每周高級威脅情報解讀(2021.09.23~09.30)

攻擊團夥情報

FamousSparrow：針對酒店行業的威脅組織披露

Operation "Armor Piercer"：利用商業RAT針對印度次大陸的攻擊活動

疑似APT-C-56透明部落攻擊預警

FoggyWeb：有針對性的NOBELIUM惡意軟體導致持久後門

攻擊行動或事件情報

惡意代碼情報

漏洞情報

FamousSparrow：針對酒店行業的威脅組織披露

披露時間：2021年09月23日

情報來源：https://www.welivesecurity.com/2021/09/23/famoussparrow-suspicious-hotel-guest/

相關信息：

FamousSparrow為ESET研究人員於2021年9月披露的新威脅組織，該組織至少自2019年8月以來一直活躍，主要針對酒店，受害者也包括政府、國際組織、工程公司和律師事務所。目前FamousSparrow組織的攻擊分散在全球範圍內，包括巴西、布吉納法索、加拿大、以色列、法國、瓜地馬拉、立陶宛、沙烏地阿拉伯、南非、臺灣、泰國和英國。

FamousSparrow在攻擊活動中利用MicrosoftExchange、MicrosoftSharePoint和OracleOpera（用於酒店管理的商業軟體）中已知的遠程代碼執行漏洞，投放各種惡意樣本。一旦伺服器遭到入侵，FamousSparrow就會部署一系列自定義工具，包括：用於橫向運動的Mimikatz變體、一個用於收集機密信息的實用程序、Nbtscan：NetBIOS掃描器，用於識別LAN中的文件和印表機、SparrowDoor後門的加載器。SparrowDoor後門的惡意行為包括：重命名或刪除文件、創建目錄、關閉進程、發送文件屬性、文件大小、文件寫入時間等信息，提取指定文件的內容、將數據寫入指定文件、建立一個交互式的反向shell、終止開關用於從受害機器中刪除持久性設置和所有SparrowDoor文件。

FamousSparrow在2021年3月利用過ProxyLogon遠程代碼執行漏洞，也利用過伺服器應用程式中的已知漏洞。這表明快速修補應用程式的漏洞至關重要。儘管FamousSparrow和SparklingGoblin組織以及DRBControl組織之間存在一些聯繫，但研究人員認為FamousSparrow是一個旨在展開間諜活動的獨立的組織。

Operation "Armor Piercer"：利用商業RAT針對印度次大陸的攻擊活動

披露時間：2021年09月23日

情報來源：https://blog.talosintelligence.com/2021/09/operation-armor-piercer.html

相關信息：

Cisco Talos於9月23日披露了一起針對印度政府和軍事機構的攻擊活動，並命名為「Operation ArmorPiercer」。

此次活動中的惡意文檔偽裝成與受害者相關的會議日程相關的文件，或與印度政府IT基礎設施相關的技術指南。這些文件作為魚叉式網絡釣魚電子郵件中的附件傳播，旨在通過社會工程使受害者打開或下載惡意文檔附件。最終有效載荷為NetwireRA、WorzoneRAT(AveMariaRAT)。研究人員還發現了基於.NET的自定義文件枚舉器模塊的部署，這些模塊生成和洩露受感染系統上特定文件擴展名的文件路徑列表。

攻擊者使用的一些誘餌和策略與TransparentTribe、Operation SideCopy非常相似。活動中發現的惡意文檔的一個常見主題是印度政府的Kavach應用程式，該程序是政府僱員用來訪問其電子郵件的雙因素身份驗證(2FA)應用程式。SideCopy在針對印度政府人員的攻擊活動使用過Kavach相關誘餌。此外，攻擊者依靠受感染的網站和虛假域的組合來執行惡意活動，這種策略與TransparentTribe的策略非常相似。

