每周高级威胁情报解读(2024.09.13~09.19)

披露时间：2024年9月18日

情报来源：https://unit42.paloaltonetworks.com/gleaming-pisces-applejeus-poolrat-and-pondrat/

相关信息：

Gleaming Pisces是一个与朝鲜有关的财务驱动的攻击团伙，自2018年以来一直活跃。该组织与朝鲜侦察总局（RGB）关系密切，以复杂的攻击而闻名，特别是针对加密货币行业。

Unit 42研究人员发现了一个通过在PyPI上上传多个被感染的Python软件包来分发Linux和macOS后门的活动。这些被感染的软件包被命名为PondRAT，并且研究人员评估，这些新发现的PondRAT是POOLRAT的一个轻量级版本。POOLRAT是一个已知的macOS远程管理工具（RAT），被归因于Gleaming Pisces（又名Citrine Sleet，AppleJeus的分发者）。

据悉，攻击者的目标是通过开发者的端点访问供应链供应商，随后获得供应商客户端点的访问权限。成功安装第三方软件包可能导致恶意软件感染，危及依赖PyPI仓库的组织。目前，PyPI管理员已移除了文章中提到的所有被感染的软件包。

披露时间：2024年9月11日

情报来源：https://research.checkpoint.com/2024/iranian-malware-attacks-iraqi-government/#single-post

相关信息：

Check Point Research 最近发现了一个针对伊拉克政府的网络攻击活动，攻击者使用了带有伊拉克总理办公室和外交部标志的安装程序来部署恶意软件。研究发现，此次攻击与伊朗情报和安全部（MOIS）有关的APT34黑客组织有联系，该组织以前也曾使用类似的手段攻击过约旦和黎巴嫩政府。

在这次攻击中，使用了两种新的恶意软件家族：Veaty 和 Spearal。Veaty 恶意软件采用了复杂的通信策略来规避检测，它通过多种方式与命令和控制（C2）服务器建立连接，包括使用硬编码的凭据、外部凭据和可信网络凭据。Veaty 还利用特定邮箱进行命令和控制，通过精心设计和加密的邮件规则来组织和隐藏其通信。

Spearal 恶意软件则与伊朗情报和安全部相关的其他恶意软件家族有众多相似之处，例如使用DNS隧道进行命令通信。此次攻击还发现了一个名为 CacheHttp.dll 的新恶意软件变种，它似乎针对伊拉克内部的相同实体，旨在监控和响应特定的Web服务器活动。

披露时间：2024年9月18日

情报来源：https://cloud.google.com/blog/topics/threat-intelligence/unc2970-backdoor-trojanized-pdf-reader

相关信息：

UNC2970 是一个网络间谍组织，自 2021 年以来一直受到 Mandiant 的跟踪，怀疑其与朝鲜有联系。近期，Mandiant 发现 UNC2970 组织伪装成能源公司和航空航天业实体的网络钓鱼诱饵，旨在针对这些垂直行业的受害者。该组织以招聘职位为幌子，伪装成知名公司的招聘人员，并且会复制和修改职位描述，以符合其各自的目标。

UNC2970 通过电子邮件和 WhatsApp 与受害者联系，并最终分享了一个恶意ZIP档案，其中包含多个文件，包括已加密的 PDF 诱饵文件、木马化 SumatraPDF 、恶意DLL以及PDF阅读器所需的合法DLL文件。然后受害目标被诱导使用木马化 SumatraPDF 打开 PDF 诱饵文件。SumatraPDF.exe 会加载恶意DLL， 最终通过 BURNBOOK 启动器传播 MISTPEN 后门。

披露时间：2024年9月16日

情报来源：https://cti-grapevine.com/credential-phishing-pages-mimicking-legitimate-webmail-login-portals/

相关信息：

自 2024 年 8 月 1 日起，印度攻击者使用模仿合法网络邮件登录门户的凭证钓鱼页面，将目标锁定在中国和南亚的实体。域名命名约定以及观察到的钓鱼页面表明，该入侵者可能针对政府和国防部门的实体。观察到的策略、技术和程序以及目标范围与印度入侵者公开报道的一致。

据悉，65.21.85.206 IP地址是一个共享主机，解析了与入侵活动可能无关的众多域名。然而攻击者至少从 2024 年 4 月起就使用 65.21.85[.]206 托管网络钓鱼域名。此外，对此活动的分析还显示，其中一个攻击者注册的域名（never-giveup.mail-downloadfiles[.]com）重定向到托管在云服务 Netlify 上的凭证钓鱼页面（large-files-d0wnl0ad-session-expired.netlify[.]app）。这些域名很可能被用来针对中国实体。

