每周高级威胁情报解读(2023.08.17~08.24)

披露时间：2023年8月17日

情报来源：https://it.rising.com.cn/anquan/20037.html

相关信息：

近日，研究人员捕获一起针对哥伦比亚地区的APT攻击事件，通过与以往感染链的对比分析发现，此次事件的攻击者为BlindEagle组织。该组织将伪装成参加法外调解听证会通知的钓鱼邮件发送给受害者，以此诱导受害者点击邮件附件，从而下载远控后门程序，达到窃取隐私信息的目的。

披露时间：2023年8月22日

情报来源：https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk

相关信息：

研究人员警告加密货币公司，近期区块链活动涉及数亿美元的加密货币被盗事件。在过去 24 小时内，研究人员追踪到朝鲜民主主义人民共和国 (DPRK) TraderTraitor 附属组织（也称为 Lazarus Group 和 APT38）窃取的加密货币，认为朝鲜可能试图兑现价值超过 4000 万美元的比特币。调查发现，与 TraderTraitor 相关的参与者从几起加密货币抢劫案中转移了约 1,580 枚比特币。

披露时间：2023年8月22日

情报来源：https://asec.ahnlab.com/ko/56256/

相关信息：

据了解，Andariel组织主要针对韩国企业和机构，与Lazarus威胁组织有合作关系，或者是Lazarus组织的下属组织。自2008年以来，首次确认针对韩国的攻击，主要目标是国防、政治组织、造船、能源、电信等与安全相关的领域。当然，除此之外，位于韩国的大学、交通、ICT公司等各种公司和机构也受到了攻击。

研究人员持续监控Andariel的攻击，并在博客上公布最近证实的推定为该组织攻击的案例。在此次攻击中，由于没有使用之前攻击中识别出的恶意软件或 C&C 服务器，因此没有直接的关联性。研究人员首先分析了 Andariel在 2023 年上半年的攻击案例，在此基础上整理关系，必要时还包括在更早攻击案例中确认的相关内容。

确认的攻击特点之一是大量用Go语言开发的恶意代码。过去针对Innorix Agent的攻击使用的是Go语言开发的Reverse Shell，后来针对韩国企业的攻击则使用了Black RAT。这种趋势导致了在近期的攻击案例中，Go语言开发的其他恶意代码，如Goat RAT和DurianBeacon等也被用于攻击。

披露时间：2023年8月18日

情报来源：https://securityaffairs.com/149660/hacking/opfukushima-anonymous.html

相关信息：

作为#OpFukushima 行动的一部分，黑客组织 Anonymous 对日本与核电相关的组织发起了网络攻击。该活动是为了抗议政府将福岛核电站处理后的放射性水排入大海的计划而发起的。Anonymous 已将目标锁定为日本原子能机构、日本原子能公司和日本原子能协会。

#OpFukushima 中最活跃的帐户是@AnonSecIta、@ghostman_s3c和@TEAM_HEROX_。目前，Anonymous 仅针对目标组织的站点发起分布式拒绝服务 (DDoS) 攻击。

披露时间：2023年8月20日

情报来源：https://securityaffairs.com/149698/apt/kimsuky-war-simulation-centre.html

相关信息：

此次军事演习于2023年8月21日星期一开始，为期11天。军事演习旨在提高两军应对朝鲜不断变化的核威胁和导弹威胁的能力。据信此次攻击活动的黑客与一个被研究人员称为 Kimsuky 的朝鲜组织有关，他们通过电子邮件向在韩美联合演习战争模拟中心工作的韩国承包商发动攻击。韩国警方和美国军方联合调查显示，攻击者使用的 IP 地址曾在 2014 年针对韩国核反应堆运营商的网络攻击中使用过，该 IP 地址归属于 Kimsuky。

