GoldenJackal: 针对中东和南亚政府的 APT “新贵”
The Hacker News 网站披露,一个名为 GoldenJackal 的 APT 团伙正以中东和南亚的政府、外交等实体组织为目标,开展大规模网络攻击活动。 俄罗斯网络安全公司卡巴斯基表示自 2020 年年中以来一直在密切关注 Golden Jackal 组织的活动,其目标范围主要集中在阿富汗、阿塞拜疆、伊朗、伊拉克、巴基斯坦和土耳其等国,团伙成员除了使用定制的恶意软件感染受害者窃取数据,还通过可移动驱动器在系统中传播,并进行持续监视。 GoldenJackal 疑似与 APT 组织 Turla 有联系 尽管业内人士对 GoldenJackal 团伙知之甚少,但不少人都怀疑其已经活跃了至少四年时间,卡巴斯基指出目前尚无法确定其来源以及与知名黑客组织者的关系,但从其作案手法来看,带有强烈的间谍动机。更重要的是,GoldenJackal 团伙还一直试图保持低调,这样的举动符合具有国家背景黑客团体的所有特征。 研究人员在 GoldenJackal 和疑似俄罗斯背景的 APT 组织 Turla 之间已经观察到了一些战术上的重叠。在一个案例中,一台受害者的机器被 Turla 和 GoldenJackal 感染的时间仅仅相差两个月。目前,虽然不知道用于入侵目标计算机的确切初始路径尚不清楚,但迄今为止收集的证据表明攻击者使用了被黑客入侵的 Skype 安装程序和恶意 Microsoft Word 文档。 安装程序充当了传递名为 JackalControl 的基于.NET 的特洛伊木马的渠道。此外,有人观察到 Word 文件将Follina漏洞(CVE-2022-30190)武器化,以删除相同的恶意软件。 顾名思义,JackalControl 使攻击者能够远程征用机器,执行任意命令,以及从系统上传和下载到系统。 受害目标的地理位置分布 GoldenJackal 部署的其它一些恶意软件如下: JackalSteal: 一种植入物,用于寻找感兴趣的文件,包括位于可移动 USB 驱动器中的文件,并将它们传输到远程服务器。 JackalWorm:一种蠕虫病毒,被设计用来感染使用可移动 USB 驱动器的系统,并安装 JackalControl 木马。 JackalPerInfo:一种恶意软件,具有收集系统元数据、文件夹内容、已安装的应用程序和正在运行的进程,以及存储在网络浏览器数据库中凭证的功能。 JackalScreenWatcher :一个根据预设时间间隔抓取屏幕截图并将其发送到攻击者控制的服务器的实用程序。 GoldenJackal 团伙另一个值得注意的是它依靠被黑的 WordPress 网站作为中转站,通过注入网站的流氓PHP 文件,将网络请求转发到实际的命令和控制(C2)服务器上。 最后,卡巴斯基研究员 Giampaolo Dedola 强调:GoldenJackal 团伙的工具包似乎还在持续开发中,变种的数量增加表明他们仍在追加“投资”,但该组织可能正试图通过限制受害者的数量来降低其知名度。 转自 Freebuf,原文链接:https://www.freebuf.com/news/367393.html 封面来源于网络,如有侵权请联系删除
APT 组织 SideWinder 频频攻击中国和巴基斯坦
The Hacker News 网站披露,网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于巴基斯坦和中国境内的实体组织。 APT 组织 SideWinder 至少从 2012 年起就开始活跃,其攻击链主要利用鱼叉式网络钓鱼作为入侵机制,在受害目标的网络环境中“站稳脚跟”,从其以往的攻击目标来看, 受攻击最频繁的国家包括巴基斯坦、中国、斯里兰卡、阿富汗、孟加拉国、缅甸、菲律宾、卡塔尔和新加坡等。 SideWinder 频频攻击中国和巴基斯坦的实体组织 网络安全公司 Group IB 和 Bridewell 在与 TheHackerNews 分享的一份联合报告中指出,SideWinder 团伙在攻击过程中利用由 55 个域名和 IP 地址组成的虚假网络。研究人员 Nikita Rostovtsev、Joshua Penny和Yashraj Solaki 进一步表示已确定的钓鱼网域模仿了新闻、政府、电信和金融部门等各种组织。 2023 年 2 月初,Group-IB 揭示了 SideWinder 在 2021 年 6 月至 11 月期间可能针对亚洲各地的 61 个政府、军队、执法部门和其它组织的证据。 近期,研究人员观察到 SideWinder 在针对巴基斯坦政府组织的规避攻击中,使用了一种名为基于服务器的多态性技术。 新发现的域名模仿了巴基斯坦、中国和印度的政府组织,其特点是在 WHOIS 记录中使用相同的值和类似的注册信息。 在这些域名中,有些是以政府为主题的诱饵文件,这些文件中大部分于 2023 年 3 月从巴基斯坦上传到VirusTotal。其中一个是据称来自巴基斯坦海军战争学院(PNWC)的 Word 文件,最近几个月被 QiAnXin 和 BlackBerry 分析过。 