每周高級威脅情報解讀(2022.02.03~02.10) - 網安 - 專業的網絡安全產業、社區、知識平臺

2022.02.03~02.10

攻擊團伙情報

Shuckworm組織持續針對烏克蘭實體發起攻擊
Charming Kitten武器庫更新，新增PowerShell后門
雙尾蝎組織新活動使用政治主題誘餌針對巴勒斯坦實體和活動家
Gamaredon APT組織積極瞄準烏克蘭進行攻擊
ACTINIUM組織針對烏克蘭攻擊活動分析
Molerats使用新惡意軟件針對中東政府、外交以及航空實體
Kimsuky利用Gold Dragon后門攻擊韓國組織
透明部落與南亞其他APT組織的宏代碼相似性分析

攻擊行動或事件情報

Operation EmailThief：攻擊者利用Zimbra零日XSS漏洞竊取電子郵件
Roaming Mantis惡意活動攻擊歐洲用戶

惡意代碼情報

Mac木馬的進化：UpdateAgent惡意軟件分析
Koxic勒索軟件深度分析
TargetCompany勒索軟件深入分析

漏洞情報

微軟補丁通告：2022年2月版

攻擊團伙情報

01Shuckworm組織持續針對烏克蘭實體發起攻擊

披露時間：2022年01月31日

情報來源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-gamaredon-espionage-ukraine

相關信息：

Shuckworm（又名Gamaredon，Armageddon）組織至少自2013年開始活躍，其主要針對烏克蘭實體進行網絡攻擊活動。其主要攻擊手法包括，使用網絡釣魚郵件向用戶分發免費可用的遠程訪問工具，包括遠程操縱器系統(RMS)和UltraVNC，或名為Pterodo/Pteranodon的定制惡意軟件。烏克蘭安全局(SSU)最近發布的一份報告指出，Shuckworm的攻擊最近變得越來越復雜，攻擊者現在使用遠程工具來竊取憑據并在受害者網絡上橫向移動。

Symantec觀察到Shuckworm組織針對烏克蘭實體的活動，活動從2021年7月14日開始，一直持續到2021年8月18日。研究人員在活動期間捕獲了7個Shuckworm在攻擊中常用的7-zip SFX自解壓二進制文件，并披露此次攻擊活動特點如下：

大多數URL C&C IP屬于SSU報告中列出的托管服務提供商的短名單，即AS9123 TimeWeb Ltd.（俄羅斯）
大多數發現的可疑C&C URL是基于IP的URL，并使用唯一的URI結構：

http + IP + /.php?=<1-integer>,<5-7-rand-alphanums>或

http + IP + /.php?=<1-integer>,<5-7-rand-alphanums>-<2-integer>

大多數可疑的惡意文件都可以在一個簡短的目錄列表中找到：

csidl_profile\links

csidl_profile\searches

CSIDL_PROFILE\appdata\local\temp\

CSIDL_PROFILE\

幾乎所有可疑的惡意文件都由以字母“d”開頭的單詞組成，少數由兩個單詞組成，中間用“-”隔開（第一個單詞也以“d”開頭）

deceive.exe

deceived.exe

deception.exe

deceptive.exe

decide.exe

decided.exe

decipher.exe

decisive.exe

deep-sunken.exe

deep-vaulted.exe

檢測到的命令行很簡單，只包含二進制路徑+名稱

自2014年以來，Shuckworm組織對1500多個烏克蘭政府系統進行了5000多次攻擊。正如Symantec最近對烏克蘭多家組織的Shuckworm攻擊未遂調查所證明的那樣，這一活動幾乎沒有減弱的跡象。

02 雙尾蝎組織新活動使用政治主題誘餌針對巴勒斯坦實體和活動家

披露時間：2022年02月02日

情報來源：https://blog.talosintelligence.com/2022/02/arid-viper-targets-palestine.html