披露时间：2023年8月23日

情报来源：https://mp.weixin.qq.com/s/sClrP1dMHQyhiiAmMeD-ow

相关信息：

近期研究人员监测到，有黑客团伙伪造了带毒的Chrome浏览器，上传至“软件盒子”、“海量软件管家”等软件进行大量传播。病毒运行后会执行篡改浏览器启动页、新标签页等恶意行为。用户运行上述盗版 Chrome 浏览器安装包之后，被黑客篡改过 chrome.dll 文件会立即请求服务器配置，随后黑客便可执行篡改浏览器启动页，新标签页，以及URL重定向，隐藏URL等恶意行为。

披露时间：2023年8月23日

情报来源：https://www.trendmicro.com/en_us/research/23/h/profile-stealers-spread-via-llm-themed-facebook-ads.html

相关信息：

博客文章中讨论了威胁行为者如何滥用以法学硕士为特色的付费 Facebook 促销活动来传播恶意代码，其目的是安装恶意浏览器插件并窃取受害者的凭据。威胁行为者使用 rebrand.ly 等 URL 缩短器进行 URL 链接重定向，使用 Google 站点进行网络托管，并使用 Google Drive 和 Dropbox 等云存储来托管恶意文件。

披露时间：2023年8月22日

情报来源：https://mp.weixin.qq.com/s/AcYNcThoAdK_saixteifSg

相关信息：

“游蛇”黑产团伙又称“银狐”、“谷堕”，该黑产团伙主要通过社交软件、搜索引擎恶意推广、钓鱼邮件等多种途径传播恶意程序。近期，研究人员监测到“游蛇”黑产团伙发起的新一轮利用微信传播恶意代码的攻击活动。在本轮攻击中攻击者通过微信投递Gh0st远控木马加载器，利用FTP服务器下载文件，使用侧加载、内存解密等技术加载Gh0st远控木马，从而获得受害者主机的远程控制权限，进行窃密、传播恶意代码等操作。

通过分析溯源，研究人员发现了“游蛇”黑产团伙通过微信投放远控木马的运营模式，黑产团伙通过“代理人”招收大量成员帮助他们完成恶意程序的大规模传播，获取对受害者主机的远程控制权后，针对受害者微信中的客户或者其所在企业进行更加精准的钓鱼攻击。

披露时间：2023年8月17日

情报来源：https://sysdig.com/blog/labrat-cryptojacking-proxyjacking-campaign/

相关信息：

一个新的程序LABRAT被研究人员发现，攻击者利用未检测到的基于签名的工具、复杂且隐蔽的跨平台恶意软件、绕过防火墙的C2工具以及基于内核的rootkit来隐藏其存在。为了产生收入，攻击者部署了加密货币挖矿和俄罗斯相关的代理劫持脚本。攻击者通过GitLab历史漏洞CVE-2021-22205获得受害主机的初始访问权限，进行远程命令执行，从C2服务器下载恶意脚本，该脚本允许攻击者权限维持、安全防护绕过、横向移动等。攻击者还通过Cloudflare创建子域名混淆其C2服务器地址，研究人员监测到攻击者每次活动的样本都对应一个Cloudflare子域名。攻击活动中，攻击者会在受害者主机上部署GSocket开源后门工具，随后使用ProxyLite和IPRoyal进行代理劫持。研究人员还观察到攻击者使用多个定制的xmrig二进制文件进行加密货币劫持。

披露时间：2023年8月17日

情报来源：https://www.welivesecurity.com/en/eset-research/mass-spreading-campaign-targeting-zimbra-users/

相关信息：

研究人员发现了一场大规模传播的网络钓鱼活动，旨在收集 Zimbra 帐户用户的凭据，该活动至少自 2023 年 4 月以来一直活跃，并且仍在持续。根据遥测数据显示，最多的目标位于波兰，其次是厄瓜多尔和意大利。目标组织各不相同：攻击者并不关注任何特定的垂直领域，唯一将受害者联系起来的是他们正在使用 Zimbra。迄今为止，我们尚未将此活动归咎于任何已知的威胁行为者。

