每周高级威胁情报解读

披露时间：2018年9月27日

情报来源：

https://www.zdnet.com/article/cobalt-threat-group-serves-up-spicyomelette-in-bank-attacks/

相关信息：

来自Secureworks Counter Threat Unit（CTU）的研究人员表示，APT组织Cobalt Gang，也称为Gold Kingswood，正在针对全球金融机构传播SpicyOmelette恶意软件。

该组织通常会向攻击目标发送一个钓鱼邮件，其中包含一个PDF附件，如果受害者点击该文件，则会将其重定向到由Cobalt控制的Amazon Web Services（AWS）URL，然后，此页面将安装名为SpicyOmelette的JavaScript恶意程序。

SpicyOmelette会获取运行机器上的系统信息，为后期持续攻击以及部署针对特定金融机构进行感染的工具提供详细信息。

据悉Cobalt已造成超过10亿欧元的损失。

披露时间：2018年9月27日

情报来源：

https://www.bleepingcomputer.com/news/security/apt28-uses-lojax-first-uefi-rootkit-seen-in-the-wild/

相关信息：

ESET研究人员已经确定俄罗斯APT组织”APT28”(又名Swallowtail，FancyBear)已经为他们的武器库增加了一个新的恶意工具，一个名为“LoJax”的Rootkit恶意工具。该RootKit工具可以将其写入到计算机的SPI闪存中，因此即使更换了硬盘驱动器或重新安装了操作系统该木马依旧可以获得执行代码的机会，从而长期驻留在受感染目标电脑中。

安全研究人员在受害者计算机上发现了三种不同类型的工具，其中两个负责收集有关固件详细信息，并通过读取UEFI所在的SPI闪存创建固件副本，第三个模块负责持久性攻击。

披露时间：2018年10月3日

情报来源：

https://www.us-cert.gov/ncas/alerts/TA18-275A

参考链接：

https://www.us-cert.gov/ncas/analysis-reports/AR18-275A

https://securityaffairs.co/wordpress/76798/hacking/fastcash-hidden-cobra-attacks.html

相关信息：

US-CERT发布了美国安全部、联邦调查局和财政部关于新的Lazarus攻击活动预警，该攻击活动被命名为“FASTCash“，该活动由朝鲜APT组织Lazarus(HIDDEN COBRA)发起，并且US-CERT称FASTCash攻击活动自2016年已经开始。

据称Lazarus组织至少盗取了数千万美金，在2017年的一次事件中，Lazarus可以同时从30多个不同国家的ATM中窃取资金。在2018年的另一起事件中，Lazarus在23个不同的国家同时从ATM中窃取资金。

        专家认为，Lazarus APT组织对银行进行了鱼叉式网络钓鱼攻击，并且利用相关工具进行横向渗透，从而将恶意软件部署到支付交换机应用程序的服务器上。

披露时间：2018年10月3日

情报来源：

https://securityaffairs.co/wordpress/76779/apt/nokki-malware-north-korea.html

参考链接：

https://securityaffairs.co/wordpress/75227/hacking/north-korea-malware-lazarus.html

https://researchcenter.paloaltonetworks.com/2018/09/unit42-new-konni-malware-attacking-eurasia-southeast-asia/

http://www.4hou.com/info/news/13870.html

恶意代码名称：NOKKI

相关信息：

Palo Alto Networks的研究人员发现了一种新的KONNI恶意软件变种，被追踪为NOKKI，安全研究人员认为此恶意软件与朝鲜APT组织Reaper有关。

NOKKI借用了KONNI恶意软件的代码，KONNI是一种RAT用于针对朝鲜有关的组织进行针对性攻击，而NOKKI则用于攻击欧亚地区和东南亚地区政治相关人物。

        NOKKI能够从受害者计算机中收集大量数据（IP地址，主机名，用户名，驱动器信息，操作系统信息，已安装程序等），它还能够下载和执行有效负载，以及删除和打开诱饵文件。

披露时间：2018年10月2日

情报来源：

https://www.proofpoint.com/us/threat-insight/post/danabot-gains-popularity-and-targets-us-organizations-large-campaigns

参考链接：

https://blog.trendmicro.com.tw/?p=57476

相关信息：

9月26 Proofpoint的安全研究人员发现了数十万针对美国收件人的电子邮件，这些邮件使用了eFax数字传真的文档作为诱饵并包含一个链接到包含恶意宏的文档下载的URL。如果用户启动了宏，则执行嵌入的Hancitor恶意软件。随后即可下载Pony stealer和DanaBot银行恶意软件。

DanaBot是用Delphi编程语言编写的银行恶意软件，由三个部分组成，并且包含大量的垃圾代码已增加分析人员分析难度。

DanaBot使用加载程序从C&C服务器下载其主要组件。主要组件包含10个用于恶意软件通信的硬编码C&C IP地址列表。

根据C&C的信息，安全研究人员发现此恶意软件的感染区域现已远远超出澳大利亚地区，其它攻击活动区域也包括波兰，意大利，德国，奥地利以及美国。

从C&C流量分析安全研究人员怀疑DanaBot与CryptXXX勒索软件有相似的地方，DanaBot可能是由它演变而来，并且添加了窃取和远程访问等功能。

披露时间：2018年10月2日

情报来源：

https://blog.talosintelligence.com/2018/10/vuln-spot-adobe-reader-rce.html

其他链接：

https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0623

漏洞编号：CVE-2018-12852

相关信息：

思科Talos发布了AdobeAcrobat Reader DC中新漏洞的详细信息。

在Adobe Acrobat Reader DC2018.011.20040中诱导用户打开PDF文档时，在PDF文件中嵌入的特定JavaScript代码可能会导致任意代码执行。

披露时间： 2018年9月29日

情报来源：https://blog.netlab.360.com/70-different-types-of-home-routers-all-together-100000-are-being-hijacked-by-ghostdns-en/

相关信息：

        从2018年9月20号开始，360NetlabAnglerfish蜜罐系统监测到互联网上有大量IP正在针对性地扫描路由器系统。攻击者尝试对路由器Web认证页面进行口令猜解或者通过dnscfg.cgi漏洞利用绕过身份认证，然后通过相应DNS配置接口篡改路由器默认DNS地址为RogueDNS Server 。共发现3套成熟的DNSChanger程序，根据其编程语言特性我们将它们分别命名为ShellDNSChanger，Js DNSChanger ，PyPhpDNSChanger。目前这3套DNSChanger程序由同一个恶意软件团伙运营，其中以PyPhpDNChanger部署规模最大。根据其功能特性，360Netlab将它们统一命名为DNSChangerSystem。事实上DNSChangerSystem是该恶意软件软件团伙运营系统中的一个子系统，其它还包括：网络钓鱼网络系统，网络管理系统，流氓DNS系统。

        目前该活动主要针对巴西，已经计算了10万多个受感染的路由器IP地址（87.8％位于巴西），还有70多个路由器/固件，以及50多个域名，如巴西的一些大银行，甚至Netflix， Citibank.br被劫持以窃取相应的网站登录凭据。