​新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

新APT组织暗爪鹰针对亚美尼亚政府投递VenomRAT

近日，安恒信息的研究人员捕获到一个由亚美尼亚上传的恶意LNK文件并根据该文件追踪到完整的攻击链。攻击者主要针对亚美尼亚共和国政府工作人员，通过钓鱼攻击获取目标主机的初始访问权限。攻击者仿冒亚美尼亚国家安全局和亚美尼亚共和国卫生和劳动监察机构内部软件，以各类公务为主题诱惑目标下载邮件附件。附件为DOC文档或者LNK文件，DOC文档可通过恶意宏代码下载EXE文件以执行Powershell命令，Powershell命令执行后将下载加载器，从而在内存解密加载Venom RAT。LNK文件则会执行远程VBS代码，代码将执行Powershell命令以部署Venom RAT。此外，安全人员发现攻击者以亚美尼亚政府职位空缺公告为诱饵，最终下发恶意组件窃取敏感数据。研究人员将此次攻击活动归因为APT-LY-1009(别名暗爪鹰、Darkclaw Eagle)组织。攻击链图如下图所示。

来源：

https://mp.weixin.qq.com/s/ZuZGntN_uIFZUCQZ9Ol-0A

TA576组织在美国纳税期间开展攻击

近日，Proofpoint的研究人员发现TA576组织卷土重来，据悉，该组织通常只在美国纳税期间的前几个月活跃，并主要针对北美地区的会计和金融组织开展以税收为主题的网络电子邮件钓鱼活动，最终将投递Parallax远程木马。研究人员表示，在2024年1月观察到的前两次活动中，攻击者首先利用盗取的帐户发送了声称请求税务援助的良性电子邮件。一旦目标回复，攻击者就会继续使用恶意的Google Firebase(web.app)URL进行响应。用户单击该URL，将会被重定向到一个压缩快捷方式(LNK)文件的下载页面。如果执行此快捷方式，它将通过SyncAppvPublishingServer.vbs LOLBAS二进制文件注入运行编码的PowerShell。最终，运用PowerShell命令启动Mshta以从提供的URL处运行HTML应用程序(HTA)负载。

来源：

https://www.proofpoint.com/us/blog/threat-insight/security-brief-tis-season-tax-hax

APT37冒充网络研讨会主办方分发ROKRAT木马

近日，安全人员监测到攻击者冒充网络研讨会主办方开展钓鱼攻击。攻击者以“2023年朝鲜形势评估和2024年展望”为活动主题，发送携带链接的电子邮件。当用户点击链接时，链接将通过DropBox下载zip压缩包，压缩包将释放恶意LNK文件和诱饵PDF文件。LNK文件伪装为PDF文档图标，从而诱导用户运行LNK文件。一旦LNK文件被运行，其携带的Powershell代码将被执行，同时向用户展示诱饵PDF文档。Powershell代码执行后将在特定路径创建public.dat和241223.bat文件。随后241223.bat将执行public.dat中进一步的Powershell命令，最终经过解密、下载有效载荷等操作部署ROKRAT。ROKRAT主要进行信息收集，收集的信息包括主机文件列表、特定扩展名的文件等，并且ROKRAT还具有检测并破坏虚拟环境的功能。攻击者使用pCloud服务作为C2服务器，ROKRAT最终将收集的信息上传至pCloud平台。安全人员根据此次攻击活动的特征，将此次活动归因为APT37组织。攻击链图如下图所示。

来源：

https://www.genians.co.kr/blog/webinar-apt

研究人员对APT组织Peach-Sandstorm后门利用技术的分析
近日，Nextron的研究人员对Peach Sandstorm组织用于针对全球国防承包商的FalseFont后门进行了分析。研究人员表示，该后门具有数据泄露和远程访问功能。它伪装成美国国防和情报承包商 Maxar Technologies 的合法应用程序，并为用户提供真实的UI和行为。屏幕录制功能是数据泄露的另一个载体，允许攻击者从未存储在磁盘上的数据（如电子邮件或聊天消息）中获取更多潜在的机密信息。研究人员对其进行技术分析和流程复现。

来源：

https://www.nextron-systems.com/2024/01/29/analysis-of-falsefont-backdoor-used-by-peach-sandstorm-threat-actor/

