意昂体育-科技赋能场景,让娱乐更有趣!

连忙拨打95015

首页 > 企业动态 > 公司新闻 > 每周高级威胁情报解读(2021.11.11~11.18)

每周高级威胁情报解读(2021.11.11~11.18)

时间：2021-11-19 作者：意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心

分享到：

2021.11.11~11.18

攻击团伙情报

SideCopy组织近期使用中印时势新闻的攻击事务剖析

疑似SideCopy组织针对印度投放双平台RAT

Kimsuky通过Blogspot针对韩国着名目的撒播恶意软件

Lazarus组织使用带后门IDA软件攻击清静研究职员

MosesStaff组织针对以色列攻击运动剖析

SideCopy伪造Android应用市肆的攻击

攻击行动或事务情报

FIN7标记性使用工具重新泛起

香港网站遭水坑攻击，，，，，，，，针对macOS装备

攻击者使用Parking域名和Google的自界说页面来撒播恶意软件

多阶段PowerShell攻击针对哈萨克斯坦

攻击者使用域前置手艺对缅甸提倡攻击

恶意代码情报

新Golang恶意软件BotenaGo，，，，，，，，针对路由器

新恶意软件Covid22现身，，，，，，，，破损受害者系统MBR

攻击者瞄准阿里巴巴ECS，，，，，，，，撒播挖矿�？？？？？？？？�

恶意软件Emotet回归，，，，，，，，通过TrickBot重修僵尸网络

误差情报

Google宣布11月更新，，，，，，，，修复Chrome中的多个误差

VMwarevCenterServer权限提升误差通告

攻击团伙情报

01

SideCopy组织近期使用中印时势新闻的攻击事务剖析

披露时间：2021年11月11日

情报泉源：https://mp.weixin.qq.com/s/iZuB1IAtNm5DxrrUIJqyoA

相关信息：

克日，，，，，，，，意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心捕获到一批SideCopy以印度军事相关话题为诱饵的攻击样本。。。。。。。。在此攻击运动中，，，，，，，，攻击者主要以印度地区恐怖分子与士兵之间的冲突事故报告为主题，，，，，，，，将下载器伪装为通俗图片文件引诱目的用户点击运行。。。。。。。。当受害者解压并执行诱饵文件之后，，，，，，，，程序将会从远程效劳器下载数据文件到外地。。。。。。。。此程序是一个下载器，，，，，，，，通过白名单的短链接将真实URL举行隐藏，，，，，，，，以此来规避杀软的静态查杀。。。。。。。。通过对短链接所指向的数据举行下载以后，，，，，，，，使用解密算法举行解密，，，，，，，，最终加载SideCopy自有远控软件MargulasRAT。。。。。。。。

02

疑似SideCopy组织针对印度投放双平台RAT

披露时间：2021年11月15日

情报泉源：https://mp.weixin.qq.com/s/BSfKTlMlOnNlsWKjV1NM8w

相关信息：

克日意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心红雨滴团队捕获到一例以印度总理莫迪访美相关话题为诱饵的Linux平台攻击样本。。。。。。。。该样本是以莫迪访美话题命名的tar.gz压缩包，，，，，，，，其中包括一个Linux桌面启动文件，，，，，，，，该文件在执行之后会下载并播放诱饵视频以疑惑受害者，，，，，，，，同时会下载一个用于加载RAT的剧本并执行。。。。。。。。

RAT是一款基于Python的横跨Windows和Linux双平台的远控工具。。。。。。。。另外通过C2效劳器的IP举行关联，，，，，，，，该IP曾剖析到SideCopy组织控制的域名上，，，，，，，，并且该团伙武器库中还包括针对macOS平台的BellaRAT。。。。。。。�？？？？？？？？杉霉セ魍呕锸酝冀セ髂芰α职↙inux、Windows和MacOS在内的多个平台。。。。。。。。

