ca88登陆平台

每周高级威胁谍报解读(2022.01.27-02.03)

功夫:2022-02-04 作者:ca88登陆平台威胁谍报中心

分享到:

    2022.01.27~02.03

    攻击团伙谍报

    Packer ????????匹敌 ????????“通明部落”在追求CrimsonRAT的新前途

    APT29攻击活动中利用的新鲜战术和技术分析MuddyWater通过恶意PDF、可执行文件针对土耳其用户

    Lazarus在最新活动中利用WindowsUpdate客户端和GitHub

    攻击行动或事务谍报

    关于Dridex银行木马的垂钓活动的分析

    攻击者利用设备注册技巧通过横向网络垂钓攻击企业

    在使用地痞OAuth利用法式收受CEO帐户

    恶意代码谍报

    Vultur恶意软件假装成2FA利用窃取用户银行信息AsyncRAT木马利用新方式进行传布

    ChaesBanking木马通过恶意扩大劫持Chrome浏览器

    缝隙谍报

    Polkit缝隙使非特权Linux用户可能获得root权限

    苹果颁布iOS和macOS更新建复了两个零日缝隙


    攻击团伙谍报

    01

    Packer ????????匹敌 ????????“通明部落”在追求CrimsonRAT的新前途

    披露功夫:2022年1月29日

    谍报起源:https://mp.weixin.qq.com/s/epRGn7Tnzx6rXihYXIpIIg

    有关信息:

    TransparentTribe(通明部落),,,,,,,是2016年2月被Proofpoint披露并定名的APT组织,,,,,,,也被称为ProjectM、C-Major。。。。。。。。该APT组织被宽泛以为来自南亚地域某国,,,,,,,并且与另一个由PaloaltoUnit42团队披露的GogronGroup存在肯定的关系。。。。。。。。

    近日,,,,,,,ca88登陆平台威胁谍报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多个CrimsonRAT攻击样本。。。。。。。。在此攻击活动中,,,,,,,攻击者使用图片文件图标用作恶意软件图标,,,,,,,诱使指标打开"图片"查看,,,,,,,实则运行恶意软件。。。。。。。。当受害者点击执行钓饵文件之后,,,,,,,将会在本地开释一个压缩包,,,,,,,并执行压缩包内蕴含的TransparentTribe组织的自有远控软件CrimsonRAT。。。。。。。。值妥贴心的是TransparentTribe组织为了降低攻击样本的查杀率,,,,,,,对有关攻击样本进行了加壳处置。。。。。。。。

    02

    APT29攻击活动中利用的新鲜战术和技术分

    披露功夫:2022年1月27日

    谍报起源:https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/

    有关信息:

    供给链入侵是影响一系列部门的日益严沉的威胁,,,,,,,威胁参加者利用接见权限来支持多种动机,,,,,,,蕴含经济利益(例如Kaseya勒索软件攻击)和间谍活动。。。。。。。。整个2020年,,,,,,,美国当局对俄罗斯联国表国谍报局(SVR)进行了一项行动,,,,,,,以获取SolarWindsIT治理软件的更新机造,,,,,,,并利用它来扩大其谍报网络能力。。。。。。。。该活动被CrowdStrike钻研人员跟踪为StellarParticle活动,,,,,,,并与APT29COZYBEAR组织有关联。。。。。。。。

    钻研人员对于StellarParticle活动利用的新鲜战术和技术进行了分析。。。。。。。。这些技术蕴含:

    1.用于覆盖横向移动的凭证跳跃

    2.Office365(O365)服务主体和利用法式劫持、模拟和把持

    3.窃取浏览器cookie以绕过多成分身份验证

    4.使用TrailBlazer植入法式和GoldMax恶意软件的Linux变种

    5.使用Get-ADReplAccount窃取痛处

    下图为凭证跳跃技术示例:

每周高级威胁谍报解读(2022.01.27-02.03)

    03

    MuddyWater通过恶意PDF、可执行文件针对土耳其用户

    披露功夫:2022年1月31日

    谍报起源:https://blog.talosintelligence.com/2022/01/iranian-apt-muddywater-targets-turkey.html

