每周高级威胁情报解读

2018.11.08-2018.11.15
攻击团伙情报
  • FASTCash:Lazarus组织如何从ATM中盗取数百万美元
  • DarkHotel(APT-C-06) 组织另一网络武器库分析揭秘
  • Lazarus组织使用韩国和美国服务器进行APT攻击
  • INDRIK SPIDER诈骗组织攻击演变
  • RiskIQ和Flashpoint联合发布Magecart综合攻击报告
攻击行动或事件情报
  • Shaheen:针对巴基斯坦空军成员的攻击活动
  • MartyMcFly针对意大利海军的间谍攻击事件后续调查报告

恶意代码情报

  • BlackTech组织使用的恶意软件TSCookie配置信息错误
  • Metamorfo银行木马开始攻击巴西
  • Emotet发起了新的大规模垃圾邮件活动
漏洞相关
  • CVE-2018-8589:Win32k.sys提权漏洞
攻击团伙情报
1

FASTCash:Lazarus组织如何从ATM中盗取数百万美元

披露时间:2018年11月8日情报来源:https://www.symantec.com/connect/ja/blogs/fastcash-lazarus-atm-1000

参考链接:

https://www.symantec.com/blogs/threat-intelligence/fastcash-lazarus-atm-malware

相关信息:

2018年10月2日US-CERT、国土安全部、财政部和联邦调查局发出警报。根据这一新警报,HiddenCobra(美国政府的Lazarus代号)一直在进行“FASTCash”攻击,至少从2016年起就从亚洲和非洲的银行窃取自动柜员机(ATM)的资金。

Lazarus是一个非常活跃的攻击组织,涉及网络犯罪和间谍活动。该集团最初以其间谍活动和一些备受瞩目的破坏性攻击而闻名,包括2014年对索尼影业的攻击。最近,Lazarus也参与了出于经济动机的攻击,其中包括来自孟加拉国中央银行和WannaCry勒索软件的8100万美元盗窃案。

Lazarus通过Trojan.Fastcash监视传入的消息并拦截攻击者生成的欺诈性事务请求,以防止它们到达处理事务的交换机应用程序,还可以生成假的ISO 8583金融交易消息传递标准的交易请求,允许攻击者从ATM窃取现金。

根据美国政府的警报,2017年发生的一起事件中,30多个国家的ATM机同时取现现金。在2018年的另一起重大事件中,盗取来自23个不同国家的自动取款机。到目前为止,Lazarus FASTCash的活动估计已经被盗了数千万美元。

 

2

DarkHotel(APT-C-06) 组织另一网络武器库分析揭秘

披露时间:2018年11月13日情报来源:https://www.anquanke.com/post/id/164092

 

相关信息:

360核心安全事业部高级威胁应对团队又发现若干vbscript漏洞的在野利用。其中包括CVE-2016-0189、CVE-2018-8373和另一个此前不为人所知的漏洞。这三个漏洞,加上今年4月发现的CVE-2018-8174,一共是4个vbscript在野利用。经过分析发现这4个文件的混淆和利用手法都高度一致,因此怀疑背后有一个写手(或团队),一直在开发vbscript的0day利用并用于攻击。通过对四个vbscript漏洞的shellcode进行了关联分析,360核心安全事业部高级威胁应对团队发现cve-2016-0189、本次漏洞和cve-2018-8174所用的shellcode除配置的CC外基本一致,cve-2018-8373的shellcode略有不同,但也非常相似,因此推测本次漏洞也是APT-C-06武器库中的一个。

 

3

Lazarus组织使用韩国和美国服务器进行APT攻击

披露时间:2018年11月13日情报来源:http://blog.alyac.co.kr/1978

相关信息:

ESRC在调查2018年10月底捕获到的DOC恶意文件时发现了一个RAT的二进制文件,该RAT与2018年2月发现的恶意代码结构相似。

发现的恶意文档文件欺骗用户运行宏,宏代码执行命令,然后连接到特定网站并下载安装其他恶意文件。

恶意代码尝试使用两个韩语(KR)和两个美国(US)IP与四个命令控制(C2)服务器通信。此外,内部使用的加密代码的解密程序也与2018年2月左右的海外攻击中的解密程序也相同。

 

4

INDRIK SPIDER诈骗组织攻击演变

披露时间:2018年11月14日

情报来源:

https://www.crowdstrike.com/blog/big-game-hunting-the-evolution-of-indrik-spider-from-dridex-wire-fraud-to-bitpaymer-targeted-ransomware/

