每周高级威胁情报解读(2024.07.12~07.18)

披露时间：2024年7月17日

情报来源：https://mp.weixin.qq.com/s/E8DVag1ed9EHDKYaBKzjbg

相关信息：

近日报告称，臭名昭著的俄罗斯黑客组织FIN7开始出售其定制的"AvNeutralizer(又名AuKill)"工具。据悉，FIN7最初专门利用POS恶意软件进行金融欺诈，然而从2020年开始，它转向勒索软件活动，与REvil和Conti等臭名昭著的RaaS组织建立联系，并以Darkside和随后的BlackMatter的名称推出了自己的RaaS程序。此外，该组织还创建了Combi Security和Bastion Secure等欺诈性信息安全公司，以欺骗安全研究人员并发起勒索软件攻击。

AvNeutralizer则最早于2022年在Black Basta勒索软件活动中被发现，它可利用合法的SysInternals Process Explorer驱动程序来终止设备上运行的任何防病毒/EDR软件来逃避检测。调查显示，自2022年以来，以"goodsoft"、"lefroggy"、"killerAV"和"Stupor"别名运作的攻击者一直在俄语黑客论坛上以4,000美元至15,000美元的价格出售"AV Killer"。并且，自2023年初以来，研究人员检测到了各种版本的AvNeutralizer入侵活动，且其中大多实施并部署了包括AvosLocker、MedusaLocker、BlackCat、Trigona和LockBit在内的勒索有效负载。由此可见，AvNeutralizer已被广泛出售给多个勒索组织。

披露时间：2024年7月16日

情报来源：https://www.sentinelone.com/labs/nullbulge-threat-actor-masquerades-as-hacktivist-group-rebelling-against-ai/

相关信息：

研究人员发现了一个新的网络犯罪威胁组织 NullBulge，该组织的目标是专注于人工智能和游戏的实体。2024 年 7 月，该组织公布了据称从迪士尼内部 Slack 通信中窃取的数据。

NullBulge 通过将 GitHub 和 Hugging Face 上公开存储库中的代码武器化来瞄准软件供应链，引导受害者导入恶意库，或通过游戏和建模软件使用的 mod 包。该组织使用了 Async RAT 和 Xworm 等工具，然后投递使用泄露的 Lockbit Black 构建器构建的 LockBit 有效负载。

披露时间：2024年7月15日

情报来源：https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/

相关信息：

MuddyWater 是 隶属于伊朗 情报和安全部 (MOIS) 的一个威胁组织，据了解，该组织至少自 2017 年以来一直活跃。去年，MuddyWater 针对中东地区开展了广泛的网络钓鱼活动，重点关注以色列。自 2023 年 10 月以来，该组织的活动显著增加。他们的方法保持一致，利用从受感染的电子邮件帐户发送的网络钓鱼活动，针对目标国家/地区的各种组织。这些活动通常会导致部署合法的远程管理工具 (RMM)，例如 Atera Agent 或 Screen Connect。然而，最近他们部署了一个研究人员追踪为 BugSleep 的自定义后门。

本报告讨论了最近的网络钓鱼活动的细节以及它们如何反映该组织的利益。此外，研究人员还分析了 MuddyWater 最新的技术、策略和程序 (TTP)，包括 BugSleep 自定义后门和对合法文件共享服务 Egnyte 的滥用。

披露时间：2024年7月16日

情报来源：https://blogs.jpcert.or.jp/en/2024/07/mirrorface-attack-against-japanese-organisations.html

相关信息：

研究人员自 2022 年以来一直在观察 MirrorFace LODEINFO和 NOOPDOOR 恶意软件的攻击活动。该行为者的目标最初是媒体、政治组织、智库和大学，但自 2023 年以来已转向制造商和研究机构。至于 TTP，他们过去常常发送鱼叉式网络钓鱼电子邮件来渗透目标网络，但现在他们也利用外部资产中的漏洞。

研究人员于 2023 年 11 月发布了关于利用漏洞的攻击活动的安全警报。并已确认该攻击者利用了 Array AG 和 FortiGate 中的漏洞。Proself 也可能被利用，但本博文中提到的案例主要针对与 Array AG 和 Fortigate 相关的案例。

本博文介绍了恶意软件 NOOPDOOR 以及攻击者在受害者网络中使用的 TTP 和工具的详细信息。

披露时间：2024年7月15日

情报来源：https://paper.seebug.org/3199/

相关信息：

研究人员捕获到Patchwork组织疑似针对不丹的攻击样本，该样本除加载已多次发现的go语言后门(以下称“PGoShell”)外，还大规模增强了功能。与此同时，样本首次使用了红队工具Brute Ratel C4，即近期观察到的比较大的武器更新。该组织在最近2年的攻击活动中，于技术方面比其他同源组织投入的热情更多，并不断更新自身的武器库及加载方式。迄今为止，已发现该组织使用了超过10种不同的木马及加载方式。以下将对本次发现进行分析和描述。

