美国卫星国防机构遭APT组织Peach Sandstorm的密码喷洒攻击——每周威胁情报动态第145期（09.15-09.22）

APT33利用密码喷洒针对美国卫星国防机构开展攻击

近日，微软的研究人员表示，自2023年2月以来，一个伊朗支持的APT组织已针对美国和世界各地的数千个组织发起了密码喷洒攻击。该组织还从国防、卫星和制药领域的有限数量的受害者那里窃取了敏感信息。该网络间谍组织被追踪为APT33（又名Peach Sandstorm、HOLMIUM或Refined Kitten），至少自2013年以来一直活跃，攻击美国各个垂直行业（包括政府、国防、研究、金融和工程）的实体。美国、沙特阿拉伯和韩国。2023年2月至7月期间，APT33组织发起了一波密码喷射攻击，试图对数千个环境进行身份验证。整个2023年，APT33组织一直表现出对美国和其他国家的卫星、国防以及较小程度上的制药领域组织的兴趣。在密码喷射攻击中，攻击者尝试使用单个密码或常用密码列表登录多个帐户。这种策略与暴力攻击不同，暴力攻击使用一长串密码来针对单个帐户。密码喷射使攻击者能够显著增加成功的机会，同时降低触发自动帐户锁定的风险。

来源：

https://www.microsoft.com/en-us/security/blog/2023/09/14/peach-sandstorm-password-spray-campaigns-enable-intelligence-collection-at-high-value-targets/

双尾蝎组织针对中东地区投放恶意木马

双尾蝎(又称Micropsia、Frozen Cell、Desert Falcon)是一个旨在窃取敏感信息的APT组织，攻击范围集中在中东地区相关国家的教育、军事等重要领域。自2023年4月被曝使用新工具集攻击巴勒斯坦地区以来，360的研究人员陆续监测到2023年上半年双尾蝎通过投放Micropsia和Arid Gopher木马来攻击以色列、巴勒斯坦等地区。其中，Micropsia木马程序基于Delphi编写，具有键盘监控、屏幕截图、搜寻指定后缀文件并进行回传的功能，并通常在程序内打包有可执行文件。据悉，早期的Micropsia后门，其资源段中至少含有3个可执行文件，包括：1)用于加密通信的OpenSSL组件；2)用于将所窃取的文件进行压缩的命令执行版WinRAR；3)用于生成LNK文件并进行持久化的Shortcut。由于双尾蝎习惯将恶意可执行程序伪装成文档进行投递进而诱使受害用户运行，所以通常也能在Micropsia木马资源数据中发现打包的诱饵文档文件。此次捕获到的样本中攻击者分别以伪装成文档(如巴勒斯坦政府公文)的可执行程序和伪装成系统相关的工具投递Micropsia木马，且攻击活动主要针对使用阿拉伯语种的人群。而Arid Gopher木马则由Golang编写，双尾蝎曾利用它攻击过以色列目标，其此前还曾与哈马斯组织有过关联。该木马迭代速度很快并与Micropsia相似，习惯将压缩工具打包进程序内，运行后会根据配置信息在受害者计算机上创建目录以将打包的程序和对应文件落地，运行过程中将获取用户机器计算机名、系统版本并会选择从不同的C2服务器目录地址中请求后续载荷。

来源：

https://mp.weixin.qq.com/s/-LYXJtjEhdwa8Km_Ri1cXg

俄罗斯APT组织Turla十款常用恶意软件

Turla，又名Peptic Ursa、Uroburos、Snake，是一个具有俄罗斯背景的APT组织，至少自2004年起就开始活动。此外，Turla组织的目标受害者遍布超过45个国家的多个部门，包括政府实体、大使馆、军事组织、教育研究机构和制药公司。近日，unit42的安全人员对Turla组织使用的多种恶意软件进行了分析，软件包括：Capibar、Kazuar、Snake、QUIETCANARY、Kopiluwak、Crutch、ComRAT、Carbon、HyperStack、TinyTurla等：

(1)Capibar(又名DeliveryCheck、GAMEDAY)是Turla组织的一个后门软件，于2022年被观察到用于针对乌克兰国防军进行间谍活动。攻击者通过电子邮件附件传播具有恶意宏的文档分发Capibar恶意软件。