值得一提的是,研究人员还发现了一个 Windows 快捷方式(LNK)文件,该文件于 2022 年 11 月下旬从北京上传到 VirusTotal。就 LNK 文件而言,它被设计成运行一个从远程服务器上检索到的 HTML 应用程序(HTA)文件,该服务器欺骗了清华大学的电子邮件系统(mailtsinghua.sinacn[.]co)。另一个大约在同一时间从加德满都上传到 VirusTotal 的 LNK 文件,从伪装成尼泊尔政府网站的域(mailv.mofs gov[.]org)中获取了 HTA 文件。 研究人员在对 SideWinder 进一步调查后,发现了一个恶意的 Android APK 文件(226617),该文件于2023 年 3 月从斯里兰卡上传到 VirusTotal。 这个流氓安卓应用程序冒充“Ludo Game”,并提示用户授予其访问联系人、位置、电话日志、短信和日历的权限,有效地发挥了间谍软件的功能,获取用户的敏感信息。Group-IB 表示,流氓安卓应用程序还与其在 2022 年 6 月披露的假冒安全 VPN 应用程序有相似之处,后者是通过一个名为 AntiBot 的流量指示系统(TDS)向巴基斯坦的受害目标分发。 总的来说,这些域名表明 SideWinder 已经将目光投向了巴基斯坦和中国的金融、政府和执法机构,以及专门从事电子商务和大众传媒的公司。 最后,研究人员强调像许多其它 APT 组织一样,SideWinder 依靠有针对性的鱼叉式网络钓鱼作为初始载体。因此对于实体组织来说,部署能够引爆恶意内容的商业电子邮件保护解决方案至关重要。 转自 Freebuf,原文链接:https://www.freebuf.com/news/366828.html 封面来源于网络,如有侵权请联系删除
针对多国政府官员的黑客攻击还在继续……
自2021年以来,被称为Winter Vivern的高级持续威胁与针对印度、立陶宛、斯洛伐克和梵蒂冈政府官员的活动有关。 SentinelOne 在与黑客新闻分享的一份报告中称,该活动针对波兰政府机构、乌克兰外交部、意大利外交部以及印度政府内部的个人。 “特别令人感兴趣的是APT以私营企业为目标,包括在正在进行的战争中支持乌克兰的电信组织。”高级威胁研究员汤姆黑格尔说。 Winter Vivern,也被追踪为UAC-0114,上个月在乌克兰计算机应急响应小组(CERT-UA)详细介绍了针对乌克兰和波兰国家当局的新恶意软件活动后引起了人们的注意,该活动旨在传播一种名为 Aperetif 的恶意软件。 此前记录该组织的公开报告显示,它利用包含XLM宏的武器化Microsoft Excel文档在受感染主机上部署PowerShell植入程序。 虽然威胁行为者的来源尚不清楚,但攻击模式表明该集群符合支持白俄罗斯和俄罗斯政府利益的目标。 UAC-0114 采用了多种方法,从网络钓鱼网站到恶意文档,这些方法都是为目标组织量身定制的,以分发其自定义有效负载并获得对敏感系统的未授权访问。 在2022年,年中观察到的一批攻击中,Winter Vivern 设置了凭据网络钓鱼网页,以引诱印度政府合法电子邮件服务email.gov.in的用户。 典型的攻击链涉及使用伪装成病毒扫描程序的批处理脚本来触发 Aperetif 木马从参与者控制的基础设施(例如受感染的WordPress站点)的部署。 Aperetif 是一种基于 Visual C++ 的恶意软件,具有收集受害者数据、维护后门访问以及从命令和控制 (C2) 服务器检索额外有效载荷的功能。 “Winter Vivern APT 是一个资源有限但极富创造力的组织,他们在攻击范围内表现出克制,”黑格尔说,“他们引诱目标参与攻击的能力,以及他们以政府和高价值私营企业为目标,都表明了他们行动的复杂程度和战略意图。” 虽然 Winter Vivern 可能已经成功地在很长一段时间内避开了公众的视线,但一个不太担心保持低调的组织是 Nobelium,它与 APT29(又名 BlueBravo、Cozy Bear 或 The Dukes)有重叠。 因2020年12月的SolarWinds供应链妥协而臭名昭著的克里姆林宫支持的民族国家组织继续发展其工具集,开发新的自定义恶意软件,如MagicWeb和GraphicalNeutrino。 这也归因于另一场针对欧盟外交实体的网络钓鱼活动,特别强调“帮助乌克兰公民逃离该国并向乌克兰政府提供帮助”的机构。 “Nobelium 积极收集有关在俄乌战争中支持乌克兰的国家的情报信息,”黑莓表示。“威胁行为者会仔细跟踪地缘政治事件,并利用它们来增加成功感染的可能性。” 该公司的研究和情报团队发现的网络钓鱼电子邮件包含一个武器化文档,其中包含一个指向HTML文件的链接。 这些武器化的URL托管在位于萨尔瓦多的合法在线图书馆网站上,具有与LegisWrite和eTrustEx相关的诱饵,欧盟国家使用这两者进行安全文件交换。 活动中提供的HTML投放程序(称为ROOTSAW或EnvyScout)嵌入了一个ISO映像,而该映像又旨在启动一个恶意动态链接库 (DLL),该库有助于通过Notion的API传送下一阶段的恶意软件。 