揭秘亲巴勒斯坦的网络攻击组织Handala的攻击活动——每周威胁情报动态第192期（09.06-09.12）

揭秘亲巴勒斯坦的网络攻击组织Handala的攻击活动

近日，网络安全厂商Splunk与Cisco Talos携手发布了一份全面的分析报告，深入探讨了Handala Hacking Team利用系统更新漏洞发动的破坏性网络攻击。这次攻击在2024年7月19日CrowdStrike发布Windows传感器配置更新后不久发生，导致全球数百万计算机出现蓝屏死机（BSOD），攻击者随即利用这一机会部署了旨在造成重大损害的wiper负载。

Splunk与Cisco Talos的联合研究团队对此次攻击事件进行了全面分析，揭示了攻击者如何精心设计钓鱼邮件，诱使受害者下载并执行伪装成系统修复工具的恶意PDF附件。攻击链分析涵盖了从初始访问到恶意软件执行的各个阶段，包括利用Nullsoft Scriptable Install System (NSIS)安装程序执行混淆的命令和有效负载，以及收集目标系统的网络和系统信息并发送至Telegram机器人服务器。报告中还详细描述了攻击者如何通过伪装成更新程序的消息框误导用户，执行覆盖系统文件的破坏性代码，导致数据不可恢复。此外，Splunk的安全研究团队提供了一系列的检测策略，使组织能够识别并防御Handala Wiper恶意软件，包括监测可疑的进程文件路径、执行AutoIt脚本、以及对网络信息的收集行为等。

攻击组织归因方面，Handala Hacking Team是一个支持巴勒斯坦的黑客行动组织，自2023年12月以来一直活跃在网络威胁领域。该组织以1969年由政治漫画家Naji al-Ali创造的角色Handala命名，该角色后来成为巴勒斯坦人民身份和抵抗的象征。Handala Hacking Team主要针对以色列组织，包括那些支持或在以色列境内开展业务的组织。该组织以使用复杂的战术和技术而闻名，包括数据盗窃、网络钓鱼、敲诈、网站破坏和利用定制的wiper恶意软件发动破坏性攻击。尽管Handala Hacking Team在2024年7月21日声称对攻击负责，但研究人员观察到此次攻击活动与该团队先前的活动有所重叠。该团队使用Telegram频道作为指挥控制（C2）服务器，并使用AutoIT将wiper有效负载注入新的Windows进程中。此外，Cisco Talos评估认为，至少有一名团队成员精通希伯来语，这从他们攻击中使用的精心制作的电子邮件和短信中可见一斑。

图1Handala Hacking Team攻击链

参考链接：

https://www.splunk.com/en_us/blog/security/handalas-wiper-threat-analysis-and-detections.html

网络安全厂商AhnLab近期揭露了一起针对韩国用户的复杂网络攻击活动，攻击者为Kimsuky APT组织。该组织在其GitHub存储库中上传了多个恶意脚本和用作诱饵的正常文件，以此作为攻击的一部分。这些恶意脚本被精心设计，通过伪装成关于俄罗斯和朝鲜伙伴关系的学术论文和审阅表格，诱使目标用户下载并执行，从而实现对用户信息的窃取。攻击过程中，Kimsuky组织展示了其高超的技巧，通过修改文件属性和权限来增强隐蔽性，并将恶意脚本注册到系统的Runkey中以保持持久性。此外，攻击者还利用GitHub存储库来快速更新和部署其恶意工具，这使得攻击活动更加难以追踪和防御。

AhnLab的研究人员通过对攻击者的GitHub存储库进行监控，详细分析了攻击过程，并提供了全面的技术分析。研究人员发现，攻击者使用了多个恶意脚本，包括EXE文件、TXT文件和BAT文件，这些脚本协同工作，以实现信息窃取和攻击者对受感染系统的持续控制。AhnLab强烈建议用户和组织提高对此类攻击的警觉性，并采取必要的安全措施，包括但不限于定期更新安全软件、避免从不可信来源下载文件、以及对员工进行安全意识培训。

