每周高级威胁情报解读(2024.02.23~02.29)

披露时间：2024年2月28日

情报来源：https://blogs.jpcert.or.jp/en/2024/02/lazarus_pypi.html

相关信息：

研究人员已确认 Lazarus 已向官方 Python 包存储库 PyPI 发布了恶意 Python 包。本次确认的Python包如下：pycryptoenv、pycryptoconf、类星体库、交换内存池。包名pycryptoenv和pycryptoconf类似pycrypto，是Python中用于加密算法的Python包。因此，攻击者很可能是为了针对用户安装Python包时的拼写错误而准备了包含恶意软件的恶意包。本文提供了有关这些恶意 Python 包的详细信息。

披露时间：2024年2月28日

情报来源：https://decoded.avast.io/janvojtesek/lazarus-and-the-fudmodule-rootkit-beyond-byovd-with-an-admin-to-kernel-zero-day/

相关信息：

名为Lazarus的朝鲜威胁组织利用 Windows AppLocker 驱动程序 (appid.sys) 中的一个零日漏洞，获得了内核级访问权限并关闭了安全工具，从而绕过BYOVD（自带漏洞驱动程序）技术。

研究人员检测到了这一活动，并立即将其报告给了微软，从而修复了这一漏洞（现在被追踪为 CVE-2024-21338），并将其作为 2024 年 2 月 "星期二补丁 "的一部分。不过，微软并未将该漏洞标记为零日漏洞。

该恶意软件利用了微软 "appid.sys "驱动程序中的一个漏洞，该驱动程序是 Windows AppLocker 组件，可提供应用程序白名单功能。该组织通过操纵 appid.sys 驱动程序中的输入和输出控制（IOCTL）调度程序来调用任意指针，诱使内核执行不安全代码，从而绕过安全检查。

披露时间：2024年2月27日

情报来源：https://www.ic3.gov/Media/News/2024/240227.pdf

相关信息：

研究人员发布的一份联合公告中称，俄罗斯军事黑客正在使用被入侵的 Ubiquiti EdgeRouters 来逃避检测。

此网络间谍隶属于俄罗斯总参谋部情报总局 (GRU)，被追踪为 APT28 和 Fancy Bear，他们正在使用这些被劫持且非常流行的路由器构建广泛的僵尸网络，帮助他们窃取凭证、收集 NTLMv2 摘要和代理恶意流量。本月早些时候，联邦调查局瓦解了一个由 Ubiquiti EdgeRouters 组成的僵尸网络，被与 APT28 无关的网络犯罪分子利用Moobot 恶意软件感染了该网络。

披露时间：2024年2月22日

情报来源：https://mp.weixin.qq.com/s/I_s5HrRWdbTW99B99udl1w

相关信息：

近期，安全人员捕获到一批SideWinder组织针对不丹、缅甸、尼泊尔的攻击样本，样本通过宏文档释放Nim语言编译的攻击载荷。SideWinder是一个活跃于南亚地区的APT组织，最早活跃时间可追溯至2012年，其主要攻击国家包括巴基斯坦、阿富汗、尼泊尔、不丹、缅甸等数十国，以窃取政府、能源、军事、矿产等领域的敏感信息为主要目的。

攻击者伪造国家政府文件，实际文件携带恶意代码。文件打开后首先会诱导用户启用宏，宏启用后，文件携带的代码将被执行。代码将检测主机是否能够联网，在联网的情况下，程序将释放svchost.zip和bat脚本，脚本将解压zip文件并创建计划任务执行解压后的svchost.exe程序。svchost.exe是一个由Nim编译的远控工具，主要功能是执行命令并上传执行结果，此外，该程序还具有安全产品检测、反沙箱检测等功能。据安全人员研究发现，该类样本最早出现于2022年11月，但由于样本经过加密，许多病毒检测引擎均未报毒。

