2023.06.15~06.22
攻擊團伙情報
-
Red Eyes Group 利用FadeStealer竊聽個人資訊
-
針對中東和非洲政府的新APT組織CL-STA-0043
-
BlueDelta 利用烏克蘭政府 Roundcube 郵件伺服器支持間諜活動
-
DoNot APT 通過在 Google Play 商店部署惡意 Android 應用程序來提升其策略
-
雙重行動、三重感染和新 RAT:SideCopy 持續瞄準印度國防
-
Shuckworm:俄羅斯針對烏克蘭的無情網路攻擊
-
APT37針對韓國 macOS 使用者的進行攻擊
-
GhostWriter組織使用PicassoLoader和Cobalt Strike Beacon對烏克蘭國家發起攻擊
攻擊行動或事件情報
-
新的惡意軟體活動針對 LetsVPN 使用者
-
駭客使用新的漏洞利用技術劫持 S3 儲存桶
-
追蹤 Diicot:新興的羅馬尼亞攻擊者
-
跨平臺後門暗示著更大的Mac OS攻擊
-
Shampoo:惡意廣告擴展ChromeLoader部署新活動
-
針對 UKR.NET 服務使用者的網路攻擊
-
起底Frosted DDoS攻擊團伙
惡意程式碼情報
-
FickerStealer:rust竊密木馬
-
逆向分析基於Flutter 的 Android 惡意軟體「Fluhorse」
-
勒索軟體RedEnergy Stealer技術分析
-
分析TriangleDB,一個Triangulation間諜軟體的植入物
-
分佈在Linux SSH伺服器上的DDoS惡意軟體Tsunami
-
Mystic Stealer :不斷發展的「隱形」惡意軟體
-
深入研究 PyPI 託管的惡意軟體
-
Android GravityRAT可以竊取 WhatsApp 備份檔案
漏洞情報
-
Apple多個產品高危漏洞安全風險通告
攻擊團伙情報
01
Red Eyes Group 利用FadeStealer竊聽個人資訊
披露時間:2023年6月21日
情報來源:https://asec.ahnlab.com/en/54349/
相關資訊:
Red Eyes(也稱為APT37、ScarCruft和Reaper)是一個由國家資助的 APT 組織,主要對朝鮮叛逃者、人權活動家和大學教授等個人進行攻擊。眾所周知,他們的任務是監視特定個人的生活。2023年5月,研究人員發現RedEyes組織分發和使用具有竊聽功能的Infostealer,這是以前未知的,以及使用GoLang開發的利用 Ably 平臺的後門。
威脅參與者通過使用 Ably 服務的GoLang後門發送命令。命令通訊所需的 API 金鑰值保存在GitHub儲存庫中。此API金鑰值對於與威脅參與者的通道進行通訊是必需的,因此任何人如果知道此金鑰值都可以訂閱。因此,可以識別威脅參與者在分析時使用的一些命令。
02
針對中東和非洲政府的新APT組織CL-STA-0043
披露時間:2023年6月14日
情報來源:https://www.paloaltonetworks.com/blog/security-operations/through-the-cortex-xdr-lens-uncovering-a-new-activity-group-targeting-governments-in-the-middle-east-and-africa/
相關資訊:
研究人員發現多起針對中東和非洲政府實體的間諜攻擊。根據調查結果,攻擊的主要目標是獲取高度機密和敏感的資訊,特別是與政客、軍事活動和外交部有關的資訊。這些攻擊大約發生在同一時間範圍內,在戰術、技術和程序 (TTP) 方面有幾個非常獨特的相似之處,其中一些以前從未在野外報告過,而其他技術則相對罕見,只有少數攻擊者報告使用了它們。
目前命名該組為CL-STA-0043。該活動組織的複雜程度、適應性和受害者學水平表明,這是一個能力很強的APT威脅行為者,而且它被懷疑是民族國家威脅行為者。
在跟蹤和分析CL-STA-0043時,研究人員發現了攻擊者使用的新規避技術和工具,例如用於秘密運行webshell的記憶體中VBS植入,以及首次在野外發現的罕見憑證盜竊技術。
03
BlueDelta利用烏克蘭政府Roundcube郵件伺服器支持間諜活動
披露時間:2023年6月20日
