每周高級威脅情報解讀(2022.01.27-02.03) - 網安 - 專業的網絡安全產業、社區、知識平臺

2022.01.27~02.03

攻擊團伙情報

Packer ？對抗？“透明部落”正在尋求CrimsonRAT的新出路
APT29攻擊活動中利用的新穎策略和技術分析MuddyWater 通過惡意 PDF、可執行文件針對土耳其用戶
Lazarus在最新活動中利用Windows Update客戶端和GitHub

攻擊行動或事件情報

關于Dridex銀行木馬的釣魚活動的分析
攻擊者利用設備注冊技巧通過橫向網絡釣魚攻擊企業
正在使用流氓 OAuth 應用程序接管 CEO 帳戶

惡意代碼情報

Vultur惡意軟件偽裝成2FA應用竊取用戶銀行信息AsyncRAT木馬利用新方式進行傳播
Chaes Banking 木馬通過惡意擴展劫持 Chrome 瀏覽器

漏洞情報

Polkit漏洞使非特權Linux用戶能夠獲得root權限
蘋果發布iOS和macOS更新修復了兩個零日漏洞

攻擊團伙情報

Packer ？對抗？“透明部落”正在尋求CrimsonRAT的新出路

披露時間：2022年1月29日

情報來源：https://mp.weixin.qq.com/s/epRGn7Tnzx6rXihYXIpIIg

相關信息：

Transparent Tribe（透明部落），是2016年2月被Proofpoint披露并命名的APT組織，也被稱為ProjectM、C-Major。該APT組織被廣泛認為來自南亞地區某國，并且與另一個由Paloalto Unit42團隊披露的Gogron Group存在一定的關系。

近日，奇安信威脅情報中心紅雨滴團隊在日常的威脅狩獵中捕獲了該組織多個Crimson RAT攻擊樣本。在此攻擊活動中，攻擊者使用圖片文件圖標用作惡意軟件圖標，誘使目標打開"圖片"查看，實則運行惡意軟件。當受害者點擊執行誘餌文件之后，將會在本地釋放一個壓縮包，并執行壓縮包內包含的Transparent Tribe組織的自有遠控軟件Crimson RAT。值得注意的是Transparent Tribe組織為了降低攻擊樣本的查殺率，對相關攻擊樣本進行了加殼處理。

APT29攻擊活動中利用的新穎策略和技術分

披露時間：2022年1月27日

情報來源：https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/

相關信息：

供應鏈入侵是影響一系列部門的日益嚴重的威脅，威脅參與者利用訪問權限來支持多種動機，包括經濟利益（例如 Kaseya 勒索軟件攻擊）和間諜活動。整個 2020 年，美國政府對俄羅斯聯邦外國情報局 (SVR)進行了一項行動，以獲取 SolarWinds IT 管理軟件的更新機制，并利用它來擴大其情報收集能力。該活動被 CrowdStrike研究人員跟蹤為 StellarParticle 活動，并與APT29 COZY BEAR組織相關聯。

研究人員對于 StellarParticle 活動利用的新穎策略和技術進行了分析。這些技術包括：

1. 用于掩蓋橫向移動的憑證跳躍

2. Office 365 (O365) 服務主體和應用程序劫持、模擬和操縱

3. 竊取瀏覽器 cookie 以繞過多因素身份驗證

4. 使用TrailBlazer植入程序和GoldMax惡意軟件的 Linux 變種

5. 使用 Get-ADReplAccount 竊取憑據

下圖為憑證跳躍技術示例：

MuddyWater 通過惡意 PDF、可執行文件針對土耳其用戶

披露時間：2022年1月31日

情報來源：https://blog.talosintelligence.com/2022/01/iranian-apt-muddywater-targets-turkey.html

近日，Cisco Talos 研究人員觀察到一項針對土耳其私人組織和政府機構的新活動，并將其歸因于 MuddyWater ——美國網絡司令部最近將其歸于伊朗情報與安全部 (MOIS) 的 APT 組織。

該活動利用惡意 PDF、XLS 文件和 Windows 可執行文件將基于 PowerShell 的惡意下載器部署為目標企業的初始立足點。MuddyWater 使用基于腳本的組件（例如基于 PowerShell 的混淆下載器）也是美國網絡司令部 2021 年 1 月的公告中描述的一種策略。

在本次攻擊活動中，MuddyWater還利用金絲雀令牌來跟蹤目標的成功感染，這是該組織新利用的TTP。這種在此活動中利用金絲雀令牌的特定方法也可能是規避基于沙盒的檢測系統的一種措施。

Lazarus在最新活動中利用Windows Update客戶端和GitHub

披露時間：2022年1月27日

情報來源：https://blog.malwarebytes.com/threat-intelligence/2022/01/north-koreas-lazarus-apt-leverages-windows-update-client-github-in-latest-campaign/

