APT组织Turla瞄准巴基斯坦关键基础设施展开攻击活动——每周威胁情报动态第208期 （01.03-01.09）

APT组织Turla瞄准巴基斯坦关键基础设施展开攻击活动

俄罗斯支持的高级持续性威胁（APT）组织Turla（又名Secret Blizzard），以其复杂的网络攻击和间谍活动而闻名，近期将攻击目标锁定在巴基斯坦的关键基础设施上，包括能源、电信和政府网络等领域。该组织通过钓鱼邮件和恶意软件部署等手段渗透目标系统，利用系统漏洞如CVE-2022-38028等扩大攻击范围。Turla还擅长利用DLL劫持技术保持恶意软件的隐蔽性，并通过多层加密技术进行安全通信，频繁与C2服务器建立周期性连接，以接收指令和上传数据。此次行动中，Turla使用的恶意软件专门设计用于窃取敏感数据和破坏目标系统。另外，2024年底，微软还披露了Turla的一个分支——Secret Blizzard，该分支与巴基斯坦黑客组织Storm-0156的基础设施重叠。APT组织Storm-0156是巴基斯坦本土的APT组织，也被称为Transparent Tribe、SideCopy、APT36。Secret Blizzard通过渗透Storm-0156的指挥与控制（C2）服务器，利用Storm-0156的后门和工具，悄无声息地将自己的恶意软件部署到巴基斯坦的关键基础设施网络中，也针对阿富汗政府和印度军队等目标发起攻击了。这种借助第三方基础设施的策略，不仅使Turla能够掩盖自己的行动轨迹，增加溯源难度，还显著提升了其间谍活动的效率和效果。Turla的行动凸显了网络威胁的复杂性，敌对势力相互利用基础设施以实现战略目标。这强调了强大的网络安全措施和警惕监测的重要性，以检测和缓解此类复杂攻击。

参考链接：

https://socradar.io/turla-cyber-campaign-pakistans-critical-infrastructure/

CoughingDown威胁组织利用EAGERBEE后门展开攻击活动

近期，安全研究人员在调查EAGERBEE后门时发现，该恶意软件正在中东地区的互联网服务提供商（ISP）和政府机构中部署。此次攻击中出现了新的组件，包括一个新颖的服务注入器，用于将后门注入到正在运行的服务中。此外，研究人员还发现了在后门安装后部署的先前未记录的组件（插件），这些插件能够执行部署额外有效载荷、探索文件系统、执行命令外壳等多种恶意活动。

在初始感染阶段，攻击者使用的初始访问向量尚不清楚，但研究人员观察到攻击者执行命令来部署名为“tsvipsrv.dll”的后门注入器以及有效载荷文件ntusers0.dat，利用SessionEnv服务来运行注入器。服务注入器针对主题服务进程，它首先定位并打开进程，然后在其中分配内存以写入EAGERBEE后门字节以及桩代码字节。桩代码负责解压缩后门字节并将它们注入到服务进程内存中。为了执行桩代码，注入器将原始服务控制处理器替换为服务进程内存中桩代码的地址，然后通过发送SERVICE_CONTROL_INTERROGATE控制码到服务来触发桩代码。桩代码执行完成后，注入器通过从服务内存中移除桩代码并恢复原始服务控制处理器来进行清理。

在感染系统中发现的后门名为dllloader1x64.dll。它会创建一个名为mstoolFtip32W的互斥体（如果还不存在）。之后，它开始从系统中收集信息，包括本地计算机的NetBIOS名称、操作系统信息、产品类型、处理器架构以及IPv4和IPv6地址列表等。后门具有执行天和时间检查功能，将当前系统天和小时与硬编码字符串进行比较，如果执行天和时间不匹配，它将休眠15秒并再次检查。后门配置存储在特定文件或硬编码在二进制文件中，配置包括命令和控制（C2）主机名和端口。后门通过读取注册表键获取当前用户的代理主机和端口信息，如果可用代理详细信息，后门将通过代理连接；否则，它将直接连接到C2服务器。为了建立通信，后门创建了一个能够同时在IPv4和IPv6上运行的TCP套接字，根据配置，它可能会使用支持SSL和TLS加密的SCHANNEL安全包。一旦建立连接，后门就会将之前收集的特定于受害者的详细信息传输到C2服务器，服务器响应一个字符串，后跟一个名为插件协调器的有效载荷。

