每周高级威胁情报解读(2024.09.20~09.26)

披露时间：2024年9月24日

情报来源：https://www.cloudflare.com/en-gb/threat-intelligence/research/report/unraveling-sloppylemmings-operations-across-south-asia/

相关信息：

Cloudforce One 发现 SloppyLemming 使用多家云服务提供商来促进其活动的不同方面，例如凭证收集、恶意软件交付以及命令和控制 (C2)。该攻击者针对巴基斯坦、斯里兰卡、孟加拉国和中国开展了广泛的行动。目标行业包括政府、执法、能源、电信和技术实体。

攻击者首先针对目标定制钓鱼邮件，接下来使用名为 CloudPhish 的定制工具创建恶意 Cloudflare Worker，以处理凭证记录逻辑并将受害者凭证通过 Discord 泄露给威胁攻击者。由于SloppyLemming 缺乏操作安全性 (OPSEC)，Cloudforce One 获得了一份可能的攻击者端脚本以及 CloudPhish 工具的使用教程，其中攻击者端脚本允许从给定账户收集电子邮件。SloppyLemming 活动还专注于收集 Google OAuth 令牌，当用户访问托管了恶意脚本的域时，脚本会将用户重定向到另一个恶意 Worker，其中服务器端代码尝试收集用户的 Gmail OAuth 令牌通过Discord 传递给攻击者， 随后浏览器会展示一个诱饵 PDF。

此外，Cloudforce One 发现攻击者利用 Dropbox 托管恶意软件。当访问恶意域的用户满足条件时，会被重定向到Dropbox URL下载恶意 RAR。该 RAR 文件利用 CVE-2023-38831 试图运行“CamScanner 06-12-2024 15.29.pdf .exe”文件，该文件用于通过DLL 侧加载加载 CRYPTSP.dll。CRYPTSP.dll 反过来充当下载器，从 Dropbox 下载NekroWire.dll。最终的有效负载是一个远程访问工具 (RAT)，它可以连接到多个 Cloudflare Workers。Cloudforce One还观察到SloppyLemming使用不同的感染链，包括发送带有恶意链接的鱼叉式钓鱼邮件，这些链接指向伪装成巴基斯坦旁遮普省信息技术委员会的域名。该感染链中，攻击者使用 Worker 将用户请求中继到攻击者使用的实际 C2 域。

披露时间：2024年9月25日

情报来源：https://mp.weixin.qq.com/s/cj6lfPtrbqPFHxYMfouXWA

相关信息：

知道创宇404发现了疑似Confucius组织针对某国宗教人士的攻击活动。攻击者利用宗教相关的诱饵诱使相关人员点击并加载最终的窃密木马。此次攻击活动的特点包括利用NTFS文件系统ADS(备用数据流)进行载荷隐藏，使用windows系统文件fixmapi.exe侧载恶意载荷，以及继续使用特有C#木马WooperStealer进行文件窃取。

攻击者通过NTFS文件系统的数据流机制隐藏恶意载荷和诱饵文档，使得即使在隐藏文件显示的情况下，ADS也是无法显示的。攻击链包括利用LNK文件指令参数解析，复制文件流，下载并执行恶意DLL文件。

分析显示，攻击者使用的恶意DLL文件mapistub.dll通过侧载的方式加载，并运行其导出函数。最终的C#窃密木马WooperStealer使用无用代码分割功能代码，加大分析难度，并收集指定文件夹下指定后缀文件进行上传。

披露时间：2024年9月20日

情报来源：https://cloud.google.com/blog/topics/threat-intelligence/unc1860-iran-middle-eastern-networks/

相关信息：

Mandiant 发布报告称，与伊朗情报和安全部（MOIS）有关联的黑客 UNC1860 开发了一系列专用工具和被动后门，这些工具和后门将继续协助伊朗的其他黑客行动。根据公开报告和证据表明，UNC1860 充当初始访问代理，与 APT34 等 MOIS 附属组织合作。在2019-2020年，该组织与APT34攻击目标存在重叠，近期还有迹象表明APT34 和 UNC1860 均将行动重点转向伊拉克目标。

研究人员还发现了两个自定义的GUI恶意软件控制器，TEMPLEPLAY 和 VIROGREEN，可以让对目标环境一无所知的第三方参与者通过 RDP 远程访问受感染的网络，并轻松控制受害者网络上先前安装的恶意软件，用于支持 UNC1860 组织初始访问提供商的角色。

