每周高级威胁情报解读(2022.09.15~09.22)

披露时间：2022年09月15日

情报来源：https://blog.talosintelligence.com/2022/09/gamaredon-apt-targets-ukrainian-agencies.html

相关信息：

研究人员发现俄罗斯APT组织Gamaredon正针对乌克兰开展网络钓鱼活动，该活动是最近在2022年8月观察到的间谍活动的一部分，旨在向乌克兰受害者机器分发信息窃取恶意软件。

攻击者主要利用包含与俄罗斯入侵乌克兰有关的诱饵的网络钓鱼文件，文件包含恶意LNK文件的RAR文档以及多个模块化的PowerShell和VBScript脚本。LNK文件、PowerShell和VBScript支持初始访问，而恶意二进制文件则部署在感染后的阶段。

攻击者起初使用网络钓鱼电子邮件传递包含带有恶意VBScript宏的远程模板的Microsoft Office文档。这些宏下载并打开包含LNK文件的RAR档案，一旦打开，LNK将尝试执行MSHTA.EXE来下载并解析远程XML文件以便执行恶意PowerShell脚本。最后，攻击者则使用了一种定制的信息窃取程序：infostealer，它可以泄露特定文件类型并在受感染端点上部署额外的二进制和基于脚本的有效负载。

披露时间：2022年09月19日

情报来源：https://www.recordedfuture.com/russia-nexus-uac-0113-emulating-telecommunication-providers-in-ukraine

相关信息：

据研究人员观察，俄罗斯国家背景的APT组织Sandworm伪装成电信提供商，以恶意软件攻击乌克兰实体。该组织在今年发起了多次攻击，包括对乌克兰能源基础设施的攻击以及名为“Cyclops Blink”的僵尸网络活动。Sandworm被美国政府将其归为俄罗斯GRU外国军事情报部门的一部分。

从2022年8月开始，研究人员观察到使用伪装成乌克兰电信服务提供商的动态DNS域的Sandworm命令和控制(C2)基础设施有所增加。最近的活动旨在将Colibri Loader和Warzone RAT（远程访问木马）等恶意软件部署到乌克兰的关键系统上。

攻击首先引诱受害者访问这些域，通常是通过从这些域发送电子邮件，并使发件人看起来像是乌克兰的电信提供商。这些网站使用的语言是乌克兰语，呈现的主题涉及军事行动、行政通知、报告等。其中，最常见的是包含文本“Odesa REGIONAL MILITARY ADMINISTRATION”的网页，网页的HTML包含一个base64 编码的ISO文件，当访问网站时会自动下载该文件。

披露时间：2022年09月20日

情报来源：https://mp.weixin.qq.com/s/heWhL6ev_pigAF_HMR4oLQ

相关信息：

近日，安恒信息CERT捕获一批SideWinder APT组织样本，样本属于采用Delphi编写的Downloader，利用DotNetToJScript技术加载远程JS代码，最终以无文件落地方式在内存加载执行C#编写的shell工具。在本次捕获的大量攻击样本的基础上，通过新旧版本的样本分析我们推测SideWinder组织使用了某种私有的Downloader生成工具，仅需修改基本配置即可生成新的攻击样本，而并非在每次攻击前编写攻击组件。

本次攻击活动中第一阶段Delphi Downloader程序伪装成系统程序propsys.dll，第二阶段利用JavaScript组件加载执行远程js代码，js代码利用DotNetToJScript技术加载执行.NET程序，最终在受害者机器上开启监听端口，供远程攻击者访问与下发指令。

披露时间：2022年09月14日

情报来源：https://www.mandiant.com/resources/blog/dprk-whatsapp-phishing

相关信息：

2022年7月，在媒体行业的一家公司进行主动威胁搜寻活动期间，研究人员发现了一种新型鱼叉式网络钓鱼方法，该方法被跟踪为UNC4034的威胁集群所采用，研究人员已经确定了这个群体与朝鲜组织Lazarus之间存在重叠。UNC4034通过WhatsApp与受害者建立通信，并引诱他们下载恶意ISO包，该包涉及虚假工作机会，导致通过PuTTY实用程序的木马化实例部署AIRDRY.V2后门。

