攻擊團夥情報
Lebanese Cedar針對全球範圍內的攻擊活動分析
ZINC針對安全研究人員的攻擊
Kimsuky針對研究俄羅斯研究朝鮮經濟的研究員的攻擊活動
Pro-Ocean:Rocke Group的新型加密劫持惡意軟體
NightScout行動:針對NoxPlayer的供應鏈攻擊TeamTNT使用開源軟體libprocesshider繞過檢測NAT Slipstreaming攻擊允許黑客訪問內網利用Android可穿戴擴展通知功能進行自我傳播的蠕蟲木馬分析新威脅:能雲端化配置C2的套娃(Matryosh)殭屍網絡正在傳播惡意軟體Agent Tesla採用了新的通信和規避技術EXP已驗證,Windows Installer特權提升漏洞安全風險通告Azure Functions中存在提權漏洞,可逃逸至Docker主機Lebanese Cedar針對全球範圍內的攻擊活動分析
披露時間:2021年01月28日
情報來源:https://www.clearskysec.com/cedar/
相關信息:
Clearsky披露了APT組織Lebanese Cedar針對全球電信運營商和ISP的間諜活動。攻擊始於2020年初,黑客攻擊了美國、英國、埃及、以色列、黎巴嫩、約旦、巴勒斯坦、沙烏地阿拉伯和阿聯的網際網路服務運營商,旨在收集情報和竊取公司的敏感數據。
攻擊者使用開源工具掃描Internet上未打補丁的Atlassian和Oracle伺服器,然後利用漏洞來訪問伺服器並部署Web Shell,主要利用了3個1日漏洞CVE-2019-3396、CVE-2019-11581和CVE-2012-3152。
披露時間:2021年01月28日
情報來源:
https://www.microsoft.com/security/blog/2021/01/28/zinc-attacks-against-security-researchers/
相關信息:
近幾個月以來,微軟一直在追蹤名為ZINC (Lazarus) 的APT組織針對安全研究人員的網絡攻擊,此次攻擊事件中的受害目標主要是測試人員、漏洞安全研究員以及安全公司的技術員工。
早在2020年中,Lazarus就通過轉發高質量的安全內容並通過攻擊者控制的博客發布有關漏洞利用研究的信息以在Twitter的安全研究社區中建立聲譽,此外,攻擊者同時運營了多個Twitter帳戶,這些帳戶大約有2000餘名關注著,其中包含了許多著名的安全研究員。在已建立的社交媒體中建立聲譽之後,攻擊者開始在Twitter和Linkedln等社交平臺接近目標並根據情況將通信轉移到另外的平臺比如Discord以實施攻擊。
Kimsuky針對研究俄羅斯研究朝鮮經濟的研究員的攻擊活動
披露時間:2021年02月01日
情報來源:https://blog.alyac.co.kr/3550
相關信息:
近日,ESTsecurity報導了一起KimSuky針對俄羅斯遠東研究所韓國研究中心高級研究員的網絡攻擊,在此次攻擊事件中,攻擊者利用短網址生成器創建了一個特定的短URL並將其發送給受害者,當受害者點擊該連結,將會出現一個偽造的Russian rambler.ru登錄頁面以誘導受害者鍵入真實的帳號密碼。一旦受害者輸入帳號密碼,這些信息將被發送到攻擊者的伺服器。同時,釣魚頁面會列印出一個普通的pdf文檔以欺騙受害者。
通過攻擊者所使用的VPN服務和FireFoxWeb相關信息,ESTsecutiry將此次攻擊與KimSuky關聯起來。
Pro-Ocean:Rocke Group的新型加密劫持惡意軟體
披露時間:2021年01月28日
情報來源:
https://unit42.paloaltonetworks.com/pro-ocean-rocke-groups-new-cryptojacking-malware/
相關信息:
Unit 42的研究人員發現Rocke Group正在利用一款名為Pro-Ocean的新型加密劫持惡意軟體。Pro-Ocean使用已知的漏洞針對幾種典型的雲應用程式,包括Apache ActiveMQ (CVE-2016-3088),Oracle WebLogic (CVE-2017-10271) 以及Redis。
