每周高级威胁情报解读(2023.04.13~04.20)

披露时间：2023年4月18日

情报来源：https://www.group-ib.com/blog/muddywater-infrastructure/

相关信息：

在过去的几年里，MuddyWater组织一直在使用合法的远程控制工具，例如屏幕连接,远程工具，和同步器. 通过这样做，可以随时连接到用户设备并执行任意命令，以及下载和上传文件。很难跟踪这些工具的活动，因为它们是合法的并且没有受到损害，这就是使用传统安全工具无法检测到它们的原因。在 2022 年秋季，研究人员发现 MuddyWater 使用了另一个类似的工具 SimpleHelp。

在这篇博文中，描述该小组如何使用SimpleHelp以及如何通过研究发现的以前未知的基础设施并指出了与该组织一些公开 IP 地址的链接。通过持续跟踪威胁行为者使用的策略、技术和程序，研究人员能够主动响应正在进行的恶意活动并阻止新服务器，即使它们只是为了攻击而设置的。         

披露时间：2023年4月18日

情报来源：https://mp.weixin.qq.com/s/agvWfF-UBTbTevUSm2yspw

相关信息：

APT-C-36（盲眼鹰）是一个疑似来自南美洲的APT组织，主要目标位于哥伦比亚境内，以及南美其他的国家和地区，如厄瓜多尔和巴拿马。该组织自2018年被发现以来，曾持续发起针对哥伦比亚的攻击活动。即使安全厂商在近两年接连捕获并披露其攻击活动，但也未曾阻止APT-C-36的行动和潜伏，其攻击反而有越演越烈的趋势。

近期，研究人员在日常情报挖掘中发现并捕获到了盲眼鹰针对哥伦比亚地区的攻击行动。该组织一如既往地采用鱼叉攻击，以PDF文件作为入口点，诱导用户点击文档里面的恶意链接下载RAR压缩包文件。该压缩包文件需要输入诱饵文档中的提示密码才能解压，解压后是伪装成PDF文件图标的VBS脚本。该脚本被用户点击执行后将开启一段复杂多阶段的无文件攻击链，最终加载的是LimeRAT远控木马，而没有使用前期的AsyncRAT、NjRAT远控木马，这都表明该组织攻击武器丰富多样化，不同时期会使用不同的攻击木马。

披露时间：2023年4月17日

情报来源：https://www.uptycs.com/blog/cyber_espionage_in_india_decoding_apt_36_new_linux_malware

相关信息：

研究人员发现了一种新的 Linux 恶意软件 Poseidon，由 APT-36 组织（也称为 Transparent Tribe）部署。这个总部位于巴基斯坦的高级持续威胁组织因针对印度政府组织、军事人员和国防承包商而臭名昭著。

Transparent Tribe 使用 Kavach 身份验证工具作为掩护来传递 Poseidon 有效载荷。Kavach 是印度政府提供的双因素身份验证 (2FA) 解决方案，用于安全访问其电子邮件服务。Transparent Tribe 创建了 Kavach 的后门版本，以针对为印度政府机构工作的 Linux 用户。当用户与恶意版本的 Kavach 交互时，会显示真正的登录页面以分散他们的注意力。同时，有效载荷在后台下载，危及用户的系统。

Poseidon 是与 Transparent Tribe 相关的第二阶段有效载荷恶意软件。它是一个通用后门，为攻击者提供了广泛的功能来劫持受感染的主机。它的功能包括记录击键、截屏、上传和下载文件，以及以各种方式远程管理系统。Poseidon 主要通过伪装成合法印度政府网站的恶意网站进行分发。

披露时间：2023年4月17日

情报来源：https://blog.eclecticiq.com/exposed-web-panel-reveals-gamaredon-groups-automated-spear-phishing-campaigns

相关信息：

2023 年 2 月 9 日，研究人员发现了针对乌克兰外国情报局 (SZRU) 和乌克兰安全局 (SSU) 等乌克兰政府实体的鱼叉式网络钓鱼活动。分析师确定了一个公开暴露的简单邮件传输协议 (SMTP) 服务器，并高度自信地评估威胁行为者使用 SMTP 服务器制作和发送网络钓鱼电子邮件。 

