功夫:2021-12-31
2021.12.23~12.30
攻击团伙谍报
疑似“肚脑虫”近期针对孟加拉国的攻击活动分析
深刻分析EquationGroup的DoubleFeature后开发框架
Lazarus利用NukeSped后门进行垂钓攻击
BlackTech利用Flagpro攻击日本实体
攻击行动或事务谍报
攻击者利用社交论坛传布Echelon恶意软件
窃取和挖掘加密钱币的新冠主题垂钓活动
仿冒巴西银行分发恶意软件的活动分析
仿冒辉瑞生物造药公司进行网络垂钓攻击活动分析
恶意代码谍报
BLISTER恶意软件活动披露
TigerRAT、TigerDownloader恶意软件家族近期传布分析
新型勒索软件Rook大举传布,,,,,,,利用Babuk代码
Dridex恶意软件家族近期传布分析
缝隙谍报
ApacheLog4j远程代码执行缝隙(CVE-2021-44832)公告
攻击团伙谍报
01
疑似“肚脑虫”APT组织近期针对孟加拉国的攻击活动分析
披露功夫:2021年12月23日
谍报起源:https://mp.weixin.qq.com/s/gsUN6lXMz17_jkR8xIrZNA
有关信息:
近日,,,,,,,ca88登陆平台在日常的威胁狩猎捕获一路APT组织Donot近期疑似针对孟加拉国攻击活动。。。。。。在此攻击活动中,,,,,,,攻击者重要以”孟加拉国职业大学2021年电子工程专业演示文稿”为主题,,,,,,,将PPT钓饵文件通过垂钓邮件发送给受害者。。。。。。
当受害者打开钓饵文件并执行宏,,,,,,,宏会开释%Public%\Music\delta.dll文件,,,,,,,并在系统启动目录下开释sdelta.bat文件。。。。。。sdelta.bat重要是创建打算工作deckteck,,,,,,,用来加载导出函数qdsfakraksdfkdkfjk,,,,,,,以实现delta.dll自启动。。。。。。最后文档弹出机关的谬误弹框用来蛊惑用户,,,,,,,覆盖开释文件的恶意行为,,,,,,,这种弹框方式在以往Donot组织攻击活动中也时时出现。。。。。。delta.dll文件会上传推算机和用户根基信息到远程服务器,,,,,,,并下载后续攻击????????榈奖镜刂葱。。。。。。
02
深刻分析EquationGroup的DoubleFeature后开发框架
披露功夫:2021年12月27日
谍报起源:https://research.checkpoint.com/2021/a-deep-dive-into-doublefeature-equation-groups-post-exploitation-dashboard/
有关信息:
12月27日,,,,,,,CheckPoint披露EquationGroup使用的全职能恶意软件框架DanderSpritz的技术分析。。。。。。DanderSpritz于2017年4月14日被ShadowBrokers公开,,,,,,,蕴含用于悠久性、窥伺、横向移动、绕过杀毒引擎等活动的多种工具。。。。。。
该钻研沉点分析其中的一个组件DoubleFeature,,,,,,,它用来天生可装置在指标设备中的工具类型的日志和汇报,,,,,,,并会网络大量各种类型的数据。。。。。。
03
Lazarus利用NukeSped后门进行垂钓攻击
披露功夫:2021年12月28日
谍报起源:https://mp.weixin.qq.com/s/834tMVCCH6UQe8zW0eEMSA
有关信息:
近期,,,,,,,钻研人员发现了来自Lazarus的多起攻击活动。。。。。。Lazarus时时利用其特有攻击载荷NukeSped进行攻击活动,,,,,,,此兵器后门职能丰硕,,,,,,,且样本迭代较快。。。。。。这次捕获的样本为未披露过的NukeSped有关类型样本。。。。。。
Lazarus利用与招聘工作有关的文档作为钓饵,,,,,,,来蛊惑用户点击。。。。。。用户点击后,,,,,,,文档恶意宏会解密图形对象数据,,,,,,,并要求保留地址模板。。。。。。解密后的载荷以暗藏文件的大局保留在系统目录%ProgramData%下,,,,,,,随后文档挪用rundll32.exe执行载荷,,,,,,,与服务器成立通讯衔接。。。。。。
本次披露的样本与之前披露样本属于同类型样本,,,,,,,但是样本之间有所差距。。。。。。这次披露样本结构相对复杂,,,,,,,载荷更新也比力快,,,,,,,必要引起足够的器沉。。。。。。

