意昂体育-科技赋能场景,让娱乐更有趣!

连忙拨打95015

首页 > 企业动态 > 公司新闻 > 每周高级威胁情报解读(2021.01.06~01.13)

每周高级威胁情报解读(2021.01.06~01.13)

时间：2022-01-14 作者：意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心

分享到：

2021.02.04~02.11

攻击团伙情报

蔓灵花APT组织近期攻击运动剖析

Patchwork使用垂纶攻击投放BADNEWS木马新变种

摩诃草近期针对国防与医疗卫生实体的攻击运动剖析

疑似蔓灵花针对巴基斯坦航空部分攻击运动剖析

KONNI使用新手法针对俄罗斯偏向一连睁开攻击

攻击行动或事务情报

攻击者使用恶意修改的dnSpy工具攻击手艺职员

Nanocore、Netwire和AsyncRAT撒播运动使用公共云基础设施

Magnitude、Underminer误差工具包针对GoogleChrome提倡攻击

恶意代码情报

RedLine变种Omicron以COVID为诱饵放纵撒播

FluBot安卓恶意软件最新剖析

Abcbot僵尸网络深入剖析

误差情报

macOS误差powerdir(CVE-2021-30970)细节披露

Microsoft2022年1月补丁通告

每周高级威胁情报解读(2021.01.06~01.13)

攻击团伙情报

01

蔓灵花APT组织近期攻击运动剖析

披露时间：2021年01月10日

情报泉源：https://mp.weixin.qq.com/s/NLe4JqmjiB58IQ5Kn6DSLQ

相关信息：

近期，，，，，，，360高级威胁研究院捕获了蔓灵花以“Datailsofbill”为主题针对外洋军工企业实验的攻击运动事务，，，，，，，并披露了蔓灵花在运动中使用的多种新攻击手法及样本。。。。。。与以往CHM建设妄想使命实现长期化相比，，，，，，，此次CHM样本将同目录下的PE文件举行自复制实现长期化并且伪装成系统文件，，，，，，，更具有隐藏性。。。。。。别的在研究职员捕获的.Net的RAT中，，，，，，，代码结构并未保存大的变换，，，，，，，指令名和指令数据处保存更新。。。。。。

此类转变趋势与响尾蛇组织相似，，，，，，，两者的更新偏向均在于代码执行的部分，，，，，，，关于后续的远控程序，，，，，，，主要以流量或代码特征绕过作为优化偏向。。。。。。面临这些层出不穷的攻击手法，，，，，，，研究职员需要�；；；；；；；承⌒闹摹！�。。。。

每周高级威胁情报解读(2021.01.06~01.13)

02

Patchwork使用垂纶攻击投放BADNEWS木马新变种

披露时间：2021年01月07日

情报泉源：https://blog.malwarebytes.com/threat-intelligence/2022/01/patchwork-apt-caught-in-its-own-web/

相关信息：

Patchwork是一个南亚地区的APT组织，，，，，，，自2015年12月以来一直活跃，，，，，，，通常使用鱼叉式网络垂纶攻击，，，，，，，主要针对巴基斯坦。。。。。。在2021年11月尾至12月初的最新运动中，，，，，，，Patchwork使用恶意RTF文件投放了BADNEWS远程治理木马的一个变种。。。。。。

Ragnatela是BADNEWSRAT的一个新变种，，，，，，，通过鱼叉式网络垂纶邮件撒播给巴基斯坦的相关目的。。。。。。RagnatelaRAT具有通过cmd执行下令、捕获屏幕截图、纪录击键次数等功效。。。。。。Ragnatela在意大利语中意为蜘蛛网，，，，，，，也是Patchwork此次恶意运动使用的项目名称。。。。。。

在此次恶意运动中，，，，，，，攻击者首次将目的锁定在分子医学和生物科学的研究职员身上。。。。。。具有讥笑意味的是，，，，，，，攻击者使用其RAT熏染了自己，，，，，，，最后获得的是其电脑和虚拟机的键盘击键次数和屏幕截图。。。。。。

