近期高级威胁情报小结(双节期间)/The Lucy Gang /

释放双眼,带上耳机,听听看~!

近期事情刚办完,回家休假,关注的东西有点少,不到位之处敬请谅解

① APT28

近期APT28组织有两次相关事件报道

一、

        APT28组织使用恶意程序LoJax和UEFI bootkit攻击欧洲多国政府

        攻击目标:Balkans以及中欧和东欧的一些政府组织

相关链接:https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/

详细白皮书:https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf

        该组织使用恶意程序LoJax和UEFI bootkit攻击欧洲多国政府。

        LoJax是对合法软件LoJack 组件的恶意修改,将用户重定向到恶意C&C服务器,于今年5月首次被发现。

与LoJax相关的博文

https://asert.arbornetworks.com/lojack-becomes-a-double-agent/

LoJack持久化机制如下图

        LoJax还被用于修改攻击目标的UEFI/BIOS设置,以便安装UEFI rootkit。

        该rootkit从恶意C&C服务下载恶意载荷,并写入目标计算机的系统分区,实现持久化。

        下图为受UEFI rootkit感染的系统的引导过程

        LoJax攻击过的设备一般都会有以下几种APT28常用的恶意软件,因此是通过这几点来关联上该组织的。

  • SedUploader,第一阶段的后门

  • XAgent,APT28的同款后门

  • Xtunnel,一种网络代理工具,可以在Internet上的C&C服务器和本地网络内的端点计算机之间中继任何类型的网络流量

        

最后公布了一个IOC列表,是去年的,包含了该报告提及的样本和基础设施资产

https://github.com/eset/malware-ioc/tree/master/sednit#lojax-first-uefi-rootkit-found-in-the-wild-courtesy-of-the-sednit-group

二、

VPNFilter 的7个功能模块被披露,增强流量加密和横向移动能力

https://blog.talosintelligence.com/2018/09/vpnfilter-part-3.html?m=1

该恶意软件已经被归属于APT28组织所为,本篇报告主要对

htpx、ndbr、nm、netfilter、portforwarding、socks5proxy、tcpvpn

这七个模块进行了分析。

这些模块为VPNFilter增加了重要功能:

  1. 可用于映射网络去连接感染了VPNFilter的设备,并进行利用操作该设备的其他功能。

  2. 结合加密和模糊处理,对流量进行操作

  3. 可以利用多种工具识别其他可以进行感染的设备,进行横向移动。

  4. 构建分布式代理网络,为了在未来与本次攻击无关的事件中使用,以便提供一种将攻击流量真实来源进行模糊处理的方法,使其看起来好像攻击来自先前受VPNFilter攻击的设备一样。

这报告写的跟工具说明书一样。

报告还说明了MikroTik的Winbox协议讲解

术语“Winbox”来自MikroTik提供的Winbox客户端,作为Web GUI的替代品。

然后,思科为了方便解析,发布了这款解析工具(不知道有几个人看到这了,可以举手)

https://github.com/Cisco-Talos/Winbox_Protocol_Dissector

② 针对欧亚大陆和东南亚的系列攻击,NOKKI恶意软件活动

恶意软件的作者当然来自朝鲜国家队啦

https://researchcenter.paloaltonetworks.com/2018/09/unit42-new-konni-malware-attacking-eurasia-southeast-asia/


NOKKI,被认为与KONNI有关系

KONNI相关链接

https://blog.talosintelligence.com/2017/05/konni-malware-under-radar-for-years.html

https://www.fortinet.com/blog/threat-research/a-quick-look-at-a-new-konni-rat-variant.html

主要体现在具有一定的代码复用,还有C&C服务器相关资产复用

与KONNI不同,NOKKI本质上是模块化的,在初始感染和最终有效载荷之间采取了多个步骤。在2018年1月至2018年5月期间观察到的早期版本的NOKKI使用远程FTP服务器最终接受命令并下载其他模块。虽然从2018年6月开始的新版NOKKI使用HTTP,但通信与先前报告的KONNI恶意软件完全不同,无论是URI结构还是正在发送的数据。

新披露俄语开发团队,恶意软件提供商:The Lucy Gang ,开发的Black Rose Lucy,被用于构建僵尸网络

披露时间:9月13号,之前看见了一直没有记录

攻击目标:俄罗斯,法国,以色列和土耳其

Black Rose Lucy是android恶意软件,详细分析明天可以写一下。具体亮点在于,该款软件控制台支持,英语,土耳其语和俄语,因此其绝对不单止是针对俄罗斯进行攻击,并且会进行全球化攻击,因为在代码中,该款软件针对小米手机有其特殊的处理方式,也许下一站就是在中国登陆了。

https://research.checkpoint.com/meet-black-rose-lucy-the-latest-russian-maas-botnet/

国内中文报告:

疑似”摩诃草”组织最新样本分析及域名资产揭露

疑似”摩诃草”组织最新样本分析及域名资产揭露

DarkHotel APT组织揭秘:针对高端商务人士、政要人物的精准攻击已持续8年

DarkHotel APT组织揭秘:针对高端商务人士、政要人物的精准攻击已持续8年

相关安全资源请见知识星球

本文源自微信公众号:黑鸟

人已赞赏
安全工具

今日APT情报大杂烩:海莲花、Darkhotel、响尾蛇&黄金鼠组织,Happy Virus和MartyMcFly行动

2019-10-16 10:17:30

安全工具

乌克兰核电站员工因偷核电进行数字货币挖矿被捕。

2019-10-16 10:17:38

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索