(2)Kazuar是2017年发现的.NET后门。Kazuar可为攻击者提供受感染系统的完全访问权限。此外，Kazuar还配备了强大的命令集，包括远程加载附加插件以增强后门功能。

(3)Snake恶意软件是Turla组织工具集中最复杂的工具。该工具的主要目的是实现相当长一段时间的持久性，并从专用目标中窃取数据。自2003年以来，攻击者已经更改开发了20年，并实现了可维护的代码设计，这表明攻击者具有较高的软件开发能力。

(4)QUIETCANARY是一个用 .NET编写的轻量级后门，自2019年就观察到了Turla的使用迹象。其能够执行其从C2服务器接收到的各种命令，包括下载额外的有效载荷和执行任意命令。此外，其还通过RC4算法来加密其C2通信。

(5)Kopiluwak恶意软件于2016年底被发现，并通过各种类型的植入程序作为多层JavaScript有效载荷进行传播。

(6)Crutch后门软件被发现于2020年12月，攻击者利用该后门攻击了欧洲的部分机构，其中包括欧盟成员国的外交部。该后门的主要目的是窃取敏感文件并将数据泄露到由Turla组织控制的Dropbox帐户中。此外，Crutch被认为是第二阶段后门，其持久性是通过DLL劫持来实现的。

(7)ComRAT是Turla组织最古老的后门之一，攻击者在恶意软件的早期版本中将其命名为Agent.btz。据报道，ComRAT于2007年首次被发现。该软件由C++编写，截至2020年，ComRAT的最新版本是v4。攻击者使用PowerShell植入程序（例如PowerStallion）部署它

(8)Carbon是一个Turla组织使用多年的模块化后门框架。Carbon框架包括安装程序、协调器组件、通信模块和配置文件。

(9)HyperStack(又名 SilentMoo、BigBoss)是2018年首次观察到的RPC后门，攻击者在针对欧洲政府实体的行动中使用了该后门。HyperStack与控制器一起运行，该控制器使用命名管道通过RPC与环境中受HyperStack感染的其他计算机进行通信。这种通信方法使攻击者能够控制本地网络上的所有计算机。此外，HyperStack 与 Pitive Ursa 的 Carbon 后门有一些相似之处，例如加密方案、配置文件格式和日志记录约定。

(10)TinyTurla恶意软件于2021年首次由Talos发现。目前曾被应用于针对美国、欧盟以及亚洲机构和组织。TinyTurla的主要功能包括下载额外的有效载荷、上传文件到攻击者的C2服务器、执行其他进程。

来源：

https://unit42.paloaltonetworks.com/turla-pensive-ursa-threat-assessment/

Transparent Tribe通过伪造的YouTube应用针对安卓用户投递CapraRAT 

近日，Sentinelone的研究人员警告与印度和巴基斯坦军事或外交相关的个人和组织保持高度警惕，称具有巴基斯坦背景的APT组织Transparent Tribe正借助至少三个模仿YouTube的Android应用程序，向目标用户投递CapraRAT木马进而收集数据、记录音频、视频或访问敏感通信信息。根据调查显示，Transparent Tribe主要通过不安全的第三方自营网站以及社交工程学策略诱导用户下载并安装武器化的APK文件。据悉，活动涉及的恶意APK文件分别于2023年4月、7 月和8月上传到VirusTotal，其中两个伪装为"YouTube"，另外一个则名为"Piya Sharma"，它是一个攻击者用于实施基于浪漫的社会工程技术来说服目标安装应用程序的相关YouTube频道角色。在安装过程中，恶意软件应用程序会请求大量有风险的权限，其界面试图模仿真正的YouTube应用程序，但由于使用CapraRAT木马应用程序中的WebView来加载服务，因此它类似于网络浏览器而不是本机应用程序。此外，研究人员表示，最近活动中发现的CapraRAT变体相比之前的样本具有增强功能，这表明其仍处于持续发展中。

来源：

https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube-to-hijack-android-phones/

