每周高级威胁情报解读(2021.12.30~2022.01.06)

意昂体育-科技赋能场景,让娱乐更有趣!

首页 > 企业动态 > 公司新闻 > 每周高级威胁情报解读(2021.12.30~2022.01.06)

每周高级威胁情报解读(2021.12.30~2022.01.06)

时间：2022-01-07 作者：意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心

分享到：

2021.12.30~2022.01.06

攻击团伙情报

Kimsuky针对韩国新闻行业的垂纶运动剖析

Lazarus针对航空业及清静研究职员提倡攻击

双尾蝎使用恶意Android程序攻击中东地区

APT33新型恶意远控软件“LittleLooter”剖析

Evilnum使用隐写术投递新型木马AgentVX

“KONNI”使用新年问候瞄准俄罗斯外交官

攻击行动或事务情报

攻击者冒充美国小企业治理局以新冠援助为诱饵举行垂纶运动

Lapsus$勒索软件团伙针对葡萄牙最大的媒体公司

WebSkimmer运动通过攻击云视频平台瞄准房地产网站

恶意代码情报

AgentTesla更新SMTP数据泄露手艺

2021年盛行勒索软件盘货

Telegram装置包被用于撒播PurpleFox后门程序

误差情报

ApacheAPISIXDashboard远程代码执行误差清静危害通告第二次更新

研究职员发明Uber电子邮件系统保存误差

攻击团伙情报

Kimsuky针对韩国新闻行业的垂纶运动剖析

披露时间：2021年12月30日

情报泉源：https://mp.weixin.qq.com/s/O_3PFAB4RGxJXHnx_o9f3Q

相关信息：

研究职员发明一例伪装成韩国互联网清静局（KISA）研究员针对韩国新闻行业主要人物举行鱼叉垂纶的网络攻击运动，，，，，，，，经研判剖析，，，，，，，，此次运动来自Kimsuky组织。。。。。。

经太过析还原，，，，，，，，推测攻击流程如下：攻击者首先通过BBS误差入侵了网站，，，，，，，，然后上传Webshell及其他攻击运动中所需要的组件到web效劳器，，，，，，，，web效劳器作为跳板机，，，，，，，，实现发送邮件、吸收受害者信息、提供恶意载荷下载等功效。。。。。。最后攻击者结构垂纶邮件投递到目的机诱导用户执行，，，，，，，，攻击者可通过Webshell获取网络到的受害者信息。。。。。。

每周高级威胁情报解读(2021.12.30~2022.01.06)

Lazarus针对航空业及清静研究职员提倡攻击

披露时间：2021年12月30日

情报泉源：https://mp.weixin.qq.com/s/fVrGwrJxo_GW6FtfghzCzA

相关信息：

Lazarus组织是疑似具有国家配景的境外大型APT集团组织，，，，，，，，该组织善于使用社会工程学计划针对政府、科研、金融、航空、加密钱币等机构举行定向攻击运动，，，，，，，，窃取主要情报信息及获取经济利益是其主要目的。。。。。。

清静厂商监测到Lazarus组织针对航空业及清静研究职员的定向攻击运动，，，，，，，，剖析有如下发明：

攻击者伪装美国“洛克希德马丁”航空公司招聘文档，，，，，，，，向目的投递诱饵文档举行攻击；；；；；；；

所投递文档最终加载执行恶意后门�？？？？？？�，，，，，，，，实现对目的主机的远程控制；；；；；；；

同时还使用相同的文档模板制作Google公司的招聘诱饵文档举行攻击运动；；；；；；；

攻击者修改开源项目NppShell开发木马，，，，，，，，可以逃避部分清静软件检测；；；；；；；

Lazarus复用以往攻击手法，，，，，，，，修改开源SumatraPDF阅读器举行攻击；；；；；；；

别的，，，，，，，，该组织将恶意组件捆绑到IDAPro装置包程序针对清静研究职员举行攻击。。。。。。

双尾蝎使用恶意Android程序攻击中东地区

披露时间：2021年12月28日

情报泉源：https://mp.weixin.qq.com/s/RRH9vgnNJyc1idTLS6okcw

相关信息：

近期，，，，，，，，研究职员捕获了一款APT-C-23样本。。。。。。APT-C-23又被称为“双尾蝎”，，，，，，，，在2017年首次被发明，，，，，，，，这个组织针对巴勒斯坦等国家和地区。。。。。。在此次捕获的样本中，，，，，，，，我们发明此恶意软件名为“GooglePlayInstaller”恶意程序，，，，，，，，装置后伪装成Telegram应用程序类似的图标和界面。。。。。。

该恶意软件在多个维度获取用户的种种隐私信息，，，，，，，，在获取用户隐私信息中含有获取用户的联系人信息、短信、通话纪录、图片、文档、以及音频文件。。。。。。该恶意软件获取云云之多的用户信息可谓是全笼罩。。。。。。

