每周安全事件220923-0929

组织： 疑似 APT-C-40（又名方程式/Equation Group/Tilded Team，美国）    

攻击目标：（中国）西北工业大学

原文概述： 2022年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。中国国家计算机病毒应急处理中心和360公司全程参与了此案的技术分析工作。本系列研究报告将公布 TAO 对西北工业大学发起的上千次网络攻击活动中，某些特定攻击活动的重要细节，为全球各国有效发现和防范 TAO 的后续网络攻击行为提供可以借鉴的案例。

一、TAO 攻击渗透西北工业大学的流程

TAO 对他国发起的网络攻击技战术针对性强，采取半自动化攻击流程，单点突破、逐步渗透、长期窃密。

二、窃取西北工业大学和中国运营商敏感信息

（一）窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据

（二）窃取西北工业大学网络设备运维配置文件和日志文件

（三）渗透控制中国基础设施核心设备

三、TAO在攻击过程中暴露身份的相关情况

四、TAO网络攻击西北工业大学武器平台IP列表

技术分析与溯源调查中，技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址，示例如下：

武器平台 IP 列表例子

五、TAO 网络攻击西北工业大学所用跳板 IP 列表

跳板 IP 例子

原文链接：

https://mp.weixin.qq.com/s/CfkLGhqLB3hyVcDzqUQwJQ

发布平台： 360威胁情报中心

组织： 疑似 Gamaredon（又名Armageddon/GammaLoad/UAC-0010/APT-C-53/，俄罗斯 FSB）

攻击目标： 欧盟和东欧国家国防和政府部门的实体

原文概述： 攻击者已经开始使用一种新的代码执行技术，该技术依赖于 Microsoft PowerPoint 演示文稿中的鼠标移动来触发恶意 PowerShell 脚本。攻击者使用 PowerPoint (.PPT) 文件引诱目标，该文件据称与经济合作与发展组织 (OECD) 相关，该组织是一个致力于刺激全球经济进步和贸易的政府间组织。PPT 文件包含一个超链接，用作使用 SyncAppvPublishingServer 程序启动恶意 PowerShell 脚本的触发器。在 PPT 文件中有两张幻灯片，均以英文和法文提供了使用 Zoom 视频会议应用程序中的解释选项的说明。 当以演示模式打开诱饵文档并且受害者将鼠标悬停在超链接上时，代码执行运行一个 PowerShell 脚本，该脚本从 OneDrive 下载并执行一个 dropper。后者下载一个有效载荷，该有效载荷本身提取并注入一个新的 PE（便携式可执行文件）文件，分析表明该文件是名为 Graphite 的恶意软件系列的变体，它使用 Microsoft Graph API 和 OneDrive 进行 C&C 通信。

归因分析： 基于一些 IOC、攻击对象为地缘政治目标和分析的基础设施，Cluster25 研究人员将这次活动归因于 APT28。

原文链接：

https://blog.cluster25.duskrise.com/2022/09/23/in-the-footsteps-of-the-fancy-bear-powerpoint-graphite/

发布平台： cluster25

组织： 疑似 FIN11（又名Clop，俄罗斯）

攻击目标： 全球大型攻击面

攻击手法： 【钓鱼攻击】

CYFIRMA 研究团队在野外发现了几个虚假的 Zoom Video Communications 下载页面，疑似 FIN11 组织可能已经冒充 Zoom 应用程序的网页下载页面来安装针对大型攻击面的信息窃取程序 Vidar，以针对全球目标进行网络钓鱼活动。在对 DNS 进行历史解析时研究人员还观察到过去使用的大量模拟 Web 应用程序。此次攻击的重点是使用流行的 Web 应用程序破坏所有操作系统中的大量系统。由于 FIN11 最近与 CLOP 勒索软件有关，用于后期勒索软件部署和数据盗窃勒索。与勒索软件组织的这种关联增加了受感染系统成为潜在勒索软件受害者的可能性。

