每周高级威胁情报解读(2024.05.24~05.30)

披露时间：2024年5月22日

情报来源：https://blogs.blackberry.com/en/2024/05/transparent-tribe-targets-indian-government-defense-and-aerospace-sectors

相关信息：

研究人员近期披露了巴基斯坦Transparent Tribe网络间谍组织在2023年末到2024年4月期间的攻击活动。据悉，该组织在最近的活动中主要瞄准印度政府、国防和航天航空部门，并且特别依赖跨平台编程语言，例如Python、Golang和Rust，以及流行的网络服务，如Telegram、Discord、Slack和Google Drive，最终部署了一系列恶意工具。

研究人员表示，之所以将活动归因于Transparent Tribe组织，主要有以下两个原因：1)其基础设施提供的一个文件将时区(TZ)变量设置为"亚洲/卡拉奇"，即巴基斯坦标准时间；2)攻击者使用的鱼叉式网络钓鱼电子邮件的远程IP地址与巴基斯坦移动数据网络相关，且邮件嵌入了一个对印度国家安全至关重要的关键部门的战略目标，这表明该组织可能与巴基斯坦的利益保持一致。此外，研究人员发现Transparent Tribe引入了新的基于Golang编译的"一体化"间谍工具，该工具能够实现查找和窃取具有流行文件扩展名的文件、截取屏幕截图、上传和下载文件以及执行命令等操作。

披露时间：2024年5月23日

情报来源：https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/hellhounds-operation-lahat-part-2/

相关信息：

2023年11月，研究人员发布了有关Hellhounds组织对俄罗斯公司基础设施发起的名为"Operation Lahat"的活动研究报告，该报告主要披露了Hellhounds组织依赖Decoy Dog新型后门针对Linux主机的攻击。据悉，Hellhounds至少从2021年起就成功攻击了俄罗斯公司，其恶意软件开发则于2019年开始，攻击者似乎通过从承包商处泄露的SSH登录凭据，利用供应链攻击手段在目标基础设施中安装了Decoy Dog后门，并会将其工具伪装成合法的软件产品(如Positive Technologies)，同时利用著名的Sliver框架来使用C2服务器，最后再使用修改后的开源3snake实用程序来获取运行Linux的主机上的凭据。截止2024年第二季度，该组织的活动已至少影响48名受害者，包括俄罗斯的公共部门、IT公司，且其中大多数是关键组织的承包商。

另外值得注意的是，研究人员近期再度发现Hellhounds组织于2024年1月2日至3日的新年假期期间针对Windows基础设施实施了攻击。调查显示，获得系统访问权限后，攻击者安装了名为"Microsoft Account Service"或"Microsoft Viewer Service"的服务，该服务负责运行PE可执行文件"AccSrvX64__STABLE__2016-11-10.exe"或"R_TARIF.VIEWS_X86.EXE"。其中，可执行文件大小为17KB，服务成功启动后，会解密.rdata部分内的域列表，然后尝试解析生成的域名，并继续解密有效负载。有效负载与Linux版的Decoy Dog后门几乎相同，基于开源项目Pupy RAT，其中针对Windows的样本最旧版本编译于2019年11月29日，最新样本则编译于2024年1月3日。

披露时间：2024年5月27日

情报来源：https://asec.ahnlab.com/ko/65918/

相关信息：

研究人员近期发现SmallTiger恶意软件瞄准韩国国防、汽车零部件、半导体制造公司。安全人员发现了三起攻击活动。其中，一起活动发生于2023年11月，攻击者利用MultiRDP恶意软件和Meterprete实施渗透行为，最终在受害主机上部署DurianBeacon RAT恶意软件，DurianBeacon在内存中执行，通过SSL协议与C2服务器建立通信。

第二起攻击活动发生于2024年2月，攻击者安装dll下载器，可从远程服务器下载进一步的攻击载荷，该dll下载器为SmallTiger。攻击者在受害主机上安装了Mimikatz和ProcDump，随后使用ProcDump工具转储LSASS进程的内存，从而窃取受感染系统的凭据。第三起攻击活动发生在2024年4月，使用Mshta命令从C2服务器下载恶意JS文件。JS文件创建的有效负载可通过rundll32执行。目前，安全人员将该攻击活动归因为Kimsuky组织。

披露时间：2024年5月22日

情报来源：https://www.bitdefender.com/blog/businessinsights/deep-dive-into-unfading-sea-haze-a-new-threat-actor-in-the-south-china-sea/

