[0927] 一周重点威胁情报｜天际友盟情报站

• 银狐木马再升级，利用Python实现远控

• 瞄准国内政企的Rast gang勒索软件运营商揭秘

• Necro木马通过Google Play感染1100万台设备

• Confucius组织借助ADS隐藏载荷以攻击宗教相关人士

• SloppyLemming组织使用Cloudflare Workers瞄准亚洲地区

• Marko Polo组织开展大规模窃密活动

• BlackJack和Twelve疑似为同一黑客组织

• Twelve组织对俄罗斯实施破坏性网络攻击

• 海莲花组织双重加载器及同源VMP加载器分析

• Earth Baxia组织利用Geoserver漏洞攻击亚太地区

• Kryptina勒索软件及服务平台分析

• AsyncRAT伪装成破解软件进行传播

• Unicorn间谍脚本窃取俄罗斯组织数据

• 北美运输和物流公司遭到恶意软件攻击

• 攻击者针对Docker和Kubernetes开展加密货币挖矿活动

• 银狐木马再升级，利用Python实现远控

近期，研究人员再次检测到"银狐"变种大范围传播，发现其主要途径来自于搜索引擎的广告页投放，页面仿冒其他公司的推广下载站，另一方面则通过感染后的用户微信群发病毒文件，实现裂变传播。经过深入分析，确定其是银狐"家族的又一个新变种，且本次感染链在复杂和对抗度上进一步提升，加入UAC绕过，线程池注入结束安全软件进程，并利用python驻留系统，BoxedAppSDK加载加密压缩的恶意dll等，最终执行winos远控木马，操控用户电脑。其中，winos是基于Gh0st的远控变种，它已在黑产圈被大量传播并使用。

详情查询：https://redqueen.tj-un.com/home/infoDetail/4b9a33d6adc0420699c5c9eaef9f8365

• 瞄准国内政企的Rast gang勒索软件运营商揭秘

从2023年12月份至今，奇安信观察到中文互联网上有一款由rust语言编写的勒索软件非常活跃，国内大量机器被勒索，仅在政企终端中的受害单位高达20余个，并将其称之为Rast ransomware。据悉，Rast勒索软件有一个非常特殊的逻辑：勒索完成后会将本机的机器名和唯一标识上传到远程的mysql数据库中。通过进一步统计数据库中的受害者，研究人员发现在短短十个月的时间内有6800多台终端被控，其中5700余台被成功加密，影响规模极大，且被勒索的机器名存在大量的中文机器名，对国内造成非常恶劣的影响，讨论后将Rast勒索的运营商命名为Rast gang。

Rast gang是一个快节奏的勒索运营商，其攻击手法与当年投递Buran、GlobeImposter、Phobos、GandCrab等知名勒索软件的运营商非常相似，不追求在目标内网中进行横向移动，大部分情况下的只要有服务器的权限就立马释放Rast勒索软件。其最早在国内的活跃时间与Rast勒索在国内出现的时候相吻合，从2023年12月至今投递了三个版本的Rast勒索软件(且其版本仍在持续迭代中)，没有发现该团伙投递其他勒索家族的趋势。攻击者通过RDP爆破和Nday组合的方式入侵边界服务器。此外，Rast gang控制的爆破节点相对较新，所有节点均为win平台的VPS服务器，其中中国地区被控节点最多。拿到边界服务器权限后，Rast gang将通过RDP登录到目标服务器手动投递各类组件，执行删除卷影和日志、强制卸载安全软件、投递mimik工具包脱取机器凭证、拷贝kportscan和netscan扫描器开启内网扫描，将Neshta感染型病毒作为Dropper在3582-490目录下释放并启动Rast勒索软件等恶意操作。

