[0217] 一周重点威胁情报｜天际友盟情报站

热点情报

微软补丁日通告:2023年2月版
WIP26间谍组织入侵中东地区
针对利用垃圾邮件传播恶意木马的攻击活动分析
疑似DoNot组织借助Excel附件攻击巴基斯坦国防部门
东南亚新APT组织Saaiwc持续借多国外交之名进行窃密活动

APT攻击

黑客组织Dalbit详情披露
Group-IB近期遭遇Tonto Team团伙袭击
APT-C-56利用虚假诱饵简历投放CrimsonRAT
APT37组织通过Hangul EPS漏洞传播恶意代码
新APT组织NewsPenguin攻击巴基斯坦军事单位

技术洞察

Stealerium恶意软件技术分析
新信息窃取恶意软件Beep剖析
ESXiArgs勒索病毒已感染全球1800余台主机
攻击者通过私人家庭交易系统分发Quasar RAT
Enigma信息窃取程序通过虚假工作机会瞄准加密货币行业

情报详情

微软补丁日通告:2023年2月版

微软近期发布了2月安全更新。本次安全更新修复了包括3个0day漏洞在内的总计78个安全漏洞，其中有9个被评级为“严重”，69个漏洞被评级为“重要”。在漏洞类型方面，主要包括12个特权提升漏洞、38个远程执行代码漏洞、8个信息泄露漏洞、10个拒绝服务漏洞、2个安全功能绕过漏洞、8个欺骗漏洞。本次发布的安全更新涉及Microsoft Edge、Microsoft Exchange Server、SQL Server、Visual Studio等多个产品和组件。更多信息，可参考微软2023年2月安全更新说明：https://msrc.microsoft.com/update-guide/releaseNote/2023-Feb

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=b252ed873faf46e48e7ecd39c5c812a0

WIP26间谍组织入侵中东地区

近日，Sentinelone追踪发现新威胁组织WIP26针对中东的电信运营商开展了长期的间谍活动。WIP26组织的特点之一为严重依赖公共云基础设施实现恶意软件交付、数据泄露和C2目的，试图通过此方式使恶意C2网络流量看起来合法，从而躲避检测。

WIP26的活动感染链通常始于包含指向恶意软件加载程序的Dropbox链接的WhatsApp消息，攻击者通过精确定位员工，诱骗其下载和执行，最终在目标系统上部署利用Microsoft 365 Mail和Google Firebase作为C2服务器的后门：CMD365和CMDEmber。另外，CMD365和CMDEmber还会通过伪装成例如PDF编辑器或浏览器等实用软件进一步诱导用户下载以执行远程命令。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=f83257ea42f5499cb78f35b895021ae7

针对利用垃圾邮件传播恶意木马的攻击活动分析

近日，哈工大、安天联合CERT实验室监测到多起利用垃圾邮件传播恶意木马的攻击活动。垃圾邮件主要利用如“订单”、“发票”、“单据”等主题，构建邮件正文，然后将钓鱼链接嵌入其中，并以隐式方式存在。其中，钓鱼链接主要以文档共享平台(包括“金山文档”、“网易邮箱大师”、“蓝奏云存储”等)生成的链接为主。攻击者通过利用垃圾邮件将钓鱼链接不断发送至目标邮箱，从而诱使用户点击下载对应恶意压缩包。这种方式可以实现降低自身运营成本、规避溯源、白名单绕过的效果。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=7c2b1c5b9d3240038954e9f59ff9ecc5

疑似DoNot组织借助Excel附件攻击巴基斯坦国防部门

近期，研究人员发现DoNot组织疑似利用鱼叉式钓鱼邮件攻击巴基斯坦国防部门。攻击者使用社会工程学战术诱骗受害者下载并打开恶意Excel附件。Excel附件包含恶意宏代码，一旦激活，就会在受害者的设备上下载并安装具备实现窃取用户登录凭证、键盘记录，以及远程控制被感染设备等功能的恶意软件。在感染后，恶意软件首先会与远程服务器建立TCP连接以接收字节数据。此外，恶意软件的第二阶段是一个动态链接库(DLL)，其中包含了 "webservice" 恶意导入函数。研究人员经进一步分析发现，恶意软件还具备通过PowerShell进程执行特定程序的能力。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=01c3e88353d549008d6fe5dd0ef3f913

东南亚新APT组织Saaiwc持续借多国外交之名进行窃密活动

2023年1月，东南亚新晋势力Saaiwc Group针对菲律宾军事部门以及柬埔寨政府部门开展了攻击活动。近期，安恒发现该组织除上述攻击目标外，还针对马来西亚以及印度尼西亚外交部开展了网络钓鱼活动。从攻击者使用的诱饵文件来看，Saaiwc组织针对印度尼西亚外交部的攻击较多，其次是针对菲律宾军事的活动。

此外，Saaiwc组织还在该恶意活动中使用了一条.NET负载的攻击链：Saaiwc首先以ISO文件作为初始阶段攻击样本，其次利用白加黑(WINWORD.EXE+MSVCR100.dll)的手法加载.NET可执行文件恶意负载，最后使用Telegram-API作为C2通信通道。该攻击链旨在实现持久化驻留目标主机，收集目标浏览器凭据并执行任意指令。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=4a50922cac074e888aebc211aec9e048

欢迎登陆天际友盟RedQueen平台，获取更多威胁情报。

联系方式

RedQueen平台：redqueen.tj-un.com

官网：www.tj-un.com

邮箱：[email protected]

电话：400-0810-700

关于威胁情报应用解决方案

秉承着“应用安全情报，解决实际问题”的理念，天际友盟以丰富的情报数据种类、多样的情报应用产品与强大的情报服务能力，为政府、行业管理机构和企业用户提供了坚实的情报技术支撑，协助客户构建情报驱动的主动防御体系，抵御网络安全风险，展现了情报应用的价值。

RedQueen安全智能服务平台，是天际友盟情报应用的核心枢纽，不仅是国内首个云端一体化安全智能综合服务平台，也是国内最大的安全情报聚合、分析与交换平台。

更多详情：https://www.tj-un.com/redQueen.html

通过与各类专业安全厂商的解决方案结合，将威胁情报落地应用在客户实际业务场景中来解决安全问题，是威胁情报应用的一种特有方式，我们称之为Threat Intelligence Inside，TI Inside模式。迄今，天际友盟的威胁情报能力，已实现与三十多家安全厂商的集成联动。

SIC安全情报中心（Security Intelligence Center），是天际友盟情报解决方案体系的核心。作为安全情报落地应用的一种表现形式，SIC可以将云端数据同步到本地，实现情报订阅与威胁溯源，还可通过其他来源的API接口接收STIX标准格式的情报数据并聚合到SIC中，配合SIC内嵌的流量分析、防护设备、资产引擎等，实现实时精准告警。

更多详情：https://www.tj-un.com/sic.html

Leon威胁情报网关，是基于海量威胁情报应用的高性能流量检测防护类产品。Leon可以与天际友盟的威胁情报产品家族（RedQueen、SIC、Ada、Alice 等）协同联动，构建全网立体纵深防御体系。基于实时订阅的恶意IP库、恶意URL库、恶意域名库、恶意邮件库等高价值威胁情报，实现对威胁的实时发现、实时阻断、全网预警及溯源分析。

更多详情：https://www.tj-un.com/leon.html