APT37组织通过RoKRAT恶意软件采用无文件攻击的活动持续增长——每周威胁情报动态第171期(04.11-04.17)
APT攻击
APT37组织通过RoKRAT恶意软件采用无文件攻击的活动持续增长
Starry Addax组织使用新恶意软件针对北非展开网络攻击
TA577组织使用Latrodectus下载器展开多轮攻击
攻击活动
黑客声称破坏了包含数千条俄罗斯犯罪记录的数据库
“游蛇”黑产近期攻击活动分析
数据泄露
太平洋嘉德人寿保险公司遭受网络攻击,16.5万人的财务信息被盗
卡巴斯基粉丝俱乐部论坛57,000用户数据泄露
恶意软件
恶意软件针对小型路由器和物联网设备展开攻击
勒索软件
新的红色勒索软件组织(Red CryptoApp)在耻辱墙上暴露受害者
智利数据中心和托管服务提供商遭受SEXi的勒索攻击
APT攻击
APT37组织通过RoKRAT恶意软件采用无文件攻击的活动持续增长
Genius安全中心(GSC)发现了进入2024年以来监测发现多起APT37威胁活动。他们与Lazarus、Kimsuky和Konni一样,是以亚洲或韩国为对象,疑似有国家背景支持网络攻击组织之一。APT37主要针对朝鲜人权团体、朝鲜采访记者、脱北者等主要对朝领域从业者,持续进行攻击。通过对每个案例的深入分析,GSC发现嵌入在LNK文件中的PowerShell命令在最初的攻击中被一致使用。从威胁参与者的角度来看,这可能已被证明在逃避防病毒检测方面有些有效。此外,加密的RoKRAT恶意软件以无文件方式执行,以收集终端信息并将其秘密泄露到海外云服务器。截至1-2月份,在韩国观察到的最初渗透类型是鱼叉式网络钓鱼。电子邮件传播的攻击仍然有效,并且对于威胁参与者来说是一种具有成本效益的策略。我们不能忽视从按学科定位目标筛选到配置自定义场景的快速简便的访问。在这种攻击中,诱导恶意文件的执行是一个非常重要的过程。初始攻击场景是在主设备上安装了特定防病毒产品的假设下设计的。因此,威胁参与者准备绕过基于签名的检测,以逃避这些第一线防御。
图 1 APT37 攻击流程图
参考来源:
https://www.genians.co.kr/blog/threat\_intelligence/rokrat
Starry Addax组织使用新恶意软件针对北非展开网络攻击
思科Talos披露了一个新的网络攻击组织,将其称为“Starry Addax”,攻击目标主要是与阿拉伯撒哈拉民主共和国(SADR)事业相关的人权活动人士,并使用一种新型移动恶意软件。Starry Addax进行网络钓鱼攻击,诱骗目标安装称之为“FlexStarling”的恶意Android应用程序。对于基于Windows的目标,Starry Addax会将提供伪装成流行媒体网站登录页面的凭据收集页面。Talos最近分析的恶意移动应用程序(APK)“FlexStarling”伪装成Sahara Press Service (SPRASD)应用程序的变体。撒哈拉新闻社是与阿拉伯撒哈拉民主共和国有联系的媒体机构。该恶意软件将从SPRASD网站提供西班牙语内容,以使受害者看起来合法。然而,实际上,FlexStarling是一种高度通用的恶意软件,能够部署额外的恶意软件组件并从受感染的设备窃取信息。
图 2 网络钓鱼伪装页面
参考来源:
https://blog.talosintelligence.com/starry-addax/
TA577组织使用Latrodectus下载器展开多轮攻击
Proofpoint于2023年11月发现了一种名为Latrodectus的新下载程序。从2024年2月开始,研究人员已发现近十多个传播Latrodectus的活动。目前看Latrodectus是一款新兴的下载器,其目标是下载有效载荷并执行任意命令,具有各种沙箱规避功能。虽然最初的分析表明Latrodectus是IcedID的一个新变种,但随后的分析证实,根据代码中识别的字符串,它很可能是一个名为Latrodectos的新恶意软件。根据拆解样本中的特征和恶意软件的功能,研究人员评估该恶意软件很可能是由与IcedID相同的开发人员编写的。在2023年恶意软件被破坏之前,该恶意软件首次被发现是由TA577分发使用。TA577是一家被称为多产的Qbot分发商的IAB。TA577在2023年11月至少在三次战役中使用了Latrodectus,之后恢复使用Pikabot。自2024年1月中旬以来,研究人员观察到TA578几乎只在电子邮件威胁活动中使用它。
