每周高级威胁情报解读(2024.05.17~05.23)

披露时间：2024年5月21日

情报来源：https://mp.weixin.qq.com/s/U1yCvZry3VAxIjF36q82WA

相关信息：

APT32，是一个长期针对中国及其他东亚国家进行攻击的APT组织。攻击领域涉及政府机构，政府部门，医疗卫生，国防，通信等等，常用手法包括白利用、DLL劫持、多阶段加载、混淆加密等等。本文将通过研究海莲花组织(APT32)针对Office软件进行恶意攻击的三个样本，总结其技术特征，分析Office文档漏洞的主要利用手法，并提供防御与检测建议。

披露时间：2024年5月21日

情报来源：https://mp.weixin.qq.com/s/IrSWY5XQ24APFZ4J0E4QYw

相关信息：

奇安信威胁情报中心在日常运营过程中发现客户收到了定向的中文钓鱼邮件，正文中逻辑清晰，使用互联网大厂的游戏招聘、AI技术等内容诱导目标公司的HR打开包含恶意lnk的加密附件，从而在内网中立足并寻求进一步的横向移动，经过短暂的调查我们将该团伙命名为UTG-Q-010,具有经济目的定向攻击团伙，攻击者位于东亚。

鉴于上次我们披露UTG-Q-007时境外友商对我们报告的引用问题，我们有必要介绍一下UTG（unknown threat Group）编号的由来：为了应对目前奇安信政企终端中的威胁与市面上通用的APT威胁不匹配以及各国APT组织都已经外包给私营公司的现状，我们从政企终端发现的几百个攻击集合中识别出危害性较大且持续活跃的Group，并将其命名为UTG-Q-XXX的样式，所以并不能将UTG单纯的理解为未知组织，我们清楚攻击者的目的和所在地区，但是无法归因到具体的攻击实体或服务的甲方单位。

披露时间：2024年5月20日

情报来源：https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel/

相关信息：

自 2023 年 10 月以来，研究人员一直在积极监控和追捕国家资助的针对以色列组织的威胁，这些威胁使用擦除器和勒索软件进行破坏性攻击。在这些威胁中，Void Manticore（又名 Storm-842）作为伊朗威胁行为者脱颖而出，以通过在线角色“Karma”（有时写作 KarMa）进行破坏性攻击和泄露信息而闻名。

Void Manticore 的活动范围超出了以色列，该组织还利用“国土正义”角色在阿尔巴尼亚实施了攻击，泄露了一些收集到的数据。在以色列，该组织的攻击特点是使用定制的 BiBi 擦拭器，该擦拭器以以色列总理本杰明·内塔尼亚胡 (Benjamin Netanyahu) 的名字命名。

对该组织的入侵和信息泄露的分析揭示了受害者学与组织 Storm-861的显着重叠，表明两个组织之间存在合作。在某些情况下，研究人员能够在两个群体之间确定受害者从Void Manticore到Storm-861的清晰“交接”程序。这种现象在涉及以色列和阿尔巴尼亚受害者的几起案件中很明显，表明威胁行为者之间的合作超出了单一行动或事件的范围。

披露时间：2024年5月21日

情报来源：https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign/

相关信息：

自 2023 年 10 月以来，MuddyWater 攻击活动一直在加强，时间与当月发生的哈马斯袭击一致。

跟踪发现在这次最新的活动中，MuddyWater 严重依赖名为 Atera Agent 的合法远程监控和管理 (RMM) 工具。该组织利用免费文件托管平台来托管其 RMM 安装程序，并使用鱼叉式网络钓鱼电子邮件将收件人引导至这些文件。这些电子邮件包含指向各种文件共享网站的链接，这些网站要么托管 Atera Agent 安装程序的档案，要么提供对安装程序本身的直接访问。

披露时间：2024年5月10日

情报来源：https://www.genians.co.kr/blog/threat_intelligence/facebook

相关信息：

研究人员近期发现Kimsuky APT组织引入了新的攻击策略，并通过联合分析确认，此次APT攻击最初被用于渗透美国Meta公司旗下的Facebook在线社交网络服务，后期被证实为主要针对韩国和日本，是一场名为"BabyShark"和"ReconShark"的威胁活动。