SMTP 服务器包含一个网页面板，旨在创建和分发鱼叉式网络钓鱼电子邮件。它使电子邮件带有恶意附件，并利用电子邮件欺骗技术使其看起来来自合法来源。

在 SMTP 服务器配置中发现的观察到的对手策略、技术和程序 (TTP)、受害者学和基础设施与之前识别的 Gamaredon 活动重叠。

披露时间：2023年4月14日

情报来源：https://mp.weixin.qq.com/s/sO2rJbYbqLcYb3AvAUMeGg

相关信息：

近期，研究人员监测到APT组织对国内高校和科研单位的最新攻击动态，将该样本归因为CNC组织发起的攻击。自去年西工大事件之后，国内科研机构越来越成为境外APT组织关注的目标。据监测，自2023年1月至今，CNC组织频繁地针对国内多个教育、科研机构进行窃密攻击。此外，该组织攻击活动也被发现出现在巴基斯坦某大学，并首次出现在菲律宾、印度尼西亚等南亚国家。

根据目前已知情况，CNC组织最早于2019年被披露，经常使用鱼叉式钓鱼邮件，针对国内军工、教育、科研机构及航空航天等行业进行攻击，窃取该类单位的高新技术研究资料或规划信息等。该组织疑似与南亚APT组织Patchwork（摩诃草、白象）存在一定关联。

披露时间：2023年4月14日

情报来源：https://www.cyfirma.com/outofband/donot-apt-targets-individuals-in-south-asia-using-android-malware/

相关信息：

最近，研究人员观察到针对居住在印度克什米尔的个人的网络攻击。从受害者手机的下载文件夹中收集了两个恶意软件。DoNot APT 在该地区历史上非常活跃，在分析时将此攻击与 DoNot APT 联系起来。

在受害者的手机下载文件夹中收集到的恶意软件表明，威胁者使用了第三方文件共享网站，导致文件被下载并保存在移动设备的主要下载文件夹中。还有一种可能性是，威胁者已经开发了他们自己的文件共享在线平台作为传递机制。恶意软件样本被诱骗为聊天应用程序，名称为 "Ten Messenger.apk "和 "Link Chat QQ.apk"。此外，研究人员对将近两年的 APK 的分析表明，该字符串仅使用 Base64 算法加密，而一年前获得的样本显示该字符串使用两层加密进行加密，包括 Base64 和 AES256 以及 CBC模式和 PKCS 填充。这表明威胁行为者在过去两年中一直在使用相同的策略和技术。预计该组织将利用类似且一致的策略和技术，特别是在通过消息传递进行鱼叉式网络钓鱼的情况下，以瞄准他们的目标受害者。

披露时间：2023年4月13日

情报来源：https://www.sentinelone.com/labs/transparent-tribe-apt36-pakistan-aligned-threat-actor-expands-interest-in-indian-education-sector/

相关信息：

研究人员一直在跟踪最近披露的一组恶意 Office 文档，这些文档分发 Crimson RAT，被 APT36 组织（也称为透明部落）使用，目标是教育部门。这篇文章总结了研究人员的观察结果，强调了该组织在使用的恶意软件分期技术和 Crimson RAT 实施方面的持续变化。

Transparent Tribe是一个可疑的巴基斯坦威胁组织，至少从 2013 年开始活跃。Transparent Tribe此前主要针对印度军方和政府人员，但最近扩大了范围，将印度次大陆的教育机构和学生纳入其中。

披露时间：2023年4月13日

情报来源：https://www.gov.pl/web/baza-wiedzy/espionage-campaign-linked-to-russian-intelligence-services

相关信息：

军事反情报局和CERT波兰小组（CERT.PL）观察到与俄罗斯情报部门有关的广泛的间谍活动，旨在从外交部和外交实体收集信息。该运动的大多数已确定目标位于北约成员国，欧盟，其次是非洲。观察到的活动中部分或全部的基础设施、使用的技术和工具等要素与过去描述的活动重叠，微软将该组织称为“NOBELIUM”，Mandiant称为“APT29”。他们背后的演员与一个名为“SOLARWINDS”的活动有关。

在所有观察到的案例中，攻击者者都使用了鱼叉式网络钓鱼技术。冒充欧洲国家大使馆的电子邮件被发送给外交职位的选定人员。信函中载有参加会议或共同处理文件的邀请。在电文正文或所附的PDF文件中，包括一个据称指向大使日历、会议详情或可下载文件的链接。

披露时间：2023年4月14日

情报来源：https://securityintelligence.com/posts/ex-conti-fin7-actors-collaborate-new-domino-backdoor/

