绿盟威胁情报月报-2023年2月

2月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,究人员近日发现有攻击者利用 Havoc 的 C&C 框架针对政府组织进行攻击,Havoc 框架使用了多种高级规避技术,能够绕过最新版本的 Windows Defender。

另外,本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有9个,重要(Important)漏洞有66个,其中包括3个0day漏洞.。强烈建议所有用户尽快安装更新。

在本月的威胁事件中,两个案例:IconBurst和Material Tailwind,混淆代码是导致发现这些恶意NPM活动的早期迹象之一。Aabquerys 是一个恶意的 npm 包,在下载恶意组件的合法模块上发现的域名仿冒在下载和分析aabquery之后,ReversingLab研究员Lucija Valentić在Karlo Zanki的帮助下发现了一个简单的软件包,其中包含两个文件,其中一个文件使用Javascript混淆器进行混淆。我们过去曾注意到,在公共存储库中发布的代码中使用代码混淆是一个危险信号。

这背后的原因很明显:就其本质而言,开源代码旨在让每个人都可以看到,因此应该调查在开源模块中伪装或隐藏功能的努力。在 aabquery 的情况下,有问题的混淆代码很容易被取消混淆。这揭示了一个带有明显恶意行为的jquery.js文件。

以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/

2023年02月绿盟科技安全漏洞库共收录169个漏洞, 其中高危漏洞14个,微软高危漏洞13个。

* 数据来源:绿盟科技威胁情报中心,本表数据截止到2023.03.01

注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

二、 威胁事件

  1. 恶意软件Core1337通过新的恶意Python包进行供应链攻击

【标签】Core1337

【时间】2023-02-08

【简介】

FortiGuard实验室团队最近发现了恶意软件作者“Core1337”在PyPI包(Python包索引)中的几次新的0天攻击,他们发布了以下包:“3m promo gen api”、“Ai Solver gen”、“hypixel coins”、“httpxrequesterv2”和“httpxrquester”。这些袭击发生在2023年1月27日至1月29日之间。每个包都有一个版本和一个空的描述,并且都包含类似的恶意代码。为了简洁起见,本博客将研究“3m promo-gen-api”包作为整个套件的代表。

【参考链接】

event_link_1

【防护措施】

绿盟威胁情报中心关于该事件提取1条IOC,其中包含1个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 攻击者试图通过伪装电子税务表窃取账户信息

【标签】钓鱼

【时间】2023-02-09

【简介】

ESRC最近发现了许多伪装成电子税务账单的钓鱼邮件。钓鱼邮件的制作方式与实际的电子税务账单非常相似,底部的“查看”或“确认”等按钮包含恶意链接,点击时会链接到攻击者设置的钓鱼页面。

【参考链接】

event_link_2

【防护措施】

绿盟威胁情报中心关于该事件提取1条IOC,其中包含1个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 黑客利用开源存储库恶意软件传播Havoc

【标签】Havoc

【时间】2023-02-09

【简介】

Aabquerys是在下载恶意组件的合法模块上发现的恶意npm包作为研究团队持续监控开源存储库的一部分,安全研究员发现了aabquerys,这是一种恶意npm包,它将第二和第三阶段的恶意软件负载下载到已下载并运行npm包的系统。自从发现aabquerys包后,npm已经将其与其他恶意包一起从存储库中删除。安全研究员不认为这对发展组织构成任何风险。然而,负责软件包的维护人员发现了aabquerys和其他恶意项目的证据,这突显了恶意软件包潜伏在npm、PyPi和GitHub等开源存储库中的风险越来越大。这种风险要求开发组织更加关注其开源供应链中恶意或可疑行为的迹象。

【参考链接】

event_link_3

【防护措施】

绿盟威胁情报中心关于该事件提取7条IOC,其中包含7个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 北韩人权和讨论会伪装成朝鲜黑客发起攻击

【标签】钓鱼

【时间】2023-02-13

【简介】

东安全安全响应中心(以下简称ESRC)。发现了伪装成安全邮件的黑客攻击,需要注意统一部的实际讨论会举办方案。此次发现的袭击冒充了今年7月通过统一部官网报道的“探索国际社会在保护朝鲜居民生命权和增进人权方面的作用”主题讨论会内容。

【参考链接】

event_link_4

【防护措施】

绿盟威胁情报中心关于该事件提取2条IOC,其中包含2个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 从目标攻击到野蛮拉特尔的广泛使用

