每周高级威胁情报解读(2024.04.26~05.9)

披露时间：2024年5月8日

情报来源：https://cert.pl/posts/2024/05/apt28-kampania/

相关信息：

研究人员近期观察到与俄罗斯武装部队总参谋部主要情报局相关联的APT28组织针对波兰政府机构发动了大规模恶意软件活动。据悉，活动感染链始于包含恶意链接的网络钓鱼邮件，链接会将用户定向到一个开发人员用于创建和测试API的免费服务地址"run.mocky.io"，以及另一个同样在IT相关人士中受欢迎的"webhook.site"网站。随后，攻击者从webhook.site下载ZIP文档，文档名称以IMG-开头，以随机数结尾(如IMG-238279780.zip)，它实际上包含三个文件：更改名称的Windows计算器(如IMG-238279780.jpg.exe)，.bat脚本(隐藏文件)，虚假的WindowsCodecs.dll库(隐藏文件)。

一旦受害者运行IMG-238279780.jpg.exe白文件，它就会在启动过程中尝试侧加载被攻击者替换的WindowsCodecs.dll库，进而运行BAT脚本。BAT脚本再打开 Microsoft Edge，以加载经Base64编码的页面内容并通过webhook.site下载另一个批处理脚本。与此同时，浏览器会显示真实女性穿着泳衣的照片以及她在社交媒体平台上真实帐户的链接，其目的是使攻击者的叙述可信并麻痹接收者的警惕性。批处理脚本负责下载的文件则以.jpg扩展名形式保存在磁盘上，它将扩展名更改为.cmd并最后执行。最终，脚本再收集受害者计算机信息，然后将其发送到C2服务器。

披露时间：2024年5月6日

情报来源：https://www.facct.ru/blog/core-werewolf/

相关信息：

安全人员近期捕获到一个与Core Werewolf组织相关的恶意7zSFX文件。Core Werewolf(PseudoGamaredon)是一个网络间谍组织，主要攻击与军工综合体和关键信息基础设施相关的俄罗斯组织。该恶意文件是从俄罗斯第102军事基地所在的久姆里(亚美尼亚城市名)上传到VirusTotal的。文件中的诱饵内容是一份请愿书，请愿提名在军事训练中表现出色的军事人员获得国家奖励。除诱饵文件外，该文件还包含cmd脚本、UltraVNC程序及其配置文件。文件运行后首先会执行命令将cmd脚本提取到指定路径。cmd脚本将创建PDF副本，打开诱饵文档吸引受害者的注意力，并在Wndows计划任务中创建一个任务来强制结束OneDrives.exe进程，同时将被命名为OneDrives.exe的UltraVNC工具重新启动。UltraVNC工具是一种合法的远控工具。

披露时间：2024年5月3日

情报来源：https://www.cyfirma.com/research/new-pakistan-based-cyber-espionage-groups-year-long-campaign-targeting-indian-defense-forces-with-android-malware/

相关信息：

研究人员最近监测到，巴基斯坦APT组织疑似向印度国防人员推送了Android恶意软件。据悉，该活动已持续长达一年，攻击者似乎使用了由EVLF开发的Spynote Android远程管理工具或其名为"Craxs Rat"的已知修改版本来生成恶意有效负载，且应用程序经高度修改和混淆，难以被检测。根据捕获的一个Android样本，研究人员发现攻击者试图通过冒充高级官员并尝试利用社会工程学技术直接从WhatsApp Messenger将恶意软件分发给印度国防人员。

期间，交付的应用程序被命名为"MNS NH Contact.apk"和"Posted out off.apk"，文件看起来与防御相关，一旦安装，应用程序就会巧妙地将自己伪装成"联系人"应用程序，引导受害者至一次性点击权限页面，进而访问受害者的联系人列表、通话记录和短信，并可执行屏幕监控功能，但只有当受害者打开辅助访问权限时才会激活该功能。