其攻擊重點為國內的雲提供商,若惡意軟體檢測到自身在騰訊雲或阿里雲中運行,它將使用惡意代碼卸載監視代理程序以避免被檢測到。它用Go語言編寫並編譯為x64體系結構二進位文件。它包含在執行期間部署的四個模塊-隱藏,挖掘,感染和看門狗。每個模塊都包含一些用各種語言 (C,Python或Bash) 編寫的文件以及執行該文件的Bash腳本。
此外,它會嘗試在安裝之前刪除其他惡意軟體和礦工,包括Luoxk,BillGates,XMRig和Hashfish。安裝後,該惡意軟體會殺死大量使用CPU的進程,從而能夠使用100%的CPU並有效地挖掘Monero。
NightScout行動:針對NoxPlayer的供應鏈攻擊
披露時間:2021年02月01日
情報來源:
https://www.welivesecurity.com/2021/02/01/operation-nightscout-supply-chain-attack-online-gaming-asia/
相關信息:
ESET披露Android模擬器NoxPlayer的新供應鏈攻擊活動NightScout。NoxPlayer由香港公司BigNox開發,在150多個國家和地區擁有超過1.5億用戶。此次攻擊活動主要針對亞洲遊戲玩家。
ESET稱黑客可能破壞了BigNox的官方API或文件託管伺服器,篡改了API伺服器中NoxPlayer更新的下載URL以分發惡意軟體。此外,黑客使用了至少三種惡意軟體家族,並利用定製的惡意更新分發給選定的受害者。
TeamTNT使用開源軟體libprocesshider繞過檢測
披露時間:2021年01月27日
情報來源:https://cybersecurity.att.com/blogs/labs-research/teamtnt-delivers-malware-with-new-detection-evasion-tool
相關信息:
AT&T的研究人員發現TeamTNT使用開源軟體libprocesshider繞過檢測。TeamTNT以基於雲的攻擊而聞名,例如利用亞馬遜網絡服務(AWS)憑證來侵入雲,並用其來挖掘Monero加密貨幣。
開源工具libprocesshider是2014年被放在Github上的,可使用ld預加載器在Linux下隱藏進程。黑客採用base64編碼的腳本,將該工具隱藏在TeamTNT cryptominer的二進位文件中,旨在從進程信息程序(例如ps和lsof)中隱藏惡意進程以繞過檢測。
NAT Slipstreaming攻擊允許黑客訪問內網
披露時間:2021年01月25日
情報來源:https://www.armis.com/resources/iot-security-blog/nat-slipstreaming-v2-0-new-attack-variant-can-expose-all-internal-network-devices-to-the-internet/
相關信息:
Armis研究人員發現了新版本NAT Slipstreaming攻擊,允許攻擊者訪問內部網絡中的任何設備,僅需要受害者單擊惡意連結即可實現。最初的NAT Slipstreaming攻擊依賴於內網中的受害者點擊指向攻擊者網站的連結,從而導致攻擊者欺騙受害者網絡的NAT,使其打開一條從網際網路到受害者設備的傳入路徑(TCP或UDP埠)。
新版本擴展了這一攻擊方式,允許攻擊者以這種方式欺騙NAT,使其創建通往內網上任何設備的傳入路徑,而不僅僅是指向單擊連結的受害設備。
披露時間:2021年02月02日
情報來源:
https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/
相關信息:
ESET發現Linux惡意軟體Kobalos,正在瞄準全球的超級計算機。該惡意軟體主要針對學術和研究網絡中的高性能計算機(HPC)和伺服器,旨在竊取SSH憑據。Kobalos與眾不同的是其代碼庫很小但很複雜,足以影響Linux、BSD和Solaris作業系統,這種複雜程度在Linux惡意軟體中很少見。
Kobalos本質上是一個後門,一旦安裝在超級計算機上就會隱藏在OpenSSH伺服器可執行文件中,如果通過特定的TCP源埠進行調用,則會觸發後門,其能夠通過單個命令將受感染的伺服器轉換為C2。
利用Android可穿戴擴展通知功能進行自我傳播的蠕蟲木馬分析
披露時間:2021年02月02日
情報來源:
https://blogs.360.cn/post/Alert_new_Android_malware_spreads_through_WhatsApp.html
