每周高级威胁情报解读（2023.03.02～03.09）

披露时间：2023年3月3日

情报来源：https://mp.weixin.qq.com/s/iAGUMG7UmDFcB96HYhqRDw

相关信息：

自2022年11月以来，研究人员发现了多起冒充Naver客服中心的钓鱼邮件，邮件中包含恶意URL。发件人的用户名是“Naver Center”，邮件主要内容为联系人变更通知、新建一次性号码通知、异地登录通知、邮箱容量超出通知、连接尝试阻止通知等，攻击对象为普通民众。

通过对攻击者使用的域名和钓鱼邮件的攻击手法进行分析，判断此为Kimsuky组织冒充韩国著名金融应用程序，发起新一轮的网络钓鱼攻击。

披露时间：2023年3月7日

情报来源：https://www.welivesecurity.com/2023/03/07/love-scam-espionage-transparent-tribe-lures-indian-pakistani-officials/?web_view=true

相关信息：

研究人员发现了一个活跃的透明部落活动，主要针对印度和巴基斯坦的 Android 用户，且可能具有军事或政治倾向。受害者可能是通过浪漫骗局成为目标的，最初是在另一个平台上联系的，然后被说服使用据称“更安全”的应用程序，然后他们被引诱安装这些应用程序。该活动自2022年7月以来通过至少两个类似的网站分发了 CapraRAT 后门，同时将其作为那些安全信息应用程序的未受污染的版本。

透明部落，也称为 APT36，是一个使用 CapraRAT 的组织，过去也能看到针对其目标部署的类似诱饵。该后门能够截取屏幕截图和照片，记录电话和周围的音频，并泄露任何其他敏感信息。后门还可以接收下载文件、拨打电话和发送 SMS 消息的命令。该活动的目标很窄，没有任何迹象表明这些应用曾在 Google Play 上可用。

披露时间：2023年3月8日

情报来源：https://mp.weixin.qq.com/s/lvSraGnMsl3a1jEUubuvyw

相关信息：

APT-C-56（透明部落）是南亚一个具有政府背景的高级持续性威胁组织，其长期针对周边国家和地区的军队和政府机构实施定向攻击，目的是收集各类情报。近期，研究人员在追踪一起针对印度的移动端攻击活动中发现了分别针对Android系统和Windows系统、Linux系统的新型攻击工具，通过分析本次攻击活动的攻击手法和攻击对象，以及对Windows系统攻击工具进行溯源关联，将本次攻击活动归因于透明部落组织。

在本次攻击活动中，透明部落组织使用伪装成印度国家奖学金门户、印度陆军福利教育学会等的钓鱼页面窃取特定用户信息。同时借助Android和Windows、Linux三个系统的新型攻击工具进行信息窃取活动，其中Windows系统包括两个版本。

披露时间：2023年3月3日

情报来源：https://asec.ahnlab.com/ko/48764/

相关信息：

研究人员检测到 CHM 恶意软件向韩国用户分发，据信该恶意软件是由 RedEyes 攻击组织（也称为 APT37、ScarCruft）创建的。去年 2 月在该组织 M2RAT 恶意软件攻击活动过程中使用的命令在本次攻击中以相同的形式被使用。

本次攻击执行CHM文件时，会创建一个模拟韩国某金融公司安全邮箱的帮助窗口。此时存在于CHM内部的恶意脚本在运行，用户很难察觉到该进程。攻击者通过Click方法调用快捷方式对象，执行Item1项中保存的命令。在该文件中，特定 url 中存在的附加脚本通过 mshta 进程执行。

通过mshta进程执行的“1.html”文件包含JS（JavaScript）代码，该代码执行编码后的PowerShell命令。此时执行的PowerShell命令与前述M2RAT恶意软件攻击过程中使用的命令类似。通过查看解码后的PowerShell命令，2月份使用的所有命令和代码除了C2地址、存储命令执行结果的文件名和注册表值名称外都是相同的。该命令完成了注册RUN密钥进行持久化、接收来自攻击者服务器的命令以及下发命令执行结果的功能。

披露时间：2023年3月2日

情报来源：https://mp.weixin.qq.com/s/dOQ5kA7MwQCDg2x_NgBoEA

相关信息：

在 2022 及 2023 年期间，研究人员监测到疑似Kasablanka 组织的多次钓鱼攻击活动，针对目标主要集中在中东、中亚以及东欧地区，其主要目标为乌兹别克斯坦及阿塞拜疆的外交及其他政府部门。

