热点情报
RedTail挖矿程序利用PAN-OS新漏洞
攻击者假冒巴林政府官方服务程序窃取用户数据
新型V3B网络钓鱼工具包瞄准54家欧洲银行客户
FaCai团伙通过某翻译软件的引流服务实施钓鱼攻击
Chalubo木马被用于破坏性活动,导致60万个路由器离线
APT攻击
Konni黑客组织使用俄罗斯政府软件安装包进行攻击
俄罗斯APT28利用HeadLace恶意软件渗透欧洲关键网络
UNC1151再次出击:针对乌克兰国防部进行钓鱼攻击活动
UAC-0195借助流行社交媒体发起以投票为主题的钓鱼活动
UAC-0200利用DarkCrystal RAT恶意软件攻击乌克兰关键组织
Operations ControlPlug:DarkPeony使用MSC文件发动针对性攻击活动
技术洞察
PikaBot加载器分析
NiceRAT正通过僵尸网络感染主机
Darkgate新版本近期攻击活动披露
TargetCompany勒索软件新Linux变种揭秘
CarnavalHeist:针对巴西用户的新型银行木马
攻击者使用恶意excel文件下发Cobalt Strike载荷
新Fog勒索软件借助被盗的VPN凭据入侵美国教育部门
情报详情
RedTail挖矿程序利用PAN-OS新漏洞
2024年4月,Palos Alto发布公告称其PAN-OS产品中存在一个零日漏洞。该漏洞允许攻击者创建任意文件,最终以root权限执行命令。目前,安全人员发现攻击者利用该漏洞下载执行bash脚本的攻击活动逐渐增多。bash脚本执行后首先会检查受害主机的处理器架构,然后下载相应的恶意二进制文件。恶意二进制文件以.redtailm命名,是此前曾被披露过的RedTail挖矿程序。该文件经过UPX加壳,实际代码为门罗币挖矿程序。安全人员对该变种进行分析发现,变种新增加密配置信息的内容。此外,该变种还优化了其挖矿操作,攻击者使用了新的RandomX算法,算法利用非均匀内存访问(NUMA)节点来提高效率,并且使用了hugepages配置,根据XMRig文档,该配置可以将性能提高1%至3%。并且,该变种还通过多次分叉自身、杀死GDB实例的方式绕过安全检测。为了保持持久性,该变种还会添加cron任务,以在系统重启后运行。攻击者除了使用PAN-OS漏洞CVE-2024-3400外,还被观察到利用漏洞Ivanti Connect Secure SSL-VPN CVE-2023-46805和CVE-2024-21887。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=a8de062a04c84947ad40ec91a3a0a864
新型V3B网络钓鱼工具包瞄准54家欧洲银行客户
Resecurity近期发现,网络犯罪分子正在Telegram上推广一种名为"V3B"的新型网络钓鱼工具包,旨在拦截敏感信息,包括凭据和OTP代码,且其主要目标是欧盟的银行客户,涉及爱尔兰、荷兰、芬兰、奥地利、德国、法国、比利时、希腊、卢森堡和意大利的54家主要金融机构的客户。据悉,钓鱼工具包由两个主要组件组成:基于场景的凭据拦截系统(V3B)和模仿网上银行的授权页面,它通过网络钓鱼即服务(PhaaS)模型提供,也可用于自托管,价格在每月130至450美元之间,具有高级混淆、本地化选项、OTP/TAN/2FA支持、与受害者实时聊天以及各种逃避机制。
具体来说,V3B在自定义CMS上使用高度混淆的JavaScript代码来逃避反网络钓鱼和搜索引擎机器人的检测,包含芬兰语、法语、意大利语、波兰语和德语等多种语言的专业翻译页面,以增强网络钓鱼攻击的有效性,使攻击者能够开展多国活动。并且可在移动和桌面平台上运行,能够拦截银行账户凭证和信息以及信用卡详细信息。此外,其管理面板(uPanel)允许欺诈者通过聊天系统与受害者实时互动,通过发送自定义通知来获取一次性密码(OTP)。被盗信息最终再通过Telegram
API回传给网络犯罪分子。该套件的另一个显著特点是支持PhotoTAN和Smart
ID,以绕过德国和瑞士银行广泛使用的高级身份验证技术。目前,其Telegram频道已拥有超过1,250名成员,这表明新的网络钓鱼即服务(PhaaS)平台正在网络犯罪领域迅速获得关注。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=15255527049046edb903a7b8e27de7a5