APT36使用Linux新攻击向量和Windows新后门针对印度政府部门开展攻击

APT36组织是一个具有巴基斯坦政府背景的APT组织，最早攻击活动可追溯至2012年，常通过鱼叉钓鱼、水坑攻击等方式，针对周边国家和地区(特别是印度)的政治、军事机构实施定向攻击，旨在收集各类情报。近期活动中，APT36使用了以前未记录的Windows远控木马、新的Linux网络间谍实用程序、新的分发机制以及针对Linux环境的新攻击向量。研究人员将此次活动中的木马命名为ElizaRAT，ElizaRAT是基于.NET的二进制文件，被加密托管在Google Drive上，运行时采用Telegram接口进行通信，同时使用诱饵PDF文件分散受害者注意力。APT36还使用桌面入口文件作为攻击媒介针对Linux系统。攻击者仿造印度国家中心的登录门户构造钓鱼网站试图窃取印度政府官员的登录凭据。同时，网站会将访问者重定向至另一个托管了恶意Linux桌面入口文件的网址。桌面入口文件携带的命令会从远程服务器下载可执行脚本。此外，本次攻击活动中，研究人员还发现了APT36组织使用的基于Python的ELF二进制文件。一个文件名为GLOBSHELL，可获取受害主机中的目录信息。另一个名为PYSHELLFOX，针对Linux系统窃取Firefox会话。据研究人员表示，APT36新增多个针对Linux系统的攻击向量存在两个原因，一是因为Linux的操作系统在印度政府部门广泛使用，二是印度政府最近推出的Maya OS是一种基于Debian Linux的操作系统。

来源：

https://www.zscaler.com/blogs/security-research/peek-apt36-s-updated-arsenal

Konni利用WinRAR任意执行漏洞针对数字货币行业开展攻击

近期，知道创宇的研究人员在追踪Konni组织的过程中发现其在针对非韩方地区使用的TTP有所调整。研究人员表示，朝鲜APT组织早已将数字货币行业作为攻击目标，但是朝鲜针对加密货币/金融相关行业的攻击往往由Lazarus组织操作，本次的攻击活动是首次发现朝鲜除Lazarus组织外还有其余组织针对加密货币行业进行攻击活动。本次研究人员捕获到的样本伪装成Qbao Network，Qbao Network是一款智能加密钱包。该样本利用最新披露的Winrar漏洞(CVE-2023-38831)执行恶意载荷，当受害者点击压缩包中的html文件时，文件所对应的恶意载荷将被执行。恶意载荷首先会检测当前系统是否为64位系统，然后将从远程服务端下载后续载荷并运行。最终载荷会通过systeminfo等命令将主机数据传输至远程服务器，接收服务器下发的指令并执行。指令包括文件上传、以SYSTEM权限运行程序等。攻击链图如下图所示。

来源：

https://paper.seebug.org/3032/

神秘黑客组织Sandman使用LuaDream后门针对电信提供商开展攻击

近日，SentinelLabs的研究人员观察到一个由未知攻击者发起的新黑客活动，并将攻击者命名为Sandman，将攻击活动中发现的基于LuaJIT平台的后门文件命名为LuaDream。本次攻击活动主要针对中东、西欧和南亚次大陆的电信提供商，而且攻击活动具有横向移动和避免安全检查的特点。攻击活动主要发生在2023年8月，攻击者在完成凭证窃取和内网信息收集后，瞄准多台主机进行票据传递试图登录内网其他主机。攻击者在获得访问权限后，攻击者将其活动限制为部署加载LuaDream后门所需的文件夹和文件。此次活动中的LuaDream样本最早编译时间为2022年上半年，是一个基于LuaJIT平台的新型模块化后门，主要功能包括窃取系统和用户信息，为进一步的精准攻击铺平道路、管理攻击者提供的扩展 LuaDream 功能的插件。LuaDream的设计极为复杂，目的是绕过安全检测和阻止安全人员的分析。受害者的地理分布如下图所示。

来源;

https://www.sentinelone.com/labs/sandman-apt-a-mystery-group-targeting-telcos-with-a-luajit-toolkit/

披露DUCKTAIL的样本

近日，研究人员披露了DUCKTAIL组织的恶意样本，IOC信息如下所示。

Filename：Project Profile Information Hometown Digital Marketing Agency GD93-50/.zip

