每周高级威胁情报解读(2023.10.27~11.02)

披露时间：2023年10月30日

情报来源：https://medium.com/s2wblog/fastviewer-variant-merged-with-fastspy-and-disguised-as-a-legitimate-mobile-application-f3004588f95c

相关信息：

研究人员最近从朝鲜组织Kimsuky中搜寻并分析了一个新的FastViewer样本，并发现该组织似乎正在使用FastViewer的变种。该变体至少自 2023 年 7 月起就已投入生产，与初始版本一样，人们发现该变体通过分发在合法应用程序中包含恶意代码的重新打包APK来诱导安装。

程序包名称、应用程序名称、图标和某些功能与合法应用程序相同。该恶意应用程序的确切分发路线尚未确定，但据信与去年相同，通过鱼叉式网络钓鱼电子邮件或网络诈骗伪装成合法应用程序，诱骗目标运行它。正如韩国国家网络安全中心去年发布的安全公告中指出的那样，可以利用Google Play Sync 功能强制安装。

披露时间：2023年10月31日

情报来源：https://blog.talosintelligence.com/arid-viper-mobile-spyware/

相关信息：

自2022年4月以来，研究人员一直在持续跟踪APT组织Arid Viper发起的攻击活动。近期，发现Arid Viper组织针对使用阿拉伯语的Android用户发起攻击，攻击者利用其自定义的APK文件感染移动设备，收集敏感信息并部署其他恶意软件。Arid Viper组织是一个传闻疑似与哈马斯有关的黑客组织，主要针对中东地区国家实施间谍活动。攻击活动中，Arid Viper组织通过Youtube等社交媒体发送应用程序教程视频，教程会逐步介绍应用程序的所有功能以及如何用阿拉伯语操作该应用程序，并在视频下方附带一个恶意URL，该恶意URL指向攻击者控制的域，可提供伪装成正常软件的恶意软件。这些恶意软件常常伪装成约会程序或者常见的社交程序如WhatsApp、Signal、Telegram等。恶意软件具有多种功能，能够秘密地从受害者的设备收集敏感信息并部署其他可执行文件、检索设备信息、录制通话、记录短信等，恶意软件还会尝试禁用操作系统的系统或安全通知以避免被用户发现异常。经安全人员追踪分析发现，此活动中使用的移动恶意软件与非恶意约会应用程序Skipped有相似之处，尤其是两者在开发平台上使用相似的名称和相同的共享项目。这种重叠表明Arid Viper要么与Skipped的开发人员有联系，要么以某种方式非法访问了共享项目的数据库。安全人员在深入研究后推测Skipped所属公司可能与Arid Viper存在联系。同时该公司旗下还存在多个类似Skipped的应用程序，安全人员推测这些软件可能会在Arid Viper的后续攻击活动中出现。

披露时间：2023年10月31日

情报来源：https://research.checkpoint.com/2023/from-albania-to-the-middle-east-the-scarred-manticore-is-listening/

相关信息：

Scarred Manticore 是一个伊朗民族国家威胁组织，主要针对中东的政府和电信部门。Scarred Manticore 与多产的伊朗演员 OilRig（又名 APT34、EUROPIUM、Hazel Sandstorm）有联系，一直在追求高调组织，利用定制工具系统地窃取数据。

在最新的活动中，威胁行为者利用了 LIONTAIL 框架，这是一组复杂的自定义加载程序和内存驻留 shellcode 有效负载。LIONSTAIL 的植入程序利用 HTTP.sys 驱动程序的未记录功能从传入 HTTP 流量中提取有效负载。观察到的与 LIONTAIL 相关的恶意软件的多个变体表明，Scarred Manticore 会为每个受感染的服务器生成量身定制的植入程序，从而使恶意活动能够融入合法网络流量中，并且无法从合法网络流量中辨别出来。

