Lazarus Group组织通过新旧武器结合方式进化其攻击链——每周威胁情报动态第206期（12.20-12.26）

Lazarus Group组织通过新旧武器结合方式进化其攻击链

近期，研究人员观察到该APT组织通过假工作机会针对不同行业的员工（包括国防、航空、加密货币等全球行业）分发恶意软件的行为，这一攻击活动被称为“DeathNote 活动”，也被称为“Operation DreamJob”。最新研究揭示了Lazarus组织如何通过结合新旧攻击武器样本来定制其攻击，展示了其攻击感染链的重大变化。

Lazarus组织的攻击策略包括发送恶意文档或木马化的PDF查看器，以及分发木马化的远程访问工具，如VNC或PuTTY，以诱使目标连接到特定服务器进行技能评估。最近发现的案例属于后者，但除了初始向量外，攻击感染链已完全改变。

研究人员在最近发现的攻击案例中，目标收到了至少三个与IT职位技能评估相关的归档文件，这些文件据称与知名的航空和国防公司有关。研究人员确定其中两个实例涉及木马化的VNC实用程序。Lazarus组织向同一组织内的至少两个人（可以称为主机A和主机B）发送了第一个归档文件。一个月后，他们对第一个目标进行了更密集的攻击。

恶意软件分析：

• AmazonVNC.exe：

这是一个木马化的TightVNC版本，允许任何人编辑原始源代码。当目标执行AmazonVNC.exe时，会弹出一个窗口，要求输入存储在readme.txt文件中的IP地址和密码。一旦输入IP，就会生成一个XOR密钥，用于解密VNC可执行文件的内部资源并解压数据。解压后的数据实际上是被称之为Ranid Downloader的下载器，由AmazonVNC.exe加载到内存中以执行进一步的恶意操作。

• CookieTime：

这是另一种在受感染主机上发现的恶意软件。虽然不确定CookieTime如何被传递给主机A，但它在安装LPEClient后作为SQLExplorer服务执行。CookieTime最初通过直接从C2服务器接收和执行命令来运作，但最近它被用来下载有效载荷。

• CookiePlus：

这是一个新发现的基于插件的恶意程序，最初由ServiceChanger和Charamel Loader加载。CookiePlus能够从内部资源和外部文件（如 msado.inc）中获取C2列表，表明它具有从多个来源获取C2信息的能力。

纵观其历史，Lazarus组织只使用了少数模块化恶意软件框架，如Mata和Gopuram Loader。引入这种类型的恶意软件对他们来说是一种不同寻常的策略。事实上，他们确实引入了新的模块化恶意软件，如CookiePlus，这表明该组织一直在努力改进他们的武器库和攻击感染链，以逃避安全产品的检测。防御侧的问题是，CookiePlus的行为就像一个下载者。这使得很难调查CookiePlus是只下载了一个小插件还是下一个有意义的有效负载。根据专家的分析，它似乎仍在积极开发中，这意味着Lazarus组织可能会在未来添加更多恶意插件。

参考链接：

https://securelist.com/lazarus-new-malware/115059/

Charming Kitten APT组织使用新型C++编写的BellaCiao恶意软件变种

Kaspersky的研究人员在最近的一次网络入侵事件中发现了一个新型的BellaCiao恶意软件变种，该变种被命名为BellaCPP。BellaCiao是一个基于.NET的恶意软件家族，以其隐蔽的持久性和建立秘密隧道的能力而闻名。自2023年4月以来，该恶意软件家族被公开归因于APT攻击组织Charming Kitten。

在对一台受感染计算机上的BellaCiao样本进行调查时，研究人员发现了另一个可疑且可能相关的样本。经过进一步调查，该样本被确认为BellaCiao的一个旧版本的C++重写版本。BellaCiao的PDB路径非常具有描述性，暴露了与活动相关的的重要信息，例如目标实体和国家。通过对历史样本的分析，研究人员发现所有PDB路径都包含字符串“MicrosoftAgentServices”。某些样本在该字符串后附加了一个数字，如“MicrosoftAgentServices2”和“MicrosoftAgentServices3”，这通常表示恶意软件开发者使用的版本控制，可能用于区分各种迭代或更新。

