每周安全事件220826-0901

组织： 疑似 Patchwork（又名白象/APT-C-09，印度）

攻击目标： 中国

原文概述： 近日，知道创宇 APT 威胁情报团队在追踪过程中发现该组织在近期针对国内的攻击活动应用了跟以往不同的攻击工具。

• Patchinfecter 木马，该木马遍历机器上最近打开的文档，并注入恶意代码，如果受害者将文档共享给其他人，那么该受控机器的其他联系人也会成为新的受控者。跟常见的钓鱼文档不同，此种感染白文件的方式，完全可以造成一个身份受信任的人不通过邮件方式将恶意文件传给其他人的情况，那么会极大地提高恶意文档的点开率。根据其特性研究人员将其命名为 Patchinfecter 木马。

• Infectedloader，该文件为 Patchinfecter 木马生成的恶意文档，利用 CVE-2021-40444 漏洞进行后续木马传播，CVE-2021-40444 为微软 MHTML 远程命令执行漏洞，攻击者可通过传播 Microsoft Office 文档，诱导目标点击文档从而在目标机器上执行任意代码，在受控机器上植入后续木马。此次为公开报道中首次发现有南亚 APT 组织使用该漏洞进行攻击。

攻击链

原文链接：

https://mp.weixin.qq.com/s/qdQ3BvE4TvuLkybBNZgohw

发布平台： 知道创宇

组织： 疑似蔓灵花（又名Bitter，印度）

攻击目标： 南亚周边国家的政府、军工、高校和驻外机构等企事业单位组织，包括中国

原文概述： 通过长期对蔓灵花 APT 组织的基础设施行为进行监控，研究人员捕获到了多个由蔓灵花 APT 组织服务器下发的 msi 文件。在这些 msi 文件中，存在部分 msi 中包含 vbs 文件。值得注意的是，蔓灵花在 vbs 文件中会通过“Explorer.exe” 代理运行程序，并且在捕获的多个vbs文件的下方均存在字符串“asdasdasdad”。在这些 msi 文件包含的组件程序中，以 ”.Net”的远控程序占比最高，此外还有蔓灵花 APT 组织开发的全新远控程序，根据其释放的路径名“wmservice.exe”研究人员将其命名为“wm‐RAT”。由于目前在通讯中存在较多无功能的指令，研究人员认为该远控程序还处于研发阶段。当前已有的功能以文件搜索和上传下载等功能为主，这一点与蔓灵花窃取数据信息的任务目的相契合。

原文链接：

https://mp.weixin.qq.com/s/IZNl6N2K1LUU7e1hT4JeYw

发布平台：  360威胁情报中心

组织： 疑似 Kimsuky（又名 SharpTongue/ Thallium/SectorA05/APT-C-55，朝鲜）

攻击目标： 俄罗斯驻日本总领事馆

攻击手法： 【鱼叉式钓鱼攻击】

Kimsuky集团试图利用通过过往的攻击得到的俄罗斯驻日本总领事馆账户，使用伪装成大使馆会计部门的电子邮件对俄罗斯驻日本总领事馆进行进一步攻击。邮件内容是有关于发送大使馆信息以转移资金的消息。邮件附件包括 “_Pyongyang in talks with Moscow on access to Donbass.pptx”（平壤与莫斯科就访问 Donbass 进行谈判.pptx）以及 “Donbass.ppam”两个文件。其中， .pptx 文件包含5月22日举行的朝韩首脑会谈的内容，文件内有外部地址，但没有恶意部分。而“Donbass.ppam”文件包含宏代码， 名为oup 的 vbs 文件包含在宏中，并注册了任务调度程序，以便每 5 分钟执行一次 vbs 文件。vbs 文件包含攻击者指定的 C&C 服务器地址，每5分钟执行一次，等待攻击者的额外命令。

这次攻击中值得注意的是使用了 ppam 扩展。通常，使用 Microsoft 的 PowerPoint 保存文件时，会以 .ppt 或 .pptx 扩展名保存文件，但不允许在这些扩展名中执行宏；另一方面，.ppam 扩展名是 PowerPoint 加载项，它是一种存储特殊功能的加载项，例如自定义命令、Visual Basic for Applications (VBA) 代码和加载项，这也意味着该文件中包含 Visual Basic for Applications (VBA) 代码。

