首页 科技内容详情
2021年第二季度网络攻击回首

2021年第二季度网络攻击回首

分类:科技

网址:

反馈错误: 联络客服

点击直达

欧博亚洲APP下载

欢迎进入欧博亚洲APP下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

更有有针对性的攻击

与Cycldek有关的攻击

卡巴斯基实验室的研究职员4月份发现了一个名为“FoundCore”的文件,该恶意软件样本是在针对位于越南的着名组织的攻击中发现的,经太过析,它的攻击功效相较于“DLL侧加载三步法”有了很大的改善,所谓的“DLL侧加载三步法”就是正当的可执行文件、由它侧加载的恶意 DLL 和编码的有用载荷,通常在自解压文件中自行执行删除程序。

在这个示例中,shellcode被严重混淆了。研究职员发现这个文件的加载程序异常有趣,以是研究职员决议将研究职员的目的恶意软件逆向工程课程的一个轨道基于它。

最终的有用载荷是一个远程治理工具,它可以让操作员实现对受害盘算机的完全控制。与服务器的通讯可以通过使用 RC4 加密的原始 TCP 套接字或通过 HTTPS 举行。

在研究职员发现的绝大多数攻击示例中,FoundCore 执行之前都市打开从 static.phongay[.]com 下载的恶意 RTF 文件,所有这些文件都是使用 RoyalRoad 天生的,并试图行使 CVE-2018-0802。所有这些文件都是空缺的,这注释存在着前置文件(可能是通过鱼叉式网络钓鱼或以前的熏染方式流传的),它们触发了RTF文件的下载。乐成的破绽行使导致攻击者进一步部署名为DropPhone和CoreLoader的恶意软件。

研究职员的追踪剖析数据显示,,已有数十个组织受到影响,这些组织属于政府或军事部门,或其他与卫生、外交、教育或政治垂直领域有关的组织。80%的目的在越南,其余地漫衍在中亚和泰国。

在野外使用的Windows的桌面治理器破绽

在剖析CVE-2021-1732破绽时,研究职员发现了另一个零日破绽。该破绽首先由DBAPPSecurity Threat Intelligence Center发现,并被BITTER APT组织使用。研究职员在2月份向微软讲述了这个新的破绽,在确认它确实是一个零日破绽后,微软公布了一个针对新的零日破绽的补丁(CVE-2021-28310),作为其4月份平安更新的一部门。

CVE-2021-28310是桌面窗口治理器(dwm.exe)中的dwmcore.dll中的一个越界 (OOB) 写入破绽。由于缺乏界线检查,攻击者能够确立一种情形,允许他们使用DirectComposition API以受控偏移量写入受控数据。DirectComposition是一个Windows组件,在Windows 8中引入,以支持转换、效果和动画的位图合成,并支持差异泉源(GDI、DirectX 等)的位图。

该破绽最初是由卡巴斯基的破绽预防手艺和相关检测纪录识其余,在已往几年中,卡巴斯基在其产物中构建了多种破绽行使珍爱手艺,这些手艺已检测到多个零日破绽,并一次又一次地证实了它们的有用性。

研究职员以为这个破绽可能已经被一些潜在的攻击者普遍使用,而且它可能与其他浏览器破绽一起使用,以逃离沙箱或获得系统权限以举行进一步接见。

你可以在这篇文章中找到该破绽的手艺细节。

TunnelSnake流动

Windows rootkit,稀奇是那些在内核空间操作的rootkit,在系统中享有很高的权限,允许它们阻挡和默默改动底层操作系统举行的焦点I/O操作,好比读取或写入文件,或处置传出网络数据包。它们能够融入操作系统自己的结构,这就是rootkit若何获得隐身和逃避的缘故原由。然而,随着时间的推移,在Windows中部署和执行rootkit组件变得越来越难题。微软引入的驱动程序署名执行和内核补丁珍爱(PatchGuard)使得改动系统变得加倍难题。因此,市面上的Windows rootkit数目急剧下降,大多数仍然活跃的rootkit经常被用于APT攻击。

而名为TunnelSnake的流动,rootkit在攻击中就很少被使用到。攻击者的目的主要是是东南亚和非洲的外交组织,针对这些目的可以在外部接见到的主机举行攻击,乐成部署了Moriya rootkit,由于微软引入了驱动强制署名以及补丁检测机制。Moriya是一个被动后门,被部署到外部可以接见到的服务器上,通过安装WFP过滤驱动检查所有传入受熏染机械的流量,取出带有特征字符串的流量包举行响应,因此它不包罗硬编码的C2地址,这使得对攻击者的溯源难以举行。同时,Moriya在内核层网络客栈处置数据包之前截获它们,也使得平安检测难以发现它们。Moriya被用来在面向民众的服务器上部署被动后门,建一个隐藏的C2(下令和控制)通讯通道,默默地控制着恶意软件的行为。