UNC1860 还维护着一系列实用程序和“主阶段”被动后门，旨在在受害者网络中站稳脚跟并建立持久的长期访问权限。这些主阶段后门包括一个从合法的伊朗防病毒软件过滤驱动程序改用的 Windows 内核模式驱动程序，反映了该组织对 Windows 内核组件的逆向工程能力和检测规避能力。

披露时间：2024年9月23日

情报来源：https://mp.weixin.qq.com/s/YFT0Bx4Suph5yCv6OQiHzA

相关信息：

近日360报告称，发现并捕获了2024年海莲花针对高价值目标发起的网络攻击。此次攻击中与以往不同的是海莲花对使用近两年半的双重后门加载器进行了“加工”，利用VMProtect软件对加载器进行了加壳保护，在反静/动态分析层面进一步加强了安全对抗程度。

报告分析了未加壳保护的双重加载器的两个模块，一个使用MSVC编写，另一个使用GoLang编写。上级MSVC加载器会先收集主机名和磁盘信息写入创建的目录，随后加载一个包含加密载荷的DLL文件。GoLang编写的模块包含多个开源项目，首先分别利用开源项目gopsutil、screenshot收集主机信息和截取屏幕图像，并写到指定路径，然后解密并执行恶意载荷。恶意载荷共有两段，第一段载荷功能主要为循环解密并调用第二段载荷，第二段载荷则主要是反射加载CobaltStrike Beacon模块。文章最后和VMP保护的双重加载器进行了对比，最后同样是反射加载CobaltStrike Beacon模块，但其C2存在不同。

披露时间：2024年9月19日

情报来源：https://www.silentpush.com/blog/us-political-crypto-scams/

相关信息：

Silent Push Threat 分析师正在追踪一个与俄罗斯有联系的威胁行为者，该行为者正在积极部署涉及针对美国总统大选和美国知名科技品牌的加密骗局的域名。这些骗局涉及赠送比特币和以太坊加密货币。攻击者要求用户将硬币发送到攻击者控制的钱包，并承诺返还双倍数量的硬币。

研究发现了大量以美国著名政界人物、商界领袖和全球品牌为特色的网站，它们在域名上附加了美国政府机构的伪造法律信函，以增加骗局的合法性。

目标个人包括前总统唐纳德·特朗普、副总统卡玛拉·哈里斯、苹果首席执行官蒂姆·库克、埃隆·马斯克、微策略联合创始人迈克尔·塞勒、前国会议员吉恩·格林、前国会议员皮特·奥尔森、佩吉·金 (SEC) 和克里·奥布莱恩 (FTC)。目标品牌和政治机构包括苹果、SpaceX、唐纳德·特朗普 2024 年总统竞选活动、微策略、卡多纳基金会、美国众议院、美国证券交易委员会和美国联邦贸易委员会。

披露时间：2024年9月25日

情报来源：https://mp.weixin.qq.com/s/dWtLGGdEPBhqX11qQ4j1IQ

相关信息：

自2023年12月起，奇安信威胁情报中心监测到一款名为Rast ransomware的勒索软件在国内活跃，主要通过RDP爆破和Nday漏洞利用入侵政企服务器。Rast勒索软件具有独特的逻辑，会在加密后将受害机器名和唯一标识上传至远程MySQL数据库。奇安信通过逆向分析获取了数据库的访问权限，发现在十个月的时间里，已有6800多台终端被控，其中5700余台被成功加密。

Rast勒索软件有三个版本，且仍在持续迭代。Rast gang的攻击手法与历史上投递Buran、GlobeImposter、Phobos、GandCrab等勒索软件的运营商相似。Rast gang在获得服务器权限后会手动投递勒索软件，不追求在内网中进行横向移动。

披露时间：2024年9月17日

情报来源：https://www.recordedfuture.com/research/marko-polo-navigates-uncharted-waters-with-infostealer-empire

相关信息：

Recordedfuture近日报道称，一个名为"Marko Polo"的网络犯罪组织开展了大规模的窃密攻击活动。据悉，该活动已影响数千人，潜在的经济损失达数百万美元。Marko Polo组织通过多种渠道，如在线游戏、加密货币和软件相关的恶意广告、鱼叉式网络钓鱼和品牌假冒等形式，传播了50个恶意软件有效负载，包括HijackLoader、AMOS、Stealc和Rhadamanthys。研究人员表示，Marko Polo的工具包多种多样，显示了该组织实施多平台、多媒介攻击的能力。在针对Windows上，攻击者会利用HijackLoader部署Stealc(一种通用的轻量级信息窃取程序，旨在从浏览器和加密钱包应用程序收集数据)或Rhadamanthys(一种针对广泛的应用程序和数据类型的更专业的窃取程序)。在最近的更新中，Rhadamanthys还添加了一个Clipper插件，能够将加密货币付款转移到攻击者的钱包，并恢复已删除的Google帐户cookie以及躲避Windows Defender检测。当目标使用macOS时，Marko Polo则会部署Atomic("AMOS")，该窃取程序于2023年中期推出，以每月1,000美元的价格进行出租，能够窃取网络浏览器中存储的各种数据。

