[1201] 一周重点威胁情报｜天际友盟情报站

热点情报

UTG-Q-001勒索软件运营商揭秘
叙利亚军人遭遇复合式钓鱼木马攻击
摩诃草组织借助Spyder下载器投递Remcos木马
SugarGh0st远控木马瞄准乌兹别克斯坦及韩国地区
Hellhounds组织利用Decoy Dog木马攻击俄罗斯多个实体

APT攻击

WildCard组织持续更新SysJoker新变体
朝鲜黑客组织利用求职流程开展攻击活动
Hive0133组织所属WailingCrab恶意软件剖析
Kimsuky组织向韩国研究机构分发恶意钓鱼文件
针对以色列的哈马斯SysJoker恶意软件演变追踪

技术洞察

HelloBot恶意软件针对Linux系统
HrServ：针对阿富汗政府的新型Webshell
Persian Remote World恶意软件销售网站追踪
攻击者利用CVE-2023-46604漏洞传播多种恶意软件
攻击者制作基于DogRat的恶意软件针对巴基斯坦用户
NetSupport恶意软件新变体通过JavaScript进行分发
恶意Chrome扩展程序ParaSiteSnatcher瞄准巴西用户
KandyKorn恶意软件疑似与RustBucket处于同一感染链
伪装成免费软件的恶意程序加载器传播DJvu勒索软件变体

情报详情

UTG-Q-001勒索软件运营商揭秘

奇安信近日披露了一个名为UTG-Q-001的勒索软件分发商，该团伙主要针对OT单位在港澳和东南亚地区的分公司开展攻击活动。经进一步关联，研究人员确认UTG-Q-001是Blackcat勒索软件大规模运营商之一，但不排除团伙未来投递其他家族勒索软件的可能性。
调查显示，某起因运维人员在UTG-Q-001仿冒的工具网站上下载了二次资源的安装包从而导致木马进入企业内网的事件中，攻击者通过使用Mimikatz抓取到了域管的密码并开启了内网漫游。据悉，UTG-Q-001首先释放了一个名为svc.dll的SystemBC家族的后门，并通过创建计划任务来调用msiexec，进而启动了安装包setup.msi。该安装包将在受害机器上释放AteraAgent、anydesk等合法远控，再使用wmic向内网其他机器执行powershell命令，以内存加载Cobalt Strike管道木马，最终攻击者便利用域管账号通过SMB向其他机器传递木马和工具。期间，Cobalt Strike将获取当前域的相关信息，内网扫描时还会利用socat和NetCat工具。此外，在另一起事件中，UTG-Q-001还利用Nday漏洞(如永恒之蓝)作为攻击入口侵入了东南亚的某制造业分公司，从而向全内网散播了CS木马。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=3bebcf25493e415a98165726d704a10c

叙利亚军人遭遇复合式钓鱼木马攻击

奇安信近日监测到一款伪装成叙利亚发展信托基金应用的恶意软件。经分析发现，该恶意软件活动为针对叙利亚军人的钓鱼和木马复合式攻击，旨在窃取受害者隐私信息和社交账号信息。其中，叙利亚发展信托基金是叙利亚的一个非政府、非营利的组织。
调查显示，此次钓鱼攻击分发活动同时出现在移动端和web端，疑似始于2023年9月，用于钓鱼的两个服务器分别伪装成叙利亚发展信托基金站点和社交软件Facebook登录页面。据悉，移动端恶意软件样本均采用知名的Android RAT工具SpyMax进行开发，先后有阿拉伯语和英语两个版本，其中包装的URL为钓鱼链接。SpyMax的功能非常全面，包含监控SMS、访问麦克风、录制音视频、窃取通讯录和通话记录、窃取文件、实时定位等。其钓鱼链接则与叙利亚发展信托基金官网相似，钓鱼页面诱导受害者将恶意程序保留在设备上，还提供了紧急情况下社交软件Facebook的联系方式，以针对受害者社交账号进行钓鱼。在Web端，攻击者部署的钓鱼恶意程序通过爬取叙利亚发展信托基金官网与军人相关活动的照片和推文进行伪装，并在页面底部同样提供社交软件Facebook的联系方式进行钓鱼。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=6137efbce2694b3494f6cdd45539e2dd