原文链接： 

https://www.cysecurity.news/2021/02/researchers-discover-kimusky-infra.html

https://blog.alyac.co.kr/4892

发布平台： ESRC、cysecurity

组织： 疑似 Kimsuky（又名 SharpTongue/ Thallium/SectorA05/APT-C-55，朝鲜）

攻击目标： 韩国国防工业

攻击手法： 【鱼叉式钓鱼攻击】

22日，研究人员在韩美联合演习开始时，首次发现了这次袭击的迹象。Kimsuky集团伪装成国防工业内部网络登录服务的钓鱼页面，使用国内国防工业相关的内部文件或表述作为攻击诱饵进行攻击。一开始发现它是以可执行文件（.EXE）的形式伪装成计算机的IP地址搜索程序，执行文件时输出的是实际的计算机网络信息，但在后台，有一个恶意dll模块带有后门功能的是在用户不知情的情况下收集内部信息。之后，它切换到脚本（JSE、VBS）攻击方法，添加双扩展名使其看起来像 PDF 或 XLSM 文档，以及使用可执行文件（PIF）扩展名的攻击方法，这通常被视为一种快捷方式（LNK) 图标，也被使用了。并且，此次攻击不仅将攻击目标扩大到机构和公司，还扩大到相关领域的私人专家和相关人员，从而提高了威胁级别。

原文链接：https://blog.alyac.co.kr/4890

发布平台： ESRC

组织： 疑似 MuddyWater 子组 Mercury

攻击目标： 以色列

原文概述：Microsoft 情报威胁中心 (MSTIC) 和 Microsoft 365 Defender 研究团队检测到伊朗的威胁者 MERCURY使用SysAid应用程序中的Log4j 2 漏洞攻击所有以色列的组织。MSTIC 高度自信地评估，MERCURY 观察到伊朗情报和安全部（MOIS）的活动。MERCURY 过去曾使用过使用 j2 漏洞，例如在易受攻击的应用程序上，但在 VMware 的 Log 4 上，没有使用 SysAid 应用程序作为初始访问权限的应用程序。获得访问后，MERCURY使用自定义和识别目标黑客以及组合操作系统在组织内建立工具、转储工具并利用移动设备进行手动攻击。该博客对这些改进的详细介绍进行了详细介绍和 Microsoft Defender for Endpoint 中实施针对 MERCURY 工具的检测。

攻击链

原文链接：

https://www.microsoft.com/security/blog/2022/08/25/mercury-leveraging-log4j-2-vulnerabilities-in-unpatched-systems-to-target-israeli-organizations/

发布平台： microsoft

8月26日消息，美国交通部称由于美国航司多个赴华航班被取消，计划自今年九月起将会停止多个中国航司承运的赴华航班，其中涉及4家中国航空公司（国航、南航、东航、厦航）和26个航班。其理由是由于考虑到全球形势安全问题。对此，中国外交部回应称“美国这样的行为是非常不负责任的，因为他们没有打一声招呼就单方面的停止了航班……他们这样会打乱很多人的计划，会让中美的一些经济往来受到影响。”

原文链接：

https://mp.weixin.qq.com/s/1EUE0B8cf2ADLPpBbJAWKg

发布平台： 占豪

在 29 日晚上，疑似以用友为代表的国产财务管理软件遭到勒索软件的攻击。此次攻击为无差别攻击，已知涉及的应用包括广联达、管家婆，用友、金蝶、致远……据统计国内受影响的省份包括：北京，上海，山东，江苏，浙江、广东、安徽、四川、福建、河北等地。

其实此次事件疑似与本月17日一个名为“aldkalskmc”的用户在 breached 论坛上的出售“700个中国zf和企业办公系统的RDP权限”的事件有关。此人当时发消息声称拥有“700个中国zf和企业办公系统的RDP权限”，包括金蝶、用友等oa系统和服务器的3389权限，不仅可以直接拖库拿数据，还可以植入木马加密勒索。因此作者在文章中警示“另外攻击者已经获取到了这么多加公司的RDP权限，不排除此人直接进行加密勒索攻击的可能，需要多加注意。”

原文链接：

https://mp.weixin.qq.com/s/Y4sd7vwOGhQe0S3XM5wgWw

https://mp.weixin.qq.com/s/YxMFOH7lrbAqxvbcfAqY_Q

https://mp.weixin.qq.com/s/xjt34CvfoQXqWc67BE8K2w

https://www.huorong.cn/info/1661778944884.html

https://mp.weixin.qq.com/s/Fw3IRSUbf1gS5EruR5Gjxw

发布平台： 狼蛛安全实验室、火绒安全、 奇安信 CERT、 网络安全威胁和漏洞信息共享平台、腾讯安全威胁情报中心

在亚历山大·卢卡申科的生日当天，黑客组织“白俄罗斯网络游击队”在推特上声称，它已经将白俄罗斯总统的护照变成了 NFT。网络游击队还公布了其他白俄罗斯政客的护照详细信息，包括：Lydia Yermoshina，该国中央选举委员会前主席；Natalya Eismant，总统新闻秘书；白俄罗斯克格勃副局长伊万·特尔特尔。黑客在他们的Telegram 频道上写道，他们在 OpenSea 市场上创建了 NFT 护照集合。然而，该集合在发布后不到 24 小时就被平台删除。黑客表示，他们正在寻找替代市场。

