意昂体育-科技赋能场景,让娱乐更有趣!

连忙拨打95015

首页 > 企业动态 > 公司新闻 > 每周高级威胁情报解读(2022.01.27-02.03)

每周高级威胁情报解读(2022.01.27-02.03)

时间：2022-02-04 作者：意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心

分享到：

2022.01.27~02.03

攻击团伙情报

Packer？？？？？？？？对抗？？？？？？？？“透明部落”正在追求CrimsonRAT的新出路

APT29攻击运动中使用的新颖战略和手艺剖析MuddyWater通过恶意PDF、可执行文件针对土耳其用户

Lazarus在最新运动中使用WindowsUpdate客户端和GitHub

攻击行动或事务情报

关于Dridex银行木马的垂纶运动的剖析

攻击者使用装备注册技巧通过横向网络垂纶攻击企业

正在使用流氓OAuth应用程序接受CEO帐户

恶意代码情报

Vultur恶意软件伪装成2FA应用窃取用户银行信息AsyncRAT木马使用新方法举行撒播

ChaesBanking木马通过恶意扩展挟制Chrome浏览器

误差情报

Polkit误差使非特权Linux用户能够获得root权限

苹果宣布iOS和macOS更新修复了两个零日误差

攻击团伙情报

01

Packer？？？？？？？？对抗？？？？？？？？“透明部落”正在追求CrimsonRAT的新出路

披露时间：2022年1月29日

情报泉源：https://mp.weixin.qq.com/s/epRGn7Tnzx6rXihYXIpIIg

相关信息：

TransparentTribe（透明部落），，，，，，，是2016年2月被Proofpoint披露并命名的APT组织，，，，，，，也被称为ProjectM、C-Major。。。。。。。。该APT组织被普遍以为来自南亚地区某国，，，，，，，并且与另一个由PaloaltoUnit42团队披露的GogronGroup保存一定的关系。。。。。。。。

克日，，，，，，，意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心红雨滴团队在一样平常的威胁狩猎中捕获了该组织多个CrimsonRAT攻击样本。。。。。。。。在此攻击运动中，，，，，，，攻击者使用图片文件图标用作恶意软件图标，，，，，，，诱使目的翻开"图片"审查，，，，，，，实则运行恶意软件。。。。。。。。当受害者点击执行诱饵文件之后，，，，，，，将会在外地释放一个压缩包，，，，，，，并执行压缩包内包括的TransparentTribe组织的自有远控软件CrimsonRAT。。。。。。。。值得注重的是TransparentTribe组织为了降低攻击样本的查杀率，，，，，，，对相关攻击样本举行了加壳处置惩罚。。。。。。。。

02

APT29攻击运动中使用的新颖战略和手艺分

披露时间：2022年1月27日

情报泉源：https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/

相关信息：

供应链入侵是影响一系列部分的日益严重的威胁，，，，，，，威胁加入者使用会见权限来支持多种念头，，，，，，，包括经济利益（例如Kaseya勒索软件攻击）和特工运动。。。。。。。。整个2020年，，，，，，，美国政府对俄罗斯联邦外国情报局(SVR)举行了一项行动，，，，，，，以获取SolarWindsIT治理软件的更新机制，，，，，，，并使用它来扩大其情报网络能力。。。。。。。。该运动被CrowdStrike研究职员跟踪为StellarParticle运动，，，，，，，并与APT29COZYBEAR组织相关联。。。。。。。。

研究职员关于StellarParticle运动使用的新颖战略和手艺举行了剖析。。。。。。。。这些手艺包括：

1.用于掩饰横向移动的凭证跳跃

2.Office365(O365)效劳主体和应用程序挟制、模拟和使用

3.窃取浏览器cookie以绕过多因素身份验证

4.使用TrailBlazer植入程序和GoldMax恶意软件的Linux变种

5.使用Get-ADReplAccount窃取凭证

下图为凭证跳跃手艺示例：

每周高级威胁情报解读(2022.01.27-02.03)

03

MuddyWater通过恶意PDF、可执行文件针对土耳其用户

披露时间：2022年1月31日

情报泉源：https://blog.talosintelligence.com/2022/01/iranian-apt-muddywater-targets-turkey.html

克日，，，，，，，CiscoTalos研究职员视察到一项针对土耳其私人组织和政府机构的新运动，，，，，，，并将其归因于MuddyWater——美国网络司令部最近将其归于伊朗情报与清静部(MOIS)的APT组织。。。。。。。。