相关信息：

研究人员近期发现一个针对东南亚国家的未知黑客组织，目前安全人员将该黑客组织追踪为Unfading Sea Haze。经过分析，该组织的最早攻击活动出现于2018年。由于时间过于久远，许多痕迹已无法恢复，安全人员目前仅确定攻击者会使用钓鱼攻击传播恶意lnk文件。攻击者采用在lnk文件的命令行中嵌入长注释以绕过安全检测。部分lnk文件可导致SerialPktdoor后门程序的部署。在2024年3月，攻击者还使用了多个与Microsoft Defender相关的诱饵文件以及美国政治问题。这些文件携带的命令采用无文件攻击技术，启动合法工具MSBuild.exe。

MSBuild启动后将运行目录中文件的命令。在执行命令后，攻击者采用计划任务建立持久性，结合DLL侧加载技术执行恶意负载。此外，攻击者还会通过启用已禁用本地管理员账户的方式重置用户密码，以建立持久化。安全人员还观察到攻击者将ITarian RMM作为远控工具。Unfading Sea Haze还拥有一个复杂的自定义恶意软件和工具库。其中，涉及攻击者常用的三种代理工具，分别为SilentGh0st、TranslucentGh0st和SharpJSHandler。攻击者的攻击库还包含多种Gh0st木马。在数据采集阶段，攻击者使用xkeylog来进行键盘记录，并且攻击者还会收集常用浏览器的数据文件。攻击者部署的自定义工具还将监控WPD或者USB。最终，窃取的数据将基于TLS传输至远程服务器。

披露时间：2024年5月27日

情报来源：https://bi.zone/expertise/blog/sapphire-werewolf-ottachivaet-izvestnyy-stiler-dlya-novykh-atak/

相关信息：

近期，安全人员披露了名为Sapphire Werewolf的黑客组织，该组织主要对俄罗斯的教育、工业、信息技术、军工联合体和航空航天领域发起攻击。攻击者通过电子钓鱼邮件发起初始攻击，钓鱼邮件中携带恶意附件，当用户打开附件后，文件会在指定路径创建一个新文件并将其携带的资源写入其中。文件还将创建计划任务以建立持久性，同时为用户打开诱饵文件以吸引用户注意力，诱饵文件与能源有关。随后，SapphireStealer被下发至受害主机，SapphireStealer运行后，将创建异步任务收集主机上的文件。程序窃取的文件包括Telegram Messenger配置文件、各个浏览器的密码/Cookie/历史记录/配置数据库等、SSH配置、FileZilla配置等。窃取的内容最终经过压缩发送至远程服务器。目前，安全人员已发现该组织针对俄罗斯关键领域进行了超过300次的攻击活动。

披露时间：2024年5月21日

情报来源：https://mp.weixin.qq.com/s/0fkfqKYeQ08Gtyie67WuNg?poc_token=HKfjVmajugFLnogz-e6G01y97sttkukxVkd3L80O

相关信息：

近期，研究人员到一批通过仿冒"快连VPN"的恶意安装包攻击事件。攻击者将恶意模块和正常软件捆绑在一起，伪装成正常软件并通过仿冒网站、下载站等方式传播，同时通过在搜索引擎投递广告扩大仿冒网站的传播范围。用户执行携带恶意模块的安装包后，便会被攻击者下发远控模块和命令，执行关闭杀毒软件操作，获取QQ、Telegram软件信息，对用户电脑进行鼠标、键盘、剪贴板等进行全面监控和窃密。

披露时间：2024年5月28日

情报来源：https://blog.xlab.qianxin.com/kiteshield_is_being_abused_by_cybercriminals_cn/

相关信息：

近一个月研究人员的大网威胁感知系统系统捕获了一批VT低检测且很相似的可疑ELF文件。在满心期待中开始了逆向分析，期间经历了反调试，字串混淆，XOR加密，RC4加密等等一系列对抗手段。

然而，结果却让人失望。这批样本之所以检测率低，是因为它们都使用了一个名为Kiteshield的壳。最终发现这些样本都是已知的威胁，分别隶属于APT组织Winnti、黑产团伙暗蚊，以及某不知名的脚本小子。

尽管未能从这批样本中发现新的威胁，但低检测率本身也是一种重要的发现。显然，不同级别的黑灰产组织都开始使用Kiteshield来实现免杀，而目前安全厂商对这种壳还缺乏足够的认知。随着一年一度的大型网络演练临近，不排除攻击方使用Kiteshield的可能性。因此，研究人员认为有必要编写本文，向社区分享其发现，以促进杀软引擎对Kiteshield壳的处理能力。

