免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 安天发布Darkhotel组织渗透隔离网络的Ramsay组件分析
安天CERT于2020年4月20日发现APT组织Darkhotel在近期的威胁行为,并持续跟进分析。在这次事件中,Darkhotel组织的策略是将恶意代码与合法应用捆绑,以往对该组织的披露认为这种捆绑策略是为了伪装恶意代码,即属于ATT&CK初始投递载荷阶段。但实际上,从近期捕获的样本Ramsay组件来看,与合法应用捆绑的恶意代码属于被感染的文件而非伪装的诱饵,属于ATT&CK内网横移渗透阶段,主要用于在隔离网络传播恶意代码。
判定此次Darkhotel渗透活动属于隔离网络有以下四方面原因:第一,假设目标终端部署杀软,则文件感染的方式很容易被检出,但根据活跃样本的狩猎情况并未发现更多的样本,说明Darkhotel活动限于特定的目标;第二,办公场景的应用安装包多数来自于共享盘下载或者同事之间的信任分享,尤其在隔离网络场景,无法去应用官网下载;第三,早期有关Darkhotel的披露中,如果缺少组件则会通过Powershell下载,但是本次Darkhotel活动的分析中并未涉及网络请求或者下载行为;第四,本次Darkhotel活动不是基于网络协议的C2,而是基于自定义的文件传输控制指令,当Ramsay扫描到被带入隔离网络环境的感染文档,则读取对应的指令并执行指令对应的载荷对象作为攻击利器在隔离网络传播。
https://www.antiy.com/response/20200522.html
2 Ragnar Locker勒索软件部署虚拟机以规避检测
Sophos研究人员发现Ragnar Locker勒索软件新规避检测手段,通过在目标设备上安装虚拟机来隐藏自身。攻击者使用GPO任务执行msiexec.exe,传递参数以从远程web服务器下载并静默安装一个122MB的未签名MSI包。MSI包包含一个旧版本的Oracle VirtualBox虚拟机管理程序和一个名为micro.vdi的虚拟磁盘映像文件(VDI),并将二者安装到C盘。MSI还部署一个可执行文件、一个批处理文件和一些支持文件。批处理文件首要任务是注册并运行虚拟机。然后,停止Windows Shell硬件检测服务,禁用Windows自动播放通知功能。接下来,该脚本执行命令以删除卷影副本,并继续枚举物理机上的所有本地磁盘、连接的可移动驱动器和映射的网络驱动器,因此可以将其配置为从虚拟机内部进行访问。Ragnar Locker勒索软件在虚拟机中执行,加密主机本地文件,而主机上的安全软件无法检测到恶意行为,从而规避检测。
https://news.sophos.com/en-us/20 ... -to-dodge-security/
3 研究人员发现基于ZeuS的新木马Silent Night
Malwarebytes研究人员发现基于ZeuS的新银行木马,新银行木马正以“Silent Night”的名称出售。ZeuS银行木马源代码在2011年泄露,自此出现了很多基于该木马的变种,通用名称Zloader/Zbot指代基于ZeuS家族的恶意软件,因此针对该新银行木马研究人员也引用该名称。新银行木马的1.0版本已于2019年11月结束编译,目前正在积极开发中。该银行木马最初的示例是一个下载程序,用于下载核心恶意模块并将其注入各种正在运行的进程中。
https://blog.malwarebytes.com/th ... night-zloader-zbot/
The-Silent-Night-Zloader-Zbot_Final.pdf
(7.01 MB, 下载次数: 16)
4 网络钓鱼活动分发新版本的ZLoader银行木马
Proofpoint研究人员在2019年12月观察到网络钓鱼活动广泛分发版本1.0.2.0的ZLoader银行木马,在此期间,ZLoader积极开发,最新版本1.2.24.0于2020年5月被发现。ZLoader采用了多种反分析机制,包括垃圾代码、持续混淆、Windows API函数哈希、加密字符串和C&C黑名单。ZLoader使用Zeus中称为BaseConfig的数据结构存储其初始配置。ZLoader使用HTTP(S) POST请求C2。POST数据使用两层加密,第一层是RC4加密,使用来自BaseConfig的密钥。第二层是Zeus中常见的基于异或的加密,其被称为Visual Encrypt。从2020年3月的版本1.1.22.0开始,添加了备份域生成算法(DGA)。
https://www.proofpoint.com/us/bl ... der-variant-returns
5 网络钓鱼活动利用谷歌Firebase托管钓鱼页面
Trustwave研究人员最近观察到一项网络钓鱼活动,其利用了谷歌Firebase存储托管钓鱼页面。该系列活动使用了常见诱饵,主题包括付款发票、升级电子邮件帐户、发布待定消息、验证帐户、帐户错误、更改密码等。邮件内容中的URL指向谷歌Firebase存储,其为网络钓鱼凭据收集页面,最终将窃取用户对应输入的凭据。
https://www.trustwave.com/en-us/ ... -firebase-storage//
6 以色列网站遭到疑似伊朗黑客的大规模网络攻击
2020年5月21日早上,成千上万的以色列网站被入侵,黑客在其主页上发布了反以色列信息,并试图植入恶意代码。以色列国家网络局证实,大量以色列网站遭到疑似伊朗的网络攻击。攻击是由自称为“Hackers of Saviour”的黑客组织进行,大多数被黑客入侵的网站托管在以色列WordPress托管服务uPress上。托管服务提供商证实了这次攻击,并透露黑客利用WordPress插件中的漏洞来入侵以色列网站。
https://securityaffairs.co/wordp ... bsites-defaced.html
|
发表于 2020-5-22 20:39
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