每周高級威脅情報解讀(2022.07.21~07.28)
2022.07.21~07.28
攻擊團伙情報
- APT37組織使用Konni RAT攻擊歐盟目標
- 近期APT32(海蓮花)組織攻擊活動樣本分析
- 透明部落以“清潔運動”為主題對印度國防部下屬企業發起釣魚攻擊
- 疑似EvilNum針對歐洲金融實體
攻擊行動或事件情報
- 阿里云OSS遭受惡意軟件分發和加密劫持攻擊
- Candiru利用零日漏洞CVE-2022-2294攻擊中東地區
- 攻擊者使用GoMet后門攻擊烏克蘭
- 1100多個組織受到FileWave MDM漏洞的影響
惡意代碼情報
- Amadey Bot通過SmokeLoader分發
- Ducktail Infostealer:針對 Facebook 商業賬戶的新惡意軟件
- QBot使用Windows Calculator側載來感染設備
漏洞情報
- Apple發布安全補丁修復數十個新漏洞
- Linux Kernel本地權限提升漏洞安全風險通告
攻擊團伙情報
01 APT37組織使用Konni RAT攻擊歐盟目標
披露時間:2022年07月20日
相關信息:
近期,研究人員觀察和分析了最新且仍在進行的活動,他們稱之為 STIFF#BIZON,其與朝鮮的 APT37惡意活動有關。此次活動針對針對捷克共和國、波蘭和其他歐洲國家的高價值組織,并使用了Konni惡意軟件。
攻擊始于一封帶有包含Word文檔(missile.docx)和Windows快捷方式文件(weapons.doc.lnk.lnk)的存檔附件的網絡釣魚電子郵件。打開LNK文件后,代碼運行以在DOCX文件中查找base64編碼的PowerShell腳本,以建立C2通信并下載誘餌文件“weapons.doc”和“wp.vbs”,VBS文件創建定時任務以執行后續攻擊載荷。
雖然策略和工具集指向 APT37,但研究人員強調了APT28(又名FancyBear)支持STIFF#BIZON活動的可能性。
02 近期APT32(海蓮花)組織攻擊活動樣本分析
披露時間:2022年07月23日
相關信息:
近期,研究人員捕獲了一起海蓮花組織的最新攻擊活動,分析發現,該組織在執行最終的RAT時,開始采用更加多樣化的Loader程序來實施攻擊活動,而這次攻擊活動就采用了一種較為小眾的Nim語言編寫的開源工具,來作為其交付Cobalt Strike Beacon的Loader,而在此之前,與該組織相關的采用此類武器攻擊的活動幾乎很少被提及。
海蓮花組織未使用原始的NimPacket的有bug的獲取進程方法,通過自定義的createprocess方法來獲取進程,說明該組織對nimpacket進行了研究并非簡單的使用。此外,NimPacket loader中默認加入Shellycoat,用于unhook安全軟AV/NGAV/EDR/Sandboxes/DLP等,以此做到免殺。
03 透明部落以“清潔運動”為主題對印度國防部下屬企業發起釣魚攻擊
披露時間:2022年07月25日
相關信息:
近期研究人員捕獲到透明部落組織針對印度國防部下屬企業攻擊的樣本,樣本格式為帶有惡意宏的pptm文件,可能通過釣魚郵件投遞至印度國防部下屬企業,樣本中的宏代碼會釋放并執行CrimsonRAT,執行來自惡意C2的各種命令。
誘餌文檔冒充為印度國防部下發的指令,大意為通知各個印度國防公共部門企業進行“清潔運動”以減少未決事項。惡意宏代碼的執行流程如下:
04 疑似EvilNum針對歐洲金融實體
披露時間:2022年07月21日
相關信息:
研究人員最近發現名為TA4563的攻擊組織利用其Evilnum惡意軟件攻擊歐洲金融和投資實體的惡意活動,尤其針對那些支持外匯、加密貨幣和去中心化金融的業務實體。研究人員還表明,上述活動與稱為Evilnum的黑客組織存在關聯。
