dropper

译者：知道创宇404实验室翻译组 原文链接： https://www.intezer.com/blog/research/new-golang-worm-drops-xmrig-miner-on-servers/ 介绍 12月初，我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。 该蠕虫试图在网络中传播，以便大规模运行XMRig Miner。恶意软件同时针对Windows和Linux服务器，可以轻松地从一个平台转移到另一个平台。它的目标是面向公众的服务：密码较弱的MySQL、Tomcat管理面板和Jenkins。在较旧的版本中，该蠕虫还尝试利用WebLogic的最新漏洞：CVE-2020-14882。 在我们的分析过程中，攻击者不断更新C&C服务器上的蠕虫。这表明该蠕虫处于活跃状态，并且可能在将来的更新中针对其他弱配置的服务。 技术分析 该攻击使用三个文件：一个dropper脚本（bash或powershell）、一个Golang二进制蠕虫和一个XMRig Miner，所有这些文件都托管在同一C&C上。 目前，还未检测到ELF蠕虫二进制文件和bash dropper脚本。 图1显示了VirusTotal中的ELF蠕虫二进制检测结果。 图1：在VirusTotal

作者：启明星辰 ADLab 公众号： https://mp.weixin.qq.com/s/T15pdznZZ4ZsVVpcKrWlnQ 一、概述 启明星辰ADLab实验室在近几个月内，通过威胁情报检测系统接连捕获到多起针对哥伦比亚国家的政府部门，金融、银行、保险等行业及卫生和制药机构发起的钓鱼邮件定向攻击。攻击者以“冠状病毒检测紧急告知单”或“刑事诉讼通知单”等命名的诱饵文档作为邮件附件，并配合鱼叉邮件向攻击目标电脑植入远控木马。从邮件分析结果来看，攻击者会将邮件的来源伪装成哥伦比亚国家卫生部、国家税务和海关总署、民事身份登记处、检察院以及移民局等政府部门，以加强其邮件的真实性。我们通过对攻击者伪装的来源信息、域名使用偏好、IP地址关联及地理位置等特性进行对比分析，发现该系列攻击来源于盲眼鹰组织，但采用的攻击武器较以往完全不同。盲眼鹰首次被披露于2019年初，是一个疑似来自南美洲的APT组织，其最早活跃时间可追溯到2018年，主要针对哥伦比亚政府和大型公司进行攻击。 在对攻击活动深入分析后，我们发现该组织在我们发现的这批攻击中采用了更为先进攻击技术和反追踪技术。在以往的攻击中，该组织多使用MHTML格式的恶意文档作为攻击附件，而在本次攻击过程中，该黑客组织使用一个无恶意的文档作为媒介，诱使目标下载文档中提供恶意短链接（该短链接指向一个加密过MHTML的恶意文档）

作者：启明星辰ADLab 原文链接： https://mp.weixin.qq.com/s/PuB0fQ-cHmHUs2_zSef8Ag 一、概述 加密货币一直以来都是黑客们极为热衷的攻击领域，除了攻击加密货币交易平台以获得巨额的经济利益外，还存在大量以窃取加密货币钱包的攻击，启明星辰ADLab近期发现多起以加密货币机器人为诱饵进行加密货币钱包窃取的攻击案例。起初我们注意到一些行为异常的交易机器人（主要以Bitmex Bot 、Trade Bot、UniqueTradingBot为主），这些机器人在安装过程中弹出缺少.NET运行库的错误提示框。而通过调查分析发现，其中多款机器人的官方软件并没有使用.NET进行相关组件的开发。因而进一步分析后，我们发现这些异常的机器人释放并试图执行一些使用C#编写的可执行文件，同时发现一些非官方的网络连接。随后，我们将这些机器人释放的非官方组件一一提取出来做进一步分析和对比，最后确认这是一款新型的具有丰富窃密功能的恶意软件。其中核心组件的大部分类均以“NoiseMe”作为命名空间的起始标志，因而此处我们将该恶意软件命名为“NoiseMe”。其除了具备窃取几乎所有主流加密货币钱包的能力外，还被用于敏感信息（如受害主机的各种登录凭证数据）窃取，进一步黑客还可以利用该恶意软件对受害主机进行定制化的攻击，对不同的受害主机下发不同攻击插件来执行不同的任务

原文地址： https://s.tencent.com/research/report/615.html 腾讯御见安全中心 一、概述 蔓灵花（T-APT-17、BITTER）APT组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织，该APT组织为目前活跃的针对境内目标进行攻击的境外APT组织之一。 该组织主要针对政府、军工业、电力、核等单位进行攻击，窃取敏感资料，具有强烈的政治背景。该组织最早在2016由美国安全公司Forcepoint进行了披露，并且命名为“BITTER”，同年国内友商360也跟进发布了分析报告，命名为“蔓灵花”，鉴于对“谁先发现谁命名”的原则，我们继续沿用友商们对该组织的命名。 该组织的名称的命名由来为，该组织的特马数据包头部以“BITTER”作为标识，因此命名为“BITTER”。但是值得注意的是，自从该活动被曝光后，该组织就修改了数据包结构，不再以“BITTER”作为数据包的标识，改为五字节的随机字符进行代替。 腾讯御见威胁中心在今年五月份捕捉到了疑似该组织对我国境内敏感单位的攻击活动，但是由于当时无法下载到具体的攻击模块，因此无法进行进一步的关联和分析。 而在十月底，腾讯御见威胁情报中心再次捕捉到了疑似该组织对我国的军工业、核能、政府等重点单位的攻击，并且获取到了完整的攻击武器库，经过进一步的关联分析，我们确认该攻击组织就是2016年曝光的蔓灵花