原文链接：

https://www.cyberscoop.com/belarusian-hacktivist-group-nft-passport-lukashenko/

https://twitter.com/cpartisans/status/1564639766783692800

发布平台： twitter、cyberscoop

俄罗斯流媒体服务START成为勒索软件攻击的受害者，影响了其 4400 万客户的个人信息。根据 Telegram 频道，黑客发布了截图作为被盗 72GB 数据库的证据。虽然大多数受害者在俄罗斯，但该事件还包括来自哈萨克斯坦、中国和乌克兰的数百万受害者。

泄露截图

原文链接：

https://therecord.media/leading-russian-streaming-platform-suffers-data-leak-allegedly-impacting-44-million-users/

发布平台： therecord

一个庞大的中国人脸和车牌数据库在网上泄露，在高峰期，该数据库拥有超过 8 亿条记录，按规模计算，这是今年已知的最大数据安全漏洞之一，仅次于6 月份上海警方数据库中10 亿条记录的大规模数据泄露。该数据库包括指向高分辨率面部照片的链接，包括进入建筑工地的建筑工人和办公室访客签到以及其他个人信息，例如此人的姓名、年龄和性别，以及居民身份证号码。该数据库还包含心爱摄像头在停车场、车道和其他办公室入口处收集的车牌记录。

暴露的数据属于位于中国东海岸杭州的一家名为新爱电子的科技公司。该公司建立了用于控制人员和车辆进入中国各地的工作场所、学校、建筑工地和停车场的系统。

原文链接：

https://techcrunch.com/2022/08/30/china-database-face-recognition/amp/?&web_view=true

发布平台： techcrunch

Cisco Talos 报告了网络犯罪分子在三个不同的活动中丢弃 ModernLoader RAT和 RedLine Stealer。在今年早些时候的一项活动中，还观察到了 XMRig 加密恶意软件的传播。攻击者破坏易受攻击的 Web 应用程序来托管他们的恶意软件，这些恶意软件通过伪装成亚马逊礼品卡的文件传递。

原文链接：

https://blog.talosintelligence.com/2022/08/modernloader-delivers-multiple-stealers.html

发布平台： Cisco Talos

根据报告，一家意大利公司利用了一个似乎注定无法解决的十年之久的漏洞，能够在受害者不注意的情况下监控全球智能手机的位置。这个公司是意大利的 Tykelab 公司，来自电信部门的机密数据显示该公司秘密发送数万个请求，以跟踪连接到利比亚、马来西亚、巴基斯坦、尼加拉瓜、伊拉克、马里、希腊、葡萄牙和意大利的电话网络的手机的位置。Tykelab 由意大利著名窃听公司 RCS所有，该公司以 Ubiqo 的名义将 Tykelab 的技术转售给执法和情报机构。RCS 和 Tykelab 还开发了一款间谍软件 Hermit，它可以控制私人智能手机并进行监听。

原文链接：

https://mp.weixin.qq.com/s/9FfrjRLoIcs3obRVja7dVg

发布平台：  网空闲话

一家鲜为人知的间谍软件公司 Intellexa 以 800 万欧元（约合 800 万美元）的价格提供包括 Android 和 iOS 设备漏洞利用在内的服务。具体来说，该产品适用于远程、一键式基于浏览器的漏洞利用，允许用户将有效负载注入 Android 或 iOS 移动设备。简短的描述表明受害者必须单击一个链接才能传递漏洞利用。该优惠包括针对 iOS 和 Android 设备的 10 次并发感染，以及“100 次成功感染的杂志”。

原文链接：

https://www.securityweek.com/leaked-docs-show-spyware-firm-offering-ios-android-hacking-services-8-million

发布平台： securityweek

Bahamut组织被认为是一个“雇佣黑客组织”，其于2017年首次被Bellingcat披露并命名。该组织专注于中东和南亚的政治、经济和社会领域，其攻击目标主要是个人而不是组织，通常利用钓鱼网址开展攻击。Bahamut组织拥有近乎全平台的攻击能力，同时覆盖PC端和移动端，涉及Windows、Android、MacOS、iOS，并且针对移动端的攻击能力更加突出。

研究人员在高级威胁追踪中发现到Bahamut组织投入了一个近两年其在Android端经常使用的TriggerSpy家族新变种。该变种为第四代，此次攻击仍采用钓鱼网站进行分发。需要注意的是，目前该新变种在VirusTotal上显示暂无其它杀软识别。根据此次的钓鱼网站性质和历史攻击情况，分析认为Bahamut组织此次攻击的目标主要针对的是部分印度人员。

原文链接：

https://mp.weixin.qq.com/s/37rosWbQhRjyT7J-B5l-FQ

发布平台：  奇安信病毒响应中心