目录
【恶意软件威胁情报】
Joker木马伪装成合法的Android应用在Google Play商店中传播
研究人员揭露Android加密货币挖矿应用骗局
Zloader恶意软件新功能可禁用office宏警告
【热点事件威胁情报】
REvil勒索团伙使用的基础设施和网站已关闭
Facebook封禁以美国为目标的伊朗黑客账号
微软披露以色列Candiru公司利用0-day漏洞和DevilsTongue恶意软件的相关攻击细节
【政府行业威胁情报】
美国共和党全国委员会遭受网络攻击
【交通行业威胁情报】
黑客攻击伊朗铁路系统网络并发布虚假消息
【漏洞威胁情报】
谷歌披露四个在野利用的0day漏洞攻击活动信息
【高级威胁情报】
黑客组织针对格鲁吉亚相关人员的攻击
Donot APT组织针对军事人员的攻击活动分析
DEV-0322组织利用0-day漏洞攻击SolarWinds Serv-U软件
Lazarus组织针对航空航天行业的攻击活动分析
Operation SpoofedScholars:Charming Kitten APT组织针对中东学者进行网络钓鱼攻击
Kimsuky组织的新版KGH间谍组件分析
APT-C-27(黄金鼠组织)的主要攻击武器分析
【恶意软件威胁情报】
Joker 木马伪装成合法的 Android 应用在 Google Play商店中传播
近日,研究人员在 Google Play 商店发现了 Joker Dropper 的新变体。该应用程序是 Joker
木马的更新版本,可将其他恶意软件下载到用户的设备上,并在用户不知情的情况下订阅
高级服务。这款应用直到 2021 年 7 月 5 日都在 Google Play 商店中供用户下载。尽管
Google 目前已经在 Play 商店下架了该应用程序,但该应用程序已经有 500 多次安装。
攻击者不断对应用程序和有效负载进行轻微修改,从而使该恶意软件能够逃避 Google
Play 商店的检测。攻击者在此变种中更改了执行方法,在代码中应用了复杂的混淆,并且
使用了不同的有效负载检索技术。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2173
研究人员揭露 Android 加密货币挖矿应用骗局
近日,安全研究人员发现 170 多个 Android 应用程序,这些应用会欺骗对加密货币感兴
趣的用户,承诺付款后可以进行云货币挖掘,其中包括 25 个谷歌 Play 应用程序。其中许
多应用在全球范围内都可以使用,这些应用程序都标榜自己提供收费的云加密货币挖掘服
务。在对应用进行分析后,研究人员发现实际上并没有进行云货币挖掘。这些应用程序全
部是通过合法的支付流程从用户那里窃取资金,但从不提供承诺的服务。根据研究人员的
分析,他们诈骗了超过 9.3 万人,在用户购买应用程序和购买额外的虚假升级和服务时,
诈骗了至少 35 万美元。
![图片[1]-安恒安全威胁情报周报(7.10-7.16) – 作者:安恒威胁情报中心-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210719/1626660865_60f4e00112246efd96a9e.png)
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2182
Zloader 恶意软件新功能可禁用 office 宏警告
近日,研究人员发现 Zloader 恶意软件使用新技术进行传播,其可以在垃圾邮件附件宏中
没有任何恶意代码的情况下,下载和执行恶意 DLL 文件。恶意文档一直是大多数恶意软件
的切入点,这些攻击一直在改进其感染技术和混淆方法,不仅限于从 VBA 直接下载有效
负载,出于安全考虑,Microsoft Office 应用程序中默认禁用宏。
![图片[2]-安恒安全威胁情报周报(7.10-7.16) – 作者:安恒威胁情报中心-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210719/1626660877_60f4e00db279cc53a90fa.png)
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2183
【热点事件威胁情报】
REvil 勒索团伙使用的基础设施和网站已关闭
7 月 12 日,由 REvil 勒索软件团伙运营的网站突然无法访问,REvil 勒索软件操作的基础
设施和网站全部神秘关闭。REvil 组织又名 Sodinokibi,利用多个明网和暗网运作,被认
为与俄罗斯有关联,至今已向受害者收取了数千万美元的赎金。7 月 2 日,REvil 勒索软件
团伙利用 Kaseya 公司的 VSA 产品漏洞,进行了大规模的供应链勒索攻击,对大约 60 家
托管服务提供商(MSP) 和 1500 多家企业进行了加密。
13 日下午,LockBit 勒索软件团伙在 XSS 俄语黑客论坛上发帖称,有传言称,REvil 团伙
在收到了政府的传票后,删除了他们的服务器。此前,DarkSide 和 Babuk 等勒索软件团
伙都迫于执法部门的压力而自愿停止了运营,但勒索团伙很可能会改头换面,以新的名字
归来继续发起勒索软件攻击。
![图片[3]-安恒安全威胁情报周报(7.10-7.16) – 作者:安恒威胁情报中心-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210719/1626660893_60f4e01d42577694909eb.png)
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2184
Facebook 封禁以美国为目标的伊朗黑客账号
