APT组织Andarie针对企业ERP系统展开新的攻击活动——每周威胁情报动态第182期（06.28-07.04）

APT组织Andarie针对企业ERP系统展开新的攻击活动

网络安全厂商（ASEC）近期发现了一系列针对韩国企业（ERP）系统的高级持续性威胁（APT）攻击。攻击者疑似通过渗透ERP系统的更新服务器，进而控制企业内部系统，受影响的包括韩国防务公司和制造业等重要领域。这些攻击活动中，攻击者采用了与2017年Andariel组织相似的策略，将恶意代码注入到ERP系统更新程序中，以实现内部传播。在最新的攻击案例中，攻击者通过在Regsvr32.exe进程中插入执行例程，执行特定路径下的DLL文件，该DLL文件被确认为恶意代码，能够窃取系统信息并执行攻击者的命令。分析发现，此次攻击使用的恶意代码Xctdoor具备丰富的功能，包括屏幕截图、键盘记录、剪贴板日志以及驱动器信息的窃取等。Xctdoor通过HTTP协议与C&C服务器通信，使用Mersenne Twister（mt19937）算法和Base64算法进行数据包加密，增强了隐蔽性。此外，研究人员还监测到攻击者在2024年3月通过攻击Web服务器安装XcLoader的情况。被攻击的Web服务器是基于2013年开发的IIS 8.5版本，由于配置不当或漏洞攻击，导致恶意代码的传播。XcLoader作为注入器恶意代码，能够将Xctdoor注入正常进程中，实现对受感染系统的控制和信息窃取。研究人员指出，这些攻击活动背后的APT组织可能已经掌握了一套成熟的技术手段，能够针对特定的企业系统实施精准打击。

参考链接：

https://asec.ahnlab.com/ko/67034/

Kimsuky组织利用扩展程序发起针对韩国学术界的网络攻击

网络安全研究人员揭露了一起由Kimsuky组织发起的针对韩国学术界的网络攻击活动。这次攻击通过一个名为TRANSLATEXT的恶意Chrome扩展程序进行，该程序伪装成广受欢迎的Google翻译工具，诱使目标用户下载并安装。攻击者首先通过一个包含“한국군사학논집 심사평서(1).zip”文件的压缩包分发恶意软件，该压缩包内含有两个诱饵文件：HWP格式的文档和一个伪装成相关文档的Windows可执行文件。当用户启动该可执行文件时，恶意软件便开始其感染过程，从攻击者的服务器检索并执行PowerShell脚本。进一步的技术分析显示，TRANSLATEXT扩展程序在GitHub上的一个受攻击者控制的账户中被发现。该账户在短时间内上传并迅速删除了相关文件，表明攻击者试图最小化其攻击工具的曝光时间。TRANSLATEXT伪装成合法的Google翻译扩展，但实际上包含了四个恶意JavaScript文件，这些文件专门设计用于绕过安全措施、窃取用户数据，包括电子邮件地址、登录凭证、Cookies，以及捕获浏览器屏幕截图，并将这些敏感信息传输到攻击者的服务器。TRANSLATEXT的恶意行为不仅限于数据窃取，它还请求了广泛的权限，如“scripting”，允许其在用户不知情的情况下向网页注入脚本，修改页面内容或与页面元素交互。此外，根据不同访问的URL，TRANSLATEXT会注入特定的脚本，如针对Naver、Kakao和Gmail登录页面的 auth.js和gsuit.js文件，以及一个注入到所有网页的通用脚本content.js。