披露時間：2021年09月24日

情報來源：https://mp.weixin.qq.com/s/hHBsy_B3jECr2FLk5g9gbA

相關信息：

APT-C-56（透明部落）別名APT36、ProjectM、C-Major，是一個具有南亞背景的APT組織，長期針對周邊國家和地區（特別是印度）的政治、軍事目標進行定向攻擊活動，開發有自己的專屬木馬CrimsonRAT，還曾被發現廣泛傳播USB蠕蟲。透明部落在2019年下半年一直非常關注阿富汗地區， 在2020年開始再次轉為關注印度用戶。到了2021年，先是利用疫情相關信息對印度醫療、電力行業進行信息竊取，隨後偽裝印度國防部會議記錄的誘餌文檔嘗試進行信息竊取。

近日，360高級威脅研究院在日常情報挖掘中發現並捕獲到了與Cisco Talos相同的多批疑似透明部落攻擊印度的文檔，惡意文檔最終釋放NetWireRAT。

FoggyWeb：有針對性的NOBELIUM惡意軟體導致持久後門

披露時間：2021年09月27日

情報來源：https://www.microsoft.com/security/blog/2021/09/27/foggyweb-targeted-nobelium-malware-leads-to-persistent-backdoor/

相關信息：

Nobelium是微軟SolarWinds供應鏈攻擊活動中命名的APT組織，也被FireEye稱為UNC2452。該組織已被美國政府認定為俄羅斯外國情報局 (SVR) 支持的黑客組織。

近日，微軟威脅情報中心發現了Nobelium利用新的惡意軟體部署持久性後門，並將其稱為FoggyWeb。FoggyWeb是一種被動且針對性強的後門，可以遠程滲透受感染的（聯合身份驗證服務）AD FS伺服器的配置資料庫、解密的令牌籤名證書和令牌解密證書，還可以從命令和控制(C2)伺服器接收並執行其他惡意組件。在入侵AD FS伺服器後，NOBELIUM在系統上釋放兩個文件：Windows.Data.TimeZones.zh-PH.pri以及version.dll，FoggyWeb存儲在.pri加密文件中，而惡意文件version.dll就是其加載程序。AD FS服務可執行文件通過DLL搜索順序劫持技術加載加密的FoggyWeb後門文件，並利用自定義的輕量級加密算法(LEA)例程來解密內存中的後門。

披露時間：2021年09月23日

情報來源：https://blog.alyac.co.kr/4130

相關信息：

近日，ASEC研究人員在跟蹤Kimsuky組織的攻擊活動時發現了其新的VNC惡意軟體。Kimsuky通過最初的滲透過程在目標系統上安裝AppleSeed後門，並通過AppleSeed安裝VNC惡意軟體，從而控制攻擊目標系統。

在已安裝的VNC惡意軟體中，TinyNuke惡意軟體排名第一。TinyNuke是一種2016年發現的銀行惡意軟體，其中包括HVNC（HiddenDesktop/VNC）、反向SOCKS4代理和Web瀏覽器表單抓取等功能。TinyNuke的原始碼於2017年左右發布，已經被各種攻擊者利用，其中HVNC功能被其他惡意代碼（如AveMaria和BitRAT）部分借用。

披露時間：2021年09月27日

情報來源：https://www.trendmicro.com/en_us/research/21/i/fake-installers-drop-malware-and-open-doors-for-opportunistic-attackers.html

相關信息：

Trend Micro最近發現一些流行軟體的盜版安裝程序，這些程序會在受害者的設備上釋放批量惡意軟體。被假冒的流行軟體涉及TeamViewer、VueScan Pro、Movavi Video Editor以及Autopano Pro for macOS。部分用戶在網際網路上搜索付費應用程式的免費或破解版本時就有可能中招。

以Trend Micro發現的一個TeamViewer破解工具為例，一旦被下載和執行，就會使用BITS工具安裝大量惡意軟體，並且會在AutoStart註冊表中輸入可執行文件，並創建計劃任務來保證長期的感染。

