意昂体育-科技赋能场景,让娱乐更有趣!

连忙拨打95015

首页 > 企业动态 > 公司新闻 > 每周高级威胁情报解读(2022.01.20~01.27)

每周高级威胁情报解读(2022.01.20~01.27)

时间：2022-01-28 作者：意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心

分享到：

2022.01.20~01.27

攻击团伙情报

假旗or升级？？？？？？？疑似海莲花使用Glitch平台的攻击样本再现

MoleratsAPT针对中东用户的新特工攻击

APT36组织攻击链和恶意软件武器库剖析

疑似APT28使用CVE-2021-40444针对高级政府官员的特工运动

攻击行动或事务情报

冒充航运公司分发STRRAT的垂纶运动

攻击者滥用谷歌标签治理器提倡WebSkimming攻击

Anomalous特工软件运动窃取工业公司凭证

恶意代码情报

LockBit勒索软件针对ESXi的新变种剖析

WhisperGate和NotPetya恶意软件保存相似之处

Android恶意软件BRATA的新变体

误差情报

Log4j误差重现：VMWareHorizon效劳器面临攻击危害

使用CWP的文件包括和恣意写入误差可实现远程代码执行

攻击团伙情报

01

假旗or升级？？？？？？？疑似海莲花使用Glitch平台的攻击样本再现

披露时间：2022年01月20日

情报泉源：https://mp.weixin.qq.com/s/1L7o1C-aGlMBAXzHqR9udA

相关信息：

意昂体育-科技赋能场景,让娱乐更有趣!红雨滴研究职员一直一连关注APT组织海莲花（OceanLotus）的相关动态，，，，，，近期Netskope宣布了一篇关于mht名堂文件（Web归档文件）通过携带的Office宏植入恶意软件的剖析报告，，，，，，由于其中提及的样本接纳的攻击手法与海莲花组织保存相似之处，，，，，，报告以为此次攻击运动是海莲花组织所为。。。。。。。深入剖析后发明，，，，，，攻击流程中保存一些差别于海莲花过往攻击运动的特点，，，，，，因此不扫除其他攻击团伙模拟海莲花的可能性。。。。。。。唬唬�；；；；；谙钟械墓嫘畔�，，，，，，暂时还不可确定此次攻击运动背后团伙的详细身份。。。。。。。

此类样本使用Glitch平台分发恶意软件，，，，，，攻击时宏代码会凭证系统版本释放32位或64位恶意DLL，，，，，，释放恶意DLL时会插入一段随机数据。。。。。。。恶意DLL将网络的信息回传给Glitch平台托管的C2效劳，，，，，，然后下载经由7z压缩的后续恶意软件并执行。。。。。。。攻击者对宏代码和恶意DLL均举行了代码混淆。。。。。。。

每周高级威胁情报解读(2022.01.20~01.27)

02

MoleratsAPT针对中东用户的新特工攻击

披露时间：2022年01月20日

情报泉源：https://www.zscaler.com/blogs/security-research/new-espionage-attack-molerats-apt-targeting-users-middle-east

相关信息：

克日，，，，，，Zscaler研究职员披露了Molerats团伙针对中东地区的特工运动。。。。。。。据悉，，，，，，攻击从2021年7月就已最先，，，，，，攻击者使用正当的云效劳（如GoogleDrive和Dropbox）托管恶意软件payload，，，，，，从中东地区的目的中窃取数据。。。。。。。此次运动使用与以色列和巴勒斯坦冲突相关的诱饵，，，，，，在目的系统上装置.NET后门，，，，，，主要目的包括巴勒斯坦银行业员工、巴勒斯坦政党成员，，，，，，以及土耳其记者等。。。。。。。

每周高级威胁情报解读(2022.01.20~01.27)

03

APT36组织攻击链和恶意软件武器库剖析

披露时间：2022年01月24日

情报泉源：https://www.trendmicro.com/en_us/research/22/a/investigating-apt36-or-earth-karkaddans-attack-chain-and-malware.html

相关信息：

APT36是一个具有政治念头的APT组织，，，，，，以印度军事和外交资源为目的。。。。。。。近期，，，，，，研究职员发明该组织使用CapraRAT、CrimsonRAT、ObliqueRat举行恶意运动。。。。。。。通常情形下，，，，，，此组织经常以社会工程和网络垂纶作为切入点，，，，，，然后安排恶意软件，，，，，，从受害者那里窃守信息。。。。。。。在此次运动中，，，，，，此组织使用鱼叉式垂纶邮件和一个USB蠕虫投放和执行远程会见木马（RAT）。。。。。。。恶意邮件以种种诱饵来诱骗受害者下载恶意软件，，，，，，包括诓骗性的政府文件、显示迷人女性资料的蜜糖陷阱，，，，，，以及与最近冠状病毒有关的信息。。。。。。。

