每周高级威胁情报解读(2024.02.16~02.22)

披露时间：2024年2月19日

情报来源：https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2024-02-19-joint-cyber-security-advisory-englisch.pdf?__blob=publicationFile&v=2

相关信息：

研究人员在今天的一份公告中警告称，朝鲜政府正在针对全球国防部门开展网络间谍活动。这些攻击旨在窃取先进的军事技术信息，帮助朝鲜实现常规武器现代化并发展新的军事能力。

今天的联合网络安全咨询重点介绍了朝鲜行为者（其中之一是 Lazarus 组织）发起的两个案例，以提供攻击者使用的战术、技术和程序 (TTP)。

第一个案例指的是 2022 年底发生的一起事件，当时一名朝鲜网络攻击者入侵了一个海事和航运技术研究中心的系统，并通过妥协实施了供应链攻击。

第二个例子介绍 Lazarus 使用虚假或被盗的现有人员的个人数据在在线求职门户上创建帐户，并随着时间的推移对其进行管理，以便与合适的人员建立联系，以开展社会工程活动。

披露时间：2024年2月16日

情报来源：https://www.recordedfuture.com/russia-aligned-tag-70-targets-european-government-and-military-mail

相关信息：

研究人员已识别出 TAG-70，这是一个可能代表白俄罗斯和俄罗斯运作的威胁组织，至少自 2020 年 12 月以来，针对欧洲和中亚的政府、军事和国家基础设施实体开展网络间谍活动。该活动于 2023 年 10 月至 12 月期间进行，TAG-70 利用 Roundcube 网络邮件服务器中的跨站脚本 (XSS) 漏洞，针对 80 多个组织（主要位于格鲁吉亚、波兰和乌克兰）。这一活动让人想起其他与俄罗斯结盟的威胁组织，例如 BlueDelta (APT28) 和 Sandworm，这些组织在之前的活动中曾针对包括 Roundcube 在内的电子邮件。

受损的电子邮件服务器构成了重大风险，特别是在乌克兰持续冲突的背景下。他们可能会暴露有关乌克兰战争、外交关系及其联盟伙伴的敏感信息。此外，针对伊朗驻俄罗斯和荷兰大使馆的袭击表明，伊朗的外交活动存在更广泛的地缘政治利益，特别是在伊朗对俄罗斯在乌克兰的支持方面。同样，针对格鲁吉亚政府实体的间谍活动反映了其监视格鲁吉亚加入欧盟和北约的愿望的动机。

披露时间：2024年2月16日

情报来源：https://asec.ahnlab.com/ko/61666/

相关信息：

最近证实，在韩国一家建筑相关协会的网站上尝试安装安全程序时，恶意代码被下载。使用网站提供的服务需要登录，并且为了安全起见，必须安装各种安装程序才能登录。登录时提示安装的程序中，有一个安装程序含有恶意代码，如果用户下载并安装它，不仅会安装安全程序，还会安装恶意代码，其中就有Kimsuky的TrollAgent。

通过此过程安装的恶意代码可以通过接收外部攻击者的命令来执行恶意操作的后门恶意软件、收集有关受感染系统信息的信息窃取恶意软件。因此，用户仅仅通过安装官方网站的安全程序就可能面临个人信息被盗等风险。

披露时间：2024年2月15日

情报来源：https://www.chainalysis.com/blog/2024-crypto-money-laundering/

相关信息：

朝鲜黑客组织Lazarus因多年来多次实施大规模加密货币劫案而臭名昭著，该组织已转而使用 YoMix 比特币混合器来清洗赃款。

根据研究人员 的一份报告，在各国政府制裁了该威胁行为者使用的多种比特币混合服务后，Lazarus 调整了其洗钱流程。研究人员称YoMix 在整个 2023 年都有大量资金涌入，这并不是因为人气增加，而是因为 Lazarus 的活动。

披露时间：2024年2月20日

情报来源：https://blog.talosintelligence.com/google-cloud-run-abuse/

相关信息：

自 2023 年 9 月以来，与这些活动相关的电子邮件数量大幅增加，研究人员继续定期观察到新的电子邮件传播活动。Google Cloud Run 目前正被滥用于大量恶意软件分发活动，向拉丁美洲和欧洲的目标传播 Astaroth（又名 Guildma）、Mekotio 和 Ousaban 等多个银行木马。

