每周高级威胁情报解读(2022.12.15~12.22)

披露时间：2022年12月20日

情报来源：https://unit42.paloaltonetworks.com/trident-ursa/

相关信息：

研究人员报告了过去10个月Gamaredon APT组织（也称为Primitive Bear、Shuckworm和UAC-0010）的策略，并指出了该组织与俄罗斯联邦安全局之间的联系。除了针对乌克兰目标，Gamaredon在今年8月企图破坏北约成员国内的一家大型炼油公司，但未成功。

该组织使用快速通量DNS的基础设施每天轮流通过许多IP，短时间使用多个IP使得基于IP的黑名单、删除工作和取证分析变得困难。该组织还会通过合法的Web服务、消息服务绕过DNS，并通过根域和子域的单独IP隐藏真实IP分配。

据报告称，Gamaredon使用.html文件、Word文档最为鱼叉邮件的附件。这些.html文件包含Base64编码的.rar存档，而这些存档又包含恶意的.lnk文件。一旦用户单击这些.lnk文件，就会使用Microsoft HTML应用程序从URL下载其他文件。Word文档本身不包含恶意代码。打开后，该文件会尝试下载其远程模板，该模板是一个对象链接和嵌入(OLE)文件，其中包含运行恶意代码的宏，用于加载其他脚本。

披露时间：2022年12月20日

情报来源：https://www.cyberscoop.com/apt28-fancy-bear-satellite/

相关信息：

网络安全和基础设施安全局的研究人员最近发现可疑的俄罗斯黑客潜伏在美国卫星网络中。虽然攻击的细节很少，但研究人员将此事件归咎于名为Fancy Bear的俄罗斯组织。它涉及一家卫星通信提供商，其客户遍布美国关键基础设施领域。

上个月在CYBERWARCON网络安全会议上讨论该事件的CISA事件响应分析师示，Fancy Bear 似乎在受害者的网络中存在了几个月。而早在今年2月俄罗斯入侵之前，针对在欧洲提供互联网服务的美国电信公司 Viasat的网络攻击中断了乌克兰的互联网服务。研究人员将这次攻击归咎于俄罗斯，这同时也导致FBI和CISA就俄罗斯可能对卫星系统进行的其他渗透发出警告。

披露时间：2022年12月14日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/ta453-refuses-be-bound-expectations

相关信息：

在以往的攻击活动中，TA453几乎总是以学者、研究人员、外交官、持不同政见者、记者、人权工作者为目标，并在最终试图获取目标凭证之前在邮件正文中使用网络信标。在尝试利用之前，可能会利用演员创建的帐户进行数周的正常对话。

至少从2020年底开始，研究人员就观察到TA453（Charming Kitten）网络钓鱼活动有所改变，开始针对医学研究人员、航空航天工程师、房地产经纪人和旅行社等。攻击者还利用了新的网络钓鱼技术，包括受损帐户、恶意软件和对抗性诱饵。

此外，在IRGC雇佣谋杀阴谋中，研究人员发现一名美国前官员的亲密附属机构成为TA453独有的Korg恶意软件的目标并成功入侵。这项活动反映了TA453对伊斯兰革命卫队(IRGC)情报要求的动态支持。

披露时间：2022年12月15日

情报来源：https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government

相关信息：

研究人员发现了一个以乌克兰政府实体为重点的社会工程供应链操作，该操作利用木马化的ISO文件伪装成合法的Windows 10操作系统安装程序。木马化的ISO文件托管在乌克兰语和俄语的Torrent文件共享网站上，并禁用了遥测设置。ISO包含经过更改的GatherNetworkInfo和 Consolidator计划任务，其中添加了执行PowerShell下载程序的辅助操作。

安装受感染的软件后，恶意软件会收集有关受感染系统的信息并将其泄露。在一部分受害者中，攻击者还部署了额外的工具以进一步收集情报。在某些情况下，研究人员发现了可能在初步侦察后部署的其他有效载荷，包括STOWAWAY、BEACON和SPAREPART后门，以继续执行命令、传输文件和窃取信息等情报收集行为。

