[0517] 一周重点威胁情报｜天际友盟情报站

热点情报

"匿铲"挖矿木马活动详情披露
微软补丁日通告：2024年5月版
Telegram汉化软件暗藏后门病毒
LNMP供应链投毒事件最新情况追踪
Timitator组织针对国内用户分发Rust特马
银狐团伙借助某终端安全管理软件发起钓鱼攻击

APT攻击

SideCopy组织近期瞄准印度大学生
蔓灵花组织利用Replit平台的攻击活动分析
Lazarus组织针对区块链从业者实施攻击活动
FIN7组织使用Google广告来分发MSIX恶意文件
Kimsuky组织使用新的Linux后门Gomir攻击韩国
Turla APT组织使用Lunar工具包攻击欧洲外交部
PhantomCore组织向俄罗斯多个行业发起钓鱼攻击
Storm-181组织利用Quick Assist工具部署勒索软件

技术洞察

Trinity勒索软件信息披露
福昕PDF程序存在漏洞遭大量黑客利用
lvanti设备漏洞遭Mirai僵尸网络恶意利用
SugarGh0st RAT被用于攻击美国人工智能专家
针对云托管人工智能模型的LLMjacking活动追踪
攻击者在针对MS-SQL活动中部署Mallox勒索软件
针对macOS的新信息窃取程序Cuckoostealer公开
Phorpiex僵尸网络正在大规模分发Lockbit Black勒索软件
Antidot银行木马以Google Play更新程序为诱饵感染移动设备

情报详情

"匿铲"挖矿木马活动详情披露

近期，安天发现了一起新的挖矿木马攻击事件，该木马从2023年11月开始出现，期间多次升级组件，目前版本为3.0。据悉，该挖矿木马持续活跃，感染量呈上升态势，主要特点是隐蔽性强，具备反分析、DLL劫持后门和shellcode注入等功能。因此，研究人员将该其命名为"匿铲"。调查显示，本次活动中，攻击者主要利用了两个比较新颖的技术以对抗反病毒软件，其中第一个技术是利用反病毒软件的旧版本内核驱动程序中的功能来结束反病毒软件和EDR，第二个技术则是利用MSDTC服务加载后门DLL，实现自启动后门，达到持久化的目的。
具体来说，"匿铲"挖矿木马首先会从放马服务器上下载名为"get.png"的PowerShell脚本，并会在解码后执行哈希验证、创建计划任务、禁用系统自带杀毒软件和创建服务等操作。之后会下载"kill.png"脚本和"delete.png"、"kill(1).png"两个压缩文件。脚本解码出shellcode代码，shellcode代码则经过解密得到控制器(一个可执行文件)并注入到powershell.exe进程中。两个压缩文件经过解压缩得到反病毒厂商的旧版本内核驱动程序"aswArPots.sys"和"IObitUnlockers.sys"，他们由控制器调用，负责终止杀毒软件和EDR程序等。另外，他们还会根据受害主机自身系统型号下载对应的"86/64.png"的压缩文件，其解压缩后会得到oci.dll文件，文件再通过MSDTC服务调用实现DLL劫持后门。最后，"get.png"脚本下载"smartsscreen.exe"程序，程序则会下载挖矿程序及其组件进行挖矿活动。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=f5a5a5a3c53e43798c2b894cdaac0ee7

微软补丁日通告：2024年5月版

微软近期发布了2024年5月的安全更新。本次安全更新修复了总计60个安全漏洞(不包括8个非Microsoft CVE)，其中有57个重要漏洞(Important)、1个严重漏洞(Critical)。在漏洞类型方面，主要包括27个远程代码执行漏洞、17个特权提升漏洞、7个信息泄露漏洞、4个欺骗漏洞、3个拒绝服务漏洞、2个安全功能绕过漏洞。本次发布的安全更新涉及Microsoft Office、Power BI、Visual Studio等多个产品和组件。
更多信息，可参考微软2024年5月安全更新说明：https://msrc.microsoft.com/update-guide/releaseNote/2024-May。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=bbd58d65df354df8ace81f3c61916463

Telegram汉化软件暗藏后门病毒

近期，火绒监测到其用户下载的Telegram汉化文件在安装后系统存在异常情况。经过样本分析，研究人员发现该程序在对Telegram程序进行汉化的同时还"悄悄"地释放了恶意后门文件，从而执行远控操作，危害极大。
调查显示，初始汉化安装包是一个捆绑了恶意文件的exe程序，并且附带了vmp壳以干扰分析。双击运行程序时，其首先执行正常的telegram汉化操作，链接到正常telegram程序并改变界面语言。与此同时，还会在内存中解密出第一阶段payload ，即一个恶意dll，用于在内存中加载执行。该dll以易语言编写并由黑月编译器编译，执行过程中会先进行一些检测操作，例如通过判断SxIn.dll是否存在来检测360的虚拟沙盒。接收到回传的通信数据后，dll还会获取多个系统特定位置路径，作为后续投放第二阶段Payload使用，随后通过ResponseBody字段来提取加密部分数据，并解密出新的PE文件。通过在循环中读取并定位解密数据中的PE文件，再陆续投放rzrue.exe白文件、Language.dll和update.dll恶意文件，进而实现白加黑DLL侧加载，最终进行数据传输操作。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=0858cbdfb33247138b06141e2ab76e6c