03

Kimsuky通过Blogspot针对韩国着名目的撒播恶意软件

披露时间：2021年11月10日

情报泉源：https://blog.talosintelligence.com/2021/11/kimsuky-abuses-blogs-delivers-malware.html

相关信息：

CiscoTalos视察到，，，，，，，，自2021年6月以来，，，，，，，，APT组织Kimsuky运营了一场新的恶意软件运动。。。。。。。。这场运动使用Blogspot上的恶意博客来向韩国的高价值目的转达三种类型的起源恶意内容：beacons、文件外泄程序和植入安排剧本。。。。。。。。植入安排剧本会加载特另外植入程序(如系统信息窃取器、键盘纪录程序和证书窃取器)熏染目的。。。。。。。。

这些植入的恶意软件是Kimsuky的GoldDragon/BravePrince恶意软件家族的衍生品，，，，，，，，现在分成三个自力的�？？？？？？？？�。。。。。。。。此次运动的目的是研究朝鲜、中国、俄罗斯、美国等政治、外交、军事问题的韩国智库。。。。。。。。除了使用定制的文件外泄程序来窃取研究效果外，，，，，，，，该运动的另一个目的是使用木马工具网络证书，，，，，，，，并使用植入程序继续对感兴趣的实体举行未经授权的会见。。。。。。。。这种有针对性的攻击可能导致非果真的研究效果泄露，，，，，，，，未经授权的特工会见，，，，，，，，甚至对目的组织保存破损性。。。。。。。。

每周高级威胁情报解读(2021.11.11~11.18)

04

Lazarus组织使用带后门IDA软件攻击清静研究职员

披露时间：2021年11月10日

情报泉源：https://twitter.com/ESETresearch/status/1458438155149922312

相关信息：

近期外洋清静厂商ESET曝光了朝鲜APT组织Lazarus的最新攻击运动，，，，，，，，该组织曾在2021年以误差研究相助为幌子，，，，，，，，针对清静研究职员举行网络攻击运动。。。。。。。。克日，，，，，，，，Lazarus再次试图针对清静研究职员睁开攻击，，，，，，，，而这次使用的诱饵是盛行的IDAPro逆向工程应用程序的木马化版本。。。。。。。。

攻击者将IDAPro装置包里的idahelper.dll和win_fw.dll文件修改为恶意DLL，，，，，，，，这两个恶意组件将在装置程序中执行。。。。。。。。恶意win_fw.dll会在Windows使命妄想程序中建设一个妄想使命，，，，，，，，然后从IDAPlugins插件文件夹中执行idahelper.dll恶意组件。。。。。。。。一旦启动，，，，，，，，idahelper.dll会实验从恶意链接下载执行下一阶段的payload。。。。。。。。该payload被以为是Lazarus组织之前使用的NukeSpedRAT远控木马，，，，，，，，攻击者可以通过装置的RAT会见研究职员的装备，，，，，，，，从而窃取文件、截取屏幕截图、纪录击键或执行进一步的下令。。。。。。。。

05

MosesStaff组织针对以色列攻击运动剖析

披露时间：2021年11月15日

情报泉源：https://research.checkpoint.com/2021/mosesstaff-targeting-israeli-companies/

相关信息：

CheckPoint研究团队在11月15日披露了一个新的黑客组织MosesStaff。。。。。。。。它在已往的几个月里曾攻击了多个以色列的公司，，，，，，，，可是并没有提出赎金要求，，，，，，，，因此研究职员推测该团伙与Pay2Key和BlackShadow有关，，，，，，，，它们具有相同的念头和目的。。。。。。。。攻击者主要使用已果真但治理员并未修复的误差，，，，，，，，如MicrosoftExchange中的误差，，，，，，，，然后使用PsExec、WMIC和Powershell在网络中横向移动，，，，，，，，最终装置自界说恶意软件PyDCrypt。。。。。。。。

