匿名性和灵活性。
图 2 攻击示意图
参考链接:
https://thehackernews.com/2024/05/russian-hackers-target-europe-with.html
APT组织Kimsuky使用MS-Office公式编辑器漏洞安装的键盘记录器
网络安全公司ASEC最近揭露了Kimsuky攻击组织的一次新攻击活动,该活动利用了Microsoft Office中的公式编辑程序EQNEDT32.EXE的一个已知漏洞(CVE-2017-11882)。Kimsuky是一个知名的APT组织,历史上曾发动多次针对特定目标的网络攻击。这次,他们将注意力转向了一个容易被忽视的组件——公式编辑器,通过它来分发键盘记录器恶意软件。攻击者精心设计了攻击流程,利用了EQNEDT32.EXE的漏洞,通过MSHTA进程执行恶意脚本。MSHTA,即Microsoft HTML应用程序主机,是一个允许HTML应用程序在没有浏览器环境的情况下运行的工具。攻击者通过构造特定的HTA文件,诱导目标用户打开,从而执行其中的恶意脚本。这些脚本在执行时,用户可能会看到一个“Not Found”的错误页面,但这实际上是一个幌子,真正的恶意操作已经在后台悄悄进行。攻击者攻击的核心是error.php,一个恶意的PHP脚本,它执行了几个关键操作。首先,它使用PowerShell命令从C2服务器检索和执行其他恶意软件。其次,error.php在用户计算机的Users\Public\Pictures路径下创建了一个名为desktop.ini.bak的文件,并尝试在HKLM子运行键中注册这个文件,使其能够在系统启动时自动执行。然而,由于脚本中wscript的编码存在错误,攻击者未能成功注册运行键并生成文件。如果攻击者修正了这个错误,那么恶意软件将能够正常生成文件,并在系统的注册表中注册自身,从而实现持久化。攻击者使用的PowerShell脚本是这次攻击的另一关键部分。这个脚本负责收集系统信息和IP地址,并将这些信息发送到C2服务器。此外,它还能够从C2接收并执行键盘记录器恶意软件。键盘记录器的主要功能是记录用户的击键和剪贴板数据,并将这些信息存储在Users\Public\Music路径下的desktop.ini.bak文件中。为了防止重复执行,攻击者使用了互斥锁值“Global\AlreadyRunning19122345”。键盘记录器会在攻击者设定的时间范围内随机传输、删除和重新生成收集的数据到C2服务器。这次攻击再次凸显了及时修补软件漏洞的重要性。Kimsuky攻击组织之所以能够成功实施攻击,很大程度上是因为目标系统未能及时更新,从而暴露在已知漏洞面前。为了避免类似的安全威胁,用户和组织应该确保所有软件都是最新的,避免使用已经终止服务(EOS)的软件。此外,用户应该保持警惕,不要打开或下载来自不可信来源的文档和文件。
图 3 键盘记录数据内容
参考链接:
https://asec.ahnlab.com/ko/66135/
攻击活动
美国600,000家庭路由器遭恶意软件攻击
在2023年10月25日至27日的72小时内,美国发生了一起规模空前的网络攻击事件,导致600,000个家庭的WiFi路由器失效,这些家庭主要位于农村社区,因此失去了紧急服务的接入。这场攻击是由一种名为“Chalubo”的远程访问木马(RAT)引起的,它感染了数千个小型企业/家庭办公室(SOHO)路由器,并使它们永久性无法使用,需要硬件替换。Lumen Technologies的Black Lotus Labs的研究人员指出,这是一起前所未有的事件,因为其影响范围之广,没有任何已知的攻击需要更换超过600,000个设备。这次攻击主要影响了单一互联网服务提供商(ISP)的网络,特别是Sagemcom和ActionTec品牌的设备。公共扫描数据显示,受攻击ISP的自治系统编号(ASN)中有49%的调制解调器突然被移除。研究人员推测,攻击者可能利用了弱凭据或暴露的管理员界面来获得初始访问权限。一旦进入,攻击者下载并运行了一个名为“ger_scrpc”的恶意脚本,该脚本允许所有网络流量并下载额外的可执行文件。随后,恶意软件收集了设备信息,并尝试下载下一阶段的有效载荷,即Chalubo Bot。值得注意的是,Chalubo恶意软件本身并非专为破坏而设计,而是一种商品工具,可能被黑客用来模糊归属。尽管Chalubo能够运行分布式拒绝服务(DDoS)攻击,但在这次事件中,恶意软件并没有响应此类命令,表明攻击者可能有其他目标。这次攻击的一个关键特征是,恶意软件在执行后会从系统中删除所有文件,并重命名进程以妨碍检测,使用加密通信与命令和控制服务器,并插入延迟以逃避沙箱检测。此外,它还能运行任意的Lua脚本。然而,研究人员观察到攻击者在加密过程中使用了与Sophos报告中记录的相同的密钥和nonce,这可能是攻击者的一个失误。
