记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

安全威胁情报周报(10.18-10.24)

2021-10-25 01:43


一周威胁情报摘要

威胁趋势

  • 以色列”飞马“间谍软件暴露新冠病毒的源头信息

  • 重塑未来商业模式的七大技术趋势(见PDF)

金融威胁情报

  • MirrorBlast 活动:疑似伊朗威胁组织部署武器化文档针对金融组织展开攻击

  • 新兴威胁组织 EICAR Group 针对证券金融行业展开定向攻击(见PDF)

  • 印度尼西亚银行 Bank Jatim 疑似数据发生泄露,378GB数据被售卖(见PDF)

  • 黑客利用多阶段 RAT 针对印度银行和金融公司展开攻击(见PDF)

政府威胁情报

  • 新兴威胁组织 Harvester 使用新工具集瞄准南亚政府部门窃取信息

  • 阿根廷政府机构 RENAPER 遭到攻击,公民数据疑似全部泄露(见PDF)

能源威胁情报

  • 南亚威胁组织 BITTER 针对军工、能源等行业展开攻击

工控威胁情报

  • Thingiverse  3D 打印机被曝存在安全漏洞,超200万人面临数据泄露风险

流行威胁情报

  • 中国辽宁省 6431 家食品企业的注册信息遭到大规模泄露

  • 这种新型免杀木马未来可能会在攻防对抗中广泛使用,警惕!

高级威胁情报

  • TA551 使用红队工具“SLIVER”展开新攻击(见PDF)

  • FIN7 威胁组织打着渗透测试的幌子开展勒索攻击(见PDF)

  • 威胁组织 ”lone wolf“ 利用 Office 漏洞瞄准阿富汗和印度组织展开攻击

  • Lyceum 威胁组织回归,矛头直指突尼斯(见PDF)

漏洞情报

  • 中兴 MF971R LTE 路由器被曝存在多个漏洞

勒索专题

  • 美国电视台运营商 Sinclair 遭到勒索软件攻击,网络出现大规模瘫痪(见PDF)

  • REvil 勒索软件组织在 Tor 站点遭到入侵后,再次“销声匿迹”

  • BlackByte 免费解密器发布,你还需要缴纳巨额赎金吗?(见PDF)

  • 新型勒索软件 Yanluowang 针对企业实体发起攻击(见PDF)

  • 以色列医院遭到勒索软件攻击,暂停非紧急程序(见PDF)

钓鱼专题

  • 谨防伪装成报价请求的钓鱼邮件!

注:由于篇幅限制,仅精选部分发布,公众号后台回复 “1024” 获取完整版 PDF 阅读。


威胁趋势


以色列”飞马“间谍软件暴露新冠病毒的源头信息

  Tag:飞马,间谍软件,以色列,新冠病毒

事件概述:
国庆假期后,新冠疫情又有爆发之势,而追根溯源2019年世界新冠病毒蔓延的源头在哪里?种种外媒曾将矛头直指中国等国家,谎言仿佛主宰了互联网的每个角落,但“事实”真的就如外媒所说吗?近日,暗网的一桩交易戳破了这一谣言,将矛头指向了美国。暗网上名为“AngelTRUMP”(天使特朗普)黑客以两个比特币的价格出售了由以色列情报机构控制的间谍软件“飞马”的数据库,该数据库包含美国士兵的通话记录信息。并且报告指出曾有人购买了该数据库,并调出了与新冠病毒传播有关的通话记录,这些通话记录了2019年10月中国武汉军运会期间(美)联邦士兵及其家人感染的详细情况,包括士兵的姓名和手机号码。某厂商研究人员曾试图联系数据库中记录的那些士兵,并核实他们在日志中提到的症状,但被陆军信息官员阻止,(美国)这些行为疑似在试图掩盖数据库中记录的内容。由于以色列曾被指控使用“飞马”程序通过零点击 iMessage 漏洞监控不同国家的数百万领导人和政府官员,研究人员表示相信这些记录的真实性,而且这些通话记录至少证实了在武汉发现新冠病毒以及美国士兵参加第七届世界军人运动会之前,新冠病毒就已经在美国传播。

 

来源:

https://mp.weixin.qq.com/s/nmmNFSnR9C_1ncPySsBjZQ


金融威胁情报


MirrorBlast 活动:疑似伊朗威胁组织部署武器化文档针对金融组织展开攻击

  Tag:MirrorBlast,网络钓鱼,伊朗,Excel

事件概述:
近日,外媒指出疑似伊朗威胁组织 TA505 部署武器化 Excel 文档针对金融组织开展新的网络钓鱼活动 。该活动又被称为 MirrorBlast 活动,其显著特点是恶意文档的检测率很低,几乎实现了 VirusTotal 的零检测。

