绿盟威胁情报月报-2022年9月

9月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,其中,Microsoft Windows TCP/IP远程代码执行漏洞(CNVD-2022-63613),Windows TCP/IP 协议中存在远程代码执行漏洞,攻击者通过精心构造的IP数据包,可直接在远程目标主机上执行任意代码。该漏洞位于IPv4源路由中,默认情况下,系统会禁用此功能并拒绝相关请求。CVSS 分数为 9.8。

另外,本次微软共修复了5个Critical级别漏洞,58个Important 级别漏洞,其中包括两个0day漏洞。强烈建议所有用户尽快安装更新。

在本月的威胁事件中,攻击者利用含有特定漏洞的Excel文档以控制和收集用户的敏感信息:攻击者利用特定的漏洞(CVE-2017-11882)来执行恶意代码,以在受害者的设备上传递和执行恶意软件。此次攻击受影响的平台是微软Windows,受影响的各方是Windows用户,攻击者的目的是从受害者的设备中控制和收集敏感信息,次次攻击行为的严重级别非常高。攻击者利用D-Link制造的设备中存在的漏洞对其进行攻击:攻击者利用D-Link制造的设备中的D-Link HNAP SOAP 操作标头命令执行漏洞、D-Link SOAP 接口远程执行代码漏洞、D-Link 远程命令执行漏洞、D-Link 远程命令执行漏洞使设备受到损害,然后将其完全控制。他们利用上述漏洞来传播MooBot,这是一种Mirai变体,其目标是运行Linux的暴露的网络设备。他们的攻击目标是针对某些可能正在运行未修补或较旧的版本或设备。黑客组织Worok利用未记录的工具攻击亚洲多个国家的政府和公司:攻击者Worok是由一个以前未知的间谍组织进行的,即沃洛克。他们使用未记录的工具,其中包括一个C++加载程序CLRLoad,一个强力外壳后门POWHeartBeat和一个C#加载程序PNGLoad,它使用隐写术从PNG文件中提取隐藏的恶意有效负载。攻击者针对ProxyShell漏洞的漏洞利用,在这种情况下,通常在利用这些漏洞后上传了网络外壳,以便在受害者的网络中提供持久性。根据这些受害者部署的工具,我们认为Worok的主要目标是窃取东亚的一家电信公司、中亚的一家银行、东南亚的海运业公司、中东的政府实体、南部非洲的一家私营公司、中亚的一家能源公司、东南亚的公共部门实体等地的关键信息。

以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/

一、 漏洞态势

2022年09月绿盟科技安全漏洞库共收录202个漏洞, 其中高危漏洞12个,微软高危漏洞9个。

* 数据来源:绿盟科技威胁情报中心,本表数据截止到2022.09.30

注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

二、 威胁事件

  1. 具有MFA绕过功能的邪恶代理网络钓鱼即服务出现在暗网中

【标签】网络钓鱼

【时间】2022-09-12

【简介】

在最近的Twirio黑客攻击导致2FA(OTP)代码泄露之后,网络犯罪分子继续升级其攻击武器库,以协调针对全球用户的高级网络钓鱼活动。某安全研究院最近发现了一种新的网络钓鱼即服务(PhaaS),称为邪恶代理,在暗网上宣传。在某些来源上,替代名称是Moloch,它与之前针对金融机构和电子商务部门的几个着名地下行为者开发的网络钓鱼工具包有一些联系。虽然Twilio事件仅与供应链有关,但网络安全风险显然会导致对下游目标的攻击,而像EvilProxy(反向代理网络钓鱼即服务)这样的产品化地下服务使威胁参与者能够最大规模地攻击启用了MFA的用户,而无需破解上游服务。邪恶代理参与者正在使用反向代理和Cookie注入方法来绕过2FA身份验证 – 代理受害者的会话。以前,在APT和网络间谍团体的目标活动中已经看到了这种方法,但是现在这些方法已经在EvilProxy中成功产品化,这凸显了对在线服务和MFA授权机制的攻击增长的重要性。

【参考链接】

https://ti.nsfocus.com/security-news/IlNSo

【防护措施】

绿盟威胁情报中心关于该事件提取12条IOC,其中包含9个域名和3个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 攻击者利用DLL旁加载攻击亚洲各国政府