Recorded Future 曾于2023年1月披露了流行的笔记应用程序 Notion 用于C2通信的情况。值得注意的是,APT29使用了Dropbox、Google Drive、Firebase和Trello等各种在线服务,试图逃避检测。 “Nobelium 仍然非常活跃,同时针对美国、欧洲和中亚的政府组织、非政府组织(NGO)、政府间组织(IGO)和智库开展多项活动.”微软上个月表示。 调查结果发布之际,企业安全公司 Proofpoint 披露了自2021年初以来与俄罗斯结盟的威胁行为者TA499(又名Lexus和Vovan)策划的攻击性电子邮件活动,以诱骗目标参与录制的电话或视频聊天并提取有价值的信息。 该公司表示:“威胁行为者一直在从事稳定的活动,并将其目标扩大到包括为乌克兰人道主义工作提供大笔捐款或公开声明俄罗斯虚假信息和宣传的知名商人和知名人士。” 转自 E安全,原文链接:https://mp.weixin.qq.com/s/6YqWUKXS_bKSSkJR7xBIJA 封面来源于网络,如有侵权请联系删除
APT 28 组织成员被指控入侵北约智库
Security Affairs 网站披露,德国检察官对名为 Nikolaj Kozachek 的俄罗斯黑客发出了逮捕令,该名黑客被指控对位于德国的北约智库联合空中力量能力中心进行了网络间谍攻击。 据悉,网络攻击事件发生在 2017 年 4 月,Kozachek 在成功入侵北约智库的计算机系统后,安装了一个键盘记录器以监视该组织。 德国调查人员认为,Kozachek 是与俄罗斯有关的 APT 28 黑客组织(又名 Fancy Bear)的成员,该组织曾在 2015 年网络入侵了德国联邦议院。 据 Spiegel 称,联邦检察官已从联邦法院获得了对 Kozachek 的逮捕令。 APT 28 组织已成功袭击 1000 个目标 从德国调查人员发布的信息来看,2017 年春天,Kozachek 成功渗透了位于 Kalkar 的北约智库的 IT 系统。据 Tagesschau 网站透漏,Kozachek 在智库中安装了具有所谓 “键盘记录器 “功能的恶意软件,即记录每一次击键,还秘密创建和发送计算机屏幕的截图。 值得一提的是,网络攻击者至少入侵了两个系统,并获得了部分北约的内部信息,但目前尚不清楚此次网络攻击的危害程度。 调查人员认为,作为网络间谍活动的一部分,这个与俄罗斯有关的 APT 28 组织已经袭击了大约 1000 个目标,其中涉及使用了 “X-Agent “植入物。 德国调查人员掌握了该组织部分成员的电子邮件账户内容,这使调查人员能够访问各种私人文件和照片,其中据说包含了俄罗斯军事情报部门 GRU 的奖项和制服的照片。 目前,德国警方正在积极寻找 Kozachek 和另一名俄罗斯黑客 Dimitri Badin,据说后者曾发动了对德国联邦议院的黑客攻击。 转自 Freebuf,原文链接:https://www.freebuf.com/news/336745.html 封面来源于网络,如有侵权请联系删除
黑客利用恶意软件 Tardigrade 攻击生物制造设施
Hackernews编译,转载请注明出处: 今年,借助一个叫做 Tardigrade 的恶意软件装载器,一个 APT攻击了 两家生物制造公司。 生物经济信息共享与分析中心(BIO-ISAC)发布了一份公告,其中指出,恶意软件正在整个行业中广泛传播,它们的目的可能是盗窃知识产权,保证持续性,并用勒索软件感染系统。 今年春天,一家不知名的生物制造设施被勒索软件攻击,BIO-ISAC 随后开始进行调查。该公司表示,Tardigrade 是一种复杂的恶意软件,具有“高度自主性和变形能力”。2021年10月,这个恶意软件被用来攻击第二个实体。 这些“快速扩散”的入侵行为还不知道背后主使者是哪个攻击者或某个国家,但该机构告诉 The Hill ,这些行为与之前一个与俄罗斯的黑客组织的攻击行为相似。 Tardigrade 通过钓鱼邮件或受感染的 USB 驱动器传播,是 SmokeLoader 的一个高级分支。 SmokeLoader 是一个基于 windows 的后门,由一个名为 Smoky Spider 的组织操作,早在2011年就可以在地下市场上销售,SmokeLoader 拥有捕捉击键、通过受损网络横向移动以及升级特权的能力。 此外,该恶意软件还充当了额外恶意软件有效载荷的入口点,即使在与其C2服务器断开连接以实施其恶意攻击的情况下,该恶意软件也能自主运行。 生物制造行业的企业最好进行一下软件更新,加强网络分割,并测试关键生物基础设施的离线备份,以减轻黑客攻击带来的影响。 ”由于变形行为,这种恶意软件极难检测到。”研究人员表示,对关键人员的企业计算机保持警惕非常重要。他们补充说,“该领域的许多机器使用的是过时的操作系统。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
FamousSparrow APT 组织侵入酒店、政府和企业
