新APT组织沙猁猫针对库尔德斯坦民主党活动人士分发远控木马——每周威胁情报动态第147期（09.29-10.12）

新APT组织Grayling针对台湾多个重要行业单位开展攻击

近期，Symantec的研究人员发现一个新APT组织针对台湾制造、IT和生物医学领域的许多公司与机构，研究人员将该组织命名为Grayling。研究人员表示，Grayling首先会针对暴露在公网的服务器来获取初始访问权限。攻击者一旦获得初始访问权限，就会采取各种的攻击行动，包括提升权限、网络扫描和下载恶意软件，目前监测到攻击者使用的TTPs包括使用Havoc框架、Cobalt Strike、Netspy，利用漏洞CVE-2019-0803进行提权，查询Active Directory，使用Mimikatz，杀死进程等。此外，Grayling近期在攻击活动中还使用了一种独特的DLL侧加载技术，该技术使用自定义解密器来部署有效载荷。研究人员人员推断，Grayling组织的主要目的是情报收集。

来源：

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/grayling-taiwan-cyber-attacks

新APT组织沙猁猫针对库尔德斯坦民主党活动人士分发远控木马

近期，奇安信的研究人员捕获到两个伪装成库尔德斯坦民主党(KDP)官方应用的恶意软件，并根据其命令特征将其命名为MOrder RAT。两个恶意软件分别伪装成名为kurdistanukurd和KurdistanMedia的KDP官方软件。恶意软件包含多个功能和指令，指令以M开头拼接特定指令缩写，功能包括向C2服务器传递通讯录信息、短信、向指定电话发送短信、开启指定界面、上传设备与授权信息等。在对攻击者的追踪过程中，研究人员还发现了一个名为Ahmyth RAT的样本。Ahmyth是一个开源的Android远程控制项目，分为服务器端和客户端，该项目常被用来制作Android端的RAT样本。其包含录音录屏拍照、获取设备文件、获取定位、获取联系人短信和通话记录及发送短信等功能。攻击者制作了该样本，但研究人员并未发现相关受害者，推测该样本可能处于制作测试阶段。由于攻击者的服务器配置不当，服务器泄露了大量受害者数据，从泄露数据可以看出，攻击者的攻击时间分为两个阶段，一个阶段为2021年7月至11月，另一个阶段则从2023年5月持续至今。此外泄露数据中的受害者名字均为库尔德语，电话号码多为伊朗号码，少量号码为伊拉克号码，经研究人员对部分信息进行验证，对应信息确有其人。研究人员因此推测此次活动是针对库尔德斯坦民主党活动人士的攻击，并根据攻击者的特征将该攻击组织命名为沙猁猫。

来源：

https://mp.weixin.qq.com/s/xy9PfucgtYTzae_XLWsN6w

研究人员对APT组织Lazarus Group使用的工具Volgmer后门及其加载器Scout的分析

近期，ASEC的研究人员对Lazarus Group的后门Volgmer及其加载器Scout进行了分析。Volgmer是一种后门恶意软件，自2014年以来一直被Lazarus Group使用。Volgmer常伪装成普通文件运行，其特点是对配置数据进行加密并存储在注册表项“HKLMSYSTEMCurrentControlSetControlWMISecurity”中。研究人员确认，自2014年到2021年左右，Volgmer后门已在攻击中使用了多种变体，并且从2022年开始，攻击者使用Scout作为Volgmer的下载器。Volgmer是一个DLL形式的后门恶意软件，需要通过加载器注册服务运行Volgmer，Volgmer运行后将解密存储在注册表中的配置信息，通过HTTP协议连接C2服务器进行验证。在HTTP请求头中，Volgmer存在将Mozilla拼写成Mozillar的特征。当C2服务器验证完成后，Volgmer将向C2服务器发送受感染主机的信息，同时接收C2服务器下发的指令。在Volgmer最新样本中，Volgmer已升级为使用HTTPS协议进行验证与通信，同时使用RC4算法进行加密。Scout加载器出现于2022年，根据其PDB信息的不同，研究人员人员将Scout分为v1和v2两个版本。Scout可通过创建窗口大小为0的GUI界面来伪装成正常程序，让用户无法察觉。

