绿盟威胁情报月报-2022年11月

11月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,其中,Apache Airflow远程代码执行漏洞,由于Apache Airflow中的Example Dags存在缺陷,具有UI访问权限的攻击者可利用该漏洞触发Dags,进而通过手动提供run_id参数的方式,最终可实现在目标系统上执行任意命令。CVSS评分8.8。

另外,本次微软共修复了11个Critical级别漏洞,57个Important 级别漏洞,其中包括6个0day漏洞,强烈建议所有用户尽快安装更新。

在本月的威胁事件中,攻击者使用安卓RAT瞄准印度国防人员:安全研究员最近检测到一个针对印度国防人员的恶意安卓APK。APK文件是Subs Naik等级的晋升信的诱饵副本。一旦受害者成为此恶意APK的牺牲品,并且在安装后,此应用程序将在设备上显示为Adobe阅读器应用程序图标(外观相似)。根据该研究院进一步的研究显示,威胁行为者正在使用公开可用的Spymax RAT的变体,因为它的源代码已经在地下论坛上可用。Spymax提供了不同的Android软件包构建,其中一个构建具有Web视图功能,允许威胁参与者将任何Web链接注入Web视图模块。成功安装生成的APK后,它将采用实际Android应用程序的形状。在这种情况下,威胁参与者注入了一个谷歌驱动器链接,其中威胁行为者部署了一个pdf文件,其中包含获得更高级别晋升的印度国防人员名单。攻击背后的威胁行为者正在使用战略性社会工程技术,通过WhatsApp作为传递机制传递此文件和其他恶意APK文件。安全研究员表示,这些威胁行为者的目的就是从国防人员的设备中窃取机密信息。Lazarus 集团利用 DTrack 活动对欧洲和拉丁美洲发起攻击:安全研究人员观察到与朝鲜政府有联系的黑客使用名为Dtrack的后门的更新版本,针对德国,巴西,印度,意大利,墨西哥,瑞士,沙特阿拉伯,土耳其和美国的广泛行业。该安全研究员表示,DTrack是Lazarus集团使用的后门。它允许犯罪分子在受害者主机上上传、下载、启动或删除文件。在标准 DTrack 工具集中已经发现的下载和执行文件中,有一个键盘记录器、一个屏幕截图制作器和一个用于收集受害者系统信息的模块。使用这样的工具集,犯罪分子可以在受害者的基础设施中实现横向移动,例如,检索危害信息。根据进一步调查结果显示,该黑客组织的目标部门是教育、化学制造、政府研究中心和政策机构、IT服务提供商、公用事业提供商和电信。攻击组织Billbug对亚洲国家的数字证书颁发机构进行攻击:黑客组织 Billbug 使用多种恶意程序入侵一家数字证书颁发机构。这场运动的受害者包括证书颁发机构,以及政府和国防机构。攻击者利用破坏数字证书颁发机构以访问证书,并获得了对机构基础设施的控制权,它可以给自己的恶意程序签名,更容易绕过终端防护。此外还可以冒充信任的网站或拦截加密数据。在入侵机构过程中,黑客使用了后门程序如 Hannotog 和 Sagerunex,以及大量合法软件。 其中Sagerunex后门具有相当的弹性,并与其命令和控制(C&C)服务器实现了多种形式的通信。安全研究院已通知相关证书颁发机构,攻击者正在利用面向公众的应用程序来获得对受害者网络的初始访问权限。

