月度威胁组织情报报告 - 2024年12月
基于NSHC威胁分析研究所在2024年11月21日至2024年12月20日期间收集的数据和信息,对黑客组织活动进行汇总分析。
2024年12月共发现65个黑客组织的活动,其中SectorJ组织占比最高达49%,SectorA、SectorE组织的活动紧随其后。
本月发现的黑客活动主要针对政府机构和能源领域的相关人员或系统,从地区分布来看,针对欧洲和北美国家的黑客活动最为频繁。
1. SectorA组织活动特征
2024年12月共发现4个黑客组织的活动,分别是SectorA01、SectorA02、SectorA05、SectorA07组织。
SectorA01 组织的活动在韩国发现。该组织通过LinkedIn等平台冒充招聘人员提供虚假就业机会的方式接触潜在受害者,最终使用的恶意软件与命令与控制服务器通信,用于下载额外有效载荷或泄露敏感数据。
SectorA02 组织的活动在韩国发现。该组织使用名为"김국성강의자료"的Windows快捷方式文件格式的恶意软件,最终使用后门恶意软件根据攻击者命令窃取文件,并使用pCloud、Yandex等云服务传输到攻击者的云服务器。
SectorA05 组织的活动在韩国发现。该组织诱导用户访问伪装成韩国门户网站Naver登录页面的钓鱼网站,试图窃取Naver电子邮件账户和密码。
SectorA07 组织的活动在俄罗斯、韩国发现。该组织使用伪装成金融交易确认书的CHM文件格式的恶意软件,最终通过PowerShell命令下载并执行攻击者传递的额外批处理脚本恶意软件。
目前持续活跃的SectorA黑客组织旨在收集与韩国相关的政治、外交活动等政府活动相关的高级信息,同时并行进行针对全球的金融资产获取的黑客活动。
2. SectorB组织活动特征
2024年12月共发现4个黑客组织的活动,分别是SectorB01、SectorB22、SectorB91、SectorB107组织。
SectorB01 组织的活动在希腊、德国、菲律宾、台湾、马来西亚、南非、美国、阿富汗、巴西、斯威士兰、印度、印度尼西亚、巴基斯坦、泰国、越南发现。该组织针对政府机构、非政府组织、通信、技术、咨询等多个领域进行攻击活动,利用攻击目标系统各种公开服务器的N-Day漏洞进行初始访问,然后在攻击目标系统部署额外的恶意软件,进行长期间谍活动。
SectorB22 组织的活动在法国、台湾、英国、新加坡、菲律宾、智利、韩国发现。该组织利用攻击目标系统中未知漏洞进行初始访问,安装各种Web Shell,最终安装Linux后门窃取敏感信息。
SectorB91 组织的活动在日本发现。该组织针对日本的个人和组织分发鱼叉式网络钓鱼邮件进行攻击活动,最终通过安装的恶意软件收集感染环境的信息,还通过额外安装的恶意软件根据命令与控制服务器传递的命令进行恶意行为。
SectorB107 组织的活动在美国、中国发现。该组织利用可自动利用漏洞部署恶意软件的工具Exploit Kit,针对Android及Windows平台进行攻击活动,最终通过安装的后门远程控制攻击目标系统并收集敏感信息。
目前持续活跃的SectorB黑客组织的攻击目的被分析为收集全球各国政府机构的政治、外交活动等政府活动相关的高级信息。
3. SectorC组织活动特征
2024年12月共发现7个黑客组织的活动,分别是SectorC01、SectorC02、SectorC04、SectorC05、SectorC08、SectorC13、SectorC24组织。
SectorC01 组织的活动在亚美尼亚、中国、希腊、匈牙利、印度、哈萨克斯坦、吉尔吉斯斯坦、塔吉克斯坦、土库曼斯坦、乌克兰、乌兹别克斯坦发现。该组织通过网络钓鱼邮件、社会工程技术尝试初始渗透,渗透成功后利用定制恶意软件在攻击目标系统安装后门,长期维持访问权限并持续收集敏感数据。
