每周高级威胁情报解读(2024.02.02~02.08)

披露时间：2024年2月3日

情报来源：https://mp.weixin.qq.com/s/Uf708Khax2rJaUhNo1Mz1Q

相关信息：

APT-K-47，也被称为Mysterious Elephant，是研究人员首先披露活动细节的APT组织。据推测该组织发源于南亚地区，其攻击活动最早可追溯至2022年。在对APT-K-47的技术手法、战术策略、工具运用以及行动目标进行深入分析时，可以看到南亚多个其他APT组织的影子，包括但不限于Sidewinder、Confucius和Bitter等。

APT-K-47组织其技战术与其他南亚组织基本相同，主要还是围绕着社会工程学展开，根据热点信息投递诱饵进行钓鱼，其初始阶段的攻击载体往往使用CHM、漏洞文档（例如CVE-2017-11882）及WinRAR软件的漏洞。根据我方持续监测的数据显示，该组织攻击目标包含俄罗斯、巴基斯坦、孟加拉国、美国等。

在此次攻击中，该组织利用一款尚未公开的木马工具，成功入侵后进一步下载ORPCBackdoor及其他恶意载荷，执行磁盘目录遍历并窃取目标文件，随后将数据回传至命令控制服务器（C2）。同时，该组织还窃取了目标电脑浏览器中的密码信息并进行回传。本文将详细阐述此次追踪发现的相关内容。

披露时间：2024年2月2日

情报来源：https://mp.weixin.qq.com/s/ZuZGntN_uIFZUCQZ9Ol-0A

相关信息：

在2023年9月，研究人员首次捕获亚美尼亚首都耶烈万上传的包含有恶意宏代码的文档，宏代码运行后将下载用于执行脚本指令的恶意文件，最后在内存中加载Venom RAT。

鉴于23年9月与今年1月捕获的两条攻击链的目标相似性、攻击武器一致性，以及网络基础设施存在的关联性，研究人员认为该组织可以作为未知威胁组织进行跟踪及披露，并将此事件背后的威胁组织标记为APT-LY-1009（暗爪鹰、Darkclaw Eagle）并进行跟踪。

除开源恶意软件Venom RAT的使用外，还在APT-LY-1009的网络资产上发现了其用于窃取目标主机信息，进行上传下载的Telegram Bot。

根据样本中包含的PDB路径，研究人员将该信息窃取器命名为Mohlat Stealer。该组织开发并使用了C#、Rust两个版本的Mohlat，部分还使用UPX进行了加壳。

跟踪发现，APT-LY-1009（暗爪鹰、Darkclaw Eagle）的几次攻击活动均针对亚美尼亚共和国政府工作人员。

披露时间：2024年2月1日

情报来源：https://www.welivesecurity.com/en/eset-research/vajraspy-patchwork-espionage-apps/

相关信息：

研究人员已发现 12 个 Android 间谍应用程序共享相同的恶意代码：其中 6 个可在 Google Play 上找到，另外 6 个是在 VirusTotal 上发现的。除了伪装成新闻应用程序外，所有观察到的应用程序都被宣传为消息传递工具。这些应用程序在后台秘密执行名为 VajraSpy 的远程访问木马 (RAT) 代码，该代码被 APT 组织 Patchwork用于有针对性的间谍活动。

VajraSpy 具有一系列间谍功能，可以根据授予与其代码捆绑的应用程序的权限进行扩展。它会窃取联系人、文件、通话记录和短信，甚至可以提取 WhatsApp 和 Signal 消息、录制电话以及用相机拍照。

披露时间：2024年2月6日

情报来源：https://www.group-ib.com/blog/resumelooters/

相关信息：

2023 年 11 月，研究人员检测到一场主要针对亚太地区的职业介绍所和零售公司的大规模恶意活动，目的是窃取和出售敏感的用户数据。

该活动被归因于一个先前未知的组织。由于威胁行为者专注于求职平台和盗窃简历，研究人员将其称为ResumeLooters。在 2023 年 11 月至 2023 年 12 月期间发现了 65 个受到 ResumeLooters 攻击的网站。通过对网站使用SQL 注入攻击，威胁行为者试图窃取用户数据库，其中可能包括姓名、电话号码、电子邮件和出生日期以及关于求职者的经历和其他敏感个人数据。威胁行为者将被盗数据在 Telegram 频道中出售。

研究人员还在合法求职网站上发现了跨站脚本 (XSS) 感染的痕迹。这些脚本旨在从相关的恶意基础架构中加载其他恶意脚本，并在合法资源上显示钓鱼表单。根据攻击者服务器上的文件创建日期，最早的攻击可追溯到 2023 年初。

披露时间：2024年2月6日

情报来源：https://www.ncsc.nl/documenten/publicaties/2024/februari/6/mivd-aivd-advisory-coathanger-tlp-clear