来源：

https://asec.ahnlab.com/ko/57427/

APT组织Lazarus Group使用新后门LightlessCan针对西班牙航空公司开展攻击

近日，ESET的研究人员发现了Lazarus Group组织针对西班牙一家航空航天公司的恶意活动，该活动部署了多种工具，并且涉及一个未公开记录的后门：LightlessCan，最终目标是实施网络间谍攻击。据了解，Lazarus Group去年在一次成功的鱼叉式网络钓鱼活动后，通过伪装成Meta公司的招聘人员，进而获得了对该公司网络的初步访问权限。进一步调查显示，攻击者假冒招聘人员借助LinkedIn社交网络平台中的Messaging功能向受害者发送了招聘流程所需的两个编码挑战测验，以诱导其打开恶意可执行文件：Quiz1.exe和Quiz2.exe。据悉，该活动共涉及四种不同的执行链，并将通过DLL侧加载执行三种类型的有效载荷，包括：1)一个HTTP(S)下载程序NickelLoader，它允许攻击者将任何所需的程序部署到受害者计算机的内存中；2)BlindingCan后门及其变体LightlessCan。其中，最值得注意的有效载荷是LightlessCan后门，它支持多达68个不同的命令，并且与其前身BlindingCan相比，它不仅提高了代码复杂度，还会通过模仿各种本机Windows命令的功能，如ping、ipconfig、systeminfo、sc、net等，增强隐蔽性。此外，LightlessCan还采用了一组保护协议和机制以实现最小化暴露，旨在确保有效负载仅在目标受害者的计算机上解密。初始接入的攻击链图如下图所示。

来源：

https://www.welivesecurity.com/en/eset-research/lazarus-luring-employees-trojanized-coding-challenges-case-spanish-aerospace-company/

巴以近期相关DDoS攻击活动追踪

近日，随着新一轮激烈的巴以武装冲突拉开序幕，网络世界的攻击活动也随之增加。在此期间，在俄乌冲突中声名显赫的网络攻击组织Killnet率先加入战局，随后疑似Anonymous组织发起了代号为"Anonymous Sudan"的攻击行动。此外，很多此前不太知名的攻击组织也都加入战局并分别站队，这其中包括印度的黑客组织India Cyber Force宣称打瘫了哈马斯的官方网站。根据奇安信监测数据，近几天针对以色列的DDoS攻击比针对巴勒斯坦目标的攻击更为猛烈，且攻击者疑似早有准备，在现实冲突开始前就准备好了C2基础设施，并开启了一轮僵尸网络传播、构建的活动。在针对以方的DDoS攻击中，以色列受攻击的目标主要有大型ISP、政府部门官网、银行、能源公司、媒体和军事防务相关的公司。活动时间集中在10月8日-10月10日三天，其中政府官网分别在10.08和10.10被两个僵尸网络(Mirai和bld)攻击，而Mirai僵尸网络C2(api.tcprestt.top:60195)则针对以色列重要目标发起了最多的攻击。研究人员经对域名api.tcprestt.top进行溯源分析，发现其C2地址属于一个名为Kaisen的DDoS租赁团伙。在针对巴方的DDoS攻击中，研究人员首先在8月底检测到加沙地带电力公司官网被一个内部命名为mirai_cha的Mirai变种僵尸网络攻击。其次在10月8日，巴勒斯坦的一家ISP服务商Jawwal再次被一个Mirai僵尸网络攻击。不过凑巧的是，同一个Mirai僵尸网络在当天还攻击了以色列的两个目标，研究人员猜测这只是个DDoS攻击租赁平台，并没有站队，而是为了利益可以两头通吃。