SectorC02 组织的活动在乌克兰、荷兰、巴基斯坦、美国、瑞典、阿富汗发现。该组织通过入侵其他黑客组织的命令与控制基础设施来部署自己的恶意软件,通过利用其他黑客组织的工具和基础设施来隐藏自己的活动并规避检测。
SectorC04 组织的活动在捷克发现。该组织以捷克政府及军事组织为主要目标,通过网络钓鱼邮件向攻击目标分发恶意RDP配置文件,执行此恶意RDP配置文件的攻击目标会连接到攻击者控制的RDP中继服务器,从而泄露敏感数据或为安装额外恶意代码奠定基础。
SectorC05 组织的活动在乌克兰、德国、美国、斯洛伐克发现。该组织利用包含国际军用直升机相关会议议程内容的PDF文档作为诱饵,诱导用户执行伪装成注册表的Windows快捷方式文件格式的恶意软件,最终使用的Visual Basic脚本恶意软件是通过PowerShell命令接收并执行额外命令的后门型恶意软件。
SectorC08 组织的活动在香港、荷兰、塔吉克斯坦、乌兹别克斯坦、叙利亚、哈萨克斯坦、英国、德国、美国、吉尔吉斯斯坦、波兰、阿联酋、土耳其、乌克兰、斯洛伐克发现。该组织通过包含法院通知内容的网络钓鱼邮件附带的RAR压缩文件传递给攻击目标,当执行压缩文件内包含的HTA文件格式的恶意软件时,会运行Visual Basic脚本以下载并执行额外的HTA恶意软件。
SectorC13 组织的活动在俄罗斯、白俄罗斯发现。该组织冒充政府机构发送网络钓鱼邮件,向攻击目标传递使用模板注入技术的Word文件格式的恶意文档。
SectorC24 组织的活动在巴基斯坦、俄罗斯发现。该组织制作模仿"Армія+“应用程序官方网站的钓鱼网站,通过包含恶意PowerShell脚本的安装程序安装OpenSSH服务器,获取远程访问权限,并通过Tor网络设置SSH服务,为远程访问攻击目标系统提供手段。
目前持续活跃的SectorC黑客组织的攻击活动被分析为旨在收集包括支持他们的政府及邻近国家在内的全球各国政府机构的政治、外交活动等政府活动相关的高级信息。
4. SectorD组织活动特征
2024年12月共发现1个黑客组织的活动,即SectorD37组织。
SectorD37 组织的活动在美国、以色列发现。该组织利用供应链攻击和网络钓鱼邮件成功实现初始渗透后,使用专门针对IoT及OT环境的恶意软件,这些恶意软件使用MQTT协议与攻击者服务器通信,主要功能包括干扰燃料服务、数据窃取、引发设备故障。
SectorD黑客组织主要针对存在政治竞争关系的国家进行黑客活动。最近SectorD黑客组织被分析为具有收集与支持他们的政府相对立的人物或国家的政治、外交活动等高级信息的目的。
5. SectorE组织活动特征
2024年12月共发现5个黑客组织的活动,分别是SectorE01、SectorE02、SectorE04、SectorE05、SectorE08组织。
SectorE01 组织的活动在巴基斯坦、中国、香港、印度、美国、哈萨克斯坦、英国、土耳其、瑞典、波兰、越南、捷克、乌克兰、智利、德国、芬兰、俄罗斯、保加利亚、比利时、巴西、印度尼西亚、法国、瑞士、泰国、格鲁吉亚、新加坡、埃及发现。该组织分发伪装成项目指南建议书的Windows快捷方式文件进行攻击活动,最终通过注册到攻击目标系统任务调度程序的命令下载额外恶意软件,为后续攻击奠定基础。
SectorE02 组织的活动在巴基斯坦发现。该组织分发伪装成"새로운 대표단 세부정보"文件名的Android应用程序进行攻击活动,最终通过安装的Android应用程序执行窃取SMS消息、联系人、通话记录等敏感信息的恶意行为。
SectorE04 组织的活动在斯里兰卡、尼泊尔发现。该组织分发伪装成医疗补助申请表的Microsoft Word文档进行攻击活动,最终通过分发的Word文档下载并执行远程模板文档文件,为后续攻击奠定基础。