相关信息：

研究人员称，一个网络间谍组织去年入侵了荷兰国防部，并在受感染的设备上部署了恶意软件。在后续调查中发现了一种以前未知的名为Coathanger的恶意软件，这是一种旨在感染Fortigate网络安全设备的远程访问木马（RAT）。该恶意软件隐蔽而持久地运行，通过拦截系统调用来隐藏自己，以避免暴露其存在。它还会在系统重新启动和固件升级后持续存在。攻击者在易受攻击的FortiGate防火墙上部署了用于网络间谍目的的Coathanger恶意软件，他们利用CVE-2022-42475（FortiOS的SSL-VPN漏洞）进行破坏。

披露时间：2024年2月7日

情报来源：https://www.trustwave.com/hubfs/Web/Library/Documents_pdf/FaceBook_Ad_Spreads_Novel_Malware.pdf

相关信息：

一种名为 Ov3r_Stealer 的新密码窃取恶意软件正在 Facebook 上通过虚假招聘广告传播，旨在窃取帐户凭据和加密货币。这些虚假招聘广告针对的是管理职位，并引导用户访问 Discord URL，其中 PowerShell 脚本从 GitHub 存储库下载恶意软件负载。研究人员指出，尽管其策略都不新颖，但考虑到 Facebook 作为社交媒体平台的受欢迎程度，它仍然对许多潜在受害者构成严重威胁。

披露时间：2024年2月5日

情报来源：https://asec.ahnlab.com/ko/61293/

相关信息：

BlueShell是一种以Go语言开发的后门恶意软件，在GitHub上公开提供，支持Windows、Linux和Mac操作系统。作为后门恶意软件，它可以通过接收来自C&C服务器的命令来执行攻击者的恶意命令。BlueShell功能简单，支持TLS加密以绕过网络检测与C&C服务器通信。攻击者的命令可以执行的功能包括远程命令执行、文件下载/上传和SOCKS5代理。BlueShell有三个配置数据：C&C 服务器的IP地址、端口号和延迟。通常，在创建恶意软件时，配置数据会被硬编码并存储在二进制文件中，然后通过init（）函数中的初始化过程使用。

与常规BlueShell不同，这次针对韩国的攻击中使用的自定义BlueShell后门在其内部二进制文件中不包含配置数据，相反，它会读取执行时传入的环境变量，以获取配置数据。到目前为止确定的环境变量名称是“lgdt”和“wtim”。自定义的Blue Shell本身不会显示有关C&C地址或目标系统的信息，而是将配置信息包含在运行它的下载器中。在执行过程中，下载器通过使用0x63密钥对.data部分中的Blue Shell进行解密。解密后的数据是压缩数据，可以解压缩后存储在“/amp/.ICECache”中。之后，dropper执行并删除生成的BlueShell，因此BlueShell仅在内存中工作。

披露时间：2024年2月2日

情报来源：https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_cn/

相关信息：

研究人员发现了一个新的僵尸网络，将其命名为Smargaft，它的主要功能是进行DDoS攻击，执行系统命令，提供socks5代理服务等。Smargaft最大的亮点是使用智能合约托管C2，这种技术于2023年10月被首次披露，业内称之为EtherHiding，它充分利用区块链的公开性和不可篡改性，"链上”的C2无法被移除，是一种相当高级且少见的Bullet-Proof Hosting技法。研究人员在僵尸网络领域首次见到此类技术的应用。

Smargaft的开发者通过智能合约来配置和管理C2，而C2的相关信息最终被存储在区块链上。一旦C2配置完成，Smargaft的恶意软件（Bot样本）便通过JSON RPC与区块链网络通信来获取C2信息。具体来说，Bot样本会向一个RPC服务器发送请求，这个请求包含了Smargaft智能合约的地址和要调用的合约函数。RPC服务器接收到这个请求后，会将它转发给区块链网络。随后，区块链节点接收到请求，并利用EVM（以太坊虚拟机）来加载和执行智能合约中指定的函数。执行完毕后，结果会沿着原路返回给Bot样本。

Smargaft使用已知漏洞CVE-2013-5948和CVE-2020-8515传播Downloader到目标设备，Downloader植入成功后再下载Bot样本进行传播。Smargaft僵尸网络的攻击目标遍布全球，没有明确的针对性，目前攻击目标主要分布在中国、波兰、美国、德国、法国等地区。

披露时间：2024年2月2日

情报来源：https://mp.weixin.qq.com/s/RtfEkpkvNesZagmghFIGxA

相关信息：

近日，研究人员发现一起定向的针对某医药企业的钓鱼攻击正在悄悄进行。在本次事件中，攻击者在钓鱼邮件中使用“紧急通知！”配合仅有一半的图片来吸引用户注意，诱使用户点击该图片，在点击邮件中的图片后，用户会跳转到旨在获取凭据的微软outlook钓鱼网站。此邮件中使用的图片链接来自"flowcode.com"，这是一个免费的设计生成二维码的网站，通过该网站生成二维码时还会提供一个重定向的链接，将该链接置入邮件中，即可达到绕过安全设备检测的效果。

披露时间：2024年2月2日

情报来源：https://unit42.paloaltonetworks.com/mispadu-infostealer-variant/?web_view=true

相关信息：

研究人员最近发现了 Mispadu Stealer 的攻击活动，这是一种隐蔽的信息窃取程序。研究人员是在猎杀 SmartScreen CVE-2023-36025 漏洞时发现这一威胁活动的。

