微步在线月报
【微步在线月报】威胁情报2018年12月月报
微步情报局 2019-01-16 16:42:49 1601人浏览

概述:

本月发生多起APT攻击事件,受害者主要包含金融、能源、互联网、媒体、保险、教育、学术、医疗、环保、法律、公民社会、人权、政府、军工、核能、国防、外交和通信等行业和机构,分布在中国、美国、俄罗斯、阿联酋、巴基斯坦、意大利、法国、伊朗、北美、中东和欧洲等地。金融行业相关,Cobalt持续活跃,使用了新的ThreadKit构建攻击文档;东欧多家银行遭遇DarkVishnya攻击;银行木马DanaBot新增垃圾邮件发送功能。能源行业相关,第3代Shamoon被发现,中东和欧洲的石油天然气行业遭到攻击。漏洞利用方面,俄罗斯医疗机构遭到Flash 0day漏洞攻击,多组织利用Windows最新内核漏洞CVE-2018-8611发起攻击活动。在APT攻击方面,我国政府、军工、核能等敏感机构遭到“蔓灵花”的定向攻击;APT28使用Zebrocy攻击北美和欧洲的外交机构;Donot攻击巴基斯坦在华商务人士;学术界遭到疑似朝鲜APT组织发起的钓鱼攻击;为反击制裁,伊朗背景的黑客组织Charming Kitten发起了新一轮的网络钓鱼攻击活动;全球防御和关键基础设施遭到攻击,背后黑手疑似Lazarus。微步在线发布报告《“海莲花”团伙近期针对中国高校和政府的攻击活动》和《BlueMushroom组织最新针对我国通信等行业的攻击活动》。

内容提要:

序号
标题
1 “海莲花”团伙近期针对中国高校和政府的攻击活动
2 BlueMushroom组织最新针对我国通信等行业的攻击活动
3 欧洲最大隐形眼镜在线销售网站遭遇MAGECART GROUP 11攻击
4 针对俄罗斯医疗机构的Flash 0day漏洞攻击
5 疑似朝鲜APT组织发起针对学术界目标的钓鱼攻击
6 第3代Shamoon针对中东、欧洲的石油天然气行业的活动分析
7 东欧多家银行遭遇DarkVishnya攻击
8 银行木马DanaBot升级成为垃圾邮件发送器
9 普通网络犯罪团伙模仿国家间谍活动逃避追踪
10 Cobalt使用新的ThreadKit工具投放CobInt
11 Donot攻击巴基斯坦在华商务人士
12 “狙击手”行动:瞄准全球防御及关键基础设施
13 黑客组织APT28的最新活动分析
14 Windows最新内核漏洞CVE-2018-8611被多个组织利用
15 Charming Kitten新一轮的网络钓鱼攻击活动
16 “蔓灵花”针对我国政府、军工、核能等敏感机构的攻击活动

事件详情

1海莲花团伙近期针对中国高校和政府的攻击活动

相关行业:教育 政府

Tags:APT APT32 海莲花 中国 教育 中国新闻 中国港口

2018年12月29日,微步在线发布报告《“海莲花”团伙近期针对中国高校和政府的攻击活动》,披露了APT32近期的攻击活动。在最新的攻击中,攻击使用的文档伪装受到360的保护,释放的木马内置的C2分别伪装成360官网、中国新闻网、阿里旗下的全球速卖通和中国港口网,且访问部分恶意域名会重定向到伪装的正常网站,伪装手法相对老道。

微步在线点评:

    1. “海莲花”,又名APT32和OceanLotus,是越南背景的黑客组织。该组织至少自2012年开始活跃,长期针对中国能源相关行业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外,“海莲花”的目标还包含全球的政府、军事机构和大型企业,以及本国的媒体、人权和公民社会等相关的组织和个人。

      2. 微步在线通过对相关样本、IP和域名的溯源分析,共提取6条相关IOC,可用于威胁情报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API等均已支持此次攻击事件和团伙的检测。

