绿盟威胁情报月报-2023年1月

1月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,其中,Apache Shiro身份认证绕过漏洞通告:当在2.6+版本的Spring Boot中使用Apache Shiro,且Shiro与Spring Boot使用不同的路径匹配模式时,无需身份验证的攻击者可以用此漏洞构造特制的HTTP请求绕过身份验证访问后台功能,CVSS 评分为 7.5。

另外,本次微软共修复了11个Critical级别漏洞, 87个Important级漏洞。强烈建议所有用户尽快安装更新。

在本月的威胁事件中,其中Bluebottle针对法国国家的银行发起攻击:Bluebottle是一个专门针对金融部门的网络犯罪组织,它正在继续对法语国家的银行发起攻击。该组织广泛利用陆地生活、双重用途工具和商品恶意软件,在此次活动中没有部署自定义恶意软件。一些迹象表明攻击者可能使用ISO文件作为初始感染媒介,在攻击初期使用商品恶意软件GuLoader,表明攻击者采用了滥用内核驱动程序来禁用防御的技术。最初的感染媒介是未知的,但在受害者网络上发现的最早的恶意文件具有法语、以工作为主题的文件名。这些很可能是诱饵。在某些情况下,恶意软件的命名是为了诱使用户认为它,例如:fiche de poste.exe(工作描述)、fiche de candiature.exe(申请表)、fiche de candiature.pdf.exe(申请表),这些文件很可能是通过鱼叉式网络钓鱼电子邮件发送给受害者的;Kimsuky组织利用多种攻击武器针对韩国的定向猎杀:近期,在美韩联合演习这一背景下,我们监测到大量来自Kimsuky组织的攻击,从攻击样本来看,使用pif、hwp、doc等文件做为诱饵进行初始攻击,后续载荷包括其常使用的AppleSeed、PebbleDash等木马;APT-C-56(透明部落)利用外贸链接伪装文档攻击:近期安全研究人员监测到透明部落利用外贸主题的链接进行攻击活动样本。样本伪装成scr表格文件,并同时释放持久化组件与RAT对中招用户持续监控。这次使用的RAT既不是其专属木马CrimsonRAT,也不是常用的ObliqueRAT,我们通过持久化组件的特征相似将这次攻击与透明部落相关联。

以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/

2023年01月绿盟科技安全漏洞库共收录264个漏洞, 其中高危漏洞22个,微软高危漏洞18个。

* 数据来源:绿盟科技威胁情报中心,本表数据截止到2023.02.01

注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

二、 威胁事件

  1. Bluebottle针对法国国家的银行发起攻击

【标签】Bluebottle

【时间】2023-01-05

【简介】

Bluebottle是一个专门针对金融部门的网络犯罪组织,它正在继续对法语国家的银行发起攻击。该组织广泛利用陆地生活、双重用途工具和商品恶意软件,在此次活动中没有部署自定义恶意软件。一些迹象表明攻击者可能使用ISO文件作为初始感染媒介,在攻击初期使用商品恶意软件GuLoader,表明攻击者采用了滥用内核驱动程序来禁用防御的技术。最初的感染媒介是未知的,但在受害者网络上发现的最早的恶意文件具有法语、以工作为主题的文件名。这些很可能是诱饵。在某些情况下,恶意软件的命名是为了诱使用户认为它,例如:fiche de poste.exe(工作描述)、fiche de candiature.exe(申请表)、fiche de candiature.pdf.exe(申请表),这些文件很可能是通过鱼叉式网络钓鱼电子邮件发送给受害者的。

【参考链接】

https://ti.nsfocus.com/security-news/IlOsZ

【防护措施】

绿盟威胁情报中心关于该事件提取38条IOC,其中包含1个IP,4个域名和33个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. StrongPity针对Android用户发起间谍活动

【标签】StrongPity,Android

【时间】2023-01-10

【简介】

ESET研究人员发现了一个我们认为属于StrongPity APT小组的积极活动。该活动自2021 11月开始活跃,通过一个模仿Shagle的网站发布了一个恶意应用程序,Shagle是一种提供陌生人之间加密通信的随机视频聊天服务。与完全基于网络的正版Shagle网站不同,该网站不提供官方移动应用程序来访问其服务,山寨网站只提供Android应用程序供下载,不可能进行基于网络的流媒体传输。一个模仿Shagle服务的山寨网站被用来分发StrongPity的手机后门应用。该应用程序是开源Telegram应用程序的修改版本,重新打包了StrongPity后门代码。基于与之前StrongPity后门代码的相似性,以及应用程序使用先前StrongPiy活动的证书签名。

