功夫:2022-01-14
2021.02.04~02.11
攻击团伙谍报
蔓灵花APT组织近期攻击活动分析
Patchwork利用垂钓攻击投放BADNEWS木马新变种
摩诃草近期针对国防与医疗卫生实体的攻击活动分析
疑似蔓灵花针对巴基斯坦航空部门攻击活动分析
KONNI使用新手法针对俄罗斯方向持续发展攻击
攻击行动或事务谍报
攻击者利用恶意批改的dnSpy工具攻击技术人员
Nanocore、Netwire和AsyncRAT传布活动使用公共云基础设施
Magnitude、Underminer缝隙工具包针对GoogleChrome提议攻击
恶意代码谍报
RedLine变种Omicron以COVID为钓饵大举传布
FluBot安卓恶意软件最新分析
Abcbot僵尸网络深刻分析
缝隙谍报
macOS缝隙powerdir(CVE-2021-30970)细节披露
Microsoft2022年1月补丁公告

攻击团伙谍报
01
蔓灵花APT组织近期攻击活动分析
披露功夫:2021年01月10日
谍报起源:https://mp.weixin.qq.com/s/NLe4JqmjiB58IQ5Kn6DSLQ
有关信息:
近期,,,,,,,,360高级威胁钻研院捕获了蔓灵花以“Datailsofbill”为主题针对国表军工企业执行的攻击活动事务,,,,,,,,并披露了蔓灵花在活动中使用的多种新攻击手法及样本。。。。。。。与以往CHM创建打算工作实现悠久化相比,,,,,,,,这次CHM样本将同目录下的PE文件进行自复造实现悠久化并且假装成系统文件,,,,,,,,更拥有荫蔽性。。。。。。。此表在钻研人员捕获的.Net的RAT中,,,,,,,,代码结构并未存在大的调换,,,,,,,,指令名和指令数据处存在更新。。。。。。。
此类变动趋向与响尾蛇组织类似,,,,,,,,两者的更新方向均在于代码执行的部门,,,,,,,,对于后续的远控法式,,,,,,,,重要以流量或代码特点绕过作为优化方向。。。。。。。面对这些层出不穷的攻击手法,,,,,,,,钻研人员必要;;;;;;尘柚摹。。。。。。

02
Patchwork利用垂钓攻击投放BADNEWS木马新变种
披露功夫:2021年01月07日
谍报起源:https://blog.malwarebytes.com/threat-intelligence/2022/01/patchwork-apt-caught-in-its-own-web/
有关信息:
Patchwork是一个南亚地域的APT组织,,,,,,,,自2015年12月以来一向活跃,,,,,,,,通常使用鱼叉式网络垂钓攻击,,,,,,,,重要针对巴基斯坦。。。。。。。在2021年11月底至12月初的最新活动中,,,,,,,,Patchwork利用恶意RTF文件投放了BADNEWS远程治理木马的一个变种。。。。。。。
Ragnatela是BADNEWSRAT的一个新变种,,,,,,,,通过鱼叉式网络垂钓邮件传布给巴基斯坦的有关指标。。。。。。。RagnatelaRAT拥有通过cmd执行号令、捕获屏幕截图、纪录击键次数等职能。。。。。。。Ragnatela在意大利语中意为蜘蛛网,,,,,,,,也是Patchwork这次恶意活动使用的项目名称。。。。。。。
在这次恶意活动中,,,,,,,,攻击者初次将指标锁定在分子医学和生物科学的钻研人员身上。。。。。。。拥有嘲讽意味的是,,,,,,,,攻击者利用其RAT习染了自己,,,,,,,,最后得到的是其电脑和虚构机的键盘击键次数和屏幕截图。。。。。。。
03
摩诃草近期针对国防与医疗卫生实体的攻击活动分析
披露功夫:2021年01月10日
谍报起源:https://mp.weixin.qq.com/s/ZNhdLN_AgGfjdk8nG8kLmw
有关信息:
Patchwork(白象、摩诃草、APT-C-09、DroppingElephant)是一个疑似拥有南亚地域布景的APT组织,,,,,,,,该组织持久针对中国、巴基斯坦等南亚地域国度确当局、医疗、科研等领域进行网络攻击窃密活动。。。。。。。
