[0105] 一周重点威胁情报｜天际友盟情报站

热点情报

银狐团伙近期钓鱼活动追踪
疑似与高校关联的远控程序剖析
波音遭遇LockBit勒索攻击事件分析复盘
Mirai僵尸网络新变种TBOT感染国内多个行业
针对我国及东南亚多国的金融钓鱼攻击活动分析

APT攻击

多个威胁组织滥用应用安装程序传播恶意软件
UAC-0050组织利用RemcosRAT瞄准乌克兰政府
amdc6766组织：2023年四起供应链投毒事件幕后黑手

技术洞察

IcedID木马分析
8base勒索软件信息公开
Mallox勒索软件绕过AMSI接口
2023 Q4活跃恶意软件情报披露
Medusa Stealer新版本正在活跃中
Pure Logs Stealer窃取多种敏感信息
三个恶意PyPI包被用于在Linux设备上部署CoinMiner

情报详情

银狐团伙近期钓鱼活动追踪

近日，腾讯观察到银狐钓鱼团伙在其最近的活动中开始使用新的手段，例如使用AsyncRAT、Winrar漏洞CVE-2023-38831以及msi诱饵进行钓鱼、通过感染正常文件来分发恶意文件、通过发送下载链接诱导用户下载等。
调查显示，在使用AsyncRAT的活动中，恶意样本文件名为"（避坑）最新剁卡工作室名单及聊天截图..xlsx.exe"，它伪装为wps图标，首先会从服务器中获取shellcode，然后在内存中解密执行，最终解密出来一个.net的远控，即AsyncRAT。在使用winrar漏洞CVE-2023-38831的活动中，诱饵文件名为"每天跟客户可以互动的话题.zip"，该压缩包含有漏洞：CVE-2023-38831，用户双击后将执行同名目录下的exe文件，进而释放并执行DFrte.exe以及其它文件，然后加载1.dll里的导出函数swtxxzc并创建文件，通过采用白加黑的方式，加载QiDianBrowserMgr.dll后，解密Enpud.png文件，最终执行gh0st RAT，版本为2023.8。在使用msi安装包的活动中，其中一个恶意样本文件名为"2023年12月起税务稽查通知〔电脑版〕.msi"，该安装包运行后，会执行lpo.bat批处理文件，它主要用来拼接文件，最终同样使用白加黑的方式，解密执行配置文件里的恶意代码，即gh0st远控。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=5199fabad4104c3790c6c8a4306e0b33

疑似与高校关联的远控程序剖析

山石网科近期捕获到了疑似与上海某高校安全事件相关的病毒样本，并对其进行了详细分析。据悉，该样本基于.Net平台进行编写，使用多重loader以及多种检测手法规避安全检测。样本程序核心代码以反射加载的方式被调用，其中核心代码模块的数据还使用了异或算法进行加密。经进一步研究发现，核心代码模块使用SmartAssembly进行混淆，其核心模组加载模块后将获取"EkNMG"资源，该资源块同样为加密数据，使用aes算法加密，它负责将后续所需要使用的数据写入应用程序域属性"jnlCmbqMDCWe"，以供后续恶意活动的执行。执行期间，程序首先使用模块protobuf-net对数据进行序列化，接着获取系统%TEMP%目录下的临时路径，向该路径写入数据并进行调用，然后弹出窗口诱导用户点击，再通过将自身进程句柄复制到explorer，以达到占用进程文件的效果。在规避检测的行为完成后，程序将刷新网络适配器连接并检测环境语言是否存在特定列表中，如果存在，则退出程序，反之，对设备进行截屏并进行保存，最终发送设备信息、截图等数据到远端服务器。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=5bfa80d8706746e987570755d0dc41e9