相关信息：

研究人员最近发现了一个新的恶意软件系列，称之为“Domino”，分析显示，Domino Backdoor 和 Loader 与Lizar恶意软件（也称为 Tirion 和 DiceLoader）共享代码重叠，属于威胁组织 ITG14 (FIN7)。除了具有相似的编码风格和功能外，Domino 和 DiceLoader 还共享相同的配置结构和相似的 bot ID 格式。至少自 2023 年 2 月下旬以来，被追踪为 ITG23 的 Trickbot/Conti 集团的前成员一直在使用 Domino 来交付 Project Nemesis 信息窃取程序或功能更强大的后门程序，例如 Cobalt Strike。

最近观察到的 Dave 样本被发现加载了 Domino Backdoor。这个新的后门收集基本的系统信息，然后将其发送到 C2，并作为回报接收 AES 加密的有效负载。在大多数情况下，接收到的有效载荷是第二个加载程序，被发现与 Domino Backdoor 有代码重叠，将其称为 Domino Loader。此加载程序在其资源中包含一个加密的有效负载，它使用 AES 对其进行解密。解密的有效载荷是一个 .NET 信息窃取器，它将自己标识为“Nemesis Project”。Domino 后门旨在为加入域的系统联系不同的 C2 地址，这表明功能更强大的后门（例如 Cobalt Strike）将被下载到更高价值的目标上，而不是 Project Nemesis。

披露时间：2023年4月18日

情报来源：https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-returns-in-2022/

相关信息：

2022 年，在检查墨西哥的疑似感染病例（包括本报告中提到的两个病例）时，研究人员发现其与在 2021 年 8 月至 2021 年 12 月期间使用FORCEDENTRY和一键式攻击的先前感染中看到的四个 Pegasus 指标相匹配。

这些指标重叠使研究人员能够高度自信地将 2022 年零点击链归因于 NSO Group 的 Pegasus 间谍软件。并且认为 NSO Group 在 2022 年至少部署了三个零点击链。

PWNYOURHOME漏洞利用是一种新颖的两阶段零点击漏洞利用，两个阶段中的每一个都针对手机上的不同进程。第一阶段涉及iPhone 内置的HomeKit功能（通过homed进程），第二阶段涉及 iMessage（通过MessagesBlastDoorService进程）。与PWNYOURHOME一样，FINDMYPWN也是一个两阶段漏洞利用。与FINDMYPWN和PWNYOURHOME相比，LATENTIMAGE漏洞通过springboard启动 Pegasus 间谍软件，表明存在不同的漏洞利用链。

披露时间：2023年4月18日

情报来源：https://mp.weixin.qq.com/s/4fBGYIVH_JUoajAFu87aNQ

相关信息：

近日，奇安信威胁情报中心在日常威胁运营中发现 Dark.IoT 僵尸网络的新型样本。在最新的样本中，增加了一个新  C2 域名 “raw.pastebin.com”，起初以为是用于混淆的目的，不过我们发现样本能与之进行正常的僵尸网络协议通讯，虽然 pastebin.com 经常被用作恶意代码托管，但是用其充当 C2 服务器却属另类操作。我们注意到，样本在对白域名 “raw.pastebin.com” 进行 DNS 解析时，获取到的A记录与正常机器并不一致，可以推测出问题应该出在 DNS 服务器。分析样本发现其选择的 DNS 服务器都指向一个服务商—— ClouDNS。

披露时间：2023年4月13日

情报来源：https://www.cadosecurity.com/legion-an-aws-credential-harvester-and-smtp-hijacker/

相关信息：

研究人员最近遇到了一种名为 Legion 的新兴基于 Python 的凭证收集器和黑客工具，旨在利用各种服务来滥用电子邮件。该工具通过 Telegram Messenger 出售，包括专用于：枚举易受攻击的 SMTP 服务器，进行远程代码执行（RCE），利用易受攻击的 Apache 版本，暴力破解 cPanel 和 WebHost Manager (WHM) 帐户，与 Shodan 的 API 交互以检索目标列表（前提是您提供 API 密钥）等。

对发布此恶意软件的  Telegram 组的分析表明其分布相对广泛。研究人员监测的两个小组共有 5,000 名成员。虽然并非每个成员都会为 Legion 购买许可证，但这些数字表明对此类工具的兴趣很高。相关研究表明，该恶意软件有多种变体，可能有自己的分发渠道。

