每周高级威胁情报解读(2024.01.26~02.01)

披露时间：2024年1月31日

情报来源：https://www.trendmicro.com/en_us/research/24/a/pawn-storm-uses-brute-force-and-stealth.html

相关信息：

Pawn Storm（也称为 APT28 和 Forest Blizzard）是一种高级持续威胁组织 (APT)，其战术、技术和程序 (TTP) 表现出持续且持久的重复。该组织的一些活动涉及重复使用相同类型的技术技巧，有时会同时针对单个组织中的数百人。

据估计，大约从 2022 年 4 月到 2023 年 11 月，Pawn Storm 试图通过不同的方式发起 NTLMv2哈希中继攻击，目标数量出现巨大峰值，而且所针对的政府部门也存在差异。

攻击者涉及向目标组织发送一封电子邮件，其中包含扩展消息应用程序接口(MAPI)属性，以及到远程攻击者控制的SMB的通用命名约定(UNC)路径服务器。攻击者首先会远程发送由.msg表示的恶意日历邀请，以使用PidLidReminderFileParameter触发易受攻击的API端点PlayReminderSound。当受害者连接到攻击者的SMB服务器时，攻击者会发送包含用户Net-NTLMv2哈希的用户NTLM协议协商消息，进而利用该消息对支持NTLM身份验证的其他系统进行身份验证。

披露时间：2024年1月30日

情报来源：https://mp.weixin.qq.com/s/NBFwjxnm2yIwPfMn87vbRQ

相关信息：

本次发现的攻击样本伪装成聊天软件，远程控制工具采用Lazaspy。

Lazaspy是基于 XploitSPY 构建的自定义Android RAT，在XploitSPY的基础上定制了关键信息的序列化采集功能，该工具具有窃取通讯录、麦克风录音、实时剪切板、窃取短信和窃取设备文件等功能。

在其泄露的受害者用户信息表中，可以看到大部分号码归属地为印度，同时从数据中也可以发现此次攻击从2023年3月持续至今。此次攻击的受害者多来自印度，其中包含印度军人相关，这符合透明部落组织的目标群体及地域分布。

此次攻击使用的2个服务器解析域名，通过奇安信威胁情报中心查询可知，它们都属于透明部落组织。

披露时间：2024年1月29日

情报来源：https://www.nextron-systems.com/2024/01/29/analysis-of-falsefont-backdoor-used-by-peach-sandstorm-threat-actor/

相关信息：

本文将探讨 Peach Sandstorm 用于针对全球国防承包商的 FalseFont 后门。该后门最初是由Microsoft发现并报告的。该恶意软件具有数据泄露和远程访问功能。它伪装成美国国防和情报承包商 Maxar Technologies 的合法应用程序，并为用户提供真实的 UI 和行为。

披露时间：2024年1月30日

情报来源：https://mp.weixin.qq.com/s/YhaEq6ogz3p5OQO_PyI-OQ

相关信息：

Kimsuky疑似是位于朝鲜半岛地区的威胁组织，国外研究人员发现了该组织针对韩国军事智库的大规模网络间谍活动，并引用恶意代码中词语“Kimsuky”对其命名。

Kimsuky APT组织作为一个十分活跃的APT组织，其针对南韩的活动次数也愈来愈多，主要针对韩国政府机构、世宗研究所、韩国外交部门、韩国国防分析研究所（KIDA）、韩国统一部、北朝鲜相关研究领域，同时该组织不断的使用hwp文件、Lnk文件、可执行文件，恶意宏文档的方式对目标进行相应的攻击。该组织与有相同背景的Lazarus组织和Konni组织有一定的相似之处，且与ScarCruft(Group123)组织存在部分基础设施重叠的现象。

在本次事件中，攻击者向目标发送伪装成PDF的恶意LNK文件用于下载后续载荷，该文件名称“트레이딩 스파르타코스 강의안-100불남(2차)”翻译为“交易斯巴达克斯讲稿-100美元（第二期）”，疑似攻击目标为数字货币/金融领域相关人士。

披露时间：2024年1月30日

情报来源：https://mp.weixin.qq.com/s/kKNkTAlUpLL2skXq3TcBfw

相关信息：

Kimsuky，别名Mystery Baby、Baby Coin、Smoke Screen、Black Banshe等，奇安信内部跟踪编号为APT-Q-2。该APT组织于2013年公开披露，攻击活动最早可追溯至2012年，疑似具有东北亚国家背景。