BellaCPP是一个DLL文件，名为“adhapl.dll”，在C:WindowsSystem32中被发现。它有一个名为“ServiceMain”的导出函数，表明这个变种像原始的BellaCiao样本一样，被设计为作为Windows服务运行。代码执行了一系列步骤，与早期版本的BellaCiao中观察到的行为非常相似。

• 使用XOR加密和密钥0x7B解密三个字符串：

C:WindowsSystem32D3D12_1core.dll

SecurityUpdate

CheckDNSRecords

• 加载在上一步解密路径中的DLL文件，并使用GetProcAddress解析上述两个其他解密字符串的函数。
• 按照与.NET BellaCiao版本相同的方法生成域名，格式如下：

<5随机字母><目标标识符>.<国家代码>.systemupdate.info

尽管研究人员未能检索到上述D3D12_1core.dll文件，因此无法分析过程中触发的SecurityUpdate函数，但根据传递的参数和已知的BellaCiao功能，研究人员有中等信心认为缺失的DLL创建了一个SSH隧道。

研究人员基于以下要素，以中高信心评估BellaCPP与Charming Kitten APT组织有关：

• 从宏观角度来看，BellaCPP是BellaCiao样本的C++版本，但不包含webshell功能。
• 它使用了之前归因于该组织的域名。
• 它以类似的方式生成域名，并像观察到的.NET样本一样使用该域名。
• 在受感染的机器上发现了较旧的BellaCiao样本。

Charming Kitten一直在改进其恶意软件家族库，同时也利用公开可用的工具。他们不断更新的恶意软件家族之一是BellaCiao。从研究的角度来看，这个家族特别有趣，因为PDB路径有时会提供对预期目标及其环境的一些见解。BellaCPP样本的发现突显了对网络及其受控主机进行彻底检查的重要性。因为攻击者可以部署安全检测系统可能无法检测到的未知样本，从而在删除“已知”样本后还能在网络中保持立足点。

参考链接：

https://securelist.com/bellacpp-cpp-version-of-bellaciao/115087/

Cloud Atlas组织在攻击活动中采用新型后门程序

近期，研究人员发现了Cloud Atlas APT组织的一项新攻击活动，该组织自2014年以来一直针对东欧和中亚地区。此次攻击活动中，Cloud Atlas使用了一个之前未被记录的工具集，该工具集在2024年被广泛使用。受害者通过包含恶意文档的钓鱼邮件被感染，这些文档利用公式编辑器中的漏洞（CVE-2018-0802）下载并执行恶意代码。

当受害者打开文档时，会从一个由攻击者控制的远程服务器下载一个恶意模板，该模板格式为RTF文件，并包含一个公式编辑器漏洞，用于下载并运行托管在同一C2服务器上的HTML应用程序（HTA）文件。RTF和HTA文件的下载被限制在特定的时间段和受害者IP地址，只有来自目标区域的请求才被允许。恶意HTA文件提取并写入多个文件到磁盘，这些文件是VBShower后门程序的一部分。VBShower随后下载并安装另一个后门：PowerShower。这种感染模式最初在2019年被描述，并且从那时起只发生了轻微变化。VBCloud后门现在复制了可执行文件的原始功能，例如下载和执行恶意插件、与云服务器通信以及执行其他任务。研究人员首次在去年8月检测到使用此植入的攻击。自那时以来，研究人员观察到了许多变种的后门，帮助它保持在雷达之下。这次新的活动通过VBShower加载VBCloud，VBShower还下载了PowerShower模块。PowerShower探测本地网络并促进进一步渗透，而VBCloud收集有关系统的信息并窃取文件。

