黑客组织TeamTNT发起针对云原生环境的大规模攻击活动——每周威胁情报动态第198期（10.25-10.31）

黑客组织TeamTNT发起针对云原生环境的大规模攻击活动

网络安全厂商Aqua Security的研究团队最近识别出知名黑客组织TeamTNT正在策划并执行一场新的攻击活动，名为“Docker Gatling Gun”。此次活动标志着TeamTNT组织对云原生环境的大规模攻击准备，特别是针对暴露的Docker守护进程，以部署Sliver恶意软件和加密货币矿机。TeamTNT组织以其过去对云基础设施的攻击而闻名，此次行动进一步证明了他们不断进化的战术和技术。

TeamTNT组织此次行动的核心目标是利用云环境中的原生能力，通过将受感染的Docker实例添加到Docker Swarm中，并使用Docker Hub作为存储和分发恶意软件的平台。这种策略不仅使他们能够控制受感染的服务器来部署加密货币矿机，而且还通过向第三方出租受害服务器的计算能力来间接获利，从而避免了自己管理挖矿操作的复杂性和资源消耗。此外，TeamTNT组织在此次行动中引入了新的黑客工具Sliver恶意软件，以取代之前使用的Tsunami后门程序，这表明他们正在不断更新其武器库以保持领先于防御措施。

TeamTNT的攻击策略涉及以下几个关键步骤：

1.初始访问： 

TeamTNT通过利用未受保护的Docker守护进程端口（2375、2376、4243和4244）获得初始访问权限。他们使用名为“Docker Gatling Gun”的攻击脚本来扫描这些端口，并从TeamTNT的Docker Hub账户部署恶意容器。这种策略允许他们迅速在广泛的IP地址范围内（约1670万）传播恶意软件。

2.执行与持久性：

一旦获得访问权限，TeamTNT执行名为TDGGinit.sh的初始脚本，下载Docker和Docker Swarm二进制文件，并将Docker实例暴露给Docker Swarm，以在环境中持久存在。

3.防御绕过：

TeamTNT采用Sliver恶意软件，该软件通过动态编译和每二进制文件的非对称加密密钥来绕过传统检测方法。

4.命令与控制（C2）：

Sliver恶意软件支持通过mTLS、WireGuard、HTTP(S)和DNS等多种协议进行C2通信，使得TeamTNT能够执行命令和传递有效载荷。

5.影响：

TeamTNT通过运行加密货币矿机或将受害者的计算能力出租给第三方平台来劫持资源。

图1 攻击示意图

参考链接：

https://www.aquasec.com/blog/threat-alert-teamtnts-docker-gatling-gun-campaign/

APT组织Midnight Blizzard利用RDP文件发动大规模钓鱼攻击

近日，微软威胁情报中心监测到疑似俄罗斯APT组织“午夜暴雪”（Midnight Blizzard）自2024年10月22日起，针对全球范围内的政府机构、学术界、国防部门、非政府组织等关键领域发动了一系列高度定向的网络钓鱼攻击活动。据目前观察，此次攻击活动可能仍在持续。

攻击技术分析：

“午夜暴雪”通过发送数千封网络钓鱼邮件给100多个组织或个人，邮件中包含了一个签名的远程桌面协议（RDP）配置文件，该文件连接到攻击者控制的服务器。攻击者甚至冒充微软员工，以增加其恶意信息的可信度。此外，该组织还引用了其他云服务提供商，以扩大其钓鱼攻击的范围。

在此次攻击中，恶意的.RDP附件包含了几个敏感设置，这些设置会导致重大信息泄露。一旦目标系统被入侵，它就会连接到攻击者控制的服务器，并且双向映射目标用户本地设备资源到服务器。发送到服务器的资源可能包括但不限于所有逻辑硬盘、剪贴板内容、打印机、连接的外围设备、音频以及Windows操作系统的认证特性和设施，包括智能卡。这种访问权限可能使威胁行为者能够在目标的本地驱动器和映射的网络共享上安装恶意软件，特别是在AutoStart文件夹中，或安装额外的工具如远程访问木马（RATs）以在RDP会话关闭时保持访问权限。建立到攻击者控制的系统的RDP连接的过程也可能暴露出登录到目标系统的用户的凭证。