每周高级威胁情报解读(2021.12.30~2022.01.06)

APT33新型恶意远控软件“LittleLooter”剖析

披露时间：2021年12月31日

情报泉源：https://mp.weixin.qq.com/s/Zj44UM--9UyonjhxEHvRBA

相关信息：

近期，，，，，，，，研究职员监测到一款名为“WhatsApp.apk”的虚伪社交软件，，，，，，，，着实是一款恶意窃密软件，，，，，，，，疑惑用户下载，，，，，，，，远程控制用户手机,并窃取用户的隐私数据。。。。。。研究职员剖析发明是APT33组织的新型远控软件，，，，，，，，凭证其恶意行为将其命名为“LittleLooter”。。。。。。

“WhatsApp”是全球着名的通讯社交软件，，，，，，，，但此应用主要是外洋的用户群体，，，，，，，，并未在海内应用市场上架，，，，，，，，用户在乐成装置虚伪的“WhatsApp”后，，，，，，，，也无法翻开，，，，，，，，恶意软件会删除自身的界面的图标，，，，，，，，并且提醒“未装置该应用”，，，，，，，，但此恶意软件并没有删除，，，，，，，，在后台依然保存，，，，，，，，并继续监听，，，，，，，，网络手机用户的隐私信息，，，，，，，，包括用户的通讯录、短信内容、通讯纪录、手机存储的文件、用户定位、网络信息、装备信息、浏览器历史、照片录音录像和装置的应用列表，，，，，，，，同时远程操控用户手机发送短信、拨打电话、录音和上传文件等恶意操作。。。。。。

每周高级威胁情报解读(2021.12.30~2022.01.06)

Evilnum使用隐写术投递新型木马AgentVX

披露时间：2022年1月4日

情报泉源：http://blog.nsfocus.net/agentvxapt-evilnum/

相关信息：

Evilnum是一个在2018年被发明的APT组织，，，，，，，，活跃于英国和欧友邦家，，，，，，，，主要攻击目的为金融科技公司。。。。。。组织名称Evilnum来自同名的木马程序，，，，，，，，亦被卡巴斯基称为DeathStalker。。。。。。

Evilnum的代表性攻击手段是将恶意程序伪装成客户的身份证实文件，，，，，，，，诱骗金融公司的事情职员运行这些程序，，，，，，，，进而通过植入特工木马获得受害者主机上的高价值信息。。。。。。

近期，，，，，，，，研究职员捕获到多个以护照扫描文件作为诱饵的网络垂纶运动。。。。。。经太过析，，，，，，，，确认该运动来自APT组织Evilnum，，，，，，，，是其恒久以来针对金融目的犯法运动的延续。。。。。。Evilnum攻击者在本次垂纶运动中构建了新型攻击流程，，，，，，，，并通过NSIS包装、署名、隐写术等操作实现免杀，，，，，，，，最终投递一种新型木马程序AgentVX。。。。。。

“KONNI”使用新年问候瞄准俄罗斯外交官

披露时间：2022年1月3日

情报泉源：https://cluster25.io/wp-content/uploads/2022/01/Konni_targeting_Russian_diplomatic_sector.pdf

相关信息：

近期，，，，，，，，研究职员监测到一起与朝鲜组织“Konni”有关的攻击运动，，，，，，，，该组织以俄罗斯外交部分为目的，，，，，，，，在垂纶邮件中使用新年祝贺作为诱饵主题。。。。。。一旦恶意电子邮件附件被翻开并执行，，，，，，，，就会触发由多个阶段组成的攻击链，，，，，，，，最终在目的受害者系统中安排KonniRAT恶意软件。。。。。。

在本次攻击运动中，，，，，，，，Konni组织没有使用恶意文件作为附件，，，，，，，，而是附加了一个名为“поздравление”的.zip类型文件，，，，，，，，在俄语中意为“祝贺”。。。。。。该文件一旦解压缩，，，，，，，，就会释放一个恶意下载程序，，，，，，，，该下载程序能够激活一个重大的操作链，，，，，，，，最终安排KonniRAT恶意软件。。。。。。

每周高级威胁情报解读(2021.12.30~2022.01.06)

攻击行动或事务情报

攻击者冒充美国小企业治理局以新冠援助为诱饵举行垂纶运动

披露时间：2021年12月29日

情报泉源：https://cofense.com/threat-actors-continue-to-leverage-pandemic-relief-plans/

相关信息：

由于新冠病毒的影响仍在扰乱人们的生涯和企业，，，，，，，，攻击者试图使用那些焦虑期待政府援助的人的焦虑，，，，，，，，冒充美国小企业治理局(SBA)的代表向目的发送垂纶邮件，，，，，，，，通过GoogleDocs提供的不法表格提供虚伪的资助申请，，，，，，，，窃取受害者的私人信息。。。。。。

