概述

  2016年1月起至今，双尾蝎组织对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台包括Windows 与 Android，攻击范围主要为中东地区

  此次捕获的恶意软件名为”Google Play Installer”，安装后伪装成Telegram应用程序类似的图标和界面。

样本信息

流程图

概述

  Symbiote由威胁情报公司BlackBerry和Intezer命名，原因是该恶意程序能够将自己隐藏在正在运行的进程或者网络流量中，像寄生虫一样耗尽受害者的资源。
  Symbiote背后的组织在2021年11开始开发该恶意程序，主要用来攻击拉丁美洲的金融部门，包括巴西银行和Caixa银行。
  Symbiote与其他Linux恶意程序不同之处在于它利用一个名为LD_PRELOAD的linux特性通过动态链接器将其加载到所有正在运行的进程中。

2. 样本详情

1.    概述

  BPFDoor是专门为Linux和Solaris系统设计的后门程序，攻击者可以远程连接到linux shell以获得受害者设备的访问权限，背后所属的APT组织主要针对中东和亚洲的电信提供商以及政府、教育和物流部门的实体。
  该后门滥用伯克利数据包过滤器(BPF)来监听网络和过滤网络数据包，这是BPFDoor名字的由来，也是2022年来被发现的第二个基于BPF进行攻击的恶意程序,第一个是由盘古实验室公布的NAS后门bvp47。
  PWC研究人员将该恶意程序归因于来自中国的APT组织Red Menshen, 该APT组织为2021年被PWC命名，归因原因是该组织在后利用阶段使用了Gh0st后门变种以及Mimikatz和Metasploit等开源软件、攻击时间与中国地区工作时间吻合等原因。这种归因方式是信誉度比较低的，因为其他国家的APT组织有时也会使用Gh0st后门,比如朝鲜国家支持的APT组织Lazarus。

2.    样本详情

3.    流程图

1.   概述

  在上一篇报告中已经详细分析了bootkit的安装过程, 本篇报告主要针对已经部署的bootkit进行进一步的详细分析。

2.详细分析

1. bootmgrfw.efi分析

         BlackLotus使用自签名的恶意EFI应用替换了原文件bootmgrfw.efi,将源文件重命名为winload.efi, 替换后的执行流程如下图:

1.   概述

  UEFI bootkit部署在系统固件中，能够完全控制操作系统的启动过程，因此可以禁用操作系统级别的安全机制并在启动期间中以最高权限执行程序。
  BlackLotus利用一个漏洞编号为CVE-2022-21894的安全漏洞来绕过UEFI安全启动保护并设置持久性。
利用该漏洞可以在操作系统的早期启动阶段执行任意代码从而允许攻击者在开启UEFI安全启动的系统上执行恶意操作而无需物理访问。

2.流程图

1.概述

  最近有安全研究人员发现以前未被发现的APT组织正在滥用即将举行的巴基斯坦国际海事博览会和会议(PIMEC-2023)作为主题来对巴基斯坦组织进行鱼叉式钓鱼。
  攻击者给受害者发送一封主题为PIMEC-23参展商的文档，该文档利用远程模板注入漏洞从服务器加载包含恶意宏代码的模板并执行。
  最终投递到受害者机器上的payload时一种高级间谍工具,由于该工具使用”Penguin”作为xor密钥对数据进行加密解密,
  在网络请求头部包含”getlatestnews”字段, 因此将这个APT组织称为”NewsPenguin”。

2.流程图

  创建一个asm文件,写入如下内容作为入口点用于进入shellcode并执行代码,区段名”AyyLmao”可以是任意值。shellco.bin保存实际使用的shellcode代码

1
2
3
4

Global Start
SECTION 'AyyLmao' write, execute,read
Start:
  incbin "shellcode.bin" 

  yasm将汇编文件编译成obj文件,-f选择是win32还是win64, -o为输出的obj文件。

1

yasm.exe -f win32 -o shellcode.obj shellcode.asm

  程序golink生成可执行文件,程序入口点设置为汇编文件中的入口点Start。

1

golink /ni /entry Start shellcode.obj

概述

  Lazarus团伙是一个长期活跃的APT组织，武器库十分强大，拥有对多平台进行攻击的能力，近年来，该团伙多次被安全厂商披露，但从未停止进攻的脚本，反而越发活跃，攻击目标也越发广泛。

  最近有关安全研究人员观测到Lazarus使用AppleJeus变种和使用加密货币为主题的网站针对加密货币的用户，并发现在此次攻击活动中发现Lazarus在以往活动中不曾使用的新TTPs。

2. 详细分析

1.仿冒网站

  在2022年6月至今,Lazarus创建了一个与数字货币交易的网站bloxholder.com，通过进一步的对其分析发现该网站为合法网站hassonline.com克隆而来。

  从下图可以看出两者之间的细小区别,Lazarus将原网站中与HaasOnline相关的文字引用都被替换成BloxHolder，图上半部分为合法网站，下半部分为克隆网站。

1.概述

  Lazarus是朝鲜国家资助的APT组织，该组织自成立以来一直活跃至今，因2014年11月针对索尼影视娱乐公司的攻击活动Operation Blockbuster而出名。
  该组织早期主要针对政府机关，以窃取情报为主，但自2014年后，该组织开始针对全球金融机构、虚拟货币交易等位目标，并开始发动攻击以获取经济利益。近日在威胁狩猎中发现Lazarus以日本瑞穗银行（Mizuho Bank）的招聘信息为诱饵进行攻击的攻击活动，

2.攻击链

1.   概述

  Lazarus组织，又称为HIDDEN COBRA、APT38、Zinc、Guardians of Peace等，是半岛地区最活跃的APT组织之一。该组织的攻击目标涉及波兰、智利、美国、墨西哥、巴西等数十个国家，针对银行、比特币交易所等金融机构及个人实施定向攻击活动，以获取经济利益，堪称全球金融机构的最大威胁之一。
  此外，该组织还针对航空航天、COVID-19疫苗技术、政府、媒体等机构及企业进行渗透，以窃取重要资料并进行破坏勒索。

2. 详细分析

1.诱饵文档

  SaniTox是韩国Jiransecurity的一款反病毒程序, 诱饵文档伪冒SaniTox骗取受害者信任并诱导其启用宏功能以便执行恶意宏代码。