每周高级威胁情报解读(2021.11.11~11.18)

06

SideCopy伪造Android应用市肆的攻击

披露时间：2021年11月16日

情报泉源：https://about.fb.com/news/2021/11/taking-action-against-hackers-in-pakistan-and-syria/

相关信息：

Facebook的清静团队在11月16日披露了SideCopy新一轮的垂纶运动。。。。。。。。此次运动在今年4月至8月之间，，，，，，，，建设并运营了一个伪造的Android应用市肆。。。。。。。。攻击者主要通常�；；；；崦俺淠昵崤岳纯拷康模�，，，，，诱使其翻开用来用来网络信息的垂纶网站或者伪造的Android应用市肆。。。。。。。。然后通过伪装成谈天应用的恶意软件，，，，，，，，分发PJobRAT和Mayhem等。。。。。。。。

攻击团伙情报

01

FIN7标记性使用工具重新泛起

披露时间：2021年11月11日

情报泉源：https://www.splunk.com/en_us/blog/security/fin7-tools-resurface-in-the-field-splinter-or-copycat.html

相关信息：

FIN7是以金融、旅馆、餐饮、赌博等行业为目的，，，，，，，，由高科技人才组成的有组织犯法集团。。。。。。。。FIN7举行了手艺重大的恶意运动，，，，，，，，包括使用偷来的支付卡举行目的熏染、渗透和诓骗。。。。。。。。

最近，，，，，，，，一些清静研究职员批注代表FIN7的特定工具JSSLoader再次泛起。。。。。。。。JSSLoader的一些变体被编译成.net，，，，，，，，另一些是c++。。。。。。。。两种JSSLoader都会窃取目的信息。。。。。。。。FIN7很善于使用鱼叉式网络垂纶，，，，，，，，并且通过下载或执行混淆的javascript作为第一阶段来对目的举行攻击。。。。。。。。

首先，，，，，，，，攻击者在“user\public”文件夹中建设一个正当的wmic.exe的副本和一个xsl名堂文件。。。。。。。。然后，，，，，，，，xsl文件将执行扩展名为.txt的现实恶意js。。。。。。。。该js能够通过执行几个WMI盘问下令来网络被熏染主机的信息。。。。。。。。最后信息将被加密并使用POST请求发送到C2效劳器。。。。。。。。

别的，，，，，，，，清静职员还发明了一些使用DNS渗透数据的变体。。。。。。。。这种情形下，，，，，，，，恶意软件将首先加密所有网络到的数据，，，，，，，，将其编码为base64，，，，，，，，然后使用nslookup将编码后的数据发至C2效劳器。。。。。。。。

02

香港网站遭水坑攻击，，，，，，，，针对macOS装备

披露时间：2021年11月11日

情报泉源：https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/

相关信息：

2021年8月下旬，，，，，，，，谷歌TAG发明香港某媒体和某机构的网站遭到水坑攻击。。。。。。。。该水坑攻击使用了苹果装备的相关零日误差，，，，，，，，可在受害者机械上装置一个后门软件。。。。。。。。

被黑网站遭攻击者植入了两个恶意iframe，，，，，，，，划分用于攻击iOS和macOS装备。。。。。。。。针对iOS的攻击链包括CVE-2019-8506等误差使用。。。。。。。。针对macOS的攻击则差别，，，，，，，，攻击者使用了一个简朴的HTML页面，，，，，，，，加载两个剧本，，，，，，，，一个用于反汇编，，，，，，，，另一个用于误差使用链。。。。。。。。该误差使用链团结了CVE-2021-1789和CVE-2021-30869。。。。。。。。在乐成使用误差后，，，，，，，，攻击者会在受害者机械上装置后门软件，，，，，，，，它通过DDS框架中的宣布-订阅模子来与C2通讯。。。。。。。。

