企业动态

    2021.12.23~12.30

    攻击团伙情报

    疑似“肚脑虫”近期针对孟加拉国的攻击活动分析

    深入分析EquationGroup的DoubleFeature后开发框架

    Lazarus利用NukeSped后门进行钓鱼攻击

    BlackTech利用Flagpro攻击日本实体

    攻击行动或事件情报

    攻击者利用社交论坛传播Echelon恶意软件

    窃取和挖掘加密货币的新冠主题钓鱼活动

    仿冒巴西银行分发恶意软件的活动分析

    仿冒辉瑞生物制药公司进行网络钓鱼攻击活动分析

    恶意代码情报

    BLISTER恶意软件活动披露

    TigerRAT、TigerDownloader恶意软件家族近期传播分析

    新型勒索软件Rook大肆传播，利用Babuk代码

    Dridex恶意软件家族近期传播分析

    漏洞情报

    ApacheLog4j远程代码执行漏洞(CVE-2021-44832)通告

    攻击团伙情报

    01

    疑似“肚脑虫”APT组织近期针对孟加拉国的攻击活动分析

    披露时间：2021年12月23日

    情报来源：https://mp.weixin.qq.com/s/gsUN6lXMz17_jkR8xIrZNA

    相关信息：

    近日，奇安信在日常的威胁狩猎捕获一起APT组织Donot近期疑似针对孟加拉国攻击活动。在此攻击活动中，攻击者主要以”孟加拉国职业大学2021年电子工程专业演示文稿”为主题，将PPT诱饵文件通过钓鱼邮件发送给受害者。

    当受害者打开诱饵文件并执行宏，宏会释放%Public%\Music\delta.dll文件，并在系统启动目录下释放sdelta.bat文件。sdelta.bat主要是创建计划任务deckteck，用来加载导出函数qdsfakraksdfkdkfjk，以实现delta.dll自启动。最后文档弹出构造的错误弹框用来迷惑用户，掩盖释放文件的恶意行为，这种弹框方式在以往Donot组织攻击活动中也经常出现。delta.dll文件会上传计算机和用户基本信息到远程服务器，并下载后续攻击模块到本地执行。

    02

    深入分析EquationGroup的DoubleFeature后开发框架

    披露时间：2021年12月27日

    情报来源：https://research.checkpoint.com/2021/a-deep-dive-into-doublefeature-equation-groups-post-exploitation-dashboard/

    相关信息：

    12月27日，CheckPoint披露EquationGroup使用的全功能恶意软件框架DanderSpritz的技术分析。DanderSpritz于2017年4月14日被ShadowBrokers公开，包含用于持久性、侦察、横向移动、绕过杀毒引擎等活动的多种工具。

    该研究重点分析其中的一个组件DoubleFeature，它用来生成可安装在目标设备中的工具类型的日志和报告，并会收集大量各种类型的数据。

    03

    Lazarus利用NukeSped后门进行钓鱼攻击

    披露时间：2021年12月28日

    情报来源：https://mp.weixin.qq.com/s/834tMVCCH6UQe8zW0eEMSA

    相关信息：

    近期，研究人员发现了来自Lazarus的多起攻击活动。Lazarus经常利用其特有攻击载荷NukeSped进行攻击活动，此武器后门功能丰富，且样本迭代较快。此次捕获的样本为未披露过的NukeSped相关类型样本。

    Lazarus利用与招聘工作相关的文档作为诱饵，来迷惑用户点击。用户点击后，文档恶意宏会解密图形对象数据，并请求保留地址模板。解密后的载荷以隐藏文件的形式保存在系统目录%ProgramData%下，随后文档调用rundll32.exe执行载荷，与服务器建立通讯连接。

    本次披露的样本与之前披露样本属于同类型样本，但是样本之间有所差异。此次披露样本结构相对复杂，载荷更新也比较快，需要引起足够的重视。

    04

    BlackTech利用Flagpro攻击日本实体

    披露时间：2021年12月28日

    情报来源：https://insight-jp.nttsecurity.com/post/102hf3q/flagpro-the-new-malware-used-by-blacktech

    相关信息：

    近日，NTTSecurity研究人员披露BlackTech利用Flagpro恶意软件攻击日本实体。此次攻击的初始感染媒介是伪装成来自目标合作伙伴的钓鱼邮件，之后攻击者会利用Flagpro进行网络侦察、评估目标环境以及下载并执行第二阶段恶意软件。

    据NTTSecurity称，此次活动至少始于2020年10月，已针对日本公司一年多，涉及国防技术、媒体和通信行业在内的多个领域。

    攻击团伙情报

    01

    攻击者利用社交论坛传播Echelon恶意软件

    披露时间：2021年12月23日

    情报来源：https://www.safeguardcyber.com/blog/echelon-malware-crypto-wallet-stealer-malware