SectorE05 组织的活动在马来西亚、中国、瑞典、韩国、英国、芬兰、巴基斯坦、印度发现。该组织分发伪装成"교육부"文件名的MSC文件进行攻击活动,最终使用分发的MSC文件中包含的系统命令注册任务调度程序,通过此将攻击目标系统的计算机名和用户名发送到命令与控制服务器,然后下载并执行额外恶意软件,为后续攻击奠定基础。
SectorE08 组织的活动在巴基斯坦、加拿大、孟加拉国、伊朗发现。该组织分发利用RARLAB的WinRAR代码执行漏洞的压缩文件进行攻击活动,最终通过安装的恶意软件执行从命令与控制服务器传递的CMD命令进行恶意行为。
目前持续活跃的SectorE黑客组织的攻击目的被分析为主要进行收集与支持他们的政府相关的政治、外交及军事活动等高级信息的黑客活动。但最近扩大到包括中国在内的远东亚洲和其他地区,获取政治、外交及技术相关高级信息的活动比重也在增加。
6. SectorH组织活动特征
2024年12月共发现1个黑客组织的活动,即SectorH03组织。
SectorH03 组织的活动在印度、西班牙发现。该组织分发名为"국방부 장관 주재 회의"的Adobe PDF文档进行攻击活动,最终通过分发的PDF文档中提供的链接诱导用户在登录电子邮件账户后下载PDF文档。当攻击目标点击提供的链接时,会跳转到该组织制作的伪装成印度政府网站的钓鱼网站,收集电子邮件账户信息,为后续攻击奠定基础。
SectorH黑客组织并行进行以网络犯罪为目的的黑客和以政府支持为目的的黑客活动。特别是,由于与支持他们的政府及邻近国家的外交摩擦持续,预计未来将持续进行旨在窃取邻近国家政府机构军事及政治相关高级信息的活动。
7. SectorR组织活动特征
2024年12月共发现1个黑客组织的活动,即SectorR01组织。
SectorR01 组织的活动在中国发现。该组织制作模仿中国民用航空官方网站的钓鱼页面进行攻击,在网页中插入恶意脚本,当攻击目标访问该页面时自动下载恶意文件,最终加载并执行Sliver RAT。
目前持续活跃的SectorR黑客组织的攻击目的被分析为进行旨在收集与支持他们的政府及邻近国家和邻近政治竞争国中国政府相关的政治、外交及军事活动等政府活动相关高级信息的黑客活动。
8. SectorS组织活动特征
2024年12月共发现1个黑客组织的活动,即SectorS01组织。
SectorS01 组织的活动在哥伦比亚发现。该组织分发插入了恶意代码的RARLAB的WinRAR解压库进行攻击活动,但由于错误的代码补丁,被判断为无法正常运行的测试目的文件。如果该组织将分发的WinRAR解压库进行正确地址的代码补丁使其正常运行后分发,预计会根据从命令与控制服务器传递的命令进行恶意行为。
目前持续活跃的SectorS黑客组织的攻击活动被分析为进行旨在收集支持他们的政府及邻近国家中政治、外交及军事活动等政府活动相关高级信息的黑客活动。
9. 网络犯罪组织活动特征
在在线虚拟空间活动的网络犯罪组织在2024年12月共发现10个黑客组织的活动,分别是SectorJ09、SectorJ14、SectorJ25、SectorJ39、SectorJ47、SectorJ93、SectorJ115、SectorJ135、SectorJ149、SectorJ194组织。
这些组织与其他政府支持的黑客组织不同,他们窃取在现实世界中能够获得金钱利益的具有财物价值的在线信息,或直接黑客攻击特定企业及组织后在其内部网络传播勒索软件,或窃取重要行业机密后以此为由要求金钱代价的威胁活动等。
SectorJ09 组织针对在线支付页面插入窃取金融信息的Skimming脚本,进行Formjacking攻击。该组织在电子商务网站的支付页面注入混淆的恶意JavaScript代码,窃取攻击目标输入的卡号、有效期、CVC代码等敏感金融数据。
SectorJ14 组织向攻击目标发送附带Twitter短链接的短信消息,诱导攻击目标点击附带的链接。当攻击目标访问附带的短链接时,会重定向到伪装成Apple登录页面的钓鱼页面,试图窃取攻击目标输入的Apple凭证。
