[0202] 一周重点威胁情报｜天际友盟情报站

热点情报

透明部落针对印度军方发起钓鱼攻击
Phobos勒索软件变种Faust近期活动剖析
USB可移动设备正被UNC4990组织用于感染主机
Scaly Wolf组织持续分发White Snake恶意软件
APT28组织对全球多个组织发起NTLMV2哈希中继攻击
WhiteSnake窃取器通过恶意PyPI软件包感染Windows用户

APT攻击

Stately Taurus组织瞄准缅甸外交部
TA576组织在美国纳税期间卷土重来
Kimsuky组织使用Dropbox实施攻击活动
APT37冒充网络研讨会主办方分发ROKRAT木马
APT-LY-1009组织向亚美尼亚政府投递VenomRAT
Kimsuky组织伪造韩国SGA旗下软件安装包实施窃密行动

技术洞察

Albabat勒索软件综述
Zloader木马演变追踪
Grandoreiro银行木马披露
npm包被用于投递远控木马
针对俄罗斯反对派的钓鱼活动追踪
RADX RAT被用于针对俄罗斯多个行业
LODEINFO恶意软件瞄准日本多个行业
疑似乌克兰攻击者下发Trigona勒索软件
携带AhMyth木马的聊天程序已感染全球数万人
基于Go的新型恶意软件加载器CherryLoader分析
CryptBot病毒伪装为Windows激活程序盗取用户资金

情报详情

透明部落针对印度军方发起钓鱼攻击

奇安信近日监测到了透明部落(别称Transparent Tribe)针对印度军方发起的钓鱼攻击活动。据悉，此次攻击从2023年3月持续至今，活动样本伪装成聊天软件，它配合远程控制框架Lazaspy实现控制受害者设备和采集信息的目的。其中，Lazaspy是一个基于XploitSPY构建的自定义Android RAT，属于L3mon远程控制病毒家族，它在XploitSPY的基础上定制了关键信息的序列化采集功能，包含窃取通讯录、麦克风录音、实时剪切板、窃取短信和设备文件等功能，并且在数据传输上具有双重保障，分别使用WebSocket事件发送和设备序列化作为文件上传的手段。根据其泄露的受害者用户信息表，研究人员发现大部分号码归属地为印度，并与印度军人相关，符合透明部落组织的目标群体及地域分布。经进一步溯源，发现攻击使用的2个服务器解析域名，也都属于透明部落组织。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=14967c5c36ff4f6c9d73d29b54d9233a

Phobos勒索软件变种Faust近期活动剖析

Phobos勒索软件于2019年首次出现，此后参与了多次网络攻击，它拥有多个勒索软件变体，包括Eking和8Base。近日，FortiGuard捕获了一份MS Excel XLAM文档，其中包含一个嵌入式VBA脚本，旨在利用无文件攻击技术来部署shellcode，进而将最终的Faust有效负载(即Phobos的另一个勒索变体)注入受害者的系统。据悉，该勒索软件加密后，文件扩展名为".id[<<ID>>-3512].[[email protected]].faust"，并会在加密文件所在的目录中生成名为info.txt和info.hta的勒索赎金文件。
经进一步分析发现，打开XLAM文档后，VBA脚本将使用"Workbook_Open()"函数触发PowerShell脚本以进入下一阶段。然后，它从Gitea下载经Base64编码的数据，该数据解码为干净的XLSX文件，保存在TEMP文件夹中并自动打开，用以误导用户认为该过程已完成并且不会造成任何损害。不过，PowerShell脚本随后会从C2服务器处下载名为"cfmifs_CRPT.txt"的数据文件，它负责提取名为"AVG update.exe"的恶意软件下载器。下载器包含大量无关代码来逃避检测并使分析复杂化，它通过采用进程注入技术，为恶意软件分配读-写-执行(RWE)内存，进而将恶意代码注入新生成的进程中。具体来说，下载器将首先解码恶意的".rdata"部分，获取MSIL执行文件和随机生成的字符串作为类名，并将其保存为TEMP文件夹中的"SmartScreen Defender Windows.exe"。随后使用命令"cmd /Ccurl -s"从C2服务器中检索经Base64解码的"AppVStreamingUX_FST.txt"，提取数据以获取shellcode。最终，调用基本API将shellcode注入"SmartScreen Defender Windows.exe"中。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=dc0d3740d6f44f4db7384ebad870e5ad

USB可移动设备正被UNC4990组织用于感染主机

UNC4990组织至少从2020年开始活跃，主要针对意大利用户，常使用USB设备感染用户，目前UNC4990正在逐渐转向使用GitHub、GitLab、Vimeo等网站托管有效负载。安全人员还观察到攻击者使用EMPTYSPACE(也称为VETTA Loader和BrokerLoader)加载器和QUIETBOARD后门。攻击活动从用户双击可移动USB设备上的LNK文件开始，LNK文件名称以USB设备的供应商和存储大小组成，并且攻击者将该LNK文件设置为Microsoft Windows驱动器的默认图标，以诱惑毫无戒心的用户双击该图标触发嵌入在LNK文件中的恶意代码。恶意代码将运行一个Powershell脚本，脚本将在受害主机上下发EMPTYSPACE程序。EMPTYSPACE是一个下载器，可通过HTTP协议下载C2服务器提供的有效负载，部署QUIETBOARD后门程序。QUIETBOARD是一个基于Python的预编译多组件后门，能够执行任意命令、操纵剪贴板内容以窃取加密货币、USB/可移动驱动器感染、屏幕截图、系统信息收集以及与C2服务器通信。此外，后门还具有模块化扩展和运行独立Python代码的能力。安全人员收集了大量关于UNC4990的情报后发现，UNC4990主要针对位于意大利的欧美企业分部。目前，受影响行业包括医疗保健、运输、建筑和物流。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=e9a68f7329924b2e874e65e2d7d9093d

