[0614] 一周重点威胁情报｜天际友盟情报站

• 微软补丁日通告：2024年6月版

• 银狐木马变种再度活跃，伪装为安装包实现传播

• ExCobalt组织持续开发GoRed后门以攻击俄罗斯公司

• PHP CGI Windows平台远程代码执行漏洞遭频繁利用

• Cardinal组织利用Windows权限升级漏洞作为零日漏洞

• Kimsuky组织近期RandomQuery活动分析

• Silver Fox组织ValleyRAT木马最新变体披露

• TellYouThePass勒索团伙利用PHP RCE漏洞实施攻击

• 短信钓鱼团伙Smishing Triad攻击范围扩展至巴基斯坦
  

• Commando Cat组织劫持Docker服务器以部署挖矿程序

• REF6127通过开展招聘主题的钓鱼活动部署WARMCOOKIE后门

• Sticky Werewolf以视频会议邀请为诱饵攻击俄罗斯航空航天行业

• Rebirth僵尸网络介绍

• SSLoad恶意软件技术剖析
  

• 针对西班牙语人群的新Agent Tesla活动追踪
  

• Muhstik恶意软件瞄准Apache RocketMQ平台

• More_eggs恶意软件通过求职网站瞄准工业服务行业

• 微软补丁日通告：2024年6月版

微软近期发布了2024年6月的安全更新。本次安全更新修复了总计51个安全漏洞(不包括7个Microsoft Edge漏洞)，其中有50个重要漏洞(Important)、1个严重漏洞(Critical)。在漏洞类型方面，主要包括25个特权提升漏洞、18个远程代码执行漏洞、5个拒绝服务漏洞、3个信息泄露漏。本次发布的安全更新涉及Microsoft Office Outlook、Visual Studio、Windows DHCP Server等多个产品和组件。更多信息，可参考微软2024年6月安全更新说明：https://msrc.microsoft.com/update-guide/releaseNote/2024-Jun

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=f6e7bbc85fb444b7b73390a3413386ce

• 银狐木马变种再度活跃，伪装为安装包实现传播

近期，火绒监测到一款伪装成MSI安装包的恶意木马正在传播。经进一步分析，发现样本执行链分为四个阶段，并确认其为"银狐"系列变种木马。调查显示，第一阶段涉及利用一个以VBScript编写的引导脚本，该脚本在双击执行后会启动数个cmd进程执行"tttssx.exe"。第二阶段，tttssx.exe最初会不断跳转和通过进行耗时循环干扰分析，随后把要执行的代码全部复制到新开辟的空间中，再通过2次SMC解密出关键操作代码。第三阶段，将执行一个eufRk5.exe加载程序，通过加载同目录下的mscoree.dll，获取并执行导出函数CLRCreateInstance。该函数负责在读取并定位eufRk5.exe中的加密数据后，将加密数据解密成shellcode以供执行，解密的shellcode还会读取同目录下的ffff.pol文件，并解密ffff.pol文件头为dll，最后，该dll打开同目录下的ffff.lop文件，继续将ffff.lop解密成dll，并执行导出函数Edge。第四阶段，Edge导出函数为专门的后门模块，它会检测相关文件的创建时间等信息以用于识别该后门在该主机上建立的时间，并在执行过程中检测已存在的窗口的标题，若遇到逆向分析工具或其它检测工具时便会终止运行。此外，该后门模块还会根据多个标志位执行不同的操作，包括禁用"Microsoft Defender"、键盘记录、连接C2实现远程控制等。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=cd7be111125948eebe9cd64d67076976

• PHP CGI Windows平台远程代码执行漏洞遭频繁利用

Mcafee近奇安信近日监测到官方修复PHP CGI Windows平台特定语系(简体中文936/繁体中文950/日文932)远程代码执行漏洞(CVE-2024-4577)，未经身份认证的远程攻击者可通过特定的字符序列，通过参数注入在配置了cgi选项的远程PHP服务器上执行任意代码，从而导致远程代码执行、敏感信息泄露或造成服务器崩溃。据悉，该漏洞自6月7号被Devco blog披露以来，从8号开始便出现了多起以该漏洞为攻击向量的攻击事件。
其中，最早的漏洞利用事件发生在2024年6月8日13点20分，未知攻击者向服装行业发起了攻击，通过在xampphtdocs目录下上传名为updateout.php的webshell小马，然后上传另一个名为xxl.php的webshell，进而从远程服务器下载payload。第二起事件则发生在6月8日19点40分，TellYouThePass勒索软件瞄准金融、商务服务业，并通过启动mshta.exe执行远程hta文件。第三则事件发生在6月8日20点45分，Lucifer DDoS团伙向医疗行业发起攻击，通过执行恶意的powershell脚本下载挖矿组件。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=0a54bc94ae07412a88f420a5dc024ca2

• ExCobalt组织持续开发GoRed后门以攻击俄罗斯公司

PT ESC CSIRT近期发现了一个以前未被记录的基于Go语言编写的GoRed后门，并将其归因于ExCobalt组织。据悉，ExCobalt是一个专注于网络间谍活动的威胁组织，其中一些成员至少自2016年以来一直活跃，据信也是臭名昭著的Cobalt组织的成员。Cobalt组织则主要攻击金融机构，目的是盗取资金，其显著特点是使用CobInt工具，而ExCobalt组织于2022年才开始使用该工具。
调查显示，有关GoRed后门的活动最早发生在2023年7月，ExCobalt组织的攻击目标目前涉及俄罗斯以下行业：冶金、电信、采矿、信息技术、政府机构、软件开发。GoRed后门主要有以下功能：1)使用RPC协议、DNS/ICMP隧道、WSS和Quic与攻击者通信并执行命令，类似Cobalt Strike、Sliver等C2框架；2)获取系统凭据；3)收集各种信息，如有关活动进程、主机名、网络接口列表、文件系统结构等数据；4)对受害者网络进行侦察；5)序列化、加密、归档并将收集到的数据发送到专门用于存储数据的特殊服务器。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=15c8c297bb9645ceb903f22b1e8c6a35

• Cardinal组织利用Windows权限升级漏洞作为零日漏洞

Symantec近日表示，运营Black Basta勒索软件的Cardinal(又名Storm-1811、UNC4393)网络犯罪组织似乎已利用最近修补的Windows权限升级漏洞(CVE-2024-26169)作为零日漏洞。据悉，有关CVE-2024-26169漏洞的利用工具之一最早于2023年12月18日编译，第二个变体则于2024年2月27日编译，即漏洞修复几周前，工具利用了Windows文件werkernel.sys，以在创建注册表项时使用空安全描述符。CVE-2024-26169出现在Windows错误报告服务中，该漏洞一旦被利用，将允许攻击者提升权限，其已于2023年3月12日得到修复，不过当时并未检测到任何漏洞利用攻击事件。Cardina则l于2022年4月推出Black Basta，该勒索软件的主要感染媒介似乎是Qakbot僵尸网络，而Qakbot到2023年8月的执法行动后被拆除，但Cardinal现已转向与DarkGate加载器相关的攻击者合作。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=09be259c2e484283a85df22620dfb401