图2Kimsuky组织攻击操作过程

参考链接：

https://asec.ahnlab.com/ko/83026/

Earth Preta组织采用新型恶意软件和策略加强攻击

趋势科技最新研究报告指出，网络攻击组织Earth Preta在针对亚太地区政府实体的攻击中展现了其攻击手段的显著进化。该组织不仅引入了新的恶意软件变种，还采用了更为复杂的策略，以提高其攻击效率和隐蔽性。

在近期的攻击活动中，Earth Preta利用HIUPAN恶意软件的新变种，通过可移动存储设备传播PUBLOAD，后者作为主要的控制工具，用于执行包括系统信息收集、数据泄露等在内的多种网络攻击任务。此外，该组织还引入了FDMTP和PTSOCKET等新工具，以增强其对受感染系统的控制和数据泄露能力。

攻击过程中，Earth Preta还展示了其快速反应和适应能力，通过精心设计的网络钓鱼邮件，迅速部署多阶段下载器，如DOWNBAIT和PULLBAIT，进而加载CBROVER后门和PLUGX远程访问木马。这些恶意软件组件的部署，使得攻击者能够在受害者的网络中建立持久的访问权限，并进行有效的数据收集和泄露。

趋势科技的研究人员还观察到，Earth Preta的攻击活动具有高度的目标性和时间敏感性，通常涉及对特定国家和行业的快速部署和数据泄露。该组织利用WebDAV服务器快速周转网络钓鱼文档和恶意软件样本，表明其针对特定受害者的行动在一天之内就能完成。

图3Earth Preta组织攻击链

参考链接：

https://www.trendmicro.com/en_us/research/24/i/earth-preta-new-malware-and-strategies.html

DragonRank组织使用非法SEO活动瞄准亚洲和欧洲的IIS服务器

近日，Cisco Talos揭露了一个名为“DragonRank”的使用非法SEO活动，该活动主要针对亚洲和部分欧洲国家，通过操纵搜索引擎优化（SEO）排名来进行网络攻击。这一活动已经波及到了泰国、印度、韩国、比利时、荷兰和中国等多个国家。DragonRank通过利用目标网站的web应用服务漏洞，部署web shell，并利用它收集系统信息，发动PlugX和BadIIS等恶意软件攻击，并运行各种凭据收集工具。这些攻击导致至少35台互联网信息服务（IIS）服务器被入侵，目的是部署BadIIS恶意软件，该软件最初由ESET在2021年8月记录。BadIIS恶意软件专门设计用于促进代理软件和SEO欺诈，通过将被入侵的IIS服务器转变为其客户（即其他威胁行为者）和受害者之间恶意通信的中继点。此外，它还可以修改提供给搜索引擎的内容，操纵搜索引擎算法，提升攻击者感兴趣的其他网站排名。

安全研究人员Joey Chen指出，DragonRank的攻击链开始于利用已知的web应用安全漏洞，如phpMyAdmin和WordPress，部署开源ASPXspy web shell，然后作为引入目标环境中补充工具的通道。DragonRank的主要目标是入侵托管企业网站的IIS服务器，滥用它们植入BadIIS恶意软件，并将它们有效地转变为诈骗操作的分发平台，利用与色情和性相关的关键词。另一个重要的方面是，恶意软件能够在其用户代理字符串中伪装成谷歌搜索引擎爬虫，当它将连接中继到命令与控制（C2）服务器时，从而允许它绕过一些网站安全措施。

Cisco Talos发现，威胁行为者在Telegram上以“tttseo”为用户名保持存在，并使用QQ即时通讯应用促进与付费客户的非法商务交易。这些对手还提供看似高质量的客户服务，根据客户需求量身定制推广计划。

参考链接：

https://blog.talosintelligence.com/dragon-rank-seo-poisoning/

拉丁美洲银行遭遇新型网络钓鱼攻击

拉丁美洲的金融机构正面临一场前所未有的网络安全挑战。根据趋势科技的最新报告，网络犯罪分子正在利用Mekotio、BBTok和Grandoreiro等臭名昭著的银行木马，通过精心设计的网络钓鱼攻击，窃取敏感的银行凭证。