    近日,,,,,,,CiscoTalos钻研人员观察到一项针对土耳其个人组织和当局机构的新活动,,,,,,,并将其归因于MuddyWater——美国网络司令部最近将其归于伊朗谍报与安全数(MOIS)的APT组织。。。。。。。。

    该活动利用恶意PDF、XLS文件和Windows可执行文件将基于PowerShell的恶意下载器部署为指标企业的初始安身点。。。。。。。。MuddyWater使用基于剧本的组件(例如基于PowerShell的混合下载器)也是美国网络司令部2021年1月的布告中描述的一种战术。。。。。。。。

    在本次攻击活动中,,,,,,,MuddyWater还利用金丝雀令牌来跟踪指标的成功习染,,,,,,,这是该组织新利用的TTP。。。。。。。。这种在此活动中利用金丝雀令牌的特定步骤也可能是躲避基于沙盒的检测系统的一种措施。。。。。。。。

每周高级威胁谍报解读(2022.01.27-02.03)

    04

    Lazarus在最新活动中利用WindowsUpdate客户端和GitHub

    披露功夫:2022年1月27日

    谍报起源:https://blog.malwarebytes.com/threat-intelligence/2022/01/north-koreas-lazarus-apt-leverages-windows-update-client-github-in-latest-campaign/

    有关信息:

    LazarusGroup是自2009年以来一向活跃的最复杂的朝鲜APT之一。。。。。。。。该组织从前曾对很多高调的攻击掌管,,,,,,,并获得了全世界的关注。。。。。。。。Malwarebytes威胁谍报团队在积极监控其活动,,,,,,,并可能在2022年1月18日发现新的活动。。。。。。。。

    在这次活动中,,,,,,,Lazarus进行了鱼叉式网络垂钓攻击,,,,,,,这些攻击使用了使用其已知工作机遇主题的恶意文档作为兵器,,,,,,,蕴含两份假装成美国全球安全和航空航天巨头洛克希德马丁公司的钓饵文件。。。。。。。。

    钻研人员分享了对这一最新攻击的技术分析,,,,,,,蕴含奇妙地使用WindowsUpdate来执行恶意负载,,,,,,,以及将GitHub作为号令和节造服务器。。。。。。。。我们汇报了恶意GitHub帐户的有害内容。。。。。。。。

每周高级威胁谍报解读(2022.01.27-02.03)

    攻击行动或事务谍报

    01

    关于Dridex银行木马的垂钓活动的分析

    披露功夫:2022年1月28日

    谍报起源:https://mp.weixin.qq.com/s/fXggBsgYzWJVXV_2eSr_tg

    有关信息:

    这次垂钓活动,,,,,,,TA575组织使器拥有Excel4.0宏的文档作为附件,,,,,,,开释并运行HTA文件,,,,,,,对其存放于Discord、Dropbox和OneDrive等社交和文件云存储平台中的恶意样本实现下载。。。。。。。。此表,,,,,,,由于HTA文件代码中存在一个域控环境的判断,,,,,,,因而本次垂钓活动只针对处于域控环境下的终端系统。。。。。。。。在整个攻击过程中,,,,,,,攻击者使用了混合、宏代码暗藏、加密和异常处置等大局来匹敌分析和检测。。。。。。。。分析发现,,,,,,,下载至指标环境中的恶意样本内容是Dridex银行木马的装载器,,,,,,,职能为获取指标系统根基信息、衔接C2并回传、获取P2P节点列表、参加构建僵尸网络、获取后续 ????????楹褪迪智悦芑蚶账鞯。。。。。。。。由此能够看出,,,,,,,一旦用户被植入该银行木马,,,,,,,将面对敏感信息表泄和勒索导致系统故障的安全威胁。。。。。。。。

    02

    攻击者利用设备注册技巧通过横向网络垂钓攻击企业

    披露功夫:2022年1月26日

    谍报起源:https://www.microsoft.com/security/blog/2022/01/26/evolved-phishing-device-registration-trick-adds-to-phishers-toolbox-for-victims-without-mfa/

    有关信息:

    钻研人员最近发现了一个大规模、多阶段的活动,,,,,,,该活动通过将攻击者操作的设备参与组织的网络以进一步传布活动,,,,,,,为传统的网络垂钓战术增长了一种新技术。。。。。。。。