03

使用namesiloParking和Google的自界说页面来撒播恶意软件

披露时间：2021年11月11日

情报泉源：https://blog.netlab.360.com/li-yong-namesilo-parkinghe-googlede-zi-ding-yi-ye-mian-lai-chuan-bo-e-yi-ruan-jian/

相关信息：

10月，，，，，，，，研究职员发明了一个可疑的GoELF样本，，，，，，，，剖析得知是一个downloder，，，，，，，，主要撒播挖矿。。。。。。。。其使用namesilo的Parking页面，，，，，，，，以及Google的用户自界说页面来撒播样本及设置，，，，，，，，从而逃避跟踪。。。。。。。。

此案例中攻击者使用了“用户可控“的parking页面，，，，，，，，在坚持parking状态的时间，，，，，，，，用于恶意软件推广。。。。。。。。黑客不需要有自己的机械和IP，，，，，，，，只要用域名注册商提供的parking的页面，，，，，，，，以及google的自界说页面，，，，，，，，就可以撒播自己的木马，，，，，，，，其中google的自界说页面中包括的是base64编码的xmrig挖矿软件。。。。。。。。黑客团伙使用这些“公共设施”来组织自己的恶意软件撒播链条，，，，，，，，以部分的逃避跟踪和阻挡。。。。。。。。

04

多阶段PowerShell攻击针对哈萨克斯坦

披露时间：2021年11月12日

情报泉源：https://blog.malwarebytes.com/threat-intelligence/2021/11/a-multi-stage-powershell-based-attack-targets-kazakhstan/

相关信息：

11月10日，，，，，，，，清静职员发明了一次多阶段PowerShell攻击，，，，，，，，该攻击使用了一个冒充哈萨克斯坦卫生部的文件作诱饵。。。。。。。。因此，，，，，，，，该攻击的目的被以为是哈萨克斯坦。。。。。。。。

攻击者首先撒播名为“Уведомление.rar(通知.rar)”的RAR档案。。。。。。。。该档案文件包括一个同名的lnk文件，，，，，，，，lnk文件冒充为来自哈萨克斯坦共和国卫生部的PDF文件。。。。。。。。翻开lnk文件后，，，，，，，，将显示哈萨克斯坦共和国国家卫生局宣布的Covid19政策的修正案疑惑受害者，，，，，，，，而此时后台将执行多阶段攻击。。。。。。。。攻击始于执行lnk文件，，，，，，，，该文件挪用PowerShell执行一些操作，，，，，，，，好比通过autorun注册表项实现权限提升和长期性，，，，，，，，并且将从一个恶意的GitHub代码库下载后续多个有用负载。。。。。。。。

每周高级威胁情报解读(2021.11.11~11.18)

05

攻击者使用域前置手艺对缅甸提倡攻击

披露时间：2021年11月08日

情报泉源：https://blog.talosintelligence.com/2021/11/attackers-use-domain-fronting-technique.html

相关信息：

近期，，，，，，，，CiscoTalos发明了一起使用CobaltStrike提倡攻击的恶意运动。。。。。。。。在此案例中攻击者通过在CloudFront效劳上使用域前置手艺将缅甸政府所拥有的域名重定向到其控制的效劳器，，，，，，，，并通过重新注册着名域名作为前置域名来逃避检测。。。。。。。。

恶意软件在受害者机械上执行后会反射加载CobaltStrikebeacon.dll文件，，，，，，，，同时在运行时加载多个库并凭证嵌入式设置文件天生beacon。。。。。。。。攻击者在DNS请求中使用无害的域名来举行毗连，，，，，，，，而现实要毗连的被封闭域名仅在建设HTTPS毗连后发出，，，，，，，，并在Host头中携带另一个C2域名。。。。。。。。

每周高级威胁情报解读(2021.11.11~11.18)

