APT-C-36组织利用免费的反病毒软件展开攻击——每周威胁情报动态第177期(05.24-05.30)
APT攻击
-
APT-C-36组织利用免费的IObit反病毒软件展开攻击
-
疑似伊朗APT组织Void Manticore针对以色列展开破坏性攻击
-
APT组织Kimsuky利用SmallTiger恶意软件展开攻击
攻击活动
-
黑客在最近的网络攻击中创建了流氓虚拟机以逃避检测
-
俄罗斯主要快递公司因网络攻击停业三天
数据泄露
-
美国Sav-Rx处方管理公司遭遇网络攻击导致300万患者信息泄露
恶意软件
-
Anatsa恶意软件:550万Android用户因Google Play商店受攻击威胁
勒索软件
-
微软将朝鲜黑客与新的FakePenny勒索软件联系起来
-
新的ShrinkLocker勒索软件利用BitLocker加密文件
APT攻击
APT-C-36组织利用免费的IObit反病毒软件展开攻击
2024年5月初,S2 Grupo的研究人员发现了一起新的网络钓鱼活动,攻击者冒充哥伦比亚总检察长办公室,目的是利用名为AsyncRAT的通用恶意软件感染受害者的系统。攻击者采用了DLL侧加载技术,通过一系列恶意文件来实现感染,其中包括合法的免费IObit反恶意软件解决方案文件,用于执行其余的恶意组件并启动感染。尽管攻击者使用的信标、目标和恶意软件与已知的APT-C-36组织所使用的相匹配。但此次攻击的杀伤链与该组织在最近活动中使用的杀伤链不符,这可能意味着APT-C-36改变了他们的战术、技术和程序(TTPs)。在这次活动中,威胁行为者使用了一个ZIP文件,其中包含四个相关文件:IObit杀毒软件的合法文件、恶意的BPL文件(一种用于AutoCAD的DLL类型)、恶意的M4A文件(苹果音频文件)以及恶意的VCF文本格式文件。攻击者利用HijackLoader恶意软件来执行这些恶意文件。在这次攻击活动中,研究人员发现它与APT-C-36以前使用的诱饵和恶意软件有多个相似之处。所以他们判断可能面对的是该组织使用的新杀伤链。此次事件凸显了网络攻击的不断演变和攻击者技术适应性的提高。APT-C-36组织通过使用合法软件的文件作为攻击的一部分,展示了他们如何利用信任和合法性来隐藏其攻击行为,这种策略不仅增加了攻击的隐蔽性,也使得受害者更难以识别和防御。DLL侧加载技术是一种常见的攻击手段,它允许攻击者通过合法的DLL文件来加载恶意DLL。在这种情况下,IObit反病毒软件解决方案的合法文件被用来执行恶意代码,这可能会误导安全软件,因为它们通常不会对已知的合法文件进行深度检查。攻击者还使用了多种文件类型来隐藏其攻击意图,包括BPL、M4A和VCF等文件。这些文件类型通常不会引起怀疑,因为它们与合法的应用程序和数据格式相关联。这种多样化的文件使用策略增加了攻击的复杂性和多样性,使得防御者难以通过单一的签名或规则来检测和阻止攻击。此外,HijackLoader恶意软件的使用进一步展示了攻击者如何利用现有的攻击工具来执行其恶意行为。这种工具的使用不仅简化了攻击者的操作,也使得攻击更加难以追踪和分析。
图 1 攻击感染示意图
参考链接:
https://lab52.io/blog/dll-side-loading-through-iobit-against-colombia/
疑似伊朗APT组织Void Manticore针对以色列展开破坏性攻击
2024年5月网络安全公司Checkpoint Research(CPR)揭露了名为Void Manticore伊朗网络攻击组织针对以色列目标的破坏性活动事件。据调查发现,该攻击组织疑似与伊朗情报和安全部(MOIS)有关联,并且以执行破坏性的数据擦除攻击和影响操作而闻名。Void Manticore组织通过多个在线身份进行操作,其中最为人所知的是“Homeland Justice”和“Karma”。前者用于在阿尔巴尼亚的攻击,而后者则用于在以色列的攻击。自2023年10月以来,Checkpoint Research(CPR)研究团队一直在积极监控并追踪针对以色列的攻击活动,这些攻击使用擦除器和勒索软件进行破坏性攻击。Void Manticore组织(也称为Storm-842)因其通过在线身份“Karma”进行的破坏性攻击和信息泄露而脱颖而出。该组织不仅在以色列有活动,还在阿尔巴尼亚执行了攻击,使用“Homeland Justice”这一身份泄露部分收集的数据。研究人员分析发现,Void Manticore组织的入侵和信息泄露使用的技战术(TTP)与另一个名为Scarred Manticore组织(也称为Storm-861)的组织有显著重叠,这表明两个团体之间可能存在合作。