情報來源:https://www.recordedfuture.com/bluedelta-exploits-ukrainian-government-roundcube-mail-servers
相關資訊:
研究人員發現了一項針對烏克蘭知名實體的活動,該活動與通過網路流量情報發現的魚叉式網路釣魚活動相互關聯。該活動利用有關俄羅斯對烏克蘭戰爭的新聞來鼓勵收件人打開電子郵件,這會立即危及易受攻擊的 Roundcube 伺服器(一種開源網路郵件軟體),使用CVE-2020-35730,而無需處理附件。此外還發現該活動與 2022 年利用 Microsoft Outlook 零日漏洞CVE-2023-23397的歷史性 BlueDelta 活動重疊。
BlueDelta 似乎自 2021 年 11 月開始活動。該活動與 CERT-UA歸因於 APT28(也稱為 Forest Blizzard 和 Fancy Bear)的活動重疊,多個西方政府將其歸因於總局俄羅斯聯邦武裝部隊(GRU)總參謀部。在這次行動中,BlueDelta 主要針對烏克蘭組織,包括涉及飛機基礎設施的政府機構和軍事實體。
04
DoNot APT 通過在 Google Play 商店部署惡意 Android 應用程序來提升其策略
披露時間:2023年6月16日
情報來源:https://www.cyfirma.com/outofband/donot-apt-elevates-its-tactics-by-deploying-malicious-android-apps-on-google-play-store/
相關資訊:
研究人員最近獲得了”SecurITY Industry “賬戶託管在Google Play Store上的可疑Android應用程序。進一步的技術分析顯示,該應用程序具有惡意軟體的特徵,屬於臭名昭著的高級持續性威脅集團:”DoNot”,最近針對克什米爾地區進行攻擊。在最近的一次觀察中,發現威脅者正在使用安卓系統的有效載荷來對付巴基斯坦地區,然而,仍然不知道是什麼促使他們在南亞地區進行網路打擊。技術分析表明,攻擊背後的動機是通過stager payload收集資訊,並將收集到的資訊用於第二階段的攻擊,使用具有更多破壞性的惡意軟體。
05
雙重行動、三重感染和新RAT:SideCopy持續瞄準印度國防
披露時間:2023年6月15日
情報來源:https://www.seqrite.com/blog/double-action-triple-infection-and-a-new-rat-sidecopys-persistent-targeting-of-indian-defence
相關資訊:
研究人員發現 SideCopy APT 針對印度國防部門新的攻擊活動。該組織利用網路釣魚電子郵件附件和 URL 作為感染媒介來下載惡意存檔檔案,從而導致部署兩種不同的有效負載:Action RAT 和一種新的基於 .NET 的 RAT。使用了三個主題的感染鏈:DRDO 的「Invitation Performa」,這是其國防採購程序 (DPP) 的一部分,這是一個蜜罐誘餌,還包括印度軍方的「選擇外國任務的軍官」主題。在一名高級 DRDO 科學家因向被困在他身邊的巴基斯坦特工洩露敏感資訊而被捕後,正在進行的活動曝光。此”蜂蜜陷阱 “在Facebook、Twitter、WhatsApp等社交媒體平臺上大幅增加,有數百萬非法賬戶被用作機器人或誘餌。
06
Shuckworm:俄羅斯針對烏克蘭的無情網路攻擊
披露時間:2023年6月15日
情報來源:https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-russia-ukraine-military
相關資訊:
Shuckworm 間諜組織繼續對烏克蘭發動多次網路攻擊,最近的目標包括安全部門、軍隊和政府組織。在某些情況下,Shuckworm已成功發起入侵,持續時間長達三個月。攻擊者多次試圖訪問和竊取敏感資訊,例如有關烏克蘭軍人死亡、敵人交戰和空襲、軍火庫庫存、軍事訓練等的報告。為了避免被檢測出來,Shuckworm反覆更新其工具集,推出已知工具的新版本和短期基礎設施,以及新添加的工具,例如 USB 傳播惡意軟體。
