每周高级威胁情报解读(2024.03.01~03.07)

披露时间：2024年3月6日

情报来源：https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html

相关信息：

间谍组织 Earth Kapre（又名 RedCurl 和 Red Wolf）一直在积极针对俄罗斯、德国、乌克兰、英国、斯洛文尼亚、加拿大、澳大利亚和美国的组织开展网络钓鱼活动。它使用包含恶意附件（.iso 和 .img）的网络钓鱼电子邮件，打开此文件就会成功感染，以触发创建持久性计划任务，同时未经授权收集敏感数据并将其传输到命令和控制 (C&C) 服务器。

研究人员对多台计算机被 Earth Kapre 下载程序感染的事件进行了调查。观察到该恶意软件与其 C&C 服务器建立连接，这表明存在潜在数据盗窃情况。有趣的是，在这种情况下，Earth Kapre 又重新使用了一种与其最近活动的不同技术：它使用合法工具Powershell.exe和curl.exe来获取后续阶段的下载程序。为了混入网络并逃避检测，Earth Kapre 被发现使用程序兼容性助手 ( pcalua.exe ) 来执行恶意命令行。

披露时间：2024年3月5日

情报来源：https://www.kroll.com/en/insights/publications/cyber/screenconnect-vulnerability-exploited-to-deploy-babyshark

相关信息：

研究人员观察到使用一种新恶意软件的活动，该恶意软件似乎与 BABYSHARK 非常相似，此前有报道称该恶意软件是由 APT 组织 Kimsuky (KTA082) 开发和使用的。该恶意软件是作为攻击尝试的一部分而部署的，该活动首先利用了 ConnectWise 开发的远程桌面软件 ScreenConnect 中最近解决的身份验证绕过问题。

最近在 ConnectWise ScreenConnect 中解决了两个严重漏洞（编号为 CVE-2024-1708 和 CVE-2024-1709），并且由于其易于利用而已被许多威胁参与者利用。

CVE-2024-1709 (CVSS:10) 可能会由于路径过滤不足而允许绕过身份验证。

CVE-2024-1708 (CVSS:8.4) 是一个路径遍历漏洞，允许攻击者在 ScreenConnect 服务器上远程执行代码。

披露时间：2024年3月4日

情报来源：https://mp.weixin.qq.com/s/yzd0aVq2wzi-v-eB73F6lQ

相关信息：

近日，研究人员在日常威胁狩猎中发现APT37组织多次利用朝鲜相关政治话题诱饵，向目标用户下发ROKRAT木马窃取信息。

APT37组织又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、ScarCruft、Venus 121。该组织至少从2012年开始活跃，主要针对韩国的公共和私营部门。2017年，APT37将其目标扩展到朝鲜半岛之外，包括日本、越南和中东，并扩展到更广泛的垂直行业，包括化学、电子、制造、航空航天、汽车和医疗保健实体。2023年，APT37组织开始针对国内用户进行网络钓鱼，涉及Windows和Android平台。

披露时间：2024年3月1日

情报来源：https://blog.sekoia.io/noname05716-ddosia-project-2024-updates-and-behavioural-shifts

相关信息：

研究人员近日披露，亲俄罗斯组织NoName057(16)于俄乌战争期间启动的DDoSia项目在2024年有了新的变化。其中，DDoSia是一项旨在针对支持乌克兰的国家实体(包括私营公司、政府部门和公共机构)进行大规模分布式拒绝服务(DDoS)攻击的号召活动，主要在Telegram频道中运营。

调查显示，2023年11月中旬，DDoSia项目的Telegram频道管理员开始分享其新版本，该版本增加了对32位系统的兼容性以及对FreeBSD操作系统的支持，据悉其早期版本已经支持AMD64、ARM和ARM64。2024年2月下旬，管理员又共享了包含两个文件夹的ZIP文档，以适用于希望根据其地理位置执行文件的用户，即启动可执行文件时，会向用户显示一条警告消息，建议他们在位于俄罗斯的情况下使用VPN。在开发方面，最新版本改变了用户与其C2服务器之间传输数据的加密方式，还会发送额外的数据来唯一标识运行该程序的用户计算机，同时添加了一项新功能，涉及对HTTP POST请求内容内的数据进行加密。尽管最新版本提高了软件的数据传输能力，不过DDoSia客户端尚未纳入远程更改IP地址的自动化机制，因此在维持其C2服务器稳定性方面依然面临着巨大挑战。2023年，该组织托管服务器的地理位置主要位于欧洲，到2024年，它们将在全球范围内实现多元化，涵盖亚洲、非洲和南美洲。在受害者方面，2024年1月到2月，NoName057(16)重点关注欧洲目标，尤其是对支持乌克兰战争最多的国家以及北约相关国家(如芬兰和意大利)。此外，2024年2月，NoName057(16)还利用DDoSia影响了日本多个实体。