披露时间：2024年5月2日

情报来源：https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations/

相关信息：

研究人员披露了APT42组织的近期活动。据悉，APT42(也称CALANQUE、Yellow Garuda、ClearSky、CERTFA、Mint Sandstorm)代表伊斯兰革命卫队情报组织(IRGC-IO)运作，它正在使用增强的社会工程学策略来访问受害者网络(包括云环境)，其目标是西方和中东非政府组织、媒体、学术界、法律服务机构和人权活动家。该组织以其广泛的凭据收集活动而闻名，这些活动通常伴随使用鱼叉式网络钓鱼和社会工程学策略，通过冒充记者和活动组织者，与受害者持续通信并建立信任，然后发送会议邀请或合法文件，从而获取凭据以获得对云环境的初始访问权限。同时，攻击者会秘密窃取对伊朗具有战略利益的数据，并依靠内置功能和开源工具来规避检测。

目前，研究人员确定APT42至少使用了三个基础设施集群来从目标组织中获取凭证，他们采用类似的TTP，但使用的域、伪装模式、诱饵和主题略有不同。第一个集群自2021年活跃至今，常冒充新闻媒体和非政府组织，目标为伊朗感兴趣地区的记者、研究人员和地缘政治实体。第二个集群自2019年活跃至今，常冒充合法服务，目标是被视为对伊朗政权构成威胁的个人，包括研究人员、记者、非政府组织领导人和人权活动家。第三个集群则自2022年活跃至今，常冒充"邮件守护程序"、URL缩短服务和非政府组织，目标是与美国和以色列的各种国防、外交事务和学术问题有关的个人和实体。

另外，研究人员发现APT42最近还通过鱼叉式网络钓鱼方式部署了两个自定义后门：NICECURL和TAMECAT。其中，NICECURL基于VBScript编写，可下载要执行的附加模块，包括数据挖掘模块，并且提供任意命令执行接口。TAMECAT则是一个可执行任意PowerShell或C#内容的PowerShell恶意软件，它由恶意宏文档释放，通过HTTP与其C2节点通信，并可为来自C2的数据进行Base64编码。

披露时间：2024年4月24日

情报来源：https://www.seqrite.com/blog/pakistani-apts-escalate-attacks-on-indian-gov-seqrite-labs-unveils-threats-and-connections/

相关信息：

近期，安全人员在追踪针对软件开发人员的攻击活动，并注意到一种特定的社会工程形式。攻击者为开发人员设置虚假的工作面试，冒充合法的工作面试官，在面试中要求开发人员执行看似合法的恶意软件包。此次披露的攻击活动中，攻击者要求开发人员从Github下载某zip文件，zip文件中包含一个合法的NPM包，在文件目录中隐藏着一个JS文件，文件开头的代码是一个Mongoose文件，但该文件多个空行后包含高度混淆的代码。当用户执行NPM包后，恶意JS代码将通过node.exe进程执行。代码运行后将下载下一阶段的有效负载，执行负载并提取隐藏的.npl文件，该文件实际是一个Python文件，不携带扩展名，并且以.开头命名，因此在操作系统中为隐藏文件。文件的实际代码中包含一长串经过编码的字符串。经过解码，脚本可收集主机的基本信息，并且为攻击者提供远控功能，涉及文件系统交互、远程命令执行、键盘记录等功能。

披露时间：2024年4月22日

情报来源：https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials/

相关信息：

研究人员发现至少从 2020 年 6 月开始，甚至可能早到 2019 年 4 月，Forest Blizzard 就使用了该工具（研究人员称之为 GooseEgg），通过修改JavaScript 约束文件并执行它，以利用Windows Print Spooler 服务中的CVE-2022-38028漏洞来获取系统级权限。

Forest Blizzard 使用 GooseEgg 作为针对乌克兰、西欧和北美政府、非政府、教育和交通部门组织等目标的妥协后活动的一部分。虽然 GooseEgg 是一个简单的启动器应用程序，但它能够以提升的权限生成在命令行中指定的其他应用程序，从而允许威胁参与者支持任何后续目标，例如远程代码执行、安装后门以及通过受感染的网络横向移动。

披露时间：2024年5月8日

情报来源：https://www.bleepingcomputer.com/news/security/fbi-warns-of-gift-card-fraud-ring-targeting-retail-companies/