    第一个活动阶段涉及窃取重要位于澳大利亚、新加坡、印度尼西亚和泰国的指标组织的凭证。。。。。。。。而后在第二阶段利用被盗痛处,,,,,,,其中攻击者使用受习染的帐户通过横向网络垂钓以及通过出站垃圾邮件在网络之表扩大其在组织内的安身点。。。。。。。。

    被攻击者节造的设备衔接到网络将允许攻击者奥秘传布攻击并在整个指标网络中横向移动。。。。。。。。固然在这种情况下,,,,,,,设备注册被用于进一步的网络垂钓攻击,,,,,,,但随着其他用例的出现,,,,,,,设备注册的利用在增长。。。。。。。。

每周高级威胁谍报解读(2022.01.27-02.03)

    03

    攻击者在使用地痞OAuth利用法式收受CEO帐户

    披露功夫:2022年01月27日

    谍报起源:https://www.proofpoint.com/us/blog/cloud-security/oivavoii-active-malicious-hybrid-cloud-threats-campaign

    有关信息:

    威胁分析师观察到一个名为“OiVaVoii”的新活动,,,,,,,针对公司高管和总经理使用恶意OAuth利用法式和从被劫持的Office365帐户发送的自界说网络垂钓钓饵。。。。。。。。

    OiVaVoii活动背后的参加者至少使用了五个恶意OAuth利用法式,,,,,,,其中三个是由两个分歧的“经过验证的颁布者”创建的,,,,,,,这意味着该利用法式的所有者很可能是合法Office租户中被盗用的治理员用户帐户。。。。。。。。在其余两个利用法式中,,,,,,,至少一个是由未经验证的组织创建的,,,,,,,这可能意味着利用(第三个)被劫持的云环境或使用专门的恶意Office租户。。。。。。。。

    攻击者使用这些利用法式向指标组织的高级治理人员发送授权要求。。。。。。。。在很多情况下,,,,,,,收件人接受了要求,,,,,,,没有发现任何可疑之处。。。。。。。。当受害者点击接受按钮时,,,,,,,攻击者使用令牌从他们的帐户向统一组织内的其他员工发送电子邮件

    恶意代码谍报

    01

    Vultur恶意软件假装成2FA利用窃取用户银行信息

    披露功夫:2022年01月27日

    谍报起源:https://blog.pradeo.com/vultur-malware-dropper-google-play

    有关信息:

    Pradeo的钻研人员发现了一个名为2FAAuthenticator的恶意移动利用法式,,,,,,,该利用法式散布在GooglePlay上并有10K+用户装置。。。。。。。。网络犯罪分子利用它在用户的移动设备上奥秘装置恶意软件,,,,,,,是一个用于在其用户设备上传布恶意软件的dropper。。。。。。。。分析显示,,,,,,,dropper会自动装置一个名为Vultur的恶意软件,,,,,,,该恶意软件针对金融服务窃取用户的银行信息。。。。。。。。

    02

    AsyncRAT木马利用新方式进行传布

    披露功夫:2022年01月25日

    谍报起源:https://blog.morphisec.com/asyncrat-new-delivery-technique-new-threat-campaign

    有关信息:

    近期,,,,,,,钻研人员发现了发现了一种新的、复杂的活动交付方式,,,,,,,它已成功地避开了很多安全供给商的雷达。。。。。。。。攻击者通过带有html附件的单一电子邮件网络垂钓战术,,,,,,,提供AsyncRAT(一种远程接见木马),,,,,,,旨在通过安全、加密的衔接远程监控和节造受习染的推算机。。。。。。。。

    攻击从蕴含假装成订单确认收条(例如,,,,,,,Receipt-.html)的HTML附件的电子邮件新闻起头。。。。。。。。打开钓饵文件会将新闻接管者沉定向到提醒用户保留ISO文件的网页。。。。。。。。

    最新的RAT活动奇妙地使用JavaScript从Base64编码的字符串本地创建ISO文件并仿照下载过程。。。。。。。。当受害者打开ISO文件时,,,,,,,它会自动挂载为Windows主机上的DVD驱动器,,,,,,,并蕴含一个.BAT或一个.VBS文件,,,,,,,该文件会持续习染链以通过执行PowerShell号令检索下一阶段的组件。。。。。。。。

