[0719] 一周重点威胁情报｜天际友盟情报站

• Coyote银行木马瞄准巴西金融机构

• 银狐团伙利用易语言远控木马实施钓鱼攻击

• 攻击者利用GrimResource新技术瞄准国内政企领域

• FIN7团伙向其它勒索组织出售AvNeutralizer恶意软件

• APT-Q-15借助地缘政治话题向伊朗投递0day利用钓鱼邮件

• NullBulge网络犯罪组织揭秘

• Patchwork黑客组织针对不丹居民下发远控木马

• MuddyWater组织部署新Bugsleep后门以针对以色列

• MirrorFace组织针对日本制造业和研究机构实施钓鱼攻击活动
  

• CVE-2024-3811：Void Banshee组织以0 day漏洞攻击Windows用户
  

• DarkGate最新样本分析

• Killer Ultra恶意软件分析
  

• DoNex勒索软件及其前身介绍

• Akira勒索LATAM航空公司详情披露

• Jellyfish：新型Shellcode加载器分析

• 通过企业服务平台托管的恶意样本分析

• Braodo Stealer信息窃取程序瞄准越南等国

• 恶意软件活动滥用RDPWrapper和Tailscale来攻击加密货币用户

• Atomic Stealer伪装为Mac版MicrosoftTeams，通过谷歌广告传播

• Coyote银行木马瞄准巴西金融机构

Blackberry近日披露了Coyote恶意软件相关活动。其中，Coyote是一种.NET银行木马，于2024年2月首次被发现，因利用Squirrel(一种用于管理Windows应用程序安装和更新的合法程序)而得名，已被发现针对巴西金融机构(主要是银行)以及加密货币交易所币安(Binance)。据悉，该木马基于巴西葡萄牙语编写，文件大小异常大(超过170MB)，常通过网络钓鱼传播，诱使用户单击恶意链接以实现执行，且其执行链明显区别于其他银行木马。在Coyote攻击期间，合法的开源OBS文件和Chromium嵌入式框架(CEF)动态链接库(DLL)会被注入受感染的DLL，受感染的DLL将使用Nim多平台编程语言加载Coyote银行木马并获取用户财务信息，最终持久保留在系统上。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=39b59e82f40843afaf701e7ffed5673e

• 银狐团伙利用易语言远控木马实施钓鱼攻击

新华三近期在捕获的一起由银狐团伙发起的钓鱼活动中，首次检测到了一款由易语言编写的远控木马——"刺客远程"。据悉，银狐团伙常使用财税、发票等主题的钓鱼邮件，利用自动下载页面传播初始载荷，并习惯将初始载荷文件命名为"setup*****.exe"。本次活动，攻击者依旧通过向目标投递以"【新的电子票据待査收】"为主题的精心构造的钓鱼邮件，诱导受害者点击其中的恶意链接，从而访问钓鱼网站。一旦访问，就会自动下载文件名由"setup+日期"组成的初始载荷到受害者主机上。以"setup_20240621.exe"为例，该样本分两个阶段执行，第一阶段除了作为下载器去下载执行第二阶段的远控模块，还会完成母体程序的安装和持久化操作，且该样本及后续组件都是由易语言编写，使用黑月编译插件编译。setup20240621.exe主要功能是从自身解密一个dll，并在内存中加载执行，然后调用其导出函数"ds145_gf4789_er7y7"。该导出函数负责检查命令行参数是否为"h8r54h"、"Service"、"inject"，若否，则会开始执行远控模块下载过程。远控模块在内存中被加载，然后执行其导出函数"ServetGetip"，C2地址和端口及相关信息作为参数传入，包括该远控木马版本号、服务项名称、可执行文件路径等。然后再收集系统基本信息和被控主机当前状态，包括用户名、系统版本、主机ip、当前进程列表，桌面文件、打开的窗口列表等，通过上线消息形式发送给控制端。经关联对比分析，研究人员发现银狐团伙本次使用的是一款名为"刺客远程"的远控木马，该木马最早于2023年6月在Telegram上被公开售卖，此后不断迭代更新，最近一次更新是今年6月，已更新到V13版本。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=29bd7cfc65bc437a8cb12e0ba715bb79

• 攻击者利用GrimResource新技术瞄准国内政企领域

奇安信近期对于2024年6月份时出现的GrimResource新型攻击技术进行了研究，并于2024年月中旬在政企终端发现了第一例黑产类型的攻击事件。据悉，攻击者主要通过SEO的方式仿冒chrome浏览器下载站，同时采用GrimResource技术实现恶意软件的复杂执行链。具体来说，GrimResource技术涉及利用mmc系统文件中的XSS漏洞执行js代码，并通过DotNetToJScript的方式内存加载任意.net程序。此类技术不仅可绕过ActiveX控件告警，还能实现无文件落地的payload(如codemark Rat和商业远控winos)执行。研究人员表示，在未来的一段时间内，MSC样式的鱼叉邮件将会替代lnk、offcie宏文档等成为攻击者最常用的钓鱼诱饵。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=76be6be894794ad99465762a189094b7

• FIN7团伙向其它勒索组织出售AvNeutralizer恶意软件

SentinelOne近日报告称，臭名昭著的俄罗斯黑客组织FIN7开始出售其定制的"AvNeutralizer(又名AuKill)"工具。据悉，FIN7最初专门利用POS恶意软件进行金融欺诈，然而从2020年开始，它转向勒索软件活动，与REvil和Conti等臭名昭著的RaaS组织建立联系，并以Darkside和随后的BlackMatter的名称推出了自己的RaaS程序。此外，该组织还创建了Combi Security和Bastion Secure等欺诈性信息安全公司，以欺骗安全研究人员并发起勒索软件攻击。AvNeutralizer则最早于2022年在Black Basta勒索软件活动中被发现，它可利用合法的SysInternals Process Explorer驱动程序来终止设备上运行的任何防病毒/EDR软件来逃避检测。调查显示，自2022年以来，以"goodsoft"、"lefroggy"、"killerAV"和"Stupor"别名运作的攻击者一直在俄语黑客论坛上以4,000美元至15,000美元的价格出售"AV Killer"。并且，自2023年初以来，研究人员检测到了各种版本的AvNeutralizer入侵活动，且其中大多实施并部署了包括AvosLocker、MedusaLocker、BlackCat、Trigona和LockBit在内的勒索有效负载。由此可见，AvNeutralizer已被广泛出售给多个勒索组织。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=16a7150eccaf4a0e94bfbed48b4b5e7e

• APT-Q-15借助地缘政治话题向伊朗投递0day利用钓鱼邮件

奇安信近日发现了一封格式异常的eml邮件，邮件标题中文翻译为"《主要新闻》元帅向伊朗伊斯兰共和国第一副总统致电"，其内容显示攻击者以半岛某国的视角向伊朗因意外事故去世的总统表示哀悼，并且还引用了某个报纸网站的文章链接。通过对0day触发代码进行解密，研究人员最终确认攻击者归属于APT-Q-15组织。据悉，与以往东北亚组织将攻击代码嵌入到正文中不同，本次活动中APT-Q-15选择将XSS代码插入到EML格式文件中。当受害者在特定情境下打开邮件时，便会瞬间触发利用代码，将Cookie上传到C2服务器上，攻击者可快速的获取受害邮箱中的联系人和所有邮件。研究人员表示，由于收件人被删除，无法得知具体的受害信息，但鉴于APT-Q-15和APT37作为两个同一语种不同地区的威胁团体，其攻击目标应互为镜像。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=15a4ad60e2c441b99baefde54fbcd416