技术详情:
攻击者会通过诱骗受害者打开恶意文档“启用内容”来启用恶意宏,恶意宏首先会执行沙箱检查,判断计算名称是否是用户域,用户名是否为“admin”或“administrator”,如果判断不是在沙箱环境内部,恶意宏便执行 JScript 脚本。该脚本会下载包含 REBOL 和 KiXtart 编写的两种变体的 MSI 软件包。
关联归因:
  • TA505 组织使用 Excel 文档开展恶意邮件攻击活动具有悠久的历史;

  • 感染链的相似性;

  • OneDrive  的滥用;

  • 域名命名方法的特殊性;

  • 以及指向 TA505 发起的2020年攻击活动的存在的 MD5 校验不匹配等。

来源:

https://www.bleepingcomputer.com/news/security/russian-cybercrime-gang-targets-finance-firms-with-stealthy-macros/


政府威胁情报


新兴威胁组织 Harvester 使用新工具集瞄准南亚政府部门窃取信息

  Tag:Harvester,APT,南亚,间谍活动

事件概述:
赛门铁克于近日披露了一个主要针对南亚阿富汗地区组织进行间谍活动的新兴威胁组织 Harvester。该组织最近一次活动发生在 2021 年 10 月,通过部署新的工具集针对 IT、电信和政府展开攻击活动。在今年 6 月份,该组织还曾同时使用自定义恶意软件和公开可用的工具展开攻击。
目前,赛门铁克并没有将 Harvester 组织归因到特定的国家背景,但该组织使用的战术和工具都表明该组织是一个具有国家背景的威胁组织。
技术详情:

攻击者通过在受害者机器上部署自定义后门 Graphon 获取受害者主机的访问权限,并借助 CloudFront 和 Microsoft 基础设施与C2进行通信,隐藏恶意通信流量。攻击者还会在受害者内部部署自定义的屏幕截图工具监视用户活动和窃取信息,并将收集到的信息通过加密、zip 压缩渗漏。

来源:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/harvester-new-apt-attacks-asia

微步点评:
1、简单画像
名称
Harvester
动机
信息窃取
背景
国家背景
目标国家
阿富汗、南亚等地区
2、威胁组织工具
  • Backdoor.Graphon - 使用 Microsoft 基础架构进行 C&C 活动的自定义后门;
  • 自定义下载器 - 使用 Microsoft 基础架构进行 C&C 活动;
  • 自定义屏幕截图 - 定期将屏幕截图记录到文件中;
  • Cobalt Strike Beacon - 将 CloudFront 基础设施用于其 C&C 活动(Cobalt Strike 是一个现成的工具,可用于执行命令、注入其他进程、提升当前进程或模拟其他进程,以及上传和下载文件);
  • Metasploit - 一种现成的模块化框架,可用于受害机器上的各种恶意目的,包括权限提升、屏幕捕获、设置持久后门等。
3、TTP
执行:命令行解释器
防御规避:文件删除
发现:文件和目录发现
信息收集:数据压缩+屏幕捕获
命令与控制:Web协议


能源威胁情报


南亚威胁组织 BITTER 针对军工、能源等行业展开攻击

  Tag:BITTER,APT,军工,电力,核能,漏洞

事件概述:
蔓灵花(BITTER)是疑似具有南亚背景的 APT 组织,该组织长期针对东亚,南亚等地区进行攻击活动。近日,国内安全厂商在日常狩猎活动中捕获到了 BITTER 组织在2021年2月至9月的多个攻击样本,并且指出此次攻击活动主要针对政府、军工业、电力、核能等单位进行定向攻击,窃取敏感资料。
技术详情:
BITTER 组织主要通过向目标投递军事、能源、财务相关主题且包含附件的电子邮件。附件是一个包含 CHM 恶意文件或 RTF 恶意文件的 RAR 压缩包。
  • CHM 样本:CHM 文件启动后会执行内置恶意脚本。该恶意脚本会创建计划任务并远程下载、执行 msi 文件,释放 .net 远控程序 msheader2.exe 获取磁盘信息、文件传输、执行 Shell 命令。
  • RTF 样本:该样本利用 CVE-2018-0798 漏洞执行 shellcode,创建计划任务,下载、执行 msi 文件。
溯源关联:
  • 与蔓灵花组织 “Operation Magichm” 攻击活动类似,且两次攻击活动 CHM 恶意脚本大体一致;
  • .NET 远控程序远控功能一致,C2 均为45.11.19.170;
  • RTF 样本与之前披露的蔓灵花 RTF 文件类似。
来源:
https://mp.weixin.qq.com/s/XVwQ65Ta4L8uG0rlJ7XOqQ