披露时间：2023年4月17日

情报来源：https://asec.ahnlab.com/ko/51362/

相关信息：

研究人员近日证实，8220 Gang 攻击组织正在利用 VMware Horizon 服务器上的 Log4Shell 漏洞安装挖币恶意软件。在被确定为攻击对象的系统中，有国内的能源相关企业，由于其运行的系统存在漏洞且未进行漏洞修补，因此成为众多攻击者的攻击目标。

Log4Shell (CVE-2021-44228) 是基于 Java 的日志实用程序 Log4j 的一个漏洞。当远程 Java 对象地址包含在日志消息中并使用 Log4j 传输到服务器时，服务器执行远程代码，该代码可以执行其自己的对象。这是一个漏洞。

披露时间：2023年4月18日

情报来源：https://www.microsoft.com/en-us/security/blog/2023/04/18/nation-state-threat-actor-mint-sandstorm-refines-tradecraft-to-attack-high-value-targets/

相关信息：

研究人员发现，一个名为“Mint Sandstorm”的伊朗黑客组织正在对美国的关键基础设施进行网络攻击，据信这是对最近针对伊朗基础设施的攻击的报复。Mint Sandstorm 是 Phosphorous 黑客组织 的 新名称，据信该组织为伊朗政府工作，并与伊斯兰革命卫队 (IRGC) 有联系。

新的 Mint Sandstorm 在公开时通常使用概念验证漏洞，因为该公司在发布当天观察到使用 Zoho ManageEngine PoC 的攻击。除了 N-day 漏洞（利用已知漏洞的代码）之外，威胁行为者还使用旧漏洞（例如 Log4Shell）来破坏未打补丁的设备。一旦他们获得网络访问权限，威胁参与者就会启动自定义 PowerShell 脚本来收集有关环境的信息，以确定它是否具有高价值。然后，黑客使用 Impacket 框架在网络上横向传播，同时执行两个攻击链。

披露时间：2023年4月13日

情报来源：https://www.microsoft.com/en-us/security/blog/2023/04/13/threat-actors-strive-to-cause-tax-day-headaches/

相关信息：

该活动使用诱饵伪装成客户发送的税务文件，而电子邮件中的链接使用合法的点击跟踪服务来逃避检测。然后目标被重定向到一个合法的文件托管站点，攻击者已经在该站点上载了 Windows 快捷方式 (.LNK) 文件。这些 LNK 文件向攻击者控制的域和/或 IP 地址生成 Web 请求以下载恶意文件。然后，这些恶意文件会在目标设备上执行操作并下载 Remcos 有效负载，从而为攻击者提供对目标设备和网络的潜在访问权限。

随着 4 月 18 日美国税收日的临近，Microsoft 正在与社区共享此信息以及检测结果和建议，以帮助用户和维护者对这一活动保持警惕。

披露时间：2023年4月18日

情报来源：https://www.trendmicro.com/en_us/research/23/d/an-analysis-of-the-bablock-ransomware.html

相关信息：

2022 年 6 月，研究人员发现了一种勒索软件（后来证明是 BabLock），它使用一种看似独特的附加扩展方式，而不是勒索软件攻击中常用的“一个样本，一个扩展”方法，我们发现攻击者在针对此特定感染的固定勒索软件扩展名之上附加了 00-99 的数字增量。因此，即使在一台受感染的机器上，一次执行也可能有多个扩展变体。

它还有一个相当复杂的执行例程：

1. 使用特定的数字代码来正确执行。

2. 将包拆分为多个组件。

3. 将实际有效负载分离并隐藏到加密文件中。

4. 使用普通应用程序作为加载器。

披露时间：2023年4月18日

情报来源：https://blog.cyble.com/2023/04/18/crosslock-ransomware-emerges-new-golang-based-malware-on-the-horizon/

相关信息：

最近研究人员发现一种名为CrossLock的新型勒索软件，它是使用编程语言“Go”创建的。

CrossLock 勒索软件采用双重勒索技术来增加受害者付款的可能性。这种技术涉及加密受害者的数据以及从他们的系统中泄露数据。如果在指定时间内未支付赎金以解密数据，攻击者随后威胁要在暗网上公开泄露或出售窃取的数据。这种方法给受害者支付赎金带来了巨大压力，他们有可能失去对数据的访问权限并且会有数据泄露或被盗的风险。

到目前为止，CrossLock 勒索软件已锁定一个组织并将其添加到其受害者列表中，该组织已在泄漏站点上公开提及。

披露时间：2023年4月18日

情报来源：https://research.checkpoint.com/2023/raspberry-robin-anti-evasion-how-to-exploit-analysis/