UNC4034首先通过电子邮件向受害者提供在亚马逊的工作机会，从而发起了与受害者的沟通。随后，UNC4034通过WhatsApp与他们通信并共享该文件amazon_assessment.iso，用户使用WhatsApp的网络版本下载该文件。amazon_assessment.iso存档包含一个可执行文件和一个文本文件。名为的文本文件Readme.txt具有与第二个文件PuTTY.exe一起使用的连接详细信息。PuTTY是一个开源的SSH和Telnet客户端，但是受害者下载的恶意存档中的PuTTY.exe二进制文件没有数字签名，其大小也远大于合法版本。分析发现，该PuTTY二进制文件的执行导致在主机上部署AIRDRY的后门变体。根据已确定的重叠和所使用的社会工程策略，研究人员怀疑此活动是“Operation Dream Job”活动的延伸，该活动的攻击链利用了ISO文件和木马化二进制文件而不是武器化文件。

披露时间：2022年09月12日

情报来源：https://www.trendmicro.com/en_us/research/22/i/security-breaks-teamtnts-dockerhub-credentials-leak.html

相关信息：

研究人员发现TeamTNT正在从他们控制的至少两个DockerHub帐户中泄露凭据，即alpineos和sandeep078。这些 DockerHub 帐户被积极用于部署包含 rootkit、Docker 逃逸工具包、XMRig Monero 矿工、凭据窃取器、Kinsing 恶意软件、Kubernetes 漏洞利用工具包的恶意图像。

研究人员表示，在上面提到的两个账户中，托管恶意容器图像的“alpineos”账户更为引人注目，该账户拥有超过150,000次拉取次数。通过蜜罐发现攻击者使用的IP地址位于德国。此次凭据泄露是威胁参与者登录了他们在DockerHub注册表上的帐户，并且可能忘记了注销。因为如果用户未进行手动注销，标题“X-Registry-Auth”会存储凭据造成泄露。研究人员总共确定了 30 个被盗用的账户，其凭证被泄露。

披露时间：2022年09月19日

情报来源：https://www.fortinet.com/blog/threat-research/konni-rat-phishing-email-deploying-malware

相关信息：

研究人员最近发现了一封俄语的网络钓鱼电子邮件，它试图引诱收件人在他们的系统上部署其它恶意软件。此次网络钓鱼活动主要通过伪装为俄罗斯驻中国领事馆的地址诱导用户，其攻击目标为俄罗斯政府。邮件消息的主题是：“Re：俄罗斯驻日本大使馆”。邮件正文要求收件人检查附加的详细信息，以执行在发送者和接收者之间转移资金的请求。

此外邮件还包含一个由乌克兰地区英文拼写的附件Zip文档：“Donbass.zip”。该Zip文档中包含两个Microsoft PowerPoint文件，“_Pyongyang in talks with Moscow on access to Donbass.pptx”和“Donbass.ppam”。文件1实质上是一个诱饵文件，不包含任何恶意内容。而文件2中的ppam格式则需要用特定的应用程序打开，这将执行恶意宏，其后还将利用“oup .vbs”执行计划任务以及可用于C2通信的PowerShell命令。

披露时间：2022年09月14日

情报来源：https://www.trendmicro.com/en_us/research/22/i/a-post-exploitation-look-at-coinminers-abusing-weblogic-vulnerab.html

相关信息：

研究人员最近观察到Kinsing等挖矿木马家族正利用最近披露的和较早的Oracle WebLogic Server漏洞来传播加密货币挖矿恶意软件。Oracle WebLogic Server通常用于在云环境和系统上开发部署企业应用程序。

其中攻击者积极利用的漏洞之一是远程代码执行漏洞(CVE-2020-14882)，它利用了Oracle WebLogic Server中不正确的输入验证。漏洞利用成功后，攻击者将在宿主机中下载wb.sh恶意文件，该文件能够禁用基本操作系统安全功能（例如SELinux、iptables等）并修改重要文件的属性，以及禁用“alibaba”、“bydo"、”qcloud"等云服务代理。此外，它还将删除和杀死受感染系统中的其它加密货币等恶意软件家族的文件和进程。然后它将下载Kinsing恶意软件。Kinsing挖矿木马家族曾被用于扫描易受攻击的服务器以将其加入僵尸网络，其利用的包括Redis、SaltStack、Log4Shell、Spring4Shell和Atlassian Confluence漏洞(CVE-2022-26134)。Kinsing的攻击者还通过错误配置的Docker守护程序的API端口进行针对容器环境的活动，以启动加密矿工软件并将其传播到其他容器和主机。

披露时间：2022年09月15日

情报来源：https://blog.sekoia.io/privateloader-the-loader-of-the-prevalent-ruzki-ppi-service/

相关信息：

研究人员观察到，PrivateLoader是2022年使用最广泛的加载程序之一。Pay-Per-Install(PPI)服务使用它在受感染的主机上部署多个恶意负载。PPI是一种恶意软件服务，恶意软件运营商向PPI运营商提供有效载荷、请求的安装数量和目标地理位置。

