[0120] 一周重点威胁情报｜天际友盟情报站

热点情报

新APT组织Saaiwc Group针对东南亚军事、财政等部门进行攻击
零日供应链攻击使用三个流行的的PyPI软件包
2022第四季度俄乌双方DDoS攻击分析报告
Rapper僵尸网络新变种利用xmrig进行挖矿活动

APT攻击

疑似Kasablanka组织针对俄罗斯进行攻击活动
黑客组织StrongPity通过木马化Telegram程序监视安卓用户
BITTER组织借助Office组件漏洞对孟加拉国军事机构开展间谍活动
Scattered Spider组织利用Windows驱动程序漏洞攻击电信和BPO公司

技术洞察

Gootkit Loader正积极瞄准澳大利亚医疗保健行业
NeedleDropper恶意软件植入程序技术分析
新型信息窃取器Rhadamanthys通过GoogleAds传播

情报详情

新APT组织Saaiwc Group针对东南亚军事、财政等部门进行攻击

2022年底，安恒信息在威胁狩猎中持续追踪到针对东南亚地区的攻击活动，该活动主要针对菲律宾、柬埔寨、越南地区的军事、财政等部门。攻击活动主要以ISO文件为初始恶意负载，运行后在本机注册表添加Powershell指令，最后加载Powershell后门PowerDism以窃取本机信息并执行任意指令。根据样本中的互斥体名称，研究人员将该组织命名为Saaiwc Group。攻击中使用的PowerDism后门可通过移动磁盘传播。当检测到移动磁盘存在时，将从Github获取加密负载，解密并移动至移动磁盘目录，而后创建BAT、LNK文件，使恶意负载随目标机器开机自启。

研究人员还观察到攻击者于2022年5月针对越南投放的攻击样本，与上面不同的是，攻击者利用CVE-2017-0199漏洞加载带有恶意宏代码的远程模板文件。宏代码将读取UserForm窗体内容，将Powershell指令写入注册表中，后续恶意行为与上述一致。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=92e8d8b31fb349e4a8437bd64bc691b8

零日供应链攻击使用三个流行的的PyPI软件包

FortiGuard Labs团队发现了嵌入在三个PyPI软件包中的一种新的零日供应链攻击，这三个软件包分别称为colorslib，httpslib和libhttps，它们是在2023年1月10日通过监控开源生态系统发现的。这三个软件包都是由同一作者“Lolip0p”发布的，并且项目描述看起来合法且干净，但这些软件包的所有版本实际上都是恶意的。进一步分析发现，三个软件包里具有相同的setup.py脚本，通过这个脚本，攻击者利用可疑URL下载恶意文件Oxyz.exe，它将释放另一个可执行文件update.exe，update.exe运行时会将一系列文件下载到文件夹“%USER%AppDataLocalTemponefile_%PID_%TIME%”中。其中名为SearchProtocolHost.exe的可执行二进制文件为其最终下载的恶意有效载荷。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=ac14a8bcde764ca7b040653a5262e8ba

2022第四季度俄乌双方DDoS攻击分析报告

俄乌冲突开始以来，物理战争如火如荼，目前虽已陷入僵持状态，但网络世界的对抗持续进行。其中以乌方组织The IT Army of Ukraine和俄方组织KillNet最具实力和代表性，同时曝光的NoName057(16)和DDosia也是其中的新势力，夹杂着其他大大小小的组织，双方阵营在网络世界以DDoS攻击为武器，展开了多次较量。根据统计，双方发起DDoS攻击最常用的僵尸网络家族是Mirai，其次是Moobot，Fodcha偶尔也参与一下，打出一大波攻击。在这些攻击背后，同一个C2服务器既攻击过俄方目标，也攻击过乌方阵营的目标，一般这种攻击背后都是DDoS攻击平台，提供DDoS攻击租赁服务。另外，也可以看到，掺杂多种DDoS攻击方式的混合攻击也很多，因为这样可以提高DDoS攻击的成功率，增加受害目标的防护成本。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=197a4f13d27547b68da87067c5a2c6ca