以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/

一、 漏洞态势

2022年11月绿盟科技安全漏洞库共收录765个漏洞, 其中高危漏洞52个,微软高危漏洞15个。

* 数据来源:绿盟科技威胁情报中心,本表数据截止到2022.11.30

注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

二、 威胁事件

  1. 威胁组织 Crimson Kingsnake使用第三方冒充策略来欺骗世界各地的组织

【标签】Crimson Kingsnake

【时间】2022-11-03

【简介】

研究人员发现了一个新的BEC集团,利用盲目的第三方冒充策略来欺骗世界各地的公司。该组织被称之为Crimson Kingsnake,他们冒充真正的律师、律师事务所和债务追偿服务,去专门欺骗会计专业人员快速支付虚假发票。据该安全研究员观察到Crimson Kingsnake将攻击方向瞄准了美国、欧洲、中东和澳大利亚的公司。与大多数BEC集团一样,该集团与行业无关,这意味着他们没有明确针对某些行业的公司。根据收集的相关情报表明,与该组织进行的一些积极防御活动中收集的情报表明,至少有一些与Crimson Kingsnake有关的演员可能位于英国。盲目第三方模拟攻击只是金融供应链入侵的一种类型,这是研究员用来指代冒充外部第三方而不是内部员工的 BEC 攻击的总称。与其他形式的金融供应链妥协不同,盲目第三方冒充攻击无法直接洞察供应商与客户关系或金融交易,而是依靠纯社会工程的有效性来取得成功。攻击者利用用户通常行为方式来操纵受害者听从他们的命令。为了培养紧迫感并促使受害者采取行动,Crimson Kingsnake 电子邮件主题行通常包含逾期、未付、最终通知等语言。这种人为的紧迫感旨在覆盖目标员工可能怀疑的任何潜在危险信号。最终,这种行为操纵是近年来BEC攻击总体上变得如此有影响力的原因。

【参考链接】

https://ti.nsfocus.com/security-news/IlO8Z

【防护措施】

绿盟威胁情报中心关于该事件提取100条IOC,其中包含100个域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 攻击者利用能够丢弃战区RAT的网络钓鱼电子邮件攻击匈牙利政府

【标签】网络钓鱼

【时间】2022-11-03

【简介】

安全研究人员发现一封假匈牙利政府网络钓鱼电子邮件,该电子邮件会丢弃战区 RAT。它使用多个间歇性 .NET 二进制文件来执行此操作,这些二进制文件越来越模糊。安全研究员试图描述分析过程中使用的所有逆向工程技术,他解释道,恶意软件的第二阶段是一个.NET Dynamic-Link Library(DLL),它被解压缩到内存中,并通过调用其函数之一来执行。该研究员能够使用 dnspy 作为调试器从内存中转储此 DLL。这个DLL最初被称为KeyNormalize.dll它被一个叫做SmartAssembly的混淆工具混淆了。他们准备使用可以解决一些使用的混淆技术的De4dot。但是,它无法解码二进制文件中的字符串。由于字符串在理解程序的作用方面可能非常有用,故而威胁参与者试图隐藏它们。如果调查人员能够对它们进行去混淆,那就更好了。但要做到这一点,该调查过程面临着两个挑战:了解运行时解码的工作原理、实现研究院自己的解码器。经过在调查中分析后,研究人员明确了如何使用恶意软件中的代码来对抗恶意软件。他们使用 SmartAssembly 中的字符串解码代码来实现一个程序,该程序可以解码资源文件中的编码字符串。值得注意的是,使用目标二进制文件中的代码通常非常有用,可以避免重新实现各种自定义算法的耗时工作。

【参考链接】

https://ti.nsfocus.com/security-news/IlO91

【防护措施】

绿盟威胁情报中心关于该事件提取5条IOC,其中包含1个IP和4个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. 攻击者利用银行木马技术来传递其他恶意软件的基础设施从而进行金融欺诈

