每周高级威胁情报解读(2024.02.09~02.15)

披露时间：2024年2月13日

情报来源：https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence/

相关信息：

研究人员观察到的一个源于伊朗的威胁行为者 CharmingCypress（又名 Charming Kitten、APT42、TA453）的攻击活动。据评估，CharmingCypress 的任务是收集针对外国目标的政治情报，尤其关注智库、非政府组织和记者。

在他们的网络钓鱼活动中，CharmingCypress 经常采用不寻常的社交工程战术，例如在发送恶意内容链接之前，先通过电子邮件与目标进行长时间对话。研究人员观察到的一次特别引人注目的鱼叉式网络钓鱼活动中，CharmingCypress 甚至制作了一个完全虚假的网络研讨会平台作为诱饵的一部分。CharmingCypress 控制对该平台的访问，要求目标在允许访问之前安装有恶意软件的 VPN 应用程序。

该博文借鉴 2023 年和 2024 年初观察到 CharmingCypress 使用工具的公开参考资料，分析该威胁行为者用于分发这些工具的技术细节。

披露时间：2024年2月13日

情报来源：https://www.trendmicro.com/en_us/research/24/b/cve202421412-water-hydra-targets-traders-with-windows-defender-s.html

相关信息：

研究人员发现了漏洞 CVE-2024-21412，并将其跟踪为 ZDI-CAN-23100，并向 Microsoft 发出警报，称 Microsoft Defender SmartScreen 被研究人员追踪为APT组织 Water Hydra（又名 DarkCasino）用作复杂的零日攻击链的一部分，其目标是金融市场交易者。

Water Hydra 组织于 2021 年首次被发现，当时该组织因针对金融行业、对全球银行、加密货币平台、外汇和股票交易平台、赌博网站和赌场发起攻击而声名狼藉。最初，由于类似的网络钓鱼技术和其他 TTP，该组织的攻击被归因于 Evilnum APT 组织。2022 年 9 月，绿盟科技的研究人员发现了名为 DarkMe 的 VisualBasic 远程访问工具 (RAT)，这是一项名为 DarkCasino 的活动的一部分，该活动针对的是欧洲交易者和赌博平台。

到 2023 年 11 月，经过多次连续的攻击活动，其中包括利用攻击链中著名的WinRAR 代码执行漏洞 CVE-2023-38831来针对股票交易者，人们发现 Water Hydra 是一个独立于 Evilnum 的 APT 组织。

披露时间：2024年2月9日

情报来源：https://habr.com/ru/companies/f_a_c_c_t/news/792672/

相关信息：

近期报道称，Sticky Werewolf组织试图以计算机清理和优化软件CCleaner6.20为幌子传播Ozone RAT远程访问木马。据悉，Sticky Werewolf是一个网络间谍组织，专门攻击俄罗斯和白俄罗斯的政府机构和金融公司。该组织常通过带有恶意文件链接的网络钓鱼电子邮件作为其初始攻击媒介，并会配合使用Darktrack RAT和Ozone RAT以及MetaStealer窃取程序(RedLine Stealer的变体)等工具。一月底，Avast防病毒软件和CCleaner清理程序在俄罗斯停止运行，因此，Sticky Werewolf开始利用这一点来攻击白俄罗斯公司。2023年12月，Sticky Werewolf两次以紧急情况部和建设部为幌子，通过邮件攻击俄罗斯药品组织。2024年1月，他们又伪装为俄罗斯联邦安全局以虚假信件攻击俄罗斯组织。

研究人员表示，此次活动涉及的恶意链接最早于2月9日被检测到上传至VirusTotal平台，它会下载名为"ccleaner_downloads.exe"的自解压文档(SFX)，文件大小为75.79MB，为CCleaner的安装程序，可用于清理和优化Windows，它增加了SFX存档的大小。此外，还涉及一个在7z中准备的SFX存档ChemExamples.exe，它内含各种文件，包括一个模糊的AutoIt脚本和一个BAT文件，该文件负责从其余文件组装合法的AutoIt解释器。AutoIt脚本运行后，将会在ipconfig.exe进程内存中引入恶意程序，即Ozone RAT远程访问木马的下载模块。

