2022护网日记第十二天

杂谈

今天的分享分为两部分

• 恶意IP/域名情报
• 你关心的趣事

恶意IP/域名情报

共计1508个恶意IP地址

你关心的趣事

每日可供学习参考的钓鱼🎣样本

文件名称	文件MD5	分析报告
实名举报”碳“科工有限公司以煤炭科工集团名义进行诈骗.doc__x__.exe	56dca8cad4f2544a473a3d4a1a973bcd	https://s.threatbook.com/report/file/16ea687c89fe200fbb01fe5b5050943949b749740dd70660ee0dd5121f480c13
2022年【更新版】员工签订安全责任书-20220804.doc.exe	56dca8cad4f2544a473a3d4a1a973bcd	https://s.threatbook.com/report/file/1d442f11ee31f3b81b3bf235f6943182c71d3b76c3ae138758a056bd03696c42
上海关衡关务集团-公司介绍-2022年8月1日171628.exe	faf1ffdcc8d9961d9731096b7f2b530c	https://www.virustotal.com/gui/file/5f9916a93ff736a0d15ccce75787714ca0f41dfa6d4b4af3cf75ba105c3d58f5
北京航空航天大学-控制科学与工程-王琪.exe	fee8dd69d0c86ac8e54d43649d6ec257	https://www.virustotal.com/gui/file/ce7af67ba68995a9603ea6c56c0898477640a3df087e99c2a861ca176c040e41
需检验物品名单列表详情.exe	73a8937baa432bed428f59e6f7376e27	https://s.threatbook.com/report/file/aa9a008290563d0ae7a021cdba49bc0dc742d75bb68045aa175ff31e6969ee87
李婷婷-简历.exe	8fbba821453381e869ccd8a31add39b1	https://s.threatbook.com/report/file/2b8f37d169be78a87a8fa3fc25ba81c8bc71f517fa8df3716949f031516ebcb3
详细举报材料－关于贵单位渣男举报详细材料.pdf.exe	f7ed930d472e833c13d3a4ceced8ac7c	https://s.threatbook.com/report/file/609895575ec43f2ed392e782846a85ed8c3ab7badc4faf6ca1b245cd8ffd4fbb
薪资结构调整职级参照表.xlsx.exe	bec0fa36d477a63222b224ef60a88495	https://www.virustotal.com/gui/file/3983c09e997ffb6f957e44ea9c893616c17f6b41df5a9c983cd71e7a1e3c0c70
【要求】2022年中国大唐集团科学技术研究总院个人计算机终端安全管理要求与规范的.doc.exe	a8cb08fa418b5b55cfdb12abeb2ae074	https://s.threatbook.com/report/file/68c506fd8196c45176ed50115233deb41eab7c9cf23dcd03fa8eb42955516e4b
疫情出行统计表.xls.exe	5791d70dfe7f351c0988a073ec06b4f6	https://s.threatbook.com/report/file/d45f042899441d4eac3bf8f99491c0786810f406626d3644720845da9b7d7b27

师傅，有没有新的表情包可以用来水群？

当然有，攻防前后的状态变化

网络攻防的现状，百事可乐(BT):就你TM叫可口可乐(RT)是吧

横向渗透之后，可口可乐(RT)：就这？你在狗叫什么！

有没有关于APT27的资料？

8月3日，就在佩洛西窜访台湾当天，台铁新左营车站屏幕出现了这样的图

放大之后可以看到车站的大屏幕应该是被入侵了

据情报显示上面的一系列行为均出自APT27组织，该组织对外表示已经关停了6万多台TW的设备

APT27组织情报

以下情报来自Cyware平台的《APT27: An In-depth Analysis of a Decade-Old Active Chinese Threat Group》

起源	别名	目标部门	攻击媒介	动机	使用的恶意软件	使用的工具
2009年	IronPanda, Lucky Mouse, LuckyMouse, Iron Panda, APT 27, Emissary Panda, Iron Tiger, ZipToken, Group 35, TEMP.Hippo, TG 3390, Bronze Union, Threat Group 3390	政府、信息技术、研究、商业服务、高科技、能源、航空航天、旅游、汽车、电子	水坑、鱼叉式网络钓鱼、远程代码执行、离地攻击、Rootkit 攻击、供应链攻击、未经授权的访问	网络间谍，数据盗窃，赎金	Sogu, Ghost, ASPXSpy, ZxShell RAT, HyperBro, PlugX RAT, Windows Credential Editor, FoundCore	China Chopper, gsecdump, HTTPBrowser, Impacket, ipconfig, Mimikatz, NBTscan, Net, OwaAuth, pwdump, ZxShell

