APT组织TA547针对德国展开钓鱼式攻击——每周威胁情报动态第171期(04.18-04.24)
APT攻击
APT组织TA547针对德国展开钓鱼式攻击
运营10年的罗马尼亚攻击组织RUBYCARP浮出水面
疑似APT组织LightSpy卷土重来,针对南亚展开攻击
攻击活动
“大规模网络攻击”袭击法国五个城市,影响可能持续“数月”
针对全球VPN、SSH服务等的大规模暴力攻击活动持续增加
数据泄露
AT&T证实,数据泄露影响了51万客户
黑客从美国咨询公司窃取了 340,000 个社会安全号码
恶意软件
Remcos(RAT)远控木马的一种新部署方法
勒索软件
揭开勒索软件组织Abyss Locker的面纱
Cerber(又名 C3RB3R)勒索软件利用CVE-2023-22518漏洞展开攻击
APT攻击
APT组织TA547针对德国展开钓鱼式攻击
网络安全公司Proofpoint发现APT组织TA547针对德国组织开展了钓鱼式电子邮件攻击活动,以发送Rhadamanthys恶意软件。这是也研究人员首次观察到TA547使用Rhadamanthys,这是一种被多个网络犯罪威胁行为者使用的信息窃取程序。此外,该攻击者似乎使用了PowerShell脚本,研究人员怀疑该脚本是由ChatGPT、Gemini、CoPilot等大型语言模型(LLM)生成的。攻击者发送的电子邮件冒充德国零售公司Metro,声称与发票有关。这些电子邮件针对德国各行各业的数十个组织,邮件包含受密码保护的ZIP文件(密码:MAR26),其中包含LNK文件。执行LNK文件时,它会触发PowerShell运行远程PowerShell脚本。此PowerShell脚本对存储在变量中的Base64编码的Rhadamanthys可执行文件进行解码,并将其作为程序集加载到内存中,然后执行程序集的入口点。这实质上是在内存中执行恶意代码,而不将其写入磁盘。值得注意的是,在进行反混淆处理时,用于加载Rhadamanthys的第二个PowerShell脚本包含攻击者(或合法程序员)使用的代码中不常见的有趣特征。具体来说,PowerShell脚本在脚本的每个组件上方包含一个井号,后跟语法正确且超具体的注释。这是LLM生成的编码内容的典型输出,表明TA547使用某种类型的支持LLM的工具来编写(或重写)PowerShell,或者从使用它的其他源复制脚本。
图 1 PowerShell 示例分析
参考链接:
运营10年的罗马尼亚攻击组织RUBYCARP浮出水面
据研究人员分析发现一个名为RUBYCARP疑似罗马尼亚的攻击组织维护着一个长期运行的僵尸网络,用于进行加密挖掘、分布式拒绝服务(DDoS)和网络钓鱼攻击。有证据表明,该组织应该已经活跃了至少10年,他们的主要操作方法是利用各种公开漏洞和僵尸网络,通过公共和私人IRC网络进行通信,开发网络攻击武器和获取目标数据等,并通过加密挖矿和网络钓鱼获取经济利益。RUBYCARP可能与APT组织Outlaw有关,因为它确实具有许多相同的策略、技术和程序(TTP)。但是,由于这些共享TTP在许多僵尸网络运营商中都很常见,因此研究人员还无法明确得出这一结论。RUBYCARP在其运营过程中经常使用 Perl Shellbot,这也可能导致归因混淆,因为该工具是攻击者的常见选择。
图 2 RUBYCARP组织攻击示意图
参考链接:
https://sysdig.com/blog/rubycarp-romanian-botnet-group/
疑似APT组织LightSpy卷土重来,针对南亚展开攻击
近期研究人员发现APT组织LightSpy卷土重来,面向南亚进行网络攻击。LightSpy是一种复杂的iOS植入物,于2020年首次报道与针对Apple设备用户的水坑攻击有关。具体来说,它是一个功能齐全的模块化监控工具集,主要侧重于泄露受害者的私人信息,包括超特定的位置数据和 IP语音(VOIP)通话期间的录音。LightSpy拥有旨在泄露设备信息和保存文件的模块,包括来自QQ、微信和Telegram等流行信使应用程序的数据。它还有一个插件,能够从微信支付中抓取受害者的付款历史。它还可以访问用户的联系人、短信、电话通话记录、GPS位置、连接的WiFi历史记录以及Safari和Chrome的浏览器历史记录。这套全面的功能可以将用户受感染的手机变成强大的间谍设备。