Shuckworm(又名 Gamaredon、Armageddon)是一個與俄羅斯有聯繫的組織,自 2014 年首次出現以來,其行動幾乎完全集中在烏克蘭。烏克蘭官員公開表示,該組織代表俄羅斯聯邦安全局 (FSB) 開展活動。
07
APT37針對韓國 macOS 使用者的進行攻擊
披露時間:2023年6月20日
情報來源:https://www.genians.co.kr/blog/threat_intelligence_report_macos
相關資訊:
5 月 17 日,研究人員發現了 APT37 的新網路威脅活動,該組織被稱為與朝鮮有關的駭客組織,之後密切監視 APT(高級持續威脅)組織的威脅活動。本案經核實,是針對韓國境內從事朝鮮人權和朝鮮事務的特定人員的分兩階段的縝密APT攻擊。
攻擊者在進行初級網路釣魚攻擊和偵察活動以竊取受害者的電子郵件密碼後,利用在此過程中識別的網路瀏覽器和作業系統資訊進行基於 macOS 的惡意檔案攻擊。已識別出多名受害者,並確認他們主要使用 MacBook。
08
GhostWriter組織使用PicassoLoader和Cobalt Strike Beacon對烏克蘭國家發起攻擊
披露時間:2023年6月16日
情報來源:https://cert.gov.ua/article/4905718
相關資訊:
研究人員發現了PPT檔案「daewdfq342r.ppt」,其中包含一個宏和一個縮圖,上面有以伊萬·切爾尼亞希夫斯基命名的烏克蘭國防大學的徽章。
如果打開該文件並激活宏,則會在受害者的計算機上創建一個可執行檔案「%APPDATA%Signal_update_6.0.3.4glkgh90kjykjkl650kj0.dll」,以及一個旨在運行後的快捷方式檔案。檔案「glkgh90kjykjkl650kj0.dll」被歸類為 PicassoLoader 惡意軟體,通常由 UAC-0057 (GhostWriter) 組織使用,旨在下載圖像、解密並啟動生成的有效負載。同時,最近使用RC4代替AES。在相關事件中,PicassoLoader 將確保下載並啟動 .NET dropper,該釋放器將執行解密 (AES) 並啟動可執行檔案「PhotoMetadataHandler.dll」,而該檔案又將執行解密並啟動 Cobalt Strike受害者電腦上的信標。
攻擊行動或事件情報
01
新的惡意軟體活動針對 LetsVPN 使用者
披露時間:2023年6月16日
情報來源:https://blog.cyble.com/2023/06/16/new-malware-campaign-targets-letsvpn-users/
相關資訊:
近日,研究人員在進行例行威脅搜尋活動時,發現存在大量假冒LetsVPN網站。這些欺詐網站共享一個通用的使用者界面,並故意設計用於分發惡意軟體,偽裝成真正的 LetsVPN 應用程序。
LetsVPN 是由 LetsGo Network 開發的一款 VPN 應用程序,旨在通過提供高速連接來增強網際網路體驗,同時確保使用者的設備安全。LetsVPN 提供了一系列功能,包括點對點功能、對多種協議的支持、以不同語言瀏覽的能力、用於增加安全性的終止開關、策略管理選項等等。
02
駭客使用新的漏洞利用技術劫持 S3 儲存桶
披露時間:2023年6月15日
情報來源:https://checkmarx.com/blog/hijacking-s3-buckets-new-attack-technique-exploited-in-the-wild-by-supply-chain-attackers/
相關資訊:
該攻擊最初是在一個名為 bignum 的npm 軟體包受到攻擊時注意到的,該軟體包在 0.13.0 版之前依賴 Amazon S3 儲存桶在安裝過程中下載名為 node-pre-gyp 外掛的預構建二進位制版本。根據研究人員分享的報告,攻擊者將惡意二進位制檔案注入到 S3 儲存桶中,該儲存桶提供了 NPM 包「bignum」所需的二進位制檔案,而沒有更改任何一行程式碼。
根據 2023 年 5 月 24 日發佈的 GitHub 公告,「這些二進位制檔案發佈在現已過期的 S3 儲存桶上,該儲存桶已被惡意第三方佔用,該第三方現在正在提供包含惡意軟體的二進位制檔案,這些惡意軟體會從使用者計算機中竊取資料」。
03
追蹤 Diicot:新興的羅馬尼亞攻擊者
披露時間:2023年6月15日
