功夫:2022-01-28
2022.01.20~01.27
攻击团伙谍报
假旗or升级??????疑似海莲花利用Glitch平台的攻击样本再现
MoleratsAPT针对中东用户的新间谍攻击
APT36组织攻击链和恶意软件兵器库分析
疑似APT28利用CVE-2021-40444针对高级当局官员的间谍活动
攻击行动或事务谍报
假意航运公司分发STRRAT的垂钓活动
攻击者滥用谷歌标签治理器提议WebSkimming攻击
Anomalous间谍软件活动窃取工业公司凭证
恶意代码谍报
LockBit勒索软件针对ESXi的新变种分析
WhisperGate和NotPetya恶意软件存在类似之处
Android恶意软件BRATA的新变体
缝隙谍报
Log4j缝隙沉现:VMWareHorizon服务器面对攻击风险
利用CWP的文件蕴含和肆意写入缝隙可实现远程代码执行
攻击团伙谍报
01
假旗or升级??????疑似海莲花利用Glitch平台的攻击样本再现
披露功夫:2022年01月20日
谍报起源:https://mp.weixin.qq.com/s/1L7o1C-aGlMBAXzHqR9udA
有关信息:
ca88登陆平台红雨滴钻研人员一向持续关注APT组织海莲花(OceanLotus)的有关动态,,,,,,,,近期Netskope颁布了一篇关于mht体式文件(Web归档文件)通过携带的Office宏植入恶意软件的分析汇报,,,,,,,,由于其中提及的样本选取的攻击手法与海莲花组织存在类似之处,,,,,,,,汇报以为这次攻击活动是海莲花组织所为。。。。。深刻分析后发现,,,,,,,,攻击流程中存在一些分歧于海莲花过往攻击活动的特点,,,,,,,,因而不排除其他攻击团伙仿照海莲花的可能性。。。。;;;;;;;;谙钟械墓畔ⅲ,,,,,,,临时还不能确定这次攻击活动背后团伙的具体身份。。。。。
此类样本利用Glitch平台分发恶意软件,,,,,,,,攻击时宏代码会凭据系统版本开释32位或64位恶意DLL,,,,,,,,开释恶意DLL时会插入一段随机数据。。。。。恶意DLL将网络的信息回传给Glitch平台托管的C2服务,,,,,,,,而后下载经过7z压缩的后续恶意软件并执杏祝。。。。攻击者对宏代码和恶意DLL均进行了代码混合。。。。。

02
MoleratsAPT针对中东用户的新间谍攻击
披露功夫:2022年01月20日
谍报起源:https://www.zscaler.com/blogs/security-research/new-espionage-attack-molerats-apt-targeting-users-middle-east
有关信息:
近日,,,,,,,,Zscaler钻研人员披露了Molerats团伙针对中东地域的间谍活动。。。。。据悉,,,,,,,,攻击从2021年7月就已起头,,,,,,,,攻击者利用合法的云服务(如GoogleDrive和Dropbox)托管恶意软件payload,,,,,,,,从中东地域的指标中窃取数据。。。。。这次活动利用与以色列和巴勒斯坦矛盾有关的钓饵,,,,,,,,在指标系统上装置.NET后门,,,,,,,,重要指标蕴含巴勒斯坦银行业员工、巴勒斯坦政党成员,,,,,,,,以及土耳其记者等。。。。。