技术细节：

• HTA：利用RTF模板下载HTA文件并运行它，利用NTFS ADS功能在%APPDATA%RoamingMicrosoftWindows路径下提取和创建多个文件，这些文件构成了VBShower后门。
• VBShower：包括一个启动器（Launcher）、清理器（Cleaner）和后门（Backdoor），负责解密和运行后门的有效载荷，并在内存中执行一系列操作。
• PowerShower：功能上与VBShower几乎相同，下载额外的PowerShell脚本并执行它们。
• VBCloud：通过VBShower安装，使用公共云存储作为C2服务器，负责下载和运行PowerShell脚本，并发送输出到C2。

在2024年，有几十个用户遭到攻击，其中82%在俄罗斯。在白俄罗斯、加拿大、摩尔多瓦、以色列、吉尔吉斯斯坦、越南和土耳其也有零星攻击记录。研究人员继续监控与Cloud Atlas相关的活动。在2023年8月开始的新活动中，攻击者对他们熟悉的工具集进行了更改。这次，他们依赖VBShower后门作为加载器，而不是可执行库来加载恶意模块。此外，他们现在在攻击中使用了一个新模块：VBCloud。这表明攻击者不断更新其技术手段，以保持攻击的有效性和隐蔽性。

参考链接：

https://securelist.com/cloud-atlas-attacks-with-new-backdoor-vbcloud/115103/

黑客组织Diicot发起针对Linux系统的高级恶意软件攻击活动

最近研究人员发现了一起由罗马尼亚语黑客组织Diicot（也称为Mexals）发起的针对Linux系统的先进恶意软件攻击活动。这场活动不仅展示了该组织在技术上的显著进步，也对全球Linux用户和企业的安全构成了严重威胁。

Diicot组织此次的恶意软件攻击活动在多个层面上表现出了高度的复杂性。与以往的攻击相比，更新后的恶意软件显示出了显著的技术进步，包括新的命令和控制（C2）基础设施的引入、从基于Discord的C2向HTTP的过渡，以及Zephyr协议和Monero挖矿的采用。这些改进反映了攻击者在适应和完善战术上的能力。攻击者使用了改进的混淆技术，例如修改UPX头部以包含损坏的校验和，使得标准的解包工具无法有效工作。这种技术的进步表明，攻击者正在不断努力绕过现代安全措施并规避自动化检测。此外，恶意软件能够根据运行环境的不同调整其行为，这在云设置中尤为明显，恶意软件会优先传播到其他主机，而在传统环境中则部署加密货币挖矿有效载荷。

研究人员在调查中发现的恶意软件有效载荷包括Brute-Spreader、Reverse Shell (client.go)和SSH Banner Scanner。这些有效载荷使攻击者能够在网络中传播、保持持久性、获得对被妥协机器的完全远程控制，以及识别弱SSH凭证以获得初始访问权限。这场攻击活动对运行OpenSSH的Linux系统构成了重大风险，特别是那些凭证弱和安全设置配置不当的系统。Diicot组织的主要动机是加密货币挖矿，他们已经从Monero挖矿中赚取了超过16,000美元，并且可能从Zephyr协议中获得了更难以追踪的收入。这不仅给组织带来了财务损失，还面临着数据泄露、系统被破坏和潜在的运营中断风险。

参考链接：

https://securityonline.info/diicot-threat-group-targets-linux-with-advanced-malware-campaign/

Cicada 3301黑客组织宣称对标致汽车经销商数据泄露事件负责

Cicada 3301黑客组织的最新行动再次将全球汽车行业置于聚光灯下。该组织宣称成功对标致汽车在法国的经销商网络进行了一次精心策划的网络攻击，窃取了高达40GB的敏感数据，并计划在2025年1月6日对外公布这些信息。这一行动不仅对标致汽车的商业运营和客户信任构成了直接威胁，也暴露了汽车行业在网络安全方面的脆弱性。

Cicada 3301组织是一个起源于2012年神秘的黑客组织，以其难以捉摸的匿名性和复杂的网络攻击手段而闻名。该组织此次针对标致汽车经销商的攻击行动，展示了其在网络犯罪领域的技术进步和战术演变。攻击者利用复杂的社会工程学手段和网络攻击技术，绕过了标致经销商的网络安全防护措施，成功渗透系统并窃取了包括客户信息、车辆库存详情以及维修服务信息在内的敏感数据。泄露的数据中包含身份信息、车辆识别码（VIN）、车牌号码以及身份证件扫描件，主要涉及法国Lot-et-Garonne地区的客户。