    相关信息：

    近期SafeguardCyber的安全研究人员监测到在Telegram的一个数字货币交易频道中传播Echelon恶意软件的行为。Echelon样本的目标是登陆凭证和数字货币钱包。

    攻击者发布了一个rar压缩包，压缩包里面包括3个文件，其中就有Echelon恶意可执行文件。对可执行文件的分析表明，它有2个反调试功能并使用ConfuserEx进行了代码混淆。去混淆后，研究人员发现Echelon具有数字货币钱包和凭证窃取，以及域检测和计算机指纹识别功能。恶意软件还会试图截屏受害者的电脑。幸运的是，WindowsDefender目前可以检测并清除恶意样本。

    02

    窃取和挖掘加密货币的新冠主题钓鱼活动

    披露时间：2021年12月23日

    情报来源：https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/covid-19-phishing-lure-to-steal-and-mine-cryptocurrency/

    相关信息：

    最近，SpiderLabs观察到一个传播恶意软件的垃圾邮件活动，利用新冠疫情作为主题。这些电子邮件来自被感染的邮箱，包含一个指向Word文档的链接。邮件仿冒成新冠病毒检测通知，诱导用户点击链接。

    为了逃避静态病毒检测，下载的Word文档不包含恶意代码。然而，攻击者使用了远程模板注入技术，在受害者打开文档时，从远程服务器检索一个恶意的启用宏的模板。模板通过自定义VBA函数解码并加载一些Base64二进制文件。其中，包含信息窃取软件ClipBanker和挖矿软件下载器。此外，攻击者还会获取受害者的邮件联系人信息，并复制诱饵邮件传播。

    03

    攻击者仿冒巴西银行分发恶意软件

    披露时间：2021年12月23日

    情报来源：https://blog.cyble.com/2021/12/23/malicious-app-targets-major-brazilian-bank-itau-unibanco/

    相关信息：

    近期，研究人员捕获到了针对巴西一家名为ItauUnibanco的银行公司的恶意软件样本。此恶意软件试图在受害者不知情的情况下以一个拥有类似图标和名称的虚假应用程序_lTAU_SINC/sincronizador来欺骗用户认为其是一个与ItauUnibanco有关的合法应用程序。

    攻击者创建了一个虚假的GooglePlay商店页面，并在上面以'sincronizador.apk'的名义托管了针对ItauUnibanco的恶意软件。攻击者不断调整其分发方式，以避免被发现，并通过越来越复杂的技术找到新的方法来针对用户。

    这类恶意应用程序往往伪装成合法的应用程序，以欺骗用户安装它们，并试图在受害者不知情的情况下进行欺诈性金融交易。用户应该在验证其真实性后再安装应用程序，并且只从官方的GooglePlay商店和其他受信任的门户网站安装，以避免此类攻击。

    04

    攻击者仿冒辉瑞生物制药公司进行网络钓鱼攻击

    披露时间：2021年12月23日

    情报来源：https://www.inky.com/blog/fresh-phish-phishers-impersonate-pfizer-in-request-for-quotation-scam

    相关信息：

    8月至12月期间，研究人员检测到一起具有很强针对性的网络钓鱼活动。攻击者冒充生物技术巨头辉瑞（pfizer）公司，发送了410封网络钓鱼电子邮件，旨在窃取商业和财务信息。辉瑞是一家著名的制药公司，总部位于美国纽约，该公司称其实验性抗新冠药物Paxlovid可以使高危新冠患者的住院率和死亡风险减少89%。

    研究人员发现，自2021年8月15日开始，攻击者就冒充辉瑞公司展开了网络电子邮件钓鱼活动。网络钓鱼邮件来自于一组易被混淆的域名，这些域名是通过Namecheap注册的。这些域名被伪装成是由辉瑞公司控制的，诱使用户认为这是辉瑞公司的官方在线网站。网络钓鱼电子邮件中使用了“紧急询价”、“投标邀请”和“工业设备供应”等主题作为诱饵。邮件中的PDF附件有三页，看起来非常可信。PDF中不包含恶意软件投放链接或网络钓鱼的URL，且内容严谨没有错别字。PDF内容中讨论了付款方式和条款，要求收件人分享他们的银行详细信息。

    此次活动的确切目标尚不清楚，攻击者可能会在未来针对目标公司客户发起商业电子邮件攻击。研究人员表示，当收到包含异常投标请求的电子邮件时，应使用公司的官方电话号码联系公司以确认邮件。

    恶意代码情报

    01

    BLISTER恶意软件活动披露

    披露时间：2021年12月23日

    情报来源：https://www.elastic.co/cn/blog/elastic-security-uncovers-blister-malware-campaign

    相关信息：

    ElasticSecurity近期发现了一个利用有效证书来逃避检测的恶意软件活动。活动中出现了一种新型的恶意软件加载器BLISTER，其用于在内存中执行第二阶段恶意负载并实现持久化。