披露时间：2024年3月6日

情报来源：https://www.facct.ru/blog/shadow-ransomware/

相关信息：

近期，安全人员对Shadow组织的攻击活动进行了分析。2023年9月，安全人员在未知攻击者用来攻击俄罗斯公司的服务器上发现了多种渗透测试工具，后续经过深入了解，安全人员将该未知攻击者归因为Shadow勒索组织。据安全人员分析，该攻击活动最早可追溯到2022年9月，攻击者使用的工具有SQLMap、Metasploit、ProxyShell-Scanner、Cobalt Strike、Sliver等。根据攻击者服务器的历史日志，可以发现攻击者使用Metasploit对Confluence、Cisco ASA、GitLab、Exchange、IIS、OpenSSL、Zimbra等服务发起漏洞利用。

从Metasploit存储的数据可以看到，攻击者在2023年5月15日至8月22日期间获取了大量数据，涉及员工的全名、电子邮件地址、职位以及受害公司的内部文件。攻击者还利用SQLMap获得了至少一家公司的数据访问权限。在ProxyShell-Scanner的扫描日志中，攻击者扫描了7000台主机，其中存在160台主机存在漏洞。据统计，此次Shadow组织的攻击活动仅针对俄罗斯，涉及多种行业，勒索采用双重勒索模式，并且该组织已获得了至少十几家俄罗斯公司的基础设施和数据库访问权限。

披露时间：2024年3月6日

情报来源：https://www.cadosecurity.com/spinning-yarn-a-new-linux-malware-campaign-targets-docker-apache-hadoop-redis-and-confluence/

相关信息：

近期，安全人员发现一起针对Linux系统的新的攻击活动。攻击者针对面向公网且配置存在错误的应用，如Apache Hadoop YARN、Docker、Redis等，发送攻击载荷以及工具感染主机。安全人员已发现四种新颖的Golang有效负载，可分别针对Docker、Hadoop YARN、Confluence和Redis程序。

此外，安全人员还观察到攻击者利用Confluence历史漏洞CVE-2022-26134试图远程执行代码。安全人员对此次攻击活动的部分载荷进行了分析，第一个载荷名为fkoths，是一个64位的由Go语言编写的ELF文件，文件中包含两个重要函数分别是DeleteImagesByRepo()和AddEntryToHost()。其中，DeleteImagesByRepo()会搜寻主机中的所有Docker镜像并删除。AddEntryToHost()函数则会更新/etc/hosts文件。

针对特定应用程序的四种载荷则分别为h.sh、d.sh、c.sh、w.sh，这些文件均用于识别和利用此前提到的四种服务。其中h.sh、d.sh以及w.sh包含相同的功能，可生成IP列表以扫描和搜索特定服务。c.sh则专门利用错误配置的Redis服务器。最终，攻击者可感染主机，部署反弹shell，下发rootkit程序。

披露时间：2024年3月6日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/ta4903-actor-spoofs-us-government-small-businesses-phishing-bec-bids

相关信息：

TA4903 是一个出于经济动机的网络犯罪者，它欺骗美国政府实体和多个行业的私营企业。该攻击者主要针对位于美国的组织，偶尔也会针对全球范围内的组织，以进行大量电子邮件活动。研究人员高度确信这些活动的目标是窃取公司凭据、渗透邮箱并进行后续商业电子邮件泄露活动。

 2021 年 12 月研究人员开始观察其一系列欺骗美国联邦政府实体的活动。这些活动最初伪装成美国劳工部，随后被归咎于 TA4903。在 2022 年的活动中，威胁行为者声称是美国住房和城市发展部、交通部和商务部。