一个名为“FamousSparrow”的网络间谍组织利用微软Exchange服务器的ProxyLogon漏洞及其自定义后门“SparrowDoor”,将全球各地的酒店、政府和私人企业作为目标。 ESET研究人员Matthieu Faou称ESET正在跟踪该组织,他们认为,自2019年以来FamousSparrow一直很活跃。3月3日,攻击者开始利用ProxyLogon漏洞,已有10多个高级持续威胁(APT)组织利用该漏洞接管Exchange服务器。 FamousSparrow主要针对酒店;然而,研究人员发现其他部门也有一些目标,包括政府、国际组织、工程公司和律师事务所。受害者分布在巴西、布基纳法索、南非、加拿大、以色列、法国、立陶宛、危地马拉、沙特阿拉伯、中国台湾、泰国和英国。 “在恶意软件方面,该组织没有多大的发展,但在目标方面,他们在2020年做出转变,他们开始以全球酒店为目标,”Faou谈到该组织的发展时说。FamousSparrow之所以与众不同,是因为它专注于酒店,而不仅是流行的APT目标,比如政府。 “我们认为他们的主要动机是间谍活动,”他补充道。酒店是APT组织的主要目标,因为它可以让攻击者收集目标的旅行习惯数据。他们还可能侵入酒店的Wi-Fi基础设施,监听未加密的网络通信。” 他们说,在研究人员能够确定初始危害矢量的情况下,FamousSparrow利用脆弱的面向互联网的应用程序锁定受害者。该组织利用了Microsoft Exchange已知的远程代码执行漏洞,包括3月份的ProxyLogon漏洞,以及Microsoft SharePoint和Oracle Opera(一种用于酒店管理的商业软件)。 服务器被攻破后,攻击者部署了几个自定义工具:Mimikatz的一个变体、 NetBIOS扫描程序Nbtscan和一个将ProcDump转到磁盘上的小工具,该工具将转移到另一个进程,而研究人员表示该进程可能会被用来收集内存机密。 攻击者还为他们的SparrowDoor后门放置了一个载入程序,这是他们独有的工具。 Faou说:“SparrowDoor使攻击者能够几乎完全控制被攻击的机器,包括执行任意命令或窃取任何文件。”SparrowDoor的部署,以及服务器端漏洞的使用,是该组织的主要特点。 研究人员认为FamousSparrow是自行运作的,但也发现了与其他已知APT组织的联系,包括SparlingGoblin和DRBControl。 Faou说:“他们很可能共享工具或接近受害者,但我们认为他们是独立的威胁团体。” 研究人员说,这提醒企业要迅速给面向互联网的应用程序打补丁。如果无法快速打补丁,建议企业不要将应用程序暴露在互联网上。 消息来源:Darkreading,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
海莲花(OceanLotus) APT组织滥用合法证书传播高级 Android 威胁
2014年以来,海莲花(OceanLotus)APT组织(或被称为PhantomLance)就以通过官方和第三方市场传播高级Android威胁而闻名。他们试图远程控制受感染的设备、窃取机密数据、安装应用程序并启动任意代码。 安全研究人员最近记录了该组织的活动,Bitdefender调查发现了该组织35个新的恶意样本,并证明其活动可能使用了合法且可能被盗的数字证书来对某些样本进行签名。 该APT组织的作案手法是先上传干净版本,然后添加恶意软件,然后通过Google Play和第三方市场传播恶意Android应用。 安全研究人员认为,海莲花APT组织与Android恶意软件和过去基于Windows的高级威胁的命令和控制域之间的共享基础结构相关联,这些威胁过去一直以Microsoft用户为目标。可以说,这些较早的活动也与Hacking Team组织有联系,该组曾为APT32组织服务。 虽然海莲花主要针对非洲和亚洲,但Bitdefender遥测技术还可以在日本、韩国、越南、德国和印度等国家进行扫描。 Bitdefender 检测到此威胁为 Android.Trojan.OceanLotus。 寻找“零号病人” 在Bitdefender存储库(APK MD5:315f8e3da94920248676b095786e26ad)中找到的,与海莲花APT组织所关联的最古老的样本似乎已于2014年4月首次登陆Google Play 。可追溯到最早的已知Google Play样本在2014年12月。 根据内部zip文件时间戳记,该样本构建于2014年4月5日,几天后就被我们记录下。 一个有趣的发现是,该样本已使用VL Corporation的证书进行了签名。 该证书于2013年7月生成,并且直到2014年为止,除OceanLotus Malware以外,Google Play上已有100多个不同的应用程序在使用它。这表明网络犯罪集团可能已使用有效证书成功地将恶意病毒app走私到了Google Play中。 