据悉，攻击者以虚假身份创建了一个Facebook帐户，伪装成在韩国从事朝鲜人权领域工作的公职人员，并试图通过在线好友请求和专用信使来接触主要的朝鲜和安全相关工作人员，预计攻击的主要目标是朝鲜人权和反朝领域的活动人士。活动的初始感染方法类似于基于邮件的鱼叉式网络钓鱼攻击策略，伪装成公职人员的攻击者试图通过假装分享他们编写的私人文件来获得目标的青睐。一旦目标用户被通过Messenger发送的内容所欺骗并访问OneDrive链接，则会出现恶意软件文件(My_Essay(prof).msc)下载屏幕。其中，.msc类型是Microsoft通用控制台文档，由Microsoft管理控制台程序连接并执行，此类恶意文件是Kimsuky APT活动中罕见的攻击类型。与此同时，日本也发现了使用同一C2服务器的类似攻击。并且值得注意的是，活动相关的恶意文件在VirusTotal的所有60个跨国反恶意软件扫描程序均未能检测到威胁。

披露时间：2024年5月16日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/security-brief-artificial-sweetener-sugargh0st-rat-used-target-american

相关信息：

研究人员最近发现了一项SugarGh0st RAT活动，其目标是美国参与人工智能工作的组织，包括学术界、私营企业和政府服务机构，并暂时将此活动背后的组织跟踪为UNK_SweetSpecter。据悉，SugarGh0st远程访问木马是Gh0stRAT的定制变体，后者是一种较旧的商品木马，常由中文攻击者使用，SugarGh0st RAT则历来被用于针对中亚和东亚的目标用户。

调查显示，在2024年5月的活动中，UNK_SweetSpecter使用免费的电子邮件帐户发送了以AI为主题的诱饵，并诱使目标打开附加的zip文档。它会释放一个部署了JavaScript dropper的LNK文件。其中，dropper包含一个诱饵文档、一个注册后被用于侧加载的ActiveX工具以及一个加密的二进制文件，它们均以base64编码。当诱饵文档显示给收件人时，dropper将安装用于直接从JavaScript运行Windows API的库，从而允许后续JavaScript运行并从DllToShellCode派生的多阶段shellcode进行异或解密，最终通过aplib解压缩SugarGh0st有效负载。有分析表明，UNK_SweetSpecter已将其C2通信域转移到account.gommask.online，且其基础设施似乎都托管在AS142032上。同时根据开源研究，此次活动动似乎针对了不到10人，但疑似均与美国一家领先的人工智能组织有直接联系。

披露时间：2024年5月16日

情报来源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/springtail-kimsuky-backdoor-espionage

相关信息：

近期，安全人员发现一个Kimsuky组织使用的新Linux后门Gomir，该后门与GoBear的结构基本相同。该攻击活动最早在2024年2月被观察到，攻击者针对目标部署了一个名为Troll Stealer的新恶意软件。Troll Stealer由Go语言编写，可从受感染的计算机上窃取一系列信息，包括文件、屏幕截图、浏览器数据和系统信息。此后，安全人员发现Troll Stealer和GoBear使用了相同的证书进行签名。并且，近期发现的Gomir后门可以说是Linux版本的GoBear程序。程序运行后会检查命令行，如果存在install命令，程序会试图建立持久化，同时，程序会根据其当前进程的权限来执行一系列操作，包括创建服务、与C2服务器建立连接等。该后门支持的命令涉及目录遍历、进程终止、主机信息收集、设置反向代理等。

披露时间：2024年5月21日

情报来源：https://www.sentinelone.com/blog/ikaruz-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit/

相关信息：

Ikaruz Red Team主要通过小规模DDoS攻击、钓鱼以及勒索攻击针对菲律宾实体。从该团伙实施的勒索软件活动可以看出，攻击者似乎正在利用泄露的LockBit构建器实施勒索攻击。该组织一直在积极分发修改后的LockBit 3.0勒索软件有效负载，并声称菲律宾各个组织的数据已被窃取。从其分发的赎金票据中的详细信息可以看出，其留存的信息是LockBit构建器中存默认的TOX ID、Jabber ID和电子邮件地址。这表明攻击者对进行典型的勒索软件活动没有兴趣，其目的仅仅是通过社交媒体帖子散播破坏和吸引关注。从攻击者的社交媒体进行追踪，发现攻击者曾在BreachForums发布菲律宾数据泄露的帖子。从该组织的Github库，可以看到攻击者在2023年创建了该库，并上传了具有403/404错误代码绕过功能的Webshell和篡改工具的代码。在该组织的社交媒体足迹中，该团伙声称与其他黑客活动组织有联系或结盟，包括Anka Red Team、Anka Underground Team和Turk Hack Team。其中，Turk Hack Team成立于2004年，是一个多产的、与土耳其结盟的黑客活动组织，主要以网站篡改和DDoS攻击而闻名。Anka Red Team则自以色列与哈马斯战争爆发以来，一直声称支持巴勒斯坦哈马斯组织。

