每周高级威胁情报解读(2024.01.12~01.18)

披露时间：2024年1月17日

情报来源：https://www.microsoft.com/en-us/security/blog/2024/01/17/new-ttps-observed-in-mint-sandstorm-campaign-targeting-high-profile-individuals-at-universities-and-research-orgs/

相关信息：

自 2023 年 11 月以来，研究人员观察到 Mint Sandstorm (PHOSPHORUS) 的一个独特子集针对比利时、法国、加沙、以色列、英国和美国的大学和研究组织中从事中东事务的知名人士。在此活动中，Mint Sandstorm 使用定制的网络钓鱼诱饵，试图通过社会工程手段让目标下载恶意文件。在少数案例中，研究人员观察到了新的入侵后技术，包括使用名为 MediaPl 的新的自定义后门。

Mint Sandstorm（与其他研究人员追踪的 APT35 和 Charming Kitten 等威胁行为者重叠）是一个APT组织，用于描述与伊朗军方情报部门伊斯兰革命卫队 (IRGC)有联系的几个活动小组。研究人员将本博客中详细介绍的活动归因于技术和操作上成熟的Mint Sandstorm 子组，该子组专门获取高价值目标的访问权限并窃取敏感信息。众所周知，该组织开展资源密集型社会工程活动，针对记者、研究人员、教授或其他对德黑兰感兴趣的安全和政策问题有见解或观点的个人。

披露时间：2024年1月16日

情报来源：https://www.genians.co.kr/blog/webinar-apt

相关信息：

研究人员 在 12 月 28 日星期四检测到新的网络攻击迹象。威胁行为者将该文档伪装成 2024 年 1 月 10 日发生的实际活动邀请文档，并实施攻击。

其文档主题为“2023年朝鲜形势评估和2024年展望”，计划深入讨论朝鲜政治、军事、经济、社会各领域的评估和展望。通过这种方式，模拟实际的或预定的线上或线下活动，使用基于信任的方法策略来鼓励接收者。

伪装成活动公告的恶意文件被操纵为 Google 表单链接并从 Dropbox 下载 。下载的 ZIP 压缩文件类型恶意文件中存在快捷方式，攻击者尝试以典型 APT37 组织鱼叉式网络钓鱼攻击的方式通过 pCloud 泄露信息。此次APT攻击案例结合无文件和加密技术的应用以及正常的云服务通信，具有APT37组织典型的ROKRAT攻击链特征。该威胁行为者正在构建详细的黑客场景，从攻击前准备到侦察和渗透。

披露时间：2024年1月10日

情报来源：https://mp.weixin.qq.com/s/_gBnAlghd3gbP-PQ5M-7yQ

相关信息：

近日，研究人员捕获到一起印度蔓灵花组织针对我国军工行业发起的APT攻击事件。经分析发现，攻击者试图通过鱼叉式钓鱼攻击手段来投递wmRAT后门程序，以达到窃取我国军事机密的目的。

据悉，蔓灵花本次主要向我国军工行业投递带有恶意程序的钓鱼邮件附件，附件内含有恶意的CHM文件。一旦受害者点击CHM文件，就会在本地创建计划任务。该计划任务会设定每隔15到20分钟与攻击者远程服务器通信一次，继而下载MSI文件，然后在受害者电脑内植入wmRAT后门程序。其中，wmRAT作为蔓灵花组织的标志性武器，于2022年被首次披露，披露时远控指令只有16个，并且有一半的指令无实际功能，这表明蔓灵花正在积极开发该后门程序。wmRAT后门设计巧妙，不仅可规避静态查杀，还能够规避沙箱的行为检测。此次攻击中的wmRAT后门则具备截取屏幕图像、上传文件数据、获取指定URL页面内容、遍历磁盘、下载文件等恶意功能，因此具有很强的威胁性。

披露时间：2024年1月17日

情报来源：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-email-to-rat-deciphering-a-vbs-script-driven-campaign/

相关信息：

研究人员一直在跟踪一个复杂的 VBS 活动，其特征是模糊的 Visual Basic 脚本 (VBS)。该活动最初传播的是 AgentTesla 恶意软件，后来发展成为多方面的威胁，采用 VBS 脚本作为多功能传播机制。值得注意的是，该活动不仅限于 AgentTesla，现在还传播一系列恶意软件，例如 Guloader、Remcos RAT、Xworm 和 Lokibot。

此活动展示了由通过电子邮件传递的 VBS 文件启动的全面感染过程。从激活 VBS 脚本开始，它会经历 PowerShell 阶段，利用 BitsTransfer 实用程序获取第二阶段 PowerShell 脚本。解码并执行的 Shellcode A 隐藏并加载 Shellcode B。在最后阶段，wab.exe 下载加密的 Remcos RAT 有效负载。Shellcode B 被解密并注入到 wab.exe 中，使其充当 Remcos RAT。