LNMP供应链投毒事件最新情况追踪

近日，持安监测到一起LNMP供应链投毒事件。攻击者在LNMP官方网站的LNMP 2.0下载版安装脚本及下载的安装程序中插入恶意代码，从而实现利用ROOT身份的Shell反连和自动部署Rootkit后门。经关联分析，在2023年4月和2023年9月，LNMP就已经发生过两起投毒事件，截止2024年5月8日，投毒文件仍存在于官网首页。不过，在此次投毒事件中，攻击者使用了新的投毒方式，触发攻击方式更为隐蔽，且部分自动化攻击形式与去年投毒事件较为相似，极有可能与上述投毒事件是同一团伙所为。
据悉，LNMP一键安装包的主要作用是节省开发运维人员配置生产环境所耗费的时间。然而，从LNMP官方网站下载的LNMP 2.0下载版压缩包为lnmp2.0.tar.gz，其大小不同于官网描述，运行安装程序后会下载nginx-1.24.0.tar.gz。攻击者修改了文件的srcosunixngx_process.c，并在其中添加了恶意代码。主要逻辑为：恶意线程与主线程分离，恶意线程会休眠2419200秒(约28天)，之后向域名nginx.dev(不属于nginx官网)发送当前的时间戳和nginx的版本信息。在攻击者开始远控后，则会通过其阿里云服务器下载crond、install、libxml2.so.2.9.2等恶意文件，并启动作为持久化rootkit后门。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=dc3f1dec6cba4d44bf9e673a25eef95c

Timitator组织针对国内用户分发Rust特马

Timitator组织自2022年到2023年针对我国的能源、高校、科研机构及军工等行业进行攻击，主要采取鱼叉式钓鱼、历史漏洞利用等方式获取主机初始访问权限。近期，安全人员捕获到一批Timitator组织的最新钓鱼样本。经过分析，安全人员发现这批样本使用了一种新的由RUST语言编写的远控工具，安全人员将该工具称为RUST特马。钓鱼样本均为exe文件，样本携带伪造的合法企业签名。文件运行后会在指定目录释放文件夹和可执行文件，运行其中的setup.exe文件，加载Log.dll，该dll文件是一个加载器，具有VMP壳。文件运行后会使用loadlibrary加载另一个恶意dll文件。该文件会截图并将收集的信息保存到特定路径，随后从资源中读取shellcode，最终在内存中执行client.dll库文件。该库文件是RUST编写的远控程序，未被加壳，具有远程命令执行、文件窃取、文件下载、文件执行等功能。命令执行的结果通过重定向输入输出流到管道中，传递至远程服务器。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=020b34b219ce420cad68acb1c6232baa

银狐团伙借助某终端安全管理软件发起钓鱼攻击

腾讯发现银狐钓鱼团伙近期开始将终端安全软件IP-**ard的计算机监控功能当作远控工具使用。其中，IP-**ard是由广州某科技公司开发的一款终端安全管理软件，可帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。经分析，该软件具有监控和管理企业内部系统的功能，但由于没有严格校验使用者身份，因此被攻击者加以利用从而对用户计算机进行远程控制。
研究人员表示，攻击者将IP-**ard软件进行灵活打包后进行投放，使得钓鱼文件母体不具备固定特征，可能造成更多用户中招。据悉，相关钓鱼样本文件命名仍然以"XXX税务"、"XXX名单"、"XXX稽查"、"XXX补贴"、"XX社保"、"XX视频"等为主题，软件和相关依赖文件则通过NSIS打包成安装包。安装过程中，它将通过安装脚本命令查找杀软进程并提示用户操作退出相关杀毒软件。随后，将用于远程控制的依赖文件释放到特定目录；并将远控程序添加到防火墙规则使其允许通过，然后通过ExecShell命令启动软件的OCular Agent远程控制模块winrdlv3.exe。winrdlv3.exe则负责通过命令行加载winoav3.dll、winwdgv3.dll等DLL，同时加载驱动程序TPacket7.sys，最终连接到C2地址。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=de8d03f1037044c1a9e4f84e68961bd2