参考链接：

https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia

APT-C-56组织利用Linux桌面应用发动新型网络攻击

近期网络安全厂商360研究人员揭露了APT-C-56（透明部落）组织的一次针对性网络攻击。APT-C-56是一个在南亚地区活跃的高级持续性威胁组织，擅长使用社会工程学和多平台攻击能力进行精准打击。此次，该组织将目标瞄准了Linux系统用户，通过精心设计的攻击流程，利用.desktop文件诱导用户下载并执行恶意载荷，进而实现窃密目的。透明部落组织的攻击始于一个伪装成正常应用程序启动器的.desktop文件，该文件在Linux系统中充当快捷方式的角色。攻击者巧妙地在.desktop文件中嵌入了大量无意义的“#”符号，以此增大文件体积，企图绕过安全检测。当用户不慎执行了该.desktop文件，一系列隐蔽的恶意行为随即展开：诱饵PDF文件被下载并打开以迷惑受害者，同时在系统隐藏目录中保存了两个恶意载荷bsdutils-taR和notification-update。这些恶意载荷实际上是由Golang编写的Poseidon组件，属于Mythic框架，具备键盘记录、上传下载、端口扫描、屏幕捕获等高级功能。360高级威胁研究院的分析显示，这些恶意载荷在执行时会收集包括当前IP、进程名、进程PID、主机名、操作系统版本、UUID等敏感信息，并发送至攻击者的C2服务器。此外，攻击者还设置了cron任务，以实现恶意行为的持久化，确保即使系统重启，攻击活动也能继续进行。此次攻击活动与APT-C-56组织以往的攻击模式高度一致，包括使用Poseidon组件、增加xgb库进行通信、以及诱饵PDF显示错误信息以迷惑受害者等手法。研究人员在去年也捕获了使用相同攻击手法的样本，进一步证实了透明部落组织对印度等地区的持续攻击意图。

参考链接：

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247498775&idx=1&sn=36a98dfabbd6f751faa53747b586cbb9&chksm=f9c1cf1eceb64608ff28360d3c62a3d6a5d9b2006f24e28a1588612cb69d4e6acdb758d30de6#rd

国际执法行动“Morpheus”成功摧毁593个Cobalt Strike恶意服务器

近期在一项名为“Morpheus”的国际执法行动中，成功摧毁了593个由犯罪分子使用的Cobalt Strike服务器。Cobalt Strike是一个原本用于红队操作和敌手模拟的平台，近年来被多个网络犯罪团伙和APT组织滥用，包括APT29、FIN7、RYUK、Trickbot和Conti。Cobalt Strike软件的未授权、破解版本在网络上容易获得，被攻击者用于实际攻击中。Morpheus行动由英国国家犯罪署领导，汇集了来自澳大利亚、加拿大、德国、荷兰、波兰和美国的执法机构。这项行动由欧洲刑警组织协调，于2021年开始，经过复杂的调查，最终在2024年6月24日至28日期间实施了破坏行动。在这次行动中，通过与BAE Systems Digital Intelligence、Trellix、Spamhaus、abuse.ch和The Shadowserver Foundation等私营合作伙伴的合作，利用增强的扫描、遥测和分析能力，识别了与犯罪活动相关的690个IP地址和多个域名。行动成功在27个国家关闭了其中的593个IP地址。Fortra公司已经采取了重大措施来防止其软件被滥用，并在整个调查过程中与执法部门合作，以保护其工具的合法使用。然而，在极少数情况下，犯罪分子窃取了Cobalt Strike的旧版本，创建了破解副本以获得对机器的后门访问并部署恶意软件。这些未授权的工具版本已与多个恶意软件和勒索软件调查有关。在这次行动中，执法部门使用了名为“恶意软件信息共享平台”的平台，允许私营部门与执法部门实时共享威胁情报。在整个调查过程中，共分享了730多条威胁情报，包含近120万个妥协指标。2023年4月，微软数字犯罪部门（DCU）宣布与开发和维护该工具的Fortra公司以及健康信息共享和分析中心（Health-ISAC）合作，以遏制网络犯罪分子滥用Cobalt Strike。微软DCU在美国获得了法院命令，以移除Cobalt Strike的破解版本，使网络犯罪分子无法再使用。犯罪分子，包括勒索软件集团和国家行为者，在获得目标网络的初始访问权限后使用Cobalt Strike。该工具用于进行多种恶意活动，包括提升权限、横向移动和部署额外的恶意负载。微软观察到，全球19个国家的医疗机构遭受了68多起涉及使用Cobalt Strike破解副本的勒索软件攻击。这些攻击给被攻击的医院造成了巨大的经济损失，包括恢复和修复成本，以及对关键病人护理服务的中断。微软还观察到，包括来自俄罗斯、越南和伊朗的APT组织在内的国家行为者使用Cobalt Strike的破解副本。微软、Fortra和Health-ISAC在提高生态系统安全性方面不懈努力，并正在与FBI网络部门、国家网络调查联合任务部队（NCIJTF）和欧洲刑警组织的欧洲网络犯罪中心（EC3）合作。2022年11月，Google Cloud研究人员宣布发现了34种不同的Cobalt Strike黑客发布版本，共有275个独特的JAR文件。Google Cloud威胁情报（GCTI）研究人员开发了一套YARA规则，以高度准确性检测野外的黑客变体。研究人员注意到，每个Cobalt Strike版本包含大约10到100个攻击模板二进制文件。