近期安恒威胁谍报中心猎影尝试室捕获到多个Patchwork组织攻击活动样本,,,,,,,,本次样本重要通过鱼叉式垂钓邮件进行传布,,,,,,,,样本以“医疗卫朝气构登记表”、“巴基斯坦国防官员住房登记表”等有关内容作为钓饵,,,,,,,,通过利用CVE-2017-11882缝隙,,,,,,,,最终开释“BADNEWS”后门法式进行窃密活动。。。。。。。
04
疑似蔓灵花组织针对巴基斯坦航空综合部门攻击活动分析
披露功夫:2021年01月11日
谍报起源:https://mp.weixin.qq.com/s/x1Q7_glLJL_qDnvcO-9yLg
有关信息:
蔓灵花(Bitter)是一个被宽泛以为来自南亚地域的APT组织,,,,,,,,该组织持久针对我国及巴基斯坦确当局、军工、电力、核等部门发起网络攻击,,,,,,,,窃取敏感数据,,,,,,,,拥有较强的政治布景。。。。。。。
近期安恒威胁谍报中心猎影尝试室捕获到一个疑似蔓灵花组织针对巴基斯坦“航空领域”的攻击活动样本。。。。。。。该样本使用名为“PACAdvisoryCommitteeReport.doc”的钓饵文档进行攻击。。。。。。。并且使用一个处于失陷状态的巴基斯坦二手买卖网站服务器来下发第二阶段载荷。。。。。。。
05
KONNI使用新手法针对俄罗斯方向持续发展攻击
披露功夫:2021年01月12日
谍报起源:https://mp.weixin.qq.com/s/AA4dpzwhSyktQGQ83cMHbA
有关信息:
KONNIAPT组织是疑似由特定当局支持的黑客组织,,,,,,,,该组织持久针对俄罗斯、韩国等地域进行定向攻击活动,,,,,,,,其善于使用社会热点话题对指标进行鱼叉式网络垂钓攻击。。。。。。。
微步谍报局近期监测到KONNI组织借助“COVID-19疫苗接种”主题对俄罗斯方向的定向攻击活动,,,,,,,,分析有如下发现:
攻击者向指标发送“疫苗接种预约”有关钓饵文档,,,,,,,,并附带木马模???????椋,,,凭据有关钓饵文件内容,,,,,,,,研判攻击指标为俄罗斯方向有关集体;;;;;;
木马使用DLL劫持的步骤借助有关装置包法式、PDF阅读器执行,,,,,,,,后续加载执行的恶意模???????橛敫米橹酝セ骰疃兴褂玫难靖叨纫恢;;;;;;
与该组织以往攻击活动分歧的是,,,,,,,,在本次攻击活动中,,,,,,,,攻击者并没有使用宏文档进行攻击,,,,,,,,而是将木马模???????橛胝7ㄊ酱虬谝宦方蠨LL劫持攻击。。。。。。。
攻击行动或事务谍报
01
攻击者利用恶意批改的dnSpy工具攻击技术人员
披露功夫:2021年01月12日
谍报起源:http://noahblog.360.cn/fake-dnspy-when-hackers-have-no-martial-ethics/
有关信息:
近日,,,,,,,,黑客提议了一场针对网络安全钻研人员和开发人员的恶意软件活动,,,,,,,,该活动分发一个恶意版本的dnSpy.NET利用法式,,,,,,,,用来装置加密钱币窃取软件、远控木马和挖矿软件。。。。。。。
dnSpy是一个开源工具,,,,,,,,但是此刻不再由最初的开发者开发,,,,,,,,但任何人都能够在GitHub上克隆和批改原始源代码。。。。。。。因而有攻击者用dnSpy的编译版本创建了一个GitHub库,,,,,,,,并在其中装置了一系列恶意软件,,,,,,,,蕴含窃取加密钱币的窃密软件、Quasar木马、挖矿软件和各类未知负载。。。。。。。此表,,,,,,,,攻击者还使用搜索引擎告白来推广这个恶意的GitHub库。。。。。。。目前,,,,,,,,有关恶意的网站已被关关。。。。。。。
02
Nanocore、Netwire和AsyncRAT传布活动使用公共云基础设施
披露功夫:2021年01月12日
谍报起源:https://blog.talosintelligence.com/2022/01/nanocore-netwire-and-asyncrat-spreading.html
有关信息:
CiscoTalos在2021年10月发现了传布Nanocore、Netwire和AsyncRATs恶意软件变种的恶意活动。。。。。。。这些恶意软件变种拥有多种职能,,,,,,,,能够节造受害者的环境,,,,,,,,远程执行肆意号令并窃取受害者的信息。。。。。。。该活动的受害者重要散布在美国、意大利和新加坡。。。。。。。
最初的习染载体是带有恶意ZIP附件的网络垂钓电子邮件。。。。。。。ZIP文件蕴含一个ISO镜像文件,,,,,,,,其中蕴含一个恶意混合的下载法式。。。。。。。攻击者鄙人载器的剧本中使用了复杂的混合技术。。。。。。。每一阶段的去混合过程了局都与后续阶段的解密步骤有关,,,,,,,,最终实现下载恶意负载。。。。。。。同时,,,,,,,,该攻击者还滥用了微软Azure和AWS等云服务以达成其恶意主张,,,,,,,,并且还利用了DuckDNS动态DNS服务,,,,,,,,做到定期更改C2服务器的IP地址,,,,,,,,并急剧增长新的子域。。。。。。。

03
Magnitude、Underminer缝隙工具包针对GoogleChrome提议攻击
披露功夫:2021年01月12日
谍报起源:https://decoded.avast.io/janvojtesek/exploit-kits-vs-google-chrome/
有关信息:
2021年10月,,,,,,,,钻研人员发现Magnitudeexploitkit在测试Chromium缝隙链。。。。。。。约莫一个月后,,,,,,,,钻研人员发现Underminerexploitkit紧随其后,,,,,,,,也开发了针对Chromium缝隙的利用工具。。。。。。。Magnitude使用CVE-2021-21224和CVE-2021-31956,,,,,,,,Underminer使用CVE-2021-21224、CVE-2019-0808、CVE-2020-1020和CVE-2020-1054。。。。。。。Magnitude和Underminer都成功地为Windows上的Chromium开发了缝隙链。。。。。。。
攻击者首先会在合法网站上采办告白,,,,,,,,指标是有可能被他们利用的用户(例如InternetExplorer用户)。。。。。。。这些告白蕴含自动执行的JavaScript代码,,,,,,,,这段代码会进一步分析受害者的浏览器环境,,,,,,,,并为该环境选择一个相宜的缝隙。。。。。。。若是利用成功,,,,,,,,一个恶意的有效载荷将被部署到受害者的网络环境。。。。。。。然而,,,,,,,,就被利用的受害者的数量而言,,,,,,,,这些利用链都不是出格成功。。。。。。。利用Chromium缝隙链失败的原因有可能是攻击者对缝隙的利用寿命预期过高。。。。。。。Chrome浏览器在一个月内会屡次给用户推送通知,,,,,,,,让用户装置浏览器补丁。。。。。。,,,这一行为大大降低了缝隙被利用的概率。。。。。。。

恶意代码谍报
01
RedLine变种Omicron以COVID为钓饵大举传布
披露功夫:2021年01月10日
谍报起源:https://www.fortinet.com/blog/threat-research/omicron-variant-lure-used-to-distribute-redline-stealer
有关信息:
钻研人员最近捕获到了RedlineStealer恶意软件的一个变种"OmicronStats.exe"。。。。。。。关于RedLineStealer的第一份汇报能够追忆到2020年3月,,,,,,,,它很快成为了暗网市场上最受欢迎的恶意软件。。。。。。。由RedLineStealer获取的信息在暗网市场上以每套用户凭证10美元的廉价销售。。。。。。。受害者系统习染RedlineStealer之后,,,,,,,,其账户密码和齐全的浏览器细节城市被纪录。。。。。。。