披露时间：2024年9月18日

情报来源：https://securelist.com/sambaspy-rat-targets-italian-users/113851/

相关信息：

在2024年5月，卡巴斯基实验室检测到一场专门针对意大利受害者的网络攻击活动。这场活动不寻常之处在于，攻击者在感染链的多个阶段进行了特定检查，确保只有意大利用户被感染。攻击者使用了一种新的远程访问木马（RAT），即SambaSpy。

该活动感染链包括两个不同的版本，其中一个更为复杂。受害者首先会收到一封来自德国的邮件，邮件用意大利语编写，看起来像是来自一个合法的意大利房地产公司。邮件中包含一个链接，诱导收件人点击查看发票。点击链接后，用户被重定向到一个恶意网站，不符合目标的用户最终会被重定向到合法资源FattureInCloud。然而，符合目标的用户通过相同的 URL 被重定向到在 ngrok 后面运行的恶意 Web 服务器。该服务器提供了一个 HTML 页面，其中包含带有巴西葡萄牙语注释的 JS 代码。它将用户重定向到恶意的 OneDrive URL，最终会转到托管在 Microsoft OneDrive 上的 PDF 文档，诱使用户单击带有“VISUALIZZA DOCUMENTO”（意为“查看文档”）文本的超链接。最后，URL 重定向到托管在 MediaFire 上的恶意 JAR 文件，该文件要么是植入程序，要么是下载程序。

SambaSpy 是一种功能齐全的 RAT，用 Java 开发并使用 Zelix KlassMaster 保护器进行混淆。它具有文件系统管理、进程管理、文件上传/下载、控制网络摄像头、记录按键和控制剪贴板、截取屏幕、远程桌面管理、密码窃取、运行时加载附加插件、启动远程 shell 和与受害者交互等功能。攻击者在代码中留下了巴西葡萄牙语的痕迹，表明他们可能与巴西有关。此外，攻击者不仅限于意大利目标，还扩展到了西班牙和巴西。

披露时间：2024年9月18日

情报来源：https://mp.weixin.qq.com/s/xzEv5bYYvUFXV6E6yVQmpQ

相关信息：

2024年9月17日，黎巴嫩发生了一起大规模的非常规袭击事件，真主党成员使用的寻呼机在多个地区几乎同时爆炸，造成至少9人死亡，近3000人受伤。此次袭击主要针对的是真主党成员，尤其是战士和医务人员。综合网上现有的公开信息整理，爆炸事件的攻击手段包括将炸药植入寻呼机内部，并通过远程通信网络发送指令触发爆炸。爆炸源主要是内置的炸药，而非锂电池过热。攻击者可能在寻呼机的供应链中介入，将炸药装置植入设备中，然后在真主党成员获得设备后选择合适的时机远程触发爆炸。此次事件的背景是真主党与以色列的紧张关系，而以色列尚未对此次事件发表评论。该事件表明在冲突纷争的背景下，非常规攻击手段可能不断出现，对网络安全和物理安全都提出了新的挑战。

披露时间：2024年9月14日

情报来源：https://www.modepush.com/blog/highway-blobbery-data-theft-using-azure-storage-explorer

相关信息：

通常，攻击者使用 MEGAsync 和 Rclone 等工具进行大规模远程文件复制和同步，专门用于数据泄露。在最近的行动中，modePUSH 观察到另一种数据泄露工具的使用：Azure 存储资源管理器。调查发现 BianLian 和 Rhysida 等勒索软件团伙越来越多地使用 Microsoft 的 Azure 存储资源管理器和 AzCopy 从受感染的网络窃取数据并将其存储在 Azure Blob 中，随后可以将被盗数据转移到他们自己的存储中。

Azure 是企业经常使用的受信任的企业级服务，不太可能被企业防火墙和安全工具阻止。因此，通过它进行的数据传输尝试更有可能顺利通过且不被发现。此外，Azure 的可扩展性和性能使其能够处理大量非结构化数据，利于攻击者在最短的时间内窃取大量文件。

据悉，攻击者在使用存储资源管理器和 AzCopy 时启用了默认的“信息”级别日志记录，这会在%USERPROFILE%.azcopy处创建一个日志文件。该日志文件对于事件响应人员特别有价值，因为它包含有关文件操作的信息，使调查人员能够快速确定哪些数据被盗（UPLOADSUCCESSFUL）以及可能引入了哪些其他有效载荷（DOWNLOADSUCCESSFUL）。