根据研究人员对利用 LIONTAIL最新一波攻击的了解，观察到的受害者遍布中东地区，包括沙特阿拉伯、阿拉伯联合酋长国、约旦、科威特、阿曼、伊拉克和以色列。大多数受影响的实体属于政府、电信、军事、金融以及IT服务提供商。此外还观察到属于全球非营利人道主义网络的区域分支机构Exchange服务器受到感染。

披露时间：2023年10月31日

情报来源：https://mp.weixin.qq.com/s/-7U1-NTP0EdVOtptzbHUsg

相关信息：

APT-C-36（盲眼鹰）是一个疑似来自南美洲的APT组织，主要目标位于哥伦比亚境内，以及南美的一些地区如厄瓜多尔和巴拿马。该组织自2018年被发现以来，持续发起针对哥伦比亚国家的政府部门、金融、保险等行业以及大型公司的定向攻击。

在对APT-C-36组织追踪过程中研究人员发现该组织在不断尝试新的攻击流，尝试将Amadey僵尸网络木马加入到武器库中。

在日常的狩猎活动中研究人员发现APT-C-36组织近期活动中尝试在其惯用的PDF鱼叉钓鱼攻击流中添加Amadey僵尸网络木马。Amadey僵尸网络木马是一个2018年10月左右出现的在俄语黑客论坛上出售的模块化僵尸网络木马，具备内网横移、信息窃取、远程指令执行、脚本执行、DDos攻击等能力。

披露时间：2023年10月26日

情报来源：https://blog.sekoia.io/aridviper-an-intrusion-set-allegedly-associated-with-hamas/

相关信息：

AridViper，也称为APT C-23、MoleRATs、Gaza Cyber Gang或Desert Falcon，是一个据称与哈马斯相关的黑客组织，该组织至少从2012年开始活跃，于2015年2月首次被趋势科技曝光，并被多个网络安全部门观察到其针对巴勒斯坦、以色列和中东地区其他国家进行网络间谍活动的供应商。其主要针对中东的多个行业，例如电信、保险、零售、媒体、学术、高级军事和政府官员等进行攻击。AridViper主要利用基于Windows、iOS和Android的恶意软件开展攻击活动，还常通过钓鱼攻击和社会工程学实行攻击活动传播恶意软件。近年来，该组织的攻击目的主要是进行信息窃取。AridViper常使用的木马工具有PyMICROPSIA、Arid Gopher、Rusty Viper。其中，PyMICROPSIA、Arid Gopher在2020年被发现，Rusty Viper则在2023年被披露，可见该组织的攻击能力在持续增强。根据该组织近年的攻击活动，安全人员推测AridViper由两个小组组成，一个小组针对以色列和中东地区任何可能参与巴勒斯坦事务的实体进行网络间谍活动，第二个小组重点针对巴勒斯坦哈马斯反对派（包括法塔赫竞争对手运动或个人）进行监视活动。

披露时间：2023年10月26日

情报来源：https://mp.weixin.qq.com/s/FnUMSdLlV24SnYfPvj-HVA

相关信息：

近期，研究人员在威胁狩猎过程中确认了一个未知来源的新型APT攻击，攻击者策划发动了一场持续时间六个月以上的针对我国的大型网络攻击行动。该攻击者具有较高的黑客技术水平以及极高的攻击破坏能力。研究人员在持续调查过程中发现了该攻击者的数次网络攻击活动与两种独有武器工具，并关联确认了该攻击者针对国内多个目标的入侵行为。

在调查过程中捕获并分析了该攻击者的主要攻击武器，该武器在通信过程中使用了两次异或加密，根据这一特殊的通信加密思路将该主要工具命名为“双异鼠”，并以相同的名称标记该攻击者为双异鼠组织。

双异鼠组织的出现，证明随着云计算的飞速发展，网络边界设备自身的安全问题已经成为APT攻防领域的焦点问题，APT组织正在使用这一全新的入侵途径，觊觎互联网中的设备数据资产并筹划大规模的网络攻击。