披露时间：2024年2月28日

情报来源：https://blogs.infoblox.com/cyber-threat-intelligence/beware-the-shallow-waters-savvy-seahorse-lures-victims-to-fake-investment-platforms-through-facebook-ads/

相关信息：

研究人员发现一个名为 Savvy Seahorse 的威胁行为者正在滥用 CNAME DNS 记录域名系统来创建一个流量分发系统，为金融诈骗活动提供动力。

这些活动的一个显著特点是，它们涉及直接与受害者互动的聊天机器人，以说服他们相信高投资回报，从而使攻击者的诈骗过程自动化。

Savvy Seahorse 是一个 DNS 威胁行为者，其说服受害者在虚假投资平台上创建账户，向个人账户存款，然后将这些存款转移到俄罗斯的一家银行。该行为者利用 Facebook 广告引诱用户进入其网站，并最终在虚假投资平台注册。活动主题通常涉及特斯拉、Facebook/Meta 和帝国石油等知名公司。

披露时间：2024年2月27日

情报来源：https://blog.talosintelligence.com/timbrestealer-campaign-targets-mexican-users/

相关信息：

近期，研究人员发现一起攻击活动投递新型恶意软件。攻击者利用墨西哥税务、金融等主题发送钓鱼邮件分发恶意软件，研究人员将该恶意软件命名为TimbreStealer。

TimbreStealer至少自2023年11月开始活跃，程序采用一系列复杂的技术来规避检测、进行秘密执行并确保其在受感染主机中的持久性。程序运行后，加载器将扫描Ntdll，创建一个函数hash表，所有敏感接口都直接通过系统进行调用。随后，存储于.data节的下一阶段载荷将被解密。

TimbreStealer还将检查系统是否为攻击者的目标环境以及当前程序是否在沙箱环境中执行，同时提取多个嵌入的子模块负载。最终，TimbreStealer的核心负载可从机器收集各种信息并将数据传输至外部网站，收集的信息涉及不同浏览器的凭证存储文件、操作系统信息、特定扩展名的文件，此外，TimbreStealer还会捕获常用软件的网络数据包、查找远程桌面软件等。研究人员表示，此次攻击活动使用了地理位置限定技术，仅针对墨西哥的用户，任何从其他位置联系有效负载站点的尝试都将返回空白PDF文件，而不是恶意文件。

披露时间：2024年2月27日

情报来源：https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east

相关信息：

近期，安全人员公开了一起伊朗攻击者针对中东国家尤其是伊朗的攻击活动，此次攻击针对国防、航空航天部门，通过鱼叉式网络钓鱼和信息收集获取初始访问权限，攻击者通过钓鱼攻击传播包含以色列哈马斯相关内容或虚假工作机会的虚假网站链接，虚假工作主要涉及航空、航天、国防等领域，虚假链接最终会导致主机下载恶意负载，恶意负载主要是MINIBIKE或MINIBUS后门，后门外联的C2服务器采用Microsoft Azure服务。MINIBIKE是使用C++编写的自定义后门，能够进行文件上传、命令执行等，使用Azure云基础架构进行通信。MINIBUS与MINIBIKE有许多相似之处，但提供更灵活的代码执行界面和增强的侦察功能。安全人员经过分析后，将此次攻击活动归因于总部在伊朗的UNC1549组织。

披露时间：2024年2月27日

情报来源：https://www.zscaler.com/blogs/security-research/european-diplomats-targeted-spikedwine-wineloader

相关信息：

研究人员发现了一个 2024 年 1 月 30 日从拉脱维亚上传到 VirusTotal 的可疑 PDF 文件。该 PDF 文件伪装成印度大使的邀请函，邀请外交官参加 2024 年 2 月的品酒活动。该 PDF 还包括链接到虚假调查问卷，并将用户重定向到受感染网站上托管的恶意 ZIP 存档，从而启动感染链。进一步的威胁追踪使研究人员发现了另一个类似的 PDF 文件，该文件于 2023 年 7 月从拉脱维亚上传到 VirusTotal。

