首页
论坛
专栏
课程

美国网络司令部昨日再次分享七个新恶意软件样本

红数位 发布于 红数位 2019-11-08 03:29


美国网络司令部(USCYBERCOM)昨天再次向VirusTotal发布了7个恶意软件样本,这些恶意软件样本当前用于资金筹集和恶意网络活动,包括恶意网络参与者的远程访问,信标和恶意软件命令。

访问:https://www.virustotal.com/en/user/CYBERCOM_Malware_Alert/

https://www.virustotal.com/gui/user/CYBERCOM_Malware_Alert/comments




美国网络司令部(USCYBERCOM)9月份曾向VirusTotal发布了11个恶意软件样本,所有这些样本都与臭名昭着的朝鲜相关威胁组织Lazarus有关。



作为由USCYBERCOM的网络国家使命部队(CNMF)开展的项目的一部分,该恶意软件正在与信息安全社区共享,该项目于2018年11月启动,共享两个与俄罗斯国家黑客团体相关的文件。 


这项工作旨在分享CNMF认为对改善全球网络安全具有重大影响的非机密恶意软件样本,并且已经包括发布与伊朗黑客团体相关的文件。 


现在,USCYBERCOM的所有11个样本都在流行的恶意软件扫描引擎目标Windows系统上共享,其中大多数都以32位系统为目标。 

最新的一个样本,有趣的是10小时后很多国产还没入库


样本不是新的 - 其中10个是2017年的特征创建日期,而第11个是在2018年2月创建的 - 并且大多数都对VirusTotal具有高检测率。 


它们似乎与“ 隐藏的眼镜蛇 ”活动集群相关联,在信息安全社区中作为拉撒路集团更为人所知。 


该恶意软件还与COBALT GYPSY威胁组相关联,并通过使用域名与Shamoon相关联。

VirusTotal只有少于20个反恶意软件引擎检测到一个名为netbtugc.exe的文件。但是,它也包含韩语资源,并且联系已经链接到其他Lazarus恶意软件样本的IP地址。 

来自THOR APT扫描仪的数据表明,剩下的样本是HOPLIGHT特洛伊木马的变种,国土安全部(DHS)和联邦调查局(FBI)今年4月将其归因于隐藏的眼镜蛇。 


恶意软件专注于从受感染系统收集信息,但也可以根据从其命令和控制(C&C)服务器接收的指令在系统上执行各种操作。 


大多数文件似乎也与Operation GhostSecret有关,这是一项信息窃取活动,McAfee 于2018年4月将其归咎于 Lazarus。 



美国网络司令部2018年通过VirusTotal共享恶意软件

美国网络司令部(USCYBERCOM)2018年宣布开始通过Chronicle的VirusTotal情报服务与网络安全行业共享恶意软件样本。



该项目由USCYBERCOM的网络国家特派团(CNMF)运营,该部队将在VirusTotal 上的CYBERCOM_Malware_Alert帐户上发布未分类的恶意软件样本。


“认识到与公共部门合作的价值,CNMF已经开始努力分享未发现的恶意软件样本,它发现它认为这将对改善全球网络安全产生最大影响,” USCYBERCOM表示。


CNMF声称其目标是“通过与全球网络安全社区共享来帮助防止恶意网络行为者的伤害”。


网络安全行业的成员可以通过名为USCYBERCOM恶意软件警报(@CNMF_VirusAlert)的专用Twitter帐户跟踪CNMF共享的每个新恶意软件样本。Twitter帐户目前拥有超过3,000名粉丝,而VirusTotal帐户已被50多个用户信任。


CNMF在VirusTotal上分享的第一批恶意软件样本是Lojack(LoJax)家族的一部分,研究人员最近观察到这些攻击显然是由俄罗斯相关的网络间谍组织进行的,这些组织被追踪为Sofacy,APT28,Fancy Bear,Pawn Storm,Sednit和锶。


包含在名为rpcnetp.exe和rpcnetp.dll的文件中的示例似乎是新的,与俄罗斯APT威胁组织用于中欧和东欧政府组织后由ESET分析的UEFI rootkit相关。


“到目前为止,数量一直很少,但质量很高。希望美国网络司令部的这些新增内容将成为另一个有用的恶意软件来源,它将帮助该行业抵御它。但是,下载文件需要对VirusTotal Enterprise进行付费访问,因此这应该对安全供应商有用,但大多数“业余爱好”的恶意软件分析师将无法访问这些文件,“AlienVault安全研究员Chris Doman说。


