疑似越南CoralRaider利用三种恶意软件扩大攻击范围——每周威胁情报动态第173期(04.18-04.24)
APT攻击
APT28利用Windows打印后台处理程序漏洞CVE-2022-38028展开攻击
疑似越南CoralRaider利用三种恶意软件扩大攻击范围
巴基斯坦APT组织APT36升级针对印度的攻击
攻击活动
伊朗黑客在最近的行动中使用新的 C2 工具“DarkBeatC2”
“eXotic Visit”间谍软件攻击活动针对Android手机用户
数据泄露
日本知名汽车制造商本田企业数据库泄露
加拿大零售连锁店GIANT TIGER数据泄露可能影响了数百万客户
恶意软件
黑客利用SEO分发恶意软件
勒索软件
日本企业Hoya遭受勒索软件攻击
APT攻击
APT28利用Windows打印后台处理程序漏洞CVE-2022-38028展开攻击
近期Microsoft报道称,疑似与俄罗斯有联系的APT28组织(又名“Forest Blizzard”、“Fancybear”或“Strontium”)使用了一种以前未知的工具,称为“GooseEgg”,以利用 Windows打印后台程序漏洞CVE-2022-38028展开攻击。
至少自2020年6月以来,甚至可能更早,该APT组织就使用“GooseEgg”工具利用CVE-2022-38028漏洞。此工具可以修改 JavaScript 约束文件并使用SYSTEM级权限执行它。微软观察到APT28组织使用此方法攻击了包括乌克兰、西欧和北美的政府、非政府组织、教育和运输等部门组织。虽然“GooseEgg”是一个简单的启动器应用程序,但攻击者可以使用它来执行在命令行中指定的具有提升权限的其他应用程序。在利用后的情况下,攻击者可以使用该工具执行各种恶意活动,例如远程代码执行、安装后门以及横向穿过受感染的网络。值得关注的是,攻击者利用的Windows后台打印程序服务CVE-2022-38028漏洞,CISA承认其被利用,并于2024年4月23日迅速将该漏洞添加到其已知被利用漏洞(KEV)目录中。在一份警报中,该机构强调了作为常见攻击媒介的特权升级漏洞的普遍性。CISA敦促各组织优先进行修补,并将联邦文职行政部门(FCEB)实体解决漏洞的最后期限定为2024年5月14日。
图 1 CVE-2022-38028漏洞
参考链接:
https://securityaffairs.com/162154/apt/apt28-gooseegg-tool-win-bug.html
疑似越南CoralRaider利用三种恶意软件扩大攻击范围
Cisco Talos实验室至少自2024年2月以来发现了疑似越南APT组织CoralRaider 一个新的正在进行的攻击活动,该APT组织攻击者分发了三个著名的信息窃取恶意软件,包括Cryptbot、LummaC2和Rhadamanthys。本次攻击活动技术分析过程中还发现了LNK文件中嵌入的新PowerShell命令行参数,用于绕过防病毒产品并将最终有效负载下载到受害者的主机中。攻击者还使用内容分发网络(CDN)缓存域作为下载服务器,托管恶意HTA文件和有效负载。根据研究人员技术分析看,当受害者从使用下载驱动技术下载的ZIP文件中打开恶意快捷方式文件时,感染链就开始了。攻击者很可能通过网络钓鱼电子邮件向受害者提供恶意链接。Windows快捷方式文件中嵌入了PowerShell命令,该命令在攻击者控制的CDN域上运行恶意HTA文件。HTA文件执行嵌入的Javascript,该Javascript解码并运行PowerShell解密程序脚本。PowerShell解密嵌入的PowerShell Loader脚本,并在受害者的内存中运行它。PowerShell Loader执行多种功能来逃避检测并绕过UAC,最后,它下载并运行其中一个有效载荷,Cryptbot、LummaC2或Rhadamanthys信息窃取器。
图 2 CoralRaider攻击示意图
参考链接:
巴基斯坦APT组织APT36升级针对印度的攻击
