APT组织Scarcruft疑似收集战略情报并针对网络安全专业人员——每周威胁情报动态第162期（01.19-01.25）

APT组织COLDRIVER使用新型Spica后门软件开展攻击

据悉，具有俄罗斯背景的APT组织——COLDRIVER，多年来一直专注于针对非政府组织中的知名人士、前情报和军官、北约组织以及各国政府进行凭证网络钓鱼活动。近日，谷歌的研究人员观察到COLDRIVER不再局限于凭证网络钓鱼，开始通过使用PDF作为诱饵文档来传播恶意软件。调查显示，此类活动最早发生在2022年11月，感染链始于包含加密PDF文档的网络钓鱼诱饵邮件，发件人通过冒充与目标存在关联的个人账户，以诱导收件人点击查看。一旦受害者回复称无法读取该"加密"文档，他们便会收到可用于下载伪装为PDF解密工具(Proton-decrypter.exe)的链接，以便查看诱饵文档的内容，进而在目标系统中植入Spica新型后门恶意软件。其中，Spica由Rust语言编写，并使用基于Websockets的JSON进行C2通信，可执行任意shell命令、窃取浏览器cookie、上传和下载文件等。执行期间，Spica首先会解码嵌入的PDF，随后将其写入磁盘，再将其作为用户的诱饵打开。在后台，它还会通过使用PowerShell命令创建名为CalendarChecker的计划任务以建立持久性并启动主C2循环，然后等待命令执行。

来源：

https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/

APT组织TA866回归利用钓鱼邮件活动开展攻击

近期，Proofpoint的研究人员发现TA866组织在消失九个月后又重新开始进行大量电子邮件钓鱼活动。攻击者编造各类主题的电子邮件，包括发票、项目等主题，邮件中携带PDF附件，附件中存在OneDrive URL，一旦用户单击URL，下载并运行MSI文件，文件将执行嵌入的WasabiSeed VBS脚本，脚本将循环下载并执行第二个MSI文件及其他负载。第二个MSI文件包含 Screenshotter屏幕截图组件，Screenshotter组件之一app.js负责进行屏幕截图。该文件运行snap.exe(即IrfanView程序) 以将桌面屏幕截图保存至指定路径，另一个Screenshotter 组件index.js则负责将桌面截图上传到C2服务器。目前，安全人员尚不清楚攻击者在获得屏幕截图后，将继续做何操作。攻击链图如下图所示。

来源：

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta866-returns-large-email-campaign

APT组织Scarcruft疑似收集战略情报并针对网络安全专业人员

Scarcruft组织，也被称为APT37和InkySquid，是一个疑似具有朝鲜背景的APT组织，主要对韩国个人以及各类机构公司等实施攻击活动。近期，安全人员发现该组织对朝鲜媒体组织和朝鲜知名事务专家发起攻击，并且发现该组织正有意针对网络安全专业人员等威胁情报的消费者，这有助于识别对其运营的潜在威胁，并有助于完善其运营和规避方法。在2023年底，攻击者冒充朝鲜研究所成员，向一名朝鲜事务专家发送了钓鱼邮件，邮件携带附件为压缩包文件，其内存在9个文件。文件主题与目标专家相关，9个文件中只有2个是恶意LNK文件。LNK文件伪装为文档，大小超过48M。当用户打开该文件时，文件将提取诱饵文档、BAT脚本和一个Powershell脚本，随后向用户展示诱饵文档，同时执行BAT脚本。BAT脚本将执行Powershell脚本，解码隐藏在Powershell脚本中的另一段Powershell代码并执行。最终，代码将远程下载zip文档，部署RokRAT后门。此外，安全人员在追踪Scarcruft组织的活动时发现，攻击者构造的两个LNK文件都以韩国网络安全公司Genians发布的关于Kimsuky威胁组织的公开研究报告为诱饵文档，因此，安全人员推测ScarCruft组织一直在针对朝鲜网络威胁形势的最新发展策划网络钓鱼或社会工程活动，目标受众是使用威胁情报报告的用户。攻击链图如下图所示。

来源：

https://www.sentinelone.com/labs/a-glimpse-into-future-scarcruft-campaigns-attackers-gather-strategic-intelligence-and-target-cybersecurity-professionals/

