时间:2022-02-04
2022.01.27~02.03
攻击团伙情报
Packer?对抗?“透明部落”正在寻求CrimsonRAT的新出路
APT29攻击活动中利用的新颖策略和技术分析MuddyWater通过恶意PDF、可执行文件针对土耳其用户
Lazarus在最新活动中利用WindowsUpdate客户端和GitHub
攻击行动或事件情报
关于Dridex银行木马的钓鱼活动的分析
攻击者利用设备注册技巧通过横向网络钓鱼攻击企业
正在使用流氓OAuth应用程序接管CEO帐户
恶意代码情报
Vultur恶意软件伪装成2FA应用窃取用户银行信息AsyncRAT木马利用新方式进行传播
ChaesBanking木马通过恶意扩展劫持Chrome浏览器
漏洞情报
Polkit漏洞使非特权Linux用户能够获得root权限
苹果发布iOS和macOS更新修复了两个零日漏洞
攻击团伙情报
01
Packer?对抗?“透明部落”正在寻求CrimsonRAT的新出路
披露时间:2022年1月29日
情报来源:https://mp.weixin.qq.com/s/epRGn7Tnzx6rXihYXIpIIg
相关信息:
TransparentTribe(透明部落),是2016年2月被Proofpoint披露并命名的APT组织,也被称为ProjectM、C-Major。该APT组织被广泛认为来自南亚地区某国,并且与另一个由PaloaltoUnit42团队披露的GogronGroup存在一定的关系。
近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多个CrimsonRAT攻击样本。在此攻击活动中,攻击者使用图片文件图标用作恶意软件图标,诱使目标打开"图片"查看,实则运行恶意软件。当受害者点击执行诱饵文件之后,将会在本地释放一个压缩包,并执行压缩包内包含的TransparentTribe组织的自有远控软件CrimsonRAT。值得注意的是TransparentTribe组织为了降低攻击样本的查杀率,对相关攻击样本进行了加壳处理。
02
APT29攻击活动中利用的新颖策略和技术分
披露时间:2022年1月27日
情报来源:https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/
相关信息:
供应链入侵是影响一系列部门的日益严重的威胁,威胁参与者利用访问权限来支持多种动机,包括经济利益(例如Kaseya勒索软件攻击)和间谍活动。整个2020年,美国政府对俄罗斯联邦外国情报局(SVR)进行了一项行动,以获取SolarWindsIT管理软件的更新机制,并利用它来扩大其情报收集能力。该活动被CrowdStrike研究人员跟踪为StellarParticle活动,并与APT29COZYBEAR组织相关联。
研究人员对于StellarParticle活动利用的新颖策略和技术进行了分析。这些技术包括:
1.用于掩盖横向移动的凭证跳跃
2.Office365(O365)服务主体和应用程序劫持、模拟和操纵
3.窃取浏览器cookie以绕过多因素身份验证
4.使用TrailBlazer植入程序和GoldMax恶意软件的Linux变种
5.使用Get-ADReplAccount窃取凭据
下图为凭证跳跃技术示例:
03
MuddyWater通过恶意PDF、可执行文件针对土耳其用户
披露时间:2022年1月31日
情报来源:https://blog.talosintelligence.com/2022/01/iranian-apt-muddywater-targets-turkey.html
近日,CiscoTalos研究人员观察到一项针对土耳其私人组织和政府机构的新活动,并将其归因于MuddyWater——美国网络司令部最近将其归于伊朗情报与安全部(MOIS)的APT组织。
该活动利用恶意PDF、XLS文件和Windows可执行文件将基于PowerShell的恶意下载器部署为目标企业的初始立足点。MuddyWater使用基于脚本的组件(例如基于PowerShell的混淆下载器)也是美国网络司令部2021年1月的公告中描述的一种策略。
在本次攻击活动中,MuddyWater还利用金丝雀令牌来跟踪目标的成功感染,这是该组织新利用的TTP。这种在此活动中利用金丝雀令牌的特定方法也可能是规避基于沙盒的检测系统的一种措施。
04
Lazarus在最新活动中利用WindowsUpdate客户端和GitHub
披露时间:2022年1月27日
情报来源:https://blog.malwarebytes.com/threat-intelligence/2022/01/north-koreas-lazarus-apt-leverages-windows-update-client-github-in-latest-campaign/