相关信息：

近期，研究人员发现了一个出于经济动机的黑客组织一直在针对其礼品卡部门的员工进行网络钓鱼攻击。该黑客组织被追踪为Storm-0539，主要针对零售部门员工的个人和工作移动设备，常通过网络钓鱼工具包感染用户。在渗透到员工的账户后，攻击者会在网络中横向移动，试图识别礼品卡业务流程，并转向与该特定投资组合相关的受感染帐户。除了窃取礼品卡部门人员的登录凭据之外，攻击者还试图获取SSH密钥以及员工信息(例如姓名、用户名和电话号码)，这些信息可能会被出售以获取经济利益，或被Storm-0539在未来的攻击中利用。如果黑客成功入侵受害公司的礼品卡部门，他们就会使用获得的员工帐户来生成欺诈性礼品卡。

披露时间：2024年5月8日

情报来源：https://mp.weixin.qq.com/s/mQch5pEg1fmJsMbiOClwOg

相关信息：

5 月 3 日，据 Web3 反诈骗平台 Scam Sniffer 的监测，一名巨鲸遭遇了相同首尾号地址钓鱼攻击，被钓走 1155 枚 WBTC，价值约 7000 万美元。虽然这种钓鱼方式已经出现了很久，但此次事件造成的损失之大还是让人震惊。本文将分析相同首尾号地址钓鱼攻击的关键点、资金去向、黑客特征以及提出防范此类钓鱼攻击的建议。

披露时间：2024年5月7日

情报来源：https://mp.weixin.qq.com/s/h0Va4Rzq7EMhwif0kgsdxQ

相关信息：

近期，安全人员发现一个伪装成Chrome安装包的恶意软件，用户在运行安装程序后将看到正常的Chrome安装，同时浏览器主页被劫持篡改为hao123。该程序主要具有三个功能。功能一是获取推广规则配置文件，推广文件中涉及百度、hao123、360、2345、jd等需要推广的网站及相应推广规则。推广过程中，程序还将修改浏览器的配置文件，涉及偏好设置、书签等。功能二是建立持久化，程序会修改注册表创建COM组件并关联DLL库，然后使COM组件与Credential Providers相关联，最终实现用户登录时Windows中的LogonUI.exe自动运行COM组件下的DLL函数，该函数会寻找恶意程序文件路径并启动程序，实现样本持久化。功能三是统计信息。程序会统计被感染主机的硬件信息、是否安装360等，并根据信息进行应对。

披露时间：2024年5月2日

情报来源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/graph-api-threats

相关信息：

近期，安全人员发现越来越多的攻击者利用Microsoft Graph API，以促进其与Microsoft云服务上托管的C2服务器的通信。Microsoft Graph API允许开发人员访问 Microsoft云服务(例如Microsoft 365)上托管的资源。最近，该技术被用于针对乌克兰的一个组织。安全人员还发现了一个新的恶意软件利用该接口。该恶意软件被命名为BirdyClient，主要功能是连接Microsoft Graph API，使用Microsoft OneDrive作为其C2服务器，以上传/下载文件。

使用该种方法的攻击活动最早可追溯到2021年10月，Harvester组织针对南亚机构部署Graphon后门。2022年1月，Graphite恶意软件出现，使用Graph API与充当C&C服务器的OneDrive帐户进行通信。2022年12月，SiestaGraph工具也具有类似功能。2023年6月，安全人员发现APT15组织使用Graphican工具针对美洲外交部。由于Graph API的流量不易引起怀疑，利用该接口的攻击活动正在增多。

披露时间：2024年4月29日

情报来源：https://mp.weixin.qq.com/s/Yqcnw3uUGNYQBCfZrzpJZg

相关信息：

研究人员近期监测到一批VT平台零检出率的新物联网僵尸程序，研究人员对僵尸程序的二进制代码和通信协议做了深入同源性分析，判断该系列僵尸网络为一款从未出现过的新型僵尸家族。此外该僵尸网络具有极强的平台兼容性，是目前支持指令集最全的僵尸家族（目前已发现的支持指令集多达18种），除了支持主流的x86、arm、mips、mipsel、powerpc、sparc、riscv、sh4、m68k等指令集外，其还支持一些非常罕见的指令集alpha、hppa等。从攻击目标来看，Goldoon僵尸网络除了针对传统的PC端设备，还盯上了物联网设备这块肥肉。