披露时间：2024年5月22日

情报来源：https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine

相关信息：

研究人员发现了一个包含多个恶意模块的入侵集，并利用易受攻击的驱动程序来禁用用于加密挖掘的已知安全解决方案 (EDR)。此外，还发现了建立持久性、安装以前未记录的后门以及执行加密货币挖掘程序的功能。研究人员将此入侵集称为 REF4578，主要有效负载称为 GHOSTENGINE（安天团队已将该入侵集的部分命名为HIDDENSHOVEL）。

恶意软件作者融入了许多应急和复制机制，GHOSTENGINE 利用易受攻击的驱动程序来终止和删除已知的 EDR 代理，这些代理可能会干扰已部署的知名硬币挖矿程序。

披露时间：2024年5月21日

情报来源：https://mp.weixin.qq.com/s/pfc9W_CCK79Bk1Y1VXuUlA

相关信息：

据外媒报道，2024年5月9日，黑客对乌克兰的电视频道进行了入侵，使得部分乌克兰居民意外观看到了莫斯科红场的胜利日阅兵直播。这次攻击影响了StarLightMedia和Inter两家电视台的卫星广播，攻击分别在当日上午10点至10点18分、11点27分至11点29分以及中午12点51分至12点55分三个时间段内发生。为了应对这一情况，相关频道不得不暂时切断卫星信号。

黑客通过播放莫斯科的胜利日阅兵直播，意在传播特定的政治信息和宣传，这种信息战的战术旨在塑造或扭曲乌克兰民众对俄乌冲突的认知。这种策略可能对乌克兰内部的政治稳定和民意造成影响，增加社会分裂。

近年来网络空间地缘政治化的趋势日益显著，针对卫星或电视系统的关键基础设施的安全事件越来越多，为此，研究人员针对这次数字卫星电视系统的攻击事件进行了技术性分析。

披露时间：2024年5月14日

情报来源：https://go.recordedfuture.com/hubfs/reports/cta-2024-0514.pdf

相关信息：

研究人员近期发现了一场复杂的网络犯罪活动，该活动由独立国家联合体(CIS)的俄语攻击者领导，他们通过利用GitHub和FileZilla等合法服务，冒充可信软件应用程序(如1Password、Bartender 5和Pixelmator Pro)，以分发各种恶意软件类型，包括Atomic macOS Stealer(AMOS)和Vidar。据悉，攻击者涉及制作虚假的配置文件和存储库，通过提供知名软件的假冒版本，旨在渗透用户系统以获取敏感数据。并且，这些恶意文件的链接会嵌入到多个域中，这些域则通常通过恶意广告和SEO中毒活动进行分发。此外，经研究人员对GitHub上的磁盘镜像文件和相关基础设施的进一步分析确定，此次攻击与一个更大的活动有关，该活动旨在至少自2023年8月起就开始传播RedLine、Lumma、Raccoon、Vidar、Rhadamanthys、DanaBot 和DarkComet RAT等恶意软件。

披露时间：2024年5月17日

情报来源：https://mp.weixin.qq.com/s/7h5rMLnv16uh27RoVrDmCw

相关信息：

2024年5月，研究人员监测到LNMP遭受供应链投毒攻击。根据此次供应链攻击分析，该事件归因为amdc6766黑产组织。

2023上半年至今，amdc6766黑产组织利用仿冒页面（AMH、宝塔、Xshell、Navicat）、供应链投毒（LNMP、OneinStack）、公开web漏洞等攻击方式，针对运维人员开展定向攻击活动。运维人员从仿冒页面或官方平台下载并执行含有恶意代码的部署工具，与攻击者C2服务器建立DNS隧道连接。

该黑产组织定向投毒运维部署工具供应链，长期远控低价值主机作为肉鸡，择机选择高价值目标进行深度控制，下发Rootkit和代理工具，伺机从事各类黑产活动。

5月监测已有部分用户遭受供应链攻击，与攻击者C2服务器建立DNS隧道连接。

披露时间：2024年4月17日

情报来源：https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry

相关信息：

2023 年末，研究人员发现威胁组织 FIN7 针对美国一家大型汽车制造商发起了鱼叉式网络钓鱼活动。FIN7 确定了公司中在 IT 部门工作并拥有更高级别管理权限的员工。他们利用免费 IP 扫描工具的诱惑运行了著名的 Anunak 后门，并利用本地二进制文件、脚本和库（lolbas）获得了初步立足点。还发现证据表明这次攻击是 FIN7 更广泛活动的一部分。

