APT组织攻击活动及利用跟踪情报2021年7月24日-7月30日-公司动态-北京天融信科技有限公司

北京天融信科技有限公司

免费会员

您现在的位置：首页> 公司动态> APT组织攻击活动及利用跟踪情报2021年7月24日-7月30日

产品分类品牌

云安全

北京天融信科技有限公司

免费会员·4年

联系人：: 李天昊

在线咨询给我留言

扫一扫访问手机商铺

APT组织攻击活动及利用跟踪情报2021年7月24日-7月30日

2023-4-3　　阅读(52)

本周简报内容概述

时间区间

2021年7月24日-7月30日

APT攻击事件情报

1）Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析

2）“幻鼠"组织针对我国的窃密攻击活动分析

3）深入调查FIN8攻击

APT组织活动情报

1）Kimsuky2021年上半年窃密活动总结

2）艾叶豹组织：针对巴基斯坦用户的监控活动披露

3）TA456以诱人的社交媒体角色攻击国防承包商

4）Praying Mantis威胁角色针对 Windows 面向互联网的服务器与恶意软件

APT泄露及利用情报

1）THOR:PKPLUG组织在微软交换服务器被攻击期间部署了前所未见的PlugX变体

01APT攻击事件情报

1）Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析

情报来源

https://mp..qq.com/s/BvP00a-33OOmbcdwDkeqeg

披露时间

摘要

近期，国内安全厂商捕获到多例疑似Kimsuky组织的攻击样本。此次发现的样本都以案例费用支付委托书为诱饵，文档使用恶意VBA代码，当捕获到文本输入后才执行核心的恶意宏代码。在此次活动中的样本均采用多层下载链加载Payload，最终使用blogspot博客系统分发最终载荷，为溯源增加了难度。最终的载荷是用来收集用户的系统信息，包括进程列表，Net版本信息，最近可执行的文件列表等，用来受感染的系统。

2）“幻鼠"组织针对我国的窃密攻击活动分析

情报来源

https://mp..qq.com/s/JoohsUOJXbaEGaYZWv0pnw

披露时间

摘要

国内安全厂商检测到一起针对国内某化学品生产企业的窃密行动。该起攻击活动主要利用钓鱼邮件进行传播，成公司客户需求，诱导受害者下载执行恶意程序。攻击者利用Telegram、Internet Archive和blogger博客分发Raccoon Stealer窃取木马，利用注册表实现恶意载荷访问等多种方式实现反溯源。攻击者采用EXE注入的方式将Raccoon Stealer窃密木马注入到MSBuild.exe白文件中避免杀软检测。

Raccoon Stealer运行后与C2建立连接，将一个名为“pY4zE3fX7h.zip"的文件下载到%USERPROFILE%\AppData\LocalLow\gC9tT2iQ3s\目录下并解压，解压获得的Mozilla DLL，从Mozilla产品中收集数据，收集系统信息、获取用户系统屏幕截图。随后将获取到的信息文件压缩上传至C2服务器。

3）深入调查FIN8攻击

情报来源

/deep-dive-into-a-fin8-attack-a-forensic-investigation?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+BusinessInsightsInVirtualizationAndCloudSecurity+%28Business+Insights+In+Virtualization+and+Cloud+Security%29

披露时间

摘要

FIN8以金融服务和POS（销售点）系统为目标，主要使用内置工具和接口（如PowerShell或WMI）并滥用合法服务（如sslip.io）来掩盖其活动。根据该组织先前的攻击活动，猜测FIN8可能使用社会工程技术和鱼叉式网络钓鱼活动来实现最初的入侵。

初始入侵成功后攻击者会进行网络，检索受信任域列表和域控制器列表。在最初的侦察之后，恶意参与者通过网络传播，主要以域控制器为目标，扩大立足点，使用WMIC程序进行远程代码执行进行横向移动。成功横向移动之后，攻击者会使用WMI对象在所有的域控制器上建立持久性。

02APT组织活动情报

1）Kimsuky2021年上半年窃密活动总结

情报来源

https://mp..qq.com/s/og8mfnqoKZsHlOJdIDKYgQ

披露时间

摘要

国内安全厂商对Kimsuky组织上半年的攻击活动进行总结。该组织的攻击目标仍以韩国的政府外交、工、大学教授为主。所采用的攻击手法仍以利用社会热点事件为诱饵向目标发送鱼叉式邮件，投递诱饵文档为主。恶意宏会从远程服务器上下载后续攻击载荷，并调用导出函数执行，后续攻击载荷会收集计算机系统信息并进行加密，登录被盗的邮箱将加密后的数据发送到攻击者的邮箱。