研究人员最初于2024年4月8日发现Goldoon僵尸网络，总共发现了80多个样本。通过逆向发现该僵尸网络主要通过模块化设计和分阶段作业的方式降低被检测的风险，比如将入侵扫描、远程下发、本地加载及僵尸守候等功能设计成独立模块。而且此次发现的Goldoon是完全重新设计和开发的新僵尸程序，目前，攻击者还在持续针对多阶段样本进行功能的更迭和测试。

攻击者针对Linux和Windows平台设计了两个版本，均包括漏洞扫描、脚本执行、Loader、Dropper等模块。入侵成功后，攻击者进一步利用脚本或Loader程序下载执行最终的僵尸程序。Linux版样本目前共发现28种攻击方式，其中http_exploit、http_xflow、http_pps函数内功能代码为空，攻击者未来可能会继续扩展相关功能。Windows版本Goldoon目前总共仅包括15种攻击模式，且其中有4种攻击模式暂未实现，这些样本在VT的检测率也都非常低，有的甚至是0检测率。

披露时间：2024年4月30日

情报来源：https://jfrog.com/blog/attacks-on-docker-with-millions-of-malicious-repositories-spread-malware-and-phishing-scams/

相关信息：

研究人员近日揭示了其发现的三项针对Docker Hub用户的大规模恶意软件活动："下载器"活动、""电子书网络钓鱼"活动和"网站SEO"活动。其中，Docker Hub是一个为开发人员提供许多功能的平台，为Docker镜像的开发、协作和分发提供了大量机会。目前，它是全球开发者首选的第一容器平台，托管着超过1500万个存储库。但研究人员发现，1500万个存储库中约有近460万个不包含Docker映像的存储库，大约281万个存储库包含恶意内容，从垃圾邮件到危险的恶意软件和网络钓鱼网站。据悉，这些活动始于2021年，每个活动都使用不同的策略来创建和分发恶意存储库，攻击者主要利用恶意元数据植入了数百万个"无映像"存储库。其中"下载器"活动包含自动生成的文本，包括宣传盗版内容或视频游戏作弊内容的SEO文本以及软件链接。"电子书网络钓鱼"活动创建了近一百万个存储库，提供免费电子书下载，并包含随机生成的描述和下载URL。在承诺提供完整免费版本的电子书后，网站会将目标重定向到网络钓鱼登录页面，要求他们输入信用卡信息。与前两次活动不同，"网站SEO"活动每天创建几个存储库，目的并不明确，内容大多无害，且所有存储库都具有相同的名称。

披露时间：2024年4月29日

情报来源：https://mp.weixin.qq.com/s/XK_UE0uLS26SB_clMqFO4w/

相关信息：

近期，安全人员发现大量DGA钓鱼域名，这些域名多搭建在香港的IDC服务器上。这些域名托管的攻击载荷繁多，且文件命名具备一定的体系，由于攻击者使用的工具与“银狐”工具的代码特征和攻击手法都很相似，安全人员目前依然将该攻击活动归结为银狐团伙。攻击者的常见攻击方式有通过微信、QQ、telegram等软件作为主要传播途径，通过SEO广告伪造虚假网站进行传播，通过鱼叉式钓鱼攻击邮件引导受害者点击恶意链接。虚假网站均伪装为正规平台页面，涉及税务相关内容。这些网站分发的载荷多样，涉及下载器、后门、shellcode等。下载器可从远程服务器下载shellcode，shellcode可加载dll至内存中，恶意dll文件伪造了网易的数字签名，会将远程shellcode注入到explorer.exe进程中启动后续阶段。最终，经过修改后的Gh0st远控木马将被下发到受害主机中，该后门涉及截屏、按键记录、剪贴板记录、远程命令执行、信息窃取等多种功能。

披露时间：2024年4月30日

情报来源：https://medium.com/s2wblog/secretcalls-spotlight-a-formidable-app-of-notorious-korean-financial-fraudster-part-1-fa4bbed855c0

相关信息：

研究人员近期发现，SecretCrow语音网络钓鱼组织正在构建一系列冒充执法机构、金融机构的网络钓鱼页面，通过开发恶意Android应用程序来诱骗受害者访问钓鱼网站，进而安装用于金融欺诈的应用程序(包括SecretCalls Loader和SecretCalls)以从受害者那里窃取金钱。据悉，钓鱼网站使用在Google Play商店注册的"警察厅Cybercop"和"Phishing Eyes"等主题。一旦用户单击网站上的"安装"按钮，就会下载恶意的APK文件，名称格式为[A-Za-z0–9]{5}.apk。

