1 安全厂商发现海莲花组织针对东南亚的水坑攻击
ESET研究人员发现了海莲花(OceanLotus)组织针对东南亚多个网站的新的水坑活动。海莲花组织也称为APT32和APT-C-00,自2018年9月以来一直活跃。研究人员确定了21个被入侵的网站,每个网站都被重定向到由攻击者控制的单独域名。大多数被入侵的域名都与新闻媒体或柬埔寨政府有关。在这次攻击中,海莲花除了入侵其设定目标的网站之外,还入侵了一些有大量访客的网站。第一阶段服务器提供诱饵脚本(随机合法JavaScript库)或第一阶段脚本,启用后,只有来自越南和柬埔寨的访客才会收到恶意脚本。该脚本将一直等到受害者在浏览页面。它还会检查窗口的分辨率以及是否启用Firebug(用于分析网页的浏览器扩展)。如果任意一个检查失败,则会停止执行。解密C&C地址后,脚本会发送一个15位数的唯一字符串,然后接收并执行第二阶段脚本。第二阶段脚本实际上是一个侦察脚本。OceanLotus开发人员重用了GitHub上提供的Valve的fingerprintjs2库,添加了网络通信和自定义报告。使用由服务器生成的AES会话密钥对通信进行加密。它使用RSA 1024位公钥加密并发送到客户端。因此,不可能解密客户端和服务器之间的通信。生成的报告包含有关受害者浏览器和访问过的网站的详细信息:用户代理、HTTP Referer、本地和外部IP地址、浏览器插入浏览器配置的语言首选项。
https://www.welivesecurity.com/2 ... ack-southeast-asia/
2 Sofacy组织使用Cannon木马针对全球政府实体
2018年10月下旬和11月初,Unit 42研究人员截获了一系列Sofacy组织(APT28)武器化文件,用于针对全球的几个政府实体,包括北美、欧洲和前苏联国家。由于这些文件是模块化的,自动分析系统很难识别。初始样本是Microsoft Word文档,一旦用户打开文档,Microsoft Word会立即从DOCX文档的settings.xml.rels文件中指定位置加载包含恶意宏和有效载荷的远程模板。如果C2已经脱机,文档打开后将不会加载宏。如果受害者点击“启用内容”按钮,就会执行嵌入式宏。用户关闭文档之前,Word不会完全执行恶意代码,这是一种反分析形式。成功执行后,宏将安装有效载荷并将文档保存到系统。第二份交付文档有效载荷是一个全新的工具,研究人员将其命名为Cannon。该工具是用C#编写的,其恶意代码存在于名为cannon的名称空间中。该木马主要用作下载程序,将通过TCP端口587利用SMTPS向特定地址发送电子邮件。
https://researchcenter.paloalton ... -new-cannon-trojan/
3 安全厂商发布Sednit组织的Zebrocy恶意软件分析
Sednit(APT28)组织主要使用网络钓鱼电子邮件分发Zebrocy恶意软件,附件通常包括两个文件,一个是良性文档,另一个是可执行文件。在2018年8月,Sednit的部署了两个新的Zebrocy组件新的活动,活动中使用了更为复杂的程序。第一个二进制文件是Delphi投放器, 使用“liver”作为关键字标记开始和结束。YARA规则中第一个“liver”是代码段,没有分割的功能,而其他的“liver”将密钥描述符、图像和投放器中的加密有效载荷分开。密钥描述符的字符串包含Bayren_Munchen,可能是指德国足球队拜仁慕尼黑队。要获取XOR密钥,投放器会查找最后一个liver关键字并添加密钥描述符的偏移量。Delphi邮件下载器主要作用是评估受感染系统的重要性,二进制文件是用Delphi编写的,并用UPX打包。
https://www.welivesecurity.com/2 ... hats-going-zebrocy/
4 拉撒路组织针对拉丁美洲的金融机构发起攻击
趋势科技研究人员发现拉撒路组织将他们的后门(趋势科技检测为BKDR_BINLODR.ZNFJ-A)植入了拉丁美洲的几家金融机构。这些后门在2018年9月19日安装在目标机器上,攻击技术与2017年Lazarus攻击与亚洲目标有一些相似之处。Lazarus集团在2018年的攻击中使用了一系列后门,采用了一项涉及三个主要组成部分的复杂技术:AuditCred.dll / ROptimizer.dll作为服务启动的加载程序DLL、Msadoz < n > .dll加密后门(n =加载程序dll文件名中的字符数),Auditcred.dll.mui / rOptimizer.dll.mui加密配置文件。加载程序DLL作为服务安装,并在不同的计算机上使用不同的名称,但是具有相同的功能。加载后门后,它将加载加密的配置文件Auditcred.dll.mui / rOptimizer.dll.mui以提取C&C信息并与之连接。
https://blog.trendmicro.com/tren ... s-in-latin-america/
5 安全厂商发布APT29组织网络钓鱼活动分析
2018年11月14日,FireEye在多个行业的20多个客户中发现了新的针对性网络钓鱼活动。攻击者似乎入侵医院的电子邮件服务器和咨询公司的公司网站,并利用他们的基础设施发送网络钓鱼电子邮件。网络钓鱼电子邮件冒充美国国务院公共事务官员,使用正式文件格式的诱饵文件。2018年11月14日的钓鱼活动和2016年11月9日疑似APT29网络钓鱼活动之间存在若干相似之处和技术重叠,这两次活动都是在美国大选后不久发生的。新鱼叉式钓鱼活动中使用的恶意LNK,与2016年11月的可疑APT29 LNK结构和代码类似,包含重要的元数据重叠,包括创建LNK的系统的MAC地址。钓鱼邮件中的恶意链接提供了ds7002.zip文件的两种变体。第一个变体含有ds7002.lnk,这是一个恶意快捷方式(LNK)文件,其中包含嵌入式BEACON DLL和诱饵PDF,并且精心设计用于启动PowerShell命令。执行时,PowerShell命令提取并执行Cobalt Strike BEACON后门和诱饵PDF。另一个观察到的ds7002.zip变体,仅包含良性诱饵文件。分析表明,攻击者在攻击前大约30天开始配置基础架构。
https://www.fireeye.com/blog/thr ... shing-campaign.html
6 乌克兰政府机构发现新的Pterodo后门恶意软件
乌克兰计算机应急响应小组(CERT-UA)和乌克兰外国情报局发现了针对乌克兰政府机构计算机的Pterodo Windows后门,Pterodo,也被称为Pteradon,是一个用于插入其他恶意软件并收集信息的自定义后门程序。该后门与Gamaredon组织有关,Gamaredon组织一直针对乌克兰的军事和政府。最新版本后门仅在具有乌克兰语、白俄罗斯语、俄语、亚美尼亚语、阿塞拜疆语、乌兹别克语、塔塔尔语以及与前苏联国家相关的其他语言的Windows系统上激活。这使得使用某些工具执行恶意软件的自动分析变得更加困难。根据CERT-UA公告,新Pterodo根据被感染系统的硬盘序列号生成一个用于命令和控制的唯一URL。有关受感染系统的数据被上载到该URL,允许攻击者分析远程安装和运行哪些工具。到目前为止,与攻击相关的域名包括updates-spreadwork.pw, dataoffice.zapto.org, 和bitsadmin.ddns.net。
https://arstechnica.com/informat ... ussian-cyberattack/
|
发表于 2018-11-21 21:49
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