本报告将详细介绍双异鼠组织的主要攻击模式，分享组织归因过程以及其他关联情报。

披露时间：2023年10月27日

情报来源：https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-009.pdf

相关信息：

据10月27日报道，研究人员称，APT28自2021年下半年以来一直攻击其政府机构、企业、大学、研究机构和智库等。大多数APT28活动都利用了鱼叉式钓鱼攻击和基于恶意软件的攻击，并使用至少了3种攻击方式：搜索零日漏洞、攻击路由器和个人电子邮件帐户以及使用开源工具和在线服务。研究人员调查确认，APT28利用了Outlook漏洞(CVE-2023-23397)和漏洞“Follina”（CVE-2022-30190）等，使用了Mimikatz和reGeorg等工具，还使用了一系列VPN客户端。

披露时间：2023年10月26日

情报来源：https://cyble.com/blog/higaisa-apt-resurfaces-via-phishing-website-targeting-chinese-users/

相关信息：

近日，研究人员发现了一个名为open-vpn.top的网络钓鱼网站，该网站仿造OpenVPN官网，网站语言采用中文呈现，主要针对中国用户。安全人员经过分析推测此次攻击活动是Higaisa黑客组织所为。Higaisa黑客组织据传起源于韩国，最初由腾讯安全威胁情报中心于2019年初披露。该组织的恶意活动至少可以追溯到2016年，涉及使用Gh0st、PlugX等恶意程序，主要攻击目标包括政府官员、人权组织和其他与朝鲜有关的实体。此次钓鱼活动中，钓鱼网站中托管了一个恶意OpenVPN安装程序，该程序由正版OpenVPN可执行文件和基于Rust的恶意可执行文件组合构成。程序携带有效的数字签名，签名归属于智雅云科（成都）财税服务有限公司，攻击者通过这种方式来绕过安全检测。当用户运行程序后，程序除了安装合法的OpenVPN软件外，还会运行其携带的恶意文件。该恶意文件是一个Shellcode文件，经过反调试和解密操作后，与C2服务器建立连接，通信过程中采用AES进行加密。成功建立连接后，攻击者就能够控制受害主机、执行恶意活动并部署其他恶意软件。除了伪装为OpenVPN官网外，安全人员还观察到攻击者伪造GoogleMeet和ZoomInstaller官网传播恶意程序。

披露时间：2023年10月27日

情报来源：https://securelist.com/unveiling-lazarus-new-campaign/110888/

相关信息：

今年早些时候，一家软件供应商受到通过未修补的合法软件传播的有关Lazarus的恶意软件攻击。值得注意的是，这些软件漏洞并不新鲜，尽管供应商发出了警告和补丁，但许多供应商的系统仍然继续使用有缺陷的软件，从而使威胁行为者能够利用它们。

经过进一步调查，研究人员发现开发被利用软件的软件供应商此前曾多次成为 Lazarus 的受害者。对手表现出高度的复杂性，采用先进的规避技术并引入 SIGNBT 恶意软件来控制受害者。此外，内存中发现的其他恶意软件包括 Lazarus 著名的 LPEClient，这是一种以受害者分析和有效负载交付而闻名的工具，此前曾在针对国防承包商和加密货币行业的攻击中观察到过该工具。

披露时间：2023年10月27日

情报来源：https://www.elastic.co/security-labs/ghostpulse-haunts-victims-using-defense-evasion-bag-o-tricks

相关信息：

10月27日，研究人员检测到一种新的攻击活动，使用伪造的MSIX Windows应用程序包，来分发新型恶意软件加载程序GHOSTPULSE。该活动首先诱使用户下载MSIX软件包，当用户启动MSIX文件会弹出一个窗口提示点击“安装”按钮。点击后，一个PowerShell脚本会秘密地在系统上下载、解密和执行GHOSTPULSE。GHOSTPULSE作为加载程序，采用Process Doppelgänging攻击方式启动最终payload。最终payload因样本而异，包括SectopRAT、Rhadamanthys、Vidar、Lumma和NetSupport RAT。

