[1215] 一周重点威胁情报｜天际友盟情报站

热点情报

微软补丁日通告：2023年12月版
X象组织针对我国科研机构实施钓鱼攻击
新黑客组织GambleForce对亚太地区公司发起SQL注入攻击
Lazarus组织使用基于D语言的恶意软件对多个行业发起攻击
俄罗斯ITG05组织利用以色列与哈马斯相关诱饵投递Headlace后门

APT攻击

Star Blizzard组织近期TTPs披露
Lazarus组织供应链攻击相关样本分析
TA4557组织近期再次向招聘人员分发钓鱼邮件
ActiveMQ远程代码执行漏洞遭Kinsing组织利用
Sandman组织使用LuaDream与KEYPLUG恶意软件
APT28持续利用Microsoft outlook零日漏洞攻击北约成员国
UTG-Q-003团伙借助微软应用商店进行7ZIP软件供应链投毒
KV僵尸网络：疑似与Volt Typhoon组织有关联的僵尸网络集群
Mustang Panda组织利用PlugX新变种瞄准台湾政府和外交官
俄罗斯APT29持续利用CVE-2023-42793漏洞攻击TeamCity服务器

技术洞察

GULOADER恶意软件下载器详情披露
越南地区活跃的GaperBotnet僵尸网络剖析
伪装成Adobe的恶意压缩文件正用于传播SawRAT远控木马
大量攻击活动正在利用Apache ActiveMQ远程代码执行漏洞

情报详情

微软补丁日通告：2023年12月版

微软近期发布了12月安全更新。本次安全更新修复了总计34个安全漏洞(不包含8个Microsoft Edge(Chromium)漏洞和一个此前披露的AMD零日漏洞)，其中存在30个重要漏洞(Important)、4个严重漏洞(Critical)。在漏洞类型方面，主要包括10个特权提升漏洞、8个远程代码执行漏洞、6个信息泄露漏洞、5个拒绝服务漏洞、5个欺骗漏洞。本次发布的安全更新涉及Microsoft Office、Microsoft Bluetooth Driver、Windows DHCP Server、Windows Kernel、Windows Win32K等多个产品和组件。更多信息，可参考微软2023年12月安全更新说明：https://msrc.microsoft.com/update-guide/releaseNote/2023-Dec

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=4f5ca73c343843bf8d10f288d5e03d30

X象组织针对我国科研机构实施钓鱼攻击

安天监测到，2023年下半年，境外某APT组织通过模仿我国"慧眼行动"官方机构，向相关科研机构发送鱼叉式网络钓鱼邮件，并以附件形式投放特洛伊木马，进而实施后续攻击。据悉，"慧眼行动"是我国一项科研成果征集活动，发件邮箱使用的域名为2023年7月11日新注册的域名，其部分字符串模仿"慧眼行动"官方的域名。邮件包含一个压缩包附件，包内为一个构造的可执行文件。该文件基于文件名、图标和与正常文件捆绑三种伪装方式，模仿成相关活动的申报客户端。其中，初始诱饵可执行程序实际上是第一阶段木马下载器，样本采用混淆的方式将C2地址隐藏在无意义的字符串中。打开后，它将会下载运行第二阶段下载器，然后解密出一个链接地址以下载运行最终的后门程序。该后门程序功能则较为简单，主要负责在受害者机器与攻击者C2服务器之间建立管道SHELL以实现远程控制。
经综合研判，安天确认相关攻击来自南亚某国，但目前尚无充分信息将其关联到已知威胁组织或完全判定是一个新的攻击组织，因此临时追踪为"X象"组织。此外，基于攻击过程和其所仿冒的相关信息分析，攻击者正以我国高校、科研院所、创新企业、科研机构等为目标，通过社工伪装试图实现对相关科研人员电脑的远程控制，进而窃取相关科研信息成果，以及进行其他的相关活动，对我国构成严重安全威胁。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=ee30567ed45247379c6ca391d832380b

