[0210] 一周重点威胁情报｜天际友盟情报站

热点情报

攻击者假冒中国财务部门试图窃取用户凭据
Akamai官方网站疑似遭遇亲俄组织DDOS攻击
Gamaredon组织针对乌克兰当局开展间谍活动
美德地区成为新威胁组织TA866长期钓鱼目标
APT34部署新恶意软件MrPerfectlnstaller攻击中东组织
Lazarus组织利用Zimbra设备漏洞入侵医学研究和技术部门

APT攻击

APT-C-35组织近期活动详情披露
黑客组织Earth Zhulong近期TTP剖析
盲眼鹰组织针对厄瓜多尔发起钓鱼攻击
蔓灵花组织2023年初攻击行动与新组件揭秘
Mustang Panda组织利用PlugX后门瞄准欧州实体
Nodaria间谍组织在乌克兰部署Graphiron信息窃取程序

技术洞察

Dota 2游戏玩家面临恶意软件感染风险
Cl0p勒索软件已出现针对Linux的ELF新变种
新型Android银行木马PixPirate以巴西金融机构为目标

情报详情

攻击者假冒中国财务部门试图窃取用户凭据

FortiGuard Labs近期发现了一个利用二维码针对中国用户的钓鱼活动，该活动旨在通过引诱用户将他们的数据输入攻击者部署的钓鱼网站从而窃取受害者凭据。

活动感染链始于一个带有Word附件的钓鱼邮件，邮件主题名为“关于2022年个人劳动补贴申领通知”，攻击者通过假冒中国财务部门的名义，发布提醒用户申请劳动补贴的通知。用户打开附件后将在文档中看到一些文本描述和一个二维码。该二维码将引导用户访问攻击者所部署的钓鱼网站。钓鱼网站则仿冒流行的企业通信平台"钉钉"：即用户将会看到一个提醒其钉钉账户存在违规行为的弹出消息框，消息称如果24小时内不验证就会自动冻结。一旦用户点击确认后，就会邀请其输入凭据以进行验证，最终实现窃取用户凭据。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=7b2891926c8c40d99eecfccda0d345fa

Akamai官方网站疑似遭遇亲俄组织DDOS攻击

近日，奇安信检测到Akamai(阿卡迈科技)公司官方网站频繁遭受来自Mirai和Moobot家族僵尸网络的猛烈攻击。其中，第一波攻击由一个Mirai 僵尸网络发起，攻击方式为UDP Plain Flood，持续不到1分钟。第二波攻击则由一个Moobot僵尸网络发起，其接连打出了4次攻击，每次持续数分钟，攻击方式均为UDP Plain Flood。目前，两轮攻击的C2 IP地址均为美国。

由于Akamai官方推特此前连发两贴关于俄乌战争的分析，并且重点关注俄方阵营网络攻击组织Killnet针对医疗行业的攻击活动；研究人员通过参考受攻击的时间线，推测Akamai是受到了来自亲俄组织的报复，不过这两波攻击目前对Akamai官网的访问并未造成显著影响。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=eade9e83d4804e5b8e54d3a44defb4e0

Gamaredon组织针对乌克兰当局开展间谍活动

乌克兰国家网络保护中心(SCPC)近日指出，由俄罗斯国家支持的Gamaredon组织对该国的公共机构和关键信息基础设施进行了针对性的网络攻击。本次攻击的特点为：采用了多步骤下载方法并执行了用于维持对受感染主机的控制的间谍软件有效载荷，且主要目标是进行间谍活动和信息窃取。

活动攻击链始于带有RAR文档的鱼叉式网络钓鱼电子邮件，攻击者采取类似网页的形式，通过冒充乌克兰外交部、乌克兰安全局和波兰警方(Policja)，试图诱骗访问者下载声称可以检测受感染计算机的软件。目前，SCPC称Gamaredon组织主要使用了GammaLoad和GammaSteel间谍软件。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=6a77d480cc124a05a54679bfb1573517