其中，SecretCalls恶意软件历来是由冒充"国家警察局"和"总检察长办公室"等执法机构以及金融公司的钓鱼网站等途径实现传播，它伪装成各种主题，如反语音网络钓鱼应用程序、视频播放器、购物中心等，以加密形式存在于资源路径中，并使用"secret-classes.dex"作为混淆后的DEX文件名，该远程控制应用程序包含"呼叫转移"功能，可使对合法机构电话号码的呼叫无效，并强制呼叫攻击者。SecretCalls Loader则充当SecretCalls的植入和加载程序，它使用Android架构来应用反分析技术，将执行模拟器检测、类/函数名称混淆、DEX加密、DEX动态加载，进而触发第二阶段SecretCalls恶意软件的安装。

披露时间：2024年5月9日

情报来源：https://cert.360.cn/report/detail?id=663c203cc09f255b91b17fd9

相关信息：

近期LockBit勒索软件组织遭到了联合执法行动的打击。代号为"Cronos"的行动由11个国家参与，取得了重要成果。行动中识别并移除了超过1.4万个恶意账户，逮捕了两名LockBit附属机构成员，获得了1000多个解密器，并查获了34台LockBit团伙的服务器。然而，LockBit的运营者对此回应并计划加大攻击力度，表示将继续进行勒索活动。

最近发现了LockBit 3.0的变种，要求受害者向指定的比特币钱包地址汇入0.02BTC以解密文件。然而，分析发现泄露的解密器无法成功解密文件，因为解密器是基于特定私钥生成的，而非与勒索所用公钥匹配。这是因为LockBit 3.0的生成器泄露后，外部人员创建了自定义的LockBit 3.0变种，彼此之间的密钥不相关。

黑客声称结婚并提供解密程序，试图降低受害者的警惕心理。然而，这可能是编外人员或组织的一部分，提供的解密器能力有限。建议受害者保持警惕，不要轻信黑客的承诺，并尽快寻求专业人士的帮助。

此外，近期发现了LockBit 4.0样本，与之前的3.0样本相比没有太大区别，但有一些配置变化。配置信息使用APLib进行压缩，包括RSA公钥、掩码和自定义Base64编码数据。勒索信中去除了暗网链接，采用了Proton邮箱进行替代，可能是为了方便普通用户与攻击者联系。

披露时间：2024年5月7日

情报来源：https://www.fortinet.com/blog/threat-research/zeus-stealer-distributed-via-crafted-minecraft-source-pack

相关信息：

本文研究了通过精心设计的 Minecraft 源包分发的批量窃取程序。zEus Stealer恶意软件已添加到 YouTube 上共享的源包中。名称“zEus”来自该恶意软件的早期变体。该变体 (d9d394cc2a743c0147f7c536cbb11d6ea070f2618a12e7cc0b15816307808b8a) 也通过 Minecraft 源包分发，但它嵌入在 WinRAR 自解压文件中。自解压文件模仿 Windows 屏幕保护程序文件，它运行窃取程序并打开用作文件图标的图像。这是来自互联网的图像，添加了字符串“zEus”。在接收被盗数据的 Discord Webhook 的配置文件中也可以找到该名称。

披露时间：2024年5月1日

情报来源：https://blog.lumen.com/eight-arms-to-hold-you-the-cuttlefish-malware/

相关信息：

研究人员近期揭秘了一个针对网络设备，特别是企业级小型办公室/家庭办公室(SOHO)路由器的名为"Cuttlefish"的恶意软件平台。据悉，该恶意软件至少自2023年7月27日起就一直活跃，是模块化的，它提供了一种零点击方法来捕获目标网络边缘背后的用户和设备数据，即主要用于窃取从相邻局域网(LAN)传输路由器的Web请求中存在的身份验证材料，因为它能够执行DNS和HTTP劫持功能，以连接到与内部网络上通信相关的专用IP空间。同时，Cuttlefish还能够与LAN上的其他设备进行交互并移动材料或引入新代理。根据代码相似性以及嵌入式构建路径，研究人员发现它与之前报告的名为HiatusRat的活动集群有重叠。