攻击者通过伪装成合法 Zoom 网站和应用程序的网络钓鱼 URL 传递恶意 Zoom 应用程序。在执行恶意“Zoom.exe”文件后，该恶意软件会释放“Decoder.exe”，它充当下载器，与合法的 Zoom 应用程序设置一起下载其他有效负载（远程访问木马 (RAT) 和信息窃取程序）。注入的 MSBuild.exe 还会下载与信息窃取者 Vidar 相关的动态链接库 (DLL)。

归因分析： 由于攻击的第一阶段中远程下载地址归属于俄罗斯，并且研究人员还观察到一个早先与 AsyncRAT 关联的 IP 地址，且最近 FIN11 与勒索软件 CLOP 有关有协同作案的可能，因此研究人员将此次攻击归因于 FIN11 组织。

原文链接：

https://www.cyfirma.com/outofband/fin11-is-back-impersonates-popular-video-conference-application/

发布平台： cyfirma

组织： 疑似 Lazarus（又名 APT-C-26/APT38, 朝鲜）    

攻击目标： Crypto.com（新加坡加密货币的交易公司）

原文概述： SentinelOne 的研究人员在 Crypto.com 上观察到恶意软件的变种使用新的诱饵来吸引求职者，此事件与今年 8 月 ESET 的研究人员报道的有关“在加密货币交易平台 Coinbase 发现了一个使用诱饵诱骗 macOS 用户的恶意软件”是同一系列的事件。在此次攻击中，攻击者没有努力加密或混淆任何二进制文件，这可能表明短期活动和/或很少害怕被他们的目标检测到。这些二进制文件都是通用的 Mach-O，能够在 Intel 或 M1 Apple 硅机器上运行并使用临时签名进行签名，这意味着它们将通过 Apple 的 Gatekeeper 检查，尽管与公认的开发者身份无关。

目前尚未清楚恶意软件的分发方式，但是根据 ESET 八月的报告，攻击者应该是在 LinkedIn 使用针对性的信息进行钓鱼。第一阶段恶意软件打开 PDF 诱饵文档并擦除终端当前的已保存状态，其中的 dropper 是一个 Mach-O 二进制文件，使用与 safarifontsagentCoinbase 变体中的二进制文件类似的模板。这个阶段会在用户库中创建一个名为“WifiPreference”的文件夹，并放置一个持久性代理。第二阶段的主要目的是提取和执行第三阶段的二进制文件 wifianalyticsagent，它充当 C2 服务器的下载器。

归因分析： 由于此次攻击与今年八月份 ESET 研究人员披露的事件拥有相似的攻击对象、攻击诱饵、攻击手法、攻击基础设施等等，因此研究人员将此次攻击归因于 Lazarus 组织。

原文链接：

https://www.sentinelone.com/blog/lazarus-operation-interception-targets-macos-users-dreaming-of-jobs-in-crypto/

发布平台： sentinelone

组织： 疑似 Metador

攻击目标： 中东和非洲几个国家的电信、互联网服务提供商和大学

原文概述： SentinelLabs 的研究人员发现了一个名为 Metador 的新组织，主要针对中东和非洲几个国家的电信、互联网服务提供商和大学。Metador 的主要动机是间谍活动。恶意软件的技术复杂性及其积极发展表明该组织是一个资源丰富的团队。Metador 的攻击链旨在绕过原生安全解决方案，同时将恶意软件平台直接部署到内存中。研究人员发现了两个长期存在的 Windows 恶意软件平台的变种，以及额外的 Linux 植入软件。 

原文链接：

https://www.sentinelone.com/labs/the-mystery-of-metador-an-unattributed-threat-hiding-in-telcos-isps-and-universities/

