每周高级威胁情报解读(2024.09.06~09.12)

披露时间：2024年9月10日

情报来源：https://mp.weixin.qq.com/s/qsgzOg-0rZfXEn4Hfj9RLw

相关信息：

知道创宇于2024年6月发现了几个APT组织的攻击样本，并通过同源关联到其他的攻击木马，他们具有以下共同特点：1)均会下载释放名称相同的组件，例如类型3种的crypt86.dat和profapii.dat，2)利用lnk进行COM劫持，3)通过公共利用服务平台bitbucket.org分发指令。经进一步经对比确认为"伪猎手"组织相关的同一个通过WPS漏洞进行网络攻击的最终适配器木马。此外，调查显示，2023年8月-2024年7月，研究人员观察到Darkhotel的持续攻击活动，该组织使用了两套不同的攻击武器及技术手段，攻击行业也脱离了Darkhotel名字代表的酒店行业背景。据悉，Darkhotel属于东亚，针对企业高管、政府机构、国防工业、电子工业等机构实施网络间谍攻击，足迹遍布中国、朝鲜、日本、哈萨克斯坦、俄罗斯等国家。2019年后，有关该组织的行动在开源情报中的事件连年下降，同时国内厂商曝光了多个具有东北亚背景和技术特定的攻击集合，研究人员推测他们均是Darkhotel的子集。

披露时间：2024年9月9日

情报来源：https://unit42.paloaltonetworks.com/threat-assessment-north-korean-threat-groups-2024/

相关信息：

Unit 42 对朝鲜的多个威胁组织进行了评估，这些组织隶属于侦察总局（RGB），并使用一系列复杂的恶意软件家族针对全球目标进行情报收集、资产招募、破坏性攻击和金融犯罪。

朝鲜的网络威胁组织通常在公共报告中以“Lazarus”或“Lazarus Group”的名义被提及，但这些组织实际上可以被归类为朝鲜人民军侦察总局（RGB）下的多个不同团体。这些团体通过进行间谍活动、获取金融利益和地缘政治破坏来支持朝鲜政府。文章回顾了Unit 42追踪的不同朝鲜威胁组织，并审查了最近由这些组织发起的攻击中观察到的 10 个恶意软件家族。这些恶意软件家族涵盖了三大主要操作系统：Windows、macOS 和 Linux。

披露时间：2024年9月6日

情报来源：https://asec.ahnlab.com/ko/83026/

相关信息：

AhnLab 近日确认了针对韩国用户的APT攻击状况，攻击者使用了两个Word文档作为诱饵文件，一个是关于俄朝伙伴关系的论文文档，另一个是论文的审阅表格文档。在攻击过程中，攻击者使用了Github存储库，攻击中使用的大量恶意脚本和正常诱饵文件被上传到存储库。通过多个上传的恶意脚本进行恶意行为，最终窃取用户信息。此外，恶意脚本在Runkey中注册和执行以实现持久化，并添加了更改文件属性和权限等功能，以进行更复杂的攻击。

披露时间：2024年9月6日

情报来源：https://cyble.com/blog/gamaredons-spear-phishing-assault-on-ukraines-military/

相关信息：

Cyble 研究与情报实验室 (CRIL) 发现了一项针对乌克兰军事人员的活跃 Gamaredon 活动，该活动通过鱼叉式网络钓鱼电子邮件进行。这些电子邮件包含恶意 XHTML 附件，打开后会执行混淆的 JavaScript 代码，将恶意档案下载到受害者的系统中。该存档包含一个 Windows 快捷方式 (LNK) 文件，当触发该文件时，会通过 mshta.exe 启动托管在 TryCloudflare[.]com 上的远程 .tar 存档的执行。通过利用 TryCloudflare 服务，攻击者 可以建立一次性隧道，而无需 Cloudflare 帐户。此隧道允许远程访问本地网络之外的资源和数据，其功能类似于 VPN 或 SSH 协议，使攻击者能够逃避传统的检测机制。

披露时间：2024年9月5日

情报来源：https://www.zscaler.com/blogs/security-research/blindeagle-targets-colombian-insurance-sector-blotchyquasar