与这些恶意软件系列相关的感染链的特点是使用恶意微软安装程序（MSI），这些安装程序可作为最终恶意软件有效载荷的下载器。观察到的证据表明，这些恶意软件家族的传播活动是相关的，Astaroth 和 Mekotio 是在同一个谷歌云项目和谷歌云存储桶下传播的。Ousaban 也作为 Astaroth 感染过程的一部分被投放。

披露时间：2024年2月20日

情报来源：https://www.cadosecurity.com/migo-a-redis-miner-with-novel-system-weakening-techniques/

相关信息：

研究人员最近遇到了一种针对 Redis 进行初始访问的新型恶意软件活动。虽然 Linux 和云攻击者对 Redis 的利用并不陌生，但这种特殊的攻击活动涉及对数据存储本身使用大量新颖的系统削弱技术。

该恶意软件被开发者命名为 Migo，其目的是入侵 Redis 服务器，以便在底层 Linux 主机上挖掘加密货币。

研究人员已在野外观察到新的 Redis 系统削弱命令，该活动利用这些命令利用 Redis 进行加密劫持攻击。而Migo 作为 Golang ELF 二进制文件提供，具有编译时混淆功能并能够在 Linux 主机上持久保存。恶意软件部署了流行用户模式 rootkit 的修改版，以隐藏进程和磁盘上的人工制品。

披露时间：2024年2月20日

情报来源：https://arxiv.org/pdf/2402.11423.pdf

相关信息：

研究人员发现了一种名为“VoltSchemer”的新型攻击，利用现有的无线充电器的磁场来操纵智能手机的语音助手，并可以导致物理损坏和过热。这种攻击利用了无线充电系统的硬件设计和通信协议中的安全漏洞，可以通过操纵充电器的电压输入端产生干扰信号，从而改变磁场特性。攻击方式包括过热/过度充电、绕过 Qi 安全标准以及在充电智能手机上注入语音命令。攻击者可以利用插入设备来引入恶意电压波动，而受害者可能无法察觉到这种攻击。

披露时间：2024年2月19日

情报来源：https://www.threatfabric.com/blogs/anatsa-trojan-returns-targeting-europe-and-expanding-its-reach

相关信息：

2023 年 11 月，研究人员到 Anatsa 银行木马活动死灰复燃，这标志着自 2023 年 6 月更新以来发生的重大转变。在过去四个月中，观察到该活动出现了五次不同的浪潮，各自侧重于不同的地区。虽然Anatsa 此前的目标市场是英国、德国和西班牙，但其向斯洛伐克、斯洛文尼亚和捷克的扩张标志着其运营战略进入了一个新阶段。

分析表明，Anatsa 的活动可以归类为“有针对性”的，威胁行为者一次专注于 3-5 个区域，同时在这些特定区域的 Google Play 上推广滴管应用程序。这些应用程序通常会进入“热门新免费”类别中的前三名，从而提高了它们的可信度并降低了潜在受害者的警惕性，同时增加了成功渗透的机会。

披露时间：2024年2月19日

情报来源：https://patchstack.com/articles/critical-rce-patched-in-bricks-builder-theme/

相关信息：

Bricks Builder Theme 是一款高级 WordPress 主题，被称为创新的、社区驱动的可视化网站构建工具。

2 月 10 日，研究人员发现了一个目前被追踪为 CVE-2024-25600 的漏洞，该漏洞会影响默认配置安装的 Brick Builder 主题。该安全问题是由于 "prepare_query_vars_from_settings "函数中的一个评估函数调用导致的，未经身份验证的用户可利用该函数执行任意 PHP 代码。

研究人员收到报告后，通知了 Bricks 团队。随着 1.9.6.1 版本的发布，修复程序于 2 月 13 日可用。

披露时间：2024年2月21日

情报来源：https://www.aquasec.com/blog/lucifer-ddos-botnet-malware-is-targeting-apache-big-data-stack/