披露时间：2024年2月13日

情报来源：https://www.reliaquest.com/blog/new-python-socgholish-infection-chain/

相关信息：

研究人员检测到可疑的 JavaScript 文件，其中包括“update.js”，这是 SocGholish 和其他虚假更新恶意软件变体使用的常见文件名。在审查第一阶段有效负载的执行时研究人员就发现了该恶意软件的一个新行为：为持久化而侵入 Python。

SocGholish "恶意软件系列（又名 "FakeUpdates"）是通过 "偷渡 "方式传播的。这类攻击通常使用搜索引擎排名靠前的受攻击网站，依靠社交工程诱骗用户下载伪装成浏览器更新的恶意 JavaScript 有效载荷。执行后，就会建立起指挥控制（C2），使对手能够采取进一步行动以实现其目标。

披露时间：2024年2月12日

情报来源：https://www.proofpoint.com/us/blog/cloud-security/community-alert-ongoing-malicious-campaign-impacting-azure-cloud-environments

相关信息：

研究人员一直在监测一场正在进行的云账户劫持活动，该活动影响了数十个Microsoft Azure环境，并危及包括多个高管在内的数百个用户账户。这些攻击使用文档附件，文档嵌入了伪装成“查看文档”按钮的链接，点击按钮会将受害者转到网络钓鱼页面。研究人员表示，这些消息针对的是目标组织内拥有更高特权的员工，这提升了成功帐户泄露的价值。

常见的目标包括销售总监、客户经理和财务经理。分析师确定攻击者使用Linux用户代理字符串进行未经授权访问Microsoft365应用，此用户代理与各种入侵后活动相关联，例如MFA操纵、数据泄露、内部和外部网络钓鱼、财务欺诈以及在邮箱中创建模糊处理规则等。

披露时间：2024年2月12日

情报来源：https://www.orangecyberdefense.com/fileadmin/general/pdf/Ivanti_Connect_Secure_-_Journey_to_the_core_of_the_DSLog_backdoor.pdf

相关信息：

黑客正在利用 Ivanti Connect Secure、Policy Secure 和 ZTA 网关中的服务器端请求伪造 (SSRF) 漏洞在易受攻击的设备上部署新的DSLog 后门。该漏洞编号为 CVE-2024-21893，于 2024 年 1 月 31 日被披露为一个被积极利用的零日漏洞。研究人员一份新报告证实，已成功安装名为 DSLog 的新后门通过检查受感染的 Invanti 设备的日志， 研究人员发现，通过发出包含编码命令的 SAML 身份验证请求，后门被注入到设备的代码库中。这些命令执行的操作包括将系统信息输出到可公开访问的文件（index2.txt），表明攻击者的目的是进行内部侦察并确认其root访问权限。

披露时间：2024年2月8日

情报来源：https://blog.talosintelligence.com/new-zardoor-backdoor/

相关信息：

近期，研究人员发现了一起隐秘的攻击活动，该活动至少从2021年开始，攻击者主要对伊斯兰组织发起攻击部署新型后门。2023年5月，安全人员发现了一起针对沙特阿拉伯的伊斯兰非盈利组织的间谍活动。攻击者通过未知手段获得受害主机的初始访问权限，并使用Venom、FRP等开源反向代理工具与C2服务器建立连接，建立连接后，攻击者将使用WMI命令进行内网横向渗透，并传播新型后门，安全人员将该新型后门命名为Zardoor。

Zardoor的主要功能由两个文件提供，分别是zar32.dll和zor32.dll。zar32.dll是一种HTTP/SSL远程访问工具(RAT)，能够向攻击者的C2服务器发送加密数据、以无文件模式执行PE负载、搜索会话ID、执行远程shellcode等。zor32.dl文件负责确保zar32.dll已使用管理员权限正确部署。此外，Zardoor的部署还依赖于一个释放器文件，该文件通过dll侧加载技术加载恶意负载oci.dll，停止MSDTC服务并使用msdtc.exe为oci.dll获取管理员权限。攻击者还为反向代理程序设置了计划任务，用于建立持久性，计划任务将没20分钟运行一次反向代理，与C2服务器进行通信。