03

摩诃草近期针对国防与医疗卫生实体的攻击运动剖析

披露时间：2021年01月10日

情报泉源：https://mp.weixin.qq.com/s/ZNhdLN_AgGfjdk8nG8kLmw

相关信息：

Patchwork（白象、摩诃草、APT-C-09、DroppingElephant）是一个疑似具有南亚地区配景的APT组织，，，，，，，该组织恒久针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域举行网络攻击窃密运动。。。。。。

近期安恒威胁情报中心猎影实验室捕获到多个Patchwork组织攻击运动样本，，，，，，，本次样本主要通过鱼叉式垂纶邮件举行撒播，，，，，，，样本以“医疗卫生气构挂号表”、“巴基斯坦国防官员住房挂号表”等相关内容作为诱饵，，，，，，，通过使用CVE-2017-11882误差，，，，，，，最终释放“BADNEWS”后门程序举行窃密运动。。。。。。

04

疑似蔓灵花组织针对巴基斯坦航空综合部分攻击运动剖析

披露时间：2021年01月11日

情报泉源：https://mp.weixin.qq.com/s/x1Q7_glLJL_qDnvcO-9yLg

相关信息：

蔓灵花(Bitter)是一个被普遍以为来自南亚地区的APT组织，，，，，，，该组织恒久针对我国及巴基斯坦的政府、军工、电力、核等部分发动网络攻击，，，，，，，窃取敏感数据，，，，，，，具有较强的政治配景。。。。。。

近期安恒威胁情报中心猎影实验室捕获到一个疑似蔓灵花组织针对巴基斯坦“航空领域”的攻击运动样本。。。。。。该样本使用名为“PACAdvisoryCommitteeReport.doc”的诱饵文档举行攻击。。。。。。并且使用一个处于失陷状态的巴基斯坦二手生意网站效劳器来下发第二阶段载荷。。。。。。

05

KONNI使用新手法针对俄罗斯偏向一连睁开攻击

披露时间：2021年01月12日

情报泉源：https://mp.weixin.qq.com/s/AA4dpzwhSyktQGQ83cMHbA

相关信息：

KONNIAPT组织是疑似由特定政府支持的黑客组织，，，，，，，该组织恒久针对俄罗斯、韩国等地区举行定向攻击运动，，，，，，，其善于使用社会热门话题对目的举行鱼叉式网络垂纶攻击。。。。。。

微步情报局近期监测到KONNI组织借助“COVID-19疫苗接种”主题对俄罗斯偏向的定向攻击运动，，，，，，，剖析有如下发明：

攻击者向目的发送“疫苗接种预约”相关诱饵文档，，，，，，，并附带木马�？？？？？？？�，，，，，，，凭证相关诱饵文件内容，，，，，，，研判攻击目的为俄罗斯偏向相关整体；；；；；；；

木马使用DLL挟制的要领借助相关装置包程序、PDF阅读器执行，，，，，，，后续加载执行的恶意�？？？？？？？橛敫米橹酝セ髟硕兴褂玫难靖叨纫恢�；；；；；；；

与该组织以往攻击运动差别的是，，，，，，，在本次攻击运动中，，，，，，，攻击者并没有使用宏文档举行攻击，，，，，，，而是将木马�？？？？？？？橛胝３绦虼虬谝黄鹁傩蠨LL挟制攻击。。。。。。

攻击行动或事务情报

01

攻击者使用恶意修改的dnSpy工具攻击手艺职员

披露时间：2021年01月12日

情报泉源：http://noahblog.360.cn/fake-dnspy-when-hackers-have-no-martial-ethics/

相关信息：

克日，，，，，，，黑客提倡了一场针对网络清静研究职员和开发职员的恶意软件运动，，，，，，，该运动分发一个恶意版本的dnSpy.NET应用程序，，，，，，，用来装置加密钱币窃取软件、远控木马和挖矿软件。。。。。。

dnSpy是一个开源工具，，，，，，，可是现在不再由最初的开发者开发，，，，，，，但任何人都可以在GitHub上克隆和修改原始源代码。。。。。。因此有攻击者用dnSpy的编译版本建设了一个GitHub库，，，，，，，并在其中装置了一系列恶意软件，，，，，，，包括窃取加密钱币的窃密软件、Quasar木马、挖矿软件和种种未知负载。。。。。。别的，，，，，，，攻击者还使用搜索引擎广告来推广这个恶意的GitHub库。。。。。。现在，，，，，，，相关恶意的网站已被关闭。。。。。。