BITTER组织借助Office组件漏洞对孟加拉国军事机构开展间谍活动

BITTER(别称蔓灵花)组织是一个长期针对中国、巴基斯坦等国家进行攻击的南亚APT组织。该组织主要攻击政府、军工、能源等单位，旨在窃取敏感数据，具有强烈的政治背景。近期，中孚信息分析了该组织最近一次针对孟加拉国军事机构的攻击活动，攻击者主要通过利用Office组件"EQNEDT32.EXE"漏洞，投放诱饵文档和中间恶意软件来部署远程访问木马，以进行网络间谍活动。其中，EQNEDT32.EXE是Office办公软件的一个公式编辑器组件，该组件存在多个远程代码执行漏洞。攻击者通过利用具有Office公式编辑器组件漏洞的恶意文档作为诱饵，诱导用户打开，从而触发漏洞并执行恶意shellcode，以下载下一阶段载荷。恶意载荷将收集受感染机器上的计算机名、用户名等敏感信息并发送至C2服务器，还会创建计划任务以实现持久化操作，并可进行其它恶意操作等。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=b8781f247f8f4b1d8de51071bf265ad9

Scattered Spider组织利用Windows驱动程序漏洞攻击电信和BPO公司

在最近针对电信和业务流程外包公司(BPO)的攻击中，一个名为Scattered Spider(别称Roasted 0ktapus、UNC3944)的威胁组织试图通过安装Windows的英特尔以太网诊断驱动程序((iqvw64.sys)，来绕过EDR安全产品的检测。自2022年6月以来，该组织一直以电信和BPO公司为目标，以获得移动运营商网络的访问权限。

Scattered Spider主要通过利用高危漏洞CVE-2015-2291来部署恶意的内核驱动程序，可导致攻击者以内核权限执行任意代码。该漏洞已于2015年修复，但通过在目标设备中植入旧版本程序，无论目标系统应用了什么更新，攻击者仍可以利用该漏洞。多年来，攻击者一直利用此漏洞将恶意驱动程序部署到Windows内核中。该技术也被称为“自带易受攻击的驱动程序”(BYOVD)。Microsoft可阻止未签名的内核模式驱动程序运行，但BYOVD允许攻击者绕过保护并安装具有合法签名但实质上为恶意的驱动程序。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=2eb1e5862e334acdba54cd27a1a90204

欢迎登录天际友盟RedQueen平台，获取更多威胁情报。

联系方式

RedQueen平台：redqueen.tj-un.com

官网：www.tj-un.com

邮箱：[email protected]

电话：400-0810-700

关于威胁情报应用解决方案

秉承着“应用安全情报，解决实际问题”的理念，天际友盟以丰富的情报数据种类、多样的情报应用产品与强大的情报服务能力，为政府、行业管理机构和企业用户提供了坚实的情报技术支撑，协助客户构建情报驱动的主动防御体系，抵御网络安全风险，展现了情报应用的价值。

RedQueen安全智能服务平台，是天际友盟情报应用的核心枢纽，不仅是国内首个云端一体化安全智能综合服务平台，也是国内最大的安全情报聚合、分析与交换平台。

更多详情：https://www.tj-un.com/redQueen.html

通过与各类专业安全厂商的解决方案结合，将威胁情报落地应用在客户实际业务场景中来解决安全问题，是威胁情报应用的一种特有方式，我们称之为Threat Intelligence Inside，TI Inside模式。迄今，天际友盟的威胁情报能力，已实现与三十多家安全厂商的集成联动。

SIC安全情报中心（Security Intelligence Center），是天际友盟情报解决方案体系的核心。作为安全情报落地应用的一种表现形式，SIC可以将云端数据同步到本地，实现情报订阅与威胁溯源，还可通过其他来源的API接口接收STIX标准格式的情报数据并聚合到SIC中，配合SIC内嵌的流量分析、防护设备、资产引擎等，实现实时精准告警。

更多详情：https://www.tj-un.com/sic.html

Leon威胁情报网关，是基于海量威胁情报应用的高性能流量检测防护类产品。Leon可以与天际友盟的威胁情报产品家族（RedQueen、SIC、Ada、Alice 等）协同联动，构建全网立体纵深防御体系。基于实时订阅的恶意IP库、恶意URL库、恶意域名库、恶意邮件库等高价值威胁情报，实现对威胁的实时发现、实时阻断、全网预警及溯源分析。

更多详情：https://www.tj-un.com/leon.html