2021年12月,TA4563以及相關攻擊組織使用相關Microsoft Word模板文檔,該文檔試圖與域通信以安裝多個LNK加載器組件,利用wscript加載Evilnum有效負載,最終在用戶主機上安裝JavaScript有效負載。這些文檔通常圍繞財務主題,吸引目標受害者提交“丟失文件的所有權證明”,從而展開攻擊。到2022年初,該組織繼續以原始電子郵件活動的變體為目標,試圖提供包含ISO或 .LNK附件的多個OneDrive URL。在最近的一次活動中攻擊者方法再次改變,TA4563交付Microsoft Word文檔以嘗試下載遠程模板。模板主題為“緊急丟失文件”,并攜帶附件,附加的文檔負責生成到 hxxp://outlookfnd.com的流量,這是一個由參與者控制的域,能下載相關EvilNum有效負載,最終開展相關攻擊。
攻擊行動或事件情報
01 阿里云OSS遭受惡意軟件分發和加密劫持攻擊
披露時間:2022年07月21日
相關信息:
研究人員最近披露了關于利用阿里云的對象存儲服務(OSS)進行惡意軟件分發和非法加密貨幣挖掘的惡意行為。
OSS是一項服務,允許阿里云客戶將Web應用程序圖像和備份信息等數據存儲在云端。OSS Buckets是相關的存儲空間,其具有各種配置屬性,包括地域、訪問權限、存儲類型等。惡意攻擊者通過獲取相關憑據來獲取用戶相關OSS bucket的訪問權限,并實現文件的上傳下載等。
此次攻擊行為中,攻擊者還使用隱寫術將包含嵌入式 shell 腳本的圖像文件上傳到受感染的OSS bucket,上傳后便可以利用XMRig非法挖掘Monero,還能夠利用配置錯誤的Redis實例,執行惡意代碼。
02 Candiru利用零日漏洞CVE-2022-2294攻擊中東地區
披露時間:2022年07月21日
相關信息:
最近,研究人員現Google Chrome中存在一個零日漏洞,被間諜軟件供應商Candiru用來有針對性地對中東的Avast用戶進行水坑攻擊。該漏洞編號為CVE-2022-2294,是WebRTC中的堆緩沖區溢出導致的內存損壞,被Candiru用來實現渲染器進程內shell code的執行。
據調查,攻擊者先利用XSS漏洞注入的代碼通過其他幾個攻擊者控制的域將目標受害者路由到攻擊服務器。之后,收集包括受害者的語言、時區、屏幕信息、設備類型、瀏覽器插件、參考、設備內存、cookie功能等多種信息并發送給攻擊者,如果滿足漏洞攻擊服務器的要求,它將建立一個加密通道。通過該通道將零日漏洞傳遞給受害者。在受害者的機器上站穩腳跟后,惡意負載(被稱為DevilsTongue,一種成熟的間諜軟件)試圖通過另一個零日攻擊來提升其權限。
03 攻擊者使用GoMet后門攻擊烏克蘭
披露時間:2022年07月21日
相關信息:
研究人員發現了一種罕見的惡意軟件,該惡意軟件被用于針對一家大型烏克蘭軟件開發公司,該公司的軟件被烏克蘭境內的各個國家組織使用。研究人員認為,攻擊者可能與俄羅斯有關,并以該公司為目標,企圖發動供應鏈攻擊。目前尚不清楚攻擊是否成功。
對惡意代碼的分析表明,它是“GoMet”開源后門的一個稍微修改的版本。研究人員檢測到的惡意活動包括由GoMet dropper創建的虛假Windows更新計劃任務。此外,該惡意軟件使用了一種新的方法來實現持久性。它列舉了自動運行的值,并沒有創建一個新的值,而是用惡意軟件替換了一個現有的軟件自動運行可執行文件。這可能會逃避檢測或阻礙分析。
04 1100多個組織受到FileWave MDM漏洞的影響
披露時間:2022年07月25日
相關信息:
研究人員最近發現,FileWave MDM產品受到兩個關鍵安全漏洞的影響:身份驗證繞過問題(CVE-2022-34907)和硬編碼加密密鑰(CVE-2022-34906)。
通過身份驗證繞過漏洞,遠程攻擊者可以實現“super_user”訪問,并完全控制連接到互聯網的MDM實例,從而可以入侵使用FileWave產品管理的所有設備,還可以竊取敏感信息和傳播惡意軟件。研究人員發現了1100多個暴露在互聯網上的易受攻擊的MDM服務器實例,其中包括企業、教育機構、政府機構和中小企業所擁有的實例。FileWave在本月發布的14.7.2版本中修補了該漏洞。
惡意代碼情報
01 Amadey Bot通過SmokeLoader分發
