每周高级威胁情报解读(2023.10.20~10.26)

披露时间：2023年10月26日

情报来源：https://mp.weixin.qq.com/s/OZgDgmUDZSML_NX_Wa_C6A

相关信息：

Sidecopy是具有南亚某国背景的APT组织，因其TTPs模仿敌对国APT组织Sidewinder而得名。自2019年以来一直活跃，主要针对印度政府、军事机构和国防部相关人员进行网络攻击，下发包括CetaRAT、ReverseRAT、DetaRAT、AllakoreRAT等在内的多款远控木马进行情报收集活动。

近日，研究人员捕获到Sidecopy组织最新的攻击活动，该活动使用同一C2服务器，但拥有两种攻击链：

1. 利用WinRAR的CVE-2023-38831漏洞，直接触发执行该组织常用的远控木马程序Allakore RAT；

2. 延续此前的攻击手法，以钓鱼邮件分发包含恶意LNK文件的压缩包，LNK文件运行后下载HTA文件，进而释放诱饵文件及远控木马DRAT。

披露时间：2023年10月23日

情报来源：https://securelist.com/triangulation-validators-modules/110847/

相关信息：

10月23日，研究人员发布了关于Triangulation活动的隐蔽性的分析报告。该报告介绍了此次攻击的各种隐形技术，以及攻击中使用的组件。在部署TriangleDB之前，会使用两个验证器来收集设备信息，并确保代码不会在分析环境中执行。它还包含一个麦克风录音模块msu3h，默认可以录音三个小时，但如果电量低于10%且设备屏幕正在使用将暂停录音。攻击者还实施了额外的钥匙串泄露模块、SQLite数据库窃取功能以及位置监控模块（在GPS不可用时使用网络元数据）。

披露时间：2023年10月23日

情报来源：https://mp.weixin.qq.com/s/FogOQzCcNv1Z1yoWMUHMlA

相关信息：

最近，研究人员在日常的网络狩猎中成功捕获了多个针对俄罗斯、白俄罗斯政府及国防部门的攻击样本。通过仔细的样本分析和追溯，发现这些攻击事件共享相同的攻击组件和模式，因此研究人员确定该类攻击背后的幕后黑手为同一组织。鉴于该组织攻击手法的独特性，将该组织命名为“骷髅狼”(Skeleton Wolf)，猎影实验室内部追踪代号为“APT-LY-1008”。

根据此次捕获的攻击样本发现“骷髅狼”组织具有以下特征：

1. 目前已发现的该组织攻击目标包括俄罗斯、白俄罗斯的政府、国防部门。

2. 使用WinRAR最新漏洞(CVE-2023-38831)执行恶意指令，具有很强的隐蔽性。

3. 最终加载基于Mythic平台的Athena后门，该后门支持执行各类恶意指令。

披露时间：2023年10月19日

情报来源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/crambus-middle-east-government

相关信息：

伊朗Crambus组织(又名OilRig、MuddyWater)在2023年2月至9月期间对中东政府进行了长达八个月的入侵活动。

在入侵过程中，攻击者窃取了大量文件和密码，并在一次攻击过程中部署了一个名为PowerExchange的PowerShell后门，用于监控由特定Exchange Server发送的邮件，使受害主机执行攻击者通过邮件传递的命令，并秘密地将结果转发给攻击者。安全人员发现有至少12台主机存在该种恶意活动，并且有证据表明攻击者在另外数十台主机上部署了后门和键盘记录程序。除了部署恶意软件之外，攻击者还经常使用公开的网络管理工具Plink在受感染的主机上配置端口转发规则，从而通过远程桌面协议(RDP)实现远程访问。还有证据表明，攻击者通过修改Windows防火墙规则以启用远程访问服务。在最新的攻击活动中，Crambus部署了三个以前未被发现的恶意软件，以及PowerExchange后门，这是一个尚未归因于Crambus的已知后门。除了恶意软件之外，攻击者还使用了许多非本地合法工具，包括Tokel、Dirps、Clipog等。Tokel能够执行任意PowerShell命令并下载文件。Dirps用于枚举目录中的所有文件并执行PowerShell命令。Clipog是一个信息窃取恶意软件，能够复制剪贴板数据、进行键盘记录。