披露时间：2024年2月7日

情报来源：https://cyble.com/blog/doppelganger-dilemma-new-xphase-clippers-proliferation-via-deceptive-crypto-sites-and-cloned-youtube-videos/

相关信息：

近期，研究人员发现了一种名为XPhase的新恶意程序，该程序针对数字货币用户并通过虚假网站和克隆视频进行传播。攻击者伪造钓鱼网站分发加密货币程序，分发的程序包括Metamask、Wazirx、Lunoapp和Cryptonotify。这些程序均携带恶意代码将在受害主机上部署名为XPhase的恶意程序，程序可修改用户复制的加密货币钱包地址，从而将用户的转账接收用户修改为攻击者。从钓鱼网站下载的文件是一个ZIP压缩包，解压后，文件夹内存在一个可执行程序、一个伪造的软件许可证文件和一个应用程序图标。

可执行程序运行后将释放一个bat脚本和一个vbs脚本，vbs脚本可从远程服务器下载XPhase恶意程序，bat脚本则用于添加注册表项，以便在系统启动时运行XPhase程序。XPhase是一个32位C++编译的DLL文件，可通过正则来定位剪贴板中的加密货币地址，目前程序针对的加密货币有比特币、以太坊、泰达币、狗狗币。此外，安全人员还发现攻击者通过复制Youtube视频来诱导用户。

披露时间：2024年2月7日

情报来源：https://research.checkpoint.com/2024/raspberry-robin-keeps-riding-the-wave-of-endless-1-days/

相关信息：

研究人员近期披露了Raspberry Robin蠕虫软件使用了两个新的1day LPE漏洞进行攻击。

Raspberry Robin是在2021年首次被发现的蠕虫，它主要通过USB驱动器等可移动存储设备传播，以在受感染的系统上建立立足点，并进行其他有效载荷的部署。它与EvilCorp、FIN11、TA505、Clop 勒索软件团伙和其他恶意软件攻击者有关。自发现以来，Raspberry Robin不断发展，增加了新功能以及规避技术，并采用了多种分发方法。其中一个规避技巧是投放虚假的有效载荷来误导研究人员。

报告称，从2023年10月开始，他们观察到Raspberry Robin的运营活动有所增加，针对全球系统进行大规模攻击。在最近的活动中，一个值得注意的转变是使用Discord平台将恶意存档文件拖放到目标上，并通过电子邮件将链接发送到目标。存档文件包含一个数字签名的可执行文件OleView.exe和一个恶意DLL文件aclui.dll，当受害者运行可执行文件时，会侧加载dll文件，从而激活系统中的Raspberry Robin。当Raspberry Robin首次在计算机上运行时，它将自动尝试使用各种1day漏洞来提升设备上的权限。研究发现，此次新的Raspberry Robin活动利用了CVE-2023-36802和CVE-2023-29360漏洞，这是Microsoft流服务代理和Windows TPM设备驱动程序中的两个本地权限升级漏洞。

披露时间：2024年2月13日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black

相关信息：

据悉，Bumblebee恶意软件下载器由Conti和Trickbot网络犯罪集团开发， 作为BazarLoader后门的替代品，从2022年3月首次出现到2023年10月期间一直备受犯罪分子欢迎。研究人员近日发现，该恶意软件于2024年2月8日重返网络犯罪领域。

调查显示，此次活动始于针对美国组织的数千封网络钓鱼电子邮件，邮件主题为"二月语音邮件"，发件人为"[email protected]"，其中包含一个OneDrive URL，可下载名为"ReleaseEvans#96.docm"或类似内容的Word文档。文档中包含一个假装来自消费电子公司 hu.ma.ne的诱饵，该公司以其人工智能驱动的pin码而闻名。Word文档首先会使用宏在Windows临时目录中创建脚本，然后再使用"wscript"执行释放的文件。期间，释放的临时文件内有一个PowerShell命令，它负责从远程服务器下载并执行下一阶段有效负载，即另一个PowerShell命令，并将其存储在文件"update_ver"中，最后，该命令依次下载并运行Bumblebee DLL。