MD5：620ef74e802a8d63a8bf5b9abd32de5b、bcc23208e3b81951f88d63ccb76f6d54

URL：https://wordpress.ductai[.]xyz/file/ps/ni2n.ps1

来源：

https://twitter.com/stopmalvertisin/status/1704104439056158990

针对中文使用者的恶意软件活动不断增加

近日，Proofpoint的研究人员披露，自2023年初以来，针对中文使用者的恶意软件的电子邮件分发活动有所增加。据了解，本次攻击活动涉及传播Sainbox远程访问木马(商品木马Gh0stRAT的变种)、Purple Fox以及一种新兴的ValleyRAT恶意软件，攻击对象主要为在中国开展业务的全球组织。其中，Sainbox(别称FatalRA)于2020年首次曝光，自2023年4月以来，Proofpoint已识别出近20个利用Sainboxd的攻击活动。Purple Fox恶意软件至少自2018年起就已存在，通过利用包括Purple Fox Exploit Kit在内的多种方式传播，Proofpoint已确定了至少三个分发Purple Fox的活动。ValleyRAT则于2023年3月首次被披露，Proofpoint目前已观察到至少有六次传播ValleyRAT恶意软件的活动。研究人员表示，活动中涉及的恶意电子邮件通常从Outlook或其他免费邮件地址发送，内容由中文编写，并与发票、付款和新产品等业务主题相关，且攻击者采用了多种灵活的交付方法，例如通过包含链接到负责安装恶意可执行文件URL的电子邮件、LNK文件、Excel或PDF附件等。此外，Proofpoint表示，尽管大多数活动目标拥有中文名称或在中国运营的特定公司电子邮件地址，但研究人员也观察到了一项针对日本组织的活动，这表明其攻击范围可能会进一步扩大。

来源：

https://www.proofpoint.com/us/blog/threat-insight/chinese-malware-appears-earnest-across-cybercrime-threat-landscape

微软使用不安全Azure存储泄露38TB私人数据

从2020年7月开始，微软人工智能研究部门在向公共GitHub存储库贡献开源人工智能学习模型时意外泄露了数十TB的敏感数据。安全研究人员发现，一名Microsoft员工无意中共享了包含泄露信息的配置错误的Azure Blob存储桶的URL。微软将数据泄露与使用过于宽松的共享访问签名（SAS）令牌联系起来，该令牌允许对共享文件进行完全控制。这项Azure功能支持以Wiz研究人员描述的难以监控和撤销的方式进行数据共享。如果使用正确，共享访问签名(SAS)令牌可提供一种安全的方式来授予对存储帐户内资源的委派访问权限。研究团队发现，除了开源模型之外，内部存储帐户还无意中允许访问价值38TB的额外私人数据。泄露的数据包括属于Microsoft员工的个人信息备份，包括Microsoft服务的密码、密钥以及来自359名Microsoft员工的30000多条内部Microsoft Teams消息的存档。在微软安全响应中心（MSRC）团队周一发布的一份通报中，微软表示，没有客户数据被泄露，也没有其他内部服务因此次事件而面临危险。SAS令牌利用如下图所示。

来源：

https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers

攻击者称针对Airbus公司进行网络攻击并泄露其商业文件

近日，据报道称，一名在线绰号为“USDoD”的黑客本月早些时候在一个网络犯罪论坛上声称，他们入侵了Airbus公司。该黑客此前声称攻破了FBI的InfraGard数据库，该数据库存储了80000人的信息，其中包括商界领袖、IT专业人员以及军队、执法部门和政府官员。该黑客最近宣布加入一个新兴的勒索软件组织，显然获得了与Airbus供应商（包括罗克韦尔柯林斯和泰雷兹）相关的3200名人员的个人信息。泄露的数据包括姓名、职位、地址、电子邮件地址和电话号码。攻击者表示，他们使用土耳其航空公司一名员工的受感染帐户访问了空客系统。Airbus公司证实，这确实是攻击媒介。该网络安全公司的调查显示，黑客借助恶意软件获取了目标航空公司员工的空客系统凭据。

来源：

https://www.securityweek.com/airbus-launches-investigation-after-hacker-leaks-data/