披露时间：2023年10月25日

情报来源：https://blog.talosintelligence.com/attributing-yorotrooper/

相关信息：

YoroTrooper 是一个于 2022 年 6 月被发现，专注于间谍活动的威胁行为者，根据他们使用哈萨克斯坦货币以及流利的哈萨克语和俄语的情况，很可能由来自哈萨克斯坦的个人组成。该行为者似乎还对哈萨克斯坦国有电子邮件服务网站有防御兴趣，并且很少针对哈萨克斯坦实体。

其目标似乎集中在独立国家联合体 (CIS) 国家，运营商在 2023 年 5 月至 8 月期间入侵了这些国家政府官员的多个国有网站和账户。此外其试图混淆其操作的起源，采用各种策略使其恶意活动看起来像是来自阿塞拜疆，例如使用该地区本地的 VPN 出口节点。最近的相关工作表明，他们有意识地摆脱商品恶意软件，并越来越多地依赖跨不同平台（例如 Python、PowerShell、GoLang 和 Rust）的新自定义恶意软件。调查结果还表明，除了商品和自定义恶意软件之外，YoroTrooper 继续严重依赖将受害者引导至凭据收集网站的网络钓鱼电子邮件，这一评估与ESET最近的报告一致。

披露时间：2023年10月25日

情报来源：https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/a-pirated-program-downloaded-from-a-torrent-site-infected-hundreds-of-thousands-of-users/

相关信息：

近期，研究人员发现一个感染了大量用户的恶意信息窃取软件，并将其命名为Autoitstealer。Autoitstealer主要通过torrent客户端渗透用户的主机。用户通过客户端下载的程序主要来自于topsoft[.]space网站。topsoft[.]space网站于2022年注册于乌克兰。用户从该网站下载的程序将携带恶意组件。用户安装程序时，恶意组件将开始运行。组件由许多单独的程序组成，其中大部分是编译后的AutoIt脚本，另外还用Themida加壳程序进行了混淆。程序运行后，将获取主机信息、检查主机环境、通过计划任务建立持久性、安装 RMS 客户端、创建本地用户John并将其添加到管理员组中、限制当前用户和系统用户对特定文件夹进行访问、禁用Windows Defender组件、安装XMRig挖矿软件等。随后程序将窃取主机上的各类信息。目前，安全人员在164个国家/地区发现了超过250,000台受感染的设备，其中主要感染国家有俄罗斯、乌克兰、白俄罗斯等。大多数受害者是非企业用户，他们将非法软件下载到他们的家庭计算机上。然而，也有许多受害者在政府实体、教育机构、石油和天然气公司、医疗设施、建筑、采矿、零售和IT公司等从事工作。

披露时间：2023年10月25日

情报来源：https://mp.weixin.qq.com/s/Q02EYveEpq7LOdjY3tCAuw

相关信息：

近日，研究人员发现了利用GitHub针对安全人员投毒事件。一个化名为 whalersplonk 的行为者向他们的 GitHub 存储库提交了一个伪造的 PoC 脚本。执行该伪造的poc脚本后会从远程连接到黑客服务器下载VenomRAT窃密木马。

该伪造的 PoC 压缩包托管在名为 whalersplonk 的用户的 GitHub 仓库中，当研究人员再次访问该黑客仓库时发现黑客已经删除了该仓库。与早期的CVE-2023-25157开源Poc极其相似（https://github.com/win3zz/CVE-2023-25157）。黑客很可能借此项目进行了魔改，迷惑其他安全人员。

披露时间：2023年10月24日

情报来源：https://www.malwarebytes.com/blog/threat-intelligence/2023/10/hong-kong-residents-targeted-in-malvertising-campaigns-for-whatsapp-telegram