该运动使用恶意PDF、XLS文件和Windows可执行文件将基于PowerShell的恶意下载器安排为目的企业的初始驻足点。。。。。。。。MuddyWater使用基于剧本的组件（例如基于PowerShell的混淆下载器）也是美国网络司令部2021年1月的通告中形貌的一种战略。。。。。。。。

在本次攻击运动中，，，，，，，MuddyWater还使用金丝雀令牌来跟踪目的的乐成熏染，，，，，，，这是该组织新使用的TTP。。。。。。。。这种在此运动中使用金丝雀令牌的特定要领也可能是规避基于沙盒的检测系统的一种步伐。。。。。。。。

每周高级威胁情报解读(2022.01.27-02.03)

04

Lazarus在最新运动中使用WindowsUpdate客户端和GitHub

披露时间：2022年1月27日

情报泉源：https://blog.malwarebytes.com/threat-intelligence/2022/01/north-koreas-lazarus-apt-leverages-windows-update-client-github-in-latest-campaign/

相关信息：

LazarusGroup是自2009年以来一直活跃的最重大的朝鲜APT之一。。。。。。。。该组织已往曾对许多高调的攻击认真，，，，，，，并获得了全天下的关注。。。。。。。。Malwarebytes威胁情报团队正在起劲监控其运动，，，，，，，并能够在2022年1月18日发明新的运动。。。。。。。。

在这次运动中，，，，，，，Lazarus举行了鱼叉式网络垂纶攻击，，，，，，，这些攻击使用了使用其已知事情时机主题的恶意文档作为武器，，，，，，，包括两份伪装成美国全球清静和航空航天巨头洛克希德马丁公司的诱饵文件。。。。。。。。

研究职员分享了对这一最新攻击的手艺剖析，，，，，，，包括巧妙地使用WindowsUpdate来执行恶意负载，，，，，，，以及将GitHub作为下令和控制效劳器。。。。。。。。我们报告了恶意GitHub帐户的有害内容。。。。。。。。

每周高级威胁情报解读(2022.01.27-02.03)

攻击行动或事务情报

01

关于Dridex银行木马的垂纶运动的剖析

披露时间：2022年1月28日

情报泉源：https://mp.weixin.qq.com/s/fXggBsgYzWJVXV_2eSr_tg

相关信息：

此次垂纶运动，，，，，，，TA575组织使用具有Excel4.0宏的文档作为附件，，，，，，，释放并运行HTA文件，，，，，，，对其存放于Discord、Dropbox和OneDrive等社交和文件云存储平台中的恶意样本实现下载。。。。。。。。别的，，，，，，，由于HTA文件代码中保存一个域控情形的判断，，，，，，，因此本次垂纶运动只针对处于域控情形下的终端系统。。。。。。。。在整个攻击历程中，，，，，，，攻击者使用了混淆、宏代码隐藏、加密和异常处置惩罚等形式来对抗剖析和检测。。。。。。。。剖析发明，，，，，，，下载至目的情形中的恶意样本实质是Dridex银行木马的装载器，，，，，，，功效为获取目的系统基本信息、毗连C2并回传、获取P2P节点列表、加入构建僵尸网络、获取后续�？？？？？？？？楹褪迪智悦芑蚶账鞯取！！�。。。。。由此可以看出，，，，，，，一旦用户被植入该银行木马，，，，，，，将面临敏感信息外泄和勒索导致系统故障的清静威胁。。。。。。。。

02

攻击者使用装备注册技巧通过横向网络垂纶攻击企业

披露时间：2022年1月26日

情报泉源：https://www.microsoft.com/security/blog/2022/01/26/evolved-phishing-device-registration-trick-adds-to-phishers-toolbox-for-victims-without-mfa/

相关信息：

研究职员最近发明了一个大规模、多阶段的运动，，，，，，，该运动通过将攻击者操作的装备加入组织的网络以进一步撒播运动，，，，，，，为古板的网络垂纶战略增添了一种新手艺。。。。。。。。

第一个运动阶段涉及窃取主要位于澳大利亚、新加坡、印度尼西亚和泰国的目的组织的凭证。。。。。。。。然后在第二阶段使用被盗凭证，，，，，，，其中攻击者使用受熏染的帐户通过横向网络垂纶以及通过出站垃圾邮件在网络之外扩展其在组织内的驻足点。。。。。。。。