波音遭遇LockBit勒索攻击事件分析复盘

安天近期对波音公司于2023年10月下旬遭遇的LockBit勒索攻击事件进行了完整的复盘分析。据悉，LockBit组织规模庞大，拥有众多附属成员，其Tor网站几乎每天都在更新，新增来自世界各地的受害者信息。调查显示，在针对波音的活动中，LockBit勒索组织主要涉及十一个攻击步骤。第一，针对该公司的Citrix NetScaler ADC和NetScaler Gateway设备发动漏洞利用攻击，进而窃取有效用户的访问cookie。第二，利用窃取的cookie实现对波音公司边界服务器的访问，通过植入运行脚本123.ps1，释放并执行Downloader木马，进而从C2中下载各种远程软件、脚本、网络扫描等武器装备。第三，通过将恶意dll文件配置为计划任务以及将AnyDesk远程软件配置成服务来实现持久化访问该入口。第四，使用合法的网络扫描工具探测目标内部网络服务，通过ADRecon脚本(ad.ps1)收集AD域信息，利用tniwinagent工具收集其他主机信息。第五，使用proc.exe工具获取lsass.exe进程内存，结合Mimikatz工具获取系统中的各类凭证；使用veeam-get-creds.ps1脚本从波音公司的veeam平台中获取保存的凭证；使用secretsdump.py从波音公司的Azure VM上获取各种账号数据库文件及注册表信息。第六，利用获取的各种凭证结合Psexec工具，在波音内部网络其他主机上部署各种远程软件，以获取更多其他服务器及主机的访问权限。第七，利用远程访问软件传输步骤4至步骤6涉及的各种工具，循环执行步骤4至步骤6的各种操作，尽可能获取更多服务器及主机的访问权限。第八，从已控制的系统中收集各种信息(包括备份文件等)，并使用7z.exe工具进行压缩。第九，通过plink.exe工具建立的SSH隧道回传数据；通过FTP协议回传数据；通过远程控制软件回传数据。第十，结束相关主机的数据库服务及进程、杀毒软件、其他阻碍勒索加密的进程。第十一，将LockBit 3.0勒索软件通过远程控制软件部署到目标主机中并执行，实现加密勒索。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=f9d9c9dc60114ceab980b4d9d598883b

Mirai僵尸网络新变种TBOT感染国内多个行业

近期，奇安信发现Mirai僵尸网络拥有100多个Bot分组，并根据其特点将该僵尸网络命名为Mirai.TBOT。Mirai.TBOT样本保留了大量原始mirai代码，整体运行逻辑与mirai一致，其中用于telnet爆破的数据与各种命令采用明文形式存储，C2服务器域名则存储在字符串表中。Mirai.TBOT除了利用SSH服务、TELNET服务进行弱口令爆破感染受害主机外，还被安全人员观察到利用32个漏洞传播样本，其中存在2个已确认的0day以及3个暂无任何公开信息的漏洞。同时，该僵尸网络还具有超多Bot分组、具备0day利用能力、使用OpenNIC自定义C2服务器域名、主要进行DDoS攻击等特点。目前，该僵尸网络规模巨大，其中的Bot日活跃量超过3万，主要感染地区为中国、委内瑞拉、印度、韩国、巴西、日本等地。其中，中国地区主要感染省份为江苏、湖南、广东、辽宁、云南、黑龙江等地，涉及行业包括信息技术、网络安全、教育、电力、医疗等。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=3dd4d323ae974c588dc37fb7c0b00053

针对我国及东南亚多国的金融钓鱼攻击活动分析

安天近期发现了仿冒Chrome的恶意样本攻击活动。研究人员表示，样本为Chrome正版浏览器应用的重打包版本，其功能虽与正版应用无异，但当用户使用该浏览器下载特定应用时，浏览器便会自动篡改下载链接为攻击者所创建的恶意样本分发链接，进而导致受害者在不知情的情况下下载并安装恶意样本。据悉，分发的恶意样本涉及了13个应用，主要为imToken等Web3钱包应用和line、letstalk等聊天工具类应用，它们具有窃取并上传助记词、替换虚拟货币交易地址等恶意功能。
此外，研究人员在分析攻击者服务器资产时，发现了归属同一攻击者的黑灰产攻击活动。攻击者通过约会软件引导受害者做任务并充值资金从而进行诈骗，与此同时窃取受害者姓名、银行卡和电话号码等隐私信息。根据受害者资料，研究人员推测本轮攻击活动始于2023年4月，一直持续至9月底，受害者万余人，主要受害区域为越南、中国、柬埔寨、菲律宾等国。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=5b87ec30bf90423c97525b0a17b90c69