每周高级威胁情报解读(2024.07.19~07.25)
2024.07.19~07.25
攻击团伙情报
-
乌克兰科研机构遭遇APT28组织网络间谍攻击
-
Transparent Tribe对印度政府部门发起鱼叉式钓鱼攻击
-
APT-C-09(摩诃草)组织Golang载荷窃密分析
-
Stargazer Goblin组织:拥有大量Github账户,以传播恶意软件盈利
-
FaCai团伙以GrimResource技术分发远控木马
攻击行动或事件情报
-
攻击者利PhantomDL和DarkWatchman RAT攻击俄罗斯组织
-
攻击者利用漏洞绕过SmartScreen传播恶意软件
-
疑似网络犯罪分子假冒CrowdStrike更新漏洞传播Remcos RAT
-
美国网络安全公司 KnowBe4 错误地雇佣了朝鲜黑客,面临信息窃取攻击
恶意代码情报
-
新型 ICS 恶意软件“FrostyGoop”瞄准关键基础设施
-
研究人员发现针对HamsterKombat玩家的恶意软件
-
SocGholish利用BOINC平台进行持久性攻击
-
Play 勒索软件新变种瞄准 ESXi
-
以图片隐写和进程注入技术进行加载的远控勒索木马分析
漏洞情报
-
研究人员发现LangChain AI框架存在高危漏洞
-
Telegram修补零日漏洞EvilVideo
攻击团伙情报
01
乌克兰科研机构遭遇APT28组织网络间谍攻击
**披露时间:**2024年7月21日
情报来源**:**https://cert.gov.ua/article/6280129
相关信息:
2024年7月,乌克兰科研机构成为了一起精心策划的网络钓鱼攻击的目标,攻击中使用了HATVIBE和CHERRYSPY两种恶意软件。乌克兰计算机应急响应小组(CERT-UA)将此次攻击归因于UAC-0063,一个与俄罗斯的APT28组织有联系的威胁行为者。攻击者通过获取该机构员工的电子邮件账户,向数十个收件人发送了带有恶意宏的Microsoft Word文档。当这些宏被启用时,它们会触发一个HTA文件的执行,该文件通过创建计划任务在受害者计算机上实现持久性,并为CHERRYSPY后门铺平了道路。
02
**Transparent Tribe对印度政府部门发起鱼叉式钓鱼攻击
**
**披露时间:**2024年7月23日
**情报来源:**https://mp.weixin.qq.com/s/BtRMt39eoRMhfTkt09AacA
相关信息:
近期,绿盟发现了巴基斯坦TransparentTribe组织针对印度政府部门的鱼叉式钓鱼邮件攻击。据悉,本次事件发生时间临近印度今年4-5月举行的总统换届选举,诱饵文件名为"Recommendation for the award of President's.docm",文件内容有关"印度政府内务部第一警司",或许与即将到来的总统选举有一定联系。恶意文件被发送给印度多个政府部门,并被压缩隐藏在文档中,运行后会执行嵌入的VBA脚本,以进一步提取并运行文件中的恶意程序,其最终载荷为TransparentTribe组织的常用远控木马CrimsonRAT程序,该Rat具备收集系统信息、下载运行文件、窃取敏感信息等功能,具有极大的危害性。
03
**APT-C-09(摩诃草)组织Golang载荷窃密分析
**
**披露时间:**2024年7月22日
**情报来源:**https://mp.weixin.qq.com/s/iRi1qkRG5PEzCu7FrCXZQg
相关信息:
360高级威胁研究院揭露了APT-C-09(摩诃草)组织针对巴基斯坦的最新攻击活动,该组织使用基于Golang的新型恶意载荷和Quasar RAT进行网络窃密。
攻击者通过名为“Quran.pdf.lnk”的恶意快捷方式文件调用PowerShell执行恶意指令,下载诱饵文件和恶意载荷,并创建计划任务以维持持久化。恶意载荷“Winver.exe”是一个由Golang编译的恶意软件,带有数字签名“RUNSWITHSCISSORS LTD”。该恶意软件会获取系统信息,并通过RC4+Base64的方式加密,发送到C2服务器。
此外,攻击者针对同一目标还使用了Quasar RAT,通过Rust编译的加载器内存加载执行。
04
**Stargazer Goblin组织:拥有大量Github账户,以传播恶意软件盈利
**
**披露时间:**2024年7月24日
**情报来源:**https://research.checkpoint.com/2024/stargazers-ghost-network/
相关信息:
Check Point Research最近识别了一个名为“Stargazers Ghost Network”的网络,该网络由多个GitHub账户组成,由一个名为“Stargazer Goblin”的威胁组织运营。该组织提供、运营和维护Stargazers Ghost Network,并通过其拥有的大量GitHub帐户分发恶意软件和链接。该组织提供的服务为DaaS(Distribution as a Service),面向受害者进行钓鱼,分发恶意软件或链接。
目前,已观察到Atlantida Stealer、Rhadamanthys、RisePro、Lumma Stealer、RedLine等恶意软件通过该服务进行传播。该组织组建了一个Github账户网络,其中包含多个账户,会执行star、fork等操作,以此使账户看起来更加正常。这些账户使用相同的标签和图像,账户下的项目多为游戏娱乐相关。经过分析,该DaaS及其GitHub账户网络疑似始于2022年8月,网络中有超过3000个活跃的GitHub账户。安全人员推测Stargazer Goblin已盈利至少十万美元。
05
**FaCai团伙以GrimResource技术分发远控木马
**
**披露时间:**2024年7月23日
**情报来源:**https://mp.weixin.qq.com/s/P5uU8OG8agvRuT-6C6YKQA
相关信息:
近日,安恒研究院猎影实验室在日常威胁情报狩猎中捕获了一起利用MSC文件针对国内用户的攻击活动。该攻击活动疑似由国内黑产团伙“FaCai”发起,他们利用了apds.dll库中的XSS漏洞,在mmc.exe的上下文中执行任意Javascript代码,最终实现对目标机器的远程控制。
攻击行动或事件情报
01
攻击者利用PhantomDL 和 DarkWatchman RAT 攻击俄罗斯组织
**披露时间:**2024年7月19日
**情报来源:**https://securelist.ru/phantomdl-darkwatchman-rat-targeted-attacks/109919/
相关信息:
研究人员监测到两波针对俄罗斯组织的定向电子邮件攻击,主要影响制造业、政府、金融和能源行业的员工。第一波攻击发生在7月5日,影响了约400名用户;第二波攻击在7月10日,影响了超过550名用户。
攻击者利用PhantomDL和DarkWatchman RAT两种恶意软件,通过精心构造的电子邮件和RAR压缩包进行传播。PhantomDL后门使用Go语言编写,具备高度混淆和自定义UPX包装器,PhantomDL能够执行多种命令,如退出、等待命令、打开命令行、上传和下载文件。而DarkWatchman RAT则提供攻击者对受感染系统的远程访问,并具有自我删除和清除浏览器缓存的功能。攻击者通过模仿合法域名和使用DGA算法生成C2域名,以逃避检测。此次攻击可能与名为Head Mare的黑客组织有关。
02
**攻击者利用漏洞绕过SmartScreen传播恶意软件
**
**披露时间:**2024年7月23日
**情报来源:**https://www.fortinet.com/blog/threat-research/exploiting-cve-2024-21412-stealer-campaign-unleashed
相关信息:
CVE-2024-21412 是 Microsoft Windows SmartScreen 中的一个安全绕过漏洞,该漏洞源于处理恶意制作的文件时出现错误。远程攻击者可以利用此漏洞绕过 SmartScreen 安全警告对话框并传播恶意文件。在过去一年中,包括 Water Hydra、Lumma Stealer 和 Meduza Stealer 在内的多名攻击者都利用了此漏洞。
FortiGuard Labs 观察到攻击者正在利用 CVE-2024-21412 漏洞下载恶意可执行文件。最初,攻击者诱骗受害者点击精心设计的 URL 文件链接,该文件旨在下载 LNK 文件。然后,LNK 文件下载包含 HTA 脚本的可执行文件。执行后,脚本将解码和解密 PowerShell 代码以检索最终 URL、诱饵 PDF 文件和恶意 shell 代码注入器。这些文件旨在将最终窃取者注入合法进程,启动恶意活动并将被盗数据发送回 C2 服务器。
威胁行为者设计了不同的注入器来逃避检测,并使用各种 PDF 文件来针对特定地区,包括北美、西班牙和泰国。
03
疑似网络犯罪分子假冒CrowdStrike更新漏洞传播Remcos RAT