EAGERBEE后门下载的有效载荷是一个名为“ssss.dll”的插件协调器DLL文件，它导出一个名为“m”的方法。插件协调器DLL的“m”方法负责将协调器注入内存，并随后调用其入口点。除了已经收集的特定于受害者的数据外，插件协调器还收集并向C2服务器报告额外信息，包括域的NetBIOS名称、物理和虚拟内存的当前使用情况、系统区域设置和时区设置、Windows字符编码、当前进程标识符以及任何已加载插件的标识符等。在发送此信息后，插件协调器还会报告当前进程是否具有提升的权限，然后收集有关系统上所有运行进程的详细信息。一旦发送信息，插件协调器就等待执行命令。

插件是DLL文件，并使用序号导出三种方法。插件协调器首先调用插件的导出方法，将插件DLL注入内存，然后调用DllMain方法初始化插件，最后调用实现插件功能的方法。所有插件都负责接收并执行来自协调器的命令，包括文件管理器插件、进程管理器、远程访问管理器、服务管理器和网络管理器等，它们分别执行文件系统操作、管理进程活动、促进远程连接、管理系统服务以及列出网络连接等任务。

EAGERBEE在东亚的几个组织中部署，其中两个组织是通过ProxyLogon漏洞在Exchange服务器上被入侵的，之后恶意WebShell被上传并用于在被入侵的服务器上执行命令。根据研究人员的遥测数据，攻击者滥用合法的Windows服务来执行恶意DLL，加载EAGERBEE后门到内存中。研究人员发现了一些线索，将EAGERBEE后门与CoughingDown威胁组织联系起来，包括DLL与CoughingDown样本的代码重叠以及C2域名的重叠等。因此，研究人员评估认为EAGERBEE后门与CoughingDown威胁组织有关联，但目前还无法确定在中东地区部署EAGERBEE后门的初始感染向量或责任组织。

参考链接：

https://securelist.com/eagerbee-backdoor/115175/

乌克兰黑客组织“乌克兰网络联盟”攻击俄罗斯ISP Nodex服务商

近日，乌克兰网络联盟（Ukrainian Cyber Alliance）宣布对俄罗斯互联网服务提供商Nodex发动了网络攻击，导致Nodex网络系统遭到严重破坏。该组织在Telegram上宣称，他们不仅窃取了Nodex的敏感文件，还彻底清空了被入侵的系统。在攻击过程中，乌克兰网络联盟还公开了Nodex的VMware、Veeam备份和惠普企业虚拟基础设施等关键服务器的截图。

Nodex随后在VKontakte上向用户确认了此次攻击，表示其网络已完全被破坏，正在从备份中恢复。互联网监测组织NetBlocks也观察到，Nodex的固定电话和移动服务连接在攻击发生后不久便崩溃。尽管Nodex在恢复过程中取得了一定进展，如网络核心已恢复，DHCP服务器也已上线，但其网站仍然无法正常访问。

乌克兰网络联盟自2016年成立以来，一直活跃在网络空间，由多个黑客和黑客组织联合组成，旨在抵御俄罗斯的网络侵略。该组织曾对多个俄罗斯重要机构发起过攻击，包括俄罗斯国防部、独立国家联合体研究所等。此次攻击Nodex，是其在俄乌网络战中又一次显著的行动。

参考链接：

https://www.bleepingcomputer.com/news/security/russian-isp-confirms-ukrainian-hackers-destroyed-its-network/

Gayfemboy僵尸网络利用Four-Faith路由器漏洞发动DDoS攻击

2024年11月，一款名为Gayfemboy的Mirai僵尸网络变种，开始利用Four-Faith工业路由器的漏洞发动分布式拒绝服务（DDoS）攻击。Gayfemboy僵尸网络首次于2024年2月被发现，它借鉴了基础Mirai变种的代码，并整合了N-day和0-day漏洞利用技术。该僵尸网络的幕后运营者还曾对追踪它的研究人员发起DDoS攻击。

Gayfemboy通过利用超过20个漏洞传播其僵尸网络，其中包括针对DVR、路由器和安全设备的CVE-2013-3307、CVE-2021-35394、CVE-2024-8957等漏洞。此外，它还尝试利用Telnet弱凭据进行攻击。研究人员发现，攻击者针对Four-Faith工业路由器的0-day漏洞CVE-2024-12856，以及影响Neterbit路由器和Vimar智能家居设备的多个未知漏洞。截至2024年11月，Gayfemboy拥有超过15,000个每日活跃节点。