调查显示，Cuttlefish这次最新的活动从2023年10月持续到2024年4月，其初始感染方法暂时未知，但模式很独特，基本上发生在土耳其境内，主要来自两家电信提供商。一旦被利用，攻击者就会部署一个bash脚本，然后收集某些基于主机的数据并发送给C2，并会下载执行Cuttlefish恶意二进制文件。Cuttlefish再持续监控通过设备的所有流量，从而执行路由操纵、劫持连接并采用被动嗅探功能，最终利用被盗的密钥材料，攻击者不仅能够检索与目标实体相关的云资源，还能在云生态系统中获得持久的立足点。

披露时间：2024年5月6日

情报来源：https://www.zscaler.com/blogs/security-research/hijackloader-updates

相关信息：

HijackLoader（又名 IDAT Loader）是一种恶意软件加载程序，最初于 2023 年发现，能够使用各种模块进行代码注入和执行。它使用模块化架构，这是大多数加载器所不具备的功能。研究人员最近分析了一个新的 HijackLoader 样本，该样本更新了规避技术。这些增强功能旨在提高恶意软件的隐蔽性，从而在更长的时间内保持不被发现。HijackLoader 现在包含用于添加 Windows Defender 防病毒排除项、绕过用户帐户控制 (UAC)、规避安全软件经常用于检测的内联 API 挂钩以及采用进程空洞的模块。

此外，HijackLoader的传递方法涉及使用PNG图像，该图像被解密并解析以加载下一阶段的攻击。HijackLoader 被用来删除多个恶意软件系列，包括 Amadey、Lumma Stealer、Racoon Stealer v2 和 Remcos RAT。

这篇博文将分析HijackLoader 更新，并提供一个 Python 脚本来从 HijackLoader 样本中提取恶意软件配置和模块。此外，还深入研究了 HijackLoader 在 2024 年 3 月至 2024 年 4 月期间部署的恶意软件家族。

披露时间：2024年4月29日

情报来源：https://thedfirreport.com/2024/04/29/from-icedid-to-dagon-locker-ransomware-in-29-days/

相关信息：

研究人员发现一起利用IcedID传播Dagon Locker勒索软件的攻击活动。这次入侵始于2023年8月，当时是一场分发IcedID恶意软件的网络钓鱼活动。此网络钓鱼操作利用Prometheus 的TDS系统来传递恶意软件。受害者被引导到一个模仿Azure下载门户的欺诈网站。在这里，系统提示他们下载恶意JavaScript文件。执行此文件后，触发了多步骤攻击。最初，在用户系统上生成并执行批处理文件。此批处理文件使用命令下载IcedID DLL文件，之后执行此DLL文件，完成恶意软件安装过程。IcedID恶意软件通过在受感染的系统上创建计划任务来建立持久性。这确保了即使在系统重新启动后，恶意软件也能继续运行。在此之后，恶意软件与IcedID服务器建立了命令和控制 （C2）连接。通过此连接，它使用标准Windows实用程序执行一系列发现命令，以收集有关受感染系统的信息。等待约30个小时后，IcedID恶意软件下载并执行了Cobalt Strike信标。

攻击者利用PowerShell下载Cobalt Strike信标之后会利用常用的系统实用程序如net, whoami, nltest, and ping进行侦查操作并进行横向移动。他们使用服务器消息块（SMB）协议将Cobalt Strike信标传输到域控制器，然后通过远程服务执行。在此过程中，攻击者利用AdFind和Sharefinder的组合来识别和访问网络共享，在找到所需的网络共享后，他们还部署了Rclone，接下来，攻击者转向使用名为AWSCollector的自定义PowerShell工具，并将数据传输到AWS S3进行存储。

此次活动持续到第29天的时候，攻击者开始使用net命令进行检查，大约五个小时后，他们通过在域控制器上暂存Dagon Locker勒索软件文件来准备最终操作。利用其自定义AWSCollector脚本，勒索软件通过SMB部署到远程主机。该脚本还生成了一个批处理脚本来禁用服务、删除卷影副本和执行勒索软件，从而导致域范围的勒索软件攻击。整个攻击过程持续时间超过684小时，大概29天的时间。