披露时间：2024年7月10日

情报来源：https://www.silentpush.com/blog/fin7/

相关信息：

研究人员近日报道称，俄罗斯FIN7犯罪组织在被美国司法部(DOJ)消除一年后再度活跃，涉及利用超过4000个域名和子域名的基础设施发起新网络钓鱼活动，且其中近一半域名在最近一周内处于活跃状态，目标是包括Reuters、Meta和Microsoft在内的全球知名品牌。据悉，FIN7至少自2013年以来一直存在，是一个以经济为动机的威胁组织，主要针对美国零售、酒店、科技、咨询、金融服务、医疗设备、媒体、运输和公用事业行业。

研究人员表示，本次活动，FIN7主要通过租赁专用IP地址和使用虚假公司名称来隐藏其恶意活动的基础设施，以部署勒索软件和其他形式的恶意软件。期间，攻击者会将恶意的shell域名伪装成知名品牌的钓鱼网站，以绕过传统的安全防护措施，再通过重定向或页面内容欺骗用户，诱导其下载一个盗用来自中国沧州晨越电子科技有限公司证书数据的伪装成可信执行文件的zip文档，以进一步部署NetSupport RAT木马，最终获取域主机的高级权限，进而对目标组织造成严重威胁。

披露时间：2024年7月17日

情报来源：https://cyble.com/blog/new-malware-campaign-abusing-rdpwrapper-and-tailscale-to-target-cryptocurrency-users/

相关信息：

近期，安全人员发现一个多阶段网络攻击活动，攻击者传播一个包含lnk文件的zip压缩包进行初始感染。lnk文件携带的恶意代码可通过CMD执行Powershell命令，下载进一步的恶意脚本。脚本将创建互斥锁，检查主机是否启用了UAC认证。若未启用UAC认证，脚本会将特定目录加入到Windows Defender白名单。

最终脚本会释放一个Go编写的64位加载程序，程序首先会检查当前权限是否为管理员权限，否则通过runas命令提权，随后向用户展示诱饵PDF文件，PDF内容为在印度CoinDCX平台上进行加密货币交易的详细指南。加载程序将释放一个bat文件，下发main.exe，main.exe会充当RDPWrapper的安装程序并配置TailScale，最终实现远控。

披露时间：2024年7月12日

情报来源：https://www.cyfirma.com/research/braodo-info-stealer-targeting-vietnam-and-abroad/

相关信息：

近期，安全人员发现一个名为Braodo Stealer的信息窃取程序，该程序由越南人编写，是一个基于Python的恶意软件，自2024年初开始活跃以来，主要针对越南、美国、捷克、德国、荷兰、新加坡和英国。该恶意软件以bat文件作为感染起点，文件运行后将从github下载经过混淆的脚本文件和zip压缩包。其中，脚本文件主要用于建立持久性，zip压缩包则包含Braodo Stealer的主要源码。程序主要针对Google Chrome、Firefox、Edge、Opera等。窃取内容最终被发送至Telegram频道。

披露时间：2024年7月16日

情报来源：https://go.recordedfuture.com/hubfs/reports/cta-2024-0716.pdf

相关信息：

研究人员发现 TAG-100 发起了疑似网络间谍活动，目标是全球政府和私营部门组织。TAG-100 利用面向互联网的设备并使用 Go 后门 Pantegana 等开源工具。该活动入侵了两个亚太政府间组织，并针对多个外交和贸易实体。

TAG-100 采用开源远程访问功能，并利用各种面向互联网的设备获取初始访问权限。此活动凸显了使用开源工具进行网络间谍活动的日益增长的趋势，这使得能力较弱的威胁者更容易得手，并减少了对定制功能的需求。两个主要的亚太政府间组织以及全球多个外交、贸易和私营部门实体可能受到 TAG-100 的攻击。

披露时间：2024年7月17日

情报来源：https://www.bleepingcomputer.com/news/security/email-addresses-of-15-million-trello-users-leaked-on-hacking-forum/

