每周高級威脅情報解讀(2021.01.14~01.21)

攻擊團夥情報

Raindrop：SolarWinds攻擊事件中的第四種惡意軟體

Kimsuky以拜登政府企劃問卷為誘餌的攻擊活動分析

Lazarus入侵後使用合法軟體進行竊密

STEELCORGI工具：UNC1945的瑞士軍刀

攻擊行動或事件情報

惡意代碼情報

漏洞情報

DNSpooq或影響數百萬個設備

Oracle多個產品漏洞安全風險通告

Raindrop：SolarWinds攻擊事件中的第四種惡意軟體

披露時間：2021年01月18日

情報來源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malware

相關信息：

賽門鐵克發現，SolarWinds供應鏈攻擊中攻擊者使用另一種被命名為Raindrop的惡意軟體來橫向移動並分發其他有效載荷，該惡意軟體用於攻擊攻擊者感興趣的特定受害者。

Raindrop是繼SUNSPOT後門、Sunburst/Solarigate後門、Teardrop工具之後發現的第四種SolarWinds供應鏈攻擊事件中的惡意軟體。

Raindrop與Teardrop類似，均用於加載CobaltStrike有效載荷，但Teardrop是由Sunburst釋放，而Raindrop用於在受害者的網絡中傳播。其具體差異如下：

Kimsuky以拜登政府企劃問卷為誘餌的攻擊活動分析

披露時間：2021年01月18日

情報來源：https://blog.alyac.co.kr/3525

相關信息：

      近日，ESTSecurity報告了Kimsuky以拜登政府企劃問卷為誘餌的攻擊活動。誘餌文件為帶有惡意宏代碼的office文檔。

當用戶打開文檔並允許啟用宏代碼之後，惡意宏代碼會收集計算機上安全的防病毒程序信息並嘗試訪問C2伺服器majar.medianewsonline[.]com下載後續間諜軟體(pay1.down)到本地加載執行。

披露時間：2021年01月19日

情報來源：https://blogs.jpcert.or.jp/ja/2021/01/Lazarus_tools.html

相關信息：

大多數攻擊者入侵到內部網絡之後，都會嘗試通過Windows命令和一些合法的工具進行橫向滲透和傳播感染，Lazarus也不例外。

近期，Jpcert CC對Lazarus入侵之後利用的一些公開工具進行了總結介紹。其中包括用於橫向移動的AdFind、SMBMap和Responder-Windows。用於信息竊取的XenArmor Email Password Recovery Pro、WinRAR和XenArmor Browser Password Recovery Pro。用於設置後門的tcpdump、wget、TightVNC Viewer、ProcDump、等等。

STEELCORGI工具：UNC1945的瑞士軍刀

披露時間：2021年01月12日 

情報來源：https://yoroi.company/research/opening-steelcorgi-a-sophisticated-apt-swiss-army-knife/

相關信息：

UNC1945是一個主要針對金融、電信目標等進行攻擊活動的APT組織，該組織在2020年度針對歐洲和義大利企業進行了頻繁的網絡攻擊。在頻繁的攻擊中，Fireeye於2020年11月披露UNC1945所使用的一款新型後門STEELCORGI有一套新穎的代碼保護技術，將大大的增加了分析成本和防禦成本。近期，Yoroi針對STEELCORGI後門進行了詳細分析。

「STEELCORGI」是偵察、橫向移動、進行攻擊和攻擊後清除活動痕跡的完整工具集。啟動工具集後，它將顯示帶有所有可能命令的完整菜單。

其命令之一是「bleach」，它能夠刪除所有btmp wtmp和btmp日誌。嵌入在此ELF二進位文件中的功能和工具非常廣泛，有網絡和枚舉工具如netcat、unixcat、netcat-ssl、telnet、traceroute、traceroute-tcp等，有反分析工具如bleach、clean，有系統實用程序如 md5、sha1、mac2vendor、netbackup、ip2country、xxd、cmd ，以及其他一些自定義升級和開發工具如ssleak，decrypt-vpn，pogo，pogo2，sid-force，sshock，這也正是Yoroi將其稱為APT瑞士軍刀的原因。

「Preload」SDK：影響數百萬Android手機的黑產營銷插件分析

披露時間：2021年01月19日

情報來源：https://mp.weixin.qq.com/s/i8GjmqZFjXrEWxaS-8hxjA

相關信息：

2020年12月，奇安信威脅情報中心移動安全團隊通過奇安信威脅情報中心大數據平臺監測到，國內某黑產組織投入的惡意黑產「Preload」SDK插件其訪問的雲控黑產插件下載伺服器自2020年11月末開始進入新一輪爆發期。