简介
APT27是一个中国的威胁组织，以广泛使用灌水和鱼叉式钓鱼攻击来攻击受害者而闻名。该威胁组织已经活跃了十多年，使用多种恶意软件并利用许多漏洞来实现其间谍活动的目标。它不断改变其攻击策略和伎俩，以避免被发现，同时窥视受害者。最近，该组织似乎已经开始研究一种新的间谍活动模式，以及出于经济动机的攻击，在其攻击活动中包括赎金软件。

跳跃式攻击方法
APT27有能力为其网络间谍任务部署各种工具和战术。在2015年至2017年期间，该威胁组织通过近100个被破坏的合法网站，使用灌水攻击来破坏受害者的网络。

尽管在2017年公开披露了其活动，但该团伙的网络间谍行动仍在继续，其方法也在不断演变。2019年2月，该团伙试图进行活体攻击，以窃取尖端武器技术的信息，并对持不同政见者和其他民间团体进行监视。

2020年3月，该APT组织滥用COVID-19大流行的恐惧，通过发送主题电子邮件活动或带有钓鱼/恶意软件链接的主题IM来引诱人们。2020年4月，它曾对后端服务器进行跨平台攻击，窃取商业数据。

使用的恶意软件和利用的漏洞
2011年，一台蜜罐计算机发现利用微软产品的漏洞，APT27在其中投放了Gh0st RAT。2013年，该组织被发现使用各种PlugX恶意软件菌株。同年，该组织在对属于中东政府的SharePoint服务器的攻击中部署了一个网络外壳，称为 “中国斩波器”。2016年6月，一个HttpBrowser的恶意软件变体被发现，研究人员将其与APT27集团联系起来。它针对的是欧洲的一家消费者无人机公司。

2018年2月，该组织曾发起一个名为PZChao的攻击活动，使用两个版本的Mimikatz密码窃取工具来收集密码并将其上传到C2服务器。该威胁行为者尝试使用ZombieBoy恶意软件进行加密攻击，该恶意软件滥用多个漏洞来破坏目标网络，如CVE-2017-9073、CVE-2017-0143和CVE-2017-0146。2018年9月，在一次使用带有中国IT公司证书的恶意NDISProxy驱动程序的攻击中，发现了一个以前未知的木马的多次感染。

2020年1月，APT27使用ZxShell RAT的更新版本，针对最新版本的Windows 10。

2021年1月，攻击者使用暴露于DLL侧载的旧版Google Updater可执行文件，部署了Clambling和PlugX。此外，他们滥用CVE-2017-0213来升级权限。它被发现利用了其他工具，包括ASPXSpy webshell、开发后工具bitsadmin、HyperBro后门、BitLocker、MimiKatz和一个加密器。2021年3月，该组织利用了几个漏洞，包括影响微软Exchange服务器的CVE-2021-26857、CVE-2021-26858、CVE-2021-27065和CVE-2021-26855（ProxyLogon）漏洞。2021年4月，该组织用一个更新的SysUpdate恶意软件变体更新了其工具包。9月，研究人员称，APT27是利用Zoho的ManageEngine产品ADSelfService Plus的漏洞CVE-2021-40539的攻击活动的幕后黑手。然而，滥用Zoho的ManageEngine ServiceDesk Plus中新发现的漏洞（CVE-2021-44077）的类似攻击是专门针对该中国团体的。

2022年1月，安全专家发现APT27再次依靠HyperBro RAT对德国的目标进行后门。同时，无文件和无套接字的后门恶意软件–被称为SockDetour–在2月被用来对付美国国防承包商，研究人员怀疑它与APT27组织有关。

攻击历史

目标实体
该组织的目标是世界不同地区的多个区域，包括美洲、亚洲、中东和欧洲。至于目标行业，它似乎总是对政府、信息技术、研究、商业服务、高科技、能源、航空航天、旅游、汽车和电子感兴趣。一些著名的目标实体包括Amper SA、微软、Able Desktop、蒙古政府机构、土耳其机构和德国商业组织。