披露时间：2024年1月16日

情报来源：https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a

相关信息：

研究人员近日警告称，攻击者正使用Androxgh0st恶意软件构建一个专注于云凭证盗窃的僵尸网络，然后再利用所窃取的信息来传播额外的恶意负载。据悉，该僵尸网络于2022年首次被Lacework Labs发现，它使用PHPUnit单元测试框架、PHP Web框架和具有远程代码执行漏洞的Apache Web服务器版本来扫描网站和服务器。

其中，涉及利用的漏洞包括CVE-2017-9841(PHPUnit)、CVE-2021-41773(Apache HTTP Server)和CVE-2018-15133(Laravel)等。Androxgh0st则是一种Python脚本恶意软件，主要用于针对包含机密信息的.env文件，例如各种知名应用程序：Amazon Web Services[AWS]、Microsoft Office 365、SendGrid和Laravel Web中的Twilio的凭据应用程序框架。

该恶意软件还支持许多能够利用SMTP传输协议的功能，例如扫描和利用暴露的凭据和应用程序编程接口以及部署Web shell。最终，攻击者可利用所盗取的Twilio和SendGrid凭据来冒充被入侵的公司以实施进一步的垃圾邮件活动。

披露时间：2024年1月15日

情报来源：https://blog.xlab.qianxin.com/unveiling-the-mystery-of-bigpanzi/

相关信息：

奇安信捕获到了一个VT 0检测率，使用变形UPX加壳的名为pandoraspear的可疑ELF样本。经进一步溯源分析，研究人员发现了一个隐蔽8年的大型黑灰产团伙：Bigpanzi。据悉，该团伙自2015年开始活跃，主要针对Android操作系统的电视、机顶盒，eCos操作系统的机顶盒。

其拥有的僵尸网络规模超过10万，Bot节点则主要分布在巴西，并且不同于一般的僵尸网络通过0/N day传播，Bigpanzi团伙组建僵尸网络的主要手段是免费或廉价的满足用户的视听需求，即诱使用户安装免费的视频APP或通过固件刷机方式安装廉价的影像娱乐平台。不过，这些APP/平台均带有后门组件，一旦成功安装，设备就成了黑产团伙私建流媒体平台中的一个业务流量节点，其业务涵盖流量代理、DDoS攻击、互联网提供内容的服务(OTT)、盗版流量(Pirate Traffic)等。

此外，研究人员表示，Bigpanzi不仅会实施DDoS攻击，还可利用被控制的Android电视或机顶盒不受法律法规约束地传播任何图像、声音信息。一个典型的案例如，2023年12月11日，通过瞄准阿联酋居民使用的机顶盒，最终将其常规内容被替换为显示巴以冲突的视频。

披露时间：2024年1月15日

情报来源：https://bishopfox.com/blog/its-2024-and-over-178-000-sonicwall-firewalls-are-publicly-exploitable

相关信息：

研究人员发现超过 178,000 个管理界面在线公开的 SonicWall，即下一代防火墙 (NGFW) 容易受到拒绝服务 (DoS) 和潜在的远程代码执行 (RCE) 攻击。这些设备受到两个 DoS 安全漏洞的影响，分别为CVE-2022-22274和CVE-2023-0656，前者还允许攻击者获得远程代码执行。

研究人员相隔一年发布了针对CVE-2022-22274和CVE-2023-0656的公告，并报告称未观察到在野外被利用的情况；然而，后者的概念验证漏洞已公开发布。

研究发现，这两个问题本质上是相同的，但由于重用了易受攻击的代码模式，因此可以在不同的 HTTP URI 路径上利用。此外 CVE-2022-22274 是由不同位置的相同易受攻击的代码模式引起的，并且该漏洞利用了另外三个 URI 路径。

披露时间：2024年1月11日

情报来源：https://www.zscaler.com/blogs/security-research/dreambus-unleashes-metabase-mayhem-new-exploit-module#indicators-of-compromise--iocs-

相关信息：

研究人员近日在追踪一个名为"DreamBus"的恶意软件的过程中发现，它引入了两个新的漏洞利用模块。据悉，DreamBus历史最早可追溯到2019年初，是一个基于Linux的模块化僵尸网络，类似蠕虫，可在互联网和内部网络上传播。它主要使用隐式信任、特定于应用程序的漏洞和弱密码的组合来获取对数据库、基于云的应用程序和IT管理工具等系统的访问权限，最后会在受感染的系统中通过部署XMRig以进行门罗币挖矿。