相關信息:
近期,360發現了一批新型蠕蟲木馬,該木馬不需要任何隱私權限,利用可穿戴設備擴展功能針對WhatsApp用戶發送蠕蟲連結。通過進一步分析,360發現該木馬實現原理可以針對所有實現了將可穿戴設備擴展添加到通知中的應用。
由於將可穿戴擴展添加到通知中的功能在Android 5.0開始被提供使用,因此大約94.1%的Android設備受此蠕蟲木馬影響。
能雲端化配置C2的套娃(Matryosh)殭屍網絡正在傳播
披露時間:2021年02月01日
情報來源:https://blog.netlab.360.com/matryosh-botnet-is-spreading/
相關信息:
近日,360網絡安全研究院確定了一個復用了Mirai框架,通過ADB接口傳播,針對安卓類設備,主要目的為DDoS攻擊的新型殭屍網絡。它重新設計了加密算法,通過DNS TXT的方式從遠程主機獲取TOR C2以及和C2通信所必須的TOR代理。該殭屍網絡實現的加密算法以及獲取C2的過程都是一層層嵌套,像俄羅斯套娃一樣。因此360Netlab將它命名為Matryosh。
根據C2指令的相似性,研究人員推測它是當下非常活躍的Moobot團夥的又一個嘗試。Matryosh沒有集成掃描,漏洞利用的模塊,主要功能為DDoS攻擊,支持tcpraw, icmpecho, udpplain 3種方法,基本流程如下圖所示:
Agent Tesla嘗試篡改微軟AMSI來繞過殺毒軟體檢測
披露時間:2021年02月02日
情報來源:https://news.sophos.com/en-us/2021/02/02/agent-tesla-amps-up-information-stealing-attacks/
相關信息:
Sophos研究人員發現間諜軟體Agent Tesla嘗試篡改微軟防惡意軟體軟體接口(AMSI),來繞過殺毒軟體的掃描和分析。Agent Tesla於2014年首次被發現,是一種用.NET編寫的商業RAT。Sophos表示,該惡意軟體正在不斷開發中,其.NET下載程序可調用並下載託管在合法網站上的惡意代碼。
Windows間諜軟體通常通過社會工程學誘餌進行傳播,現在它不僅針對微軟的反惡意軟體掃描接口(AMSI)來試圖繞過端點保護軟體,而且還採用了多級安裝過程,並利用Tor和Telegram通訊API與C2伺服器通信。
在成功篡改AMSI後該惡意軟體可在沒有任何幹擾的情況下完整部署,以竊取數據,主要針對Opera、Chromium、Chrome、Firefox、OpenVPN和Outlook等應用。
EXP已驗證,Windows Installer特權提升漏洞安全風險通告
披露時間:2021年02月03日
情報來源:
https://mp.weixin.qq.com/s/RwThKeVvHyPigWhd6PfCXQ
相關信息:
近日,奇安信CERT監測到一枚Windows Installer提權漏洞,該漏洞 EXP已在網際網路上公開。Windows Installer在進行某些文件系統操作時,存在一個權限提升漏洞,本地攻擊者通過在目標系統上運行惡意程序來利用此漏洞,成功利用此漏洞可在目標系統上提升至SYSTEM權限。該漏洞為CVE-2020-16902的補丁繞過,目前微軟暫未發布相關補丁程序。經奇安信CERT驗證,漏洞存在,EXP可用。
對此,奇安信CERT建議廣大用戶保持防病毒軟體的病毒庫在最新版本,慎重打開來源不明的可執行文件,密切關注微軟的安全公告和奇安信CERT的漏洞通告,以儘快獲取漏洞相應的補丁。
Azure Functions中存在提權漏洞,可逃逸至Docker主機
披露時間:2021年01月27日
情報來源:
https://www.intezer.com/blog/research/how-we-escaped-docker-in-azure-functions/
相關信息:
Intezer Lab的研究人員披露了Microsoft Azure Functions中未修復的提權漏洞,攻擊者可能利用來逃逸至Docker主機。Azure Functions可以由HTTP請求觸發,用戶的代碼在Azure託管的容器上運行,但是代碼沒有被安全分割,並且可能被濫用來訪問底層環境。研究人員發現可以通過創建一個HTTP觸發器來執行shell,以無特權的app用戶身份在容器查找屬於root權限的進程接口。