另外,还有在一些特定情况下,可以观察到从Scarred Manticore到Void Manticore的受害者移交程序,所以这种合作不仅限于单一行动或事件。Void Manticore组织的技术、战术和程序(TTPs)相对简单直接,涉及使用基本的技术或武器,大多是公开可用的工具进行手动操作。例如,他们通常使用远程桌面协议(RDP)进行横向移动,并在执行其他手动删除操作的同时手动部署他们的擦除器。与Scarred Manticore的合作可能促进了Void Manticore接触到高价值目标。Void Manticore组织的攻击技术包括使用定制的擦除器,这些擦除器旨在选择性地擦除关键信息,对应用程序、用户数据和系统功能造成针对性损害。他们还攻击系统的分区表,通过破坏分区表,恶意软件实际上移除了操作系统用来定位和访问数据的地图。结果,尽管数据本身在存储介质上未被更改,但磁盘上的所有数据都变得无法访问。
图 2 Void Manticore组织攻击示意图
参考链接:
APT组织Kimsuky利用SmallTiger恶意软件展开攻击
网络安全公司ASEC近期发布一起关于APT组织Kimsuky的使用SmallTiger恶意软件针对韩国公司的攻击活动。攻击活动最初的渗透过程未知,但攻击者在横向移动的过程中将SmallTiger分布在目标公司内部。攻击的目标被确定为韩国国内国防公司、汽车零部件和半导体制造行业等。研究人员于2023年11月首次发现攻击活动痕迹,虽然在目标系统上识别的恶意软件被认为是Kimsuky 组织的典型恶意软件,但它与典型的Kimsuky组织攻击方法不同,因为它在内部传播过程中利用了该公司的软件更新程序。它的另一个特点是,最终安装的后门恶意软件是DurianBeacon,这在过去的Andariel攻击案件中得到了证实。另外。在内部传播过程中,攻击者最终安装了DLL格式的恶意软件。该恶意软件负责作为下载器连接到C&C服务器,下载有效负载,并在内存中执行。在这里,攻击者使用他们在创建时设置的DLL的名称将下载器恶意软件归类为SmallTiger。同样的攻击者在2024年2恢复了攻击,最终分发的恶意软件被攻击者更改为名为 SmallTiger的下载器,使用SmallTiger的攻击一直持续到最近2024年5月。
图 3 攻击者的 DLL 名称 SmallTiger
参考链接:
https://asec.ahnlab.com/ko/65918/
攻击活动
黑客在最近的网络攻击中创建了流氓虚拟机以逃避检测
MITRE公司近期揭露了一起发生在2023年12月下旬的网络攻击事件,攻击者利用Ivanti Connect Secure (ICS)中的零日漏洞,针对一家非营利公司发起了攻击。攻击者在VMware环境中创建了非法虚拟机(VMs),并通过这种方式隐蔽地维持访问权限,同时降低被发现的风险。MITRE的研究人员指出,攻击者通过获取vCenter Server的访问权限,在其VMware环境中创建了自己的非法虚拟机。他们编写并部署了一个JSP网络壳(BEEFLUSH)在vCenter Server的Tomcat服务器下,执行了一个基于Python的隧道工具,该工具促进了攻击者创建的虚拟机与ESXi虚拟化基础设施之间的SSH连接。攻击者这样做的目的是为了绕过像vCenter这样的集中管理接口的检测,掩盖其恶意活动,同时保持持久访问权限。攻击的细节在MITRE上个月公布时浮出水面,当时MITRE透露,攻击者通过利用两个ICS漏洞CVE-2023-46805和CVE-2024-21887,破坏了其网络环境。在绕过多因素认证并获得初步立足点后,攻击者在网络中横向移动,并利用被入侵的管理员账户控制VMware基础设施,部署各种后门和网络壳以保持访问权限和收集凭证。此次事件凸显了网络攻击的复杂性和不断演变的威胁形势。攻击者不仅利用了零日漏洞,还巧妙地在虚拟化环境中部署了非法虚拟机和后门,以维持对受害网络的控制。这要求组织不仅要关注传统的安全防护措施,还需要对虚拟化环境进行特别的关注和保护。通过部署先进的监控工具和增强的安全协议,可以提高其检测和发现这类隐蔽攻击的能力。此外,加强员工的安全意识培训,确保他们了解最新的网络威胁和防御策略,也是保障网络安全的关键一环。
参考链接:
https://thehackernews.com/2024/05/hackers-created-rogue-vms-to-evade.html
俄罗斯主要快递公司因网络攻击停业三天
