2020.05.07-2020.05.14

　　攻擊團伙情報

　　BackConfig更新換代：針對南亞政府和軍事組織的惡意軟件分析

　　東歐殺手：Gamaredon APT組織定向攻擊烏克蘭事件分析

　　Ramsay：DarkHotel針對隔離網絡的新型惡意工具包

　　攻擊行動或事件情報

　　SilverTerrier：利用COVID-19相關信息為誘餌的攻擊行動

　　利用“順豐速運”下發GuLoader惡意軟件的風險分析

　　利用JsOutProx RAT針對印度金融業的攻擊活動分析

　　Mykings僵尸網絡更新基礎設施，大量使用PowerShell腳本進行“無文件”攻擊挖礦

　　“8220”挖礦木馬入侵服務器挖礦，組建“海嘯”僵尸網絡，可發起DDoS攻擊

　　惡意代碼情報

　　【流行威脅追蹤】深度分析Netwalker勒索軟件

　　Astaroth：利用YouTube頻道作C2的惡意軟件

　　Poulight Stealer，新型竊密木馬

　　ClodCore：通過云控下發挖礦模塊的惡意木馬

攻擊團伙情報

　　1. 東歐殺手：GamaredonAPT組織定向攻擊烏克蘭事件分析

　　披露時間：2020年05月11日

　　情報來源：

　　https://ti.qianxin.com/blog/articles/analysis-of-gamaredon-apt-targeted-attack-on-ukraine/

　　相關信息：

　　Gamaredon APT組織是疑似具有東歐背景的APT團伙，該組織攻擊活動最早可追溯到2013年，其主要針對烏克蘭政府機構官員，反對黨成員和新聞工作者，以竊取情報為目的。

　　根據奇安信紅雨滴團隊觀測從2019年末至今，Gamaredon組織保持高強度的活躍狀態，且每次活動都與烏克蘭地區的政治以及安全動態有關。2020年1月25日烏克蘭安全局宣布在2019年共阻止了482次針對關鍵基礎設施的網絡攻擊。

　　在五一假期前后，奇安信紅雨滴團隊發現Gamaredon組織開始了新活動，在此次活動中，該組織依然使用模板注入的方式從遠程服務器下載payload，與以往不同的是本次活動下載的payload為帶有cve-2017-11882漏洞的rtf文檔，而非以往的帶有惡意的宏文檔來執行后續代碼，由于模板注入免殺效果較好，VT上僅有為數不多的殺軟報毒。

　　2. Ramsay：DarkHotel針對隔離網絡的新型惡意工具包

　　披露時間：2020年05月13日

　　情報來源：

　　https://www.welivesecurity.com/2020/05/13/ramsay-cyberespionage-toolkit-airgapped-networks/

　　相關信息：

　　ESET研究人員在VirusToal發現了一個之前未曾披露過的新型惡意框架，該框架用于收集受害者機器上的敏感文檔等信息，ESET將該框架命名為Ramsay。

　　根據ESET的觀測顯示，自2019年到目前，已有三個版本的Ramsay框架在野利用。分別通過CVE-2017-0199/CVE-2017-11882惡意文檔以及7zip安裝程序作為攻擊媒介。表明該框架仍在不斷進行升級換代。且該框架與傳統惡意軟件不同，Ramsay沒有基于網絡的C&C通信協議，也不會主動去嘗試連接遠程服務器。獲取控制指令只要靠掃描所有的網絡共享以及可移動磁盤中的具有特殊標記的文件，從中讀取命令執行。

　　ESET根據Ramsay組件中的某些代碼片段發現，該框架與Darkhotel的Retro后門存在相似性，例如多個相同的字符串，相似的解密算法。同時，在惡意文檔的元數據中，還存在著韓語相關的信息。

　　3. BackConfig更新換代：針對南亞政府和軍事組織的惡意軟件分析

　　披露時間：2020年05月11日

　　情報來源：

　　https://unit42.paloaltonetworks.com/updated-backconfig-malware-targeting-government-and-military-organizations/

