【威胁通告】九游老哥科技威胁情报周报（2021.11.15-2021.11.21）

2021-11-23

一、热门资讯

1. 攻击者使用HTML走私手艺提倡垂纶攻击

【概述】

研究职员忠言说，攻击者越来越多地在网络垂纶运动中使用 HTML 走私手艺。它是一种使用正当 HTML5 和 JavaScript 功效的恶意软件传送的高度规避手艺，恶意负载通过 HTML 附件或网页中的编码字符串传送。恶意 HTML 代码是在目的设惫亓浏览器中天生的，该装备已经处于受害者网络的清静规模内。当目的用户在其 Web 浏览器中翻开 HTML 时，浏览器会对恶意剧本举行解码，进而在主机装备上组装有用载荷。因此，攻击者不是让恶意可执行文件直接通过网络，而是在防火墙后面外地构建恶意软件从而抵达攻击目的。

【参考链接】

https://ti.nsfocus.com/security-news/IlN1I

2. BotenaGo僵尸网络使用多个误差攻击数百万路由器和物联网装备

【概述】

研究职员发明了一个新的 BotenaGo 僵尸网络，该网络使用 33 个误差攻击数百万路由器和物联网装备。BotenaGo 是用 Golang (Go) 编写的，在专家宣布报告时，它的防病毒 (AV) 检测率很低 (6/62)。为了提供误差使用，恶意软件首先使用简朴的“GET”请求盘问目的。然后，它使用映射到攻击函数的每个系统署名搜索从“GET”请求返回的数据。“字符串“Server: Boa/0.93.15”映射到函数“main_infectFunctionGponFiber”，该函数试图使用易受攻击的目的，允许攻击者通过特定的 Web 请求执行操作系统下令 (CVE-2020-8958)。该僵尸网络针对数百万具有使用上述缺陷的功效的装备，例如向Shodan 盘问字符串 Boa，这是一个已停产的用于嵌入式应用程序的开源 Web 服务器，它返回近 200 万台装备。装置后，bot 恶意软件将侦听端口 31412 和 19412，后者用于吸收受害者 IP。一旦吸收到与该端口信息的毗连，它就会遍历映射的误差使用函数并使用给定的 IP 执行它们。BotenaGo 将在受熏染的装备上执行远程 shell 下令，凭证受熏染的系统，bot 使用与差别有用载荷相关联的差别链接。

【参考链接】

https://ti.nsfocus.com/security-news/IlN1L

3. Moses Staff 新黑客组织攻击以色列组织

【概述】

一个名为Moses Staff 的新黑客组织攻击了以色列组织，破损了他们的网络，加密了他们的数据，但随后拒绝协商支付赎金，清静研究职员将其形貌为出于政治念头的破损性攻击。该组织通过使用未修补的旧误差来破损受害者的网络，已往的入侵与未打补丁的 Microsoft Exchange 服务器有关。一旦他们破损了系统，该组织就会使用 PsExec、WMIC 和 Powershell 等工具深入受害者的网络内部。该组织然后在加密其数据之前从受害者的网络中窃取敏感信息，Moses Staff 通�；岚才趴� DiskCryptor 库来执行卷加密并使用指导加载程序锁定受害者的盘算机，指导加载程序不允许盘算机在没有准确密码的情形下启动。纵然提供了准确的码，一旦系统启动，数据仍然会被加载，Check Point 体现在某些情形下可以恢复启动密码和加密密钥。黑客还谋齐整个 Telegram 频道和 Twitter 帐户，在那里他们宣布他们添加到泄密网站的新受害者。