恶意代码情报

01

新Golang恶意软件BotenaGo，，，，，，，，针对路由器和物联网装备

披露时间：2021年11月11日

情报泉源：https://cybersecurity.att.com/blogs/labs-research/att-alien-labs-finds-new-golang-malwarebotenago-targeting-millions-of-routers-and-iot-devices-with-more-than-30-exploits

相关信息：

AT&TAlienLabs发明了用Golang编写的新恶意软件BotenaGo。。。。。。。。该恶意软件拥有30多个误差使用�？？？？？？？？椋�，，，，，有能力针对数百万路由器和物联网装备发动攻击。。。。。。。。

BotenaGo首先初始化全局熏染计数器，，，，，，，，并将其输出到屏幕上，，，，，，，，以便黑客相识乐成熏染总数。。。。。。。。然后恶意软件查找“dlrs”文件夹，，，，，，，，在其中加载shell剧本文件。。。。。。。。最后，，，，，，，，恶意软件挪用函数“scanerinitexploit”，，，，，，，，来启动攻击。。。。。。。。恶意软件可以通过两种差别的方法吸收针对受害者的下令，，，，，，，，它建设了两个后门端口31412和19412。。。。。。。。在端口19412上，，，，，，，，它将监听吸收受害IP。。。。。。。。一旦吸收到到该端口的信息毗连，，，，，，，，它将遍历误差使用函数并使用给定的IP执行。。。。。。。。第二种方法，，，，，，，，恶意软件将一个监听器设置为系统IO用户输入，，，，，，，，并通过它吸收目的。。。。。。。。例如，，，，，，，，若是恶意软件在虚拟机受骗地运行，，，，，，，，则可以通过telnet发送下令。。。。。。。。

02

新恶意软件Covid22现身，，，，，，，，破损受害者系统MBR

披露时间：2021年11月11日

情报泉源：https://www.fortinet.com/blog/threat-research/to-joke-or-not-to-joke-covid-22-brings-disaster-to-mbr

相关信息：

FortiGuard实验室最近发明了一个名为Covid22装置程序的新恶意软件。。。。。。。。该恶意软件具有破损性，，，，，，，，它会导致受熏染的机械无法启动，，，，，，，，并不像勒索软件一样要求赎金以恢复破损，，，，，，，，它的目的就是破损熏染系统。。。。。。。。

该恶意软件文件名为Covid22。。。。。。。。攻击者诱导受害者翻开文件，，，，，，，，Covid22会询问受害者是否要继续装置Covid22。。。。。。。。一旦受害者继续装置，，，，，，，，恶意软件会加载几个恶意文件并强制重启机械。。。。。。。。被释放的恶意文件会执行一系列恶意操作，，，，，，，，如一直跳出图片或文字弹窗、使用扬声器爆发声音、移动屏幕上的像素块等。。。。。。。。最后，，，，，，，，恶意软件会加载并执行wiper恶意软件，，，，，，，，wiper会破损主指导纪录(MBR)，，，，，，，，并在跳出一个弹窗后重启系统。。。。。。。。由于MBR具有硬盘驱动器分区的信息，，，，，，，，并充当操作系统(OS)的加载器，，，，，，，，因此被破损MBR的机械将无法在重新启动时加载操作系统。。。。。。。。

03

攻击者瞄准阿里巴巴ECS，，，，，，，，撒播挖矿�？？？？？？？？�

披露时间：2021年11月15日

情报泉源：https://www.trendmicro.com/en_us/research/21/k/groups-target-alibaba-ecs-instances-for-cryptojacking.html

相关信息：

清静职员近期在多个恶意有用负载中都发明了针对阿里云效劳器的攻击。。。。。。。。阿里巴巴ECS实例自带清静署理。。。。。。。。因此，，，，，，，，攻击者在恶意软件中使用了特定的代码，，，，，，，，来建设防火墙规则，，，，，，，，扬弃来自阿里巴巴内部区域和地区的IP规模的数据包。。。。。。。。别的，，，，，，，，默认的阿里巴巴ECS实例提供root会见权限。。。。。。。。若是登录密码被泄露，，，，，，，，攻击者就可以直接获取root权限。。。。。。。。当一个挖矿恶意软件在阿里巴巴ECS内部运行时，，，，，，，，预装的清静署剖析发送一个恶意剧本运行的通知。。。。。。。。因此恶意软件会在清静署理程序触发熏染警报之前将其卸载，，，，，，，，然后装置XMRig。。。。。。。。