相关信息：

近期，安全人员发现存在攻击者利用错误配置和历史漏洞感染使用Apache Hadoop、Apache Druid、Apache Flink等产品的主机，部署Lucifer僵尸网络恶意软件并下发门罗币挖矿程序。

Lucifer的攻击活动分为三个阶段，第一个阶段，攻击者利用Apache Hadoop的错误配置进行远程代码执行，在受害主机部署Lucifer恶意软件和门罗币挖矿程序，同时设置计划任务来进行权限维持。第二个阶段与第一阶段极其相似，但在部署门罗币挖矿程序后，下发的两个Lucifer恶意软件将被删除。第三阶段，攻击者利用Apache Druid漏洞CVE-2021-25646及其错误配置贡献主机，并且下发两个恶意程序，一个程序用于部署门罗币挖矿病毒，一个程序用于启动挖矿病毒。目前，安全人员已发现超过三千次的攻击事件。

披露时间：2024年2月20日

情报来源：https://blog.morphisec.com/akira-ransomware-prevention-and-analysis

相关信息：

本博客探讨了 Akira Ransomware as a Service (RaaS) 小组，以了解其战术、技术和程序 (TTP)，并思考如何能够防范该勒索软件以及其他勒索软件小组所带来的威胁。

Akira 最初是在 2023 年初被发现的，它是一个勒索软件即服务（RaaS）群组，作为针对中小型组织的威胁而备受关注。 与许多勒索软件集团一样，Akira 采用了双重勒索技术，在文件加密之前先对数据进行渗透。这迫使受害者支付所要求的赎金，赎金从20万美元到400万美元不等。根据现有信息，Akira 主要以北美、英国和欧洲的组织为目标，在政府、制造、技术、教育、咨询、制药和电信领域开展活动。

披露时间：2024年2月20日

情报来源：https://cyble.com/blog/asukastealer-a-revamped-version-of-the-observerstealer-advertised-as-malware-as-a-service/

相关信息：

近期研究人员发现一个名为AsukaStealer的恶意软件即服务(MaaS)在俄语网络地下论坛进行广告。该恶意软件采用C++编写，具有灵活的设置和基于Web的面板，旨在窃取浏览器、扩展程序、Discord令牌、FileZilla会话、Telegram会话、加密钱包和扩展程序、桌面屏幕截图等信息。恶意软件针对的浏览器为基于Chromium(Edge、Google、OperaGX)和基于Gecko(Firefox、Waterfox)引擎上的浏览器，窃取的数据包括Cookie、密码、AccountsSync等。经安全人员深挖发现，AsukaStealer疑为ObserverStealer的新变种，两者拥有相同的运营者，并且两者的C2控制面板十分相似，且恶意软件运行后都具有相同的互斥锁IESQMMUTEX_0_208。

披露时间：2024年2月20日

情报来源：https://sysdig.com/blog/ssh-snake/

相关信息：

研究人员发现了2024 年 1 月 4 日发布的名为SSH-Snake的新网络映射工具的恶意利用。SSH -Snake 是一种自我修改蠕虫，它利用在被入侵系统上发现的 SSH 凭据开始在整个网络中传播。该蠕虫会自动搜索已知的凭据位置和 shell 历史文件以确定其下一步行动。SSH-Snake 被威胁行为者积极用于攻击行动。

SSH-Snake 是一个 bash shell 脚本，它能自主搜索所运行系统的 SSH 凭据。一旦找到凭据，脚本就会尝试登录目标系统，然后将自己复制到目标系统，以重复这一过程。蠕虫的活动结果可供攻击者使用，他们可以在以后使用这些结果来继续他们的行动。

披露时间：2024年2月15日

情报来源：https://www.sentinelone.com/labs/sns-sender-active-campaigns-unleash-messaging-spam-through-the-cloud/

相关信息：

近日发现攻击者正利用SNS Sender云攻击工具批量发送垃圾邮件。据悉，SNS Sender(别名ARDUINO_DAS)是一个Python脚本，使用AWS Simple Notification Service(SNS)发送批量SMS消息，以发送网络钓鱼链接(又名Smishing)，需要其工作目录中名为links.txt的网络钓鱼链接列表，同时需要攻击者从不受SNS沙箱限制的环境中窃取有效AWS SNS凭证。

