[0412] 一周重点威胁情报｜天际友盟情报站

热点情报

RUBYCARP僵尸网络组织揭秘
微软补丁日通告：2024年4月版
金融相关人员近期遭游蛇团伙攻击
FatalRAT目标锁定Exodus加密货币平台中文用户
Solar Spider组织借助JsOutProx新版本入侵多个地区的金融机构

APT攻击

MuddyWater组织最新攻击框架DarkBeatC2分析
eXotic Visit间谍活动瞄准印度和巴基斯坦安卓用户
Lazy Koala组织利用LazyStealer窃取器攻击多个国家
Latrodectus遭到黑客组织TA577和TA578组织大量使用
Starry Addax组织正利用新恶意软件瞄准北非的人权活动人士
TA547疑似使用大模型工具生成脚本向德国实体分发Rhadamanthys恶意软件

技术洞察

勒索软件DoNex样本分析
勒索软件Crypt888详情披露
Pupy RAT恶意软件活动追踪
Byakugan多功能恶意软件分析
Pikabot字符串反混淆技术介绍
针对拉丁美洲的网络钓鱼活动追踪
针对开发人员的开源供应链攻击技术分析
攻击者使用Agent Tesla针对美国和澳大利亚
伪造的恶意电子银行软件正被用于针对东南亚地区
ScrubCrypt被用于部署VenomRAT及其他恶意插件
恶意Bing广告活动推送NordVPN以投递secTopRAT
《Wallpaper Engine：壁纸引擎》存在恶意壁纸文件
攻击者通过YouTube推广盗版视频游戏以传播恶意软件

情报详情

RUBYCARP僵尸网络组织揭秘

Sysdig最近发现了一个疑似由罗马尼亚人长期运营的僵尸网络组织：RUBYCARP。据悉，该组织似乎与Outlaw APT存在关联，它们共享许多的TTP，目前已活跃至少10年，主要依靠各种公共漏洞和暴力攻击手段部署僵尸网络，借助公共和私人类型的多个IRC网络进行通信，同时开发了大量的网络武器并会窃取目标数据，然后通过加密货币挖矿和网络钓鱼来获取经济利益。研究人员表示，RUBYCARP一旦获取访问权限，就会安装基于流行的Perl Shellbot的后门。然后，受害者的服务器连接到充当C2角色的IRC服务器，并加入更大的僵尸网络。目前，受感染主机实际数量已超过600个。RUBYCARP基础设施由大量恶意IP和域名组成，定期轮换，一旦检测到任何潜在的研究活动，通常会立即替换并清空其恶意内容。该组织的主要恶意工具开发者名为"dog"，他使用"Cartier"和"Kartier"为其常用工具(如Mass Scanner)进行签名。并且，RUBYCARP常使用自己的私有矿池进行挖矿，它拥有多个活跃的挖矿软件(NanoMiner、XMrig)和加密货币钱包(门罗币、以太坊、渡鸦币)，其收到的总额超过22,800美元。有证据表明，RUBYCARP还执行网络钓鱼操作来窃取具有财务价值的资产，且目标主要是Swish Bank、Nets Bank和Bring Logistics等欧洲实体。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=6c01a9fef33f4b6cae4fc523119fd57f

微软补丁日通告：2024年4月版

微软近期发布了2024年4月的安全更新。本次安全更新修复了总计149个安全漏洞(不包括6个非Microsoft CVE)，其中存在142个重要漏洞(Important)、3个严重漏洞(Critical)、3个中等漏洞(Moderate)、1个低等漏洞(Low)。在漏洞类型方面，主要包括68个远程代码执行漏洞、31个特权提升漏洞、26个安全功能绕过漏洞、13个信息泄露漏洞、6个拒绝服务漏洞、5个欺骗漏洞。本次发布的安全更新涉及Microsoft Defender、Azure、SQL Server等多个产品和组件。更多信息，可参考微软2024年4月安全更新说明：https://msrc.microsoft.com/update-guide/releaseNote/2024-Apr

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=446a76455ba3466a897f38c92e141685