俄罗斯最大的快递公司之一CDEK近日遭受了一起网络攻击,导致其服务中断数日。这次攻击是由一个名为“Head Mare”的黑客组织发起的,他们声称通过勒索软件对CDEK的服务器进行了加密,并且破坏了其企业系统的备份副本。CDEK公司最初将其服务中断归咎于“大规模技术故障”,这一故障影响了其网站和移动应用的功能,并暂停了包裹的运输,以避免在手动处理过程中出现错误。尽管CDEK公司没有直接将服务中断归因于网络攻击,但一位匿名的公司内部人士向俄罗斯媒体Vedomosti透露,这是一起勒索软件攻击。然而,Recorded Future News由于无法联系到CDEK公司进行评论,无法验证这一说法。不过,俄罗斯国家杜马信息政策委员会主席在周二晚些时候表示,CDEK的中断确实是由网络攻击造成的。CDEK公司的通信总监在接受Interfax新闻社采访时表示,公司计划不迟于5月29日恢复运营,并补充说,他们正在努力完全恢复服务,但也准备了备用计划。CDEK成立于2000年,以特许经营的方式运营,在31个国家拥有超过4300个取货点,其中大部分位于俄罗斯。截至2023年,该公司的估值约为2亿美元。俄罗斯的CDEK客户在对俄罗斯媒体的评论中抱怨包裹投递的延迟。这次网络攻击不仅对CDEK公司的运营造成了重大影响,也给其客户带来了不便。客户们对于包裹的延迟交付感到不满,这反映出在现代社会中,网络攻击对企业运营和消费者体验的影响是深远的。CDEK公司在应对这次危机时,需要迅速采取行动,不仅要恢复其服务,还要确保客户的信任不受影响。
参考链接:
数据泄露
美国Sav-Rx处方管理公司遭遇网络攻击导致300万患者信息泄露
2023年10月,处方管理公司Sav-Rx遭受了一场严重的网络攻击,导致近300万人的敏感信息泄露。这场攻击在10月3日被黑客发起,但直到10月8日,当公司经历了网络中断后才发现。Sav-Rx是一家为数百个工会和其他组织管理处方药福利的公司,其IT系统在24小时内恢复,确保了所有处方药能够按时发货,没有造成延误。尽管如此,这次攻击的影响是深远的,因为被泄露的信息包括了姓名、地址、资格数据、保险识别号码以及社会保障号码等敏感数据。Sav-Rx在发现攻击后立即通知了执法机构,并开始了调查。直到次年4月30日,调查才最终完成,揭示了黑客访问了非临床系统,并获取了与Sav-Rx药物福利管理服务平台相关的文件。公司在网站上声明,受影响的个人是或曾经是健康计划的参与者,或者是当前或前员工。值得庆幸的是,这次事件并未影响到公司的药房系统,包括与邮购药房相关的系统。在缅因州向监管机构报告时,Sav-Rx透露共有2,812,336人受到了影响。调查之所以持续到4月,是因为公司希望向受影响的个人提供尽可能准确的信息。作为对受影响个人的补偿,所有受害者都收到了一封提供Equifax两年信用监控服务的信件。尽管Sav-Rx没有对是否为被盗数据支付赎金的问题作出回应,但信中指出公司与外部网络安全专家合作,以控制事件,并确认从IT系统中获取的任何数据已被销毁,并未进一步传播。Sav-Rx的这次攻击发生在另一家主要的制药平台Change Healthcare遭受攻击的三个月前,后者据称泄露了大约三分之一美国人的信息。这两次事件都凸显了医疗保健行业在网络安全方面面临的严峻挑战。随着医疗保健数据的价值增加,黑客将其视为有利可图的目标。此类数据泄露不仅侵犯了个人的隐私,还可能导致身份盗窃和其他形式的金融欺诈。
参考链接:
https://therecord.media/nearly-three-million-compromised-data-breach-savrx
恶意软件
Anatsa恶意软件:550万Android用户因Google Play商店受攻击威胁
在网络安全领域,移动设备的安全问题日益凸显,尤其是随着恶意软件对官方应用商店的渗透。Zscaler ThreatLabz的最新研究揭示了一起令人关注的案例:Anatsa(又名TeaBot)恶意软件通过伪装成合法应用程序的方式,成功潜入了Google Play商店,并感染了超过550万用户。Anatsa恶意软件以其复杂的技术而著称,它利用了一种称为“dropper”的技术,通过看似无害的应用程序来欺骗用户安装恶意负载。这些应用程序在安装时看似清白,但随后会从命令与控制(C2)服务器下载恶意代码或分阶段的有效负载,伪装成无害的应用程序更新。这种策略使得Anatsa能够成功上传到官方的Google Play商店,同时逃避了初步的检测。Zscaler ThreatLabz的研究人员在过去几个月中,监测并分析了Google Play商店中超过90个恶意应用程序,这些应用程序总共被安装了超过550万次。这些恶意应用通常伪装成PDF阅读器、二维码阅读器、文件管理器、编辑器、翻译器等工具,以诱骗用户下载。Anatsa恶意软件的第二阶段负载被伪装成合法应用程序的更新,诱使受害者相信恶意软件是真实的。使用Anatsa的威胁行为者采用了多种技术来逃避检测,包括检查虚拟环境和模拟器,以及故意破坏APK的ZIP头文件,以阻碍对恶意软件的静态分析。Anatsa恶意软件主要针对超过650多家金融机构的应用程序,最初主要在欧洲地区活跃。然而,最近的观察表明,威胁行为者已经扩大了他们的目标范围,包括了德国、西班牙、芬兰、韩国和新加坡等国家的银行应用程序。