通常来说,,,,,,,,每个用户的资料蕴含在线支讣户、电子银行服务、文件共享或社交网络平台的账户登陆凭证。。。。。。。固然钻研人员目前无法确定这个Omicron变体的习染载体,,,,,,,,但相信它是通过电子邮件传布的。。。。。。。据相识,,,,,,,,从前的RedLineStealer变体是在以COVID为主题的电子邮件中传布的,,,,,,,,以引诱受害者。。。。。。。目前这个变种的文件名"OmicronStats.exe",,,,,,,,就在Omicron变种成为全球关注的焦点时使用,,,,,,,,遵循了以前变种的模式。。。。。。。
鉴于这个恶意软件被嵌入到一个被受害者打开的文件中,,,,,,,,钻研人员以为电子邮件是这个变种的习染载体。。。。。。。这次恶意活动的潜在受害者散布在12个国度,,,,,,,,攻击者并没有针对特定的组织或幼我。。。。。。。
02
FluBot安卓恶意软件最新分析
披露功夫:2021年01月12日
谍报起源:https://www.f5.com/labs/articles/threat-intelligence/flubots-authors-employ-creative-and-sophisticated-techniques-to-achieve-their-goals-in-version-50-and-beyond
有关信息:
FluBot是一个2020岁首出现的安卓恶意软件。。。。。。。该恶意软件能够远程节造习染设备,,,,,,,,窃取数据。。。。。。。最初,,,,,,,,FluBot重要针对西班牙银行,,,,,,,,但后来其指标扩大到澳大利亚、德国、波兰和英国的银杏祝。。。。。。
FluBot有多种传布方式,,,,,,,,通常是通过垂钓短信。。。。。。。短信指向一个恶意网站,,,,,,,,一旦接见,,,,,,,,受害者会被诱导装置FluBot恶意软件。。。。。。。受害者成功装置并打开FluBot后,,,,,,,,FluBot会接见受害者的联系人列表,,,,,,,,并将其上传到C2服务器,,,,,,,,继而向新的指标联系人列表发送垂钓短信,,,,,,,,实现扩散。。。。。。。
FluBot为了预防被分析使用了很多复杂的技术,,,,,,,,如MultiDex、DGA、DNS-over-HTTPS、RSA+RC4组合加密。。。。。。。目前已经颁布到5.2版本。。。。。。。

03
Abcbot僵尸网络深刻分析
披露功夫:2021年01月14日
谍报起源:https://www.cadosecurity.com/abcbot-an-evolution-of-xanthe/
有关信息:
近期,,,,,,,,钻研人员发现新兴僵尸网络Abcbot与几年前基于Xanthe恶意软件的加密劫持活动存在显著联系。。。。。。。钻研人员以为,,,,,,,,Xanthe和Abcbot由统一攻击者开发,,,,,,,,并且其活动指标产生了转变,,,,,,,,从在受习染主机上挖掘加密钱币,,,,,,,,转向更传统的与僵尸网络有关的活动,,,,,,,,例如DDoS攻击。。。。。。。Xanthe是一个加密劫持的恶意软件家族,,,,,,,,其重要指标是劫持系统资源以挖掘Monero加密钱币。。。。。。。Xanthe搜索并习染露出的DockerAPI端点。。。。。。。
Abcbot最初于2021年7月被观察到,,,,,,,,钻研人员在分析Abcbot的基础架构时,,,,,,,,发现了与Xanthe恶意软件活动之间的联系。。。。。。。在比力来自两个活动的恶意软件样本后,,,,,,,,发现两个恶意软件家族的代码和职能集也有很显著的类似性。。。。。。。两个恶意软件家族拥有类似的编码风格,,,,,,,,函数在文件顶部申明,,,,,,,,在后面进行挪用,,,,,,,,并且共享类似的函数名称。。。。。。。
这两个恶意软件家族都在受习染的系统上创建了四个拥有齐全一样名称的恶意用户,,,,,,,,并且都搜索和删除可能与其竞争的用户。。。。。。。此表,,,,,,,,两个恶意软件样本都是能够轻松复造的shell剧本,,,,,,,,阐发出能够代码沉用的特点。。。。。。。

缝隙有关
01
macOS缝隙powerdir(CVE-2021-30970)细节披露
披露功夫:2021年01月10日