        2BlueMushroom组织最新针对我国通信等行业的攻击活动

        相关行业:通信 法律

        Tags:APT BlueMushroom PowerShell CCSA TC614 蓝宝菇 亚太

        2018年12月19日,微步在线发布报告《BlueMushroom组织最新针对我国通信等行业的攻击活动》,披露了BlueMushroom近期的攻击活动。根据微步在线威胁情报云,BlueMushroom组织持续活跃,最近一月,中国通信标准化协会(CCSA)网络5.0技术标准推进委员会(TC614)和研究中外法律援助制度相关人士遭到定向攻击。最近这两次攻击均使用LNK文件作为载体,攻击使用纯PowerShell脚本实现,使用FTP回传窃取的系统信息,以及jpg、txt、eml、doc*、xls*、ppt*、pdf、wps、wpp和et格式文件。

        微步在线点评:

          1. BlueMushroom又名“蓝宝菇”,具备亚太地缘政治背景,自2011年开始活跃,长期针对我国政府、教育、海洋、贸易、军工、科研和金融等重点单位和部门开展持续的网络间谍活动。

            2. 微步在线通过对相关样本、IP和域名的溯源分析,共提取4条相关情报,可用于威胁情报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API等均已支持此次攻击事件和团伙的检测。

              3欧洲最大隐形眼镜在线销售网站遭遇MAGECART GROUP 11攻击

              相关行业:金融

              Tags:MAGECART 信用卡 JavaScript

              2018年12月4日,RiskIQ曝光了一起针对隐形眼镜零售商Vision Direct的黑客攻击,指出该公司官方网站于11月3日至8日被植入恶意脚本,造成数千用户的个人数据(包括支付卡号、有效期和CVV代码)泄露。分析发现,由于使用了相同的服务器,除了英国官网外,该公司意大利、西班牙、爱尔兰、法国、比利时和荷兰网站均受到影响,RiskIQ研判认为此次攻击为针对基础设置投毒,攻击者为Magecart Group 11,与其他Magecart团伙不同的是,Magecart Group 11在收集普通用户的感敏信息时,还在包含admin、account、login、password等页面插入了恶意代码,以收集网站管理员的登录凭证。

              微步在线点评:

                1. RiskIQ近期曝光了多起Magecart团伙入侵网站植入恶意脚本的攻击事件,涉及Ticketmaster,British Airways和Newegg等多家大型网站,危害较为严重。Magecart团伙自2016年起开始活跃,主要围绕电子商务网站及其供应链实施渗透攻击,通过注入恶意JavaScript代码盗取网站用户的信用卡信息。

                  2. 微步在线共提取3条相关IOC,均已添加到威胁情报订阅产品之中,为客户提供相关检测能力。

                    参考链接:

                    https://www.riskiq.com/blog/labs/magecart-vision-direct/

                    4、针对俄罗斯医疗机构的Flash 0day漏洞攻击

                    相关行业:医疗

                    Tags:Flash 0day CVE-2018-15982 俄罗斯 乌克兰

                    2018年12月5日,Gigamon发布报告,称捕获了一个包含Flash 0day漏洞(CVE-2018-15982)利用的Office文档样本。

                    分析之后发现,攻击者将Flash 0day漏洞利用文件插入到诱饵Word文档中,并将一个图片格式的压缩包打包在一个RAR压缩包中发给目标。在用户打开诱饵文档时即触发漏洞利用,将同目录下的JPG图片中压缩保存的木马程序解压执行。释放的木马为Hacking Team 2015年泄露的远控软件的升级版。

                    微步在线点评:

                      1. Flash一直是0day漏洞的重灾区,建议使用Flash的用户保持对Flash的更新,必要时禁用。

                        2. 诱饵文档内容伪装俄罗斯国家医疗诊所的就业申请,加之文件从乌克兰上传,以及乌俄最近关系紧张,似乎暗示着什么。

                          3. 微步在线共提取9条相关IOC,均已添加到威胁情报订阅产品之中,为客户提供相关检测能力。

                            参考链接:

                            https://atr-blog.gigamon.com/2018/12/05/adobe-flash-zero-day-exploited-in-the-wild/

                            https://mp.weixin.qq.com/s/tFIcnvmhP3rJFD-zMH5cXQ

                            http://blogs.360.cn/post/PoisonNeedles_CVE-2018-15982.html?from=groupmessage&isappinstalled=0

                            5、疑似朝鲜APT组织发起针对学术界目标的钓鱼攻击

                            相关行业:学术

                            Tags:DPRK STOLEN PENCIL academic institutions

                            2018年12月5日,ASERT发布报告,称发现了可能来自朝鲜的APT活动,此活动至少从2018年5月以来一直瞄准学术机构并被称为“STOLEN PENCIL”。攻击背后的最终动机尚不清楚,但攻击者擅长隐藏行踪。通过向目标发送鱼叉式网络钓鱼电子邮件,将其引导至显示诱饵文档的网站,并立即提示安装恶意Google Chrome扩展程序。一旦获得立足点,威胁参与者就会使用现成的工具来确保持久性,包括远程桌面协议(RDP)以维持访问。通过攻击者使用的网络钓鱼域名可以分析出此次活动专注攻击学术界,并且许多大学的受害者都拥有生物医学工程专业知识。

                            微步在线点评:

                              1. 通过观察在STOLEN PENCIL中使用TTP,发现他们的技术水平相对较低,大部分工具是现成的程序并且与加密器放在一起。此外,糟糕的操作安全管理使得浏览过的网站和键盘选择暴露了他们使用的语言-韩语。他们花费了大量时间和资源对目标进行侦察,在Chrome扩展页面上留下的评论可以证明这一点。他们的主要目标似乎是通过窃取的凭据以获取对受损账户和系统的访问权,但目前无法找到任何数据被窃取的证据,所以其针对学术界的动机仍然模糊不清。

                              2. 微步在线共提取47条相关IOC,均已添加到威胁情报订阅产品之中,为客户提供相关检测能力。

                              参考链接:

                              https://asert.arbornetworks.com/stolen-pencil-campaign-targets-academia/

                              6、第3代Shamoon针对中东、欧洲的石油天然气行业的活动分析

                              相关行业: 能源

                              Tags:Shamoon APT33 石油 天然气 阿联酋 伊朗

                              安全研究人员于2018年12月5日发现了恶意软件Shamoon的最新版本,即Shamoon V3。Shamoon V3与符合伊朗国家利益的高级持续威胁行为体有关,此次攻击活动中它瞄准了至少一家在中东和亚洲有业务的欧洲石油和天然气公司。有未经证实的报告表明,阿联酋石油和天然气行业的潜在实体也受到了这次攻击活动的影响。Shamoon V3与早期版本的Shamoon拥有近80%的相似性,并且可能使用了历史触发日期,用户的机器被感染后就可以立即执行破坏性操作。

                              Shamoon V3的最新样本的爆发日期为2017年12月12日,使用了UPX壳,另有一批样本的爆发日期为2017年12月7日,无壳。爆发日期设为2017年意味着攻击者试图让恶意软件样本在感染受害者系统后立即开始运行。这可以通过提前将爆炸日期更改为1年来实现。因此,爆炸日期为2017年12月12日的样本可能代表了2018年12月12日使用的第二波Shamoon v3恶意软件。

                              此外,该样本于2018年12月13日由荷兰用户上传至Virustotal,样本使用了与早期版本不同的文件名集以规避检测,文件描述模仿产品名“vmware workstation”,试图利用合法的软件产品引诱受害者。

                              2018年12月21日,FireEye发布报告,称Shamoon幕后黑手为APT33。

                              微步在线点评:

                              微步在线共提取10条相关IOC,均已添加到威胁情报订阅产品之中,为客户提供相关检测能力。

                              参考链接:

                              https://unit42.paloaltonetworks.com/shamoon-3-targets-oil-gas-organization/

                              https://www.anomali.com/blog/new-shamoon-v3-malware-targets-oil-and-gas-sector-in-the-middle-east-and-europe