新黑客组织GambleForce对亚太地区公司发起SQL注入攻击

Group-IB近日报道称，至少自2023年9月以来，一个名为GambleForce的新黑客组织针对亚太地区(APAC)的公司展开了一系列SQL注入攻击。据了解，该组织已成功攻击6次，目标涵盖澳大利亚、巴西、中国、印度、印度尼西亚、菲律宾、韩国和泰国的赌博、政府、零售和旅游业的24个实体。
进一步调查显示，GambleForce涉及通过SQL注入以及利用CVE-2023-23752(Joomla CMS漏洞)，以获得对巴西公司的未经授权的访问。其在攻击的不同阶段完全依赖dirsearch、sqlmap、tinyproxy、Cobalt Strike和redis-rogue-getshell等开源工具，最终目标是从受感染的网络中窃取敏感信息，且攻击者在利用Cobalt Strike时还使用了中文命令。研究人员表示，目前尚不清楚GambleForce团伙的起源，以及后续如何利用被盗信息。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=f95289490a3a4f0a93b328b950c048f1

Lazarus组织使用基于D语言的恶意软件对多个行业发起攻击

近期，Talos发现了Lazarus组织近期的新型攻击活动，并将该活动命名为Operation Blacksmith。本次攻击活动中，安全人员观察到了三个基于D语言的新型恶意软件。其中，基于Telegram机器人进行C2通信的远控木马程序被命名为NineRAT，未使用Telegram作为C2通信媒介的远控木马被命名为DLRAT，基于D语言的下载器被命名为BottomLoader。攻击者利用历史漏洞进行初始渗透，此次活动中，安全人员观察到攻击者使用log4j历史漏洞CVE-2021-44228获取初始访问权限，攻击成功后，使用HazyLoad代理工具进一步与受害主机建立联系，随后，攻击者会在受害主机上进行创建账户、转储用户凭据等操作。操作完成后，攻击者将部署NineRAT木马。NineRAT通过Telegram与C2服务器进行通信，收集受害主机的详细信息并传递。安全人员在追踪该活动的过程中发现了BottomLoader与DLRAT。其中，BottomLoader通过Powershell命令从远程服务器下载有效负载。DLRAT主要负责接收C2服务器下发的命令并执行，命令包括上传/下载文件、删除自身、进入休眠等功能。安全人员表示，此次攻击活动主要针对制造业、农业和安全公司。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=e27cdb8ac5e14797abf0c5c5f4521d36

俄罗斯ITG05组织利用以色列与哈马斯相关诱饵投递Headlace后门

IBM X-Force近日披露，从2023年8月初至2023年12月，他们已捕获8个涉及以色列-哈马斯战争的诱饵文件。据悉，本次活动利用学术、金融和外交中心为诱饵主题创建钓鱼文件，旨在投递ITG05组织独有的Headlace后门，具有高度针对性，并影响了全球至少13个国家的目标。其中，ITG05被追踪为一个可能由俄罗斯国家资助的组织，它由多个活动集群组成，并与APT28、UAC-028和Forest Blizzard存在重叠。
进一步调查显示，活动主要瞄准对人道主义援助分配有直接影响的欧洲实体，诱饵内容涉及利用联合国、以色列银行、美国国会研究服务处、欧洲议会、乌克兰智库、法国数字教育服务机构和阿塞拜疆-白俄罗斯政府间委员会相关的多个合法文件。其中一些诱饵包含在利用CVE-2023-38831漏洞的.RAR压缩文档中，其他诱饵则使用了DLL劫持来运行Headlace。目前，匈牙利、土耳其、澳大利亚、波兰、比利时、乌克兰、德国、阿塞拜疆、沙特阿拉伯、哈萨克斯坦、意大利、拉脱维亚和罗马尼亚等国家已成为目标。另外，值得注意的是，受影响的所有国家中，除了一个国家，其余国家都是联合国人权理事会成员。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=09c69e210d324cf7ad56fa8713ca0115