披露时间：2024年5月16日

情报来源：https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed/

相关信息：

自 2024 年 3 月以来，研究人员一直在跟踪多个分发 Grandoreiro 银行木马的大规模网络钓鱼活动，该木马很可能以恶意软件即服务 (MaaS) 的形式运行。最新的恶意软件变种还专门针对全球 1500 多家银行，使攻击者能够在中南美洲、非洲、欧洲和印太地区等 60 多个国家/地区实施银行欺诈。

Grandoreiro 是一种多组件银行木马，可能以恶意软件即服务 (MaaS) 的形式运行。Grandoreiro 支持从受感染的主机收集电子邮件地址，并使用其 Microsoft Outlook 客户端发送进一步的网络钓鱼活动。最新变体包含字符串解密和DGA计算等主要更新，每天允许至少12个不同的C2域。

披露时间：2024年5月21日

情报来源：https://www.securonix.com/blog/analysis-and-detection-of-cloudreverser-an-attack-involving-threat-actors-compromising-systems-using-a-sophisticated-cloud-based-malware/

相关信息：

近期，安全人员发现一种使用云存储服务的恶意攻击活动，并将该活动命名为CLOUD#REVERSER。攻击链一般始于钓鱼电子邮件，邮件中携带zip附件，附件中包含一个可执行文件，文件被修改为Excel文件图标，并且其名称也做了一些欺骗操作，避免用户轻易识别该文件是一个exe文件。经分析，该文件采用了异或编码，以阻止安全人员进行静态分析。该文件最终会释放脚本并执行，同时向用户展示诱饵xlsx文件。

被执行的第一个脚本是一个vbs文件，脚本中使用了大量的字符替换来混淆代码。该脚本执行后会打开一个xlsx文件，同时执行下一阶段的vbs脚本文件。该脚本模仿Google Chrome浏览器更新，主要用于建立持久化。此外，该活动分发的脚本中，还存在创建计划任务定时执行指定脚本的文件。最终的脚本将执行与Dropbox接口交互的功能，并将获取到的访问令牌上传到Dropbox，脚本还可从Dropbox下载文件到本地目录。

披露时间：2024年5月20日

情报来源：https://www.cyfirma.com/research/samsstealer-unveiling-the-information-stealer-targeting-windows-systems/

相关信息：

研究人员最近发现了一个二进制文件，并将其识别为信息窃取程序：SamsStealer。据悉，该恶意软件采用.NET编写，是一个32位的Windows可执行文件，描述中的名称为"amsiwala"，可针对各种浏览器和应用程序(包括Discord、Chrome和Microsoft Edge)，能够采用异步调用方法从受害者的系统中秘密提取敏感信息(如密码、cookie和加密货币钱包数据)。收集所需数据后，它会将其压缩为ZIP压缩文档，上传到在线文件共享服务，并通过名为"SamsExploit"的Telegram将下载链接发送给攻击者。经进一步调查显示，SamsStealer的最新V2版本被其开发者声称旨在用于教育目的，但实际上却被用于各种恶意目的，而其Telegram群组的用户则主要讲印地语，这表明他们可能来自南亚地区，尤其是印度。

披露时间：2024年5月16日

情报来源：https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus

相关信息：

LATRODECTUS是一种恶意软件加载程序，于2023年10月首次被发现，它的代码库没有被混淆，仅包含11个专注于枚举和执行的命令处理程序，提供了一系列全面的标准功能，攻击者可利用其来部署更多的有效负载，并在初步入侵后执行各种活动，目前在网络犯罪分子中越来越受欢迎。Elastic研究人员表示，从2024年3月初开始，发送LATRODECTUS的电子邮件活动有所增加，活动通常涉及超大的JavaScript文件，文件利用WMI调用msiexec.exe的功能并安装远程托管在WEBDAV共享上的MSI文件，LATRODECTUS最初则包含伪装成Bitdefender内核模式驱动程序(TRUFOS.SYS)组件的文件信息。