02

Nanocore、Netwire和AsyncRAT撒播运动使用公共云基础设施

披露时间：2021年01月12日

情报泉源：https://blog.talosintelligence.com/2022/01/nanocore-netwire-and-asyncrat-spreading.html

相关信息：

CiscoTalos在2021年10月发明了撒播Nanocore、Netwire和AsyncRATs恶意软件变种的恶意运动。。。。。。这些恶意软件变种具有多种功效，，，，，，，可以控制受害者的情形，，，，，，，远程执行恣意下令并窃取受害者的信息。。。。。。该运动的受害者主要漫衍在美国、意大利和新加坡。。。。。。

最初的熏染载体是带有恶意ZIP附件的网络垂纶电子邮件。。。。。。ZIP文件包括一个ISO镜像文件，，，，，，，其中包括一个恶意混淆的下载程序。。。。。。攻击者在下载器的剧本中使用了重大的混淆手艺。。。。。。每一阶段的去混淆历程效果都与后续阶段的解密要领有关，，，，，，，最终实现下载恶意负载。。。。。。同时，，，，，，，该攻击者还滥用了微软Azure和AWS等云效劳以告竣其恶意目的，，，，，，，并且还使用了DuckDNS动态DNS效劳，，，，，，，做到按期更改C2效劳器的IP地点，，，，，，，并快速添加新的子域。。。。。。

每周高级威胁情报解读(2021.01.06~01.13)

03

Magnitude、Underminer误差工具包针对GoogleChrome提倡攻击

披露时间：2021年01月12日

情报泉源：https://decoded.avast.io/janvojtesek/exploit-kits-vs-google-chrome/

相关信息：

2021年10月，，，，，，，研究职员发明Magnitudeexploitkit正在测试Chromium误差链。。。。。。约莫一个月后，，，，，，，研究职员发明Underminerexploitkit紧随厥后，，，，，，，也开发了针对Chromium误差的使用工具。。。。。。Magnitude使用CVE-2021-21224和CVE-2021-31956，，，，，，，Underminer使用CVE-2021-21224、CVE-2019-0808、CVE-2020-1020和CVE-2020-1054。。。。。。Magnitude和Underminer都乐成地为Windows上的Chromium开发了误差链。。。。。。

攻击者首先会在正当网站上购置广告，，，，，，，目的是有可能被他们使用的用户（例如InternetExplorer用户）。。。。。。这些广告包括自动执行的JavaScript代码，，，，，，，这段代码会进一步剖析受害者的浏览器情形，，，，，，，并为该情形选择一个合适的误差。。。。。。若是使用乐成，，，，，，，一个恶意的有用载荷将被安排到受害者的网络情形。。。。。。然而，，，，，，，就被使用的受害者的数目而言，，，，，，，这些使用链都不是特殊乐成。。。。。。使用Chromium误差链失败的缘故原由有可能是攻击者对误差的使用寿命预期过高。。。。。。Chrome浏览器在一个月内会多次给用户推送通知，，，，，，，让用户装置浏览器补丁，，，，，，，这一行为大大降低了误差被使用的概率。。。。。。

每周高级威胁情报解读(2021.01.06~01.13)

恶意代码情报

01

RedLine变种Omicron以COVID为诱饵放纵撒播

披露时间：2021年01月10日

情报泉源：https://www.fortinet.com/blog/threat-research/omicron-variant-lure-used-to-distribute-redline-stealer

相关信息：

研究职员最近捕获到了RedlineStealer恶意软件的一个变种"OmicronStats.exe"。。。。。。关于RedLineStealer的第一份报告可以追溯到2020年3月，，，，，，，它很快成为了暗网市场上最受接待的恶意软件。。。。。。由RedLineStealer获取的信息在暗网市场上以每套用户凭证10美元的低价出售。。。。。。受害者系统熏染RedlineStealer之后，，，，，，，其账户密码和完整的浏览器细节都会被纪录。。。。。。