目前，研究人员并未将该活动归因于已知威胁组织。不过，研究人员表示，OneDrive URL的使用和发件人地址似乎与TA579组织之前的活动一致。

披露时间：2024年2月13日

情报来源：https://www.malwarebytes.com/blog/news/2024/02/warzone-rat-infrastructure-seized

相关信息：

2024 年 2 月 9 日，据美国司法部称，一项国际行动查获了销售信息窃取恶意软件的互联网域名。波士顿联邦当局查获了 www.warzone.ws 和三个相关域名，这些域名出售 Warzone RAT 恶意软件。

Warzone RAT 恶意软件是一种复杂的远程访问木马（RAT），它使网络犯罪分子能够浏览受害者的文件系统、截图、记录击键、窃取受害者的用户名和密码，并通过网络摄像头监视受害者，而这一切都无需受害者知情或允许。

披露时间：2024年2月13日

情报来源：https://www.malwarebytes.com/blog/news/2024/02/remote-monitoring-management-software-used-in-phishing-attacks

相关信息：

远程监控和管理 (RMM) 软件，包括 AnyDesk、Atera 和 Splashtop 等流行工具，对于当今的 IT 管理员来说非常宝贵，可以简化任务并确保远程网络完整性。然而，这些工具也引起了网络犯罪分子的注意，他们利用这些工具渗透公司网络并窃取敏感数据。

这些威胁行为者的作案手法包括通过复杂的骗局和欺骗性在线广告来欺骗员工。毫无戒心的员工被这些策略误导，可能会无意中邀请这些犯罪分子进入他们的系统。通过说服员工以修复不存在的问题为幌子下载并运行这些看似良性的 RMM 应用程序，这些欺诈者可以不受限制地访问公司网络。

这篇文章将探讨通过 AnyDesk 远程软件针对企业用户的特定网络钓鱼诈骗。

披露时间：2024年2月12日

情报来源：https://www.zscaler.com/blogs/security-research/d-evolution-pikabot

相关信息：

Pikabot 是一种恶意软件加载器，最初出现于 2023 年初。在过去一年中，研究人员一直在跟踪 Pikabot 的发展及其作案手法。2023 年下半年，在联邦调查局牵头捣毁 Qakbot 之后，Pikabot 的使用率大幅上升。这很可能是 BlackBasta 勒索软件的附属程序用 Pikabot 代替 Qakbot 进行初始访问的结果。不过，Pikabot 在 2023 年圣诞节后不久就停止了活动，当时的版本号为 1.1.19。

在 2024 年 2 月开始的近期活动中，Pikabot 重新出现，其代码库和结构发生了重大变化。虽然它似乎处于新的开发周期和测试阶段，开发人员通过删除高级混淆技术和改变网络通信方式，降低了代码的复杂性。本文将介绍最新的 Pikabot 变体，包括其功能和与以前版本相比的显著变化。分析是在版本为 1.18.32 的 Pikabot 二进制文件上进行的。

披露时间：2024年2月9日

情报来源：https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group/

相关信息：

一种新的基于Rust的macOS恶意软件作为Visual Studio更新程序传播，以提供对被感染系统的后门访问。此次活动至少从2023年11月开始，目前仍在进行中，持续分发恶意软件的更新变体。

研究人员表示，该恶意软件是用Rust编写的，可以在基于Intel（x86_64）和ARM（Apple Silicon）的架构上运行，他们跟踪它为RustDoor。RustDoor具有控制受感染系统和泄露数据的功能，并且可以通过修改系统文件在设备上保留。感染系统后，恶意软件使用特定终结点与命令和控制服务器进行通信，以进行注册、任务执行和数据泄露。