近期奇安信威胁情报中心发现一批以韩国软件公司SGA旗下产品安装程序为伪装的窃密攻击样本，样本运行后释放正常的安装包迷惑受害者，并暗中执行经过VMProtect处理的恶意DLL，恶意DLL由Go语言实现，收集感染设备上的各类信息回传给攻击者，然后清除攻击痕迹。

根据窃密软件样本携带的数字签名我们关联到另一种用作后门的恶意软件，同样为Go编写，并带有VMProtect保护壳。此后门软件与Kimsuky组织历史攻击样本存在多处特征重叠，因此我们认为这两种恶意软件均和Kimsuky组织存在关联。

披露时间：2024年1月24日

情报来源：https://www.welivesecurity.com/en/eset-research/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005/

相关信息：

研究人员近日报道称，Blackwood组织正使用名为"NSPX30"的复杂恶意软件对公司和个人进行网络间谍攻击。据悉，NSPX30至少从2018年起就一直被积极利用，它基于2005年名为"Project Wood"的后门代码，疑似由DCM(黑幽灵)演变而来，具备多级架构，包含释放器、具有广泛UAC绕过功能的DLL安装程序、加载器和后门等组件，能够收集系统数据、记录键盘、屏幕截图和拦截数据包等。

此次活动的目标地区集中在中国、日本和英国，受影响行业涉及科研院校、制造、贸易、工程等领域，主要实施AitM攻击，即通过劫持WPS Office、腾讯QQ即时通讯平台和搜狗拼音文档编辑器等合法软件的更新请求来传播NSPX30恶意软件，同时将拦截NSPX30生成的流量，以隐藏其活动及C2服务器。此外，研究人员还指出，Blackwood疑似与其他APT组织共享访问权限，原因是，其中一家受影响公司的系统遭到了与多个组织相关的工具包的攻击。

披露时间：2024年1月30日

情报来源：https://bi.zone/expertise/blog/scaly-wolf-primenyaet-stiler-white-snake-protiv-rossiyskoy-promyshlennosti/

相关信息：

近日，研究人员披露了Scaly Wolf组织的近半年活动。Scaly Wolf组织于2023年6月首次亮相，以Roskomnadzor(俄罗斯联邦政府)为诱饵进行钓鱼攻击活动，7月的攻击活动与6月相似，均通过钓鱼活动分发White Snake恶意软件。

8月，攻击者伪装为俄罗斯联邦调查委员会分发White Snake恶意软件。

9月，攻击者调整策略，以商业报价相关主题为诱饵传播恶意压缩包文件。

10月，攻击者以刑事案件调查为主题散发钓鱼邮件，邮件携带恶意PDF附件，要求用户出席法庭作证等。以此促使受害者尽快下载恶意PDF文件。

11月，攻击者根据10月活动进行调整，邮件附件调整为恶意exe程序。

2024年1月，攻击者伪装为俄罗斯联邦主要军事检察官办公室实施钓鱼活动。Scaly Wolf组织目前已对俄罗斯商业构成严重威胁，持续不断地分发White Snake恶意软件。

披露时间：2024年1月29日

情报来源：https://mp.weixin.qq.com/s/OheNN_iR_ATCkOkyK8FLAg

相关信息：

研究人员自2023年6月起观察到利用仿冒聊天应用，针对多个国家发起的金融攻击活动。样本会申请无障碍权限，获得对受害设备的控制，同时针对性攻击设备中的虚拟货币钱包及银行应用，通过窃取设备密码、短信息、监听屏幕等恶意行为最终达到窃取受害设备资金的目的。

在攻击者服务器后台发现了功能完善的“热聊开放平台”（针对社交聊天类应用开发的功能完善的系统后台，为第三方开发者提供开放API），同时关联到多个后台、仿冒应用以及疑似平台开发者的TG账户，该开发者利用Telegram平台出售恶意木马及后台系统。

披露时间：2024年1月29日

情报来源：https://mp.weixin.qq.com/s/U3UufHMcU0nh3u0jX3-FUA

相关信息：

近期研究人员陆续收到多起被盗求助，在分析被盗事件后，发现多数被盗原因竟然是：知名项目方推特下方的钓鱼留言导致！

随后研究人员做了针对性的分析统计：约有 80% 的知名项目方在发布推特后，评论区的第一条留言会被诈骗钓鱼账号所占据。鉴于钓鱼团伙的自动化程度之高、部分加密货币从业者安全意识较低，本文将解析知名项目方评论区钓鱼团伙的作案流程，给加密货币从业者以警示。