情報來源:https://www.cadosecurity.com/tracking-diicot-an-emerging-romanian-threat-actor/
相關資訊:
在最近對蜜罐傳感器遙測的審查中,研究人員發現一種有趣的攻擊模式,該模式可能歸因於Diicot(以前稱為「Mexals」)。
對 Diicot 使用的 C2 伺服器進行調查,發現了幾個有效負載,其中一些似乎沒有任何公開報告,並且在常見的公共惡意軟體儲存庫中丟失。這些有效負載似乎被這個新興組織用作活動的一部分。
此外還發現該組織部署基於 Mirai 的殭屍網路代理(名為 Cayosin)的證據。該代理的部署針對運行基於 Linux 的嵌入式設備作業系統OpenWrt 的路由器。Cayosin 的使用表明 Diicot 願意根據遇到的目標類型進行各種攻擊(不僅僅是加密劫持)。這表明該組織仍在投入工程來部署 Cayosin以獲得DDoS 攻擊的能力,根據之前的報道,這是 Cayosin 的主要目標。
04
跨平臺後門暗示著更大的Mac OS攻擊
披露時間:2023年6月16日
情報來源:https://www.bitdefender.com/blog/labs/fragments-of-cross-platform-backdoor-hint-at-larger-mac-os-attack/
相關資訊:
研究人員透露其發現了一組具有後門功能的惡意檔案,並推斷是針對Apple macOS系統的複雜工具包的一部分。目前調查仍在進行中,樣本的大部分仍未被發現。研究人員共分析了上傳到VirusTotal的四個樣本,其中最早的於4月18日由匿名使用者上傳。研究人員發現的惡意檔案分別是一個通用的Python後門shared.dat,一個強大的後門sh.py,以及一個FAT二進位制檔案xcc。研究人員將Python元件跟蹤為JokerSpy。
05
Shampoo:惡意廣告擴展ChromeLoader部署新活動
披露時間:2023年6月14日
情報來源:https://threatresearch.ext.hp.com/shampoo-a-new-chromeloader-campaign/
相關資訊:
研究人員近檢測到了一個名為”Shampoo”的惡意軟體活動,且活動主要涉及部署ChromeLoader惡意擴展。其中,ChromeLoader是Google Chrome瀏覽器擴展惡意軟體家族,於2022年初首次被披露,其功能為在Google Chrome中安裝用於傳播廣告的惡意擴展程序。舊版本的ChromeLoader感染鏈始於誘導受害者從託管非法內容的網站下載惡意的ISO檔案。Shampoo活動始於2023年3月上旬,並且感染鏈與之前非常相似,依舊通過誘使受害者從網站下載偽裝成免費電影、視訊遊戲的惡意VBScript檔案,進而部署具有副檔名為”Shampoo”的ChromeLoader惡意擴展。此外,一旦ChromeLoader連接到Chrome會話,該擴展程序還會將敏感資訊回傳至C2伺服器。
06
針對 UKR.NET 服務使用者的網路攻擊
披露時間:2023年6月19日
情報來源:https://cert.gov.ua/article/4928679
相關資訊:
研究人員收到了資訊交換參與者發來的一封電子郵件,主題為「@UKR.NET 觀察到可疑活動」,並附有 PDF 檔案「安全警告.pdf」形式的附件,顯然是代表 UKR 發送的。
上述 PDF 文件包含一個指向模仿郵政服務網頁的欺詐性網路資源的連結。如果在假冒網站上進行身份驗證,使用者的登入名和密碼將被髮送給攻擊者,這將為第三方未經授權訪問使用者的電子郵箱創造條件。
07
起底Frosted DDoS攻擊團伙
披露時間:2023年6月20日
情報來源:https://mp.weixin.qq.com/s/4rmT16xpqW8j11UfR6z3lw
相關資訊:
2023 年 6月初,奇安信威脅情報中心威脅監控系統監測到一起未知家族惡意樣本利用CVE-2021-22205漏洞傳播的事件,經過分析確認該樣本不屬於已知的殭屍網路家族。通過對該家族的特徵進行分析,我們將此新型殭屍網路稱為 DarknessQbot。