披露时间：2024年5月28日

情报来源：https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/

相关信息：

近期，研究人员发现了一个新的朝鲜黑客组织，并将其名为Moonstone Sleet(此前被追踪为Storm-1789)。该组织主要以获取经济利益和实施间谍活动为目标，常用的攻击手段为部署自定义勒索软件、创建恶意游戏、建立虚假公司以及利用IT工作者。安全人员对该组织目前使用的TTP进行了公开。在2023年8月，该组织曾通过Linkedin、Telegram以及开发者自由职业平台传播开源PuTTY工具的木马版本。攻击者也常在各个职业平台提供使用恶意npm包的项目，恶意npm包可在受害主机上部署恶意负载。在2024年2月，安全人员发现该组织使用一款名为DeTankWar的恶意坦克游戏感染设备。

在此活动中，Moonstone Sleet通常以寻求投资或开发者支持的游戏开发商的身份，或者伪装成合法的区块链公司或虚构公司，通过消息平台或电子邮件接触目标。为了增强游戏的表面合法性，Moonstone Sleet还创建了多个账户和网站用于接触目标。该组织还伪造了多个虚假公司，公司多与区块链和AI有关，伪造的公司名称包括StarGlow Ventures、CC Waterfall。在2024年4月，Moonstone Sleet向其攻陷的一家公司下发了一个新的自定义勒索软件，安全人员将该软件命名为FakePenny。目前，该组织的攻击目标主要为软件和信息技术、教育和国防工业基础领域的个人和组织。

披露时间：2024年5月23日

情报来源：https://cert.gov.ua/article/6279419/

相关信息：

研究人员近日披露了一起由UAC-0188组织发起的网络钓鱼攻击事件，该事件涉及利用微软著名扫雷游戏的Python克隆代码版本来隐藏针对欧洲和美国金融组织的恶意脚本。具体来说，攻击者通过合法的远程管理软件SuperOps RMM获取了对乌克兰组织计算机的未经授权的访问权限，并由"[email protected]"地址发送了一封钓鱼邮件，然后冒充一个医疗中心，发送了主题为"个人医疗文档网络档案"的钓鱼文件，它提示收件人从特定的Dropbox链接下载大小为33MB的可执行(.SCR)文件。

文件使用PyInstaller创建，其中包含扫雷游戏的基于Python语言克隆的无害代码，以及28MB大小的经Base64编码的字符串，即从远程源下载其他脚本的恶意Python代码。期间，Python代码负责调用一个名为"create_license_ver"的函数，该函数则被最终用于解码和执行隐藏的恶意代码。

披露时间：2024年5月24日

情报来源：https://mp.weixin.qq.com/s/tNofW88EQAIZXjkCrjp8kw

相关信息：

近期，研究人员发现银狐团伙利用"核酸检测退费"和"发票信息"作为主题的钓鱼样本呈现增多趋势，且样本分别通过聊天软件和邮件进行传播。据悉，以"电子发票下载"为标题的钓鱼邮件正文包含"查看发票"等关键词，旨在诱导接受者点击邮件中附带的URL，进而跳转至某云厂商上的钓鱼木马下载地址。

经进一步调查显示，银狐团伙的诱饵文件在命名方式上除了常用的"**社保"，"**名单"，"**抽查"外，在2024年5月22日出现某些医疗单位开始对符合条件的市民进行退换核酸检测费用的相关新闻后，开始投递名为"2024年每个地区医院通知退核酸检测费用流程.rar"的钓鱼攻击文件。具体来说，恶意样本母体作为下载器从多个不同的URL下载rar或png格式的Payload文件，文件解密后加载到内存，再利用EnumDateFormatsA函数通过回调的方式执行shellcode，最终运行远程控制木马。期间，木马还通过动态获取系统API函数、使用大量字符拼接数据的方式对抗静态特征检测。

披露时间：2024年5月22日

情报来源：https://blog.xlab.qianxin.com/catddos-derivative-cn/

相关信息：

近期，安全人员披露了CatDDoS团伙的近3个月活跃情况。近三个月，攻击者主要通过公开漏洞实施DDoS攻击。已观测到攻击者使用的漏洞数量超过80个，其中存在多个样本疑似为0day漏洞的利用。CatDDoS的攻击目标遍布全球，涉及中国、美国、法国、巴西等国家的云厂商、教育、建筑等多个行业。据安全人员从已有证据推测，CatDDoS是去年12月份关停的Aterna Botnet，其泄露的源码被不同团伙构造了不同的变种进行运营。其中，一个名为v-snow_slide的变种，此前尚未被披露过。该变种最早被发现于2023年10月，其中保留了大量的Fodcha僵尸网络的代码。此外，安全人员还发现，存在不同僵尸网络家族间互相攻击对方基础设施的情况。