图 4 Chalubo攻击示意图
参考链接:
https://cybernews.com/security/massacre-of-wifi-routers-leaves-american-families-offline/
数据泄露
西班牙最大的银行Santander确认3000万用户数据泄露
Santander是西班牙最大的银行,最近确认了一起重大网络安全事件,该事件涉及未经授权的敏感信息访问。此次数据泄露与两周前检测到的第三方服务提供商数据库有关,影响了智利、西班牙和乌拉圭的员工和客户。据称,名为ShinyHunters的黑客组织对该事件攻击活动负责,并已经获取了3000万个人的数据,包括2800万张信用卡号码和600万账户号码及余额。然而,根据Santander银行2024年第一季度的财务报告,该银行在受影响国家的客户总数仅为1950万。ShinyHunters组织声称正在以200万美元的价格在暗网上销售被获取的数据,这一点已被Dark Web Informer观察到。为了支持他们的主张,黑客已经发布了数据样本。尽管这些样本的真实性尚未得到确认,但这一威胁凸显了针对主要金融机构的网络犯罪分子日益增长的威胁。Santander银行已经采取了紧急措施来保护客户账户,并确保金融交易的安全。银行还向受影响的客户发出了道歉,并保证他们的基本在线金融信息仍然完整。尽管如此,网络安全专家警告说,与此次泄露相关的潜在风险。这一事件凸显了数字基础设施对复杂网络攻击的脆弱性,并引发了对金融机构采用的安全措施的担忧。
参考链接:
https://www.cysecurity.news/2024/06/santander-bank-faces-major-data-breach.html
3.61亿账户凭证泄露于Telegram
Have I Been Pwned?(HIBP)是一个免费在线服务,允许用户检查他们的账户凭证和其他数据是否在数据泄露中被泄露,最近新增了3.61亿个电子邮件地址。该服务的创始人Troy Hunt表示,其中1.51亿个地址之前未在HIBP中见过。这些被泄露的凭证是由一位未透露姓名的研究者提供给Hunt的。它们包含来自数千个Telegram频道的1700多个文件。数据包括按服务(例如,Gmail、Yahoo等)或国家分组的账户凭证列表。一些文件包含电子邮件地址、密码组合,而其他文件列出包含凭证的URL,通常以在线服务域名/登录、结账、确认、重置密码:电子邮件地址:密码的形式。Hunt测试了一些电子邮件地址,并确认与这些特定在线服务相关联的账户确实存在。然后,他尝试联系名单上的一些用户。他收到的反馈——以及数据的格式——指向账户凭证在以前的数据泄露中被泄露,以及通过信息窃取者。他联系的人中包括一个少年男孩,后者表示他一直在收到试图勒索钱财的电子邮件。被泄露的电子邮件账户也可以用来发送垃圾邮件,欺骗用户的联系人或诱使他们下载恶意软件。如果是企业电子邮件账户,它还可能被用于商业电子邮件泄露(BEC)诈骗。其他服务的账户(例如,在线支付或购物、社交网络)可能被用来盗取资金、欺诈性地订购产品或使用服务、发送垃圾邮件或钓鱼信息等。虽然HIBP不能告诉你当前密码是否被泄露,但它可以告诉你你的电子邮件地址是否可以在这个或其他数据泄露缓存中找到。HIBP还提供输入你的电子邮件地址并在数据泄露中出现时通知你的选项。
参考链接:
https://www.helpnetsecurity.com/2024/06/04/check-account-credentials-compromised/
恶意软件
利用浏览器更新传播BitRAT和Lumma Stealer恶意软件
网络安全公司eSentire最新研究发现,假冒的浏览器更新正在成为传播远程访问木马(RATs)和信息窃取恶意软件如BitRAT和Lumma Stealer(又称LummaC2)的新途径。这种攻击始于用户访问带有JavaScript代码的假冒网站,该代码会将用户重定向到一个虚假的浏览器更新页面。该页面提供了一个下载链接,指向位于Discord上的ZIP存档文件,该文件会自动下载到受害者的设备上。值得注意的是,攻击者经常使用Discord作为攻击载体。Bitdefender的近期研究显示,过去六个月中,超过50,000个未加密的连接在传播恶意软件、网络钓鱼活动和垃圾邮件。ZIP存档文件中包含另一个JavaScript文件,该文件执行PowerShell脚本,负责从远程服务器下载进一步的有效载荷,如BitRAT和Lumma Stealer,这些有效载荷以PNG图像文件的形式存在。