    这导致在内存中执行.NET ????????椋,,,,,,该 ????????樗婧蟪淙稳鑫募的开释器(一个充任下一个文件的触发器),,,,,,,最终交付AsyncRAT作为最终有效负载,,,,,,,同时还查抄防病毒软件并设置WindowsDefender排除项。。。。。。。。

每周高级威胁谍报解读(2022.01.27-02.03)

    03

    ChaesBanking木马通过恶意扩大劫持Chrome浏览器

    披露功夫:2022年01月27日

    谍报起源:https://decoded.avast.io/anhho/chasing-chaes-kill-chain/

    有关信息:

    一场出于经济动机的恶意软件活动已经入侵了800多个WordPress网站,,,,,,,以提供一个名为Chaes的银行木马,,,,,,,针对BancodoBrasil、LojaIntegrada、MercadoBitcoin、MercadoLivre和MercadoPago的巴西客户。。。。。。。。

    Chaes的特点是多阶段交付,,,,,,,它利用JScript、Python和NodeJS等剧本框架、用Delphi编写的二进造文件以及恶意的GoogleChrome扩大,,,,,,,其最终指标是窃取存储在Chrome中的痛处并拦截巴西盛行银行网站的登录。。。。。。。。

    当用户接见其中一个受习染的网站时会触发攻击序列,,,,,,,而后会显示一个弹出窗口,,,,,,,督促他们装置虚伪的JavaRuntime利用法式。。。。。。。。若是用户依照注明进行操作,,,,,,,恶意装置法式将启动复杂的恶意软件交付例程,,,,,,,最终部署多个 ????????。。。。。。。。

每周高级威胁谍报解读(2022.01.27-02.03)

    缝隙有关

    01

    Polkit缝隙使非特权Linux用户可能获得root权限

    披露功夫:2022年01月25日

    谍报起源:https://thehackernews.com/2022/01/12-year-old-polkit-flaw-lets.html

    有关信息:

    Polkit(以前称为PolicyKit)是一个用于在类Unix操作系统中节造系统领域权限的工具包,,,,,,,并为非特权过程与特权过程通讯提供了一种机造。。。。。。。。在该系统实用法式中披露了一个存在12年之久的安全缝隙,,,,,,,此缝隙允许任何非特权用户通过在易受攻击主机的默认配置中利用此缝隙来获得对易受攻击主机的齐全root权限。。。。。。。。

    该缝隙被网络安全公司Qualys称为“PwnKit”,,,,,,,它影响了polkit中一个名为pkexec的组件,,,,,,,该法式默认装置在每个重要的Linux刊行版上,,,,,,,如Ubunti、Debian、Fedora和CentOS。。。。。。。。

    02

    苹果颁布iOS和macOS更新建复了两个零日缝隙

    披露功夫:2022年01月26日

    谍报起源:https://mp.weixin.qq.com/s/faMOI5C3H1Eu_61LYBJLBg

    有关信息:

    Apple解决的零日缝隙之一(编号为CVE-2022-22587)是内存败坏问题,,,,,,,位于IOMobileFrameBuffer中并影响iOS、iPadOS和macOSMonterey。。。。。。。。

    利用此缝隙会导致在受习染设备上以内核权限执行肆意代码。。。。。。。。该公司通过改进输入验证来解决该缺点。。。。。。。。该缝隙影响iPhone6s及更新机型、iPadPro(所有型号)、iPadAir2及更新机型、iPad第5代及更新机型、iPadmini4及更新机型以及iPodtouch(第7代)。。。。。。。。

    第二个零日缝隙,,,,,,,编号为CVE-2022-22594,,,,,,,是一个影响iOS和iPadOS的SafariWebKit问题。。。。。。。。由于这个缺点,,,,,,,网站能够实时跟踪用户的浏览活动和身份。。。。。。。。

    此缝隙影响iPhone6s及更新机型、iPadPro(所有型号)、iPadAir2及更新机型、iPad第5代及更新机型、iPadmini4及更新机型以及iPodtouch(第7代)。。。。。。。。

ca88登陆平台 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

ca88登陆平台 在线客服 ca88登陆平台 95015

您对ca88登陆平台的任何疑难可用以下方式通知我们

将您对ca88登陆平台的任何疑难

用以下方式通知我们

【网站地图】【sitemap】