【标签】木马

【时间】2022-11-07

【简介】

安全研究员发现由于攻击者不断创造新技术来逃避检测和执行恶意行为,因此研究出于金钱动机的恶意软件可以帮助防御者了解威胁参与者的策略并更有效地保护组织。这里描述的一些银行木马在历史上以金融恶意软件而闻名,但现在它们主要用作传递其他恶意软件的基础设施。众所周知,Webinjects被银行木马滥用,并被用来窃取凭据和操纵网页内的表单数据。它是可以在网页呈现之前注入HTML或JavaScript的模块,通常用于欺骗用户。webinjects 模块钩住负责发送、接收或加密发送到 Web 服务器的数据的 API 调用。通过在加密之前拦截数据,恶意软件可以读取HTTP-POST标头并即时操纵它们。一些银行木马通过在目标进程的预测父进程中注入代码来感染目标进程,从而在目标进程启动后立即感染目标进程。一旦银行木马在父进程的上下文中执行,它就会挂接进程创建库函数并等待,直到创建真正的目标。在钩子内部,银行木马操纵流程创建流程。然后,它在远程进程内初始化 webinjects 模块。资源管理器.exe和运行时代理.exe父进程经常被滥用于此目标,因为它们通常会启动真正的目标。而臭名昭著的Karius银行木马通过将代码注入资源管理器.exe并挂接CreateProcessInternalW来使用这种技术。该木马的钩子处理程序寻找生成的 Web 浏览器进程,并将恶意的 webinjects 模块注入其中。值得注意的是,为了钱而参与其中的威胁行为者使用各种恶意软件技术进行注入和金融欺诈,他们一直在寻找开发规避技术的新方法,以及如何被用来窃取受害者的敏感数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlO6R

【防护措施】

绿盟威胁情报中心关于该事件提取7条IOC,其中包括7个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Fodcha DDoS僵尸网络以新功能重新出现并掀起了一波赎金DDoS浪潮

【标签】Fodcha DDoS

【时间】2022-11-07

【简介】

安全研究员发现僵尸网络。在新版本中,Fodcha的作者重新设计了通信协议,并开始使用and算法来加密敏感资源和网络通信,以避免在文件和流量级别进行检测;同时,采用了主C2和备用C2的双C2方案。安全研究员将捕获的样本分为四个主要版本,其中V1and在之前的博客中已经进行了分析,他们选择最新的系列样本作为主要分析对象,当 Fodca 的机器人执行时,它将首先做检查。这些检查可以看作是对典型模拟器和沙箱的简单对策。当满足要求时,它首先解密配置信息并在控制台上打印雪滑梯,然后是一些常见的主机行为,例如单实例、进程名称伪装、操纵看门狗、终止特定端口进程、上报特定进程信息等。其中本文将重点介绍配置信息的解密、网络通信、DDoS攻击等Fodcha的各个方面。配置信息的解密是Fodcha 使用 side-side Config Organization inand 和 Structured Config Organization inand。Fodcha的网络通信要经过解密 C2域名解析查询;建立沟通;执行命令。DDoS攻击是Fodcha将以下字符串附加到它发出的UDP攻击命令。

【参考链接】

https://ti.nsfocus.com/security-news/IlO6P

【防护措施】

绿盟威胁情报中心关于该事件提取71条IOC,其中包括3个样本、20个域名和48个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 攻击者利用网络钓鱼基础设施与其服务分离导致罗宾银行运营中断了多天

【标签】网络钓鱼

【时间】2022-11-07

【简介】

攻击者将罗宾银行网络钓鱼基础设施与其服务分离,导致运营中断了多天。作为回应,银行的相关管理人员进行了一些更改,包括将其基础设施重新安置给臭名昭著的俄罗斯提供商,并更改其工具包的功能以使其更加回避。该银行推出了一项新的cookie窃取功能,网络犯罪分子可以购买该功能作为网络钓鱼工具包的附加组件,以便在攻击中绕过多因素身份验证。根据相关研究院的调查表明,网络钓鱼工具包的基础设施严重依赖开源代码和现成的工具,这是降低进入门槛的一个主要例子,不仅可以进行网络钓鱼攻击,还可以创建PhaaS平台供其他人使用。该银行对于本次攻击的回应是相关开发人员修改了网络钓鱼工具包,并积极更改了银行攻击基础设施,以增强对删除的弹性。该开发人员还试图使有关该平台及其客户活动的信息更难访问。为了将围绕该平台的管理员对话私有化,该银行的相关管理员创建了一个单独的私人Telegram频道,相关调查分析师观察到平台管理员之间在从其他平台挖走客户方面的分歧。在那次分歧中,其中一位管理员变得愤怒并将私人频道公开,这有效地暴露了他们的传统 Telegram 通信,并导致他们的主要和私人频道都充斥着不相关的网络犯罪内容。值得注意的是,该银行对开源代码和现成工具的严重依赖表明,不仅进行网络钓鱼攻击,而且成为服务提供商并创建供他人使用的PhaaS平台的进入门槛有多低。创建这样的套件并收取数百到数千美元供其他人使用它并不需要很高的复杂程度。因此,越来越多地使用不同的网络工具来托管网络犯罪平台引起了人们的关注,因为网络犯罪变得更容易获得,并且是快速获利的低努力选择。