经进一步分析，研究人员发现其模块均为一个可执行和可链接格式(ELF)二进制文件，由UPX打包并修改，模块间具有非常相似的结构，主要区别在于漏洞利用代码，不过均会扫描侦听特定端口的服务器，执行漏洞利用操作。若成功，则执行下载主DreamBus模块的shell脚本。2023年6月，DreamBus恶意软件作者再次对其代码进行了新的更改，以进一步逃避检测，同时开发了两个新的漏洞利用模块，即针对Metabase(CVE-2023-38646)和Apache RocketMQ(CVE-2023-33246)中的漏洞。

披露时间：2024年1月11日

情报来源：https://mp.weixin.qq.com/s/LCRwbXWkzoEMReD-5YsnFg

相关信息：

近期，研究人员监测到Shiz病毒的新变种正在快速传播。Shiz病毒主要针对国外用户群体，在被激活后能够窃取用户电脑上的敏感信息，并可以执行其他恶意操作。不仅如此，当受害者访问杀毒软件网址时，还会被劫持到google的网址，对用户构成较大干扰。

病毒运行后，首先，会使用对抗手段检测虚拟机环境和杀毒软件，捕获的变种样本使用了多种对抗手段，除了采用shellcode分块执行外，还通过PUSH RET来混淆IDA反编译的调用流等手段对抗杀软；随后，将恶意模块注入到系统进程中执行，进行数据窃取、屏幕截图、DNS劫持等恶意操作。

披露时间：2024年1月12日

情报来源：https://www.trendmicro.com/en_us/research/24/a/cve-2023-36025-exploited-for-defense-evasion-in-phemedrone-steal.html

相关信息：

研究人员发现了一些证据，表明有人主动利用 CVE-2023-36025用以前未知的恶意软件 Phemedrone Stealer 来感染用户。

Phemedrone 的目标是网络浏览器、来自加密货币钱包和消息应用程序（例如 Telegram、Steam 和 Discord）的数据。它还会截取屏幕截图并收集有关硬件、位置和操作系统的系统信息。然后，被盗数据通过 Telegram 或其命令与控制 (C&C) 服务器发送给攻击者。这个开源窃取程序是用 C# 编写的，并在 GitHub 和 Telegram 上积极维护。

CVE-2023-36025影响 Microsoft Windows Defender SmartScreen，其根源在于 Internet 快捷方式 (.url) 文件缺乏检查和相关提示。威胁参与者可以通过制作 .url 文件来下载并执行绕过 Windows Defender SmartScreen 警告和检查的恶意脚本来利用此漏洞。

披露时间：2024年1月15日

情报来源：https://asec.ahnlab.com/en/60270/

相关信息：

研究人员最近在监控韩国恶意软件的分发源时发现，伪装成成人游戏的 Remcos RAT 恶意软件正在通过网络硬盘进行分发。网络硬盘和种子文件是韩国常用的恶意软件分发平台。

攻击者通常使用易于获取的恶意软件（例如 njRAT 和 UDP RAT），并将其伪装成合法程序（例如游戏或成人内容）进行分发。

披露时间：2024年1月15日

情报来源：https://news.drweb.com/show/?i=14792&lng=en&c=5

相关信息：

近期，研究人员监测到通过破解软件传播挖矿木马的活动正在增加。攻击者将挖矿病毒隐藏在破解软件中，并利用Telegram和其他互联网网站传播破解软件。安全人员将本次活动中出现的木马命名为Trojan.BtcMine。BtcMine是一个用C++编写的Windows木马程序，是一个基于SilentCryptoMiner项目的挖矿病毒加载程序。

目前，分发这些恶意破解软件的Telegram频道订阅量已超过5000，此外，攻击者还利用itmen[.]software和soft[.]sibnet[.]ru网站传播恶意NSIS安装程序。据安全人员分析，一次分发活动可导致该挖矿病毒在两个月内感染超过4万台计算机。当用户启动诱饵程序后，加载程序会将自身复制到指定目录，创建计划任务，并且将相关文件加入Windows Defender的白名单中。初始设置完成后，加载程序还会将Trojan.BtcMine程序注入到explorer.exe中。

此外，该加载程序还允许在受感染的计算机上安装r77无文件Rootkit、禁用Windows Update、阻止网站访问、自动删除和恢复木马源文件、暂停挖矿过程，以及当用户运行进程监控程序时，卸载矿机占用的RAM和VRAM。

披露时间：2024年1月11日

情报来源：https://unit42.paloaltonetworks.com/medusa-ransomware-escalation-new-leak-site/

相关信息：

研究人员近日对Medusa勒索软件活动进行了详细分析。据悉，Medusa于2022年底作为勒索软件及服务(RaaS)平台出现，并于2023年初推出了专用泄密网站，主要对高科技、教育、制造、医疗保健和零售等行业发起攻击。据估计，2023年有多达74个组织(主要位于美国、英国、法国、意大利、西班牙和印度)受到该勒索软件的影响。

