[0308] 一周重点威胁情报｜天际友盟情报站

• Shadow勒索组织攻陷俄罗斯多家公司

• Fluffy Wolf组织冒充建筑公司分发多种恶意程序

• JSBot僵尸网络病毒借助某蝶云星空漏洞感染办公系统

• 以色列Intellexa运营商重建Predator间谍软件基础设施

• GhostSec联合Stormous团伙对多个国家实施双重勒索攻击

• TA577组织使用新型攻击链窃取NTLM信息

• NoName057(16)组织DDoSia项目持续更新

• TA4903组织冒充美国政府机构实施BEC攻击

• APT37利用朝鲜政治话题向韩国发起钓鱼攻击

• 针对Linux系统的攻击活动公开

• Copybara银行木马钓鱼欺诈活动追踪

• 在线记事本被用于传播后门软件WogRAT
  

• XRed后门隐藏在合法程序中感染用户主机

• 针对Mac用户的Atomic Stealer新变种披露
  

• GTPDOOR恶意软件利用GPRS协议感染电信网络

• RA World勒索软件以医疗保健领域为主要攻击目标

• 虚假的俄罗斯政府网站被用于传播SapphireStealer

• 新型银行木马CHAVECLOAK瞄准巴西Windows用户

• 黑客针对FCC和加密货币公司发动高级Okta网络钓鱼攻击

• Infostealer恶意软件伪装为Adobe安装程序窃取主机数据

• Shadow勒索组织攻陷俄罗斯多家公司

近期，安全人员对Shadow组织的攻击活动进行了分析。2023年9月，安全人员在未知攻击者用来攻击俄罗斯公司的服务器上发现了多种渗透测试工具，后续经过深入了解，安全人员将该未知攻击者归因为Shadow勒索组织。据安全人员分析，该攻击活动最早可追溯到2022年9月，攻击者使用的工具有SQLMap、Metasploit、ProxyShell-Scanner、Cobalt Strike、Sliver等。根据攻击者服务器的历史日志，可以发现攻击者使用Metasploit对Confluence、Cisco ASA、GitLab、Exchange、IIS、OpenSSL、Zimbra等服务发起漏洞利用。从Metasploit存储的数据可以看到，攻击者在2023年5月15日至8月22日期间获取了大量数据，涉及员工的全名、电子邮件地址、职位以及受害公司的内部文件。攻击者还利用SQLMap获得了至少一家公司的数据访问权限。在ProxyShell-Scanner的扫描日志中，攻击者扫描了7000台主机，其中存在160台主机存在漏洞。据统计，此次Shadow组织的攻击活动仅针对俄罗斯，涉及多种行业，勒索采用双重勒索模式，并且该组织已获得了至少十几家俄罗斯公司的基础设施和数据库访问权限。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=210ec80fe09b4a06a974ffa400cdc822

• Fluffy Wolf组织冒充建筑公司分发多种恶意程序

近期，Fluffy Wolf组织正通过钓鱼邮件的方式感染主机，安全人员表示，该组织至少自2022年以来一直活跃，常通过钓鱼邮件投递受密码保护的压缩文档，压缩文档包含伪装成对账报告的可执行文件，可执行文件可在主机中部署Meta Stealer、WarZone RAT等多种恶意程序。在最新的攻击活动中，攻击者代表一家建筑公司发送了主题为“请求签名”的钓鱼邮件，邮件依然携带加密的RAR附件。附件中的文件可下载并安装Remote Utilities远程访问工具以及Meta Stealer。文件还会创建一个名为Znruogca.exe的副本，同时为其创建注册表项，启动加载器以从远程服务器下载有效负载。其中，Remote Utilities是一种合法的远程访问工具，攻击者可以使用该工具控制受感染的设备，Meta Stealer是RedLine程序的克隆版本，攻击者可以在地下论坛购买该程序，程序可窃取系统的详细信息、进行截图等操作，窃取的数据将被发送至远程服务器。此外，安全人员还观察到攻击者使用Xmrig挖矿程序。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=03fbcc297b074a4584d5922418422a5c