【标签】DLL 旁加载

【时间】2022-09-13

【简介】

政府和国有组织是威胁行为者的最新目标。以前与ShadowPad远程访问木马(RAT)相关的一组独特的间谍攻击者采用了一种新的,多样化的工具集,以针对许多亚洲国家的一系列政府和国有组织发起持续的运动。这些攻击至少自2021年初以来一直在进行,似乎以情报收集为主要目标。目前的活动似乎几乎完全集中在政府或公共实体上,包括:政府首脑/总理办公室、与金融相关的政府机构、政府拥有的航空航天和国防公司、国有电信公司、国有 IT 组织、国有传媒公司。这些攻击的一个显着特征是攻击者利用各种合法软件包,以便使用称为DLL旁加载的技术加载其恶意软件有效负载。通常,攻击者在一次攻击中使用了多个软件包。在许多情况下,使用旧的和过时的软件版本,包括安全软件,图形软件和Web浏览器。在某些情况下,使用来自旧版操作系统 Windows XP 的合法系统文件。使用过时版本的原因是,所用软件的大多数最新版本都会对旁加载内置具有缓解措施。

【参考链接】

https://ti.nsfocus.com/security-news/IlNSQ

【防护措施】

绿盟威胁情报中心关于该事件提取29条IOC,其中包含24个样本和5个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 黑客组织哥布林利用一个新的Linux版本的人行道植入物攻击一所大学

【标签】SideWalk

【时间】2022-09-17

【简介】

安全研究人员发现了SideWalk后门的Linux变体,这是哥布林APT组使用的多种定制植入物之一。该变体于2021年2月部署了针对香港一所大学,该大学在2020年5月的学生抗议活动中已成为SpeakGoblin的目标。我们最初将这个后门命名为舞台客户端,但现在将其简称为人行道Linux。我们还发现,以前已知的 Linux 后门幽灵 RAT,实际上也是 SideWalk Linux 变体,与我们确定的样本具有多个共性。闪闪发光的哥布林是一个APT组织,其战术,技术和程序(TTP)与APT41和钡部分重叠。它利用了基于Motnug和ChaCha20的装载机,人行横道和人行道后门,以及Korplug(又名PoncX)和钴罢工。虽然该集团主要针对东亚和东南亚,但安全研究人员针对世界各地的广泛组织和垂直行业,特别关注学术领域。闪闪发光的哥布林是可以访问暗影垫后门的团体之一。这篇博文记录了人行道Linux,它的受害者学,以及它与最初发现的人行道后门的众多相似之处。

【参考链接】

https://ti.nsfocus.com/security-news/IlNSW

【防护措施】

绿盟威胁情报中心关于该事件提取5条IOC,其中包含2个样本、1一个域名和2个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 网络蠕虫黑客在最新的网络间谍攻击中使用修改后的RAT

【标签】恶意软件

【时间】2022-09-15

【简介】

攻击者正在处理许多恶意软件威胁,其中一些已被用于攻击,而另一些则处于预先部署或测试阶段。安全研究院深入了解了我们称之为 Webworm 的一个组织的当前活动。该小组已经开发了三种较旧的远程访问木马(RAT)的定制版本,包括特罗奇卢斯,Gh0st RAT和9002 RAT。其观察到的至少一个入侵指标(IOC)用于针对在多个亚洲国家/地区运营的IT服务提供商的攻击,而其他指标似乎处于预先部署或测试阶段。这个Webworm组织与一个名为“太空海盗”的组织有联系,该组织之前曾在积极技术公司2022年5月的一份报告中记录过。这两个群体很可能是同一个群体。Webworm至少自2017年以来一直活跃,已知其针对的是位于俄罗斯,格鲁吉亚,蒙古和许多其他亚洲国家的IT服务,航空航天和电力行业的政府机构和企业。之前对该组织活动的研究发现,它使用隐藏在诱饵文档后面的自定义加载器和修改后的后门,这些后门已经存在了相当长一段时间。这与安全研究院最近观察到的 Web 蠕虫活动相对应。