被攻击者控制的装备毗连到网络将允许攻击者神秘撒播攻击并在整个目的网络中横向移动。。。。。。。。虽然在这种情形下，，，，，，，装备注册被用于进一步的网络垂纶攻击，，，，，，，但随着其他用例的泛起，，，，，，，装备注册的使用正在增添。。。。。。。。

每周高级威胁情报解读(2022.01.27-02.03)

03

攻击者正在使用流氓OAuth应用程序接受CEO帐户

披露时间：2022年01月27日

情报泉源：https://www.proofpoint.com/us/blog/cloud-security/oivavoii-active-malicious-hybrid-cloud-threats-campaign

相关信息：

威胁剖析师视察到一个名为“OiVaVoii”的新运动，，，，，，，针对公司高管和总司理使用恶意OAuth应用程序和从被挟制的Office365帐户发送的自界说网络垂纶诱饵。。。。。。。。

OiVaVoii运动背后的加入者至少使用了五个恶意OAuth应用程序，，，，，，，其中三个是由两个差别的“经由验证的宣布者”建设的，，，，，，，这意味着该应用程序的所有者很可能是正当Office租户中被盗用的治理员用户帐户。。。。。。。。在其余两个应用程序中，，，，，，，至少一个是由未履历证的组织建设的，，，，，，，这可能意味着使用（第三个）被挟制的云情形或使用专门的恶意Office租户。。。。。。。。

攻击者使用这些应用程序向目的组织的高级治理职员发送授权请求。。。。。。。。在许多情形下，，，，，，，收件人接受了请求，，，，，，，没有发明任何可疑之处。。。。。。。。当受害者点击接受按钮时，，，，，，，攻击者使用令牌从他们的帐户向统一组织内的其他员工发送电子邮件

恶意代码情报

01

Vultur恶意软件伪装成2FA应用窃取用户银行信息

披露时间：2022年01月27日

情报泉源：https://blog.pradeo.com/vultur-malware-dropper-google-play

相关信息：

Pradeo的研究职员发明了一个名为2FAAuthenticator的恶意移动应用程序，，，，，，，该应用程序漫衍在GooglePlay上并有10K+用户装置。。。。。。。。网络犯法分子使用它在用户的移动装备上神秘装置恶意软件，，，，，，，是一个用于在其用户装备上撒播恶意软件的dropper。。。。。。。。剖析显示，，，，，，，dropper会自动装置一个名为Vultur的恶意软件，，，，，，，该恶意软件针对金融效劳窃取用户的银行信息。。。。。。。。

02

AsyncRAT木马使用新方法举行撒播

披露时间：2022年01月25日

情报泉源：https://blog.morphisec.com/asyncrat-new-delivery-technique-new-threat-campaign

相关信息：

近期，，，，，，，研究职员发明了发明了一种新的、重大的运动交付方法，，，，，，，它已乐成地避开了许多清静供应商的雷达。。。。。。。。攻击者通过带有html附件的简朴电子邮件网络垂纶战略，，，，，，，提供AsyncRAT（一种远程会见木马），，，，，，，旨在通过清静、加密的毗连远程监控和控制受熏染的盘算机。。。。。。。。

攻击从包括伪装成订单确认收条（例如，，，，，，，Receipt-.html）的HTML附件的电子邮件新闻最先。。。。。。。。翻开诱饵文件会将新闻吸收者重定向到提醒用户生涯ISO文件的网页。。。。。。。。

最新的RAT运动巧妙地使用JavaScript从Base64编码的字符串外地建设ISO文件并模拟下载历程。。。。。。。。当受害者翻开ISO文件时，，，，，，，它会自动挂载为Windows主机上的DVD驱动器，，，，，，，并包括一个.BAT或一个.VBS文件，，，，，，，该文件会继续熏染链以通过执行PowerShell下令检索下一阶段的组件。。。。。。。。

这导致在内存中执行.NET�？？？？？？？？�，，，，，，，该�？？？？？？？？樗婧蟪涞比鑫募氖头牌鳎ㄒ桓龀涞毕乱桓鑫募拇シ⑵鳎�，，，，，，，最终交付AsyncRAT作为最终有用负载，，，，，，，同时还检查防病毒软件并设置WindowsDefender扫除项。。。。。。。。

每周高级威胁情报解读(2022.01.27-02.03)