03
APT36组织攻击链和恶意软件兵器库分析
披露功夫:2022年01月24日
谍报起源:https://www.trendmicro.com/en_us/research/22/a/investigating-apt36-or-earth-karkaddans-attack-chain-and-malware.html
有关信息:
APT36是一个拥有政治动机的APT组织,,,,,,,,以印度军事和表交资源为指标。。。。。近期,,,,,,,,钻研人员发现该组织利用CapraRAT、CrimsonRAT、ObliqueRat进行恶意活动。。。。。通常情况下,,,,,,,,此组织时时以社会工程和网络垂钓作为切入点,,,,,,,,而后部署恶意软件,,,,,,,,从受害者那里窃守信息。。。。。在这次活动中,,,,,,,,此组织利用鱼叉式垂钓邮件和一个USB蠕虫投放和执行远程接见木马(RAT)。。。。。恶意邮件以各类钓饵来糊弄受害者下载恶意软件,,,,,,,,蕴含诓骗性确当局文件、显示迷人女性资料的蜜糖陷阱,,,,,,,,以及与最近冠状病毒有关的信息。。。。。
一旦受害者下载了恶意宏,,,,,,,,它将解密一个暗藏在文本框内的嵌入式可执行法式,,,,,,,,在执行之前,,,,,,,,此恶意宏会被保留到一个硬编码的蹊径。。。。。一旦可执行文件被执行,,,,,,,,它将持续解压缩一个名为mdkhm.zip的文件,,,,,,,,而后执行一个名为dlrarhsiva.exe的CrimsonRAT可执行文件。。。。。攻击者在其活动中使用CrimsonRAT恶意软件与C&C服务器通讯,,,,,,,,以下载其他恶意软件或渗出数据。。。。。CrimsonRAT能够从浏览器中窃取凭证,,,,,,,,网络防病毒信息,,,,,,,,捉拿屏幕截图,,,,,,,,并列出受害者的驱动器、过程和目录。。。。。

除了CrimsonRAT恶意软件,,,,,,,,此组织在活动中还会使用ObliqueRat恶意软件。。。。。一旦受害者点击钓饵链接,,,,,,,,会下载一个带有恶意宏的文件。。。。。启用该宏后,,,,,,,,它将下载暗藏在图像文件中的ObliqueRat恶意软件。。。。。文件中的宏将下载一个暗藏ObliqueRAT恶意软件的位图图像(BMP)文件,,,,,,,,对下载的BMP文件进行解码,,,,,,,,而后通过创建一个自动运行ObliqueRAT的URL来维持悠久性。。。。。同时此组织还会使用CapraRAT,,,,,,,,通过恶意网络垂钓链接部署,,,,,,,,与CrimsonRat的职能类似。。。。。

04
疑似APT28利用CVE-2021-40444针对高级当局官员的间谍活动
披露功夫:2022年01月25日
谍报起源:https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/prime-ministers-office-compromised.html
有关信息:
近日,,,,,,,,Trellix确定了一项多阶段间谍活动,,,,,,,,指标是掌管国度安全政策的高级当局官员和西亚国防工业的幼我。。。。。
习染链始于Excel下载法式的执行,,,,,,,,很可能是通过电子邮件发送给受害者的,,,,,,,,该法式利用MSHTML远程代码执行缝隙(CVE-2021-40444)在内存中执行恶意可执行文件。。。。。该攻击使用的恶意软件被钻研人员定名为Graphite,,,,,,,,它基于OneDriveEmpireStager,,,,,,,,通过MicrosoftGraphAPI将OneDrive账户用作号令和节造服务器。。。。。这种多阶段攻击被以为与APT组织有关,,,,,,,,经恶意软件的代码块和序列匹配,,,,,,,,钻研人员发现该恶意代码与2018年APT28的样本类似度较高,,,,,,,,疑似为APT28的攻击兵器。。。。。