此次攻击的具体技术细节尚未完全披露，但已知的是，Cicada 3301组织使用了高级的网络攻击手段，包括利用未打补丁的软件漏洞或通过钓鱼邮件等手段获取初始访问权限。一旦进入系统，攻击者便开始横向移动，寻找并窃取高价值数据。此外，攻击者还可能使用了数据擦除或加密技术，以增加勒索的筹码。

Cicada 3301组织此次行动的另一个显著特点是其对时间敏感信息的精准把控，选择在15天后公布窃取的数据，这无疑给标致汽车带来了巨大的公关和操作压力。这种策略旨在最大化心理压力，迫使标致汽车在有限的时间内做出回应。此次数据泄露事件对标致汽车的经销商网络构成了重大威胁。经销商在客户购车、维修和保养过程中扮演着关键角色，此次攻击可能导致客户信任下降，影响日常运营，甚至引发法律诉讼。此外，如果泄露的数据包括客户的财务信息，标致可能面临根据GDPR规定的巨额罚款。

Postman Workspaces 数据泄露事件暴露3万敏感API密钥和令牌

Postman Workspaces一个广受欢迎的云基础API开发和测试平台，研究人员在一项为期一年的调查中发现其存在严重的安全漏洞。研究发现，超过30,000个公开可访问的工作空间不慎泄露了第三方API的敏感信息，包括访问令牌、刷新令牌和第三方API密钥，这对个人和企业用户会构成了重大风险。此次数据泄露事件涵盖了从小型业务到大型企业的各个行业的组织，影响到了包括GitHub、Slack和Salesforce在内的主要平台。泄露的数据不仅包括敏感的API密钥和访问令牌，还有管理员凭证，这些信息的泄露可能导致财务损失和声誉损害。泄露的原因主要是由于Postman集合的不当共享、访问控制配置错误、与公开可访问的存储库同步以及敏感数据的明文存储。

这些安全漏洞的影响是深远的。攻击者可以利用泄露的API密钥或访问令牌直接访问敏感系统和数据，这可能导致更多数据泄露、未经授权的系统访问以及增加的网络钓鱼和社会工程攻击。Postman通常存储用于API认证和通信的敏感信息，包括API密钥、密钥和个人身份信息（PII）。为了保护数据安全，组织必须采取更加严格的安全措施，包括谨慎使用环境变量、限制权限、避免使用长期令牌、采用外部密钥管理，并在共享任何集合或环境之前进行仔细检查。

CloudSEK已经向受影响的组织报告了这些发现，并帮助他们减轻风险。为了防止未来的泄露，CloudSEK建议组织采取更加可靠的安全措施，例如使用环境变量以避免硬编码敏感数据、限制权限、频繁轮换令牌、利用密钥管理工具，并在共享之前仔细检查集合。Postman在得知这些发现后，也已经实施了一项秘密保护政策，以防止敏感数据在公共工作空间中被曝光。该政策在检测到密钥时提醒用户，并提供解决方案，促进过渡到私有或团队工作空间。Postman还宣布，将从公共API网络中移除已知暴露密钥的公共工作空间，并通知工作空间的所有者在工作空间被移除之前移除其暴露的密钥。

参考链接：

https://hackread.com/postman-workspaces-leak-api-keys-sensitive-tokens/

Builder.ai数据库配置失误导致1.29TB敏感数据暴露

英国伦敦的AI开发平台Builder.ai近期遭遇了一起严重的数据泄露事件。网络安全研究员透露，由于Builder.ai的一个数据库配置错误，导致超过300万条记录、总计1.29TB的数据被公开暴露，且没有任何安全认证或密码保护。这些数据包含了客户成本提案、保密协议（NDA）、发票、税务文件、内部通信、访问密钥、客户个人身份信息（PII）和电子邮件通信截图等敏感信息。此次泄露事件不仅将客户的个人和财务信息置于风险之中，还可能被用于网络钓鱼和社会工程攻击，如制作嵌入恶意软件的假发票来欺骗Builder.ai的客户。此外，内部信息的泄露可能导致针对性的网络钓鱼尝试，而泄露的云存储访问密钥可能使存储在其他地方的更多敏感数据面临未授权访问的风险。

