警惕！针对Telegram和云用户的供应链攻击活动——每周威胁情报动态第148期（10.13-10.19）

APT组织Lazarus Group利用TeamCity服务器漏洞实施软件供应链攻击

近日，微软的研究人员披露了，自2023年10月初以来，具有朝鲜背景的APT组织Lazarus Group(又称Diamond Sleet)与其子组织Andariel(又称Onyx Sleet)开始通过利用TeamCity服务器中的CVE-2023-42793漏洞部署后门等恶意软件，以发动软件供应链攻击。据了解，TeamCity是用于DevOps和其他软件开发活动的持续集成/持续部署(CI/CD)应用程序，其CVE-2023-42793漏洞于2023年9月份被披露，影响了多个版本的JetBrains TeamCity服务器，可允许未经身份验证的攻击者远程执行代码。研究人员表示，Lazarus Group在本次攻击活动中共执行了两个攻击链，即在第一个攻击链中部署了ForestTiger后门，在第二个攻击链中则使用DLL搜索顺序劫持攻击手段启动了名为FeedLoad的恶意软件加载程序，进而安装了远程访问木马。其自组织Andariel则通过在受攻击的服务器上创建"krtbgt"管理员帐户并运行命令收集了系统信息，最终部署了一个安装HazyLoad代理工具的有效负载，从而建立了持久连接。不过研究人员还表示，无论黑客通过哪种方式进行攻击，最终都会从LSASS转储凭据，以在受感染的网络上进行横向传播。攻击链图如下图所示。

使用ForestTiger后门的Diamond Sleet攻击链

使用DLL搜索顺序劫持的Diamond Sleet攻击链

Onyx Sleet攻击链

来源：

https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/

APT组织Kimsuky使用RDP服务控制受害主机并开展攻击

Kimsuky是一个具有朝鲜背景的APT组织，至少自2013年9月以来一直活跃。主要攻击目标为韩国，涉及行业包括国防、教育、能源、政府、医疗以及智囊团等领域，并以机密信息窃取为主要目的。通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件，拥有功能完善的恶意代码武器库。在近期的攻击活动中，攻击者疑似通过鱼叉式网络钓鱼攻击方式分发包含恶意代码的文件，安全人员在受害主机上发现了一个名为hwp.bat的文件，BAT恶意软件使用WMIC命令探查防病毒软件并另外安装恶意脚本。随后攻击者使用k.ps1和OneNote.vbs恶意软件进行进一步感染，k.ps1文件负责键盘记录并将记录的数据存储到指定路径下，OneNote.vbs则负责执行命令。除此之外，安全人员还在受害主机上发现了恶意程序pow.ps1和加密文件desktop.r7u，pow.ps1负责解密desktop.r7u并使其运行在内存中，desktop.r7u是集合了加载器和远控木马的功能。攻击者还安装了一个名为multiple.exe的恶意软件，该恶意软件可以添加用户帐户、激活RDP并支持多会话功能。恶意软件首先终止RDP服务，然后授予修改负责RDP服务的termsrv.dll的权限。然后，将termsrv.dll文件的名称更改为termsrv.pdb，并将%APPDATA%路径中已存在的修复了多会话功能的termsrv.dll复制到%SystemDirectory%路径。此外，受害主机上还存在一个名为RevClient的恶意代码，RevClient是与RDP服务器相关的恶意代码，通过接收C&C服务器的命令进行操作，可以根据命令进行用户账户操作和端口转发。