图 3 Latrodectos攻击示意图
参考来源:
https://www.proofpoint.com/us/blog/threat-insight/latrodectus-spider-bytes-ice
攻击活动
黑客声称破坏了包含数千条俄罗斯犯罪记录的数据库
一群名为RGB-TEAM的黑客行动主义者声称对入侵俄罗斯总检察长的网站负责,暴露了过去30年在俄罗斯犯下的刑事犯罪数据。该组织周四在其Telegram频道上公布了泄露的档案,称其持有1993年至2022年的10万份俄罗斯犯罪记录。黑客们表示,这只是他们在侵入检察长网站后获得的部分数据。根据俄罗斯独立调查媒体“重要故事”(Important Stories)的说法,该媒体分析了泄露数据的随机样本,该数据库确实包含有关犯罪的真实俄罗斯人的信息。该媒体报道说,其中很大一部分案件涉及盗窃、贩毒以及侮辱警察。俄罗斯总检察长尚未对泄密事件公开发表评论,也没有回应记者的置评请求。RGB-TEAM是一个以前不为人知的讲俄语的威胁行为者。他们将自己描述为“一个为自由而战的匿名黑客行动主义者社区”。
参考来源:
https://therecord.media/hackers-claim-to-breach-russia-prosecutor-general-database
“游蛇”黑产近期攻击活动分析
“游蛇”黑产自2022年下半年开始活跃至今,针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、更新免杀手段快、更换基础设施频繁、攻击目标所涉及的行业广泛。近期,安天CERT监测到“游蛇”黑产针对与金融、财务相关的企业及人员进行的攻击活动。攻击者投放的初始恶意文件主要有三类:可执行程序、CHM文件、商业远控软件“第三只眼”,伪造的文件名称大多与财税、资料、函件等相关。由于商业远控软件“第三只眼”提供多方面的远程监控及控制功能,并且将数据回传至厂商提供的子域名服务器、根据qyid值识别控制端用户,攻击者无需自己搭建C2服务器,因此恶意利用该软件进行的攻击活动近期呈现活跃趋势。“游蛇”黑产仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新,每天依旧有一定数量的用户遭受攻击并被植入远控木马。
参考来源:
https://www.antiy.cn/research/notice&report/research\_report/SwimSnake\_Analysis\_202404.html
数据泄露
太平洋嘉德人寿保险公司遭受网络攻击,16.5万人的财务信息被盗
美国夏威夷太平洋嘉德人寿保险公司表示,在2023年遭受网络袭击中,16.5万人的敏感财务信息被网络犯罪分子窃取。被盗信息包括社会安全号码、财务账户信息、医疗信息等。这家保险巨头成立于1961年,在46个州拥有数千名客户。这起事件延续了持续不断的违规行为,影响了数百万使用美国公司服务或为美国公司工作的客户。“2023年9月5日,PGL在其电子邮件环境中发现了可疑活动,”该公司表示,并解释说,对该事件的调查于3月5日结束。
参考来源:
https://therecord.media/pacific-guardian-life-insurance-data-breach
卡巴斯基粉丝俱乐部论坛57,000用户数据泄露
网络安全巨头卡巴斯基的俄语粉丝俱乐部论坛经历了一次数据泄露事件,在此期间,一个名为RGB的黑客组织在网上泄露了56,798名用户的个人数据。粉丝俱乐部论坛forum.kasperskyclub.ru拥有超过62,364个帖子,使其成为一个非常活跃的平台,用户可以在其中讨论卡巴斯基实验室及其产品、分享教程并寻求故障排除帮助。然而,尽管是非官方的,但粉丝俱乐部的数据泄露并不排除卡巴斯基员工数据的存在。根据Hackread.com获得的信息,数据泄露发生在2024年3月24日,但数据直到2024年4月4日才泄露。泄露的数据库出现在RGB的官方网站上,后来又出现在Breach Forums和Telegram上。经分析,其中包含论坛用户的个人信息,包括以下数据:
全名
IP 地址
电子邮件地址
密码哈希
图 4 泄露数据字段示意图
参考来源:
https://www.hackread.com/57000-kaspersky-fan-club-forum-data-breach/
恶意软件
恶意软件针对小型路由器和物联网设备展开攻击
LumenTechnologies黑莲花实验室团队最近的一项调查显示,针对小型路由器和物联网设备的网络犯罪活动呈令人担忧的趋势。这项研究揭示了一场利用名为TheMoon的更新恶意软件的复杂活动,到2024年初,该恶意软件已悄悄发展到感染88个国家的40000多台设备。这场运动的主要目标似乎是小型家庭和小型办公室路由器,而在安全更新方面,这些路由器往往被忽视。与自动更新是常态的桌面和服务器计算不同,许多物联网设备缺乏这一关键功能。这种疏忽使他们容易受到网络犯罪分子的利用。调查的关键发现之一是出现了一种名为Faceless的恶意代理服务,该服务以最低的费用为网络罪犯提供匿名服务。通过通过受损设备路由流量,恶意行为者可以隐藏其真实来源,使执法部门难以追踪其活动。网络安全专家表示,长期以来,密码较弱的路由器和网络设备很容易成为网络攻击的目标。然而,这场运动的与众不同之处在于使用代理网络来混淆指挥控制(C2)流量,这表明网络犯罪分子的复杂程度达到了新的水平。
参考来源:
https://www.cysecurity.news/2024/04/malware-targets-end-of-life-routers-and.html
勒索软件
新的红色勒索软件组织(Red CryptoApp)在耻辱墙上暴露受害者
Netenrich的网络安全研究人员发现了一个名为RedRansomware Group (Red CryptoApp)的新勒索软件组织。该组织的运作方式与典型的勒索软件组织不同,他们的勒索策略有所不同。与大多数对运营保密的勒索软件集团不同,Red CryptoApp似乎采取了激进的做法。据Netrich报道,该组织已经建立了一堵“耻辱墙”,在那里他们公布了成功瞄准的公司的名称。这种策略旨在羞辱受害者,并迫使他们支付赎金以删除他们的名字。尽管根据其暗网泄露网站上的列表,Red CryptoApp勒索软件的起源尚不清楚,但据信该组织于2024年2月开始运营。还值得一提的是,研究人员注意到该组织撰写的一份勒索软件笔记与2020 年 Maze 勒索软件团伙有一些相似之处。这可能是巧合,也可能不是巧合。因此,尚不清楚Red Ransomware Group是否是Maze团伙的衍生品,该团伙已于2020年11月关闭了其业务。
参考来源:
https://www.hackread.com/red-ransomware-group-red-cryptoapp-wall-of-shame/#google\_vignette
智利数据中心和托管服务提供商遭受SEXi的勒索攻击
智利数据中心和托管服务提供商IxMetro Powerhost遭受了一个名为SEXi的新勒索软件团伙的网络攻击,该团伙对该公司的VMware ESXi服务器和备份进行了加密。PowerHost是一家数据中心、托管和网络接入公司,在美国、南美和欧洲设有办事处。周一,PowerHost的智利分部IxMetro警告客户,它在周六凌晨遭到勒索软件攻击,对该公司用于为客户托管虚拟专用服务器的一些VMware ESXi服务器进行了加密。由于该公司试图从TB级的备份中恢复数据,在这些服务器上托管其网站或服务的客户目前处于停机状态。在最新的更新中,PowerHost向客户道歉,并警告说,由于备份也已加密,可能无法恢复服务器。当试图与威胁行为者谈判以获得解密密钥时,勒索软件团伙要求每个受害者获得两个比特币,PowerHost的首席执行官表示,这相当于1.4亿美元。
参考来源:
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