此外，研究人员确定了该工具背后的攻击者与许多网络钓鱼工具包之间存在关联，这些工具包以美国邮政服务(USPS)发送的有关错过包裹投递的消息为幌子，旨在窃取受害者的个人身份信息(PII)和支付卡详细信息。目前，SNS Sender在网络钓鱼工具包领域非常受欢迎。

披露时间：2024年2月15日

情报来源：https://www.fortinet.com/blog/threat-research/android-spynote-moves-to-crypto-currencies

相关信息：

最新研究显示，臭名昭著的SpyNote间谍软件卷土重来，利用Accessibility API瞄准加密钱包，旨在窃取用户资金。据悉，Accessibility API用于自动执行UI操作，例如记录设备解锁手势，主要对残障人士有帮助。SpyNote于2016年首次在暗网论坛上被发现，其能够帮助攻击者获得对受感染设备的远程控制，并在Android设备上启用恶意软件侧加载。多年来，该恶意软件已成为Android恶意软件的常见家族，拥有超过10,000个样本和多种变体。

经研究人员分析，本次恶意活动发生在2月1日，样本伪装为合法的加密钱包，具备反分析功能，通过短信钓鱼活动进行分发，并且主要瞄准拥有移动加密钱包或银行应用程序的用户。期间，攻击者将引导受害者安装"新的认证银行应用程序"，并要求用户授予对其设备的远程访问权。恶意代码随后则将利用Accessibility API自动填写表格并将目标加密货币地址替换为攻击者的加密钱包，从而转移给网络犯罪分子。

披露时间：2024年2月14日

情报来源：https://harfanglab.io/en/insidethelab/samecoin-malware-hamas/

相关信息：

IntezerLab 在 X 上发布了一个被称为 "SameCoin "的攻击活动，研究人员分析了最近发现的样本，发现了一些与该攻击活动相同的变种。感染载体似乎是一封冒充以色列国家网络局的电子邮件，它诱使读者下载以 "安全补丁 "为名的恶意文件。

下载并执行链接文件的受害者会感染清除器，在某些情况下，清除器还会感染网络中的其他主机。据研究人员评估，电子邮件中链接的恶意软件只被下载了几十次，这证明该活动的影响范围有限。

此文研究人员将对发现的样本进行分析，并讨论归因问题。

披露时间：2024年2月21日

情报来源：https://www.huntress.com/blog/a-catastrophe-for-control-understanding-the-screenconnect-authentication-bypass

相关信息：

2024 年 2 月 19 日，ConnectWise 发布了ScreenConnect 版本 23.9.8 的安全公告，提到了两个漏洞和软件缺陷。同一天，研究人员致力于了解这一威胁，并成功地重新创建了一个概念验证漏洞，展示了其影响。

23.9.8 以下的所有 ScreenConnect 版本都存在两个漏洞：

CVE-2024-1709：使用备用路径或通道绕过身份验证 (CWE-288)

CVE-2024-1708：对受限目录的路径名进行不正确的限制（“路径遍历”）(CWE-22)

披露时间：2024年2月15日

情报来源：https://www.akamai.com/blog/security/dns-exploit-keytrap-posed-major-internet-threat

相关信息：

安全研究人员发现并遏制了域名系统 (DNS) 中的一个重大漏洞。这个被称为“ KeyTrap ”的安全漏洞可能允许攻击者对互联网造成重大破坏，使全球三分之一的 DNS 服务器遭受拒绝服务 (DoS) 攻击，并可能影响多个服务器数亿用户。

KeyTrap 针对 DNS 解析器，其暴露了 DNS 安全扩展规范( DNSSEC )中的缺陷。该漏洞现已标识为 CVE-2023-50387。此外，还发现相关漏洞：CVE-2023-50868。其使用类似的攻击向量，解析器的 CPU 周期可能会再次耗尽。任何一种漏洞利用都可能导致解析器在几分钟内无响应，从而导致其服务的网络几乎无法运行。