披露时间：2023年10月30日

情报来源：https://mp.weixin.qq.com/s/aHbl9o2lcYXmfO03TsRtzg

相关信息：

近期，研究人员检测到一种新型后门病毒伪装成常用软件，通过Google搜索引擎传播，主要针对中文用户。该病毒利用多种方式对抗杀软查杀，被运行后，黑客会立即控制受害者终端并进行任意恶意行为。

以假冒"QQ音乐"为例，在Google中搜索“QQ音乐”，搜索结果的第一名就是该病毒，该网站内容与QQ音乐原始官方网站高度相似，诱导用户下载。用户运行通过Google搜索引擎下载的伪装安装包之后，程序就会释放病毒文件，随后执行黑客下发的恶意行为，包括文件监控、远程控制、键盘记录、窃取QQ微信隐私信息等。

披露时间：2023年10月30日

情报来源：https://mp.weixin.qq.com/s/HAwWcstXoAeK4OFLXrjxMQ

相关信息：

近期，研究人员在运营工作中发现了一起利用日本排放核污水事件针对性钓鱼朝鲜语使用人员的相关样本。该样本针对性较高，攻击者C2使用俄罗斯境内的域名且网站部署中存在大量的俄语。该样本层层隐藏，在用户点击运行后，攻击者可以通过该样本向受害者主机投送后续恶意文件。

该样本经用户解压并运行chm文件后，即开始与攻击者控制的C2运行。攻击者通过为chm文件赋予特殊的名称，诱使受害者点击运行。

披露时间：2023年10月25日

情报来源：https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/yellow-liderc-ships-its-scripts-delivers-imaploader-malware.html

相关信息：

自 2019 年以来，研究人员一直在追踪一个位于伊朗的威胁行为者，称之为 Yellow Liderc（又名 Imperial Kitten、Tortoiseshell、TA456、Crimson Sandstorm）。该威胁行为者仍然对许多行业和国家构成积极和持续的威胁，包括地中海地区的海事、航运和物流部门；美国和欧洲的核工业、航空航天工业和国防工业；以及中东的 IT 管理服务提供商。

本博客将介绍最近观察到的与 Yellow Liderc 相关的恶意软件样本，该样本已与战略性的网络攻击一起使用。以下是分析要点：

2022 年至 2023 年间，威胁行为者实施了战略性网络攻击，嵌入 JavaScript，对网站访问者进行指纹识别并捕获受害者用户位置、设备信息和访问时间。这些攻击的目标主要集中在海事、航运和物流领域，一些受害者受到了后续恶意软件的攻击，将其命名为 IMAPLoader。

IMAPLoader 是一种 .NET 恶意软件，能够使用本机 Windows 实用程序对受害系统进行指纹识别，并充当进一步有效负载的下载程序。它使用电子邮件作为 C2 通道，能够执行从电子邮件附件中提取的有效负载，并通过新服务部署来执行。

分析显示，网络钓鱼活动广泛存在，这些活动与威胁行为者的战略网络入侵同时进行。此活动用于传递恶意 Excel 文件，该文件会释放基本的 Python 后门。

披露时间：2023年10月25日

情报来源：https://www.microsoft.com/en-us/security/blog/2023/10/25/octo-tempest-crosses-boundaries-to-facilitate-extortion-encryption-and-destruction/

相关信息：

Octo Tempest 是一个由以英语为母语的威胁参与者组成的出于经济动机的组织，以发起广泛的活动而闻名，这些活动以中间对手 (AiTM) 技术、社会工程和 SIM 交换功能为特色。Octo Tempest 与 0ktapus、Scattered Spider 和 UNC3944 相关的研究重叠，。Octo Tempest 在 2022 年通过向其他犯罪分子出售 SIM 卡交换并接管高净值个人的账户以窃取他们的加密货币，将其入侵货币化。

