每周高级威胁情报解读(2023.07.06~07.13)

披露时间：2023年7月12日

情报来源：https://unit42.paloaltonetworks.com/cloaked-ursa-phishing/

相关信息：

研究人员称之为“Cloaked Ursa”（又名 APT29、UAC-0029、Midnight Blizzard/Nobelium、Cozy Bear），以针对全球外交使团为目标而闻名。他们在过去两年中的最初访问尝试主要使用以外交行动为主题的网络钓鱼诱饵，如：普通照会（半正式的政府间外交通讯）、外交官日程表、使馆活动邀请函等。

在2023 年 5 月开始的最近一次APT29行动中，威胁行为者利用宝马汽车广告来针对乌克兰首都基辅的外交官。该销售传单被发送到外交官的电子邮件地址，模仿两周前准备离开乌克兰的波兰外交官散发的合法汽车销售。当收件人单击恶意文档中嵌入的“更多高质量照片”链接时，他们将被重定向到 HTML 页面，该页面通过HTML走私传递恶意ISO文件有效负载。当受害者打开任何冒充PNG图像的LNK文件时，他们会启动一个合法的可执行文件，该可执行文件使用 DLL 侧面加载将 shellcode 注入内存中的当前进程。

披露时间：2023年7月7日

情报来源：https://cert.gov.ua/article/5098518

相关信息：

研究人员发现了XLS文件“PerekazF173_04072023.xls”和“Rahunok_05072023.xls”，其中包含合法宏和将解码、持久化和启动PicassoLoader恶意软件的宏。

同时，单独检查已安装的保护工具：如果在计算机上检测到 Avast、FireEye、Fortinet 产品（进程名称：“AvastUI.exe”、“AvastSvc.exe”、“xagt.exe”） 、“fcappdb.exe”、“FortiWF.exe”），不会创建任何恶意软件。在研究时，PicassoLoader 提供了 njRAT 恶意软件的下载、解密 (AES) 和执行。经过分析研判，研究人员将此次攻击归因为组织UAC-0057（GhostWriter）

披露时间：2023年7月8日

情报来源：https://cert.gov.ua/article/5105791

相关信息：

研究人员发现了模仿邮件服务Web界面（特别是UKR.NET、Yahoo.com）的HTML文件，并利用HTTP POST窃取受害者输入的身份验证数据，使用先前受到损害的 Ubiquiti 设备 (EdgeOS)传输被盗数据。

需要特别注意的是，其中一个 HTML 文件（“detail.html”）包含攻击对象的电子邮件地址：“[email protected]”。根据现有数据，确定地址属于伊朗伊斯兰共和国驻地拉那（阿尔巴尼亚共和国）大使馆。

综上所述，可以合理得出结论，由俄罗斯联邦指挥活动的 APT28 组织于 2023 年 5 月等对伊朗外交机构进行了有针对性的网络攻击。

披露时间：2023年7月11日

情报来源：https://mp.weixin.qq.com/s/uYV4x-46dkKpX76uzqyTmg

相关信息：

在对移动APT的狩猎监测中研究人员发现一起针对韩国记者的移动端恶意窃密活动，攻击者在聊天软件上引诱该记者安装一款名为“Fizzle Messenger”的应用程序，Fizzle会下载多重恶意载荷，窃取用户敏感隐私信息并上传。该攻击自2022年9月活跃至今，恶意载荷已多次更新，受害者超过50人，主要受害区域为韩国，与此同时还发现了受害华人的相关敏感数据。

披露时间：2023年7月8日

情报来源：https://blogs.blackberry.com/en/2023/07/romcom-targets-ukraine-nato-membership-talks-at-nato-summit

相关信息：

7 月 4 日，研究人员发现了两份从匈牙利 IP 地址提交的恶意文件，作为诱饵发送给海外支持乌克兰的组织，以及一份针对即将到来的北约峰会嘉宾的文件，这些嘉宾也可能为乌克兰提供支持。基于战术、技术和程序 (TTP)、代码相似性以及威胁行为者网络基础设施的分析得出结论，名为RomCom的威胁行为者很可能是此次行动的幕后黑手。