對該殭屍網路進行溯源時我們發現,CNCERT 物聯網威脅研究團隊和綠盟科技伏影實驗室於2022年12月發表的一份聯合報告對本次發現的殭屍網路作者曾進行過披露,並將該殭屍網路犯罪團伙命名為 Frosted,我們猜測是通過殭屍網路作者的ID進行團伙的命名,本文將詳細披露 Frosted 殭屍網路犯罪團伙。
惡意程式碼情報
01
FickerStealer:rust竊密木馬
披露時間:2023年6月21日
情報來源:https://mp.weixin.qq.com/s/Kjp6oOQPzFOfyRi7hw9l-Q
相關資訊:
本文將主要介紹該竊密木馬的執行全流程,且該流程也被當前大多數Windows惡意樣本所採用,通過該執行流程,可以很好的隱藏自身,以逃避安全設備和安全軟體的檢測,可以說是目前常見逃逸思路中較為主流的一種思路。
02
逆向分析基於Flutter的Android惡意軟體「Fluhorse」
披露時間:2023年6月21日
情報來源:https://www.fortinet.com/blog/threat-research/fortinet-reverses-flutter-based-android-malware-fluhorse
相關資訊:
Android/Fluhorse是最近發現的惡意軟體家族,於 2023 年 5 月出現。該惡意軟體的獨特之處在於它利用了 Flutter,這是一種開源 SDK(軟體開發工具包),因其能夠構建與 Android、iOS 兼容的應用程序而在開發人員中享有盛譽。Android/Fluhorse 系列代表了一個重大轉變,因為它將惡意元件直接合併到 Flutter 程式碼中。研究人員成功地以靜態方式對 Fluhorse 惡意軟體進行了完全逆向工程,無需動態執行。此文就是對該惡意軟體的詳細分析。
03
勒索軟體RedEnergy Stealer技術分析
披露時間:2023年6月21日
情報來源:https://www.zscaler.com/blogs/security-research/ransomware-redefined-redenergy-stealer-ransomware-attacks
相關資訊:
研究人員發現了一種新的惡意軟體變體RedEnergy 竊取程序。RedEnergy 竊取者利用虛假更新活動來針對多個行業垂直領域,並擁有從各種瀏覽器竊取資訊的能力,從而能夠洩露敏感資料,同時還結合了不同的模組來執行勒索軟體活動。該惡意軟體的名稱是在以分析過程中觀察到的常用方法來命名。
該部落格提供了與這種新發現的惡意軟體相關不同活動的詳細見解,以及對其竊取者和勒索軟體特徵的技術分析。
04
分析TriangleDB,一個Triangulation間諜軟體的植入物
披露時間:2023年6月21日
情報來源:https://securelist.com/triangledb-triangulation-implant/110050/
相關資訊:
該植入程序被研究人員稱為 TriangleDB,是在攻擊者利用核心漏洞獲得目標 iOS 設備的 root 許可權後部署的。它部署在記憶體中,這意味著當設備重新啟動時,植入物的所有痕跡都會丟失。因此,如果受害者重新啟動設備,攻擊者必須通過發送帶有惡意附件的 iMessage 來重新感染設備,從而再次啟動整個漏洞利用鏈。如果沒有重新啟動,植入程序將在 30 天后自行卸載,除非攻擊者延長此期限。截至目前,研究人員已經完成了對間諜軟體植入的分析,並在此文分享其詳細資訊。
05
分佈在Linux SSH伺服器上的DDoS惡意軟體Tsunami
披露時間:2023年6月20日
情報來源:https://asec.ahnlab.com/en/54647/
相關資訊:
研究人員最近發現了一個攻擊活動,其中包括在管理不善的 Linux SSH 伺服器上安裝 Tsunami DDoS Bot。威脅行為者不僅安裝了 Tsunami,還安裝了各種其他惡意軟體,例如 ShellBot、XMRig CoinMiner 和 Log Cleaner。
Tsunami 是一種 DDoS 機器人,也稱為 Kaiten。它是針對普遍易受攻擊的物聯網設備時與 Mirai 和 Gafgyt 一起持續傳播的幾種惡意軟體之一。雖然它們都有 DDoS 機器人的共同點,但 Tsunami 從其他機器人中脫穎而出,因為它作為 IRC 機器人運行,利用 IRC 與威脅行為者進行通訊。