2）艾叶豹组织：针对巴基斯坦用户的监控活动披露

情报来源

https://mp..qq.com/s/K_UVSBdY6xZwJOz_mP2lNw

披露时间

摘要

国内安全厂商，发现一个未知的APT组织针对巴基斯坦用户开展有计划、针对性的长期监控活动。该组织的攻击平台主要是Android，利用钓鱼网站进行载荷投递，攻击目标主要是巴基斯坦用户和TLP政党。该组织采用的攻击载荷是常见的Android　RAT（SpyMax和AndroSpy）。

AndroSpy是个功能完善的开源类RAT类程序。该RAT采用C#编写，通过控制端界面操作可以对受害用户进行位置定位、屏幕录制及录音、窃取通讯录和短信信息等。SpyMax是新开发一款移动端商业RAT，通过控制端界面操作可以对受害用户进行位置定位、屏幕录制及录音、窃取通讯录和短信信息等。其支持恶意模块动态配置，方便用户自定义。

3）TA456以诱人的社交媒体角色攻击国防承包商

情报来源

/us/blog/threat-insight/i-knew-you-were-trouble-ta456-targets-defense-contractor-alluring-social-media

披露时间

摘要

TA456是一个与伊朗国家结盟的演员试图用恶意软件感染航空航天国防承包商雇员的机器。TA456通过采用发送鱼叉式邮件，诱导用户执行，恶意宏运行之后会创建并隐藏目录，然后将一个Visual Basic脚本程序写入该目录，完成后宏将添加一个自启动注册表项，确保用户登录时运行恶意程序。

恶意程序运行后会以多种方式枚举主机信息，使用Microsoft的协作数据对象到处受害者的电子邮件账户，将收集到的数据记录到%temp%\Logs.txt。在进行网络通信之前，会通过ping和curl等方式测试网络的连通性，随后压缩收集文件通过电子邮件发送到攻击者账户。

4）Praying Mantis威胁角色针对 Windows 面向互联网的服务器与恶意软件

情报来源

/article/praying-mantis-threat-actor-targeting-windows-internet-facing-servers-with-malware/

披露时间

摘要

TG1021使用一个定制的恶意软件框架，通过反序列化攻击加载到受影响机器的内存中，在受感染的机器上几乎没有留下痕迹。恶意程序通过利用IIS提供的访问权限执行附加行为，包括凭证获取、侦察和横向移动。并且使用的恶意软件通过干扰日志机制，成功规避商业EDR，以及静默等待传入连接，而非连接到C2通道并持续生成流量。

03APT泄露及利用情报

1）THOR:PKPLUG组织在微软交换服务器被攻击期间部署了前所未见的PlugX变体

情报来源

/thor-plugx-variant/

披露时间

摘要

在监测Microsoft交换服务器攻击时，unit42研究人员发现了一个PlugX变种作为攻击后的远程访问工具。与以前的PlugX一样，通过DLL侧加载技术执行代码。

运行后解密嵌入PlugX硬编码的配置信息，解密算法和异或密钥与之前的恶意程序一致，PlugX允许包含多个C2地址的硬编码配置信息，这为后门提供了后备选项，以防止某些远程服务在受损时不可用，运行后会从的Github存储库中下载后续攻击载荷。

上一篇：天融信数通小百科：喜迎千兆光网的S512

下一篇：融信译站 | 数据分类分级实践促进以数

APT组织攻击活动及利用跟踪情报2021年7月24日-7月30日

1）Kimsuky APT组织利用blogspot分发恶意载荷的攻击活动分析

情报来源

披露时间

摘要

情报来源

披露时间

摘要

3）深入调查FIN8攻击

情报来源

披露时间

摘要

1）Kimsuky2021年上半年窃密活动总结

情报来源

披露时间

摘要

2）艾叶豹组织：针对巴基斯坦用户的监控活动披露

情报来源

披露时间

摘要

3）TA456以诱人的社交媒体角色攻击国防承包商

情报来源

披露时间

摘要

4）Praying Mantis威胁角色针对 Windows 面向互联网的服务器与恶意软件

情报来源

披露时间

摘要

1）THOR:PKPLUG组织在微软交换服务器被攻击期间部署了前所未见的PlugX变体

情报来源

披露时间

摘要

会员登录

收藏该商铺

提示