[0419] 一周重点威胁情报｜天际友盟情报站

热点情报

以中东政府实体为目标的DuneQuixote攻击活动分析
Global Protect防火墙零日漏洞遭UTA0218组织利用
Raspberry Robin蠕虫通过Windows脚本文件得到传播
俄罗斯Sandworm组织升级为APT44，目标是全球关键基础设施
漏洞CVE-2023-46604正遭到CatDDoS利用以传播其僵尸网络程序

APT攻击

朝鲜Kimsuky组织近期活动TTP分析
FIN7组织针对美国汽车制造公司部署Anunak后门程序
SteganoAmor活动：TA558正大规模攻击全球公司与机构
Sandworm组织在攻击东欧的活动中部署新的Kapeka后门
Lazarus组织利用CVE-2024-21338漏洞攻击亚洲技术人员

技术洞察

新型勒索软件EvilAnt分析
大量攻击者试图利用D-Link NAS漏洞
Lightspy间谍软件新一轮活动瞄准南亚地区
WikiLoader借助Notepad++文本编辑器实现分发
新Android银行恶意软件SoumniBot混淆技术披露
未知攻击者以税务主题为诱饵下发XWorm远控木马
僵尸网络恶意软件利用CVE-2023-1389漏洞进行大规模感染

情报详情

以中东政府实体为目标的DuneQuixote攻击活动分析

近期，安全人员发现针对中东政府实体的新攻击活动，并将该活动追踪为DuneQuixote。安全人员捕获到与该活动相关的三十多个dropper文件，部分文件为普通dropper文件，部分为一个名为Total Commander的安装程序，这些文件均携带CR4T后门代码。dropper文件是一个64位的Windows可执行文件，文件执行后，首先会启动一系列的接口调用进行字符串比较，解密核心字符串，最终获取C2服务器地址并访问下载后续有效负载。另外，Total Commander安装器是一个合法的安装程序文件，只是攻击者添加了恶意代码部分并且修改了入口点。该程序具有一系列的反分析功能，如调试器检测、安全工具检测、内存检测等。文件最终下发的CR4T程序可授予攻击者访问控制台的权限，以便其执行命令。CR4T还具有文件上传、下载和修改功能，可利用COM对象劫持技术来实现持久化，通过Telegram接口进行C2通信。目前CR4T已被捕获到存在C语言版本和Go语言版本，两者功能基本一致。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=d458b405a0604cafa2bc8a64acc15269

Global Protect防火墙零日漏洞遭UTA0218组织利用

Volexity近日警告称，Palo Alto Networks PAN-OS Global Protect防火墙设备中的CVE-2024-3400零日漏洞正遭到UTA0218组织利用。据悉，CVE-2024-3400是一个操作系统命令注入漏洞，CVSS评分为10.0，漏洞影响配置了GlobalProtect网关/GlobalProtect门户(或两者)并启用设备遥测的PAN-OS 10.2、PAN-OS 11.0和PAN-OS 11.1防火墙，它可允许未经身份验证的攻击者以root权限远程执行代码。
调查显示，UTA0218似乎自2024年3月26日开始利用该漏洞进行恶意活动测试；4月7日，攻击者继续尝试在客户的防火墙设备上部署一种基于Python的新型自定义后门：UPSTYLE，该后门内嵌脚本包含两个函数，允许攻击者通过特制的网络请求在设备上执行其他命令，但未能成功；4月10日，UTA0218被发现利用防火墙设备成功部署恶意负载。攻击者常在成功利用漏洞后，创建一个cronjob，以定期对外部服务器进行请求，并且试图利用bash执行请求获得的文件。期间，UTA0218从他们控制的远程服务器下载了额外的工具(如GOST反向代理工具)，以便于访问受害者的内部网络。随后，迅速在受害者的网络中横向移动，通过NTDS.DIT文件来获取域备份DPAPI密钥并定位活动目录凭据，并会进一步窃取用户浏览器中的cookie、登录数据以及本地状态数据等，以便实现持续访问。此外，研究人员观察到UTA0218在运营过程中利用了多种基础设施，它们主要分为两类：1)托管恶意软件的C2基础设施，用于通信通道；2)匿名源基础设施，用于访问攻击者创建的文件和工具并与受害者基础设施交互。其中，匿名基础设施似乎混合使用了VPN，以及可能受到感染的华硕路由器。同时，UTA0218还会利用受感染的AWS存储桶和各种虚拟专用服务器(VPS)提供商来存储恶意文件。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=fc6a4ca754a54f7ca9055c2a211cc970