04
BlackTech利用Flagpro攻击日本实体
披露功夫:2021年12月28日
谍报起源:https://insight-jp.nttsecurity.com/post/102hf3q/flagpro-the-new-malware-used-by-blacktech
有关信息:
近日,,,,,,,NTTSecurity钻研人员披露BlackTech利用Flagpro恶意软件攻击日本实体。。。。。。这次攻击的初始习染媒介是假装成来自指标合作同伴的垂钓邮件,,,,,,,之后攻击者会利用Flagpro进行网络窥伺、评估指标环境以及下载并执行第二阶段恶意软件。。。。。。
据NTTSecurity称,,,,,,,这次活动至少始于2020年10月,,,,,,,已针对日本公司一年多,,,,,,,涉及国防技术、媒体和通讯行业在内的多个领域。。。。。。

攻击团伙谍报
01
攻击者利用社交论坛传布Echelon恶意软件
披露功夫:2021年12月23日
谍报起源:https://www.safeguardcyber.com/blog/echelon-malware-crypto-wallet-stealer-malware
有关信息:
近期SafeguardCyber的安全钻研人员监测到在Telegram的一个数字钱币买卖频路中传布Echelon恶意软件的行为。。。。。。Echelon样本的指标是登陆凭证和数字钱币钱包。。。。。。
攻击者颁布了一个rar压缩包,,,,,,,压缩包里面蕴含3个文件,,,,,,,其中就有Echelon恶意可执行文件。。。。。。对可执行文件的分析批注,,,,,,,它有2个反调试职能并使用ConfuserEx进行了代码混合。。。。。。去混合后,,,,,,,钻研人员发现Echelon具罕见字钱币钱包和凭证窃。。。。。。,,,,,,以及域检测和推算机指纹鉴别职能。。。。。。恶意软件还会试图截屏受害者的电脑。。。。。。幸运的是,,,,,,,WindowsDefender目前能够检测并断根恶意样本。。。。。。
02
窃取和挖掘加密钱币的新冠主题垂钓活动
披露功夫:2021年12月23日
谍报起源:https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/covid-19-phishing-lure-to-steal-and-mine-cryptocurrency/
有关信息:
最近,,,,,,,SpiderLabs观察到一个传布恶意软件的垃圾邮件活动,,,,,,,利用新冠疫情作为主题。。。。。。这些电子邮件来自被习染的邮箱,,,,,,,蕴含一个指向Word文档的链接。。。。。。邮件仿冒成新冠病毒检测通知,,,,,,,诱导用户点击链接。。。。。。
为了逃避静态病毒检测,,,,,,,下载的Word文档不蕴含恶意代码。。。。。。然而,,,,,,,攻击者使用了远程模板注入技术,,,,,,,在受害者打开文档时,,,,,,,从远程服务器检索一个恶意的启用宏的模板。。。。。。模板通过自界说VBA函数解码并加载一些Base64二进造文件。。。。。。其中,,,,,,,蕴含信息窃取软件ClipBanker和挖矿软件下载器。。。。。。此表,,,,,,,攻击者还会获取受害者的邮件联系人信息,,,,,,,并复造钓饵邮件传布。。。。。。

03
攻击者仿冒巴西银行分发恶意软件
披露功夫:2021年12月23日
谍报起源:https://blog.cyble.com/2021/12/23/malicious-app-targets-major-brazilian-bank-itau-unibanco/
有关信息:
近期,,,,,,,钻研人员捕获到了针对巴西一家名为ItauUnibanco的银行公司的恶意软件样本。。。。。。此恶意软件试图在受害者不知情的情况下以一个占有类似图标和名称的虚伪利用法式_lTAU_SINC/sincronizador来糊弄用户以为其是一个与ItauUnibanco有关的合法利用法式。。。。。。
攻击者创建了一个虚伪的GooglePlay商店页面,,,,,,,并在上面以'sincronizador.apk'的名义托管了针对ItauUnibanco的恶意软件。。。。。。攻击者不休调整其分发方式,,,,,,,以预防被发现,,,,,,,并通过越来越复杂的技术找到新的步骤来针对用户。。。。。。
