每周高级威胁情报解读（2023.02.09～02.16）

披露时间：2023年2月8日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/screentime-sometimes-it-feels-like-somebodys-watching-me

相关信息：

研究人员近期观察到了一个自2022年10月一直持续到2023年1月的系列活动，并将此活动命名为“Screentime”。研究人员评估认为活动由新威胁组织TA866发起，似乎旨在获取经济利益。本次活动感染链始于包含恶意附件或URL的钓鱼邮件，攻击者主要借助包括WasabiSeed和Screenshotter在内的自定义工具集，在安装其它恶意程序前通过屏幕截图方式分析受害者的活动。目前，该活动主要针对美国和德国的组织。

一个典型案例为，2023年1月23日至24日，观察到了数万封针对美国和德国一千多个组织的电子邮件。受害者点击恶意链接后直接启动攻击链，其中的URL指向404TDS，它将过滤流量并重定向到恶意JavaScript文件的下载地址。如果用户下载并运行其中的MSI包，便将安装WasabiSeed恶意程序。WasabiSeed是一个简单的VBS下载器，它会反复通过Windows Installer连接到其C2服务器以寻找要下载和运行的其它MSI包。其中，WasabiSeed下载的第一个payload即为Screenshotter。该实用程序可获取用户桌面的JPG屏幕截图并通过POST将其提交到远程C2服务器，这在侦察和受害者分析阶段对攻击者很有帮助。

披露时间：2023年2月9日

情报来源：https://mp.weixin.qq.com/s/SR-m-RrqyT3V2zkOPBm-9g

相关信息：

蔓灵花(别称BITTER)是一个常对南亚周边及孟加拉湾海域的相关国家发起网络攻击的APT组织。该组织主要针对政府(外交、国防)、核工业、能源、国防、军工、船舶工业、航空工业以及海运等行业，并且在2021到2023年初一直保持活跃的状态。蔓灵花常用打点技巧为鱼叉攻击，即向目标投递带lnk与chm恶意附件的邮件。其中，恶意chm文件诱导目标执行后将创建计划任务以下载第二阶段载荷。自2021年以来，其攻击手法没有发生较大变化。

近期，研究人员观察到蔓灵花组织在其最新的攻击行动中使用了新的组件，并积极借助DarkAgent和Lilith开源项目构建相关武器(包括BDarkRAT和BLilithRAT)。但是其二次开发的攻击组件未明显观察到规范的开发特征，甚至存在一定的混乱。此外，该组织似乎还攻陷了巴基斯坦相关的内衣网站作为其载荷托管点。由于这些网站均为wordpress站点，研究人员推测蔓灵花组织会长期攻陷目标境内wordpress站点以作为其载荷托管中心。

披露时间：2023年2月14日

情报来源：https://mp.weixin.qq.com/s/xU7b3m-L2OlAi2bU7nBj0A

相关信息：

APT-C-56（透明部落）别名Transparent Tribe、APT36、ProjectM、C-Major，是一个具有南亚背景的APT组织，其长期针对周边国家和地区（特别是印度）的政治、军事进行定向攻击活动，其开发有自己的专属木马CrimsonRAT，还曾被发现广泛传播USB蠕虫。

其一直针对印度的政府、公共部门、各行各业包括但不限于医疗、电力、金融、制造业等保持高强度的信息窃取活动。在今年年初，透明部落与SideCopy被发现利用相同的基础设施并使用相同主题针对相似目标行动，其利用走私情报相关诱饵、伪装印度国防部邮件针对印度频频发起攻击。研究人员还发现了其利用外链针对外贸行业的攻击活动。

近日，研究人员监测到了疑似透明部落的一批攻击活动样本，推测是之前行动未被发现的样本，样本利用诱饵文档最终释放其专属木马CrimsonRAT。

披露时间：2023年2月14日

情报来源：https://asec.ahnlab.com/ko/47622/

相关信息：

相关研究人员的分析小组在1月份确认，APT37 攻击组织（也称为 Red Eyes、ScarCruft）正在通过 Hangul Encapsulated PostScript (EPS) 漏洞 (CVE-2017-8291) 传播恶意软件。众所周知，APT37 组织不仅窃取个人 PC 信息，还窃取针对特定个人而非公司的手机数据。本次APT37群攻案的主要特征是利用Hangul EPS漏洞，利用隐写技术传播恶意代码。

