『壹』 SideCopy組織近期利用中印時事新聞的攻擊事件分析
2020年9月,Quick Heal公開了針對印度國防軍和武裝部隊人員的竊密行動,將其命名為Operation SideCopy。活動始於2019年初,攻擊者主要模仿Sidewinder APT組織的戰術、技術和程序(TTPs)進行攻擊,因此命名為Operation SideCopy。在這一活動中,研究人員發現了多個關鍵點。
2021年7月,Cisco Talos研究人員將該活動背後的攻擊者定位為獨立組織,命名為SideCopy APT組織。報告詳細列舉了該組織的多種攻擊武器,包括CetaRAT、ReverseRAT、MargulasRAT、AllakoreRAT等,以及多款C#插件。
近日,奇安信威脅情報中心紅雨滴團隊在日常威脅情報狩獵中捕獲了一批SideCopy以印度軍事相關話題為誘餌的攻擊樣本。在這一活動中,攻擊者以印度地區恐怖分子與士兵之間的沖突事故報告為主題,將下載器偽裝為圖片文件,並通過釣魚郵件發送給受害者。當受害者解壓並執行誘餌文件後,程序會從遠程伺服器下載數據文件並解密執行,最終載入SideCopy自有遠控軟體MargulasRAT。
本次捕獲的樣本主要由C#編寫,樣本基本信息如下:樣本將圖標設置為誘餌圖片,以偽裝成普通圖片文件引誘目標用戶點擊運行。原始樣本是一個下載器,通過白名單的短鏈接tinyurl[.]com將真實URL進行隱藏,以此規避殺軟的靜態查殺。短鏈接指向的URL如下:通過對短鏈接所指向的數據進行下載以後,利用解密演算法進行解密。該解密演算法疑似來自amido在Github開源的Amido.PreProcessor項目[1]。
樣本首先將第一個短鏈接所指的數據文件下載到%AppData%/目錄下並命名為taswala.txt,經解密後在同目錄釋放一個誘餌圖片pic.png,隨後啟動線程打開pic.png以迷惑受害者。同樣,第二個短鏈接所指的加密內容被保存為khat.txt,解密後保存為p.vbs並執行,其腳本內容如下:其主要功能是將第三段短鏈接解密後的wnx.exe在注冊表中添加啟動項,隨後刪除該vbs腳本。該vbs腳本疑似來自BatchPatch網站[2]。
第三個短鏈接下載的加密內容解密後被保存在%ProgramData%目錄下,命名為wnx.exe,為C#編寫。該樣本實際為SideCopy常用的MargulasRAT。其通訊IP為62.171.187.53,埠為1443、2443、3443。MargulasRAT首先與C2進行Socket連接,發送被感染機器的用戶名、系統版本、主機名等信息。隨後接收C2返回的信息,經AES解密後執行遠控指令。其指令對應的功能如下:基於奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平台(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等,都已經支持對此類攻擊的精確檢測。
此次捕獲的樣本主要針對南亞地區開展攻擊活動,暫未發現影響國內用戶。奇安信紅雨滴團隊提醒廣大用戶,切勿打開社交媒體分享的來歷不明的鏈接,不點擊執行未知來源的郵件附件,不運行誇張的標題的未知文件,不安裝非正規途徑來源的APP。做到及時備份重要文件,更新安裝補丁。若需運行,安裝來歷不明的應用,可先通過奇安信威脅情報文件深度分析平台(sandbox.ti.qianxin.com/...)進行簡單判別。目前,已支持包括Windows、安卓平台在內的多種格式文件深度分析。
MD5值如下:、、、、、。URL如下:hxxp://www.isteandhrapradesh[.]in、hxxp://www.mojochamps[.]com。C2通訊IP及埠為62.171.187.53: {1443, 2443, 3443, 8686, 8787, 8899}。
『貳』 安恆高級安全威脅情報周報(2021.10.1~10.9)
惡意軟體威脅情報:
FontOnLake:一款針對Linux操作系統的新型惡意軟體家族。包含木馬程序、後門和rootkit三個組件,允許攻擊者遠程訪問、收集憑據並充當代理伺服器。首個已知文件於2020年5月上傳至VirusTotal。主要目標為東南亞地區。
Vermilion Strike:一款跨平台的Cobalt Strike重寫版本,具備遠程訪問、上傳文件、運行Shell命令等功能。使用C&C協議與伺服器通信。
TangleBot:一款針對美國和加拿大用戶的Android竊密惡意軟體。具有全方位的監視和竊取能力,允許攻擊者控制受感染設備。
ESPecter bootkit:一種用於進行網路間諜活動的罕見Windows UEFI bootkit惡意軟體。攻擊者可利用其安裝後門並執行各種數據泄露功能。
熱點事件威脅情報:
美國海軍艦艇Facebook賬號被黑:黑客盜用賬號進行多場游戲直播,內容涉及《帝國時代1》等游戲。
SolarWinds黑客竊取政策和情報數據:俄羅斯黑客通過SolarWinds和微軟軟體入侵美國聯邦機構,竊取了相關政策和情報信息。
谷歌警告APT組織攻擊:俄羅斯APT28組織攻擊記者、政客,谷歌發布安全更新保護用戶。
LANtenna攻擊:利用乙太網電纜從氣隙計算機中竊取數據的新攻擊方法。
勒索專題:
LockBit 2.0勒索軟體攻擊以色列國防公司:聲稱竊取數據,要求支付贖金。
Weir公司遭勒索軟體攻擊:IT系統中斷,造成數百萬英鎊損失。
美國考克斯媒體集團遭勒索軟體攻擊:導致電視直播和電台廣播中斷,800多名用戶受影響。
日本JVCKenwood公司遭Conti勒索軟體攻擊:1.7TB數據被竊取,要求700萬美元贖金。
漏洞利用威脅情報:
Apache HTTP Server零日漏洞被廣泛利用:路徑遍歷和文件泄露漏洞導致攻擊。
攻擊團伙威脅情報:
FIN12組織:執行勒索軟體攻擊,目標為醫療保健行業及其他高收入受害者。
TeamTNT組織:雲基礎設施攻擊,包含源代碼、腳本、二進制文件和加密貨幣挖礦程序。
高級威脅情報:
ChamelGang組織:利用漏洞攻擊多國實體,包括俄羅斯能源和航空企業。
Operation GhostShell:MalKamak組織針對航空航天和電信公司的攻擊活動。
Lazarus APT組織:近期針對區塊鏈金融、能源行業的攻擊活動。
印度公司與Donot組織關聯:針對多哥活動家的攻擊活動。
『叄』 頭部扁平的,身子烏黑的,發的聲音跟打憨一樣。是什麼蛇。
1. 近日,瑞星威脅情報平台對2023年底SideWinder組織攻擊尼泊爾政府的事件進行了深入分析,發現了大量釣魚網站的源文件和惡意程序,得知SideWinder(又稱響尾蛇)組織對亞洲國家政府部門的釣魚攻擊佔比高達40.9%。在這些攻擊中,瑞星特別發現了三個專門針對我國政府和企業的釣魚網站。盡管SideWinder組織對我國的攻擊並未成功,但這一發現仍揭示了中國已經成為該組織攻擊目標清單中的關鍵對象。
2. SideWinder組織又稱響尾蛇,是一支疑似來自印度的黑客組織。該組織活動最早可追溯到2012年,目標集中在中國、巴基斯坦、阿富汗等國家,主要針對政府、軍工、能源、科研等關乎國家安全和利益的關鍵領域,並且會對特定目標進行定向攻擊,以達到信息竊取和間諜活動的目的。
3. 瑞星對SideWinder組織的活動進行了長期追蹤,從2019年起捕獲到多起APT攻擊事件:2019年9月上旬,瑞星捕獲到兩起針對我國的APT攻擊事件,一起是偽裝成國防部某部門,向各國駐華使館武官發送虛假邀請函;另一起是向某科技有限公司駐外代表處發送虛假的安全和保密手冊。2019年10月中旬,瑞星捕獲到三起針對國內政府企業發起的攻擊。
4. AF雷霆戰隊5波新動作人偶發布,包括阿特拉斯、上校西奇、忍者Senshi、響尾蛇、黑色近衛軍、偵察兵、偵查裝備包和印度武器包共8款產品,比例為1/12。其中阿特拉斯、上校西奇、忍者Senshi、響尾蛇和黑色近衛軍每款售價169元,偵察兵售價128元,偵查裝備包和印度武器包售價89元。預計2024年第四季度出貨。
5. 本文為關於非製冷長波紅外熱成像攝像頭系列文章的下篇,上篇介紹了紅外攝像頭的基本原理、特點、應用和國外主要玩家。下篇則著重於非製冷長波紅外熱成像攝像頭的具體原理、關鍵器件、核心技術、主要挑戰、發展趨勢以及國內主要玩家。文章首先描述了某些蛇類如何通過頰窩中的特殊溫度感受器感知紅外線,這種能力類似於人類視覺,並在夜間尤為重要。這種感知器的敏感度非常高,可以分辨出0.002的溫差。科學家將頰窩稱為蛇的熱眼」或紅外感受器」。基於這種原理,響尾蛇導彈配備了紅外線自動跟蹤制導系統,能感知熱氣流並准確打擊目標。接著,文章轉入非製冷長波紅外熱成像攝像頭的討論。這種攝像頭的整體結構包括紅外鏡頭、紅外探測器和圖像處理等核心器件。紅外探測器是長波紅外攝像頭的最核心器件,採用微電子工藝集成電路技術製成,主要由多個探測像元組成,這些像元可以完成光電轉換和信號處理。探測器主要分為凝視式和掃描式兩種,根據焦平面的光敏元數目和是否需要光機掃描來分類。目前主流產品為凝視型焦平面探測器。探測器的主要指標包括陣列規模、像元尺寸、NETD(雜訊等效溫差)、熱響應時間等。熱成像紅外攝像頭的工作原理與可見光攝像頭不同,它沒有曝光時間」,或者說,它實際上一直進行曝光,並實時處理圖像。
6. 1958年,一位浙江老農在田地中意外發現了一枚美製響尾蛇」導彈。該事件引起中國政府的高度重視,導彈被運往北京進行分析研究。盡管蘇聯方面多次要求歸還該導彈,但中國拒絕了。中國擔心蘇聯可能會不分享研究成果或甚至對中國不利。最後,在蘇聯承諾分享其研究成果後,中國同意將導彈交給蘇聯。蘇聯成功仿製出K-13空對空導彈後,中國也開始了自己的研究,並在三年後掌握了相關技術,製造出了中國的空對空導彈。