近期研究人员观察到与巴基斯坦有关的APT组织对印度政府实体的网络攻击势头强劲,发现了多个此类活动。此类威胁组织SideCopy在过去几周的三个独立活动中部署了其常用的AllaKore RAT,其中每个攻击活动一次部署了两个此类 RAT。在同一事件中,其父APT组织透明部落(APT36)继续使用Crimson RAT,但使用了加密或打包版本。基于他们的C2基础设施,研究人员能够将这些APT关联起来,再次证明他们的细分关系。SideCopy 是一个与巴基斯坦有联系的高级持续威胁组织,至少自2019年以来一直以南亚国家为目标,主要是印度国防和政府实体。它的武器库包括Ares RAT、Action RAT、AllaKore RAT、Reverse RAT、Margulas RAT等。Transparent Tribe(APT36)是其具有相同持久性目标的父威胁组织,具有相同的代码相似性,并不断更新其Linux恶意软件库。自2013年以来,它一直在其活动中使用Crimson RAT、Capra RAT、Eliza RAT和Oblique RAT等有效载荷。
攻击过程
-
l鱼叉式网络钓鱼从包含双扩展格式快捷方式(LNK 的存档文件开始。
-
l打开LNK会触发MSHTA进程,该进程执行托管在受感染域上的远程HTA文件。stage-1 HTA包含两个嵌入式文件,一个诱饵和一个DLL,它们采用base64编码。
-
lDLL被触发在内存中运行,诱饵文件被它删除和打开。如前所述,DLL创建多个文本文件,其中提到了名称“Mahesh Chand”和其他各种随机文本。
-
l稍后,DLL将从同一受感染域下载两个HTA文件,以开始其第二阶段过程。
-
l两个HTA都包含嵌入式文件,这次是一个EXE和两个DLL。
-
l其中一个DLL在内存中执行,在解码后将其余两个文件放入公共目录中。最终有效负载的持久性是通过Run注册表项预先设置的。
图 3 攻击过程流程图
参考链接:
攻击活动
伊朗黑客在最近的行动中使用新的 C2 工具“DarkBeatC2”
伊朗威胁行为者MuddyWater在最近的攻击中使用了一种名为DarkBeatC2的新型命令和控制(C2)基础设施。此工具加入了以前使用的系统列表,包括 SimpleHarm、MuddyC3、PhonyC2 和 MuddyC2Go。在最近的一项攻击活动研究中,研究员人员发现,尽管远程管理工具会定期修改或C2框架会发生变化,但MuddyWater的策略始终遵循一种模式。MuddyWater也被称为Boggy Serpens、Mango Sandstorm和TA450,与伊朗情报和安全部(MOIS)有联系,至少自2017年以来一直在运作。该组织精心策划鱼叉式网络钓鱼攻击,导致在受感染的系统上安装授权的远程监控和管理(RMM)解决方案。Microsoft先前的情报将该组织与另一个名为Storm-1084(也称为DarkBit)的伊朗威胁集群联系起来,该集群参与了对以色列实体的毁灭性雨刮器攻击。Proofpoint上个月披露的最新攻击始于从受感染帐户发送的鱼叉式网络钓鱼电子邮件。这些电子邮件包括托管在Egnyte等服务上的链接或附件,这些链接或附件有助于Atera Agent软件的分发。
参考链接:
https://www.cysecurity.news/2024/04/iranian-hackers-use-new-c2-tool.html
“eXotic Visit”间谍软件攻击活动针对Android 手机用户
一项名为eXotic Visit的活跃安卓恶意软件活动主要针对南亚用户,尤其是印度和巴基斯坦的用户,恶意软件通过专用网站和谷歌Play商店分发。斯洛伐克网络安全公司表示,该活动自2021年11月开始,与任何已知的威胁行为者或团体无关。它以虚拟入侵者的名义追踪行动背后的组织。ESET安全研究员在今天发布的一份技术报告中表示:“下载的应用程序提供了合法的功能,但也包括开源Android XploitSPY RAT的代码。”据说,这场运动的针对性很强,谷歌Play上的应用程序安装数量从0到45,可以忽略不计。应用程序已被删除。这些假冒但功能强大的应用程序主要伪装成消息服务,如Alpha Chat、ChitChat、Defcom、Dink Messenger、Signal Lite、TalkU、WeTalk、Wicker Messenger和Zaangi Chat。据称,大约380名受害者下载了这些应用程序并创建了账户,将其用于信息传递目的。Sim Info和Telco DB等应用程序也被用作eXotic Visit的一部分,它们都声称只需输入巴基斯坦的电话号码就可以提供Sim卡用户的详细信息。其他应用程序在巴基斯坦被冒充为订餐服务,以及一家名为专科医院(现在更名为Trilife医院)的合法印度医院。XploitSPY最早于2020年4月由一位名叫RaoMK的用户上传到GitHub,与一家名为XploitWizer的印度网络安全解决方案公司有关联。它也被描述为另一个名为L3MON的开源Android特洛伊木马的分支,而L3MON又从AhMyth中获得了灵感。它具有广泛的功能,可以从受感染的设备中收集敏感数据,如GPS位置、麦克风录音、联系人、短信、通话日志和剪贴板内容;从WhatsApp、Facebook、Instagram和Gmail等应用程序中提取通知详细信息;下载和上传文件;查看已安装的应用程序;和队列命令。除此之外,恶意应用程序被设计为在与屏幕截图、WhatApp、WhatsApp Business、Telegram和一个名为GBWhatsApp的非官方WhatsApp模块相关的几个目录中拍照和枚举文件。