攻击中使用的Hangul EPS漏洞是一个旧漏洞，已经在最新版本的Hangul文字处理器中进行了修补。攻击者似乎是在事先知道攻击目标（个人）正在使用支持 EPS 的旧版 Hangul 文字处理器后尝试进行攻击。此外，过去已经确认了该组织使用隐写技术分发恶意代码的案例。2019年，卡巴斯基披露，APT37 (Red Eyes) 组织使用的下载器恶意软件使用隐写术下载其他恶意软件。将此次攻击归入APT37的依据是利用隐写术下载恶意代码，以及用于维护C&C服务器通信（连续性）的自动执行相关注册表RUN键注册命令与过去使用的形式类似。

披露时间：2023年2月7日

情报来源：https://mp.weixin.qq.com/s/Nq9EFyarm9hxS_jevIzoCA

相关信息：

2023年2月8日，研究人员从合作伙伴 ScamSniffer 收到安全情报，一名受害者因一个存在已久的网络钓鱼地址损失超过1,200,000美元的 USDC。

• 黑客地址：0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1；

• 获利地址：0x9cdce76c8d7962741b9f42bcea47b723c593efff。

2022年12月24日，首次全球披露“朝鲜 APT 大规模 NFT 钓鱼分析”，而本次钓鱼事件与研究人员追踪的另一个 NFT 钓鱼团伙 Monkey Drainer 关联。由于一些保密要求，本篇文章仅针对该团伙的部分钓鱼素材及钓鱼钱包地址进行分析。

经过分析，发现主要的钓鱼方式是通过虚假大 V 推特账号、Discord 群等发布虚假 NFT 相关的带有恶意 Mint 的诱饵网站，这些 NFT 在 OpenSea、X2Y2 和 Rarible 等平台上均有出售。此次 Monkey Drainer 组织针对 Crypto 和 NFT 用户进行钓鱼涉及2000多个域名。

披露时间：2023年2月13日

情报来源：https://mp.weixin.qq.com/s/TjyaYHkchcZv7_2QfR_okw

相关信息：

近日，相关研究人员的实验室监测到多起利用垃圾邮件传播恶意木马的攻击活动。攻击者通过发送以“订单”、“发票”、“单据”等为主题的邮件，结合邮件正文诱导用户点击钓鱼链接，从而下载执行恶意文件。钓鱼链接是攻击者将以“订单.rar”、“电子发票.rar”等名称命名的诱饵压缩包文件上传至文件共享平台生成的分享链接，这种方式可以实现降低自身运营成本、规避溯源、白名单绕过的效果。

诱饵压缩包中包含三个文件，其中.data文件和.exe文件名称一致，一般以“订单”和“电子发票”为主，而名为“cl32.dll”的文件即为核心恶意文件，攻击者利用白加黑的运行机制诱导目标执行exe文件以加载该dll文件。cl32.dll运行后在内存中解密并执行核心恶意dll，实现连接C2及下载通信模块。通信模块名为“client.dll”，经关联溯源分析，确认该dll文件为某论坛上分享的“通信传输框架”，能够实现多协议通信及数据交互，推测是为C2连接在多协议通信上提供支撑。

披露时间：2023年2月13日

情报来源：https://mp.weixin.qq.com/s/gFvVPXVZMRLUybK_L9S1HQ

相关信息：

近日，有媒体曝出，国内45亿个人信息被公开泄露，造成不少网友的恐慌。这些数据主要为数以亿万计的网购用户的个人快递信息，包括真实姓名、电话与住址等敏感信息，并且已出现公开查询渠道。本次数据泄露的数量规模大，且数据关乎公民个人隐私信息，重要敏感性极高。

奇安信集团数据安全首席专家刘前伟表示，重要敏感的大规模数据泄露事件多次发生，暴露出国内数据安全仍然面临着合规落地滞后、重要数据针对性防护缺失、缺乏全方位风险感知等三大矛盾，如何保障重要数据“零事故”、不出事是当前亟待解决的核心课题。

披露时间：2023年2月14日

情报来源：https://blog.talosintelligence.com/new-mortalkombat-ransomware-and-laplas-clipper-malware-threats/

相关信息：

2022年12月以来，研究人员一直观察到一个身份不明的攻击者部署了两种相对较新的威胁，即最近发现的 MortalKombat 勒索软件和 Laplas Clipper 恶意软件即 GO 变体，以从受害者那里窃取加密货币。攻击者在互联网上使用暴露的远程桌面协议 (RDP) 端口3389扫描受害机器，使用他们的下载服务器之一运行 RDP 爬虫并促进 MortalKombat 勒索软件。

根据对代码、类名和注册表键字符串相似性的分析，MortalKombat 勒索软件属于 Xorist 家族。恶意软件针对个人、小型企业和大型组织的攻击活动，旨在窃取或要求以加密货币支付赎金。利用加密货币为威胁行为者提供了有吸引力的好处，例如匿名、去中心化和缺乏监管，使其更难追踪。