最初，目标会收到一封电子邮件，其中附有 HTML 文件中的网络钓鱼页面。电子邮件警告目标有关电子邮件服务器更新、帐户停用或类似问题，并指示用户单击附件。攻击者还修改电子邮件的“发件人”字段，使其看起来像是电子邮件服务器管理员。打开附件后，用户会看到根据目标组织定制的虚假 Zimbra 登录页面，HTML 文件在受害者的浏览器中打开，这可能会诱使受害者相信他们被定向到合法的登录页面，即使 URL 指向本地文件路径。

披露时间：2023年8月16日

情报来源：https://asec.ahnlab.com/en/56010/

相关信息：

8月16日，研究人员透露勒索软件Hakuna Matata正被用来攻击韩国的企业。Hakuna Matata是近期开发的勒索软件，于7月6日首次被披露。Hakuna Matata与其它传统勒索软件的不同之处在于，它具有ClipBanker功能。即使在加密之后，它仍然保留在系统中，将比特币钱包地址更改为攻击者的地址。加密系统后，攻击者会删除攻击中使用的事件日志和恶意软件，因此很难获得确切的信息。但是，根据各种情况，推测远程桌面协议（RDP）被作为初始攻击载体。

披露时间：2023年8月23日

情报来源：https://www.sentinelone.com/blog/from-conti-to-akira-decoding-the-latest-linux-esxi-ransomware-families/

相关信息：

MONTI Locker的历史可以追溯到2022 年中期，针对 VMware ESXi 服务器发起多次攻击。最新版本的 MONTI ESXI 勒索软件支持各种命令行参数，其中许多是从Conti继承的，MONTI Locker 借用了 Conti 的代码。研究人员最近记录了一个样本，该样本似乎摆脱了旧时基于 Conti 的加密器以及一些命令行参数。这些较新的示例已删除size, log和vmlist参数。

Akira 勒索软件家族的 Linux 变体自 2023 年 6 月以来就已被观察到，但更广泛的操作可追溯到 4 月份。Akira 勒索软件的初始传播是通过利用易受攻击的公开可用的服务和应用程序来实现的。Trigona 是一个勒索软件家族，于 2022 年 6 月首次发现。Trigona 是一个多重勒索组织，拥有受害者的公共博客及其被盗数据。他们的恶意软件有效负载已在 Windows 和 Linux 上观察到。Abyss Locker 勒索软件操作于 2023 年 3 月出现，积极针对 VMware ESXi 环境。Abyss Locker 有效负载的初始交付通过各种方式进行，包括网络钓鱼电子邮件或利用易受攻击的公开可用服务和应用程序。

披露时间：2023年8月23日

情报来源：https://www.malwarebytes.com/blog/threat-intelligence/2023/08/darkgate-reloaded-via-malvertising-campaigns

相关信息：

2023 年 7 月，研究人员观察到一场恶意广告活动，该活动将潜在受害者引诱至 Windows IT 管理工具的欺诈网站。与之前的类似攻击不同，最终的有效负载的打包方式不同，并且无法立即识别。

该诱饵文件作为 MSI 安装程序提供，其中包含 AutoIT 脚本，其中有效负载经过混淆以避免检测。经过分析和比较，研究人员确定该样本是 DarkGate 的更新版本，DarkGate 是 2018 年首次发现的多用途恶意软件工具包。

由于该恶意软件的混淆和加密功能最近已被其他研究人员记录下来，因此文章将重点关注其两种网络传播方法，即使用恶意广告和搜索引擎中毒。

披露时间：2023年8月22日

情报来源：https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers/

相关信息：

在这篇博文中，研究人员介绍了 Spacecolon，这是一个小型工具集，用于向世界各地的受害者部署 Scarab 勒索软件的变体。它可能通过其操作员破坏易受攻击的 Web 服务器或通过暴力破解 RDP 凭据进入受害者组织。