来源：

https://asec.ahnlab.com/ko/57748/

新APT组织Sticky Werewolf活动披露

近日，BI.ZONE的研究人员发现了一个新APT组织名为Sticky Werewolf，该组织使用合法软件来干扰政府组织的工作，主要针对俄罗斯和白俄罗斯的政府单位，该组织至少从2023年4月起开始活跃。Sticky Werewolf利用携带恶意文件链接的钓鱼邮件获取初始访问权限，使用IP Logger服务生成恶意文件链接。当用户点击链接时，用户的城市、浏览器版本、操作系统等信息将被收集。并且，IP Logger服务允许用户使用其自身掌控的域名，因此攻击者可以仿造合法域名制造钓鱼链接，从而诱骗用户。钓鱼链接伪装成Microsoft Word或PDF文档的下载链接，当用户打开此类文件后，文件会演示适当格式的合法文档，同时安装NetWire RAT，展示的文档内容包括俄罗斯紧急情况部的紧急警告、权利要求书等。安全人员分析发现，Sticky Werewolf使用Themida对NetWire远控木马进行混淆，以绕过安全检测。而NetWire恶意软件可以收集受害主机信息，同时执行多种命令，包括管理文件、进程、服务、窗口以及已安装的应用程序、编辑Windows注册表、从剪贴板检索数据、录屏等。

来源：

https://bi.zone/expertise/blog/shpiony-sticky-werewolf-atakuyut-gosudarstvennye-organizatsii-rossii-i-belarusi/

印度APT组织Confucius针对巴基斯坦多个行业发起钓鱼攻击

具有印度背景的APT组织Confuciuss自2013年开始活跃，并于2016年首次被披露，主要针对南亚及东亚地区政府、军事等领域进行攻击。该组织的部分攻击手法包括：使用InPage漏洞利用文档作为初始负载、使用商业木马WarzoneRAT、开源木马QuasarRAT进行远控、利用Yahoo和quora论坛作为C2服务器。近日，安恒的研究人员再次发现了Confucius利用LNK文件传播C#文件窃取器"River Stealer"的攻击活动。据悉，攻击者使用巴基斯坦电信管理局发布的安全上网指南作为诱饵文件，进而下发多阶段恶意软件，本次攻击活动具有隐蔽的持久化驻留、文件窃密等特点。进一步调查显示，本次研究人员捕获到的Confucius攻击样本活动流程整体如下：ZIP->LNK->VBS->PDF/DLL->River Stealer。即初始诱饵为以Social-Media-Advisory.pdf命名的ZIP文件，其中包含有伪装成PDF的LNK文件，LNK文件执行后将读取自身数据"MLdfi67D47NdfjeS69N.*"并释放VBS到本地。VBS脚本中包含大量填充数据，它将接着检查反病毒软件Avast的安装情况，并根据安装情况设置后续恶意文件存放路径，随后设置隐藏属性的计划任务，用于每5分钟启动一次DLL Loader文件。DLL Loader使用了与VBS脚本相似的数据填充方式，主要功能为通过反射加载程序的指定方法获取网络资源(后续C#语言编译的二进制有效载荷)，最终实现本机指定后缀文件的窃取与上传。另外值得注意的是，除本次捕获样本所用的诱饵外，研究人员还发现了Confucius网络资产上存在的多个疑似针对政府、能源、军事和宗教等方向诱饵文件。攻击链图如下图所示。