其钓鱼攻击相比其他钓鱼略有不同，其通过向目标发送恶意宏文档，宏文档通过命令调用浏览器打开钓鱼页面诱导目标数据输入相关凭证。除了通过钓鱼窃取邮箱凭证外，该组织还投递多种木马对目标进行攻击，其木马组件多使用 python 开发并使用 telegram 通信。在本次事件中还观察到该组织使用了名为“123.hta”的载荷进行攻击，该载荷使用多重混淆的脚本命令执行下载功能。对该脚本代码进行多次解密，其主要目的为下载其他组件：“https://docs.az-link.email/Dovlet_Proqram13062022.rar”

披露时间：2023年3月7日

情报来源：https://mp.weixin.qq.com/s/dN-0E5k3D6ybZHePs9zuNg

相关信息：

本报告将披露“落叶飞花”僵尸网络犯罪团伙的活动情况。研究人员对该团伙的关注由来已久，2022年1月初，捕获到一批Go语言开发的Mediocre（kaiji）家族木马。该僵尸网络木马大量函数使用汉语拼音方式命名，主要进行DDoS攻击。研究过程中发现，Mediocre Botnet的C&C域名与历史记录的多个恶意软件家族有关。由此顺藤摸瓜关联分析，一个长期潜藏在身边的僵尸网络犯罪团伙浮出水面。

鉴于该团伙多次使用“luoyefeihua.site”作为其服务器基础设施，研究人员将该团伙命名为“落叶飞花”。监测数据显示，该团伙于2018年开始活跃起来，发展早期主要通过QQ，论坛等社交媒介出售DDoS攻击工具来获利，后期业务趋于多元化。该团伙运营的恶意软件家族中XorDDoS传播量最广，Nitol和DoFloo下发指令最为频繁，而Mediocre Botnet则体现了该团伙原创能力。

披露时间：2023年3月6日

情报来源：https://www.bitdefender.com/blog/hotforsecurity/bitdefender-labs-warns-of-fresh-phishing-campaign-that-uses-copycat-chatgpt-platform-to-swindle-eager-investors/

相关信息：

ChatGPT 是 OpenAI 实验室开发的人工智能聊天机器人，在发布后的短短四个月内就一举成名。不幸的是，病毒式 AI 工具的成功也引起了欺诈者的注意，他们利用该技术对互联网用户进行投资诈骗。据研究人员称，“AI 驱动”诈骗的最新篇章始于一封简单的未经请求的电子邮件。访问电子邮件中的链接后，用户将被引导至 ChatGPT 的山寨版，以“在独特的 ChatGPT 平台上”每月支付高达10,000美元的财务机会吸引用户。

披露时间：2023年3月1日

情报来源：https://www.fortinet.com/blog/threat-research/just-because-its-old-doesnt-mean-you-throw-it-away-including-malware

相关信息：

MyDoom(也称Novarg和Mimail)蠕虫于2004年首次被发现，研究人员近期发现了一个使用MyDoom蠕虫的恶意钓鱼活动。MyDoom在本次活动中主要借助网络钓鱼邮件传播，邮件包含一个MyDoom的32位可执行文件附件，该附件扩展名通常被大多数Windows系统默认隐藏，因此能够一定程度的避免被用户识别。此外，附件还使用了UPX加壳器进行压缩以使其更难被溯源分析。解压执行后，MyDoom首先会尝试更改Windows防火墙设置，接着将制作一份自身副本，然后会将其副本名称更改为已知的Windows应用程序“lsass.exe”并放入目标系统的“Temp”文件夹以实现进一步的伪装。

披露时间：2023年2月28日

情报来源：https://www.esentire.com/blog/hackers-attack-employees-from-six-law-firms-with-the-gootloader-and-socgholish-malware-using-fake-legal-agreements-and-malicious-watering-hole-s-reports-esentire

相关信息：

研究人员于2月28日披露了在2023年1月和2月针对6家不同的律师事务所的攻击。这些攻击源自两个不同的攻击活动，其中之一试图用恶意软件GootLoader感染律师事务所的员工，另一场活动使用恶意软件SocGholish攻击律师事务所员工和其它目标。GootLoader活动使用搜索引擎优化(SEO)中毒，其入侵了合法的WordPress网站，并利用“协议”等关键字诱使目标下载恶意软件。SocGholish活动利用了律师事务所经常光顾的网站进行水坑攻击，以虚假的浏览器更新为诱饵传播恶意软件。

披露时间：2023年3月2日

情报来源：https://www.cadosecurity.com/redis-miner-leverages-command-line-file-hosting-service/