披露时间：2023年2月10日

情报来源：https://darktrace.com/blog/a-surge-of-vidar-network-based-details-of-a-prolific-info-stealer

相关信息：

在2022年下半年，研究人员观察到其客户群中的 Vidar Stealer感染率上升。这些感染包括一系列可预测的网络行为，包括使用某些社交媒体平台检索命令和控制（C2）信息以及在C2通信中使用某些URI模式。Vidar Stealer于2018年首次被发现，是一种信息窃取者，能够从用户设备中获取然后泄露敏感数据。这些数据包括银行详细信息、保存的密码、IP 地址、浏览器历史记录、登录凭据和加密钱包数据。

在博客文章中，研究人员将提供在这些Vidar Stealer感染中观察到的网络活动模式的详细信息，例如研究人员在许多客户端网络中观察到以下活动模式：

1. 用户的设备与电报和/或服务器建立HTTPS连接；

2. 用户的设备向不寻常的外部端点发出具有空用户代理标头、空主机标头和由4位数字组成的目标 URI 的 HTTP GET 请求；

3. 用户的设备发出 HTTP GET 请求，其中包含一个空的用户代理标头、一个空的主机标头和一个由10位数字后跟“.zip”组成的目标 URI，指向不寻常的外部端点；

4. 用户的设备向异常的外部端点发出具有空用户代理标头、空主机标头和目标 URI “/”的HTTP POST 请求。

披露时间：2023年2月9日

情报来源：https://www.trendmicro.com/en_th/research/23/b/enigma-stealer-targets-cryptocurrency-industry-with-fake-jobs.html

相关信息：

研究人员最近发现了一个活跃的活动，该活动使用针对加密货币行业中的东欧人的虚假就业借口来安装信息窃取程序。在此活动中，可疑的俄罗斯威胁行为者使用几个高度混淆和开发不足的自定义加载程序，以便使用 Enigma Stealer（TrojanSpy.MSIL.ENGIMASTEALER.YXDBC）感染那些参与加密货币行业的人，即一个改良版的Stealerium信息窃取器。除了这些加载程序之外，攻击者还利用 Intel 驱动程序漏洞 CVE-2015-2291来加载旨在降低 Microsoft Defender 令牌完整性的恶意驱动程序。

Stealerium 是最初的信息窃取器，它是 Enigma Stealer 的基础，是一个用 C# 编写的开源项目，将自己定位为窃取器、剪辑器和键盘记录器，具有使用 Telegram API 的日志记录功能。建议安全团队和个人用户不断更新其系统的安全解决方案，并对通过工作机会或加薪相关诱饵进行社会工程的威胁行为者保持警惕。

披露时间：2023年2月9日

情报来源：https://www.reversinglabs.com/blog/open-source-malware-sows-havoc-on-supply-chain

相关信息：

研究人员对开源存储库持续监控，确定aabquerys作为一种恶意 npm 包，可将第二和第三阶段恶意软件有效负载下载到已下载并运行 npm 包的系统。

与其他恶意开源软件包的例子一样，软件包版本号和内容看起来都很可疑。包名称 aabquerys 也类似于另一个合法的 npm 模块的名称：abquery，域名仿冒，或者试图制造混乱并欺骗开发人员下载恶意包来代替合法包。该软件包包含两个文件，其中一个文件使用Javascript混淆器进行混淆。该文件是一个带有明显恶意行为的jquery.js文件，针对PC释放恶意下载程序。

之后研究人员观察到以下互联网地址托管用于支持 aabquerys 恶意软件的恶意基础架构：

• hxxps://github.elemecdn.com

• hxxp://zh[.]googlecdnb.tk

• hxxp://3.136.16.137

披露时间：2023年2月10日

情报来源：https://www.uptycs.com/blog/understanding-stealerium-malware-and-its-evasion-techniques

相关信息：

研究人员最近发现了一个使用Stealerium恶意软件的攻击活动。Stealerium是一个基于C#编写的开源信息窃取器，主要通过包含恶意宏的Microsoft Office附件传播。一旦激活，它就能够窃取包括网络信息、系统信息、屏幕截图和加密货币钱包登录凭据在内的大量敏感信息。

此外，Stealerium恶意软件由于可注入合法进程，因此很难被检测和删除。同时，其还可在执行前采用反分析技术，例如检查特定工具和环境设置以逃避检测。目前，该窃取器主要针对基于Chromium的(例如Chrome、Edge)和Firefox网络浏览器。另外，研究人员还观察到Stealerium在黑客论坛上的推广有所增加。

披露时间：2023年2月9日

情报来源：https://blog.cyble.com/2023/02/09/the-royal-menace-spreads-to-linux-a-deep-dive-into-this-new-ransomware/

