2024年12月威胁组织活动技术分析报告

本报告详细分析了2024年12月期间65个威胁组织的活动特征,涵盖各类攻击手法包括钓鱼邮件、恶意LNK文件、漏洞利用、后门植入等,涉及政府、能源等多个关键行业目标。

2024年12月威胁组织情报月度报告

本报告是NSHC威胁研究实验室基于2024年11月21日至2024年12月20日收集的数据和信息,对威胁组织活动进行分析的总结。

12月期间,共识别出65个威胁组织的活动,其中SectorJ组织的活动最为突出,占49%,其次是SectorA和SectorE组织。

12月识别的威胁行为体对政府机构和能源行业的工人和系统发起的攻击数量最多。从地区来看,欧洲和北美是黑客活动目标最多的洲。

1. SectorA组织活动特征

2024年12月,共识别出4个黑客组织的活动,分别是SectorA01、SectorA02、SectorA05和SectorA07。

  • SectorA01:在韩国活跃,通过在LinkedIn等平台上冒充招聘经理接近潜在受害者,提供虚假就业机会。最终使用的恶意软件与命令控制(C2)服务器通信,以下载额外有效载荷或泄露敏感数据。
  • SectorA02:在韩国活跃,使用名为“金旭成讲义资料”的Windows快捷方式(LNK)文件形式的恶意软件。最终尝试使用后门恶意软件根据攻击者命令窃取文件,并使用pCloud和Yandex等云服务将数据传输到攻击者的云服务器。
  • SectorA05:在韩国活跃,通过诱使用户访问伪装为Naver登录页面的钓鱼网站,试图窃取韩国门户网站Naver的电子邮件账户和密码。
  • SectorA07:在俄罗斯和韩国活跃,使用伪装为金融交易确认文件的CHM(编译的HTML帮助)文件形式的恶意软件,最终通过PowerShell命令从攻击者处下载额外的批处理脚本恶意软件并执行。

迄今为止持续的SectorA黑客组织的活动旨在收集有关韩国政府活动(如政治、外交活动)的高级信息,同时在全球范围内进行黑客活动以获取财务资源。这一黑客活动目标已持续很长时间,预计在一段时间内将继续保持不变。

2. SectorB组织活动特征

2024年12月,共识别出4个黑客组织的活动,分别是SectorB01、SectorB22、SectorB91和SectorB107。

  • SectorB01:在希腊、德国、菲律宾、台湾、马来西亚、南非、美国、阿富汗、巴西、埃斯瓦蒂尼、印度、印度尼西亚、巴基斯坦、泰国和越南活跃。该组织以政府机构、非政府组织、通信、技术和咨询行业为攻击目标。他们利用目标系统各种公开服务器的N-Day漏洞获得初始访问权限,然后分发额外的恶意软件并进行长期间谍活动。
  • SectorB22:在法国、台湾、英国、新加坡、菲律宾、智利和韩国活跃。该组织利用目标系统中的未知漏洞获得初始访问权限,并安装各种Web Shell,最终安装Linux后门以窃取敏感信息。
  • SectorB91:在日本活跃。该组织以日本的个人和组织为目标,分发鱼叉式网络钓鱼电子邮件。他们最终使用安装在系统上的恶意软件收集受感染系统的信息。此外,该组织在目标系统上安装了额外的恶意软件,根据从C2服务器接收的命令执行恶意活动。
  • SectorB107:在美国和中国活跃。该组织利用漏洞利用工具包自动利用漏洞分发恶意软件,以Android和Windows平台为目标。最终,他们能够远程控制目标系统并通过安装的后门收集敏感信息。

迄今为止持续的SectorB黑客组织的活动被视为旨在收集有关政府活动(如政治、外交活动)的高级信息,并以全球为目标。

3. SectorC组织活动特征

2024年12月,共识别出7个黑客组织的活动,分别是SectorC01、SectorC02、SectorC04、SectorC05、SectorC08、SectorC13和SectorC24。

