您所在的位置: 首頁 >
安全研究 >
安全通告 >
一周高級威脅情報解讀
2020.05.07-2020.05.14
攻擊團伙情報
BackConfig更新?lián)Q代:針對南亞政府和軍事組織的惡意軟件分析
東歐殺手:Gamaredon APT組織定向攻擊烏克蘭事件分析
Ramsay:DarkHotel針對隔離網(wǎng)絡的新型惡意工具包
攻擊行動或事件情報
SilverTerrier:利用COVID-19相關(guān)信息為誘餌的攻擊行動
利用“順豐速運”下發(fā)GuLoader惡意軟件的風險分析
利用JsOutProx RAT針對印度金融業(yè)的攻擊活動分析
Mykings僵尸網(wǎng)絡更新基礎(chǔ)設施,大量使用PowerShell腳本進行“無文件”攻擊挖礦
“8220”挖礦木馬入侵服務器挖礦,組建“海嘯”僵尸網(wǎng)絡,可發(fā)起DDoS攻擊
惡意代碼情報
【流行威脅追蹤】深度分析Netwalker勒索軟件
Astaroth:利用YouTube頻道作C2的惡意軟件
Poulight Stealer,新型竊密木馬
ClodCore:通過云控下發(fā)挖礦模塊的惡意木馬
攻擊團伙情報
1. 東歐殺手:GamaredonAPT組織定向攻擊烏克蘭事件分析
披露時間:2020年05月11日
情報來源:
https://ti.qianxin.com/blog/articles/analysis-of-gamaredon-apt-targeted-attack-on-ukraine/
相關(guān)信息:
Gamaredon APT組織是疑似具有東歐背景的APT團伙,該組織攻擊活動最早可追溯到2013年,其主要針對烏克蘭政府機構(gòu)官員,反對黨成員和新聞工作者,以竊取情報為目的。
根據(jù)奇安信紅雨滴團隊觀測從2019年末至今,Gamaredon組織保持高強度的活躍狀態(tài),且每次活動都與烏克蘭地區(qū)的政治以及安全動態(tài)有關(guān)。2020年1月25日烏克蘭安全局宣布在2019年共阻止了482次針對關(guān)鍵基礎(chǔ)設施的網(wǎng)絡攻擊。
在五一假期前后,奇安信紅雨滴團隊發(fā)現(xiàn)Gamaredon組織開始了新活動,在此次活動中,該組織依然使用模板注入的方式從遠程服務器下載payload,與以往不同的是本次活動下載的payload為帶有cve-2017-11882漏洞的rtf文檔,而非以往的帶有惡意的宏文檔來執(zhí)行后續(xù)代碼,由于模板注入免殺效果較好,VT上僅有為數(shù)不多的殺軟報毒。
2. Ramsay:DarkHotel針對隔離網(wǎng)絡的新型惡意工具包
披露時間:2020年05月13日
情報來源:
https://www.welivesecurity.com/2020/05/13/ramsay-cyberespionage-toolkit-airgapped-networks/
相關(guān)信息:
ESET研究人員在VirusToal發(fā)現(xiàn)了一個之前未曾披露過的新型惡意框架,該框架用于收集受害者機器上的敏感文檔等信息,ESET將該框架命名為Ramsay。
根據(jù)ESET的觀測顯示,自2019年到目前,已有三個版本的Ramsay框架在野利用。分別通過CVE-2017-0199/CVE-2017-11882惡意文檔以及7zip安裝程序作為攻擊媒介。表明該框架仍在不斷進行升級換代。且該框架與傳統(tǒng)惡意軟件不同,Ramsay沒有基于網(wǎng)絡的C&C通信協(xié)議,也不會主動去嘗試連接遠程服務器。獲取控制指令只要靠掃描所有的網(wǎng)絡共享以及可移動磁盤中的具有特殊標記的文件,從中讀取命令執(zhí)行。
ESET根據(jù)Ramsay組件中的某些代碼片段發(fā)現(xiàn),該框架與Darkhotel的Retro后門存在相似性,例如多個相同的字符串,相似的解密算法。同時,在惡意文檔的元數(shù)據(jù)中,還存在著韓語相關(guān)的信息。
3. BackConfig更新?lián)Q代:針對南亞政府和軍事組織的惡意軟件分析
披露時間:2020年05月11日
情報來源:
https://unit42.paloaltonetworks.com/updated-backconfig-malware-targeting-government-and-military-organizations/
相關(guān)信息:
Unit42研究人員在過去的4個月中,持續(xù)監(jiān)測到利用魚叉式釣魚郵件針對南亞政府和軍事組織的攻擊活動,此類攻擊通過帶有惡意的宏的xls文檔進行攻擊,一旦受害者啟用宏后,惡意宏將釋放多個惡意組件安裝最終的惡意程序,最終插件式木馬BackConfig將被執(zhí)行起來,BackConfig可下載執(zhí)行各種功能的惡意組件,包括收集系統(tǒng)信息,鍵盤記錄,上傳文件等。
根據(jù)Unit42的分析表明,該APT組織一直在嘗試改變攻擊方式,但一些習慣卻難以改變,例如該組織的宏利用樣本,在啟用宏后,都會彈出一個虛假的錯誤消息框,以促使受害者相信文件損壞導致無法查看。但錯誤消息框的消息內(nèi)容都存在著拼寫或語法錯誤。
攻擊行動或事件情報
1. SilverTerrier:利用COVID-19相關(guān)信息為誘餌的攻擊行動
披露時間:2020年05月07日
情報來源:
https://unit42.paloaltonetworks.com/silverterrier-covid-19-themed-business-email-compromise/
相關(guān)信息:
Unit42研究人員在監(jiān)測到3個尼日尼亞網(wǎng)絡團伙利用疫情相關(guān)信息開展攻擊活動,Unit42將此類攻擊活動統(tǒng)稱為SilverTerrier。在SilverTerrier活動中,Uint42在其客戶群體中捕獲了超過170封釣魚郵件,這些攻擊活動主要針對美國、澳大利亞、加拿大、意大利和英國等地的政府醫(yī)療機構(gòu)、地方政府、保險公司等。
在SilverTerrier大多數(shù)攻擊活動中,攻擊者偽裝為來自合法部門的郵件,利用疫情相關(guān)信息為誘餌,誘導受害者啟用惡意附件,從而分發(fā)Lokibot,AgentTesla,NanoCore等惡意軟件。
2. 利用“順豐速運”下發(fā)GuLoader惡意軟件的風險分析
披露時間:2020年05月09日
情報來源:
https://cert.#/report/detail?id=c71f09a26d7c130abcdef0fda0aac3bf
相關(guān)信息:
GuLoader是一個使用VB語言編寫的惡意軟件下載器。它通常從Google Drive、Microsoft OneDrive、MediaFire等托管站點下載惡意代碼執(zhí)行。常見的后續(xù)惡意遠控程序有:LokiBot、Remcos RAT和AgentTesla等等。GuLoader本身具有較為復雜的執(zhí)行流程,較強的反調(diào)機制使得當前部分在線沙盒無法精確檢測惡意行為,同時也給分析人員造成一定阻礙。
360-CERT監(jiān)測到今年以來使用GuLoader惡意軟件的網(wǎng)絡攻擊活動呈現(xiàn)不斷增加的態(tài)勢。近期,360-CERT捕獲一例GuLoader釣魚郵件,該郵件偽裝為“順豐速運”,誘導受害者點擊郵件正文的釣魚鏈接,從而下載GuLoader壓縮包執(zhí)行。
3. 利用JsOutProxRAT針對印度金融業(yè)的攻擊活動分析
披露時間:2020年05月11日
情報來源:
https://www.zscaler.com/blogs/research/targeted-attacks-indian-government-and-financial-institutions-using-jsoutprox-rat
相關(guān)信息:
2020年4月,ThreatLabz監(jiān)測到幾起針對印度政府機構(gòu)和銀行業(yè)的攻擊事件,在攻擊活動者,攻擊者已將釣魚郵件發(fā)送給了印度儲備銀行,IDBI銀行,印度農(nóng)業(yè)銀行等金融相關(guān)機構(gòu),郵件附件中包含基于JavaScript和Java的惡意程序。