参考链接:
勒索软件
微软将朝鲜黑客与新的FakePenny勒索软件联系起来
微软公司最近揭露了一个名为Moonstone Sleet的朝鲜黑客组织,该组织与FakePenny勒索软件的攻击有关,这些攻击已经导致了数百万美元的赎金要求。Moonstone Sleet的战术、技术和程序与其他朝鲜攻击者有重叠,但它也逐步采用了新的攻击方法,以及自己的定制化恶意工具。Moonstone Sleet的攻击手段包括使用特洛伊化软件、恶意游戏、npm包、定制的恶意软件加载器,以及假冒软件开发公司与潜在受害者进行互动。这些攻击手段使得该组织能够攻击金融和网络间谍目标。微软指出,尽管Moonstone Sleet最初与Diamond Sleet有重叠,但它很快发展出了自己的定制化恶意工具和攻击方式。2024年4月,Moonstone Sleet首次部署了一种新的定制FakePenny勒索软件变种,攻击者要求赎金高达660万美元的BTC,远高于以往朝鲜国家黑客协调的勒索软件攻击中要求的10万美元。微软的评估认为,Moonstone Sleet部署勒索软件的主要动机是为了经济利益,同时也表明该组织在进行网络间谍攻击,旨在产生收入和收集情报。Moonstone Sleet的攻击目标广泛,包括软件和信息技术、教育以及国防工业基地部门的个人和组织。这并非朝鲜黑客组织首次与勒索软件攻击有关,例如Lazarus Group就曾因2017年的WannaCry勒索软件爆发而受到指责。此外,2022年7月,微软也将朝鲜黑客与Holy Ghost勒索软件行动和Maui勒索软件攻击联系起来。
参考链接:
新的ShrinkLocker勒索软件利用BitLocker加密文件
ShrinkLocker是一种新型勒索软件,它利用Windows BitLocker功能加密企业系统,通过创建新的启动分区来实现。这种恶意软件主要针对政府机构以及疫苗和制造业的公司。它通过Visual Basic Scripting编写,能够检测目标机器上的Windows版本,并在满足特定条件时继续执行,否则会自行删除。如果目标符合要求,ShrinkLocker会使用diskpart工具缩小每个非启动分区,创建新的主卷,并使用BCDEdit工具重新安装启动文件。它还会修改注册表项,禁用远程桌面连接,并在没有可信平台模块(TPM)的情况下启用BitLocker加密。ShrinkLocker通过修改注册表,实施一系列安全策略,包括禁用远程桌面连接、强制智能卡认证、要求BitLocker PIN进行预引导认证、允许没有兼容TPM芯片的BitLocker、使用TPM(如果可用)、要求TPM启动PIN、使用TPM启动密钥、使用TPM启动密钥和PIN、允许没有TPM芯片的BitLocker、要求TPM启动密钥、要求TPM启动PIN等。攻击者不会留下勒索信,而是在新启动分区的标签中提供联系电子邮件地址,这通常只能通过恢复环境或诊断工具看到。加密驱动器后,攻击者会删除BitLocker保护器,包括TPM、PIN、启动密钥、密码、恢复密码和恢复密钥,阻止受害者恢复BitLocker的加密密钥,该密钥会被发送给攻击者。加密密钥是一个64字符的字符串,由数字、特殊字符和全字母句“快速棕色狐狸跳过懒惰的狗”组成,通过TryCloudflare工具传输,这是一个合法的服务,用于尝试Cloudflare的隧道而无需将网站添加到Cloudflare的DNS。最后,ShrinkLocker会强制系统关机,留下锁定的驱动器和没有BitLocker恢复选项。它不使用BitLocker的自定义消息功能来显示勒索信息,这表明这些攻击可能比财务动机更具破坏性。卡巴斯基发现,针对墨西哥、印度尼西亚和约旦的政府实体以及钢铁和疫苗制造行业的组织,使用了多个ShrinkLocker变种。
参考链接:
https://www.cysecurity.news/2024/05/new-shrinklocker-ransomware-exploits.html
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