【参考链接】

https://ti.nsfocus.com/security-news/IlNSY

【防护措施】

绿盟威胁情报中心关于该事件提取12条IOC,其中包含12个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 攻击者将W4SP 窃密木马上传至 PyPI 的多个库中达到窃取用户信息

【标签】W4SP

【时间】2022-09-21

【简介】

W4SP 窃密木马是使用 Python 编写并经过混淆的脚本,该木马被上传至 PyPI 的多个库中且被大量使用。近期,相关安全研究院捕获到一起针对 PyPI 库的投毒事件,此次投毒的库名为 Ascii2txt,该投毒库的代码采用了 Hyperion 对源码进行混淆,此次事件中还有其它库被投毒,如pyquest、ultrarequests。目前官方已经将相关库下架,国内源仍有部分缓存。经调查,在本次攻击事件中,攻击者通过上传具有迷惑性库名的 Python 库至 PyPI,受害者使用该库时会自动从远程服务器加载用于后续攻击的载荷,经过对下载内容进行解混淆分析,发现如下内容,从远程服务器加载文件,在本地生成一个伪随机的路径和文件名。详细内容见文章全部,对此相关安全研究院提出的解决方案是服务器定期升级服务或安装最新的安全补丁、谨慎安装未知开源库、安装杀毒软件实时保护设备。

【参考链接】

https://ti.nsfocus.com/security-news/IlNT0

【防护措施】

绿盟威胁情报中心关于该事件提取8条IOC,其中包括4个样本和4个URL;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 攻击者利用ELF 格式的勒索软件攻击Windows 系统

【标签】勒索软件

【时间】2022-09-21

【简介】

近期捕获了一款新的 ELF 格式的勒索软件,它根据给定的文件夹路径加密 Linux 系统内的文件,该勒索软件与 DarkAngels 勒索软件勒索说明文档完全一致。而DarkAngels 勒索软件于 2021 年 5 月首次被发现,主要攻击 Windows 系统.近期,相关安全研究院在运营工作中发现了一种 ELF 格式的勒索软件,该勒索软件近期开始出现,其释放的勒索信中的 Onion 链接似乎已关闭,这表明该勒索软件可能仍在开发中。经过分析,发现该勒索软件与今年5月出现的 DarkAngels 勒索信内容非常相似。而 DarkAngels 与 Babuk 勒索软件也存在相似之处。本文主要分析最新捕获的针对 Linux 平台的 ELF 格式的勒索软件以及针对 Windows 平台的 DarkAngels 两种格式的样本,探究其中的相似与不同之处。

【参考链接】

https://ti.nsfocus.com/security-news/IlNT6

【防护措施】

绿盟威胁情报中心关于该事件提取2条IOC,其中包含2个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 黑客利用网络钓鱼电子邮件攻击Windows 用户

【标签】网络钓鱼

【时间】2022-09-19

【简介】

网络钓鱼会尝试明确说服电子邮件收件人,即使邮件是合法且可信的,但实际上并非如此。这同样适用于发件人对犯罪利用或民族国家活动感兴趣的情况。相关安全研究员最近遇到了一封不起眼的网络钓鱼电子邮件,事实证明,这封电子邮件比最初看起来要多得多。它用俄语编写,试图诱使收件人在其系统上部署恶意软件。用于执行此策略的操作与Koni的先前实例一致,Konni是一种远程管理工具(RAT),与组APT 37(又名:里科切特乔利马,墨奇斯乌贼,疤痕,收割者和Group123)相关联。众所周知,该组织的目标和目标与朝鲜民主主义人民共和国(DPRK)政府的目标和目标(通常称为朝鲜)的目标和目标一致。如前所述,电子邮件是谦逊和精简的。它旨在通过欺骗俄罗斯驻中国沈阳总领事馆的地址来显得官方。它针对的是俄罗斯政府的另一个地址。有趣的是,该消息的主题是回复:Посольство России в Японии,翻译为:俄罗斯驻日本大使馆。这种在电子邮件中包含上一个线程的技术通常用于尝试在收件人看来更可信。

