[0203] 一周重点威胁情报｜天际友盟情报站

热点情报

Sandworm组织借助5种擦除器攻击乌克兰新闻机构
UNC2565组织持续改进GOOTLOADER恶意软件
攻击者使用IceBreaker后门破坏游戏和赌博公司
新勒索软件Mimic利用Everything搜索工具瞄准英俄用户
黑客通过telegram频道传播新型信息窃取程序Titan stealer

情报详情

Sandworm组织借助5种擦除器攻击乌克兰新闻机构

乌克兰计算机应急响应小组(CERT-UA)近日透露，其新闻机构Ukrinform的内网中检测到了5种不同的数据擦除恶意软件，其功能旨在破坏信息的完整性和可用性。

调查显示，攻击者使用了CaddyWiper、ZeroWipe恶意程序以及合法的SDelete实用程序试图破坏用户计算机的正常运行，但未成功。同时，为了集中分发恶意程序，还通过创建Windows组策略对象(GPO)来启动CaddyWiper恶意软件进而保证相应计划任务的创建。根据调查结果，研究人员推测此次攻击是由Sandworm组织(别称UAC-0082)实施，该组织隶属于俄罗斯主要情报局(GRU)的74455军事部队。原因是Sandworm此前在针对乌克兰一家大型能源供应商的攻击中同样使用了CaddyWiper数据擦除器。目前，CERT-UA强调此次网络攻击仅部分成功。

详情查询：https://redqueen.tj-un.com/VerifIntelVerif.html?id=d6b4a24c726449249657c1687e169f29

UNC2565组织持续改进GOOTLOADER恶意软件

Mandiant研究人员最近报告称，GOOTLOADER恶意软件(又名Gootkit)背后的UNC2565组织通过添加新组件和实施新的混淆技术继续改进代码。其中一种混淆技术包括将代码隐藏在合法JavaScript库的更改版本中，以逃避检测。

Gootkit运行在“访问即服务”模型上，攻击者可利用它在受感染的系统上部署额外的恶意载荷。目前，Gootkit主要使用无文件技术来传播恶意软件。此前，Gootkit通常传播伪装成免费软件安装程序的恶意软件。其中一个感染链始于用户通过搜索引擎搜索特定信息，攻击者使用黑色SEO技术在结果中显示已植入Gootkit的网站。访问网站后，受害者将会被重定向到一个托管了包含恶意.js文件的在线论坛中，该文件可用于建立持久性并最终将Cobalt Strike恶意文件植入受感染系统的内存中。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=bf654538d5b249dc94316f9114547d2a

攻击者使用IceBreaker后门破坏游戏和赌博公司

Security Joes近期发现攻击者持续使用新型后门IceBreaker针对在线游戏和赌博公司，该恶意活动最早出现在世界上最大的游戏/博彩会议ICE London召开前几个月。

研究人员分析表明，IceBreaker后门为一个新APT组织的工具，攻击者使用了一种非常特殊的社会工程技术以引诱目标员工执行。即攻击者首先通过伪装为登录或注册在线服务时遇到问题的用户以请求目标公司的客户支持，然后诱导目标员工下载恶意图像。该图像通常托管在一个冒充合法服务的虚假网站上，其提供了一个指向ZIP文档的链接，文档包含获取IceBreaker后门的恶意LNK文件和Visual Basic脚本。其中，恶意LNK是植入IceBreaker恶意软件的主要第一阶段有效负载，其伪装成JPG图片；而VBS文件则充当植入IceBreaker恶意软件的备份方案，可用于下载至少自2013年以来就一直活跃的Houdini RAT，以防客户支持操作员无法运行快捷方式。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=9a66f10575b8428aa5fe76a8c86c39cf

新勒索软件Mimic利用Everything搜索工具瞄准英俄用户

Trendmicro近期发现了一种新的多功能勒索软件Mimic，其部分代码与著名的Conti勒索软件存在相似之处，支持命令行参数以缩小文件目标范围，不仅可通过多个处理器线程来加速数据加密过程，还可利用由Voidtools开发的流行的Windows文件名搜索工具Everything的API来查找要加密文件。目前，该勒索软件加密后文件扩展名为.QUIETPLACE，并且主要针对英语和俄语用户。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=9428eea5184647189e7d33f1c701ea48

黑客通过telegram频道传播新型信息窃取程序Titan stealer

近日，Uptycs安全人员称，一种名为Titan Stealer的新的基于Golang的信息窃取恶意软件正被黑客通过他们的Telegram频道传播，该恶意软件能够从受感染的Windows机器上窃取各种信息，包括来自浏览器和加密钱包的凭证数据、FTP客户端详细信息、屏幕截图、系统信息等。

Titan Stealer于2022年11月首次被记录，主要作为构建器方式进行提供，使客户能够自定义恶意软件二进制文件以实现包含特定功能以及要从受害者的机器中窃取的信息类型。此外，该恶意软件在执行时采用了一种名为进程挖空的技术，即将恶意有效载荷注入到一个名为Applaunch.exe的合法进程的内存中，该进程为Microsoft .NET ClickOnce启动实用程序。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=f6e5548b3d6540a6a91117f62b2ed904

欢迎登录天际友盟RedQueen平台，获取更多威胁情报。

联系方式

RedQueen平台：redqueen.tj-un.com

官网：www.tj-un.com

邮箱：[email protected]

电话：400-0810-700

关于威胁情报应用解决方案

秉承着“应用安全情报，解决实际问题”的理念，天际友盟以丰富的情报数据种类、多样的情报应用产品与强大的情报服务能力，为政府、行业管理机构和企业用户提供了坚实的情报技术支撑，协助客户构建情报驱动的主动防御体系，抵御网络安全风险，展现了情报应用的价值。

RedQueen安全智能服务平台，是天际友盟情报应用的核心枢纽，不仅是国内首个云端一体化安全智能综合服务平台，也是国内最大的安全情报聚合、分析与交换平台。

更多详情：https://www.tj-un.com/redQueen.html

通过与各类专业安全厂商的解决方案结合，将威胁情报落地应用在客户实际业务场景中来解决安全问题，是威胁情报应用的一种特有方式，我们称之为Threat Intelligence Inside，TI Inside模式。迄今，天际友盟的威胁情报能力，已实现与三十多家安全厂商的集成联动。

SIC安全情报中心（Security Intelligence Center），是天际友盟情报解决方案体系的核心。作为安全情报落地应用的一种表现形式，SIC可以将云端数据同步到本地，实现情报订阅与威胁溯源，还可通过其他来源的API接口接收STIX标准格式的情报数据并聚合到SIC中，配合SIC内嵌的流量分析、防护设备、资产引擎等，实现实时精准告警。

更多详情：https://www.tj-un.com/sic.html

Leon威胁情报网关，是基于海量威胁情报应用的高性能流量检测防护类产品。Leon可以与天际友盟的威胁情报产品家族（RedQueen、SIC、Ada、Alice 等）协同联动，构建全网立体纵深防御体系。基于实时订阅的恶意IP库、恶意URL库、恶意域名库、恶意邮件库等高价值威胁情报，实现对威胁的实时发现、实时阻断、全网预警及溯源分析。

更多详情：https://www.tj-un.com/leon.html