参考链接：

https://securityaffairs.com/165172/cyber-crime/operation-morpheus-aganst-cobalt-strike-abuse.html

印度软件公司Conceptworld产品遭供应链攻击，传播数据窃取恶意软件

网络安全公司Rapid7近期发现一家印度软件公司Conceptworld的三款软件产品Notezilla、RecentX和Copywhiz的安装程序被黑客木马化，用于分发信息窃取恶意软件。这一供应链攻击事件于2024年6月18日被发现，并及时向Conceptworld进行了通报。Conceptworld迅速响应，于通报后的12小时内采取了补救措施。这次攻击中，安装程序被植入了能够执行信息窃取的恶意软件，该软件具备下载和执行额外负载的能力。恶意版本文件比正常版本大，表明了其携带的恶意负载。该恶意软件专门设计用于窃取浏览器凭证和加密货币钱包信息，记录剪贴板内容和按键，以及在感染的Windows主机上下载和执行额外的有效负载。它还通过计划任务设置持久性，每三小时执行一次主负载。目前尚不清楚攻击者是如何破坏Conceptworld的官方域名来部署假冒安装程序的。然而，一旦启动，用户会被提示继续与实际软件相关的安装过程，同时该恶意软件还会投放并执行一个名为"dllCrt32.exe"的二进制文件，该文件负责运行批处理脚本"dllCrt.bat"。除了在机器上建立持久性外，恶意软件还配置执行另一个文件("dllBus32.exe")，该文件连接到命令与控制(C2)服务器，并具备窃取敏感数据以及检索和运行更多负载的功能。这包括从Google Chrome、Mozilla Firefox以及多种加密货币钱包（例如Atomic、Coinomi、Electrum、Exodus和Guarda）中收集凭证和其他信息。它还能收集特定扩展名的文件（如.txt, .doc, .png和.jpg）、记录按键和获取剪贴板内容。研究人员表示，观察到的恶意安装程序未签名，并且文件大小与合法安装程序的副本不一致。建议在2024年6月下载了Notezilla、RecentX或Copywhiz安装程序的用户检查其系统是否受到威胁，并采取适当措施，例如重新镜像受影响的系统，以撤销恶意修改。