 

相关信息:

INDRIK SPIDER是一个复杂的电信诈骗集团,自2014年6月以来一直在使用Dridex银行木马进行攻击,在2015年和2016年Dridex是他们使用的最多的银行木马,自2014年以来,该组织已经获得数百万美元的犯罪利润。经过多年的经营,Dridex已经有了多次更新,开发了新模块,并在恶意软件中添加了新的反分析功能。

2017年8月,一个名为BitPaymer的勒索软件攻击了英国的国民健康服务(NHS),要求赎金高达53 BTC(约合20万美元)。该勒索软件在反分析的手法上和Dirdex相同,因此表明该组织已将其犯罪活动扩大到将勒索方向。

 

5

RiskIQ和Flashpoint联合发布Magecart综合攻击报告

披露时间:2018年11月13日

情报来源:

Inside Magecart: RiskIQ and Flashpoint Release Comprehensive Report on the Assault on E-Commerce

 

相关信息:

Magecart是至少七个网络犯罪集团的总称,攻击了包括全球品牌Ticketmaster,British Airways和Newegg在内的数十个电子商务网站,共截获了数千张消费者信用卡记录。

该组织的七个小组分工明确:第一组和第二组可能使用自动化工具来破坏和浏览网站。第三组尽可能多的收集受害者目标。第四组采用技术手段来隐蔽自身。第五组通过攻击Ticketmaster来入侵更多目标。第六组只针对例如British Airways和Newegg to这种有大量流量和业务的目标。

报告中指出从2000年开始曝光了数千计的中小客户的信用卡信息,2007年和2011的OsCommerce被攻击,2013年又使用Magento PHP脚本发起攻击,2015年的垃圾邮件攻击数千家商店遭到攻击。到2016年出现一个新的团队,使用的基础设施开始更新,技术手段也开始变化。

 

攻击行动或事件情报
1
Shaheen:针对巴基斯坦空军成员的攻击活动

披露时间:2018年11月13日

情报来源:

https://pages.cylance.com/en-us-2018-11-operation-shaheen-threat-research-report-pdf-viewer.html?sfc=70144000001N29gAAC&_ga=2.153423736.1722544112.1542043882-23656247.1542043882&aliId=48681067

参考链接:

Operation Shaheen – Pakistan Air Force members targeted by nation-state attackers

Cylance discovers new Middle East APT threat actor: The White Company

 

相关信息:

Shaheen是为期一年,持续进行的针对巴基斯坦的政府和军队的间谍活动。安全公司Cylance称到目前为止Shaheen间谍活动已经取得了巨大的成功。Cylance认为该活动的攻击者为“White Company“,他们使用了大量的伪装动作来掩盖本次攻击,而且在木马本身还绕过了不少于8家杀软产品。

从去年12月开始,开始向第二阶段攻击过渡,并且持续到2018年2月。第二阶段的攻击使用了定制开发的恶意软件。使用的绝大多数的网络钓鱼邮件都是用政府的名字来诱导目标。一些特定的邮件中还包含一些可追溯到2015年2的新闻。针对巴基斯坦的空军的钓鱼邮件中还提及军用喷漆飞机的坠毁或者导弹发展的信息。因此Cylance确定Shaheen活动是针对巴基斯坦的空军,军队和政府的间谍活动。

2

MartyMcFly针对意大利海军的间谍攻击事件后续调查报告

披露时间:2018年11月13日

情报来源:

The “MartyMcFly” investigation: anchors-chain case

 

相关信息:

10月17日披露了针对意大利海军的间谍攻击行动MartyMcFly之后,卡巴斯基在德国,西班牙和印度也发现相关活动迹象。

通过Fincantieri安全团队在10月9日至15日之前截获的恶意邮件发现攻击者使用的域名是在发送恶意邮件前几周购买的,在邮件中的域名解析到了一家亚洲的公司,邮件中的内容是用中文写的关于设备优惠和供货情况。

在与Fincantieri安全团队的联合分析中收集的证据表明,一些仍然未知的目标可能试图通过相关目标攻击意大利海军产业。与之前披露的相同之处都模仿海军工业部门的服务提供商和卫星公司,精心挑选的域名使用方式与已知公司的合法名称相似,使用专业的钓鱼邮件。