根据研究人员的内部遥测、网络数据分析以及收集的全套网络武器，研究人员认为此次活动背后的威胁行为者于 6 月 22 日以及指挥与控制 (C2) 实施前几天进行了首次演习。本报告中提到的）已注册并上线。

披露时间：2023年7月6日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/welcome-new-york-exploring-ta453s-foray-lnks-and-mac-malware

相关信息：

2023年5月中旬，TA453（也被公开称为Charming Kitten、APT42、Mint Sandstorm、Yellow Garuda）向一家专注于外交事务的美国智库的核安全专家的公共媒体联系人发送了一封伪装成皇家联合服务研究所（RUSI）高级研究员的良性对话诱饵。该邮件征求对一个名为 "全球安全背景下的伊朗 "项目的反馈意见，并要求允许发送草案供审查。最初的电子邮件还提到了TA453之前伪装成的其他知名核安全专家的参与，此外还提供了一笔酬金。TA453最终利用各种云主机供应商提供了一个新颖的感染链，部署了新发现的PowerShell后门GorjolEcho。当有机会时，TA453移植了它的恶意软件，并试图推出一个NokNok的感染链。TA453在其无休止的间谍活动中还采用了多角色冒充的方式。

披露时间：2023年7月11日

情报来源：https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/

相关信息：

研究人员已发现由被追踪为Storm-0978的攻击者发起的网络钓鱼活动，目标是欧洲和北美的国防和政府实体。该活动涉及滥用CVE-2023-36884，其中包括研究人员披露之前利用与乌克兰世界大会相关的诱饵的远程代码执行漏洞。

Storm-0978（DEV-0978；其他供应商也将其后门的名称称为 RomCom）是一个总部位于俄罗斯的网络犯罪组织，以实施机会主义勒索软件和勒索操作以及有针对性的凭证而闻名。该攻击者还部署了 Underground 勒索软件，该勒索软件与 2022 年 5 月首次在野外观察到的 Industrial Spy 勒索软件密切相关。该攻击者于 2023 年 6 月检测到的最新活动涉及滥用 CVE-2023-36884，以提供与 RomCom 类似的后门。

披露时间：2023年7月11日

情报来源：https://blog.talosintelligence.com/undocumented-reddriver/

相关信息：

 研究人员已识别出名为“RedDriver”恶意驱动程序的多个版本，这是一种基于驱动程序的浏览器劫持程序，使用 Windows 过滤平台 (WFP) 来拦截浏览器流量。RedDriver至少从2021年起就一直活跃。采用 HookSignTool 伪造其签名时间戳以绕过 Windows 驱动程序签名策略。感染链的开发中使用了多个开源工具的代码，包括 HP-Socket 和 ReflectiveLoader 的自定义实现。其作者似乎擅长驱动程序开发，并且对 Windows 操作系统有深入的了解。这种威胁似乎针对以中文为母语的人，因为它会搜索中文浏览器进行劫持。此外，作者本人很可能是说中文的。

披露时间：2023年7月5日

情报来源：https://blog.aquasec.com/threat-alert-anatomy-of-silentbobs-cloud-attack

相关信息：

研究人员发现了一个针对云原生环境的潜在大规模运动的基础设施。该基础架构处于测试和部署的早期阶段，主要与攻击性云蠕虫一致，旨在部署在暴露的JupyterLab和DockerAPI上，以便执行安装海啸恶意软件，云凭据劫持，资源劫持和蠕虫攻击等相关操作。研究人员坚信，TeamTNT是这项新活动的幕后推手。在这篇由两部分组成的系列博客中将展开这种正在开发的攻击基础设施的故事，并推测威胁参与者以及此类活动的潜在结果。

