[0804] 一周重点威胁情报｜天际友盟情报站

热点情报

新型P2P僵尸网络恶意软件P2Pinfect披露
针对性下发载荷的蔓灵花组织近期活动分析
幽谍犬黑产团伙伪装为国家税务服务平台实施窃密攻击
使用多种机制来绕过检测的新型恶意软件WikiLoader分析
APT29借助Microsoft Teams服务针对全球组织开展钓鱼活动

APT攻击

Kanni组织针对韩国企业进行钓鱼攻击
Kimsuky组织利用诱饵文档攻击投资领域用户
未知黑客组织利用SocGholish框架发起攻击活动
Space Pirates对俄罗斯和塞尔维亚持续发起攻击

技术洞察

携带蠕虫病毒的恶意软件披露
Mylobot僵尸网络团伙主打恶意软件产品追踪
NodeStealer 2.0来袭，可窃取Facebook企业帐户
针对Android用户的加密货币劫持与金融诈骗活动分析
STRRAT新变种采用Allatori和ZKM混淆器进行代码混淆
Salesforce邮件服务0day漏洞正被用于Facebook钓鱼活动
攻击者使用钓鱼邮件向俄罗斯组织投递White Snake信息窃取软件

情报详情

新型P2P僵尸网络恶意软件P2Pinfect披露

近期，CADO发现一个针对公网Redis服务器的新型恶意软件，软件开发者将其命名为P2Pinfect，由Rust语言编写，具备跨平台特性。攻击者利用各种Redis已知漏洞对公网中的Redis服务器进行攻击。在研究人员监测到的攻击活动中，攻击者通过Redis主从复制方法攻陷目标主机。并使用MODULE LOAD命令加载恶意文件exp.so。该文件扩展了Redis服务器的功能，为攻击者提供反弹shell访问并新增一个新命令system.exec，使得攻击者可在主机上运行任意shell命令。P2Pinfect使用由Rust FFI库和C语言编写的ELF文件，执行Rust编写的有效负载，在目标主机的SSH配置文件中写入攻击者公钥，并执行大量bash命令，获取当前主机的网络状态、修改防火墙规则、修改wget和curl命令名称以逃避安全设备的检测、建立持久性等。P2Pinfect还采用P2P僵尸网络方法，每个受感染的服务器都被视为一个节点，连接到其他受感染的服务器，使得整个僵尸网络可以在不使用集中式C2服务器的情况下相互沟通。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=d6072700996b407fbc67b1978f066a2d

针对性下发载荷的蔓灵花组织近期活动分析

最近，奇安信公开了蔓灵花组织的近期活动。蔓灵花组织，是一个常对南亚周边及孟加拉湾海域的相关国家发起网络攻击的APT组织。该组织主要针对核工业、能源、国防、航空工业以及海运等行业，并且在2021到2023年初一直保持活跃的状态。蔓灵花组织组织常用钓鱼邮件的方式进行攻击，近期活动中也不例外的使用了鱼叉式钓鱼邮件投递携带恶意文件的压缩包，压缩包里面通常为恶意chm文件或者带漏洞的office文件。研究人员还发现该组织利用PowerPoint单击鼠标事件创建计划任务的新方式。计划任务会每隔一段时间向C2服务器发起请求，试图下载msi文件，在目标主机部署远控工具wmRAT。wmRAT于2022年首次被披露，本次样本新增网络连接性嗅探功能，远控指令也从16个增加至22个，指令包括传递截屏图片、接收文件、使用Power Shell执行命令等。此外研究人员还捕获了一个后门文件，名为msos.msi，文件利用白加黑的加载机制绕过安全检测。后门使用RPC与服务端进行交互，通过创建计划任务实现持久化，后门可以传递主机的名称、系统类型等信息。研究人员表示，该组织目前会根据受害者信息建立受害者目录，只对其感兴趣的受害者下发后续载荷，从而避免大多数安全研究人员的分析。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=bc614025cc8d477a9a23f3917375e5a0