相关信息：

2024 年 6 月，Zscaler 发现 BlindEagle 开始瞄准哥伦比亚保险业。BlindEagle 攻击链通常源自包含 PDF 附件和指向 ZIP 存档文件的 URL 的网络钓鱼电子邮件。PDF 附件包含与电子邮件正文中提供的 URL 相同的 URL。点击 URL（在电子邮件正文或 PDF 中）后，受害者会从 Google Drive 文件夹中下载一个 ZIP 存档。该特定文件夹归哥伦比亚某地区政府组织的受感染账户所有。ZIP 存档包含一个 .NET BlotchyQuasar 可执行文件。BlotchyQuasar 是一款功能强大的 RAT，具有广泛的功能。它可以记录击键、执行 shell 命令以及执行各种其他功能。据悉，攻击者使用的BlotchyQuasar 隐藏在多层保护之下。每层都包含一个 .NET 可执行文件，并使用商业或开源混淆器（如 DeepSea 或 ConfuserEx）进行保护。

披露时间：2024年9月4日

情报来源：https://www.group-ib.com/blog/apt-lazarus-python-scripts/

相关信息：

Group-IB于2024年8月中旬发现了一款冒充合法应用程序"FCCCall"的欺诈性Windows视频会议应用程序，经分析后识别为BeaverTail恶意软件。调查显示，活动由朝鲜Lazarus发起，借助Linkedin和WWR、Moonlight、Upwork等其他求职平台，以虚构的求职面试开始，并通过将对话转移到Telegram，诱骗求职者下载并运行包含BeaverTail恶意软件的Node.js项目，进而提供名为InvisibleFerret的Python后门。其中，BeaverTail于2023年11月首次被发现，是一款Javascript恶意软件，最近于2024年7月还被发现了macOS版本。本次活动，BeaverTail以Windows Installer文件形式出现，其核心功能包括：窃取浏览器凭证以及窃取加密货币钱包浏览器扩展中的数据。然后，下载并执行Python可执行文件和下一阶段的有效负载InvisibleFerret。

披露时间：2024年9月9日

情报来源：https://paper.seebug.org/3226/

相关信息：

近期，知道创宇404高级威胁情报团队发现了一批针对华语用户的定向攻击活动，最终运行的恶意载荷是通过修改的gh0st RAT。通过水坑攻击、钓鱼以及社群信息等多种手段进行传播。其中，水坑攻击网站进行了SEO优化，使其在某搜索引擎中排名第三。

其水坑网站和木马主程序名称均使用汉字，同时在PDB路径中也包含汉字。并且捆绑木马的安装包主要包括华语用户常用的软件，如toDesk、SunloginClient、sogoupinyin、Chrome浏览器、LetsVPN等。同时，该木马还具备窃取QQ信息的功能。这些迹象表明，APT-K-UN3背后的操作者可能精通汉语，并且其攻击行为主要针对华语用户。攻击目标部分明确为博彩和诈骗相关的从业人员。攻击者通过使用带有吸引力的标题诱导受害者点击，来达到木马植入的目的，通过控制黑灰产从业人员的主机来获取利益，属于典型的“黑吃黑”。

此外，创新性地滥用国内某智能客服SaaS系统作为载荷下载服务器，以此来躲避流量设备的检测及各大安全厂商的威胁情报。

披露时间：2024年9月4日

情报来源：https://veriti.ai/blog/exposed-onlyfans-hack-gone-wrong-how-cyber-criminals-turn-into-victims-overnight/

相关信息：

Veriti Research 发现黑客使用伪造的 OnlyFans 工具瞄准其他黑客，该工具声称可以帮助窃取账户，但却用 Lumma 窃取信息恶意软件感染威胁行为者。

Lumma 是一种窃取信息的恶意软件即服务 (MaaS)，自 2022 年以来以每月 250 至 1000 美元的价格出租给网络犯罪分子，并通过各种方式传播，包括恶意广告、YouTube 评论、种子以及最近的GitHub 评论。

当 Lumma Stealer 负载启动时，它将连接到名为“UserBesty”的 GitHub 帐户，而此活动背后的网络犯罪分子使用该帐户托管其他恶意负载。具体来说，GitHub 存储库包含类似于 Disney+ 帐户、Instagram 的检查器以及所谓的 Mirai 僵尸网络构建器的可执行文件。深入研究该恶意软件的通信后，Veriti 的研究人员发现了一组充当命令和控制 (C2) 服务器的“.shop”域，它们向 Lumma 发送命令并接收窃取的数据。