披露时间：2024年9月13日

情报来源：https://mp.weixin.qq.com/s/1J7kwmyVoL5D62tU7J7csQ

相关信息：

奇安信威胁情报中心关注到新兴勒索软件团伙Hunters International在近期显著活跃，该团伙的活动情况也反映出2024年全球的勒索软件威胁形势依然严峻。奇安信威胁情报中心收集了2024年全球多个安全厂商发布的与勒索软件有关的安全报告，根据这些公开报告梳理2024年全球范围内的勒索软件攻击活动，其中提及的一些常见勒索软件投递方式有漏洞利用、借助其他恶意软件和合法远程管理工具、软件伪装，并总结了当前全球勒索软件攻击活动的几个特点：(1)勒索是渗透的最后一步;(2)继承过去的新兴勒索软件;(3)针对虚拟化环境的勒索攻击显现。

披露时间：2024年9月13日

情报来源：https://cyble.com/blog/stealthy-fileless-attack-targets-attendees-of-us-taiwan-defense-industry-event/

相关信息：

Cyble 研究与情报实验室 ( CRIL ) 发现了一项针对与即将召开的美台国防工业会议有关的个人的活动，该活动涉及一个 ZIP 档案，其中包含一个 LNK 文件，该文件模仿合法的 PDF 注册表格以进行欺骗。

当 LNK 文件被打开时，它会释放base64 编码的可执行文件和实际的诱饵 PDF。可执行文件使用 .NET 的 Confuser（一种混淆工具）进行保护，以逃避检测，并放置在启动文件夹中，以确保在受感染的系统中持久存在。

系统重启后，可执行文件会下载其他内容并直接在内存中执行，从而有效地逃避安全产品的检测。第一阶段加载器触发第二阶段加载器，后者在内存中下载、解码和编译 C# 代码，避免在磁盘上创建可追踪文件。一旦执行编译的代码，恶意软件就会通过融合正常流量的网络请求将敏感数据泄露回攻击者的服务器，从而使检测更加困难。

披露时间：2024年9月12日

情报来源：https://www.group-ib.com/blog/ajina-malware/

相关信息：

Group-IB 于 5 月首次发现了 Ajina Banker 恶意软件，该恶意软件通过伪装成合法金融应用程序、政府服务门户或日常实用工具的恶意文件进行传播。这些文件至少从去年 11 月开始就通过消息应用程序 Telegram 传播，并且该活动仍在进行中。该恶意软件背后的威胁实施者身份不明，他与一个附属网络合作，以普通用户为目标，牟取经济利益。

Ajina Banker 攻击的国家包括哈萨克斯坦、吉尔吉斯斯坦、塔吉克斯坦和乌兹别克斯坦。大多数恶意软件样本都是专门针对乌兹别克斯坦用户设计的，但其演变已导致攻击范围超出了最初的目标区域，影响到了俄罗斯、乌克兰、巴基斯坦甚至冰岛的受害者。攻击者创建了多个 Telegram 账户，并在本地聊天中传播该恶意软件。为了诱骗受害者安装恶意文件，攻击者精心设计了令人信服的消息，例如承诺奖励、特别优惠或抢手服务的独家访问权。一旦安装在受害者的设备上，Ajina Banker 就可以收集发送和接收的短信、有关 SIM 卡的信息以及已安装的金融应用程序列表。

披露时间：2024年9月12日

情报来源：https://www.aquasec.com/blog/hadooken-malware-targets-weblogic-applications/

相关信息：

Aqua Security 的 Nautilus 研究团队警告称，已经发现一种新的 Linux 恶意软件针对 Oracle WebLogic 服务器部署其他恶意软件并提取凭据进行横向移动。这款恶意软件名为Hadooken，用于利用弱密码进行初始访问的攻击。

在攻陷 WebLogic 服务器后，攻击者下载了一个 shell 脚本和一个 Python 脚本，用于获取和运行该恶意软件。这两个脚本具有相同的功能，其使用表明攻击者想要确保 Hadooken 能够在服务器上成功执行：他们都会将恶意软件下载到临时文件夹中，然后将其删除。