Certificate: Data: Version: 3 (0x2) Serial Number: 2002933886 (0x7762587e) Signature Algorithm: sha256WithRSAEncryption Issuer: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation Validity Not Before: Jul 22 18:57:09 2013 GMT Not After : Jul 16 18:57:09 2038 GMT Subject: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation 他的证书很可能已被该APT组织泄漏和滥用。目前,在Google Play中使用此证书签名的100多个应用程序中,仍然没有该应用程序。 目标国家 在遥测方面,仅在过去的3个月中,我们就收到25篇涉及此威胁的报告,其中大多数是在美国、日本和韩国。显然,在美国的报告可能不是真实的设备,但亚马逊托管的Android计算机被操纵来运行样本以进行安全分析,对于安全研究人员而言,执行这种沙箱操作并不少见,特别是在尝试获取危害指标或研究恶意行为时。 但是,韩国和日本的报告确实表明,最近遇到过海莲花APT样本的设备至少数量有限。 Android OceanLotus报告威胁的十大国家 追踪传播 在传播方面,虽然安全研究人员已经报告说恶意软件的发行是通过官方的Google Play市场和第三方市场进行的,但一些与Google Play相似的市场仍在托管这些样本。这意味着,尽管Google在及时管理其应用程序并响应安全研究人员和供应商方面做得很出色,但第三方市场(如果有的话)缓慢地消除了这些威胁,甚至有可能无限期地使用户暴露于恶意软件中。 仍托管这些恶意样本的第三方市场的一些样本包括: hxxps://apkpure.com/opengl-plugin/net.vilakeyice.openglplugin hxxps://apk.support/app/net.vilakeyice.openglplugin hxxps://apkplz.net/app/com.zimice.browserturbo hxxps://apk.support/app/com.zimice.browserturbo hxxps://androidappsapk.co/download/com.techiholding.app.babycare/ hxxps://www.apkmonk.com/app/com.techiholding.app.babycare/ hxxps://apkpure.com/cham-soc-be-yeu-babycare/com.techiholding.app.babycare hxxps://apk.support/app-th/com.techiholding.app.babycare 虽然已经有了海莲花APT组织的样本完整列表,我们知道这些样本已出现在Google Play中,但我们添加了以下一些内容,这些内容也已在Google Play上得到确认。 由Bitdefender研究人员发现的海莲花APT组织的其他新样本的md5完整列表如下: 3043a2038b4cb0586f5c52d44be9127d f449cca2bc85b09e9bf4d3c4afa707b6 76265edd8c8c91ad449f9f30c02d2e0b 5d909eff600adfb5c9173305c64678e7 66d4025f4b60abdfa415ebd39dabee49 7562adab62491c021225166c7101e8a1 7b8cba0a475220cc3165a7153147aa84 63e61520febee25fb6777aaa14deeb4a 9236cf4bf1062bfc44c308c723bda7d4 f271b65fa149e0f18594dd2e831fcb30 e6363b3fae89365648b3508c414740cd d9e860e88c22f0b779b8bacef418379e 3d4373015fd5473e0af73bdb3d65fe6a a57bac46c5690a6896374c68aa44d7b3 08663152d9e9083d7be46eb2a16d374c 18577035b53cae69317c95ef2541ef94 eee6dcee1ab06a8fbb8dc234d2989126 5d07791f6f4d892655c3674d142fe12b f0ea1a4d81f8970b0a1f4d5c41f728d8 320e2283c8751851362b858ad5b7b49c 1fb9d7122107b3c048a4a201d0da54cd bb12cc42243ca325a7fe27f88f5b1e1b 01b0b1418e8fee0717cf1c5f10a6086b 4acf53c532e11ea4764a8d822ade9771 6ff1c823e98e35bb7a5091ea52969c6f 1e5213e02dd6f7152f4146e14ba7aa36 3fe46408a43259e400f7088c211a16a3 