PrivateLoader于2021年5月首次被观察到，该加载程序用作PPI服务的一部分，可以传播多个恶意软件系列的有效负载。加载程序实施反分析技术，对受感染的主机进行指纹识别并向其C2服务器报告统计信息。

此外，PrivateLoader是Ruzki PPI恶意软件服务的专有加载程序。至少从2021年5月起，威胁组织ruzki（又名 les0k，zhigalsz）在地下俄语论坛和telegram频道上以ruzki或zhigalsz的名义宣传他们的PPI服务。Ruzki PPI 恶意软件服务包括销售位于世界各地（尤其是欧洲或美国）系统上的一千个安装包。该服务已经建立了一年多。在SEKOIA观察到的上周活动中，PrivateLoader主动分发了包括信息窃取程序、勒索软件、僵尸网络和矿工软件等多种恶意软件。

披露时间：2022年09月19日

情报来源：https://blogs.vmware.com/security/2022/09/the-evolution-of-the-chromeloader-malware.html

相关信息：

ChromeLoader是一种极其流行和持久的恶意软件，它最初以.iso格式下载，可用于泄露用户的浏览器凭据、收集最近的在线活动并劫持浏览器搜索以显示广告。此类恶意软件的主要目的是向用户提供广告软件，但ChromeLoader也会增加受感染系统的攻击面，最终可能导致例如勒索软件等更具破坏性的攻击。

2022年1月初，恶意软件ChromLoader广泛用于Chrome浏览器，它使用ISO映像文件下载并依靠用户执行来启动感染。在ChromeLoader感染中，攻击者通常在社交媒体平台上、通过种子、盗版网站或与合法游戏和软件捆绑销售此软件。当受害者安装此恶意文件时，便会下载包含Chromeloader和其他恶意软件的ISO文件。

研究人员在2022年1月观察到ChromeLoader的第一个Windows变体，并在2022年3月观察到macOS版本。ChromeLoader已知的变体包括Tone.exe、ChromeBack、Choziosi Loader、bloom.exe、Energy.exe等。其中，bloom.exe变种2022年3月首次出现在客户环境中，自其发布以来，已经出现了许多新的Chromeloader演变版本，它们遵循相同的攻击链并使用不同的进程名称和哈希值来避免检测。分析发现已超过50多个客户受到感染，其中大多数来自商业服务行业，且大多数案例都与Bloom.exe有关，其次是Energy.exe。

披露时间：2022年09月21日

情报来源：https://www.microsoft.com/security/blog/2022/09/21/rewards-plus-fake-mobile-banking-rewards-apps-lure-users-to-install-info-stealing-rat-on-android-devices/

相关信息：

研究人员分析了通过SMS活动分发的Android信息窃取软件的最新版本。这个新版本伪装成银行奖励应用程序，具有额外的远程访问木马(RAT)功能，目前被用于针对印度银行的客户。SMS活动发送的消息包含指向Android信息窃取恶意软件的链接。该恶意软件的RAT功能允许攻击者拦截重要的设备通知，例如传入消息，这是为了捕获银行和金融机构经常使用的双因素身份验证(2FA)消息。

为了引诱用户访问该链接，该短信声称正在通知用户从一家知名的印度银行领取奖励。在用户交互时，恶意软件会显示一个带有银行徽标的初始屏幕，并继续要求用户启用应用程序的特定权限。一旦用户提供了所需的信息，该应用程序会显示另一个虚假屏幕，并提供进一步的说明以增加其合法性。并在后台调用AutoStartService和login_kotak来执行恶意功能，包括窃取用户的卡信息、执行其RAT命令、窃取短信、上传所有通话记录并与C2通信等。

披露时间：2022年09月15日

情报来源： https://mp.weixin.qq.com/s/4DwQutMDzO98_QI4Fg8OgQ

相关信息：

披露时间：2022年09月21日

情报来源：https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/tarfile-exploiting-the-world.html

相关信息：

Python中一个被忽视了15年的漏洞近期被发现可能会影响超过350,000个开源存储库并可能导致代码执行。该安全问题于2007年披露并标记为CVE-2007-4559，从未收到补丁，唯一提供的缓解措施是警告开发人员有关风险的文档更新。

该漏洞是tarfile模块中的extract和extractall函数中的路径遍历攻击，允许攻击者通过将“..”序列添加到TAR存档中的文件名来覆盖任意文件。

在研究此漏洞影响的过程中，研究人员发现数十万个存储库容易受到此漏洞的影响。虽然该漏洞最初仅标记为6.8，但能够确认，在大多数情况下，攻击者可以通过文件写入获得代码执行。