FinSpy利用UEFI引導工具感染Windows設備

披露時間：2021年09月28日

情報來源：https://securelist.com/finspy-unseen-findings/104322/

相關信息：

Kaspersky在9月28日發布了有關惡意軟體FinSpy新變種的研究結果。FinSpy是由Gamma Group開發的一種間諜軟體，專門用於出售給世界各地的政府組織和執法機構。該新變體並未感染UEFI固件本身，而是利用惡意代碼替換了Windows啟動管理器(bootmgfw.efi) ，這種方式可以使攻擊者在不繞過固件安全檢測的情況下安裝bootkit。

與之前的版本不同，該變體還利用了non-persistent pre-validator和post-validator來防止惡意軟體分析。

Mirai_peta_Rimasuta變種正在利用RUIJIE路由器在野0DAY漏洞傳播

披露時間：2021年09月28日

情報來源：https://blog.netlab.360.com/rimasuta-spread-with-ruijie-0day/

相關信息：

2021年7月360 Netlab研究人員向社區公布了一個通過KGUARD DVR未公開漏洞傳播的殭屍網絡Mirai_ptea。該家族一直非常活躍，最近研究人員又觀察到該家族正在利用RUIJIE NBR700系列路由器的在野0day漏洞傳播。

不同於大多數Mirai/Gafgyt殭屍網絡慣用的telnet弱口令傳播，Mirai_peta_Rimasuta偏愛0day，短短的時間內就發現使用2個漏洞來傳播，這說明其背後的團夥有比較強的漏洞發現&整合能力。Mirai_peta_Rimasuta目前樣本在不停的迭代開發中，處於非常活躍的狀態，此次活動Rimasuta已經開始對抗沙箱的自動化運行，並將網絡流量加密以對抗網絡層面的檢測，這說明其背後的團夥有比較強的編碼創新能力。

披露時間：2021年09月23日

情報來源：https://securityintelligence.com/posts/new-ze-loader-targets-online-banking/

相關信息：

IBM Trusteer最近發現了一個新的遠程覆蓋木馬，名為ZE Loader。用戶通常通過惡意垃圾郵件、釣魚網頁或惡意附件被感染，之後木馬就會開始監控特定銀行網站的瀏覽器窗口名稱。一旦用戶登陸目標網站，攻擊者就會得到實時通知並使用木馬遠程接管設備。攻擊者監視用戶的活動，並選擇一個時間來插入，全屏覆蓋web頁面，以欺騙用戶洩露認證碼或其他個人數據。

ZE Loader通過動態連結庫(DLL)劫持來偽裝為合法軟體的一部分。合法軟體被打開時，惡意dll也會被加載。首先，ZE Loader檢查它是否以管理員權限運行，然後執行兩個Netshell命令來創建一個與C2服務的RDP連接。接下來，ZE Loader加載加密文件「operationB」，解密並解包。此文件同樣負責設置與C2的RDP連接。

新惡意加載器Squirrelwaffle傳播Cobalt Strike

披露時間：2021年09月28日

情報來源：https://www.zscaler.com/blogs/security-research/squirrelwaffle-new-loader-delivering-cobalt-strike

相關信息：

Zscaler ThreatLabz一直在跟蹤一種名為Squirrelwaffle的新型惡意軟體加載程序，該程序被用於傳播Cobalt Strike。該活動自2021年9月中旬以來一直在運行。Squirrelwaffle加載器和Qakbot銀行木馬由相同的基礎設施傳播。

攻擊者通過嵌有url的垃圾郵件傳播惡意文檔文件。垃圾郵件使用了一種郵件線程劫持技術，這種技術以前曾用於Emotet和Qakbot惡意軟體活動。惡意文檔包含一個宏，它釋放並執行%ProgramData%文件夾中的一個VBS文件。被執行的VBS文件下載Squirrelwaffle加載器，該加載器又下載另一個加載器，最後的加載器進一步下載Cobalt Strike。