披露时间：2023年7月11日

情报来源：https://mp.weixin.qq.com/s/tQIk-JHF8fobYSdfA-pUmg

相关信息：

近期，研究人员监测到“游蛇”黑产团伙发起的新一轮钓鱼攻击活动。在本轮攻击中，该团伙将恶意程序伪装成图片文件，利用电商平台、社交软件等途径发送给目标用户，诱导用户执行。该恶意程序下载多个载荷文件，在受害主机中实现持久化，并最终投递Gh0st远控木马变种进行远程控制。

通过对本轮攻击活动进行关联分析，发现“游蛇”黑产团伙使用的基础设施和友商发布的“谷堕”、“银狐”团伙存在关联，在与攻击者服务器存在通信的样本中发现相似的PDB路径特征，并在相关攻击载荷中发现同源特征，因此认为是同一黑产团伙。

披露时间：2023年7月10日

情报来源：https://blog.cyble.com/2023/07/10/the-turkish-government-masqueraded-site-distributing-android-rat/

相关信息：

研究人员最近发现了一个网络钓鱼网站hxxps://scanyalx[.]online，它伪装成来自土耳其的合法政府平台，不仅旨在欺骗用户，还传播危险的 Android 远程访问木马 (RAT)。

该网络钓鱼网站冒充来自土耳其的真实政府网站，名为“e-Devlet kapısı (turkiye.gov.tr)”。该政府网站提供了一个访问政府服务的平台，例如社会保障文件、法医检查、交通账单、税收债务等等。

此活动背后的威胁行为者 (TA) 精心制作了一个与真正的政府网站惊人相似的网络钓鱼网站，欺骗毫无戒心的用户，让他们相信他们正在与合法组织进行接触。该钓鱼网站采用了一种巧妙的策略，提示用户通过提供身份信息来验证卡费支付系统的回报。

披露时间：2023年7月7日

情报来源：https://mp.weixin.qq.com/s/-3PtGMvtCPd04Ix87k7j2g

相关信息：

近期，研究人员发现一款图标为中国人民银行，名为“中国人民银行清算中心”的恶意应用。当用户运行该软件后，软件会跳转至仿冒的中国人民银行征信中心页面，窃取并上传用户设备信息。软件运行后，首先会请求开启无障碍服务，当用户授权无障碍服务后，程序会显示中国人民银行征信中心界面，同时诱导用户输入身份证后六位进行征信查询，查询返回页面会一直显示正在查询中，以此增加用户使用软件的时长。此样本适用于国内主流国产主机品牌，包括honor、huawei、oppo、realme、oneplus和vivo。当软件显示征信查询时，程序会开启录像、截屏功能，获取地理位置信息，上传设备信息，接收远控指令。经研究人员分析，该软件实际属于spymax.i变种，spymax是一个具备隐匿功能的开源间谍木马。此外，该恶意样本外联的C2服务器IP来源均为美国加利福尼亚州。研究人员还找到与此同源的样本，分别伪装成百度、国家反诈中心、爱奇艺图标、T3出行等。

披露时间：2023年7月6日

情报来源：https://mp.weixin.qq.com/s/fi_wg6LH4hRd3RqSNhs9CA

相关信息：

近日，奇安信威胁情报中心监测到一例以在github上发布CVE-2023-35829的POC为名，对安全研究人员进行钓鱼的代码投毒事件。攻击者在推特上分享了自己在代码仓库上传附带后门程序的POC（实际上并没有POC），当用户在本地对代码进行编译时则会附带执行后门程序。实际上，我们也发现该攻击者早在2017年就有过攻击记录，曾通过伪装成CCK（Content Construction Kit）模块，以及钓鱼文档进行后门程序传播。

披露时间：2023年7月7日

情报来源：https://lab52.io/blog/beyond-appearances-unknown-actor-using-apt29s-ttp-against-chinese-users/

