2024年11月威胁组织情报月度报告
本报告是NSHC威胁研究实验室基于2024年10月21日至11月20日期间收集的数据和信息,对威胁组织活动进行分析的总结。
11月期间,共识别出34个威胁组织的活动,其中SectorJ组织的活动最为突出,占比38%,其次是SectorA和SectorE组织。
11月识别的威胁行为体对政府机构和IT部门的员工和系统发起的攻击数量最多。从地区来看,北美和欧洲是黑客活动目标最多的洲。
1. SectorA组织活动特征
2024年11月,共识别出5个黑客组织的活动,分别是SectorA01、SectorA02、SectorA03、SectorA04和SectorA06组织。
SectorA01组织在俄罗斯、中国、土耳其、巴基斯坦、印度尼西亚、巴西、法国、德国、美国、印度、克罗地亚、越南、新加坡、西班牙、伊朗、马来西亚、以色列、意大利、香港、瑞士、日本、乌克兰、韩国、加拿大和英国活动。该组织利用公司的远程职位招聘流程,使用虚假身份被雇佣并窃取敏感数据。最终使用的后门安装在目标系统上,为长期数据收集奠定基础,并具有与攻击者服务器通信以执行额外命令和发送收集数据的功能。
SectorA02组织在韩国和英国活动。该组织使用文件名为"朝鲜与俄罗斯密切关系后中国对朝鲜政策变化"的Windows快捷方式(LNK)文件格式恶意软件进行攻击。最终使用后门恶意软件根据攻击者命令窃取文件,并利用pCloud和Yandex等云服务将文件传输到攻击者的云服务器。
SectorA03组织在伊朗、德国、日本和俄罗斯活动。该组织使用伪装成中国大使馆邀请文件的虚拟磁盘映像(VHDX),该组织最终使用的恶意软件具有根据攻击者命令窃取文件、截图、下载和执行额外恶意软件的功能。
SectorA04组织在俄罗斯活动。该组织通过窃取的凭据和Windows访问令牌操纵进行网络接管和权限提升,并识别出该组织与使用Play勒索软件的攻击者合作进行勒索软件攻击的证据。
SectorA06组织在英国和美国活动。该组织旨在窃取加密货币资产和收集敏感信息,他们修改了MacOS的Zsh环境文件(~/.zshenv),以确保恶意软件在系统重启后继续运行。
迄今为止持续的SectorA黑客组织的黑客活动旨在收集有关韩国政府活动(如政治、外交活动)的高级信息,同时针对全球进行黑客活动以获取财务资源。这种黑客活动的目标长期持续,预计在一段时间内不会改变。
2. SectorB组织活动特征
2024年11月,共识别出6个黑客组织的活动,分别是SectorB01、SectorB22、SectorB31、SectorB65、SectorB71和SectorB106组织。
SectorB01组织在印度尼西亚和台湾活动。该组织从东南亚的政治活动家、政治人物和记者处窃取敏感数据。他们在目标系统上安装基于Windows的模块化监控框架,收集即时通讯应用数据、电子邮件客户端和浏览器凭据等敏感数据,然后加密并发送到命令与控制(C2)服务器。
SectorB22组织在印度活动。该组织分发包含恶意软件的压缩文件,伪装成促销通知报告进行攻击,安装在目标系统上的恶意DLL文件用于接收恶意活动命令。
SectorB31组织在加拿大、印度和中国活动。该组织利用Sophos防火墙中的漏洞窃取敏感数据并建立操作中继盒(ORB)进行网络控制。
SectorB65组织分发针对南亚电信行业的模块化恶意软件框架以窃取敏感数据。安装在目标系统上的恶意软件用于与命令与控制(C2)服务器建立通信,将窃取的数据加密传输到该服务器。
SectorB71组织在中国、沙特阿拉伯和台湾活动。该组织分发针对台湾政府机构和宗教组织的恶意软件,并使用安装在目标系统上的恶意软件窃取网络会话cookies并收集云服务数据。
SectorB106组织针对电信公司分发勒索软件进行攻击。他们直接黑客攻击用于在不同电信公司之间传输数据和消息的GPRS(通用分组无线服务)网络的外部DNS服务器,以获取目标网络的访问权限。此外,该组织在目标网络上使用定制恶意软件收集用户信息和呼叫相关元数据,然后发送到命令与控制(C2)服务器。
迄今为止持续的SectorB黑客组织的黑客活动旨在收集政府活动(如政治、外交活动)的高级信息,并针对全球。
3. SectorC组织活动特征
2024年11月,共识别出1个黑客组织的活动,分别是SectorC01和SectorC04组织。
SectorC01组织在乌克兰和意大利活动。该组织使用伪装成Google提供的reCAPTCHA的网络钓鱼页面,诱导用户将PowerShell命令复制到剪贴板并执行,在命令执行时执行浏览器认证信息窃取和远程控制。