目前還不清楚Squirrelwaffle是由已知的威脅組織還是一個新的組織開發和傳播的。

惡意軟體Sutersu Rootkit針對Linux平臺

披露時間：2021年09月23日

情報來源：https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/

相關信息：

Lacework Labs最近識別了與HCRootkit/Sutersu Linux rootkit活動相關的新樣本和基礎設施。惡意安裝器攜帶的附件包括：一個內核模塊、用戶空間ELF文件。這些文件通過標準rootkit功能感染主機。攻擊者使用一個獨特的定製的基於protobuf的協議進行C2通信。

ELF安裝器是coreutils庫中kill文件的修改版。kill的大部分核心功能保持不變，但是在執行過程中增加了兩個ELF文件的寫入操作。其中一個組件是用戶空間二進位文件，另一個是內核模塊，Avast識別為Sutersu rookit。

披露時間：2021年09月27日

情報來源：https://www.cybereason.com/blog/threat-analysis-report-inside-the-destructive-pysa-ransomware

相關信息：

PYSA是一個沒有自我傳播能力的需手動操作的勒索軟體，攻擊者通常通過洩露的身份憑證或通過網絡釣魚郵件獲得進入目標系統的初始權限。在部署勒索軟體之前，攻擊者使用公開可用的開源工具進行憑證盜竊、隱蔽、提權、橫向移動等等。

PYSA使用C++程式語言實現，並使用開源的CryptoPP C++庫進行數據加密。該勒索軟體結合使用AES-CBC和RSA加密算法加密數據，以最大化加密性能和安全性。同時，攻擊者還會使用雙重勒索策略——如果受害者拒絕為數據解密付費，就威脅洩露數據或出售數據牟利。

披露時間：2021年09月27日

情報來源：https://securelist.com/bloodystealer-and-gaming-assets-for-sale/104319/

相關信息：

Kaspersky曾發現了一個名為BloodyStealer的惡意軟體。BloodyStealer能夠獲取會話數據和密碼，甚至是cookie，並能躲避反向工程和惡意軟體分析。值得注意的是，BloodyStealer能夠獲取安裝在受感染系統上的電腦遊戲相關信息，主要瞄準Steam、Epic Games Store、EA Origin等主流在線遊戲平臺。

BloodyStealer能夠給每個被感染的受害者分配一個唯一的標識符。標識符是通過提取數據創建的，例如系統的GUID和序列號(SID)。在分配好標識符並獲得C&C的IP位址後，BloodyStealer從受感染的機器中提取各種數據，創建一個帶有洩漏數據信息的POST請求，並將其發送給C&C。BloodyStealer也會被攻擊者用於其他惡意軟體，如KeyBase、AgentTesla的攻擊鏈中。同時，也有攻擊者將類似Themida的惡意軟體與BloodyStealer結合起來，以避免查殺。

CVE-2021-22017 VMware vCenter Server rhttpproxy 繞過漏洞

披露時間：2021年09月28日

情報來源：https://mp.weixin.qq.com/s/9Q6M5eZePZ6MdJ9hXzrOxA

相關信息：

近日，奇安信CERT監測到VMware官方發布安全通告，其中包括VMware vCenter Server rhttpproxy 繞過漏洞（CVE-2021-22017）。攻擊者可繞過 rhttpproxy 限制，訪問內部接口。通過訪問vmware-analytics服務中的端點，構造請求修改日誌記錄的位置，將惡意代碼通過日誌記錄的方式寫入指定jsp文件中，從而造成遠程代碼執行。

目前，奇安信CERT已監測到VMware vCenter Server rhttpproxy 繞過漏洞（CVE-2021-22017）細節及部分EXP流出，攻擊者可通過現有信息編寫出漏洞利用代碼，成功利用此漏洞即可在無需身份認證的情況下遠程執行任意代碼。目前官方已發布修復版本，鑑於漏洞影響較大，奇安信CERT強烈建議客戶儘快修復漏洞並自查伺服器的安全狀況。