月度威胁行为体组织情报报告,2024年11月
本报告基于NSHC威胁分析研究所从2024年10月21日至2024年11月20日收集的数据和信息,汇总分析了黑客组织的活动情况。 2024年11月,共确认61起黑客组织活动,活动最多的组是SectorJ组,占38%,其次是SectorA、SectorE组的活动。
2024年11月确认的黑客组织攻击活动主要针对政府机构和信息技术领域的相关人员或系统,按地区划分,针对欧洲和北美国家的黑客活动最为频繁。
1. SectorA组活动特征
2024年11月共确认5起黑客组织活动,这些组是SectorA01、SectorA02、SectorA03、SectorA04、SectorA06组。
SectorA01组的活动在俄罗斯、中国、土耳其、巴基斯坦、印度尼西亚、巴西、法国、德国、美国、印度、克罗地亚、越南、新加坡、西班牙、伊朗、马来西亚、以色列、意大利、香港、瑞士、日本、乌克兰、韩国、加拿大、英国得到确认。该组利用企业远程招聘流程,使用虚假身份被录用后,执行窃取机密数据的攻击。最终使用的后门被安装在目标系统中,建立了长期收集数据的基础,并与攻击者服务器通信以执行额外命令,执行传输收集数据的功能。
SectorA02组的活动在韩国、英国得到确认。该组使用名为"朝鲜与俄罗斯紧密关系后中国政府对朝鲜政策变化"的Windows快捷方式文件格式的恶意软件,最终使用后门型恶意软件根据攻击者指令夺取文件,并使用pCloud、Yandex等云服务发送到攻击者的云服务器。
SectorA03组的活动在伊朗、德国、日本、俄罗斯得到确认。该组使用伪装成中国大使馆邀请函相关文件的虚拟磁盘映像,最终使用的恶意软件根据攻击者命令具备文件劫持、屏幕捕获、下载执行额外恶意软件的功能。
SectorA04组的活动在俄罗斯得到确认。该组通过窃取的凭据和Windows访问令牌篡改进行网络劫持及权限提升,之后确认与使用Play勒索软件的威胁组合作进行勒索软件攻击的情况。
SectorA06组的活动在英国、美国得到确认。该组以夺取加密货币资产和收集机密信息为目的,修改MacOS的环境配置文件Zsh环境配置文件,设置系统重启后恶意软件持续运行。
2. SectorB组活动特征
2024年11月共确认6起黑客组织活动,这些组是SectorB01、SectorB22、SectorB31、SectorB65、SectorB71、SectorB106组。
SectorB01组的活动在印度尼西亚、台湾得到确认。该组针对东南亚政治活动家、政治家、记者进行夺取机密数据的攻击活动,在目标系统安装模块化Windows基监控框架,收集消息应用数据夺取、电子邮件客户端、浏览器凭据等机密数据,加密后发送到C2服务器。
SectorB22组的活动在印度得到确认。该组分发伪装成促销通知报告的含恶意软件的压缩文件进行攻击活动,通过目标系统安装的恶意DLL文件,根据C2服务器发送的命令进行恶意行为。
SectorB31组的活动在加拿大、印度、中国得到确认。该组利用Sophos防火墙漏洞夺取机密数据,构建了网络控制的基础设施。
SectorB65组针对南亚通信产业分发模块化恶意软件框架进行夺取机密数据的攻击活动,通过目标系统安装的恶意软件与C2服务器建立通信,加密夺取信息发送到C2服务器。
SectorB71组的活动在中国、沙特阿拉伯、台湾得到确认。该组针对台湾政府机构和宗教团体分发恶意软件进行攻击活动,通过目标系统安装的恶意软件进行Web会话Cookie劫持和云服务数据收集。
SectorB106组针对通信公司分发恶意软件进行攻击活动,直接黑客攻击不同通信公司间用于数据传输和消息转发的GPRS网络的外部DNS服务器访问目标网络。此外,该组在目标网络使用定制恶意软件收集用户信息及通话相关元数据,发送到C2服务器。
3. SectorC组活动特征
2024年11月共确认2起黑客组织活动,这些组是SectorC01、SectorC04组。