【参考链接】

https://ti.nsfocus.com/security-news/IlOaJ

【防护措施】

绿盟威胁情报中心关于该事件提取22条IOC,其中包括4个样本、15个域名、1个URL和2个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 黑客利用新的RapperBot活动对游戏服务器发起DDoS攻击

【标签】RapperBot

【时间】2022-11-15

【简介】

安全研究员发现了RapperBot恶意软件的新样本,这些样本被用于构建DDoS僵尸网络以瞄准游戏服务器。该研究人员表示,RapperBot 物联网僵尸网络自一直处于活动状态。该机器人从原始Mirai僵尸网络借用了大部分代码,但与其他物联网恶意软件系列不同,它实现了内置功能来暴力破解凭据并访问SSH服务器,而不是Mirai中实现的Telnet。最新的示例包括维护持久性的代码,这在其他 Mirai 变体中很少实现。该恶意软件的早期示例将暴力破解凭据列表硬编码到二进制文件中,但从 7 月开始,这些示例开始从 C2 服务器检索列表。最新的变体使用与以前样本相同的C2网络协议,它支持额外的命令来支持Telnet暴力破解。该暴力破解代码主要用于自我传播,类似于旧的Mirai Satori僵尸网络。值得注意的是,基于此新活动与之前报道的RapperBot活动之间不可否认的相似之处,它们很可能由单个威胁参与者或可以访问私有共享基本源代码的不同威胁参与者操作。

【参考链接】

https://ti.nsfocus.com/security-news/IlOaL

【防护措施】

绿盟威胁情报中心关于该事件提取24条IOC,其中包括7个样本、16个URL和1个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 攻击组织Billbug对亚洲国家的数字证书颁发机构进行攻击

【标签】Billbug

【时间】2022-11-15

【简介】

安全研究人员报告黑客组织 Billbug 使用多种恶意程序入侵一家数字证书颁发机构。这场运动的受害者包括证书颁发机构,以及政府和国防机构。所有受害者都在亚洲不同国家。众所周知,Billbug专注于亚洲国家的目标。在至少一名政府受害者中,网络上的大量机器被攻击者入侵。数字证书颁发机构的证书对浏览器和操作系统至关重要,因为其用于证明特定应用和服务器的身份。如果攻击者能够成功破坏它以访问证书,并获得了对机构基础设施的控制权,它可以给自己的恶意程序签名,更容易绕过终端防护。此外还可以冒充信任的网站或拦截加密数据。在入侵机构过程中,黑客使用了后门程序如 Hannotog 和 Sagerunex,以及大量合法软件如 AdFind、Winmail、WinRAR、Ping、Tracert、Route、NBTscan、Certutil 和 Port Scanner。Sagerunex后门具有相当的弹性,并与其命令和控制(C&C)服务器实现了多种形式的通信。然而,尽管这是针对证书颁发机构的可能动机,但该研究院没有看到任何证据表明他们成功地破坏了数字证书。他们已通知相关证书颁发机构,告知有迹象表明,攻击者正在利用面向公众的应用程序来获得对受害者网络的初始访问权限。

【参考链接】

https://ti.nsfocus.com/security-news/IlOaN

【防护措施】

绿盟威胁情报中心关于该事件提取32条IOC,其中包括32个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Lazarus 集团利用 DTrack 活动对欧洲和拉丁美洲发起攻击