美国2017年6月警告朝鲜的“暗藏眼镜蛇”袭击事件

美国计算机应急准备小组(US-CERT)2017年6月代表国土安全部和联邦调查局发布了技术警报,以警告组织朝鲜的“隐藏眼镜蛇”活动,特别是分布式拒绝服务(DDoS)攻击。


被美国政府称为“隐藏的眼镜蛇”的威胁演员在信息安全社区中更为人所知的是拉撒路集团,该集团被认为支持几起引人注目的攻击,包括针对索尼影业,孟加拉国中央银行和金融机构的攻击。波兰。在威胁演员和最近的WannaCry勒索软件攻击之间也发现了链接,但一些专家持怀疑态度。



来自联邦调查局和国土安全部的联合警报提供了与被称为“DeltaCharlie”的僵尸网络相关的妥协指标(IoC)。朝鲜政府据称使用了在Novetta的“ Operation Blockbuster ”报告中详细介绍的DeltaCharlie 来发布DDoS攻击。美国警告朝鲜的隐藏眼镜蛇袭击事件


“DeltaCharlie是一种能够启动域名系统(DNS)攻击,网络时间协议(NTP)攻击和角色生成协议攻击的DDoS工具,”US-CERT说。“恶意软件作为基于svchost的服务在受害者系统上运行,能够下载可执行文件,更改自己的配置,更新自己的二进制文件,终止自己的进程,以及激活和终止拒绝服务攻击。”


US-CERT已共享有关漏洞,恶意软件,IP地址,文件哈希,网络签名以及与隐藏眼镜蛇相关的YARA规则的信息,以帮助防御者检测群组的攻击。但是,它指出“需要进一步的研究来了解这个群体的网络能力的全部范围。”


该机构警告说,在某些情况下,DDoS恶意软件在受害者的网络上存在很长一段时间。


建议网络管理员遵循一系列建议,以减轻攻击并响应未经授权的网络访问。


虽然朝鲜被认为是造成几起重大网络攻击的原因,但专家们也观察到针对该国的复杂攻击。上个月,Cylance报道看到一个似乎有中国血统的新的无文件攻击,思科详细介绍了一个RAT用来监视与朝鲜有关的组织。


由USCYBERCOM共享的伊朗链接恶意软件2016年12月首次出现

美国网络司令部(USCYBERCOM)上传到VirusTotal的伊朗相关恶意软件于2016年12月和2017年1月首次出现。


USCYBERCOM共享的恶意软件样本与伊朗相关的网络间谍组跟踪的攻击有关,因为APT33利用CVE-2017-11774漏洞进行感染。 


根据卡巴斯基的说法,USCYBERCOM上传的两个文件是在两年半前首次发现的,并且在与安全公司客户共享的私人报告中提到,详细介绍了NewsBeef威胁演员(也称为迷人小猫,新闻播报员和APT35)。


该报告分析了2015-2017时间段内演员策略中观察到的变化,包括2016年从浏览器开发框架(BeEF)技术转向支持宏观的Office文档,PowerSploit和Pupy后门。 


卡巴斯基透露,在2016年底和2017年初观察到的攻击显示,新工具集与鱼叉式网络钓鱼电子邮件,私人信息链接和水坑攻击相结合,主要集中在沙特阿拉伯目标上。 


鱼叉式网络钓鱼攻击依靠Office文档提供PowerShell脚本并下载有毒安装程序(如Flash,Citrix客户端和Chrome)以运行PowerSploit脚本并获取功能齐全的Pupy后门。


被入侵的网站注入了混淆的JavaScript,将访问者重定向到NewsBeef控制的主机,这些主机跟踪受害者并提供恶意内容。该演员破坏了属于沙特阿拉伯政府的服务器和其他高价值的组织身份。 


作为活动的一部分,黑客攻击政府财政和行政组织,政府卫生组织,工程和技术组织以及一个与英国劳工相关的政府组织(多次攻击目标)。 


该活动的重点是用Pupy感染受害者,Pupy是一个开源的多平台(Windows,Linux,OSX,Android),多功能后门。后门主要用Python编写,后端使用来自PowerSploit,Mimikatz,laZagne等开源攻击工具的代码。 


长期以来,据说伊朗相关的网络间谍共享恶意软件代码,USCYBERCOM上传了VirusTotal,卡巴斯基的报告证实了这一点,再次证实了这一点。 


众所周知,Pupy后门是APT33使用的恶意软件库的一部分,APT33最近观察到在2019年3月的一份报告中更新了其基础设施,详细介绍了其活动。



微信搜索关注:红数位,阅读更多 


混迹安全圈,每日必看!


分享到:
最新评论 (0)
登录后即可评论