披露时间：2024年1月29日

情报来源：https://thedfirreport.com/2024/01/29/buzzing-on-christmas-eve-trigona-ransomware-in-3-hours/

相关信息：

近期，研究人员披露了一起攻击活动。攻击者在平安夜发起攻击，并在获取初始访问权限后，快速地在目标网络上部署Trigona勒索软件。据安全人员分析，攻击IP位于乌克兰，通过RDP协议获取初始访问权限，由于初始阶段并未存在RDP口令爆破的痕迹，安全人员推测攻击者通过已泄漏的数据或购买凭据获得了域管理员密码。攻击者在攻击期间主要使用RDP服务通过Powershell或者CMD执行各类脚本，并在主机上下发各类工具以进行进一步操作。

攻击者使用Netscan工具发现内网其他主机，并且发起多次RDP连接请求以操控内网其他主机。最终遭受感染的主机将被窃取文件，窃取的文件通过Mega.io服务保存。此外，攻击者使用WMIC命令建立持久性，并在受害主机上下发多个bat脚本禁用包括Windows Defender在内的多种安全工具。最后，攻击者向所有被攻陷的主机发送Trigona勒索软件。

Trigona是一个用Delphi 编程语言编写的勒索软件，至少自2022年6月起开始活跃，采用双重勒索模式，加密文件采用RSA算和AES两种算法。目前该勒索软件仍在持续更新中，新增功能包括数据擦除功能等。

披露时间：2024年1月25日

情报来源：https://mp.weixin.qq.com/s/2JrirGHMYeQRrevG3jXs9Q

相关信息：

近期，研究人员发现一款伪装成Windows非法激活程序的窃密病毒正在传播。该病毒以Windows_Loader.zip包形式诱导用户，内含病毒程序，可以获取用户电脑和程序信息并且盗取资金，对用户构成较大安全威胁。

该病毒与CryptBot家族有关。CryptBot是一个窃密软件，最早出现在2019年，主要在Windows系统中通过钓鱼邮件和破解软件进行传播。它能窃取受害者浏览器的敏感信息，获取电脑和已安装程序信息，拍摄上传屏幕截图。

与以往不同的是，此次分析中发现新增了"clipboard hijacker"模块，通过劫持受害者的剪贴板数据，将其中的加密货币地址替换成自己的钱包地址，来盗取资金。

披露时间：2024年1月25日

情报来源：https://www.malwarebytes.com/blog/threat-intelligence/2024/01/malicious-ads-for-restricted-messaging-applications-target-chinese-users

相关信息：

正在进行的恶意广告活动一直以中文用户为目标，引诱他们使用 Telegram 或 LINE 等流行消息应用程序，目的是传播恶意软件。有趣的是，像 Telegram 这样的软件受到严格限制，之前在中国被禁止。

威胁行为者正在滥用 Google 广告客户帐户来创建恶意广告，并将其指向毫无戒心的用户下载远程管理特洛伊木马 (RAT) 的页面。此类程序使攻击者能够完全控制受害者的计算机并能够删除其他恶意软件。

恶意广告活动主要针对受限或禁止的应用程序，这可能并非巧合。虽然研究人员不知道威胁行为者的真实意图，但数据收集和间谍活动可能是他们的动机之一。这篇博文分享了有关能够收集的恶意广告和有效负载的更多信息。

披露时间：2024年1月26日

情报来源：https://mp.weixin.qq.com/s/E1Egprn5tJG4XDB8VCuLEw

相关信息：

近期研究人员监测到一系列通过社交软件和电子邮件传播的税务、医疗保险等相关钓鱼链接，或文档的攻击活动，攻击者使用hfs搭建文件存储服务，存放钓鱼文档和后阶段PayLoad。诱导用户点击下载后的文档中的链接。通过hfs页面的点击次数可以看出受影响用户广泛，以下是研究人员近期监测到近期树狼远控攻击活动趋势，首次发现于2023年11月中旬，根据其pdb名称命名为”树狼“。

用户下载后的文件一般以"查询端口-客户端"，"查询入口"，"电脑端查询入口"等命名，并伪装WinRAR的图标，诱导用户执行。当用户执行后将会联网拉取"树狼"远控模块，这是一种基于gh0st的远控变种，后在内存加载执行，后续远控端操作人员会根据目标下发多个功能插件模块进行定向攻击。