　　相關信息：

　　Unit42研究人員在過去的4個月中，持續監測到利用魚叉式釣魚郵件針對南亞政府和軍事組織的攻擊活動，此類攻擊通過帶有惡意的宏的xls文檔進行攻擊，一旦受害者啟用宏后，惡意宏將釋放多個惡意組件安裝最終的惡意程序，最終插件式木馬BackConfig將被執行起來，BackConfig可下載執行各種功能的惡意組件，包括收集系統信息，鍵盤記錄，上傳文件等。

　　根據Unit42的分析表明，該APT組織一直在嘗試改變攻擊方式，但一些習慣卻難以改變，例如該組織的宏利用樣本，在啟用宏后，都會彈出一個虛假的錯誤消息框，以促使受害者相信文件損壞導致無法查看。但錯誤消息框的消息內容都存在著拼寫或語法錯誤。

攻擊行動或事件情報

　　1. SilverTerrier：利用COVID-19相關信息為誘餌的攻擊行動

　　披露時間：2020年05月07日

　　情報來源：

　　https://unit42.paloaltonetworks.com/silverterrier-covid-19-themed-business-email-compromise/

　　相關信息：

　　Unit42研究人員在監測到3個尼日尼亞網絡團伙利用疫情相關信息開展攻擊活動，Unit42將此類攻擊活動統稱為SilverTerrier。在SilverTerrier活動中，Uint42在其客戶群體中捕獲了超過170封釣魚郵件，這些攻擊活動主要針對美國、澳大利亞、加拿大、意大利和英國等地的政府醫療機構、地方政府、保險公司等。

　　在SilverTerrier大多數攻擊活動中，攻擊者偽裝為來自合法部門的郵件，利用疫情相關信息為誘餌，誘導受害者啟用惡意附件，從而分發Lokibot,AgentTesla,NanoCore等惡意軟件。

　　2. 利用“順豐速運”下發GuLoader惡意軟件的風險分析

　　披露時間：2020年05月09日

　　情報來源：

　　https://cert.#/report/detail?id=c71f09a26d7c130abcdef0fda0aac3bf

　　相關信息：

　　GuLoader是一個使用VB語言編寫的惡意軟件下載器。它通常從Google Drive、Microsoft OneDrive、MediaFire等托管站點下載惡意代碼執行。常見的后續惡意遠控程序有：LokiBot、Remcos RAT和AgentTesla等等。GuLoader本身具有較為復雜的執行流程，較強的反調機制使得當前部分在線沙盒無法精確檢測惡意行為，同時也給分析人員造成一定阻礙。

　　360-CERT監測到今年以來使用GuLoader惡意軟件的網絡攻擊活動呈現不斷增加的態勢。近期，360-CERT捕獲一例GuLoader釣魚郵件，該郵件偽裝為“順豐速運”，誘導受害者點擊郵件正文的釣魚鏈接，從而下載GuLoader壓縮包執行。

　　3. 利用JsOutProxRAT針對印度金融業的攻擊活動分析

　　披露時間：2020年05月11日

　　情報來源：

　　https://www.zscaler.com/blogs/research/targeted-attacks-indian-government-and-financial-institutions-using-jsoutprox-rat

　　相關信息：

　　2020年4月，ThreatLabz監測到幾起針對印度政府機構和銀行業的攻擊事件，在攻擊活動者，攻擊者已將釣魚郵件發送給了印度儲備銀行，IDBI銀行，印度農業銀行等金融相關機構，郵件附件中包含基于JavaScript和Java的惡意程序。

　　通過對附件中惡意軟件分析發現，基于JavaScript的后門屬于JsOutProx RAT家族，該惡意家族最早于2019年12年被披露，同時，基于Java的后門功能也與JsOutProx RAT相似，該家族是具有全功能的JavaScript后門，具有下載執行其他腳本，收集受害者機器信息，重啟電腦等功能。