缓解措施
APT27使用电子邮件作为攻击媒介是非常普遍的，考虑到这种威胁的严重性，建议企业定期培训他们的员工。至于对网络外壳的保护，采用定期更新应用程序和操作系统，以修复任何已知的漏洞。为了限制滥用未经授权的访问，在网络服务器上实施最低权限政策，以减少攻击者升级权限或横向透视的能力。由于APT27也进行勒索软件攻击，建议经常备份敏感信息，并应用强大的反勒索软件解决方案以获得更好的保护。此外，应对持续不断发展的攻击载体的最佳方法是通过使用先进的威胁情报平台在安全工作流程中操作威胁情报。

结论
APT27目前似乎很活跃，并且已经显示出使用不同的恶意软件和方法来攻击受害者的先进能力。此外，该组织利用一切可能的载体进入目标组织内部。它不断地更新其工具、战术和程序（TTPs），以便在游戏中保持领先地位。研究人员怀疑，该组织将继续其攻击，并在不久的将来提出更多的强化战术。因此，企业应该保持警惕，主动跟踪这个威胁组织，以抵御任何即将到来的对其业务的损害。

IOC情报

SHA256

Ecd8c9967b0127a12d6db61964a82970ee5d38f82618d5db4d8eddbb3b5726b7
67ee552d7c1d46885b91628c603f24b66a9755858e098748f7e7862a71baa015

文件路径

D:\ManageEngine\ServiceDesk\bin\msiexec[.]exe
C:\Users\pwn\documents\visual studio 2015\Projects\payloaddll\Release\sd11301[.]pdb

Exchange 服务器上的网络攻击

yolkish[.]com rawfuns[.]com
www[.]averyspace[.]net
www[.]komdsecko[.]net
77[.]83[.]159[.]15
lab[.]symantecsafe[.]org
mm[.]portomnail[.]com
back[.]rooter[.]tk
161[.]129[.]64[.]124
ns[.]rtechs[.]org
Soft[.]mssysinfo[.]xyz
P[.]estonine[.]com

SHA1

AB5AAA34200A3DD2276A20102AB9D7596FDB9A83
30DD3076EC9ABB13C15053234C436406B88FB2B9
EB8D39CE08B32A07B7D847F6C29F4471CD8264F2
4F0EA31A363CFE0D2BBB4A0B4C5D558A87D8683E
2075D8E39B7D389F92FD97D97C41939F64822361
02886F9DAA13F7D9855855048C54F1D6B1231B0A
123CF9013FA73C4E1F8F68905630C8B5B481FCE7
B873C80562A0D4C3D0F8507B7B8EC82C4DF9FB07
59C507BCBEFCA2E894471EFBCD40B5AAD5BC4AC8
3D5D32A62F770608B6567EC5D18424C24C3F5798
AF421B1F5A08499E130D24F448F6D79F7C76AF2B
1DE8CBBF399CBC668B6DD6927CFEE06A7281CDA4
B8D7B850DC185160A24A3EE43606A9EF41D60E80
33C7C049967F21DA0F1431A2D134F4F1DE9EC27E
A0B86104E2D00B3E52BDA5808CCEED9842CE2CEA
281FA52B967B08DBC1B51BAFBFBF7A258FF12E54
46F44B1760FF1DBAB6AAD44DEB1D68BEE0E714EA
195FC90AEE3917C94730888986E34A195C12EA78
29D8DEDCF19A8691B4A3839B805730DDA9D0B87C
20546C5A38191D1080B4EE8ADF1E54876BEDFB9E
84F4AEAB426CE01334FD2DA3A11D981F6D9DCABB
9AFA2AFB838CAF2748D09D013D8004809D48D3E4
3ED18FBE06D6EF2C8332DB70A3221A00F7251D55
AA9BA493CB9E9FA6F9599C513EDBCBEE84ECECD6

DLL

siiswmi[.]dll 
mscoree[.]dll

IP地址

34[.]90[.]207[.]23
86[.]105[.]18[.]116
89[.]34[.]111[.]11
172[.]105[.]18[.]72
194[.]68[.]44[.]19

MD5

e1b44a75947137f4143308d566889837 
36b33c0cf94dacf7cee5b9a8143098d1 
c4164efa57204ad32aec2b0f1a12bb3a 
aa4f7e8e45915a9f55a8b61604758ba3 
878fa03b792d2925d07f4dac4aa34a47

APT27公开的社交账户

网络安全行业相关的资料有吗？

可以参考之前数说安全分享的《2022年中国网络安全市场年度报告》

从产品研发的角度，值得关注的几个内容

2022年网络安全十大创新方向