相關信息：

Arid Viper（雙尾蝎）組織于2015年被首次披露，主要針對巴勒斯坦地區進行間諜及信息盜竊活動。Arid Viper組織并不以快速演變的TTP出名，該組織以桌面及移動平臺為目標，衍生了其主要惡意軟件Micropsia的Delphi、Python和Android版本。

Cisco Talos發現了自2017年以來使用Delphi惡意軟件的持續活動的新浪潮，并確認其背后的攻擊組織為Arid Viper。該組織在2021年10月左右開始的活動中使用了Micropsia植入物。活動使用政治主題的文件名和誘餌文件（土耳其國營通訊社Anadolu和巴勒斯坦MA'AN發展中心發布的內容）針對巴勒斯坦實體和活動家。最新迭代的植入物包含多種RAT和信息收集功能。

03 Charming Kitten武器庫更新，新增PowerShell后門

披露時間：2022年02月01日

情報來源：https://www.cybereason.com/blog/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage

相關信息：

近期，研究人員觀察到Phosphorus（又名Charming Kitten，APT35）APT組織的活動有所上升，此組織之前在2020年底攻擊了美國和以色列的醫學研究組織，并在2019年時針對美國、法國和中東地區的學術研究人員發起過攻擊。

研究人員發現了一個與Phosphorus組織有關的新型PowerShell后門，并將其稱為PowerLess后門。它支持下載額外的有效載荷，如一個鍵盤記錄器和一個信息竊取器。PowerShell代碼在.NET應用程序的上下文中運行，因此沒有啟動 "powershell.exe"，這使得它能夠逃避安全產品的檢測。另外，在此次活動中此組織為了使惡意軟件更具隱蔽性和有效性，將惡意軟件模塊化，多個階段解密和部署額外的有效載荷。

04 Gamaredon組織積極瞄準烏克蘭進行攻擊

披露時間：2022年02月03日

情報來源：https://unit42.paloaltonetworks.com/gamaredon-primitive-bear-ukraine-update-2021/

相關信息：

2022年1月14日，破壞性惡意軟件(WhisperGate)被發現駐留在烏克蘭政府的計算機內，同時October CMS中的一個漏洞被利用來破壞多個烏克蘭政府網站，雖然這些事件仍在調查中，與Gamaredon沒有已知的聯系，但是作為針對烏克蘭的最活躍的現有高級持續威脅之一，研究人員認為隨著沖突的發展，未來幾周將會有更多的惡意網絡活動。

Unit 42研究人員在監測過程中繪制了三個大型基礎設施集群，用于支持不同的網絡釣魚和惡意軟件目的，包括Gamaredon下載器基礎設施、文件竊取器基礎設施以及自定義遠程管理工具Pteranodon的C2基礎架構。這些集群鏈接到700多個惡意域、215個IP地址和100多個惡意軟件樣本。通過監控這些集群，研究人員觀察到2022年1月19日企圖入侵烏克蘭的一個西方政府實體。以及潛在的惡意軟件測試活動和涉及開源虛擬網絡計算(VNC)軟件的歷史技術的重用。

05 ACTINIUM組織針對烏克蘭攻擊活動分析

披露時間：2022年02月04日

情報來源：https://www.microsoft.com/security/blog/2022/02/04/actinium-targets-ukrainian-organizations/

相關信息：

2月4日，MSTIC共享了名為ACTINIUM的威脅組織的信息，該組織已經運行了近十年，并且一直在尋求訪問烏克蘭的組織或與烏克蘭事務相關的實體。MSTIC之前將ACTINIUM活動跟蹤為DEV-0157，該組織也被公開稱為Gamaredon。在過去六個月中，MSTIC觀察到ACTINIUM針對烏克蘭的組織，包括政府、軍隊、非政府組織(NGO)、司法機構、執法機構和非營利組織，其主要目的是泄露敏感信息、維護訪問權限和利用獲得的訪問權橫向進入相關組織。

