热点情报
LummaC2恶意软件滥用游戏平台Steam
针对拉丁美洲CrowdStrike客户的活动追踪
FaCai团伙以GrimResource技术分发远控木马
Android版Telegram存在漏洞,可致恶意apk文件展示为视频文件
Stargazer Goblin组织:拥有大量Github账户,以传播恶意软件盈利
APT攻击
朝鲜APT45网络间谍组织活动追踪
UAC-0063组织袭击乌克兰科研机构
Andariel组织试图窃取美国多部门机密信息
Transparent Tribe对印度政府部门发起鱼叉式钓鱼攻击
技术洞察
BadPack Android类恶意软件分析
攻击者利用虚假CrowdStrike更新补丁实施钓鱼活动
未知攻击者利用虚假浏览器更新页面传播AsyncRAT
攻击者利用虚假CrowdStrike更新补丁实施钓鱼活动
Crowdstrike遭DarkGate恶意软件用于攻击北美地区
以图片隐写和进程注入技术进行加载的远控勒索木马分析
情报详情
LummaC2恶意软件滥用游戏平台Steam
LummaC2是一种窃取信息的恶意软件,它伪装成非法程序(如破解程序、注册机等),利用seo中毒技术在网站、YouTube和LinkedIn上积极传播。此外,恶意软件还伪装了Notion、Slack、Capcut等网站,以通过搜索引擎广告进行传播。近期,安全人员发现LummaC2的最新变体通过Steam用户名来获取C2域名。当LummaC2恶意软件执行时,它会解密内部加密字符串并获取C2域信息。并且使用Base64及其自己的算法进行加密,每个样本大约有8到10个C2域。如果样本自身的C2无法访问,则进入Steam连接例程。Steam URL以可执行代码格式存储,C2域不同,解密的算法也不同。程序最终可根据其从C2服务器下载的JSON配置文件中获取信息,信息包括钱包程序信息、浏览器存储信息、密码存储程序信息、用户目录中的txt文件、Messenger程序信息、FTP程序信息、VPN程序信息远程程序信息等。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=c85130dd42ce4081b128122c6f1441f7
针对拉丁美洲CrowdStrike客户的活动追踪
近期,研究人员发现了影响Windows操作系统的CrowdStrike Falcon传感器的单个内容更新中存在的问题,并部署了修复程序。此后,CrowdStrike观察到攻击者利用该事件分发了名为crowdstrike-hotfix.zip的恶意ZIP压缩文档,文档伪装为用于自动恢复内容更新问题的实用程序,它实际上包含HijackLoader模块化多级加载程序有效负载,执行时会最终加载RemCos。并且值得注意的是,ZIP文档中的西班牙语文件名和说明表明该活动疑似主要针对拉丁美洲的CrowdStrike客户。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=f75c06d86efd4aa0a36c171361cebeaa
FaCai团伙以GrimResource技术分发远控木马
近期,安全人员发现一种新的攻击技术,攻击者构造特定msc文件,文件头部携带利用apds.dll xss漏洞的负载,通过mmc.exe可执行任意JS代码,从而加载多阶段负载,实现远控攻击,国外人员将该技术命名为GrimResource。安恒安全人员近日捕获到FaCai团伙的攻击样本。攻击者使用该技术进行负载下发。msc文件可执行经过混淆的代码,代码将从远程服务器下载0day.js文件,该文件可进一步下载xsl文件。该文件中包含经过Base64编码后的PE文件,可通过反序列化加载至内存。PE文件会访问有道翻译官网,下载安装包以诱导用户。此外,文件还将创建名为Wd的计划任务,加载运行后续的环境依赖,通过python运行隐藏在图片中的shellcode。经分析,加载的shellcode是经过魔改的Gh0st远控木马,其流量特征包含大量“6666.6”字符串。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=a6718199a02e454a8d3ce66ee7c39a37
Android版Telegram存在漏洞,可致恶意apk文件展示为视频文件
ESET安全人员发现了一个针对Android版Telegram的零日漏洞,该漏洞在2024年6月6日的一个地下论坛帖子中出售。安全人员将该漏洞命名为EvilVideo。攻击者利用该漏洞后,可通过Telegram频道、群组、聊天框分发恶意Android负载,并使其显示为多媒体文件。目前,该漏洞已在7月11日之后更新的Telegram 10.14.5版本中修复。安全人员推测恶意负载通过Telegram接口制作,攻击者制作的负载将在聊天界面展示为一个视频文件,而不是展示为二进制文件。在Telegram中,视频文件默认会自动下载,用户可关闭该设置,不过依然可通过点击的方式下载视频文件。当用户试图播放视频文件时,Telegram将提示“app无法播放这个视频,是否选择其他应用程序播放该视频”,经分析,该提示为Telegram本身携带的提示。不过当用户点击选择其他应用播放视频时,Telegram将请求获得安装程序的权限。此时,伪装为视频文件的apk文件已经感染移动设备。经测试,该漏洞利用方法在Telegram的Web端和Windows端均无法适用。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=4dcdd17b19fb453699e3d5f1c74d2219
Stargazer Goblin组织:拥有大量Github账户,以传播恶意软件盈利
近期,安全人员披露了名为Stargazer Goblin黑客组织,该组织提供、运营和维护Stargazers Ghost Network,并通过其拥有的大量GitHub帐户分发恶意软件和链接。该组织提供的服务为DaaS(Distribution as a Service),面向受害者进行钓鱼,分发恶意软件或链接。目前,已观察到Atlantida Stealer、Rhadamanthys、RisePro、Lumma Stealer、RedLine等恶意软件通过该服务进行传播。该组织组建了一个Github账户网络,其中包含多个账户,会执行star、fork等操作,以此使账户看起来更加正常。这些账户使用相同的标签和图像,账户下的项目多为游戏娱乐相关。经过分析,该DaaS及其GitHub账户网络疑似始于2022年8月,网络中有超过3000个活跃的GitHub账户。安全人员推测Stargazer Goblin已盈利至少十万美元。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=c8af58fb2d0e4568bd8f8bb2cfc310c3
客户案例
CNCERT | 上海网信办 | 国家信息中心 | 国家电网
中国航信 | 中国电子技术标准化研究院 | 青岛税务局
河北省税务局 |中国银行 | 宁夏银行
国家信息技术安全研究中心 | 天津经开区 | ASTRI
华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车
河南电力 | 北京电力 | 浙江电力 | 中国移动
中国电信北京研究院 | 湖南广电 | Green Radar
北京电视台 | 天懋信息 | 核工业计算机应用研究所
上海观安 | 数梦工场 | 重庆银行 | 北京安态