一些 Spacecolon 版本包含大量土耳其字符串，因此研究人员怀疑是一个讲土耳其语的开发商。Spacecolon 的起源至少追溯到 2020 年 5 月，并在撰写本文时继续看到新的活动。目前无法将其使用归因于任何已知的威胁行为者组织。

Spacecolon 由三个 Delphi 组件组成，在本博文中将称为 ScHackTool、ScInstaller 和 ScService。ScHackTool 是主要的协调器组件，它允许 CosmicBeetle 部署其他两个组件。ScInstaller 是一个小组件，只有一个目的：安装 ScService。ScService 充当后门，允许 CosmicBeetle 执行自定义命令、下载和执行有效负载，以及从受感染的计算机检索系统信息。

披露时间：2023年8月22日

情报来源：https://www.zscaler.com/blogs/security-research/agniane-stealer-dark-webs-crypto-threat

相关信息：

研究人员最近发现了一个新的信息窃取者家族：Agniane Stealer。该恶意软件从浏览器、令牌和文件传输工具中窃取凭据、系统信息和会话详细信息。Agniane Stealer 还重点瞄准加密货币扩展和钱包。一旦获得敏感数据，Agniane Stealer 就会将窃取的数据传输到命令和控制服务器，威胁行为者可以在其中根据窃取的信息采取行动。

研究人员认为 Agniane Stealer 属于恶意软件即服务 (MaaS) 平台 Cinoshi 项目，该项目于 2023 年初被发现，其大部分代码基础架构都是以该平台为模型的。它与 Cinoshi Project 的密切关系意味着 Agniane Stealer 已在多个暗网论坛上出售。负责 Agniane Stealer 的威胁行为者利用加壳程序来维护并定期更新恶意软件的功能和规避功能。

披露时间：2023年8月22日

情报来源：https://mp.weixin.qq.com/s/DRxlAhJpvdRrNbeRl20JOQ

相关信息：

RedGoBot 是一个由 Go 语言编写的 DDoS Botnet 家族，最早由奇安信威胁情报中心于 2022 年 12 月初曝光。

2023 年 7 月底，我们的未知威胁监控系统监控到IP地址 185.224.128.141 疯狂暴破常见 Telnet 服务端口并传播一款 Go 语言编写的 DDoS 僵尸网络木马。经过我们分析，该家族是曾被我们曝光过的 RedGoBot 的新变种。

该家族变种样本部分功能借鉴 Mirai 的设计，比如编写专门的 ensureSingleInstance() 函数，通过监听本地端口来保证单一实例运行，还会以类似的 Killer 机制杀掉特定的进程。比起旧版本，新版样本另一个明显的变化是把所有重要字符串均用 Base64 编码，运行种实时解码使用。在传播最新的变种样本之前，RedGoBot 还短暂传播了一个中间过渡版本，样本核心功能与最新版本一致，只是内部字符串都没有用 Base64 编码，而且其中还有 Windows 版本的样本。

披露时间：2023年8月17日

情报来源：https://blog.lumen.com/hiatusrat-takes-little-time-off-in-a-return-to-action/

相关信息：

研究人员近日披露，2023年3月，他们首次发现了一个名为"HiatusRAT"的复杂活动，该活动感染了全球100多个边缘网络设备，且攻击者主要利用边缘路由器来收集流量并建立隐蔽的C2基础设施。同年6月，研究人员再次观察到此活动背后的攻击者开始针对台湾组织和美国的军事采购系统进行侦察攻击。