【参考链接】

https://ti.nsfocus.com/security-news/IlOsX

【防护措施】

绿盟威胁情报中心关于该事件提取16条IOC,其中包含2个IP,2个域名和12个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. 攻击者利用QR 码进行网络钓鱼试图窃取用户凭据

【标签】QR

【时间】2023-01-30

【简介】

安全研究员最近发现了一个有趣的网络钓鱼活动,该活动使用各种 QR 码来针对中文用户。 它旨在通过引诱用户将他们的数据输入威胁行为者拥有的网络钓鱼网站来窃取凭据。该电子邮件相当简单和流线型,并包含一个 Microsoft Word 附件。电子邮件主题为:回复:关于申请 2022 年个人劳动力补贴的通知。 正文称,请点击附件查看财政部关于申请2022年第四季度个人劳务补贴的通知。Microsoft Word附件:转发:关于财政第四季度个人劳动补贴贴申领通知.docx.打开附件后,用户会在文档中心看到一些文本和一个大二维码。QR 码需要应用程序读取并将其转换为可操作的内容。 大多数移动电话都通过其摄像头提供此功能,所有主要平台上都提供了可从计算机执行此操作的软件包。

【参考链接】

https://ti.nsfocus.com/security-news/IlOt7

【防护措施】

绿盟威胁情报中心关于该事件提取6条IOC,其中包含3个域名和3个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. 漫游螳螂利用DNS变更发起攻击

【标签】漫游螳螂

【时间】2023-01-30

【简介】

漫游螳螂(又名绍耶)是众所周知的长期网络攻击活动,它使用恶意Android软件包(APK)文件控制受感染的Android设备并窃取设备信息;它还利用网络钓鱼页面窃取用户凭据,具有强烈的经济动机。安全研究员观察到一个用于进入Wi-Fi路由器并进行DNS劫持的DNS转换器功能。这是在已知的Android恶意软件Wroba.o/Agent.eq(又名Moqhao,XLoader)中新实现的,这是本次活动中使用的主要恶意软件。DNS转换器连接到硬编码的vk.com帐户id728588947以获得下一个目标,即107.148.162[.]237:26333/server.ini。server.ini(注意服务器的拼写错误)动态提供了罪犯当前的恶意DNS IP地址。检查DNS转换器的代码,它似乎使用了默认的管理员ID和密码,例如admin:admin。最后,DNS更改器使用恶意DNS IP生成URL查询,以破坏Wi-Fi路由器的DNS设置。用户将受感染的Android设备连接到咖啡馆、酒吧、图书馆、酒店、购物中心和机场等场所的免费/公共Wi-Fi。当连接到具有易受攻击设置的目标Wi-Fi模式时,Android恶意软件将危及路由器并影响其他设备。因此,它能够在目标地区广泛传播。

【参考链接】

https://ti.nsfocus.com/security-news/IlOt9

【防护措施】

绿盟威胁情报中心关于该事件提取34条IOC,其中包含7个IP,21个域名和6个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. Lazarus APT利用VMWare Horizon中的漏洞针对能源供应商发起攻击

【标签】Lazarus,VMWare Horizon漏洞

【时间】2023-01-08

【简介】

安全研究员一直在追踪Lazarus APT集团运营的一项新活动,美国政府将其归咎于朝鲜。这场运动涉及利用VMWare Horizon中的漏洞,以在目标组织中获得初步立足点。目标组织包括来自世界各地的能源供应商,包括总部设在美国、加拿大和日本的能源供应商。安全研究员发现在这些入侵中使用了两个已知的恶意软件家族——VSingle和YamaBot。最近公开的一种植入物的用途,我们称之为MagicRAT。

【参考链接】

https://ti.nsfocus.com/security-news/IlOt1

【防护措施】

绿盟威胁情报中心关于该事件提取68条IOC,其中包含9个样本,7个域名,41个URL和11个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. 攻击者利用节假日主题邮件发起网络钓鱼攻击