相关信息：

Royal 勒索软件于2022年初首次被发现，被发现以 Windows 机器为目标。威胁参与者 (TA) 最初依赖第三方勒索软件，例如 BlackCat 和 Zeon 勒索软件，但在2022年9月晚些时候，他们开始使用新的独特代码。

去年11月，Royal 勒索软件已成为传播最广泛的勒索软件，一年多来首次超过 Lockbit 成为顶级勒索软件。网络钓鱼是 TA 用来传送 Royal 勒索软件有效载荷的最常用技术。

研究人员最近发现了一个执行勒索软件活动的 Linux 样本。分析样本后，我们将其确定为针对 ESXi 服务器的 Royal 勒索软件的 Linux 变体。此可执行文件显示了 Royal 勒索软件在 Linux 平台中的入口。成功执行后，有效载荷会附加带有“.royal_u”的文件扩展名，并丢弃名为“readme.txt”的赎金票据。

披露时间：2023年2月13日

情报来源：https://minerva-labs.com/blog/beepin-out-of-the-sandbox-analyzing-a-new-extremely-evasive-malware/

相关信息：

上周研究人员发现了几个彼此相似的新样本，并以.dll、.gif 或.jpg 文件的形式上传到 VirusTotal (VT)。它们都被 VT 标记为“spreader”和“detect-debug-environment”并引起了注意，因为它们似乎会丢弃文件，但无法从 VT 检索这些文件。 

一旦深入研究了这个样本，就观察到了大量规避技术的使用。似乎该恶意软件的作者正在尝试实施尽可能多的反调试和反 VM（反沙盒）技术。其中一种技术涉及通过使用 Beep API 函数延迟执行，因此是恶意软件的名称。

披露时间：2023年2月·10日

情报来源：https://mp.weixin.qq.com/s/XlBwNWUPWCojhMDSvKuHMg

相关信息：

2023年1月初，奇安信威胁情报中心威胁监控系统监测到一起未知家族恶意样本利用CVE-2022-30525漏洞传播的事件。经过分析，该家族样本还处于测试阶段，近期进行了多次更新迭代。除该漏洞外该家族样本还通过CVE-2021-22205、CVE-2021-35394进行传播。

该家族归属 Scar 租赁僵尸网络，Scar 租赁网络价格低廉，最低仅15$就可以获取长达一个月的DDoS攻击权限。该新型僵尸网络家族初始样本于2022年8月份开始传播，按照初始样本的落地名称我们将本次发现的家族命名为GooberBot。

披露时间：2023年2月9日

情报来源：https://www.otorio.com/blog/wireless-iiot-security-the-elephant-in-ot-environments/

相关信息：

2月9日报道称，相关安全公司在4家不同供应商的无线工业物联网(IIoT)设备中发现了38个漏洞。攻击者可以利用这些漏洞获得对内部OT系统的初始访问权限，并绕过安全层并入侵目标网络，影响关键基础设施。其中，有三个影响ETIC Telecom 的远程访问服务器(RAS)的漏洞（CVE-2022-3703、CVE-2022-41607和CVE-2022-40981），可能被利用来完全控制易受影响的设备。

披露时间：2023年2月14日

情报来源：https://mp.weixin.qq.com/s/gwDJvamCA9vXVnV8VimHKQ

相关信息：

WebKit 是一个开源的浏览器引擎，主要用于Safari，Dashboard，Mail和其他一些Mac OS X程序。WebKit内核在手机上的应用十分广泛，例如Google的手机Android、Apple的iPhone，还应用在Mac OS X平台默认的浏览器Safari 桌面浏览器内。iOS、iPadOS、WatchOS、tvOS 、MacOS 系统均为美国苹果(Apple)公司所研发的操作系统，为苹果公司各类产品提供相关功能。

近日，奇安信CERT监测到Apple官方发布了多个安全漏洞，包括：

• Apple WebKit 任意代码执行漏洞(CVE-2023-23529)

• Apple Kernel 权限提升漏洞(CVE-2023-23514)

• Apple macOS Ventura 敏感信息泄露漏洞(CVE-2023-23522)

其中CVE-2023-23529较为严重，此漏洞允许未经身份认证的远程攻击者诱骗受害者访问其特制的恶意网站，使WebKit处理网页内容时触发类型混淆错误，最终在目标系统上实现任意代码执行。另外，攻击者可组合利用CVE-2023-23529和CVE-2023-23514提升权限并逃逸 Safari 沙箱。目前，已发现Apple WebKit 任意代码执行漏洞(CVE-2023-23529)的在野利用，鉴于这些漏洞影响范围较大，建议客户尽快做好自查及防护。