相关信息：

在过去的一年里，Raspberry Robin 已经发展成为当前活跃的分布最广的恶意软件之一。在此期间，它很可能被许多攻击者用来分发他们自己的恶意软件，例如 IcedID、Clop 勒索软件等。

随着时间的推移，恶意软件不断发展并不断升级猫捉老鼠的游戏。然而，Raspberry Robin 通过大量独特的技巧和躲避将这款游戏提升到一个新的水平。

在这项研究中，研究人员将 Raspberry Robin 作为识别和规避不同规避的示例。我们发现了一些独特创新的方法，分析了Raspberry Robin为了获得更高权限而使用的两个漏洞，表明它在漏洞利用领域也有能力。反调试和其他规避措施可能会让人筋疲力尽，当涉及到 Raspberry Robin 实施的这种混淆方法和大量方法时更是如此。这项研究旨在展示大量方法，并解释它们的工作原理以及如何规避这些规避。

披露时间：2023年4月14日

情报来源：https://www.uptycs.com/blog/zaraza-bot-credential-password-stealer

相关信息：

研究人员已经确定了一种新的凭证窃取恶意软件变体，称为 Zaraza bot，它使用电报作为其命令和控制。Zaraza bot 以大量网络浏览器为目标，并在受威胁者欢迎的俄罗斯 Telegram 黑客频道上积极分布。

Zaraza bot 从 38 个网络浏览器窃取登录凭据，包括 Google Chrome、Microsoft Edge、Opera、AVG Browser、Brave 和 Yandex。

然后，它会从网上银行账户、加密货币钱包、电子邮件账户和其他高价值网站目标中窃取登录凭据。然后，攻击者可以将窃取的数据用于身份盗用、金融欺诈以及未经授权访问个人和企业帐户等恶意目的。

这种攻击类型可能特别具有破坏性，因为它会损害人们和组织赖以保护其隐私和安全的各种敏感信息。

披露时间：2023年4月17日

情报来源：https://securelist.com/qbot-banker-business-correspondence/109535/

相关信息：

4 月初，研究人员发现使用 QBot 家族银行木马（又名 QakBot、QuackBot 和 Pinkslipbot）的攻击显着增加。恶意软件将通过以不同语言编写的电子邮件信件传播——它们的变体以英语、德语、意大利语和法语出现。这些消息基于攻击者可以访问的真实商业信件，这使他们有机会使用自己的消息加入通信线程。作为一般规则，此类信件会以合理的借口敦促收件人打开随附的 PDF 文件。例如，他们可能会要求提供与所附申请有关的所有文件，或者根据所附的成本估算来计算合同价值。

披露时间：2023年4月13日

情报来源：https://unit42.paloaltonetworks.com/vice-society-ransomware-powershell/

相关信息：

研究人员发现Vice Society 勒索软件团伙使用自定义构建的Microsoft PowerShell (PS) 脚本从受害者网络中窃取数据。我们将分解使用的脚本，解释每个函数的工作原理，以阐明这种数据泄露方法。

勒索软件团伙使用多种方法从受害者的网络中窃取数据。一些团伙引入外部工具，包括 FileZilla、WinSCP 和 rclone 等工具。其他团伙使用本地二进制文件和脚本 (LOLBAS)方法，例如 PS 脚本，通过远程桌面协议 (RDP) 和 Microsoft 的 Win32 API（例如，Wininet.dll调用）进行复制/粘贴。

披露时间：2023年4月13日

情报来源：https://yoroi.company/research/money-ransomware-the-latest-double-extortion-group/

相关信息：

这是 2023 年 3 月浮出水面的 Money Ransomware 组织，这个新生组织已经有两名受害者。在撰写本文时，研究人员无法完全解开这个新兴威胁行为者的感染链，这主要是因为受到攻击的目标数量有限，而且缺乏关于其作案手法的证据。但确实知道他们采用了人为操作的入侵方法，数据泄露方法和恶意软件样本的执行证明了这一点。Money Ransomware 是自 2019 年以来不断上升的勒索软件攻击趋势的一部分，其目标是敏感数据的加密、盗窃和泄露。如技术细节中所述，检查这些攻击的执行方式至关重要。

披露时间：2023年4月17日

情报来源：https://mp.weixin.qq.com/s/SSLaCTc4cSnu7Bki7HC9Ew

相关信息：

近日，奇安信CERT监测到Google Chrome V8类型混淆漏洞(CVE-2023-2033)被在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码。目前，此漏洞已检测到在野利用。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。