相关信息：

研究人员最近发现了一个针对配置错误的Redis数据库服务器的新型加密劫持活动。活动攻击链主要通过利用Redis的不安全部署，将cron作业写入数据存储并强制Redis将数据库文件保存到cron目录中实现的。当cron调度程序读取目录中的文件时，数据库文件将被分割为cron作业，从而导致任意命令执行。其中，cron作业主要可运行cURL命令以检索transfer.sh处的有效负载(包括pnscan和XMRig等)文件。transfer.sh是一种开源的合法命令行文件传输服务，经常被攻击者用于传输恶意程序并实现逃避检测。此外，其负载文件保存为.cmd形式并使用bash执行，通过直接调用bash来执行脚本可确保其命令不会被写入历史文件，主要作为一种反取证措施。

披露时间：2023年3月2日

情报来源：https://www.trendmicro.com/en_us/research/23/c/managed-xdr-exposes-spear-phishing-campaign-targeting-hospitalit.html

相关信息：

最近研究人员注意到一位客户收到的电子邮件数量激增。经过进一步调查，发现酒店业的另外三名客户也受到了影响。据观察，大多数电子邮件的主题行都试图引起受害者的注意：“帮助”、“请求帮助”、“路线图”、“我是来自 booking.com 的”和“预订”。一些电子邮件的主题行中还有一个“Re:”，试图诱骗受害者认为他们正在阅读电子邮件的回复信息。

电子邮件副本包含的文本旨在引诱目标（主要是酒店员工）点击投放恶意软件的 Dropbox 链接。还使用了稍微缩短的 URL，这些 URL 重定向到包含恶意文件的 Dropbox 链接。

研究人员观察到的钓鱼活动可分为四个阶段：

1. “Christian-Robinson-Route.jpg.exe”删除“setupsoftwarefile_v7.7.exe”

2. PowerShell 脚本从 hxxp://45.93.201[.]62/docs/ 检索加密文件

3. “Ferriteswarmed.exe”MSIL 文件解密形成 RedLine Stealer 有效负载的图像文件

4. RedLine Stealer 将窃取的信息发送到 C&C 服务器

披露时间：2023年3月7日

情报来源：https://blog.morphisec.com/sys01stealer-facebook-info-stealer

相关信息：

去年11月开始，研究人员一直在跟踪命名为“SYS01 stealer”的高级信息窃取者。SYS01 stealer使用与另一个信息窃取器类似的诱饵和加载技术，最近被命名为 S1deload，但实际负载不同。

研究人员已经发现SYS01 stealer攻击关键的政府基础设施员工、制造公司和其他行业。该活动背后的威胁行为者通过使用谷歌广告和虚假的 Facebook 个人资料来瞄准 Facebook 商业账户，这些账户宣传游戏、成人内容和破解软件等内容，以引诱受害者下载恶意文件。该攻击旨在窃取敏感信息，包括登录数据、cookie 以及 Facebook 广告和企业帐户信息。

披露时间：2023年3月7日

情报来源：https://www.metabaseq.com/fixs-atms-malware/

相关信息：

研究人员近期发现了一种名为FiXS的新型ATM恶意软件，该恶意软件自2023年2月以来一直被用于攻击墨西哥银行。目前，研究人员尚未确定有关FiXS恶意软件的初始攻击载体，但研究人员称攻击者利用了一个外部键盘(攻击手法类似于Ploutus实例)与FiXS进行交互。其中， Ploutus于2013年被首次发现，能够使犯罪分子通过使用外部键盘或通过SMS消息从ATM提取现金，多年来，Ploutus已经发展为可针对不同类型的ATM XFS中间件。此外，FiXS活动的显著特征还包括：

1. 针对任何支持CEN XFS的ATM；

2. 利用Windows GetTickCount API，并在ATM机最后一次重启的30分钟后取款；

3. 通过隐藏在一个看起来合法的程序中以逃避检测。

披露时间：2023年3月6日

情报来源：https://blog.lumen.com/new-hiatusrat-router-malware-covertly-spies-on-victims/

相关信息：

在发现 ZuoRAT（一种针对小型办公室/家庭办公室 (SOHO) 路由器的新型恶意软件）仅仅九个月后，研究人员发现了另一个涉及受感染路由器，称之为“中断”的复杂活动。它会感染企业级路由器并部署两个恶意二进制文件，包括 HiatusRAT 的远程访问木马，以及在目标设备上启用数据包捕获的 tcpdump 变体。

一旦目标系统被感染，HiatusRAT 允许威胁行为者与系统进行远程交互，并利用预构建的功能将受感染的机器转换为威胁行为者的隐蔽代理。数据包捕获二进制文件使参与者能够监控与电子邮件和文件传输通信相关的端口上的路由器流量。