参考链接：

https://thehackernews.com/2024/07/indian-software-firms-products-hacked.html

Evolve Bank数据泄露事件影响金融科技公司Wise和Affirm

近期，Evolve Bank & Trust遭受了一起严重的数据泄露事件，该事件影响了包括金融科技公司Wise和Affirm在内的多家合作伙伴及其客户。6月底，LockBit勒索软件团伙声称入侵了美国联邦储备系统的服务器，并窃取了33TB的敏感数据。然而，经过分析确认，泄露的数据实际上属于位于阿肯色州的金融机构Evolve Bank & Trust。Evolve Bank & Trust在其官网上发布通知，确认了这次安全漏洞，并宣布已启动对该事件的调查。该金融机构证实，某些个人信息可能已经泄露。尽管面临勒索，Evolve Bank & Trust拒绝支付赎金，随后该团伙泄露了被盗数据。Evolve Bank & Trust表示他们非常严肃地对待这一事件，并正在努力解决这一情况。该机构已向执法部门报告了此次事件，并确认事件已完全得到控制。6月26日的更新表明，该银行零售客户的借记卡、在线和数字银行凭证似乎没有受到影响。金融科技公司Wise宣布，Evolve Bank的数据泄露影响了其部分客户。尽管Wise不再与Evolve合作，但该银行仍存储着一些Wise的数据。Wise与Evolve共享的数据包括姓名、地址、出生日期、联系方式、美国客户的社会保障号码或税号，或非美国客户的其他身份证明号码。Wise指出，数据泄露并未影响其系统。另一家金融科技公司Affirm，提供线上和线下购物的“先买后付”服务，也证实Evolve Bank的数据泄露影响了其部分客户。Affirm在向SEC提交的FORM 8-K文件中表示，由于公司与Evolve共享Affirm卡用户的信息以便于Affirm卡的发行和服务，因此认为Affirm卡用户的个人信息在Evolve的网络安全事件中遭到了泄露。该公司补充说，其信息系统并未受到损害。

参考链接：

https://securityaffairs.com/165130/cyber-crime/evolve-bank-data-breach-impacted-wise-affirm.html

Prudential Financial数据泄露事件影响逾250万人

Prudential Financial是一家全球金融服务公司，近日披露了一起严重的数据泄露事件，该事件在2月份发生，影响了超过250万的个人。这一事件再次提醒了全球对网络安全的重视和个人数据保护的紧迫性。根据Prudential Financial向美国证券交易委员会提交的8-K表格，该公司在2月5日检测到此次安全事件，攻击者（疑似网络犯罪集团）在前一天入侵了其系统，访问了管理用户数据和员工/承包商账户。3月份，这家财富500强公司在向缅因州总检察长办公室提交的文件中透露，超过3.6万人的个人信息（包括姓名、驾照号码和非驾照身份证号码）在此次事件中被盗。Prudential Financial表示，通过调查，他们了解到未授权的第三方在2024年2月4日获得了他们网络的访问权限，并从他们的系统中移除了一小部分个人信息。作为响应，他们与顶尖的网络安全专家合作，确认未授权的第三方不再能够访问他们的公司系统。然而，上周，该公司更新了向缅因州总检察长办公室共享的2月数据泄露事件的信息，现在表示此次事件影响了2,556,210人。尽管Prudential Financial尚未公开有关2月2024年数据泄露背后的威胁行为者的额外信息，但ALPHV/Blackcat勒索软件团伙声称对2月13日的攻击负责。ALPHV在从Notchy（Change Healthcare违规事件背后的附属公司）那里窃取了2200万美元赎金后，关闭了其运营并进行了退出诈骗。联邦调查局将这个勒索软件团伙与全球60多起违规事件联系起来，并表示ALPHV在2023年9月之前从1000多名受害者那里至少获得了3亿美元。Prudential是美国第二大寿险公司，拥有全球40000名员工，2023年报告的收入超过500亿美元。2023年5月，由于Clop网络犯罪团伙入侵了处理数据的第三方供应商Pension Benefit Information (PBI)的MOVEit Transfer文件共享平台，另外320,000名Prudential客户的个人信息（包括姓名、地址、出生日期、电话号码和社会保障号码）也被暴露。

参考链接：

https://www.bleepingcomputer.com/news/security/prudential-financial-now-says-25-million-impacted-by-data-breach/

