[0421] 一周重点威胁情报｜天际友盟情报站

热点情报

非洲电信公司遭APT组织Daggerfly入侵
8220 Gang组织借助Log4Shell漏洞部署挖矿程序
伊朗黑客组织Mint Sandstorm瞄准美国关键基础设施
俄罗斯组织Gamaredon针对乌克兰政府开展网络钓鱼活动
攻击者向澳大利亚政府和波兰银行机构投递Chameleon木马

APT攻击

CNC组织最新攻击动态揭露
双重勒索软件组织Money追踪
疑似前Conti成员和Fin7组织联手开发新的Domino后门
APT36通过木马化的Kavach工具分发Poseido恶意软件
Transparent Tribe组织利用Crimson RAT攻击印度教育部门

技术洞察

Emotet银行木马最新变种来袭
当今最快的勒索软件Rorschach剖析
攻击者利用商业邮件投递QBot银行木马
Snake Keylogger窃密木马正通过OneNote文档传播
Dark.loT僵尸网络利用ClouDNS与白域名进行C2通讯

情报详情

非洲电信公司遭APT组织Daggerfly入侵

Symantec近日称APT组织Daggerfly正瞄准非洲的电信公司，并在其最近的活动中部署了新的MgBot恶意软件框架插件。2022年11月，研究人员观察到某Microsoft Exchange邮件服务器上出现了可疑的AnyDesk远程桌面软件连接行为，该行为疑似为Daggerfly针对受害网络发起攻击的最初迹象之一。

MgBot则是一个精心设计的模块化恶意软件框架，其在过去疑似与中国APT组织存在关联。该框架的组成部分包括：MgBot EXE dropper、MgBot DLL加载程序及MgBot插件。另外，Daggerfly在本次活动中部署的MgBot插件具有多种功能，可以为其提供有关受感染机器的大量信息。研究人员推测，由于电信公司可为用户的通信提供访问权限，其将始终是情报收集活动的关键目标。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=20da54a85be649c8a0adb44118fb58e4

8220 Gang组织借助Log4Shell漏洞部署挖矿程序

ASEC近日证实，8220 Gang组织正利用VMware Horizon服务器上的Log4Shell漏洞(CVE-2021-44228)安装XMRig挖矿恶意软件。其中，8220 Gang既针对国内系统，也针对海外系统，本次活动已被确定为攻击对象的系统中，便存在国内的能源相关企业。

研究人员表示，攻击者首先通过Log4Shell漏洞下载并执行了一个名为“bypass.ps1”的PowerShell脚本。该脚本经过混淆，其中包含一个.Net恶意软件下载程序：PhotoShop-Setup-2545.exe。该程序将从特定地址下载编码数据并将其注入RegAsm.exe，且注入RegAsm进程的恶意代码同样经过混淆处理，疑似为ScrubCrypt恶意软件。ScrubCypt则最终将连接C2服务器以下载安装可挖掘Monero硬币的XMRig恶意程序。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=9affbdd2f91c4762b27800dd45bd4bde

‍‍‍

伊朗黑客组织Mint Sandstorm瞄准美国关键基础设施

微软近日表示，一个名为“Mint Sandstorm”的伊朗黑客组织正对美国的关键基础设施进行网络攻击。据信，本次活动是伊朗对近年来其基础设施遭到攻击的报复行为。目前，Mint Sandstorm在技术和操作上都很成熟，能够开发定制工具并快速将N-day漏洞武器化，其攻击目标包括海港、能源公司、运输系统以及美国一家主要的公用事业和天然气公司。

除了利用N-day漏洞之外，Mint Sandstorm还会使用较旧的漏洞(例如Log4Shell)来破坏未打补丁的设备。一旦获得网络访问权限，攻击者就会启动其自定义PowerShell脚本来收集有关受害者环境的信息，以确定它是否具有高价值。然后，黑客将使用Impacket框架在网络上横向传播，并同时执行两个攻击链。其中，第一条攻击链将导致目标的Windows Active Directory数据库被盗，该数据库可用于获取用户凭据，从而帮助黑客进一步入侵或逃避网络检测。第二条攻击链则将部署名为Drokbk和Soldier的自定义后门恶意软件，这两者可用于在受感染网络上保持持久性以及部署额外的有效载荷。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=9834ad7ae4094488ac85903721d28fce

俄罗斯组织Gamaredon针对乌克兰政府开展网络钓鱼活动

EclecticIQ近期发现了针对乌克兰对外情报局(SZRU)和乌克兰安全局(SSU)等乌克兰政府实体的鱼叉式网络钓鱼活动，且活动疑似由俄罗斯组织Gamaredon发起，该组织以网络间谍活动而闻名，通常使用鱼叉式网络钓鱼电子邮件和社会工程学诱饵作为其主要入侵策略。

此外，研究人员在活动中观察到了一个公开暴露的SMTP服务器，该服务器包含一个网页面板，攻击者主要利用它来制作和发送网络钓鱼电子邮件。其中，钓鱼邮件包含了用于传播恶意软件的Word文档附件，附件执行则通过利用Microsoft Office远程代码执行漏洞(CVE-2017-0199)实现。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=7b4f2792b92d4e0db515880eff015c6e

攻击者向澳大利亚政府和波兰银行机构投递Chameleon木马

近期，CRIL根据恶意软件使用的命令识别出了一种新型Android银行木马：Chameleon。Chameleon恶意软件自2023年1月以来一直活跃，主要针对澳大利亚和波兰用户，与任何已知的木马家族无关，可利用辅助功能服务执行与其他银行木马一样的恶意活动，并且该银行木马目前处于早期开发阶段，功能有限。

攻击者主要通过将恶意软件伪装成流行的加密货币应用程序“CoinSpot”，并利用受感染的网站、Discord附件和Bitbucket托管服务进行分发，旨在感染澳大利亚政府机构和波兰IKO银行。2023年1月，研究人员还观察到Chameleon木马曾使用ChatGPT、Chrome、Bitcoin等不同软件的图标感染Android用户。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=2fee542d873441738233a80bbcd6368c