[0126] 一周重点威胁情报｜天际友盟情报站

热点情报

国内受限程序被用于传播木马病毒
IP-Guard漏洞被频繁用于勒索软件活动
VexTrio TDS运营商：网络犯罪的超级巨头
暗蚊黑产团伙向国内IT运维人员投递Mac远控木马
伪装为注册机程序的勒索软件通过国内收款码收取赎金
Blackwood组织劫持合法更新程序以部署NSPX30恶意软件

APT攻击

TA866组织携大型钓鱼邮件活动回归
UAC-0050组织冒充乌克兰国家服务局实施钓鱼攻击
俄罗斯COLDRIVER组织开始部署新型Spica后门软件
Kasseika勒索软件使用BYOVD技术终止杀毒软件进程
Scarcruft组织疑似收集战略情报并针对网络安全专业人员

技术洞察

攻击者使用GitHub存储被盗数据
未知攻击者持续攻击墨西哥大型公司
XMRig挖矿软件通过知名游戏外挂网站传播
MetaStealer恶意软件瞄准美国庇护所寻求者
NS-STEALER伪装成破解软件窃取浏览器信息
BCP工具被用于部署Trigona勒索软件和Mimic勒索软件
新macOS恶意软件家族利用破解软件窃取用户的加密钱包
门罗币挖矿程序以及Mimus勒索软件正通过各种漏洞进行分发

情报详情

国内受限程序被用于传播木马病毒

近期，许多国内限制的程序(如Telegram、LINE等)被攻击者创建恶意钓鱼广告针对中文用户。攻击者创建恶意钓鱼网站，通过搜索引擎的广告位进行传播。安全人员表示，当国内用户通过利用工具访问google.cn时，访问者将被重定向至google.com.hk，据传使用该谷歌域名搜索出的广告均是未经审查的。经安全人员统计，位于google.com.hk下的受限程序广告均归属于两个广告商账户，两个账户均与尼日利亚的用户有关联，并且每个账户下都存在多个中文编写的广告，广告涉及主题包括Telegram、LINE、搜狗输入法、家政公司等等。当用户从这些恶意网站下载程序后，程序均为MSI格式，一旦用户运行MSI文件安装程序，诱饵程序将被释放，同时程序将使用DLL侧加载技术部署PlugX RAT或者Gh0st RAT木马。目前，安全人员已向谷歌上报这些恶意广告站。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=015cb60ec057425fbbc986e5223462e1

IP-Guard漏洞被频繁用于勒索软件活动

奇安信近日观察到了一伙较为勤奋的勒索运营商，其工作时间集中在周末，可在物理上绕过安全人员对告警的发现。周六的时候则会使用一些Nday漏洞进行入侵，全天无休的进行内网信息收集、控制机器数量评估，并在周日晚上控制木马批量投递勒索软件，横向移动期间，所使用的工具涉及Cobalt Strike、fscan、frp、勒索投递包等，且其攻击手法与护网期间的国内红队有着很高的相似性。研究人员就勒索团伙对IP-Guard漏洞利用的相关活动进行了详细的分析。
据悉，2023年9月份，研究人员首次检测到攻击者对IP-Guard漏洞的大规模活动测试，当时多个重要政企遭到了入侵，不过攻击者只执行了whoami命令。
2023年11月，研究人员观察到黑产开始使用IP-Guard漏洞进行批量Web攻击，此轮攻击投递的则是ghost、灰鸽子等类型的国产木马，并不适合横向移动，因此并未对用户系统造成直接的破坏性危害。
2023年12月，攻击者再次通过IP-Guard漏洞上传webshell，进而收集本机信息、获取账户密码hash、添加用户并尝试RDP远程登录。接着在受感染系统的%UserProfile%目录下投递名为b.exe的Cobalt Strike木马，启动后再将shellcode注入到lsass.exe进程中。横向移动期间，攻击者首先启动fscan对同一C段的服务器进行爆破，所用密码为抓取的服务器明文密码和ntml hash，爆破类型涉及RDP、SSH、SMB、MSSQL等。最终，攻击者掌握的明文密码和hash已经可以登录同C段的十几台机器，并且于周日晚上使用Cobalt Strike批量下发勒索投递包释放LIVE家族勒索加密程序。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=f124677c93ff4924980d8d0f4151f42f