• JSBot僵尸网络病毒借助某蝶云星空漏洞感染办公系统

JSBot是一种利用多种漏洞，善于使用无文件方式加载恶意代码的新型僵尸网络病毒，具备文件下载、上传、对外DDoS、挖矿、盗取密码等功能，对主机、用户资产危害极大。近期，深信服观察到JSBot僵尸网络病毒正使用某蝶云星空反序列化命令执行漏洞在办公系统内进行传播。经研究人员进一步分析发现，JSBot借助漏洞进入办公系统后，会执行一段远程PowerShell代码，该代码主要负责通过Set-MpPreference-DisableRealtimeMonitoring $true指令关闭Windows defender的实时文件扫描，再通过Add-MpPreference-ExclusionPath命令将指定目录加入Windows Defender的白名单中，然后创建多个计划任务，进而执行远程恶意DLL，最终通过IEX执行远程PowerShell代码networks.ps1文件，即经混淆后的JSBot僵尸网络病毒模块。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=be96d7820077450084945836420ababf

• 以色列Intellexa运营商重建Predator间谍软件基础设施

Recorded Future近日报道称，一个名为"Intellexa"的以色列间谍软件联盟运营商重建了Predator恶意软件的基础设施，并且目前至少在11个国家/地区开展业务，包括之前尚未记录过该工具使用情况的博茨瓦纳和菲律宾。其中，Predator至少可以追溯到2019年，由Cytrox创建(后来被Intellexa合并)，可感染Android和iPhone设备，是一种主要被用于针对各国政府以及持不同政见者和其他批评者的强大间谍软件。据悉，该软件的服务器于2023年10月初约有150台，不过到11月初，随着国际社会的关注和打击，极速下降至50台左右。因此，Intellexa开始重建一套新的基础设施来控制该软件，到2024年1月中旬，其服务器又上升至81台服务器。并且，该活动涉及的新基础设施域名依旧使用以往类似主题，通过冒充组织(如新闻媒体)，进而传播Predator恶意软件。一个典型的例子如，一旦目标被诱骗点击基于欺骗性新闻、体育或天气相关领域的链接，就会触发传播恶意软件的漏洞利用链。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=6e81bdc6e3d34415881a0ac8e86b3e94

• GhostSec联合Stormous团伙对多个国家实施双重勒索攻击
  

Talos近期观察到，GhostSec组织和Stormous勒索团伙正联手使用GhostLocker和StormousX勒索软件程序对多个国家(包括古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、印度、南非、巴西、摩洛哥等)的各种商业垂直领域进行双重勒索攻击。并且，GhostSec在其Tg频道中还强调了对以色列工业系统、关键基础设施和技术公司的持续攻击，其它受影响的组织还包括以色列国防部等。其中，GhostSec是一个出于经济动机的黑客组织，自称是现代五大家族组织之一，该组织在其Telegram频道上还包括ThreatSec、Storous、Blackforums和SiegedSec团伙，主要对不同地区的受害者进行勒索攻击，同时还会发起拒绝服务(DoS)攻击，以关闭受害者的网站，旨在通过网络犯罪活动为黑客和威胁组织筹集资金。
调查显示，2023年7月，GhostSec与Stormous勒索团伙开始合作，成功利用StormousX勒索程序针对古巴各部委实施了行动。2023年10月，GhostSec推出了基于Python编写的GhostLocker的勒索软件即服务(RaaS)框架，随后宣布将使用该勒索软件展开后续联合攻击。11月，GhostSec又发布了GhostLocker勒索软件的Golang新版本：GhostLocker 2.0，它采用AES加密算法，密钥由原来的128位变化为256位，最后会使用".ghost"文件扩展名对受害者计算机上的文件进行加密。2024年2月末，Stormous组织与GhostSec再次启动了新的勒索软件即服务(RaaS)计划"STMX_GhostLocker"，该计划则由付费、免费，以及另一类为没有计划但只想在博客上出售或发布数据的个人提供的服务(PYV)组成。不过值得注意的是，除了勒索活动之外，GhostSec似乎还会对企业网站进行攻击，如通过利用GhostSec深度扫描工具集递归扫描合法网站、利用GhostPresser工具执行跨站脚本，从而攻击印度尼西亚的一家国家铁路运营商和加拿大领先的能源公司。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=44516acea5fc49f3ada0daf02e5dc171