相关信息：

研究人员检测到潜在恶意活动的maldoc 样本。最初的访问是通过中国网络钓鱼进行的。该恶意文档似乎是针对中文用户的活动，因为该恶意文档的内容是用中文编写的。Maldoc 内容中应用的社会工程技术是冒充一名 28 岁专业人士的简历，该专业人士专门从事金融领域，具体来说是银行系统和 NCR 的软件开发。

该感染链与威胁行为者 APT29 类似，但已发现与典型 APT29 的感染链存在显着差异，这使得它看起来不是该威胁行为者。 

这是一个压缩文件，里面有汉字“孙继超-北京大学-硕士”。该文件有一个扩展名为“.pdf”的文件和一个隐藏目录“_MACOSX/.DOCX”，其中包含一个.bat文件、两个.tmp文件（也隐藏）和另一个.pdf文件。

披露时间：2023年7月12日

情报来源：https://www.fortinet.com/blog/threat-research/lokibot-targets-microsoft-office-document-using-vulnerabilities-and-macros

相关信息：

在研究人员最近的一项调查中，发现了几个旨在利用已知漏洞的恶意 Microsoft Office 文档。具体来说，CVE-2021-40444和CVE-2022-30190是远程代码执行漏洞。利用这些漏洞，攻击者可以在 Microsoft 文档中嵌入恶意宏，这些宏在执行时会将 LokiBot 恶意软件植入受害者的系统中。LokiBot，也称为Loki PWS，是自 2015 年以来活跃的著名信息窃取木马。它主要针对 Windows 系统，旨在从受感染的计算机收集敏感信息。

在本文中，研究人员将深入研究已识别文档的细节，探索它们传递的有效负载，并概述 LokiBot 表现出的行为模式。其分析旨在揭示这种威胁的复杂性，并提高对其操作方法的认识。

披露时间：2023年7月7日

情报来源：https://www.threatfabric.com/blogs/letscall-new-sophisticated-vishing-toolset#introduction_to_letscall

相关信息：

近年来，Vishing（也称为IP网络钓鱼语音）兴起。这些活动背后的威胁行为者组织将此工具集称为“Letscall”，目前针对来自韩国的个人。攻击分为三个阶段，受害者访问一个特制的网络钓鱼网页，该网页看起来像 Google Play 商店。受害者从该页面下载恶意应用程序链的第一阶段。

1. 第一阶段在设备上运行准备工作，获取必要的权限，打开网络钓鱼网页，并安装第二阶段恶意软件，该恶意软件将从控制服务器下载。

2. 第二阶段是功能强大的间谍软件应用程序，它将帮助攻击者窃取数据并将受感染的设备注册到P2P VOIP网络中，用于通过视频或语音通话与受害者进行通信。该应用程序还删除了第三阶段，即链的下一部分。

   Letsc all使用STUN / TURN _方法，包括 Google STUN 服务器。

3. 第三阶段是第二阶段恶意软件的配套应用程序，并扩展了一些功能：它包含电话呼叫功能，用于将呼叫从受害者设备重定向到攻击者呼叫中心。

披露时间：2023年7月6日

情报来源：https://www.reversinglabs.com/blog/operation-brainleeches-malicious-npm-packages-fuel-supply-chain-and-phishing-attacks

相关信息：

研究人员最近发现了十多个发布到npm开源仓库的恶意软件包，这些软件包似乎以应用程序最终用户为目标，同时还支持针对微软365用户的电子邮件钓鱼活动。从报告中可以得到一些重要启示：

1. 此次发现可能是首次 "双重用途 "活动，即恶意开源软件包同时支持商品钓鱼攻击和高端软件供应链入侵。

2. 恶意npm软件包分两批被发现：其中一个支持钓鱼攻击，通过恶意电子邮件附件中的虚假Microsoft.com登录表单获取用户数据。另一个恶意软件包的目的是在无意中集成了npm软件包的应用程序中植入凭证收集脚本。