  • SectorC01:在亚美尼亚、中国、希腊、匈牙利、印度、哈萨克斯坦、吉尔吉斯斯坦、塔吉克斯坦、土库曼斯坦、乌克兰和乌兹别克斯坦活跃。该组织试图通过网络钓鱼电子邮件和社会工程技术进行初始访问,成功渗透后,他们使用定制恶意软件安装后门,并保持长期访问以持续收集敏感数据。
  • SectorC02:在乌克兰、荷兰、巴基斯坦、美国、瑞典和阿富汗活跃。该组织通过破坏其他黑客组织的C2基础设施并分发自己的恶意软件来进行黑客活动。他们还使用其他黑客组织的工具和基础设施来隐藏其活动并逃避检测。
  • SectorC04:在捷克共和国活跃。该组织主要针对捷克政府和军事组织,通过网络钓鱼电子邮件向受害者分发恶意的RDP(远程桌面协议)配置文件。执行恶意RDP配置文件的目标连接到攻击者控制的RDP中继服务器,为泄露敏感数据或安装额外的恶意软件提供了平台。
  • SectorC05:在乌克兰、德国、美国和斯洛伐克活跃。该组织使用关于国际军用直升机会议议程的诱饵PDF文档,并诱导目标执行伪装为注册表的Windows快捷方式(LNK)文件形式的恶意软件。最后一步使用的Visual Basic脚本(VBS)恶意软件被用作后门恶意软件,执行通过PowerShell命令接收的额外命令。
  • SectorC08:在香港、荷兰、塔吉克斯坦、乌兹别克斯坦、叙利亚、哈萨克斯坦、英国、德国、美国、吉尔吉斯斯坦、波兰、阿联酋、土耳其、乌克兰和斯洛伐克活跃。该组织发送包含法庭通知详细信息的网络钓鱼电子邮件,并附有RAR压缩文件。当目标执行压缩文件中包含的HTA(HTML应用程序)格式恶意软件时,会执行一个旨在下载并执行额外HTA恶意软件的Visual Basic脚本(VBS)。
  • SectorC13:在俄罗斯和白俄罗斯活跃。该组织发送冒充政府机构的网络钓鱼电子邮件,并在电子邮件中附上使用模板注入技术的恶意Word文档。
  • SectorC24:在巴基斯坦和俄罗斯活跃。该组织创建了一个模仿“Армія+”应用程序官方网站的网络钓鱼网站。他们使用包含恶意PowerShell脚本的安装程序来安装OpenSSH服务器,获取远程访问权限,并通过Tor网络设置SSH服务,提供了远程访问目标系统的手段。

迄今为止持续的SectorC黑客组织的活动被视为旨在收集有关政府活动(如政治、外交活动)的高级信息,目标包括支持政府边境附近国家在内的全球范围。

4. SectorD组织活动特征

2024年12月,共识别出1个黑客组织的活动,该组织是SectorD37。

SectorD37:在美国和以色列活跃。该组织在使用供应链攻击和网络钓鱼电子邮件成功渗透目标系统后,使用了专门针对IoT(物联网)和OT(操作技术)环境的恶意软件。该组织使用的恶意软件使用MQTT(消息队列遥测传输)协议与攻击者服务器通信,恶意软件的一些主要功能包括中断燃料服务、数据窃取和诱导设备故障。