【参考链接】

https://ti.nsfocus.com/security-news/IlNSU

【防护措施】

绿盟威胁情报中心关于该事件提取5条IOC,其中包含3个样本、1个域名和1个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 攻击者利用D-Link制造的设备中存在的漏洞对其进行攻击

【标签】MooBot

【时间】2022-09-06

【简介】

研究人员发现了利用D-Link制造的设备中的几个漏洞的攻击,被利用的漏洞包括:CVE-2015-2051:D-Link HNAP SOAP 操作标头命令执行漏洞、CVE-2018-6530:D-Link SOAP 接口远程执行代码漏洞、CVE-2022-26258:D-Link 远程命令执行漏洞、CVE-2022-28958:D-Link 远程命令执行漏洞。如果设备受到损害,它们将完全由攻击者控制,攻击者可以利用这些设备进行进一步的攻击,例如分布式拒绝服务(DDoS)攻击。研究人员捕获的漏洞利用上述漏洞来传播MooBot,这是一种Mirai变体,其目标是运行Linux的暴露的网络设备。虽然相关安全研究院已发布有关此处提到的所有漏洞的安全公告,但某些用户可能正在运行未修补或较旧的版本或设备,故研究人员强烈建议尽可能应用升级和修补程序。

【参考链接】

https://ti.nsfocus.com/security-news/IlNT2

【防护措施】

绿盟威胁情报中心关于该事件提取28条IOC,其中包含13个样本、1个域名和14个URL;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 攻击者利用含有特定漏洞的Excel文档以控制和收集用户的敏感信息

【标签】恶意软件

【时间】2022-09-19

【简介】

研究员在野外捕获了一个带有嵌入文件的 Excel 文档。值得深究的是,嵌入的文件名是随机的,这促使安全研究人员想要分析这个Excel文档。在对该文件进行了一些快速研究之后,他们了解到它利用特定的漏洞(CVE-2017-11882)来执行恶意代码,以在受害者的设备上传递和执行恶意软件。在此分析中,您将看到精心制作的Excel文档如何利用CVE-2017-11882,它在利用此漏洞时做了什么,它可以将哪些恶意软件家族下载到受害者的设备上,以及肇事者可以执行哪些恶意操作。因此次攻击受影响的平台是微软Windows,受影响的各方是Windows用户,攻击者的目的是从受害者的设备中控制和收集敏感信息,次次攻击行为的严重级别非常高。捕获的 Excel 文档称为GAT412-IFF22.xlsx。它以OOXML格式(办公开放XML,一种压缩的和基于XML的文件格式)保存,由微软开发。

【参考链接】

https://ti.nsfocus.com/security-news/IlNT8

【防护措施】

绿盟威胁情报中心关于该事件提取68条IOC,其中包含63个域名、2个样本和3个URL;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 黑客组织Worok利用未记录的工具攻击亚洲多个国家的政府和公司

【标签】ProxyShell

【时间】2022-09-21

【简介】

研究人员最近发现了针对大多数亚洲知名公司和地方政府的针对性攻击,这些攻击使用未记录的工具。这些攻击是由一个以前未知的间谍组织进行的,他们将其命名为Worok,即沃洛克。该组织至少自2020年以来一直活跃。沃洛克的工具集包括一个C++加载程序CLRLoad,一个强力外壳后门POWHeartBeat和一个C#加载程序PNGLoad,它使用隐写术从PNG文件中提取隐藏的恶意有效负载。虽然大多数初始访问都是未知的,但在某些情况下,直到2021年和2022年,研究人员已经观察到了针对ProxyShell漏洞的漏洞利用。在这种情况下,他们通常在利用这些漏洞后上传了网络外壳,以便在受害者的网络中提供持久性。然后,操作员使用各种植入物来获得进一步的功能。一旦获得访问权限,操作员就部署了多种公开的侦察工具,包括米米卡茨蚯蚓ReGeorgNBTcan,然后部署了他们的定制植入物:第一阶段加载器,然后是第二阶段.NET加载器(PNGLoad)。

【参考链接】

https://ti.nsfocus.com/security-news/IlNTa

【防护措施】

绿盟威胁情报中心关于该事件提取29条IOC,其中包含23个样本、2个域名和4个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author