3. 这些恶意软件包总共被下载了约1000次，但在被发现后不久就被从npm中删除了。研究人员将该活动命名为 "Operation Brainleeches"，其依据是恶意基础设施被用于窃取受害者数据。

披露时间：2023年7月6日

情报来源：https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet/

相关信息：

Emotet 是一个自 2014 年以来一直活跃的恶意软件家族，由名为 Mealybug 或 TA542 的网络犯罪组织运营。尽管它最初是一个银行木马，但后来演变成一个僵尸网络，成为全球最普遍的威胁之一。Emotet 通过垃圾邮件传播；它可以从受感染的计算机中窃取信息并向其传送第三方恶意软件。Emotet 运营商对他们的目标并不十分挑剔，他们将恶意软件安装在个人、公司和更大组织的系统上。

Emotet 自从被删除后重新出现以来，发起了多次垃圾邮件活动。目前，Emotet 处于静默状态且不活跃，很可能是由于未能找到有效的新攻击媒介。自僵尸网络卷土重来以来，Emotet 运营商随后投入了大量精力来避免对其进行监控和跟踪。此后，Mealybug 创建了多个新模块，并多次更新和改进了所有现有模块。

披露时间：2023年7月6日

情报来源：https://www.trendmicro.com/en_us/research/23/g/tailing-big-head-ransomware-variants-tactics-and-impact.html

相关信息：

安全研究人员剖析了最近出现的一种名为“Big Head”的勒索软件病毒，该病毒可能通过推销虚假 Windows 更新和 Microsoft Word 安装程序的恶意广告进行传播。研究人员发布了一份有关 Big Head 的技术报告，声称这两个变体以及他们采样的第三个变体均来自同一操作员，该操作员可能正在尝试不同的方法来优化其攻击。

“Big Head”勒索软件是一种 .NET 二进制文件，它在目标系统上安装三个 AES 加密的文件：一个用于传播恶意软件，另一个用于 Telegram 机器人通信，第三个对文件进行加密，还可以向用户显示虚假文件Windows更新。

披露时间：2023年7月7日

情报来源：https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region

相关信息：

拉丁美洲 (LATAM) 地区的企业遭受了一场新的有针对性的攻击活动。这个复杂的活动使用了一个具有多阶段感染链的木马，在每个阶段都利用了特制的模块。这些模块经过定制设计，用于执行恶意活动，例如将有害代码注入远程进程、通过 COM Elevation Moniker 规避用户帐户控制，以及通过系统重新启动和父进程检查等巧妙技术逃避沙箱的检测。该活动的最终有效负载是一种名为 TOITOIN 的新型拉丁美洲木马，该木马采用独特的 XOR 解密技术来解码其配置文件。一旦解密，该木马会收集重要的系统信息以及与已安装的浏览器和 Topaz OFD 保护模块相关的数据，然后以编码格式将其发送到攻击者的命令和控制服务器。这篇博文深入分析了这种新兴的恶意软件活动及其相应的感染链。

披露时间：2023年7月6日

情报来源：https://www.microsoft.com/en-us/security/blog/2023/07/06/the-five-day-job-a-blackbyte-ransomware-intrusion-case-study/

相关信息：

研究人员的调查发现，在这五天内，威胁行为者使用了一系列工具和技术，最终部署了 BlackByte 2.0 勒索软件来实现其目标。这些技术包括：

1. 利用未打补丁的暴露于互联网的 Microsoft Exchange 服务器

2. Web shell部署方便远程访问

3. 使用陆上生活工具进行持久性和侦察

4. 部署用于指挥和控制的 Cobalt Strike 信标 (C2)

5. 进程空洞和利用易受攻击的驱动程序进行防御规避

6. 部署定制开发的后门以促进持久性

7. 部署定制开发的数据收集和渗透工具

披露时间：2023年7月12日

情报来源：https://research.checkpoint.com/2023/major-security-flaws-in-popular-quickblox-chat-and-video-framework-expose-sensitive-data-of-millions/