相关信息:
LazarusGroup是自2009年以来一直活跃的最复杂的朝鲜APT之一。该组织过去曾对许多高调的攻击负责,并获得了全世界的关注。Malwarebytes威胁情报团队正在积极监控其活动,并能够在2022年1月18日发现新的活动。
在这次活动中,Lazarus进行了鱼叉式网络钓鱼攻击,这些攻击使用了使用其已知工作机会主题的恶意文档作为武器,包括两份伪装成美国全球安全和航空航天巨头洛克希德马丁公司的诱饵文件。
研究人员分享了对这一最新攻击的技术分析,包括巧妙地使用WindowsUpdate来执行恶意负载,以及将GitHub作为命令和控制服务器。我们报告了恶意GitHub帐户的有害内容。
攻击行动或事件情报
01
关于Dridex银行木马的钓鱼活动的分析
披露时间:2022年1月28日
情报来源:https://mp.weixin.qq.com/s/fXggBsgYzWJVXV_2eSr_tg
相关信息:
此次钓鱼活动,TA575组织使用具有Excel4.0宏的文档作为附件,释放并运行HTA文件,对其存放于Discord、Dropbox和OneDrive等社交和文件云存储平台中的恶意样本实现下载。此外,由于HTA文件代码中存在一个域控环境的判断,因此本次钓鱼活动只针对处于域控环境下的终端系统。在整个攻击过程中,攻击者使用了混淆、宏代码隐藏、加密和异常处理等形式来对抗分析和检测。分析发现,下载至目标环境中的恶意样本实质是Dridex银行木马的装载器,功能为获取目标系统基本信息、连接C2并回传、获取P2P节点列表、参与构建僵尸网络、获取后续模块和实现窃密或勒索等。由此可以看出,一旦用户被植入该银行木马,将面临敏感信息外泄和勒索导致系统故障的安全威胁。
02
攻击者利用设备注册技巧通过横向网络钓鱼攻击企业
披露时间:2022年1月26日
情报来源:https://www.microsoft.com/security/blog/2022/01/26/evolved-phishing-device-registration-trick-adds-to-phishers-toolbox-for-victims-without-mfa/
相关信息:
研究人员最近发现了一个大规模、多阶段的活动,该活动通过将攻击者操作的设备加入组织的网络以进一步传播活动,为传统的网络钓鱼策略增加了一种新技术。
第一个活动阶段涉及窃取主要位于澳大利亚、新加坡、印度尼西亚和泰国的目标组织的凭证。然后在第二阶段利用被盗凭据,其中攻击者使用受感染的帐户通过横向网络钓鱼以及通过出站垃圾邮件在网络之外扩展其在组织内的立足点。
被攻击者控制的设备连接到网络将允许攻击者秘密传播攻击并在整个目标网络中横向移动。虽然在这种情况下,设备注册被用于进一步的网络钓鱼攻击,但随着其他用例的出现,设备注册的利用正在增加。
03
攻击者正在使用流氓OAuth应用程序接管CEO帐户
披露时间:2022年01月27日
情报来源:https://www.proofpoint.com/us/blog/cloud-security/oivavoii-active-malicious-hybrid-cloud-threats-campaign
相关信息:
威胁分析师观察到一个名为“OiVaVoii”的新活动,针对公司高管和总经理使用恶意OAuth应用程序和从被劫持的Office365帐户发送的自定义网络钓鱼诱饵。
OiVaVoii活动背后的参与者至少使用了五个恶意OAuth应用程序,其中三个是由两个不同的“经过验证的发布者”创建的,这意味着该应用程序的所有者很可能是合法Office租户中被盗用的管理员用户帐户。在其余两个应用程序中,至少一个是由未经验证的组织创建的,这可能意味着利用(第三个)被劫持的云环境或使用专门的恶意Office租户。
攻击者使用这些应用程序向目标组织的高级管理人员发送授权请求。在许多情况下,收件人接受了请求,没有发现任何可疑之处。当受害者点击接受按钮时,攻击者使用令牌从他们的帐户向同一组织内的其他员工发送电子邮件
恶意代码情报
01
Vultur恶意软件伪装成2FA应用窃取用户银行信息
披露时间:2022年01月27日
情报来源:https://blog.pradeo.com/vultur-malware-dropper-google-play
相关信息:
Pradeo的研究人员发现了一个名为2FAAuthenticator的恶意移动应用程序,该应用程序分布在GooglePlay上并有10K+用户安装。网络犯罪分子利用它在用户的移动设备上秘密安装恶意软件,是一个用于在其用户设备上传播恶意软件的dropper。分析显示,dropper会自动安装一个名为Vultur的恶意软件,该恶意软件针对金融服务窃取用户的银行信息。