来源：

https://mp.weixin.qq.com/s/bSsmRQFQz-2Llhd3rOfRVw

APT组织DarkPink针对越南与马来西亚政府单位开展攻击

近期，绿盟科技发现APT组织DarkPink利用WinRAR历史漏洞CVE-2023-38831攻击越南与马来西亚的政府单位。Dark Pink早在2021年年中就开始活跃，主要针对东南亚地区开展攻击活动，尤其是菲律宾、柬埔寨、越南地区的军事、财政等部门。其受害者包括菲律宾和马来西亚的两个军事机构，柬埔寨、印度尼西亚和波黑的政府机构，以及越南的一个宗教组织。此外，Dark Pink组织主要通过针对性的鱼叉式网络钓鱼电子邮件获取初始访问权限，然后加载其自定义工具包，包括TelePowerBot、KamiKakaBot、Cucky和Ctealer信息窃取器，最终目的是窃取政府和军事组织的机密文件。Dark Pink目前的两项恶意软件加载核心技术包括：DLL侧加载和事件触发执行(执行由文件类型关联触发的恶意内容)。该组织甚至还可以感染连接到受感染计算机的USB设备，并且能够访问受感染计算机上的Messenger。在近期攻击活动中，DarkPink组织使用PDF文件作为诱饵，打包成含有WinRAR漏洞载荷的压缩包文件，吸引用户查看。诱饵以越南外交部、越南国家证监会、越南财务部、马来西亚国防部战略规划和政策部门发布的相关文件为主题。当用户使用存在漏洞的WinRAR打开压缩包文件时，文件携带的载荷将会执行，利用漏洞CVE-2023-38831执行文件夹内的exe文件。exe文件为Windows系统应用EXPLORER.EXE，文件运行时将通过DLL侧加载技术加载同目录下的木马dll文件，该木马可从pdf诱饵文件中提取解密一段特定数据，解密后的数据实际为一个PE文件。PE文件是DarkPink标志性的加载器型木马程序TelePowerDropper，最终可在受害者主机中植入远控木马程序TelePowerBot。攻击链图如下图所示。

来源：

https://mp.weixin.qq.com/s/fiXIrwaDikNrV4wLGhJ_Mw

针对Telegram和云用户的供应链攻击活动

今年9月，一个使用“kohlersbtuh15”假名的攻击者，通过向PyPi包管理器上传一系列恶意包，试图利用开源社区进行传播。根据这些包的名称和代码，可以看出这个攻击者的目标是使用阿里云服务、AWS和Telegram的开发者。这次攻击的特点是，攻击者利用了Typosquatting(误拼)和Starjacking(星标劫持)等技术，诱导开发者下载恶意包。Typosquatting是指利用开发者在输入安装命令时可能出现的拼写错误，发布一个与目标包名称相似的恶意包。Starjacking是指通过将包链接到GitHub上不相关的另一个包的仓库，来操纵包的受欢迎程度指标，从而误导开发者。与常见的在Python包的安装文件中植入自动执行的恶意代码的策略不同，这次攻击中，攻击者将恶意脚本深藏在包内的特定函数中。这意味着恶意代码只有在正常使用时调用特定函数时才会执行。这种隐藏恶意代码的独特方法不仅有助于掩盖代码，而且还针对特定操作或功能，使得攻击更有效且难以检测。

来源：

https://checkmarx.com/blog/users-of-telegram-aws-and-alibaba-cloud-targeted-in-latest-supply-chain-attack/

D-Link发生数据泄露，泄露信息包括员工和合作伙伴

D-Link是一家知名的网络设备制造商，近日确认了一起数据泄露事件，导致员工和合作伙伴的个人信息和敏感数据被暴露。据报道，这起数据泄露事件发生在2023年9月30日，当时D-Link的一个第三方服务提供商遭到了网络攻击。攻击者利用了一个未修复的漏洞，窃取了D-Link的员工和合作伙伴的姓名、电子邮件地址、电话号码、职位、公司名称等信息。D-Link表示，已经通知了受影响的员工和合作伙伴，并提供了一些安全建议，如修改密码、监控账户活动、警惕钓鱼邮件等。D-Link还表示，正在与执法部门和网络安全专家合作，调查此次事件的原因和影响，并采取措施防止类似事件再次发生。