攻击过程细节：

1.目标选择：研究人员观察到此次攻击主要针对政府机构、高等教育、国防和非政府组织。

2.电子邮件基础设施：“午夜暴雪”使用在之前入侵中收集的合法组织的电子邮件地址发送钓鱼邮件。

3.恶意RDP文件：邮件中包含的恶意.RDP文件使用LetsEncrypt证书签名，这些文件总结了在成功连接到RDP服务器时建立的自动设置和资源映射。

4.资源映射：一旦建立了RDP连接，攻击者控制的系统就能够发现并使用有关目标系统的信息，包括文件和目录、连接的网络驱动器、连接的外围设备（包括智能卡、打印机和麦克风）、使用Windows Hello、密码钥匙或安全密钥的Web认证、剪贴板数据以及销售点（POS）设备。

5.凭证暴露：建立到攻击者控制的系统的RDP连接的过程也可能暴露出登录到目标系统的用户的凭证。

参考链接：

https://www.microsoft.com/en-us/security/blog/2024/10/29/midnight-blizzard-conducts-large-scale-spear-phishing-campaign-using-rdp-files/

APT组织HeptaX使用未授权RDP连接用于网络间谍攻击活动

网络安全厂商Cyble近日揭露了一个名为HeptaX组织的新网络间谍活动，该活动利用未授权的远程桌面协议（RDP）连接来渗透目标网络。HeptaX组织行动代表了网络间谍活动的最新趋势，攻击者通过利用RDP服务的弱点来获取对目标网络的未授权访问。RDP是一种允许用户远程连接到计算机的协议，但当配置不当或暴露于互联网时，它可能成为网络攻击者的目标。Cyble的研究团队发现，HeptaX组织行动中的攻击者主要针对政府和企业网络，其目的在于收集敏感数据、进行网络间谍活动，甚至可能进一步部署恶意软件以扩大其在网络中的控制。

HeptaX行动的攻击过程可分为以下几个关键步骤：

1.识别RDP服务： 攻击者首先通过互联网扫描开放的RDP端口（默认为TCP 3389）来识别可能的攻击目标。这些服务可能由于配置不当或缺乏适当的安全措施而容易受到攻击。

2.破解凭证： 一旦识别出RDP服务，攻击者会尝试破解凭据以获得访问权限。这可能通过暴力破解、利用已知漏洞或使用被盗的凭证来完成。攻击者可能会使用各种工具和技术，如密码喷洒、社会工程学或利用RDP服务中的漏洞（如CVE-2019-0708）。

3.建立未授权连接： 成功破解凭据后，攻击者可以建立未授权的RDP连接，从而获得对目标网络的远程访问。这种访问使攻击者能够像本地用户一样操作目标计算机，包括访问文件、安装软件、执行命令等。

4.横向移动与数据泄露： 通过这些未授权连接，攻击者能够横向移动到网络内的其他系统，寻找高价值目标，如敏感数据存储或关键基础设施。他们可能会使用网络钓鱼、恶意软件或其他技术来进一步扩大访问权限，并可能部署数据泄露工具来窃取敏感信息。

5.间谍活动与长期控制： HeptaX行动中的攻击者可能会利用其在网络中的立足点进行长期间谍活动，监控网络活动，甚至可能在网络中隐藏后门，以便在未来重新进入。

研究人员还对HeptaX组织行动中的技术细节进行了深入分析，发现攻击者使用了多种复杂的技术来实现其目标：

• 自定义工具与脚本：攻击者开发了自定义工具和脚本来自动化攻击过程，包括扫描RDP服务、破解凭证和横向移动。

• 规避技术：为了绕过安全监控和检测，攻击者使用了各种规避技术，如混淆脚本、使用合法工具进行恶意活动，以及在攻击过程中清除日志。
• C2通信：攻击者建立了复杂的命令与控制（C2）通信渠道，以接收来自攻击者的指令并发送被盗数据。这些通信通常通过加密和使用多个跳板服务器来隐藏其来源。
• 多阶段攻击：HeptaX行动的攻击者通常会进行多阶段攻击，首先通过RDP连接获得初始访问权限，然后逐步升级其在网络中的权限，最终实现其间谍活动的目标。

图2攻击感染过程

参考链接：

https://cyble.com/blog/heptax-unauthorized-rdp-connections-for-cyberespionage-operations/

法国第二大电信运营商Free遭受网络攻击，客户数据泄露

近日法国第二大互联网服务提供商Free遭受了一起严重的网络攻击，攻击者在网络犯罪论坛上尝试出售声称被盗的Free客户信息。此次事件不仅引起了公众的广泛关注，也对Free公司的客户信任造成了冲击。Free公司已向法国公共检察官提起刑事诉讼，并通知了法国网络安全机构，以应对此次数据泄露事件。