c334bade6aa52db3eccf0167a591966a 53ba3286a335807e8d2df4aae0bd0977 7f59cb904e2e0548b7f0db12c08b9e25 49d1c82a6b73551743a12faec0c9e8b1 6b323840d7cb55bb5c9287fc7b137e83 2e1ed1f4a5c9149c241856fb07b8216b 6737fba0f2b3ea392f495af9a0aa0306 bda442858c33ae7d9f80227c55f6a584 规避Google Play保护 攻击者通常向Google Play提交一个干净的版本,然后随机等待一段时间,再简单地使用恶意代码更新应用程序。网络犯罪分子似乎也使用了这种策略。 例如,应用程序net.vilakeyice.openglplugin(OpenGLPlugin)最初于 2018 年8月5 日以纯净格式上传,然后在8月21日引入了恶意payload。 APK Seen on Google Play No Payload 7285f44fa75c3c7a27bbb4870fc0cdca 2018.08.05 With Payload d924211bef188ce4c19400eccb6754da 2018.08.21 然后,将payload解密并动态加载到应用程序中。如果较旧的样本将解密密钥本地嵌入在原始的干净应用程序中,则较新的样本将不再将其存储在本地,因为它们似乎接收了解密密钥以及恶意payload。 归因和可用性 尽管这些Android恶意软件样本的归属已经成为安全行业分析的主题,但海莲花APT组织已经被标记为幕后主谋。不过样本仍存在于第三方市场这一事实应当引起注意。 某些时候Google Play上的某些样本目前仍可在第三方市场上获得, 包括在Amazon上。在世界各地可能无法从官方Google Play市场访问内容的地区,用户仍然有感染这种恶意软件的风险。 在亚马逊印度的这个特定样本中,开发人员名称为Caleb Eisenhauer(假名),该应用程序似乎已于 2020 年2月16日发布。与该帐户关联的电子邮件地址(malcesshartspur@gmail.com)发送至托管在GitHub(https://github.com/malcesshartspur)上的隐私政策。 可能存在类似的虚假开发者帐户,它们都在第三方市场上散布了各种样本,如果不删除,有可能在很长一段时间内感染受害者。 消息来源:Bitdefender, 译者:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
卡巴斯基发现了 2017 Shadow Brokers 泄露中提到的神秘 APT
2017 年,一个名叫 Shadow Brokers 的神秘黑客团体,在网络上公布了名为“Lost in Translation”的数据转储,其中包含了一系列据称来自美国国家安全局(NSA)的漏洞利用和黑客工具。此后臭名昭著的 WannaCry、NotPetya 和 Bad Rabbit 勒索软件攻击,都基于这里面提到的 EternalBlue 漏洞。现在,卡巴斯基研究人员又发现了另一座冰山,它就是一个名叫 sigs.py 的文件。 (题图 via ZDNet) 据悉,该文件是一个名副其实的情报数据宝库。作为内置的恶意软件扫描程序,黑客利用它来扫描受感染的计算机,以查找是否存在其它高级可持续威胁(APT / 通常指背后能量巨大的黑客团体)。 总 sigs.py 脚本包括了用于检测其它 44 个 APT 的签名,但在 2017 年泄密之初,许多网络安全行业从业者并没有对此展开深入研究,表明 NSA 知晓且有能力检测和追踪许多敌对 APT 的运行。 在上月的一份报告中,卡巴斯基精英黑客手雷部门 GReAT 表示,他们终于设法找到了其中一个神秘的 APT(通过 sigs.py 签名的 #27 展开追踪)。 研究人员称,DarkUniverse 组织从 2009 到 2017 年间一直活跃。但在 ShadowBrokers 泄漏后,他们似乎就变得沉默了。 GReAT 团队称:“这种暂停或许与‘Lost in Translation’泄漏事件的发生有关,或者攻击者决定改用更加现代的方法、开始借助更加广泛的手段”。 该公司称,其已在叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚、苏丹、俄罗斯、白罗斯、以及阿联酋等地,找到了大约 20 名受害者。其中包括了民间和军事组织,如医疗、原子能机构、以及电信企业。 不过,卡巴斯基专家认为,随着时间的推移和对该集团活动的进一步深入了解,实际受害者人数可能会更多。至于 DarkUniverse 恶意软件框架,卡巴斯基表示,其发现代码与 ItaDuke 恶意软件 / APT 重叠。 (稿源:cnBeta,封面源自网络。)
疑似Group123(APT37)针对中韩外贸人士的攻击活动分析
