‘壹’ SideCopy组织近期利用中印时事新闻的攻击事件分析
2020年9月,Quick Heal公开了针对印度国防军和武装部队人员的窃密行动,将其命名为Operation SideCopy。活动始于2019年初,攻击者主要模仿Sidewinder APT组织的战术、技术和程序(TTPs)进行攻击,因此命名为Operation SideCopy。在这一活动中,研究人员发现了多个关键点。
2021年7月,Cisco Talos研究人员将该活动背后的攻击者定位为独立组织,命名为SideCopy APT组织。报告详细列举了该组织的多种攻击武器,包括CetaRAT、ReverseRAT、MargulasRAT、AllakoreRAT等,以及多款C#插件。
近日,奇安信威胁情报中心红雨滴团队在日常威胁情报狩猎中捕获了一批SideCopy以印度军事相关话题为诱饵的攻击样本。在这一活动中,攻击者以印度地区恐怖分子与士兵之间的冲突事故报告为主题,将下载器伪装为图片文件,并通过钓鱼邮件发送给受害者。当受害者解压并执行诱饵文件后,程序会从远程服务器下载数据文件并解密执行,最终加载SideCopy自有远控软件MargulasRAT。
本次捕获的样本主要由C#编写,样本基本信息如下:样本将图标设置为诱饵图片,以伪装成普通图片文件引诱目标用户点击运行。原始样本是一个下载器,通过白名单的短链接tinyurl[.]com将真实URL进行隐藏,以此规避杀软的静态查杀。短链接指向的URL如下:通过对短链接所指向的数据进行下载以后,利用解密算法进行解密。该解密算法疑似来自amido在Github开源的Amido.PreProcessor项目[1]。
样本首先将第一个短链接所指的数据文件下载到%AppData%/目录下并命名为taswala.txt,经解密后在同目录释放一个诱饵图片pic.png,随后启动线程打开pic.png以迷惑受害者。同样,第二个短链接所指的加密内容被保存为khat.txt,解密后保存为p.vbs并执行,其脚本内容如下:其主要功能是将第三段短链接解密后的wnx.exe在注册表中添加启动项,随后删除该vbs脚本。该vbs脚本疑似来自BatchPatch网站[2]。
第三个短链接下载的加密内容解密后被保存在%ProgramData%目录下,命名为wnx.exe,为C#编写。该样本实际为SideCopy常用的MargulasRAT。其通讯IP为62.171.187.53,端口为1443、2443、3443。MargulasRAT首先与C2进行Socket连接,发送被感染机器的用户名、系统版本、主机名等信息。随后接收C2返回的信息,经AES解密后执行远控指令。其指令对应的功能如下:基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
此次捕获的样本主要针对南亚地区开展攻击活动,暂未发现影响国内用户。奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(sandbox.ti.qianxin.com/...)进行简单判别。目前,已支持包括Windows、安卓平台在内的多种格式文件深度分析。
MD5值如下:、、、、、。URL如下:hxxp://www.isteandhrapradesh[.]in、hxxp://www.mojochamps[.]com。C2通讯IP及端口为62.171.187.53: {1443, 2443, 3443, 8686, 8787, 8899}。
‘贰’ 安恒高级安全威胁情报周报(2021.10.1~10.9)
恶意软件威胁情报:
FontOnLake:一款针对Linux操作系统的新型恶意软件家族。包含木马程序、后门和rootkit三个组件,允许攻击者远程访问、收集凭据并充当代理服务器。首个已知文件于2020年5月上传至VirusTotal。主要目标为东南亚地区。
Vermilion Strike:一款跨平台的Cobalt Strike重写版本,具备远程访问、上传文件、运行Shell命令等功能。使用C&C协议与服务器通信。
TangleBot:一款针对美国和加拿大用户的Android窃密恶意软件。具有全方位的监视和窃取能力,允许攻击者控制受感染设备。
ESPecter bootkit:一种用于进行网络间谍活动的罕见Windows UEFI bootkit恶意软件。攻击者可利用其安装后门并执行各种数据泄露功能。
热点事件威胁情报:
美国海军舰艇Facebook账号被黑:黑客盗用账号进行多场游戏直播,内容涉及《帝国时代1》等游戏。
SolarWinds黑客窃取政策和情报数据:俄罗斯黑客通过SolarWinds和微软软件入侵美国联邦机构,窃取了相关政策和情报信息。