02
AsyncRAT木马利用新方式进行传播
披露时间:2022年01月25日
情报来源:https://blog.morphisec.com/asyncrat-new-delivery-technique-new-threat-campaign
相关信息:
近期,研究人员发现了发现了一种新的、复杂的活动交付方式,它已成功地避开了许多安全供应商的雷达。攻击者通过带有html附件的简单电子邮件网络钓鱼策略,提供AsyncRAT(一种远程访问木马),旨在通过安全、加密的连接远程监控和控制受感染的计算机。
攻击从包含伪装成订单确认收据(例如,Receipt-.html)的HTML附件的电子邮件消息开始。打开诱饵文件会将消息接收者重定向到提示用户保存ISO文件的网页。
最新的RAT活动巧妙地使用JavaScript从Base64编码的字符串本地创建ISO文件并模仿下载过程。当受害者打开ISO文件时,它会自动挂载为Windows主机上的DVD驱动器,并包含一个.BAT或一个.VBS文件,该文件会继续感染链以通过执行PowerShell命令检索下一阶段的组件。
这导致在内存中执行.NET模块,该模块随后充当三个文件的释放器(一个充当下一个文件的触发器),最终交付AsyncRAT作为最终有效负载,同时还检查防病毒软件并设置WindowsDefender排除项。
03
ChaesBanking木马通过恶意扩展劫持Chrome浏览器
披露时间:2022年01月27日
情报来源:https://decoded.avast.io/anhho/chasing-chaes-kill-chain/
相关信息:
一场出于经济动机的恶意软件活动已经入侵了800多个WordPress网站,以提供一个名为Chaes的银行木马,针对BancodoBrasil、LojaIntegrada、MercadoBitcoin、MercadoLivre和MercadoPago的巴西客户。
Chaes的特点是多阶段交付,它利用JScript、Python和NodeJS等脚本框架、用Delphi编写的二进制文件以及恶意的GoogleChrome扩展,其最终目标是窃取存储在Chrome中的凭据并拦截巴西流行银行网站的登录。
当用户访问其中一个受感染的网站时会触发攻击序列,然后会显示一个弹出窗口,敦促他们安装虚假的JavaRuntime应用程序。如果用户按照说明进行操作,恶意安装程序将启动复杂的恶意软件交付例程,最终部署多个模块。
漏洞相关
01
Polkit漏洞使非特权Linux用户能够获得root权限
披露时间:2022年01月25日
情报来源:https://thehackernews.com/2022/01/12-year-old-polkit-flaw-lets.html
相关信息:
Polkit(以前称为PolicyKit)是一个用于在类Unix操作系统中控制系统范围权限的工具包,并为非特权进程与特权进程通信提供了一种机制。在该系统实用程序中披露了一个存在12年之久的安全漏洞,此漏洞允许任何非特权用户通过在易受攻击主机的默认配置中利用此漏洞来获得对易受攻击主机的完全root权限。
该漏洞被网络安全公司Qualys称为“PwnKit”,它影响了polkit中一个名为pkexec的组件,该程序默认安装在每个主要的Linux发行版上,如Ubunti、Debian、Fedora和CentOS。
02
苹果发布iOS和macOS更新修复了两个零日漏洞
披露时间:2022年01月26日
情报来源:https://mp.weixin.qq.com/s/faMOI5C3H1Eu_61LYBJLBg
相关信息:
Apple解决的零日漏洞之一(编号为CVE-2022-22587)是内存损坏问题,位于IOMobileFrameBuffer中并影响iOS、iPadOS和macOSMonterey。
利用此漏洞会导致在受感染设备上以内核权限执行任意代码。该公司通过改进输入验证来解决该缺陷。该漏洞影响iPhone6s及更新机型、iPadPro(所有型号)、iPadAir2及更新机型、iPad第5代及更新机型、iPadmini4及更新机型以及iPodtouch(第7代)。
第二个零日漏洞,编号为CVE-2022-22594,是一个影响iOS和iPadOS的SafariWebKit问题。由于这个缺陷,网站可以实时跟踪用户的浏览活动和身份。
此漏洞影响iPhone6s及更新机型、iPadPro(所有型号)、iPadAir2及更新机型、iPad第5代及更新机型、iPadmini4及更新机型以及iPodtouch(第7代)。