详细内容,搜索“安恒威胁情报中心”
目录
【恶意软件威胁情报】
Oscorp恶意软件现已演变成全新的UBEL僵尸网络
恶意的NPM包通过ChromePass工具窃取浏览器密码
Coper:针对哥伦比亚用户的新型安卓银行木马
Solarmarker窃密程序的最新恶意活动分析
Shlayer伪装成Flash更新传播恶意软件
【热点事件威胁情报】
BlackMatter:即将成为DarkSide、REvil继任者的新勒索组织
【运输行业威胁情报】
MeteorExpress:Meteor擦除器是致使伊朗铁路系统瘫痪的元凶
南非重要港口因网络攻击瘫痪近一周
【数据泄露威胁情报】
英国枪支销售网站超11万名用户信息遭泄露
黑客出售包含38亿个电话号码的Clubhouse数据库
【攻击活动威胁情报】
TA551组织的近期攻击活动变化趋势
FIN8组织的最新攻击活动分析
OpsBedil行动:Dragon Force Malaysia黑客组织针对以色列发起一系列网络攻击
以克里米亚居民宣言为诱饵,使用双重攻击向量部署VBA远控的攻击活动
【高级威胁情报】
TA456组织伪装成运动教练,针对美国国防承包商开展网络间谍活动
Praying Mantis威胁组织使用高级攻击手法针对美国实体
PKPLUG组织在Microsoft Exchange Server攻击期间部署THOR
Kimsuky2021年上半年窃密活动总结
研究人员披露艾叶豹组织(Snow leopard)针对巴基斯坦用户的监控活动
Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析
【恶意软件威胁情报】Oscorp恶意软件现已演变成全新的UBEL僵尸网络2021 年 2 月,研究人员检测到分发Oscorp恶意软件的恶意活动,Oscorp是一种新的 Android 恶意软件,其滥用设备中的可访问性服务从欧洲银行应用程序中劫持用户凭据,从而窃取受害者的资金。在该恶意活动停止后,研究人员在2021年5月发现了新的Oscorp样本,并在黑客论坛中发现一个与Oscorp具有相同恶意软件代码苦的UBEL僵尸网络,通过分析发现,Oscorp恶意软件现已演变成全新的UBEL僵尸网络。
研究人员发现,NPM包使用ChromePass工具窃取Chrome浏览器密码。NPM 是 Node.js 的包管理器,托管超过 150 万个独特的包,每月提供超过 300 亿的包下载。整个存储库使用 ReversingLabs Titanium Platform 静态分析引擎进行处理。nodejs_net_server包的NPM 存储库页面显示该包的最新版本 v1.1.2 是在 6 个月前发布的。包主页和存储库的 URL 引用导致托管在 GitHub 上的位置不存在。这个包的作者名叫chrunlee,似乎是 GitHub 上的活跃开发者。除了预期的文本 JavaScript 文件外,NPM 在其包中还包含各种类型的可执行文件(PE、ELF、MachO等)。在这次大规模 NPM 存储库分析中,平台递归提取 NPM 包,然后使用机器学习算法来检测嵌入式恶意软件威胁。
Coper:针对哥伦比亚用户的新型安卓银行木马研究人员发现了一个名为“Android.BankBot.Coper”的新型安卓银行木马家族,该恶意应用程序具有模块化架构和多阶段感染机制,同时还拥有多种保护技术,可以防御恶意应用被卸载。Coper样本伪装成哥伦比亚银行官方金融机构应用程序Bancolombia Personas传播,为了看起来更真实,这些虚假应用程序的图标都是按照目标银行的正版软件的外观设计的。迄今为止,所有已知的 Coper银行木马针对的目标都是哥伦比亚用户,研究人员表示该木马可能会随着时间的推移出现针对其他国家用户的新版本。
研究人员观察到了Solarmarker的新活动,Solarmarker是一种高度模块化的基于 .NET 的信息窃取器和键盘记录器。在新的攻击活动中,最初的暂存模块“DM”已被名为“Mars”的新模块所取代,且出现了一个先前未报告的名为“Uranus”的新模块。
有证据表明,Solarmarker的运营商是说俄语的黑客。键盘记录模块的名称“Uran”是天王星的俄语单词“Уран”的音译,并且俄语被列为模块本身的目标语言。浏览器凭据和信息窃取程序的名称“Jupyter”也可能是 俄语“Юпитер”的尝试音译。虽然这种间接证据很有趣,但这不足以将Solarmarker以高置信度归因于俄罗斯。
Shlayer伪装成Flash更新传播恶意软件近日,研究人员发现Shlayer恶意软件使用虚假的Flash更新和社会工程策略诱骗受害者手动安装 macOS 恶意软件。Shlayer于2018年出现,并在较短的时间内成为在 macOS 设备上传播广告软件的最普遍方式之一。Shlayer 最常见的分发方法是通过恶意广告将 Safari 用户重定向到显示 Adobe Flash Player 过期警报的站点。