SectorC01组的活动在乌克兰、意大利得到确认。该组使用Google提供的验证码伪装钓鱼页面,诱导复制PowerShell命令到剪贴板,通过执行该命令进行浏览器凭据夺取和远程控制。
SectorC04组的活动在乌克兰、爱沙尼亚、土耳其、比利时、瑞典、英国、澳大利亚、日本得到确认。该组使用"Amazon与Microsoft服务整合"等主题的钓鱼邮件,目标执行邮件附带的RDP配置文件时,自动建立与攻击者服务器的RDP连接。攻击者通过RDP连接构建执行额外恶意软件的基础。
4. SectorD组活动特征
2024年11月共确认3起黑客组织活动,这些组是SectorD02、SectorD05、SectorD31组。
SectorD02组的活动在卢旺达、摩洛哥、以色列、加拿大、巴西、阿富汗、英国、美国、哈萨克斯坦、印度、秘鲁、亚美尼亚、埃及、西班牙、日本、伊拉克、阿根廷、约旦、德国、卢森堡得到确认。该组使用附带未付发票内容PDF文档的钓鱼邮件,最终尝试通过远程控制工具Level对目标系统进行远程控制。
SectorD05组的活动在以色列、印度、阿尔巴尼亚、土耳其、阿联酋得到确认。该组在LinkedIn等平台创建假招聘人员资料,向目标发送伪装招聘网站的钓鱼链接,诱导目标通过钓鱼链接下载执行恶意软件。最终使用具有远程控制功能的后门式恶意软件,利用DLL侧加载技术规避检测,收集系统信息。
SectorD31组的活动在美国、俄罗斯、以色列、德国、墨西哥、西班牙得到确认。该组通过伪装以色列国家网络局的钓鱼邮件分发模块化恶意软件,执行远程命令执行、数据夺取、屏幕截图捕获等功能。
5. SectorE组活动特征
2024年11月共确认4起黑客组织活动,这些组是SectorE02、SectorE04、SectorE05、SectorE08组。
SectorE02组的活动在孟加拉国得到确认。该组分发伪装成项目自制交货进展及主要事项汇总RTF文档的Windows快捷方式文件进行攻击活动,通过目标系统安装的恶意软件收集系统信息,下载额外恶意软件构建后续攻击基础。
SectorE04组的活动在印度、阿联酋、德国、新加坡、荷兰、巴基斯坦、马尔代夫、斯里兰卡、法国得到确认。该组分发伪装成招标公告的Microsoft Word文档进行攻击活动,通过目标系统执行的Word文档下载外部模板,构建后续攻击基础。
SectorE05组的活动在韩国、英国、日本、伊朗、罗马尼亚、中国、巴基斯坦、新加坡得到确认。该组分发伪装成穆斯林朝觐政策文档的Windows帮助文件进行攻击活动,通过目标系统安装的恶意软件下载额外恶意软件,巩固未来攻击基础。
SectorE08组的活动在香港、中国、新加坡、日本、台湾、印度、英国、美国、巴基斯坦得到确认。该组主要以巴基斯坦国防产业和香港研究人员为对象分发恶意RAR压缩文件进行攻击活动,通过目标系统安装的渗透测试工具Cobalt Strike执行C2服务器发送的额外命令。
6. SectorF组活动特征
2024年11月共确认1起黑客组织活动,该组是SectorF01组。
SectorF01组的活动在日本、韩国、中国得到确认。该组分发伪装成南海相关法律制度研究文档的Microsoft管理控制台文件进行攻击活动,通过目标系统安装的渗透测试工具Cobalt Strike执行C2服务器发送的额外命令。
7. SectorH组活动特征
2024年11月共确认1起黑客组织活动,该组是SectorH03组。
SectorH03组的活动在印度、德国、英国、阿联酋、瑞士、加拿大、日本、美国得到确认。该组分发伪装成军方正式信函Adobe PDF文档的Linux桌面条目文件进行恶意活动,通过目标系统安装的支持Mythic红队框架的Poseidon工具,根据C2服务器传达的命令控制目标系统。
8. SectorS组活动特征
2024年11月共确认1起黑客组织活动,该组是SectorS01组。