一样平常来说，，，，，，，每个用户的资料包括在线支付门户、电子银行效劳、文件共享或社交网络平台的账户上岸凭证。。。。。。虽然研究职员现在无法确定这个Omicron变体的熏染载体，，，，，，，但信托它是通过电子邮件撒播的。。。。。。据相识，，，，，，，已往的RedLineStealer变体是在以COVID为主题的电子邮件中撒播的，，，，，，，以引诱受害者。。。。。。现在这个变种的文件名"OmicronStats.exe"，，，，，，，就在Omicron变种成为全球关注的焦点时使用，，，，，，，遵照了以前变种的模式。。。。。。

鉴于这个恶意软件被嵌入到一个被受害者翻开的文件中，，，，，，，研究职员以为电子邮件是这个变种的熏染载体。。。。。。此次恶意运动的潜在受害者漫衍在12个国家，，，，，，，攻击者并没有针对特定的组织或小我私家。。。。。。

02

FluBot安卓恶意软件最新剖析

披露时间：2021年01月12日

情报泉源：https://www.f5.com/labs/articles/threat-intelligence/flubots-authors-employ-creative-and-sophisticated-techniques-to-achieve-their-goals-in-version-50-and-beyond

相关信息：

FluBot是一个2020年头泛起的安卓恶意软件。。。。。。该恶意软件可以远程控制熏染装备，，，，，，，窃取数据。。。。。。最初，，，，，，，FluBot主要针对西班牙银行，，，，，，，但厥后其目的扩大到澳大利亚、德国、波兰和英国的银行。。。。。。

FluBot有多种撒播方法，，，，，，，通常是通过垂纶短信。。。。。。短信指向一个恶意网站，，，，，，，一旦会见，，，，，，，受害者会被诱导装置FluBot恶意软件。。。。。。受害者乐成装置并翻开FluBot后，，，，，，，FluBot会会见受害者的联系人列表，，，，，，，并将其上传到C2效劳器，，，，，，，继而向新的目的联系人列表发送垂纶短信，，，，，，，完成扩散。。。。。。

FluBot为了避免被剖析使用了许多重大的手艺，，，，，，，如MultiDex、DGA、DNS-over-HTTPS、RSA+RC4组合加密。。。。。。现在已经宣布到5.2版本。。。。。。

每周高级威胁情报解读(2021.01.06~01.13)

03

Abcbot僵尸网络深入剖析

披露时间：2021年01月14日

情报泉源：https://www.cadosecurity.com/abcbot-an-evolution-of-xanthe/

相关信息：

近期，，，，，，，研究职员发明新兴僵尸网络Abcbot与几年前基于Xanthe恶意软件的加密挟制运动保存显着联系。。。。。。研究职员以为，，，，，，，Xanthe和Abcbot由统一攻击者开发，，，，，，，并且其运动目的爆发了转变，，，，，，，从在受熏染主机上挖掘加密钱币，，，，，，，转向更古板的与僵尸网络相关的运动，，，，，，，例如DDoS攻击。。。。。。Xanthe是一个加密挟制的恶意软件家族，，，，，，，其主要目的是挟制系统资源以挖掘Monero加密钱币。。。。。。Xanthe搜索并熏染袒露的DockerAPI端点。。。。。。

Abcbot最初于2021年7月被视察到，，，，，，，研究职员在剖析Abcbot的基础架构时，，，，，，，发明了与Xanthe恶意软件运动之间的联系。。。。。。在较量来自两个运动的恶意软件样本后，，，，，，，发明两个恶意软件家族的代码和功效集也有很显着的相似性。。。。。。两个恶意软件家族具有相似的编码气概，，，，，，，函数在文件顶部声明，，，，，，，在后面举行挪用，，，，，，，并且共享相似的函数名称。。。。。。

这两个恶意软件家族都在受熏染的系统上建设了四个具有完全相同名称的恶意用户，，，，，，，并且都搜索和删除可能与其竞争的用户。。。。。。别的，，，，，，，两个恶意软件样本都是可以轻松复制的shell剧本，，，，，，，体现出可以代码重用的特点。。。。。。

每周高级威胁情报解读(2021.01.06~01.13)

误差相关

01

macOS误差powerdir(CVE-2021-30970)细节披露

披露时间：2021年01月10日

情报泉源：https://www.microsoft.com/security/blog/2022/01/10/new-macos-vulnerability-powerdir-could-lead-to-unauthorized-user-data-access/