**披露时间:**2024年7月20日
**情报来源:**https://www.crowdstrike.com/blog/likely-ecrime-actor-capitalizing-on-falcon-sensor-issues/
相关信息:
2024 年 7 月 19 日,研究人员rowdStrike Falcon 传感器的单个内容更新中存在影响 Windows 操作系统的问题,并部署了修复程序。1
此后,CrowdStrike Intelligence 观察到威胁行为者利用该事件分发名为 的恶意 ZIP 存档crowdstrike-hotfix.zip。该 ZIP 存档包含HijackLoader有效负载,执行后会加载RemCos。值得注意的是,ZIP 存档中的西班牙语文件名和说明表明此活动很可能针对拉丁美洲 (LATAM) 的 CrowdStrike 客户,,且在执行过程中通过DLL搜索顺序劫持的方式加载HijackLoader,进一步逃避检测。
04
**美国网络安全公司 KnowBe4 错误地雇佣了朝鲜黑客,面临信息窃取攻击
**
**披露时间:**2024年7月24日
相关信息:
美国网络安全公司 KnowBe4 表示,其最近聘请的一名首席软件工程师原来是朝鲜黑客,他试图在其设备上安装信息窃取软件。
在雇用这名“员工”之前,KnowBe4 进行了背景调查,核实了所提供的推荐信,并进行了四次视频面试,以确保他们是真实的人,并且他的脸与简历上的相符。但后来确定,该人提交了一名被盗的美国人的身份,以逃避初步检查,并且在视频会议中利用人工智能工具创建个人资料图片并进行面部匹配。
2024年7月15日,KnowBe4的EDR产品报告有人试图从新员工的Mac工作站加载恶意软件。该恶意软件是针对存储在网络浏览器数据的信息窃取程序,攻击者可能希望提取计算机上的遗留信息。
恶意代码情报
01
新型 ICS 恶意软件“FrostyGoop”瞄准关键基础设施
**披露时间:**2024年7月23日
**情报来源:**https://thehackernews.com/2024/07/new-ics-malware-frostygoop-targeting.html
相关信息:
2024年1月,针对乌克兰城市利沃夫的一家能源公司的破坏性网络攻击中发现了第九种针对工业控制系统(ICS)的恶意软件。该恶意软件被命名为FrostyGoop,由工业网络安全公司Dragos在2024年4月发现。乌克兰安全局(SBU)向Recorded Future News证实,此次网络攻击破坏了位于利沃夫的能源设施Lvivteploenerg的基础设施。
FrostyGoop 是一种用 Golang 编写的 ICS 专用恶意软件,可以使用端口 502 上的 Modbus TCP 直接与工业控制系统 (ICS)交互,主要针对 Windows 系统,已用于攻击暴露在互联网上的 TCP 端口 502 的 ENCO 控制器。FrostyGoop 具有读取和写入包含输入、输出和配置数据的寄存器的 ICS 设备的功能。它还接受可选的命令行执行参数,使用 JSON 格式的配置文件指定目标 IP 地址和 Modbus 命令,并将输出记录到控制台和/或 JSON 文件。
02
研究人员发现针对HamsterKombat玩家的恶意软件
**披露时间:**2024年7月23日
**情报来源:**https://www.welivesecurity.com/en/eset-research/tap-estry-threats-targeting-hamster-kombat-players/
相关信息:
研究人员揭露了针对流行的Telegram点击游戏HamsterKombat玩家的新型网络威胁。随着该游戏迅速走红,网络犯罪分子开始利用其热度进行多种恶意活动。研究发现,这些威胁包括伪装成HamsterKombat的Android间谍软件Ratel、虚假应用商店,以及在GitHub上伪装成游戏自动化工具实则传播LummaStealer恶意软件的加密器。这些恶意活动不仅针对Android用户,Windows用户也未能幸免。
03
**SocGholish利用BOINC平台进行持久性攻击
**
**披露时间:**2024年7月17日
**情报来源:**https://www.huntress.com/blog/fake-browser-updates-lead-to-boinc-volunteer-computing-software
相关信息:
研究人员揭露了一种名为SocGholish的恶意软件,该软件通过伪装成浏览器更新,利用BOINC(伯克利开放基础设施网络计算)项目进行隐蔽网络攻击。BOINC原本是一个由加州大学维护的志愿计算平台,旨在利用家庭计算机进行大规模分布式计算。攻击者通过控制域连接受感染主机,收集数据并推送命令。目前,已有超过一万个客户端被连接到恶意服务器,存在被进一步利用的风险。项目维护人员正在积极应对,寻找解决方案。
04
Play 勒索软件新变种瞄准 ESXi
**披露时间:**2024年7月19日
**情报来源:**https://www.huntress.com/blog/fake-browser-updates-lead-to-boinc-volunteer-computing-software
相关信息:
Play 勒索软件组织于 2022 年 6 月首次被发现,因其双重勒索策略、规避技术、定制工具以及对拉丁美洲各个组织的巨大影响而闻名。
Trend Micro发现了 Play 勒索软件的 Linux 变体,该变体仅在 VMWare ESXi 环境中运行时才会加密文件。这一发展表明该组织可能正在扩大其在 Linux 平台上的攻击范围,从而扩大受害者范围并增加赎金谈判的成功率。
该变种在执行前会验证是否在ESXi环境中运行,如果检测到不在该环境中,它将终止并删除自身。此外,该勒索软件组织似乎正在使用ProlificPuma提供的服务和基础设施,这可能帮助他们增强绕过安全协议的能力。
05
以图片隐写和进程注入技术进行加载的远控勒索木马分析
**披露时间:**2024年7月24日
**情报来源:**https://cyble.com/blog/operation-shadowcat-targeting-indian-political-observers-via-a-stealthy-rat/
相关信息:
近期,CRIL发现了一个伪装为Office文件的LNK文件。当用户运行LNK文件后,LNK文件会执行PowerShell命令,该命令会在受害主机上释放一个恶意.NET加载程序和一个诱饵Word文档。然后,PowerShell脚本会调用.NET文件中的方法,这些方法会从远程服务器获取隐写PNG图像。图像包含一个Gzip压缩的Payload,代码会解压Payload并将其注入Powershell进程。由于该过程在内存中执行,安全产品难以检测到该行为。最终,主机将感染一个由Go编写的远控木马,该木马可进行勒索软件活动、文件操作、信息收集、网络扫描、外联C2等操作。目前,安全人员根据细节推测攻击者的攻击目的是获取经济利益。
漏洞情报
01
研究人员发现LangChain AI框架存在高危漏洞
**披露时间:**2024年7月23日
**情报来源:**https://unit42.paloaltonetworks.com/langchain-vulnerabilities
相关信息:
LangChain 是一个开源库,旨在简化大型语言模型 (LLM) 的使用。它提供了许多可组合的构建块,包括模型连接器、与第三方服务的集成以及可供 LLM 使用的工具接口。Palo Alto Networks 的研究人员发现了 LangChain 中的两个漏洞,编号分别为CVE-2023-46229与CVE-2023-44467。
LangChain 0.0.317 之前的版本容易受到通过精心设计的站点地图进行的服务器端请求伪造 (SSRF) 攻击。利用CVE-2023-46229漏洞,攻击者可以从内网获取敏感信息,从而可能绕过访问控制。
CVE-2023-44467,这是LangChain Experimental 0.0.306 之前的版本中发现的一个严重提示注入漏洞,此漏洞影响 PALChain,该功能旨在增强语言模型,使其能够通过一种称为程序辅助语言模型 (PAL) 的技术生成代码解决方案。该漏洞允许攻击者利用即时注入来利用 PALChain 的处理能力,从而使他们能够执行系统不打算运行的有害命令或代码。
02
Telegram修补零日漏洞EvilVideo
**披露时间:**2024年7月22日
相关信息:
研究人员揭露了一个针对Telegram Android应用的安全漏洞“EvilVideo”。该漏洞允许攻击者通过伪装成视频文件的方式发送恶意Android APK。据称,该漏洞首次由一个名为“Ancryno”的黑客在6月6日的论坛上出售。研究人员在Telegram的一个公共频道上观察到了这个漏洞的演示,并确认了它在Telegram v10.14.4及更早版本中的存在。Telegram迅速响应,于7月11日发布了10.14.5版本,修补了这一漏洞。研究人员分享了相关的C2服务器信息,提醒用户对通过Telegram接收的视频文件保持警惕,并使用安全软件进行设备扫描。
点击阅读原文至ALPHA 7.0
即刻助力威胁研判
