绿盟威胁情报月报(202003)

一、漏洞态势

2020年03月绿盟科技安全漏洞库共收录215漏洞, 其中高危漏洞96个,微软高危漏洞27个。

* 数据来源:绿盟科技威胁情报中心,本表数据截止到2020.03.30

注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

二、威胁事件

  1. APT41使用多个漏洞发起全球入侵活动

【标签】APT41

【针对行业】金融、政府、医疗、运输、国防、制造业、非营利组织、石油和天然气、运营商、高校和科研机构、建筑、媒体

【时间】2020-03-25

【简介】近期APT41组织试图利用Citrix NetScaler/ADC、Cisco路由器和Zoho ManageEngine Desktop Central设备中的漏针对全球多个行业发起入侵活动。针对的国家包括加拿大、澳大利亚、法国、芬兰、瑞士、意大利、日本、新加坡、英国和美国等,受影响的行业包括金融、政府、运营商、制造业、医疗、高科技、运输业、高校和科研机构等。

【关联的攻击组织】APT41是一个与中国有关的威胁组织,至少从2012年活跃至今,主要业务包括国家赞助的网络间谍活动以及出于经济动机的入侵活动,该组织攻击影响多个行业,包括医疗保健、电信、金融科技、电影和媒体、虚拟货币行业等。

【关联的攻击工具】Cobalt Strike是一个商业化渗透测试工具,可用shell访问受感染的系统。

【参考链接】https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html

【防护措施】绿盟威胁情报中心关于该事件提取10条IOC,其中包含1个IP、4个样本和5个漏洞;APT41组织相关事件2件,该攻击组织有27个关联样本和26关联域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. Kwampirs恶意软件针对供应链提供商

【标签】Kwampirs、Orangeworm

【针对行业】软件供应链

【时间】2020-03-25

【简介】近期软件供应链提供商成为Kwampirs恶意软件的攻击目标,攻击活动中每个Kwampirs样本都带有200个URL的硬编码列表,并将尝试按顺序访问将第一个活动URL作为C2服务器。Kwampirs恶意软件是Orangeworm黑客组织的定制后门程序,曾被该组织用于针对欧洲、亚洲和美国的医疗保健类企业。【关联的攻击组织】Orangeworm是一个威胁组织,主要针对美国和欧洲、亚洲的国家,影响的行业包含医疗保健、制造业、农业、信息技术和运输业。

【参考链接】https://blog.reversinglabs.com/blog/unpacking-kwampirs-rat

【防护措施】绿盟威胁情报中心关于该事件有719条相关IOC。Orangeworm组织相关事件2件,该攻击组织有751个关联样本和10个关联IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. APT27利用冠状病毒主题邮件传播PlugX

【标签】Nanocore RAT、Parallax RAT、Emotet

【时间】2020-03-19

【简介】近期利用钓鱼邮件传播PlugX的攻击活动被发现,活动以新型冠状病毒为主题,邮件附件是伪造的PDF文件,具有隐藏的扩展名和PDF图标,但实际是.Ink文件,用来分发和执行恶意负载,该文件是PlugX后门安装程序,可收集受害者PC名称、用户名、IP位置等信息,并发给到指定C2服务器。此次恶意攻击活动疑似由攻击组织APT27发起。

【关联的攻击组织】APT27,也被称为Threat Group-3390、BRONZE UNION和Emissary Panda等,是一个至少自2010年以来一直活跃的威胁组织,针对航空航天、政府、国防、技术、能源和制造业。绿盟威胁中心关于APT27组织有4件关联事件,相关联IP27个、相关联域名16个、相关联文件60个。

【关联的攻击工具】PlugX是使用模块化插件的远程访问工具(RAT),具有文件上传、下载和修改,日志记录、网络摄像头控制和远程运行Shell访问等功能。

【参考链接】https://marcoramilli.com/2020/03/19/is-apt27-abusing-covid-19-to-attack-people/

【防护措施】绿盟威胁情报中心关于该事件提取到6条相关IOC。绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. Operation Poisoned News针对香港iOS用户

【标签】lightSpy

【时间】2020-03-24

【简介】最近发现的水坑攻击针对香港的iOS用户,该活动利用在多个论坛上发布链接,这些链接是各种新闻报道,将用户引导到新闻站点时,还使用隐藏的iframe、加载和执行恶意代码,该恶意代码包含针对iOS 12.1和12.2中存在的漏洞的攻击,使用这些版本iOS设备的用户单击恶意链接将下载一个新的iOS恶意软件变体lightSpy。lightSpy是一个模块化后门,攻击者可远程执行shell命令、操作受影响设备上的文件并监控用户数据,其中包括连接WiFi历史记录、联络人、GPS定位、硬件信息、iOS钥匙串、历史通话记录、Safari和Chrome浏览器历史记录、短信等。

