攻击团伙情报
攻击行动或事件情报
-
Bahamut组织移动端武器有新变种
-
土耳其新加密挖矿活动Nitrokod分析
-
定制化勒索软件Agenda针对亚洲和非洲企业攻击
恶意代码情报
漏洞情报
披露时间:
2022年08月26日
情报来源:
https://blog.alyac.co.kr/4892
相关信息:
近期,研究人员捕获到Kimsuky组织针对俄罗斯外交部的攻击样本。此次攻击是通过电子邮件进行的,分析发现Kimsuky试图利用已失陷的俄罗斯驻沈阳总领事馆账户对俄罗斯驻日本总领事馆进行进一步攻击。
钓鱼邮件伪装成大使馆会计部门,并以转移资金为诱饵主题。附件包含一个正常的非恶意文件_Pyongyang in talks with Moscow on access to Donbass.pptx,以及一个嵌入恶意宏代码的文件Donbass.ppam。宏代码中包含了另一个名为oup的vbs文件,通过设置任务计划,以便每5分钟执行一次vbs文件。vbs文件包含攻击者指定的C&C服务器地址,每5分钟执行一次,等待攻击者的命令。
披露时间:
2022年08月29日
情报来源:
https://mp.weixin.qq.com/s/IZNl6N2K1LUU7e1hT4JeYw
相关信息:
近两年蔓灵花的攻击流程上并未有较大的变化,依旧以投递恶意文档文件(如公式编辑器漏洞文档、chm文档、宏文件等)作为主要的攻击入口,而此类型的样本也被多次分析,此处就不再多做赘述。
通过对蔓灵花的基础设施进行分析,研究人员捕获到多个由蔓灵花APT组织服务器下发的多个msi文件。在这些msi文件中,存在部分msi中包含vbs文件。vbs文件的功能多为重命名并执行一同被释放的组件程序。值得注意的,蔓灵花在vbs文件中会通过“Explorer.exe”代理运行程序,并且在捕获的多个vbs文件的下方均存在字符串“asdasdasdad”。
披露时间:
2022年08月25日
情报来源:
https://securelist.com/kimsukys-golddragon-cluster-and-its-c2-operations/107258/
相关信息:
2022年初,研究人员观察到Kimsuky组织正在攻击韩国的媒体和智囊团,包括与政治或外交活动相关的人员或组织。在其新的攻击中,该组织通过发送Word文档的鱼叉式网络钓鱼电子邮件,以获取与朝鲜半岛地缘政治问题相关的信息。
攻击者主要利用HTML应用程序文件格式感染受害者,偶尔使用Hangeul诱饵文档。受害者感染之后,攻击者便向其传递一个VBS文件,并利用合法的博客服务来托管恶意脚本,植入的VBS文件能够报告有关受感染机器的信息并下载其他有效负载。最后阶段,攻击者利用一个Windows恶意软件从受害者那里窃取信息,例如文件列表、用户击键和存储的Web浏览器登录凭据。
情报来源:
https://www.microsoft.com/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-to-authenticate-as-anyone/
相关信息:
研究人员发现了一种称之为MagicWeb的后入侵工具,被NOBELIUM组织使用,以保持对受感染环境的持续访问。
MagicWeb是一个恶意DLL,它允许操作由Active Directory联合服务(AD FS)服务器生成的令牌中传递的声明。它操作用于身份验证的用户身份验证证书,而不是黄金 SAML 等攻击中使用的签名证书。
NOBELIUM能够通过首先获得对高特权凭据的访问权限并横向移动以获得AD FS系统的管理特权来部署MagicWeb。攻击者拥有AD FS系统的管理员访问权限,并将合法DLL替换为自己的恶意DLL,从而导致恶意软件由AD FS而不是合法的二进制文件加载。一旦攻击者获得管理访问权限,他们就有很多选项可以进一步破坏系统、活动混淆和持久性。
MERCURY利用未修补系统中的Log4j 2漏洞来针对以色列组织
披露时间:
2022年08月25日
情报来源:
https://www.microsoft.com/security/blog/2022/08/25/mercury-leveraging-log4j-2-vulnerabilities-in-unpatched-systems-to-target-israeli-organizations/
相关信息:
最近,研究人员检测到伊朗的威胁攻击者MERCURY(MuddyWater)利用SysAid应用程序中的Log4j 2漏洞来攻击所有位于以色列的组织。