披露时间：2024年4月29日

情报来源：https://www.zscaler.com/blogs/security-research/zloader-learns-old-tricks

相关信息：

Zloader(又名Terdot、DELoader或Silent Night)是一种基于2015年泄露的ZeuS源代码的模块化木马。该恶意软件经过近两年的中断后，自2023年9月重新出现，并进行了新的迭代，其中包括对其混淆技术、域生成算法(DGA)和网络通信的修改。Zscaler最近对Zloader恶意软件的最新反分析技术进行了详细分析。据悉，Zloader最新版本为2.4.1.0，它重新引入了一项反分析功能，该功能将Zloader的二进制执行限制在受感染的机器上，使Zloader的检测和分析变得更加困难。经进一步调查显示，Zloader最新样本已预先初始化，具有有针对性的分发策略，且其新功能类似于原始ZeuS 2.x代码中的功能。不过，ZeuS的这一特性已被许多源自泄露源代码的恶意软件变种所放弃。

披露时间：2024年4月29日

情报来源：https://blog.xlab.qianxin.com/playing-possum-whats-the-wpeeper-backdoor-up-to_cn/

相关信息：

奇安信近日监测到一个VT 0检测的ELF文件通过2个不同的域名传播，其中一个域名已被标注为恶意，另一个域名为近期注册且无任何检测。经过分析，研究人员确认此ELF是一个针对Android系统的典型后门木马，基于它使用被黑的WORD PRESS站点(涵盖美食，医药，运动，色情等主题)做为中转C2，因此将其命名为Wpeeper。据悉，Wpeeper具备支持收集设备敏感信息、文件/目录管理、上传/下载、执行命令等诸多功能。此外，Wpeeper最大的亮点在于网络层面，它主要具有以下三个特点：1)依托被黑的WORD PRESS站点构建多层级的C2架构，以隐藏真正的C2；2)使用Session字段区分请求，通过HTTPS协议保护网络流量；3)C2下发的指令使用AES加密并带有椭圆曲线签名，防止被接管。

调查显示，Wpeeper来源于经"二次打包"的类似Google Play的第3方应用商店UPtodown Store，攻击者在正常的APK中植入了一小段代码用于下载执行恶意的ELF。由于新增的代码量很少，被修改的APK在VT上也是0检测。目前，Wpeeper的感染量在千级，并没有广泛的传播，它使用了45个C2服务器，从这些服务器背后展示出的设计思想来看，研究人员认为其攻击者非常有经验，并且明显遵循了攻击的"最佳实践"。不过，4月22日，Wpeeper突然停止活动，其C2服务器和下载器均不再提供服务。由于其相关样本仍未被检测到，已成功欺骗安全厂商，研究人员推测其背后可能有更大的图谋，似乎想以可信任的身份进入杀软的AI学习样本集，先提高APK的安装量，从而在未来造成更广的影响范围，并实现更好的隐藏效果。

披露时间：2024年4月26日

情报来源：https://news.sophos.com/en-us/2024/04/26/malware-campaign-abuses-legit-defender-binaries/

相关信息：

近期，安全人员近期发现一起勒索软件活动，攻击者通过修改源内容、重写入口点、插入载荷的方法试图将恶意文件绕过安全监测。目前，安全人员已发现多起类似活动，涉及Cobalt Strike、Brute Ratel、Qakbot、Latrodectus恶意程序。这些活动并非来自同一攻击组织，但具有一定的共同特征，比如修改入口代码，加载恶意负载作为资源。此外，在另一个样本中，DllRegisterServer的导出函数将被覆盖重写，一个key被构建到堆栈上，经过进一步分析，可发现该key被用来解码攻击者混淆的PE资源。当资源被解密后，其内的shellcode将会解密另一层并将最终负载注入至内存中，最终Brute Ratel被部署至受害主机。