通過分析和關聯，奇安信威脅情報中心移動安全團隊發現「Preload」 SDK自2019年7月開始被投入使用，至今共涉及百餘款APP，其中部分遊戲APP還出現在國內數個主流移動應用商店，累計感染百萬級移動終端用戶。「Preload」 SDK通過加載雲控下發的隱私收集、扣費及刷量等多個黑產插件進行不同黑產活動；結合追蹤挖掘其對應幕後公司的業務範圍，「Preload」SDK的最終目標是為了幫助幕後公司實現惡意網際網路營銷以牟取豐厚的黑灰色收入。基於該黑產C&C伺服器名字和SDK的實質作用特點，將其命名為「Preload」 SDK。

披露時間：2021年01月13日

情報來源：https://labs.bitdefender.com/2021/01/remcos-rat-revisited-a-colombian-coronavirus-themed-campaign/

相關信息：

2020年夏末，Bitdefender安全團隊注意到Remcos惡意軟體活動激增，其多數攻擊發生在哥倫比亞。對Remcos的使用可以追溯到2017年，該遠控木馬(RAT)主要被商業組織和APT組織(如Gorgon或APT33)使用。該活動使用與金融服務和COVID-19信息相關的網絡釣魚電子郵件，通過隱寫術將有效載荷硬編碼到圖像中，這些圖片被發布在一個流行的病毒圖片網站上，以逃避黑名單，並使用了幾種反分析技巧：

• 將DLL映射到地址空間並解析映射文件中的函數，而不是常規的LoadLibrary + GetProcAddress函數調用；

• 使用COM進行各種功能；

• 在Imgur上託管有效負載並使用自定義隱寫算法編碼以及對數據進行解碼；

• 多層代碼注入，將惡意行為隱藏在合法程序之中。 

披露時間：2021年01月14日 

情報來源：https://www.microsoft.com/security/blog/2021/01/14/increasing-resilience-against-solorigate-and-other-sophisticated-attacks-with-microsoft-defender/

相關信息：

Solorigate是一種複雜的多階段攻擊，涉及到跨多個環境和多個領域使用高級攻擊技術來入侵高知名度的目標。攻擊者首先通過供應鏈攻擊入侵屬於SolarWinds Orion平臺的合法二進位文件，使用受感染的二進位文件在設備上部署後門，以使攻擊者可以遠程控制受影響的設備。在被入侵的設備上使用後門訪問權限來竊取憑據、升級特權並在本地環境中橫向移動以獲得創建SAML令牌的能力。攻擊者還將訪問雲資源以搜索感興趣的帳戶並洩露電子郵件。

利用COVID-19為誘餌進行的BEC攻擊活動分析

披露時間：2021年01月14日

情報來源：https://www.proofpoint.com/us/blog/threat-insight/attackers-use-covid-19-vaccine-lures-spread-malware-phishing-and-bec

相關信息：

Proofpoint研究人員發現利用COVID-19作為誘餌的多種攻擊活動，包括傳播惡意軟體、憑據網絡釣魚和BEC攻擊。

從2020年12月1日到2020年12月15日，Proofpoint觀察到了一場主要針對美國公司的大規模BEC活動。這些電子郵件以副總裁、總經理等高管為目標，聲稱來自一名高管，並預測COVID-19疫苗將推動世界經濟復甦，要求收件人在秘密收購一家外國公司方面給予合作，最終目的為騙取錢財。

MyKings Botnet新近活動跟蹤：挖礦能力加持

披露時間：2020年01月18日

情報來源：https://mp.weixin.qq.com/s/Dpwj6Pz1hV8bV7IngjhaMA

相關信息：

近日，BTC價格瘋漲，MyKings病毒團夥也對其基礎設施進行了更新。奇安信安全能力中心通過TG-DATA威脅分析平臺檢測發現，MyKings通過掃描網際網路上的1433等埠成功入侵受害者主機之後，分段下載混淆PowerShell腳本與加密Dll文件，通過內存解密執行的方式感染受害主機MBR達到持久化目的。

整個感染過程無文件落地，這增加了對其檢測與清理的難度。同時MyKings還會向受害主機投遞遠控木馬、挖礦木馬等惡意程序。MyKings攻擊流程如下圖所示。

披露時間：2021年01月19日

情報來源：https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/?utm_source=browser&utm_medium=push-notification&utm_campaign=push-notification-cpr

相關信息：

CheckPoint最新發現殭屍網絡FreakOut呈現爆發跡象，主要針對存在嚴重軟體漏洞的Linux設備，例如網絡附加存儲(NAS)設備以及Web應用開發程序。FreakOut主要感染三個流行Linux軟體:TerraMaster作業系統、Zend Framework(Laminas Project)和Liferay Portal計算設備以創建殭屍網絡，部署包括DDoS在內的各種網絡攻擊和加密貨幣挖礦程序。

FreakOut活動針對的所有三個軟體解決方案的共同點是：1.它們都擁有龐大的用戶群；2.舊版本都曝出過嚴重漏洞；3.所有漏洞利用的概念驗證代碼都是現成的，並且很容易找到。

Zend Framework是一組專業的PHP軟體包集合，下載安裝次數高達5.7億多次，其3.0.0版本有一個嚴重的漏洞(CVE-2021-3007)，可被用來實現遠程代碼執行。

