绿盟威胁情报月报-2024年4月

4月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,包含XZ-Utils工具库后门漏洞(CVE-2024-3094)通告、JumpServer远程代码执行漏洞(CVE-2024-29201/CVE-2024-29202)通告、Palo Alto Networks PAN-OS命令注入漏洞(CVE-2024-3400)通告和WebLogic T3/IIOP信息泄露漏洞(CVE-2024-21006/CVE-2024-21007)通告等。

绿盟科技CERT监测到微软发布4月安全更新补丁,修复了150个安全问题,涉及Windows、Microsoft SQL Server、Microsoft OLE DB Driver、Microsoft Visual Studio、

Azure、System Center等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类

型。

本月的威胁事件中包含,SideCopy组织针对印度政府部门的攻击活动分析、Bad magic: 在俄乌冲突地区发现了新的APT和TransparentTribe针对印度政府部门的鱼叉式钓鱼邮件攻击等事件

以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/

一、 漏洞态势

2024年04月绿盟科技安全漏洞库共收录158个漏洞, 其中高危漏洞12个,微软高危漏洞12个。

* 数据来源:绿盟科技威胁情报中心,本表数据截止到2024.05.09

注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

二、 威胁事件

  1. 黑客组织利用Carbanak后门“瞄准”美国汽车行业

【标签】Carbanak

【时间】2024-04-22

【简介】

近日,黑客组织FIN7针对美国一家大型汽车制造商的IT部门的员工发送了鱼叉式钓鱼邮件,并利用Anunak后门感染了该系统。据黑莓公司的研究人员称,该攻击发生在去年年底,依赖于二进制文件、脚本和库(LoLBas)。黑客重点攻击了那些具有高级权限的员工,并通过链接到冒充合法的高级IP扫描器工具的恶意URL引诱他们“上钩”。黑莓公司根据使用独特PowerShell脚本的情况,确信这些攻击是FIN7所为,这些脚本使用了对方标志性的”PowerTrash “混淆shellcode调用器,这种方式最早曾在2022年的一次攻击活动中出现过。之前FIN7的目的是暴露Veeam备份和Microsoft Exchange服务器,同时在该企业的网络中部署Black Basta和Clop勒索软件。

【参考链接】

https://www.freebuf.com/news/398441.html

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 解密Akira勒索软件

【标签】Akira

【时间】2024-04-06

【简介】

Avast的研究人员已经开发了Akira勒索软件的解密器,并将其发布供公众下载。Akira勒索软件于2023年3月出现,从那时起,该团伙声称成功攻击了教育、金融和真实的地产等行业的各种组织。

【参考链接】

https://decoded.avast.io/threatresearch/decrypted-akira-ransomware/

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. SideCopy组织针对印度政府部门的攻击活动分析

【标签】SideCopy

【时间】2024-04-06

【简介】

SideCopy组织近年来攻击活动频繁,其攻击武器涵盖了多种语言,如C#、Delphi、GoLang,攻击组件也变化多样,如ReverseRAT AllaKoreRAT、SparkRAT。从本次攻击活动,可以看出该组织在对抗各大杀软厂商上招数频出,以求更好的完成恶意功能,并且ReverseRAT采用了强度更高的AES加密方式而不是之前RC4加密算法,说明该组织在恶意代码的功能和形态上持续进化。

【参考链接】

https://weixin.sogou.com/link?url=dn9a_-gY295K0Rci_xozVXfdMkSQTLW6cwJThYulHEtVjXrGTiVgSwfeP_GC8r9y0AS0jQXm4rbHH5Q3R3QRilqXa8Fplpd9mRkpcSCSi4Ik-hbv9SIDyRQQcniKdcmVKq4bHpm5F_mY1RoPjPgoH0qYYmW0cgMgX2keQ8QaDm5Snb8z0te_k0zr8NSg_3ad8wyjBwGwbppZkr4cwCGbpuUL0rmwvZKZpCyST5jCqxV-J99iuXutvgX9PRff8T8kofxcNrwqsrYNGbbB75bUeA..=null=CoreSec360=633FC549CD5A810BAAAFABFC1A1890A9AA09EA7064C03292