SectorD黑客组织主要服务于针对与支持政府存在政治冲突国家的黑客活动,并且该组织最近被视为收集反对支持政府的个人或政府的政治、外交活动等高级信息。

5. SectorE组织活动特征

2024年12月,共识别出5个黑客组织的活动,分别是SectorE01、SectorE02、SectorE04、SectorE05和SectorE08。

  • SectorE01:在巴基斯坦、中国、香港、印度、美国、哈萨克斯坦、英国、土耳其、瑞典、波兰、越南、捷克共和国、乌克兰、智利、德国、芬兰、俄罗斯、保加利亚、比利时、巴西、印度尼西亚、法国、瑞士、泰国、格鲁吉亚、新加坡和埃及活跃。该组织分发伪装为项目指南提案的Windows快捷方式(LNK)文件进行攻击,并最终通过注册在目标系统任务计划程序中的命令下载额外的恶意软件,为未来的攻击奠定基础。
  • SectorE02:在巴基斯坦活跃。该组织分发伪装为名为“New Delegation Details”的文件的Android应用程序进行攻击,并最终使用安装的Android应用程序执行收集短信、联系人和通话记录等恶意行为。
  • SectorE04:在斯里兰卡和尼泊尔活跃。该组织分发伪装为医疗援助申请表的Microsoft Word文档进行攻击。他们最终通过分发的Word文档下载并执行远程模板文档文件,为后续攻击奠定基础。
  • SectorE05:在马来西亚、中国、瑞典、韩国、英国、芬兰、巴基斯坦和印度活跃。该组织分发伪装在“Education department”文件名下的MSC(Microsoft管理控制台管理单元控制)文件进行攻击。该组织最终使用分发的MSC文件中包含的系统命令注册任务计划程序,将目标系统的计算机名称和用户名发送到C2服务器,然后通过下载并执行额外的恶意软件为未来的攻击奠定基础。
  • SectorE08:在巴基斯坦、加拿大、孟加拉国和伊朗活跃。该组织分发利用RARLAB的WinRAR代码执行漏洞(CVE-2023-38831)的压缩文件。该组织最终使用安装的恶意软件执行从C2服务器接收的命令以进行恶意活动。

迄今为止持续的SectorE黑客组织的活动被视为旨在收集有关政治、外交、军事活动等的高级信息。然而,考虑到他们最近将目标扩大到包括中国在内的东亚国家和其他地区,分析认为从这些国家收集与政治、外交和技术相关的高级信息的黑客活动比例有所增加。

6. SectorH组织活动特征

2024年12月,共识别出1个黑客组织的活动,该组织是SectorH03。

SectorH03:在印度和西班牙活跃。该组织分发名为“国防部部长会议”的Adobe PDF文档,其中包含一个链接,提示目标使用其电子邮件账户登录,然后引导他们从该链接下载PDF文档。当目标点击提供的链接时,他们被重定向到由黑客组织创建的伪装为印度政府网站的网络钓鱼网站。收集电子邮件账户信息为未来的攻击奠定基础。

SectorH黑客组织的活动包括网络犯罪黑客活动和政府支持的黑客活动。支持国与边境国之间的外交冲突持续不断,因此分析认为他们将根据需要继续活动以收集有关政府机构军事和政治的高级信息。

7. SectorR组织活动特征

2024年12月,共识别出1个黑客组织的活动,该组织是SectorR01。

SectorR01:在中国活跃。该组织创建了一个模仿中国民用航空公司官方网站的网络钓鱼页面进行攻击。他们在网站中插入了一个恶意脚本,旨在目标访问网站时自动下载恶意文件。该恶意文件的功能是加载Sliver RAT并执行。

SectorR黑客组织旨在收集政府活动的高级信息,包括涉及中国的政治、外交和军事活动,中国与支持SectorR的国家存在竞争关系。

8. SectorS组织活动特征

2024年12月,共识别出1个黑客组织的活动,该组织是SectorS01。

SectorS01:在哥伦比亚活跃。该组织分发了插入了恶意软件的RARLAB的WinRAR解压缩库进行攻击,但该文件被确定为一个测试文件,由于代码补丁不正确而无法正常操作。如果该组织分发了带有正确地址代码补丁的WinRAR解压缩库以确保正常操作,则会根据从C2服务器接收的命令执行恶意活动。

SectorS黑客组织继续以收集政府活动(如政治、外交和军事活动)的高级信息为目标,目标包括支持政府边境附近国家在内的全球范围。

9. 网络犯罪组织活动特征

2024年12月,共识别出10个黑客组织的活动,分别是SectorJ09、SectorJ14、SectorJ25、SectorJ39、SectorJ47、SectorJ93、SectorJ115、SectorJ135、SectorJ149和SectorJ194。

与其他政府支持的黑客组织不同,这些组织窃取在现实世界中能够获得金钱收益的有形价值的在线信息,或者他们直接黑客攻击特定公司和组织,在内部网络传播勒索软件,或在窃取重要行业秘密后要求金钱补偿。