Aqua 还发现，shell 脚本会遍历包含 SSH 数据的目录，利用这些信息定位已知服务器，横向移动以在组织及其连接环境中进一步传播 Hadooken，然后清除日志。执行后，Hadooken 恶意软件会释放两个文件：一个是加密矿工，它以三个不同的名称部署到三个路径；另一个是 Tsunami 恶意软件，它被释放到一个具有随机名称的临时文件夹中。

此外，研究人员在Hadooken 恶意软件的一个下载IP地址上发现了一个 PowerShell 文件，该文件将 Mallox 勒索软件分发到 Windows 系统。据此推断攻击者既针对 Windows 端点执行勒索软件攻击，又针对 Linux 服务器执行大型组织经常用来启动后门和加密矿工的软件。

披露时间：2024年9月18日

情报来源：https://mp.weixin.qq.com/s/r9vmQC95gQEKMlTcudOnrg

相关信息：

近期，火绒监测到了伪装成有道翻译安装包的恶意样本。经对样本进一步分析，发现其使用白加黑、反射加载DLL进行免杀，最终下载后门代码实现对受害者主机的控制。同时，它还会绕过UAC实现无弹窗执行，并存在创建服务设置自启动进行持久化驻留等行为。调查显示，样本是一个使用Inno Setup工具打包(官方安装包则使用了名为NSIS的工具)的安装包，它没有数字签名，其中包含有道翻译的文件以及riotg.exe 、vrgl.dll 、RiotReport.inf 、FSharp.Compiler.Service.dll等文件。具体来说， riotg.exe和FSharp.Compiler.Service.dll是白文件，riotg.exe是主程序，主要用于加载被攻击者替换为恶意文件的vrgl.dll 。vrgl.dll是解密器，RiotReport.inf则包含被加密的恶意代码。FSharp.Compiler.Service.dll经过vrgl.dll加载后，会被用于存放解密后的RiotReport.inf文件代码。此外，根据该样本内嵌的Inno Setup脚本，用户安装完成后，程序还会启动riotg.exe并创建指向riotg.exe的开始菜单和桌面快捷方式。

披露时间：2024年9月11日

情报来源：https://mp.weixin.qq.com/s/FJaVXE3TLfxq5hTiyw-mIQ

相关信息：

近期，奇安信天穹团队发现了一个MSC格式的样本，该样本利用了一种被称为GrimResource的攻击技术，当用户点击样本后，就会触发mmc.exe执行msc内嵌的JavaScript代码。这种攻击方式在今年6月份才被ElasticSecurity首次公布。GrimResource的关键点在于利用apds.dll中的一个基于DOM的XSS漏洞，该漏洞允许攻击者在MSC文件的StringTable部分引用易受攻击的APDS资源，实现任意JS代码执行。该样本利用GrimResource执行JS代码等一些列行为，目的是为了执行CobaltStrike Beacon连接C2，同时为了迷惑用户，打开了一个前端文档来掩盖后台的恶意行为。

披露时间：2024年9月17日

情报来源：https://cybersecuritynews.com/gcp-rce-flaw/

相关信息：

安全研究人员透露，谷歌云端平台（GCP）中存在一个远程代码执行（RCE）漏洞，可能允许攻击者在数百万台谷歌服务器上运行恶意代码。该漏洞被名为“CloudImposer”，现已被修复。研究人员称，CloudImposer漏洞可能允许攻击者通过破坏谷歌云端平台的Cloud Composer服务来进行大规模的供应链攻击。该漏洞影响多个谷歌云端服务，包括App Engine、Cloud Functions和Cloud Composer。通过利用该漏洞，攻击者可以将恶意包上传到公共PyPI存储库，然后自动安装在具有提升权限的Cloud Composer实例上。这可能使攻击者能够执行任意代码，窃取服务账户凭证，并可能横向移动以破坏其他谷歌云端服务。

披露时间：2024年9月16日

情报来源：https://www.securityweek.com/apple-patches-major-security-flaws-with-ios-18-refresh/

相关信息：

苹果公司发布iOS 18更新，修复了至少33个安全漏洞。iOS 18修复了核心组件中的漏洞，涉及辅助功能、蓝牙、控制中心和Wi-Fi，其中一些漏洞允许攻击者未经授权访问敏感数据或完全控制设备。苹果公司特别提到辅助功能组件中的几个漏洞，这些漏洞允许具有物理访问权限的攻击者使用Siri访问敏感用户数据、控制附近设备或在未经身份验证的情况下查看最近的照片。苹果公司表示漏洞未被恶意利用。