每周高级威胁情报解读(2024.09.27~10.10)

披露时间：2024年9月26日

情报来源：https://cyble.com/blog/nexe-backdoor-unleashed-patchwork-apt-groups-sophisticated-evasion-of-defenses/

相关信息：

近期，Cyble 发现 Patchwork APT 组织相关的正在进行的活动，该活动很可能针对中国实体，并且攻击者使用了一种新的后门，采用 API 修补来绕过安全警报。

新发现的攻击样本名为“186523-pdf.lnk”，当恶意 LNK 文件执行时，会下载两个组件：诱饵 PDF 和包含加密 shellcode 的恶意 DLL。此外，它还会从受害者的机器复制一个系统文件，然后利用该文件侧载恶意 DLL。然后，此 DLL 会解密并直接在内存中执行最终的有效负载。恶意负载即为“Nexe”后门，该后门会收集系统信息，例如进程 ID、公共和私有 IP 地址、用户名等，并将这些数据发送到命令和控制 (C&C) 服务器，从而实现进一步的恶意活动。

据悉，“Nexe”后门通过修补 EtwEventWrite、AmsiScanString 和 AmsiScanBuffer API 中的特定字节来绕过 AMSI 和 Microsoft 的事件跟踪系统。

披露时间：2024年9月26日

情报来源：https://unit42.paloaltonetworks.com/kimsuky-new-keylogger-backdoor-variant/

相关信息：

Unit 42 研究人员发现了 Kimsuky 组织的两个新恶意软件样本，键盘记录器 KLogEXE 和 后门变种 FPSpy。

KLogExe 是基于 PowerShell 的键盘记录器 InfoKey 的 C++ 版本，该恶意软件收集受感染机器上当前运行的应用程序、键入的按键和鼠标点击的信息。收集的数据保存在.ini文件中，当达到文件大小限制时，KLogExe 会将日期添加到文件名中，通过 HTTP 将其发送到 C2。

FPSpy 是 AhnLab在 2022 年披露的后门的变种，与 Cyberseason在 2020 年底以KGH_SPY为名记录的恶意软件有重叠。FPSpy 除了记录键盘之外，还可以收集系统信息、下载和执行更多有效负载、运行任意命令以及枚举受感染设备上的驱动器、文件夹和文件。

此外，研究人员分析表明，FPSpy 与 KLogExe 共享其代码库，这表明两者之间可能存在联系。

披露时间：2024年9月26日

情报来源：https://www.welivesecurity.com/en/eset-research/cyberespionage-gamaredon-way-analysis-toolset-used-spy-ukraine-2022-2023/

相关信息：

据ESET Research新报告称，受俄罗斯支持的威胁行为者 Gamaredon 已经提高了其在乌克兰的网络间谍能力，并且仍然是该国“最活跃”的受国家支持的黑客组织。

Gamaredon 对乌克兰的攻击数量惊人。2022 年和 2023 年，研究人员观察到该组织针对乌克兰的 1000 多台独立设备发起攻击。此外，Gamaredon 在其武器库中引入了多种新工具，但其技术水平仍然不够高，该组织几乎懒得隐藏他们的活动。为了获得受害者系统的初始访问权，该组织主要依靠鱼叉式网络钓鱼活动，使用自定义恶意软件感染 Word 文档和 USB 驱动器，通过频繁更新他们的工具和定期更改混淆技术来努力保持对受感染系统的访问。

虽然 Gamaredon 的大部分攻击都针对乌克兰政府机构，但 ESET 的研究人员发现，自 2022 年俄罗斯入侵乌克兰以来，该组织还试图攻击乌克兰在几个北约国家的盟友，包括保加利亚、拉脱维亚、立陶宛和波兰。

ESET 声称，Gamaredon 的主要关注点仍然是乌克兰，并且这种趋势将会持续下去，而不会在目标上发生重大转变。

披露时间：2024年9月30日

情报来源：https://www.securityweek.com/north-korea-hackers-linked-to-breach-of-german-missile-manufacturer/

相关信息：

据《明镜周刊》报道，一个与朝鲜政府有联系的专业黑客团队利用巧妙的网络钓鱼活动，利用虚假的工作机会和先进的社会工程手段，侵入了生产 Iris-T 防空系统的德国公司 Diehl Defence 。此次攻击被归咎于Kimsuky APT组织，它结合使用带有陷阱的 PDF 文件和鱼叉式网络钓鱼诱饵，为 Diehl Defence 员工提供美国国防承包商的工作机会。

Mandiant 的研究人员对此次入侵事件进行了调查，发现攻击者在发动鱼叉式网络钓鱼攻击之前对 Diehl Defense 进行了详细的侦察。据称，Kimsuky 将他们的攻击服务器隐藏在一个包含“Uberlingen”的地址后面，“Uberlingen”指的是 Diehl Defence 位于德国南部Uberlingen的所在地。攻击服务器还托管了看似真实的德语登录页面，类似于电信提供商 Telekom 和电子邮件服务 GMX 的登录页面，这表明攻击者正在批量收集德国用户的登录凭证。

披露时间：2024年10月2日

情报来源：https://symantec-enterprise-blogs.security.com/threat-intelligence/stonefly-north-korea-extortion