一旦受害者下载了恶意宏，，，，，，它将解密一个隐藏在文本框内的嵌入式可执行程序，，，，，，在执行之前，，，，，，此恶意宏会被生涯到一个硬编码的路径。。。。。。。一旦可执行文件被执行，，，，，，它将继续解压缩一个名为mdkhm.zip的文件，，，，，，然后执行一个名为dlrarhsiva.exe的CrimsonRAT可执行文件。。。。。。。攻击者在其运动中使用CrimsonRAT恶意软件与C&C效劳器通讯，，，，，，以下载其他恶意软件或渗透数据。。。。。。。CrimsonRAT可以从浏览器中窃取凭证，，，，，，网络防病毒信息，，，，，，捕获屏幕截图，，，，，，并列出受害者的驱动器、历程和目录。。。。。。。

每周高级威胁情报解读(2022.01.20~01.27)

除了CrimsonRAT恶意软件，，，，，，此组织在运动中还会使用ObliqueRat恶意软件。。。。。。。一旦受害者点击诱饵链接，，，，，，会下载一个带有恶意宏的文件。。。。。。。启用该宏后，，，，，，它将下载隐藏在图像文件中的ObliqueRat恶意软件。。。。。。。文件中的宏将下载一个隐藏ObliqueRAT恶意软件的位图图像（BMP）文件，，，，，，对下载的BMP文件举行解码，，，，，，然后通过建设一个自动运行ObliqueRAT的URL来坚持长期性。。。。。。。同时此组织还会使用CapraRAT，，，，，，通过恶意网络垂纶链接安排，，，，，，与CrimsonRat的功效类似。。。。。。。

每周高级威胁情报解读(2022.01.20~01.27)

04

疑似APT28使用CVE-2021-40444针对高级政府官员的特工运动

披露时间：2022年01月25日

情报泉源：https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/prime-ministers-office-compromised.html

相关信息：

克日，，，，，，Trellix确定了一项多阶段特工运动，，，，，，目的是认真国家清静政策的高级政府官员和西亚国防工业的小我私家。。。。。。。

熏染链始于Excel下载程序的执行，，，，，，很可能是通过电子邮件发送给受害者的，，，，，，该程序使用MSHTML远程代码执行误差（CVE-2021-40444）在内存中执行恶意可执行文件。。。。。。。该攻击使用的恶意软件被研究职员命名为Graphite，，，，，，它基于OneDriveEmpireStager，，，，，，通过MicrosoftGraphAPI将OneDrive账户用作下令和控制效劳器。。。。。。。这种多阶段攻击被以为与APT组织有关，，，，，，经恶意软件的代码块和序列匹配，，，，，，研究职员发明该恶意代码与2018年APT28的样内情似度较高，，，，，，疑似为APT28的攻击武器。。。。。。。

每周高级威胁情报解读(2022.01.20~01.27)

攻击行动或事务情报

01

冒充航运公司分发STRRAT的垂纶运动

披露时间：2022年01月20日

情报泉源：https://www.fortinet.com/blog/threat-research/new-strrat-rat-phishing-campaign

相关信息：

Fortinet披露了分发远程会见木马STRRAT的垂纶运动。。。。。。。此次运动冒充航运公司马士基航运公司（MaerskShipping），，，，，，使用以装运、交货日期更改或购置通知的垂纶邮件，，，，，，当目的翻开邮件中的附件后就会运行恶意宏并装置STRRAT。。。。。。。STRRAT可以窃取目的的信息，，，，，，或者举行假的勒索攻击（在攻击中没有文件被加密）。。。。。。。别的，，，，，，攻击者使用了Allatori工具对软件包举行了混淆，，，，，，以绕过清静产品的检测。。。。。。。

02

攻击者滥用谷歌标签治理器提倡WebSkimming攻击

披露时间：2022年01月24日

情报泉源：https://decoded.avast.io/pavlinakopecka/web-skimming-attacks-using-google-tag-manager/

相关信息：

Avast清静职员发明了一系列从2021年3月到现在一连活跃的WebSkimming攻击。。。。。。。这些攻击滥用了谷歌标签治理器（GTM），，，，，，主要针对阿根廷和沙特阿拉伯的网站。。。。。。。