幽谍犬黑产团伙伪装为国家税务服务平台实施窃密攻击

近期，安恒在日常监测中发现了多起以"税务"、"发票"为主题的恶意活动，且攻击者主要通过伪装为"国家税务总局增值税电子发票公共服务平台"等钓鱼网站或利用社交媒体等平台下发Gh0st远控木马。经进一步关联分析发现，其背后的黑灰产团伙掌握大量的服务器，并长期以税务、发票和软件等主题投递Gh0st木马来进行恶意窃密活动，安恒将该团伙命名为"幽谍犬"，内部追踪代号为"GRP-LY-1002"。
据悉，幽谍犬团伙自2022年2月活跃至今，主要以信息窃取为目的，攻击目标涉及国内，常用工具为魔改的Gh0st木马，初始感染策略包括利用社交媒体、钓鱼邮件等方式传播虚假的发票下载网站，进而诱导目标用户下载恶意样本文件。样本运行后则会通过回连攻击者的服务器下载并运行shellcode，shellcode最终再通过反射sll注入加载恶意的dll文件，即魔改的Gh0st远控木马。值得注意的是，该团伙持续活跃，正不断更新"开票日期"和木马文件，且部分样本上传文件名中还包含"wx_file"字符，研究人员因此推测，幽谍犬团伙可能还通过微信途径传播木马，广大用户需小心。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=cafd8a38e2734cce8319c0e17f7e7043

使用多种机制来绕过检测的新型恶意软件WikiLoader分析

近期，Proofpoint发现了一个名为WikiLoader的新型恶意软件，它于2022年12月首次被披露，并在TA544针对意大利的攻击活动中所使用。WikiLoader被监测到出现在多起攻击活动中，其中大部分活动均为针对意大利的活动。这些活动通常利用钓鱼邮件，投递携带恶意代码的Excel附件、OneNote附件或者PDF附件，当邮件接收者打开附件时，附件中的恶意代码将会执行，并且下载WikiLoader，从而部署下一阶段的恶意软件。经过研究人员分析，这些攻击活动大多归因于黑客组织TA551和TA544。WikiLoader的第一阶段是高度混淆的，其中大多数调用指令已被替换为push/jmp指令的组合以重新创建返回操作，导致IDAPro、Ghidra等常见分析工具在分析时出现问题。除了这些功能之外，WikiLoader还使用间接系统调用来尝试绕过安全产品的检测。WikiLoader的第二阶段用于解密第三阶段，第三阶段包含WikiLoader的大部分功能，其中的命令会检测与外网的连接，如果连接正常则从DiscordCDN上获取托管的下一阶段所需内容，内容解码后下载最终有效负载，如Ursnif木马。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=c8b92380dd094ef9a1fa3939f761aa87

APT29借助Microsoft Teams服务针对全球组织开展钓鱼活动

微软近日表示，APT29利用Microsoft Teams聊天服务瞄准了包括政府机构在内的全球数十个组织。研究人员透露，该活动目前影响了不到40个全球组织，攻击目标涉及政府、非政府组织(NGO)、IT服务、技术、制造和媒体部门。据悉，APT29(别称Midnight Blizzard)是一个与俄罗斯联邦对外情报局(SVR)相关的威胁组织，专注于开展间谍活动以窃取机密情报，最早活动可以追溯至2018年初。
本次活动，APT29主要利用他们盗取的小型企业的Microsoft 365帐户来创建以安全或产品为主题的技术支持主题域，然后试图通过这些新的onmicrosoft.com子域，借助Microsoft Teams聊天服务发送凭据钓鱼诱饵，最终利用社会工程学技术以诱导目标用户通过多因素身份验证(MFA)提示，进而窃取他们的凭据。在某些情况下，攻击者还会通过Microsoft Entra ID将受感染设备作为托管设备添加到目标组织中，以此规避条件访问限制。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=db06e26433594afd9df19a9892ed177f