研究人员发现该恶意软件与四台命令和控制（C2）服务器进行通信，其中三个曾被用于与ALPHV/BlackCat附属公司的勒索软件攻击相关的攻击。此次攻击中发现了该恶意软件的三个版本，它们以FAT二进制文件的形式出现，其中包括用于x86_64英特尔和ARM架构的Mach-O文件，但没有捆绑在典型的父文件（如应用程序捆绑包或磁盘映像）中。

披露时间：2024年2月14日

情报来源：https://www.fortinet.com/blog/threat-research/tictactoe-dropper

相关信息：

在分析从多个受害者收集的恶意软件样本时，研究人员发现了一组恶意软件植入程序，用于在 2023 年期间传递各种最终阶段的有效负载。恶意软件植入程序是恶意软件，旨在受害者系统上传递和执行其他恶意软件，并用于混淆加载和初始执行期间的最终有效负载。

这一组中的投放器采用多级混淆有效载荷，在内存中反射性加载。发现的最后阶段有效载荷包括 Leonem、AgentTesla、SnakeLogger、RemLoader、Sabsik、LokiBot、Taskun、Androm、Upatre 和 Remcos。研究人员将这组有效载荷命名为 "TicTacToe dropper"，这是因为在多个早期的程序样本中发现了一个常见的波兰语字符串 "Kolko_i_krzyzyk"，该字符串的英文翻译为 TicTacToe。虽然这所有版本中并不都包含这个字符串，但它们行为上的共性使将其归为一组。

披露时间：2024年2月14日

情报来源：https://msrc.microsoft.com/update-guide/releaseNote/2024-Feb

相关信息：

研究人员近期发布了2024年2月的安全更新。本次安全更新修复了总计73个安全漏洞(包括两个被积极利用的零日漏洞)，其中存在66个重要漏洞(Important)、5个严重漏洞(Critical)、2个被评为中等漏洞(moderate)。在漏洞类型方面，主要包括30个远程代码执行漏洞、10个特权提升漏洞、10个欺骗漏洞、9个拒绝服务漏洞、5个信息泄露漏洞、3个安全功能绕过漏洞。本次发布的安全更新涉及.NET、Azure、Microsoft Office、Internet Shortcut Files、Microsoft Exchange Server、Microsoft Edge、Microsoft Windows、Windows Hyper-V、Windows SmartScreen、Microsoft WDAC OLE DB provider for SQL等多个产品和组件。

以下为重点关注漏洞列表：

CVE-2024-21351：Windows SmartScreen安全功能绕过漏洞：该零日漏洞的CVSSv3评分为7.6分。成功利用此漏洞的攻击者可绕过SmartScreen用户体验，并可能允许其代码注入SmartScreen以实现远程代码执行。

CVE-2024-21380：Microsoft Dynamics Business Central/NAV信息泄露漏洞：该漏洞的CVSSv3评分为8.0分。成功利用此漏洞的攻击者可以获得高权限，包括读取、写入和删除功能。

CVE-2024-21410：Microsoft Exchange Server权限提升漏洞：该漏洞的CVSSv3评分为9.8分。成功利用此漏洞的攻击者可以针对易受攻击的Exchange Server中继用户泄露的Net-NTLMv2哈希值并以用户身份进行身份验证。

CVE-2024-21412：Internet快捷方式文件安全功能绕过漏洞：该零日漏洞的CVSSv3评分为8.1分。成功利用此漏洞的攻击者可以绕过Windows中的Web标记(MoTW)警告。该漏洞目前已被APT组织DarkCasino(Water Hydra))在针对金融交易者的活动中积极利用。

CVE-2024-21413：Microsoft Outlook远程代码执行漏洞：该漏洞的CVSSv3评分为9.8分。成功利用此漏洞将允许攻击者绕过Office受保护的视图并以编辑模式而不是保护模式打开。

CVE-2024-20684：Windows Hyper-V拒绝服务漏洞：该漏洞的CVSSv3评分为6.5分。成功利用此漏洞可能允许Hyper-V来宾影响Hyper-V主机的功能。