这些攻击通常采用两种诱饵：商业交易骗局和司法相关的网络钓鱼骗局。商业交易骗局通过伪装成官方商业通信的电子邮件，诱使受害者点击恶意链接或下载有害附件，如PDF或ZIP文件。而司法相关的网络钓鱼骗局则利用受害者对法律后果的恐惧，通过伪造的交通违规邮件，诱使受害者点击链接，从而在他们的系统上下载恶意软件。

Mekotio，最初在2018年被发现，主要针对巴西和西班牙语国家，如墨西哥、智利和阿根廷。然而，最新的变种显示出其攻击范围正在扩大，包括南欧部分地区。Mekotio的最新变种使用复杂的PowerShell脚本来逃避检测，通过下载的ZIP文件中的混淆批处理文件触发，进一步收集受感染系统的信息。另一方面，BBTok自2020年首次被检测到以来，一直专注于拉丁美洲的金融部门，并采用先进的技术进行凭证盗窃和数据外泄。BBTok的最新活动显示，它开始滥用合法的Windows实用程序命令来逃避检测，使用MSBuild.exe等合法工具加载其恶意负载。

这些银行木马的复苏和演变凸显了拉丁美洲网络钓鱼攻击的日益复杂性。随着这些攻击手段的不断进化，对强大的网络安全防御的需求变得尤为迫切。

参考链接：

https://securityonline.info/cybercriminals-target-latam-banks-mekotio-bbtok-lead-the-charge/

美国Slim CD公司遭遇数据泄露，影响近170万人

美国佛罗里达州的支付处理公司Slim CD近日宣布，该公司在6月中旬遭遇了一起数据泄露事件，可能影响了近170万人的信用卡信息。泄露的数据可能包括姓名、地址、信用卡号码和卡片有效期。尽管目前没有证据表明这些信息被用于身份盗窃或欺诈行为，但公司已向监管机构提交了通知信，并采取了一系列措施以防止类似事件再次发生。Slim CD的Gateway产品允许美国和加拿大的商家通过单一软件连接到Visa或Mastercard等更广泛的处理网络，接受各种电子支付方式。此次数据泄露事件影响了1,693,000人，但公司并未按地区细分这一数字。

Slim CD公司在发现可疑活动后，立即通知了执法部门，聘请了第三方安全专家进行调查，并审查了其政策，以帮助阻止未来类似事件的发生。调查发现，入侵者最早在2023年8月就已访问公司系统，但实际数据泄露发生在2024年6月14日，持续了大约一天。

支付处理一直是网络犯罪分子的目标，最近印度的全国性系统、一家“先买后付”平台和一家处理预付卡和数字银行服务的公司都受到了影响。被盗的支付卡详细信息经常在暗网上批量出售，导致全球卡发行商损失数十亿美元。

参考链接：

https://therecord.media/payment-processing-company-data-breach-slim-cd

美国Avis租车公司遭遇网络攻击，近30万客户数据泄露

知名的汽车租赁公司Avis在2024年8月遭受了一起网络攻击，导致近300,000名客户的敏感信息被泄露。此次数据泄露事件涉及多个美国州的客户，包括加利福尼亚、缅因、德克萨斯、马萨诸塞、佛蒙特等。Avis在8月5日发现了这一攻击行为，并立即采取措施终止了未经授权的访问，同时启动了内部调查，并得到了网络安全专家的协助。调查发现，黑客从8月3日至8月6日期间访问了Avis的系统。到了8月14日，公司确定黑客访问了包括姓名在内的个人客户信息。受影响的客户数据包括但不限于姓名、邮寄地址、电子邮件地址、出生日期、电话号码、驾驶执照信息和信用卡号码。作为对此次事件的响应，Avis向受害者提供了一年的信用监控服务。

Avis在声明中表示，公司已经与网络安全专家合作，制定了加强受影响业务应用程序安全保护的计划，并部署实施了额外的安全措施。此外，公司正在积极审查其安全监控和控制措施，以加强和巩固这些措施。此次事件引起了租车客户的广泛关注，尤其是在汽车公司数据收集做法急剧扩张的背景下。目前，许多人习惯于将智能手机与汽车（包括租赁汽车）同步，这可能会将大量敏感信息暴露给随后被交还给像Avis这样的机构的车辆。