发布平台： sentinelone

耶伦22日出席《大西洋月刊》年度活动“The Atlantic Festival 2022”，讨论美国经济、通胀、供应链等问题。耶伦称，若美国过度依赖那些与之存在地缘政治紧张关系的地区，就会面临“安全威胁”。她以半导体为例，称“台湾是世界上最先进半导体的唯一来源地。在我看来，这是一种弹性风险，也是国家安全风险。”耶伦还称美国在稀土、太阳能电池板等方面“太依赖”中国大陆。但她认为，自给自足、事事亲力亲为也不是解决问题的办法，美国希望在全球经济中保持贸易利益，同时拥有多个供应来源。事实上，这并非美国官员首次将台湾半导体产业和美国国家安全联系起来。近年来，美国“软硬兼施”要求台积电等企业赴美建厂。但从实际动作来看，台湾岛内企业并不愿意按照美国的要求行事。

原文链接：

https://mp.weixin.qq.com/s/rejwHNB0NzJYB0z0Kt7K9g

发布平台： 观察者网

美国参议员罗恩·怀登在周三的一封信中称，有多个军事情报办公室向数据经纪机构付费访问互联网流量日志，这可能会暴露美国公民的在线浏览历史。该消息援引了一位主动联络其办公室的匿名举报人的说法。包括陆军和海军在内，美国国防部内部至少有四个机构，花费了至少350万美元使用一款鲜为人知的数据监控工具。据报道，该工具能够提供海量电子邮件数据及网络浏览活动的访问权限。怀登周三致信国防部、司法部和国土安全部的监察长，敦促他们对各自机构购买数据的行为开展调查，并称他已确认“有多个政府机构在未经司法授权的情况下，购买美国公民数据”。

原文链接：

https://www.documentcloud.org/documents/22670252-1763_001

https://www.vice.com/en/article/y3pnkw/us-military-bought-mass-monitoring-augury-team-cymru-browsing-email-data

发布平台： documentcloud、vice

黑客组织 Guacamaya 披露了 2015 年至 2022 年间来自智利参谋长联席会议的数千封电子邮件，该参谋长联席会议是由陆军、海军和空军成员组成的国防部咨询机构。这些电子邮件包含机密文件，包括对据称对社会爆发负责的政治团体的解释。

原文链接：

https://interferencia.cl/articulos/mails-hackeados-informes-del-emco-recomendaron-familias-castrenses-estar-abastecidas-al

发布平台： interferencia

Securonix 威胁研究团队最近发现了针对多家军事/武器承包商公司的新的秘密攻击活动，其中可能包括 F-35 Lightning II 战斗机的战略供应商。stager主要使用 PowerShell，虽然用 PowerShell 编写的 stager并不是唯一的，但所涉及的程序具有一系列有趣的策略、持久性方法、反取证和层层混淆以隐藏其代码。此外，stager 所涉及的远程基础设施或命令和控制 (C2) 相对复杂。研究人员注意到三个利用Cloudflare CDN的独特域。

该攻击始于 2022 年夏末，针对欧洲（丹麦）的两个特定知名承包商。与许多有针对性的活动一样，最初的感染始于向目标发送包含恶意附件的网络钓鱼电子邮件。网络钓鱼电子邮件包含一个压缩文件，其中包含一个快捷方式文件，在本例中为“Company & Benefits.lnk”。该 LNK 文件执行了某些操作来检测。一旦用户执行了 .lnk 文件，就会执行一个相当大且健壮的 stagers 链。每个 stager 都是用 PowerShell 编写的，并且每个都被严重混淆。研究人员观察到了八层机制，它们承载了广泛的技术。

攻击链

原文链接：

https://www.securonix.com/blog/detecting-steepmaverick-new-covert-attack-campaign-targeting-military-contractors/

发布平台： securonix

电子商务网站使用 Google 跟踪代码管理器容器来获取有关网站使用指标、客户跟踪和营销目的的数据。在过去的 2 年中，Recorded Future 研究人员发现了网络犯罪分子隐藏在 GTM 容器中的三种重要的恶意脚本变体，使他们能够泄露购物者的个人信息。将 GTM 等合法 Web 服务滥用和合并到 e-skimmer 攻击链中为威胁行为者提供了 2 个主要优势：