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. WikiLoader

【标签】SideCopy

【时间】2024-04-06

【简介】

研究人员发现,自2022年12月以来,至少有8个活动分发WikiLoader。活动开始时包含Microsoft Excel附件、Microsoft OneNote附件或PDF附件的电子邮件。Proofpoint已经观察到WikiLoader由至少两个威胁参与者分发,TA 544和TA 551,这两个威胁都针对意大利。虽然大多数网络犯罪威胁参与者已经不再将宏启用的文档作为恶意软件交付的工具,但TA 544继续在攻击链中使用它们,包括交付WikiLoader。

【参考链接】

https://www.proofpoint.com/us/blog/threat-insight/out-sandbox-wikiloader-digs-sophisticated-evasion

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 3CX Supply Chain Compromise Leads to ICONIC Incident

【标签】3CX

【时间】2024-04-06

【简介】

近日3CX企业级电话管理系统供应商遭遇供应链攻击,国外各大安全厂商纷纷发布了相关的分析报告,这是一起非常严重的供应链攻击事件。在这份报告中,Volexity对从3CX 下载服务器获得的Windows 和 macOS 的多个恶意安装程序及其下载的附加文件进行了调查分析,调查结果表明,3CX 桌面应用程序的 Windows 和 macOS 安装程序在提供给客户之前都被插入了恶意代码,用于攻击的域名和网络基础设施早在2022年11月就已注册,由于C2在分析时都已失效,Volexity无法确认最终的有效载荷。为了侦测和调查这类攻击,Volexity建议使用 YARA规则和Suricata规则来检测相关活动,并屏蔽报告中提到的IOC,隔离受到影响的端点,以降低潜在风险,进行进一步调查。

【参考链接】

3CX Supply Chain Compromise Leads to ICONIC Incident

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Tomiris后门

【标签】Tomiris

【时间】2024-04-06

【简介】

Tomiris专注于中亚的情报收集。Tomiris的最终目的似乎是定期盗窃内部文件。威胁行为者的目标是独联体的政府和外交实体。在其他地区(如中东或东南亚)偶尔发现的受害者原来是独联体国家的外国代表。

【参考链接】

https://securelist.com/tomiris-called-they-want-their-turla-malware-back/109552/

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. MuddyWater针对云及本地混合环境攻击分析

【标签】MuddyWater

【时间】2024-04-06

【简介】

MuddyWater 利用未修补应用程序中的已知漏洞进行初始访问,然后移交给DEV-1084组织进行访问以执行广泛的侦察和发现、建立持久性并在整个网络中横向移动,通常需要等待数周甚至数月才能进入下一阶段。

【参考链接】

Iran-linked MERCURY APT behind destructive attacks on hybrid environments

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. New Banking Trojan“CHAVECLOAK”Targets Brazil

【标签】CHAVECLOAK

【时间】2024-04-16

【简介】

FortiGuard Labs最近发现了一个威胁行为者,该行为者使用恶意PDF文件来传播银行木马CHAVECLOAK。这种复杂的攻击涉及PDF下载ZIP文件,然后利用DLL侧载技术来执行最终的恶意软件。值得注意的是,CHAVECLOAK专门针对巴西用户而设计,旨在窃取与金融活动相关的敏感信息。

【参考链接】

https://www.fortinet.com/blog/threat-research/banking-trojan-chavecloak-targets-brazil

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Parrot TDS: A Persistent and Evolving Malware Campaign

【标签】Parrot TDS

【时间】2024-04-16

【简介】

2023年9月初,研究员调查了有关巴西一家受感染网站的通知。调查显示,该网站提供的页面注入了JavaScript,称为Parrot TDS。进一步的研究发现了来自全球各种服务器的Parrot TDS脚本的许多变体。

【参考链接】

https://unit42.paloaltonetworks.com/parrot-tds-javascript-evolution-analysis/

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. TransparentTribe针对印度政府部门的鱼叉式钓鱼邮件攻击

【标签】TransparentTribe

【时间】2024-04-06

【简介】

2024年02月02日,绿盟科技伏影实验室依托全球威胁狩猎系统发现APT组织TransparentTribe针对印度政府部门的鱼叉式钓鱼邮件攻击。本次事件发生时间临近印度今年4-5月举行的总统换届选举,诱饵文件又与“总统奖”有关,或许与即将到来的总统选举有一定联系。本次事件中TransparentTribe组织利用邮件投递名称为“Recommendation for the award of President’s.docm”的钓鱼文档。恶意文件被压缩隐藏在该文档中,运行后会执行嵌入的VBA脚本提取文件中的恶意程序并运行。本次攻击中使用的最终载荷为CrimsonRAT远控程序,是TransparentTribe攻击组织的常用木马。该Rat具备收集系统信息、下载运行文件、窃取敏感信息等功能。具有极大的危害性。