研究人员表示，Medusa组织的勒索软件攻击始于利用易受攻击的服务以及劫持合法帐户，并通常利用初始访问代理来获得目标网络的立足点。一个例子中，Microsoft Exchange Server被观察到利用来上传Web Shell，然后将其用作安装和执行ConnectWise远程监控和管理软件的管道。加密时，采用RSA+AES算法，成功加密后，.medusa将被附加在文件末尾，然后采用多重勒索策略，为受害者提供不同价格的多种选择，包括延长时间、数据删除或下载所有数据等。此外，值得注意的是，Medusa不仅有一个专门的媒体团队来处理他们的品牌推广工作，而且还会利用一个名为"信息支持"的公共Telegram频道共享受感染组织的文件。

披露时间：2024年1月15日

情报来源：https://www.sentinelone.com/blog/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt/

相关信息：

在这篇文章中，研究人员提供了目前正在逃避许多静态签名检测引擎的三个活跃信息窃取者（Atomic Stealer、CherryPie、KeySteal）的详细信息。

KeySteal 于 2021 年首次被注意到，自首次描述以来，KeySteal 的内部结构已经发生了显着变化。将近一年前，苹果公司在 XProtect v2166（2023 年 2 月）中添加了一个签名，但它不再能检测到当前的版本，其中一些版本是以名为 "ChatGPT "的二进制文件发布的。

Malwarebytes报道了 Atomic Stealer 的混淆 Go 版本，该版本在 Apple XProtect 更新 v2178（2024 年 1 月）后不久出现。此版本的 Atomic Stealer 采用 C++ 编写，包含防止受害者、分析师或恶意软件沙箱与窃取者同时运行终端的逻辑。此外，它还会检查恶意软件是否正在虚拟机内运行。

CherryPie 是一个用 Go 编写的跨平台 Windows/macOS 窃取程序，包含用于反分析和 VM 检测的广泛逻辑。研究人员观察到的 CherryPie 样本是使用临时签名。作为应用程序设置的一部分，它还会使用参数spctl调用 macOS 实用程序。

披露时间：2024年1月11日

情报来源：https://www.sentinelone.com/labs/exploring-fbot-python-based-malware-targeting-cloud-and-payment-services/

相关信息：

研究人员近日在一篇报告中对一种基于Python的云黑客工具"FBot"进行了详细分析。据悉，该工具的目标涉及Web服务器、云服务和SaaS平台，例如AWS、Office365、PayPal、Sendgrid和Twilio等。在功能和设计上，FBot依赖于通过配置文件(.ini)或启动主类的标头提供的配置值，它包含各种实用程序(如IP地址生成器、端口扫描器和电子邮件验证器)。此外，FBot还与Legion云信息窃取器存在相似之处，主要功能包括凭证收集、AWS帐户劫持以及针对PayPal和各种SaaS帐户进行攻击等。并且与类似工具相比，FBot未采用常见的Androxgh0st代码，占用空间更小。

披露时间：2024年1月16日

情报来源：https://blog.trailofbits.com/2024/01/16/leftoverlocals-listening-to-llm-responses-through-leaked-gpu-local-memory/

相关信息：

研究人员正在披露 LeftoverLocals：一个漏洞，允许从 Apple、Qualcomm、AMD 和 Imagination GPU 上的另一个进程创建的 GPU 本地内存中恢复数据。LeftoverLocals 会影响整个 GPU 应用程序的安全状况，对于在受影响的 GPU 平台上运行的LLM 和 ML 模型尤其重要。

本文将更详细地描述名为 LeftoverLocals 的漏洞以及相应的利用。然后，详细介绍研究人员在各种 GPU 设备上的测试活动，结果发现 AMD、Apple 和 Qualcomm 的 GPU 很容易受到 LeftoverLocals 的攻击。

披露时间：2024年1月16日

情报来源：https://blog.quarkslab.com/pixiefail-nine-vulnerabilities-in-tianocores-edk-ii-ipv6-network-stack.html

相关信息：

一组九个漏洞（统称为“PixieFail”）影响 Tianocore EDK II 的 IPv6 网络协议栈。这些缺陷存在于 PXE 网络启动过程中，该过程对于在数据中心和高性能计算环境中配置操作系统以及启动时从网络加载操作系统映像的标准过程至关重要。

PixieFail 漏洞源自预启动执行环境 (PXE) 中 IPv6 的实现，该环境是 UEFI 规范的一部分。PXE 支持网络启动，其 IPv6 实施引入了额外的协议，增加了攻击面。PixieFail 攻击由九个缺陷组成，可在网络上本地利用这些缺陷，导致拒绝服务 (DoS)、信息泄露、远程代码执行 (RCE)、DNS 缓存中毒和网络会话劫持。