[0913] 一周重点威胁情报｜天际友盟情报站

• 微软补丁日通告：2024年9月版

• 朝鲜RGB相关威胁组织揭秘

• Gamaredon组织持续攻击乌克兰军事人员

• Tropic Trooper组织对中东政府实体实施间谍活动

• DragonRank：一家利用恶意软件操纵SEO排名服务的运营商

• Quad7僵尸网络团伙新动态披露

• DarkHotel组织木马活动追踪

• Earth Preta近期活动TTP分析

• 朝鲜黑客组织Konni加大对俄罗斯和韩国的攻击力度

• TIDRONE组织对台湾无人机制造商发起网络攻击

• APT-C-36利用BlotchyQuasar木马瞄准哥伦比亚保险业

• Fog勒索软件开始攻击金融行业

• Mallox勒索软件家族继续保持活跃

• 新型安卓恶意软件SpyAgent被用于攻击韩国用户

• RansomHub勒索团伙利用TDSSKiller和LaZagne禁用EDR软件

• 微软补丁日通告：2024年9月版

微软近期发布了2024年9月的安全更新。本次安全更新修复了总计79个安全漏洞，其中包括4个被积极利用的零日漏洞。涉及Windows Win32k、Windows Installer、Microsoft SharePoint Server和 Microsoft Publisher等多个产品和组件。这些漏洞包括30个特权提升漏洞、4个安全功能绕过漏洞、23个远程代码执行漏洞、11个信息泄露漏洞、8个拒绝服务漏洞以及3个欺骗漏洞。

详情查询：https://redqueen.tj-un.com/home/infoDetail/595b24f56e6045ca9ecc24e9600d44f8

• 朝鲜RGB相关威胁组织揭秘

Unit42对属于朝鲜人民军侦察总局(RGB)下的六个威胁组织进行了相关报道，包括Alluring Pisces、Gleaming Pisces、Jumpy Pisces、Selective Pisces、Slow Pisces、Sparkling Pisces。据悉，Alluring Pisces(又名Bluenoroff、Sapphire Sleet)，目标是金融机构、加密货币企业和ATM，曾实施重大的网络抢劫。Gleaming Pisces(又名Citrine Sleet)，针对加密货币行业，并因与AppleJeus活动存在关联而闻名。Jumpy Pisces(又名Andariel、Hidden Cobra、Onyx Sleet)，主要进行网络间谍活动，也会进行勒索软件活动。Selective Pisces(又名Diamond Sleet、TEMP.Hermit、ZINC)，目标是媒体、国防和IT组织，重点进行间谍、经济利益获取和网络破坏活动。Slow Pisces(又名Jade Sleet，UNC4899)，目标是区块链和加密货币公司，曾参与针对美国软件平台的供应链攻击，并以分发一系列名为TraderTraitor的恶意应用程序而闻名。Sparkling Pisces(又名APT43、Emerald Sleet、Kimsuky、THALLIUM，主要进行情报收集活动并利用网络犯罪来资助其间谍攻击。近期，已观察到10个恶意软件家族被他们用于针对三大操作系统(Windows、macOS和Linux)，包括RustBucket、KANDYKORN、SmoothOperator 、ObjCShellz、Fullhouse 、POOLRAT、PondRAT 、OdicLoader、Comebacker、CollectionRAT。

详情查询：https://redqueen.tj-un.com/home/infoDetail/680a1574f563437d85f866672f9968de

• Gamaredon组织持续攻击乌克兰军事人员

俄罗斯Gamaredon组织正通过鱼叉式网络钓鱼邮件针对乌克兰军事人员发起攻击。据悉，活动感染链始于一封主题为"ПОВІСТКА(传票)"的鱼叉式网络钓鱼电子邮件，邮件包含恶意的XHTML附件，打开后会执行经混淆处理的JavaScript代码，进一步下载恶意压缩文件。压缩文件则包含一个Windows快捷方式(LNK)文件，其触发后将会通过mshta.exe启动并执行托管在TryCloudflare上的tar远程压缩文件。目前，研究人员尚未成功获取.tar文件，但Gamaredon因下载额外的恶意文件而闻名，这些文件可能旨在从受害者的系统中窃取敏感信息。。

详情查询：https://redqueen.tj-un.com/home/infoDetail/600d3c332e324f43b5cc44c041fe5360

• 针Tropic Trooper组织对中东政府实体实施间谍活动

Tropic Trooper组织自2023年6月开始，针对中东的一个政府实体开展了持续的间谍活动。据悉，研究人员在活动中检测到了China Chopper Web shell的新版本。经进一步调查发现，它代表Umbraco CMS中的一个模块，该模块通常表现出与恶意活动相关的特征，包括命令的混淆和动态执行，命令则由umbraco_bind_aspx模块接收和调度。此外，研究人员在托管Umbraco的同一公共服务器上，还发现了其他可疑植入物和恶意软件集群，根据观测情况，新发现的Web shell还与今年年初利用CVE-2023-26360漏洞的针对中东易受攻击服务器的活动有关。

详情查询：https://redqueen.tj-un.com/home/infoDetail/51272e5c0b174bc28298cb8cf56c6516

• DragonRank：一家利用恶意软件操纵SEO排名服务的运营商

DragonRank主要针对亚洲国家和少数欧洲国家，该黑客组织的主要目标是破坏托管企业网站的Windows Internet Information Services（IIS）服务器，目的是植入PlugX和BadIIS恶意软件进行搜索引擎优化（SEO）排名操纵。攻击者利用目标的Web应用程序服务来部署Web shell，并利用它来收集系统信息并启动PlugX和BadIIS等恶意软件，运行各种凭据收集应用程序。他们的PlugX不仅使用了熟悉的侧加载技术，而且利用Windows结构化异常处理（SEH）机制确保合法文件可以加载PlugX，而不会引起怀疑。研究人员确认超过35个IIS服务器遭到入侵，并且发现了DragonRank的商业网站、商业模式和即时消息帐户。通过这些信息，研究人员认为DragonRank是一个讲中文的黑客组织。

详情查询：https://redqueen.tj-un.com/home/infoDetail/d0a7879384a244f097c8445544a95546