该博客提供了有关先前未记录后门 “WINELOADER”的详细信息。研究人员认为，是一个民族国家威胁行为体有意利用印度与欧洲国家外交官之间的地缘政治关系实施了这次袭击。该攻击的特点是攻击量非常小，并且在恶意软件和命令与控制 (C2) 基础设施中采用了先进的策略、技术和程序 (TTP)。虽然尚未将此次攻击归咎于任何已知的 APT 组织，但已根据攻击链不同阶段使用的与葡萄酒相关的主题和文件名，将此威胁行为者命名为 SPIKEDWINE，并且对此案的调查正在进行中。

披露时间：2024年2月27日

情报来源：https://www.trendmicro.com/en_us/research/24/b/threat-actor-groups-including-black-basta-are-exploiting-recent-.html

相关信息：

2024 年 2 月 19 日，ConnectWise披露了其ScreenConnect软件中的重大漏洞（CVE-2024-1708和CVE-2024-1709），这些漏洞专门针对版本 23.9.7 及更早版本。这些安全缺陷为恶意行为者获得未经授权的访问并控制受影响的系统打开了大门。

令人震惊的是，据观察，这些漏洞被利用来部署勒索软件，从而对依赖该软件的企业造成相当大的干扰和损害。作为回应，ConnectWise 已发布重要的安全修复程序，并敦促客户更新到最新的本地版本，以有效降低这些风险。

本博客文章详细分析了最近的这些 ScreenConnect 漏洞。研究人员还讨论了发现的威胁行为者团体，包括Black Basta和 Bl00dy 勒索软件团伙，这些团伙正在积极利用 CVE-2024-1708 和 CVE-2024-1709。

披露时间：2024年2月26日

情报来源：https://mp.weixin.qq.com/s/eFxoX3cwpPee5z2_3G3wXw

相关信息：

近期研究人员捕获到了一批疑似与黑客组织DuckTail相关的针对数字营销人员进行的安全事件。Ducktail 组织由国外安全厂商于2022年披露，其攻击活动至少从2021年开始。组织活动以经济利益驱动，常针对Facebook Business账号展开窃密行动，目的是操纵页面并获取财务信息。该组织的攻击目标覆盖全球多个国家，活动范围较广。

在本次捕获到的事件中攻击者使用了压缩文件进行投递，通过压缩文件内的lnk快捷方法来加载远程服务器中的hta文件以完成执行的动作。

披露时间：2024年2月26日

情报来源：https://blog.morphisec.com/unveiling-uac-0184-the-remcos-rat-steganography-saga

相关信息：

研究人员最近发现了威胁行为者 UAC-0184 的多个攻击指标。这一发现揭示了臭名昭著的 IDAT 加载器将 Remcos 远程访问木马 (RAT) 传递给一个位于芬兰的乌克兰实体的情况。

本博客探讨了更广泛的攻击执行过程，强调了包括怎样使用 IDAT 加载器和为什么以芬兰的乌克兰实体为目标等。相关 Remcos RAT 攻击的详细技术发现已由 CERT-UA（在乌克兰撰写）和 Uptycs 进行过审查，描述了出错的指标 (IoC) 和详细的 TTP。

披露时间：2024年2月22日

情报来源：https://mp.weixin.qq.com/s/kdwOx4WzH24cVA5qIDY_DA

相关信息：

奇安信威胁情报中心在日常终端运营过程中发现客户收到了定向的钓鱼邮件，附件名为“版權資訊及版權保護政策 Dentsu Taipei.zip”，内容包含恶意的lnk文件和正常的PDF诱饵，天擎EDR第一时间对脚本木马进行了拦截，虽然攻击者并未对我们的客户造成太大的损失，但该团伙使用的中文诱饵和后续木马引起了我们的兴趣。