研究人员列举了与该活动相关的命令和控制 (C2) 基础设施，并确定了至少100名受感染的受害者，主要在欧洲和拉丁美洲。该恶意软件的最新版本1.5于2022年7月开始活跃。

披露时间：2023年3月6日

情报来源：https://blog.cyble.com/2023/03/06/imbetter-new-information-stealer-spotted-targeting-cryptocurrency-users/

相关信息：

研究人员最近发现了专门针对 Windows 用户的仿冒流行加密钱包和在线文件转换器的钓鱼网站。这些恶意网站旨在欺骗用户下载信息窃取恶意软件，危及他们的机密数据。新发现的恶意软件可以窃取受害者的敏感浏览器数据，包括保存的凭据、cookie、用户配置文件和加密货币钱包。此外，恶意软件会截取系统的屏幕截图并将其发送给威胁行为者。

攻击者使用复杂的技术来创建网络钓鱼网站，这些网站旨在让用户看起来合法且具有吸引力。这些欺骗性网站经过精心设计，可以诱使毫无戒心的用户下载和执行恶意软件，从而窃取受害者的敏感数据。在之前的案例中，研究人员揭露了许多网络钓鱼网站，这些网站被用来通过窃取程序、RAT 和机器人等一系列恶意软件类型窃取敏感数据。

披露时间：2023年3月6日

情报来源：https://www.sentinelone.com/blog/dbatloader-and-remcos-rat-sweep-eastern-europe/

相关信息：

研究人员一直在观察使用DBatLoader恶意软件加载器分发Remcos RAT的网络钓鱼活动，其目标主要是东欧机构和企业。这篇博文总结了研究人员对这些活动的观察，以使防御者获得防范这种威胁所需的信息。

DBatLoader的特点是滥用公共云基础设施来托管其恶意软件暂存组件。功能丰富的RAT Remcos被具有网络犯罪和间谍活动动机的威胁者使用，通常通过钓鱼邮件分发RAT，并使用各种形式和方法在系统上进行部署。

披露时间：2023年3月1日

情报来源：https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed/

相关信息：

在这篇博文介绍研究人员对UEFI bootkit进行首次公开分析。该启动包的功能及其个别特征使研究人员相信，其正在处理一个被称为BlackLotus的启动包，这个UEFI启动包从2022年10月开始在黑客论坛上以5000美元的价格出售。调查始于2022年底，在遥测中发现的一些 BlackLotus 用户模式组件，经过初步评估后，样本中的代码模式让研究人员发现了六个 BlackLotus安装程序。探索整个执行链后意识到在这里处理的不是普通的恶意软件。

UEFI bootkit 是非常强大的威胁，可以完全控制操作系统启动过程，能禁用各种操作系统安全机制并在早期操作系统启动阶段部署自己的内核模式或用户模式有效负载，这使其能够非常隐蔽地操作并享有很高的特权。

披露时间：2023年3月8日

情报来源：https://blog.cyble.com/2023/03/08/critical-vulnerabilities-in-wago-web-based-management-system/

相关信息：

2023年2月27日，研究人员针对多个产品的Wago Web-Based Management (WBM)中的多个漏洞发布了一份安全公告。WAGO 基于网络的管理 (WBM) 系统是由德国自动化技术产品制造商 WAGO 开发的软件解决方案。WBMS允许用户通过 Web 浏览器界面监视、配置和控制 WAGO 可编程逻辑控制器 (PLC) 和远程 I/O 模块。

WBM 系统旨在为用户提供直观且用户友好的界面，以通过 Web 浏览器远程管理他们的自动化系统。借助 WBMS，用户可以执行各种任务，例如监控其自动化系统的状态、修改程序参数、设置警报和通知以及诊断故障和错误。该系统还支持数据记录和趋势分析，允许用户分析历史数据并确定其自动化过程中的趋势。

根据发布的安全公告，WBM 中存在 4 个漏洞；在四个漏洞中，两个属于严重级别，另外两个属于中等级别。

披露时间：2023年3月2日

情报来源：https://salt.security/blog/traveling-with-oauth-account-takeover-on-booking-com

相关信息：

研究人员于3月2日称其发现了在线旅行社Booking.com上的安全漏洞。发现的漏洞集中在Booking.com实施OAuth的方式上，涉及OAuth与Facebook的集成。攻击者可诱使目标点击特制链接，通过滥用OAuth登录机制来捕获已登录用户的身份验证代码。然后攻击者访问他们自己的帐户，在应用向预订服务器发送的身份验证请求中，将自己的代码替换为目标的代码。成功利用这些漏洞可完全控制目标帐户，来窃取个人信息并执行取消或预定等操作。该问题还影响了Booking.com的姊妹网站Kayak.com。