[0628] 一周重点威胁情报｜天际友盟情报站

• 游蛇黑产团伙针对财税人员分发恶意木马

• 俄罗斯多个行业遭到ReaverBits组织攻击

• 印度响尾蛇组织近期针对国内的攻击活动剖析

• utilitytool系列Python包遭到投毒，可感染XenoRAT远控木马

• GrimResource技术：在MSC文件中引用存在漏洞的APDS资源并下发后门

• Kimsuky组织新型后门HappyDoor披露

• UAC-0184组织向乌克兰用户分发XWORMRAT

• SneakyChef间谍组织利用SugarGh0st瞄准政府机构
  

• APT-C-56通过Linux桌面文件投递Poseidon恶意组件

• Boolka组织使用BeEF框架构建网页传播多种恶意软件

• Kimsuky组织部署TRANSLATEXT扩展以针对韩国学术界

• Orcinius后门新样本分析

• Cobalt Strike恶意软件最新发现揭秘
  

• Oyster后门借助恶意广告活动进行传播

• 新Medusa木马变种可瞄准七个国家的安卓用户

• Poseidon窃取程序通过Google广告感染Mac用户

• 中文攻击者利用Craxs Rat针对新加坡实施诈骗活动

• P2Pinfect僵尸网络恶意软件不断发展以部署勒索和挖矿程序

• 微软Office漏洞CVE-2021-40444用于部署MerkSpy信息窃取程序

• PHANTOM#SPIKE活动：攻击者使用CHM文件向巴基斯坦用户发送C#后门

• 游蛇黑产团伙针对财税人员分发恶意木马

近期，安天安全人员监测到游蛇黑产团伙针对财税人员传播恶意Excel文件。文件名称为“（六月）偷-漏涉-稅-违规企业名单公示.xlsx”，文件打开后是一个伪装为国家税务总局的内容，内容会诱导用户点击超链接。超链接将提供一个压缩包文件的下载，压缩包中包含一个exe文件和一个asp文件。其中，exe文件是一款名为“SmartServer智能端口急速版”的服务器工具，该工具运行后会加载同路径中asp脚本文件。asp文件中含有恶意代码，代码会分多个阶段下载执行恶意的AutoHotKey、Python脚本以及Shellcode，最终一个名为“登录模块.dll”的远控木马将在内存中执行。该远控木马具有键盘记录、剪贴板监控、屏幕截图等功能。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=0ff266b08ed149e391c489c02a07fc86

• 俄罗斯多个行业遭到ReaverBits组织攻击

近期，安全人员发现存在一批新的攻击者针对俄罗斯各个公司和部门发送恶意电子邮件。安全人员将该组织命名为ReaverBits。目前，安全人员共捕获到5封邮件，分别针对了俄罗斯的零售公司、电信公司、加工公司、农工协会和联邦基金。其中，邮件一内容为通知用户获得Skyey商店的高额礼品卡。邮件二伪装为俄罗斯UAZ公司，向农工协会发送UAZ车辆折扣。邮件三、四伪装为俄罗斯数字发展部针对零售业公司。邮件五伪装为俄罗斯联邦基金部门员工向另一名员工发送信息。这些邮件都包含zip压缩包，压缩包中存在恶意文件，可使主机感染MetaStealer或者LuckyDownloader。安全人员分析发现LuckyDownloader背后还存在另一个攻击者，并将该攻击者命名为LuckyBogdan。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=8307c682266c46faa56a8df92ca2e8af

• 印度响尾蛇组织近期针对国内的攻击活动剖析

近期，深信服披露了响尾蛇(Sidewinder)组织对国内高校和政府机构从2023年8月开始的攻击动态。经分析研判，发现Sidewinder使用了大量新的攻击组件来窃取机密数据，且研究人员表示，该组织在各个攻击链阶段均有所变化。即在初始访问阶段，恶意文件通过网络下载并在内存中执行javascript代码，不再落地为文件。持久化阶段，新增服务驻留操作。命令控制阶段，驻留的加载器不断访问C2获取组件以加载执行，且组件有多种，包括命令执行、窃密、远控等。
具体来说，Sidewinder近期的钓鱼文档编译时间在2023年6月-12月，均依靠远程模板技术下载执行漏洞文件。其中，涉及利用的漏洞为历史漏洞CVE-2017-11882，可影响office 2007、2013、2016等办公软件。漏洞利用成功后，攻击者将继续执行恶意代码，并在内存中解密出JavaScript脚本，进而下载后续的恶意组件，包括下载组件、驻留组件、加载组件、新增的核心命令执行组件、输入窃取组件、屏幕截取组件及远控RAT。期间，下载的多数样本的包名为Module，下载组件对32位系统和64位系统分别准备了两组白加黑利用文件，即write.exe+propsys.dll和fsquirt.exe+devobj.dll，它们最终会创建服务驻留在系统中。此外，Sidewinder还升级了数据加密技术，采用随机对称加密密钥+RSA公钥加密生成的随机密钥，使得只有拥有RSA私钥才能解密数据。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=5273258cc2bc4ddf90a7287ece8fdec8

• utilitytool系列Python包遭到投毒，可感染XenoRAT远控木马

近期，安全人员在Pypi官方仓库中捕获到2起针对Windows系统的Python包投毒事件，涉及的Python包为utilitytool和utilitytools。目前，utilitytool相关Python包在官方仓库的下载量已达1245次，并且国内清华大学Pypi镜像源仍然提供utilitytool相关Python包的下载。经分析，投毒安装包的setup.py和run.py中存在一个函数可从github远程下载被命名为pics.exe的文件，文件实际为XenoRAT远控木马，具有文件管理、屏幕捕获、键盘记录、设备远控等功能。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=2853b0eb6aaf47fb89e6b931cf761df5

• GrimResource技术：在MSC文件中引用存在漏洞的APDS资源并下发后门

Elastic安全人员发现了一种新的感染技术，利用特制的MSC文件实施感染，安全人员将其称为 GrimResource。GrimResource技术由apds.dll库中的XSS漏洞造成。攻击者会在精心构造的MSC文件中选择合适的StringTable节，并在其中引用存在漏洞的APDS资源。被构造的MSC文件在报告编写时，仍然是0检测率。样本还使用transformNode函数处理混淆代码以绕过ActiveX安全告警。样本携带的混淆代码实际是一个VBS脚本，可使用DotNetToJs技术执行内嵌的.NET加载器。安全人员将该加载器命名为PASTALOADER。PASTALOADER会生成一个dllhost.exe的新实例，并将恶意负载注入其中。经分析，最终的恶意负载为Cobalt Strike。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=d0a2d7507796427e95ef3adb74c447fd