Gayfemboy僵尸网络的感染主要集中在包括中国、美国、伊朗、俄罗斯和土耳其在内的国家。当Gayfemboy僵尸网络的僵尸连接到其命令与控制（C2）服务器时，会携带分组信息，这些信息用于识别和组织受感染的设备，使攻击者能够高效地管理和控制庞大的僵尸网络。分组信息通常包括关键标识符，如设备的操作系统类型或其他识别细节。Gayfemboy的分组信息基于设备细节，主要受感染的设备包括ASUS路由器、Kguard DVR、Neterbit路由器、LTE设备、CPE设备、NR5G路由器、Four-Faith工业路由器和Vimar智能家居设备等。

自2024年2月以来，Gayfemboy僵尸网络一直在对全球数百个目标发动DDoS攻击，10月和11月活动达到高峰。主要攻击目标包括中国、美国、德国和英国。该僵尸网络对用于分析的注册域名发起了10到30秒的DDoS攻击，针对云提供商托管的VPS。攻击导致VPS流量被黑洞超过24小时。由于没有DDoS防护，团队停止解析这些域名。流量峰值达到每秒100GB，这是根据提供商的估计得出的。

Gayfemboy僵尸网络基于Mirai，代码分析显示它包含明文字符串和自定义的“gayfemboy”注册数据包。作者添加了新的命令和PID隐藏功能。尽管它有所演变，但其明文字符串和未改变的输出消息“we gone nown”突显了其薄弱的保护措施。

DDoS攻击是一种高度可复用且相对低成本的网络攻击武器，能够利用分布式僵尸网络、恶意工具或放大技术，瞬间发动大规模流量攻击，耗尽、禁用或中断目标网络的资源。因此，DDoS已成为最常见和最具破坏性的网络攻击形式之一。其攻击模式多样，攻击路径高度隐蔽，并且能够采用不断演变的策略和技术，对各种行业和系统进行精准打击，对企业和政府组织以及个人用户构成了重大威胁。

俄罗斯邮政数据大规模泄露

据披露，一个疑似属于俄罗斯邮政的数据库被公开，其中包含了26,570,979条记录，涵盖了从2014年12月2日至2024年4月18日近十年间数千万次邮件发送及其收件人的敏感信息。此次泄露的数据不仅包括收件人的姓名、部分遮蔽的电话号码和部分地址信息（如邮政编码和地区），还详细列出了邮件的重量、成本、类型等具体信息。通过俄罗斯邮政官方追踪服务的部分验证，已证实泄露数据的真实性，这进一步加剧了人们对数据被恶意利用的担忧。

此次数据泄露事件的特殊之处在于，公开前泄露的数据经过了人为篡改，如部分电话号码被故意修改，以增加直接识别个人身份的难度。尽管如此，剩余数据仍具有极大的利用价值。在线公开的2,128条记录样本，展示了完整数据库中可用的信息范围，令人不安地展示了此次数据泄露的广泛影响。据未经证实的消息来源称，完整数据库还可能包含了寄件人信息，包括组织名称、税务识别号和相关电话号码，这意味着此次数据泄露不仅限于收件人，还可能影响寄件人，从而进一步增加了诈骗或身份盗窃的风险。

泄露的信息为网络犯罪分子和间谍提供了极具价值的资源。它们可能被用于识别数百万人员的邮件发送和接收习惯，严重侵犯了他们的隐私。这些数据可用于针对性诈骗，如利用精确信息进行电话或短信诈骗以欺骗受害者，还可用于更深入的间谍活动，通过寄件人/收件人地址、发送日期等信息进行。不道德的企业可能会利用这些信息进行未经许可的针对性营销活动，进一步增加受害者的曝光度。此外，信息的汇总还可能帮助定位特定人员，如军人或情报机构人员，如FSB、GRU等，从而带来更严重的安全威胁。

参考链接：

https://www.zataz.com/une-fuite-massive-expose-les-donnees-postales-de-la-russie/