ACTINIUM最常使用的訪問媒介之一是使用遠程模板的帶有惡意宏附件的魚叉式網絡釣魚電子郵件。釣魚附件包含一個第一階段的有效負載，用于下載和執行進一步的有效負載，包括嚴重混淆的VBScript、混淆的PowerShell命令、自解壓檔案、LNK文件或這些的組合。在初始訪問之后，MSTIC觀察到ACTINIUM部署了諸Pterod之類的工具來獲得對目標網絡的交互式訪問。UltraVNC的部署，以實現與目標的更具交互性的連接。UltraVNC是一個合法且功能齊全的開源遠程桌面應用程序，它允許ACTINIUM輕松與目標主機交互，而無需依賴可能被安全產品檢測和刪除的自定義惡意二進制文件。

06 Molerats使用新惡意軟件針對中東政府、外交以及航空實體

披露時間：2022年02月08日

情報來源：https://www.proofpoint.com/us/blog/threat-insight/ugg-boots-4-sale-tale-palestinian-aligned-espionage

相關信息：

2021年底，Proofpoint研究人員發現了一起攻擊活動，目標是中東的政府、外交機構以及國有航空公司。研究人員將這些活動歸于TA402，一個通常被追蹤為Molerats的威脅組織。TA402在此次攻擊活動中使用了新的惡意軟件NimbleMamba，該惡意軟件疑似為該組織之前使用的LastConn植入物的替代品，此次活動具有復雜的攻擊鏈，攻擊者利用了地理圍欄和URL重定向到合法站點，來繞過安全檢測。

07 Kimsuky利用Gold Dragon后門攻擊韓國組織

披露時間：2022年02月08日

情報來源：https://asec.ahnlab.com/en/31089/

相關信息：

近日，ASEC公開了APT組織Kimsuky近期活動的細節。Kimsuky是東亞地區的黑客組織，也稱為TA406，自2017年以來一直參與網絡間諜活動。此次活動開始于2022年1月24日，目前仍在進行中。Kimsuky使用xRAT（基于Quasar RAT的開源RAT）和Gold Dragon的新變體對韓國的組織進行有針對性的攻擊。此外，研究人員稱郵件附件仍是Kimsuky分發惡意軟件的主要渠道，因此建議用戶不要打開未知來源的郵件。

08 透明部落與南亞其他APT組織的宏代碼相似性分析

披露時間：2022年02月09日

情報來源：https://blog.talosintelligence.com/2022/02/whats-with-shared-vba-code.html

相關信息：

2021年6月，在跟蹤Transparent Tribe活動中，Talos研究人員發現了一種未知的RAT，并根據PDB將其命名為“SDuser”樣本。很快，研究人員發現SDuser樣本包含的VBA代碼與Transparent Tribe VBA代碼存在相似之處，但與Donot VBA代碼之間的相似性也較強。但多種機器算法（NCD、Jaccard、Winnowing、Difflib）結果表明，SDuser與Transparent Tribe代碼存在明顯重疊；Donot與Hangover代碼存在明顯重疊；SDuser與Hangover代碼重疊較少。通過客觀的代碼相似性檢測方法確認了人眼容易看到的代碼重用。

兩個不同的威脅組織可能在他們的攻擊中使用相同來源的代碼，這意味著他們的攻擊會顯示出相似性，盡管是由不同的團體進行的。假旗行動在戰爭中很常見，即一方模仿對手的TTP，以虛假地歸因于他們的活動，提高行動的成功率。這在網絡威脅參與者中也很常見，例如Olympic Destroyer等，而且未來可能會繼續下去。

攻擊行動或事件情報

01 Operation EmailThief：攻擊者利用Zimbra零日XSS漏洞竊取電子郵件

披露時間：2022年02月03日

情報來源：https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/

相關信息：

近日，研究人員發現有攻擊者試圖利用Zimbra電子郵件平臺中的零日跨站腳本（XSS）漏洞。Zimbra是一個開源的電子郵件平臺，通常被企業用作微軟Exchange的替代品。研究人員將此次活動背后的組織稱為"TEMP_Heretic"，并將此次活動命名為EmailThief。