　　4. Mykings僵尸網絡更新基礎設施，大量使用PowerShell腳本進行“無文件”攻擊挖礦

　　披露時間：2020年05月12日

　　情報來源：

　　https://mp.weixin.qq.com/s/Eyqm-lgQovFaJnk3FHihJQ

　　相關信息：

　　MyKings僵尸網絡2017年2月左右開始出現，該僵尸網絡通過掃描互聯網上 1433 及其他多個端口滲透進入受害者主機，然后傳播包括DDoS、Proxy(代理服務)、RAT(遠程控制木馬)、Miner(挖礦木馬)、暗云III在內的多種不同用途的惡意代碼。由于MyKings僵尸網絡主動擴散的能力較強，影響范圍較廣，對企業用戶危害嚴重。

　　騰訊安全威脅情報中心發現此次MyKings僵尸網絡做了如下更新：

　　1.新增IP、域名、URL;

　　2.大量采用POWERSHELL腳本進行“無文件”落地攻擊;

　　3.在清理競爭對手挖礦木馬名單中增加了“新冠”挖礦木馬;

　　4.使用挖礦賬號登陸，隱藏了錢包地址;

　　5.新增白利用文件;

　　6.不同系統版本執行腳本不同;

　　7.獲取windows登陸密碼。

　　5.“8220”挖礦木馬入侵服務器挖礦，組建“海嘯”僵尸網絡，可發起DDoS攻擊

　　披露時間：2020年05月12日

　　情報來源：

　　https://mp.weixin.qq.com/s/X0LeyXch6Bsa_2aF-cItXQ

　　相關信息：

　　“8220”是奇安信威脅情報中心發現命名的挖礦團伙，近期，騰訊安全威脅情報中心檢測到“8220”挖礦木馬變種攻擊?！?220”挖礦團伙擅長利用WebLogic、JBoss反序列化漏洞，Redis、Hadoop未授權訪問漏洞等Web漏洞攻擊服務器挖礦。該團伙在攻擊活動中通過Apache Struts遠程代碼執行漏洞(CVE-2017-5638)、Tomcat弱口令爆破進行傳播的木馬大幅增加。

　　木馬在橫向移動階段會利用Python實現的Redis未授權漏洞訪問漏洞對隨機生成的約16萬個IP進行掃描攻擊，并且利用植入的shell腳本hehe.sh繼續利用已有公鑰認證記錄的機器建立SSH連接進行內網擴散，最終在失陷機器植入多款門羅幣挖礦木馬以及Tsunami僵尸網絡木馬，后者被該團伙用來進行DDoS攻擊。

　　“8220”挖礦木馬團伙的攻擊目標包括Windows和Linux服務器，在其使用的FTP服務器上，可以發現針對不同操作系統的攻擊模塊。該團伙釋放挖礦木馬時，會檢查服務器是否有其他挖礦木馬運行，將所有競爭挖礦木馬進程結束，以獨占服務器資源。

　　根據代碼的相似性、C2關聯性、挖礦時使用的相同門羅幣錢包以及配置文件解密方法、相似的FTP服務器。騰訊安全專家認為，2020年初出現的StartMiner與“8220”挖礦木馬屬于同一團伙。該團伙當前版本惡意程序與C2服務器的通信已不再使用“8220”端口，根據近期捕獲到的樣本對其攻擊偏好使用的文件名進行總結，發現其具有使用多種腳本包括VBS、PHP、Python、Powershell、Shell進行組合攻擊的特點。

惡意代碼情報

　　1.【流行威脅追蹤】深度分析Netwalker勒索軟件

　　披露時間：2020年05月08日

　　情報來源：

　　https://mp.weixin.qq.com/s/IeTZSDhX7E_l2cyT5QJgQA

　　相關信息：

　　Netwalker勒索，也被稱為Mailto勒索，Mailto是基于加密文件名格式的勒索軟件的名稱，Netwalker是基于勒索軟件的勒索信內容給出的名稱，目前針對的目標是企業和政府機構，近期開始活躍。

