美國網路司令部(USCYBERCOM)昨天再次向VirusTotal釋出了7個惡意軟體樣本,這些惡意軟體樣本當前用於資金籌集和惡意網路活動,包括惡意網路參與者的遠端訪問,信標和惡意軟體命令。
訪問:https://www.virustotal.com/en/user/CYBERCOM_Malware_Alert/
https://www.virustotal.com/gui/user/CYBERCOM_Malware_Alert/comments
美國網路司令部(USCYBERCOM)9月份曾向VirusTotal釋出了11個惡意軟體樣本,所有這些樣本都與臭名昭著的朝鮮相關威脅組織Lazarus有關。
作為由USCYBERCOM的網路國家使命部隊(CNMF)開展的專案的一部分,該惡意軟體正在與資訊保安社群共享,該專案於2018年11月啟動,共享兩個與俄羅斯國家駭客團體相關的檔案。
這項工作旨在分享CNMF認為對改善全球網路安全具有重大影響的非機密惡意軟體樣本,並且已經包括髮布與伊朗駭客團體相關的檔案。
現在,USCYBERCOM的所有11個樣本都在流行的惡意軟體掃描引擎目標Windows系統上共享,其中大多數都以32位系統為目標。
最新的一個樣本,有趣的是10小時後很多國產還沒入庫
樣本不是新的 - 其中10個是2017年的特徵建立日期,而第11個是在2018年2月建立的 - 並且大多數都對VirusTotal具有高檢測率。
它們似乎與“ 隱藏的眼鏡蛇 ”活動叢集相關聯,在資訊保安社群中作為拉撒路集團更為人所知。
該惡意軟體還與COBALT GYPSY威脅組相關聯,並透過使用域名與Shamoon相關聯。
VirusTotal只有少於20個反惡意軟體引擎檢測到一個名為netbtugc.exe的檔案。但是,它也包含韓語資源,並且聯絡已經連結到其他Lazarus惡意軟體樣本的IP地址。
來自THOR APT掃描器的資料表明,剩下的樣本是HOPLIGHT特洛伊木馬的變種,國土安全部(DHS)和聯邦調查局(FBI)今年4月將其歸因於隱藏的眼鏡蛇。
惡意軟體專注於從受感染系統收集資訊,但也可以根據從其命令和控制(C&C)伺服器接收的指令在系統上執行各種操作。
大多數檔案似乎也與Operation GhostSecret有關,這是一項資訊竊取活動,McAfee 於2018年4月將其歸咎於 Lazarus。
美國網路司令部2018年透過VirusTotal共享惡意軟體
美國網路司令部(USCYBERCOM)2018年宣佈開始透過Chronicle的VirusTotal情報服務與網路安全行業共享惡意軟體樣本。
該專案由USCYBERCOM的網路國家特派團(CNMF)運營,該部隊將在VirusTotal 上的CYBERCOM_Malware_Alert帳戶上釋出未分類的惡意軟體樣本。
“認識到與公共部門合作的價值,CNMF已經開始努力分享未發現的惡意軟體樣本,它發現它認為這將對改善全球網路安全產生最大影響,” USCYBERCOM表示。
CNMF聲稱其目標是“透過與全球網路安全社群共享來幫助防止惡意網路行為者的傷害”。
網路安全行業的成員可以透過名為USCYBERCOM惡意軟體警報(@CNMF_VirusAlert)的專用Twitter帳戶跟蹤CNMF共享的每個新惡意軟體樣本。Twitter帳戶目前擁有超過3,000名粉絲,而VirusTotal帳戶已被50多個使用者信任。
CNMF在VirusTotal上分享的第一批惡意軟體樣本是Lojack(LoJax)家族的一部分,研究人員最近觀察到這些攻擊顯然是由俄羅斯相關的網路間諜組織進行的,這些組織被追蹤為Sofacy,APT28,Fancy Bear,Pawn Storm,Sednit和鍶。
包含在名為rpcnetp.exe和rpcnetp.dll的檔案中的示例似乎是新的,與俄羅斯APT威脅組織用於中歐和東歐政府組織後由ESET分析的UEFI rootkit相關。
“到目前為止,數量一直很少,但質量很高。希望美國網路司令部的這些新增內容將成為另一個有用的惡意軟體來源,它將幫助該行業抵禦它。但是,下載檔案需要對VirusTotal Enterprise進行付費訪問,因此這應該對安全供應商有用,但大多數“業餘愛好”的惡意軟體分析師將無法訪問這些檔案,“AlienVault安全研究員Chris Doman說。
