[0224] 一周重点威胁情报｜天际友盟情报站

热点情报

响尾蛇组织利用疫情题材攻击我国高校
攻击者利用FatalRAT木马瞄准中文用户
基于ChatGPT的网络钓鱼威胁正不断加剧
疯狂对华实施数据窃取的ATW组织大揭秘
Gamaredon组织借助Hoaxshell后门再次攻击乌克兰

APT攻击

两个BEC组织冒充高管对全球公司进行攻击
谷堕大盗针对金融、证券业的攻击活动追踪
新威胁组织Clasiopa瞄准亚洲材料研究单位
APT-LY-1006针对东欧中亚地区的攻击活动披露
Hydrochasma组织以亚洲医疗和航运部门为目标
Earth Kitsune团伙通过水坑攻击植入WhiskerSpy后门

技术洞察

俄乌双方近期DDoS攻击事件汇总
MyloBot僵尸网络日均可感染超过5万台设备
基于Socks协议通信的新型僵尸网络Andoryu分析
DDOS团伙BlackMoon卷土重来，已控制数万台设备

情报详情

响尾蛇组织利用疫情题材攻击我国高校

安天近期发现印度响尾蛇组织利用疫情题材针对我国某高校开展了鱼叉式网络钓鱼活动，其主要目的是进行侦查和窃密行为。

活动时间节点为2022年11月22日，响尾蛇组织通过注册虚假域名，并构造出伪装成目标高校个人邮箱地址的虚假账号，向目标下属公共管理学院的行政办公室邮箱发送了包含恶意附件的钓鱼邮件。邮件标题为“公共管理学院关于11月22日起工作安排调整的通知”，其中提示“各办公室根据近期工作计划安排部分人员到岗（见附件名单）”，引导收件人下载并查看。用户点击后，将调用恶意命令并执行远程的Javascript脚本，该脚本可在内存中加载阶段性恶意程序，以及获取本机的杀毒软件信息，而恶意程序则负责释放无恶意的诱饵文档并下载后续的木马程序。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=0b2cc851a2074cfc9786a7f80b8b9ee0

攻击者利用FatalRAT木马瞄准中文用户

近期，ESET发现了一个针对东南亚和东亚地区讲中文人群的钓鱼活动。该活动至少从2022年5月开始，攻击者首先创建了与流行应用程序几乎相同的恶意网站，再通过购买广告将他们的恶意网站定位在谷歌搜索结果的“赞助”部分，最终实现在目标系统中植入FatalRAT远程访问木马目的。

其中，攻击者注册的各种域名均指向同一个IP地址的C2服务器，此服务器托管了多个下载木马软件的网站。一些网站看起来与Firefox等合法网站完全相同，其他网站则伪装成可提供在中国不可用的中文版软件，例如Telegram、WhatsApp等。目前，受害者主要在东南亚和东亚。另外，在2022年8月至2023年1月期间，多数攻击主要影响了中国大陆、中国台湾和香港的用户。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=6b2e8e72657a45878386e5a7c8a0826a

‍‍‍

基于ChatGPT的网络钓鱼威胁正不断加剧

近期，OpenAI推出的ChatGPT人工智能工具，由于可通过访问海量数据来回答用户广泛的问题从而帮助其提高工作效率，因此吸引了超过1亿的用户。然而，ChatGPT的实用性不仅使得其被合法用户广泛采用，也正在被各种攻击团伙所利用。

CRIL近期便监测到了多个伪装为ChatGPT官方网页的钓鱼网站，这些网站借助虚假的OpenAI社交媒体页面进行推广，以传播各种类型的恶意软件。此外，一些钓鱼网站还通过冒充ChatGPT以实施金融欺诈。目前，CRIL已识别出了50多个冒充ChatGPT的恶意应用程序，这些应用程序涉及多种恶意软件系列，包括垃圾程序、广告软件、间谍软件、欺诈软件等。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=9c0e0b24f3cb4b22ac39a130cc43c68c