谍报起源:https://www.microsoft.com/security/blog/2022/01/10/new-macos-vulnerability-powerdir-could-lead-to-unauthorized-user-data-access/
有关信息:
1月10日,,,,,,,,微软颁布关于macOS中的缝隙powerdir(CVE-2021-30970)的分析汇报。。。。。。。微软暗示,,,,,,,,攻击者能够利用该缝隙绕过通明、赞成和节造(TCC)技术来接见用户的数据。。。。。。。
钻研人员发现,,,,,,,,能够通过编程的方式篡改指标用户主目录并植入伪TCC数据库,,,,,,,,攻击者可利用该缝隙凭据用户受;;;;;;さ挠孜沂莶叨セ鳌。。。。。。微软团队在2021年7月15日将缝隙汇报给Apple公司,,,,,,,,Apple在12月13日颁布的安全更新中建复。。。。。。。
Microsoft2022年1月补丁公告
披露功夫:2021年01月14日
谍报起源:https://msrc.microsoft.com/update-guide/
有关信息:
Microsoft在1月份的补丁日颁布了97个缝隙的建复补丁。。。。。。,,,涉及到MicrosoftDefender、MicrosoftDevices、MicrosoftOffice、MicrosoftPowerShell、WindowsNTFS等多款产品或组件,,,,,,,,其中9个缝隙被象征为严沉缝隙,,,,,,,,88个被象征为高危缝隙。。。。。。。
这次建复的最严沉的是HTTP和谈栈远程代码执行缝隙(CVE-2022-21907),,,,,,,,CVSS评分为9.8,,,,,,,,攻击者能够通过发送恶意数据包到指标服务器来利用该缝隙。。。。。。。
此表,,,,,,,,更新还建复了6个0day,,,,,,,,蕴含开源Curl库中的RCE(CVE-2021-22947)、开源Libarchive库中的RCE(CVE-2021-36976)和本地Windows安全中心API中的RCE(CVE-2022-21874)等。。。。。。。
0day缝隙注明:
CVE-2021-22947OpenSourceCurl远程代码执行缝隙:此CVE是关于Windows使用的curl开源库中的一个缝隙。。。。。。。它的CVSS评分为5.9,,,,,,,,风险等级中等。。。。。。。
当curl>=7.20.0和
CVE-2021-36976Libarchive远程代码执行缝隙:CVE-2021-36976是关于Windows使用的libarchive开源库中的一个缝隙。。。。。。。它的CVSS评分为6.5,,,,,,,,风险等级中等。。。。。。。
CVE-2022-21919WindowsUserProfileService特权提升缝隙:CVE-2022-21919是WindowsUserProfileService的特权提升缝隙。。。。。。。它的CVSS评分为7.0,,,,,,,,风险等级高。。。。。。。该缝隙为去年国表安全钻研员公开的0day缝隙,,,,,,,,现已建复。。。。。。。
其他沉要缝隙注明:
CVE-2022-21907HTTP和谈仓库远程执行代码缝隙:CVE-2022-21907的CVSS评分为9.8分,,,,,,,,风险等级高,,,,,,,,可能导致蠕虫化利用。。。。。。。成功利用必要攻击者将恶意造作的数据包发送到指标Windows服务器,,,,,,,,这些服务器使用易受攻击的HTTP和谈栈来处置数据包。。。。。。。微软建议用户优先在所有受影响的服务器上建补此缝隙,,,,,,,,由于它可能允许未经身份验证的攻击者在低复杂度攻击中远程执行肆意代码,,,,,,,,并且“在大无数情况下”,,,,,,,,无需用户交互。。。。。。。该缝隙影响最新的桌面和服务器Windows版本,,,,,,,,蕴含Windows11和WindowsServer2022。。。。。。。该缝隙目前并未受到积极利用,,,,,,,,也没有公开披露的POC(概想验证代码)利用。。。。。。。