意昂体育-科技赋能场景,让娱乐更有趣!

连忙拨打95015

首页 > 企业动态 > 公司新闻 > 每周高级威胁情报解读(2021.12.23~12.30)

每周高级威胁情报解读(2021.12.23~12.30)

时间：2021-12-31 作者：意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心

分享到：

2021.12.23~12.30

攻击团伙情报

疑似“肚脑虫”近期针对孟加拉国的攻击运动剖析

深入剖析EquationGroup的DoubleFeature后开发框架

Lazarus使用NukeSped后门举行垂纶攻击

BlackTech使用Flagpro攻击日本实体

攻击行动或事务情报

攻击者使用社交论坛撒播Echelon恶意软件

窃取和挖掘加密钱币的新冠主题垂纶运动

仿冒巴西银行分发恶意软件的运动剖析

仿冒辉瑞生物制药公司举行网络垂纶攻击运动剖析

恶意代码情报

BLISTER恶意软件运动披露

TigerRAT、TigerDownloader恶意软件家族近期撒播剖析

新型勒索软件Rook放纵撒播，，，，，，，使用Babuk代码

Dridex恶意软件家族近期撒播剖析

误差情报

ApacheLog4j远程代码执行误差(CVE-2021-44832)通告

攻击团伙情报

01

疑似“肚脑虫”APT组织近期针对孟加拉国的攻击运动剖析

披露时间：2021年12月23日

情报泉源：https://mp.weixin.qq.com/s/gsUN6lXMz17_jkR8xIrZNA

相关信息：

克日，，，，，，，意昂体育-科技赋能场景,让娱乐更有趣!在一样平常的威胁狩猎捕获一起APT组织Donot近期疑似针对孟加拉国攻击运动。。。。。。在此攻击运动中，，，，，，，攻击者主要以”孟加拉国职业大学2021年电子工程专业演示文稿”为主题，，，，，，，将PPT诱饵文件通过垂纶邮件发送给受害者。。。。。。

当受害者翻开诱饵文件并执行宏，，，，，，，宏会释放%Public%\Music\delta.dll文件，，，，，，，并在系统启动目录下释放sdelta.bat文件。。。。。。sdelta.bat主要是建设妄想使命deckteck，，，，，，，用来加载导出函数qdsfakraksdfkdkfjk，，，，，，，以实现delta.dll自启动。。。。。。最后文档弹出结构的过失弹框用来疑惑用户，，，，，，，掩饰释放文件的恶意行为，，，，，，，这种弹框方法在以往Donot组织攻击运动中也经常泛起。。。。。。delta.dll文件会上传盘算机和用户基本信息到远程效劳器，，，，，，，并下载后续攻击�？？？？？榈酵獾刂葱�。。。。。。

02

深入剖析EquationGroup的DoubleFeature后开发框架

披露时间：2021年12月27日

情报泉源：https://research.checkpoint.com/2021/a-deep-dive-into-doublefeature-equation-groups-post-exploitation-dashboard/

相关信息：

12月27日，，，，，，，CheckPoint披露EquationGroup使用的全功效恶意软件框架DanderSpritz的手艺剖析。。。。。。DanderSpritz于2017年4月14日被ShadowBrokers果真，，，，，，，包括用于长期性、侦探、横向移动、绕过杀毒引擎等运动的多种工具。。。。。。

该研究重点剖析其中的一个组件DoubleFeature，，，，，，，它用来天生可装置在目的装备中的工具类型的日志和报告，，，，，，，并会网络大宗种种类型的数据。。。。。。

03

Lazarus使用NukeSped后门举行垂纶攻击

披露时间：2021年12月28日

情报泉源：https://mp.weixin.qq.com/s/834tMVCCH6UQe8zW0eEMSA

相关信息：

近期，，，，，，，研究职员发明了来自Lazarus的多起攻击运动。。。。。。Lazarus经常使用其特有攻击载荷NukeSped举行攻击运动，，，，，，，此武器后门功效富厚，，，，，，，且样本迭代较快。。。。。。此次捕获的样本为未披露过的NukeSped相关类型样本。。。。。。

Lazarus使用与招聘事情相关的文档作为诱饵，，，，，，，来疑惑用户点击。。。。。。用户点击后，，，，，，，文档恶意宏会解密图形工具数据，，，，，，，并请求保存地点模板。。。。。。解密后的载荷以隐藏文件的形式生涯在系统目录%ProgramData%下，，，，，，，随后文档挪用rundll32.exe执行载荷，，，，，，，与效劳器建设通讯毗连。。。。。。

本次披露的样本与之前披露样本属于同类型样本，，，，，，，可是样本之间有所差别。。。。。。此次披露样本结构相对重大，，，，，，，载荷更新也较量快，，，，，，，需要引起足够的重视。。。。。。

