免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 APT29组织针对多国驻乌克兰大使馆发起网络钓鱼
2023年上半年,具备俄罗斯背景的APT29组织针对全球多国驻乌克兰大使馆的网络攻击行动有所加强,在这些攻击活动中,APT29优先考虑欧洲国家的外交部和大使馆。在2023年3月的一次网络钓鱼活动中,APT29组织通过鱼叉式电子邮件投递PDF附件,PDF以邀请受害者参加西班牙大使馆举办的“国际经济关系的未来”活动酒会为诱导主题,引导受害者从受感染的网站服务器中下载包含MUSKYBEAT木马(也称为 QUARTERRIG)的恶意文件并执行,在另一次冒充土耳其外交部长的钓鱼邮件,攻击者通过邮件正文的短链接欺骗受害者下载ROOTSAW释放器,此后ROOTSAW经历多次变种更新成为APT29组织钓鱼活动中的常用武器工具。
https://www.mandiant.com/resources/blog/apt29-evolving-diplomatic-phishing
2 研究人员披露HijackLoader加载器针对酒店行业的攻击活动
研究人员近期观察到一款名为HijackLoader家族的新型恶意软件加载程序,该加载程序被用于加载不同的恶意软件家族例如:Danabot、SystemBC、RedLine和Stealer等,其特点是采用模块化设计,并实施多层混淆、反分析和规避技术(DLL Stomping、直接系统调用、进程迁移等),以尽可能隐秘地执行代码。在过去的几个月中,攻击者通过电子邮件与酒店建立联系,以预订房间、食物过敏等借口,针对安道尔境内的各家连锁酒店发动了数起网络攻击活动。
https://alpine-sec.medium.com/hijackloader-targets-hotels-a-technical-analysis-c2795fc4f3a3
HijackLoader Targets Hotels A Technical Analysis.pdf
(119.63 KB, 下载次数: 7)
3 伊朗背景OilRig组织针对以色列发起网络攻击
OilRig(又名APT34、Cobalt Gypsy、Hazel Sandstorm和Helix Kitten)是具有伊朗官方背景的APT组织,研究人员发现该组织曾在2021年和2022年策划了两起针对以色列目标的网络攻击活动,这些活动被研究人员命名为Outer Space和Juicy Mix。两起攻击活动具有相同的策略,OilRig 组织首先入侵一个合法网站用作C&C服务器,然后使用VBS droppers释放C#或者.NET 语言编写的后门(研究人员将其命名为Solar)给受害者,同时也会部署各种用于在目标系统上数据泄露的攻击工具。
https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
4 Stealth Falcon组织使用新型高级后门Deadglyph
Stealth Falcon组织(又名FruityArmor、 Project Raven)于2016年首次被公民实验室曝光,该组织长期在中东地区展开一系列有针对性的间谍软件攻击,近期研究人员发现了一个名为Deadglyph的先前未记录的高级后门出现在Stealth Falcon组织的攻击活动中。Deadglyph后门由两个协作组件组成:一个是原生x64执行器,另一个是.NET后门程序,这表明这两个组件是可能各自单独开发的,同时还利用了使用不同编程语言的分析检测对抗效果。Deadglyph后门最终会从C2服务器获取功能各种功能独特的模块,每个模块对应于不同的Executor任务类型,研究人员估计其总共可能有九到十四个模块。
https://www.welivesecurity.com/en/eset-research/stealth-falcon-preying-middle-eastern-skies-deadglyph/
5 研究人员披露基于Lua语言的DreamLand恶意软件
近期,研究人员发现了一款名为DreamLand的模块化恶意软件,在今年3月份最初被发现时,其主要是针对巴基斯坦的政府实体目标。DreamLand利用Lua脚本语言及其即时(JIT)编译器来执行难以检测的恶意代码,并还具有各种反调试功能,这还是自AnimalFarm和Project Sauron组织使用Lua语言以来,第一次看到有APT威胁行为者使用Lua。研究人员对其进行了简要分析,发现DreamLand最初通过名为libcurl.dll的初始文件加载UpdateCheck.dll程序,UpdateCheck.dll负责实现嵌入式LuaJIT编排器,最终加载updater.ver文件中包含的加密/压缩/编码/编译的LuaJIT脚本。
https://r136a1.dev/2023/09/22/more-on-dreamland/
6 网络军火商Cytrox针对埃及议员发起间谍软件攻击
2023年5月至9月期间,前埃及议员Ahmed Eltantawy在公开宣布计划预计在2024年竞选埃及总统后,其本人的通讯设备遭遇到了网络军火商Cytrox通过短信和WhatsApp等途径发送的Predator间谍软件攻击链接。研究人员在调查过程与Google威胁分析小组(TAG)合作获取了一个针对iPhone设备的零日漏洞利用攻击链(CVE-2023-41991、CVE-2023-41992、CVE-2023-41993),并发现在2023年8月和9月,Eltantawy使用的Vodafone Egypt移动网络服务连接持续地被通过网络注入进行攻击,当Eltantawy访问某些不使用HTTPS协议的网站时,安装在沃达丰埃及网络边界的设备会自动将他重定向到恶意网站,从而将Cytrox公司研发的Predator间谍软件安装进入他的手机。
https://citizenlab.ca/2023/09/predator-in-the-wires-ahmed-eltantawy-targeted-with-predator-spyware-after-announcing-presidential-ambitions/
PREDATOR_IN_THE_WIRES_Ahmed_Eltantawy_Targeted_with_Predator_Sp.pdf
(1.32 MB, 下载次数: 143)
|
发表于 2023-9-25 20:40