摩诃草组织借助Spyder下载器投递Remcos木马

摩诃草，又名Patchwork、白象、Hangover、Dropping Elephant等，疑似为一个具有南亚国家背景的APT组织，其最早攻击活动可追溯到2009年11月，主要针对亚洲地区国家进行网络间谍活动，受害国家包括中国、巴基斯坦等，攻击行业涉及政府、军事、电力、工业、科研教育、外交和经济等。
近期，奇安信观察到摩诃草组织借助Spyder下载器投递Remcos木马。安全人员共捕捉到三个版本的Spyder下载器以及三个版本的Remcos木马。Spyder版本2先比版本1新增了异或加密明文字符串的功能。此外版本2和版本1在请求C2服务器的字符串有所不同，版本2的请求URL中增加了更多的参数。版本3的Spyder则将与C2服务器交互的数据修改成JSON格式同时JSON字符串经过base64编码。最终Spyder样本将访问指定URL下载Remcos木马。Remcos木马通过内存映射方式避开安全检测，随后程序通过RC4解密获取木马的重点数据，并在内存中加载执行。安全人员在查看了此次捕获的Spyder样本名称及其配置信息后，推测本次攻击活动的受害者包括巴基斯坦、孟加拉国、阿富汗等国。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=c9a387d3b4104271add2e6ed891b6789

SugarGh0st远控木马瞄准乌兹别克斯坦及韩国地区

近期，思科Talos发现一起从今年八月开始的攻击活动，攻击者利用该活动传播新型木马，安全人员将该新木马命名为SugarGh0st。安全人员在本次活动中共发现四个诱饵文档，一个文档被发送至乌兹别克斯坦外交部，文档携带一个恶意LNK文件，同时在文档打开时会释放一个由乌兹别克斯坦语言编写的docx文档，另外三个文档则由韩语编写，文档均存在携带恶意JS脚本的LNK文件。本次攻击活动包含两条感染链，两条感染链均以钓鱼攻击作为初始感染媒介，当用户下载并打开了诱饵文档中的恶意LNK文件，文件将释放诱饵内容同时执行恶意代码，一条感染链中，恶意代码将解密并执行SugarGh0st远控木马，另一条攻击链中，代码则通过DynamicWrapperX加载器注入Shellcode并运行，最终解密执行SugarGh0st木马。SugarGh0st样本是一个32位C++动态链接库，于2023年8月23日编译，据安全人员分析，该样本基于Gh0st木马开发，是Gh0st木马的新变种。在样本初始执行期间，SugarGh0st使用硬编码的C2域名作为感染标记在受害者的计算机上创建互斥体，随后启动键盘记录功能，并使用WSAStartup函数与C2服务器建立连接。SugarGh0st每10秒将发起一次连接请求，并使用特定字节码作为其心跳信号。SugarGh0st功能十分齐全，包括收集受害主机上的各类信息、访问受害主机上的服务并管理、进行屏幕截图、提供反向shell等。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=6fb959ce17a54f32bf6c73e59c0eab4e

Hellhounds组织利用Decoy Dog木马攻击俄罗斯多个实体

PT CSIRT近期发现某电力公司遭到Decoy Dog木马的攻击。据悉，至少自2022年9月起，Decoy Dog就一直被Hellhounds组织用于对俄罗斯公司和政府组织的网络攻击。
调查显示，该恶意软件活动执行链分为两个阶段。第一阶段涉及利用Decoy Dog Loader，其可执行文件存在于/usr/bin/dcrond中，受到UPX加壳器的保护，通过伪装成合法的cron、irqbalance服务以及lib7.so库在系统中运行。运行期间，加载器首先会读取/proc/self/status并检查TracerPid值是否为0，以确定它是否被调试。若为0，加载程序会尝试读取每个包含受感染主机标识符的文件，并计算文件系统中存在的第一个文件的MD5哈希值，再利用获取的MD5哈希值作为密钥来解密配置，最终解密出主要负载，并使用128位的CLEFIA算法进行加密。第二阶段的恶意样本主要有效负载Decoy Dog存储在/usr/share/misc/pcie.cache中，其实际上是Pupy RAT的修改版本。其中，Pupy RAT是一个跨平台多功能后门和开源后利用工具，由Python编写，支持Windows和Linux，部分支持Android和macOS，具有全内存执行指南，且占用空间最小。Pupy RAT可使用多种传输方式维持与C2服务器的连接，并利用反射注入技术迁移到进程中。目前，Pupy RAT的开发已于两年前停止，但Decoy Dog的开发仍在积极进行中。数据显示，位于俄罗斯的至少20个组织已受到Decoy Dog的攻击。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=760c9b8b6f6847d5bed179e8ee16067d