每周高级威胁情报解读(2021.12.23~12.30)

04

BlackTech使用Flagpro攻击日本实体

披露时间：2021年12月28日

情报泉源：https://insight-jp.nttsecurity.com/post/102hf3q/flagpro-the-new-malware-used-by-blacktech

相关信息：

克日，，，，，，，NTTSecurity研究职员披露BlackTech使用Flagpro恶意软件攻击日本实体。。。。。。此次攻击的初始熏染前言是伪装成来自目的相助同伴的垂纶邮件，，，，，，，之后攻击者会使用Flagpro举行网络侦探、评估目的情形以及下载并执行第二阶段恶意软件。。。。。。

据NTTSecurity称，，，，，，，此次运动至少始于2020年10月，，，，，，，已针对日本公司一年多，，，，，，，涉及国防手艺、媒体和通讯行业在内的多个领域。。。。。。

每周高级威胁情报解读(2021.12.23~12.30)

攻击团伙情报

01

攻击者使用社交论坛撒播Echelon恶意软件

披露时间：2021年12月23日

情报泉源：https://www.safeguardcyber.com/blog/echelon-malware-crypto-wallet-stealer-malware

相关信息：

近期SafeguardCyber的清静研究职员监测到在Telegram的一个数字钱币生意频道中撒播Echelon恶意软件的行为。。。。。。Echelon样本的目的是上岸凭证和数字钱币钱包。。。。。。

攻击者宣布了一个rar压缩包，，，，，，，压缩包内里包括3个文件，，，，，，，其中就有Echelon恶意可执行文件。。。。。。对可执行文件的剖析批注，，，，，，，它有2个反调试功效并使用ConfuserEx举行了代码混淆。。。。。。去混淆后，，，，，，，研究职员发明Echelon具有数字钱币钱包和凭证窃�。。。。。。�，，，，，，以及域检测和盘算机指纹识别功效。。。。。。恶意软件还会试图截屏受害者的电脑。。。。。。幸运的是，，，，，，，WindowsDefender现在可以检测并扫除恶意样本。。。。。。

02

窃取和挖掘加密钱币的新冠主题垂纶运动

披露时间：2021年12月23日

情报泉源：https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/covid-19-phishing-lure-to-steal-and-mine-cryptocurrency/

相关信息：

最近，，，，，，，SpiderLabs视察到一个撒播恶意软件的垃圾邮件运动，，，，，，，使用新冠疫情作为主题。。。。。。这些电子邮件来自被熏染的邮箱，，，，，，，包括一个指向Word文档的链接。。。。。。邮件仿冒成新冠病毒检测通知，，，，，，，诱导用户点击链接。。。。。。

为了逃避静态病毒检测，，，，，，，下载的Word文档不包括恶意代码。。。。。。然而，，，，，，，攻击者使用了远程模板注入手艺，，，，，，，在受害者翻开文档时，，，，，，，从远程效劳器检索一个恶意的启用宏的模板。。。。。。模板通过自界说VBA函数解码并加载一些Base64二进制文件。。。。。。其中，，，，，，，包括信息窃取软件ClipBanker和挖矿软件下载器。。。。。。别的，，，，，，，攻击者还会获取受害者的邮件联系人信息，，，，，，，并复制诱饵邮件撒播。。。。。。

每周高级威胁情报解读(2021.12.23~12.30)

03

攻击者仿冒巴西银行分发恶意软件

披露时间：2021年12月23日

情报泉源：https://blog.cyble.com/2021/12/23/malicious-app-targets-major-brazilian-bank-itau-unibanco/

相关信息：

近期，，，，，，，研究职员捕获到了针对巴西一家名为ItauUnibanco的银行公司的恶意软件样本。。。。。。此恶意软件试图在受害者不知情的情形下以一个拥有类似图标和名称的虚伪应用程序_lTAU_SINC/sincronizador来诱骗用户以为其是一个与ItauUnibanco有关的正当应用程序。。。。。。

攻击者建设了一个虚伪的GooglePlay市肆页面，，，，，，，并在上面以'sincronizador.apk'的名义托管了针对ItauUnibanco的恶意软件。。。。。。攻击者一直调解其分发方法，，，，，，，以阻止被发明，，，，，，，并通过越来越重大的手艺找到新的要领来针对用户。。。。。。

这类恶意应用程序往往伪装成正当的应用程序，，，，，，，以诱骗用户装置它们，，，，，，，并试图在受害者不知情的情形下举行诓骗性金融生意。。。。。。用户应该在验证其真实性后再装置应用程序，，，，，，，并且只从官方的GooglePlay市肆和其他受信托的门户网站装置，，，，，，，以阻止此类攻击。。。。。。