此次活動由兩個明確的部分組成。第一個部分的任務是偵察，以找到可能打開釣魚電子郵件的人。攻擊者使用這種方法以剔除無效的和無反應的接收者。偵察郵件正文中包含嵌入式遠程圖像，不包含任何惡意鏈接。圖像的URL對每個人都是獨一無二的，使攻擊者能夠確定電子郵件地址的有效性，并確定哪些賬戶更有可能打開釣魚郵件信息。第二部分只發送給在第一部分中被認為有可能打開此類郵件的收件人。這部分活動分四波進行，分別在2021年12月16日、23日、24日和27日發出。

這些魚叉式釣魚活動基本上是通用的，而且大多以假期活動為主題，聲稱來自各航空公司或亞馬遜。攻擊者將鏈接嵌入到其控制的基礎設施。受害者點擊惡意鏈接后，攻擊者的基礎設施將試圖重定向到該組織的Zimbra網絡郵件主機上的一個頁面，此頁面利用了一個零日漏洞。此頁面允許攻擊者在登錄Zimbra會話的情況下，將任意的JavaScript加載到頁面。

02 Roaming Mantis惡意活動攻擊歐洲用戶

披露時間：2022年02月07日

情報來源：https://securelist.com/roaming-mantis-reaches-europe/105596/

相關信息：

Roaming Mantis是一種針對Android設備并通過smishing傳播移動惡意軟件的惡意活動。Kaspersky研究人員觀察到Roaming Mantis在2021年的一些新活動，攻擊者使用了一種名為Wroba的木馬來攻擊法國和德國的用戶。此次活動通過短信發送偽裝成發貨信息的惡意鏈接，將目標重定向到竊取Apple登錄憑證的釣魚頁面。

在2020年到2021年期間，RoamingMantis在腳本中使用了各種混淆技術來逃避檢測。除了混淆之外，登錄頁面還會在非目標區域阻止來自源IP地址的連接，并僅顯示這些連接的虛假“404”頁面。自2019年以來，登錄頁面中的用戶代理檢查功能未更改；它通過用戶代理評估設備，如果設備基于iOS，則重定向到網絡釣魚頁面，或者如果設備基于Android，則傳遞惡意APK文件。

惡意代碼情報

01 Mac木馬的進化：UpdateAgent惡意軟件分析

披露時間：2022年02月02日

情報來源：https://www.microsoft.com/security/blog/2022/02/02/the-evolution-of-a-mac-trojan-updateagents-progression/

相關信息：

UpdateAgent的獨特之處在于其對持久性技術的逐步升級，這一關鍵特性表明該木馬可能會在未來的活動中繼續使用更復雜的技術。與在其他平臺上發現的許多信息竊取程序一樣，該惡意軟件試圖滲透macOS機器以竊取數據，并且它與其他類型的惡意負載相關聯，從而增加了設備上多次感染的機會。

該木馬很可能通過路過式下載或廣告彈出窗口進行傳播，它們冒充視頻應用程序和支持代理等合法軟件。這種冒充合法軟件或將自身與合法軟件捆綁在一起的行為增加了用戶被誘騙安裝惡意軟件的可能性。安裝后，UpdateAgent開始收集系統信息，然后將這些信息發送到其命令和控制(C2)服務器。

02 Koxic勒索軟件深度分析

披露時間：2022年02月03日

情報來源：https://blog.cyble.com/2022/02/03/koxic-ransomware-deep-diveanalysis/

相關信息：

Koxic勒索軟件首先嘗試使用GetSystemInfo()API獲取系統信息，該API會提取ProcessorType、NumberOfProcessors等信息。接著添加/修改指定注冊表值，幫助攻擊者設置遠程桌面服務設置、禁用WindowsDefender功能、刪除安全和維護圖標以及禁用通知和操作中心。

該惡意軟件還使用vssadmin刪除卷影副本，并在開始加密之前禁用MSSQLServerOLAPService、MongoDB和SQLWrite等數據庫應用程序。然后執行一個自定義的解密邏輯來獲取贖金票據的名稱，并會調用以下API來獲取支持加密過程的系統權限。最后竊取敏感的系統信息并將其寫入TEMP文件夾中名為“MOJPMLVBJ”的文件中。

