针对乌克兰的新勒索软件RansomBoggs与Sandworm有关——每周威胁情报动态第106期（11.25-12.01）

针对乌克兰的新勒索软件RansomBoggs与Sandworm有关

近日，ESET的研究人员披露了针对乌克兰的新型勒索软件RansomBoggs的攻击活动，并将其归因为APT组织Sandworm。新型勒索软件RansomBoggs于今年11月21日首次被ESET的研究人员检测到。通过分析后发现，虽然用.NET编写的恶意软件是新的，但分发机制类似于之前归因于Sandworm的攻击活动。用于从域控制器分发.NET勒索软件的PowerShell脚本几乎与去年4月在Industroyer2事件中攻击能源组织时使用的脚本相同。除此之外，研究人员还发现，该勒索软件一旦进入受害者网络，就会生成一个随机密钥，并在CBC模式下使用AES-256加密文件，同时会在文件末尾附加".chsch"扩展名。

来源：

https://www.welivesecurity.com/2022/11/28/ransomboggs-new-ransomware-ukraine/

ScarCruft使用新后门Dolphin开展攻击

近日，ESET的研究人员披露了具有朝鲜背景的APT组织ScarCruft，使用一个此前未知的全新后门Dolphin开展攻击活动。该后门具有广泛的间谍功能，包括监控驱动器和便携式设备、窃取目标文件、键盘记录、截屏以及从浏览器中窃取凭据。安全研究人员发现，该后门使用了云存储服务——特别是Google Drive——实现与C&C通信。此外，该后门出现在之前ScarCruft针对一家关注朝鲜的韩国在线报纸实施的水坑攻击中，由最后一阶段的后门BLUELIGHT部署。研究人员根据在可执行文件中找到的PDB路径将此后门命名为Dolphin。虽然BLUELIGHT后门也能够对受感染的机器执行基本的侦察和评估操作，但Dolphin后门功能更为复杂，仅针对选定的受害目标手动进行部署。这两个后门都能够从命令指定的路径中提取文件，但Dolphin还会主动搜索驱动器并自动提取具有特定扩展名的文件。默认情况下，Dolphin搜索所有固定(HDD)和非固定驱动器(USB)，创建目录列表，并按扩展名过滤和窃取文件。Dolphin还通过Windows便携式设备API搜索便携式设备，例如智能手机。最后，在上传到Google云端硬盘之前，Dolphin后门将这些数据存储在加密的ZIP存档中。攻击链如下图所示。

https://www.welivesecurity.com/2022/11/30/whos-swimming-south-korean-waters-meet-scarcrufts-dolphin/

Lazarus Group以日本瑞穗銀行等招聘信息为诱饵的攻击活动

近日，奇安信的研究人员披露了具有朝鲜背景的APT组织Lazarus Group，以日本瑞穗银行(Mizuho Bank)的招聘信息为诱饵进行的攻击活动。研究人员捕获到的样本为VHD(虚拟磁盘映像)文件。对样本进行分析后，研究人员认为，攻击的初始载荷应该为鱼叉式钓鱼邮件，通过邮件中的附件诱骗受害者点击打开VHD文件。在实际的环境中，Win7系统并不支持直接打开该类文件，因此该样本可能主要针对高版本Windows系统。同时，Lazarus Group利用Windows操作系统都会隐藏受保护的操作系统文件这一特性，将VHD文件中包含的加密payload以及诱饵文件隐藏了起来。除此之外，攻击者还对攻击载荷.exe文件进行了伪装：在文件名中使用大量空格来隐藏.exe后缀；使用PDF图标进行伪装，降低受害者的警惕性。

来源：

https://mp.weixin.qq.com/s/nnLqUBPX8xZ3hCr5u-iSjQ

Kimsuky以IBM公司安全产品为诱饵的攻击活动

近日，360威胁情报中心披露了具有朝鲜背景的APT组织Kimsuky，用IBM公司安全产品为诱饵投递BabyShark攻击组件的攻击活动。在此次攻击活动中，攻击者利用失陷域名nuclearpolicy101[.]org向目标投递名为RapportSetup.iso的恶意文件。ISO文件内包含名为install.bat的恶意BAT脚本以及名为update.exe的IBM Security Trusteer Rapport安全产品。执行恶意BAT脚本后会安装update.exe，但同时也会从C2下载恶意后门脚本以窃取目标信息。除此之外，安全研究人员还发现，以The Burden of the Unintended文章为诱饵的攻击活动的样本解密算法和密钥都符合公开威胁情报中Kimsuky样本特征，因此将此次攻击活动归属于Kimsuky组织。同时，以IBM公司安全产品为诱饵的攻击活动中，所释放的恶意模板文件和各种恶意脚本特征都符合Kimsuky组织投递BabyShark组件发起攻击的特征，同时以The Burden of the Unintended文章为诱饵的攻击活动中的样本通信格式“.php?na=*.gif”格式和以IBM公司安全产品为诱饵的攻击活动中样本通信格式非常一致，又再次证明该攻击活动是Kimsuky组织利用BabyShark组件发起的。攻击链图如下图所示。

