绿盟威胁情报周报(20200615~20200621)

热点资讯

  1. Operation In(ter)ception针对知名航空航天和军事公司的攻击

【概述】

Operation In(ter)ception行动中攻击者创建伪造的LinkedIn帐户,冒充航空航天和国防工业中知名公司的HR代表,以知名职位的薪资信息为诱饵向目标公司员工分发恶意软件,并且试图通过商业电子邮件泄露(BEC)攻击来通过受害者的电子邮件帐户获利。

【参考链接】

https://www.welivesecurity.com/2020/06/17/operation-interception-aerospace-military-companies-cyberspies/

  1. 攻击者针对美国抗议活动分发垃圾邮件

【概述】

攻击者利用持续的COVID-19大流行以及美国和其他地方的众多抗议活动的全球新闻向目标用户发送垃圾邮件,并利用主题和发件人名称的变体来绕过垃圾邮件过滤器,诱使下载并打开恶意附件以传播Trickbot恶意软件,此次攻击活动的目标群体对“美国黑人之死”事件表示同情的人。

【参考链接】

https://www.fortinet.com/blog/threat-research/global-malicious-spam-campaign-using-black-lives-matter-as-a-lure

  1. InvisiMole组织针对东欧军事部门和外交使团

【概述】

InvisiMole组织通过鱼叉式电子邮件进行分发恶意软件,利用RDP协议中BlueKeep漏洞,SMB协议中EternalBlue漏洞和使用木马文件和软件安装程序三种方式进行传播,并使用DNS隧道技术逃避检测,此次攻击针对东欧的军事部门和外交使团。

【参考链接】

https://www.welivesecurity.com/2020/06/18/digging-up-invisimole-hidden-arsenal/

  1. 利用中印边境争端引诱受害者的定向攻击

【概述】

攻击者利用当前的印中边境争端,通过电子邮件附件向东南亚的安全分析师发送了文件名为“ 印中边境张力.doc”的恶意诱饵文件。此次攻击是无文件的,没有在磁盘上写入任何有效载荷,也没有创建持久性,并且使用DKMC框架隐藏通信。

【参考链接】

https://www.zscaler.com/blogs/research/targeted-attack-leverages-india-china-border-dispute-lure-victims

  1. BITTER组织利用Google Play分发恶意程序针对宗教团体

【概述】

BITTER是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,近期该组织以宗教群体为目标,通过伪装成真正的伊斯兰教或与斋马节相关的应用程序,以及常见应用程序的通用变体分发恶意软件。

【参考链接】

https://www.bitdefender.com/files/News/CaseStudies/study/352/Bitdefender-PR-Whitepaper-BitterAPT-creat4571-en-EN-GenericUse.pdf

  1. Office 365网络钓鱼活动滥用Adobe Campaign重定向机制

【概述】

攻击者利用牛津的电子邮件服务器发送垃圾邮件,用户单击电子邮件提示的一个按钮后,通过三星域被重定向到伪装成Office 365登录页面的网络钓鱼页面。攻击者滥用Adobe Campaign重定向机制,使其躲避安全软件的检测,此次攻击针对欧洲、亚洲和中东。

【参考链接】

https://research.checkpoint.com/2020/phishing-campaign-exploits-samsung-adobe-and-oxford-servers/

  1. 多阶段APT攻击使用Cobalt Strik的Malleable C2功能

【概述】

攻击者通过鱼叉式网络钓鱼电子邮件分发伪装成简历的恶意Word文档,该文档使用模板注入删除了.Net Loader,并且使用了Cobalt Strike的Malleable C2功能来下载最终的有效载荷并执行C2通信。

【参考链接】

https://blog.malwarebytes.com/threat-analysis/2020/06/multi-stage-apt-attack-drops-cobalt-strike-using-malleable-c2-feature/

  1. AcidBox恶意软件利用VirtualBox驱动程序漏洞针对俄罗斯

【概述】

AcidBox是一个复杂的模块化工具包,被用于定向攻击活动。在近期的攻击活动中AcidBox恶意软件使用已知VirtualBox驱动程序漏洞CVE-2008-3431来禁用Windows中的驱动程序签名执行,目标是位于俄罗斯的组织。

【参考链接】

https://unit42.paloaltonetworks.com/acidbox-rare-malware/

  1. 针对澳大利亚政府和企业的网络攻击活动

【概述】

攻击者利用许多初始访问媒介,通过在未修补版本的Telerik UI中使用远程代码执行漏洞,发起针对澳大利亚政府和企业的网络攻击活动。攻击者大量使用概念验证漏洞利用代码,Web Shell和其他源代码几乎开放的工具。

【参考链接】

https://www.cyber.gov.au/threats/advisory-2020-008-copy-paste-compromises-tactics-techniques-and-procedures-used-target-multiple-australian-networks

  1. 攻击者利用NetWire间谍软件针对印度人权捍卫者

【概述】

近期有攻击者针对印度维权人士、律师、学者和新闻工作者发动鱼叉式网络钓鱼攻击,通过发送包含恶意链接的电子邮件分发可商业使用的间谍软件NetWire,一旦用户单击这些链接,将被部署间谍软件NetWire,以破坏目标计算机来监视其行为和通信。

【参考链接】

https://www.amnesty.org/en/latest/research/2020/06/india-human-rights-defenders-targeted-by-a-coordinated-spyware-operation/

  1. 滥用合法软件进行dll劫持的攻击活动

【概述】

在近期的攻击活动中攻击者滥用两个合法的应用程序CrystalBit和Apple作为dll双重劫持攻击链的一部分,与广告软件和欺诈性软件进行捆绑,并且部署了应用程序的合法且经过签名的副本,最终向受害者分发挖矿程序。

【参考链接】

https://blog.morphisec.com/crystalbit-apple-double-dll-hijack

  1. 攻击者利用FabulaTech漏洞伪造USB设备

【概述】

FabulaTech允许企业使用应用程序USB设备重定向到远程会话的端点,但其中的总线驱动程序允许低特权用户添加完全控制的软件USB设备。攻击者会使用该漏洞在某些常见情况下提升特权,如可以添加伪造的鼠标指针或键盘进行操作。

【参考链接】

https://labs.sentinelone.com/click-from-the-backyard-cve-2020-9332/

  1. FTCode恶意软件通过垃圾邮件传播

【概述】

FTCode恶意软件通过垃圾邮件进行传播,垃圾邮件带有恶意链接,用户点击链接后重定向到恶意资源。FTCode可以获取Thunderbird和Outlook电子邮件客户端和Chrome、Internet Explorer和FireFox浏览器的凭据。

【参考链接】

https://cert-agid.gov.it/news/campagna-massiva-jasperloader-veicola-ftcode-via-pec/

Meet The Author

Leave Comment