TA453针对中东核安全专家开展攻击——每周威胁情报动态第135期（07.07-07.13）

TA453针对中东核安全专家开展攻击

近日，Proofpoint的研究人员披露了具有伊朗背景的APT组织——TA453，发起了新一轮的鱼叉式网络钓鱼攻击活动。研究人员表示，本次攻击活动始于2023年5月中旬，TA453大幅度地调整其感染链，即开始通过部署LNK感染链，而不是带有宏的Microsoft Word文档，使得检测工作变得更加复杂。经研究人员调查显示，TA453主要伪装成皇家联合军种研究所(RUSI)的高级研究员，并通过向公共媒体联系人发送良性的对话诱饵邮件与目标建立联系，随后使用多人角色模拟技术以针对中东事务和核安全专家。同时，TA453还会借助各种云服务来执行攻击链，用以传播其新型的PowerShell后门GorjolEcho。此外，当有机会时，TA453还会试图启动一个被研究人员称为NokNok的针对MAC系统的恶意软件感染链。PowerShell后门GorjolEcho和恶意软件NokNok的攻击链图如下图所示。

NokNok 的感染链

来源：

https://www.proofpoint.com/us/blog/threat-insight/welcome-new-york-exploring-ta453s-foray-lnks-and-mac-malware

Storm-0978组织借助零日漏洞攻击欧洲和北美地区

近日，微软的研究人员表示，零日漏洞(CVE-2023-36884)正被Storm-0978组织用于针对欧洲和北美地区的政府及国防部门。Storm-0978(又称RomCom、Tropical Scorpius)是一个与俄罗斯有关的APT组织，主要参与间谍和网络犯罪活动，该组织因使用RomCom远程访问木马(RAT)而得名。而CVE-2023-36884漏洞主要影响Microsoft Windows和Office产品，于2023年7月11日首次披露。攻击者可以通过创建特制的Microsoft Office文档，从而在目标计算机上远程执行代码。在本次攻击活动中，攻击者使用包含CVE-2023-36884漏洞的Microsoft Word文档伪装成与乌克兰世界大会有关的信息以诱导受害者打开。此外，值得注意的是，美国网络安全和基础设施安全局(CISA)称Hawker和RomCom之间似乎还存在密切联系。不过，目前尚不清楚这两个组织是否归属于同一个组织。

来源：

https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/

Group123组织近期攻击活动分析

近日，奇安信的研究人员发布了APT组织Group123的近期攻击活动分析。Group123(也称ScarCruft)，在2016年6月由卡巴斯基最先进行披露，被认为是来自朝鲜的攻击组织，最早活跃于2012年。在本次攻击活动中，Group123组织积极扩展新的攻击方式，使用伪装成合法文档的LNK文件进行攻击，需要指出的是由于LNK文件中包含了释放并执行后续载荷的代码，故这些LNK文件的体积相对比较大。当受害者双击恶意LNK文件后，便会触发PowerShell的执行。PowerShell从LNK文件中提取数据，并将其放入%temp%目录下，然后打开它，这个文件通常是一个诱饵。PowerShell的另半部分是在%temp%目录下释放以日期命名的BAT脚本并执行。该脚本功则是从OneDrive下载后续载荷RokRAT。RokRAT远控木马通常作为加密后的二进制文件进行分发，其能够捕获屏幕截图、键盘记录、反虚拟机检测，并利用云存储服务的API作为其命令和控制(C&C)基础设施的一部分。此外，RokRAT还能利用云存储平台进行通信和数据交换，使得攻击者能够远程控制受感染系统并执行恶意操作。其攻击链图如下图所示。

来源：

https://mp.weixin.qq.com/s/uYV4x-46dkKpX76uzqyTmg

RomCom针对北约峰会与会者发起网络钓鱼攻击

近期，黑莓威胁情报团队监测到两份以北约峰会为主题的恶意文件。文件由匈牙利IP地址提交，作为诱饵被发送到支持乌克兰的组织及北约峰会嘉宾。攻击者利用近日乌克兰将要参加北约分会的事件伪造了一份由乌克兰世界大会组织发出的文件，一旦受害者打开文件，文件中的恶意代码就会对外发起连接。此外，研究人员还发现来自同一攻击者的另一个恶意文件，文件内容为支持乌克兰的游说言论。两个文件均为RTF文档。攻击者还模仿乌克兰世界大会官网制作了一个相同的钓鱼网站。当受害者打开恶意文件后，RTF文件会加载OLE对象，从而连接到代理服务相关的IP地址。随后一个Word形式的文件将会被执行，该文件的目标是将OLE流加载到Microsoft Word中，从而渲染iframe框架，为后续阶段做准备。攻击者还利用了漏洞CVE-2022-30190进行远程代码执行攻击。经过代码执行，受害主机将会感染一个类似于RomCom木马的程序，程序会进行收集系统信息、获取持久性等操作。攻击活动中网络基础设施之间的关系图如下图所示。

来源：

https://blogs.blackberry.com/en/2023/07/romcom-targets-ukraine-nato-membership-talks-at-nato-summit

披露Donot的样本

近日，研究人员披露了Donot组织的恶意样本，IOC信息如下所示。

Filename：Request (LsOR) for Amendment and Details.xls、Rtcmdkkeryt.mp3、ixfgtray.exe