 

恶意代码情报
1

BlackTech组织使用的恶意软件TSCookie配置信息错误

披露时间:2018年11月12日情报来源:https://blogs.jpcert.or.jp/en/2018/11/tscookie2.html

 

相关信息:

TSCookie是BlackTech使用的恶意软件,在调查2018年8月左右发生的攻击时已确认恶意软件有更新。

在之前的版本中,TSCookie在Cookie标头中包含加密内容以与C&C服务器进行通信。在新版本中,不再使用Cookie标头。相反,加密内容放在URL参数中。

TSCookie拥有自己的配置信息并相应地运行。新版本中的配置细节保持不变。不同之处在于配置的解码方法。以前,TSCookie在配置开始时有4字节RC4密钥,用于解码,在新版本中,大小扩展到0x80字节。在新版中由于忽略了RC4的密钥大小从而导致配置信息解密失败。

 

2

Metamorfo银行木马开始攻击巴西

披露时间:2018年11月8日

情报来源:

https://blog.talosintelligence.com/2018/11/metamorfo-brazilian-campaigns.html

 

相关信息:

有些经济动机的网络犯罪分子多年来一直使用银行木马来窃取受害者的敏感信息。它们通常用于收集各种在线银行和金融服务网站的信用卡信息和登录凭据,以便攻击者可以盗取资金。

Talos最近确定了两个正在进行的传播恶意软件的活动,该攻击活动主要用于攻击银行目标,特别是巴西的金融机构客户。此外,Talos确认了一个专门用于传播此木马的僵尸网络。

在分析这些攻击活动时,Talos确定了两个独立的感染过程,攻击者通过两个不同的广告程序来下发和感染目标机器植入木马。两个广告程序使用的文件名有相同的命名约定,在网络访问时使用短链接来掩盖实际的服务器。两个独立的攻击活动都在垃圾邮件中包含了Windows LNK的链接文件,此LNK使用PowerShell来下载并执行托管服务器上的攻击载荷。

 

3

Emotet发起了新的大规模垃圾邮件活动

披露时间:2018年11月9日

情报来源:

https://www.welivesecurity.com/2018/11/09/emotet-launches-major-new-spam-campaign/

 

相关信息:

自10月下旬的公开情报披露Emotet利用了新的技术来规避垃圾邮件过滤器和开始窃取感染机器的完整邮件信息之后,11月5日起开始了新的攻击活动,ESET的数据显示11月5日Emotet垃圾邮件活动激增。

本次的垃圾邮件活动主要活跃在美洲、英国、土耳其和南非。Emotet使用恶意的内容为发票,付款通知,银行帐户警报等的Word和PDF作为附件,以让这些数据看起来似乎来自合法组织。还有的电子邮件包含恶意链接,并且恶意链接的主题是关于英语和德语的用户。

当受害者被诱骗在Word中启用宏或单击PDF中的链接。随后就会安装并启动Emotet有效攻击载荷,在目标机上建立持久性攻击并与其C&C服务器通信,接下来从服务器接收有关下载攻击模块和辅助攻击指令。

 

漏洞相关
1

CVE-2018-8589:Win32k.sys提权漏洞

披露时间:2018年11月14日情报来源:https://securelist.com/a-new-exploit-for-zero-day-vulnerability-cve-2018-8589/88845/

漏洞编号:CVE-2018-8589

主要影响: 提权

 

相关信息:

卡巴斯基捕获到中东某受害者上的0Day漏洞。该漏洞是win32k!xxxMoveWindow中存在的竞争条件,因为线程之间同步发送的消息锁定不当造成。通过创建具有类和关联窗口的两个线程来使用该漏洞,并在两个线程共有的窗口过程中将相反线程的窗口移动到WM_NCCALCSIZE消息的回调内。该漏洞利用指向shellcode的指针填充lParam,并在成功复制到win32k的内核后!SfnINOUTNCCALCSIZE从内核跳转到Ring3,从而达到提权的目的。

该漏洞通常在恶意软件安装程序的第一阶段利用,以获得文件读写,持久性攻击等操作的必要权限。

About hackgoo 105 Articles
渗透测试人员,信息安全维护 主要技能web安全,linux运维 站在巨人的肩膀上,在学习中进步,在进步中学习,低调求生存 极客谷保留所有权利,转载请注明出处

Be the first to comment

Leave a Reply

Your email address will not be published.


*