感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/Wnb-r7SWbGGN-XuQ8fW_jw 一、事件概述 腾讯御见威胁情报中心在2019年8月底到9月中旬,检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动。经过分析溯源发现,疑似是Group123攻击组织的最新攻击活动。 Group123,又被称为APT37,疑似来自朝鲜的攻击组织,该组织经常攻击国内的外贸公司、在华外企高管,甚至政府部门。该组织最常使用鱼叉钓鱼邮件进行定向攻击,使用Nday或者0day漏洞进行木马捆绑和伪装。 二、技术细节分析 1、初始攻击 本次攻击活动虽然未获取到相关攻击邮件,但是从相关日志来进行分析,可以确定是一次邮件钓鱼攻击,使用的诱饵名字包括제안서.rar、BN-190820.rar、list of delivery.rar等。 2、恶意文件植入 本次投递的诱饵为一个rar的压缩文件,解压后为一个伪装成word图标和名字的可执行文件: 该可执行文件实际为一个下载器,该下载器的技术分析如下: 1) 具有延时执行功能: 2) 下载恶意模块,下载http://artmuseums.or.kr/swfupload/fla/1.jpg文件到%temp%\winsxz: 3) 解密文件,简单异或解密,密钥如下: 42 32 33 37 38 33 35 31 36 41 36 34 39 44 36 37 42 32 44 38 31 43 41 46 45 41 31 42 41 33 39 33 4) 设置注册表 实现开机启动木马: 3、RAT分析 下载回来的jpg文件经过解密后,为真正的RAT,文件路径为:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\svchost.exe 该文件加了vmp壳: 执行后创建名为HD_March的互斥量,防止重复运行: 与downloader使用同样的方法延时运行: 通过执行命令收集计算机信息,值得注意的是收集主机文档文件信息的时候含有.hwp文件信息的收集,该文件是韩国主流办公文件生成的文档文件,具有明显的地域特征: RAT的功能已控制码如下: ControlCode1 ControlCode2 行为 SLEEP interval Sleep指定时间 RUNCMD cmdline CMD Shell url SETBURL burl 下载相关 rurl remove EXEC src 执行文件 dst crypt UPLOAD type 上传文件相关 url extlist dirlist 4、下发文件分析 此外,svchost还下发了一个文件C:\\Users\\Administrator\\AppData\\Local\\Temp\\mscmgr 该文件执行后,首先读取同目录下的aconfig.ini文件,从中获取C2信息: 释放{rand}.exe文件,MD5为:6f29df571ac82cfc99912fdcca3c7b4c,初步分析该文件为winrar命令行版压缩文件: 打包指定目录下的指定扩展名文件: 扫描全盘文件,打包指定扩展名的文件: 打包的文件均上传到C2上: 有意思的是,通信中存在下面的字符串,具体意义不明: 三、关联分析 1、攻击背景 由于诱饵诱饵文件中存在的韩文,而且收集的文件中包含有韩国主流办公文件生成的文档文件hwp,此外从受控机的背景可以发现为从事一些商贸的人士,且机器中出现过包含朝鲜语的文件,因此我们猜测攻击的对象为疑似跟韩国相关的贸易人士。 此外,从攻击的C2来看,都跟韩国相关,如:artmuseums.or.kr,腾讯安图检索结果如下: 而该站点为韩国博物馆的网站,因此我们猜测攻击者先攻击了该网站,然后以改站做为C2,以此来躲避查杀: 2、基础设施关联 1) 某RAT的C2:casaabadia.es,我们关联到相关文件: 相关文件为:gallery.jpg (3cc51847c2b7b20138ad041300d7d722) 通过该文件分析,我们关联到某文章: https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html 虽然该文件并未明确支持组织名,但是从相关iocs的杀软家族来看为ScarCruft ,即为Group123: 2) 某些受控机在下载附件前会访问某url:www.chateau-eu.fr,具体原因不明。通过腾讯安图检索www.chateau-eu.fr如下: 而根据www.chateau-eu.fr进行反查,同样关联到另一篇文章: 该文章提到的信息跟这次攻击活动都非常相似: 如文件名svchost,但是样本无法下载,因此无法实锤; 基础设施域名重合; url都都存在wp-content。 而该文章中提到的组织正好为Group123。 3、TTPs 从攻击手法上来看,该活动的攻击TTPs、攻击对象、攻击者背景跟Darkhotel和Group123类似。但是由于攻击对象主要为韩国,以及通过RAT下发收集文件的插件的方式,跟Group123都极为相似,因此我们猜测大概率为Group123。 