                              https://twitter.com/0xffff0800/status/1073083524159172609

                              https://www.fireeye.com/blog/threat-research/2018/12/overruled-containing-a-potentially-destructive-adversary.html

                              7、东欧多家银行遭遇DarkVishnya攻击

                              相关行业:金融

                              Tags:东欧 银行 内部网络 DarkVishnya

                              2018年12月6日,卡巴斯基曝光了名为DarkVishnya银行内网攻击事件的细节,指出在2017至2018年期间,东欧至少有8家银行遭遇了手法相似的入侵活动————公银行内部网络被接入的未知设备。

                              分析发现,DarkVishnya攻击活动主要分为三个阶段:首先,攻击者攻伪装成快递员、求职者潜入了目标的公司内部,并将带有GPRS/3G等上网功能的攻击设备(如上网本、树莓派计算机或USB攻击平台BashBunny)连接到内部网络环境(如某会议室中);其次,通过该设备对内网进行扫描和暴力破解等活动,以获取内部登录凭证;最后,利用PowerShell和合法管理工具对目标系统实施远程控制,以实现攻击目的。

                              微步在线点评:

                              电影中的攻击手法已经在现实中上演,物理隔离也无法阻止黑客的脚步。

                              参考链接:

                              https://securelist.com/darkvishnya/89169/

                              8、银行木马DanaBot升级成为垃圾邮件发送器

                              相关行业:金融

                              Tags:DanaBot GootKit 银行木马 欧洲 意大利

                              2018年12月6日,Eset发现银行木马DanaBot开始收集受害者电子邮箱地址,并滥用意大利受害用户的Webmail服务发送垃圾邮件。分析发现,该木马主要传播包含诱饵PDF文件和恶意VBS文件,而VBS文件会调用powerShell命令下载更多恶意软件,进一步追踪发现,DanaBot木马于近期开始分发GootKit木马,二者使用过相同的基础设施,且C&C相似度较高。由于DanaBot和GootKit此前均以独立黑客团伙的私有工具出现,并未在地下论坛流通,研判认为二者幕后的运营者已达成合作关系,以扩大恶意软件的传播范围。

                              微步在线点评:

                                1.DanaBot是一款模块化的银行木马,最早于2018年5月在针对澳大利亚的攻击活动中被观出现,此后在波兰、意大利、德国、奥地利和乌克兰等地均有爆发。该木马使用Delphi编写,具有多阶段和多组件架构,其大部分功能由插件实现。

                                2. 微步在线共提取15条相关IOC,均已添加到威胁情报订阅产品之中,为客户提供相关检测能力。

                                参考链接:

                                https://www.welivesecurity.com/2018/12/06/danabot-evolves-beyond-banking-trojan-new-spam/

                                9、普通网络犯罪团伙模仿国家间谍活动逃避追踪

                                相关行业:能源

                                Tags:Russian APT Financial 俄罗斯 商业攻击 石油

                                2018年12月11日,Cylance发布报告,称调查发现伙针对俄罗斯石油公司发起的攻击主要原因是金钱驱动的普通网络攻击,而非由国家赞助的APT攻击。虽然此次攻击注册了若干针对俄罗斯石油公司、其它俄罗斯关键基础设施公司的域名,但相关攻击使用的恶意软件、攻击手法一直使用在攻击游戏社区活动中。普通网络攻击和国家APT攻击的界限往往模糊不清,威胁情报分析者应该注意已有的偏见,正确分析各种安全事件。

                                微步在线点评
                                1. 普通的网络犯罪组织,通过阅读安全公司报告,了解其他网络团伙攻击行为,模拟其他团伙相关攻击特征掩盖自己攻击的本质。
                                2. 微步在线共提取246条相关IOC,均已添加到威胁情报订阅产品之中,为客户提供相关检测能力。
                                参考链接:

                                https://threatvector.cylance.com/en_us/home/poking-the-bear-three-year-campaign-targets-russian-critical-infrastructure.html