相关信息：

Trello 是 Atlassian 旗下的一款在线项目管理工具，企业通常使用它将数据和任务组织到板块、卡片和列表中。

近日，有黑客发布了与 Trello 账户相关的 1500 万个电子邮件地址，这些地址是今年 1 月被 API 收集到的。当时有一个名为 “emo ”的威胁行为者在一个流行的黑客论坛上出售 15 万个 Trello 会员的资料。虽然这些档案中的数据几乎都是公开信息，但每个档案还额外包含一个与账户相关的非公开电子邮件地址。虽然 Trello 的所有者 Atlassian 当时并未证实这些数据是如何被窃取的，但这些数据是通过一个不安全的 REST API 收集的，该 API 允许开发人员根据用户的 Trello ID、用户名或电子邮件地址查询配置文件的公共信息。

今天，emo 在 Breached 黑客论坛上以 8 个网站信用点，价值 2.32 美元的价格分享了15万个配置文件列表。

披露时间：2024年7月16日

情报来源：https://mp.weixin.qq.com/s/0pGyGpR3I9H8Wafl4MT1qw

相关信息：

奇安信威胁情报中心和猎鹰运营团队在日常运营过程中观察到在2024年6月份时多个境外友商发布与GrimResource新型攻击技术有关的在野攻击活动，我们第一时间对该技术进行了研究并持续进行监控，于2024年7月中旬在政企终端中发现第一例攻击事件，攻击性质我们定性为黑产。

 GrimResource技术利用mmc系统文件中的XSS漏洞执行js代码，并通过DotNetToJScript的方式内存加载任意.net程序，不仅可以绕过ActiveX控件告警，还能实现无文件落地的payload执行，可以预见在未来的一段时间内，MSC样式的鱼叉邮件将会替代lnk、offcie宏文档等成为攻击者最常用的钓鱼诱饵。建议政企客户不要在非官方网站上下载软件安装包，我们将会详细披露MSC诱饵的攻击链，以便客户进行自查。

披露时间：2024年7月15日

情报来源：https://www.trendmicro.com/en_us/research/24/g/CVE-2024-38112-void-banshee.html

相关信息：

5 月，研究人员发现了 APT 组织 Void Banshee 在更新的 Atlantida Stealer 活动中利用的一个漏洞，并迅速识别并向 Microsoft 报告了此零日漏洞。漏洞 CVE-2024-38112 (ZDI-CAN-24433) 被用作零日漏洞，可使用 MSHTML 通过已禁用的 Internet Explorer 访问和执行文件。

作为 Void Banshee 攻击链的一部分，CVE-2024-38112 被用来通过 Atlantida 信息窃取程序感染受害者机器，该程序专注于从各种应用程序中窃取系统信息和敏感数据（如密码和 cookie）。Void Banshee 使用包含伪装成书籍 PDF 的恶意文件的 zip 存档来诱骗受害者；这些文件在云共享网站、Discord 服务器和在线图书馆等处传播。Void Banshee 的攻击集中在北美、欧洲和东南亚。这次零日攻击是一个典型的例子，说明不受支持的 Windows 遗留系统是一个被忽视的攻击面，威胁行为者可以利用它来用勒索软件、后门感染毫无戒心的用户，或作为其他类型恶意软件的渠道。

披露时间：2024年7月15日

情报来源：https://www.trustwave.com/hubfs/Web/Library/Documents_pdf/Malvertising_Research.pdf

相关信息：

研究人员发现了一个利用新版 SYS01 窃取程序的恶意广告活动。从高层次来看，该窃取程序旨在接管 Facebook 帐户，从受影响用户的浏览器中窃取凭证信息，然后利用合法帐户进一步传播恶意软件。本报告分解了恶意软件感染链的各个元素，并对恶意软件本身进行了完整的逆向工程分析。相关的威胁行为者不断发展，这项研究将揭露所使用的修改后的策略和活动广告，这些策略和广告随着时间的推移而发生变化，以逃避检测并提高定位能力。

披露时间：2024年7月16日

情报来源：https://www.binarydefense.com/resources/blog/technical-analysis-killer-ultra-malware-targeting-edr-products-in-ransomware-attacks/

相关信息：

研究人员近日在对Qilin勒索软件攻击活动中使用工具的分析过程中，检测发现了一个可通过禁用EDR和AV软件来逃避检测的恶意软件：Killer Ultra。据悉，Killer Ultra能够获取内核级权限来针对包括Symantec、Microsoft和Sentinel One的安全工具，同时可枚举并清除所有的Windows事件日志。

并且，Killer Ultra可通过利用Zemana AntiLogger v2.74.204.664中的CVE-2024-1853漏洞实现任意进程终止操作。其中，CVE-2024-1853漏洞允许攻击者利用Zemana AntiLogger驱动程序的0x80002048 IOCTL代码，从而实现任意终止进程，包括AV或EDR软件等关键安全进程。此外，研究人员还发现了Killer Ultra代码中的非活动函数，这些函数可使Killer Ultra作为后利用工具运行。不过目前，这些功能尚未激活，但仍有可能会在恶意软件的未来版本中激活。