攻击者假冒巴林政府官方服务程序窃取用户数据
Mcafee近日发现了一款伪装成巴林劳动力市场监管局(LMRA)政府机构服务的InfoStealer Android恶意软件。该恶意软件假冒巴林的官方应用程序,并宣传用户可以在移动设备上更新或申请驾驶执照、签证和身份证。据悉,攻击者主要通过Facebook页面和SMS消息分发这些应用程序,再结合社会工程策略,将用户引导至网络钓鱼网站,包括WordPress博客网站或旨在下载应用程序的自定义网站,旨在窃取用户个人信息以进一步用于金融欺诈活动。数据显示,巴林已有62位用户使用过该应用程序。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=61c9a0f5b1904da5a342a5ff855183f2
FaCai团伙通过某翻译软件的引流服务实施钓鱼攻击
腾讯近期观察到有攻击者在谷歌搜索购买某翻译软件的引流服务,达到相关用户在谷歌搜索"有**典"时,将伪造的下载网站在前两个结果里面显示,进而诱导用户下载安装恶意文件,最终植入远控木马。据悉,此次攻击易受影响用户主要为外语相关工作的从业人员。攻击者通过将木马文件嵌入常用的翻译类软件的安装包,并在其运行后,在用户文档目录下释放一个负责启动Windows脚本执行工具AutoHotkey.exe的快捷方式,AutoHotkey.exe工具再接着执行攻击者编写的特定脚本文件AutoHotkey.ahk。其中,AutoHotkey.ahk脚本内容则分为启动正常软件安装和下载木马相关文件的两个部分。AutoHotkey完成木马payload下载后,会进一步执行Python脚本,然后在python代码中加载shellcode。shellcode最终再加载经过修改的Gh0st远控木马,并连接到C2地址:154.82.84.205:6666。
经进一步关联分析,研究人员发现攻击者使用的远控木马类型、安装计划任务进行持久化攻击、将木马二进制数据写入注册表HKEY_CURRENT_USER\Console\0、与C2通信使用"6666"端口进行通信,并且加密流量文本反复出现"6666.6"等特点均与"FaCai"钓鱼团伙一致,因此确认此次攻击归属于"FaCai"团伙。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=19c74b5f025c43898b4f5071f92f1249
Chalubo木马被用于破坏性活动,导致60万个路由器离线
Lumen近日发现了一起破坏性事件,属于同一互联网服务提供商(ISP)的超过600,000个小型办公室/家庭办公室(SOHO)路由器离线。据悉,该事件发生在2023年10月25日至27日之间的72小时内,导致受感染的设备永久无法运行,需要进行硬件更换。经研究人员分析确定,名为"Chalubo"的商用远程访问木马是该事件的主要有效负载,但暂未发现攻击者用于获取初始访问权限的漏洞,疑似利用了弱凭据或暴露的管理界面。其中,Chalubo木马于2018 年首次被发现,在2023年11月高度活跃,并一直保持到2024年初。仅在2023年10月份,超过330,000个唯一IP地址与攻击者的75个C2地址至少通信了两天,因此确诊被感染。研究人员表示,Chalubo拥有专为所有主要SOHO/IoT内核设计的有效负载、执行DDoS攻击的预构建功能,并且可以执行发送到机器人的任何Lua脚本。它可利用精明的技术来混淆其活动,从磁盘中删除所有文件以在内存中运行,并可假定设备上已存在的随机进程名称,同时加密与C2服务器的所有通信。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=a16cdaa01ec340e2b0d11a913913f78c
客户案例
CNCERT | 上海网信办 | 国家信息中心 | 国家电网
中国航信 | 中国电子技术标准化研究院 | 青岛税务局
河北省税务局 |中国银行 | 宁夏银行
国家信息技术安全研究中心 | 天津经开区 | ASTRI
华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车
河南电力 | 北京电力 | 浙江电力 | 中国移动
中国电信北京研究院 | 湖南广电 | Green Radar
北京电视台 | 天懋信息 | 核工业计算机应用研究所
上海观安 | 数梦工场 | 重庆银行 | 北京安态