                                10、Cobalt使用新的ThreadKit工具投放CobInt

                                相关行业:金融

                                Tags:CobaltGroup CobInt ThreadKit 漏洞

                                2018年12月11日,Fidelis发布报告,称发现Cobalt Group正在使用新版本的ThreadKit,ThreadKit是一个Office漏洞利用文档构建工具。分析的文件通过电子邮件发送,最终会投递CobInt后门,主要用于侦察。

                                微步在线点评:

                                  1. Cobalt与Carbanak组织存在一定联系,曾攻击过银行ATM机、支付网关、信用卡处理系统,受害者位于欧洲、亚洲和美洲的多个国家。Cobalt最初主要针对金融行业,之后将其目标已扩大到包含软件开发、媒体和保险公司。Cobalt主要通过社工、供应链、邮件钓鱼、漏洞利用和恶意程序对银行内网实施渗透,在初步攻陷目标银行网络之后,Cobalt通常花费半个月到一个月左右的时间研究目标组织的基础设施,观察其工作流程,在完全摸清之后才进行转账等操作。

                                  2.微步在线共提取4条相关IOC,均已添加到威胁情报订阅产品之中,为客户提供相关检测能力。

                                  参考链接:

                                  https://www.fidelissecurity.com/threatgeek/cobalt-group-101

                                  11、Donot攻击巴基斯坦在华商务人士

                                  相关行业:环保

                                  Tags:Donot EHDevel yty 巴基斯坦

                                  2018年12月12日,360发布报告,披露了Donot针对巴基斯坦在华商务人士的攻击活动。攻击者利用包含恶意宏或漏洞利用的Office文档针对巴基斯坦进行鱼叉式网络钓鱼攻击,旨在传递独有的恶意程序框架EHDevel和yty,以窃取敏感信息。在最新的活动中,Donot利用包含恶意宏的XLS文档作为木马投递载体,文档内容与目标的商务活动密切相关,运行后会释放下载器,下载器会下载并执行键盘记录、文件列表、信息信息和上传等插件。

                                  微步在线点评:

                                    1. Donot又名APT-C-35和肚脑虫,该组织主要针对政府机构进行攻击,旨在窃取机密信息。

                                      2. 微步在线共提取15条相关IOC,均已添加到威胁情报订阅产品之中,为客户提供相关检测能力。

                                        参考链接:

                                        https://mp.weixin.qq.com/s/DHusRQfCkFq3yHRjg23rjg

                                        12、“狙击手”行动:瞄准全球防御及关键基础设施

                                        相关行业: 核电 国防 能源 金融

                                        Tags:Lazarus RisingSun Duuzer Sharpshooter

                                        2018年12月12日,McAfee发布报告,披露了一次攻击活动,并将之命名为Operation Sharpshooter(“狙击手”行动)。这次活动的目标是核能、防御、能源和金融公司。攻击者利用植入内存的方法下载和执行第二阶段攻击载荷,进而执行漏洞利用代码,McAfee称这段攻击载荷为“Rising Run”。Rising Run使用了2015年Lazarus团伙在一个新的渗透框架中曾使用过的的后门木马家族Duuzer。

                                        “狙击手”行动始于2018年10月25日。在此次攻击活动中,攻击者伪装成为合法的行业招聘活动,恶意文档的署名为理查德,文档中包含朝鲜语元数据,由此可推测这些文档是由韩文版本的Word创建的。所有恶意文档都是用英语写的来自未知公司的岗位描述。恶意文档中包含了恶意的宏代码,并在Word进程的内存中注入了shellcode,用于执行木马下载器,当Word进程被感染后,木马下载器将执行第二阶段的攻击载荷,即Rising Sun。

                                        2018年10月至11月期间,Rising Sun攻击载荷已经在全球范围内的87个组织出现,主要是在美国,其他大多数攻击 目标也是讲英语的地区,或拥有讲英语的地区办事处的组织。

                                        微步在线点评:

                                          1. 虽然“狙击手”行动与Lazarus团伙使用的技术及工具存在非常多的相似之处,但目前尚无法明确得出这次攻击活动出自Lazarus团伙的结论,这其中仍然存在误判的可能。

                                            2. 微步在线共提取10条相关IOC,均已添加到威胁情报订阅产品之中,为客户提供相关检测能力。

                                              参考链接:

                                              https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/operation-sharpshooter-targets-global-defense-critical-infrastructure/

                                              13、黑客组织APT28的最新活动分析

                                              相关行业: 政府 外交

                                              Tags:Cannon Zebrocy Espionage Sofacy APT28 中东 欧洲

                                              从2018年10月中旬到2018年11月中旬,APT28一直在攻击世界各地的各种政府和私人组织。其中,大多数目标都是与北约结盟的国家,同时也包括一些前苏联国家。这些攻击主要部署了Zebrocy工具的变体,自2015年年中开始跟踪Zebrocy的使用以来,最近观察到该工具的部署频率显著增加。与其他与APT28团伙相关的后门工具相比,Zebrocy的使用也更为普遍。

                                              从2018年10月17日开始,我们共收集了9份发送到世界各地众多组织的交付文件。这些目标包括北美的外交组织、欧洲的外交组织以及前苏联国家的政府实体。我们还发现了可能针对全球各地地方执法机构的证据,包括北美、澳大利亚和欧洲。我们的遥测技术也显示了非政府组织、营销公司以及医疗行业组织的可能目标。这些攻击的载体都是通过鱼叉式钓鱼邮件,使用注册到自由电子邮件提供商Seznam的电子邮件帐户,Seznam是捷克共和国一家很受欢迎的Web服务提供商。在这次攻击活动中,APT28似乎严重依赖文件名来引诱受害者点击运行武器化的文档。文件名的范围很广,涉及到英国脱欧、狮航空难和最近以色列的火箭袭击等。同时,不仅文件名具有很高的针对性并与受害者相关,文件的实际诱惑内容也更为通用。这些武器化文档中的每一个都使用相同的攻击策略。打开文档时,它利用Microsoft Word检索远程模板的能力来加载恶意宏文档。如果打开文档时C2服务器处于活动状态,则它将成功检索恶意宏并将其加载到同一Microsoft Word会话中。

                                              APT28仍在使用类似技术攻击全球各地的组织。我们观察到他们在10月下旬到11月通过鱼叉式钓鱼邮件进行攻击,经常利用文件名中的当前事件诱使收件人打开恶意附件。在这些攻击中,该团伙明确显示出使用像Zebrocy这样的简单下载程序作为第一阶段有效载荷的偏好。该组织使用了vb.net和c#等不同版本的木马,并不断开发新的变种进行攻击。

                                              微步在线点评:

                                                1. APT28别称Pawn Storm、Sednit、Fancy Bear和Sofacy Group等,是APT攻击的典型代表,其攻击对象多为政府、军队及安全机构,被指可能与俄罗斯情报机构GRU有关。情报显示,该组织已于2017年下半年攻击目标转向中亚地区,并有东移趋势。

                                                  2. 微步在线共提取67条相关IOC,均已添加到威胁情报订阅产品之中,为客户提供相关检测能力。

                                                    参考链接:

                                                    https://unit42.paloaltonetworks.com/dear-joohn-sofacy-groups-global-campaign/

                                                    https://unit42.paloaltonetworks.com/sofacy-creates-new-go-variant-of-zebrocy-tool/

                                                    https://www.emanueledelucia.net/apt28-sofacy-seduploader-under-the-christmas-tree/

                                                    14、Windows最新内核漏洞CVE-2018-8611被多个组织利用

                                                    相关行业:政府

                                                    Tags:APT FruityArmor SandCat 零日漏洞 CVE-2018-8611 中东

                                                    2018年12月12日,卡巴斯基发布Windows零日漏洞CVE-2018-8611相关报告,与之前曝光的win32k.sys(CVE-2018-8589和CVE-2018-8453)中的漏洞不同,CVE-2018-8611是一个内核事务管理器驱动程序的本地提权漏洞,还可用被于在常见Web浏览器(包括Chrome和Edge)实现沙箱逃逸。