研究人员发现一个名为“BlackMatter”的新的勒索软件团伙,该组织成立于 2021 年 7 月,于本周开始运营,声称结合了现已解散的 Darkside 和 REvil 勒索软件组织的最佳功能,是这两个勒索团伙的继任者。 BlackMatter目前正在 Exploit 和 XSS 网络犯罪论坛上发布广告,招募附属机构(合作者)。 BlackMatter团伙是顶级论坛 Exploit 的成员,可能是 BlackMatter 勒索软件的运营商,目前正宣传要购买美国、加拿大、澳大利亚和英国的企业网络访问权限。
【运输行业威胁情报】MeteorExpress:Meteor擦除器是致使伊朗铁路系统瘫痪的元凶7月9日,伊朗的铁路系统遭遇雨刷网络攻击,使管理火车时刻表和售票服务的系统宕机。攻击者在全国各地车站的显示屏上提供了伊朗国家领导人阿亚图拉·阿里·哈梅内伊办公室的电话号码,供旅客致电投诉,通过这种方式戏弄了伊朗政府。研究人员经过分析重建了大部分攻击链,发现攻击者使用了一个特别的名为“Meteor”的擦除器,并将此次攻击活动命名为 MeteorExpress。目前,还无法将此次活动与先前确认的威胁组织联系起来。
近日,由于南非国家运输公司(Transnet,简称南非运输)遭遇网络攻击,导致当地货运企业无法正常完成货物的进出口运营,包括德班和开普敦在内的南非几大主要港口被迫停摆,南非主要港口的业务全部陷入瘫痪。最初,港务码头部门只是将此次事件定性为“IT网络中断”,但港务码头部门发给客户的保密函件中确认了此次事件属于“网络攻击、安全入侵与破坏行为”。 本周一,Transnet码头港务部门 (TPT)宣布,此次事件属于不可抗力。
目前,Transnet公司已经发表声明,表示已经在IT系统的恢复方面取得重大进展,大多数受影响的应用已经在2021年7月26日当天恢复。
【数据泄露威胁情报】英国枪支销售网站超11万名用户信息遭泄露近日,犯罪分子侵入了一个用于买卖枪支的网站,窃取了一个111000个条目的数据库,其中包含来自英国各地枪支商店使用的CRM产品的部分信息。本周早些时候,Guntrader泄露事件导致Guntrader.uk买卖网站及其电子枪支商店注册产品的SQL数据库被盗,该数据库包括约111000名用户的姓名、手机号码、电子邮件地址、用户地理位置数据,以及包括bcrypt哈希密码在内的更多信息。
研究人员警告称,在线共享的数据库副本中含有恶意软件,警告用户不要试图从网上流传的各个地方自行下载该数据库以检查他们的信息是否在其中。另外,如果在 Guntrader 上使用的密码与在其他网站上使用的密码相同,研究人员建议用户立即更改。
黑客出售包含38亿个电话号码的Clubhouse数据库近日,一名攻击者开始在黑客论坛上出售包含38亿个电话号码的Clubhouse数据库。Clubhouse是一款适用于iOS和Android的社交音频应用程序,用户可以在可容纳数千人的语音聊天室中进行交流。攻击者称,该数据库包含38亿个手机号码、固定电话号码、私人和专业电话号码。攻击者先前发布了一个指向数据库中包含的数据样本的链接,样本包含超过8350万日本用户的电话号码。
【攻击活动威胁情报】TA551组织的近期攻击活动变化趋势研究人员发现了攻击组织TA551近期攻击活动中的变化。TA551组织通常使用电子邮件向目标发送包含恶意宏的文档,启用宏释放 HTA 文件后下载附加恶意软件的 DOC 文件。该组织的攻击一直在不断变化,下载文件的方法基本不变,攻击活动中主要变化的是下载的恶意软件类型。TA551从去年开始稳定传播IcedId恶意软件,而后在研究人员分析的样本中,最终被下载的恶意软件更改为TrickBot恶意软件,该软件试图从用户PC上窃取网络浏览器和金融交易等敏感信息的恶意行为。但TA551最近的变化趋势表明,最终运行的恶意软件已更改为窃取金融信息的恶意软件。
近日,研究人员发布了报告,深入分析了FIN8组织的攻击过程。FIN8 通常以金融部门为目标,目的是危害机构服务和 POS 网络。该组织通常使用“living off the land”(lotl)攻击,使用内置工具和接口(如PowerShell或WMI),滥用合法服务(如sslip)来掩饰他们的活动。FIN8组织非常谨慎,在使用新版本工具包发起全面攻击之前,通常会对小部分受害者群体进行小规模测试。
6 月初,以色列政府官员宣布准备与东南亚穆斯林国家建立外交关系,随后一个名为“DragonForce Malaysia(DFM)”的黑客组织在6月和7月期间发起了一系列针对以色列的网络攻击,该攻击是#OpsBedil行动的一部分, #OpsBedil是针对中东多个垂直行业和政府机构的黑客行动。DragonForce Malaysia 是一个位于马来西亚的亲巴勒斯坦黑客组织,组织成员在公共互联网论坛上运营,该论坛有超过1万名注册用户,拥有超过4000个讨论主题,并与其他黑客组织合作实施了网站篡改、数据泄露和 DDoS 攻击。