　　該家族發展歷程如下，2019 年 9 月左右發現了一個新變種的勒索病毒，該勒索病毒根據被加密文件的擴展名被命名為 Mailto。針對企業的Mailto勒索病毒在 2020 年 1 月 31 日針對性攻擊澳洲貨運與物流公司 Toll Group 的公司網絡，加密了連接至公司網絡的所有 Windows 設備，高達 1000 臺主機被感染，導致該公司關閉許多 IT 系統。2020 年 2 月初澳洲Australian Signals Directorate 的 Australian CyberSecurity Centre (ACSC)發布了此勒索病毒的警報通知。

　　深信服安全團隊近期捕獲了該勒索軟件家族的新變種，經分析該變種采用了PowerShell加載執行dll的方式來執行核心勒索，此樣本的核心勒索為一個32位dll文件，提取后查找到實際文件名為Netwalker_dll.dll，經后續分析該勒索會采用多種技巧來規避殺軟查殺。

　　2. Astaroth：利用YouTube頻道作C2的惡意軟件

　　披露時間：2020年05月11日

　　情報來源：

　　https://mp.weixin.qq.com/s/IeTZSDhX7E_l2cyT5QJgQA

　　相關信息：

　　近期，思科Talos團隊發現一種新的信息竊取者惡意軟件Astaroth，該惡意軟件主要針對巴西。通常采用葡萄牙語編寫各種誘餌向巴西受害者發送釣魚郵件，其中還包括COVID-19相關的誘餌郵件。郵件誘導受害者點擊郵件中的釣魚鏈接， 從而下載執行惡意軟件。

　　Astaroth采用了多種混淆和反分析技術以躲避安全研究人員的分析，在第二階段的js中采用大量混淆干擾分析，當惡意軟件落地后，還將進行檢查運行環境，檢查是否處于虛擬機或沙箱，檢查當前運行環境是否有安全研究人員常用的分析工具進程等一系列檢查。同時，該惡意軟件將YouTube頻道作為C2，從頻道中獲取命令執行。

　　3. Poulight Stealer，新型竊密木馬

　　披露時間：2020年05月07日

　　情報來源：

　　https://yoroi.company/research/poulight-stealer-a-new-comprehensive-stealer-from-russia/

　　相關信息：

　　如今，信息竊取是最常見的威脅之一。這類惡意軟件包括Azorult，Agent Tesla和Hawkeye等。信息竊取市場是網絡罪犯最賺錢的市場之一，從受感染系統收集的信息可以轉售到地下網絡犯罪中，或用于憑證填充攻擊。

　　在過去的兩個月中，Yoroi監控了Poulight Stealer信息竊取者的演變和擴散，該信息竊取者很可能起源于俄羅斯。該惡意軟件是.NET木馬，未采取任何混淆，運行后首先會檢查運行環境，判斷是否處于虛擬機或沙箱中，之后將進入惡意功能流程，收集受害者計算機上多種敏感信息，例如Skype,Filezilla,Steam等賬戶密碼信息，同時值得注意的是，惡意軟件會使用英語和俄語兩種語言對竊取的信息進行存儲。

　　4. ClodCore：通過云控下發挖礦模塊的惡意木馬

　　披露時間：2020年05月09日

　　情報來源：

　　https://blog.360totalsecurity.com/en/clodcore-a-malware-family-that-delivers-mining-modules-through-cloud-control/

　　相關信息：

　　近期，360 Baize Lab檢測到一個黑客組織已通過各種破解游戲傳播了ClodCore木馬。感染木馬后，病毒作者將使用云控分發挖礦，暗刷和其他病毒模塊，以使用受害機器瘋狂斂財。受害機器主要分布在俄羅斯，烏克蘭和其他國家，累積感染超過50,000。