相关信息：

近期，研究人员发现一起针对中国香港用户的恶意活动，据相关报道显示，目前该恶意活动已造成约30万美元的损失。该恶意活动以WhatsApp和Telegram程序作为诱饵进行钓鱼攻击，将伪造的程序官方网站投放至搜索引擎的广告位。当用户点击链接进入WhatsApp伪造网站后，网站会提示用户如何使用WhatsApp添加设备，用户可以通过使用手机扫描二维码授权新设备（PC或者Mac）。二维码提供的网址实际是一个与WhatsApp无关的恶意网址，当用户扫描二维码后，攻击者的设备将会被添加到用户的Whatsapp账户下，该账户下的Whatsapp聊天记录将被同步到新设备上。此外，使用Telegram作为诱饵的活动中，攻击者将广告链接到一个Google文档页面用于提供Telegram下载链接。链接提供一个msi文件，该msi文件是一个被注入了恶意软件的安装程序，一旦用户运行该程序，恶意软件将被部署至用户主机上，为攻击者提供远控主机的机会。

披露时间：2023年10月24日

情报来源：https://securelist.ru/ataki-na-industrialnyj-i-gosudarstvennyj-sektory-rf/108229/

相关信息：

2023 年夏天，在调查俄罗斯一家组织的一起事件时，研究人员发现了一些旨在窃取数据的恶意程序。根据相关威胁情报，在俄罗斯联邦的其他几个政府和工业组织中也发现了类似的程序，因此可以假设从这些部门运营的组织中窃取数据是攻击者的主要目标。

攻击的第一个是恶意文件finansovyy_kontrol_2023_180529.rar，该文件于 2023 年 6 月 5 日至 6 月 6 日以电子邮件附件形式分发。一旦启动，.nsi脚本就会打开一个合法的假文档以转移受害者的注意力。接下来，该脚本解密字符串并调用 Nullsoft 安装程序里INetC 插件的 get 函数，该函数尝试从恶意 网站hxxps://fas-gov-ru[.]com/?e&n=zr6tjbinjvef86下载文件到系统。在第一次网络钓鱼邮件中，除了 UsrRunVGA 之外，还分发了两个后门，名称分别为 Netrunner 和 Dmcserv，仅控制服务器有所不同。

披露时间：2023年10月25日

情报来源：https://mp.weixin.qq.com/s/_BGufWpQcgMUtrYXy5c-Bw

相关信息：

研究人员发现最近一段时间，银狐木马相关的黑产团伙又一次显得异常活跃：在目标选择上，他们这次采用了更具针对性的鱼叉攻击手法，瞄准了金融、能源、电商、教育、医疗等多个行业的特定企业；攻击手法上，他们开始尝试采用多种攻击样本类型，包括chm和msi文件等，进一步增加了用户防御的难度。

银狐相关团伙近期的趋势逐渐从大范围钓鱼活动开始转变为定向的鱼叉攻击，根据多个攻击样本的分发方式和文件命名表明“银狐”相关团伙显然经过了充分的前期信息收集，以精确瞄准特定企业。通过提前获取目标企业员工详细的个人信息，伪装成可信赖的发送者，制作高度逼真的钓鱼邮件以引诱员工点击，从而实施入侵。

披露时间：2023年10月24日

情报来源：https://mp.weixin.qq.com/s/nooe31F5LJOEPk1LheYSSg

相关信息：

近期，研究人员监测到有黑客团伙针对金融行业进行钓鱼攻击。用户点击钓鱼文件后，其会下载多个文件进行互相关联，随后黑客可以远程控制受害者电脑。不仅如此，该病毒还使用包括 "白加黑"，"加壳"，"代码混淆" 在内的多种方式对抗杀软查杀。