【参考链接】

https://ti.nsfocus.com/security-news/IlN24

4. 朝鲜黑客使用木马化IDA Pro攻击网络清静研究职员

【概述】

据报道，隶属于朝鲜的国家资助组织 Lazarus 正试图使用盛行的 IDA Pro 逆向工程软件的木马化盗版版本，再次针对具有后门和远程会见木马的清静研究职员。研究职员体现IDA Pro 是一种交互式反汇编程序，旨在将机械语言（也称为可执行文件）翻译成汇编语言，使清静研究职员能够剖析程序的内部事情（恶意或其他），并作为调试器来检测过失。斯洛伐克网络清静公司称攻击者将 [Hex-Rays] 开发的原始 IDA Pro 7.5 软件与两个恶意组件捆绑在一起，其中一个是名为“win_fw.dll”的内部�？�，该�？樵谟τ贸绦蜃爸檬贝葱�。这个被改动的版本随后被编排以从系统上的 IDA 插件文件夹加载名为“idahelper.dll”的第二个组件，乐成执行后，“idahelper.dll”二进制文件毗连到位于“www[.]devguardmap[.]org”的远程服务器以检索后续有用负载。

【参考链接】

https://ti.nsfocus.com/security-news/IlN23

5. 攻击者使用加密恶意软件攻击阿里云

【概述】

研究职员发明攻击者的目的是阿里巴巴弹性盘算服务 (ECS) 实例，禁用某些清静功效以进一步实现他们的加密目的。并指出，阿里巴巴提供了一些奇异的选择，使其成为攻击者极具吸引力的目的。攻击者使用加密恶意软件中的一小段特定代码来建设新的防火墙规则，指示清静过滤器扬弃来自属于阿里巴巴内部区域和区域的 IP 规模的传入数据包，通常，当加密挟制恶意软件装置在阿里巴巴 ECS 存储桶中时，清静署剖析向用户发送恶意剧本正在运行的通知。可是清静署理在触发入侵警报之前已被卸载。一旦它通过了清静功效，恶意软件就会继续装置现成的 XMRig 加密钱币矿工，它为门罗币挖矿。

【参考链接】

https://ti.nsfocus.com/security-news/IlN2h

6. 攻击者使用SharkBot攻击欧洲银行

【概述】

Cleafy 的清静研究职员发明了一种名为 SharkBot 的新型 Android 银行木马，它针对欧洲的银行。该恶意软件至少自 2021 年 10 月下旬以来一直处于活跃状态，其目的是意大利、英国和美国银行的移动用户。该木马允许挟制用户的移动装备并从网上银行和加密钱币账户中窃取资金。一旦银行木马装置在受害者的装备上，攻击者就可以通过滥用辅助服务（即登录凭证、小我私家信息、目今余额等）窃取敏感的银行信息，SharkBot 实验笼罩攻击来窃取登录凭证和信用卡信息。并且它实验了多种反剖析手艺，包括字符串混淆例程、模拟器检测和域天生算法 (DGA)。SharkBot 会滥用 Accessibility Service 在受熏染装备内举行 ATS 攻击。ATS（自动转账系统）攻击允许 Treat 加入者自动填写正当手机银行中的字段，以便将资金从受熏染装备转移到攻击者控制下的账户。这种手艺允许自动化这些操作，最大限度地镌汰用户干预。

【参考链接】

https://ti.nsfocus.com/security-news/IlN2i

7. 攻击者使用域前端手艺以Cobalt Strike 攻击缅甸

【概述】

Cisco Talos 于2021 年9月发明了一项恶意运动，该运动使用经由混淆的 Meterpreter stager 安排 Cobalt Strike 信标。该攻击者使用缅甸政府拥有和运营的域缅甸数字新闻网络作为其信标的域前端。恶意软件通常是一个在受害机械上运行的加载程序，通过反射注入解码并执行 Cobalt Strike 信标 DLL。它在运行时加载多个库，并凭证嵌入的设置文件天生信标流量。设置文件包括与下令和控制 (C2) 服务器相关的信息，该服务器指示受害者的机械发送初始 DNS 请求，实验毗连到缅甸政府所有域名 www[.]mdn[.]gov[ 的主机 [.] 。]毫米。该站点托管在 Cloudflare 内容交付网络之后，现实的 C2 流量凭证信标设置数据中指定的HTTP主机标头信息重定向到攻击者控制的服务器 test[.]softlemon[.]net。