据Free公司透露，此次网络攻击的目标是他们公司内部的一个管理工具，攻击者通过非法手段访问了与某些用户账户相关的个人数据。尽管公司尚未披露受影响用户的具体数量和此次攻击的具体时间，但已明确表示，密码和银行卡详细信息未受影响，用户通信内容也未被泄露。Free公司承诺，将通过电子邮件尽快通知受影响的用户，并强调公司已采取所有必要措施以终止此次攻击并加强信息系统的安全防护。

参考链接：

https://therecord.media/france-telecom-free-cyberattack

黑客从暴露的Git配置文件中窃取15,000个云凭证

参考链接：

https://www.bleepingcomputer.com/news/security/hackers-steal-15-000-cloud-credentials-from-exposed-git-config-files/

墨西哥医疗保健行业遭遇大规模数据泄露，影响530万用户

CySecurity News近日报道了一起发生在墨西哥医疗保健行业的大规模数据泄露事件。2024年8月26日，Cybernews的研究人员意外发现了一个未受保护的数据库，该数据库属于一家墨西哥医疗保健公司，导致约530万人的敏感信息被泄露。这些信息包括姓名、CURP身份证号码、电话号码、电子邮件地址以及付款请求的详细信息。此次安全漏洞是由于一个配置错误的Kibana可视化工具造成的，该工具错误地将数据库公开，使得任何人都能够访问这些敏感数据。此次泄露事件中，泄露的信息不仅包括个人识别信息，如CURP身份证号码，这些信息在墨西哥相当于美国的社会保障号码，极大地增加了身份盗窃和网络钓鱼攻击的风险。尽管据报道健康记录并未被盗，但CURP号码的泄露已经足够严重，可能对受影响个人造成长期影响。

参考链接：

https://www.cysecurity.news/2024/10/massive-data-breach-in-mexican-health.html

Zimperium的zLabs团队在不断追踪移动安全新威胁的过程中，发现了一种名为FakeCall的知名恶意软件的新变种。这种恶意软件采用“Vishing”（语音网络钓鱼）技术，通过欺诈性电话或语音消息诱骗受害者泄露敏感信息，如登录凭证、信用卡号或银行详细信息。Vishing是“Mishing”的一种形式，Mishing是针对移动设备的网络钓鱼技术，攻击者越来越多地利用这些技术来利用移动设备的独特功能，如语音通话、短信（SMS）和摄像头。FakeCall恶意软件是一种极其复杂的Vishing攻击，利用恶意软件几乎完全控制移动设备，包括截获进出电话。受害者被诱骗拨打由攻击者控制的欺诈电话号码，并在设备上模仿正常用户体验。

FakeCall恶意软件的攻击通常始于受害者通过网络钓鱼攻击将APK文件下载到Android移动设备上，该文件充当投放器。投放器的主要功能是将实际的恶意有效载荷（第二阶段）安装到受害者的设备上。我们识别出的样本属于这一第二阶段的恶意软件。FakeCall恶意软件旨在与命令和控制（C2）服务器通信，使其能够执行各种旨在欺骗最终用户的行动。这种交互通过恶意软件和C2服务器之间的一系列消息交换发生。新发现的这种恶意软件变种虽然经过了深度混淆，但与早期版本的特点是一致的。

最新变种的恶意软件活动引入了新功能，尽管有些似乎仍在开发中。

蓝牙接收器：此接收器主要作为监听器，监控蓝牙状态和变化。目前，源代码中没有明显的恶意行为证据，引发了它是否作为未来功能的占位符的问题。

屏幕接收器：与蓝牙接收器类似，此组件仅监控屏幕的状态（开/关），而没有在源代码中显示任何恶意活动。

辅助功能服务：恶意软件结合了新的服务，继承自Android辅助功能服务，授予其对用户界面的显著控制权，并能够捕获屏幕上显示的信息。反编译的代码显示了在原生代码中实现的_onAccessibilityEvent()_和_onCreate()_方法，隐藏了它们的具体恶意意图。

电话监听服务：此服务作为恶意软件和其命令与控制（C2）服务器之间的通道，允许攻击者发出命令并在受感染的设备上执行操作。像其前身一样，新变种为攻击者提供了一套全面的功能。一些功能已经迁移到原生代码，而其他功能则是新增加的，进一步提高了恶意软件破坏设备的能力。