该病毒样本格式为CHM，被运行后会释放恶意js代码，用于从内部加载.NET程序集，随后执行Download程序，使黑客可以远程控制受害者电脑。

披露时间：2023年10月25日

情报来源：https://labs.withsecure.com/publications/darkgate-malware-campaign

相关信息：

研究人员对一起使用相似诱饵和传播方法的攻击活动进行了追踪。该活动由多个越南黑客团体发起，主要使用商品恶意软件或者MaaS产品进行攻击，主要目的是开展信息窃取活动。安全人员捕获到包含恶意模块的zip文件，推测活动以钓鱼攻击作为初始感染媒介。文件解压后，存在一个vbs脚本，将Windows合法二进制文件curl.exe进行复制，并将其重命名。随后利用重命名的curl程序访问外部链接，下载autoit3.exe 和已编译的Autoit3脚本。执行后，脚本将进行反混淆，并根据脚本主体中包含的字符串构建DarkGate RAT。经过进一步挖掘，受害者通过领英的诱饵消息访问恶意网站，最终下载了包含恶意代码的文件。安全人员表示Ducktail恶意软件的部署活动与本次Darkgate恶意软件的部署活动感染策略十分相似。此外安全人员在追踪类似的诱饵和传播方式时发现，攻击者还通过同样的方式部署Lobshot和Redline stealer程序。

披露时间：2023年10月24日

情报来源：https://securelist.com/crimeware-report-gopix-lumar-rhysida/110871/

相关信息：

随着巴西PIX支付系统的流行，针对PIX系统的恶意软件活动越来越频繁，GoPIX就是其中的一员。GoPIX开始活跃于2022年12月。攻击者利用钓鱼活动传播GoPIX，将诱饵链接投放至搜索引擎结果的广告部分，一旦用户访问链接，用户将被重定向至虚假的诱饵程序下载页面下载恶意软件。另外，如果用户主机的27275端口打开(此端口由Avast安全银行软件使用)，链接将提供一个存在Powershell脚本的ZIP文件，如果端口关闭，链接则提供一个NSIS安装程序包。安全人员猜测攻击者这么做的目的是绕过Avast软件并确保恶意软件下载到主机上。NSIS安装程序包包含一些PowerShell脚本，并且提供其他脚本以及恶意软件GoPIX的下载功能。GoPIX通过进程注入技术执行，可以识别PIX支付特征并修改支付请求信息，将收款人替换为攻击者。该恶意软件还支持替换比特币和以太坊钱包地址。目前，巴西是GoPIX的主要目标。

披露时间：2023年10月24日

情报来源：https://www.uptycs.com/blog/quasar-rat

相关信息：

QuasarRAT，也称为CinaRAT或Yggdrasil，是一个用C#编写的轻量级远程管理工具。该工具是GitHub上的一个公开项目。它能够执行各种功能，例如收集系统数据、启动应用程序、传输文件、记录击键、截图或拍照、恢复系统密码、管理操作（例如文件管理器、启动管理器、远程桌面、命令执行命令行），由于其提供的诸多功能，目前该软件已被黑客广泛使用。

QuasarRAT最新样本引入了一种双DLL侧加载技术，攻击者选用两个文件进行DLL侧加载操作，这两个文件分别是ctfmon.exe和calc.exe。攻击者首先会通过ctfmon.exe加载一个看似良性的DLL文件，该DLL文件作为第一阶段的有效负载，是后续恶意操作的关键部分，主要负责将合法的calc.exe文件和恶意DLL文件释放到系统中。calc.exe是一个简单的计算器应用程序，当calc.exe被执行时，恶意DLL文件也将启动，最终通过Process hollowing技术将QuasarRAT成功部署至主机中，并且绕过安全检测。

披露时间：2023年10月23日

情报来源：https://cyble.com/blog/new-enchant-android-malware-targeting-chinese-cryptocurrency-users/