利用电子邮件附件传播Formbook信息窃取器的钓鱼攻击分析

Formbook自2016年现身以来，在隐蔽性和逃避技术等方面不断进化，目前在黑客论坛上以恶意软件即服务（Malware as a Service）的形式出售，出现了多种变种。此次攻击活动的变种在逃避技术上与以往相似，但在部署最终有效载荷前，设置了多个阶段，并且有效载荷仅在内存中加载，以避免被识别。与其它变种一样，该变种还使用了隐写术，将恶意文件隐藏在图片中，解密后在内存中加载并执行。

攻击活动始于一封鱼叉式钓鱼邮件，邮件中包含一个采购订单以及一个名为“PurchaseOrder.exe”的zip文件附件。解压后，发现该附件仅包含一个名为“PurchaseOrder.exe”的PE文件，这是一个dotnet编译的二进制文件。该变种将第二阶段和第三阶段恶意软件隐藏在“PurchaseOrder.exe”的资源中，资源名称为“Hkyl”，其中包含第三阶段的二进制文件。初始阶段，恶意软件会休眠九秒，然后开始解密第二阶段的有效载荷。它从“PurchaseOrder.exe”资源中的“APP”资源获取第二阶段加密数据，并将其存储在字节数组中，同时存储用于解密第二阶段有效载荷的16字节密钥“AP7H9H5OI4478F8CH05FGA”。

在解密第二阶段有效载荷之前，恶意软件创建了一个大小为256字节的第三数组，并用0到255的值进行初始化。接着，将16字节密钥复制到第三数组的随机位置。设置好第三数组后，对加密数据执行XOR操作，并将结果保存在第二数组中，此时第二数组包含了第二阶段PE文件“arthur.dll”。为了执行第二阶段的DLL文件，它使用InvokeMember()方法通过Load方法将解密后的程序集（Arthur.dll）加载到内存中，但并未直接调用Load函数，而是从一个对象中获取其值，该对象的值为“Load”。

在第三阶段PE文件中，构造函数在调用主方法“ukHjJHqoK1()”之前，会解密所需的配置设置。这些设置包含最终有效载荷的解密密钥、互斥体名称以及互斥体标志是否启用、文件下落位置、文件下载行为是否启用、文件下载位置等。一旦父文件在“%appdata%Roaming”位置自我复制，该文件将被添加到排除路径中。然后，它将解码在第三阶段主方法的构造函数中解密的base64编码数据，将其转换为字符串，该字符串是一个XML文件。此XML文件包含生成任务的值，如恶意软件文件的隐藏属性、持久性、功能启用、文件路径的命令执行等。

此次Formbook钓鱼攻击活动再次提醒我们，随着恶意软件即服务的兴起，Formbook出现了多个版本。通常，包装器不断变化，但最终有效载荷保持不变，以避免AV检测。威胁行为者通过鱼叉式钓鱼邮件传播此恶意软件，附件中包含恶意文档或可执行二进制文件。建议用户不要打开带有附件的可疑邮件。该变种实现了逃避技术以保持持久性，通过隐藏文件属性避免被系统管理员或用户发现，并通过创建互斥体确保系统中只运行一个恶意软件实例。

参考链接：

https://www.seqrite.com/blog/formbook-phishing-campaign-analysis/

新型恶意软件家族PLAYFULGHOST具备多种信息窃取功能

近日，谷歌的研究人员发现了一个名为PLAYFULGHOST的新恶意软件家族，该家族具备多种功能，包括键盘记录、屏幕和音频捕获、远程外壳访问以及文件传输/执行等。PLAYFULGHOST后门与2008年公开发布的Gh0st RAT的源代码共享功能。

研究人员发现，PLAYFULGHOST主要通过以下两种方式传播：一是通过主题为“行为准则”等的钓鱼邮件，诱骗用户下载恶意软件；二是将恶意代码捆绑到流行应用程序（如LetsVPN）中，并通过搜索引擎优化（SEO）中毒的方式进行传播。在研究人员分析的一个案例中，攻击链始于诱骗受害者打开一个伪装成图像文件的恶意RAR存档，该存档使用.jpg扩展名。执行该存档后，会释放一个恶意的Windows可执行文件，最终从远程服务器下载并执行PLAYFULGHOST有效载荷。在另一种情况下，SEO中毒感染诱骗受害者下载一个被木马化的LetsVPN安装程序，该程序随后从远程服务器下载后门组件。