美德地区成为新威胁组织TA866长期钓鱼目标

Proofpoint近期观察到了一个自2022年10月一直持续到2023年1月的系列活动，并将此活动命名为“Screentime”。研究人员评估认为活动由新威胁组织TA866发起，似乎旨在获取经济利益。活动感染链始于包含恶意附件或URL的钓鱼邮件，攻击者主要借助包括WasabiSeed和Screenshotter在内的自定义工具集，在安装其它恶意程序前通过屏幕截图方式分析受害者的活动。目前，该活动主要针对美国和德国的组织。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=0bfc81cb2e9148dbaa87c03f88ab1278

APT34部署新恶意软件MrPerfectlnstaller攻击中东组织

Trendmicro近期在分析针对中东组织的感染活动中发现，APT34使用了一种新的后门恶意软件MrPerfectInstaller进行网络间谍活动。

此次活动始于2022年12月，主要目标是窃取用户凭据，攻击者利用合法但遭到破坏的电子邮件帐户，将窃取的数据发送到其控制的外部邮件帐户，这是APT34首次将该技术用于其活动部署。其中，活动感染链初始阶段主要利用了.Net恶意软件释放器。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=ced19a4c749d4eeabbbd7bfc4baa4b70

Lazarus组织利用Zimbra设备漏洞入侵医学研究和技术部门

近期，WithSecure披露由朝鲜资助的Lazarus组织在其最新的情报收集活动中利用未修补的Zimbra设备中的已知安全漏洞入侵了目标系统，并将此次事件命名为“No Pineapple”。目前，该恶意活动的目标包括印度的一家医疗保健研究机构、一所领先研究型大学的化学工程系，以及一家能源、研究、国防和医疗保健领域的技术制造商，旨在破坏供应链。

此外，攻击者于2022年8月底就开始通过易受攻击的Zimbra邮件服务器获得了对受害者网络的访问权限。其中用于初始访问的安全漏洞是CVE-2022-27925和CVE-2022-37042，这两个漏洞都能被用以在底层服务器上实现远程代码执行，该步骤则主要依靠安装Webshell和利用Zimbra服务器中的本地权限升级漏洞(即Pwnkit又名CVE-2021-4034)进行实现。随后，在2022年10月，攻击者继续进行了横向移动、侦察，并最终部署了Dtrack和更新版本的GREASE等后门程序。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=7f0afef79f65410d91f94c835c701385

欢迎登陆天际友盟RedQueen平台，获取更多威胁情报。

联系方式

RedQueen平台：redqueen.tj-un.com

官网：www.tj-un.com

邮箱：[email protected]

电话：400-0810-700

关于威胁情报应用解决方案

秉承着“应用安全情报，解决实际问题”的理念，天际友盟以丰富的情报数据种类、多样的情报应用产品与强大的情报服务能力，为政府、行业管理机构和企业用户提供了坚实的情报技术支撑，协助客户构建情报驱动的主动防御体系，抵御网络安全风险，展现了情报应用的价值。

RedQueen安全智能服务平台，是天际友盟情报应用的核心枢纽，不仅是国内首个云端一体化安全智能综合服务平台，也是国内最大的安全情报聚合、分析与交换平台。

更多详情：https://www.tj-un.com/redQueen.html

通过与各类专业安全厂商的解决方案结合，将威胁情报落地应用在客户实际业务场景中来解决安全问题，是威胁情报应用的一种特有方式，我们称之为Threat Intelligence Inside，TI Inside模式。迄今，天际友盟的威胁情报能力，已实现与三十多家安全厂商的集成联动。

SIC安全情报中心（Security Intelligence Center），是天际友盟情报解决方案体系的核心。作为安全情报落地应用的一种表现形式，SIC可以将云端数据同步到本地，实现情报订阅与威胁溯源，还可通过其他来源的API接口接收STIX标准格式的情报数据并聚合到SIC中，配合SIC内嵌的流量分析、防护设备、资产引擎等，实现实时精准告警。

更多详情：https://www.tj-un.com/sic.html

Leon威胁情报网关，是基于海量威胁情报应用的高性能流量检测防护类产品。Leon可以与天际友盟的威胁情报产品家族（RedQueen、SIC、Ada、Alice 等）协同联动，构建全网立体纵深防御体系。基于实时订阅的恶意IP库、恶意URL库、恶意域名库、恶意邮件库等高价值威胁情报，实现对威胁的实时发现、实时阻断、全网预警及溯源分析。

更多详情：https://www.tj-un.com/leon.html