Scaly Wolf组织持续分发White Snake恶意软件

近日，BI.ZONE披露了Scaly Wolf组织的近半年活动。Scaly Wolf组织于2023年6月首次亮相，以Roskomnadzor(俄罗斯联邦政府)为诱饵进行钓鱼攻击活动，7月的攻击活动与6月相似，均通过钓鱼活动分发White Snake恶意软件。8月，攻击者伪装为俄罗斯联邦调查委员会分发White Snake恶意软件。9月，攻击者调整策略，以商业报价相关主题为诱饵传播恶意压缩包文件。10月，攻击者以刑事案件调查为主题散发钓鱼邮件，邮件携带恶意PDF附件，要求用户出席法庭作证等。以此促使受害者尽快下载恶意PDF文件。11月，攻击者根据10月活动进行调整，邮件附件调整为恶意exe程序。2024年1月，攻击者伪装为俄罗斯联邦主要军事检察官办公室实施钓鱼活动。Scaly Wolf组织目前已对俄罗斯商业构成严重威胁，持续不断地分发White Snake恶意软件。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=ddeede4bb21d42938b0c15761cc5f83e

APT28组织对全球多个组织发起NTLMV2哈希中继攻击

Trendmicro近日发布报告称，俄罗斯APT28组织大约从2022年4月到2023年11月起，便一直试图通过不同的方式发起NTLMv2哈希中继攻击，目标涵盖欧洲、北美、南美、亚洲、非洲和中东等地区的政府、国防、能源、交通以及军队等领域实体。据悉，APT28至少从2004年起就一直活跃，常通过暴力破解凭证的方式实现初步入侵，为隐藏痕迹，涉及使用多种工具，包括VPN服务、Tor、数据中心IP地址和受感染的EdgeOS路由器。同时，APT28还获取了世界各地的众多电子邮件帐户，用于发送鱼叉式网络钓鱼电子邮件。
研究人员表示，自2019年以来，APT28一直在跨地区探测Microsoft Outlook服务器和企业VPN服务器，试图通过利用数据中心计算机服务器以暴力破解手段访问企业和政府帐户。自2020年以来，APT28开始使用更多的匿名服务技术(包括Tor和商业VPN网络)以实现扫描和探测，在2022-2023年期间，该组织便使用了十几种不同的VPN服务。
另外，APT28还涉及通过EdgeOS路由器发送鱼叉式网络钓鱼电子邮件，并在2022年4月到2023年8月期间利用Outlook中的CVE-2023-23397漏洞，以实现NTLMv2哈希中继攻击。即攻击者涉及向目标组织发送一封电子邮件，其中包含扩展消息应用程序接口(MAPI)属性，以及到远程攻击者控制的SMB的通用命名约定(UNC)路径服务器。攻击者首先会远程发送由.msg表示的恶意日历邀请，以使用PidLidReminderFileParameter触发易受攻击的API端点PlayReminderSound。当受害者连接到攻击者的SMB服务器时，攻击者会发送包含用户Net-NTLMv2哈希的用户NTLM协议协商消息，进而利用该消息对支持NTLM身份验证的其他系统进行身份验证。此后，WinRAR漏洞CVE-2023-38831也被其用于哈希中继攻击。该组织最近的凭据网络钓鱼活动则发生在2023年11月29日至12月11日期间，目标为欧洲各国政府，主要涉及使用webhook站点URL以及Mullvad、Whoer和IPVanish VPN IP地址发送电子邮件。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=9b58da844fd24684a351ad0bc8ab039f

WhiteSnake窃取器通过恶意PyPI软件包感染Windows用户

Fortinet近期监测到，开源Python包索引(PyPI)存储库中存在大量的恶意软件包，这些包名为nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends和TestLibs111，均由名为"WS"的攻击者上传，可在Windows系统上传播名为WhiteSnake Stealer的信息窃取程序。
研究人员表示，攻击者主要在软件包的setup.py文件中合并了经Base64编码的PE源代码或其他Python脚本。根据受害者设备的操作系统，最终的恶意负载将会在安装这些Python包时释放并执行。具体来说，若在Windows上运行，他们就会部署Whitesnake PE恶意软件，反之则会提供旨在从Linux设备窃取信息的Python脚本。其中，Whitesnake是由PyInstaller工具制作的Python编译的可执行文件，它不依赖单个固定的URL，而是使用一系列IP地址作为目标，因此即使一台服务器发生故障，也可能确保数据的成功传输。据悉，目前此活动受害者可能超过2000名，研究人员将其背后的威胁组织追踪为PYTA31，并指出其目的是从受感染计算机中窃取敏感数据，尤其是加密钱包数据。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=b48399140a494a1ea0533d881d0501fb