一、政府VPN服務器遭到零日攻擊
由於疫情影響,中國政府為了讓因故遠程工作的人獲得訪問官方資源的途徑,便採用了虛擬專用網路(VPN),APT組織DarkHotel抓住了這個機會,對這些VPN發起了零日攻擊。
據360研究人員表示,在今年3月,一家名為SangFor的中國VPN供應商遭到了黑客攻擊,該供應商被多家中國政府機構使用。截至4月的第一周,至少有200台連接多個終端的VPN服務器遭到了攻擊。
此次攻擊利用零日漏洞且流程頗為複雜,需要高超的技術才能執行。不幸的是,客戶端在下載可執行文件之前沒有進行任何安全檢查。研究人員表示,攻擊者可以劫持會話,改變更新配置文件,並用他們自己的惡意代碼替換更新程式。
奇虎360的研究人員認為此次攻擊由DarkHotel發起,該APT組織與先前在中國,朝鮮,日本和美國進行的網路間諜活動有關。
在2020年早些時候,DarkHotel就曾利用IE瀏覽器的零日漏洞通過Office文檔進行有針對性的攻擊,並被指認為三月份攻擊世界衛生組織(WHO)的幕後黑手。根據研究人員的說法,在此過程中,他們可能一直在尋找有關測試、疫苗或試驗治療的訊息。
奇虎360通過逆向工程和代碼分析得出:“此次DarkHotel通過破解VPN服務,攻擊了很多中國海外機構。它的目的或許是在疫情期間監視中國的醫療技術和病毒控制措施,或者通過攻擊中國海外機構,以達成掌握中國向世界各國輸出檢疫物資的供應運輸路線、數量和設備等訊息的真正目的。又或者,它的目的是進一步調查更多國家的疫情醫療數據。此外,介於這個特殊的時間點,DarkHotel又或許是意在獲取中國的國家疫情數據和經濟復甦戰略。”
以上推測暫未有明確的證據支撐,但仍然獲得了不少關注。一位卡巴斯基的安全研究人員在推特上表示:“我們需要更多的數據來證實這些推測,目前仍沒有證據可以表明該攻擊背後的組織就是DarkHotel。”
二、殺不死的xHelper和木馬套娃
在去年年中,我們發現安卓智能機上的xHelper木馬開始了大規模攻擊,到現在為止,該惡意軟體依然保持活躍。xHelper的主要特點是其防禦和隱藏的能力,即當它進入手機後,即便用戶刪除它並恢復出廠設置,它依然會以某種方式留在手機中。我們通過研究,找到了xHelper極強存活能力的原因。
這個惡意軟體首先將自己偽裝成一款流行的智能手機清理加速的應用程式,但實際上它並沒有任何用處。安裝後,這個“清理軟體”就會消失,用戶無法在主螢幕或應用菜單中找到它,只有通過系統設置進入安裝的應用程式列表才能看到它。
該木馬的有效負載加密後存放在文件/assets/firehelper.jar中。其主要任務是將受害者手機的訊息(如android_id,製造廠商,模型,固件版本等)發送到https://lp.cooktracking[.]com/v1/ls/get,並下載下一個惡意模塊Trojan -Dropper.AndroidOS.Agent.of。
這個惡意軟體依次使用綁定的本地庫解密並啟動其有效載荷,這種方式為模塊分析的工作造成了困難。在這個階段,另一個木馬釋放器Trojan-Dropper.AndroidOS.Helper.b已經解密並啟動。這一步啟動了Trojan-Downloader.AndroidOS.Leech.p進一步感染這個設備。
惡意文件按順序儲存在應用程式的數據文件夾中,其他程式無法訪問這個文件夾。這種俄羅斯套娃一樣的方案讓惡意軟體作者得以隱藏踪跡並使用安全解決方案已知的惡意模塊掩蓋真實的痕跡。該惡意軟體主要可以在運行由中國廠商提供的Android 6和7這兩個版本的設備上獲得root權限。獲得權限後,xHelper 可以直接在系統分區中安裝惡意文件。
三、蘋果Safari瀏覽器漏洞允許黑客一鍵獲取網路攝像頭權限
一名安全研究員披露了蘋果Safari瀏覽器的漏洞,該漏洞允許黑客通過麥克風和攝像頭窺探iPhone、iPad和Mac電腦。他只需要誘導用戶點擊一個惡意連結,便可以利用這些漏洞對用戶的設備進行攻擊。