eSentire指出,这种攻击方法还检索了用于持久性的PowerShell脚本和一个.NET基础的加载器,该加载器通常用作“恶意软件交付服务”,因为它被用来传播BitRAT和Lumma Stealer。BitRAT是一款功能丰富的RAT,使攻击者能够收集数据、挖掘加密货币、下载额外的恶意软件,并远程控制被感染的系统。自2022年8月以来,Lumma Stealer作为一种商品化窃取恶意软件,每月收费在250至1000美元之间,能够窃取在线浏览器、加密货币钱包和其他敏感信息。这种攻击手段不仅利用了用户对浏览器更新的信任,而且显示了攻击者利用知名软件以最大化覆盖范围和影响的能力。ReliaQuest报告称,它识别出了ClearFake活动的一个新变种,该变种诱使消费者复制、粘贴并手动执行恶意的PowerShell代码,伪装成浏览器更新。这种攻击手段的复杂性和隐蔽性对网络安全构成了严重威胁,要求公众和企业提高警惕,加强网络安全防护措施。网络安全公司正致力于研究和揭露这些新型攻击手段,帮助用户识别并防范潜在的网络威胁。
参考链接:
https://www.cysecurity.news/2024/06/fraudulent-browser-updates-are.html
勒索软件
伦敦医院系统遭受Qilin勒索软件攻击
在2024年6月5日,伦敦的医疗系统遭受了一场前所未有的网络攻击,Qilin勒索软件组织被怀疑是此次事件的幕后黑手。这场攻击针对的是Synnovis,一家为伦敦多家主要医院提供关键病理服务的第三方供应商。由于这次攻击,包括Guy’s and St Thomas’ NHS Foundation Trust和King’s College Hospitals NHS Trust在内的医院网络受到了严重影响,导致手术被迫取消,患者被迫转移到其他医疗服务提供者,被迫宣布紧急状态。这场攻击不仅对患者的治疗造成了直接的干扰,还对整个医疗系统的运作带来了巨大的压力。输血服务尤其受到了冲击,因为它们依赖于Synnovis提供的病理测试。这次事件再次凸显了医疗保健部门在网络安全方面的脆弱性,以及加强防护措施的紧迫性。自2019年1月以来,英国卫生部门已经遭受了215起勒索软件事件的打击。尽管去年报告的事件数量有所下降,但信息专员办公室(ICO)和国家网络安全中心都表达了对未报告事件的担忧。Qilin勒索软件组织也被称为“Agenda”,疑似讲俄语系的组织于2022年8月底首次被发现。有资深网络安全专家指出,Qilin可能利用了Citrix的“Citrix Bleed”零日漏洞进行攻击,该漏洞也被其他勒索团伙如LockBit所利用。
参考链接:
https://therecord.media/qilin-ransomware-gang-darknet-site-down-london-hospitals
美国电信巨头Frontier Communications遭RansomHub勒索软件攻击,200万客户信息被盗
在近期的网络安全事件中,RansomHub勒索软件组织对美国电信巨头Frontier Communications发起了攻击,声称已窃取超过200万客户的敏感信息,包括姓名、电子邮件地址、社会安全号码、信用评分、出生日期和电话号码等。该组织通过其Tor泄露网站公开了这一行为,并威胁称如果不支付赎金,将会公布这些数据。RansomHub甚至提供了部分被盗数据的截图作为攻击的证据。Frontier Communications在四月份向SEC报告了这次网络攻击,指出在4月14日发现未授权的行为者入侵了其IT环境的一部分。公司迅速展开调查并采取措施控制了事件的进一步影响。在五月提交给SEC的10-Q季度报告中,Frontier Communications透露,这次入侵很可能来自网络犯罪集团,尽管公司认为这不太可能对其财务状况或运营结果产生重大影响,但调查仍在进行中,并且已经聘请了网络安全专家和通知了执法部门。然而,Frontier Communications并没有提供关于攻击的详细信息,也没有披露受影响人数。RansomHub的威胁包括在不支付赎金的情况下公布被盗数据,并限定了9天的支付期限。这起事件再次凸显了勒索软件对企业构成的威胁,以及保护客户数据安全的重要性。RansomHub组织此前也曾攻击过其他知名机构,如佳士得拍卖行,被盗数据量达2GB,影响了至少50万客户。
参考链接:
https://securityaffairs.com/164126/data-breach/ransomhub-gang-hacked-frontier-communications.html
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