图 3 LightSpy 技术分析
参考链接:
攻击活动
“大规模网络攻击”袭击法国五个城市,影响可能持续“数月”
法国西海岸卢瓦尔河附近的五个市镇的共享计算机服务器遭到“大规模网络攻击”,工作人员无法访问文件或继续工作。根据圣纳泽尔网站上的一份声明,圣纳泽尔、布列塔尼山、东斯、马莱教堂和波尼谢特的服务目前正在下降。官员告诉当地媒体,恢复可能需要数月时间。由圣纳泽尔市长主持危机会议,目前每天举行两次,分别为上午11点和下午5点。法国网络安全机构ANSSI正在提供支持。根据圣纳泽尔的公告,袭击发生在周二晚上。受影响的地方当局的官员无法访问他们的工作空间、文件或商业软件。当地媒体报道称,当工作人员周三早上到达时,他们被指示不要打开电脑,也不要用手机查看收件箱。市长David Samzun警告说,这次袭击将产生“重大后果”。市政当局使用的电子邮件和电话系统目前已瘫痪。今年1月,一个法国小镇布列塔尼遭到勒索软件攻击,导致所有社区服务暂时关闭。据法国隐私监察机构称,法国3300多万人(约占总人口的一半)的数据在1月底的一次网络攻击中被泄露。
参考链接:
https://therecord.media/france-cyberattack-loire-municipalities
针对全球VPN、SSH服务等的大规模暴力攻击活动持续增加
自2024年3月18日以来,Cisco Talos正在积极监测全球针对各种目标的暴力攻击,包括虚拟专用网络(VPN)服务、网络应用程序身份验证接口和SSH服务等。这些攻击似乎都源于TOR出口节点和一系列其他匿名隧道和代理。根据目标环境的不同,成功的此类攻击可能会导致未经授权的网络访问、帐户锁定或拒绝服务。与这些攻击有关的流量随着时间的推移而增加,并且可能继续上升。下面列出了已知的受影响服务。但是,其他服务可能会受到这些攻击的影响。
-
lCisco Secure Firewall VPN
-
lCheckpoint VPN
-
lFortinet VPN
-
lSonicWall VPN
-
lRD Web Services
-
lMiktrotik
-
lDraytek
-
lUbiquiti
暴力强制尝试使用通用用户名和特定组织的有效用户名。这些袭击的目标似乎是不分青红皂白的,并非针对特定地区或行业。此流量的源IP地址通常与代理服务相关联,代理服务包括但不限于:
-
lTOR
-
lVPN Gate
-
lIPIDEA Proxy
-
lBigMama Proxy
-
lSpace Proxies
-
lNexus Proxy
-
lProxy Rack
参考链接:
数据泄露
AT&T证实,数据泄露影响了51万客户
据vx地下研究人员报道,2024年3月,美国AT&T公司一个未指明部门的7000多万条记录被泄露到Breached论坛上。研究人员证实,泄露的数据是合法的,但目前尚不清楚这些信息是否是从与AT&T有关的第三方组织窃取的。该卖家在网上的昵称为MajorNelson,他声称这些数据是@ShinyHunters在2021年从一个未具名的AT&T部门获得的,档案包含73481539条记录。2021年8月,ShinyHunters集团声称拥有一个数据库,其中包含大约7000万AT&T客户的私人信息,但该公司否认这些信息是从其系统中窃取的。根据RestorePrivacy网站的数据,2021年8月,该组织要求为整个数据库支付100万美元,或20万美元的访问费,该网站检查了一个看起来真实的样本。此次泄漏中可用的数据:名称、电话号码、物理地址、电子邮件地址、社会保障号码、出生日期。
参考链接:
https://securityaffairs.com/161685/data-breach/att-data-breach-51m-customers.html
黑客从美国咨询公司窃取了 340,000 个社会安全号码