披露时间：2024年9月20日

情报来源：https://securelist.com/twelve-group-unified-kill-chain/113877/

相关信息：

卡巴斯基近期发布报告称，一个名为"Twelve"的黑客组织正使用一系列公开可用的工具(如Cobalt Strike、Mimikatz、Chisel、BloodHound、PowerView、adPEAS、CrackMapExec、Advanced IP Scanner和PsExec)对俄罗斯目标进行破坏性网络攻击。其中，Twelve于2023年4月俄乌战争爆发后成立，此后一直攻击俄罗斯政府组织，它与一个名为DARKSTAR(又名COMET或Shadow)的勒索组织在基础设施和战术上有重叠，旨在削弱受害者网络并扰乱商业运营。此外，该组织还会进行黑客泄露活动，通过窃取敏感信息，然后在其Telegram频道上分享。调查显示，本次活动，Twelve首先通过利用有效的本地或域帐户获得初始访问权限，然后使用远程桌面协议(RDP)来促进横向移动，并部署大量的Webshell，最终会对受害者的数据进行加密，并使用擦除器破坏其基础设施以防止恢复，而非索要赎金。在一起案例中，攻击者还涉及利用FaceFish后门，通过利用vSphere虚拟化平台中的CVE-2021-21972和CVE-2021-22005漏洞，借助安装在VMware vCenter服务器上的Webshell进行加载。

披露时间：2024年9月24日

情报来源：https://therecord.media/austria-websites-ddos-incidents-pro-russia-hacktivists

相关信息：

亲俄威胁行为者 NoName057(16) 和 OverFlame 对奥地利目标发动了一系列 DDoS 攻击。据推测，这些攻击与俄罗斯与乌克兰的冲突有关，但 NoName057 声称他们“决定在即将举行的选举前再次访问奥地利，检查网络安全情况”。此次攻击活动于 9 月 16 日开始，持续针对超过 40 个目标，包括政府机构、机场、金融服务机构和维也纳交易所。

此次攻击活动中的主要攻击者 NoName057进行 DDoS 攻击的主要工具是众包僵尸网络项目 DDoSia。该项目依靠其他出于政治动机的黑客活动分子，这些黑客活动分子愿意在自己的计算机上下载并安装僵尸网络来发动攻击，并承诺对成功的攻击给予经济奖励。

披露时间：2024年9月23日

情报来源：https://securelist.com/necro-trojan-is-back-on-google-play/113881/

相关信息：

Kaspersky的研究人员发现Necro Trojan的新版本已经感染了包括游戏修改版在内的各种流行应用程序，其中一些在报告撰写时仍在Google Play上可用。这些应用程序的受众总数超过1100万Android设备。Necro Trojan的新版本开始使用混淆技术来逃避检测，并且嵌入在一些应用程序中的加载器使用了隐写术来隐藏有效载荷。

其传播方式除了Google Play上的合法应用程序外，还通过非官方渠道分发的修改版应用程序中，例如，Spotify Plus修改版就被发现包含Necro Trojan。此外，在Google Play上发现的其他被感染的应用程序包括Wuta Camera和Max Browser。

Necro Trojan的工作原理包括多个阶段。首先，它通过C2服务器下载并执行第二阶段的有效载荷。然后，该有效载荷下载并执行第三阶段的插件，这些插件可能具有不同的恶意功能，如创建隧道、显示广告、下载和执行任意DEX文件、安装应用程序、打开WebView窗口中的任意链接以及执行JavaScript代码等。

披露时间：2024年9月23日

情报来源：https://unit42.paloaltonetworks.com/snipbot-romcom-malware-variant/

相关信息：

Palo Alto Networks的Unit 42团队最近发现了RomCom恶意软件家族的一个新变种，命名为SnipBot。这个新变种利用了新的技巧和独特的代码混淆方法，除了具有RomCom 3.0版本的特点外，还包含了PEAPOD（RomCom 4.0）中的技术。SnipBot允许攻击者执行命令并在受感染的系统上下载额外的模块。它主要基于RomCom 3.0，但版本号被定为5.0。