SectorC04组织在乌克兰、爱沙尼亚、土耳其、比利时、瑞典、英国、澳大利亚和日本活动。该组织使用主题如"亚马逊和微软服务集成"的网络钓鱼电子邮件,当目标执行电子邮件附带的RDP配置文件时,自动建立与攻击者服务器的RDP连接。该组织通过RDP连接为执行额外恶意软件奠定基础。
迄今为止持续的SectorC黑客组织的黑客活动旨在收集政府活动(如政治、外交活动)的高级信息,针对全球,包括支持政府边境附近的国家。
4. SectorD组织活动特征
2024年11月,共识别出4个黑客组织的活动,分别是SectorD02、SectorD05和SectorD31组织。
SectorD02组织在卢旺达、摩洛哥、以色列、加拿大、巴西、阿富汗、英国、美国、哈萨克斯坦、印度、秘鲁、亚美尼亚、埃及、西班牙、日本、伊拉克、阿根廷、约旦、德国和卢森堡活动。该组织使用附带PDF文档的网络钓鱼电子邮件,包含关于未付发票的信息,最终尝试通过名为"Level"的远程控制工具远程控制目标系统。
SectorD05组织在以色列、印度、阿尔巴尼亚、土耳其和阿拉伯联合酋长国活动。该组织在LinkedIn等平台上创建虚假招聘档案,向目标传递伪装成招聘网站的网络钓鱼链接,诱导他们通过网络钓鱼链接下载恶意软件并执行。该组织最终使用具有远程控制能力的后门恶意软件,并使用DLL侧加载技术避免检测并收集系统数据。
SectorD31组织在美国、俄罗斯、以色列、德国、墨西哥和西班牙活动。该组织通过冒充以色列国家网络局(INCD)的网络钓鱼电子邮件分发模块化恶意软件,能够执行远程命令执行、数据窃取和屏幕截图捕获等功能。
SectorD黑客组织主要针对与支持政府存在政治冲突的国家进行黑客活动,最近该组织被观察到收集反对支持政府的个人或政府的政治、外交活动等高级信息。
5. SectorE组织活动特征
2024年11月,共识别出7个黑客组织的活动,分别是SectorE02、SectorE04、SectorE05和SectorE08组织。
SectorE02组织在孟加拉国活动。该组织分发伪装成总结项目相关交付进度和关键信息的RTF文档的Windows快捷方式(LNK)文件,并进行攻击活动。他们通过安装在目标系统上的恶意软件收集系统信息,并通过下载额外恶意软件为后续攻击奠定基础。
SectorE04组织在印度、阿联酋、德国、新加坡、荷兰、巴基斯坦、马尔代夫、斯里兰卡和法国活动。该组织分发伪装成招标通知的Microsoft Word文档进行攻击活动。通过在目标系统上执行的Word文档,下载外部远程模板为后续攻击奠定基础。
SectorE05组织在韩国、英国、日本、伊朗、罗马尼亚、中国、巴基斯坦和新加坡活动。该组织分发伪装成穆斯林朝觐哈吉政策文档的Windows帮助(CHM)文件,并使用安装在目标系统上的恶意软件下载额外恶意软件,为后续攻击奠定基础。
SectorE08组织在香港、中国、新加坡、日本、台湾、印度、英国、美国和巴基斯坦活动。该组织针对巴基斯坦国防工业和香港的研究人员分发恶意RAR压缩文件,并使用安装在目标系统上的渗透测试工具Cobalt Strike执行从命令与控制(C2)服务器接收的额外命令。
迄今为止持续的SectorE黑客组织的黑客活动旨在收集政治、外交、军事活动等高级信息。然而,考虑到他们最近将目标扩大到包括中国在内的东亚国家和其他地区,分析认为从这些国家收集政治、外交和技术相关高级信息的黑客活动比例有所增加。
6. SectorF组织活动特征
2024年11月,共识别出1个黑客组织的活动,该组织是SectorF01组织。
SectorF01组织在日本、韩国和中国活动。该组织分发伪装成与南海相关的法律研究文档的MSC(Microsoft管理控制台插件控制)文件,并使用安装在目标系统上的渗透测试工具Cobalt Strike执行从命令与控制(C2)服务器接收的额外命令。
SectorF的黑客活动旨在收集支持政府邻国政府活动(如政治、外交和军事活动)的高级信息,并窃取与本国经济发展相关的前沿技术信息。
7. SectorH组织活动特征
2024年11月,共识别出1个黑客组织的活动,该组织是SectorH03组织。
SectorH03组织在印度、德国、英国、阿联酋、瑞士、加拿大、日本和美国活动。该组织分发伪装成官方军事通信PDF文档的Linux桌面条目(.desktop)文件进行威胁活动。他们还使用支持名为Mythic的红队框架的工具Poseidon,该工具安装在目标系统上,用于接收来自命令与控制(C2)服务器的命令并控制目标系统。
SectorH黑客组织的黑客活动包括网络犯罪黑客活动和政府支持的黑客活动。支持国与邻国之间持续存在外交冲突,因此分析认为他们将持续收集政府机构军事和政治相关高级信息的活动以满足需求。