披露時間:2022年07月21日
相關信息:
研究人員最近披露利用SmokerLoader安裝Amaday bot的活動,Amaday bot能通過接收攻擊者的指令竊取信息并安裝額外的惡意軟件,SmokerLoader通過將自己偽裝成軟件的破解版本和串行生成程序來分發。
SmokerLoader提供與信息竊取相關的各種附加功能作為插件。它通常作為下載程序用于安裝其他惡意軟件。當執行SmokerLoader,他會在目前運行的explorer.exe注入一個main bot,在explorer進程內下載Amaday。下載完成后,Amaday先自我復制到一個temp路徑,然后注冊一個開機文件夾,使其在電腦重啟后仍能運行,還將自身注冊到任務調度器以保持持久性。以上進程運行完后,惡意軟件會與C2服務器交流,通過其發送的URL下載cred.dll插件和Redline info-stealer(另一種惡意軟件),收集用戶信息并發送給C2服務器,包括基礎信息、計算器名和用戶名、郵件、FTPs、VPN客戶機、及一系列反惡意軟件產品信息。
02 Ducktail Infostealer:針對 Facebook 商業賬戶的新惡意軟件
披露時間:2022年07月26日
相關信息:
Ducktail是一種針對Facebook業務和廣告賬戶的新惡意軟件,旨在竊取瀏覽器cookie,并利用經過身份驗證的Facebook會話從受害者的賬戶中竊取信息。據悉,Ducktail惡意活動始于2021年下半年,研究人員將此活動歸因于越南攻擊者,其主要目標是在公司中擔任管理、數字營銷、數字媒體和人力資源角色的個人,攻擊者誘使這些目標下載托管在Dropbox、Apple iCloud和MediaFire上的Facebook廣告信息。攻擊鏈如下:
03 QBot使用Windows Calculator側載來感染設備
披露時間:2022年07月21日
相關信息:
至少從7月11日起,Qbot(又名Qakbot)惡意軟件運營商就一直在濫用Windows 7計算器應用程序進行DLL側加載攻擊。Qakbot的初始感染始于包含各種主題的惡意垃圾郵件活動,垃圾郵件包含一個HTML文件,該文件具有base64編碼圖像和一個受密碼保護的ZIP文件,其中包含一個ISO文件。ISO包含一個.LNK文件、一個“calc.exe”副本和兩個DLL文件,即WindowsCodecs.dll和一個名為7533.dll的有效負載。
ISO文件打開僅向用戶顯示被偽裝成PDF的.lnk文件,其指向Windows中的計算器應用程序。單擊快捷方式會通過命令提示符執行Calc.exe來觸發感染。加載后,Windows 7計算器會自動搜索并嘗試加載合法的WindowsCodecs.dll文件。Qakbot執行流程如下:
漏洞相關
01 Apple發布安全補丁修復數十個新漏洞
披露時間:2022年07月20日
相關信息:
Apple推出了適用于iOS、iPadOS、macOS、tvOS和watchOS的軟件修復程序,以解決影響其平臺的許多安全漏洞。這包括至少37個跨越iOS和macOS中不同組件的缺陷,范圍從特權升級到任意代碼執行,從信息泄露到拒絕服務(DoS)。
其中最主要的是CVE-2022-2294,這是WebRTC組件中的一個內存損壞漏洞,該漏洞已在針對Chrome瀏覽器用戶的實際攻擊中被利用。但是,沒有證據表明針對iOS、macOS和Safari的漏洞進行了零日漏洞利用。
除了 CVE-2022-2294,這些更新還解決了多個漏洞,詳見情報來源鏈接。
02 Linux Kernel本地權限提升漏洞安全風險通告
披露時間:2022年07月22日
相關信息:
近日,奇安信CERT監測到Linux Kernel本地權限提升漏洞(CVE-2022-34918)的技術細節及PoC在互聯網上公開,Linux 內核存在本地權限提升漏洞,經過身份認證的本地攻擊者可以利用該漏洞將權限提升到ROOT權限。奇安信CERT已復現此漏洞,經驗證,此PoC有效。鑒于此漏洞影響范圍較大,建議盡快做好自查及防護。