美國2017年6月警告朝鮮的“暗藏眼鏡蛇”襲擊事件
美國計算機應急準備小組(US-CERT)2017年6月代表國土安全部和聯邦調查局釋出了技術警報,以警告組織朝鮮的“隱藏眼鏡蛇”活動,特別是分散式拒絕服務(DDoS)攻擊。
被美國政府稱為“隱藏的眼鏡蛇”的威脅演員在資訊保安社群中更為人所知的是拉撒路集團,該集團被認為支援幾起引人注目的攻擊,包括針對索尼影業,孟加拉國中央銀行和金融機構的攻擊。波蘭。在威脅演員和最近的WannaCry勒索軟體攻擊之間也發現了連結,但一些專家持懷疑態度。
來自聯邦調查局和國土安全部的聯合警報提供了與被稱為“DeltaCharlie”的殭屍網路相關的妥協指標(IoC)。朝鮮政府據稱使用了在Novetta的“ Operation Blockbuster ”報告中詳細介紹的DeltaCharlie 來發布DDoS攻擊。美國警告朝鮮的隱藏眼鏡蛇襲擊事件
“DeltaCharlie是一種能夠啟動域名系統(DNS)攻擊,網路時間協議(NTP)攻擊和角色生成協議攻擊的DDoS工具,”US-CERT說。“惡意軟體作為基於svchost的服務在受害者系統上執行,能夠下載可執行檔案,更改自己的配置,更新自己的二進位制檔案,終止自己的程式,以及啟用和終止拒絕服務攻擊。”
US-CERT已共享有關漏洞,惡意軟體,IP地址,檔案雜湊,網路簽名以及與隱藏眼鏡蛇相關的YARA規則的資訊,以幫助防禦者檢測群組的攻擊。但是,它指出“需要進一步的研究來了解這個群體的網路能力的全部範圍。”
該機構警告說,在某些情況下,DDoS惡意軟體在受害者的網路上存在很長一段時間。
建議網路管理員遵循一系列建議,以減輕攻擊並響應未經授權的網路訪問。
雖然朝鮮被認為是造成幾起重大網路攻擊的原因,但專家們也觀察到針對該國的複雜攻擊。上個月,Cylance報導看到一個似乎有中國血統的新的無檔案攻擊,思科詳細介紹了一個RAT用來監視與朝鮮有關的組織。
由USCYBERCOM共享的伊朗連結惡意軟體2016年12月首次出現
美國網路司令部(USCYBERCOM)上傳到VirusTotal的伊朗相關惡意軟體於2016年12月和2017年1月首次出現。
USCYBERCOM共享的惡意軟體樣本與伊朗相關的網路間諜組跟蹤的攻擊有關,因為APT33利用CVE-2017-11774漏洞進行感染。
根據卡巴斯基的說法,USCYBERCOM上傳的兩個檔案是在兩年半前首次發現的,並且在與安全公司客戶共享的私人報告中提到,詳細介紹了NewsBeef威脅演員(也稱為迷人小貓,新聞播報員和APT35)。
該報告分析了2015-2017時間段內演員策略中觀察到的變化,包括2016年從瀏覽器開發框架(BeEF)技術轉向支援宏觀的Office文件,PowerSploit和Pupy後門。
卡巴斯基透露,在2016年底和2017年初觀察到的攻擊顯示,新工具集與魚叉式網路釣魚電子郵件,私人資訊連結和水坑攻擊相結合,主要集中在沙烏地阿拉伯目標上。
魚叉式網路釣魚攻擊依靠Office文件提供PowerShell指令碼並下載有毒安裝程式(如Flash,Citrix客戶端和Chrome)以執行PowerSploit指令碼並獲取功能齊全的Pupy後門。
被入侵的網站注入了混淆的JavaScript,將訪問者重定向到NewsBeef控制的主機,這些主機跟蹤受害者並提供惡意內容。該演員破壞了屬於沙烏地阿拉伯政府的伺服器和其他高價值的組織身份。
作為活動的一部分,駭客攻擊政府財政和行政組織,政府衛生組織,工程和技術組織以及一個與英國勞工相關的政府組織(多次攻擊目標)。
該活動的重點是用Pupy感染受害者,Pupy是一個開源的多平臺(Windows,Linux,OSX,Android),多功能後門。後門主要用Python編寫,後端使用來自PowerSploit,Mimikatz,laZagne等開源攻擊工具的程式碼。
長期以來,據說伊朗相關的網路間諜共享惡意軟體程式碼,USCYBERCOM上傳了VirusTotal,卡巴斯基的報告證實了這一點,再次證實了這一點。
眾所周知,Pupy後門是APT33使用的惡意軟體庫的一部分,APT33最近觀察到在2019年3月的一份報告中更新了其基礎設施,詳細介紹了其活動。
微信搜尋關注:紅數位,閱讀更多
混跡安全圈,每日必看!