经过一段时间调查，奇安信威胁情报中心将该犯罪团伙归为未知威胁组织类别，赋予其跟踪编号UTG-Q-007。该团伙攻击目标有中国、韩国、越南、印度等亚洲国家，行业涉及建筑、房产营销、互联网，并使用特有的ROTbot木马窃取加密货币、知识产权、社交账号等敏感数据，与faceduck Group(ducktail)盈利模式类似存在劫持facebook商业账号ads的行为，我们将相关细节披露给开源社区，供友商进行分析排查。

披露时间：2024年2月21日

情报来源：https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war/

相关信息：

Operation Texonto是一种虚假信息/心理战活动，使用垃圾邮件作为主要分发方法。肇事者似乎并没有使用 Telegram 或虚假网站等常见渠道来传达他们的信息。研究人员检测到两波不同的浪潮，第一波发生在 2023 年 11 月，第二波发生在 2023 年 12 月底。电子邮件的内容涉及供暖中断、药品短缺和食品短缺，这些都是俄罗斯宣传的典型主题。

除了虚假信息活动之外，研究人员还于 2023 年 10 月和 2023 年 11 月分别检测到针对一家乌克兰国防公司和一家欧盟机构的鱼叉式网络钓鱼活动。这两项活动的目标都是窃取 Microsoft Office 365 帐户的凭据。由于这些心理战和网络钓鱼操作所使用的网络基础设施相似，因此非常有信心地将它们联系起来。

有趣的是，更多的关键点还揭示了属于Operation Texonto的一部分并与俄罗斯内部话题相关的域名，例如著名的俄罗斯反对派领导人阿列克谢·纳瓦尔尼 (Alexei Navalny)，他入狱并于 2024 年 2 月 16 日去世。这意味着Operation Texonto可能针对俄罗斯持不同政见者和已故反对派领导人支持者的鱼叉式网络钓鱼或信息行动。

披露时间：2024年2月28日

情报来源：https://cert.360.cn/warning/detail?id=65deee7fc09f255b91b17e0f

相关信息：

研究人员通过长期监测发现一种活跃了2年多时间的门罗币挖矿木马，其采用Go语言编写并通过漏洞利用（Spring Cloud Gateway RCE (CVE-2022-22947)、Apache Log4j RCE (CVE-2021-44228) 等）、SSH暴破、网页挂马等方式入侵传播。通过逐层溯源发现，其为SupermanMiner挖矿木马2021年11月之后的新分支，因其主、子程序函数名及路径多包含app和app2字符串，为便于区分遂将该新分支命名为“AppMiner”，其新变种具有如下特点：

1）利用Google sites（Google的一个WEB协作平台，可供开发者创建自己的网站）创建自定义网页进行挂马（同SupermanMiner最初版本）

2）样本中嵌入Google sites挂马页面url（不再使用唯一的C2），关联定位更为困难

3）TLSV1.3协议加密恶意模块下发通信实现隐秘挖矿（当前获利4.5万RMB）

4）使用cron V3设置非持久定时任务，重启失效，具有更好的隐蔽性

5）广泛使用文件名随机化、自删除技术

6）混淆版本使用go-strip严重混淆增加逆向工程难度

7）环环相扣的守护程序逻辑

披露时间：2024年2月28日

情报来源：https://mp.weixin.qq.com/s/G3bRoMTNDO1iVMYvxpc21g

相关信息：

近期，研究人员检测到木马病毒pitou的最新变种正在快速传播。该病毒感染系统后，可以根据C&C服务器下发的配置信息发送邮件进行钓鱼攻击和广告推销。同时，该病毒还采用内核级对抗手段来规避安全软件的查杀，并且能够在操作系统加载前执行，其较强的隐蔽性和持久性对用户构成较大安全威胁。

披露时间：2024年2月26日

情报来源：https://thedfirreport.com/2024/02/26/seo-poisoning-to-domain-control-the-gootloader-saga-continues/

