2021.02.04~02.11
攻击团伙情报
2021年1月南亚地区APT组织攻击活动总结分析
伊朗APT组织美人鱼再度来袭
魔罗桫组织新一轮对南亚军工企业的窃密攻击
Domestic Kitten组织(APT-C-50)针对中东地区的监控活动仍在继续
连续六年针对意大利军工的APT组织TH-261浮出水面
攻击行动或事件情报
Hildegard:针对Kubernetes的新TeamTNT恶意软件
Excel电子表格推送SystemBC恶意软件
恶意代码情报
Zeoticus 2.0 | 无需C2的勒索软件
Osiris银行木马持续性针对德国IP地址
漏洞情报
Microsoft IE远程命令执行在野 0day 漏洞通告
WordPress文件管理器RCE漏洞在野外的利用 (CVE-2020-25213)
其他
全球高级持续性威胁(APT)2020年度报告
攻击团伙情报
2021年1月南亚地区APT组织攻击活动总结分析
披露时间:2021年02月08日
情报来源:https://mp.weixin.qq.com/s/GM3vidWaKRpiAg3y5ScyYg
相关信息:
南亚地区一直以来便是APT 组织攻击活动的热点区域。从 2013 年 5月 国外安全公司披露 Hangover 行动(即摩诃草组织)以来,先后出现了多个不同命名的 APT 组织在该地域持续性的活跃,并且延伸出错综复杂的关联性,包括摩诃草、蔓灵花、肚脑虫、魔罗桫、响尾蛇等。
造成归属问题的主要因素是上述 APT 活动大多使用非特定的攻击载荷和工具,脚本化和多种语言开发的载荷往往干扰着归属分析判断,包括使用.Net、Delphi、AutoIt、Python 等。但从历史攻击活动来看,其也出现了一些共性:
• 同时具备攻击 PC 和智能手机平台能力;
• 巴基斯坦是主要的攻击目标,部分组织也会攻击中国境内;
• 政府、军事目标是其攻击的主要目标,并且投放的诱饵文档大多也围绕该类热点新闻,如克什米尔问题。
2021年开年仅一个月,奇安信威胁情报中心红雨滴团队便多次捕获到该地区APT组织攻击活动。
伊朗APT组织美人鱼再度来袭
披露时间:2021年02月08日
情报来源:https://research.checkpoint.com/2021/after-lightning-comes-thunder/
相关信息:
作为伊朗老牌APT组织,美人鱼(Infy)的攻击活动最早可追溯到2007年,至今已活跃了13余年。Infy的主要攻击目标是伊朗周边的政客,包括波斯媒体、丹麦外交部等。种种迹象表明,Infy似乎与伊朗电信公司有着千丝万缕的联系。
近日,CheckPoint披露了该组织使用的Foudre组件有所更新。Tonnerre 和 Foudre 是美人鱼(Infy)在Windows平台上所使用的两款窃密软件。新版本的Foudre会在受害者关闭文档后运行一个宏,而不是像以前一样让受害者单击看似视频的链接。
Tonnerre用于扩展Foudre的功能,可能会确保仅在需要时才部署它,这可能有助于其逃避检测。像Foudre一样,它是用Delphi编写的。其功能包括:
• 从预定义的文件夹以及外部设备中窃取文件;
• 从执行C2命令(录音和拍摄画面)。
这次,美人鱼(Infy)使用了波斯的宏嵌入文档,这些文档引用了伊朗的政客和组织。在针对性攻击中,CheckPoint仅观察到几十个受害者。受害者来自多个国家,例如伊拉克(1个受害者),阿塞拜疆(1个受害者),英国(1个受害者),俄罗斯(1个受害者),罗马尼亚(1个受害者),德国(1个受害者),加拿大(1个受害者),土耳其(3名受害者),美国(3名受害者),荷兰(4名受害者)和瑞典(6名受害者)。
魔罗桫组织新一轮对南亚军工企业的窃密攻击
披露时间:2021年02月06日
情报来源:https://mp.weixin.qq.com/s/fsesosMnKIfAi_I9I0wKSA
相关信息:
近期,深信服团队监测到“魔罗桫”组织针对南亚军工企业的攻击活动。该组织利用诱饵文档“China Cruise Missiles Capabilities-Implications for the Indian Army.docx”。
经过深入追踪,文档内容摘抄自印度的orfonline站点,里面包含了英文的导弹技术报告,意在瞄准军工企业。受害者打开文档后,会触发office公式编辑器漏洞,进而下载执行恶意软件Warzone RAT,实现长期控制主机和窃密敏感资料的目的。
研究人员从技术等多维度对比了该组织上一次利用热门话题的攻击活动发现,本次攻击依然沿用了军事话题诱饵文档+漏洞利用+伪装微软域名+商业木马的攻击套路。