美国咨询公司Greylock McKinnon Associates(GMA)发现了一起数据泄露事件,黑客从公司获取了341,650个社会安全号码。GMA公司主要为参与民事诉讼的美国公司和政府机构(包括司法部)提供经济和诉讼支持。根据他们的数据泄露通告分析,GMA公司通知受影响的个人,他们的个人信息数据是由美国司法部(DOJ)获得的,作为GMA支持的民事诉讼事项的一部分。GMA通知受害者,“您的私人和医疗保险数据可能在这次事件中受到影响”,其中包括姓名,出生日期,家庭住址,一些医疗和健康保险信息,以及医疗保险索赔号码,包括社会安全号码。
参考链接:
https://www.cysecurity.news/2024/04/hackers-siphon-340000-social-security.html
恶意软件
Remcos(RAT)远控木马的一种新部署方法
研究人员发现了一种部署远程访问特洛伊木马Remcos的新方法,可以绕过常见的安全措施,获得对受害者设备的未经授权的访问。Remcos是一种已知的恶意软件,自2016年以来就出现在野外。这场最新的攻击活动绕过了常见的安全措施,让网络犯罪分子未经授权访问受害者的设备。尽管其合法起源于远程管理Windows系统,但网络犯罪分子很快就开始利用该工具的能力感染设备、捕捉屏幕截图、记录击键并将收集的数据传输到指定的主机服务器。此外,RAT具有大规模邮件功能,可以制定分发活动,总体而言,其各种功能可以用于创建僵尸网络。上个月,它从2月份的第六位上升到了恶意软件排行榜的第四位。
参考链接:
勒索软件
揭开勒索软件组织Abyss Locker的面纱
Abyss Locker成立于2023年3月,是一个最近成立的勒索软件组织,他们给工业控制系统(ICS)、企业和公共部门组织等各个部门的造成重大威胁。近期该组织的技术升级与引入定制的Linux加密器有关,该加密器经过精心设计,可渗透到VMware的ESXi虚拟化环境中。这一战略举措扩大了Abyss Locker的攻击范围,也扩大了其在各个领域的影响力。Abyss勒索软件似乎与HelloKitty勒索软件基础设施有关,其加密算法进行了显著修改,从AES转换为salsa_20。这种适应性凸显了该组织复杂的战术,并增加了网络安全风险,也对Windows和Linux系统都构成了重大威胁。
参考链接:
https://www.seqrite.com/blog/unveiling-abyss-locker-the-rapid-rise-of-a-menacing-ransomware-threat/
Cerber(又名 C3RB3R)勒索软件利用CVE-2023-22518漏洞展开攻击
2023年10月底,Atlassian警告称,有一个关键的安全漏洞,被追踪为CVE-2023-22518(CVSS评分9.1),影响所有版本的Confluence数据中心和服务器。该漏洞是一个不适当的授权问题,如果未经身份验证的攻击者利用该漏洞,可能会导致严重的数据丢失。云安全公司Cado报告称他们最近发现,Cerber勒索软件正通过CVE-2023-22518漏洞部署到Confluence服务器中展开攻击。Cerber勒索软件组织至少从2016年开始活跃,最近一次参与了针对Confluence服务器的攻击。该恶意软件包括三个严重混淆的C++有效载荷,它们被编译为64位可执行和可链接格式(ELF)文件,并用UPX打包。UPX是威胁参与者中广泛使用的打包器,能够将编码的程序代码存储在二进制文件中。在运行时,代码被提取到内存中并执行,这一过程被称为“拆包”,以躲避安全软件的检测。攻击者利用此漏洞获得对易受攻击的Atlassian实例的初始访问权限。
参考链接:
https://securityaffairs.com/161962/cyber-crime/cerber-ransomware-cve-2023-22518-atlassian.html
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