【标签】LNK

【时间】2023-02-15

【简介】

红色团队的运作对于达到足够的网络安全成熟度水平至关重要。因此,诞生了许多不同的C2商业框架,以帮助管理安全测试。然而,这些技术甚至可以同时被攻击者用来进行网络入侵。这一现象最具代表性的例子之一是“Brute Ratel”,这是一个商业红色团队运营框架,由前Mandiant和Crowdstrike的红色团队专家Chetan Nayak开发,从去年开始,该框架被攻击者用于网络犯罪和APT运营。这一红色团队框架设计为能够高度规避,安全产品无法检测,我们通过VirusTotal平台上零检测率的狩猎活动截获的许多外壳代码也证明了这一点。出于这些原因,重建该工具的滥用是为网络安全社区提供技术见解的必要步骤。网络安全社区第一次开始反对虐待Brute Ratel是在2022年5月至6月之间。观察到的攻击涉及一个ISO文件,用于压缩文件并降低检测率,因为这种类型的文件不容易被安全保护检测到。存档的内容是一个LNK文件,用于执行恶意“版本.DLL”库的DLL侧加载,这是合法Microsoft可执行文件“OneDriveUpdtater.exe”的必要依赖项。

【参考链接】

event_link_5

【防护措施】

绿盟威胁情报中心关于该事件提取70条IOC,其中包含70个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 攻击者使用 Havoc 框架攻击政府组织

【标签】Havoc

【时间】2023-02-19

【简介】

研究人员近日发现有攻击者利用 Havoc 的 C 框架针对政府组织进行攻击,Havoc 框架使用了多种高级规避技术,能够绕过最新版本的 Windows Defender。

【参考链接】

event_link_6

【防护措施】

绿盟威胁情报中心关于该事件提取4条IOC,其中包含1个IP,1个域名和2个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. APT组织SIDECOPY针对印度政府的钓鱼攻击活动分析

【标签】SIDECOPY

【时间】2023-02-24

【简介】

2月1日,绿盟科技监测到一份恶意宏文档,名为”Cyber Advisory 2023.docm”(网络安全通告2023)。经分析,确认该文档由巴基斯坦APT组织SideCopy投递,目的是引诱目标打开阅览的同时下载ReverseRAT木马,以接收C

【参考链接】

event_link_7

【防护措施】

绿盟威胁情报中心关于该事件提取3条IOC,其中包含1个域名和2个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 利用Google Ads传播Aurora窃密木马

【标签】Aurora

【时间】2023-02-24

【简介】

恶意Google Ads是攻击者传播恶意软件常见攻击手段之一,在搜索引擎上搜索任何流行免费软件的时候,受害者很可能会被诱骗或者重定向到虚假的软件网站,这些虚假网站有些被攻击者制作成与真实软件相同的网页,其中包含下载恶意软件的链接,有些直接诱骗受害者到某个指定的下载连接去下载恶意软件。攻击者会使用恶意Google Ads对特定的受害者进行攻击,例如可以伪装成一些特定企业人群使用的软件,比方开发工具、画图工具、办公软件等,对这些人员进行前期的窃密攻击,然后将获取到的一些特定受害者合法凭证进行筛选之后,再转卖给其他攻击团队,进行后续的APT攻击活动或定向勒索攻击活动等,深信服APT研究团队一直在密切关注研究全球窃密攻击活动,发现近期攻击者使用Google Ad攻击活动非常频繁,覆盖了很多常用的工具和软件等,传播了多个窃密木马或间谍软件等,在样本免杀技术上使用了“增肥”技术,攻击样本高达几百M,这些窃密活动有可能是在为后期进行APT攻击活动或勒索病毒定向攻击活动收集相关的合法凭证信息。

【参考链接】

event_link_8

【防护措施】

绿盟威胁情报中心关于该事件提取5条IOC,其中包含1个IP和4个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. APT-C-61(腾云蛇)组织2022年攻击活动分析

【标签】APT-C-61

【时间】2023-02-28

【简介】

腾云蛇组织的攻击活动范围主要围绕巴基斯坦、孟加拉等国,并且在2021年末开始,腾云蛇将活动范围扩大到了伊朗以及土耳其,针对这两个国家的外交人员进行了一系列攻击活动。

【参考链接】

event_link_9

【防护措施】

绿盟威胁情报中心关于该事件提取3条IOC,其中包含3个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author