披露时间：2024年5月21日

情报来源：https://cert.gov.ua/article/6279366

相关信息：

研究人员近日注意到，出于经济动机的UAC-0006组织重新活跃，截止2024年5月21日，攻击者至少发起了两次传播SMOKELOADER恶意软件的活动。其中，活动感染链始于包含ZIP压缩文档的钓鱼邮件，文档内则包含伪装为IMG文件的EXE可执行文件，以及包含确保执行PowerShell命令以下载并运行EXE文件的宏的.ACCDB 文档(Microsoft Access)。一旦用户点击，TALESHOT、RMS和其他恶意程序最终就会被加载到受害者计算机上。据悉，目前已有数百台计算机受到影响。

披露时间：2024年5月23日

情报来源：https://www.netskope.com/blog/phishing-with-cloudflare-workers-transparent-phishing-and-html-smuggling

相关信息：

研究人员近期跟踪到多个利用Cloudflare Workers的网络钓鱼活动。据悉，Cloudflare Workers是一个用于应用程序部署的无服务器计算平台，包括向访问者提供HTML页面，并可向用户提供免费套餐，因此正被借助免费云服务的攻击者恶意利用。另外研究人员表示，由于活动期间使用了两种不同的技术，研究人员推测它们由不同的攻击者所为。其中一个活动涉及使用HTML走私(一种常用于下载恶意软件的检测规避技术)来隐藏网络钓鱼内容。

另一种则被称为透明网络钓鱼，即攻击者会使用Cloudflare Workers充当合法登录页面的反向代理服务器，通过拦截受害者与登录页面之间的流量以捕获凭据、cookie和令牌。相关数据显示，在过去30天里，Cloudflare Workers上托管的网络钓鱼活动主要针对亚洲、北美和南欧的受害者，目标涵盖以技术、金融服务和银行为主导的多个领域，且大多数网络钓鱼页面的目标是获取Microsoft登录凭据，包括Gmail、Yahoo Mail和cPanel Webmail等。

披露时间：2024年5月28日

情报来源：https://harfanglab.io/en/insidethelab/allasenha-allakore-variant-azure-c2-steal-banking-latin-america/

相关信息：

近期，安全人员发现一个新的恶意负载，并将其命名为AllaSenha，AllaSenha是一个专门窃取巴西银行账户凭据的银行木马，经分析，AllaSenha实际为开源木马ALLAKORE的变种。安全人员对AllaSenha的感染链进行了追踪，AllaSenha从钓鱼电子邮件开始实施感染，邮件中携带LNK附件，附件伪装为PDF文件，通过WebDAV分发。

诱饵主体为巴西常见的电子发票通知，当LNK文件被受害者当作PDF打开后，其携带的恶意代码将被执行，下载BPyCode启动器。BPyCode是一个Python脚本，负责下载并执行ExecutorLoader文件。ExecutorLoader是一个dll文件，在内存中运行，可进一步解码和执行最终有效负载AllaSenha。AllaSenha由UPX加壳，主要针对巴西银行窃取密码、2FA令牌和二维码，针对的银行有Bradesco、Itaú Unibanco、Caixa、Banco Brazil等。

披露时间：2024年5月23日

情报来源：https://securelist.com/ransomware-abuses-bitlocker/112643/

相关信息：

研究人员最近观察到了一个使用本机BitLocker功能加密系统文件从而实现勒索操作的新技术。其中， BitLocker的最初目的是解决因丢失、被盗或不当停用设备而导致数据被盗或暴露的风险，不过目前也被用于实现恶意目的。据悉，攻击者主要在墨西哥、印度尼西亚和约旦等地区部署并运行了高级VBS脚本，脚本作为Disk.vbs存储在"C:ProgramDataMicrosoftWindowsTemplates"目录中，它包含可用于通过HTTP POST请求发送数据的函数。执行时，将完全控制目标系统，依赖WMI查询有关操作系统的信息，并利用BitLocker进行未经授权的文件加密，随后删除BitLocker保护程序并配置驱动器加密，最终再掩盖其踪迹。