04

攻击者仿冒辉瑞生物制药公司举行网络垂纶攻击

披露时间：2021年12月23日

情报泉源：https://www.inky.com/blog/fresh-phish-phishers-impersonate-pfizer-in-request-for-quotation-scam

相关信息：

8月至12月时代，，，，，，，研究职员检测到一起具有很强针对性的网络垂纶运动。。。。。。攻击者冒充生物手艺巨头辉瑞（pfizer）公司，，，，，，，发送了410封网络垂纶电子邮件，，，，，，，旨在窃取商业和财务信息。。。。。�；；；；；；；匀鹗且患抑闹埔┕荆�，，，，，，总部位于美国纽约，，，，，，，该公司称着实验性抗新冠药物Paxlovid可以使高危新冠患者的住院率和殒命危害镌汰89%。。。。。。

研究职员发明，，，，，，，自2021年8月15日最先，，，，，，，攻击者就冒充辉瑞公司睁开了网络电子邮件垂纶运动。。。。。。网络垂纶邮件来自于一组易被混淆的域名，，，，，，，这些域名是通过Namecheap注册的。。。。。。这些域名被伪装成是由辉瑞公司控制的，，，，，，，诱使用户以为这是辉瑞公司的官方在线网站。。。。。。网络垂纶电子邮件中使用了“紧迫询价”、“投标约请”和“工业装备供应”等主题作为诱饵。。。。。。邮件中的PDF附件有三页，，，，，，，看起来非�？？？？？尚�。。。。。。PDF中不包括恶意软件投放链接或网络垂纶的URL，，，，，，，且内容严谨没有错别字。。。。。。PDF内容中讨论了付款方法和条款，，，，，，，要求收件人分享他们的银行详细信息。。。。。。

此次运动简直切目的尚不清晰，，，，，，，攻击者可能会在未来针对目的公司客户提倡商业电子邮件攻击。。。。。。研究职员体现，，，，，，，当收到包括异常投标请求的电子邮件时，，，，，，，应使用公司的官方电话号码联系公司以确认邮件。。。。。。

恶意代码情报

01

BLISTER恶意软件运动披露

披露时间：2021年12月23日

情报泉源：https://www.elastic.co/cn/blog/elastic-security-uncovers-blister-malware-campaign

相关信息：

ElasticSecurity近期发明了一个使用有用证书来逃避检测的恶意软件运动。。。。。�；；；；；；Ｔ硕蟹浩鹆艘恢中滦偷亩褚馊砑釉仄鰾LISTER，，，，，，，其用于在内存中执行第二阶段恶意负载并实现长期化。。。。。。

该运动的一个要害就是使用由Sectigo揭晓的有用代码署名证书。。。。。。攻击者可以窃取正当的代码署名证书，，，，，，，也可以直接从证书揭晓机构或借助空壳公司购置证书。。。。。。具备有用证书的可执行文件通常更少被仔细检查，，，，，，，这可以让攻击者坚持在较长一段时间内不被检测。。。。。。至于新恶意软件加载器BLISTER，，，，，，，它被拼接到了正当的库中，，，，，，，可经简朴的加载程序写入磁盘并执行。。。。。。一旦执行，，，，，，，BLISTER将释放CobaltStrike和BitRat等负载，，，，，，，并建设长期化。。。。。。

02

TigerRAT、TigerDownloader恶意软件家族近期撒播剖析

披露时间：2021年12月22日

情报泉源：https://threatray.com/blog/establishing-the-tigerrat-and-tigerdownloader-malware-families/

相关信息：

韩国CERT（KrCERT）在一起攻击运动中发明了以前没有的新手艺和恶意软件，，，，，，，并将这次攻击中的恶意软件工具称为TigerDownloader和TigerRAT。。。。。。跟进后发明，，，，，，，这些工具属于相同的下载器和RAT家族。。。。。。这些二进制文件共享部分功效，，，，，，，以实现有用的解包。。。。。。其余的共享功效是用来阻止被反病毒软件、Yara和相关的基于模式的检测手艺检测的。。。。。。

到现在为止，，，，，，，打包的样本都是由一个配合的打包器打包的，，，，，，，代码具有一定的关联性。。。。。。代码之间的差别是由于有垃圾代码的保存。。。。。。关于TigerRAT，，，，，，，现在研究职员发明有三个差别的版本。。。。。。关于TigerDownloader，，，，，，，现在发明了两个版本，，，，，，，一个具有长期性，，，，，，，另一个没有。。。。。。而最近的研究显示，，，，，，，可能还保存其他尚未果真的变种。。。。。。

每周高级威胁情报解读(2021.12.23~12.30)