该rootkit早在2019年11月就被研究职员发现,经由追踪剖析,TunnelSnake至少从2018年以来就一直处于活跃状态。

由于在流动时代附带的 Rootkit 和其他横向移动工具都不依赖于硬编码的 C2 服务器,因此研究职员只能部门领会攻击者的基础设施。然而,除了 Moriya 之外,大部门检测到的工具都包罗专有和众所周知的恶意软件,这些恶意软件以前被讲中文的攻击者使用过,这为攻击者的泉源提供了线索。

PuzzleMaker

4月14日至15日,研究职员检测到一波针对多家公司的针对性很强的攻击。更详细的剖析显示,所有这些攻击行使了谷歌Chrome和微软Windows零日破绽链。

虽然研究职员无法在Chrome web浏览器中检索用于远程代码执行(RCE)的破绽,但研究职员能够找到并剖析用于逃离沙箱并获得系统权限的升级权限(EoP)破绽。此EoP破绽经由微调,可针对Windows 10的最新版本(17763 - RS5, 18362 - 19H1, 18363 - 19H2, 19041 - 20H1, 19042 - 20H2),并行使Microsoft Windows OS内核中的两个差其余破绽。

4月20日,研究职员向微软讲述了这些破绽,他们将CVE-2021-31955定性为信息泄露破绽,将 CVE-2021-31956 分配给 EoP 破绽。破绽行使链试图通过滴管在系统中安装恶意软件,恶意软件以系统服务的形式启动并加载有用载荷,这是一个“远程shell”式的后门,它依次毗邻到 C2 以获取下令。

研究职员无法找到任何与已知攻击组织的联系或重叠,以是研究职员暂时将此流动命名为PuzzleMaker。

Andariel 在其工具集中添加了勒索软件

今年4月,研究职员发现了一个可疑的Word文件,其中包罗一个韩国文件名和上传到VirusTotal的钓鱼网站。该文件包罗一个生疏的宏,并使用新手艺植入下一个有用载荷。研究职员的剖析显示,这些攻击中使用了两种熏染方式,且每个有用载荷都有自己的加载器在内存中执行。攻击者只向特定的受害者提供最后阶段的有用载荷。

Malwarebytes揭晓了一份讲述,其中包罗了统一系列攻击的手艺细节,早先研究职员将其归罪于Lazarus 组织。然而,经由深入剖析,研究职员得出的结论是,攻击是Andariel组织(Lazarus的下属组织)提议的。

Usdt第三方支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

从历史上看,Andariel 主要针对韩国的组织,这次流动中也是云云。研究职员确认了制造、家庭网络服务、媒体和修建行业的几名受害者。

研究职员还发现了与Andariel组织的其他联系,每个攻击者都有一个怪异的习惯,当他们在攻击的后行使阶段与后门shell 交互事情时。Windows下令及其选项在这次流动中使用的方式险些与之前的Andariel流动相同。

值得注重的是,除了最后一个后门外,研究职员还发现一名受害者熏染了自界说勒索软件。

Ferocious Kitten

“Ferocious Kitten”是一个APT攻击者,目的似乎在伊朗说波斯语的人,该组织提议的攻击最近才被发现。最近,由于推特上的研究职员将一份诱饵文件上传到VirusTotal上并果然,该攻击才受到了关注。

研究职员能够扩展关于该组织的一些发现,并提供关于它使用的其他变体的剖析。被称为“MarkiRAT”的恶意软件从诱饵文件中被释放,纪录击键、剪贴板内容,并提供文件下载和上传功效,以及在受害者的电脑上执行随便下令的功效。“Ferocious Kitten”至少从2015年就最先活跃了,旨在挟制Telegram和Chrome应用程序。

其他恶意软件

JSWorm勒索软件的迭代

研究职员最近公布了一个名为JSWorm的勒索软件家族的剖析讲述,该恶意软件于2019年被发现,从那时起,Nemty、nefilm、Offwhite等变体相继泛起。

每个“重新命名”的版本都包罗了对代码差异方面的修改,文件扩展名、加密方案、加密密钥、编程语言和公布模子。自泛起以来,JSWorm 已经从一个典型的大规模勒索软件威胁生长为主要影响小我私人用户的软件,已取得利益最大化。

