热点情报
微软补丁日通告:2024年7月版
海莲花组织以社保话题为诱饵发起钓鱼攻击
银狐团伙开始采用随机化特征方式发起钓鱼攻击
FIN7组织再度活跃,利用超4000个域名发起新钓鱼活动
疑似银狐团伙转向APT攻击,仿冒国家重要单位投递Winos木马
APT攻击
银狐团伙木马升级,开展新一轮网络攻击
黑客组织Turla使用恶意LNK文件感染主机
Lazarus组织构造恶意Python包针对多种平台
针对俄罗斯财务员工的VasyGrek组织活动追踪
APT41组织最新恶意软件加载器DodgeBox披露
CloudSorcerer:采用云服务传递数据的新型黑客组织
技术洞察
SSLoad恶意软件剖析
Blacksuit勒索软件分析
Kematian-Stealer信息窃取器揭秘
EstateRansomware勒索软件感染活动分析
AppMiner挖矿木马新变种来袭,可致使主机崩溃
以地区运输办公室为主题的钓鱼活动瞄准印度安卓用户
未知攻击者使用零日漏洞CVE-2024-38112下发恶意负载
Microsoft SmartScreen漏洞CVE-2024-21412遭到活跃利用
情报详情
微软补丁日通告:2024年7月版
微软近期发布了2024年7月的安全更新。本次安全更新修复了总计142个安全漏洞(包括2个被积极利用的漏洞以及2个公开披露的零日漏洞),其中有134个重要漏洞(Important)、5个严重漏洞(Critical)。在漏洞类型方面,主要包括59个远程代码执行漏洞、26个特权提升漏洞、24个安全功能绕过漏洞、17个拒绝服务漏洞、9个信息泄露漏洞、7个欺骗漏洞。本次发布的安全更新涉及.NET and Visual Studio、Active Directory Rights Management Services、Azure、Intel、Microsoft、NDIS、SQL Server、Windows和XBox Crypto Graphic Services等多个产品和组件。
更多信息,可参考微软2024年7月安全更新说明:https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=f138908309424f47a6d565a51c024171
海莲花组织以社保话题为诱饵发起钓鱼攻击
近期,知道创宇发现了海莲花组织的攻击样本,样本以社保、公积金调整等字眼吸引受害者点击。其中,海莲花又称APT32,自2012年起活跃,主要针对东亚及东南亚地区的政府机构、企业、媒体和活动家等。该组织攻击手法多样,拥有大量自研武器,常在攻击活动不同阶段结合开源工具达成攻击目的。
调查显示,活动诱饵样本名为《关于社保、职业年金、公积金缴存基数调整和补扣的通知.docx》,其内置了lnk参数、hta脚本、dropper程序、诱饵文档四部分内容。具体执行流程为,lnk参数执行hta文件,hta文件执行dropper程序&诱饵文档,dropper解密加载shellcode并执行最终Cobalt_Strike
RAT程序。此外,经关联分析,研究人员发现本次捕获样本与2023年该组织织模仿APT29利用BMW话题为诱饵发起的攻击活动在多方面存在一致。具体来说:1)lnk参数格式非常一致;2)Cobalt
Strike的配置文件较为一致,除url外,伪装的host也相同。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=72d9a880a02f4274903da1ac16f05314
银狐团伙开始采用随机化特征方式发起钓鱼攻击
近日,腾讯发现银狐团伙正通过随机化特征的方式对抗安全软件的检测,具体行为包括样本文件hash随机化和C2地址批量生产。据悉,研究人员在同一天捕获到大量的相似样本,样本间仅存在少量字节不同,疑似通过自动化工具批量生成。同时C2 IP地址也存在A段、B段相同的情况,疑似从网络服务商批量购买了IP地址用作远控木马的C2服务器。此外,在钓鱼样本文件的命名特点上,以"合同"、"查询"、"表格"为关键词进行命名的有所增多,同时还出现了使用"ziliao"、"mingdan"、"cailiao"等拼音来代替原有的"资料"、"名单"、"材料"等关键词,企图以此来对抗情报自动化分析系统的感知策略。相关数据显示,2024年6月初至七月,银狐钓鱼攻击呈现增长趋势,平均每天攻击超过11万次,高峰时期一天超过27万次,且攻击样本呈现出批量化、自动化生产的特点,部分具有明显共同家族特征的的样本,近一个月内甚至检测出300多个变种。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=e3ad7c7de7674c0e813c2e91eecfd374
FIN7组织再度活跃,利用超4000个域名发起新钓鱼活动
Silentpush近日报道称,俄罗斯FIN7犯罪组织在被美国司法部(DOJ)消除一年后再度活跃,涉及利用超过4000个域名和子域名的基础设施发起新网络钓鱼活动,且其中近一半域名在最近一周内处于活跃状态,目标是包括Reuters、Meta和Microsoft在内的全球知名品牌。据悉,FIN7至少自2013年以来一直存在,是一个以经济为动机的威胁组织,主要针对美国零售、酒店、科技、咨询、金融服务、医疗设备、媒体、运输和公用事业行业。研究人员表示,本次活动,FIN7主要通过租赁专用IP地址和使用虚假公司名称来隐藏其恶意活动的基础设施,以部署勒索软件和其他形式的恶意软件。期间,攻击者会将恶意的shell域名伪装成知名品牌的钓鱼网站,以绕过传统的安全防护措施,再通过重定向或页面内容欺骗用户,诱导其下载一个盗用来自中国沧州晨越电子科技有限公司证书数据的伪装成可信执行文件的zip文档,以进一步部署NetSupport RAT木马,最终获取域主机的高级权限,进而对目标组织造成严重威胁。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=6533d5e6721642fabe948240d6ea5cb5
疑似银狐团伙转向APT攻击,仿冒国家重要单位投递Winos木马
近期,知道创宇跟踪发现了仿冒国家重要单位及网络安全厂商员工系统的钓鱼网站,并通过该网站关联捕获到了一批恶意样本。调查显示,本次钓鱼活动在6月最为活跃,恶意文件主要有Winos木马、UpdateDll downloader下载器以及powershell混淆工具"Out-EncodedSpecialCharOnlyCommand"。其中,Winos是银狐团伙在以往针对财税人员的攻击中多次使用的载荷,它此次伪装为360chrome浏览器,并使用VMP壳进行代码保护,其他部分功能及代码流程则与以往曝光的几乎一致。UpdateDll downloader初始样本原始名为Simple_ATL.DLL,主要功能是将硬编码的数据写入C:\Windows\system32\UpdateDll.dll,然后使用rundll32加载执行。Out-EncodedSpecialCharOnlyCommand则是一个能够实现将powershell脚本代码转换为纯符号代码的工具,主要用于加强恶意载荷的混淆。据研究人员分析,本次活动的目标与银狐团伙以往的攻击目标大相径庭,已超出正常黑产团伙的范畴,不排除存在别有用心的APT组织浑水摸鱼的可能性,亦或是银狐团伙不再是单纯的黑产团队,正在筹划APT攻击行为。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=87fad1289b6a418f9014848330d3e33b
客户案例
CNCERT | 上海网信办 | 国家信息中心 | 国家电网
中国航信 | 中国电子技术标准化研究院 | 青岛税务局
河北省税务局 |中国银行 | 宁夏银行
国家信息技术安全研究中心 | 天津经开区 | ASTRI
华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车
河南电力 | 北京电力 | 浙江电力 | 中国移动
中国电信北京研究院 | 湖南广电 | Green Radar
北京电视台 | 天懋信息 | 核工业计算机应用研究所
上海观安 | 数梦工场 | 重庆银行 | 北京安态