从 2023 年中期到 2024 年， 研究人员观察其不同主题的凭证网络钓鱼和欺诈活动有所增加。并开始欺骗各个行业的中小企业 (SMB)，包括建筑、制造、能源、金融、食品和饮料等。

披露时间：2024年3月5日

情报来源：https://mp.weixin.qq.com/s/5tLirgpBcK1ZvLfB6Qn8pw

相关信息：

近日，研究人员发现一种利用 Google 广告进行钓鱼的攻击手法。随后展开深入分析。根据 Rabby Wallet 团队的描述，团队并未购买任何 Google 广告，然而这个假广告却跳转到了真正官网。从 Google 搜索关键字情况来看，排在前两位的搜索结果都为钓鱼广告，然而第一条广告的链接却很反常，它显示的明明是 Rabby Wallet 的官方网站地址 https://rabby.io。

通过跟踪发现，钓鱼广告有时会跳转到真正官方地址 https://rabby.io，而在多次更换代理到不同地区后，则会跳转到钓鱼地址 http://rebby.io，并且该钓鱼地址会更新改变。在编写本文时，该链接跳转到钓鱼地址 https://robby.page[.]link/Zi7X/?url=https://rabby.io?gad_source=1。

披露时间：2024年3月5日

情报来源：https://blog.talosintelligence.com/ghostsec-ghostlocker2-ransomware/

相关信息：

研究人员近期观察到，GhostSec组织和Stormous勒索团伙正联手使用GhostLocker和StormousX勒索软件程序对多个国家(包括古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、印度、南非、巴西、摩洛哥等)的各种商业垂直领域进行双重勒索攻击。并且，GhostSec在其Tg频道中还强调了对以色列工业系统、关键基础设施和技术公司的持续攻击，其它受影响的组织还包括以色列国防部等。其中，GhostSec是一个出于经济动机的黑客组织，自称是现代五大家族组织之一，该组织在其Telegram频道上还包括ThreatSec、Storous、Blackforums和SiegedSec团伙，主要对不同地区的受害者进行勒索攻击，同时还会发起拒绝服务(DoS)攻击，以关闭受害者的网站，旨在通过网络犯罪活动为黑客和威胁组织筹集资金。

调查显示，2023年7月，GhostSec与Stormous勒索团伙开始合作，成功利用StormousX勒索程序针对古巴各部委实施了行动。2023年10月，GhostSec推出了基于Python编写的GhostLocker的勒索软件即服务(RaaS)框架，随后宣布将使用该勒索软件展开后续联合攻击。11月，GhostSec又发布了GhostLocker勒索软件的Golang新版本：GhostLocker 2.0，它采用AES加密算法，密钥由原来的128位变化为256位，最后会使用".ghost"文件扩展名对受害者计算机上的文件进行加密。2024年2月末，Stormous组织与GhostSec再次启动了新的勒索软件即服务(RaaS)计划"STMX_GhostLocker"，该计划则由付费、免费，以及另一类为没有计划但只想在博客上出售或发布数据的个人提供的服务(PYV)组成。不过值得注意的是，除了勒索活动之外，GhostSec似乎还会对企业网站进行攻击，如通过利用GhostSec深度扫描工具集递归扫描合法网站、利用GhostPresser工具执行跨站脚本，从而攻击印度尼西亚的一家国家铁路运营商和加拿大领先的能源公司。

披露时间：2024年3月4日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft

相关信息：

研究人员在 2024 年 2 月 26 日至 27 日期间发现了至少两个利用相同技术窃取 NTLM 哈希值的活动。这些活动包括针对全球数百个组织的数万条消息。消息显示为对先前电子邮件的回复（称为线程劫持），并包含压缩的 HTML 附件。

每个 .zip 附件都有一个唯一的文件哈希，压缩文件中的 HTML 是针对每个收件人进行定制的。打开后，HTML 文件会通过对以 .txt 结尾的文件URI 进行元刷新来触发与服务器消息块 (SMB) 服务器的系统连接尝试。也就是说，该文件将自动联系威胁参与者拥有的外部 SMB 资源。尚未观察到来自这些 URL 的恶意软件传递，相反，研究人员高度确信 TA577 的目标是从 SMB 服务器捕获 NTLMv2 挑战/响应对，以根据攻击链和所使用工具的特征窃取 NTLM 哈希值。