披露时间：2024年5月8日

情报来源：https://eclypsium.com/blog/big-vulnerabilities-in-next-gen-big-ip/

相关信息：

研究人员发现，F5 的 Next Central Manager 中存在可远程利用的漏洞，该漏洞允许攻击者利用 Next Central Manager 的功能来达到恶意目的。首先，任何能够通过 CVE 2024-21793 或 CVE 2024-26026 访问管理 UI 的攻击者都可以远程利用 Central Manager 管理控制台。这将使其可拥有完全的行政控制权。然后，攻击者可以利用其他漏洞在中央管理器管理的任何 BIG-IP Next 资产上创建新帐户。值得注意的是，这些新的恶意帐户从中央管理器本身是不可见的。

5 个漏洞已全部向 F5 批量披露，但 F5 仅正式为 2 个未经身份验证的漏洞分配了 CVE。在发布时研究人员尚未确认其他 3 个是否已修复。

披露时间：2024年5月2日

情报来源：https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-01

相关信息：

CyberPower PowerPanel存在使用硬编码密码、相对路径遍历、使用硬编码凭据、活动调试代码、以可恢复格式存储密码、SQL命令中使用的特殊元素的不当中和（“SQL注入”）、使用硬代码加密密钥、授权不当漏洞，成功利用这些漏洞可能导致攻击者绕过身份验证并获得管理员权限，伪造JWT令牌以绕过身份验证，向服务器写入任意文件并执行代码，以PowerPanel应用程序的权限访问服务，访问测试或生产服务器，学习密码并使用用户或管理员权限进行身份验证，注入SQL语法，向系统写入任意文件，执行远程代码，模拟系统中的任何客户端并发送恶意数据，或在访问任何设备后从整个系统获取数据。

PowerPanel（一种业务管理软件）的以下版本受到影响：

PowerPanel:4.9.0及以前版本

具体漏洞如下：

CVE-2024-34025: 应用程序代码包含一组硬编码的身份验证凭据。这可能导致攻击者绕过身份验证并获得管理员权限。CVE-2024-34025已分配给此漏洞。计算出的CVSS v3基本得分为9.8；CVSS矢量串为（AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）。

CVE-2024-34025: 应用程序代码包含一个硬编码的JWT签名密钥。这可能导致攻击者伪造JWT令牌以绕过身份验证。CVE-2024-34025已分配给此漏洞。计算出的CVSS v3基本得分为9.8；CVSS矢量串为（AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）。

CVE-2024-33615: 可以将包含路径遍历字符的特制Zip文件导入到服务器，这允许在预期范围之外向服务器写入文件，并允许攻击者实现远程代码执行。CVE-2024-33615已分配给此漏洞。计算出的CVSS v3基本得分为8.8；CVSS矢量串为（AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H）。

CVE-2024-32053: 平台使用硬编码凭据对数据库、其他服务和云进行身份验证。这可能导致攻击者以Powerpanel应用程序的权限访问服务。CVE-2024-32053已分配给此漏洞。计算出的CVSS v3基本得分为9.8；CVSS矢量串为（AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）。

CVE-2024-32047: 可以在生产代码中找到测试服务器的硬编码凭据。这可能导致攻击者获得对测试服务器或生产服务器的访问权限。CVE-2024-32047已分配给此漏洞。计算出的CVSS v3基本得分为9.8；CVSS矢量串为（AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）。

CVE-2024-32042: 用于加密存储在数据库中的密码的密钥可以在应用程序代码中找到，从而可以恢复密码。CVE-2024-32042已分配给此漏洞。计算出的CVSS v3基本得分为4.9；CVSS矢量串为（AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N）。

CVE-2024-31856: 具有特定MQTT权限的攻击者可以向所有Power Panel设备创建恶意消息。这可能导致攻击者注入SQL语法、向系统写入任意文件并执行远程代码。CVE-2024-31856已分配给此漏洞。计算出的CVSS v3基本得分为8.8；CVSS矢量串为（AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H）。

CVE-2024-31410: Power Panel管理的设备使用基于硬编码加密密钥的相同证书。这可能使攻击者能够模拟系统中的任何客户端并发送恶意数据。CVE-2024-31410已分配给此漏洞。计算出CVSS v3的基本得分为6.5；CVSS矢量串为（AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N）。

CVE-2024-31409: 某些MQTT通配符在系统上未被阻止，这可能导致攻击者在访问任何设备后从整个系统中获取数据。CVE-2024-31409已分配给此漏洞。计算出CVSS v3的基本得分为6.5；CVSS矢量串为（AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N）。