相关信息：

研究人员近期发现了一个名为Enchant的Android恶意软件，该恶意软件旨在获取私钥、钱包地址、钱包密码和资产详细信息等关键信息，使毫无戒心的用户容易遭受重大损失。该软件主要通过虚假成人网站传播，当用户访问网站并点击下载按钮时，一个包含恶意代码的APK文件将被下载至移动设备上。该恶意软件主要利用辅助功能服务通过识别用户界面(UI)组件来窃取与加密货币钱包相关的信息。一旦用户授权辅助服务，恶意软件就会将有关非系统应用程序的数据（包括其名称、程序包名称和设备信息）传输到C2服务器。随后恶意软件利用辅助功能服务定位目标应用程序的UI元素，获取钱包相关敏感信息。目前，Enchant恶意软件主要针对四种特定的加密货币钱包，分别是imToken、OKX、Bitpie Wallet、TokenPocket wallet。安全人员分析该恶意软件时发现，该软件通过一些中文语句（如密码错误）定位UI元素，因此可以判断该恶意软件针对中国加密货币用户。

披露时间：2023年10月17日

情报来源：https://cyble.com/blog/bbystealer-malware-resurfaces-sets-sights-on-vpn-users/

相关信息：

研究人员近期发现了一个恶意软件活动，该活动利用多个网络钓鱼域来瞄准正在下载虚拟专用网络 (VPN)应用程序的用户，安全人员分析后发现，此次活动中分发的VPN应用程序主要被用于传播名为BbyStealer的恶意信息窃取软件。BbyStealer恶意软件最初于2022年初被报道，该软件此前与“Try my game”骗局有关，最终被Reddit用户举报从而被公开分析。目前，BbyStealer已与其新开发者一起回归，目前其Telegram频道已经开始活跃。近期钓鱼活动中，攻击者仿造VPN官网精心构造钓鱼网站，提供VPN程序安装文件，文件是一个以VPN名称命名的RAR文件，文件中包含一个同名VPN程序。当用户运行VPN程序后，程序将显示安装界面，最终将文件释放至指定目录下。目录下伪装成VPN程序的EXE文件实际为BbyStealer。BbyStealer会创建自身的副本并将其放入启动文件夹中，同时重命名为Updater.exe来建立持久性。BbyStealer运行后将识别与加密货币钱包相关的特定浏览器扩展，意图窃取加密货币钱包凭据，以访问敏感数据。

披露时间：2023年10月18日

情报来源：https://unit42.paloaltonetworks.com/blackcat-ransomware-releases-new-utility-munchkin/

相关信息：

BlackCat勒索软件威胁于 2021 年 11 月首次公开。与其他勒索软件威胁行为者类似，采用 RaaS 商业模式。

恶意软件家族不断发展，威胁运营商采用了更多功能和混淆机制。近几个月来，BlackCat 发布了一款名为“Munchkin”的新工具。

该工具提供了一个运行 Sphynx（最新 BlackCat 变体）的基于 Linux 的操作系统 。威胁操作者可以使用此实用程序在远程计算机上运行 BlackCat，或将其部署以加密远程服务器消息块 (SMB)/通用 Internet 文件共享 (CIFS)。这种方法的好处包括规避主机操作系统上设置的任何安全控制或保护，例如防病毒软件。由于这些解决方案通常没有嵌入式虚拟化操作系统内的自省功能，因此恶意软件经常会绕过现有的任何检查。

披露时间：2023年10月25日

情报来源：https://blog.talosintelligence.com/vulnerability-roundup-oct-25-2023/

相关信息：

过去两周，研究人员披露了 17 个漏洞，其中 9 个漏洞存在于流行的 VPN 软件中。 

攻击者可以利用面向个人和企业用户的 SoftEther VPN 解决方案中的这些漏洞，迫使用户断开连接或在目标计算机上执行任意代码。 

漏洞研究团队还在 Peplink Surf 系列家用和无线路由器中发现了跨站点脚本 (XSS) 漏洞，该漏洞可能允许攻击者操纵 HTML 元素来执行任意 JavaScript。不过，该漏洞并不被认为特别严重，CVSS 严重性评分仅为 3.4（满分 10）。