披露时间：2024年3月1日

情报来源：https://www.recordedfuture.com/predator-spyware-operators-rebuild-multi-tier-infrastructure-target-mobile-devices

相关信息：

新研究调查了新发现的与雇佣兵移动间谍软件 Predator 运营商相关的基础设施。据信，该基础设施至少在 11 个国家投入使用，包括安哥拉、亚美尼亚、博茨瓦纳、埃及、印度尼西亚、哈萨克斯坦、蒙古、阿曼、菲律宾、沙特阿拉伯以及特立尼达和多巴哥。值得注意的是，这是首次识别博茨瓦纳和菲律宾的 Predator 客户。尽管其营销目的是反恐和执法，但它经常被用来针对民间社会，以记者、政治家和活动家为目标，目前在这一最新活动中尚未确定具体的受害者或目标。

使用 Predator 等间谍软件会给隐私、合法性和人身安全带来重大风险，特别是在严重犯罪和反恐环境之外使用时。由于部署此类间谍软件的成本高昂，高管等知名人士面临更大的风险。欧盟最近采取措施遏制其成员国滥用雇佣兵间谍软件。

披露时间：2024年3月1日

情报来源：https://bi.zone/expertise/blog/davayte-sverimsya-kak-fluffy-wolf-ispolzuet-akty-sverki-v-atakakh/

相关信息：

近期，Fluffy Wolf组织正通过钓鱼邮件的方式感染主机，安全人员表示，该组织至少自2022年以来一直活跃，常通过钓鱼邮件投递受密码保护的压缩文档，压缩文档包含伪装成对账报告的可执行文件，可执行文件可在主机中部署Meta Stealer、WarZone RAT等多种恶意程序。

在最新的攻击活动中，攻击者代表一家建筑公司发送了主题为“请求签名”的钓鱼邮件，邮件依然携带加密的RAR附件。附件中的文件可下载并安装Remote Utilities远程访问工具以及Meta Stealer。文件还会创建一个名为Znruogca.exe的副本，同时为其创建注册表项，启动加载器以从远程服务器下载有效负载。其中，Remote Utilities是一种合法的远程访问工具，攻击者可以使用该工具控制受感染的设备，Meta Stealer是RedLine程序的克隆版本，攻击者可以在地下论坛购买该程序。程序可窃取系统的详细信息、进行截图等操作，窃取的数据将被发送至远程服务器。此外，安全人员还观察到攻击者使用Xmrig挖矿程序。

披露时间：2024年3月5日

情报来源：https://www.zscaler.com/blogs/security-research/android-and-windows-rats-distributed-online-meeting-lures

相关信息：

从 2023 年 12 月开始，研究人员发现一个威胁参与者创建欺诈性 Skype、Google Meet 和 Zoom 网站来传播恶意软件。威胁行为者向 Android 用户传播 SpyNote RAT，向 Windows 用户传播 NjRAT 和 DCRat。本文介绍并展示了如何在这些欺诈性在线会议网站上识别威胁行为者的恶意 URL 和文件。

攻击者利用共享网络托管，将所有这些虚假在线会议站点托管在一个 IP 地址上。所有假冒网站都是俄语的，此外，攻击者还使用与实际网站非常相似的 URL 托管这些虚假网站。

披露时间：2024年3月4日

情报来源：https://www.fortinet.com/blog/threat-research/banking-trojan-chavecloak-targets-brazil

相关信息：

研究人员最近发现一个威胁行为者利用恶意 PDF 文件来传播银行木马 CHAVECLOAK。这种复杂的攻击涉及 PDF 下载 ZIP 文件，然后利用 DLL 侧面加载技术来执行最终的恶意软件。值得注意的是，CHAVECLOAK 专门针对巴西用户而设计，旨在窃取与金融活动相关的敏感信息。

在南美网络威胁领域，银行木马采用一系列策略，例如网络钓鱼电子邮件、恶意附件和浏览器操纵。著名的例子包括 Casbaneiro（Metamorfo/Ponteiro）、Guildma、Mekotio 和 Grandoreiro。这些木马专门非法获取网上银行凭证和个人数据，对巴西和墨西哥等国家的用户构成重大威胁。本博客将介绍该恶意软件的详细信息。