【标签】DTrack

【时间】2022-11-15

【简介】

安全研究员观察到与朝鲜政府有联系的黑客使用名为Dtrack的后门的更新版本,针对德国,巴西,印度,意大利,墨西哥,瑞士,沙特阿拉伯,土耳其和美国的广泛行业。安全研究员表示,DTrack是Lazarus集团使用的后门。最初发现于2019、后门仍在使用三年后。它被拉撒路组织用来对付各种各样的目标。DTrack 允许犯罪分子在受害者主机上上传、下载、启动或删除文件。在标准 DTrack 工具集中已经发现的下载和执行文件中,有一个键盘记录器、一个屏幕截图制作器和一个用于收集受害者系统信息的模块。使用这样的工具集,犯罪分子可以在受害者的基础设施中实现横向移动,例如,检索危害信息。根据进一步调查结果显示,该黑客组织的目标部门是教育、化学制造、政府研究中心和政策机构、IT服务提供商、公用事业提供商和电信。

【参考链接】

https://ti.nsfocus.com/security-news/IlOaP

【防护措施】

绿盟威胁情报中心关于该事件提取6条IOC,其中包括2个样本和4个域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 攻击者利用视频网站传播的RedLine窃密木马诱导从而窃取用户敏感信息

【标签】RedLine

【时间】2022-11-16

【简介】

安全研究员发现在监测通过视频网站传播RedLine窃密木马的攻击活动中发现攻击者增加了自动登录视频网站发布恶意视频的攻击模块,实现了发布视频、窃取账号、用窃取到的账号进一步传播的攻击流程自动化体系,增强了恶意代码传播扩散的能力。研究员表示,攻击者利用视频网站YouTube上传破解软件、游戏作弊程序等内容的视频,并在视频简介中添加恶意下载链接,诱导用户下载恶意代码。恶意代码会释放并执行RedLine窃密木马、Ethminer挖矿程序,以及利用受害者的账号上传钓鱼视频的自动传播模块。直接在受害者设备和网络环境中执行视频上传功能的攻击手段可在一定程度上绕过平台的风险控制机制,提高攻击成功率。RedLine窃密木马最早于2020年3月被发现,是流行的窃密木马家族之一,国内外传播较为广泛。该木马具备多种信息窃取功能,如自动窃取目标系统浏览器、FTP、VPN、即时通讯软件的敏感信息,以及屏幕截图及搜集指定文件等功能。该木马以一次性购买或订阅的形式,在地下论坛出售。

【参考链接】

https://ti.nsfocus.com/security-news/IlOaR

【防护措施】

绿盟威胁情报中心关于该事件提取9条IOC,其中包括8个样本和1个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 攻击者使用安卓RAT瞄准印度国防人员

【标签】安卓RAT

【时间】2022-11-23

【简介】

安全研究员最近检测到一个针对印度国防人员的恶意安卓APK。研究表明,该攻击一直很活跃。在这种情况下,APK文件是Subs Naik等级的晋升信的诱饵副本。一旦受害者成为此恶意APK的牺牲品,并且在安装后,此应用程序将在设备上显示为Adobe阅读器应用程序图标(外观相似)。根据该研究院进一步的研究显示,威胁行为者正在使用公开可用的Spymax RAT的变体,因为它的源代码已经在地下论坛上可用。Spymax提供了不同的Android软件包构建,其中一个构建具有Web视图功能,允许威胁参与者将任何Web链接注入Web视图模块。成功安装生成的APK后,它将采用实际Android应用程序的形状。在这种情况下,威胁参与者注入了一个谷歌驱动器链接,其中威胁行为者部署了一个pdf文件,其中包含获得更高级别晋升的印度国防人员名单。攻击背后的威胁行为者正在使用战略性社会工程技术,通过WhatsApp作为传递机制传递此文件和其他恶意APK文件。

【参考链接】

https://ti.nsfocus.com/security-news/IlOdr

【防护措施】

绿盟威胁情报中心关于该事件提取15条IOC,其中14个样本和1个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author