APT32新攻击样本——每周威胁动态第91期（08.05-08.11）

UNC2447通过窃取思科员工的凭证开展攻击活动

近日，思科研究人员就攻击者通过入侵思科员工个人的谷歌账户，窃取同步在谷歌Chrome浏览器中的思科VPN访问凭证事件做出响应。研究人员发现，攻击者为了绕过多因素身份验证，以各种受信任的公司为幌子，进行了一系列复杂的语音网络钓鱼攻击。研究人员将此攻击归因为UNC2447。UNC2447是一个具有俄罗斯背景、以牟取经济利益为动机的APT组织。此前曾观察到该组织利用勒索软件实施双重勒索攻击，目前已知其使用的勒索软件包括FIVEHANDS、HELLOKITTY等。

来源：

https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html

捕获APT32攻击样本

研究人员在8月10日披露APT32新样本，表格内为样本具体的IOC。

来源：

https://twitter.com/shadowchasing1/status/1557287930267578368

https://bazaar.abuse.ch/browse/tag/oceanlotus/

Lazarus Group冒充Coinbase攻击金融科技行业

近日，朝鲜背景的APT组织Lazarus Group发起了一项新的社会工程攻击活动。该组织冒充Coinbase（世界上最大的加密货币交易平台之一），针对性攻击金融科技行业的员工。攻击者通过社交媒体领英联系目标，并以提供工作机会为由进行初步沟通。当受害者下载关于工作职位的PDF文件时，通过点击PDF图标会下载恶意可执行文件，并进一步加载恶意DLL文件。恶意软件将使用了GitHub作为命令和控制服务器。下图是诱饵文档截图。

来源：

https://www.bleepingcomputer.com/news/security/north-korean-hackers-target-crypto-experts-with-fake-coinbase-job-offers/

https://twitter.com/h2jazi/status/1555205042331947011?cxt=HHwWhsC80eCvmZUrAAAA

TAC-040利用Confluence漏洞部署Ljl后门

Deepwatch研究人员披露TAC-040组织，并发现该组织利用Atlassian Confluence服务器中的CVE-2022-26134漏洞部署一个名为Ljl的新后门。此次攻击发生在5月底，持续了7天。证据表明，攻击者使用Atlassian Confluence目录中的tomcat9.exe父进程执行了恶意命令，此外攻击者执行各种命令来枚举本地系统、网络、环境等信息。据估计，受害目标的大约700MB数据已被泄露。

来源：

https://www.deepwatch.com/labs/deepwatch-ati-detects-and-responds-to-never-before-discovered-backdoor-deployed-using-confluence-vulnerability-for-suspected-espionage/

https://5556002.fs1.hubspotusercontent-na1.net/hubfs/5556002/2022%20PDF%20Download%20Assets/ADA%20Compliant%20pdfs/Reports/ljlBackdoor%20Analysis.pdf

P2PPhish组织疯狂的钓鱼活动

近日，微步研究人员发现通过模仿相关P2P平台域名并以清退为由进行的诈骗活动，微步将该活动背后的组织命名为P2PPhish。该组织至少于2021年开始通过发布虚假新闻，引诱受害者点击钓鱼链接实施诈骗活动。主要通过在新闻社交等渠道发布虚假信息，引诱受害者访问其搭建的伪造钓鱼网站，以“官方回款”、“清退回款”等名义实施诈骗，并附加成功案例弹窗吸引受害者。其选择的目标主要是目前市面上暴雷的P2P平台投资者，利用投资者迫切回款的心理进行定向诈骗，骗取个人隐私信息以及所谓的“债权转让金”进行获利。

来源：

Lazarus Group部署DTrack和Maui勒索软件

近日，卡巴斯基研究人员在同一台服务器上检测到攻击者部署的DTrack恶意软件以及Maui勒索软件。Lazarus Group有选择地部署勒索软件以牟取经济利益。根据这次攻击的手法，发现Maui勒索软件事件背后的TTP与Andariel事件（又名Stonefly事件）非常相似，因此将此次攻击活动归因于Lazarus Group。下图是受害者的地理分布情况。

来源：

https://securelist.com/andariel-deploys-dtrack-and-maui-ransomware/107063/

Tropical Scorpius利用ROMCOM RAT开展攻击活动

Tropical Scorpius（又名UNC2596），自2019年开始活跃，研究人员发现Tropical Scorpius已使用Cuba Ransomware攻击政府、金融、服务、科技等多个领域。该组织除了与Cuba Ransomware有关，还发现与Industrial Spy网站有关，该网站允许攻击者或者竞争对手购买从受害商业公司窃取的数据。Industrial Spy使用的赎金票据与Cuba Ransomware赎金票据非常相似，两份票据包含了完全相同的联系信息。此次攻击活动中，攻击者使用了自定义远程访问木马ROMCOM RAT，其中包含了独特的C2协议。

来源：

https://unit42.paloaltonetworks.com/cuba-ransomware-tropical-scorpius/

DeathStalker利用VileRAT工具攻击外汇公司

DeathStalker（又名Evilnum），自2012年开始活跃，主要针对欧洲金融和投资公司开展攻击活动。近日，卡巴斯基披露了该组织利用VileRAT工具针对外汇公司的攻击。VileRAT（也称为PyVil）是一种Python植入程序，在经过混淆和打包将VileRAT程序与py2exe捆绑为一个独立的二进制文件，作为攻击手法更新的一部分。下图是VileRAT感染流程。

来源：

https://securelist.com/vilerat-deathstalkers-continuous-strike/107075/

在PyPI存储库中发现10个恶意Python包

CloudGuard Spectral在PyPI上检测到10个恶意包。PyPI是开发人员用于Python编程语言的Python包索引，是Python用户最常用的存储库。攻击者在恶意程序包中安装信息窃取程序，使攻击者能够窃取开发人员的私人数据。

来源：

https://research.checkpoint.com/2022/cloudguard-spectral-detects-several-malicious-packages-on-pypi-the-official-software-repository-for-python-developers/

通信巨头Twilio遭短信网络攻击

近日，通信巨头公司Twilio称遭到短信网络攻击。攻击者通过发送钓鱼短信，诱使Twilio的员工点击其中嵌入的链接，并成功窃取了多名员工的登录凭据。攻击者使用窃取的凭据访问Twilio公司内部系统，并查看某些重要客户数据。

来源：

https://www.bleepingcomputer.com/news/security/twilio-discloses-data-breach-after-sms-phishing-attack-on-employees/

ZCS邮件服务器存在RCE漏洞CVE-2022-27925

Volexity研究人员在处理的攻击事件中，发现受害者的Zimbra Collaboration Suite(ZCS)电子邮件服务器遭到严重破坏。调查证据表明，攻击者利用了ZCS中的远程代码执行(RCE)漏洞CVE-2022-27925开展攻击活动。Volexit确认了全球1,000多个被入侵的ZCS电子邮件服务器实例。下图是受感染Zimbra服务器的地理分布情况。

来源：

https://www.volexity.com/blog/2022/08/10/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-27925/

BlueSky通过多线程进行快速加密

BlueSky是一款新兴勒索软件，主要针对Windows系统，并利用多线程加密技术加快文件加密速度。研究人员观察该勒索软件与Conti勒索软件和Babuk Ransomware分别在代码和加密方法上存在一定相似性。从技术趋势上看，勒索软件正在采用现代先进技术，包括对恶意样本进行编码和加密，或使用多阶段勒索软件投递和加载来防御规避。

来源：

https://unit42.paloaltonetworks.com/bluesky-ransomware/