GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

APT组织Charming Kitten利用新的BASICSTAR后门针对中东政策专家开展攻击
近日，Volexity 的研究人员发现了具有伊朗背景的APT组织， Charming Kitten通过创建一个虚假的网络研讨会门户，分发了名为BASICSTAR的新后门。研究人员并推测该后门与一系列针对中东政策专家的新攻击活动有关。Charming Kitten，也称为APT35、CharmingCypress、Mint Sandstorm、TA453和Yellow Garuda，有着策划各种社会工程活动的历史，这些活动在其目标上撒下了广泛的网络，通常专门针对智囊团、非政府组织和记者。研究人员表示：“CharmingCypress 经常采用不寻常的社交工程策略，例如在发送恶意内容链接之前通过电子邮件与目标进行长时间对话。”上个月，从事中东事务的知名人士已成为对手部署恶意软件的目标，例如 MischiefTut和MediaPl（又名 EYEGLASS），这些恶意软件能够从受感染的主机获取敏感信息。最后，研究人员表示，这些攻击活动揭示了 Charming Kitten愿意投入大量精力来支持其鱼叉式网络钓鱼活动，并且该攻击者高度致力于对其目标进行监视，以确定如何最好地操纵它们并部署恶意软件。该组织最近攻击活动的攻击链图如下图所示。

来源：

https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence/

APT组织Lazarus通过YoMix Tumbler清洗被盗的加密货币
具有朝鲜背景的APT组织 Lazarus 因多年来实施多次大规模加密货币盗窃而臭名昭著，现已转而使用YoMix比特币混合器来洗钱被盗收益。研究人员表示，2023年，YoMix出现了大量资金涌入，这并不是因为人气增加，而是因为Lazarus的活动。然而，每当一个平台受到制裁并与加密货币空间隔离时，Lazarus就会转向一个新的平台。YoMix 是朝鲜APT组织使用的最新服务。研究人员对2023年洗钱活动向到更多服务存款地址蔓延，加上 Lazarus组织的新策略，进行了深入分析。

来源：

https://www.chainalysis.com/blog/2024-crypto-money-laundering/

APT组织Sticky Werewolf以下载CCleaner为幌子攻击白俄罗斯公司

近日，F.A.C.C.T的研究人员发现APT组织Sticky Werewolf试图以计算机清理和优化软件CCleaner6.20为幌子传播Ozone RAT远程访问木马。据悉，Sticky Werewolf是一个网络间谍组织，专门针对俄罗斯和白俄罗斯的政府机构和金融公司。该组织常通过带有恶意文件链接的网络钓鱼电子邮件作为其初始攻击媒介，并会配合使用Darktrack RAT和Ozone RAT以及MetaStealer窃取程序(RedLine Stealer的变体)等工具。一月底，Avast防病毒软件和CCleaner清理程序在俄罗斯停止运行，因此，Sticky Werewolf开始利用这一点来攻击白俄罗斯公司。2023年12月，Sticky Werewolf两次以紧急情况部和建设部为幌子，通过邮件攻击俄罗斯药品组织。2024年1月，攻击者又伪装为俄罗斯联邦安全局以虚假信件攻击俄罗斯组织。研究人员表示，此次活动涉及的恶意链接最早于2月9日被检测到上传至VirusTotal平台，它会下载名为"ccleaner_downloads.exe"的自解压文档(SFX)，文件大小为75.79MB，为CCleaner的安装程序，可用于清理和优化Windows，它增加了SFX存档的大小。此外，还涉及一个在7z中准备的SFX存档ChemExamples.exe，它内含各种文件，包括一个模糊的AutoIt脚本和一个BAT文件，该文件负责从其余文件组装合法的AutoIt解释器。AutoIt脚本运行后，将会在ipconfig.exe进程内存中引入恶意程序，即Ozone RAT远程访问木马的下载模块。