7 月 15 日,Facebook 表示,一个名为 Tortoishell 的组织试图用恶意软件感染设备,以
实现间谍活动,它采用了不同的策略,包括建立虚假的招聘网站, 目前,Facebook 已经
破坏并删除了 Tortoiseshell 组织在其平台上的账户,并破坏了该组织在互联网上针对美
国进行的间谍活动 。 Tortoishell 试图滥用 Facebook 平台引导人们进入其他网站、电
子邮件或即时通讯服务,然后向受害者分发恶意链接以传播恶意软件。Facebook 的网络
间谍调查小组已对该组织采取行动,禁用了他们的帐户,并通知了大约 200 名目标用户。
据悉,Tortoiseshell 组织是与伊朗有关的黑客组织,自 2018 年以来一直活跃,以策划针
对中东公司的 IT 供应链攻击而闻名 。研究人员调查发现,该组织现在似乎已经扩大了全
球业务,主要针对国防和航空航天行业的军事人员和公司,较小程度上针对英国和欧洲。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2194
微 软 披 露 以 色 列 Candiru 公 司 利 用 0-day 漏 洞 和DevilsTongue 恶意软件的相关攻击细节
7 月 15 日,微软发布报告表示,研究人员发现了一个名为 Candiru 的以色列公司,该
公司是两个 Windows 0-day 漏洞(CVE-2021-31979 和 CVE-2021-33771)的开发者。
这些漏洞已被用来感染和部署一种名为 DevilsTongue 的新型间谍软件,目前微软已经观
察到至少 100 名受害者,包括政客、人权活动家、记者、学者、大使馆工作人员和持不
同政见的人。 Candiru 公司成立于 2014 年,是一家以色列公司,微软将其称为
SOURGUM 公司 。该公司向政府客户销售”无法追踪”的间谍软件,产品包括用于监视
计算机、移动设备和云帐户的解决方案。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2195
【政府行业威胁情报】
美国共和党全国委员会遭受网络攻击
近日,美国共和党全国委员会(RNC)发表声明称,网络犯罪分子获得了该委员会承包商
Synnex 的 IT 基础设施的访问权限。 美国国家公共电台(NPR)表示,尽管基础设施遭到破
坏,但在此次网络攻击中,并没有数据丢失。当局目前尚未确认对此次网络攻击负责的攻
击者的身份。有消息称此次攻击来自俄罗斯网络犯罪团伙。联邦调查局已被告知此事,但
暂时没有发表评论。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2174
【交通行业威胁情报】
黑客攻击伊朗铁路系统网络并发布虚假消息
7 月 9 日,伊朗的铁路系统遭遇网络攻击,用于管理火车时刻表和售票服务的系统于 9 日
早上宕机。伊朗各地火车站出现混乱。攻击者在全国各地车站的显示屏上发布了虚假信息。
显示屏显示,火车因网络攻击而延误或取消,还敦促乘客致电询问信息,并提供了伊朗国
家领导人阿亚图拉·阿里·哈梅内伊办公室的电话号码,供旅客致电了解更多详情。伊朗国
家铁路公司发言人表示,该事件并未对火车服务造成任何问题。目前,尚不清楚谁此次攻
击的幕后黑手。
![图片[4]-安恒安全威胁情报周报(7.10-7.16) – 作者:安恒威胁情报中心-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210719/1626660910_60f4e02e32bf4f7d40947.png)
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2169
【漏洞威胁情报】
谷歌披露四个在野利用的 0day 漏洞攻击活动信息
7 月 14 日,谷歌披露了 4 个今年新发现的 0day 漏洞的信息,这些漏洞已被滥用于高度针
对性的攻击中,影响了 Google Chrome、Internet Explorer 和 WebKit 浏览器引擎,
分别为 Chrome 中的 CVE-2021-21166 和 CVE-2021-30551,Internet Explorer 中的
CVE-2021-33742 以及 WebKit(Safari)中的 CVE-2021-1879。其中,Chrome 和 IE
中的漏洞是由同一家政府支持的商业监控供应商开发的。WebKit 中的漏洞则可能是由一
个与俄罗斯有关的 APT 组织开发。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2193
【高级威胁情报】
黑客组织针对格鲁吉亚相关人员的攻击
近日,安恒威胁情报中心猎影实验室捕获到一例恶意攻击样本,通过对样本进行溯源分析,
发现该样本是疑似俄语国家的黑客团伙针对格鲁吉亚的一次攻击行动。样本以格鲁吉亚在
2021-2022 的战略计划为主题,当受害者打开恶意文档触发宏代码后,样本会下载载荷并
收集受害者电脑用户区的文档联网回传至攻击者服务器。
![图片[5]-安恒安全威胁情报周报(7.10-7.16) – 作者:安恒威胁情报中心-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210719/1626660925_60f4e03de439403eafe75.png)
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2170
Donot APT 组织针对军事人员的攻击活动分析
近期,安恒威胁情报中心猎影实验室捕获到多个 Donot APT 组织攻击活动样本。该批样
本保持了 Donot 组织一段时间以来的攻击作战风格,通过向目标群体发送带有远程模板