通過對附件中惡意軟件分析發(fā)現(xiàn),基于JavaScript的后門屬于JsOutProx RAT家族,該惡意家族最早于2019年12年被披露,同時,基于Java的后門功能也與JsOutProx RAT相似,該家族是具有全功能的JavaScript后門,具有下載執(zhí)行其他腳本,收集受害者機器信息,重啟電腦等功能。
4. Mykings僵尸網(wǎng)絡更新基礎(chǔ)設施,大量使用PowerShell腳本進行“無文件”攻擊挖礦
披露時間:2020年05月12日
情報來源:
https://mp.weixin.qq.com/s/Eyqm-lgQovFaJnk3FHihJQ
相關(guān)信息:
MyKings僵尸網(wǎng)絡2017年2月左右開始出現(xiàn),該僵尸網(wǎng)絡通過掃描互聯(lián)網(wǎng)上 1433 及其他多個端口滲透進入受害者主機,然后傳播包括DDoS、Proxy(代理服務)、RAT(遠程控制木馬)、Miner(挖礦木馬)、暗云III在內(nèi)的多種不同用途的惡意代碼。由于MyKings僵尸網(wǎng)絡主動擴散的能力較強,影響范圍較廣,對企業(yè)用戶危害嚴重。
騰訊安全威脅情報中心發(fā)現(xiàn)此次MyKings僵尸網(wǎng)絡做了如下更新:
1.新增IP、域名、URL;
2.大量采用POWERSHELL腳本進行“無文件”落地攻擊;
3.在清理競爭對手挖礦木馬名單中增加了“新冠”挖礦木馬;
4.使用挖礦賬號登陸,隱藏了錢包地址;
5.新增白利用文件;
6.不同系統(tǒng)版本執(zhí)行腳本不同;
7.獲取windows登陸密碼。
5.“8220”挖礦木馬入侵服務器挖礦,組建“海嘯”僵尸網(wǎng)絡,可發(fā)起DDoS攻擊
披露時間:2020年05月12日
情報來源:
https://mp.weixin.qq.com/s/X0LeyXch6Bsa_2aF-cItXQ
相關(guān)信息:
“8220”是奇安信威脅情報中心發(fā)現(xiàn)命名的挖礦團伙,近期,騰訊安全威脅情報中心檢測到“8220”挖礦木馬變種攻擊。“8220”挖礦團伙擅長利用WebLogic、JBoss反序列化漏洞,Redis、Hadoop未授權(quán)訪問漏洞等Web漏洞攻擊服務器挖礦。該團伙在攻擊活動中通過Apache Struts遠程代碼執(zhí)行漏洞(CVE-2017-5638)、Tomcat弱口令爆破進行傳播的木馬大幅增加。
木馬在橫向移動階段會利用Python實現(xiàn)的Redis未授權(quán)漏洞訪問漏洞對隨機生成的約16萬個IP進行掃描攻擊,并且利用植入的shell腳本hehe.sh繼續(xù)利用已有公鑰認證記錄的機器建立SSH連接進行內(nèi)網(wǎng)擴散,最終在失陷機器植入多款門羅幣挖礦木馬以及Tsunami僵尸網(wǎng)絡木馬,后者被該團伙用來進行DDoS攻擊。
“8220”挖礦木馬團伙的攻擊目標包括Windows和Linux服務器,在其使用的FTP服務器上,可以發(fā)現(xiàn)針對不同操作系統(tǒng)的攻擊模塊。該團伙釋放挖礦木馬時,會檢查服務器是否有其他挖礦木馬運行,將所有競爭挖礦木馬進程結(jié)束,以獨占服務器資源。
根據(jù)代碼的相似性、C2關(guān)聯(lián)性、挖礦時使用的相同門羅幣錢包以及配置文件解密方法、相似的FTP服務器。騰訊安全專家認為,2020年初出現(xiàn)的StartMiner與“8220”挖礦木馬屬于同一團伙。該團伙當前版本惡意程序與C2服務器的通信已不再使用“8220”端口,根據(jù)近期捕獲到的樣本對其攻擊偏好使用的文件名進行總結(jié),發(fā)現(xiàn)其具有使用多種腳本包括VBS、PHP、Python、Powershell、Shell進行組合攻擊的特點。
惡意代碼情報
1.【流行威脅追蹤】深度分析Netwalker勒索軟件
披露時間:2020年05月08日
情報來源:
https://mp.weixin.qq.com/s/IeTZSDhX7E_l2cyT5QJgQA
相關(guān)信息:
Netwalker勒索,也被稱為Mailto勒索,Mailto是基于加密文件名格式的勒索軟件的名稱,Netwalker是基于勒索軟件的勒索信內(nèi)容給出的名稱,目前針對的目標是企業(yè)和政府機構(gòu),近期開始活躍。
該家族發(fā)展歷程如下,2019 年 9 月左右發(fā)現(xiàn)了一個新變種的勒索病毒,該勒索病毒根據(jù)被加密文件的擴展名被命名為 Mailto。針對企業(yè)的Mailto勒索病毒在 2020 年 1 月 31 日針對性攻擊澳洲貨運與物流公司 Toll Group 的公司網(wǎng)絡,加密了連接至公司網(wǎng)絡的所有 Windows 設備,高達 1000 臺主機被感染,導致該公司關(guān)閉許多 IT 系統(tǒng)。2020 年 2 月初澳洲Australian Signals Directorate 的 Australian CyberSecurity Centre (ACSC)發(fā)布了此勒索病毒的警報通知。
深信服安全團隊近期捕獲了該勒索軟件家族的新變種,經(jīng)分析該變種采用了PowerShell加載執(zhí)行dll的方式來執(zhí)行核心勒索,此樣本的核心勒索為一個32位dll文件,提取后查找到實際文件名為Netwalker_dll.dll,經(jīng)后續(xù)分析該勒索會采用多種技巧來規(guī)避殺軟查殺。
2. Astaroth:利用YouTube頻道作C2的惡意軟件
披露時間:2020年05月11日
情報來源:
https://mp.weixin.qq.com/s/IeTZSDhX7E_l2cyT5QJgQA
相關(guān)信息:
近期,思科Talos團隊發(fā)現(xiàn)一種新的信息竊取者惡意軟件Astaroth,該惡意軟件主要針對巴西。通常采用葡萄牙語編寫各種誘餌向巴西受害者發(fā)送釣魚郵件,其中還包括COVID-19相關(guān)的誘餌郵件。郵件誘導受害者點擊郵件中的釣魚鏈接, 從而下載執(zhí)行惡意軟件。
Astaroth采用了多種混淆和反分析技術(shù)以躲避安全研究人員的分析,在第二階段的js中采用大量混淆干擾分析,當惡意軟件落地后,還將進行檢查運行環(huán)境,檢查是否處于虛擬機或沙箱,檢查當前運行環(huán)境是否有安全研究人員常用的分析工具進程等一系列檢查。同時,該惡意軟件將YouTube頻道作為C2,從頻道中獲取命令執(zhí)行。
3. Poulight Stealer,新型竊密木馬
披露時間:2020年05月07日
情報來源:
https://yoroi.company/research/poulight-stealer-a-new-comprehensive-stealer-from-russia/
相關(guān)信息:
如今,信息竊取是最常見的威脅之一。這類惡意軟件包括Azorult,Agent Tesla和Hawkeye等。信息竊取市場是網(wǎng)絡罪犯最賺錢的市場之一,從受感染系統(tǒng)收集的信息可以轉(zhuǎn)售到地下網(wǎng)絡犯罪中,或用于憑證填充攻擊。
在過去的兩個月中,Yoroi監(jiān)控了Poulight Stealer信息竊取者的演變和擴散,該信息竊取者很可能起源于俄羅斯。該惡意軟件是.NET木馬,未采取任何混淆,運行后首先會檢查運行環(huán)境,判斷是否處于虛擬機或沙箱中,之后將進入惡意功能流程,收集受害者計算機上多種敏感信息,例如Skype,Filezilla,Steam等賬戶密碼信息,同時值得注意的是,惡意軟件會使用英語和俄語兩種語言對竊取的信息進行存儲。
4. ClodCore:通過云控下發(fā)挖礦模塊的惡意木馬
披露時間:2020年05月09日
情報來源:
https://blog.360totalsecurity.com/en/clodcore-a-malware-family-that-delivers-mining-modules-through-cloud-control/
相關(guān)信息:
近期,360 Baize Lab檢測到一個黑客組織已通過各種破解游戲傳播了ClodCore木馬。感染木馬后,病毒作者將使用云控分發(fā)挖礦,暗刷和其他病毒模塊,以使用受害機器瘋狂斂財。受害機器主要分布在俄羅斯,烏克蘭和其他國家,累積感染超過50,000。