1、卡巴斯基揭露Lazarus组织针对三平台的恶意框架
卡巴斯基近期披露了一个新的恶意框架-MATA,该框架具有攻击windows,Linux,macOS三大平台的能力。基于某些特殊的字符串溯源后发现,MATA恶意框架似乎与APT组织Lazarus存在联系。据卡巴斯基观测表明,该框架似乎于2018年4月左右开始第一次投入使用。该框架具有收集受害者计算机信息,进程管理,加载执行等多种恶意功能。
卡巴斯基数据显示,全球多个国家均有MATA恶意框架受害者,受害国家包括但不限于波兰,德国,土耳其,韩国,日本和印度,涉及的受害者行业包括软件开发公司,电子商务公司等。从一名受害者那里发现,攻击者对受害者的数据库进行了多次查询,似乎是为了收集客户名单。此外,在其他的受害者计算机上发现,攻击者还向受害者投递了VHD勒索软件
2、Gamaredon团伙再度优化攻击手法继续对乌克兰展开攻击
Gamaredon团伙于2017年被Paloalto安全公司曝光并命名,该团伙至少从2013年开始活动,并长期针对乌克兰政府高层、外交、国土安全、法务、军事武装、东部克里米亚地区部门发起定向攻击。也另有文章 指出该团伙具有俄罗斯背景,疑似隶属于俄罗斯联邦安全局(FSB)。
监控Gamaredon针对乌克兰的攻击中,研究人员发现该组织在攻击手法上有新变化,并关联发现该团伙大量相关网络资产,具体情况如下:
关联监控采集到多个地区社会热点话题为诱饵的恶意lnk文件,相较该团伙此前专注于国家安全通知、军事行动、法律草案等范围,新的目标涉及到的主题主要分为司法、官僚腐败、民生疫情、国际反恐等方向。
在关联的恶意lnk中提取的C&C域名中,部分与此前Gamaredon团伙的网络资产存在重叠,证明Gamaredon团伙在原有基础设施上进行攻击手法的迭代优化。
经过对Gamaredon团伙新攻击手法的关联资产分析判断,该团伙于2月24日前后开始研究测试恶意lnk攻击手法,并于6月开始投入使用并对乌克兰目标展开攻击。
3、朝鲜半岛APT组织Lazarus在MacOS平台上的攻击活动分析报告
自2018年以来,Lazarus组织在MacOS平台上的攻击活动日渐活跃。该组织曾于2018年8月被曝光制作加密货币交易网站“Celas LLC”,以推广交易软件为名推广恶意代码盗取密币,此后又不断被曝光使用相似手法搭建了“Worldbit-bot”、“JMT Trading”、“Union Crypto Trader”等伪装平台,用于推广Windows和macOS两种平台下带有后门的交易软件,继续对加密货币生态相关公司发起定向攻击。
近期,通过对相关攻击活动的分析跟进,研究人员捕获到Lazarus组织在MacOS平台上使用的多种类型的后门木马。分析有如下发现:
Lazarus组织在MacOS平台上攻击活跃,开发并使用了多种类型的后门木马,且处于在持续更新的过程中。
Lazarus组织不仅会跨平台(Windows\Linux)复用已有的后门木马,也使用Objective-C开发适用于MacOS平台的后门木马。
Lazarus组织使用的后门木马的加密流量特征,包括JA3 特征和证书。
4、OilRig组织利用RDAT新变体针对中东电信组织攻击活动分析
Paloalto近期在分析一起针对中东某电信公司的活动中发现了一种与OilRig组织相关联的新木马变体,该恶意软件使用了一种新颖的基于电子邮件的命令和控制(C2)通道,该通道依赖于隐写术,可以将命令和数据隐藏在电子邮件附加的位图图像中。新的C2通道通过EWSAPI与本地Exchange服务器进行交互。攻击者使用了两个硬编码在RDAT中的电子邮件地址进行沟通。要接收攻击者的的电子邮件,有效负载将创建一个收件箱规则,将来自于攻击者的电子邮件移到到垃圾文件夹,然后不断检索垃圾邮件中攻击者发送的带有附件的电子邮件,最后处理附件中隐藏了命令的BMP图像。RDAT后门已经被OilRig威胁组织使用了至少三年时间,目标是中东地区的组织。
5、伊朗威胁组织APT35意外泄露其培训视频和数据
2020年5月,IBM发现疑似伊朗组织APT35 (又称ITG18, Charming Kitten, Phosphorous, and NewsBeef) 的运营细节。该组织的服务器包含40GB的视频和数据文件,其中包括录制的五个小时的培训视频。一些视频演示了如何从与云存储服务相关的各种在线帐户中渗出数据(即联系人,图像和文件)。一些视频显示成功袭击了美国海军成员和希腊海军希腊海军的一名官员,并从这两个目标中收集了大量信息。另外,视频还显示了用于攻击的伪造角色的个人档案详细信息(称为“ Persona A”),和伊朗地区代码的电话号码。