    该活动的一个关键就是使用由Sectigo颁发的有效代码签名证书。攻击者可以窃取合法的代码签名证书，也可以直接从证书颁发机构或借助空壳公司购买证书。具备有效证书的可执行文件通常更少被仔细检查，这可以让攻击者保持在较长一段时间内不被检测。至于新恶意软件加载器BLISTER，它被拼接到了合法的库中，可经简单的加载程序写入磁盘并执行。一旦执行，BLISTER将释放CobaltStrike和BitRat等负载，并建立持久化。

    02

    TigerRAT、TigerDownloader恶意软件家族近期传播分析

    披露时间：2021年12月22日

    情报来源：https://threatray.com/blog/establishing-the-tigerrat-and-tigerdownloader-malware-families/

    相关信息：

    韩国CERT（KrCERT）在一起攻击活动中发现了以前没有的新技术和恶意软件，并将这次攻击中的恶意软件工具称为TigerDownloader和TigerRAT。跟进后发现，这些工具属于相同的下载器和RAT家族。这些二进制文件共享部分功能，以实现有效的解包。其余的共享功能是用来避免被反病毒软件、Yara和相关的基于模式的检测技术检测的。

    到目前为止，打包的样本都是由一个共同的打包器打包的，代码具有一定的关联性。代码之间的差异是因为有垃圾代码的存在。对于TigerRAT，目前研究人员发现有三个不同的版本。对于TigerDownloader，目前发现了两个版本，一个具有持久性，另一个没有。而最近的研究显示，可能还存在其他尚未公开的变种。

    03

    新型勒索软件Rook大肆传播，利用Babuk代码

    披露时间：2021年12月23日

    情报来源：https://www.sentinelone.com/labs/new-rook-ransomware-feeds-off-the-code-of-babuk/

    相关信息：

    近期，研究人员捕获到了Rook勒索软件的样本。Rook采用了一种双管齐下的勒索方式：首先要求受害者支付赎金来解锁加密文件，然后通过运营商的网站公开威胁勒索，如果受害者不遵守要求，就会被泄露数据。Rook勒索软件主要是通过第三方交付的，例如CobaltStrike；但是，也有报告称，通过钓鱼邮件交付。软件样本通常是用UPX打包，但也有其他的加密器，如VMProtect。此勒索软件试图终止任何可能干扰加密的进程。与大多数勒索软件家族一样，Rook也会试图删除卷影副本，以防止受害者从备份中恢复。此勒索软件不具有持久性，在执行完毕之后会自行删除。

    Rook和Babuk之间有许多相似代码，这是2021年Babuk源代码泄漏的结果。研究人员推测Rook是目前利用Babuk源代码的最新型勒索软件。Rook和Babuk都会使用Windows重启管理器API来帮助进程终止，其中包括与MSOffice和Steam有关的进程。研究人员还注意到Rook和Babuk在一些环境检查和后续行为方面的重叠，包括删除卷影副本。

    04

    Dridex恶意软件家族近期传播分析

    披露时间：2021年12月23日

    情报来源：https://blog.malwarebytes.com/threat-intelligence/2021/12/dridex-affiliate-dresses-up-as-scrooge/

    相关信息：

    MalwarebytesLABS近期发现了传播Dridex的钓鱼邮件活动，Dridex是一个恶意软件下载器，可以加载额外有效负载，包括勒索软件。钓鱼邮件使用了裁员通知、新冠最新变种Omicron等主题，可能都来自同一犯罪团伙。

    钓鱼邮件包含有密码保护的Excel文档，被打开后会弹出对话框来要求用户启用宏。宏运行后会将一个rtf文件放入%programdata%目录中，并通过mshta.exe执行。之后，会下载真正的恶意负载，该负载属于Dridex恶意软件家族。

    漏洞相关

    01

    ApacheLog4j远程代码执行漏洞(CVE-2021-44832)通告

    披露时间：2021年12月29日

    情报来源：https://mp.weixin.qq.com/s/8JObCLtNfHMU7Ib4JxPd2g

    相关信息：

    近日，奇安信CERT监测到Apache官方发布了ApacheLog4j远程代码执行漏洞（CVE-2021-44832），在某些特殊场景下（如系统采用动态加载远程配置文件的场景等），有权修改日志配置文件的攻击者可以构建恶意配置，通过JDBCAppender引用JNDIURI数据源触发JNDI注入，成功利用此漏洞可以实现远程代码执行。

    ApacheLog4j1.x不受此漏洞影响，只有引用log4j-core依赖受此漏洞影响。仅引用log4j-api依赖而不引用log4j-core的应用程序不受此漏洞的影响。ApacheLog4j是唯一受此漏洞影响的日志服务子项目，Log4net和Log4cxx等其他项目不受影响。