来源：

https://habr.com/ru/companies/f_a_c_c_t/news/792672/

APT组织Turla利用新型后门TinyTurla-NG针对波兰非政府组织开展攻击

近期，思科的研究人员发现了一个由Turla组织编写和运行的新后门，并将其命名为TinyTurla-NG，该后门与TinyTurla类似，是一个小型后门。TinyTurla-NG首次被发现于2023年12月，攻击者使用该后门针对支持乌克兰的波兰非政府组织。Turla组织是一个来自于俄罗斯的黑客组织，常针对美国、欧盟、乌克兰和亚洲等地区，以支持俄罗斯的战略和政治目标。TinyTurla-NG是一个DLL文件，通过svchost.exe启动，并且使用不同的线程启动不同的恶意功能。TinyTurla-NG可通过Powershell执行命令，接收C2服务器指令并执行，包含窃取文件、创建文件等功能。

来源：

https://blog.talosintelligence.com/tinyturla-next-generation/

APT组织Water Hydra利用微软零日漏洞针对金融交易者开展攻击

近日，Trendmicro的研究人员发现APT组织Water Hydra(别名DarkCasino)借助Microsoft Defender SmartScreen零日漏洞(CVE-2024-21412)攻击了金融市场交易者。据悉，活动始于2023年12月下旬，攻击者涉及在外汇交易论坛和股票交易Telegram频道上部署鱼叉式网络钓鱼活动，并会配合利用各种社会工程技术(例如发布请求或提供交易的帖子)，引诱潜在交易者进一步操作。期间，钓鱼帖子会回复有关交易图表技术分析的一般外汇或股票交易问题，并包含股票图表的链接作为诱惑，最终将受害者指向托管在WordPress上的受感染的俄罗斯交易和加密货币信息网站(fxbulls[.]ru)。该网站负责提供包含特洛伊木马股票图表的URL，且链接伪装为JPEG文件的链接，指向WebDAV共享。一旦用户单击，浏览器将要求其在Windows资源管理器中打开该链接，最终利用CVE-2024-21412漏洞在受感染机器中植入DarkMe恶意软件下载器。其中，DarkMe是一个用Visual Basic编写的DLL，负责通过cmd.exe命令解释器运行一系列命令，以从攻击者的WebDAV下载并执行下一阶段的有效负载。此外，研究人员观察到Water Hydra组织自2024年1月下旬以来，更新了其感染链，通过利用CVE-2024-21412执行恶意Microsoft安装程序文件(.MSI)，从而简化了DarkMe感染过程。最新活动的攻击链图如下图所示。

来源：

https://www.trendmicro.com/en_us/research/24/b/cve202421412-water-hydra-targets-traders-with-windows-defender-s.html

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒

近日，Group-IB的研究人员发布报告称，一个代号为"GoldFactory"的网络犯罪组织开始针对iPhone用户发起银行木马攻击，并表示这是苹果手机首次面临此类安全考验。报告指出，GoldFactory开发了一套复杂的移动银行恶意软件，本次活动修改了此前仅针对安卓平台的GoldDigger木马，不仅增加了新的功能，还扩大了适用范围，使其能够同时攻击iOS设备。据悉，该新型复杂变种木马被命名为GoldPickaxe，于2023年10月首次被发现，会保持定期更新频率以规避检测。攻击者最初主要利用苹果的移动应用程序测试平台TestFlight来分发此恶意软件，后续开始转向采用多阶段社会工程学策略来引导受害者安装移动设备管理(MDM)配置文件，进而使得其能够完全控制受害者的设备。进一步调查显示，用户设备一旦感染GoldPickaxe，该木马就会收集面部识别数据、身份证件和拦截的短信，从而更容易地从银行和其他金融应用程序中窃取资金。更糟糕的是，这些生物识别数据随后还可能会被用于创建人工智能Deepfake，以冒充受害者并访问他们的银行账户。目前，GoldPickaxe活跃地区仅限于越南和泰国两个亚太国家，不过有新迹象表明其幕后攻击者已经开始扩大活动范围，将目标转向美国、加拿大和其他英语国家的iPhone和Android用户。GoldPickaxe木马病毒的感染流程如下图所示。