图 4 攻击活动时间示意图
参考链接:
https://thehackernews.com/2024/04/exotic-visit-spyware-campaign-targets.html
数据泄露
日本知名汽车制造商本田企业数据库泄露
研究人员在暗网监测到,在黑客论坛中发现一个帖子,其中攻击者声称从本田越南泄露了一个数据库。所谓的泄漏包括敏感的客户信息,例如身份证号码、电话号码、车辆类型和购买详细信息。
图 5 数据售卖网页
参考链接:
https://socradar.io/major-data-leaks-from-honda-vietnam-us-airports-and-chinese-huawei-iphone-users/
加拿大零售连锁店GIANT TIGER数据泄露可能影响了数百万客户
一名自称ShopifyGUY的网络黑客声称对攻击加拿大零售连锁店负责,并在黑客论坛上泄露了280万条记录。Giant Tiger是一家加拿大折扣连锁店,在加拿大各地经营着260多家店铺。对该帖子负责的威胁行为者声称已经上传了2024年3月被盗公司的完整数据库。泄露的数据包括超过280万个独特的电子邮件地址、姓名、电话号码和物理地址。
图 6 数据售卖图
参考链接:
https://securityaffairs.com/161811/cyber-crime/giant-tiger-data-breach.html
恶意软件
黑客利用SEO分发恶意软件
研究人员最近遇到了大量与欺诈活动相关的网站,这些网站被托管在流行的网络托管和博客平台上。威胁行为者故意创建这些网站,利用网络托管平台的激增来操纵搜索引擎的结果,从而传播恶意软件——这个行为被称为SEO中毒,是黑客SEO技术的一个子集。这将他们的欺诈网站推到用户搜索结果的首位,增加了无意中选择恶意网站的可能性,并可能使他们的系统感染恶意软件。这些网站不属于任何特定类别,因为它们涵盖了广泛的兴趣,如盗版软件、游戏、旅游和美食食谱。广泛的覆盖范围似乎旨在进一步确保它们在互联网搜索结果中的可见性。黑客攻击者利用流行的合法平台上托管的欺诈网站来传播恶意软件和窃取数据。为了逃避检测,攻击者使用模糊方法并检查推荐URL。他们根据用户是直接访问网站还是通过搜索引擎访问网站来重定向用户。恶意有效载荷通过多级压缩文件传递,通常隐藏在看似无辜的内容中。用户可能会在软件安装过程中不知不觉地执行这些有效载荷。一旦执行,恶意DLL和脚本就会执行诸如进程清空、DLL侧加载和执行PowerShell命令以下载其他恶意软件以及启动与命令和控制(C2)服务器的通信等活动。该恶意软件收集大量数据,包括系统信息、浏览器数据、凭据和浏览历史记录。它还监控与加密货币交易所有关的电子邮件,并拥有修改电子邮件内容的能力,以及可能窃取一次性身份验证码的能力。
参考链接:
https://www.zscaler.com/blogs/security-research/black-hat-seo-leveraged-distribute-malware
勒索软件
日本企业Hoya遭受勒索软件攻击
Hoya是一家日本公司,专门从事光学仪器、医疗设备和电子元件。它在160 多个国家/地区设有30个办事处和子公司,并在全球拥有43个实验室网络。一周前,该公司披露了一起影响生产和订单处理的网络攻击,其多个业务部门经历了IT中断。当时,该公司表示正在调查黑客从其系统中访问或泄露敏感信息的可能性,但指出可能需要一些时间才能确定是否有任何内容被盗。正如LeMagIT首次报道的那样,Hunters International勒索软件组织要求支付10万美元的赎金,以不发布据称1万份被盗文件,共计7TB的数据。这一赎金要求也得到了BleepingComputer的独立确认。目前,Hunters International网站上尚未发布任何文件,攻击者也没有公开声称对Hoya的攻击负责。
图 7 勒索攻击示意图
参考链接:
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