相關信息：

Lazarus Group 是自 2009 年以來一直活躍的最復雜的朝鮮 APT 之一。該組織過去曾對許多高調的攻擊負責，并獲得了全世界的關注。Malwarebytes 威脅情報團隊正在積極監控其活動，并能夠在 2022 年 1 月 18 日發現新的活動。

在這次活動中，Lazarus 進行了魚叉式網絡釣魚攻擊，這些攻擊使用了使用其已知工作機會主題的惡意文檔作為武器，包括兩份偽裝成美國全球安全和航空航天巨頭洛克希德馬丁公司的誘餌文件。

研究人員分享了對這一最新攻擊的技術分析，包括巧妙地使用 Windows Update 來執行惡意負載，以及將 GitHub 作為命令和控制服務器。我們報告了惡意 GitHub 帳戶的有害內容。

攻擊行動或事件情報

關于Dridex銀行木馬的釣魚活動的分析

披露時間：2022年1月28日

情報來源：https://mp.weixin.qq.com/s/fXggBsgYzWJVXV_2eSr_tg

相關信息：

此次釣魚活動，TA575組織使用具有Excel 4.0宏的文檔作為附件，釋放并運行HTA文件，對其存放于Discord、Dropbox和OneDrive等社交和文件云存儲平臺中的惡意樣本實現下載。此外，由于HTA文件代碼中存在一個域控環境的判斷，因此本次釣魚活動只針對處于域控環境下的終端系統。在整個攻擊過程中，攻擊者使用了混淆、宏代碼隱藏、加密和異常處理等形式來對抗分析和檢測。分析發現，下載至目標環境中的惡意樣本實質是Dridex銀行木馬的裝載器，功能為獲取目標系統基本信息、連接C2并回傳、獲取P2P節點列表、參與構建僵尸網絡、獲取后續模塊和實現竊密或勒索等。由此可以看出，一旦用戶被植入該銀行木馬，將面臨敏感信息外泄和勒索導致系統故障的安全威脅。

攻擊者利用設備注冊技巧通過橫向網絡釣魚攻擊企業

披露時間：2022年1月26日

情報來源：https://www.microsoft.com/security/blog/2022/01/26/evolved-phishing-device-registration-trick-adds-to-phishers-toolbox-for-victims-without-mfa/

相關信息：

研究人員最近發現了一個大規模、多階段的活動，該活動通過將攻擊者操作的設備加入組織的網絡以進一步傳播活動，為傳統的網絡釣魚策略增加了一種新技術。

第一個活動階段涉及竊取主要位于澳大利亞、新加坡、印度尼西亞和泰國的目標組織的憑證。然后在第二階段利用被盜憑據，其中攻擊者使用受感染的帳戶通過橫向網絡釣魚以及通過出站垃圾郵件在網絡之外擴展其在組織內的立足點。

被攻擊者控制的設備連接到網絡將允許攻擊者秘密傳播攻擊并在整個目標網絡中橫向移動。雖然在這種情況下，設備注冊被用于進一步的網絡釣魚攻擊，但隨著其他用例的出現，設備注冊的利用正在增加。

攻擊者正在使用流氓 OAuth 應用程序接管 CEO 帳戶

披露時間：2022年01月27日

情報來源：https://www.proofpoint.com/us/blog/cloud-security/oivavoii-active-malicious-hybrid-cloud-threats-campaign

相關信息：

威脅分析師觀察到一個名為“OiVaVoii”的新活動，針對公司高管和總經理使用惡意 OAuth 應用程序和從被劫持的 Office 365 帳戶發送的自定義網絡釣魚誘餌。

OiVaVoii 活動背后的參與者至少使用了五個惡意 OAuth 應用程序，其中三個是由兩個不同的“經過驗證的發布者”創建的，這意味著該應用程序的所有者很可能是合法 Office 租戶中被盜用的管理員用戶帳戶。在其余兩個應用程序中，至少一個是由未經驗證的組織創建的，這可能意味著利用（第三個）被劫持的云環境或使用專門的惡意 Office 租戶。

攻擊者使用這些應用程序向目標組織的高級管理人員發送授權請求。在許多情況下，收件人接受了請求，沒有發現任何可疑之處。當受害者點擊接受按鈕時，攻擊者使用令牌從他們的帳戶向同一組織內的其他員工發送電子郵件

惡意代碼情報

Vultur惡意軟件偽裝成2FA應用竊取用戶銀行信息

披露時間：2022年01月27日

情報來源：https://blog.pradeo.com/vultur-malware-dropper-google-play

相關信息：

Pradeo 的研究人員發現了一個名為 2FA Authenticator 的惡意移動應用程序，該應用程序分布在 Google Play 上并有 10K+ 用戶安裝。網絡犯罪分子利用它在用戶的移動設備上秘密安裝惡意軟件，是一個用于在其用戶設備上傳播惡意軟件的 dropper。分析顯示，dropper 會自動安裝一個名為 Vultur 的惡意軟件，該惡意軟件針對金融服務竊取用戶的銀行信息。