来源：

https://mp.weixin.qq.com/s/enH2iKZ6Ej02sijnRlBq9g

黑客利用WordPress插件tagDiv的漏洞开展攻击

WordPress是一个流行的内容管理系统(CMS)，它允许用户使用各种插件来增强其网站的功能和外观。最近，一款名为tagDiv的WordPress插件就发现了一个严重的漏洞，编号为CVE-2023-42793，CVSS评分为9.8。该漏洞影响了tagDiv Newspaper主题和tagDiv Composer插件，这两款产品都是由罗马尼亚公司tagDiv开发的，用于创建新闻、杂志和博客类网站。CVE-2023-42793是一个未经身份验证的远程代码执行(RCE)漏洞，它允许攻击者在受影响的网站上执行任意PHP代码。该漏洞存在于tagDiv Composer插件中的一个文件(td-composer/legacy/common/wp_booster/td_wp_booster_functions.php)，该文件包含了一个名为td_ajax_update_panel的函数，该函数接收并处理来自用户的请求。由于该函数没有对用户输入进行适当的验证和过滤，攻击者可以通过构造恶意参数，触发eval函数，并执行任意代码。据悉，攻击者利用该漏洞，在受感染的网站上植入后门、恶意脚本和广告代码。这些恶意代码会导致网站访问者被重定向到其他恶意网站，或者被展示不良内容。

来源：

https://blog.sucuri.net/2023/10/balada-injector-targets-unpatched-tagdiv-plugin-newspaper-theme-wordpress-admins.html

欧洲航空公司遭遇数据泄露

Air Europa航空公司是西班牙最大的航空公司之一，近日遭到了一场严重的数据泄露事件，导致数千名客户的个人信息和信用卡信息被黑客窃取。该公司在其官方网站上发布了一份声明，承认了数据泄露的事实，并表示已经采取了相应的措施。泄露事件中暴露的信用卡详细信息包括卡号、有效期以及支付卡背面的3位CVV(卡验证值)代码。航空公司警告受影响的客户，要求银行取消在该航空公司网站上使用的卡，因为“存在卡欺骗和欺诈的风险”，并“防止可能的欺诈使用”。还建议客户不要向通过电话或电子邮件联系他们的任何人提供其个人信息或卡PIN码，也不要打开电子邮件或消息中警告他们涉及其卡的欺诈操作的任何链接。

来源：

https://www.bleepingcomputer.com/news/security/air-europa-data-breach-customers-warned-to-cancel-credit-cards/

ZenRAT通过伪装为Bitwarden的虚假安装包进行分发

近日，Proofpoint的研究人员发现一种名为ZenRAT的新型恶意软件正通过伪装为密码管理器Bitwarden的虚假安装包进行分发。据悉，ZenRAT是一种模块化的远程访问木马，具有信息窃取功能，并且专门针对Windows用户。进一步调查显示，ZenRAT恶意软件相关.NET可执行文件样本于2023年8月10日被发现，它与Bitwarden Windows软件安装包一起打包并通过伪装为与bitwarden.com相似的钓鱼网站进行分发。另外值得一提的是，仅当用户通过Windows主机访问该恶意网站时，才会显示虚假的Bitwarden下载页面。反之，用户则会被重定向到克隆的opensource.com文章页面。研究人员目前表示，尚不清楚ZenRAT恶意软件如何传播，但根据历史记录，活动涉及的虚假软件安装程序似乎于2023年7月28日便首次出现在VirusTotal上，并已通过两个完全不同的名称，利用SEO中毒、广告软件捆绑或电子邮件等手段得到分发。

来源：

https://www.proofpoint.com/us/blog/threat-insight/zenrat-malware-brings-more-chaos-calm