4、结论 综上,我们对该次攻击定性为攻击组织Group123的新的攻击活动。 四、总结 Group123是针对中国大陆攻击活动非常频繁的一个攻击组织,该组织有使用0day进行攻击的能力,因此攻击战斗力不容小觑。虽然目前发现的一些受控机都为跟外贸相关的单位和人士,但是相关的政府部门也不能掉以轻心。 五、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御: 通过官方渠道或者正规的软件分发渠道下载相关软件; 谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作; 3.不要打开不明来源的邮件附件、可疑文档勿启用宏代码; 4.及时打系统补丁和重要软件的补丁; 5.使用腾讯电脑管家或腾讯御点终端安全管理系统防御可能的病毒木马攻击; 6.推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 六、附录 1、IOCs hxxp://artmuseums.or.kr/swfupload/fla/1.jpg hxxp://fjtlephare.fr/wp-content/uploads/2018/05/null/ hxxp://casaabadia.es/ wp-content/uploads/2018/06/null/ svchost.exe(RAT) e26c81c569f6407404a726d48aa4d886 list of delivery.doc.exe ce4614fcf12ef25bcfc47cf68e3d008d BN-190820.doc.exe(RAT) 94fd9ed97f1bc418a528380b1d0a59c3 plugin b23a707a8e34d86d5c4902760990e6b1 winrar 6f29df571ac82cfc99912fdcca3c7b4c 2019-08-08.doc.exe 51da0042fe2466747e6e6bc7ff6012b2 2、参考文章 1) https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html 2) https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07170728/Guerrero-Saade-Raiu-VB2017.pdf
黑客在 Telegram 上出售伊朗间谍部队 APT34 的黑客工具源代码
2017年,黑客组织Shadow Brokers对外宣称他们已经成功入侵了美国国家安全局(NSA)下属的黑客组织Equation Group,下载了后者大量的攻击工具并在网上发起拍卖。而现在又有黑客发布了类似的黑客工具,不过这次来自于伊朗精英网络间谍部队之一,在业内被称之为APT34,Oilrig或HelixKitten。 尽管本次发布的黑客工具并没有2017年NSA泄露的黑客工具那么复杂,但它们依然是非常危险的。这些黑客工具自今年3月中旬开始在网络上发布,以Lab Dookhtegan这个假名在Telegram频道上进行出售。 除了黑客工具之外,Dookhtegan还发布了一些似乎是来自APT34组织的黑客受害者的数据,这些数据主要是通过网络钓鱼页面收集的用户名和密码组合。 在3月中旬的时候,外媒ZDNet已经报道过这些黑客攻击以及受害者数据。在推特私信中,一位推特用户分享了一些在Telegram上发现的相同文件,因此有理由相信这个推特用户和Telegram上的 Lab Dookhtegan是同一个人。 在推特私信交流中,这位泄露者生成参与了该组织的 DNSpionage 活动,但泄露者极有可能是外国情报机构的成员,试图隐藏他们的真实身份,同时给予更加相信伊朗的黑客工具和操作的真实性。 一些网络安全专家已经确认了这些工具的真实性。 Alphabet的网络安全部门Chronicle今天早些时候向ZDNet证实了这一点。在今天发布的Telegram频道中,黑客共泄露了6个黑客工具的源代码,此外还有部分来自活跃后端面板的内容以及收集的受害者数据。 这6个黑客工具分别为: – Glimpse(基于PowerShell的的新版木马,Palo Alto Networks命名为BondUpdater) – PoisonFrog(旧版BondUpdater) – HyperShell(称之为TwoFace的Palo Alto Networks网络外壳) – HighShell(另一个Web shell) – Fox Panel(钓鱼工具包) – Webmask(DNS隧道,DNSpionage背后的主要工具) 根据Chronicle报道,Dookhtegan总共泄露了66名受害者的数据,这些受害者主要来自中东国家,还有非洲,东亚和欧洲。数据来自两个政府机构,也来自私营公司。 Telegram频道上指定的两家最大公司是阿提哈德航空公司和阿联酋国家石油公司。 (稿源:cnBeta,封面源自网络。)