披露时间：2024年5月28日

情报来源：https://asec.ahnlab.com/ko/65885/

相关信息：

研究人员近期对被bondnet挖矿软件感染的系统进行了分析，确认了其背后的攻击者仍在继续活动，似乎正在为其于2023年的挖矿僵尸网络中的高性能机器人构建反向RDP环境，并将其用作C2服务器。调查显示，Bondnet攻击者主要使用代理服务器和快速反向代理(FRP)工具来配置反向RDP环境。

 其中，FRP是一个发布在Github上的开源代理程序，Bondnet攻击者通过修改FRP程序的代码来使用它，即将修改的FRP程序文件中存储连接所需的信息，如攻击者代理服务器的地址、协议、端口、令牌名等。此后，攻击者还会通过远程桌面访问受害者系统并运行两个程序，接着在受害者系统上创建HFS服务，并通过隧道连接Cloudflare域和服务，从而将其用作C2服务器。

披露时间：2024年5月27日

情报来源：https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google

相关信息：

最近，研究人员注意到 Anatsa 恶意软件（又名 TeaBot）的实例有所增加。这种复杂的恶意软件使用对用户来说看似无害的植入程序应用程序，诱骗用户在不知情的情况下安装恶意负载。安装后，Anatsa 会从全球金融应用程序中窃取敏感的银行凭证和财务信息。它通过使用覆盖和可访问性技术来实现这一点，从而可以秘密地拦截和收集数据。

在本篇博文中，研究人员对 Anatsa 攻击活动进行了技术分析，该攻击活动利用 PDF 阅读器和二维码阅读器等主题在 Google Play 商店中传播恶意软件。此外，我们还提供了 Google Play 商店趋势的快照，包括威胁行为者最常针对的应用程序类别和最常用于策划攻击的恶意软件。

披露时间：2024年5月23日

情报来源：https://cyble.com/blog/ransomware-menace-amplifies-for-vulnerable-industrial-control-systems-heightened-threats-to-critical-infrastructure/

相关信息：

近期，勒索组织Ransomhub声称攻陷并获取了西班牙Matadero de Gijón生物能源工厂的数据。该公司主要依靠ICS来满足生产和运营需求。Ransomhub除了在详细帖子中含糊其辞地声称加密并窃取了超过400 GB的数据，还声称可以访问控制生物能源工厂的监控和数据采集(SCADA)系统。并且发布了两张截图作为证据，截图显示他们获得了沼气厂消化控制器和加热系统的访问权限。Ransomhub勒索软件即服务(RaaS)于2024年2月首次出现，采用Go和C++语言编写，基于aes256、chacha20、xchacha20算法进行加密。该勒索软件限制了针对独联体国家、古巴等国的实体，表明其亲俄的意识形态。

披露时间：2024年5月24日

情报来源：https://asec.ahnlab.com/ko/65790/

相关信息：

研究人员确认了近期通过Power Archiver压缩的UUE（UUEncoding）文件分发Remocs RAT恶意软件的攻击活动。此次活动通过网络钓鱼邮件伪装成与进出口货件相关的电子邮件或报价单进行分发。攻击者首先通过附加文件分发使用UUEncoding方法编码的VBS脚本文件。UUEncoding方法是Unix-to-Unix Encode的缩写，用于Unix之间的数据交换，它将二进制数据编码为ASCII文本格式。接下来攻击者试图通过UUEncoding绕过检测并解密混淆后的VBS脚本。

之后通过将Powershell脚本保存在%Temp%路径（文件名为Talehmmedes.txt）来执行VBS脚本。执行的PowerShell脚本将Haartoppens.Eft下载到%AppData%路径，并运行其他PowerShell脚本，这个脚本的主要功能是将shellcode加载到wab.exe进程中。最后，攻击者会通过shellcode注册一个注册表以维护持久性，并通过访问hxxp://194.59.30.90/mtzDpHLetMLypaaA173.bin加载最终的恶意软件Remcos RAT。

披露时间：2024年5月21日

情报来源：https://mp.weixin.qq.com/s/-C-5eudrjcyl_JkO4cNXpw

相关信息：

Confluence是一个专业的企业知识管理与协同软件，也可以用于构建企业wiki。使用简单，它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。Confluence Data Center是面向大型企业和组织的高可用性、可扩展性和高性能版本，Confluence Server是适用于中小型企业和组织的自托管版本。

近日，奇安信CERT监测到Atlassian官方发布新版本修复高危漏洞Atlassian Confluence Data Center and Server 远程代码执行漏洞(CVE-2024-21683)。经过身份认证的远程攻击者通过构造特殊的请求，利用该漏洞可以执行任意代码，对目标系统的机密性、完整性和可用性造成很高的影响。