工控威胁情报


Thingiverse  3D 打印机被曝存在安全漏洞,超200万人面临数据泄露风险

  Tag:3D 打印,数据泄露,Thingiverse

事件概述:
安全研究人员于近日指出美国桌面 3D 打印机制造商公司 MakerBot 产品 Thingiverse  3D 打印存储库网站数据发生泄露,OAuth 令牌的泄露导致超200万人的用户详细信息及个人 3D 打印机的信息泄露。MakerBot 的前员工指出泄露的数据 OAuth 令牌可以远程访问并完全控制联网的3D打印机,虽然这些令牌已作废,但 Thingiverse  漏洞可能导致已售出的50,000台打印机面临数据劫持的风险。该员工表示目前这些令牌现已作废,但该令牌可以直接查看打印机的视频输入,间接导致数据发生泄露。Replicator 5th Gen、Replicator Mini、Replicator Z18、Replicator+、Replicator Mini+、所有 Method 系列打印机和 MakerBot Sketch 均受到 Thingiverse 漏洞的影响。
MakerBot 表示只有不到500名用户受到打印存储网站数据泄露的影响,而且表示这些数据主要用于测试数据的非敏感数据。但这发言遭到前员工及泄露站点创建者的质疑,其前员工表示 MakerBot 数据泄露规模远超过该公司所承认的规模;数据泄露站点的创建者表示此次事件泄露了228,000个唯一的电子邮件地址,间接否定了 MakerBot 言论。
 
来源:
https://www.bankinfosecurity.com/thingiverse-breach-50000-3d-printers-faced-hijacking-risk-a-17749


流行威胁情报


中国辽宁省 6431 家食品企业的注册信息遭到大规模泄露

  Tag:辽宁,食品企业,数据泄露

事件概述:
近日,昵称为 ”NtRaiseHardError“ 的论坛成员在数据泄露站点售卖中国省辽宁市6431家食品企业注册信息,其中涉及大连、铁岭、盘锦、抚顺、阜新、鞍山、沉阳、丹东、锦州、辽阳、营口、朝阳、本溪、葫芦岛在内14个城市的数据信息。该成员还称这些数据是直接通过 Rookit 在完全控制的目标机器上转储的,售卖价格低至250美元,并且表示首次购买还将给予折扣。但并没有透露此次导致6431家食品企业注册信息泄露的公司。此次大规模泄露的数据信息如下:
  • 完整的公司注册资料(在中国注册公司所需的一切);

  • 公司经营证明 ;

  • 公司内部文件(邀请函,研究文件,财务信息);

  • 与政府合作进行安全市场研究(包含多个公司合同数据);

  • .......


来源:
https://rfmirror.com/Thread-SELLING-Private-Chinese-Market-Research-Company-Leak?



这种新型免杀木马未来可能会在攻防对抗中广泛使用,警惕!

  Tag:木马,HW,攻防对抗

事件概述:

微步在线研究人员于近日在整理 HW 期间样本时发现了一个比较有意思自写木马 osshunter 。该木马使用阿里云对象存储服务(OSS)通信,且报毒厂商只有两家,免杀率极高。研究人员表示目前使用对象存储的木马还比较少,以后可能会有更多的红队使用。但使用对象存储时, 需要提供访问密钥,木马投放出去就会造成密钥泄露,存在被蓝队利用的风险。由于国内外云厂商都提供对象存储的服务,价格相较于云主机更低廉,并且接口都大同小异。红队的小伙伴可以尝试一下这种新型免杀木马,也许就想到了不同的使用方法,开发出新姿势。蓝队的小伙伴可以针对此种木马写些规则,检测和狩猎使用相似手法的样本。

如果您想查看完整样本分析内容,点击查看 “这种新型免杀木马未来可能会在攻防对抗中广泛使用,警惕!”或者直接公众号后台回复“OSS”获取PDF版本。
来源:
https://mp.weixin.qq.com/s/QvMw-z_Ukp9r-4qj81BGeA


高级威胁情报


威胁组织 ”lone wolf“ 利用 Office 漏洞瞄准阿富汗和印度组织展开攻击

  Tag:Office漏洞,阿富汗,印度,RAT

事件概述:

近日,研究人员发现一个威胁组织利用 Office 漏洞针对阿富汗和印度目标展开攻击活动。该威胁组织被描述为 ”lone wolf“ ,主要通过伪装成巴基斯坦 IT 公司 “AR Bunse "成员投递关于政治和政府为主题的诱饵,然后在受害者内部部署RAT。

技术详情:

  • 侦查阶段:攻击者首先在受害者主机上部署自定义的文件枚举器和感染器模块,通过文件枚举模块枚举感染设备上的所有 Office 文件,然后利用感染器模块将连接到系统的可移动驱动器中 .doc、.docx 和 .rtf 文件武器化。

  • 感染阶段:攻击利用 Microsoft Office 堆栈溢出漏洞 CVE-2017-11882 执行任意代码,提供恶意 RAT。

  • 攻击阶段:在受害者机器上部署 RAT(DcRAT 和 QuasarRAT )做为最终有效载荷。

来源:
https://blog.talosintelligence.com/2021/10/crimeware-targets-afghanistan-india.html?


漏洞情报


中兴 MF971R LTE 路由器被曝存在多个漏洞

  Tag:中兴,路由器,漏洞

事件概述:

近日,思科披露了中兴便携式路由器 MF971R LTE 中存在的多个漏洞,wa_inner_version:BD_LVWRGBMF971RV1.0.0B01,wa_inner_version:BD_PLKPLMF971R1V1.0.0B06,zte_topsw_goahead - MD5 B2176B393A97B5BA13791FC591D2BE3F和zte_topsw_goahead - MD5 bf5ada32c9e8c815bfd51bfb5b8391cb 版本均受这些漏洞的影响。思科还督促用户尽快更新受影响的版本。

这些漏洞信息如下:

  • CVE-2021-21748、CVE-2021-21749:Stack Based Buffer Overflow漏洞,特制的 HTTP 请求可能会导致基于堆栈的缓冲区溢出,从而导致远程代码执行。攻击者需要向受害者提供 URL 才能触发漏洞。

  • CVE-2021-21747、CVE-2021-21746:跨站脚本漏洞,特制的 HTTP 请求可能导致 XSS 漏洞,从而在受害者的浏览器中执行任意 JavaScript 代码。攻击者需要向受害者提供 URL 才能触发漏洞。

  • CVE-2021-21744:Pre-Auth配置文件控制漏洞,特制的 HTTP 请求可能会导致配置文件条目被覆盖。攻击者需要向受害者提供 URL 才能触发漏洞。

  • CVE-2021-21743:CRLF注入漏洞,特制的 HTTP 请求可能会导致 CRLF 注入。攻击者需要向受害者提供 URL 才能触发漏洞。
来源:
https://blog.talosintelligence.com/2021/10/vuln-spotlight-.html?


勒索专题



2021年10月17日

REVil 勒索软件组织在 Tor 站点遭到入侵后,再次“销声匿迹”

REvil 勒索软件组织继两个月中断,服务器及支付、谈判门户网站重新上线一个月后,REvil 勒索软件因为其服务器被破坏再次在从人们的视线消失。目前,尚不清楚破坏 REvil 服务器背后的组织。

来源:
https://thehackernews.com/2021/10/revil-ransomware-gang-goes-underground.htm
l


钓鱼专题



2021年10月18日

谨防伪装成报价请求的钓鱼邮件!

恶意攻击者伪装成建筑公司分发主题为报价请求的网络钓鱼电子邮件。恶意邮件以提供报价为诱饵诱使用户下载 html 附件,该附件下载运行的同时会伪装成 Excel 文件诱导用户输入账户信息,当用户输入信息后,提示“输入信息错误,重新输入”诱导用户重新输入信息,以此窃取受害者的账户信息。微步提示您应警惕此类钓鱼信息,避免信息泄露。

来源:
https://blog.alyac.co.kr/4196

- END -



关于微步在线研究响应团队

ThreatBook


微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。

内容转载与引用

1. 内容转载,请微信后台留言:转载+转载平台+转载文章

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”

 



知识来源: ?id=caefe2e575910363a931eae4d08d3edb&source_url=https%3A%2F%2Fmp.weixin.qq.com%2Fs%2FdefZLMOJX0cNOakuGZLgXA

阅读:44114 | 评论:0 | 标签:情报 威胁情报 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“安全威胁情报周报(10.18-10.24)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求打赏·赞助·支持💖

标签云

本页关键词