揭示AsyncRAT恶意软件通过电子书伪装传播新策略

AhnLab SEcurity intelligence Center（ASEC）最新研究报告揭露了AsyncRAT恶意软件通过伪装成电子书等普通文档文件进行隐蔽传播的新策略。攻击者利用看似无害的文档作为诱饵，实则在其中嵌入了恶意软件，以电子书的形式进行分发，这种手法不仅隐蔽性强，而且对用户的迷惑性极高。在这些伪装的电子书中，攻击者巧妙地隐藏了恶意LNK文件、PowerShell脚本、混淆的PE文件等，通过一系列复杂的技术手段，如改变文件夹属性、执行混淆脚本等，最终激活AsyncRAT恶意软件。AsyncRAT具备强大的反检测能力，包括AntiVM、AntiAV和Persistence Keep等特性，能够绕过安全产品的监控，执行用户信息泄露和接受远程攻击者的指令进行各种恶意行为。ASEC的研究人员指出，这种通过电子书伪装的恶意软件分发方式，不仅在网络钓鱼电子邮件中传播，也可能在数据共享网站上被广泛共享，对个人用户和企业网络安全构成了严重威胁。

参考链接：

https://asec.ahnlab.com/ko/67571/

FakeBat加载器恶意软件通过驱动下载攻击广泛传播

Sekoia网络安全公司最新研究发现，一种名为FakeBat的加载器即服务（LaaS）恶意软件家族，已成为今年通过驱动下载技术广泛传播的主要恶意软件之一。FakeBat恶意软件主要目的是下载并执行下一阶段的有效载荷，如IcedID、Lumma、RedLine、SmokeLoader、SectopRAT和Ursnif等。驱动下载攻击涉及使用搜索引擎优化（SEO）中毒、恶意广告和在被破坏的网站上注入恶意代码等方法，诱使用户下载虚假的软件安装程序或浏览器更新。近年来，恶意软件加载器的使用与通过合法软件网站冒充的登陆页面的增加密切相关，这与网络钓鱼和社会工程学作为威胁行为者获取初始访问权限的主要方式息息相关。FakeBat，也被称为EugenLoader和PaykLoader，自2022年12月以来，由一个名为Eugenfest（aka Payk_34）的俄语威胁行为者在地下论坛上以LaaS订阅模式提供给其他网络犯罪分子。该加载器旨在绕过安全机制，为客户提供使用模板生成构建选项，将合法软件木马化，并通过管理面板监控安装情况。自2023年9月以来观察到的最近版本已从MSI格式切换到MSIX格式，并在安装程序上添加了带有有效证书的数字签名，以绕过Microsoft SmartScreen保护。恶意软件的价格为每周1000美元，每月2500美元提供MSI格式，每周1500美元，每月4000美元提供MSIX格式，以及每周1800美元，每月5000美元提供MSI和签名套餐。Sekoia表示，它检测到通过三种主要方法传播FakeBat的不同活动集群：通过恶意谷歌广告冒充流行软件，通过被破坏的网站进行虚假的网络浏览器更新，以及在社交网络上进行社会工程学计划。这包括可能与FIN7组、Nitrogen和BATLOADER有关的活动。此外，网络安全公司ASEC也详细说明了通过发票主题的网络钓鱼电子邮件分发另一种名为DBatLoader（又名ModiLoader和NatsoLoader）的加载器的恶意软件活动。同时，还发现了通过盗版电影下载网站传播Hijack Loader（又名DOILoader和IDAT Loader）的感染链，最终传递了Lumma信息窃取器。