攻击者使用GTM作为WebSkimming攻击的第一阶段。。。。。。。首先，，，，，，受熏染的网页从HTML文件中加载GTM域下的剧本。。。。。。。现实上许多网站都会使用GTM，，，，，，可是攻击者使用GTM剧本可添加自界说剧本的特点，，，，，，添加了自界说的恶意代码，，，，，，从而加载另一个javascript文件。。。。。。。WebSkimming攻击的第二阶段是加载名为favicon的恶意负载，，，，，，该负载包括400行混淆处置惩罚的js代码，，，，，，会通过WebSockets下载最终阶段负载。。。。。。。最终的负载有约1000行恶意代码，，，，，，功效为窃取用户生意的支付详情。。。。。。。

每周高级威胁情报解读(2022.01.20~01.27)

03

Anomalous特工软件运动窃取工业公司凭证

披露时间：2022年01月19日

情报泉源：https://securelist.com/hunt-for-corporate-credentials-on-ics-networks/105545/

相关信息：

研究职员发明了几项针对工业企业的特工软件运动，，，，，，攻击者旨在窃取电子邮件账户凭证，，，，，，并举行财务诓骗运动或将其转售给其他威胁者。。。。。。。攻击中使用的商品恶意软件包括AgentTesla、HawkEye、Noon/Formbook、Masslogger、SnakeKeylogger、Azorult和Lokibot。。。。。。。研究职员将这些特工软件攻击称为Anomalous。。。。。。。

攻击者使用通过鱼叉式网络垂纶获得的凭证深入渗透并在公司网络中横向移动。。。。。。。别的，，，，，，他们将在先前攻击中受损的企业邮箱用作新攻击的C2效劳器，，，，，，这使得恶意内部通讯的检测和标记很是具有挑战性。。。。。。。

现在，，，，，，至少有2,000个企业电子邮件账户被滥用为暂时C2效劳器，，，，，，尚有7,000个电子邮件账户以其他方法被滥用。。。。。。。在这些运动中被盗的电子邮件RDP、SMTP、SSH、cPanel和VPN账户凭证都宣布在暗网市场上，，，，，，并最终出售给其他威胁加入者。。。。。。。在这些不法市场出售的RDP账户中，，，，，，约有3.9%属于工业公司。。。。。。。

每周高级威胁情报解读(2022.01.20~01.27)

恶意代码情报

01

LockBit勒索软件针对ESXi的新变种剖析

披露时间：2022年01月24日

情报泉源：https://www.trendmicro.com/en_us/research/22/a/analysis-and-Impact-of-lockbit-ransomwares-first-linux-and-vmware-esxi-variant.html

相关信息：

自2021年10月以来，，，，，，趋势科技最先在野捕获到LockBit勒索软件的变种样本LockbitLinux-ESXiLockerversion1.0。。。。。。。该类样本接纳AES和ECC两种加密算法举行数据加密，，，，，，且在运行时可以指定多种参数。。。。。。。其日志功效可以网络纪录处置惩罚器信息、加密时长、加密文件巨细等信息。。。。。。。该变种还包括对ESXi效劳器上的虚拟机镜像举行加密所必需的下令。。。。。。。

这一变种版本的发明切合目今勒索软件组织转移重心到加密ESXi效劳器等Linux主机的做法。。。。。。。ESXi效劳器通常承载多个虚拟机，，，，，，这些虚拟机又承载着组织的主要数据或效劳。。。。。。。因此，，，，，，针对ESXi效劳器的勒索软件可能会对目的公司爆发更大影响。。。。。。。这一趋势是由REvil和DarkSide等勒索软件家族所引领的。。。。。。。

02

WhisperGate和NotPetya恶意软件保存相似之处

披露时间：2022年01月21日

情报泉源：https://blog.talosintelligence.com/2022/01/ukraine-campaign-delivers-defacement.html

相关信息：

1月13日，，，，，，微软在针对乌克兰的大规模攻击运动中检测到一种新型破损性恶意软件“WhisperGate”，，，，，，并将攻击活行动为DEV-0586举行跟踪。。。。。。。WhisperGate恶意软件伪装成勒索软件，，，，，，但其攻击目的不是为了经济获益，，，，，，而是为了破损受害者数据。。。。。。。攻击者在运动中使用了被盗凭证，，，，，，并且在渗透爆发前几个月就会见了一些受害者网络，，，，，，这是重大APT攻击的典范特征。。。。。。。