攻击者利用Drinik恶意软件窃取印度纳税人信息

2023年6月，印度纳税人开始提交所得税申报表，攻击者由此加大攻击力度，通过与纳税相关的内容进行钓鱼攻击分发恶意软件Drinik。Drinik恶意软件自2020年开始被发现，主要针对印度纳税人窃取登录凭据。攻击者向印度用户发送钓鱼短信，短信内容为个人所得税退税通知，要求目标用户点击短信中的链接访问查看详细信息。当用户点击链接后，用户将经过重定向访问到伪造的印度税务部门网站。网站将提示用户下载安卓应用程序以启动退税流程，点击下载链接，用户将被重定向至不同的url下载恶意软件Drinik。文件安装运行后将请求获取各种权限，随后程序即可开始信息监控与窃取活动，并阻止卸载该程序的行为。此次Drinik样本新增多个特性，包括针对UPI应用程序(GooglePay、PhonePe和Paytm)、从受感染的设备发送短信、针对Android 13的代码(指导受害者如何允许受限设置)、防止恢复出厂设置、窃取相机照片、修改剪贴板内容等。同时，程序还会伪造网上银行登录页面，用户可选择登录方式进行登录，通过录屏、截图或伪造页面的方式窃取用户登录凭据。Drinik还会通过受害设备向设备通讯录中的其他用户发送短信以扩大其感染范围。

来源：

https://cyble.com/blog/indian-taxpayers-face-a-multifaceted-threat-with-drinik-malwares-return/

利用Python的开源恶意软件——PySilon RAT

自2023年6月以来，VirusTotal上存在三百多个PySilon样本，这表明使用PySilon恶意软件的活动正在增长。PySilon RAT最初于2022年12月建立，版本为1.0，目前最新版本已迭代至3.6。CRIL安全人员近期发现一个名为Adobe Photoshop.exe的PyInstaller文件，经过分析后发现，该文件是由PySilon创建的。深入挖掘，安全人员还发现了多个由PySilon创建的文件，名称以常用软件名进行伪装，如Adobe Photoshop、Windows Defender、Chromedriver等。PySilon由Python语言编写，具有专门的GUI构建器，包含多种功能如绕过UAC以在启动时获取管理权限、反虚拟机措施、运行CMD命令进行远程控制、提取浏览器历史记录和保存的登录凭据等。PySilon还可根据攻击者发出的命令执行各种操作，这些操作包括捕获或录制屏幕、触发蓝屏死机(BSOD)、启用实时麦克风访问、上传和下载文件、启动fork炸弹、建立反向shell、在受感染的系统上实现持久性、终止进程以及按照远程攻击者的指示删除文件。

MainBot伪装为知识产权相关程序针对韩国和中国台湾地区开展攻击

近期，ASEC的研究人员发现韩国境内存在一个下载者木马，该木马以知识产权内容做伪装。根据调查，该程序实际上下载的是.NET类型的MainBot恶意软件，包含检测虚拟环境以逃避基于沙箱的安全解决方案的代码，并且主要攻击韩国和中国台湾地区。研究人员表示，活动涉及的恶意软件下载程序伪装为与知识产权相关的PDF文档以诱导用户安装，它会从攻击者共享的Google文档页面中下载基本配置信息(包括Telegram令牌、聊天ID和MainBot的下载URL)以实现C2通信。此外，恶意软件包含六个条件来检查虚拟环境，以逃避基于沙箱的恶意软件检测，如下：1)检查运行系统中的防病毒产品数量是否为0；2)检查与显示器的物理连接；3)检查与键盘的物理连接；4)检查RAM是否小于4GB；5)检查磁盘容量是否小于128GB；6)检查HKLMSOFTWAREWOW6432NodeClientsStartMenuInternet是否没有子键，或者只有"IEXPLORE.EXE"和"Microsoft Edge"。如果满足六个条件中的三个或三个以上，则确定该环境为虚拟环境。然后，恶意软件将会把特定字符串发送到攻击者的服务器，并每5秒调用主机中的Sleep函数，以实现无限期地等待，直到从C2服务器收到[HWID]-SKIP VM命令，进而下载并安装MainBot恶意软件。

来源：

https://asec.ahnlab.com/en/57001/