03 TargetCompany勒索軟件深入分析

披露時間：2022年02月07日

情報來源：https://decoded.avast.io/threatresearch/decrypted-targetcompany-ransomware/

相關信息：

近日，研究人員發現了一起惡意活動。自2022年1月25日起，就有受害者遭到了勒索軟件的攻擊，分析后發現是TargetCompany勒索軟件。

TargetCompany勒索軟件在執行時首先為其進程分配SeTakeOwnershipPrivilege和SeDebugPrivilege權限，并刪除一些特殊文件的執行選項，如vssadmin.exe、wmic.exe。然后移除所有使用"%windir%\sysnative\vssadmin.exe delete shadows /all /quiet"命令的驅動器上的卷影副本，重新配置啟動選項。最后禁止一些有價值的進程，如數據庫。

在準備工作完成之后，使用GetLogicalDrives()Win32 API獲得系統中所有邏輯驅動器的位掩碼。如果該驅動器是有效的，則對該驅動器進行加密。然后在每個驅動器中填入贖金說明文件（RECOVERY INFORMATION.txt）。所有工作完成之后，進行加密。為了保持被感染的電腦正常工作，TargetCompany避免對某些文件夾和文件類型進行加密。TargetCompany勒索軟件為每個文件生成一個加密密鑰。文件被加密后，密鑰由Curve25519橢圓曲線和AES-128的組合來保護，并附加到文件的末尾。

漏洞相關情報

01 微軟補丁通告：2022年2月版

披露時間：2022年02月08日

情報來源：https://www.zerodayinitiative.com/blog/2022/2/8/the-february-2022-security-update-review

相關信息：

2022年2月，微軟共發布了51個新補丁，本月早些時候微軟Edge (Chromium) 修復了另外19個CVE，因此微軟本月共修復了70個CVE。值得注意的漏洞如下：

(1) CVE-2022-21984：Windows DNS 服務器RCE漏洞

該補丁修復了位于微軟 DNS 服務器中的一個遠程代碼執行漏洞。只有啟用動態更新時，服務器才會受影響，不過啟用動態更新是相對常見的配置。如果環境中具有該設置，攻擊者可完全接管DNS并以提升后的權限執行代碼。由于動態更新并非默認啟用，因此該漏洞并非“嚴重“級別。然而，如果你的DNS服務器確實使用動態更新，則應將該漏洞視為”嚴重“級別。

(2) CVE-2022-23280：Mac 版微軟 Outlook 安全特性繞過漏洞

該 Outlook 漏洞可導致鏡像自動出現在 Preview Pane 中，即使該選項被禁用也不例外。利用該漏洞將僅暴露目標的IP信息。然而，可組合利用影響鏡像渲染的其它漏洞實現遠程代碼執行。如果你使用的是 Mac 版本的 Outlook，則應仔細檢查確保所用版本已更新至不受影響的版本。

(3) CVE-2022-21995：Windows Hyper-V 遠程代碼執行漏洞

該漏洞修復了位于 Hyper-V 服務器中的 guest-to-host 逃逸漏洞。微軟將該漏洞的CVSS 利用復雜度評級為“高“，表示攻擊者”必須準備目標環境，改進利用可靠性“。由于大多數exploit均為這種情況，因此尚不清楚該漏洞的不同之處在哪。如果在企業中使用了 Hyper-V 服務器，則建議將其視作”嚴重“級別。

(4) CVE-2022-22005：微軟 SharePoint 服務器遠程代碼執行漏洞

該補丁修復了 SharePoint Server 中的一個漏洞，它可導致認證用戶在SharePoint Web Application 服務賬號的上下文和權限下在服務器上執行任意 .NET 代碼。攻擊者需要 “Manage Lists” 權限利用該漏洞，在默認情況下認證用戶可創建自己的站點并且在本案例中，用戶將成為站點所有人并具有所有必要權限。