攻击者在垂纶邮件中使用SBA徽标和SBA客户效劳的正当号码以增强和诱骗性，，，，，，，，逐步诱导受害者翻开并填写Google文档表单，，，，，，，，获取敏感信息，，，，，，，，例如社会清静号码，，，，，，，，并最终获取银行帐号和驾驶执照信息。。。。。。

Lapsus$勒索软件团伙针对葡萄牙最大的媒体公司

披露时间：2022年1月2日

情报泉源：https://therecord.media/lapsus-ransomware-gang-hits-sic-portugals-largest-tv-channel/

相关信息：

Lapsus$勒索软件团伙入侵了葡萄牙最大的媒体集团Impresa，，，，，，，，并对其举行勒索运动。。。。。。Impresa公司划分是葡萄牙最大的电视频道和周报SIC和Expresso的所有者。。。。。。

攻击爆发在新年假期时代，，，，，，，，除勒索运动外，，，，，，，，攻击者还攻击了该公司的在线IT效劳器基础设施，，，，，，，，导致Impressa集团、Expresso和所有SIC电视频道的网站处于离线状态。。。。。。攻击者还声称已获得对Impresa亚马逊网络效劳帐户的会见权限。。。。。。

凭证葡萄牙2021年9月的电视收视率，，，，，，，，SIC及其所有二级频道主导着电视市场，，，，，，，，而Expresso的周刊刊行量最大。。。。。。只管云云，，，，，，，，Impressa还拥有许多其他媒体公司和杂志，，，，，，，，所有这些公司和杂志现在也最有可能受到攻击的影响。。。。。。

WebSkimmer运动通过攻击云视频平台瞄准房地产网站

披露时间：2022年1月3日

情报泉源：https://unit42.paloaltonetworks.com/web-skimmer-video-distribution/

相关信息：

供应链网络是网络犯法的常见目的，，，，，，，，由于控制供应链中的薄弱环节可以让攻击者接触到更多的受害者——尤其是当薄弱环节是供应链的泉源时。。。。。。

最近，，，，，，，，研究职员发明攻击者使用云视频平台向房地产站点分发Skimmer（又名表单挟制）的供应链攻击运动。。。。。。在Skimmer攻击中，，，，，，，，攻击者注入恶意JavaScript代码来入侵网站并接受网站HTML表单页面的功效以网络敏感的用户信息。。。。。。

在此处形貌的攻击案例中，，，，，，，，攻击者将SkimmerJavaScript代码注入视频中，，，，，，，，因此每当其他人导入视频时，，，，，，，，他们的网站也会嵌入Skimmer代码。。。。。。

恶意代码情报

AgentTesla更新SMTP数据泄露手艺

披露时间：2021年12月30日

情报泉源：https://isc.sans.edu/diary/rss/28190

相关信息：

AgentTesla是一种基于Windows的键盘纪录器和RAT，，，，，，，，通常使用SMTP或FTP来窃取被盗数据。。。。。。该恶意软件自2014年以来一直保存，，，，，，，，SMTP是其最常用的数据泄露要领。。。。。。

到2021年11月，，，，，，，，AgentTesla样本通过托管提供商建设的邮件效劳器给被熏染或可能受骗的账户发送他们的电子邮件。。。。。。自2021年12月以来，，，，，，，，AgentTesla使用这些被盗用的电子邮件帐户将窃取的数据发送到Gmail地点。。。。。。

凭证这些Gmail地点名称，，，，，，，，推测它们是诓骗性的Gmail帐户，，，，，，，，或者是专门为吸收来自AgentTesla的数据而建设的。。。。。。

每周高级威胁情报解读(2021.12.30~2022.01.06)

2021年盛行勒索软件盘货

披露时间：2022年1月3日

情报泉源：https://mp.weixin.qq.com/s/OX0jsdIXpdKWXiWOrgd_Hw

相关信息：

勒索软件已经成为全球企业和组织面临的主要网络威胁，，，，，，，，熏染勒索软件后严重影响企业和组织的运营，，，，，，，，包括营业中止、数据和信息被窃取果真售卖。。。。。。2021年全球制造业、效劳业、修建、金融、能源、医疗、工控和政府组织机构等频遭勒索软件攻击，，，，，，，，给全球工业产值造成严重损失。。。。。。

清静职员从家族名、受害者、攻击时间、影响等方面内容入手，，，，，，，，对2021年盛行的勒索软件举行了梳理，，，，，，，，形立室族概览并对其举行了详细先容。。。。。。其中2021年的勒索软件行为主要有以下四类：影响用户系统、破损数据、加密文件、窃取文件。。。。。。