1、通过访问受害电子商务域上受感染的 GTM 容器，攻击者可以修改 GTM 容器的内容以更新脚本或交换相关的恶意域，而无需访问受害电子商务网站的系统。这有助于减少对网站日志的检测和可疑活动。

2、电子商务网站管理员可以将“受信任的”源域（例如合法的 Google 服务）列入白名单以节省资源。因此，可以将安全软件配置为不扫描 GTM 容器的内容，从而阻止检测和修复受感染的 GTM 容器，从而增强持久性。

原文链接：

https://www.recordedfuture.com/threat-actors-continue-to-abuse-google-tag-manager-for-payment-card-e-skimming?__hstc=156209188.200602db70b4793ad78672ff45e7f05b.1642070734588.1662544709309.1664353606436.99&__hssc=156209188.1.1664353606436&__hsfp=2330585021

发布平台： recorded future

Mandiant 正在追踪多个自称为黑客活动组织的支持俄罗斯利益的组织。这些组织主要进行分布式拒绝服务 (DDoS) 攻击并从受害组织泄露被盗数据。尽管其中一些参与者几乎可以肯定是独立于俄罗斯国家运作，但研究人员已经确定了多个所谓的黑客活动组织，我们怀疑其主持人要么是俄罗斯国家的前线，要么与俄罗斯国家合作。通过研究人员的分析，Mandiant 发现了将 XakNet Team、Infoccentr 和 CyberArmyofRussia_Reborn 这些组织的版主与俄罗斯政府联系起来的新证据，包括对乌克兰组织入侵和泄密的时间线分析。Mandiant 还确定了 XakNet 团队与亲俄罗斯所谓的“黑客行动主义”组织 KillNet 之间的有限联系。

原文链接：

https://www.mandiant.com/resources/blog/gru-rise-telegram-minions

发布平台： mandiant

研究人员发现，在 XSS 黑客论坛上出现的文件中，来自开发合法间谍软件的以色列公司 Intellexa 以8,000,000欧元的价格提供了与利用 iOS 和 Android 设备的0-day 漏洞相关的全套服务。这个被称为 Nova Suite 的漏洞利用工具包已经卖给了一个不知名的买家。从泄露的文件中可以理解，Intellexa 的“产品”可以远程窃取 iOS 和 Android 设备的数据，提供一套基于浏览器的一键漏洞利用， iOS 和 Android 设备同时感染10个，如以及其他100次成功感染的“日志”。此外，购买价格包括使用漏洞提取的数据分析和全年保修。这家以色列公司表示，其漏洞利用在 iOS 15.4.1 和最新的 Android 12 上是最新的。

原文链接：

https://twitter.com/vxunderground/status/1562550443712352256

发布平台： twitter

据微软研究人员称，该恶意软件是在当前活跃的 SMS 活动中传递的，并伪装成银行奖励应用程序。该活动的主要目标是印度银行客户。它首先是威胁参与者发送包含 URL 的消息，该 URL 基本上诱使接收者下载恶意软件。在用户交互时，它会显示一个带有银行徽标的初始屏幕，并继续要求用户启用应用程序的特定权限。感染链始于一条短信，要求收件人从印度银行索取奖励。此消息包含将用户重定向到下载虚假银行奖励应用程序的恶意链接。此应用程序被检测为 “TrojanSpy:AndroidOS/Banker.O”。该应用程序的 C2 服务器链接到 75 个不同的恶意 APK，所有这些 APK 均基于开源情报。

原文链接：

https://www.microsoft.com/security/blog/2022/09/21/rewards-plus-fake-mobile-banking-rewards-apps-lure-users-to-install-info-stealing-rat-on-android-devices/

发布平台： microsoft