来源：

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10359

AgentTesla通过CHM和PDF文件进行传播

AgentTesla是一种基于.NET框架构建的信息窃取程序，旨在渗透计算机并从受害者的计算机中秘密提取敏感信息。它最早出现于2014年，并在全球范围内不断发展和传播。其主要目标是获取受害者凭证和个人数据。此外，AgentTesla还具有键盘记录、捕获剪贴板数据、访问文件系统以及将数据传输到C2服务器等功能。在最近的攻击活动中，CRIL的研究人员发现了一个使用Gzip压缩的CHM文件，并且很可能是通过恶意垃圾邮件发送的。精心制作的CHM文件起到了诱惑的作用。根据CHM文件中的可用内容，它似乎针对涉及网络工程、电信或信息技术的个人或单位。当用户打开此CHM文件时，它会从远程服务器秘密下载PowerShell脚本并执行。为了绕过安全检测，PowerShell脚本采用Base64编码并压缩。这个压缩的Base64编码字符串又包含另一层Base64编码，其中还包含一个加载程序DLL文件。DLL文件充当加载程序，负责加载在文件中存储的AgentTesla恶意软件。此外，安全人员还观测到另一起通过PDF文件传播AgentTesla的活动。在本次活动中，PDF文件采用两种不同的方法来传播恶意软件。在第一种方法中，PDF通过执行PowerShell命令来加载AgentTesla恶意软件。第二种方法中，程序会在用户打开PDF文件时显示一条虚假消息，导致用户单击“重新加载”按钮时下载PPAM文件。此PPAM文件负责执行PowerShell命令，进而下载并执行AgentTesla恶意软件。攻击链图如下图所示。

来源：

hhttps://cyble.com/blog/agenttesla-spreads-through-chm-and-pdf-files-in-recent-attacks/

DarkGate恶意软件通过即时通讯平台传播

DarkGate恶意软件是一种多功能的恶意软件工具包，可以从浏览器中窃取敏感数据，进行加密货币挖矿，并允许其操作者远程控制受感染的主机。它还可以作为一个下载器，下载额外的有效载荷，如Remcos RAT。DarkGate恶意软件最初于2018年被发现，并主要针对欧洲和西班牙用户。2023年6月，DarkGate恶意软件的开发者在地下论坛上宣传了其新版本，称其具有更强的逃避检测和限制客户数量的功能。近几个月来，分发DarkGate恶意软件的社会工程攻击有所增加，利用初始入侵技术，如钓鱼邮件和搜索引擎优化(SEO)投毒，诱使无意识的用户安装它。最近，研究人员观察到DarkGate恶意软件通过即时通讯平台，如Skype和Microsoft Teams传播。在这些攻击中，通讯应用程序被用来传送一个伪装成PDF文档的Visual Basic for Applications(VBA)加载器脚本，当打开时，会触发下载和执行一个AutoIt脚本，用来启动恶意软件。这种利用Microsoft Teams聊天消息作为DarkGate恶意软件传播途径的方法已经在上个月被报道过，表明这种恶意软件可能被多个威胁行为者使用。攻击链图如下图所示。

来源：

https://www.trendmicro.com/en_us/research/23/j/darkgate-opens-organizations-for-attack-via-skype-teams.html

ALPHV勒索软件攻击美国莫里森社区医院

近日，美国伊利诺伊州的莫里森社区医院(MCH)遭到了ALPHV/BlackCat勒索软件团伙的攻击，导致其部分系统被加密，并且有大量的敏感数据被窃取。该团伙在其暗网网站上公布了部分数据的截图，包括患者的姓名、出生日期、社会保险号、诊断信息、医疗保险信息等。该团伙还声称他们已经从医院的服务器上下载了超过5TB的数据，并威胁如果不支付赎金，就会公开更多的数据。ALPHV/BlackCat勒索软件是一种新兴的网络犯罪活动，自2023年7月份开始活跃，主要针对美国、欧洲和亚洲的组织。该团伙使用双重勒索策略，即在加密受害者的系统之前，先窃取其数据，并要求支付赎金以换取解密密钥和删除数据的证明。莫里森社区医院已经启动了应急计划，并正在与执法部门和网络安全专家合作，恢复其受影响的系统和服务。目前尚不清楚医院是否已经与攻击者联系，或者是否打算支付赎金。

来源：

https://securityaffairs.com/152486/cyber-crime/alphv-ransomware-morrison-community-hospital.html