这类恶意利用法式往往假装成合法的利用法式,,,,,,,以糊弄用户装置它们,,,,,,,并试图在受害者不知情的情况下进行诓骗性金融买卖。。。。。。用户应该在验证其真实性后再装置利用法式,,,,,,,并且只从官方的GooglePlay商店和其他受信赖的门户网站装置,,,,,,,以预防此类攻击。。。。。。
04
攻击者仿冒辉瑞生物造药公司进行网络垂钓攻击
披露功夫:2021年12月23日
谍报起源:https://www.inky.com/blog/fresh-phish-phishers-impersonate-pfizer-in-request-for-quotation-scam
有关信息:
8月至12月期间,,,,,,,钻研人员检测到一路拥有很强针对性的网络垂钓活动。。。。。。攻击者假意生物技术巨头辉瑞(pfizer)公司,,,,,,,发送了410封网络垂钓电子邮件,,,,,,,旨在窃取贸易和财政信息。。。。。。;;;;;;;匀鹗且患页勖脑煲┕荆,,,,,,总部位于美国纽约,,,,,,,该公司称其尝试性抗新冠药物Paxlovid能够使高危新冠患者的住院率和殒命风险削减89%。。。。。。
钻研人员发现,,,,,,,自2021年8月15日起头,,,,,,,攻击者就假意辉瑞公司发展了网络电子邮件垂钓活动。。。。。。网络垂钓邮件来自于一组易被混合的域名,,,,,,,这些域名是通过Namecheap注册的。。。。。。这些域名被假装成是由辉瑞公司节造的,,,,,,,诱使用户以为这是辉瑞公司的官方在线网站。。。。。。网络垂钓电子邮件中使用了“垂危询价”、“投标约请”和“工业设备供给”等主题作为钓饵。。。。。。邮件中的PDF附件有三页,,,,,,,看起来非????????尚。。。。。。PDF中不蕴含恶意软件投放链接或网络垂钓的URL,,,,,,,且内容严谨没有错别字。。。。。。PDF内容中会商了付款方式和条款,,,,,,,要求收件人分享他们的银行具体信息。。。。。。
这次活动简直切指标尚不明显,,,,,,,攻击者可能会在将来针对指标公司客户提议贸易电子邮件攻击。。。。。。钻研人员暗示,,,,,,,当收到蕴含异常投标要求的电子邮件时,,,,,,,应使用公司的官方电话号码联系公司以确认邮件。。。。。。
恶意代码谍报
01
BLISTER恶意软件活动披露
披露功夫:2021年12月23日
谍报起源:https://www.elastic.co/cn/blog/elastic-security-uncovers-blister-malware-campaign
有关信息:
ElasticSecurity近期发现了一个利用有效证书来逃避检测的恶意软件活动。。。。。。;;;;;;;疃谐鱿至艘恢中滦偷亩褚馊砑加载器BLISTER,,,,,,,其用于在内存中执行第二阶段恶意负载并实现悠久化。。。。。。
该活动的一个关键就是使用由Sectigo宣告的有效代码署名证书。。。。。。攻击者能够窃取合法的代码署名证书,,,,,,,也能够直接从证书宣告机构或借助空壳公司采办证书。。。。。。具备有效证书的可执行文件通常更少被仔细查抄,,,,,,,这能够让攻击者维持在较长一段功夫内不被检测。。。。。。至于新恶意软件加载器BLISTER,,,,,,,它被拼接到了合法的库中,,,,,,,可经单一的加载法式写入磁盘并执行。。。。。。一旦执行,,,,,,,BLISTER将开释CobaltStrike和BitRat等负载,,,,,,,并成立悠久化。。。。。。
02
TigerRAT、TigerDownloader恶意软件家族近期传布分析
披露功夫:2021年12月22日
谍报起源:https://threatray.com/blog/establishing-the-tigerrat-and-tigerdownloader-malware-families/
有关信息:
韩国CERT(KrCERT)在一路攻击活动中发现了以前没有的新技术和恶意软件,,,,,,,并将这次攻击中的恶意软件工具称为TigerDownloader和TigerRAT。。。。。。跟进后发现,,,,,,,这些工具属于一样的下载器和RAT家族。。。。。。这些二进造文件共享部门职能,,,,,,,以实现有效的解包。。。。。。其余的共享职能是用来预防被反病毒软件、Yara和有关的基于模式的检测技术检测的。。。。。。