Domestic Kitten(APT-C-50)组织针对中东地区的监控活动仍在继续
披露时间:2021年02月08日
情报来源:https://research.checkpoint.com/2021/domestic-kitten-an-inside-look-at-the-iranian-surveillance-operations/
相关信息:
Domestic Kitten(APT-C-50)运动自2016年以来一直在开展,重点是针对库尔德伊朗公民的手机,ISIS支持者以及其他对伊朗政权稳定的威胁。
近日,CheckPoint披露了由该组织发起的Modus Operandi攻击活动,在这些活动中,诱使受害者通过多种媒介诱骗安装恶意应用程序,包括伊朗博客网站,电报频道,甚至是带有指向恶意应用程序链接的SMS。
在最新的活动中,APT-C-50模仿了位于德黑兰的“Mohsen Restaurant”的申请。“mmh”广告系列的封面包括ISIS支持者应用程序和Google Play的“Exotic Flowers”的重新打包版本。其向一个受害者提供FurBall应用程序的方法也各不相同。例如带有下载恶意软件链接的SMS消息,博客站点托管的有效负载以及在Telegram频道中共享应用程序等。
截止报告发布前,该活动已针对1,200多人,成功感染了600多次。CheckPoint确定了来自全球不同国家的Domestic Kitten行动的受害者,包括伊朗(251位受害者),美国(25位受害者),英国(3位受害者),巴基斯坦(19位受害者),阿富汗(8位受害者),土耳其(1名受害者)和乌兹别克斯坦(2名受害者)。
连续六年针对意大利军工的APT组织TH-261浮出水面
披露时间:2021年02月04日
情报来源:https://yoroi.company/research/connecting-the-dots-inside-the-italian-apt-landscape/
相关信息:
2020年12月,国外安全厂商披露了全球军工五百强的意大利LeonardoSpA(前芬梅卡尼卡集团)被黑客入侵的事件。根据资料显示,针对意大利军工的APT攻击最早可以追溯到2015年,其中针对Leonardo的攻击大约已经持续了两年。
根据意大利警方披露的少量信息和安全人员收集的与入侵有关的恶意软件样本,Yoroi将该组织命名为TH-261.通过收集并对比分析从2015年以来的样本,Yoroi综合了部分TTP并认为该APT组织至少属于中等梯队。
攻击行动或事件情报
Hildegard:针对Kubernetes的新TeamTNT恶意软件
披露时间:2021年02月03日
情报来源:https://unit42.paloaltonetworks.com/hildegard-malware-teamtnt/
相关信息:
今年年初研究人员发现,TeamTNT僵尸网络窃取Docker证书的能力得到了改进。一月底,该团伙通过实现开源检测规避能力,改进了其Linux加密货币矿机。TeamTNT僵尸网络是一种加密挖矿恶意软件操作,自2020年4月以来一直处于活动状态,目标是安装Docker。
去年8月,研究人员发现该僵尸网络也可以针对配置错误的Kubernetes进行部署。一旦感染了运行在AWS服务器之上的Docker和Kubernetes系统,该僵尸网络就会扫描/.aws/credentials和/.aws/config,即AWS CLI在未加密文件中存储凭证和配置详细信息的路径。
Excel电子表格推送SystemBC恶意软件
披露时间:2021年02月03日
情报来源:https://isc.sans.edu/diary/27060
相关信息:
2021年2月1日,国外安全研究员在沙箱中发现了一例通过GlobalSign模板下载SystemBC的Excel样本。
此类样本主要通过电子邮件进行传播,攻击者会将宏代码利用的Excel文件打包成zip并作为邮件附件发送到受害者的邮箱。当受害者解压附件打开Excel文件并启用宏,宏代码将会通过HTTPS下载并运行SystemBC加载器。当SystemBC加载起来之后,会请求并下载CobaltStrike恶意组件并运行,以实现对受害者主机的完全控制。
恶意代码情报
Zeoticus 2.0 | 无需C2的勒索软件
披露时间:2021年02月03日
情报来源:https://labs.sentinelone.com/zeoticus-2-0-ransomware-with-no-c2-required/
相关信息:
Zeoticus勒索软件于2020年初首次在各种地下论坛和市场上出售。最初,勒索软件是作为完整的定制版本提供的,但未公开费用。勒索软件当前特定于Windows,并且据开发人员称,可在所有“受支持的Windows版本”上运行。和其他的恶意软件不同,Zeoticus没有连接需求,它可作为独立的组件完全脱机运行。从2020年底到2021年初,该供应商一直在维护和提供Zeoticus服务的更新。2020年12月,在野外观察并报告了Zeoticus 2.0样品。Zeoticus2.0版本更新了加密算法,提升了勒索软件的执行速度和加密效率,使得文件更难被解密。
Osiris银行木马持续性针对德国IP地址
披露时间:2021年02月08日
情报来源:https://blog.morphisec.com/long-live-osiris-banking-trojan-targets-german-ip-addresses
相关信息:
2021年1月15日至20日,Morphisec发现了一起针对德国制造业的攻击活动。受害者会被重定向到受感染的网站,这些网站可以提供高级的无文件下载器,最终将Osiris客户端与捆绑的mini-Tor进行通信,并与C2洋葱Tor面板进行通信。
经过进一步调查并与社区共享了一些TTP,Morphisec发现了其他目标国家,例如美国和韩国,这些国家使用报告中所述的相同交付机制交付了REvil和其他有效载荷。其攻击链包括五个主要阶段:
• 来自受感染站点的混淆Javascript下载器;
• 第二阶段Javascript下载程序,负责持久性;
• Javascript执行的Powershell导致反射性加载下一个.NET文件;
• 一个无文件的.NET加载程序,它从注册表中映射并解码为一个新的.NET镂空的内存中可执行文件,该文件负责将Osiris木马镂空为合法的Windows进程;
• Osiris借助mini-Tor捆绑包连接到其C2。
漏洞情报
Microsoft IE远程命令执行在野 0day 漏洞通告
披露时间:2021年02月06日
情报来源:https://mp.weixin.qq.com/s/T5rg3B6RFd63iWHqKFlhXg
相关信息:
2021年2月4日,奇安信威胁情报中心监测到一个IE浏览器的漏洞信息,通过发送MHTML文件诱导目标人员点击并触发后续的Interne Explorer 浏览器相关0day漏洞,以此获取攻击者机器的控制权。
奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞并确认该漏洞存在,鉴于该漏洞目前处于无补丁的0day状态,已构成现实的威胁。奇安信威胁情报中心提醒IE浏览器用户谨慎打开来历不明的文件和链接,暂时使用Chrome、Firefox等浏览器以避免受此漏洞影响。
WordPress文件管理器RCE漏洞(CVE-2020-25213)在野利用
披露时间:2021年02月05日
情报来源:https://unit42.paloaltonetworks.com/cve-2020-25213/
相关信息:
该漏洞源于WordPress File Manager插件将elFinder库的connector. minimal. php. dist文件上的文件扩展名重命名为.php,因此可以直接执行。由于此文件没有访问限制,因此任何浏览Web服务器的人都可以执行该文件。
该文件包含无需任何身份验证即可将文件上传到Web服务器的机制。由于存在这一缺陷,允许任何人上传文件,恶意行为者开始对其进行攻击并上传web外壳,这些外壳可用于进一步的活动,例如安装恶意软件或加密矿工。
其他
全球高级持续性威胁(APT)2020年度报告
披露时间:2021年02月07日
情报来源:https://mp.weixin.qq.com/s/V7Zx-5gFddg-g8lqtAOnNw
相关信息:
2020 年,奇安信威胁情报中心收录了高级威胁类公开报告共 642 篇,涉及了 151 个命名的攻击组织或攻击行动,其中,提及率最高的五个 APT 组织分别是:Lazarus:10.3%,Kimsuky:7.8%,海莲花:5.4%,Darkhotel:4.8%,蔓灵花:3.2%。
本次报告对开源情报中高级威胁活动涉及目标的国家和地域分布情况进行了分析和整理,监测显示高级威胁攻击活动几乎覆盖了全球绝大部分国家和地区。其中,开源情报中提及率最高的五个受害国家,分别为:中国占比 7.4%,韩国:6.6%,美国:4.9%,巴基斯坦:3.2%,印度:3.2%。
中国首次超过美国、韩国、中东等国家和地区,成为全球 APT 攻击的首要地区性目标。
医疗卫生行业史上首次超过政府、金融、国防、能源、电信等领域,成为全球 APT 活动关注的首要目标。