谷歌警告APT组织攻击:俄罗斯APT28组织攻击记者、政客,谷歌发布安全更新保护用户。
LANtenna攻击:利用以太网电缆从气隙计算机中窃取数据的新攻击方法。
勒索专题:
LockBit 2.0勒索软件攻击以色列国防公司:声称窃取数据,要求支付赎金。
Weir公司遭勒索软件攻击:IT系统中断,造成数百万英镑损失。
美国考克斯媒体集团遭勒索软件攻击:导致电视直播和电台广播中断,800多名用户受影响。
日本JVCKenwood公司遭Conti勒索软件攻击:1.7TB数据被窃取,要求700万美元赎金。
漏洞利用威胁情报:
Apache HTTP Server零日漏洞被广泛利用:路径遍历和文件泄露漏洞导致攻击。
攻击团伙威胁情报:
FIN12组织:执行勒索软件攻击,目标为医疗保健行业及其他高收入受害者。
TeamTNT组织:云基础设施攻击,包含源代码、脚本、二进制文件和加密货币挖矿程序。
高级威胁情报:
ChamelGang组织:利用漏洞攻击多国实体,包括俄罗斯能源和航空企业。
Operation GhostShell:MalKamak组织针对航空航天和电信公司的攻击活动。
Lazarus APT组织:近期针对区块链金融、能源行业的攻击活动。
印度公司与Donot组织关联:针对多哥活动家的攻击活动。
‘叁’ 头部扁平的,身子乌黑的,发的声音跟打憨一样。是什么蛇。
1. 近日,瑞星威胁情报平台对2023年底SideWinder组织攻击尼泊尔政府的事件进行了深入分析,发现了大量钓鱼网站的源文件和恶意程序,得知SideWinder(又称响尾蛇)组织对亚洲国家政府部门的钓鱼攻击占比高达40.9%。在这些攻击中,瑞星特别发现了三个专门针对我国政府和企业的钓鱼网站。尽管SideWinder组织对我国的攻击并未成功,但这一发现仍揭示了中国已经成为该组织攻击目标清单中的关键对象。
2. SideWinder组织又称响尾蛇,是一支疑似来自印度的黑客组织。该组织活动最早可追溯到2012年,目标集中在中国、巴基斯坦、阿富汗等国家,主要针对政府、军工、能源、科研等关乎国家安全和利益的关键领域,并且会对特定目标进行定向攻击,以达到信息窃取和间谍活动的目的。
3. 瑞星对SideWinder组织的活动进行了长期追踪,从2019年起捕获到多起APT攻击事件:2019年9月上旬,瑞星捕获到两起针对我国的APT攻击事件,一起是伪装成国防部某部门,向各国驻华使馆武官发送虚假邀请函;另一起是向某科技有限公司驻外代表处发送虚假的安全和保密手册。2019年10月中旬,瑞星捕获到三起针对国内政府企业发起的攻击。
4. AF雷霆战队5波新动作人偶发布,包括阿特拉斯、上校西奇、忍者Senshi、响尾蛇、黑色近卫军、侦察兵、侦查装备包和印度武器包共8款产品,比例为1/12。其中阿特拉斯、上校西奇、忍者Senshi、响尾蛇和黑色近卫军每款售价169元,侦察兵售价128元,侦查装备包和印度武器包售价89元。预计2024年第四季度出货。
5. 本文为关于非制冷长波红外热成像摄像头系列文章的下篇,上篇介绍了红外摄像头的基本原理、特点、应用和国外主要玩家。下篇则着重于非制冷长波红外热成像摄像头的具体原理、关键器件、核心技术、主要挑战、发展趋势以及国内主要玩家。文章首先描述了某些蛇类如何通过颊窝中的特殊温度感受器感知红外线,这种能力类似于人类视觉,并在夜间尤为重要。这种感知器的敏感度非常高,可以分辨出0.002的温差。科学家将颊窝称为蛇的热眼”或红外感受器”。基于这种原理,响尾蛇导弹配备了红外线自动跟踪制导系统,能感知热气流并准确打击目标。接着,文章转入非制冷长波红外热成像摄像头的讨论。这种摄像头的整体结构包括红外镜头、红外探测器和图像处理等核心器件。红外探测器是长波红外摄像头的最核心器件,采用微电子工艺集成电路技术制成,主要由多个探测像元组成,这些像元可以完成光电转换和信号处理。探测器主要分为凝视式和扫描式两种,根据焦平面的光敏元数目和是否需要光机扫描来分类。目前主流产品为凝视型焦平面探测器。探测器的主要指标包括阵列规模、像元尺寸、NETD(噪声等效温差)、热响应时间等。热成像红外摄像头的工作原理与可见光摄像头不同,它没有曝光时间”,或者说,它实际上一直进行曝光,并实时处理图像。
6. 1958年,一位浙江老农在田地中意外发现了一枚美制响尾蛇”导弹。该事件引起中国政府的高度重视,导弹被运往北京进行分析研究。尽管苏联方面多次要求归还该导弹,但中国拒绝了。中国担心苏联可能会不分享研究成果或甚至对中国不利。最后,在苏联承诺分享其研究成果后,中国同意将导弹交给苏联。苏联成功仿制出K-13空对空导弹后,中国也开始了自己的研究,并在三年后掌握了相关技术,制造出了中国的空对空导弹。