03

新型勒索软件Rook放纵撒播，，，，，，，使用Babuk代码

披露时间：2021年12月23日

情报泉源：https://www.sentinelone.com/labs/new-rook-ransomware-feeds-off-the-code-of-babuk/

相关信息：

近期，，，，，，，研究职员捕获到了Rook勒索软件的样本。。。。。。Rook接纳了一种双管齐下的勒索方法：首先要求受害者支付赎金来解锁加密文件，，，，，，，然后通过运营商的网站果真威胁勒索，，，，，，，若是受害者不遵守要求，，，，，，，就会被泄露数据。。。。。。Rook勒索软件主要是通过第三方交付的，，，，，，，例如CobaltStrike；；；；；；；可是，，，，，，，也有报告称，，，，，，，通过垂纶邮件交付。。。。。。软件样本通常是用UPX打包，，，，，，，但也有其他的加密器，，，，，，，如VMProtect。。。。。。此勒索软件试图终止任何可能滋扰加密的历程。。。。。。与大大都勒索软件家族一样，，，，，，，Rook也会试图删除卷影副本，，，，，，，以避免受害者从备份中恢复。。。。。。此勒索软件不具有长期性，，，，，，，在执行完毕之后会自行删除。。。。。。

Rook和Babuk之间有许多相似代码，，，，，，，这是2021年Babuk源代码走漏的效果。。。。。。研究职员推测Rook是现在使用Babuk源代码的最新型勒索软件。。。。。。Rook和Babuk都会使用Windows重启治理器API来资助历程终止，，，，，，，其中包括与MSOffice和Steam有关的历程。。。。。。研究职员还注重到Rook和Babuk在一些情形检查和后续行为方面的重叠，，，，，，，包括删除卷影副本。。。。。。

每周高级威胁情报解读(2021.12.23~12.30)

04

Dridex恶意软件家族近期撒播剖析

披露时间：2021年12月23日

情报泉源：https://blog.malwarebytes.com/threat-intelligence/2021/12/dridex-affiliate-dresses-up-as-scrooge/

相关信息：

MalwarebytesLABS近期发明了撒播Dridex的垂纶邮件运动，，，，，，，Dridex是一个恶意软件下载器，，，，，，，可以加载特殊有用负载，，，，，，，包括勒索软件。。。。。。垂纶邮件使用了裁人通知、新冠最新变种Omicron等主题，，，，，，，可能都来自统一犯法团伙。。。。。。

垂纶邮件包括有密码�；；；；；；；さ腅xcel文档，，，，，，，被翻开后会弹出对话框来要求用户启用宏。。。。。。宏运行后会将一个rtf文件放入%programdata%目录中，，，，，，，并通过mshta.exe执行。。。。。。之后，，，，，，，会下载真正的恶意负载，，，，，，，该负载属于Dridex恶意软件家族。。。。。。

误差相关

01

ApacheLog4j远程代码执行误差(CVE-2021-44832)通告

披露时间：2021年12月29日

情报泉源：https://mp.weixin.qq.com/s/8JObCLtNfHMU7Ib4JxPd2g

相关信息：

克日，，，，，，，意昂体育-科技赋能场景,让娱乐更有趣!CERT监测到Apache官方宣布了ApacheLog4j远程代码执行误差（CVE-2021-44832），，，，，，，在某些特殊场景下（如系统接纳动态加载远程设置文件的场景等），，，，，，，有权修他日志设置文件的攻击者可以构建恶意设置，，，，，，，通过JDBCAppender引用JNDIURI数据源触发JNDI注入，，，，，，，乐成使用此误差可以实现远程代码执行。。。。。。

ApacheLog4j1.x不受此误差影响，，，，，，，只有引用log4j-core依赖受此误差影响。。。。。。仅引用log4j-api依赖而不引用log4j-core的应用程序不受此误差的影响。。。。。。ApacheLog4j是唯一受此误差影响的日志效劳子项目，，，，，，，Log4net和Log4cxx等其他项目不受影响。。。。。。

相关产品

相关新闻

您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问可用以下方法告诉我们

将您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问

用以下方法告诉我们

联系客服提交信息网络清静效劳热线:95015

我猜您是

客户

求职者

快捷窗口

产品注册与激活

意昂体育-科技赋能场景,让娱乐更有趣!天守清静软件

顽固病毒专杀工具

旗下网站

网神

网康

手艺研究院

威胁情报中心

补天误差响应平台

NOX 清静监测

关于意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!简介

联系意昂体育-科技赋能场景,让娱乐更有趣!

收支口合规声明

95015效劳热线

微信公众号

Copyright ? 2014-2026 QIANXIN.COM All Rights Reserved 意昂体育-科技赋能场景,让娱乐更有趣! 京ICP备16020626号-8

京公网安备11000002002064号

隐私政策 | 网站地图

【网站地图】【sitemap】