披露时间：2022年12月20日

情报来源：https://mp.weixin.qq.com/s/1gmyGiZNK_5YaJgy5K3Z_w

相关信息：

近期，奇安信发现攻击者正以知名终端管理工具MobaXterm的中文版为诱饵传播木马程序。MobaXterm本身有免费版本，但用户界面目前不支持中文，攻击者抓住了国内用户这方面的需求，在CSDN和知乎等社区平台发布文章推广带有后门的MobaXterm下载地址。下载得到的压缩包中携带恶意载荷at.mdb，其最终会加载Gh0st木马，以执行远程控制和窃密行为。

调查显示，攻击者于10月19日创建CSDN账户，目前已注销，其从11月4日开始共发布了7篇带毒的MobaXterm应用推广文章，且攻击者另外在知乎也有一篇相关文章。此外，攻击者利用的带毒应用的托管域名(mobaxterm.info)伪装成与MobaXterm官方域名(mobaxterm.mobatek.net)相关，且域名注册时间在CSDN和知乎文章发布的前一天。

披露时间：2022年12月16日

情报来源：https://blog.cyble.com/2022/12/16/sophisticated-darktortilla-malware-spreading-via-phishing-sites/

相关信息：

近日，研究人员发现了一个投放DarkTortilla恶意软件的钓鱼活动。DarkTortilla是一种复杂的基于.NET的恶意软件，自2015年以来一直活跃，可被用来下载多个窃取程序和远程访问木马(例如AgentTesla、AsyncRAT、NanoCore等)。

活动感染链始于可导向钓鱼网站的垃圾邮件或在线广告。钓鱼网站伪装成合法的Grammarly和Cisco等官方站点，站点提供下载程序诱导用户安装，最终导致DarkTortilla感染，且该恶意软件还能够修改受害者系统的.LNK文件路径以实现持久性。此外，研究人员表示，攻击者似乎还拥有一个能够使用各种选项自定义和编译二进制文件的复杂平台。

披露时间：2022年12月20日

情报来源：https://www.trendmicro.com/en_us/research/22/l/raspberry-robin-malware-targets-telecom-governments.html

相关信息：

研究人员从九月开始就发现了在电信和政府办公系统中传播的Raspberry Robin(Backdoor.Win32.RASPBERRYROBIN.A)恶意软件样本。活动初始入口点始于受感染的USB设备，一旦用户将其连接到系统中，Raspberry Robin最初便会以LNK文件形式出现。

LNK文件包含一个命令行，该命令行运行合法的可执行文件(通常是msiexec.exe或wmic.exe)以下载Windows Installer (MSI)程序包，最终下载执行Raspberry Robin有效载荷。为防止研究人员分析此恶意软件，Raspberry Robin的主要有效载荷本身被多次打包，共包含10多个混淆层，每一层都被严重混淆。

此外，该恶意软件背后的团队似乎是LockBit也在使用的工具的制造商。鉴于恶意软件的分层特征及其感染例程的阶段，研究人员推测攻击者可能的动机包括盗窃和进行网络间谍活动。

披露时间：2022年12月20日

情报来源：https://blog.talosintelligence.com/xlling-in-excel-malicious-add-ins/

相关信息：

研究人员调查了将恶意代码引入Microsoft Excel的另一种媒介——恶意加载项，特别是XLL文件。尽管从早期版本的Excel（包括 Excel 97）开始就支持XLL文件，但恶意行为者最近才开始使用它。大量高级持续性威胁参与者和商品恶意软件系列正在使用XLL作为感染媒介，而且这个数字还在继续增长。

在加载XLL文件之前，Excel会显示有关可能包含恶意代码的警告。这与打开包含VBA宏代码的Office文档后显示的有关潜在危险代码的消息类似。但是这种保护技术作为针对恶意代码的保护通常是无效的，因为许多用户倾向于忽视警告。

披露时间：2022年12月19日

情报来源：https://www.crowdstrike.com/blog/guloader-dissection-reveals-new-anti-analysis-techniques-and-code-injection-redundancy/