来源：

https://mp.weixin.qq.com/s/OaECtSaeClPzFHslN_WamA

披露Gamaredon Group的样本

近日，研究人员披露了Gamaredon Group组织的恶意样本，IOC信息如下所示：

MD5：73f3bffc4a9bda454456b924df48d6f1

SHA256：4c92057965c17755edad03110fbd7762c938ebdc92531575f919f9790939488e

C2：remote-convert.com、magnolian.site

来源：

https://twitter.com/h2jazi/status/1595787712996556800

针对中东个人和企业的网络钓鱼活动

近期，CloudSEK的安全研究人员发现一组网络钓鱼域名，并表示攻击者正在战略性地购买、注册一些域名，并且针对中东的旅游、石油和天然气、房地产投资等多个行业进行网络钓鱼活动。此外，研究人员还发现了一些用于诱骗受害者的骗局：攻击者利用虚假的工作、投资机会欺骗受害者。在发现的所有域名中，有些只启用了电子邮件服务器，而另一些则设置了网站来使受害者认为它们是合法的。在研究人员分析的35个网络钓鱼域名中，其中90%的攻击目标是阿布扎比国家石油公司(ADNOC)、沙迦国家石油公司(SNOC)和阿联酋国家石油公司(ENOC)。

来源：

https://www.infosecurity-magazine.com/news/phishing-impersonating-uae/

540万Twitter用户的被盗数据遭到泄露

据报道，超过540万条推特用户的数据在黑客论坛上被免费共享，该数据与此前8月份黑客出售的数据相同，包含5485635条推特用户的数据。这些数据包含私人的电子邮件地址和电话号码，以及推特ID、名称、验证状态等多个公开的信息。这些数据是攻击者利用推特API漏洞进行收集的，推特于2022年1月修复了这个导致数据泄露的漏洞。除此之外，研究人员还发现了利用相同漏洞收集的更大的数据集，该数据集中可能包含数千万条推特记录，且研究人员已证实这些泄露的数据的真实性，并表示有多个攻击者利用API漏洞收集了大量的用户数据。

来源：

https://www.bleepingcomputer.com/news/security/54-million-twitter-users-stolen-data-leaked-online-more-shared-privately/

黑客利用TikTok的热门挑战活动传播恶意软件

据报道，最近安全研究人员发现，黑客正在利用TikTok的热门挑战活动“Invisible Challenge”传播恶意软件，窃取受害者的密码信息。攻击者利用该挑战传播一种虚假的程序，并利用该程序在受害者计算机中部署WASP Stealer窃密木马。该木马能够窃取存储在浏览器中的密码、加密货币钱包密码、Discord账户密码和信用卡信息，甚至是计算机中的文件，被盗数据会通过已硬编码的Discord webhook地址发送回攻击者。安全研究人员还发现攻击者发布的两个TikTok宣传视频迅速累积了超过100万的总播放量，且攻击者的Discord服务器曾一度拥有大约32000名成员。Discord服务器上有攻击者发布的指向托管虚假程序的Github链接，且该Github项目目前已经拥有103颗星和18个分支。

来源：

https://checkmarx.com/blog/attacker-uses-a-popular-tiktok-challenge-to-lure-users-into-installing-malicious-package/

通过COVID相关虚假网站传播的Punisher勒索软件变种

近日，研究人员发现了Punisher勒索软件的新变种，该勒索软件利用与COVID相关的虚假网站进行传播，其受害者是来自智利的用户。加密文件后，恶意软件会在浏览器中使用全屏模式打开勒索信，并要求用户支付价值1000美元的比特币以解密文件。该勒索软件还会将勒索信以名为“unlock your files.lnk”的快捷方式文件放置在桌面、开机启动和开始菜单等位置中，以便在受害者登录系统时显示勒索信。研究人员认为，此次活动针对的目标是个人而非企业，因为其使用的是AES-128算法，加密的文件可以被轻松破解。

来源：

https://blog.cyble.com/2022/11/25/punisher-ransomware-spreading-through-fake-covid-site/

新的勒索软件Trigona出现的越来越频繁

近日，研究人员发现一个以前未命名的勒索软件推出了新的Tor谈判网站，并命名为“Trigona”。登录Tor 网站后，受害者将看到有关如何购买门罗币并支付赎金的信息，并且受害者可以在该网站上与勒索组织进行聊天。网站提供了免费解密5个文件的功能，每个文件的大小最大为5MB。支付赎金后，受害者将收到解密器的链接和包含解密私钥的keys.dat文件。目前还不清楚赎金具体为多少，也不清楚该勒索组织是如何进行网络攻击并部署勒索软件。此外，虽然勒索组织声称他们窃取了数据，但研究人员尚未看到任何证据。

来源：

https://www.bleepingcomputer.com/news/security/trigona-ransomware-spotted-in-increasing-attacks-worldwide/