在最近的活动中，研究人员观察到 Octo Tempest 利用各种 TTP 来导航复杂的混合环境、窃取敏感数据和加密数据。Octo Tempest 利用了许多组织在其典型威胁模型中所没有的贸易技术，例如短信网络钓鱼、SIM 交换和高级社会工程技术。这篇博文旨在通过详细介绍 Octo Tempest 操作的流动性，帮助组织深入了解 Octo Tempest 的交易技术，并提供防御机制，以挫败高度活跃的金融网络犯罪集团。

披露时间：2023年10月25日

情报来源：https://mp.weixin.qq.com/s/ontMtn5pK8yJZVH266lbAg

相关信息：

近期，研究人员捕获到一起以某摄像头公司为目标的攻击活动，该攻击活动所使用的攻击载荷异常复杂，远超寻常攻击。为了查明该攻击来源及其载荷的技术实现，对其进行了深入的技术分析和溯源追踪分析。通过分析，发现该攻击在多个维度上都采用了高强度的对抗手段以防止被逆向工程，同时采用了多模块多阶段的内嵌式套娃模式，其中包含多达10个环环相扣层层相嵌的Loader和DLL模块，这些模块依赖大量对抗手段在内存中不落地的解密执行。无论是静态分析对抗还是动态分析对抗都使逆向工程变得极其困难，比如其将所有类型、字段、属性、方法等进行了名称混淆，资源数据和相关配置信息、字符串也均通过动态加解密实现，并基于“spaghetti code”的控制流混淆使得控制流程无比复杂；而为了对抗动态分析，恶意软件的执行流中始终贯穿着毫无规律的垃圾指令和无序跳转，同时采用动态代理技术来封装和隐藏类、方法和成员，并基于“Protobuf”库对结构化数据进行二进制序列化，使得数据交换更加隐蔽。

这次攻击活动的目标企业是一家提供摄像头和智慧物联解决方案的中国企业。攻击者伪装成该企业的客户（国内某印染公司），以订购产品为由向该公司服务支持部门投递窃密木马以试图窃取该公司重要数据和敏感信息。黑客通过利用HTML smuggling方式在目标主机中投放恶意软件以躲避邮件网关检测，恶意软件通过复杂执行逻辑后启用窃密木马。

披露时间：2023年10月30日

情报来源：https://thedfirreport.com/2023/10/30/netsupport-intrusion-results-in-domain-compromise/

相关信息：

这次入侵始于一封电子邮件，其中包含包含恶意 Javascript 文件的 zip 文件。电子邮件发送后，用户提取并执行了 Javascript 文件。JavaScript 代码提取了在内存中运行的混淆的 PowerShell 脚本。PowerShell 脚本负责将 NetSupport 部署到系统上，同时确保脚本不在沙箱中运行并使用注册表运行键建立持久性。

部署 NetSupport 五天后，威胁行为者使用 whoami、net 和 systeminfo 等各种 Windows 实用程序进行了初步侦察。然后，威胁参与者尝试重新启用已禁用的域管理员帐户，但似乎没有成功。

几个小时后，该活动在滩头堡安装了 OpenSSH 服务器，以促进机器和网络的持久性。为了连接到 OpenSSH 服务器，威胁行为者建立了一条从滩头堡到托管在 VPS 提供商上的自己服务器的反向 SSH 隧道。

观察到的最终操作涉及威胁参与者在域控制器上投放两个 Nim 二进制文件。然后，这些Nim二进制文件被用来尝试创建后门用户并将其提升到管理员级别权限。研究人员没有观察到执行后创建的任何后门帐户。经过测试后发现该工具无法工作并返回错误。此后，在威胁行为者被逐出网络之前，没有看到任何进一步的动手活动。

披露时间：2023年11月1日

情报来源：https://research.nccgroup.com/2023/11/01/popping-blisters-for-research-an-overview-of-past-payloads-and-exploring-recent-developments/