参考链接：

https://therecord.media/avis-car-renter-cyberattack-data-breach

新型SpyAgent恶意软件利用OCR技术攻击加密钱包

网络安全专家最近发现了一种新的恶意软件威胁，该威胁诱使用户下载恶意应用程序。这种高级恶意软件名为SpyAgent，源自朝鲜，它通过利用用户的助记词密钥攻击加密货币钱包。McAfee研究员SangRyo在追踪恶意应用程序窃取数据和访问服务器的过程中发现了这种恶意软件。SpyAgent恶意软件针对的是加密货币爱好者。它的独特之处在于能够使用OCR（光学字符识别）技术扫描图像，从而窃取存储在受感染设备图像中的助记词密钥。黑客利用这些密钥未经授权地访问数字资产。这些密钥是用于恢复加密货币钱包的十二个词短语。与一长串随机字符相比，助记词短语更易于记忆，因此在加密货币钱包安全中越来越受到欢迎。SpyAgent伪装成合法应用程序，如银行、流媒体、政府服务或实用软件。McAfee已经发现了超过280个假应用程序。当受害者下载包含SpyAgent的恶意应用程序时，恶意软件会建立一个命令和控制（C2）服务器，允许攻击者发起远程命令。随后，攻击者从受感染的设备中提取联系人列表、短信和存储的图像。

分析报告指出：“由于服务器配置错误，不仅其内部组件无意中暴露，而且受害者的敏感个人数据也变得公开可访问。在‘uploads’目录中，发现了各个文件夹，每个文件夹都包含从受害者那里收集的照片，突显了数据泄露的严重性。”SpyAgent在韩国被发现运作，但其影响范围已经扩大到其他国家。恶意软件能够伪装成合法应用程序，这使其变得危险。SpyAgent最近已经扩展到英国。它还从简单的HTTP请求转变为WebSocket连接，允许与C2服务器进行实时双向通信。它通过功能保持和字符串编码等技术逃避安全研究人员的追踪。

参考链接：

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/new-android-spyagent-campaign-steals-crypto-credentials-via-image-recognition/

SuperShell恶意软件瞄准Linux SSH服务器展开攻击

网络安全厂商AhnLab近期确认了一起针对管理不善的Linux SSH服务器的攻击案例，攻击者安装了名为SuperShell的后门恶意软件。该恶意软件由使用中文的开发者用Go语言编写，能够支持包括Windows、Linux和Android在内的多个平台。其核心功能是提供反向Shell，使攻击者能够远程控制受感染的系统。

SuperShell恶意软件通过伪装成合法应用程序，如银行、流媒体、政府服务或实用程序软件，诱导用户下载并安装。一旦安装，恶意软件便构建了一个命令和控制（C2）服务器，允许攻击者发起远程命令。攻击者能够从被感染的设备中提取联系人列表、短信和存储的图像，进一步加剧了数据泄露的严重性。

此次攻击的范围已经从韩国扩展到包括英国在内的其他国家。SuperShell恶意软件不仅能够通过Web服务器下载，还可以通过FTP服务器进行下载。攻击者在成功控制系统后，会执行一系列命令来安装SuperShell或下载者脚本，这些脚本负责下载并执行其他恶意软件。

参考链接：

https://asec.ahnlab.com/ko/83121/

两个勒索软件组织可能合作部署ScRansom勒索软件

近期，一个名为CosmicBeetle的勒索软件组织推出了一种名为ScRansom的新型勒索软件，专门针对欧洲、亚洲、非洲和南美的中小型企业（SMBs）。此勒索软件的出现标志着CosmicBeetle已经用ScRansom取代了之前使用的Scarab勒索软件，并且可能正在作为RansomHub的附属机构进行运作。

ScRansom勒索软件以其持续改进的特性而闻名，尽管其复杂性并非最高水平，但CosmicBeetle已经证明了其能够侵入具有战略意义的目标。此次攻击的目标涵盖了制造业、制药、法律、教育、医疗保健、科技、酒店、休闲、金融服务以及地区政府部门等多个领域。CosmicBeetle之前因其名为Spacecolon的恶意工具集而臭名昭著，该工具集曾被用于全球范围内的Scarab勒索软件的传播。此外，CosmicBeetle还曾尝试使用泄露的LockBit构建器，并试图通过模仿LockBit勒索软件团伙的品牌来提升自己的知名度。目前尚不清楚CosmicBeetle的真实身份和所在地，尽管早期的假设认为他们可能来自土耳其，因为其使用了另一种名为ScHackTool的工具中的自定义加密方案。然而，ESET研究人员现在怀疑这一归因可能不再成立。