来源：

https://www.group-ib.com/blog/goldfactory-ios-trojan/

德国和韩国对朝鲜APT组织针对国防部门进行供应链攻击事件披露

德国联邦情报局(BfV)和韩国国家情报院(NIS)在近期的一份公告中宣称朝鲜政府正在进行针对全球国防部门的网络间谍行动。这些攻击旨在窃取先进的军事技术信息，帮助朝鲜实现常规武器现代化，并发展新的军事能力。此次公告重点介绍了两起归咎于朝鲜攻击者的案件，第一起案件指的是2022年底发生的一起事件，当时攻击者入侵了海事和航运技术研究中心的系统，并通过破坏为目标组织的Web服务器提供维护业务的公司来执行供应链攻击。入侵者遵循的攻击链包括窃取SSH凭据、滥用合法工具、在网络上横向移动以及试图隐藏基础设施等。第二个案例是Lazarus组织的“Operation Dream Job”活动，此次攻击也是针对国防部门，这是攻击者用来对付加密货币公司和软件开发商员工的一种策略。Lazarus使用现有人员的虚假或被盗个人数据在线上工作门户网站上创建一个帐户，并对其进行管理，以便与合适的人建立联系，以寻找活动中的社会工程目标。在获得受害者的信任后，攻击者为他们提供了一份工作，并建议了一个外部通信渠道，它可以在其中共享恶意PDF文件，该文件被描述为包含有关报价详细信息的文档。这个文件通常是一个第一阶段的启动器，在目标的计算机上投放恶意软件，然后Lazarus将其用作在公司网络内移动的初始立足点。在某些情况下，Lazarus会发送一个包含恶意VPN客户端的ZIP文件，用来访问受害者的雇主网络。攻击链图如下图所示。

来源：

https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2024-02-19-joint-cyber-security-advisory-englisch.pdf?__blob=publicationFile&v=2

研究人员披露利用垃圾邮件的攻击活动Texonto
近日，ESET的网络安全研究人员发现了一系列针对乌克兰的新影响行动，该行动利用垃圾邮件传播与战争相关的虚假信息。Texonto 行动（整个活动的代号）并未归因于特定的威胁行为者，尽管其中的某些要素（尤其是鱼叉式网络钓鱼攻击）与COLDRIVER重叠，后者有通过虚假登录获取凭据的历史页。虚假信息操作在 2023年11月和12月发生了两波，电子邮件中包含PDF附件以及与供暖中断、药品短缺和食品短缺相关的内容。攻击活动Texonto的时间表如下图所示。

来源：

https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war/

CACTUS勒索组织声称从施耐德电气窃取1.5TB数据
Cactus 勒索软件组织声称对从能源管理和工业自动化巨头施耐德电气窃取 1.5TB 数据负责。施耐德电气是一家专注于能源管理、工业自动化和数字化转型的跨国公司。这次攻击影响了施耐德电气资源顾问云平台的服务，导致服务中断，但公司其他部门并未受到网络攻击的影响。近日，Cactus 勒索软件团伙在其 Tor 泄露网站上发布了 25MB 据称被盗的数据。该团伙还发布了几张护照和公司文件的照片作为黑客攻击的证据。

来源：

https://securityaffairs.com/159353/hacking/cactus-ransomware-gang-schneider-electric.html?web_view=true

疑似Zenlayer的大规模云数据库泄露3.8亿条数据
网络安全研究员发现某个属于全球网络服务提供商云数据库泄漏，该数据库未受到保护且配置错误。其中包含的敏感数据数量多达 3.8 亿条记录。在进一步深入服务器后发现，泄露的信息不仅涵盖了公司的内部运作，而且包含大量客户数据。总共有 384,658,212 条记录，总计 57.46 GB。这个数据库没有受到基本密码的保护。它是公开的，任何人都可以访问，为威胁行为者的潜在利用敞开了大门。据称该云数据库属于全球网络服务提供商 Zenlayer。