1月21日，，，，，，Talos研究职员宣布报告称，，，，，，WhisperGate恶意软件与2017年攻击乌克兰实体的NotPetyaWiper有一些相似之处，，，，，，包括伪装成勒索软件以及针对和破损主指导纪录(MBR)而不是对其举行加密，，，，，，但WhisperGate具有更多恶意组件。。。。。。。

03

Android恶意软件BRATA的新变体

披露时间：2022年01月24日

情报泉源：https://www.cleafy.com/cleafy-labs/how-brata-is-monitoring-your-bank-account

相关信息：

Android恶意软件BRATA在其新变体中添加多个功效。。。。。。。BRATA是一款主要针对巴西用户的AndroidRAT，，，，，，在2019年首次被Kaspersky发明。。。。。。。

该变体现在主要针对英国、波兰、意大利、西班牙、中国和拉丁美洲的电子银行的用户，，，，，，新增了键盘纪录功效、GPS跟踪功效，，，，，，可以执行出厂重置以扫除所有恶意运动的痕迹，，，，，，还添加了可以支持HTTP和WebSockets的新C2通讯通道。。。。。。。

每周高级威胁情报解读(2022.01.20~01.27)

误差相关

01

Log4j误差重现：VMWareHorizon效劳器面临攻击危害

披露时间：2022年01月20日

情报泉源：https://blog.morphisec.com/log4j-exploit-hits-again-vulnerable-vmware-horizon-servers-at-risk

相关信息：

2021年12月9日，，，，，，Log4j（Log4Shell）误差被曝，，，，，，无数的装备瞬间变得有被攻击的危害，，，，，，Log4j被列为迄今为止最严重的误差之一。。。。。。。随着攻击者最先使用懦弱的VMWareHorizon效劳器，，，，，，对Log4j清静误差的恐惧再次泛起。。。。。。。

近期，，，，，，研究职员发明攻击者一直在扫描网络，，，，，，寻找易会见的java效劳，，，，，，对易受Log4j影响的装备举行攻击，，，，，，这其中包括针对VMwareHorizon效劳器的攻击。。。。。。。VMwareHorizon效劳器7.x和8.x版本容易受到Log4j误差（CVE-2021-44228和CVE-2021-45046）的影响。。。。。。。攻击者使用Tomcat效劳（ws_TomcatService.exe）执行powerhell.exe历程。。。。。。。然后重启VMBLastSG效劳，，，，，，启动一个与C&C效劳器通讯的监听器。。。。。。。该监听器从效劳器上运行包括特定硬编码密钥的下令。。。。。。。这个历程被用来与执行勒索软件或其他恶意运动的C&C效劳器建设长期的通讯。。。。。。。

使用CWP的文件包括和恣意写入误差可实现远程代码执行

披露时间：2022年01月22日

情报泉源：https://octagon.net/blog/2022/01/22/cve-2021-45467-cwp-centos-web-panel-preauth-rce/

相关信息：

ControlWebPanel中保存2个严重的误差。。。。。。。ControlWebPanel（以前的CentOSWebPanel）是一个开源的Linux控制面板软件，，，，，，用于安排Web托管情形。。。。。。。第一个是文件包括误差（CVE-2021-45467），，，，，，攻击者只需修改include语句就可以远程注入恶意代码或实现代码执行。。。。。。。第二个为恣意文件写入误差（CVE-2021-45466），，，，，，团结使用这两个误差可以在易受攻击的Linux效劳器上实现远程代码执行。。。。。。。

相关产品

相关新闻

您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问可用以下方法告诉我们

将您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问

用以下方法告诉我们

联系客服提交信息网络清静效劳热线:95015

我猜您是

客户

求职者

快捷窗口

产品注册与激活

意昂体育-科技赋能场景,让娱乐更有趣!天守清静软件

顽固病毒专杀工具

旗下网站

网神

网康

手艺研究院

威胁情报中心

补天误差响应平台

NOX 清静监测

关于意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!简介

联系意昂体育-科技赋能场景,让娱乐更有趣!

收支口合规声明

95015效劳热线

微信公众号

Copyright ? 2014-2026 QIANXIN.COM All Rights Reserved 意昂体育-科技赋能场景,让娱乐更有趣! 京ICP备16020626号-8

京公网安备11000002002064号

隐私政策 | 网站地图

【网站地图】【sitemap】