针对国内医药企业的钓鱼攻击活动

近日，山石情报团队发现一起定向的针对某医药企业的钓鱼攻击正在悄悄进行。在本次事件中，攻击者在钓鱼邮件中使用“紧急通知！”配合仅有一半的图片来吸引用户注意，诱使用户点击该图片，在点击邮件中的图片后，用户会跳转到旨在获取凭据的微软outlook钓鱼网站。此邮件中使用的图片链接来自"flowcode.com"，这是一个免费的设计生成二维码的网站，通过该网站生成二维码时还会提供一个重定向的链接，将该链接置入邮件中，即可达到绕过安全设备检测的效果。攻击链图如下图所示。

来源：

https://mp.weixin.qq.com/s/RtfEkpkvNesZagmghFIGxA

黑客声称窃取HPE公司数据并在黑客论坛出售
近日，安全人员发现未知攻击者将涉嫌窃取的数据在黑客论坛上出售，声称其中包含 HPE （慧与公司）凭据和其他敏感信息，并在 IntelBroker 分享了一些据称被盗的 HPE 凭证的屏幕截图，这些数据包括：CI/CD 访问、系统日志、配置文件、访问令牌、HPE StoreOnce 文件（序列号授权等）和访问密码。（还包括电子邮件服务）。”慧与公司 (HPE) 正在调查潜在的新漏洞。该公司反馈尚未发现任何安全漏洞的证据，也没有要求赎金，但正在调查威胁行为者的说法。

来源：

https://www.bleepingcomputer.com/news/security/hpe-investigates-new-breach-after-data-for-sale-on-hacking-forum/

针对Linux系统的BlueShell恶意软件攻击韩国

BlueShell是一种以Go语言开发的后门恶意软件，在GitHub上公开提供，支持Windows、Linux和Mac操作系统。作为后门恶意软件，它可以通过接收来自C&C服务器的命令来执行攻击者的恶意命令。BlueShell功能简单，支持TLS加密以绕过网络检测与C&C服务器通信。攻击者的命令可以执行的功能包括远程命令执行、文件下载/上传和SOCKS5代理。BlueShell有三个配置数据：C&C 服务器的IP地址、端口号和延迟。通常，在创建恶意软件时，配置数据会被硬编码并存储在二进制文件中，然后通过init（）函数中的初始化过程使用。与常规BlueShell不同，这次针对韩国的攻击中使用的自定义BlueShell后门在其内部二进制文件中不包含配置数据，相反，它会读取执行时传入的环境变量，以获取配置数据。到目前为止确定的环境变量名称是“lgdt”和“wtim”。自定义的BlueShell本身不会显示有关C&C地址或目标系统的信息，而是将配置信息包含在运行它的下载器中。在执行过程中，下载器通过使用0x63密钥对.data部分中的BlueShell进行解密。解密后的数据是压缩数据，可以解压缩后存储在“/tmp/.ICECache”中。之后，dropper执行并删除生成的BlueShell，因此BlueShell仅在内存中工作。GitHub上BlueShell的信息如下图所示。

来源：

https://asec.ahnlab.com/ko/61293/

恶意软件HeadCrab新变种实现无文件化持续攻击Redis服务器
研究人员发现 HeadCrab 恶意软件新变种，该恶意软件自 2021 年 9 月初以来一直以全球的 Redis 数据库服务器为目标，并将其编入僵尸网络以非法挖掘加密货币，同时还以允许威胁参与者执行 shell 命令、加载无文件内核模块以及将数据渗漏到远程的方式利用访问权限。研究人员分析了 HeadCrab 2.0 的复杂细节，揭示了其先进的机制，并表示新变种能够以合法命令的名义伪装其恶意活动，这给检测带来了新的问题。与去年相比，受该恶意软件感染的 Redis 服务器数量几乎增加了一倍。

来源：

https://blog.aquasec.com/headcrab-2.0-evolving-threat-in-redis-malware-landscape

ALPHV勒索组织声称窃取Technica机构300GB数据并威胁泄露
ALPHV或BlackCat的勒索软件组织声称，已经从Technica窃取300 GB 的关于国防情报和安全局相关的数据。Technica 是一家总部位于弗吉尼亚州的 IT 服务机构，负责进行背景调查和内部威胁分析。ALPHV 勒索组织发布了二十多张据称被盗文件的屏幕截图，其中包含数十人的姓名、社会安全号码、许可级别以及角色和工作地点。这些屏幕截图包括账单发票、从联邦调查局到美国空军等实体的合同，以及与美国政府签订合同的私人实体和设施的相关信息。该组织在与文件一起发布的消息中写道：“如果 Technica 不尽快联系我们，这些数据将被出售或公开。”目前Technica公司没有回复多封寻求置评的电子邮件，也无法通过电话联系到该公司。

来源：

https://cyberscoop.com/technica-pentagon-alphv-ransomware/?&web_view=true