详情查询：https://redqueen.tj-un.com/home/infoDetail/3da15040125f4c41ae8319e9192f55fa

• Necro木马通过Google Play感染1100万台设备

卡巴斯基近日观察到，新版本的Android恶意软件加载器Necro正通过Google Play安装在1100万台设备上。调查显示，此新版本的Necro木马病毒主要通过合法应用程序、Android游戏模块以及Spotify、WhatsApp和Minecraft等流行软件的修改版本所使用的恶意广告软件开发工具包(SDK)安装。一旦安装，Necro便会在受感染的设备上安装多个有效负载并激活各种恶意插件，包括：通过隐形WebView窗口加载链接的广告软件(Island插件、Cube SDK)，下载并执行任意JavaScript和DEX文件的模块(Happy SDK、Jar SDK)，专门用于促进订阅欺诈的工具(Web插件、Happy SDK、Tap插件)，使用受感染设备作为代理来路由恶意流量的工具(NProxy插件)。据悉，卡巴斯基已在Google Play上的两款应用程序中发现了Necro加载程序，它们均拥有大量用户群，第一个是Wuta Camera，下载量超过1000万次，第二个是Max Browser，下载量为100多万次。不过，Wuta Camera已更新版本6.3.7.138以删除恶意软件，Max Browser也已无法从Play Store下载。

详情查询：https://redqueen.tj-un.com/home/infoDetail/8c445ad38a764f76aa4eb71ed5735b63

• Confucius组织借助ADS隐藏载荷以攻击宗教相关人士

知道创宇近期跟踪发现了疑似Confucius组织针对某国宗教人士的恶意活动，攻击者旨在利用宗教相关的诱饵诱使相关人员点击并加载最终的窃密木马。其中，Confucius又称魔罗桫，主要针对南亚及东亚地区政府、军事等重要单位，近年来不断发现针对国内重点单位及行业发起攻击。调查显示，此次活动的主要特点为：1)利用NTFS文件系统ADS(备用数据流)机制对恶意载荷和诱饵文档进行隐藏；2)使用windows系统文件fixmapi.exe侧加载恶意载荷；3)继续使用特有C#木马WooperStealer进行文件窃取。研究人员表示，整个攻击活动杀伤链与Confucius近两年来的攻击极其相似，用户需提前关注此类型攻击，并加强防范。

详情查询：https://redqueen.tj-un.com/home/infoDetail/0830494bbcad4acea65ae22c067931e4

• SloppyLemming组织使用Cloudflare Workers瞄准亚洲地区

Cloudflare近期发现SloppyLemming组织正利用多家云服务提供商来实现其不同恶意操作，例如凭证收集、恶意软件传播以及命令和控制(C2)。据悉，SloppyLemming也被称为OUTRIDER TIGER，依赖Cobalt Strike、Havoc等工具发起攻击，主要针对亚洲地区，尤其是巴基斯坦，其它的目标国家还包括斯里兰卡、孟加拉国、中国和尼泊尔，目标行业包括政府、国防、能源、电信和技术实体。

调查显示，从2022年底至今，SloppyLemming经常使用Cloudflare Workers，以针对南亚和东亚国家开展间谍活动。它通过利用定制的钓鱼邮件，以及名为CloudPhish的定制工具创建恶意的Cloudflare Worker，从而处理凭证记录逻辑并将受害者凭证通过Discord进行传输。SloppyLemming还专注于收集Google OAuth令牌。当用户访问托管了恶意脚本的域时，脚本会将用户重定向到另一个恶意Worker，其中服务器端代码尝试收集用户的Gmail OAuth令牌并通过Discord传递给攻击者。此外，研究人员还发现攻击者利用Dropbox托管恶意软件。当访问恶意域的用户满足条件时，他们会被重定向到Dropbox URL下载恶意RAR。该RAR文件利用CVE-2023-3883漏洞试图运行"CamScanner 06-12-2024 15.29.pdf .exe"文件，文件通过DLL侧加载加载CRYPTSP.dll，CRYPTSP.dll反过来充当下载器，从Dropbox下载NekroWire.dll，最终的有效负载则是一个远程访问工具(RAT)，它又可以连接到多个Cloudflare Workers。

详情查询：https://redqueen.tj-un.com/home/infoDetail/07a67f741ae842268fa1373caf4a9331