研究人员指出，将文档和访问密钥以明文形式存储在数据库中，一旦数据库被意外暴露或未经授权访问，恶意行为者可以利用这些密钥访问链接的系统和资源，无需额外认证。这种配置失误在数据库管理中是一个常见问题，但最近的报告表明，即使是臭名昭著的黑客组织也在积极寻找并利用这些暴露的数据库，这进一步加剧了公司声誉和用户隐私的风险。

Builder.ai在得知数据库泄露后，花费了近一个月的时间来保护数据库，这一延迟响应引发了对其事件响应效率的担忧。他们将“复杂的系统依赖”作为延迟的原因，这暗示了数据库暴露可能涉及第三方承包商。为了最小化风险，专家建议组织应安全地存储管理凭据和访问密钥，对其进行加密，并将其与其他敏感数据隔离。

参考链接：

https://hackread.com/builder-ai-database-misconfiguration-expose-tb-records/

基于Python的NodeStealer恶意软件针对Facebook广告管理器展开攻击

网络安全研究人员最新研究发现了NodeStealer恶意软件的新变种，该变种已经从基于JavaScript的威胁进化为更为先进的基于Python的版本，其能力范围和危险性显著增强。这一新变种不仅能够窃取信用卡信息和浏览器存储的数据，更是将目标瞄准了Facebook广告管理器账户，企图窃取关键的财务和商业信息。

在最近一次针对马来西亚教育机构的网络攻击中，研究人员发现了这一更新版的NodeStealer。攻击者利用鱼叉式网络钓鱼邮件传播恶意软件，邮件中包含一个恶意嵌入链接，一旦点击，就会下载并安装伪装成合法应用程序的恶意软件。这种攻击手段显示了攻击者在技术和社会工程学方面的高超技巧，他们通过发送假冒的版权侵权通知，施压收件人立即采取行动，而不仔细考虑邮件内容，这通常会导致他们点击恶意链接或下载有害文件。

一旦用户点击邮件中的恶意链接，就会触发下载一个名为_Nombor Rekod 052881.zip_的可疑文件。解压后，用户不经意间将多个可疑文件释放到系统中。这些文件包括一个看似PDF阅读器的可执行文件_Nombor Rekod 052881.exe_，它被用来侧载恶意DLL文件_oledlg.dll_，从而使恶意软件能够在合法程序的掩护下执行恶意操作，绕过安全防御。

侧载的DLL随后执行一个批处理文件_imagesactive-license.bat_，该文件包含一个恶意编码的命令，执行PowerShell命令。该PowerShell命令执行了以下操作：隐藏控制台窗口、强制创建文件夹、解压license.rar文件、下载并执行诱骗PDF文件、确保通过启动文件夹持久化、下载（内存中）并执行最终有效载荷。该恶意软件试图连接到URL http://://88.216.99.5:15707/entry.txt下载并执行其最终有效载荷。_entry.txt_文件包含一个混淆的Python脚本，该脚本使用Python命令_exec()_和_marshaled.loads()_直接执行Python字节码。

最终有效载荷是一个旨在窃取信用卡数据和浏览器中存储的敏感信息的信息窃取器。此外，这一新活动还针对Facebook广告管理器账户，提取财务和业务相关信息，以推动恶意广告活动。数据泄露是通过Telegram进行的，被盗的敏感信息被编译成zip存档，然后发送到特定的Telegram链接。