04

恶意软件Emotet回归，，，，，，，，通过TrickBot重修僵尸网络

披露时间：2021年11月16日

情报泉源：https://www.zscaler.com/blogs/security-research/return-emotet-malware

相关信息：

2021年1月，，，，，，，，执法部分阻断了恶意软件Emotet及其基础设施，，，，，，，，还拘捕了一些幕后的威胁分子。。。。。。。。一些清静研究职员以为它已经一去不复返了。。。。。。。。但在中止了险些一年之后，，，，，，，，Emotet又卷土重来。。。。。。。。早前有报告显示，，，，，，，，该恶意软件于2021年11月14日再次泛起，，，，，，，，并通过TrickBot僵尸网络分发。。。。。。。。�；；；Ｉ杏斜ǜ嫦允靖枚褚馊砑ü缱佑始霾ィ�，，，，，垃圾邮件运动中使用“回复链”邮件战略，，，，，，，，使用了docm、xlsm和zip名堂的附件。。。。。。。。别的，，，，，，，，新版本的Emotet在许多方面与已往的版内情似，，，，，，，，似乎也在使用HTTPS而不是通俗的HTTP来举行下令和控制通讯。。。。。。。。

误差相关情报

01

Google宣布11月更新，，，，，，，，修复Chrome中的多个误差

披露时间：2021年11月16日

情报泉源：https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html

相关信息：

11月16日，，，，，，，，Google宣布了本月Chrome的清静更新，，，，，，，，总计修复了25个误差。。。。。。。。其中，，，，，，，，较为严重的是在媒体中的释放后使用误差（CVE-2021-38008）、V8中的类型混淆误差（CVE-2021-38007）和加载器中释放后使用误差（CVE-2021-38005）等。。。。。。。。别的，，，，，，，，还修复了指纹识别中的堆缓冲区溢出误差（CVE-2021-38013）和Swiftshader中的越界写入（CVE-2021-38014）等误差。。。。。。。。

VMwarevCenterServer权限提升误差通告

披露时间：2021年11月12日

情报泉源：https://mp.weixin.qq.com/s/zwiAQIrFuaDKxfvpJHNqyg

相关信息：

VMwarevCenterServer提供了一个可伸缩、可扩展的平台，，，，，，，，为虚拟化治理涤讪了基础。。。。。。。。VMwarevCenterServer（以前称为VMwareVirtualCenter），，，，，，，，可集中治理VMwarevSphere情形，，，，，，，，与其他治理平台相比，，，，，，，，极大地提高了IT治理员对虚拟情形的控制。。。。。。。。

相关产品

相关新闻

您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问可用以下方法告诉我们

将您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问

用以下方法告诉我们

联系客服提交信息网络清静效劳热线:95015

我猜您是

客户

求职者

快捷窗口

产品注册与激活

意昂体育-科技赋能场景,让娱乐更有趣!天守清静软件

顽固病毒专杀工具

旗下网站

网神

网康

手艺研究院

威胁情报中心

补天误差响应平台

NOX 清静监测

关于意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!简介

联系意昂体育-科技赋能场景,让娱乐更有趣!

收支口合规声明

95015效劳热线

微信公众号

Copyright ? 2014-2026 QIANXIN.COM All Rights Reserved 意昂体育-科技赋能场景,让娱乐更有趣! 京ICP备16020626号-8

京公网安备11000002002064号

隐私政策 | 网站地图

【网站地图】【sitemap】