Black Kingdom勒索软件

Black Kingdom于2019年首次被发现,2020年,该组织被发现在攻击中行使如CVE-2019-11510等破绽。在最近的流动中,在最近的流动中,未知攻击者行使该勒索软件来行使 Microsoft Exchange 破绽 (CVE-2021-27065,又名 ProxyLogon)。这个勒索软件家族远没有其他的勒索软件即服务(RaaS)庞大。该恶意软件是用Python编写的,并使用PyInstaller编译为可执行文件。该勒索软件支持两种加密模式,一种是动态天生的,另一种使用硬编码密钥。代码剖析显示了在硬编码密钥的辅助下恢复被Black Kingdom加密的文件的可能性。在举行剖析时,已经有一个剧本可以恢复用嵌入密钥加密的文件。

Black Kingdom 将桌面靠山更改为提醒系统在加密文件时被熏染,同时禁用鼠标和键盘。

在对Python代码举行反编译后,研究职员发现Black Kingdom的代码库起源于GitHub上的一个开源勒索软件构建器。该组织修改了部门代码,添加了最初未在构建器中提供的功效,例如硬编码的密钥。研究职员无法将 Black Kingdom 归因于任何已知的威胁组织。

Gootkit:郑重的银行木马

Gootkit是一种庞大的多阶段式银行恶意软件,最初是由Doctor Web在2014年发现的。最初,它是通过垃圾邮件和Spelevo和RIG等工具包流传的。在与垃圾邮件流动相连系的情形下,这些攻击者厥后转向了那些接见者被诱骗下载恶意软件的受熏染网站。

Gootkit 能够从浏览器中窃取数据、执行浏览器中央人攻击、键盘纪录、截屏以及许多其他恶意操作。木马的加载程序执行种种虚拟机和沙箱检查,并使用庞大的持久性算法。

2019 年,Gootkit 在履历数据泄露后住手运营,但自 2020 年 11 月以来又活跃起来,大多数受害者位于德国和意大利等欧友邦家。

Bizarro银行木马扩展到欧洲

Bizarro 是另一个起源于巴西的银行木马家族,现在在天下其他地方也有发现。研究职员已经看到有人在西班牙、葡萄牙、法国和意大利被攻击。该恶意软件已被用于窃取来自差异国家的 70 家银行客户的凭证。

Bizarro 是通过受害者从垃圾邮件中的链接下载的 MSI 包流传的。启动后,它会从受熏染的网站下载 ZIP 压缩文件。研究职员考察到被黑客攻击的WordPress, Amazon和Azure服务器被木马用来存储档案。该后门是Bizarro的焦点组件,包罗100多条下令,攻击者可以借此窃取网上银行账户凭证。大多数下令用于显示虚伪的弹出新闻,并试图诱骗人们输入双因素身份验证码。该木马还可能使用社交工程来说服受害者下载智能手机应用程序。

APKPure 应用中的恶意代码

4 月初,研究职员在 APKPure 应用商铺官方客户端的 3.17.18 版本中发现了恶意代码,这是一个盛行的 Android 应用替换泉源。该情形似乎与 CamScanner 发生的情形类似,那时该应用程序的开发职员从未履历证的泉源实行了广告软件 SDK。

启动时, HEUR:Trojan-Dropper.AndroidOS.Triada.ap 的嵌入式木马释放程序会解压缩并运行其有用载荷,该有用载荷能够在锁定屏幕上显示广告、打开浏览器选项卡、网络有关装备,并下载其他恶意代码。下载的木马取决于 Android 版本以及最近安装的平安更新。对于相对较新版本的操作系统(Android 8 或更高版本),它会为 Triada 木马加载其他模块。若是装备较旧(Android 6 或 7,且未安装平安更新),则可能是 xHelper 木马。

针对 Apple M1 芯片的恶意软件

去年 11 月,苹果推出了 M1 芯片。这款新芯片已在其多个产物中取代了英特尔处置器,它基于 ARM 架构,而不是传统上用于小我私人盘算机的 x86 架构。这为 Apple 完全切换到自己的处置器并在单一架构下统一其软件奠基了基础。不幸的是,在公布后的几个月,恶意软件的开发者就公布了针对新的处置器的恶意软件。

实验使用 PHP 举行供应链攻击

今年3月,未知的攻击者试图通过在PHP剧本语言中引入恶意代码来实行供应链攻击。PHP开发职员使用构建在GIT版本控制系统上的公共存储库对代码举行更改。攻击者试图给代码添加一个后门。

本文翻译自:https://securelist.com/it-threat-evolution-q2-2021/103597/
  • aLLbet欧博(www.aLLbetgame.us) @回复Ta

    2021-09-27 00:01:47 

    www.x2w0000.com)实时更新发布最新最快的新2手机管理端网址、新2会员线路、新2备用登录网址、新2手机管理端、新2手机版登录网址、新2皇冠登录网址。可以,我反正爱了

发布评论