SectorS01组的活动在巴西、哥伦比亚得到确认。该组通过钓鱼邮件分发伪装成司法部文档的自解压文件进行攻击活动,通过目标系统安装的名为DcRat的远程控制功能恶意软件,执行C2服务器发送的额外命令。
9. 网络犯罪组活动特征
2024年11月共确认11起黑客组织活动,这些组是SectorJ09、SectorJ25、SectorJ39、SectorJ72、SectorJ85、SectorJ90、SectorJ109、SectorJ149、SectorJ165、SectorJ175、SectorJ191组。
这些组与其他受外国政府支持的黑客组不同,夺取现实世界中能确保金钱利益的有价值在线信息,亲自黑客攻击特定企业或组织在内部网络分发勒索软件,或夺取重要机密信息以此为借口进行金钱要求的胁迫行为等。
SectorJ09组进行表单劫持攻击,插入混淆的略读JavaScript,夺取目标在支付页面输入的信用卡信息等金融信息。
SectorJ25组的活动在俄罗斯、新加坡、以色列、法国、香港发现。该组执行Shell脚本恶意软件以散布针对Docker容器的恶意软件,Shell脚本恶意软件下载执行网络扫描工具Zrab、Masscan以及后门恶意软件到目标系统。该组最终分析为散布执行加密矿工恶意软件到目标系统,利用目标系统资源挖掘加密货币以确保金钱利益。
SectorJ39组将安全软件Avast的内核驱动文件安装到目标系统后,通过Windows服务控制管理工具命令将其注册为服务。之后分析为通过安装的驱动文件终止安全软件相关进程后,试图控制目标。
SectorJ72组的活动在秘鲁得到确认。分析该组使用DLL格式恶意软件,该恶意软件利用洋葱域名作为C2服务器,进行远程控制目标系统等恶意行为。
SectorJ82组构建类似企业域的钓鱼网站,当试图访问该企业页面的用户在URL输入包含拼写错误时,尝试误植域名攻击。分析该组针对特定企业域尝试误植域名攻击,试图收集与该企业相关用户的凭据。
SectorJ90组通过钓鱼邮件附加发送文档文件,附加文档文件包含云文件,描述如要从云接收文件请点击"Open"按钮,诱导目标执行该文件。目标点击按钮时,从C2服务器下载执行JavaScript恶意软件,JavaScript恶意软件下载执行Windows安装程序格式的额外恶意软件。分析该组最终执行向C2服务器发送目标系统截图功能的JavaScript及Python格式恶意软件。
SectorJ109组的活动在韩国、中国得到确认。该组通过伪装商业软件下载站的钓鱼站点诱导目标下载恶意软件,为使目标无法认识到下载了恶意软件,输出与实际商业软件执行画面类似的画面。分析该组分发的恶意软件是特洛伊木马,试图执行收集目标系统信息、远程控制等恶意行为。
SectorJ149组的活动在韩国、丹麦、俄罗斯、马来西亚、美国、白俄罗斯、乌克兰、加拿大、哥伦比亚、巴拿马、巴基斯坦、法国得到确认。该组发送伪装成报价请求的钓鱼邮件,诱导目标下载附件并执行。附加文件是Windows压缩文件,压缩文件包含Visual Basic脚本格式恶意软件。目标执行该文件时,通过PowerShell命令下载Bitbucket或GitHub上传的额外恶意代码。下载的恶意软件利用隐写术技术,是插入了Base64编码二进制文件的图像文件,通过PowerShell命令解码后,使用进程镂空技术执行。分析该组在目标系统分发窃取器恶意软件及远程控制恶意软件,试图执行远程控制目标夺取信息等恶意行为。
SectorJ165组通过执行下载程序功能的JavaScript恶意软件,下载执行僵尸网络恶意软件及勒索软件等恶意软件到目标系统。
SectorJ175组的活动在意大利、加拿大、土耳其得到确认。该组为确保金钱利益使用Dragonforce勒索软件,通过勒索记录发送可讨论金钱问题的洋葱域名地址。
SectorJ191组的活动在印度得到确认。该组针对Microsoft SQL服务器,分发加密矿工恶意软件和将目标系统网络资源作为代理共享的代理软件恶意软件。