披露时间：2024年1月30日

情报来源：https://www.mandiant.com/resources/blog/unc4990-evolution-usb-malware

相关信息：

UNC4990组织至少从2020年开始活跃，主要针对意大利用户，常使用USB设备感染用户，目前UNC4990正在逐渐转向使用GitHub、GitLab、Vimeo等网站托管有效负载。安全人员还观察到攻击者使用EMPTYSPACE(也称为VETTA Loader和BrokerLoader)加载器和QUIETBOARD后门。攻击活动从用户双击可移动USB设备上的LNK文件开始，LNK文件名称以USB设备的供应商和存储大小组成，并且攻击者将该LNK文件设置为Microsoft Windows驱动器的默认图标，以诱惑毫无戒心的用户双击该图标触发嵌入在LNK文件中的恶意代码。

恶意代码将运行一个Powershell脚本，脚本将在受害主机上下发EMPTYSPACE程序。EMPTYSPACE是一个下载器，可通过HTTP协议下载C2服务器提供的有效负载，部署QUIETBOARD后门程序。QUIETBOARD是一个基于Python的预编译多组件后门，能够执行任意命令、操纵剪贴板内容以窃取加密货币、USB/可移动驱动器感染、屏幕截图、系统信息收集以及与C2服务器通信。此外，后门还具有模块化扩展和运行独立Python代码的能力。安全人员收集了大量关于UNC4990的情报后发现，UNC4990主要针对位于意大利的欧美企业分部。目前，受影响行业包括医疗保健、运输、建筑和物流。

披露时间：2024年1月30日

情报来源：https://www.welivesecurity.com/en/eset-research/eset-takes-part-global-operation-disrupt-grandoreiro-banking-trojan/

相关信息：

Grandoreiro 是众多拉丁美洲银行木马之一。它至少从 2017 年开始活跃，研究人员从那时起就一直在密切跟踪它。Grandoreiro 以巴西和墨西哥为目标，自 2019 年起也以西班牙为目标。在 2023 年观察到重点明显转向墨西哥和阿根廷，后者是 Grandoreiro 的新目标。

当拉美银行木马成功入侵机器时，它通常会向远程服务器发送 HTTP GET 请求，发送有关被入侵机器的一些基本信息。虽然较早的 Grandoreiro 版本实现了这一功能，但随着时间的推移，开发人员决定放弃这一功能。

Grandoreiro 会定期监控前台窗口，查找属于网络浏览器进程的窗口。当发现此类窗口且其名称与银行相关字符串硬编码列表中的任何字符串匹配时，恶意软件才会与其 C&C 服务器进行通信，每秒至少发送一次请求，直至终止。

从功能上看，该软件没有太大变化。本节简要介绍该恶意软件，并在稍后深入探讨一些变化，主要是新的 DGA 逻辑。

披露时间：2024年1月31日

情报来源：https://www.zscaler.com/blogs/security-research/tracking-15-years-qakbot-development

相关信息：

Qakbot（又名 QBot 或 Pinkslipbot）是一种恶意软件木马，已被用来运营最古老、运行时间最长的网络犯罪企业之一。Qakbot 已从银行木马演变为恶意软件植入程序，可用于横向移动和最终部署勒索软件。2023 年 8 月，Qakbot 基础设施被执法部门拆除。然而，就在几个月后的 2023 年 12 月，Qakbot 的第五个（也是最新）版本发布了，标志着超过 15 年的开发。本博客将分析 Qakbot 从 2008 年的第一个版本到截至 2024 年 1 月持续更新的最新版本。分析表明，Qakbot 背后的威胁行为者具有弹性、持久性和创新性。

披露时间：2024年1月31日

情报来源：https://www.malwarebytes.com/blog/threat-intelligence/2024/01/nitrogen-shelling-malware-from-hacked-sites

相关信息：

Nitrogen是指通过恶意搜索广告传播的相关恶意软件名称。其标志性举措是使用 Python 和 DLL 侧面加载来连接到攻击者的命令和控制服务器。

这篇博文研究了最近的 Nitrogen 活动，特别是如何将初始有效负载提供给受害者。威胁行为者似乎更喜欢将其有效负载托管在受感染的 WordPress 网站上，而许多网站已经被恶意 PHP shell 脚本攻击。

披露时间：2024年1月30日

情报来源：https://cybersecurity.att.com/blogs/security-essentials/darkgate-malware-delivered-via-microsoft-teams-detection-and-response

相关信息：

新的网络钓鱼攻击滥用 Microsoft Teams 群聊请求来推送恶意附件，在受害者的系统上安装 DarkGate 恶意软件负载。

根据研究人员分析，攻击者使用看似受感染的 Teams 用户（或域）发送了 1,000 多个恶意 Teams 群聊邀请。目标接受聊天请求后，威胁行为者会诱骗他们使用名为“Navigating Future Changes October 2023.pdf.msi”的双扩展名下载文件，这是一种常见的 DarkGate 策略。