Liferay Portal是Java開發人員用來開發服務、用戶界面、自定義應用程式或部署應用程式的平臺。7.2.1之前的開源版本Community Edition存在嚴重漏洞（CVE-2020-7961)，該漏洞允許遠程執行任意代碼。

TerraMaster是同名NAS設備運行的作業系統。4.2.06及更低版本存在一個遠程命令執行錯誤(CVE-2020-28188，屬於高危漏洞)，可以完全控制設備。

受感染的Linux設備會被加入一個殭屍網絡用來實施各種網絡攻擊。殭屍網絡的控制者還可以使用被感染的設備來挖掘加密貨幣，在公司網絡中橫向傳播，或偽裝成受感染設備攻擊其他目標。另外，攻擊者上傳並使用的腳本(out.py)基於python2運行，因此python2用戶在此次攻擊中更容易成為目標。

披露時間：2021年01月19日 

情報來源：https://www.trendmicro.com/en_us/research/21/a/vpnfilter-two-years-later-routers-still-compromised-.html

相關信息：

VPNFilter是一種惡意軟體類型，它通過使用後門帳戶和一些知名廠商的漏洞影響路由器和存儲設備。其運行分為多個階段，包括初始感染、C2通信以及部署第三階段的payload，第三階段payload運行後加載的惡意插件為Modbus。

惡意軟體的第一階段涉及從12個以上的供應商處訪問特定設備。完成此操作後，惡意軟體的第二階段嘗試連接到圖像託管站點Photobucket，以下載嵌入C2伺服器地址的圖像，也稱為Exif。如果失敗，則它將嘗試訪問域toknowall[.]com來下載圖像，該文件中同樣嵌有C2伺服器地址。

披露時間：2021年01月19日

情報來源：https://s.tencent.com/research/report/1229.html

相關信息：

騰訊檢測到RunMiner挖礦木馬團夥使用新增漏洞武器攻擊雲主機挖礦：利用weblogic反序列化漏洞（CVE-2017-10271）對雲主機發起攻擊，攻擊成功後執行惡意腳本對Linux、Windows雙平臺植入挖礦木馬，進行門羅幣挖礦操作。

RunMiner挖礦木馬挖礦前會嘗試卸載雲主機安裝的防護軟體，並嘗試結束其他佔系統資源較高的進程，以清除可能存在的挖礦木馬競爭對手。RunMiner挖礦木馬團夥的攻擊活動會嚴重影響雲主機性能，幹擾政企機構正常業務運行。

RunMiner挖礦木馬團夥是非常活躍的黑產組織，該組織擅長利用各種漏洞武器入侵存在漏洞的系統，植入木馬，控制遠程主機挖礦。2020年12月，騰訊安全曾捕獲該組織利用Apache Shiro反序列化漏洞（CVE-2016-4437）攻擊控制約1.6萬臺主機挖礦。

披露時間：2021年01月19日

情報來源：https://www.jsof-tech.com/disclosures/dnspooq/

相關信息：

研究人員發現了dnsmasq(流行的開源軟體)中存在的一系列缺陷，該軟體用於家用和商用路由器和伺服器的域名系統(DNS)響應。

這七個漏洞包括緩衝區溢出問題和DNS欺騙的漏洞。漏洞的嚴重性各不相同，其中包含三個可能導致DNS欺騙的漏洞(CVE-2020-25686，CVE-2020-25684和CVE-2020-25685)以及四個緩衝區溢出漏洞(CVE-2020-25687，CVE-2020-25683，CVE-2020-25682和CVE-2020-25681)，如果對這些漏洞進行組合利用，則會造成遠程執行代碼，拒絕服務和其他攻擊。這組漏洞被標記為「 DNSpooq」。

研究人員確定了至少40家在其產品中使用dnsmasq的供應商，包括思科路由器，Android手機，Aruba設備，Technicolor和Red Hat，以及西門子，Ubiquiti網絡，Comcast等。據估計，將有數百萬設備受到影響。

披露時間：2021年01月20日

情報來源：https://www.oracle.com/security-alerts/cpujan2021.html

相關信息：

2021年01月20日，Oracle官方發布了2021年1月份的安全更新。此次安全更新發布了329個漏洞補丁，其中Oracle Fusion Middleware有60個漏洞補丁更新，主要涵蓋了Oracle Weblogic、Oracle Endeca Information Discovery Integrator、Oracle WebCenter Portal、Oracle BI Publisher、Oracle Business Intelligence Enterprise Edition等產品。

在本次更新的60個漏洞補丁中有47個漏洞無需身份驗證即可遠程利用。編號為CVE-2021-2109的Weblogic JNDI注入遠程命令執行漏洞需要高度關注。其影響版本為：Weblogic Server 10.3.6、12.1.3、12.2.1.3、12.2.1.4、14.1.1。

對此，奇安信威脅情報中心建議廣大用戶及時安裝最新補丁，做好資產自查及預防工作，以減少對應的攻擊面。