安全研究員Ryan Pickren透露了Safari瀏覽器中7個漏洞的細節,其中有3個漏洞可以通過殺傷鏈獲取受害者網路攝像頭的訪問權限。這些漏洞之前在漏洞獎勵計劃中已經提交給蘋果公司,且已被修復。然而,這些漏洞的技術細節,包括一個概念驗證(PoC)攻擊,直到最近才被Pickren所披露。
通常每個iOS應用都必須由用戶明確授予訪問設備攝像頭和麥克風的權限,但蘋果自己的應用程式不需要這些權限,包括Safari。此外,新的web技術,包括MediaDevices Web API(提供對連接的相機、麥克風等媒體輸入設備的訪問,以及螢幕共享的接口),允許某些網站借助Safari的權限直接訪問攝像頭。Pickren稱,這個功能“對於基於網路的視頻會議應用程式來說非常有用,比如Skype或Zoom。但是這項基於Web的新型攝像頭技術破壞了操作系統中的自帶相機的安全模型。”
目前,蘋果公司在1月28日的更新中修補了網路攝像頭漏洞(Safari版本為13.0.5),其餘四個漏洞也在3月份進行了修補。
四、名為“新冠病毒”的擦除器惡意軟體在Windows用戶中傳播
近日,一種新的Windows惡意軟體出現,它通過覆寫主引導記錄(MBR)使磁槃無法使用。黑客從COVID-19新冠病毒疫情中得到啟發,並稱自己為“新冠病毒”。
該軟體覆蓋MBR的手段與臭名昭著的NotPetya 擦除器惡意軟體在2017年的一次事件中使用的伎倆相同,後者曾造成全球性金融損失。
令人擔憂的是,根據SonicWall Capture Labs威脅研究小組的說法,這種新的惡意軟體還是一種破壞性很強的木馬病毒,儘管它的破壞性不如其他的擦除器。正如其名,目前沒有明確適用於它的“治愈”方法。研究人員表示,這個木馬病毒的受害者會發現自己的螢幕變成灰色,並閃爍著一條簡單的訊息:“您的電腦已被搗毀。”
這個惡意軟體在執行時,會安裝大量的幫助文件來啟動它的進程,這些幫助文件被放置在一個臨時文件夾中。該惡意軟體緊貼其流行病的主題,安裝程式(名為“coronavirs .bat”的文件)通過在受害者電腦上創建一個名為“COVID-19”的隱藏文件夾,緊接著將之前安裝在電腦上的幫助文件移動到這個文件夾中,以便其在實現目標之前不被注意到。
好消息是,這個惡意軟體並不像其他的擦除器那麼危險。SonicWall團隊表示:“即使沒有修復MBR,仍然可以通過加載硬盤讀取或恢復數據。另外,MBR是有可能修復的,但實現這一操作並不容易,它需要開發人員具備深厚的技術知識。”
五、從後門程式到Cobalt Strike,Loncom packer無所不包
之前的報導描述了一種惡意軟體偽裝成過期安全證書更新傳播的方式。在那之後,我們對所獲得的樣本進行了詳細的分析,並得出了一些有趣的發現。我們檢查到該活動的所有惡意軟體使用了同樣的打包工具,我們將其命名為Trojan-Dropper.NSIS.Loncom。惡意軟體使用合法的NSIS軟體打包加載shellcode,以及Microsoft Crypto API解密最終的有效載荷。這一次我們又發現其中一個打包樣本包含了APT組織使用的軟體。
除了我們上次提到的Mokes 和Buerak 之外,我們還發現了Backdoor.Win32.DarkVNC以及Trojan-Ransom.Win32.Sodin家族,即REvil 和Sodinokibi的打包樣本。前者是一種後門程式,通過VNC協議控制受感染的機器。後者是一個勒索軟體,它會加密受害者的訊息,並威脅要公開這些訊息。
然而,最令人興奮的發現還是Cobalt Strike工具,除了滲透測試人員會合法使用它以外,也有各種APT 團體在使用這一工具。包含Cobalt Strike 樣本的指揮中心此前曾被檢測到分發CactusTorch,這是一個用於運行Cobalt Strike 模塊中shellcode的工具。另外,它還曾傳播使用另一款工具打包的Cobalt Strike。
我們將繼續關注Trojan-Dropper. NSIS.Loncom,希望很快就能有新的發現與大家分享。