该软件家族以特定地区和 URL 为目标，而这些地区和 URL 最常与墨西哥公民相关联。Mispadu Stealer 是 ESET 于 2019 年 11 月首次报告的一款已知隐身银行木马。它使用 Delphi 编写，最初的目标是巴西和墨西哥的受害者。

在最近公布了被识别为 CVE-2023-36025 的 Windows SmartScreen 绕过漏洞后，研究人员发现了一些样本，极大可能这些样本属于 Mispadu Stealer。在搜索绕过尝试时，发现了一个新的 Mispadu 变体，它是在 CVE 公布之前创建和执行的，可能无意绕过此功能。

披露时间：2024年1月31日

情报来源：https://cert.gov.ua/article/6277422

相关信息：

研究人员警告说，PurpleFox 恶意软件活动已感染该国至少2,000台计算机。PurpleFox（又称DirtyMoe）是一种模块化的Windows僵尸网络恶意软件，于2018年首次被发现，它带有一个 rootkit模块，允许它在设备重启之时隐藏和持久化。它可以用作下载器，在受感染的系统上引入更强大的第二阶段有效载荷，为攻击者提供后门功能，它还可以充当分布式拒绝服务（DDoS）攻击的机器人。当受害者启动MSI安装程序时，PurpleFox就会感染系统，并利用已知漏洞和密码暴力破解来实现其自我传播能力。

披露时间：2024年2月1日

情报来源：https://www.akamai.com/blog/security-research/fritzfrog-botnet-new-capabilities-log4shell

相关信息：

研究人员发现了一个FritzFrog僵尸网络的新变种，该变种滥用了2021年的Log4Shell漏洞CVE-2021-44228。该漏洞以暴力破解方式被利用，试图针对尽可能多的易受攻击的Java应用程序。FritzFrog现在还包括一个利用pkexec漏洞CVE-2021-4034的模块，此模块使恶意软件能够在易受攻击的服务器上以root身份运行。

FritzFrog僵尸网络最初于2020年发现，这是一个复杂的、基于Golang的点对点僵尸网络，旨在支持基于AMD和ARM的机器。该恶意软件经过积极维护，并通过添加和改进功能不断发展。FritzFrog传统上通过使用SSH暴力破解进行攻击，因此已经成功地破坏了数千个目标。每个受感染的主机都成为FritzFrog网络的一部分，与其它受感染的对象通信以共享信息、有效载荷和配置。虽然FritzFrog依靠暴力破解作为其唯一的感染媒介，但最新版本的FritzFrog开始利用Log4Shell漏洞，FritzFrog通过在端口8080、8090、8888和9000上查找HTTP服务器来识别潜在的Log4Shell目标。FritzFrog试图通过HTTP标头注入有效负载来利用此漏洞，注入的有效负载使应用程序连接回FritzFrog自己的IP地址以提供后续服务。

除了添加Log4Shell漏洞利用外，FritzFrog还提高了识别其主要目标的能力，在继续以随机生成的IP地址为目标的同时，FritzFrog现在还将尝试通过枚举每个受害者的多个系统日志来识别特定的SSH目标。

披露时间：2024年2月5日

情报来源：https://asec.ahnlab.com/ko/61250/

相关信息：

研究人员已确认多个RAT恶意软件伪装成非法赌博相关文件通过快捷方式（.lnk）分发，RAT恶意软件直接从HTA下载。目前发现正在流传的快捷方式文件包含恶意 PowerShell命令，通过运行MSHTA来下载恶意脚本。快捷方式文件中包含的恶意URL下载的文件中包含的VBS代码中，有一个混淆的PowerShell命令，用于下载普通文档文件和RAT恶意软件。下载的可执行文件包括Venom RAT和Pandora hVNC等恶意软件，研究人员发现攻击者正在使用各种类型的RAT恶意软件进行攻击。

披露时间：2024年2月5日

情报来源：https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document

相关信息：

研究人员获得了一份分发信息窃取程序的 Excel 文档。从这次攻击的指纹来看，这与一个总部位于越南的组织有关，该组织于 2023 年 8 月首次被报道，并于 9 月再次被报道。信息窃取者之前的攻击阶段是简单的下载程序，这增加了检测的难度。本文介绍了此攻击的每个阶段，并分析恶意软件活动背后的运行逻辑。

披露时间：2024年2月6日

情报来源：https://www.zscaler.com/blogs/security-research/jenkins-arbitrary-file-leak-vulnerability-cve-2024-23897-can-lead-rce

相关信息：

enkins 是一款基于 Java 的开源自动化服务器，被开发人员广泛用于应用程序构建、测试和部署，该服务器已发布有关可能启用远程代码执行 (RCE) 的严重漏洞的公告。

该漏洞编号为 CVE-2024-23897，风险较高，会影响 Jenkins 集成命令行界面 (CLI)。CVSS 分数为 9.8，可以通过 CLI 对文件进行未经授权的访问，从而可能导致 RCE。

除了文件访问之外，还可以利用 CVE-2024-23897 来访问包含用于各种 Jenkins 功能的加密密钥的二进制文件，尽管有一定的限制。