参考链接：

https://www.trendmicro.com/en_us/research/24/l/python-based-nodestealer.html

RansomHub勒索软件的攻击感染链和技术细节分析

RansomHub勒索软件组织通过精心设计的鱼叉式语音钓鱼和社会工程学手段，利用具有说服力的美国口音的语音诈骗，诱导受害者重置账户密码，以此作为初始访问手段。此外，该集团还可能利用被泄露的VPN账户，进一步扩大其攻击范围。

在执行阶段，RansomHub操作者利用PsExec远程执行命令，并运用Powershell和Python脚本来执行与凭据访问、远程系统发现和建立SSH连接相关的命令。他们还通过SFTP传输加密程序，并在多台服务器上同时执行加密程序，显示了其在横向移动方面的高级技术。

为了维持访问权限，RansomHub使用本地账户，并将创建的用户添加到管理员组中，以保持高权限访问。在防御规避方面，该集团投放并执行名为_disableAV.bat_的批处理文件，该文件能够终止和删除防病毒相关进程和文件，进一步加固其在受害者系统中的立足点。

在凭据访问方面，RansomHub使用MIMIKATZ、LaZagne和SecretServerSecretStealer等工具在其受害者的机器上检索密码和凭据。此外，该集团还利用Veeam Backup & Replication组件的漏洞CVE-2023-27532，从Veeam数据库中提取凭据。

RansomHub操作者使用_NetScan_和Advanced Port Scanner等工具来发现和检索网络设备的信息，以及扫描网络计算机上的开放端口。在横向移动方面，RansomHub勒索软件使用_cmd_命令_xcopy/copy_来传输用于终止和删除防病毒相关进程和文件的二进制文件和驱动程序。

在命令与控制方面，RansomHub操作者使用Atera、Splashtop、AnyDesk、Ngrok、Screen Connect和Remmina等工具远程访问受害者机器。RansomHub勒索软件使用两种加密算法（ECDH和AES）对目标文件进行加密，并将32字节的主公钥附加到每个加密文件的末尾，进一步增加了解密的难度。

在数据泄露方面，RansomHub勒索软件被发现使用第三方工具和网络服务RClone来泄露被盗信息，这表明该集团在数据泄露方面也具有高度的技术水平。

参考链接：

https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-ransomhub

知名医疗保健企业遭受勒索软件攻击，近600万患者信息泄露

今年早些时候美国医疗保健企业Ascension Health遭受重创，影响了近600万患者的个人信息安全。这场攻击不仅暴露了医疗保健行业在网络安全方面的脆弱性，也对患者的隐私保护提出了严峻挑战。

今年5月8日，黑客侵入Ascension Health的医院网络系统，获取了包括医疗信息、保险数据、政府身份证明和支付信息在内的敏感数据。从测试记录到信用卡信息，再到社会安全号码和护照，一系列个人信息在此次攻击中被盗取。这一事件迫使Ascension Health在19个州的140家医院不得不暂时放弃数字化操作，回归手动处理，严重影响了医院的正常运作。

Ascension Health在6月份曾表示，黑客仅访问了其25,000台服务器中的七台，并可能仅窃取了部分个人的健康信息和个人数据。然而，最新的数据显示，受影响的人数远超预期，达到了5,599,699人。这一数字的修正，使得Ascension Health的攻击事件成为今年最严重的医疗保健数据泄露之一。由于技术中断，Ascension Health运营的多家医院不得不拒收救护车、恢复纸质记录和取消非紧急预约。这场攻击对医院的日常运营造成了巨大冲击，甚至导致一些医院不得不暂时关闭，以防止进一步的数据泄露。

Ascension Health为受影响的个人提供了为期两年的免费身份保护服务，以及高达100万美元的欺诈事件保险赔偿政策。尽管如此，这场攻击对患者的隐私和信任造成了不可逆转的损害。在攻击发生时，由于无法访问电子医疗记录系统，医护人员无法查看患者的病史，导致对中风或心脏病发作等紧急情况的影像测试严重延迟。一些护士不得不使用共享的Google文档来记录处方剂量和相互沟通，这不仅降低了工作效率，也增加了医疗错误的风险。

参考链接：

https://therecord.media/nearly-six-million-affected-ransomware