SnipBot的执行流程包括多个阶段，从初始的EXE下载器到主bot文件single.dll。下载器使用两个简单的反沙箱技巧，检查原始文件名和注册表项。下载器通过创建一个窗口并使用自定义的窗口消息来触发代码块，从而实现代码混淆。

SnipBot的主要模块single.dll是一个后门，提供了多种选项来执行命令或下载并运行额外的有效载荷。所有字符串都是加密的，每个字符串都有自己的解密密钥。主要模块还允许攻击者下载并执行多个额外的有效载荷，如SnippingTool.dll、FontCache.dll、InfoWind.dll、paper.exe等。

披露时间：2024年9月24日

情报来源：https://www.securityweek.com/ai-generated-malware-found-in-the-wild/

相关信息：

HP 截获了一起钓鱼邮件攻击活动，其中涉及由 AI 生成的恶意植入程序。钓鱼邮件包含常见的发票主题诱饵和加密的 HTML 附件。不同寻常的是，攻击者在附件中的 JavaScript 中实现了 AES 解密密钥。

解密后的附件打开后看起来像是一个网站，但其中包含 VBScript 和可免费使用的 AsyncRAT 信息窃取程序。VBScript 是信息窃取程序有效负载的投放器。它将各种变量写入注册表；它将 JavaScript 文件投放到用户目录中，然后将其作为计划任务执行。创建 PowerShell 脚本，最终导致执行 AsyncRAT 有效负载。

据悉，VBScript 使用法语编写，并且结构整洁，每个重要命令都带有注释。这些线索让研究人员认为该脚本不是由人类编写的，而是由 gen-AI为人类编写的。研究人员使用自己的 gen-AI 编写了一个脚本，该脚本具有非常相似的结构和注释，这从侧面印证了该结论。

披露时间：2024年9月23日

情报来源：https://www.sentinelone.com/labs/kryptina-raas-from-unsellable-cast-off-to-enterprise-ransomware/

相关信息：

Sentinelone近日对Kryptina勒索软件及服务(RaaS)平台进行了详细分析。据悉，Kryptina已从公共论坛上的基于Linux编写的免费开源工具发展成为积极用于企业攻击的工具。2024年5月，Mallox RaaS的一家附属公司暴露了他们的一台临时服务器。研究人员发现泄露的Linux变种勒索软件是基于Kryptina RaaS的修改版本。攻击者将这个Linux版本称为“Mallox v1.0”。

其中，Mallo勒索软件有时被称为XOLLAM或OZON，是一种长期存在的、以企业为中心的RaaS，该家族于2021年出现。Kryptina则于2023年12月首次以"Corlys"身份出售，当时全套价格为500美元，后来涨至800美元。而2024年2月，Corlys停止了Kryptina的活跃销售，随后将完整源代码发布到了BreachForums。研究人员表示，活跃的Mallox采用Kryptina代表了恶意软件的一种升级技术。更重要的是，它展示了勒索软件商品化的更广泛趋势。

披露时间：2024年9月16日

情报来源：https://securityonline.info/166k-projects-at-risk-autogpts-critical-vulnerability-explained-cve-2024-6091-cvss-9-8/

相关信息：

AutoGPT是一款功能强大的AI工具，旨在通过智能代理自动执行任务。AutoGPT在GitHub上拥有超过166k颗星，因其简化复杂操作的能力而广受欢迎。研究人员在AutoGPT中发现了一个安全漏洞，该漏洞被标识为CVE-2024-6091，是一个操作系统命令注入漏洞，CVSS评分为9.8。攻击者利用这一漏洞可以获取系统信息、提升权限，甚至根据AutoGPT的使用环境执行任意命令。AutoGPT团队已在0.5.1版本中修复了该漏洞，建议用户更新到最新版本以确保系统安全。

披露时间：2024年9月24日

情报来源：https://www.bleepingcomputer.com/news/security/critical-ivanti-vtm-auth-bypass-bug-now-exploited-in-attacks/

相关信息：

CISA 标记了另一个严重的 Ivanti 安全漏洞，该漏洞可以让威胁行为者在易受攻击的虚拟流量管理器 (vTM) 设备上创建恶意管理员用户，并在攻击中被积极利用。

该身份验证绕过漏洞的编号为CVE-2024-7593，是由于身份验证算法的错误实现导致的，该算法允许远程未经身份验证的攻击者绕过暴露在互联网上的 vTM 管理面板上的身份验证。成功利用该漏洞可能导致身份验证被绕过并创建管理员用户。