[0223] 一周重点威胁情报｜天际友盟情报站

热点情报

Coyote银行木马针对巴西六十多家银行程序
朝鲜黑客针对国防部门进行供应链攻击事件披露
Anatsa安卓恶意软件通过Google Play下载超15万次
GoldFactory组织开发首个针对iOS系统的GoldPickaxe木马病毒

APT攻击

SideWinder组织使用基于Nim语言的远控程序
新型组织UTG-Q-007利用越南语木马瞄准亚洲地区
Water Hydra组织借助微软零日漏洞攻击金融交易者

技术洞察

多种银行木马滥用Google Cloud Run服务
新型恶意软件即服务程序AsukaStealer披露
Lucifer僵尸网络软件瞄准Apache大数据产品
SNS Sender云攻击工具被用于批量发送垃圾邮件
SpyNote间谍软件冒充合法加密钱包窃取用户资金

情报详情

Coyote银行木马针对巴西六十多家银行程序

近期，安全人员发现一种新型恶意软件，该软件针对主要来自巴西的六十多家银行机构，安全人员将该软件命名为Coyote。Coyote的初始感染通过Squirrel程序进行传播，Squirrel使用NuGet包来创建、安装和更新包。攻击者将Squirrel伪造为更新打包程序，程序运行后将执行一个用Electron编译的NodeJS应用程序，程序将从指定目录运行已签名的应用程序，并通过dll侧加载技术运行Coyote银行木马。Coyote木马未使用任何代码混淆，仅对字符串进行了AES加密。在感染主机后，程序会滥用Windows登录脚本来实现持久化，持续运行监视受害者系统上所有打开的应用程序，并等待访问特定的银行应用程序或网站。一旦检测到指定的应用程序，Coyote将向C2服务器传递信息，接收C2服务器的指令如键盘记录、屏幕截图等。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=325f03a35c68496e9be1db8f1371a020

朝鲜黑客针对国防部门进行供应链攻击事件披露

德国联邦情报局(BfV)和韩国国家情报院(NIS)在近期的一份公告中宣称朝鲜政府正在进行针对全球国防部门的网络间谍行动。这些攻击旨在窃取先进的军事技术信息，帮助朝鲜实现常规武器现代化，并发展新的军事能力。此次公告重点介绍了两起归咎于朝鲜攻击者的案件，第一起案件指的是2022年底发生的一起事件，当时朝鲜黑客入侵了海事和航运技术研究中心的系统，并通过破坏为目标组织的Web服务器提供维护业务的公司来执行供应链攻击。入侵者遵循的攻击链包括窃取SSH凭据、滥用合法工具、在网络上横向移动以及试图隐藏基础设施等。
第二个案例是Lazarus组织的“Operation Dream Job”活动，此次攻击也是针对国防部门，这是朝鲜攻击者用来对付加密货币公司和软件开发商员工的一种策略。Lazarus使用现有人员的虚假或被盗个人数据在线上工作门户网站上创建一个帐户，并对其进行管理，以便与合适的人建立联系，以寻找活动中的社会工程目标。在获得受害者的信任后，攻击者为他们提供了一份工作，并建议了一个外部通信渠道，它可以在其中共享恶意PDF文件，该文件被描述为包含有关报价详细信息的文档。这个文件通常是一个第一阶段的启动器，在目标的计算机上投放恶意软件，然后Lazarus将其用作在公司网络内移动的初始立足点。在某些情况下，Lazarus会发送一个包含恶意VPN客户端的ZIP文件，用来访问受害者的雇主网络。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=d1cef8c27f87447c870e3ca85a2a5d05

Anatsa安卓恶意软件通过Google Play下载超15万次

Anatsa银行木马一直以欧洲用户为目标，通过托管在Google Play上的恶意软件投放器感染Android设备。ThreatFabric的研究人员注意到，自11月以来，Anatsa活动有所增加，至少有15万人感染了该木马。在过去的四个月里，研究人员观察到了这个木马进行了五波攻击活动，每一次都集中在不同的地区，Anatsa之前曾瞄准英国、德国和西班牙，但其在斯洛伐克、斯洛文尼亚和捷克的扩张标志着其运营战略进入了一个新阶段。Anatsa采用精心设计的应用程序，以达到Google Play上的“Top Free”级别，从而提高其可信度以及成功率。ThreatFabric的报告指出，现在的dropper应用程序实施了多阶段的感染过程，并且已经演变为滥用Android的辅助功能服务，以绕过Android 13之前的移动操作系统版本中的安全措施。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=45119d91a9c148dcaca80116b915bec8

GoldFactory组织开发首个针对iOS系统的GoldPickaxe木马病毒

Group-IB近日发布报告称，一个代号为"GoldFactory"的中文网络犯罪组织开始针对iPhone用户发起银行木马攻击，并表示这是苹果手机首次面临此类安全考验。报告指出，GoldFactory开发了一套复杂的移动银行恶意软件，本次活动修改了此前仅针对安卓平台的GoldDigger木马，不仅增加了新的功能，还扩大了适用范围，使其能够同时攻击iOS设备。据悉，该新型复杂变种木马被命名为GoldPickaxe，于2023年10月首次被发现，会保持定期更新频率以规避检测。攻击者最初主要利用苹果的移动应用程序测试平台TestFlight来分发此恶意软件，后续开始转向采用多阶段社会工程学策略来引导受害者安装移动设备管理(MDM)配置文件，进而使得其能够完全控制受害者的设备。
进一步调查显示，用户设备一旦感染GoldPickaxe，该木马就会收集面部识别数据、身份证件和拦截的短信，从而更容易地从银行和其他金融应用程序中窃取资金。更糟糕的是，这些生物识别数据随后还可能会被用于创建人工智能Deepfake，以冒充受害者并访问他们的银行账户。目前，GoldPickaxe活跃地区仅限于越南和泰国两个亚太国家，不过有新迹象表明其幕后攻击者已经开始扩大活动范围，将目标转向美国、加拿大和其他英语国家的iPhone和Android用户。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=93841f3700044fd7b79a92da9092a7aa