参考链接：

https://thehackernews.com/2024/07/fakebat-loader-malware-spreads-widely.html

新型RansomEXX木马针对Linux系统发起勒索软件攻击

Kaspersky安全研究团队近期揭露了一种新型勒索软件，该软件名为RansomEXX，专为Linux操作系统设计。这一发现标志着勒索软件威胁已经扩展到了Linux平台，进一步证实了网络犯罪分子不断寻找新的攻击目标。RansomEXX木马是一种高度针对性的恶意软件，其每个样本都包含硬编码的受害者组织名称，加密文件扩展名和联系勒索者的电子邮件地址均使用受害者的名称。这种针对性攻击方式使得RansomEXX能够成功攻击包括德克萨斯州交通部（TxDOT）和Konica Minolta在内的多家公司。从技术分析来看，RansomEXX木马是一个64位ELF可执行文件，使用开源库mbedtls中的函数实现其加密方案。该木马在启动时生成一个256位密钥，利用AES块密码在ECB模式下加密所有可访问的受害者文件，并将AES密钥通过内置的RSA-4096公钥进行加密，附加到每个加密文件上。值得注意的是，尽管木马尝试每0.18秒重新生成和加密AES密钥，实际上密钥每秒才变化一次。与常见的勒索软件不同，RansomEXX没有包含其他威胁行为者通常使用的附加功能，如C&C通信、终止运行进程或反分析技巧等。此外，ELF版本的RansomEXX与之前使用WinAPI的Windows版本在代码组织和mbedtls库使用上显示出明显的相似性，表明两者可能源自同一源代码。Kaspersky安全研究团队还观察到，RansomEXX木马与巴西最近一次政府机构遭受的攻击有高度相似之处，基于勒索信的文本内容和媒体报道，推测该攻击可能也是RansomEXX的一个变种。

参考链接：

https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/

新型Brain Cipher勒索软件攻击印尼国家数据中心

一种名为Brain Cipher的新型勒索软件行动近日浮出水面，该行动专门针对全球范围内的组织机构。最引人注目的是，该勒索软件对印尼国家数据中心发起了攻击，引起了媒体的广泛关注。印尼正在建立国家数据中心，目的是安全地存储政府用于在线服务和数据托管的服务器。6月20日，其中一个临时数据中心遭到了攻击，导致政府服务器被加密。此次破坏影响了移民服务、护照控制、活动许可发放以及其他在线服务。印尼政府确认，Brain Cipher是此次攻击的罪魁祸首，影响了200多个政府机构。攻击者要求以门罗币的形式支付800万美元作为解密器的费用，并威胁说如果不支付，将泄露据称被盗的数据。据BleepingComputer从谈判聊天记录中了解到，威胁行为者声称他们将发布一份“关于个人数据保护水平的新闻发布会”，暗示在攻击过程中窃取了数据。Brain Cipher是一个从本月初开始的新型勒索软件行动，一直在对全球组织进行攻击。最初，该勒索软件团伙没有数据泄露网站，但他们最新的勒索信现在包括了一个链接，表明他们使用了双重勒索策略。在过去两周内，BleepingComputer在各种恶意软件分享网站上发现了大量Brain Cipher勒索软件样本。这些样本使用了泄露的LockBit 3.0构建器创建，该构建器已被其他威胁行为者广泛用于启动自己的勒索软件行动。然而，Brain Cipher对加密器进行了轻微的修改，包括不仅给加密文件附加扩展名，还加密了文件名。加密器还创建了格式为[扩展名].README.txt的勒索信，简要描述了攻击、发出威胁，并提供了Tor谈判和数据泄露网站的链接。在BleepingComputer看到的一个实例中，勒索信偏离了模板，被命名为“How To Restore Your Files.txt”。每个受害者都会收到一个独特的加密ID，用于进入威胁行为者的Tor谈判网站。与最近的其他勒索软件行动类似，谈判网站非常直接，具有与勒索软件团伙沟通的聊天系统。Brain Cipher还启动了一个新的数据泄露网站，尽管目前还没有列出任何受害者。在BleepingComputer观察到的谈判中，勒索软件团伙要求的赎金从2万美元到800万美元不等。基于泄露的LockBit 3加密器的加密器已经经过了深入分析。除非Brain Cipher修改了加密算法，否则目前没有已知的方法可以免费恢复文件。

参考链接：

https://www.cysecurity.news/2024/07/brain-cipher-ransomware-targets.html