Raspberry Robin蠕虫通过Windows脚本文件得到传播

近期，惠普观察到Raspberry Robin恶意软件开始通过Windows脚本文件(WSF)进行传播，这些脚本文件充当下载程序，经高度混淆，并使用了多种反分析和虚拟机(VM)检测技术，使其能够逃避检测。据悉，相关活动最早始于2024年年初，攻击者主要通过恶意网战下载的压缩文档文件传播该恶意软件，不过在2024年3月上旬的活动中，文档文件被替换为Windows脚本文件(.wsf)，这些文件可被用于自动执行Windows中的任务。目前，研究人员尚不清楚攻击者如何引诱受害者访问恶意URL，似乎是通过垃圾邮件或恶意广告活动实现。其中，Raspberry Robin则于2021年底首次被发现，是一种Windows蠕虫，最初借助USB驱动器等可移动介质进行传播，并主要针对技术和制造组织。该恶意软件是勒索软件的前身，本就以其大量的混淆和反分析技术而闻名，成功感染后，可通过Tor与其C2服务器进行通信，并能够下载并执行额外的有效负载，包括SocGholish、Cobalt Strike、IcedID、BumbleBee和Truebot等系列软件。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=d6d0302752ef4a1bab868ecf574a5d45

俄罗斯Sandworm组织升级为APT44，目标是全球关键基础设施

谷歌云的Mandiant近期发布了一份详细报告，总结了俄罗斯Sandworm组织的一些最新活动，并将其升级为APT44组织进行追踪，因为该组织对与俄罗斯国家利益交叉的全球政府和关键基础设施运营商构成了重大风险。据悉，Sandworm(也称为FROZENBARENTS、Seashell Blizzard)是俄罗斯最著名的威胁组织之一，在俄罗斯主要情报局(GRU)的支持下参与间谍、破坏或虚假信息传播活动，并以使用BlackEnergy和ndustroyer等极具破坏性的恶意软件而闻名。自俄乌克战争以来，该组织一直致力于在乌克兰境内制造混乱，且其网络行动通常与常规军事活动同时进行。
报告显示，APT44一直在使用多个黑客行动主义角色，包括Cyber Army of Russia Reborn(CARR)、XAKNET和Solntsepek。其中，CARR在过去几个月中，曾声称能够操纵美国和欧盟的关键基础设施运营技术(OT)资产。一月，黑客组织在TG中发布视频，称其能够操纵波兰和美国自来水公司的人机界面(HMI)。三月，他们再次发布视频，称通过操纵水位扰乱了法国一座水力发电设施，且活动感染链始于他们使用的供应商软件，使他们的水系统可以远程访问。此外，研究人员还将APT44与多个攻击活动关联起来。例如，至少自2023年4月起，APT44便已提供了可能被俄罗斯军队用来从战场上捕获的移动设备中窃取加密信号和电报消息的基础设施。并且，在最近的一个案例中，APT44还发起了涉及部署擦除恶意软件的供应链攻击，即通过针对软件开发人员，在东欧和中亚关键基础设施网络中部署了擦除恶意软件。最近针对荷兰调查新闻组织Bellingca和其他类似实体的攻击现在也首次被归因于APT44。目前，APT44已在北美、欧洲、中东、中亚和拉丁美洲开展间谍活动，目标领域涉及政府、国防、交通、能源、媒体和民间社会组织。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=4099dae8c9bd49d7b1c2188355d17e82

漏洞CVE-2023-46604正遭到CatDDoS利用以传播其僵尸网络程序

近期，安全人员发现CatDDoS僵尸网络病毒正在利用Apache ActiveMQ漏洞CVE-2023-46604以传播其僵尸网络程序。CVE-2023-46604漏洞是一个远程代码执行漏洞，攻击者可构造恶意请求通过Apache ActiveMQ默认的61616端口利用该漏洞，最终在服务器上实现远程代码执行。此次漏洞攻击活动中，攻击者利用ClassPathXmlApplicationContext类来加载恶意XML文件实现远程命令执行，并在受害者服务器上部署selfrep.x86恶意elf程序。selfrep.x86是一个在Mirai源码基础上二次开发的新型僵尸网络，即CatDDoS。CatDDoS使用OpenNIC域名体系作为C2域名，使用ChaCha20算法对关键信息进行加密。程序运行后将遍历目录，查找并禁用watchdog。目前，CatDDoS支持flood_ack、flood_handshake等共十五种攻击方式。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=7d3cfb9e44de4646bbd07bf646945df7