  • SectorJ09:通过在网上支付页面插入窃取脚本进行表单劫持攻击以窃取财务信息。该组织在电子商务网站的支付页面注入了混淆的恶意JavaScript代码,并推断已窃取受害者输入的卡号、有效期和CVC代码等敏感财务数据。
  • SectorJ14:向目标发送包含缩短的Twitter URL的短信,试图引导他们点击链接。当目标点击缩短的URL时,他们被重定向到一个伪装为Apple登录页面的网络钓鱼页面。该攻击被分析为试图窃取目标输入的Apple凭据。
  • SectorJ25:在韩国和克罗地亚活跃。该组织在目标系统上传播混淆的Shell脚本格式恶意软件,该脚本文件的功能是下载额外的恶意软件到目标系统。该黑客组织安装的恶意软件是源代码在GitHub上公开的Diamorphine Rootkit和用于加密货币挖掘的XMRig。该组织使用Rootkit逃避检测,并最终通过XMRig进行加密货币挖掘以获得经济利益。
  • SectorJ39:在德国、美国和乌克兰活跃。该组织建立了一个网络钓鱼网站,将访问该网站的目标重定向到一个可利用特定漏洞的漏洞利用托管服务器。该组织利用托管在服务器上的漏洞执行一个Shellcode,下载并执行一个名为RomCom的后门恶意软件。
  • SectorJ47:在匈牙利活跃。该组织向目标分发Windows快捷方式文件,引导他们执行。当目标执行该文件时,会执行一个嵌入的Windows命令,从外部服务器下载图像文件和额外的恶意软件。下载的图像文件用于防止目标注意到恶意软件的执行,与图像一起下载的恶意软件是一个使用Web Socket与C2服务器通信的DLL格式恶意软件。该恶意软件不仅具有与C2服务器通信的功能,还执行诸如窃取目标系统中保存的浏览器凭据或捕获屏幕截图等恶意活动。
  • SectorJ93:在俄罗斯、英国和意大利活跃。该组织通过网络钓鱼电子邮件向目标传递压缩文件,并诱导他们执行压缩文件中的HTA脚本文件。当目标执行HTA脚本文件时,从外部服务器下载图像文件和批处理脚本文件到目标系统。图像文件被伪装成类似于文档查看器,并用于防止目标注意到恶意软件的执行。与图像文件一起下载的批处理脚本文件包含一个名为NetSupport的远程控制恶意软件,该组织试图使用该软件远程控制目标系统并执行恶意命令。
  • SectorJ115:在荷兰和巴西活跃。该组织以使用开源加密协议OpenSSL的Linux服务器为目标分发恶意软件。分发的恶意软件包括具有反向Shell功能的ELF格式恶意软件、具有加密货币挖掘功能的加密矿工和下载额外恶意软件的Shell脚本文件。
  • SectorJ135:向目标分发伪装为简历的网络钓鱼页面,引导他们下载网站上上传的压缩文件。当目标执行压缩文件中的Windows快捷方式文件时,会执行一个嵌入的Windows命令。该命令执行“ie4uinit.exe”(一个与Windows Internet Explorer设置相关的实用程序),并加载一个恶意的INF文件。该组织最终在目标系统上传播后门恶意软件,并利用任务计划程序使后门在目标系统中持续运行。
  • SectorJ149:在乌克兰活跃。该组织使用一个包含PowerShell命令的Windows快捷方式文件,该命令从C2服务器下载EXE格式的可执行文件。下载到目标系统的最终恶意软件是一个名为Remcos的远程控制恶意软件,分析认为该组织试图远程控制目标系统并执行恶意命令。
  • SectorJ194:发送包含网络钓鱼网站链接的网络钓鱼电子邮件,通过声称需要微代码更新来提示目标点击附加链接。当目标访问该链接时,会向他们提供Linux命令以及执行这些命令的说明。当目标在其系统上执行提供的命令时,托管在GitHub上的Shell脚本文件将被下载到目标系统。尽管此攻击中使用的特定Shell脚本文件已被删除,但类似的攻击技术以前涉及包含后门恶意软件的GitHub托管文件。这表明下载的Shell脚本文件也很可能是后门恶意软件。

包含每个事件详细信息以及IoC(入侵指标)和建议的完整报告可供现有NSHC ThreatRecon客户使用。有关更多信息,请联系 service@nshc.net

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次