新型安卓木马GoldDigger针对越南政府单位和金融公司

近日，Group Ib的研究人员发下一款恶意软件GoldDigger，该恶意软件类型为安卓木马，其至少从2023年6月起开始活跃，伪装成越南政府机构或能源公司的官方安卓应用进行银行凭证窃取、提取个人信息、拦截短信等操作。此外，GoldDigger使用Virbox Protector进行加壳操作，这使得安全分析人员的分析难度增加。安全人员表示，银行木马使用VirBox是最新趋势，目前活跃在亚太地区的三个Android木马(包括GoldDigger)都在使用这种反编译工具。安全人员在对GoldDigger样本的研究中发现，GoldDigger伪装的应用程序包含越南语、西班牙语和中文，这意味着GoldDigger的攻击目标可能还涵盖西班牙语国家和亚太地区的其他国家。GoldDigger在启动后，会要求用户启用辅助功能服务，Android的辅助功能服务旨在帮助残障用户操作其设备。这些服务提供屏幕阅读、放大、基于手势的控制、语音转文本、触觉反馈等功能。GoldDigger利用该服务获取用户凭据、监控特定程序的数据。

来源：

https://www.group-ib.com/blog/golddigger-fraud-matrix/

PurpleFox利用图片隐写术传递恶意代码

近期，CRIL的研究人员发现PurpleFox采用新颖的方法进行传播。PurpleFox自2018年3月开始运行，是一个强大的恶意工具。它利用Rootkit元素通过隐藏受感染系统上的注册表项和文件来逃避检测，核心目标是在受害主机上进一步部署其他恶意软件。攻击者首先通过携带word附件的钓鱼邮件诱导用户，当用户打开word文件时，文件携带的恶意代码将被执行，导致受害主机访问远程服务器获取后续阶段文件，后续文件通过隐写的方式将关键恶意代码保存至PNG图片中。当相关代码执行后，脚本会提取并解码PNG图片的隐藏的内容，触发下一阶段脚本的执行，从而下载MSI安装程序，部署PurpleFox恶意软件。

来源：

https://cyble.com/blog/purplefox-resurfaces-via-spam-emails-a-look-into-its-recent-campaign/

佛罗里达州巡回法院遭ALPHV勒索软件攻击

据报道，ALPHV(又名BlackCat)勒索软件团伙声称对佛罗里达州西北部的州立法院发动了一次攻击，这些法院属于第一司法巡回法院。据称，攻击者获取了包括法官在内的员工的个人信息，如社会保障号和简历。研究人员表示，ALPHV是今年最复杂的勒索软件之一，具有高度可定制的功能集，可以对各种目标进行攻击。ALPHV团伙在其暗网网站上公布了部分被盗数据的截图，并要求受害者支付赎金，否则将泄露更多数据。佛罗里达州第一司法巡回法院已经确认了这次网络攻击，并表示正在与联邦和州级执法机构合作，调查事件并恢复系统。目前尚不清楚攻击者是否已经加密了受影响的系统，以及赎金的具体金额。

来源：

https://www.bleepingcomputer.com/news/security/alphv-ransomware-gang-claims-attack-on-florida-circuit-court/

MGM度假村遭受勒索软件攻击，影响多个系统和服务

MGM度假村国际(MGM Resorts International)是一家全球知名的酒店和赌场运营商，拥有多个品牌和地点，如贝拉吉奥(Bellagio)、美高梅大酒店(MGM Grand)、曼德勒湾(Mandalay Bay)等。最近，该公司发现了一起严重的网络安全事件，导致其部分网络系统被关闭，以保护其系统和数据。据报道，该事件是由一个名为Scattered Spider的黑客组织发起的一场勒索软件攻击，该组织使用了一个名为BlackCat的勒索软件服务平台。据黑客组织自称，他们从9月10日开始渗透了MGM度假村的基础设施，并在9月13日对其进行了加密。他们声称加密了超过100个ESXi虚拟化服务器，这些服务器是用于运行多个虚拟机的软件。他们还声称获得了大量的敏感数据，如客户信息、财务记录、合同文件等，并威胁要公开或出售这些数据，除非MGM度假村支付他们的赎金。据悉，黑客组织要求的赎金金额为1.5亿美元。由于勒索软件攻击，MGM度假村的多个系统和服务受到了影响，包括其网站、在线预订、数字房卡、老虎机、奖励计划等。

来源：

https://securityaffairs.com/152077/cyber-crime/mgm-resorts-ransomware-attack.html