VexTrio TDS运营商：网络犯罪的超级巨头

Infoblox近日在一份报告中揭露了一个名为"VexTrio"的至少自2017年以来便一直活跃的恶意流量引导系统(TDS)运营商，它主要充当中间流量经纪人，旨在获取经济利益，旗下控制着由7万个站点组成的庞大受感染网络，目前至少已帮助60多个附属机构开展网络犯罪活动，并且还参与过ClearFake和SocGholish等臭名昭著的网络犯罪活动。
其中，流量分配系统(TDS)是一种根据访问者的操作系统、IP地址、设备、地理区域和其他标准获取传入流量并将用户重定向到另一个网站的服务，可允许攻击者将用户重定向到恶意目的地，例如网络钓鱼页面、漏洞利用工具包和恶意软件投放网站等。ClearFake恶意软件活动主要通过在被黑网站上提示访问者安装虚假的浏览器更新，从而在设备上安装恶意软件。该活动已与VexTrio合作五个月，但它没有直接将流量转发到该平台的TDS服务器，而是使用Keitaro服务作为中间重定向点。SocGholish恶意软件活动则至少自2022年4月起便与VexTrio展开合作，同样依靠Keitaro TDS服务进行中间重定向，该活动曾被勒索软件团伙用来获取对公司网络的初始访问权限。此外，研究人员发现，VexTrio常会使用一系列技巧来逃避检测，包括:1)采用字典域生成算法(DDGA)；2)生成大量域、多阶段TDS重定向链；3)使用合法平台的推荐计划，通过附属链接将受害者重定向到受信任的网站等。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=88ddc7517e414ed0ad96cc42b227ec95

暗蚊黑产团伙向国内IT运维人员投递Mac远控木马

近期，安天发现了一组利用非官方软件下载站进行投毒和攻击下游用户的案例。据悉，攻击者最早于2023年3月份开始策划此次活动，并最终于9月份将被植入恶意文件的五款运维工具(包括SecureCRT、FinalShell、Navicat、ltraEdit、Microsoft Remote Desktop等)上传至MACYY下载站。一旦目标用户在macOS操作系统的主机中执行上述工具便会加载恶意文件，该文件随后便会连接攻击者的C2服务器并下载执行远控木马。攻击者可通过此远控木马窃取主机中的数据和文件，确定受害者及所在单位的信息，并为后续横向渗透做准备。其中，活动涉及的远控木马基于开源跨平台KhepriC2框架进行修改，主要功能包括获取系统信息、进程管理、文件管理、远程Shell等，并具备对感染主机进行远程控制的能力。
经研究人员判断，本次活动背后的黑产团伙主要通过供应链投毒、伪造官方软件网站、以及利用破解软件等多种方式传播恶意程序，主要攻击目标是IT运维人员，攻击范围涵盖了Windows、Linux以及macOS等操作系统。同时，该团伙使用经过精心构造的域名，并对下载的载荷文件进行混淆处理，以规避安全产品的检测，因此安天用"暗蚊"组织命名该团伙。此外，经进一步关联发现，该团伙与此前发布的《amdc6766组织：2023年四起供应链投毒事件幕后黑手》情报中的组织疑似为同一团伙。原因包括：1)均针对IT运维人员，且工具名称和使用的域名相似；2)均使用crond服务持久化和后门动态链接库手法；3)最终载荷均使用了相同的域名amdc6766.net。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=e925e1ac06954789bf1de1e8e51f2652

伪装为注册机程序的勒索软件通过国内收款码收取赎金

近期，360发现注册机程序内藏勒索软件。攻击者以破解程序为诱饵传播该勒索软件，并通过支付宝收款码要求用户支付2000元人民币。此次攻击活动中，攻击者以CASS11注册机为诱饵，CASS11是一款功能强大的CAD测绘工具。用户通过网盘下载压缩包，压缩包中存在一个名为KeyGen.exe的主程序。当当户运行该程序时，程序会展示常见的注册机界面，同时，恶意dll文件libartual.dl正被加载至内存中运行，解密核心勒索模块。核心模块经过大量混淆，模块在加密主机文件前首先会杀掉安全软件的进程、生成并保存加密密钥的相关随机数。加密方式根据文件大小的不同而有所不同，加密均采用AES256对称加密算法进行加密，但对大小在50M以上的文件采用CFB模式，而50M以下则是CBC模式。加密后的文件将被添加._locked扩展名，加密过程中，勒索软件还会将主机信息发送至指定邮箱作为记录。加密结束后，勒索软件会在桌面留下一封勒索信，信的内容使用繁体中文编写。安全人员根据其邮箱信息推测目前有超过60位用户已遭受勒索。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=60460fa09ad14218ae8a14e4eef8512f

Blackwood组织劫持合法更新程序以部署NSPX30恶意软件

ESET近日报道称，Blackwood组织正使用名为"NSPX30"的复杂恶意软件对公司和个人进行网络间谍攻击。据悉，NSPX30至少从2018年起就一直被积极利用，它基于2005年名为"Project Wood"的后门代码，疑似由DCM(黑幽灵)演变而来，具备多级架构，包含释放器、具有广泛UAC绕过功能的DLL安装程序、加载器、编排器和后门等组件，能够收集系统数据、记录键盘、屏幕截图和拦截数据包等。Blackwood此次活动的目标地区集中在中国、日本和英国，受影响行业涉及科研院校、制造、贸易、工程等领域，主要实施AitM攻击，即通过劫持WPS Office、腾讯QQ即时通讯平台和搜狗拼音文档编辑器等合法软件的更新请求来传播NSPX30恶意软件，同时将拦截NSPX30生成的流量，以隐藏其活动及C2服务器。此外，研究人员还指出，Blackwood疑似与其他APT组织共享访问权限，原因是，其中一家受影响公司的系统遭到了与多个组织相关的工具包的攻击。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=15d6d97adea94e0f94c1c4f337b57fcc