相关信息：

数百万人使用的远程医疗、金融和智能物联网设备应用程序中提供的实时聊天和视频服务依赖于流行的 QuickBlox 框架。QuickBlox 为移动和 Web 应用程序开发人员提供 SDK 和 API，不仅提供用户管理、实时公共和私人聊天功能等，还提供确保符合 HIPAA 和 GDPR 的安全功能。QuickBlox 是一个用于开发 iOS、Android 和 Web 应用程序的聊天和视频通话平台。它提供了用于身份验证、用户管理、聊天和消息传递、文件管理等的 API，以及支持语音和视频功能的易于使用的 SDK。

在本报告中，研究人员将分析并演示针对在后台运行 QuickBlox SDK 的多个应用程序的漏洞利用，特别是针对智能对讲和远程医疗应用程序的漏洞利用。通过将发现的漏洞与目标应用程序中的其他缺陷链接起来，研究人员找到了执行攻击的独特方法，使之能够通过对讲应用程序远程开门，并从主要远程医疗平台泄露患者信息。

披露时间：2023年7月12日

情报来源：https://msrc.microsoft.com/update-guide/en-us/releaseNote/2023-Jul

相关信息：

本次安全更新修复了总计131个安全漏洞(包括6个零日漏洞)，其中存在122个重要漏洞(Important)、9个严重漏洞(Critical)。在漏洞类型方面，主要包括37个远程执行代码漏洞、33个特权提升漏洞、22个拒绝服务漏洞、19个信息泄露漏洞、13个安全功能绕过漏洞、7个欺骗漏洞。

本次发布的安全更新涉及Windows、Office、SharePoint、Azure、Outlook、.NET、Dynamics 365、Visual Studio、Access、Defender等多个产品和组件。

以下为重点关注漏洞列表：

• CVE-2023-32046：Windows MSHTML平台特权提升漏洞，该漏洞的CVSSv3评分为7.8分。攻击者可以通过电子邮件或恶意网站向用户发送特制文件来利用此漏洞。成功利用该漏洞的攻击者将获得运行受影响应用程序的用户权限。目前，该漏洞已被检测到在野利用。

• CVE-2023-32049：Windows SmartScreen安全功能绕过漏洞，该零日漏洞的CVSSv3评分为8.8分。攻击者可以通过诱骗用户单击特制的URL来避免SmartScreen“打开文件安全警告”提示。目前，该漏洞已被检测到在野利用。

• CVE-2023-36874：Windows错误报告服务特权提升漏洞，该漏洞的CVSSv3评分为7.8分。要利用此漏洞，攻击者需获得目标系统的本地访问权限并拥有某些基本用户权限。成功利用该漏洞将允许攻击者获得目标系统的管理员权限。目前，该漏洞已被检测到在野利用。

• CVE-2023-36884：Office和Windows HTML远程代码执行漏洞，该零日漏洞的CVSSv3评分为8.3分。其允许攻击者使用特制的Microsoft Office文档在受害者的上下文中执行远程代码。目前，该漏洞已被RomCom黑客组织利用。

• CVE-2023-35311：Microsoft Outlook安全功能绕过漏洞，该零日漏洞的CVSSv3评分为8.8分。此漏洞需要用户单击攻击者特制的URL，成功利用后可使攻击者绕过Microsoft Outlook安全通知提示并在预览窗格中运行。目前，该漏洞已被检测到在野利用。

• CVE-2023-33157：Microsoft SharePoint远程代码执行漏洞，该漏洞的CVSSv3评分为8.8分。此漏洞需要攻击者通过目标站点的身份验证。成功利用此漏洞将允许攻击者执行远程攻击，访问受害者的信息并能够更改信息，甚至还可导致目标环境停机。

• CVE-2023-35352：Windows远程桌面安全功能绕过漏洞，该漏洞的CVSSv3评分为7.5分。成功利用该漏洞的攻击者可以在建立远程桌面协议会话时绕过证书或私钥身份验证。