披露时间：2024年7月15日

情报来源：https://cyble.com/blog/investigating-the-new-jellyfish-loader/

相关信息：

近期，安全人员发现一种基于.NET的新型Shellcode加载器，名为Jellyfish Loader。该加载器以Main方法作为入口点，通过异步方法实现。程序包含多个被压缩的DLL文件。在程序运行后，程序会从受感染系统中提取系统基本信息，并以json格式存储，随后通过Base64编码进行混淆。

加载器与C2服务器的通信使用HTTP POST请求，C2服务器可向其提供特定的shellcode。经过深挖，安全人员发现与C2通信的两个恶意文档，文档结构与Olympic Destroyer活动中文档十分相似，不过目前尚不能肯定Jellyfish与Olympic Destroyer的攻击者存在关联。

披露时间：2024年7月11日

情报来源：https://blogs.blackberry.com/en/2024/07/akira-ransomware-targets-the-latam-airline-industry

相关信息：

2024 年 6 月，一个威胁组织利用 Akira 勒索软件针对一家拉丁美洲航空公司发起攻击。该威胁行为者最初通过安全外壳 (SSH) 协议访问网络，并成功窃取关键数据，然后在第二天部署了 Akira 勒索软件。在整个入侵过程中，攻击者利用大量合法工具和 Living off-the-Land 二进制文件和脚本 (LOLBAS) 进行攻击。这使得攻击者能够执行侦察并持续存在于新入侵的受害者环境中。

一旦攻击者实现了窃取数据的目标，就会部署勒索软件来加密和禁用受害者系统。Akira 是一种勒索软件即服务 (RaaS)，是 Storm-1567（又名 Punk Spider 和 GOLD SAHARA）的核心武器，Storm-1567 是一个著名的勒索软件组织，于 2023 年首次被发现。这篇博客将仔细研究 Akira 的攻击链。

披露时间：2024年7月12日

情报来源：https://blog.sonicwall.com/en-us/2024/07/disarming-darkgate-a-deep-dive-into-thwarting-the-latest-darkgate-variant/

相关信息：

近期，安全人员捕获到一个分发DarkGate恶意软件的钓鱼邮件活动。钓鱼邮件中包含一个PDF附件，PDF附件是支票相关的内容，包含一个下载按钮，可下载VBS脚本文件。VBS脚本的函数和变量均经过混淆，并且包含大量注释内容，恶意负载被保存至注释末尾。恶意负载实际为AutoIt3脚本，可执行wmic相关命令以执行后续代码。

代码可经过十六进制解码获取shellcode字节。shellcode会遍历DarkGate加载器的PE头获取其入口点。DarkGate加载器通过特定字符串解密DarkGate初始代码，并通过内存执行DarkGate代码。DarkGate进行初始化后会检测测试环境、检测是否存在杀毒软件。经分析，此次捕获的DarkGate变种包含数十种命令，涉及网络通信、勒索软件、写入au3脚本、造成蓝屏、文件传输等。

披露时间：2024年7月12日

情报来源：https://www.malwarebytes.com/blog/threat-intelligence/2024/07/fake-microsoft-teams-for-mac-delivers-atomic-stealer

相关信息：

近期，安全人员披露了一起针对Mac用户的谷歌恶意广告活动。攻击者通过谷歌广告推广Mac版本的Microsoft Teams程序，该程序可分发Atomic Stealer恶意软件。当受害者点击广告进入诱饵页面后，页面会显示程序的下载按钮。网站会将受害者重定向至另一个域名并发出请求，请求会为每个访问者生成唯一的有效负载。

一旦下载的文件MicrosoftTeams_v.(xx).dmg被安装，用户就会被指示通过右键单击打开它，以此绕过Apple针对未签名安装程序的内置保护机制。此外，程序还要求用户输入密码并授予系统访问权限。最终窃取的数据通过HTTP POST请求进行传输。

披露时间：2024年7月17日

情报来源：https://mp.weixin.qq.com/s/DCp22fd2NbIVL1jyra2i9g

相关信息：

Oracle官方发布了2024年7月的关键安全补丁集合更新CPU（Critical Patch Update），修复了多个漏洞包括CVE-2024-21175、CVE-2024-21181、CVE-2024-21182、CVE-2024-21183等。其中Oracle WebLogic Server未授权访问漏洞(CVE-2024-21175)、Oracle WebLogic Server T3/IIOP远程命令执行漏洞(CVE-2024-21181)、Oracle WebLogic Server T3/IIOP未授权数据访问漏洞(CVE-2024-21182、CVE-2024-21183)影响相对较大。