PLAYFULGHOST利用DLL搜索顺序劫持和侧加载来执行恶意DLL，Mandiant研究人员观察到一个复杂的场景，涉及Windows快捷方式和重命名的“curl.exe”来侧加载恶意软件。具体来说，Mandiant观察到一个名为“QQLaunch.lnk”的Windows LNK文件，该文件结合一个名为“h”的文本文件（包含字符“MZ”）和一个名为“t”的文件（包含其余的PE有效载荷），构建一个新的恶意DLL“libcurl.dll”。然后，LNK文件启动“QQLaunch.exe”，这是腾讯QQ的一个合法二进制文件，该文件又启动另一个合法二进制文件“TIM.exe”，它是程序CURL的重命名版本。“TIM.exe”随后加载恶意启动器DLL“libcurl.dll”，该DLL将从名为“Debug.log”的加密文件中解密并加载PLAYFULGHOST有效载荷。

Mandiant研究人员还观察到与PLAYFULGHOST一起使用的其他恶意软件家族和工具，包括BOOSTWAVE（作为附加可移植执行文件（PE）有效载荷的内存中dropper的shellcode）、TERMINATOR（利用zam64.sys驱动程序滥用Spyboy技术终止所有EDR/XDR/AV进程的开源工具）、QAssist.sys（嵌入在PLAYFULGHOST中的rootkit，能够隐藏注册表、文件和由威胁行为者指定的进程）以及CHROMEUSERINFO.dll（PLAYFULGHOST用于检索Google Chrome用户数据，包括存储的登录凭据的DLL）。

PLAYFULGHOST通过运行注册表项、计划任务、启动文件夹和Windows服务等方法保持持久性。该后门还可以投放额外的有效载荷、阻止输入、清除事件日志、擦除剪贴板、删除浏览器数据以及擦除Skype和Telegram等应用程序的配置文件。

参考链接：

https://securityaffairs.com/172707/malware/playfulghost-backdoor-capabilities.html

纳米比亚电信遭勒索软件攻击

2024年12月，非洲国家纳米比亚的电信提供商Telecom Namibia经历了一场严重的勒索软件攻击，由勒索软件即服务（RaaS）组织Hunters International发起。这场攻击不仅导致部分客户数据泄露，还凸显了非洲地区关键基础设施面临的网络安全威胁日益严峻，以及勒索软件攻击的不断蔓延之势。

攻击者首先通过钓鱼邮件、漏洞利用等手段，成功侵入Telecom Namibia的网络系统。他们可能利用了系统中存在的安全漏洞，如远程代码执行漏洞或权限提升漏洞，获取了对关键服务器的控制权限。随后，攻击者部署了勒索软件，对系统中的数据进行加密，使数据无法正常使用。在数据加密完成后，攻击者将部分窃取的客户数据泄露到了暗网，这些数据可能包括用户的个人信息、账户数据等敏感内容。暗网作为一个隐秘的网络空间，常被网络犯罪分子用于交易和传播非法数据。攻击者将数据泄露到暗网，既是为了向Telecom Namibia施压，迫使其支付可能被要求的赎金，也是为了在黑市上出售这些数据，获取额外的非法收益。

Telecom Namibia在攻击发生后迅速采取行动，与执法机构和第三方事件响应团队合作展开调查。公司CEO斯坦利·沙纳平达在12月16日的声明中表示，威胁大约在三周前得到了控制，进一步的攻击被阻止。然而，因公司拒绝支付赎金，泄露的信息最终在暗网上被公布。在恢复过程中，Telecom Namibia与专业的网络安全团队合作，对受感染的系统进行了彻底的清理和修复，解密了被加密的数据，并恢复了正常的业务运营。同时，公司加强了网络安全防护措施，包括更新安全策略、修补系统漏洞、加强员工安全培训等，以提高整体的防御能力，防止类似事件再次发生。

此次勒索软件攻击对Telecom Namibia造成了严重的负面影响。用户信息的泄露严重损害了公司的声誉，客户对公司的信任度大幅下降，可能导致客户流失。攻击导致公司业务中断，影响了正常的运营和服务提供，给公司带来了经济损失。此外，公司还需要投入大量的人力、物力和财力来应对此次事件，包括支付事件响应费用、加强网络安全防护等，进一步加重了公司的经济负担。

参考链接：

https://www.darkreading.com/cyberattacks-data-breaches/ransomware-targeting-infrastructure-telecom-namibia