8. SectorS组织活动特征
2024年11月,共识别出1个黑客组织的活动,该组织是SectorS01组织。
SectorS01组织在巴西和哥伦比亚活动。该组织使用网络钓鱼电子邮件分发伪装成司法文档的自解压存档(SFX)文件,并通过安装在目标系统上的DcRat远程控制恶意软件,执行通过命令与控制(C2)服务器接收的额外命令。
SectorS黑客组织持续旨在收集政府活动(如政治、外交和军事活动)的高级信息,针对全球,包括支持政府边境附近的国家。
9. 网络犯罪组织活动特征
2024年11月,共识别出10个黑客组织的活动,分别是SectorJ09、SectorJ25、SectorJ39、SectorJ72、SectorJ85、SectorJ90、SectorJ109、SectorJ149、SectorJ165、SectorJ175和SectorJ191组织。
与其他政府支持的黑客组织不同,这些组织窃取可以在现实世界中获得金钱收益的有形价值的在线信息,或者直接黑客攻击特定公司和组织,在内部网络中传播勒索软件,或在窃取重要行业机密后要求金钱补偿。
SectorJ09组织通过向支付页面插入混淆的撇取JavaScript进行表单劫持攻击,以窃取目标输入的信用卡详细信息等财务信息。
SectorJ25组织在俄罗斯、新加坡、以色列、法国和香港活动。该组织在Docker容器上执行shell脚本恶意软件以进行恶意软件传播。shell脚本恶意软件下载并执行称为Zrab和Masscan的网络扫描工具,以及在目标系统上的后门恶意软件。该组织最终传播CryptoMiner恶意软件并在目标系统上执行,试图利用目标系统资源挖掘加密货币以获得财务收益。
SectorJ39组织在目标系统上安装安全软件Avast的内核驱动程序文件,然后使用Window服务控制工具命令将其注册为服务。分析认为他们试图使用安装的驱动程序文件终止与安全软件相关的进程来控制目标系统。
SectorJ72组织在秘鲁活动。该组织使用DLL格式恶意软件,在远程控制目标系统等恶意活动过程中使用Onion域作为C2服务器。
SectorJ82组织构建与企业域相似的网络钓鱼网站,并尝试进行错拼攻击,以重定向在尝试访问公司页面时URL输入错误的用户。分析认为该组织试图针对特定企业域进行错拼攻击,以收集与公司相关的用户凭据。
SectorJ90组织发送附带包含云文件的文档文件的网络钓鱼电子邮件。他们通过添加指示告诉目标如果希望从云下载文件则点击"打开"按钮,引导目标执行文件,点击按钮时,从命令与控制(C2)服务器下载JavaScript恶意软件并执行。JavaScript恶意软件下载Windows安装程序(MSI)格式的额外恶意软件并执行。该组织最终执行经分析具有将目标系统屏幕截图发送到命令与控制服务器能力的JavaScript和Python恶意软件。
SectorJ109组织在韩国和中国活动。该组织使用伪装成商业软件下载网站的网络钓鱼网站引导目标下载恶意软件,并显示与实际商业软件执行屏幕相似的屏幕,以防止目标注意到他们已下载恶意软件。该组织传播的恶意软件是收集目标系统信息或远程控制目标系统的特洛伊木马。
SectorJ149组织在韩国、丹麦、俄罗斯、马来西亚、美国、白俄罗斯、乌克兰、加拿大、哥伦比亚、巴拿马、巴基斯坦和法国活动。该组织发送伪装成报价请求的网络钓鱼电子邮件,诱导目标下载并执行附件文件。附件文件是Windows Cabinet(CAB)压缩文件,其中包含Visual Basic脚本(VBS)格式的恶意软件。当目标执行恶意软件时,它使用PowerShell命令下载上传到Bitbucket或GitHub的额外恶意软件。下载的恶意软件是使用隐写技术插入Base64编码二进制的图像文件,通过PowerShell命令解码并使用进程空心化技术执行。分析认为该组织试图在目标系统上传播窃取器和远程访问恶意软件,以进行远程控制或信息窃取等恶意活动。
SectorJ165组织使用具有下载器功能的JavaScript恶意软件在目标系统上下载Bot恶意软件和勒索软件并执行。
SectorJ175组织在意大利、加拿大和土耳其活动。该组织使用Dragonforce勒索软件获取财务收益,并通过勒索笔记传递用于讨论财务问题的Onion域地址。
SectorJ191组织在印度活动。该组织针对Microsoft SQL服务器传播CoinMiner恶意软件和Proxyware恶意软件,后者使用目标系统的网络资源作为第三方代理并共享。
包含每个事件详细描述以及入侵指标(IoC)和建议的完整报告可供现有NSHC ThreatRecon客户使用。有关更多信息,请联系service@nshc.net。