[1230] 一周重点威胁情报｜天际友盟情报站

热点情报

双尾蝎组织新型移动端恶意软件揭秘
CNC组织利用摆渡木马针对军工和教育行业
RedDelta组织持续迭代PlugX后门入侵欧洲政府
巴基斯坦IBO反恐部队遭遇印度组织Confucius网络攻击
Lazarus组织针对加密货币和NFT用户开展大规模钓鱼活动

APT攻击

黑客组织Eternity详情披露
APT组织Sidecopy瞄准印度政府官员
针对哥伦比亚的盲眼鹰组织近期攻击活动剖析
BlueNoroff组织引入绕过Windows MotW保护新方法
Lazarus组织利用经证书签名的恶意软件攻击macOS用户
疑似Kimsuky组织冒充韩国知名网站Naver发起钓鱼攻击

技术洞察

GuLoader恶意软件下载器分析
攻击者通过谷歌PPC服务部署lcedID木马
Amadey恶意软件借助Nitol DDoS Bot传播
RisePro窃取程序利用PrivateLoader PPI服务感染盗版软件使用者

情报详情

双尾蝎组织新型移动端恶意软件揭秘

双尾蝎是一个长期针对中东地区的APT组织，其最早于2017年被披露，并且至少自2016年5月起便开始持续针对巴勒斯坦教育、军事机构等重要领域进行网络间谍活动。双尾蝎的Android端攻击非常活跃，主要利用将恶意软件伪装成聊天软件的手段开展网络钓鱼攻击，并在受害者设备上通过隐藏图标、变换为Google全家桶图标和安装官方聊天软件等方式进行隐匿和持久化。

近日，奇安信捕获到了该组织的一款新型恶意样本，样本伪装为可进行视频通话和短信应用的BOTIM软件，且该软件目前的GP下载量已达5000万+。此外，双尾蝎本次在使用经典武器库的同时，集成了最新的开源Android RAT武器库，并借助SMS和FCM服务，实现了复合型的更强的远程控制功能。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=5fe857e046c54e88b4f45314fae0c6bf

CNC组织利用摆渡木马针对军工和教育行业

CNC组织最早于2019年被发现，其命名来源于所使用的远控木马的PDB路径信息中包含的cnc_client，且该组织主要针对军工和教育行业进行攻击。近期，安天披露了该组织所使用的两个下载器：PrivateImage.png.exe和YodaoCloudMgr.exe。

PrivateImage.png.exe下载器具有摆渡攻击的能力，可利用移动存储设备作为“渡船”，间接从隔离网中窃取攻击者感兴趣的文件。YodaoCloudMgr.exe主要用于下载后续载荷，且该下载器使用欺骗性的具有不可信数字证书的C2节点进行通信。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=2f5cdcfd0acd4b328f6603b45d6df742

RedDelta组织持续迭代PlugX后门入侵欧洲政府

RedDelta(别称Mustang Panda)疑似为一个来自中国的威胁组织，该组织至少自2019 年以来一直活跃在东南亚(尤其是缅甸和越南)，并且经常调整其目标以应对全球地缘政治事件。

近期，Recordedfuture发布报告称，在2022年9月至2022年11月的3个月期间，RedDelta组织反复使用针对欧洲政府和移民政策的诱饵文件，借助包含恶意ISO文件的快捷方式 (LNK) 文件，触发动态链接库 (DLL) 搜索顺序劫持执行链以加载其持续更新的PlugX后门。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=ac9013ea885144bf83488c0d68838724

巴基斯坦IBO反恐部队遭遇印度组织Confucius网络攻击

Confucius是一个由印度资助的间谍组织，从2013年开始执行网络攻击活动，主要目标为巴基斯坦、中国等印度邻国，并且对军事、政府与能源等领域的组织具有浓厚兴趣。

绿盟近期捕获了一起针对巴基斯坦木尔坦地区武装力量的网络攻击事件，攻击者以木尔坦的罗德兰区基于情报的反恐行动(intelligence-based operation，IBO)报告为诱饵，尝试投递一种变种木马程序MessPrint以控制受害者设备。经分析，该事件的主导者为APT组织Confucius。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=28077d559ee94634ad0e5f6f0d98d199

Lazarus组织针对加密货币和NFT用户开展大规模钓鱼活动

SlowMist安全团队近日发布了有关朝鲜APT组织Lazarus针对加密货币和NFT(non-fungible token,非同质化代币)用户开展的大规模网络钓鱼活动的分析报告。

报告显示，Lazarus组织使用恶意Mints创建了近500个诱饵网站，站点主要冒充为OpenSea、X2Y2和Rarible等知名NFT市场来欺骗受害者，其中一个网站还伪装成与世界杯相关，并且站点最早的域名注册日期可以追溯至7个月前。此外，进一步分析发现，Lazarus活动初期主要通过域名“thedoodles[.]site”监控和记录用户数据。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=c4b04064ec4d4a35a26bb5de74a2b9c1

欢迎登陆天际友盟RedQueen平台，获取更多威胁情报。

联系方式

RedQueen平台：redqueen.tj-un.com

官网：www.tj-un.com

邮箱：[email protected]

电话：400-0810-700

关于威胁情报应用解决方案

秉承着“应用安全情报，解决实际问题”的理念，天际友盟以丰富的情报数据种类、多样的情报应用产品与强大的情报服务能力，为政府、行业管理机构和企业用户提供了坚实的情报技术支撑，协助客户构建情报驱动的主动防御体系，抵御网络安全风险，展现了情报应用的价值。

RedQueen安全智能服务平台，是天际友盟情报应用的核心枢纽，不仅是国内首个云端一体化安全智能综合服务平台，也是国内最大的安全情报聚合、分析与交换平台。

更多详情：https://www.tj-un.com/redQueen.html

通过与各类专业安全厂商的解决方案结合，将威胁情报落地应用在客户实际业务场景中来解决安全问题，是威胁情报应用的一种特有方式，我们称之为Threat Intelligence Inside，TI Inside模式。迄今，天际友盟的威胁情报能力，已实现与三十多家安全厂商的集成联动。

SIC安全情报中心（Security Intelligence Center），是天际友盟情报解决方案体系的核心。作为安全情报落地应用的一种表现形式，SIC可以将云端数据同步到本地，实现情报订阅与威胁溯源，还可通过其他来源的API接口接收STIX标准格式的情报数据并聚合到SIC中，配合SIC内嵌的流量分析、防护设备、资产引擎等，实现实时精准告警。

更多详情：https://www.tj-un.com/sic.html

Leon威胁情报网关，是基于海量威胁情报应用的高性能流量检测防护类产品。Leon可以与天际友盟的威胁情报产品家族（RedQueen、SIC、Ada、Alice 等）协同联动，构建全网立体纵深防御体系。基于实时订阅的恶意IP库、恶意URL库、恶意域名库、恶意邮件库等高价值威胁情报，实现对威胁的实时发现、实时阻断、全网预警及溯源分析。

更多详情：https://www.tj-un.com/leon.html