攻击行动或事务谍报
01
假意航运公司分发STRRAT的垂钓活动
披露功夫:2022年01月20日
谍报起源:https://www.fortinet.com/blog/threat-research/new-strrat-rat-phishing-campaign
有关信息:
Fortinet披露了分发远程接见木马STRRAT的垂钓活动。。。。。这次活动假意航运公司马士基航运公司(MaerskShipping),,,,,,,,使用以装运、交货日期更改或采办通知的垂钓邮件,,,,,,,,当指标打开邮件中的附件后就会运行恶意宏并装置STRRAT。。。。。STRRAT能够窃取指标的信息,,,,,,,,或者进行假的勒索攻击(在攻击中没有文件被加密)。。。。。此表,,,,,,,,攻击者使用了Allatori工具对软件包进行了混合,,,,,,,,以绕过安全产品的检测。。。。。
02
攻击者滥用谷歌标签治理器提议WebSkimming攻击
披露功夫:2022年01月24日
谍报起源:https://decoded.avast.io/pavlinakopecka/web-skimming-attacks-using-google-tag-manager/
有关信息:
Avast安全人员发现了一系列从2021年3月到此刻持续活跃的WebSkimming攻击。。。。。这些攻击滥用了谷歌标签治理器(GTM),,,,,,,,重要针对阿根廷和沙特阿拉伯的网站。。。。。
攻击者使用GTM作为WebSkimming攻击的第一阶段。。。。。首先,,,,,,,,受习染的网页从HTML文件中加载GTM域下的剧本。。。。。现实上很多网站城市使用GTM,,,,,,,,但是攻击者利用GTM剧本可增长自界说剧本的特点,,,,,,,,增长了自界说的恶意代码,,,,,,,,从而加载另一个javascript文件。。。。。WebSkimming攻击的第二阶段是加载名为favicon的恶意负载,,,,,,,,该负载蕴含400行混合处置的js代码,,,,,,,,会通过WebSockets下载最终阶段负载。。。。。最终的负载有约1000行恶意代码,,,,,,,,职能为窃取用户买卖的支付详情。。。。。

03
Anomalous间谍软件活动窃取工业公司凭证
披露功夫:2022年01月19日
谍报起源:https://securelist.com/hunt-for-corporate-credentials-on-ics-networks/105545/
有关信息:
钻研人员发现了几项针对工业企业的间谍软件活动,,,,,,,,攻击者旨在窃取电子邮件账户痛处,,,,,,,,并进行财政诓骗活动或将其转售给其他威胁者。。。。。攻击中使用的商品恶意软件蕴含AgentTesla、HawkEye、Noon/Formbook、Masslogger、SnakeKeylogger、Azorult和Lokibot。。。。。钻研人员将这些间谍软件攻击称为Anomalous。。。。。
攻击者使用通过鱼叉式网络垂钓获得的凭证深刻渗入并在公司网络中横向移动。。。。。此表,,,,,,,,他们将在先前攻击中受损的企业邮箱用作新攻击的C2服务器,,,,,,,,这使得恶意内部通讯的检测和象征极度拥有挑战性。。。。。
目前,,,,,,,,至少有2,000个企业电子邮件账户被滥用为一时C2服务器,,,,,,,,还有7,000个电子邮件账户以其他方式被滥用。。。。。在这些活动中被盗的电子邮件RDP、SMTP、SSH、cPanel和VPN账户痛处都颁布在暗网市场上,,,,,,,,并最终销售给其他威胁参加者。。。。。在这些犯法市场销售的RDP账户中,,,,,,,,约有3.9%属于工业公司。。。。。