披露时间：2024年9月5日

情报来源：https://www.kaspersky.ru/blog/librarian-ghouls-cad-formats/38199/

相关信息：

7月初，卡巴斯基研究人员发现 Librarian Ghouls 针对性地发送带有恶意附件的电子邮件，以从各公司的计算机上收集机密信息。恶意附件带有 .SCR 文件的恶意 RAR 存档，其名称模仿 Office 文档。如果受害者运行该文件，恶意软件会将额外的有效负载下载到计算机。

此前，攻击者只对 Office 文档（扩展名为 *.doc、*.docx 的文件）和来自 Telegram Messenger 的数据感兴趣。但现在，攻击者还针对几种高度专业化的文件类型进行收集，例如.SLDPRT、.cdw 、.m3d 、.dwg 等，其恶意电子邮件的收件人名单包括参与各个行业的设计和工程活动的公司。

披露时间：2024年9月6日

情报来源：https://arcticwolf.com/resources/blog/arctic-wolf-observes-akira-ransomware-campaign-targeting-sonicwall-sslvpn-accounts/

相关信息：

2024 年 8 月 22 日，SonicOS 中披露了一个远程代码执行漏洞 ( CVE-2024-40766 )，影响了部分 SonicWall 防火墙设备。披露时，尚未发现主动利用漏洞，也没有公开的概念验证漏洞。然而，截至 2024 年 9 月 6 日，安全公告已更新了更多详细信息，表明该漏洞可能正在被主动利用。此外，该公告扩大了漏洞的范围，包括管理访问和本地 SSLVPN 帐户。

在 Arctic Wolf 观察到的近期威胁活动中，Akira 勒索软件关联公司发起了勒索软件攻击，其初始访问媒介涉及入侵 SonicWall 设备上的 SSLVPN 用户帐户。在每种情况下，被入侵的帐户都位于设备本地，而不是与 Microsoft Active Directory 等集中式身份验证解决方案集成。此外，所有被入侵帐户的 MFA 均被禁用，受影响设备上的 SonicOS 固件属于已知易受 CVE-2024-40766 攻击的版本。烈建议运行受影响的 SonicWall 产品的组织尽快升级到最新支持的 SonicOS 固件版本。此外，根据 SonicWall 的建议，应为所有本地管理的 SSLVPN 帐户启用 MFA。

披露时间：2024年9月6日

情报来源：https://www.group-ib.com/blog/pluggable-authentication-module/
相关信息：

研究人员发现了一种新的攻击技术，该攻击技术利用Linux的可插拔认证模块（PAM）在系统上创建后门。PAM是一个由共享库构建的适应性框架，用于管理多个应用程序的用户认证和授权。研究人员发现，攻击者操纵与SSH认证相关的PAM配置以调用pam_exec模块。通过pam_exec执行的恶意脚本可以将用户名、环境变量和认证详细信息等敏感数据传输到攻击者控制的远程服务器。此外，通过篡改PAM模块，攻击者可以创建后门或窃取用户凭证，使得攻击者能够在受感染系统上建立持久控制。

披露时间：2024年9月9日

情报来源：https://blog.sekoia.io/a-glimpse-into-the-quad7-operators-next-moves-and-associated-botnets/

相关信息：

Sekoia 发布了一份新报告，警告 Quad7 的演变，其中包括设置新的临时服务器、启动新的僵尸网络集群、使用新的后门和反向 shell，以及放弃 SOCKS 代理以实现更隐秘的操作。Quad7 僵尸网络由几个被识别为 *login 变体的子集群组成（alogin、xlogin、axlogin、rlogin和zylogin），每个子集群都针对特定设备，并在连接到 Telnet 端口时显示不同的欢迎横幅。

据悉，Quad7 攻击者现在利用 KCP 通信协议通过新工具“FsyNet”中继攻击，该工具通过 UDP 进行通信，使检测和跟踪变得更加困难。此外，攻击者现在利用名为“UPDTAE”的新后门，建立 HTTP 反向 shell 来对受感染的设备进行远程控制。这使得操作员无需暴露登录界面和留下可通过互联网扫描（如 Censys）轻松发现的开放端口即可控制设备。还发现使用类似暗网的协议 CJD route2 的新“netd”二进制文件，推测攻击者可能正在开发一种更加隐秘的通信机制。