金融相关人员近期遭游蛇团伙攻击

近期，安天监测到"游蛇"黑产团伙对与金融、财务相关的企业及人员发起钓鱼攻击。据悉，该团伙自2022年下半年活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动，其传播的恶意程序变种多、更新免杀手段快、更换基础设施频繁、攻击目标所涉及的行业广泛。
在本轮活动中，攻击者投放的初始恶意文件主要有三类：可执行程序、CHM文件、商业远控软件"第三只眼"，且伪造的文件名称大多与财税、资料、函件等相关。其中，可执行程序通常是下载器，执行后将在内存中加载Shellcode，从攻击者事先准备的服务器中获取下一阶段的载荷文件，并使用"白加黑"、"内存执行Shellcode"、"内存解密Payload"等手段最终加载执行Gh0st等远控木马。CHM文件执行后会弹出"内容已损坏，无法继续浏览，请关闭"字样。实际上，其内部脚本中的代码已得到执行，通过远程加载xsl文件的方式，获取下一阶段的载荷文件，并使用"白加黑"等手段最终加载执行Gh0st等远控木马。商业远控软件"第三只眼"则经过伪装，以静默方式进行安装，它可提供多方面的远程监控及控制功能，同时可将数据回传至厂商提供的子域名服务器，并根据qyid值识别控制端用户，攻击者甚至无需自己搭建C2服务器，因此利用该软件进行的恶意活动近期呈现活跃趋势。此外，研究人员表示，"游蛇"黑产仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=b06e71ff363c42d5a1d79f7ae737320a

FatalRAT目标锁定Exodus加密货币平台中文用户

Cyble近日监测到了一起专门针对加密货币(特别是Exodus平台)用户的新型网络钓鱼活动。据悉，该活动主要针对讲中文的个人或组织，攻击者利用了模仿Exodus加密钱包界面的钓鱼网站，以引诱目标用户下载伪装成正版中文Exodus安装程序的软件，同时配合使用DLL侧加载技术部署FatalRAT恶意软件有效负载，以及Clipper和Keylogger恶意软件组件。其中，FatalRAT最初于2021年8月被发现，是一种远程访问木马，拥有击键记录、屏幕分辨率操纵、下载和执行文件以及窃取网络浏览器中存储的数据等功能，攻击者可通过它控制受害者的计算机并窃取敏感信息。添加Clipper组件表明了攻击者针对加密货币用户的策略，键盘记录器组件则增强了数据拦截功能。一旦受害者执行安装程序，木马化的Exodus加密钱包程序便会授予攻击者未经授权的访问和控制权，使其能够从Web浏览器进行敏感信息窃取、击键捕获、数据操纵(尤其是剪贴板中的钱包地址)以及其他恶意攻击活动。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=7c2939ebadcb4d69b222f7ac7982190a

Solar Spider组织借助JsOutProx新版本入侵多个地区的金融机构

Resecurity最近检测到新版本的JsOutProx正被用于针对亚太、中东和北非地区的金融服务和组织。据悉，JSOutProx恶意软件于2019年首次被发现，最初归因于Solar Spider组织针对非洲、中东、南亚和东南亚金融机构的网络钓鱼活动，疑似由中国或其附属人员开发，是一个基于JavaScript和.NET的复杂攻击框架，它利用.NET反序列化功能与受害者计算机上运行的核心JavaScript模块进行交互，一旦执行，恶意软件就会使框架加载各种插件，从而在目标上执行其他恶意活动。
研究人员表示，本次活动在2024年2月8日左右出现激增，攻击者通过"[email protected]"邮件帐户，向多个银行客户发送了虚假的SWIFT付款通知(针对企业客户)和Moneygram模板(针对私人客户)，利用误导性通知来迷惑受害者并执行恶意代码。其中，大多数有效负载均托管在GitHub存储库上，伪装为PDF文件，且活动涉及多阶段感染链，Solar Spider会释放多个基于JS的混淆负载来收集敏感信息，并安装代理服务器以远程连接到受害者。2024年3月27日，Resecurity再次发现属于同一组织的新恶意软件样本，不过区别在于它在多阶段感染链中转向使用GitLab，目前已识别的由攻击者控制的存储库是docs909、dox05。一旦恶意代码成功交付，攻击者还会删除存储库并创建一个新的存储库。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=bc63b6cc463443a19403a22e7de86013