恶意代码谍报
01
LockBit勒索软件针对ESXi的新变种分析
披露功夫:2022年01月24日
谍报起源:https://www.trendmicro.com/en_us/research/22/a/analysis-and-Impact-of-lockbit-ransomwares-first-linux-and-vmware-esxi-variant.html
有关信息:
自2021年10月以来,,,,,,,,趋向科技起头在野捕获到LockBit勒索软件的变种样本LockbitLinux-ESXiLockerversion1.0。。。。。该类样本选取AES和ECC两种加密算法进行数据加密,,,,,,,,且在运行时能够指定多种参数。。。。。其日志职能能够网络纪录处置器信息、加密时长、加密文件大幼等信息。。。。。该变种还蕴含对ESXi服务器上的虚构机镜像进行加密所必须的号令。。。。。
这一变种版本的发现切合当前勒索软件组织转移沉心到加密ESXi服务器等Linux主机的做法。。。。。ESXi服务器通常承载多个虚构机,,,,,,,,这些虚构机又承载着组织的沉要数据或服务。。。。。因而,,,,,,,,针对ESXi服务器的勒索软件可能会对指标公司产生更大影响。。。。。这一趋向是由REvil和DarkSide等勒索软件家族所引领的。。。。。
02
WhisperGate和NotPetya恶意软件存在类似之处
披露功夫:2022年01月21日
谍报起源:https://blog.talosintelligence.com/2022/01/ukraine-campaign-delivers-defacement.html
有关信息:
1月13日,,,,,,,,微软在针对乌克兰的大规模攻击活动中检测到一种新型粉碎性恶意软件“WhisperGate”,,,,,,,,并将攻击活作为为DEV-0586进行跟踪。。。。。WhisperGate恶意软件假装成勒索软件,,,,,,,,但其攻击指标不是为了经济获益,,,,,,,,而是为了粉碎受害者数据。。。。。攻击者在活动中使用了被盗痛处,,,,,,,,并且在渗入产生前几个月就接见了一些受害者网络,,,,,,,,这是复杂APT攻击的典型特点。。。。。
1月21日,,,,,,,,Talos钻研人员颁布汇报称,,,,,,,,WhisperGate恶意软件与2017年攻击乌克兰实体的NotPetyaWiper有一些类似之处,,,,,,,,蕴含假装成勒索软件以及针对和粉碎主疏导纪录(MBR)而不是对其进行加密,,,,,,,,但WhisperGate拥有更多恶意组件。。。。。
03
Android恶意软件BRATA的新变体
披露功夫:2022年01月24日
谍报起源:https://www.cleafy.com/cleafy-labs/how-brata-is-monitoring-your-bank-account
有关信息:
Android恶意软件BRATA在其新变体中增长多个职能。。。。。BRATA是一款重要针对巴西用户的AndroidRAT,,,,,,,,在2019年初次被Kaspersky发现。。。。。
该变体此刻重要针对英国、波兰、意大利、西班牙、中国和拉丁美洲的电子银行的用户,,,,,,,,新增了键盘纪录职能、GPS跟踪职能,,,,,,,,能够执行出厂沉置以断根所有恶意活动的痕迹,,,,,,,,还增长了能够支持HTTP和WebSockets的新C2通讯通路。。。。。

缝隙有关
01
Log4j缝隙沉现:VMWareHorizon服务器面对攻击风险
披露功夫:2022年01月20日
谍报起源:https://blog.morphisec.com/log4j-exploit-hits-again-vulnerable-vmware-horizon-servers-at-risk
有关信息:
2021年12月9日,,,,,,,,Log4j(Log4Shell)缝隙被曝,,,,,,,,无数的设备瞬间变得有被攻击的风险,,,,,,,,Log4j被列为迄今为止最严沉的缝隙之一。。。。。随着攻击者起头利用脆弱的VMWareHorizon服务器,,,,,,,,对Log4j安全缝隙的震惊再次出现。。。。。
近期,,,,,,,,钻研人员发现攻击者一向在扫描网络,,,,,,,,寻找易接见的java服务,,,,,,,,对易受Log4j影响的设备进行攻击,,,,,,,,这其中蕴含针对VMwareHorizon服务器的攻击。。。。。VMwareHorizon服务器7.x和8.x版本容易受到Log4j缝隙(CVE-2021-44228和CVE-2021-45046)的影响。。。。。攻击者利用Tomcat服务(ws_TomcatService.exe)执行powerhell.exe过程。。。。。而后沉启VMBLastSG服务,,,,,,,,启动一个与C&C服务器通讯的监听器。。。。。该监听器从服务器上运行蕴含特定硬编码密钥的号令。。。。。这个过程被用来与执行勒索软件或其他恶意活动的C&C服务器成立悠久的通讯。。。。。
利用CWP的文件蕴含和肆意写入缝隙可实现远程代码执行
披露功夫:2022年01月22日
谍报起源:https://octagon.net/blog/2022/01/22/cve-2021-45467-cwp-centos-web-panel-preauth-rce/
有关信息:
ControlWebPanel中存在2个严沉的缝隙。。。。。ControlWebPanel(以前的CentOSWebPanel)是一个开源的Linux节造面板软件,,,,,,,,用于部署Web托管环境。。。。。第一个是文件蕴含缝隙(CVE-2021-45467),,,,,,,,攻击者只需批改include语句就能够远程注入恶意代码或实现代码执杏祝。。。。第二个为肆意文件写入缝隙(CVE-2021-45466),,,,,,,,结合利用这两个缝隙能够在易受攻击的Linux服务器上实现远程代码执杏祝。。。。