SectorJ25 组织的活动在韩国、克罗地亚发现。该组织在攻击目标系统传播混淆的Shell脚本形式的恶意软件,该脚本文件具有在攻击目标系统下载额外恶意软件的功能。该组织在攻击目标系统下载的恶意软件被分析为通过GitHub公开源代码的Diamorphine rootkit和执行加密货币挖矿功能的XMRig。该组织通过rootkit规避检测执行恶意行为,最终通过XMRig进行加密货币挖矿以获得金钱利益。
SectorJ39 组织的活动在德国、美国、乌克兰发现。该组织构建了钓鱼网站,当攻击目标访问他们构建的网站时,会重定向到可执行特定漏洞的Exploit托管服务器。他们通过利用该服务器托管的漏洞,执行下载并运行被称为RomCom的后门恶意软件到攻击目标系统的Shellcode。
SectorJ47 组织的活动在匈牙利发现。该组织向攻击目标传播Windows快捷方式文件,诱导攻击目标执行。当攻击目标执行Windows快捷方式文件时,会运行文件中内置的Windows命令,具有从外部服务器下载图像文件和额外恶意软件的功能。下载的图像文件被用于诱导攻击目标无法意识到执行了恶意软件的事实,一起下载的额外恶意软件是使用Web Socket与命令与控制服务器通信的DLL格式的恶意软件。该恶意软件不仅具有与命令与控制服务器通信的功能,还窃取攻击目标系统存储的浏览器凭证或执行屏幕截图等功能。
SectorJ93 组织的活动在俄罗斯、英国、意大利发现。该组织通过网络钓鱼邮件向攻击目标传递压缩文件,诱导攻击目标执行压缩文件内的HTA脚本文件。当攻击目标执行HTA脚本文件时,会从外部服务器下载图像文件和批处理脚本文件到攻击目标系统。下载的图像文件伪装成打开文档文件的画面,用于诱导攻击目标无法意识到执行了恶意软件的事实。与图像文件一起下载的批处理脚本文件是被称为NetSupport的远程控制恶意软件,他们试图远程控制攻击目标系统并执行恶意命令。
SectorJ115 组织的活动在荷兰、巴西发现。该组织被分析为针对使用加密协议开源软件OpenSSL的Linux服务器传播恶意软件。该组织传播具有Reverse Shell功能的ELF格式的恶意软件及执行加密货币挖矿功能的Crypto Miner和下载额外恶意软件的Shell脚本文件。
SectorJ135 组织向攻击目标传播伪装成简历的钓鱼页面,诱导攻击目标下载钓鱼页面上传的压缩文件。当攻击目标执行压缩文件内的Windows快捷方式文件时,会运行快捷方式文件内置的Windows命令。运行的命令执行与Windows Internet Explorer设置相关的实用程序"ie4uinit.exe”,加载恶意INF文件。该组织最终在攻击目标系统传播后门恶意软件,并滥用任务调度程序使后门在攻击目标系统持续运行。
SectorJ149 组织的活动在乌克兰发现。该组织使用内置了下载从命令与控制服务器EXE格式可执行文件功能的PowerShell命令的Windows快捷方式文件。最终在攻击目标系统下载的恶意软件是被称为Remcos的远程控制恶意软件,该组织试图远程控制攻击目标系统并执行恶意命令。
SectorJ194 组织向攻击目标发送附带钓鱼网站链接的网络钓鱼邮件,并编写需要最新微代码更新的内容,诱导攻击目标点击邮件中附带的链接。当攻击目标访问附带的链接时,会提供Linux命令以及执行链接提供命令的说明。当攻击目标在攻击目标系统执行提供的命令时,会下载上传到GitHub的Shell脚本文件到攻击目标系统。该组织下载的Shell脚本文件已被删除,但通过类似攻击手法利用的GitHub托管文件是后门恶意软件的事实,判断该Shell脚本文件也是后门恶意软件。
包含IoC及建议事项并详细说明个别威胁事件的完整报告将提供给现有NSHC ThreatRecon客户。详细信息请咨询service@nshc.net。