【参考链接】

https://ti.nsfocus.com/security-news/IlN2k

8. 巴基斯坦黑客谋划假应用市肆以攻击阿富汗前官员

【概述】

研究职员发明一群巴基斯坦黑客建设并运营了一个虚伪的 Android 应用程序市肆，目的是在阿富汗前政府沦为新塔利班政权之前和时代，攻击和熏染与该政府有关的小我私家。黑客运动爆发在今年 4 月至 8 月之间，由一个名为SideCopy的组织实验。Facebook 清静研究职员体现，SideCopy 运营商在其平台上建设了虚伪小我私家资料，通常冒充年轻女性，并靠近目的，目的是让他们点击恶意链接。这些链接将受害者重定向到网络登录凭证的网络垂纶站点，或者在某些情形下，重定向到托管受恶意软件熏染的 Android 应用程序的虚伪应用程序市肆。SideCopy 通常使用伪装成谈天新闻应用程序的恶意应用程序。他们要么模拟 Viber 和 Signal 等着名品牌，要么完全冒充新的谈天应用程序。这些 Android 应用程序包括远程会见木马。一些应用程序包括一个名为PJobRAT的毒株，而其他应用程序包括一个以前未报告的 Android 恶意软件毒株 Facebook，名为 Mayhem。这两种恶意软件使 SideCopy 操作员可以完全控制受熏染的装备。

【参考链接】

https://ti.nsfocus.com/security-news/IlN2w

9. 攻击者使用特工软件对英国和中东的实体提倡水坑攻击

【概述】

研究职员发明以色列特工软件供应商Candiru，它被添加到这个月的经济块列表，听说已经发动了对英国和中东高调实体“水坑”攻击，它是一种针对性很强的入侵形式，由于它们倾向于通事后门熏染特定的最终用户组，该组的成员已知经常会见该组的网站，目的是翻开通往其机械的网关以举行后续使用运动。并体现最初的攻击链涉及从远程攻击者控制的域将 JavaScript 代码注入网站，该域旨在网络和泄露有关受害者机械的 IP 地理位置和系统信息，仅当相关操作系统是 Windows 或 macOS 时才选择继续举行，批注该运动是针对盘算机而非移动装备全心策划的。最后一步导致了一个可能的浏览器远程代码执行误差，使攻击者能够挟制对机械的控制。然而2021 年 1 月视察到的第二波的特点是越发隐藏，由于对网站使用的正当 WordPress 剧本（“ wp-embed.min.js ”）举行了 JavaScript 修改，而不是将恶意代码直接添加到主 HTML 页面，使用该要领从攻击者控制下的服务器加载剧本。更主要的是，指纹识别剧本还逾越了网络系统元数据以捕获默认语言、浏览器支持的字体列表、时区和浏览器插件列表。

【参考链接】

https://ti.nsfocus.com/security-news/IlN2z

10. 攻击者使用Emotet 恶意软件对全球邮箱提倡攻击

【概述】

研究职员发明Emotet恶意软件在中止十个月后，于15日最先运行。该软件通过多次垃圾邮件攻击，向全球邮箱发送恶意文档。Emotet是一种恶意软件熏染，通过带有恶意附件的垃圾邮件攻击撒播。若是用户翻开附件，恶意宏或JavaScript文件，将下载Emotet DLL并使用PowerShell将其加载到内存中。一旦加载，恶意软件将搜索和窃取电子邮件，用于之后的垃圾邮件攻击，并植入特另外有用载荷，如TrickBot或Qbot，这些载荷通�；崾棺氨冈饫账魅砑�。

【参考链接】

https://ti.nsfocus.com/security-news/IlN2y

<<上一篇

【威胁通告】九游老哥科技威胁情报周报（2021.11.08-2021.11.14）

>>下一篇

【威胁通告】九游老哥科技威胁情报周报（2021.11.22-2021.11.28）