攻击链观察到他们利用暴力破解攻击和已知安全漏洞（如CVE-2017-0144、CVE-2020-1472、CVE-2021-42278、CVE-2021-42287、CVE-2022-42475和CVE-2023-27532）来渗透目标环境。入侵进一步涉及使用各种工具，如Reaper、Darkside和RealBlindingEDR，以终止与安全相关的进程并规避检测，然后部署基于Delphi的ScRansom勒索软件。ScRansom支持部分加密以加快进程，并具有“ERASE”模式，通过用恒定值覆盖文件使其无法恢复。

与RansomHub的联系源于斯洛伐克网络安全公司发现在一周内在同一台机器上部署了ScRansom和RansomHub的有效载荷。CosmicBeetle可能试图利用LockBit的声誉来掩盖其勒索软件的潜在问题，并增加受害者支付赎金的可能性。

参考链接：

https://thehackernews.com/2024/09/cosmicbeetle-deploys-custom-scransom.html

Fog勒索软件组织转移新攻击目标到金融行业

Fog勒索软件团伙，曾以攻击教育和娱乐行业而臭名昭著，现已将其注意力转向一个更具价值的目标：金融服务行业。2024年8月，网络安全公司Adlumin对一家中型金融公司的攻击事件做出了响应，成功地在重大损害发生之前减轻了影响。攻击活动始于2024年8月初，当时网络犯罪分子利用泄露的VPN凭证非法访问了金融公司的网络。Fog勒索软件，作为臭名昭著的STOP/DJVU家族的一个变种，被用来加密运行Windows和Linux系统的敏感数据。然而，得益于Adlumin的创新检测技术，攻击很快被识别并停止。在几分钟内，Adlumin的系统隔离了受感染的机器，锁定了攻击者，阻止了大规模加密或数据泄露。

Fog勒索软件自2021年首次被发现以来，以其利用泄露的VPN凭证渗透网络的能力而闻名。一旦进入内部，它利用漏洞并采用复杂的技术，如哈希传递攻击，获得管理员控制权。这使得勒索软件能够禁用安全机制，加密关键文件（包括虚拟机磁盘），并销毁备份数据，使受害者除了支付赎金外别无选择。被Fog加密的文件通常标记有“.FOG”或“.FLOCKED”等扩展名，并附有勒索信。受害者被引导到Tor网络上的一个谈判平台，攻击者在那里要求支付赎金以换取解密密钥。在攻击期间，Fog勒索软件团伙使用了各种复杂的技术在网络上横向移动并收集凭证。攻击者通过扫描具有提升权限的主机来启动网络发现，使用Advanced Port Scanner和SharpShares等工具映射网络驱动器和共享文件夹，从而允许他们在网络上进一步传播。凭证收集是攻击的另一个关键方面。攻击者使用esentutl.exe（微软命令行实用程序）备份来自端点的登录数据，包括存储在Google Chrome中的加密凭证。然后，他们使用Rclone（命令行工具）同步和传输被泄露的数据，有选择地针对过去两年内修改过的文件。勒索软件的加密阶段是使用名为locker.exe的工具执行的，该工具锁定了共享驱动器上的关键文件。加密后，在所有受影响的机器上留下了勒索信，指示受害者如何进行支付谈判。

虽然攻击源自与俄罗斯有关联的IP地址，但专家们提醒说，这并不一定表明攻击者的真实位置。Fog勒索软件操作者可能使用跳板服务器或其他技术来掩盖他们的地理位置，使得归因变得困难。尽管如此，使用复杂的战术和针对高价值行业的攻击指向了一个高度熟练的威胁行为者，这可能是勒索软件领域的新面孔。

参考链接：

https://securityonline.info/fog-ransomware-group-shifts-focus-financial-sector-now-in-crosshairs/