近日,研究人员发现,一名身份不明的攻击者一直在利用 Internet Explorer 浏览器中现已修复的0-day漏洞来提供功能齐全的用 VBA 编写的远程访问木马 (RAT),该木马能够访问存储在受感染 Windows 系统中的文件,并下载和执行恶意负载。 研究人员称,该后门是通过名为“Manifest.docx”的诱饵文件分发的,文件声称是一份“克里米亚居民宣言”,呼吁公民反对俄罗斯总统弗拉基米尔·普京。
随着俄罗斯和乌克兰之间围绕克里米亚的冲突继续,网络攻击也在增加。攻击者使用的诱饵文件包含一份“克里米亚居民宣言”,显示了这次袭击背后可能的动机(克里米亚)以及目标(俄罗斯和亲俄罗斯个人)。但是,这也可能是掩饰攻击目的虚假标志。
【高级威胁情报】TA456组织伪装成运动教练,针对美国国防承包商开展网络间谍活动近日,研究人员发现伊朗TA456组织长达数年的社会工程和有针对性的恶意活动。TA456组织在社交媒体上伪装成健美操教练, 使用Facebook、Instagram和电子邮件服务器等平台来欺骗受影响的用户,试图用“LEMPO”恶意软件监视和感染航空航天防御承包商员工的机器,窃取敏感信息。
目前,Facebook已经删除了Marcella Flores在其各种平台上的个人资料,还发布了与此黑客活动相关的安全警报。Facebook进一步透露称,该组织的目标是美国、英国和欧洲的大约200名军事人员和航空航天和国防公司。
Praying Mantis威胁组织使用高级攻击手法针对美国实体研究人员发现了一个新的APT组织,该组织的攻击目标是美国私营部门的知名实体,使用 ASP.NET 应用程序中的漏洞对 Microsoft IIS Web 服务器进行攻击并植入后门。研究人员将该组织命名为“Praying Mantis”或 TG1021。Praying Mantis组织使用了高级的内存驻留攻击,这表明该组织是一位经验丰富的威胁组织,并且高度了解 OPSEC(操作安全)。Praying Mantis组织所使用的恶意软件在避免检测方面做了很大的努力,包括主动干扰日志记录机制、成功避免商业EDR的检测。
研究人员在跟踪Microsoft Exchange Server攻击时发现名为PKPLUG的威胁组织,该组织在受感染的系统上部署独特的PlugX恶意软件变体,该变体作为远程访问木马 (RAT) 传送到受感染的服务器。这个变体的独特之处在于它改变了其核心源代码:将商标词“PLUG”替换为“THOR”,研究人员将该PlugX变体称为Thor。最早发现的 THOR 样本来自2019 年 8 月,是已知最早的重命名代码实例,研究人员在此变体中发现了新功能,包括增强的有效负载传送机制和滥用受信任的二进制文件。
Kimsuky2021年上半年窃密活动总结Kimsuky 是位于朝鲜的APT组织,又名(Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom)等,最早由kaspersky在2013年披露,该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术等机构进行攻击,在过去几年里,他们将攻击目标扩大到包括美国、俄罗斯和欧洲在内的国家。主要目的为窃取情报、间谍活动等。该组织十分活跃,常用的攻击载荷为带有漏洞的hwp文件,恶意宏文件,释放载荷的PE文件等。 纵观2021上半年Kimsuky的活动,攻击目标仍以韩国的政府外交、国防军工、大学教授、智囊团为主。相关攻击活动仍以鱼叉邮件投递诱饵文档为主,同时也在积极利用社会热点事件为诱饵进行攻击。
研究人员披露艾叶豹组织(Snow leopard)针对巴基斯坦用户的监控活动近期,研究人员发现自2020年11月起至今,一个未知的APT组织针对巴基斯坦用户展开了有组织、有计划、针对性的长期监控活动。该组织一般利用钓鱼网站进行载荷投递。其攻击平台主要为Android平台,攻击目标主要锁定为巴基斯坦用户及巴基斯坦TLP政党。目前研究人员并未有直接的发现指向攻击组织身份,且在已知的APT组织中均未发现和该组织的重叠。研究人员将该攻击组织归属命名为艾叶豹组织(Snow leopard)。
近日,研究人员捕获多例疑似Kimsuky组织的攻击样本。发现此次的攻击活动的样本都以案件费用支付委托书为诱饵,所加载的Payload均采用多层下载链,最终使用blogspot博客系统分发最终载荷,为溯源增加了难度。另外, 文档使用恶意VBA代码,捕获到文本输入再执行核心恶意宏代码。Kimsuky,又名Mystery Baby、Baby Coin、Smoke Screen、Black Banshe等,是疑似具有东亚国家背景的APT组织,该团伙长期针对韩国政府、新闻机构等目标发起攻击活动,常用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件,拥有功能完善的恶意代码武器库,与Konni APT组织存在基础设施重叠等关联性。
PS:每日更新整理国内外威胁情报快讯,帮助威胁研究人员了解及时跟踪相关威胁事件
关注安恒威胁情报中心
获取一手原创安全分析报告
,
