[1202] 一周重点威胁情报｜天际友盟情报站

热点情报

针对中东的网络钓鱼活动愈发猖獗
Lazarus组织瞄准日本瑞穗银行求职人员
Kimsuky组织借助IBM公司产品投递BabyShark恶意软件
疑似Sandworm组织利用RansomBoggs勒索软件攻击乌克兰
Schoolyard Bully木马窃取Facebook凭据

APT攻击

Scarcruft组织武器库扩充Dolphin后门
OPERA1ER组织攻击非洲银行和金融机构
UNC4191组织利用USB驱动器开展间谍活动
CashRewindo组织使用老化域名进行恶意广告活动

技术洞察

Cryptonite勒索软件综述
DuckLogs恶意软件分析
新型勒索软件Wiki入侵韩国
ViperSoftX信息窃取器分析
Koxic勒索软件正在韩国传播
伪装成新闻调查的恶意软件窃取用户信息

情报详情

针对中东的网络钓鱼活动愈发猖獗

CloudSEK于2022年7月发现了一场大规模的网络钓鱼活动，黑客主要通过假冒阿联酋政府人力资源部进行诈骗。时至今日，该钓鱼活动愈发猖獗，规模也变得更大。

最新报告显示，攻击者通过战略性地购买、注册大量域名，并利用以虚假工作、投资机会为主题的钓鱼邮件诱骗受害者。目前，攻击者已针对中东的旅游、石油和天然气、房地产投资等多个行业开展了网络钓鱼活动。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=c56fb01abe494178831eb1e0bdabd1f1

Lazarus组织瞄准日本瑞穗银行求职人员

研究人员捕获到了Lazarus组织最新的0杀软查杀攻击样本，且样本为VHD（虚拟磁盘映像）文件。攻击者以日本瑞穗银行（Mizuho Bank）的招聘信息为诱饵开展钓鱼活动。活动初始载荷为鱼叉式网络钓鱼邮件，且攻击样本似乎主要针对高版本Windows系统。在Win10系统中打开VHD文件，仅可见一个名为Job_Description.exe的文件。该exe文件实际为加载器，并且攻击者还对文件进行了伪装：在文件名中使用大量空格来隐藏.exe后缀；用PDF图标进行伪装以降低受害者的警惕性。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=8b1ff6cd227a4609a80fe56da65282d5

Kimsuky组织借助IBM公司产品投递BabyShark恶意软件

近日，Kimsuky组织正利用IBM公司安全产品为诱饵投递BabyShark攻击组件。BabyShark可收集敏感信息，此前主要针对美国国家安全智库，后期也被用于从事核安全和朝鲜半岛国家安全问题的间谍活动。

此次活动中，攻击者主要借助失陷域nuclearpolicy101[.]org，向目标用户投递名为RapportSetup.iso的恶意文件。该ISO文件内包含名为install.bat的恶意BAT脚本，以及名为update.exe的IBM安全产品。用户需通过BAT脚本安装update.exe，同时该脚本也将从C2服务器中下载后续恶意载荷BabyShark。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=324c1464c65c4c13b4f490b1656555aa

疑似Sandworm组织利用RansomBoggs勒索软件攻击乌克兰

据ESET研究人员称，由俄罗斯国家支持的APT组织Sandworm可能是近期针对乌克兰的RansomBoggs勒索软件攻击的幕后黑手。Sandworm是一群活跃了至少二十年的俄罗斯精英黑客，且据说是俄罗斯GRU特殊技术主要中心 (GTsST) 74455部队的一部分。

研究人员表示，新型勒索软件RansomBoggs基于.NET编写，一旦其进入受害者网络，将使用随机生成的密钥在CBC模式下使用AES算法加密文件，加密后文件扩展名更改为.chsch。此外，其部署方式与Sandworm组织的攻击方式相似。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=d125f8a72d6a4182b6e7aa7bf4e052fe

Schoolyard Bully木马窃取Facebook凭据

Zimperium发现了一种新的针对安卓用户的Schoolyard Bully木马威胁活动，该活动自2018年以来一直活跃，主要窃取Facebook凭据，影响了超过30万名受害者。

Google Play商店此前被发现存在大量Schoolyard Bully木马程序。恶意软件通过伪装成合法的教育主题应用程序，引诱用户下载，且主要针对越南读者。目前，恶意Schoolyard Bully木马程序已从Google Play 商店中删除，但用户仍可在第三方应用商店中下载。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=e8a02673856547ebb14bca0952c32fb2

欢迎登陆天际友盟RedQueen平台，获取更多威胁情报。

联系方式

RedQueen平台：redqueen.tj-un.com

官网：www.tj-un.com

邮箱：[email protected]

电话：400-0810-700

关于威胁情报应用解决方案

秉承着“应用安全情报，解决实际问题”的理念，天际友盟以丰富的情报数据种类、多样的情报应用产品与强大的情报服务能力，为政府、行业管理机构和企业用户提供了坚实的情报技术支撑，协助客户构建情报驱动的主动防御体系，抵御网络安全风险，展现了情报应用的价值。

RedQueen安全智能服务平台，是天际友盟情报应用的核心枢纽，不仅是国内首个云端一体化安全智能综合服务平台，也是国内最大的安全情报聚合、分析与交换平台。

更多详情：https://www.tj-un.com/redQueen.html

通过与各类专业安全厂商的解决方案结合，将威胁情报落地应用在客户实际业务场景中来解决安全问题，是威胁情报应用的一种特有方式，我们称之为Threat Intelligence Inside，TI Inside模式。迄今，天际友盟的威胁情报能力，已实现与三十多家安全厂商的集成联动。

SIC安全情报中心（Security Intelligence Center），是天际友盟情报解决方案体系的核心。作为安全情报落地应用的一种表现形式，SIC可以将云端数据同步到本地，实现情报订阅与威胁溯源，还可通过其他来源的API接口接收STIX标准格式的情报数据并聚合到SIC中，配合SIC内嵌的流量分析、防护设备、资产引擎等，实现实时精准告警。

更多详情：https://www.tj-un.com/sic.html

Leon威胁情报网关，是基于海量威胁情报应用的高性能流量检测防护类产品。Leon可以与天际友盟的威胁情报产品家族（RedQueen、SIC、Ada、Alice 等）协同联动，构建全网立体纵深防御体系。基于实时订阅的恶意IP库、恶意URL库、恶意域名库、恶意邮件库等高价值威胁情报，实现对威胁的实时发现、实时阻断、全网预警及溯源分析。

更多详情：https://www.tj-un.com/leon.html