披露时间：2024年3月5日

情报来源：https://asec.ahnlab.com/en/62446/

相关信息：

近期，研究人员发现攻击者通过在线记事本平台aNotepad传播后门恶意软件WogRAT。WogRAT自2022年开始被用于攻击活动中，针对Linux和Windows双平台，主要感染国家有中国、新加坡、日本等。针对Windows平台的WogRAT由.NET开发，伪装成Adobe工具，携带加密的下载器源代码。当恶意软件运行时，源代码将被加载从aNotepad平台下载字符串，并使用Base64进行解码，随后将解码字符串加载至内存中。

最终WogRAT核心DLL文件被加载，可收集系统信息并发送至远程服务器，同时WogRAT还支持执行命令、发送命令执行结果、下载文件等操作。安全人员还在攻击者的C2服务器上找到了针对Linux系统的WogRAT恶意软件，在程序执行后，恶意软件会将其自身进程名修改为合法进程，同时发送主机信息至远程服务器。该版本的WogRAT与Windows版本的恶意软件基本相同，主要的不同的点是WogRAT Linux版本通过反弹shell的方式接收远程命令。

披露时间：2024年3月5日

情报来源：https://asec.ahnlab.com/ko/62064/

相关信息：

近期，研究人员捕获到伪装成Adobe Reader安装程序的Infostealer恶意软件，文件通过PDF文档分发，文档中打开后将提示用户下载安装Adobe Reader查看文档内容。当用户根据提示下载并运行伪装为Adobe Reader的恶意程序后，程序首先会创建两个恶意文件，执行msdt.exe并以管理员权限执行sdiagnhost.exe。sdiagnhost.exe可加载恶意DLL文件，通过DLL劫持绕过UAC，执行名为require.exe的恶意文件。require.exe恶意文件执行后，将收集受害主机的基本信息并发送至C2服务器，同时，恶意文件还创建了一个伪装为Chrome的隐藏恶意文件以持续收集系统信息和用户浏览器信息。

披露时间：2024年3月4日

情报来源：https://www.trendmicro.com/en_us/research/24/c/multistage-ra-world-ransomware.html

相关信息：

自2023 年 4 月首次出现以来，RA World（前身为 RA Group） 勒索软件已成功侵入世界各地的组织。尽管威胁行为者的攻击范围很广，但其许多目标都在美国，少量攻击发生在德国、印度和台湾等国家。在行业方面，集团重点关注医疗保健和金融领域的业务。研究人员遇到了针对拉丁美洲地区多个医疗保健组织的 RA World 攻击，其中涉及多阶段组件，旨在确保该组织的运营产生最大影响和成功。

披露时间：2024年3月4日

情报来源：https://www.rapid7.com/blog/post/2024/03/04/etr-cve-2024-27198-and-cve-2024-27199-jetbrains-teamcity-multiple-authentication-bypass-vulnerabilities-fixed/

相关信息：

2024 年 2 月，研究人员发现了两个影响 JetBrains TeamCity CI/CD 服务器的新漏洞：

1.CVE-2024-27198是 TeamCity Web 组件中的一个身份验证绕过漏洞，由替代路径问题 ( CWE-288 ) 引起，CVSS 基本评分为 9.8（严重）。

2.CVE-2024-27199是 TeamCity Web 组件中的一个身份验证绕过漏洞，由路径遍历问题 ( CWE-22 )引起，CVSS 基本评分为 7.3（高）。

这两个漏洞都是身份验证绕过漏洞，其中最严重的 CVE-2024-27198 允许未经身份验证的远程攻击者完全破坏易受攻击的 TeamCity 服务器，包括未经身份验证的 RCE。攻击 TeamCity 服务器可以让攻击者完全控制所有 TeamCity 项目、构建、代理和工件，因此是攻击者执行供应链攻击的合适载体。

第二个漏洞 CVE-2024-27199 允许有限数量的信息泄露和有限数量的系统修改，包括未经身份验证的攻击者能够使用攻击者选择的证书替换易受攻击的 TeamCity 服务器中的 HTTPS 证书。