到目前为止,,,,,,,打包的样本都是由一个共同的打包器打包的,,,,,,,代码拥有肯定的关联性。。。。。。代码之间的差距是由于有垃圾代码的存在。。。。。。对于TigerRAT,,,,,,,目前钻研人员发现有三个分歧的版本。。。。。。对于TigerDownloader,,,,,,,目前发现了两个版本,,,,,,,一个拥有悠久性,,,,,,,另一个没有。。。。。。而最近的钻研显示,,,,,,,可能还存在其他尚未公开的变种。。。。。。

03
新型勒索软件Rook大举传布,,,,,,,利用Babuk代码
披露功夫:2021年12月23日
谍报起源:https://www.sentinelone.com/labs/new-rook-ransomware-feeds-off-the-code-of-babuk/
有关信息:
近期,,,,,,,钻研人员捕获到了Rook勒索软件的样本。。。。。。Rook选取了一种左右开弓的勒索方式:首先要求受害者支付赎金来解锁加密文件,,,,,,,而后通过运营商的网站公开威胁勒索,,,,,,,若是受害者不遵守要求,,,,,,,就会被泄露数据。。。。。。Rook勒索软件重要是通过第三方交付的,,,,,,,例如CobaltStrike;;;;;;;;但是,,,,,,,也有汇报称,,,,,,,通过垂钓邮件交付。。。。。。软件样本通常是用UPX打包,,,,,,,但也有其他的加密器,,,,,,,如VMProtect。。。。。。此勒索软件试图终止任何可能滋扰加密的过程。。。。。。与大无数勒索软件家族一样,,,,,,,Rook也会试图删除卷影副本,,,,,,,以预防受害者从备份中复原。。。。。。此勒索软件不拥有悠久性,,,,,,,在执行结束之后会自行删除。。。。。。
Rook和Babuk之间有很多类似代码,,,,,,,这是2021年Babuk源代码泄漏的了局。。。。。。钻研人员揣摩Rook是目前利用Babuk源代码的最新型勒索软件。。。。。。Rook和Babuk城市使用Windows沉启治理器API来援手过程终止,,,,,,,其中蕴含与MSOffice和Steam有关的过程。。。。。。钻研人员还把稳到Rook和Babuk在一些环境查抄和后续行为方面的沉叠,,,,,,,蕴含删除卷影副本。。。。。。

04
Dridex恶意软件家族近期传布分析
披露功夫:2021年12月23日
谍报起源:https://blog.malwarebytes.com/threat-intelligence/2021/12/dridex-affiliate-dresses-up-as-scrooge/
有关信息:
MalwarebytesLABS近期发现了传布Dridex的垂钓邮件活动,,,,,,,Dridex是一个恶意软件下载器,,,,,,,能够加载额表有效负载,,,,,,,蕴含勒索软件。。。。。。垂钓邮件使用了裁员通知、新冠最新变种Omicron等主题,,,,,,,可能都来自统一犯罪团伙。。。。。。
垂钓邮件蕴含有密码保;;;;;;;さ腅xcel文档,,,,,,,被打开后会弹出对话框来要求用户启用宏。。。。。。宏运行后会将一个rtf文件放入%programdata%目录中,,,,,,,并通过mshta.exe执行。。。。。。之后,,,,,,,会下载真正的恶意负载,,,,,,,该负载属于Dridex恶意软件家族。。。。。。
缝隙有关
01
ApacheLog4j远程代码执行缝隙(CVE-2021-44832)公告
披露功夫:2021年12月29日
谍报起源:https://mp.weixin.qq.com/s/8JObCLtNfHMU7Ib4JxPd2g
有关信息:
近日,,,,,,,ca88登陆平台CERT监测到Apache官方颁布了ApacheLog4j远程代码执行缝隙(CVE-2021-44832),,,,,,,在某些特殊场景下(如系统选取动态加载远程配置文件的场景等),,,,,,,有权批改日志配置文件的攻击者能够构建恶意配置,,,,,,,通过JDBCAppender引用JNDIURI数据源触发JNDI注入,,,,,,,成功利用此缝隙能够实现远程代码执行。。。。。。
ApacheLog4j1.x不受此缝隙影响,,,,,,,只有引用log4j-core依赖受此缝隙影响。。。。。。仅引用log4j-api依赖而不引用log4j-core的利用法式不受此缝隙的影响。。。。。。ApacheLog4j是唯一受此缝隙影响的日志服务子项目,,,,,,,Log4net和Log4cxx等其他项目不受影响。。。。。。