APT组织UAC-0050冒充乌克兰国家服务局实施钓鱼攻击

近日，乌克兰政府计算机应急响应小组(CERT-UA)发布警告称，UAC-0050组织正冒充乌克兰国家特殊通信服务局和国家紧急服务局以大规模分发钓鱼电子邮件。邮件包含RAR压缩文档，文档主题为"消除病毒"和"疏散"，其中附有一个指向Bitbucket网络服务的链接，旨在引导用户下载名为"Electronic evacuation plan.rar"、"plan_dsns.gov.ua.rar"或"CCleaner.rar"的恶意文件。一旦用户执行这些文件中的任意一个，它便将会继续执行install.msi程序，最终在受害者的PC上安装RemoteUtilities远程控制程序。据悉，该程序的配置文件包含15个不同的C2 IP地址，且在2024年1月21日23:00至2024年1月22日10:30期间，恶意文件下载次数已超过3000次，成功感染的电脑数量达数十台。

来源：

https://cert.gov.ua/article/6277285

美国证券交易委员会SEC确认X账户在SIM卡交换攻击中遭到网络攻击
美国证券交易委员会近日确认，其X账户因与该账户关联的手机号码遭到 SIM 卡交换攻击而遭到黑客攻击。本月早些时候， SEC的X账户遭到黑客攻击 ，发布了一份虚假公告，称该机构最终批准了在证券交易所上市的比特币 ETF。而美国证券交易委员会第二天就在一份合法声明中批准了比特币 ETF。然而，当时尚不清楚该账户是如何被泄露的，美国证券交易委员会表示，他们将在调查结果公布后提供最新情况。近日，SEC已确认与X帐户关联的手机帐户遭受了SIM交换攻击。

来源：

https://www.bleepingcomputer.com/news/security/sec-confirms-x-account-was-hacked-in-sim-swapping-attack/

抵押贷款机构LoanDepot遭遇网络攻击导致1660万用户数据泄露
抵押贷款机构LoanDepot表示，在本月早些时候披露的勒索软件攻击中，约 1660 万人的个人信息被盗。1 月 6 日的一次攻击迫使其关闭部分系统以遏制违规行为，该公司告诉客户，定期自动付款仍将得到处理，但付款历史记录会出现延迟。事件发生后，通过服务客户门户进行的付款也无法使用，其他几个在线门户，包括 MyloanDepot、HELOC 和 mellohome 网站也处于离线状态。几天后，loanDepot确认这是一次勒索软件攻击，恶意行为者还对受感染设备上的文件进行加密。今天，在确认数百万人的数据被盗后，该公司表示将通知受此数据泄露影响的个人，为他们提供免费的信用监控和身份保护服务。

来源：

https://www.businesswire.com/news/home/20240122969848/en/loanDepot-Provides-Update-on-Cyber-Incident

Trezor警告官网遭遇网络攻击导致66000名客户数据泄露
Trezor 在发现1月17日因未经授权访问其第三方支持票务门户而发生数据泄露后，发布了安全警报。这家受欢迎的硬件加密货币钱包供应商表示，对该事件的调查仍在进行中，但迄今为止没有发现任何证据表明用户的数字资产在该事件中受到损害。公告中写道：“我们想强调的是，我们的用户资金都没有因此次事件而受到损害。” 该公司补充说：“您的 Trezor 设备今天仍然像昨天一样安全。”然而，自 2021年12月以来与 Trezor 支持互动的 66000 名用户中的一部分可能已将其姓名或用户名以及电子邮件地址暴露给未经授权的一方。邮政地址、电话号码和其他个人身份信息也存储在被破坏的系统中，但 Trezor 认为这些信息不会受到影响。Trezor 已经确认了41起暴露数据被利用的案例，攻击者接近用户，诱骗他们泄露恢复种子，其中包含访问钱包所需的所有信息。

来源：

https://blog.trezor.io/trezor-security-update-stay-vigilant-against-potential-phishing-attack-bb05015a21f8