成功利用SysAid后,攻击者会释放Web shell来执行多个命令。大多数命令都与侦察有关,并使用一个编码的PowerShell来下载攻击者的横向移动和持久性工具。一旦MERCURY获得对目标组织的访问权限,威胁行为者就会使用多种方法建立持久性并利用新的本地管理员用户通过远程桌面协议(RDP)进行连接。在此会话期间,威胁参与者通过利用开源应用程序Mimikatz转储凭据。研究人员还观察到MERCURY随后在SQL服务器中执行额外的凭证转储以窃取其他高权限账户,如服务
账
户。
披露时间:
2022年08月30日
情报来源:
https://mp.weixin.qq.com/s/37rosWbQhRjyT7J-B5l-FQ
相关信息:
2022年8月,奇安信病毒响应中心移动安全团队在高级威胁追踪中发现到Bahamut组织投入了一个近两年其在Android端经常使用的TriggerSpy家族新变种。该变种为第四代,此次攻击仍采用钓鱼网站进行分发。需要注意的是,目前该新变种在VirusTotal上显示暂无其它杀软识别。
Bahamut组织在今年8月16日开始投入钓鱼网站(paytm[.]website)进行载荷投递,钓鱼网站伪装成印度知名支付Paytm网站。根据此次的钓鱼网站性质和历史攻击情况,分析认为Bahamut组织此次攻击的目标主要针对的是部分印度人员。
披露时间:
2022年08月29日
情报来源:
https://research.checkpoint.com/2022/check-point-research-detects-crypto-miner-malware-disguised-as-google-translate-desktop-and-other-legitimate-applications/
相关信息:
近期,研究人员检测到了一个未公开的名为Nitrokod的土耳其加密货币挖矿活动,活动可能感染了全球的数千台机器。活动的初始阶段从下载一个受Nitrokod感染的程序开始,攻击者主要从Softpedia和uptodown等数十个流行网站上的免费软件中释放恶意软件。
Nitrokod自2019年开始活跃,已感染了11个国家/地区的系统。其实际上是一家土耳其语软件开发商,提供例如谷歌翻译桌面应用程序等已被木马化的流行软件。应用程序包含一个延迟机制,以释放加密恶意软件并造成长期感染。用户通过google搜索“谷歌翻译桌面下载”时可轻松下载该恶意软件,一旦启动新软件,就会安装一个实际的谷歌翻译应用程序并释放一个更新的文件,该文件会启动四个投放器,直到释放实际的恶意软件。恶意软件由计划任务执行后便连接到C2服务器nvidiacenter.com以获取XMRig加密矿工配置并开始挖矿活动。
披露时间:
2022年08月25日
情报来源:
https://www.trendmicro.com/en_us/research/22/h/new-golang-ransomware-agenda-customizes-attacks.html
相关信息:
Agenda是一种基于Golang编写的可针对受害者进行定制的新勒索软件,实质上为64 位Windows PE文件,其攻击目标为亚洲和非洲的医疗保健和教育企业。
攻击者主要利用Citrix服务器作为入口点,使用有效
账
户访问服务器从而进入受害者的网络,然后通过扫描网络、创建组策略对象(GPO),再通过执行计划任务将勒索软件部署在机器上。
Agenda首先检查注册表值数据中的字符串safeboot来确定机器是否在安全模式下运行,若检测到机器在安全模式下运行,则终止执行。否则,终止其配置中指示的与防病毒相关的进程和服务。Agenda还通过更改用户密码并以安全模式重新启动以规避检测,并能够利用本地
账
户凭据冒充合法账户的形式来执行勒索软件二进制文件,并在其配置中使用嵌入式登录凭据。Agenda使用AES-256加密文件,使用RSA-2048加密生成的密钥。加密后,通过配置中指示的公司ID来重命名加密文件,然后将赎金记录{company_id}-RECOVER-README.txt放在每个加密目录中。Agenda最后将pwndll.dll注入svchost.exe以允许连续执行勒索软件二进制文件。
目前,已发现印度尼西亚、沙特阿拉伯、南非和泰国的受害者,赎金要求在5万美元到80万美元之间。
PureCrypter Loader传播10多个其它家族
披露时间:
2022年08月29日
情报来源:
https://blog.netlab.360.com/purecrypter/
相关信息:
近日,研究人员观察到一个MaaS类型的loader,它名为PureCrypter,今年非常活跃,先后推广了10多个其它的家族,使用了上百个C2。本文主要从C2和传播链条角度介绍我们看到的PureCrypter传播活动,分析其运作过程。