据悉，LATRODECTUS是一个新恶意软件家族，但其和ICEDID恶意之间存在密切的联系，包括下载和执行ICEDID等加密有效负载的命令处理程序。并且，Proofpoint和Team Cymru近期在此关联的基础上发现了ICEDID和LATRODECTUS运营商所使用的网络基础设施之间的紧密联系。据研究人员推测，随着QBOT的下架和ICEDID的退出，PIKABOT和LATRODECTUS等新型加载器已成为可能的替代品。

披露时间：2024年5月16日

情报来源：https://www.forcepoint.com/blog/x-labs/exploring-metamorfo-banking-malware

相关信息：

这种恶意软件俗称 "Metamorfo"，通过垃圾邮件传播，诱使用户点击 HTML 附件。一旦点击，就会启动一系列活动，这些活动都集中在收集系统元数据上。Metamorfo 因其银行木马功能而臭名昭著，因此在网络安全领域获得了相当高的认可度。

披露时间：2024年5月16日

情报来源：https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates/

相关信息：

近期，安全人员发现一个新的银行木马，并将其命名为Antidot。该木马伪装成Google Play更新应用程序，在安装时显示伪造的Google Play更新页面。经安全人员分析，这个虚假的更新页面支持多种语言，包括德语、法语、西班牙语、俄语、葡萄牙语、罗马尼亚语和英语。这表明该恶意软件针对的是这些语言区域的Android用户。安装后，恶意软件会显示一个虚假的更新页面，其中包含一个“继续”按钮，可将用户重定向到辅助功能设置，以获得更高权限。该程序在后台运行过程中会与C2服务器建立连接，同时使用socket.io建立WebSocket通信。经分析，该程序共支持35个命令，包括获取短信、呼叫转移、动作VNC、获取应用程序、发送短信等。Antidot木马还支持覆盖页面攻击，即采用类似于真实银行程序或加密货币程序的网络钓鱼页面，通过WebView将页面覆盖到真实应用程序上以窃取用户输入的信息。

披露时间：2024年5月13日

情报来源：https://blog.sekoia.io/mallox-ransomware-affiliate-leverages-purecrypter-in-microsoft-sql-exploitation-campaigns/

相关信息：

研究人员最近观察到一起涉及攻击MS-SQL(Microsoft SQL)蜜罐的事件。据悉，攻击者主要采用暴力破解手段获取了初始访问权限，并借助PureCrypter以及多种MS-SQL漏洞利用技术部署了Mallox勒索软件。经进一步调查，研究人员发现了两家具有不同作案手法的关联公司，攻击者首次尝试利用漏洞的时间是2024年4月15日，其中第一个侧重于利用易受攻击的资产，而第二个则旨在更大规模地对信息系统进行更广泛的攻击。期间，攻击者主要针对"sa"账户，每分钟大约有320次尝试，且其攻击IP地址均由英国托管商XHost Internet Solution拥有。

调查显示，PureCrypter是一个基于.NET开发的加载器，主要功能是下载并执行有效负载，它由别名PureCoder(又名PureTeam)的攻击者作为恶意软件即服务(MaaS)开发和销售。PureCoder在XSS、UfoLabs和CrackedIO等俄语网络犯罪论坛上运营，提供Pure系列的各种恶意软件以及PureCrypter(例如PureMiner、PureLogs、PureClipper等)，并允许用户通过选择注入、反分析和持久性方法来定制PureCrypter有效负载。Mallox，也被称为Fargo、TargetCompany、Mawahelper，至少从2021年6月开始活跃，基于C++开发并采用勒索软件即服务(RaaS)运营模式，同时拥有勒索软件的多个变体，它在2022年末尤为活跃，并在2023年持续采用双重勒索技术。有报道称，8220团伙和Mallox勒索软件运营商等入侵组织曾利用PureCrypter开展利润丰厚的活动。

披露时间：2024年5月22日

情报来源：https://mp.weixin.qq.com/s/CGfWVHVi0MD1QIGcY8Gcfg

相关信息：

Confluence是一个专业的企业知识管理与协同软件，也可以用于构建企业wiki。使用简单，它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。Confluence Data Center是面向大型企业和组织的高可用性、可扩展性和高性能版本，Confluence Server是适用于中小型企业和组织的自托管版本。

近日，奇安信CERT监测到Atlassian官方发布新版本修复高危漏洞Atlassian Confluence Data Center and Server 远程代码执行漏洞(CVE-2024-21683)。经过身份认证的远程攻击者通过构造特殊的请求，利用该漏洞可以执行任意代码，对目标系统的机密性、完整性和可用性造成很高的影响。