疯狂对华实施数据窃取的ATW组织大揭秘

近日，奇安信披露了一个自称AgainstTheWest(下称“ATW”)的黑客组织。2021年10月，ATW组织开始频繁活动，并将中国作为其主要攻击目标，疯狂实施了网络攻击、数据窃取和披露炒作等一系列活动，对我国的网络安全、数据安全构成了严重危害。

调查发现，ATW组织宣称窃取了涉我国党政机关、科研机构等部门的数据，实则均来源于为我国重要单位提供软件开发的中小型信息技术和软件开发企业，窃取数据也多为开发过程中的测试数据。但为凸显攻击目标和所窃数据重要性，ATW多次对所窃数据进行歪曲解读、夸大其词。其中，ATW主要攻击手法为：利用开源网络系统存在的技术漏洞实施大规模扫描和攻击，进而通过“拖库”，窃取相关源代码、数据等。其窃取的相关信息还可用于实施进一步漏洞挖掘和渗透攻击，属于典型的“供应链”攻击。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=a23e0cb52f1642679d573654bf472b09

Gamaredon组织借助Hoaxshell后门再次攻击乌克兰

Gamaredon是一个由俄罗斯国家支持的活跃间谍组织，多年来，该组织一直以乌克兰政府组织为主要攻击目标。近期，研究人员再次发现该组织针对乌克兰开展了恶意钓鱼活动，旨在向乌克兰受感染机器中部署恶意软件。

Gamaredon高度依赖针对性的武器化文件，本次活动的攻击媒介同样始于一封伪装为乌克兰政府组织官方文件的鱼叉式网络钓鱼电子邮件。邮件包含一个附件，一旦附件被受害者打开，用户系统将被最终植入一个由PowerShell编写的高度混淆的后门“Hoaxshell”。该后门适用于Windows，是一个开源的反向shell。攻击者利用Hoaxshell将下载一个名为deerskin.exe的新文件：执行时，它会检查互联网连接，然后建立与Gamaredon远程C2服务器的连接。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=2c00eb4d1add4cf0b5d35dbd5bb9b52e

欢迎登陆天际友盟RedQueen平台，获取更多威胁情报。

联系方式

RedQueen平台：redqueen.tj-un.com

官网：www.tj-un.com

邮箱：[email protected]

电话：400-0810-700

关于威胁情报应用解决方案

秉承着“应用安全情报，解决实际问题”的理念，天际友盟以丰富的情报数据种类、多样的情报应用产品与强大的情报服务能力，为政府、行业管理机构和企业用户提供了坚实的情报技术支撑，协助客户构建情报驱动的主动防御体系，抵御网络安全风险，展现了情报应用的价值。

RedQueen安全智能服务平台，是天际友盟情报应用的核心枢纽，不仅是国内首个云端一体化安全智能综合服务平台，也是国内最大的安全情报聚合、分析与交换平台。

更多详情：https://www.tj-un.com/redQueen.html

通过与各类专业安全厂商的解决方案结合，将威胁情报落地应用在客户实际业务场景中来解决安全问题，是威胁情报应用的一种特有方式，我们称之为Threat Intelligence Inside，TI Inside模式。迄今，天际友盟的威胁情报能力，已实现与三十多家安全厂商的集成联动。

SIC安全情报中心（Security Intelligence Center），是天际友盟情报解决方案体系的核心。作为安全情报落地应用的一种表现形式，SIC可以将云端数据同步到本地，实现情报订阅与威胁溯源，还可通过其他来源的API接口接收STIX标准格式的情报数据并聚合到SIC中，配合SIC内嵌的流量分析、防护设备、资产引擎等，实现实时精准告警。

更多详情：https://www.tj-un.com/sic.html

Leon威胁情报网关，是基于海量威胁情报应用的高性能流量检测防护类产品。Leon可以与天际友盟的威胁情报产品家族（RedQueen、SIC、Ada、Alice 等）协同联动，构建全网立体纵深防御体系。基于实时订阅的恶意IP库、恶意URL库、恶意域名库、恶意邮件库等高价值威胁情报，实现对威胁的实时发现、实时阻断、全网预警及溯源分析。

更多详情：https://www.tj-un.com/leon.html