注入的 rtf 文档或者包含恶意宏代码的诱饵文档实行网络攻击。通过诱饵文档所使用的”美国和北约从阿富汗撤军的影响”、”采购政策修订”等名称标题,研究人员推测,本次被
攻击目标群体很可能是国外的重要军事部门或与军事相关的专业人员。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2190
DEV-0322 组 织 利 用 0-day 漏 洞 攻 击 SolarWindsServ-U 软件
近日,微软检测到 SolarWinds Serv-U FTP 服务器中的 0-day 在野利用,漏洞编号为
CVE-2021-35211,是一个远程代码执行漏洞。黑客可以通过 SSH 协议利用该漏洞,从
而以特权在 SolarWinds 应用程序上远程运行恶意代码,执行诸如安装和运行恶意负载、
查看和更改数据等操作。微软威胁情报中心根据观察到的受害者行为、策略和程序,以高
置信度将此次活动归因于 DEV-0322 组织。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2179
Lazarus 组织针对航空航天行业的攻击活动分析
近日,研究人员监测到 Lazarus 针对航空航天行业的攻击,此次攻击以名称”Airbus 工作
机会机密”为诱饵,诱导受害者点击执行,当用户启用宏后,将释放后门程序执行。
Lazarus(APT-C-26)组织是朝鲜半岛非常活跃的 APT 组织之一,最早的攻击活动可以追溯
到 2007 年。该组织以数字货币、金融行业、航空航天行业等为攻击目标,长期对韩国、
美国、印度等国家进行渗透攻击。此外,该组织还对全球的金融机构进行攻击,堪称全球
金融机构的最大威胁。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2172
Operation SpoofedScholars:Charming Kitten APT组织针对中东学者进行网络钓鱼攻击
研究人员披露,与伊朗有关的 Charming Kitten APT 组织正伪装成与伦敦大学东方和非
洲研究学院合作的英国学者,对中东地区的学术专家发起网络钓鱼攻击。研究人员将此次
网络钓鱼活动命名为 Operation SpoofedScholars ,攻击者通过学术机构的合法站点来
创建他们的凭证网络钓鱼基础设施。攻击的目标包括中东事务专家、知名学术机构资深教
授、报道中东事物的专职记者等。 攻击者会伪装成英国学者与受害者建立联系,有时还
会进行长时间的对话,一旦在对话中获得信任,攻击者就会向受害者发送一个注册链接,
该链接实际上是伦敦大学 SOAS 电台的受感染网站。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2192
Kimsuky 组织的新版 KGH 间谍组件分析
Kimsuky APT 组织是境外由特定政府支持的、先进的 APT 组织,其至少从 2012 年开始
运营,近些年一直针对韩国、俄罗斯、美国等政府从事间谍活动,该组织经常使用各种鱼
叉式和社会工程学方法来获得对目标的初始访问。Kimsuky 组织使用的 KGH 间谍组件
已经不是第一次看到了,攻击者通常使用鱼叉邮件对目标进行攻击,开发者在此次攻击活
动中对 KGH 组件进行了功能拓展,使用了漏洞 CVE-2019-0880 以提升进程权限。目
前研究人员尚未明确攻击者所针对的目标,但根据分析信息显示,疑似为俄罗斯方向相关
团体。
![图片[6]-安恒安全威胁情报周报(7.10-7.16) – 作者:安恒威胁情报中心-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210719/1626660941_60f4e04da43094285bcaf.png)
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2180
APT-C-27(黄金鼠组织)的主要攻击武器分析
研究人员捕获到了 APT-C-27 黄金鼠组织大量内部利用工具和攻击样本,并通过对这些工
具、样本的分析,发现了黄金鼠针对中东地区的最新行动。APT-C-27 黄金鼠组织是熟悉
alabo语的 APT 攻击组织,从 2014 年 11 月起,对叙利亚、土耳其地区展开了有组织的
不间断攻击。黄金鼠组织 PC 端涉及样本数量多,种类复杂,既包括该组织的攻击样本,
也有大量其内部编写的工具。且由于 Android 系统、APP 的普及与发展,带动了 Android
手机等智能终端用户量的持续攀升,从而导致黄金鼠组织的攻击目标也逐渐转向 Android
移动端。PC 端和 Android 端的恶意样本主要伪装成聊天软件,通过水坑攻击配合社会工
程学进行攻击。
参考链接:https://ti.dbappsecurity.com.cn/informationDetail/2185
安恒威胁情报中心介绍
平台地址:https://ti.dbappsecurity.com.cn/
安恒威胁情报中心汇聚了海量威胁情报,支持多点渠道数据输入,支持自动情报数据产出,能实现网络安全的高效赋能。平台使用者可通过自定义策略进行威胁监控、威胁狩猎,并对输入数据进行自动化的生产加工,同时支持人工分析团队对情报进行复核整理。
![图片[7]-安恒安全威胁情报周报(7.10-7.16) – 作者:安恒威胁情报中心-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210719/1626660956_60f4e05c03e1b697106ea.png)
来源:freebuf.com 2021-07-19 10:17:53 by: 安恒威胁情报中心
请登录后发表评论
注册