披露时间：2024年1月26日

情报来源：https://www.fortinet.com/blog/threat-research/ransomware-roundup-albabat

相关信息：

Albabat，也称为 White Bat，是一种以 Rust 编写的出于经济动机的勒索软件变体，它会识别和加密对用户重要的文件，并要求赎金才能释放它们。它首次出现于 2023 年 11 月，其变体版本为 0.1.0。0.3.0 版本于 12 月下旬发布，随后于 2024 年 1 月中旬发布了 0.3.3 版本。Albabat 勒索软件似乎作为流氓软件进行分发，例如假冒的 Windows 10 数字激活工具和《反恐精英 2》游戏的作弊程序。Albabat 勒索软件样本已提交给公开的文件扫描服务，它似乎主要针对阿根廷、巴西、捷克共和国、德国、匈牙利、哈萨克斯坦、俄罗斯和美国的公司和个人。但由于它是作为假软件分发的，因此勒索软件可以影响任何人。

披露时间：2024年1月25日

情报来源：https://www.fortinet.com/blog/threat-research/phobos-ransomware-variant-launches-attack-faust

相关信息：

Phobos 勒索软件系列是一组臭名昭著的恶意软件，旨在加密受害者计算机上的文件。它于 2019 年出现，此后参与了多次网络攻击。这种勒索软件通常会附加带有唯一扩展名的加密文件，并要求以加密货币支付赎金以获得解密密钥。研究人员捕获并报告了 Phobos 系列的多个勒索软件变体，包括EKING和8Base。

最近，研究人员发现了一份 Office 文档，其中包含一个 VBA 脚本，旨在传播 FAUST 勒索软件（Phobos 的另一个变体）。攻击者利用 Gitea 服务存储多个以 Base64 编码的文件，每个文件都携带恶意二进制文件。当这些文件被注入系统内存时，它们会发起文件加密攻击。

本博客探讨了文件部署的不同阶段，并深入研究了所交付恶意软件的详细信息。

披露时间：2024年1月24日

情报来源：https://blog-en.itochuci.co.jp/entry/2024/01/24/134100

相关信息：

LODEINFO是一种无文件恶意软件，自2019年12月以来开始活跃，常通过钓鱼攻击感染受害者主机，受影响的行业有日本媒体、外交、公共机构、国防工业等。截至2024年1月24日，安全人员观察到LODEINFO的最新版本为v0.7.3。在2023年的攻击活动中，攻击者通过钓鱼邮件传播恶意Word文档。一旦用户试图打开该恶意文档，文档中携带的VBA代码将被运行，并在受害主机上部署32位和64位的Shellcode加载器以加载LODEINFO后门程序。

此外，安全人员还观察到LODEINFO v0.6.9版本在部署过程中使用远程模板注入技术，从C2服务器下载并读取恶意的模板。模板与恶意Word文档相同，可通过VBA代码下发Shellcode加载器。Shellcode加载器可从C2服务器下载并解密伪装成PEM文件的恶意文件，最终在受害主机上部署LODEINFO程序。LODEINFO后门为攻击者提供远程操控主机的功能，能够执行多种命令，如获取文件列表、上传文件、下载文件、使用WMI、键盘记录等功能。由于LODEINFO的加载器和远控模块都是无文件恶意软件，这大大提升了安全产品的检测难度。

披露时间：2024年1月30日

情报来源：https://blog.qualys.com/vulnerabilities-threat-research/2024/01/30/qualys-tru-discovers-important-vulnerabilities-in-gnu-c-librarys-syslog

相关信息：

研究人员最近在 GNU C 库中发现了四个重大漏洞，该库是 Linux 环境中无数应用程序的基石。

非特权攻击者可以通过利用 GNU C 库 (glibc) 中新披露的本地权限提升 (LPE) 漏洞，在默认配置下获得多个主要 Linux 发行版的 root 访问权限。CVE-2023-6246广泛使用的 syslog 和 vsyslog 函数调用将消息写入系统消息记录器。

在分析 glibc 的其他潜在安全问题时，研究人员还发现了另外三个漏洞，其中两个较难利用，位于_vsyslog_internal() 函数（CVE-2023-6779 和 CVE-2023-6780）中，最后一个漏洞涉及 GNU C 库的 qsort() 函数中一个内存损坏问题，原因是边界检查缺失。