相关信息：

GuLoader于2019年作为文件下载器首次被发现，用于分发远程访问木马(RAT)，例如AgentTesla、FormBook、Nanocore、NETWIRE和Parallax RAT。GuLoader的早期版本是通过垃圾邮件活动分发的，其中包含可执行形式的恶意软件的存档附件。最近的变体开始使用更新的交付机制，其中有效负载通过Visual Basic脚本(VBS)文件交付。GuLoader也开始采用先进的反分析技术来规避检测，例如反调试、反沙箱、反虚拟机和反检测等，使分析变得困难。

近期研究人员发现它使用多态shellcode加载器来躲避传统的安全解决方案。最新的GuLoader样本会通过多阶段进行部署，其shellcode试图通过扫描整个进程内存以查找任何与虚拟机(VM)相关的字符串来阻止研究人员和分析环境环境。该恶意软件还使用了新的冗余代码注入机制，通过使用内联汇编绕过安全解决方案的用户模式挂钩来确保代码执行。

披露时间：2022年12月15日

情报来源：https://www.threatfabric.com/blogs/brasdex-a-new-brazilian-ats-malware.html

相关信息：

研究人员发现了一个针对巴西用户的多平台恶意软件活动，活动主要涉及一种高度灵活的新型Android恶意软件：BrasDex。该恶意软件目前已经活跃了一年多，最初伪装成Android设置应用程序并以巴西银行应用程序为目标。

在最新的活动中，它开始伪装成一个特定的银行应用程序(Banco Santander BR)。该恶意软件具有复杂的键盘记录系统，旨在利用辅助功能服务从巴西目标应用程序中窃取凭据。另外，BrasDex与许多其他恶意软件家族的区别在于其ATS(自动传输系统)功能，ATS允许恶意软件以编程方式从受害者处窃取信息并可通过自动方式启动欺诈交易，从而使整个感染和欺诈链更加灵活和可扩展。

此外，攻击者还利用了另一个在拉丁美洲活跃的恶意软件家族：Casbaneiro。Casbaneiro是一种基于Delphi编写的Windows银行木马程序，可同时针对在线和桌面银行应用程序用户。研究人员表示，使用BrasDex和Casbaneiro组合，攻击者可以大规模地针对Android和Windows用户。

披露时间：2022年12月15日

情报来源：https://www.microsoft.com/en-us/security/blog/2022/12/15/mccrash-cross-platform-ddos-botnet-targets-private-minecraft-servers/

相关信息：

研究人员近日分析了一个可感染Windows、Linux和IoT设备的跨平台僵尸网络：MCCrash，并将此活动集群跟踪为DEV-1028。该僵尸网络主要可被攻击者用于针对私人的Minecraft服务器发起分布式拒绝服务(DDoS)攻击。

活动初始感染点是通过安装可获得非法Windows许可证的恶意破解工具而感染的设备。破解工具含有额外的恶意代码，其可通过PowerShell命令下载并启动虚假版本的svchost.exe。然后，svchost.exe启动包含MCCrash僵尸网络的主要Python脚本：malicious.py。其接着扫描互联网以查找支持SSH服务的基于Linux的设备并发起字典攻击以实现进一步传播。研究人员表示，由于物联网设备通常启用了具有潜在不安全设置的远程配置，其极易面临此类僵尸网络攻击风险。目前，三个月内受该僵尸网络影响的大多数设备均位于俄罗斯。

披露时间：2022年12月15日

情报来源：https://mp.weixin.qq.com/s/afcSALk6UR2JFjuKmI1GvA

相关信息：

iOS、iPadOS、WatchOS、tvOS 、MacOS 系统均为美国苹果（Apple）公司所研发的操作系统，为苹果公司各类产品提供相关功能。

近日，奇安信CERT监测到Apple发布安全更新，修复以下漏洞：CVE-2022-46694、CVE-2022-42848、CVE-2022-42850、CVE-2022-42864、CVE-2022-46690、CVE-2022-46689、CVE-2022-46701、CVE-2022-42842、CVE-2022-42840等。鉴于以上漏洞影响范围极大且CVE-2022-42856存在在野利用，建议尽快做好自查及防护。

披露时间：2022年12月19日

情报来源：https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/

相关信息：