[0623] 一周重点威胁情报｜天际友盟情报站

热点情报

黑客组织APT28入侵乌克兰政府邮件服务器
朝鲜组织APT37借助Ably服务开展间谍活动
DeepBlueMagic组织对以色列医疗中心发动勒索攻击
DoNot组织正在Google Play商店中部署Android间谍软件

APT攻击

Frosted僵尸网络犯罪团伙披露
新兴的罗马尼亚黑客组织Diicot追踪
CL-STA-0043：针对中东和非洲政府的黑客组织
Kimsuky组织使用各种标题的CHM文件传播恶意程序

技术洞察

Mystic Stealer窃密软件信息公开
针对Linux平台的aminer挖矿木马剖析
攻击者伪造LetsVPN官网传播恶意程序
Condi DDoS僵尸网络利用TP-Link漏洞CVE-2023-1389传播
DcRat：使用OnlyFans页面及其他成人内容作为诱饵分发恶意软件

情报详情

黑客组织APT28入侵乌克兰政府邮件服务器

Recorded Future近期发现APT28组织破坏了乌克兰国家的多个组织和政府实体的Roundcube电子邮件服务器。在这些攻击中，APT28主要利用有关俄罗斯和乌克兰之间持续冲突的消息来诱骗收件人打开恶意电子邮件，并且邮件涉及利用Roundcube Webmail漏洞(CVE-2020-35730、CVE-2020-12641和CVE-2021-44026)入侵未修补的服务器。在破坏电子邮件服务器后，攻击者部署了恶意脚本，进而将目标的个人电子邮件地址重定向至攻击者控制的电子邮件地址。此外，恶意脚本还被用于侦察和窃取受害者的Roundcube地址簿，cookie以及存储在Roundcube数据库中的其它信息。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=a97d9fec06d74848936aeead5062c42b

朝鲜组织APT37借助Ably服务开展间谍活动

ASEC近日发布报告称，APT37正使用一个新型窃听恶意软件，以及一个利用Ably实时消息服务进行通信的后门开展间谍活动。其中，APT37与朝鲜的国家安全部(MSS)存在关联，长期从事符合朝鲜利益的网络间谍攻击，并且主要针对朝鲜叛逃者、教育机构和欧盟组织。该组织的攻击链涉及使用鱼叉式网络钓鱼诱饵来部署RokRAT，以及利用名为"Dolphin"和"M2RAT"的定制工具窃取Windows设备和联网手机的敏感信息。

在最近的一次入侵中，APT37分发的钓鱼邮件则带有一个Microsoft编译的HTML帮助文件(.CHM)。一旦用户点击，它就会连接远程服务器以下载PowerShell恶意软件：Chinotto。Chinotto主要负责建立持久性、检索额外的有效载荷，并且包含一个名为AblyGo的后门。该后门基于Golang开发，可利用Ably API服务建立C2通信。此外，AblyGo还被用作最终执行FadeStealer信息窃取恶意软件的通道。其中，FadeStealer可从Windows设备中窃取各种信息，具有截取屏幕快照、收集来自可移动媒体和智能手机的数据、键盘记录、录制麦克风等功能。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=97a803bce2144baaa41815be64d70ba9

DeepBlueMagic组织对以色列医疗中心发动勒索攻击

Varonis近日报道称，DeepBlueMagic组织涉嫌对以色列的Hillel Yaffe医疗中心发动勒索软件攻击，该攻击直接导致一项手术被取消，医院被迫改用替代系统以继续为患者提供治疗。目前，攻击者使用的TTP尚不清楚，但早期迹象表明，DeepBlueMagic主要通过利用Pulse Secure VPN漏洞获取初始访问权限。

据调查，DeepBlueMagic在本次活动中采用了"living off-the land" 技术，并且还通过使用合法的加密工具(包括微软的本地磁盘加密程序"BitLocker"和Jetico的"BestCrypt")来逃避检测。其中，BestCrypt被用于针对具有多个分区或卷的主机，而BitLocker则被用于针对单卷主机。同时，具有域管理员权限的攻击者还可跨域发送BitLocker GPO配置以及包含恶意命令的脚本。另外，值得注意的是，TimisoaraHackerTeam(THT)勒索组织于2021年4月也曾被观察到在针对一家法国医院的攻击中使用BestCrypt和BitLocker工具。基于上述情况，研究人员推测DeepBlueMagic极有可能是THT组织的演变。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=391bbb6bbdc64d2f9bd4d383b86eb9b5

DoNot组织正在Google Play商店中部署Android间谍软件

Cyfirma近日发现印度APT组织DoNot正使用Google Play上的三个Android应用程序从目标设备收集情报。进一步调查显示，Google Play上存在的可疑应用程序为nSure Chat和iKHfaa VPN，第三款程序则似乎没有恶意功能，并且它们均从“SecurITY Industry”上传。其中，两个可疑的应用程序将在安装期间请求风险权限，例如访问用户的联系人列表(READ_CONTACTS)和精确位置数据(ACCESS_FINE_LOCATION)，接着使用Android的ROOM库将收集到的数据存储在本地，最后再通过HTTP请求将信息发送至攻击者的C2服务器。此外，研究人员表示，攻击者目前主要针对巴基斯坦地区的个人用户。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=f91770df152e47f79529d9fa62332e51