相关信息：

安全人员发现Gootloader的感染活动。用户通过SEO中毒的搜索结果下载文件，文件与搜索词高度相关，但当用户运行文件后，文件将触发Gootloader的执行。Gootloader会建立计划任务，结合登录触发器以执行PowerShell脚本，并调用另一个PowerShell脚本。

脚本将使用内置PowerShell Cmdlet和WMI查询主机基本信息，并向远程恶意服务器发起请求，远程服务器将响应两个文件，文件包含一个混淆的Gootloader启动器和一个直接加载到内存中的Cobalt Strike Beacon。两个文件均会被建立注册表项。随后，主机外联C2服务器，攻击者将检查LDAP和SMB服务，并发起内网横向移动，并在成功获取访问权限的主机中查找敏感信息。

披露时间：2024年2月26日

情报来源：https://www.fortinet.com/blog/threat-research/ransomware-roundup-abyss-locker

相关信息：

研究人员发现尽管第一个 Abyss Locker 样本已于 2023 年 7 月提交给公开文件扫描服务，但勒索软件的第一个变种可能追溯到更早的时候，因为该勒索软件基于 HelloKitty 勒索软件源代码。针对 Windows 系统的 Abyss Locker 勒索软件版本 1 变体于 2024 年 1 月上旬被发现，随后在当月晚些时候发现了针对 Windows 的版本 2。在此文的综述中回顾了 Linux 和 Windows 变体。

Abyss Locker 威胁参与者在部署和运行用于文件加密的勒索软件以窃取受害者的数据。该勒索软件还能够删除卷影副本和系统备份。勒索软件样本被提交给来自多个地区的公开文件扫描服务，包括欧洲、北美、南美和亚洲。

披露时间：2024年2月24日

情报来源：https://labs.withsecure.com/publications/new-krustyloader-variant-dropped-via-screenconnect-exploit

相关信息：

由于ScreenConnect程序爆出的两个漏洞的poc被公开，大量攻击者开始利用ScreenConnect工具实施攻击活动。安全人员表示，截至2024年2月21日，有超过8,000个存在漏洞的ScreenConnect实例暴露在公网上，值得注意的是，ScreenConnect是一种远程管理工具，托管服务提供商和IT服务提供商使用它来管理多个客户端组织，每个ScreenConnect服务器最多可以管理150,000个客户端组织。

考虑到这一点，该漏洞造成的威胁面明显高于暴露在公网上的ScreenConnect服务器实例的数量。近期，WithSecure检测到攻击者利用ScreenConnect部署名为KrustyLoader的新型Windows变体。攻击者首先将r.bat下发至受害者主机的特定路径下，随后随机选择托管KrustyLoader负载的URL并下载程序，利用bitsadmin和PowerShell的命令启动有效负载KrustyLoader。KrustyLoader是一种用Rust编写的初级恶意软件。

该恶意软件的主要目的是下载并启动第二阶段的有效负载。经安全人员分析，该软件的Windows变种与Linux变种的功能基本相同。恶意软件运行后将进行沙箱环境检测、修改自身路径、解密第二阶段负载的URL、下载第二阶段有效负载并注入到explorer.exe进程中。KrustyLoader的第二阶段有效负载提供Sliver C2工具，以操控主机。目前，该攻击活动已持续半年之久。

披露时间：2024年2月28日

情报来源：https://blog.talosintelligence.com/vulnerability-roundup-feb-27-2024/

相关信息：

研究人员在 2 月份披露了 30 多个漏洞，其中包括 Adobe Acrobat Reader 的 7 个漏洞，Adobe Acrobat Reader 是目前最受欢迎的 PDF 编辑和阅读软件之一。

攻击者可以利用这些漏洞触发先前释放的对象，从而导致内存损坏并可能在目标计算机上执行任意代码。 

其他潜在的代码执行漏洞也存在于 Weston Embedded µC/HTTP 服务器中，该服务器是 Weston Embedded 内部操作系统中的一个 Web 服务器组件，也是一个处理多种类型的潜在敏感医学测试的开源库。