AsyncRAT木馬利用新方式進行傳播

披露時間：2022年01月25日

情報來源：https://blog.morphisec.com/asyncrat-new-delivery-technique-new-threat-campaign

相關信息：

近期，研究人員發現了發現了一種新的、復雜的活動交付方式，它已成功地避開了許多安全供應商的雷達。攻擊者通過帶有 html 附件的簡單電子郵件網絡釣魚策略，提供 AsyncRAT（一種遠程訪問木馬），旨在通過安全、加密的連接遠程監控和控制受感染的計算機。

攻擊從包含偽裝成訂單確認收據（例如，Receipt-.html）的 HTML 附件的電子郵件消息開始。打開誘餌文件會將消息接收者重定向到提示用戶保存 ISO 文件的網頁。

最新的 RAT 活動巧妙地使用 JavaScript 從 Base64 編碼的字符串本地創建 ISO 文件并模仿下載過程。當受害者打開 ISO 文件時，它會自動掛載為 Windows 主機上的 DVD 驅動器，并包含一個 .BAT 或一個 .VBS 文件，該文件會繼續感染鏈以通過執行 PowerShell 命令檢索下一階段的組件。

這導致在內存中執行 .NET 模塊，該模塊隨后充當三個文件的釋放器（一個充當下一個文件的觸發器），最終交付 AsyncRAT 作為最終有效負載，同時還檢查防病毒軟件并設置Windows Defender 排除項。

Chaes Banking 木馬通過惡意擴展劫持 Chrome 瀏覽器

披露時間：2022年01月27日

情報來源：https://decoded.avast.io/anhho/chasing-chaes-kill-chain/

相關信息：

一場出于經濟動機的惡意軟件活動已經入侵了 800 多個 WordPress 網站，以提供一個名為Chaes的銀行木馬，針對 Banco do Brasil、Loja Integrada、Mercado Bitcoin、Mercado Livre 和 Mercado Pago 的巴西客戶。

Chaes 的特點是多階段交付，它利用 JScript、Python 和 NodeJS 等腳本框架、用 Delphi 編寫的二進制文件以及惡意的 Google Chrome 擴展，其最終目標是竊取存儲在 Chrome 中的憑據并攔截巴西流行銀行網站的登錄。

當用戶訪問其中一個受感染的網站時會觸發攻擊序列，然后會顯示一個彈出窗口，敦促他們安裝虛假的 Java Runtime 應用程序。如果用戶按照說明進行操作，惡意安裝程序將啟動復雜的惡意軟件交付例程，最終部署多個模塊。

漏洞相關

Polkit漏洞使非特權Linux用戶能夠獲得root權限

披露時間：2022年01月25日

情報來源：https://thehackernews.com/2022/01/12-year-old-polkit-flaw-lets.html

相關信息：

Polkit（以前稱為PolicyKit）是一個用于在類 Unix 操作系統中控制系統范圍權限的工具包，并為非特權進程與特權進程通信提供了一種機制。在該系統實用程序中披露了一個存在 12 年之久的安全漏洞，此漏洞允許任何非特權用戶通過在易受攻擊主機的默認配置中利用此漏洞來獲得對易受攻擊主機的完全 root 權限。

該漏洞被網絡安全公司 Qualys 稱為“PwnKit”，它影響了 polkit 中一個名為 pkexec 的組件，該程序默認安裝在每個主要的 Linux 發行版上，如 Ubunti、Debian、Fedora 和 CentOS。

蘋果發布iOS和macOS更新修復了兩個零日漏洞

披露時間：2022年01月26日

情報來源：https://mp.weixin.qq.com/s/faMOI5C3H1Eu_61LYBJLBg

相關信息：

Apple解決的零日漏洞之一（編號為 CVE-2022-22587）是內存損壞問題，位于 IOMobileFrameBuffer 中并影響 iOS、iPadOS 和 macOS Monterey。

利用此漏洞會導致在受感染設備上以內核權限執行任意代碼。該公司通過改進輸入驗證來解決該缺陷。該漏洞影響 iPhone 6s 及更新機型、iPad Pro（所有型號）、iPad Air 2 及更新機型、iPad 第 5 代及更新機型、iPad mini 4 及更新機型以及 iPod touch（第 7 代）。

第二個零日漏洞，編號為 CVE-2022-22594，是一個影響 iOS 和 iPadOS 的 Safari WebKit 問題。由于這個缺陷，網站可以實時跟蹤用戶的瀏覽活動和身份。

此漏洞影響 iPhone 6s 及更新機型、iPad Pro（所有型號）、iPad Air 2 及更新機型、iPad 第 5 代及更新機型、iPad mini 4 及更新機型以及 iPod touch（第 7 代）。