03

ChaesBanking木马通过恶意扩展挟制Chrome浏览器

披露时间：2022年01月27日

情报泉源：https://decoded.avast.io/anhho/chasing-chaes-kill-chain/

相关信息：

一场出于经济念头的恶意软件运动已经入侵了800多个WordPress网站，，，，，，，以提供一个名为Chaes的银行木马，，，，，，，针对BancodoBrasil、LojaIntegrada、MercadoBitcoin、MercadoLivre和MercadoPago的巴西客户。。。。。。。。

Chaes的特点是多阶段交付，，，，，，，它使用JScript、Python和NodeJS等剧本框架、用Delphi编写的二进制文件以及恶意的GoogleChrome扩展，，，，，，，其最终目的是窃取存储在Chrome中的凭证并阻挡巴西盛行银行网站的登录。。。。。。。。

当用户会见其中一个受熏染的网站时会触发攻击序列，，，，，，，然后会显示一个弹出窗口，，，，，，，鞭策他们装置虚伪的JavaRuntime应用程序。。。。。。。。若是用户凭听说明举行操作，，，，，，，恶意装置程序将启动重大的恶意软件交付例程，，，，，，，最终安排多个�？？？？？？？？椤！！�。。。。。

每周高级威胁情报解读(2022.01.27-02.03)

误差相关

01

Polkit误差使非特权Linux用户能够获得root权限

披露时间：2022年01月25日

情报泉源：https://thehackernews.com/2022/01/12-year-old-polkit-flaw-lets.html

相关信息：

Polkit（以前称为PolicyKit）是一个用于在类Unix操作系统中控制系统规模权限的工具包，，，，，，，并为非特权历程与特权历程通讯提供了一种机制。。。。。。。。在该系统适用程序中披露了一个保存12年之久的清静误差，，，，，，，此误差允许任何非特权用户通过在易受攻击主机的默认设置中使用此误差来获得对易受攻击主机的完全root权限。。。。。。。。

该误差被网络清静公司Qualys称为“PwnKit”，，，，，，，它影响了polkit中一个名为pkexec的组件，，，，，，，该程序默认装置在每个主要的Linux刊行版上，，，，，，，如Ubunti、Debian、Fedora和CentOS。。。。。。。。

02

苹果宣布iOS和macOS更新修复了两个零日误差

披露时间：2022年01月26日

情报泉源：https://mp.weixin.qq.com/s/faMOI5C3H1Eu_61LYBJLBg

相关信息：

Apple解决的零日误差之一（编号为CVE-2022-22587）是内存损坏问题，，，，，，，位于IOMobileFrameBuffer中并影响iOS、iPadOS和macOSMonterey。。。。。。。。

使用此误差会导致在受熏染装备上以内核权限执行恣意代码。。。。。。。。该公司通过刷新输入验证来解决该缺陷。。。。。。。。该误差影响iPhone6s及更新机型、iPadPro（所有型号）、iPadAir2及更新机型、iPad第5代及更新机型、iPadmini4及更新机型以及iPodtouch（第7代）。。。。。。。。

第二个零日误差，，，，，，，编号为CVE-2022-22594，，，，，，，是一个影响iOS和iPadOS的SafariWebKit问题。。。。。。。。由于这个缺陷，，，，，，，网站可以实时跟踪用户的浏览运动和身份。。。。。。。。

此误差影响iPhone6s及更新机型、iPadPro（所有型号）、iPadAir2及更新机型、iPad第5代及更新机型、iPadmini4及更新机型以及iPodtouch（第7代）。。。。。。。。

相关产品

相关新闻

您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问可用以下方法告诉我们

将您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问

用以下方法告诉我们

联系客服提交信息网络清静效劳热线:95015

我猜您是

客户

求职者

快捷窗口

产品注册与激活

意昂体育-科技赋能场景,让娱乐更有趣!天守清静软件

顽固病毒专杀工具

旗下网站

网神

网康

手艺研究院

威胁情报中心

补天误差响应平台

NOX 清静监测

关于意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!简介

联系意昂体育-科技赋能场景,让娱乐更有趣!

收支口合规声明

95015效劳热线

微信公众号

Copyright ? 2014-2026 QIANXIN.COM All Rights Reserved 意昂体育-科技赋能场景,让娱乐更有趣! 京ICP备16020626号-8

京公网安备11000002002064号

隐私政策 | 网站地图

【网站地图】【sitemap】