【标签】网络钓鱼

【时间】2023-01-01

【简介】

安全研究员发现,Agentesla的一个分支机构今年年初开始了圣诞节活动。他们的电子邮件被伪装成来自迪拜的一家珠宝店。它被送往智利一家专门从事水处理的公司。电子邮件要求收件人提供圣诞节珠宝的价格和可用性报价,电子邮件有两个附件:“newdesigns.gz”包含“newdesigns.exe”,“Inquiry-lists.gz”包含“Inquiry lists.exe”。尽管嵌入的文件有不同的名称,但它们共享相同的文件哈希(SHA2:c94eac21e05336aa64cbc1726d0a2961880627973dae4c5483aed33150eec5)该样本将fkkvzetzm.exe、jfwxswcu.au3、igqyivch.prc和kywyozha.x放入%usertemp%目录。然后,它通过以jfwxswcu.au3为参数启动fkkvzetzm.exe(AutoIt3的合法副本)来调用AutoIt脚本(jfwxslcu.au3)。

【参考链接】

https://ti.nsfocus.com/security-news/IlOt3

【防护措施】

绿盟威胁情报中心关于该事件提取9条IOC,其中包含5个样本,2个域名和2个URL;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. PurpleUrchin绕过CAPTCHA窃取云平台资源

【标签】PurpleUrchin

【时间】2023-01-13

【简介】

Automated Libra这是一个云威胁参与者组织,发起了(PurpleUrchin)的打劫活动。Automated Libra是一家总部位于南非的freejacking集团(Freejacking是使用免费(或限时)云资源执行加密挖矿操作的过程),主要针对提供云资源限时试用的云平台,以执行加密挖矿操作。为了利用免费试用所提供的有限资源,攻击者大量利用DevOps自动化技术,如持续集成和持续交付(CI/CD)。通过将用户帐户创建在云平台上,并通过自动化加密挖掘操作来实现这一目标。

【参考链接】

https://ti.nsfocus.com/security-news/IlOu2

【防护措施】

绿盟威胁情报中心关于该事件提取1条IOC,其中包含1条域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. APT-C-26(Lazarus)组织通过加密货币钱包推广信息进行攻击活动

【标签】Lazarus

【时间】2023-01-13

【简介】

近期研究人员监测到一起疑似APT-C-26(Lazarus)组织以加密货币钱包推广信息为主题投递恶意ISO文件的攻击事件,攻击者在ISO文件内打包了一个恶意快捷方式(.lnk)文件,当用户打开该快捷方式文件时会调用powershell.exe进程从自身文件中查找数据释放3个文件并执行其中的恶意DLL文件(诱饵PDF、加载器DLL、密文文件),在执行了DLL加载器后最终解密出的后门软件疑似Lazarus组织的NukeSped家族后门。

【参考链接】

https://ti.nsfocus.com/security-news/IlOu3

【防护措施】

绿盟威胁情报中心关于该事件提取6条IOC,其中包含5个样本和1个域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. Kimsuky组织利用多种攻击武器针对韩国的定向猎杀

【标签】Kimsuky

【时间】2023-01-13

【简介】

近期,在美韩联合演习这一背景下,我们监测到大量来自Kimsuky组织的攻击,从攻击样本来看,使用pif、hwp、doc等文件做为诱饵进行初始攻击,后续载荷包括其常使用的AppleSeed、PebbleDash等木马。

【参考链接】

https://ti.nsfocus.com/security-news/IlOu1

【防护措施】

绿盟威胁情报中心关于该事件提取59条IOC,其中包含24个样本,24个URL,7个域名和4个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  1. APT-C-56(透明部落)利用外贸链接伪装文档攻击

【标签】APT-C-56

【时间】2023-01-08

【简介】

近期安全研究人员监测到透明部落利用外贸主题的链接进行攻击活动样本。样本伪装成scr表格文件,并同时释放持久化组件与RAT对中招用户持续监控。这次使用的RAT既不是其专属木马CrimsonRAT,也不是常用的ObliqueRAT,我们通过持久化组件的特征相似将这次攻击与透明部落相关联。

【参考链接】

https://ti.nsfocus.com/security-news/IlOu4

【防护措施】

绿盟威胁情报中心关于该事件提取5条IOC,4个样本和1个URL;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author