来源：

https://www.hackread.com/massive-cloud-database-leak-exposes-380-records/?web_view=true#google_vignette

新的Migo恶意软件针对Redis服务器开展挖矿活动
近日，研究人员遇到了一种针对Redis进行初始访问的新型恶意软件活动。虽然Redis对于Linux和云攻击者的利用并不陌生，但这次特殊的攻击活动涉及使用许多新颖的系统削弱技术来攻击数据存储本身。该恶意软件被开发人员命名为Migo，是一种Golang ELF 二进制文件，具有编译时混淆功能并能够在 Linux 机器上持久存在。旨在破坏 Redis 服务器，以便在底层 Linux 主机上挖掘加密货币。研究人员对该恶意软件进行深度分析。

来源：

https://www.cadosecurity.com/migo-a-redis-miner-with-novel-system-weakening-techniques/

基于Rust的新MacOS后门软件冒充Visual Studio更新

近日，研究人员发现一种新的基于Rust的macOS恶意软件作为Visual Studio更新程序传播，以提供对被感染系统的后门访问。此次活动至少从2023年11月开始，目前仍在进行中，持续分发恶意软件的更新变体。Bitdefender的研究人员表示，该恶意软件是用Rust编写的，可以在基于Intel（x86_64）和ARM（Apple Silicon）的架构上运行，研究人员跟踪它为RustDoor。RustDoor具有控制受感染系统和泄露数据的功能，并且可以通过修改系统文件在设备上保留。感染系统后，恶意软件使用特定终结点与命令和控制服务器进行通信，以进行注册、任务执行和数据泄露。研究人员发现该恶意软件与四台命令和控制（C2）服务器进行通信，其中三个曾被用于与ALPHV/BlackCat附属公司的勒索软件攻击相关的攻击。此次攻击中发现了该恶意软件的三个版本，它们以FAT二进制文件的形式出现，其中包括用于x86_64英特尔和ARM架构的Mach-O文件，但没有捆绑在典型的父文件（如应用程序捆绑包或磁盘映像）中。

来源：

https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group/

Knight勒索软件源代码在黑客论坛出售
Knight勒索组织的一名代表正在黑客论坛上向单个买家出售所谓的 Knight 勒索软件第三次迭代的源代码。Knight 勒索软件于 2023 年 7 月末作为 Cyclops 操作的重新命名推出，针对 Windows、macOS 和 Linux/ESXi 系统。帖子中表示：“出售 Knight 3.0 勒索软件的源代码，这将包括面板和储物柜的源代码，所有源代码均由 Glong C++ 拥有并编写。”威胁行为者没有具体说明价格，但强调源代码只会出售给单个买家，以保留其作为私人工具的价值。

来源：https://www.bleepingcomputer.com/news/security/knight-ransomware-source-code-for-sale-after-leak-site-shuts-down/?&web_view=true

研究人员对勒索软件Alpha与NetWalker进行同源分析
Alpha 是一种新型勒索软件，于 2023 年2月首次出现，并在最近几周加强了运作，与早已不存在的 NetWalker 勒索软件非常相似，NetWalker 勒索软件于 2021 年 1 月在一次国际 执法行动后消失。对 Alpha 的分析揭示了与旧版 NetWalker 勒索软件的显着相似之处。这两种威胁都使用类似的基于 PowerShell 的加载程序来传递有效负载。除此之外，Alpha 和 NetWalker 有效负载之间存在大量代码重叠，经分析研究人员认为 Alpha 可能是一个或多个原始 NetWalker 开发人员试图恢复旧勒索软件操作的尝试。或者，Alpha 背后的攻击者可能已经获取并修改了原始 NetWalker 有效负载，以便启动他们自己的勒索软件操作。其相似的支付页面如下图所示。

来源：

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/alpha-netwalker-ransomware?web_view=true