相关信息：

1月10日，，，，，，，微软宣布关于macOS中的误差powerdir(CVE-2021-30970)的剖析报告。。。。。。微软体现，，，，，，，攻击者可以使用该误差绕过透明、赞成和控制(TCC)手艺来会见用户的数据。。。。。。

研究职员发明，，，，，，，可以通过编程的方法改动目的用户主目录并植入伪TCC数据库，，，，，，，攻击者可使用该误差凭证用户受�；；；；；；；さ男∥宜郊沂莶呋セ鳌！�。。。。微软团队在2021年7月15日将误差报告给Apple公司，，，，，，，Apple在12月13日宣布的清静更新中修复。。。。。。

Microsoft2022年1月补丁通告

披露时间：2021年01月14日

情报泉源：https://msrc.microsoft.com/update-guide/

相关信息：

Microsoft在1月份的补丁日宣布了97个误差的修复补丁，，，，，，，涉及到MicrosoftDefender、MicrosoftDevices、MicrosoftOffice、MicrosoftPowerShell、WindowsNTFS等多款产品或组件，，，，，，，其中9个误差被标记为严重误差，，，，，，，88个被标记为高危误差。。。。。。

此次修复的最严重的是HTTP协议栈远程代码执行误差（CVE-2022-21907），，，，，，，CVSS评分为9.8，，，，，，，攻击者可以通过发送恶意数据包到目的效劳器来使用该误差。。。。。。

别的，，，，，，，更新还修复了6个0day，，，，，，，包括开源Curl库中的RCE（CVE-2021-22947）、开源Libarchive库中的RCE（CVE-2021-36976）和外地Windows清静中心API中的RCE（CVE-2022-21874）等。。。。。。

0day误差说明：

CVE-2021-22947OpenSourceCurl远程代码执行误差：此CVE是关于Windows使用的curl开源库中的一个误差。。。。。。它的CVSS评分为5.9，，，，，，，危害品级中等。。。。。。

当curl>=7.20.0和

CVE-2021-36976Libarchive远程代码执行误差：CVE-2021-36976是关于Windows使用的libarchive开源库中的一个误差。。。。。。它的CVSS评分为6.5，，，，，，，危害品级中等。。。。。。

CVE-2022-21919WindowsUserProfileService特权提升误差：CVE-2022-21919是WindowsUserProfileService的特权提升误差。。。。。。它的CVSS评分为7.0，，，，，，，危害品级高。。。。。。该误差为去年外洋清静研究员果真的0day误差，，，，，，，现已修复。。。。。。

其他主要误差说明：

CVE-2022-21907HTTP协议客栈远程执行代码误差：CVE-2022-21907的CVSS评分为9.8分，，，，，，，危害品级高，，，，，，，可能导致蠕虫化使用。。。。。。乐成使用需要攻击者将恶意制作的数据包发送到目的Windows效劳器，，，，，，，这些效劳器使用易受攻击的HTTP协议栈来处置惩罚数据包。。。。。。微软建议用户优先在所有受影响的效劳器上修补此误差，，，，，，，由于它可能允许未经身份验证的攻击者在低重漂后攻击中远程执行恣意代码，，，，，，，并且“在大大都情形下”，，，，，，，无需用户交互。。。。。。该误差影响最新的桌面和效劳器Windows版本，，，，，，，包括Windows11和WindowsServer2022。。。。。。该误差现在并未受到起劲使用，，，，，，，也没有果真披露的POC(看法验证代码）使用。。。。。。

相关产品

相关新闻

您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问可用以下方法告诉我们

将您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问

用以下方法告诉我们

联系客服提交信息网络清静效劳热线:95015

我猜您是

客户

求职者

快捷窗口

产品注册与激活

意昂体育-科技赋能场景,让娱乐更有趣!天守清静软件

顽固病毒专杀工具

旗下网站

网神

网康

手艺研究院

威胁情报中心

补天误差响应平台

NOX 清静监测

关于意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!简介

联系意昂体育-科技赋能场景,让娱乐更有趣!

收支口合规声明

95015效劳热线

微信公众号

Copyright ? 2014-2026 QIANXIN.COM All Rights Reserved 意昂体育-科技赋能场景,让娱乐更有趣! 京ICP备16020626号-8

京公网安备11000002002064号

隐私政策 | 网站地图

【网站地图】【sitemap】