【关联的攻击工具】launchctl是用于加载或卸载守护程序/代理的工具。  

【参考链接】https://blog.trendmicro.com/trendlabs-security-intelligence/operation-poisoned-news-hong-kong-users-targeted-with-mobile-malware-via-local-news-links/

【防护措施】 
绿盟威胁情报中心关于该事件提取36条相关IOC,其中包含17个样本、2个IP、12个域名和5个漏洞。绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. Molerats向政府和电信组织提供后门

【标签】Molerats、SPARK

【针对行业】政府、运营商

【时间】2020-03-03

【简介】近期Molerats威胁组织利用鱼叉式网络钓鱼攻击向政府、电信组织提供Spark后门,该后门可让攻击者在受感染系统上打开应用程序并执行命令。该后门最早于2019年1月出现,此后一直活跃。绿盟威胁情报中心关于Molerats组织关注最早可以追溯到2013年,关于相关Molerats组织相关事件存在13件,其中2013年和2015年各1件、2016年2件、2017年3件、2019年和今年各3件,可以看出该组织处于长期持续活跃的状态。

【关联的攻击组织】Molerats,也被称为Gaza cybergang、Moonlight、Extreme Jackal、Gaza Hackers Team、Moonlight、Extreme Jackal、Operation Molerats,是一个出于政治动机的威胁组织,自2012年以来一直活跃,该组织的受害者主要在中东、欧洲和美国。

【参考链接】https://unit42.paloaltonetworks.com/molerats-delivers-spark-backdoor/

【防护措施】绿盟威胁情报中心关于该事件提取101条IOC,其中包含14个域名、1个IP和86个样本。绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. APT36利用冠状病毒潮流传播Crimson

【标签】APT36、Crimson

【时间】2020-03-15

【简介】自从新冠病毒在全球性范围内爆发以来,政府和卫生相关部门的指导信息成为人们关注的焦点。近期APT36威胁组织正在使用冠状病毒相关健康咨询文档作为诱饵来传播远程管理木马Crimson,攻击活动中APT36使用鱼叉式网络钓鱼电子邮件,附件是伪装成印度政府官方发布的新冠病毒健康指导文档,诱导用户点击恶意链接下载Crimson。Crimson木马可从受害者浏览器中窃取数据、查看正在运行的进程驱动器和目录、使用自定义TCP协议进行C&C通信、收集有关防病毒软件信息和捕获截图。

【关联的攻击组织】APT36,也被称为Transparent Tribe、ProjectM、Mythic Leopard和TEMP.Lapis,是一个至少从2016年活跃至今的巴基斯坦威胁组织,主要针对印度政府、国防部和使馆。

【参考链接】https://blog.malwarebytes.com/threat-analysis/2020/03/apt36-jumps-on-the-coronavirus-bandwagon-delivers-crimson-rat/

【防护措施】绿盟威胁情报中心关于该事件提取到7条相关IOC,其中包含4个样本和2个IP和1个漏洞;关于APT36组织相关事件存在3件,相关联样本6个、相关联IP2个。绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. 针对乌兹别克斯坦的定向攻击活动

【标签】Quasar、Droid-Watcher、 Sandcat

【时间】2020-03-12

【简介】近期攻击者利用网络钓鱼攻击针对乌兹别克斯坦工作的记者和激进分子的攻击活动被发现,攻击活动使用更广泛的基础架构以及新的Windows和Android间谍软件对不同的用户实施攻击。攻击者将间谍软件变种伪装成合法的Adobe Flash Player安装程序和Telegram Desktop安装程序,一旦被感染,攻击者使用的间谍软件工具包可以记录所有按键、每隔几秒钟一次桌面截图以及窃取密码和cookie;针对Android利用Droid-Watcher开源Android间谍软件,能够提取受害者设备信息、监控聊天应用程序、监控电话和短信、录制来自手机麦克风和摄像机的音频和视频、获取浏览器历史记录和设备地址位置等。此次攻击活动疑似与Sandcat威胁组织有关。

【关联的攻击组织】SandCat是一个威胁组织,归属于乌兹别克斯坦国家安全局。

【参考链接】https://www.amnesty.org/en/latest/research/2020/03/targeted-surveillance-attacks-in-uzbekistan-an-old-threat-with-new-techniques/

【防护措施】绿盟威胁情报中心关于该事件提取12条IOC,其中包括9个域名和3个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

Spread the word. Share this post!

Meet The Author

Leave Comment