披露时间：2024年9月5日

情报来源：https://securityonline.info/cybervolk-ransomware-a-new-and-evolving-threat-to-global-cybersecurity/

相关信息：

CyberVolk勒索软件于2024年7月首次被发现，并很快以勒索软件即服务 (RaaS) 的形式出现在地下论坛上。这意味着任何攻击者都可以租用该工具来发动自己的攻击。CyberVolk勒索软件最初使用AES加密算法对受害者的文件进行加密。后来，攻击者发布了该勒索软件的新变种，该变种结合了更强的加密算法，包括ChaCha20-Poly1305、AES加密算法，甚至是抗量子技术。

研究人员表示，CyberVolk 勒索软件有多项独特功能，例如，勒索软件在执行时会阻止对任务管理器等关键系统工具的访问，从而阻止用户终止加密过程；CyberVolk采用先进的策略来逃避检测，包括调试器检测和运行时环境检查；它还能够像蠕虫一样在连接的设备和网络共享中传播。

该勒索软件会在几分钟内完成对所有文件的加密，然后向受害者提出 1,000 美元的赎金要求。受害者还面临着一个严格的期限：如果在五小时内未能支付赎金，其数据将被永久销毁。据悉，该攻击组织已通过勒索软件攻击赚取了超过20000美元。

披露时间：2024年8月30日

情报来源：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/new-android-spyagent-campaign-steals-crypto-credentials-via-image-recognition/

相关信息：

最近，研究人员发现了一种新型移动恶意软件，该恶意软件通过扫描设备上的图像来寻找可能包含助记词的内容。助记词是一种由12个单词组成的短语，帮助用户恢复加密货币钱包，相比于典型的复杂密钥，助记词更容易被记住。

该 Android 恶意软件巧妙地伪装成各种值得信赖的应用程序，包括银行和政府服务、电视流媒体和实用程序。然而，一旦安装，这些假冒应用程序就会秘密收集短信、联系人和所有存储的图像并将其发送到远程服务器。它们经常用无休止的加载屏幕、意外的重定向或短暂的空白屏幕来分散用户的注意力，以隐藏它们的真实活动。

研究人员已发现超过 280 个虚假应用程序参与了此类攻击，这些应用程序自 2024 年 1 月以来一直在积极针对韩国用户。

披露时间：2024年9月10日

情报来源：https://www.reliaquest.com/blog/inc-ransom-attack-analysis-extortion-methodologies/

相关信息：

2024 年 8 月，勒索软件组织“Inc Ransom”针对一家医疗保健行业公司发起勒索活动。Inc Ransom 自 2023 年以来一直实施双重勒索勒索软件攻击，在这次攻击中，攻击者没有进行加密，初始访问权限可能是通过利用客户防火墙中的漏洞获得的。

获得访问权限后，Inc Ransom 枚举了受感染主机和网络共享的内容。该组织使用 dir 命令列出 C: 目录中的所有文件名，然后将搜索指向 C:Program Files。随后，他们专门针对该路径内的 Microsoft SQL 软件，使用 net.exe 列出了主机的网络共享，并找到了网络映射的 SQL 服务器，从中收集了数据。

调查显示，Inc Ransom 使用 Impacket 和 Rclone 等常用工具实现各种功能，包括凭证访问、通过传递哈希攻击进行横向移动以及恶意命令和控制 (C2) 通信。

披露时间：2024年9月11日

情报来源：https://mp.weixin.qq.com/s/7PrUNFKRIlmivN-fu7Dekg

相关信息：

本月，微软共发布了79个漏洞的补丁程序，修复了Windows Win32k、Windows Installer、Microsoft SharePoint Server 和 Microsoft Publisher等产品中的漏洞。经研判，27个重要漏洞值得关注，包括7个紧急漏洞、19个重要漏洞、1个中等。23个漏洞被微软标记为 “Exploitation Detected”或“Exploitation More Likely”，这代表这些漏洞已遭利用或更容易被利用。详细信息见情报来源链接。