相关信息：

Blister 是一种恶意软件，可以加载嵌入其中的有效负载。研究人员根据过去一年半的 137 个已拆包样本，概述了Blister装载机投放的有效负载，并了解了Blister的近期活动。相关资料显示，由于其支持环境密钥，因此大多数样本都启用了该功能，这表明攻击者大多是有针对性地使用Blister。此外，有效载荷类型也从 Cobalt Strike 转变为 Mythic 代理，与之前的报告相符。另一个进展是，它的开发人员开始混淆Blister的第一阶段，使其更加难以捉摸。本文提供 YARA 规则和脚本来帮助分析 Mythic 代理和研究人员观察到的加壳程序。

披露时间：2023年10月31日

情报来源：https://www.reversinglabs.com/blog/iamreboot-malicious-nuget-packages-exploit-msbuild-loophole

相关信息：

10月15日，三个利用以前未见过的执行技术的包被发布到NuGet存储库：ZendeskApi.Client.V2、Betalgo.Open.AI和Forge.Open.AI。这些是对名为ZendeskApi.Client、Betalgo.OpenAI 和 Forge.OpenAI的流行 Nuget 软件包的拼写错误。

正如报道那样，域名仿冒攻击很常见。发布到NuGet存储库的大多数恶意软件都会将恶意代码放入初始化和安装后 PowerShell 脚本中。这些软件包使用不同的方法，将恶意功能放置在内。

研究人员检测到的新恶意软件样本表明，负责此活动的恶意行为者正在采用一种有记录但不常见的技术，该技术利用 NuGet 的 MSBuild 集成功能，以便在受害者身上植入恶意代码。

披露时间：2023年10月30日

情报来源：https://www.fortinet.com/blog/threat-research/ransomware-roundup-knight

相关信息：

Knight 是一个相对较新的勒索软件组织，于 2023 年 8 月出现。与许多攻击者一样，该变种背后的团伙采用双重勒索策略，Knight 勒索软件对受害者计算机上的文件进行加密，并出于勒索目的窃取数据。

Knight 的前身 Cyclops 拥有适用于 Windows、Linux 和 Mac OS 的多操作系统工具。

根据 9 月初的一份报告，Knight 使用带有恶意附件的电子邮件针对意大利组织开展网络钓鱼活动。安全研究员在 8 月初也报告了同样的情况。此外，众所周知，Remcos 和 Qakbot 恶意软件会将 Knight 勒索软件传送到受感染的计算机。

披露时间：2023年10月30日

情报来源：https://www.securityjoes.com/post/bibi-linux-a-new-wiper-dropped-by-pro-hamas-hacktivist-group

相关信息：

在调查过程中，研究人员遇到了一个高度特定的恶意软件样本，该样本目前针对全国各地的公司。在取证调查过程中，研究人员发现其为一种新的 Linux Wiper 恶意软件，研究人员将其追踪为BiBi-Linux Wiper。

该恶意软件是 x64 ELF 可执行文件，缺乏混淆或保护措施。它允许攻击者指定目标文件夹，如果以 root 权限运行，则可能会破坏整个操作系统。在执行过程中，它会产生大量输出，可以使用“nohup”命令来缓解。它还利用多个线程和队列来同时损坏文件，从而提高其速度和范围。其操作包括覆盖文件、使用包含“BiBi”的随机字符串重命名文件以及排除某些文件类型的损坏。

披露时间：2023年10月31日

情报来源：https://www.mandiant.com/resources/blog/session-hijacking-citrix-cve-2023-4966

相关信息：

2023年10月10日，Citrix 发布了 针对影响 NetScaler ADC 和 NetScaler Gateway 设备的敏感信息泄露漏洞 (CVE-2023-4966)的安全公告。

研究人员已识别出从 2023 年 8 月下旬开始的零日漏洞利用以及 Citrix 发布后的 n 天利用。威胁者成功利用 CVE-2023-4966 的多个实例，这些实例导致 NetScaler ADC 和网关设备上的合法用户会话被接管。会话接管绕过了密码和多重身份验证。

在这篇博文将讨论可用于识别利用活动的工件，并重点介绍在事件响应调查期间观察到的一些后利用技术。