Telegram装置包被用于撒播PurpleFox后门程序

披露时间：2022年1月4日

情报泉源：https://blog.minerva-labs.com/malicious-telegram-installer-drops-purple-fox-rootkit

相关信息：

PurpleFox是一种基于Windows的后门，，，，，，，，于2018年首次作为无文件下载器木马泛起，，，，，，，，该木马通过误差使用工具包分发，，，，，，，，该误差破损了30,000多台盘算机。。。。。。

克日，，，，，，，，研究职员发明基于云的即时新闻应用程序Telegram的装置程序已被破损，，，，，，，，用以分发PurpleFox恶意软件。。。。。。本次攻击运动通过将攻击载荷分成几个小文件，，，，，，，，最后阶段导致PurpleFoxrootkit熏染。。。。。。

攻击链以Telegram装置程序文件最先，，，，，，，，以名为“TextInputh.exe”的恶意下载程序竣事。。。。。。恶意下载器使用名为“TelegramDesktop.exe”的AutoIt剧本从C2效劳器装置其他恶意软件：1.rar–包括下一阶段的文件；；；；；；；7zz.exe–正当的7z归档程序。。。。。。7zz.exe用于解压1.rar，，，，，，，，其中包括rundll3222.exe、svchost.txt、360.tct、ojbk.exe。。。。。。

每周高级威胁情报解读(2021.12.30~2022.01.06)

误差相关

ApacheAPISIXDashboard远程代码执行误差清静危害通告第二次更新

披露时间：2021年12月30日

情报泉源：https://mp.weixin.qq.com/s/VWS0awKU5K5kPul9G0DnFw

相关信息：

APISIX是一个高性能、可扩展的微效劳API网关，，，，，，，，基于nginx（openresty）和Lua实现功效，，，，，，，，借鉴了Kong的思绪，，，，，，，，将Kong底层的关系型数据库（Postgres）替换成了NoSQL型的etcd。。。。。。

克日，，，，，，，，意昂体育-科技赋能场景,让娱乐更有趣!CERT监测到Apache官方宣布ApacheAPISIXDashboard远程代码执行误差（CVE-2021-45232）清静通告。。。。。。

在2.10.1之前的ApacheAPISIXDashboard中，，，，，，，，ManagerAPI使用了”gin”和”droplet”框架，，，，，，，，由于某些API直接使用了`gin`框架的接口并未做鉴权，，，，，，，，从而导致身份验证绕过。。。。。。远程攻击者可以借助未授权的接口获取路由设置，，，，，，，，笼罩设置信息，，，，，，，，会见特定接口从而在APISIXServer中执行代码。。。。。。

现在，，，，，，，，Apache官方已宣布可更新版本，，，，，，，，建议客户尽快自查并修复。。。。。。

研究职员发明Uber电子邮件系统保存误差

披露时间：2022年1月2日

情报泉源：https://www.bleepingcomputer.com/news/security/uber-ignores-vulnerability-that-lets-you-send-any-email-from-ubercom/

相关信息：

清静研究员和误差赏金猎人SeifElsallamy发明了Uber系统中的一个缺陷，，，，，，，，该误差使任何人都可以代表Uber发送电子邮件。。。。。。

这些从Uber效劳器发送的电子邮件对电子邮件提供商来说似乎是正当的，，，，，，，，并且可以通过任何垃圾邮件过滤器。。。。。。

Uber在2016年的数据泄露事务中，，，，，，，，袒露了5700万Uber客户和司机的小我私家信息。。。。。。通过使用这个未修补的误差，，，，，，，，攻击者可能会向以前受该误差影响的数百万Uber用户发送有针对性的网络垂纶诈骗。。。。。。

意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!AI+清静系统

意昂体育-科技赋能场景,让娱乐更有趣!清静产品

企业动态

每周高级威胁情报解读(2021.12.30~2022.01.06)

相关产品

相关新闻

意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!AI+清静系统

意昂体育-科技赋能场景,让娱乐更有趣!清静产品

企业动态

每周高级威胁情报解读(2021.12.30~2022.01.06)

相关产品

相关新闻

误差永远修不完，，，， ，，，，“带洞防护”成一定——意昂体育-科技赋能场景,让娱乐更有趣!宣布Mythos应对白皮书

意昂体育-科技赋能场景,让娱乐更有趣!基金会加入“万企兴万村”京郊行 “心安助农·墟落多功效足球场”将落地怀柔

赛力斯集团与意昂体育-科技赋能场景,让娱乐更有趣!告竣战略清静相助

一连三年！奇安盘古斩获OpenHarmony社区误差挖掘双项大奖

误差永远修不完，，，，，，，，“带洞防护”成一定——意昂体育-科技赋能场景,让娱乐更有趣!宣布Mythos应对白皮书