参考链接：

https://www.zimperium.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware/

Fog和Akira勒索软件利用SonicWall VPN漏洞展开攻击

最新报道揭露了Fog和Akira勒索软件团伙正在利用SonicWall VPN的一个关键漏洞CVE-2024-40766，该漏洞评分为9.3（CVSS v3），以入侵政府和企业网络。这一漏洞影响SonicWall SonicOS，公司已于2024年8月对此进行了修复。SonicWall在其安全公告中指出，一个不恰当的访问控制漏洞被识别在SonicWall SonicOS的管理访问和SSLVPN中，可能导致未经授权的资源访问，在特定条件下，甚至可能导致防火墙崩溃。该漏洞影响SonicWall Gen 5和Gen 6设备，以及运行SonicOS 7.0.1-5035及更早版本的Gen 7设备。SonicWall警告称，此漏洞可能正在被野外利用，并敦促客户尽快应用补丁。

攻击过程分析显示，攻击者利用CVE-2024-40766漏洞，通过SSL VPN访问进入企业网络，进而部署Fog和Akira勒索软件。

以下是攻击过程的详细分析：

1.识别漏洞： 攻击者识别了SonicWall SonicOS中的CVE-2024-40766漏洞，这是一个不恰当的访问控制漏洞，允许未经授权的资源访问。

2.利用漏洞： 攻击者利用该漏洞，通过SSL VPN访问进入目标网络。由于该漏洞允许未经授权的资源访问，攻击者能够绕过正常的认证机制。

3.横向移动与权限提升： 一旦进入网络，攻击者会进行横向移动，寻找高价值目标，并提升权限以部署勒索软件。

4.勒索软件部署： 在Arctic Wolf研究人员检测到的超过30起入侵事件中，攻击者利用未修补的SonicWall SSL VPN（CVE-2024-40766）进行入侵。这些入侵事件中，大约75%部署了Akira勒索软件，剩余25%部署了Fog勒索软件。

5.快速行动： 研究人员观察到，从初始SSL VPN访问到执行勒索/加密目标的时间间隔在某些入侵中短至1.5至2小时，而在其他入侵中则接近10小时。

研究人员发现，自8月以来，Fog和Akira勒索软件入侵事件显著增加，所有事件都利用了未修补的SonicWall SSL VPN。研究人员注意到，这些攻击背后的IP基础设施有共享。

参考链接：

https://securityaffairs.com/170359/cyber-crime/fog-akira-ransomware-sonicwall-vpn-flaw.html

Black Basta勒索软件组织升级社会工程学手段，利用Microsoft Teams和恶意二维码

ReliaQuest威胁研究团队最近揭露了Black Basta勒索软件组织采用的新型社会工程学攻击手段。这个团伙以前因为发送大量垃圾邮件，诱使受害者无意中向攻击者提供访问权限而著称。现在，他们开始利用Microsoft Teams聊天工具和恶意二维码来提升其攻击策略，这些手段正以惊人的速度和强度针对多个行业的客户。

Black Basta组织的攻击手法包括以下几个步骤：

1.假冒IT支持： 攻击者通过创建假冒的Microsoft Teams账户，使用类似于“supportserviceadmin.onmicrosoft.com”或“cybersecurityadmin.onmicrosoft.com”这样的域名，并以“Help Desk”（帮助台）为显示名称，伪装成合法的IT支持人员。

2.引导至Teams聊天： 在大规模发送垃圾邮件之后，攻击者将目标用户添加到Teams聊天中，假装是外部帮助台人员，以此来直接与受害者沟通。

3.使用恶意QR码： 攻击者创建了特定域名，如“qr-s1.com”，并针对特定目标定制化，例如“companyname.qr-s1.com”，使这些URL看起来像是合法公司的链接。然后，他们利用这些QR码诱骗用户分享敏感信息或下载伪装成技术支持工具的远程监控和管理（RMM）工具。

4.电子邮件轰炸： Black Basta组织继续使用传统的高强度电子邮件垃圾邮件攻击，例如，在一小时内向单个用户发送约1000封邮件，迫使用户寻求IT帮助。

5.安装恶意软件： 一旦用户上钩，攻击者便冒充帮助台人员，指导用户安装RMM工具，如AnyDesk，并下载恶意文件，这些文件可以访问用户凭证并在网络中传播。

6.网络渗透： 攻击者一旦进入网络，便部署Cobalt Strike信标到看似合法组织的域名，例如“companymartec.com”，以实现组织网络内的横向移动，并使用工具如Impacket的“secretsdump.py”转储密码哈希。

图3Black Basta组织攻击链

参考链接：

https://securityonline.info/black-basta-ransomware-group-elevates-social-engineering-with-microsoft-teams-and-malicious-qr-codes/