MD5：b89c7cf038626b0867f1d9339413d8e2、10ed410eb0c4a8edf4a2e7b75e043d7a

C2: kababonline.shop

来源：

https://twitter.com/stopmalvertisin/status/1678693049344618496

加密货币平台Multichain遭受网络攻击

Multichain是一家成立于2020年的跨链服务提供商，允许加密货币用户在不同的区块链之间转移资金。该公司最初表示该平台的一些资产被异常转移至未知地址，于几个小时后表示所有服务都已经停止，并指出任何正在进行的桥接交易都将滞留在源链上。该公司最终确认遭受黑客入侵，并表示将向所有用户进行退款赔偿。研究人员表示，此次网络攻击事件导致Multichain损失约1.26亿美元。

来源：

https://therecord.media/millions-stolen-from-multichain-crypto?&web_view=true

德意志银行称供应商遭到攻击导致其客户的信息泄露

近日，据媒体报道，德意志银行(Deutsche Bank AG)称其一家服务提供商遭到攻击，导致其客户数据可能泄露。该银行表示，受影响的客户数量尚未确定，他们正在调查数据泄露的原因，并采取有针对性的措施。据悉，被入侵的服务提供商名为Majorel，负责在德国运营该银行的帐户切换服务，遭到了利用MOVEit Transfer漏洞的网络攻击。该事件还影响了其它大型银行和金融服务提供商，包括德国商业银行、邮政银行、Comdirect和ING。

来源：

https://www.bleepingcomputer.com/news/security/deutsche-bank-confirms-provider-breach-exposed-customer-data/

美国HCA Healthcare发生数据泄露影响约1100万患者

近日，据媒体报道，美国最大的医疗机构运营商之一HCA Healthcare发生数据泄露，影响约1100万患者。7月5日，一名黑客开始在黑客论坛上出售据称属于HCA Healthcare的数据。还发布了被盗数据库的样本，并声称包含17个文件和2770万条记录。攻击者表示称，这些数据包括2021年至2023年间创建的患者记录。这次泄露事件似乎是第三方遭到攻击导致的，HCA透露，数据是从一个用于自动格式化电子邮件的软件系统的外部存储位置泄露的。

来源：

https://www.infosecurity-magazine.com/news/patients-healthcare-data-breach/

针对中文用户及中国网吧的浏览器劫持程序RedDriver

近日，Talos监测到RedDriver的多个版本，RedDriver是一种基于驱动程序的浏览器劫持程序，至少从2021年起开始活跃，并使用WFP来拦截浏览器流量。RedDriver感染链始于一个用UPX打包的可执行文件，文件名称伪装成《地下城与勇士》游戏相似名称，文件有两个DLL库，其中一个可以实现进程注入，从而与C2服务器建立加密通信，同时开启监听端口以接收来自RedDriver的重定向浏览器流量。RedDriver利用窃取的证书来伪造签名时间戳，从而有效地绕过Windows中的强制驱动程序签名策略。此外，RedDriver针对国内流行的中文浏览器、Google Chrome以及Microsoft Edge，通过WFP重定向来劫持浏览器的流量，并将目标IP地址替换为127.0.0.1，从而将其重定向到已经打开的监听端口。此外，研究人员还发现了RedDriver的早期版本针对多家网吧中使用的软件，包括网吧管理软件、显卡驱动和浏览器。根据研究人员分析，RedDriver的作者疑似为对中文十分熟悉的人。RedDriver感染链也利用了多个国内论坛帖子、国内常用开源工具。

来源：

https://blog.talosintelligence.com/undocumented-reddriver/

TOITOIN银行木马入侵拉丁美洲企业网络

Zscaler近日发布报告称，自2023年5月以来，一种名为TOITOIN的基于Windows的银行木马被用于针对拉丁美洲地区的企业网络。报告显示，攻击者实施了多阶段感染链，并且在每个阶段都利用了特制的模块。活动感染链始于一封包含嵌入式链接的网络钓鱼电子邮件，链接指向了Amazon EC2实例上托管的ZIP文档，用于逃避基于域的检测。邮件则以发票为主题诱导目标用户点击执行，ZIP文档中则包含了一个下载程序，其旨在通过Windows启动文件夹中的LNK文件设置持久性，以及与远程服务器建立通信来检索下一阶段的6个伪装为MP3格式的加密载荷。此外，该下载程序还负责生成批处理脚本，该脚本会在10秒超时后重新启动系统以逃避沙箱检测。其中，获取的有效负载中包括“icepdfeditor.exe”，其执行时会侧加载代号为“Krita Loader”的流氓DLL文件(ffmpeg.dll)，然后加载InjectorDLL模块。其它的定制开发的模块还涉及：1)InjectorDLL模块，可将ElevateInjectorDLL注入远程进程explorer.exe；2)ElevateInjectorDLL模块，规避沙箱检测、傀儡化进程，并根据进程权限注入TOITOIN木马或BypassUAC模块；3)BypassUAC模块，利用COM Elevation Moniker绕过用户帐户控制并以管理员权限执行Krita Loader。

来源：

https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region

日本名古屋港因勒索软件攻击而暂停货运业务

名古屋港是日本最大、最繁忙的港口之一，位于日本中部，占日本贸易总额的10%，处理丰田汽车的进出口以及食品和家用电器等货物。该港口在遭受勒索攻击后暂停运营。名古屋港行政当局发布了关于名古屋港统一码头系统（NUTS）故障的通知，该系统是控制该港所有集装箱的中央系统。通知表明，该故障是由当地时间2023年7月4日上午6时30分左右发生的勒索软件攻击所造成的。据报道，港务局收到了一份用其办公室打印机打印的赎金要求。LockBit 3.0 勒索软件团伙似乎应对此次攻击负责。

来源：

https://www.securityweek.com/japans-nagoya-port-suspends-cargo-operations-following-ransomware-attack/