NS-STEALER恶意软件利用Discord机器人从主流浏览器中窃取数据
网络安全研究人员发现了一种新的基于Java 的“复杂”信息窃取程序，它使用 Discord 机器人从受感染的主机中窃取敏感数据。这种名为NS-STEALER的恶意软件通过伪装成破解软件的 ZIP 档案进行传播。ZIP 文件中包含一个恶意 Windows 快捷方式文件（“Loader GAYve”），该文件充当部署恶意 JAR 文件的管道，该文件首先创建一个名为“NS-<11-digit_random_number>”的文件夹来存储收集的数据。随后，恶意软件会将从二十多个网络浏览器窃取的屏幕截图、cookie、凭据和自动填充数据、系统信息、已安装程序列表、Discord 令牌、Steam 和 Telegram 会话数据保存到此文件夹中。然后捕获的信息会被泄露到 Discord Bot 频道。攻击链图如下图所示。

来源：

https://www.trellix.com/about/newsroom/stories/research/java-based-sophisticated-stealer-using-discord-bot-as-eventlistener/

新macOS恶意软件家族利用破解软件窃取用户的加密钱包

近期，卡巴斯基发现一个迄今为止未知的新macOS恶意软件家族利用破解软件感染用户。安全人员对其分析后发现，样本可以在macOS Ventura 13.6及更高版本上成功运行，这表明攻击者仅针对在英特尔处理器和苹果芯片机上使用较新操作系统版本的用户。安全人员在受损的磁盘映像上发现一个名为Activator的程序以及用户想要安装的应用程序。安装程序时，程序会弹出一个包含安装说明的窗口，并指导用户将应用程序复制到/Applications/路径下，然后启动Activator。Activator会展示一个界面要求用户输入管理员用户密码，当用户提交后，程序会将Python安装程序复制到临时文件目录并进行初始化，以备后续使用。第二阶段，下载器将生成特定格式的C2服务器URL，并向DNS服务器发出请求获取该域名的TXT记录，以联系C2服务器，下载下一阶段的Python脚本，脚本的主要功能是执行从服务器接收到的任意命令，脚本还会收集操作系统版本、/Users/路径下的目录列表、已安装的应用程序列表、CPU类型等信息并传递至远程服务器。此外，一旦服务器IP地址发生变化，脚本将自动更新。脚本中还存在两个重要函数，用于检查设备是否包含相关的加密钱包应用程序，窃取用户的加密钱包。

来源：

https://securelist.com/new-macos-backdoor-crypto-stealer/111778/

Kasseika勒索软件使用BYOVD手段对抗安全防护软件
Kasseika的勒索软件组织加入了Akira、AvosLocker、BlackByte 和 RobbinHood等其他组织的行列，成为最新一个利用自带漏洞驱动程序 ( BYOVD ) 攻击来解除受感染 Windows 主机上的安全相关进程的勒索软件组织。该策略允许“威胁行为者终止防病毒进程和服务以部署勒索软件” 。Kasseika于 2023 年 12 月中旬首次由网络安全公司发现，与现已解散的BlackMatter存在重叠，后者是在 DarkSide 关闭后出现的。有证据表明，勒索软件病毒可能是一位经验丰富的威胁行为者所为，该行为者获取或购买了 BlackMatter 的访问权限，因为后者的源代码在 2021 年 11 月消亡后从未公开泄露。涉及 Kasseika 的攻击链从用于初始访问的网络钓鱼电子邮件开始，随后丢弃远程管理工具 (RAT) 以获得特权访问并在目标网络内横向移动。

来源：

https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html

研究人员称3AM勒索软件与Conti组织和Royal勒索软件有关联性
安全研究人员分析了最近出现的 3AM 勒索软件操作的活动，发现其与 Conti 集团和 Royal 勒索软件团伙等组织有密切联系。3AM（也拼写为 ThreeAM）也一直在尝试一种新的勒索策略：与受害者的社交媒体关注者分享数据泄露的消息，并使用机器人回复 X（以前称为 Twitter）上的高级帐户，发送指向数据泄露的消息。研究人员注意到威胁参与者在部署 LockBit 恶意软件失败后转而使用 ThreeAM 勒索软件。ThreeAM 很可能与 Royal 勒索软件组织有关，该组织现已更名为 Blacksuit，该团伙由 Conti 集团内 Team 2 的前成员组成。

来源：

https://www.bleepingcomputer.com/news/security/researchers-link-3am-ransomware-to-conti-royal-cybercrime-gangs/