                                                    研究发现,该漏洞曾被FruityArmor和SandCat等多个团伙使用。其中的SandCat是卡巴斯基最新发现的APT组织,除了零日漏洞外,该组织还使用了FinFisher /FinSpy框架实施攻击。

                                                    微步在线点评:

                                                    FruityArmor团伙于2016年被卡巴斯基曝光,最早攻击活动可追溯至2012年,曾于2016年使用另一Windows零日漏洞cve-2016-3393对伊朗、阿尔及利亚、泰国、也门、沙特阿拉伯和瑞典等地区政府机构相关活动家、研究人员、个人发起攻击,惯用PowerShell对Windows平台用户实施攻击。

                                                    参考链接:

                                                    https://securelist.com/zero-day-in-windows-kernel-transaction-manager-cve-2018-8611/89253/

                                                    15、Charming Kitten新一轮的网络钓鱼攻击活动

                                                    相关行业:公民社会 人权 媒体

                                                    Tags:CharmingKitten IRGC 伊朗 美国 制裁 记者

                                                    2018年12月13日,Certfa发布报告,披露了Charming Kitten最新的网络钓鱼活动。该组织在10月份针对美国金融机构进行钓鱼攻击,许是对美国制裁的反击。之后则扩大了攻击范围,针对参与伊朗制裁的政治家、人权和记者等目标进行了定向的网络钓鱼攻击。Certfa认为该组织与IRGC关系密切。攻击者首先收集了目标相关的信息,然后针对性制定钓鱼计划。攻击者通过邮件或社交媒体账户发送虚假警告和虚假Google云盘共享,利用可点击图像和隐藏的图像绕过反网络钓鱼系统并进行跟踪。在重定向到虚假的Google和Yahoo网站之后,会要求用户提供两步验证码以更好的窃取信息。

                                                    微步在线点评:

                                                      1. Charming Kitten又名Newscaster或NewsBeef,是一个伊朗网络犯罪团伙,在社交网站上创建假角色,以便从美国、以色列、英国、沙特阿拉伯和伊拉克的目标个人那里收集信息。该组织一直在利用 BeEF(Browser Exploitation Framework)通过内容管理系统中的缺陷来跟踪他们所控制的网站的访问者。

                                                        2. 微步在线共提取59条相关IOC,已添加到威胁情报订阅产品之中,为客户提供相关检测能力。

                                                          参考链接

                                                          https://blog.certfa.com/posts/the-return-of-the-charming-kitten/

                                                          16、“蔓灵花”针对我国政府、军工、核能等敏感机构的攻击活动

                                                          相关行业:政府 军工 核能

                                                          Tags:蔓灵花 Bitter 中国 RAT RAR自解压

                                                          2018年12月21日, 腾讯御见发布报告,披露了蔓灵花(Bitter)最新针对中国境内政府、军工、核能等敏感机构的攻击活动。在最近的攻击中,Bitter多使用包含RAR自解压的压缩文件作为诱饵,RAR自解压文件伪装Word图标,运行后会释放并打开真实诱饵文档和恶意程序。恶意程序运行后会上报系统基本信息,下载下一阶段木马,具体包含键盘记录器和RAT等木马。

                                                          微步在线点评:

                                                            1. “蔓灵花”又名Bitter,具有较强的政治背景。该APT组织长期攻击中国、巴基斯坦等国家进行攻击,主要针对政府、军工、电力、核等部门,旨在窃取机密资料。蔓灵花或与白象和Confucius组织存在关联。

                                                              2. 微步在线共提取50条相关IOC,均已添加到威胁情报订阅产品之中,为客户提供相关检测能力。

                                                                参考链接

                                                                https://mp.weixin.qq.com/s/xzkRQPomoxWEsxddacWFvQ

                                                                匿名用户 2019-01-19 07:03:55 回复
                                                                很好
                                                                奖励计划banner
                                                                今日推荐