据了解，最新一轮的活动始于2023年6月中旬至2023年8月，攻击者主要通过在不同的虚拟专用服务器(VPS)上托管新编译的恶意软件以实施感染链。研究人员表示，他们共观察到了多个新编译版本的HiatusRAT恶意软件，并且在最新的活动中，还发现了针对新架构(如Arm、Intel 80386和x86-64等)以及先前针对的目标架构(如MIPS、MIPS64和i386等)的预构建Hiatus二进制文件。进一步调查显示，活动涉及的一台虚拟服务器专门用于攻击台湾各地的实体，包括半导体和化学品制造商以及市政府组织。另一个VPS节点则瞄准了负责合同提案和提交的美国军事服务器，这表明攻击者似乎重点关注参与国防工业基地(DIB)的组织以收集有关军事需求的情报。

披露时间：2023年8月23日

情报来源：https://cyble.com/blog/unveiling-the-stealthy-exploitation-of-microsoft-cmstp-using-malicious-lnk-files/

相关信息：

研究人员发文表示攻击者首先传播包含恶意LNK文件的ZIP文档或者ISO文档，当用户执行LNK文件后，文件将执行其携带的初始恶意命令。命令将启动mshta.exe执行使用了多种混淆技术的远程HTA文件。HTA文件携带恶意vbs脚本，将执行Power Shell脚本。其中，研究人员观察的一种混淆技术为采用特定策略对整数数组进行减法运算。另一种混淆技术则涉及数值计算并获取ASCII码。Power Shell脚本的内容被分为不同的部分，采用不同的编码技术，将从指定的URL下载文件并将其保存到特定目录。文件包含一个无恶意的PDF文件和窃密程序RedLine。Power Shell脚本还会利用cmstp.exe进行代理执行和UAC绕过。脚本首先使用Set-INFFile创建携带恶意命令的INF文件，文件被投放至指定目录，随后，脚本通过启动cmstp进程执行INF文件。

披露时间：2023年8月17日

情报来源：https://blogs.blackberry.com/en/2023/08/cuba-ransomware-deploys-new-tools-targets-critical-infrastructure-sector-in-the-usa-and-it-integrator-in-latin-america

相关信息：

近期，研究人员发现Cuba勒索软件的新活动，攻击者在活动中使用了新的工具同时还利用Veeam历史漏洞。此次活动中，攻击者通过未知手段获取到受害主机的登录密码，通过RDP协议远程登录服务器，研究人员并未发现暴力破解或者利用漏洞等技术。第一阶段，攻击者部署了轻量下载器BUGHATCH，BUGHATCH将从C2服务器下载后续载荷。随后攻击者利用Metasploit在受害主机中设置立足点。攻击者还会使用Wedgecut工具探查内网存活主机。从尝试手动卸载终端，到修改组策略以及使用BYOVD技术，攻击者采用了多种方法绕过受害主机上的安全检测与防御。研究人员还观测到BURNTCIGAR的使用，BURNTCIGAR是一个在内核级别终止给定进程的实用程序。此次活动中，攻击者利用的漏洞包括NetLogon权限提升漏洞(CVE-2020-1472)、Veeam身份认证绕过漏洞(CVE-2023-27532)。此次活动受害者为一家美国关键基础设施公司与一个拉丁美洲IT集成商。

披露时间：2023年8月23日

情报来源：https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/

相关信息：

2023 年 7 月 10 日，在研究DarkMe恶意软件的传播过程中研究人员在 WinRAR 处理 ZIP 文件格式时遇到了一个以前未知的漏洞。通过利用该程序中的漏洞，威胁参与者能够制作 ZIP 档案，作为各种恶意软件系列的载体。武器化的 ZIP 档案在交易论坛上分发。一旦提取并执行，恶意软件就允许威胁行为者从经纪人账户中提取资金。该漏洞自 2023 年 4 月起就已被利用。

在发现打开ZIP 存档中的文件时存在处理错误（该错误被威胁行为者利用为未指定的恶意功能）并评估已识别的安全漏洞后， 研究人员尝试于 2023 年 7 月 12 日联系 MITRE Corporation，请求为已识别的漏洞分配 CVE 编号。2023 年 8 月 15 日，MITRE Corporation 将此零日漏洞标记为 CVE-2023-38831 。