【防护措施】

绿盟威胁情报中心关于该事件提取6条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. RA group使用泄露的Babuk源代码攻击美国和韩国

【标签】Babuk

【时间】2024-04-06

【简介】

RA Group组织修改泄露的Babuk勒索软件源码并对三个美国组织和一个韩国组织进行攻击。

【参考链接】

https://blog.talosintelligence.com/ra-group-ransomware/

【防护措施】

绿盟威胁情报中心关于该事件提取5条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Money Ransomware: 最新的双重勒索集团

【标签】Money

【时间】2024-04-06

【简介】

使用Money勒索软件的攻击者使用双重勒索的方法对受害者发起攻击,首先盗取受害者的数据,再进行加密,使得受害者需要单独支付两次赎金来避免数据的丢失和泄露。

【参考链接】

https://yoroi.company/research/money-ransomware-the-latest-double-extortion-group/

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. SideCopy伪装注册邀请表格进行攻击

【标签】SideCopy

【时间】2024-04-06

【简介】

SideCopy组织从2020年9月被披露了以来一直持续保持活跃,当时其针对印度国防部门发起攻击,攻击最早可以回溯到2019年,因为攻击手法模仿APT-C-24(响尾蛇)组织,所以其攻击行动被命名为SideCopy。 SideCopy主要针对印度的国防、军事进行窃密活动,其在早期的攻击活动主要通过模仿响尾蛇组织的攻击手法,并以此迷惑安全研究人员。 其一直被怀疑是APT-C-56(透明部落)的下属组织,在今年年初,透明部落与SideCopy被发现利用相同的基础设施并使用相同主题针对相似目标行动。 研究院监测到了SideCopy在早期伪装注册邀请表格的攻击活动样本。我们推测是之前行动未被发现的样本,样本利用诱饵文档最终释放木马。

【参考链接】

https://weixin.sogou.com/link?url=dn9a_-gY295K0Rci_xozVXfdMkSQTLW6cwJThYulHEtVjXrGTiVgS9-55iA5A5OjjGEJamIJS_xtre7SBdz3p1qXa8Fplpd9bTeAz3f7bEBFwthGkwpk0gbwolvNWPRYwm7M6mVv_ULXtNkHI0uuvWSl146V7xNLw1u1nrmul6fY9aRxSdHZxQWOWxDy_mNpUKh7UnWcE9hsHEMgVGTSEtWarspD_7fJEjfsBw0pJdA_MNWnKbTpofU96_GkW0Ni7G98IIovCDrwdVqCwyPdzA..=null=CoreSec360=938787479E1EF25975708E13CC22DCFD75BACEF2645CB721

【防护措施】

绿盟威胁情报中心关于该事件提取9条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Bad magic: 在俄乌冲突地区发现了新的APT

【标签】Bad magic

【时间】2024-04-06

【简介】

Bad magic APT组织利用PowerMagic后门和CommonMagic框架攻击,针对顿涅茨克、卢甘斯克及克里米亚地区的政府、农业及运输组织出现活跃感染。使用鱼叉式网络钓鱼或类似方法。将受害者导航到一个URL,该URL指向托管在恶意Web服务器上的ZIP存档,使受害者感染恶意软件。

【参考链接】

Bad magic: new APT found in the area of Russo-Ukrainian conflict

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 勒索软件综述DoDo

【标签】DoDo

【时间】2024-04-06

【简介】

最近的DoDo勒索软件样本会抛出一个标有“PLEASEREAD.txt”的勒索短信,在加密文件中添加一个“.crypterdodo”扩展名,并将桌面壁纸替换为相同的勒索信息。赎金需求仍然是价值15美元的比特币或门罗币(XMR)。

【参考链接】

https://www.fortinet.com/blog/threat-research/ransomware-roundup-dodo-and-proton

【防护措施】

绿盟威胁情报中心关于该事件提取9条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。

上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author