這篇文章將介紹一個案例,其中威脅行為者在執行字典攻擊後設法登入到管理不善的 SSH 伺服器,然後安裝 DDoS 機器人和 XMRig CoinMiner。
06
Mystic Stealer :不斷發展的「隱形」惡意軟體
披露時間:2023年6月15日
情報來源:https://www.cyfirma.com/outofband/mystic-stealer-evolving-stealth-malware/
相關資訊:
研究團隊最近發現一種名為「Mystic Stealer」的資訊竊取者在地下論壇中得到推廣,威脅行為者利用 Telegram 渠道進行操作。該威脅行為者不斷增強惡意軟體,融入新功能以增強其有效性並擴大其使用者群。調查顯示存在 50 多個主動命令和控制 (C2) 伺服器,表明這種威脅日益普遍。鑑於對有效資訊竊取程序的持續需求,「Mystic Stealer」成為該領域的潛在競爭者。
2023 年 4 月下旬,Mystic Stealer 在著名的地下論壇上首次亮相,以其宣傳的特性、功能和價格吸引了人們的注意。在接下來的幾周裡,該竊取程序可供論壇內的知名資深人士進行測試,他們驗證了其有效性併為進一步改進提供了寶貴的反饋。
07
深入研究 PyPI 託管的惡意軟體
披露時間:2023年6月19日
情報來源:https://blog.virustotal.com/2023/06/inside-of-wasps-nest-deep-dive-into.html
相關資訊:
在監控過程中,研究人員能夠識別出數十個可疑軟體包,據稱這些軟體包是由試圖濫用 PyPI 的威脅行為者上傳的。在某些情況下,攻擊者會毒害眾所周知的合法 Python 庫,並利用拼寫錯誤重新上傳它們,例如模仿pyOpenSSL的「pylOpenSSL」 。在其他情況下,他們上傳完全由惡意程式碼組成的假包,例如scapy庫。
一般來說,這些攻擊的主要目標似乎是受害者的環境資料,其中重點是瀏覽器的cookie。在某些情況下,惡意庫實現了相當原始的功能,例如劫持受害者剪貼簿中的加密錢包地址。
在這篇文章中,研究人員將分享對 PyPi 可疑庫的見解,並仔細研究濫用它的特定活動。
08
Android GravityRAT可以竊取 WhatsApp 備份檔案
披露時間:2023年6月15日
情報來源:https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/
相關資訊:
研究人員已經確定了一個更新版本的 Android GravityRAT 間諜軟體正在作為訊息應用程序 BingeChat 和 Chatico 進行分發。GravityRAT 是一種遠端訪問工具,已知至少從 2015 年開始使用,之前曾用於針對印度進行攻擊。其在Windows、Android 和 macOS 下都可用。GravityRAT 背後的TA仍然未知,因此研究人員在內部將該組織跟蹤為 SpaceCobra。
自2022年8月以來,BingeChat活動仍在進行,但Chatico相關活動已不再活躍。BingeChat 通過廣告免費訊息服務的網站進行分發。在新發現的活動中,GravityRAT 可以洩露 WhatsApp 備份並接收刪除檔案的命令。惡意應用程序還提供基於開源OMEMO Instant Messenger 應用程序的合法聊天功能。
漏洞情報
01
Apple多個產品高危漏洞安全風險通告
披露時間:2023年6月22日
情報來源:https://mp.weixin.qq.com/s/tCMzaUKCONrVX6XuA4Rd0Q
相關資訊:
Apple WebKit 是由蘋果公司開發的一款開源瀏覽器引擎,它是/ Safari 瀏覽器的核心元件,也被 Google、Adobe 等公司使用在其產品中。WebKit 引擎採用 C++ 語言編寫,支持 HTML、CSS、JavaScript 等 Web 標準,並提供了高性能的渲染和佈局引擎,能夠快速準確地呈現網頁內容。
近日,奇安信CERT監測到Apple官方發佈了多個產品高危漏洞,包括Apple WebKit 任意程式碼執行漏洞(CVE-2023-32439)和Apple Kernel 許可權提升漏洞(CVE-2023-32434)。鑑於這些漏洞影響範圍較大,且已發現在野利用,建議客戶儘快做好自查及防護。
點選閱讀原文至ALPHA 6.0
即刻助力威脅研判