相关信息：

2024 年 8 月，赛门铁克发现，朝鲜 Stonefly 组织（又名 Andariel、APT45、Silent Chollima、Onyx Sleet）尽管受到起诉并获得数百万美元的悬赏，但仍在继续对美国组织发起出于经济动机的攻击，目标涉及美国三个不同私营公司。

该活动的特点是部署了 Dtrack，以及另一个名为 Nukebot 的后门，它具有执行命令、下载和上传文件以及截屏的功能。据称，Nukebot 之前并未与 Stonefly 有过关联，然而其源代码被泄露，Stonefly 很可能就是通过这种方式获得该工具的。

入侵中使用的其他程序包括 Mimikatz、Sliver、Chisel、PuTTY、Plink、Snap2HTML 和 FastReverseProxy (FRP)，所有这些程序都是开源的或可公开获得的。

披露时间：2024年10月3日

情报来源：https://blogs.microsoft.com/on-the-issues/2024/10/03/protecting-democratic-institutions-from-cyber-threats/

相关信息：

近日，微软和美国司法部宣布破坏了俄罗斯政府支持的 APT 组织使用的技术基础设施，该组织被发现针对学术界、国防、政府组织、非政府组织和智库的特定目标进行黑客攻击。

此次协调行动查获了 100 多个用于对美国、英国和欧洲目标进行鱼叉式网络钓鱼的域名，并扩大了政府对与FSB 相关的“Star Blizzard（星空暴雪）”黑客行动的曝光。自 2023 年 1 月以来，微软已发现该组织针对的 82 名客户，攻击频率约为每周一次。

在新的文件中，微软承认域名中断不会完全破坏该组织的鱼叉式网络钓鱼活动。虽然预计星空暴雪会一直建立新的基础设施，但本次行动在外国干涉美国民主进程最令人担忧的关键时刻影响了攻击者的运营。

披露时间：2024年10月3日

情报来源：https://www.securonix.com/blog/shroudedsleep-a-deep-dive-into-north-koreas-ongoing-campaign-against-southeast-asia/

相关信息：

据观察，与朝鲜有联系的威胁行为者正在投放一种名为 VeilShell 的未记录的后门和远程访问木马 (RAT)，这是针对柬埔寨以及其他东南亚国家的攻击活动的一部分。该活动被 Securonix 称为SHROUDED#SLEEP ，据信是APT37所为，该组织还被称为 InkySquid、Reaper、RedEyes、Ricochet Chollima、Ruby Sleet 和 ScarCruft。

该活动疑似通过鱼叉式钓鱼邮件投递包含 Windows 快捷方式 (LNK) 文件的 ZIP 存档，LNK 文件一旦启动，就会触发 PowerShell 代码的执行来解码并提取嵌入其中的下一阶段组件。其中包括一个无害的诱饵文档、一个 Microsoft Excel 或 PDF 文档，这些文档会自动打开，分散用户的注意力，同时在后台将配置文件（“d.exe.config”）和恶意 DLL（“DomainManager.dll”）文件写入 Windows 启动文件夹。

攻击链的特点是使用了一种较少见的技术：AppDomainManager注入，以便在系统启动时执行DomainManager.dll。该恶意DLL用于从远程服务器检索 JavaScript 代码，然后连接到不同的服务器以获取 VeilShell 后门。VeilShell是一种基于PowerShell的恶意软件，用于联系命令和控制（C2）服务器，等待进一步的指令，以收集文件信息、将特定文件夹压缩成ZIP存档并上传回C2服务器、从指定URL下载文件、重命名和删除文件以及解压ZIP存档。

研究人员指出，攻击者非常耐心和有条理，攻击的每个阶段都包含很长的休眠时间，以避免传统的启发式检测。一旦部署了VeilShell，它实际上要等到系统下一次重启才会执行。

披露时间：2024年10月9日

情报来源：https://unit42.paloaltonetworks.com/north-korean-threat-actors-lure-tech-job-seekers-as-fake-recruiters/

相关信息：

据观察，Lazarus组织将目标锁定在科技行业的求职者身上，伺机部署已知恶意软件家族（BeaverTail 和 InvisibleFerret）的更新版本。该活动集群被追踪为 CL-STA-0240，是Palo Alto Networks Unit 42团队于 2023 年 11 月首次披露的名为“Contagious Interview（传染性访谈）”攻击活动的一部分。

攻击者冒充潜在雇主，通过求职平台联系软件开发人员，邀请受害者参加在线会议面试，并试图说服受害者下载并安装恶意软件。

感染的第一阶段涉及 BeaverTail 下载程序和信息窃取程序，该程序专为 Windows 和 Apple macOS 平台而设计。该恶意软件充当InvisibleFerret 后门的管道。InvisibleFerret是一个 Python 后门，该后门主要有效载荷可对受感染主机进行指纹识别、远程控制、键盘记录、数据泄露以及下载 AnyDesk，还包含浏览器窃取组件能够收集浏览器凭据和信用卡信息。

值得注意的是，此次活动背后的攻击者早在 2024 年 7 月就引入了 BeaverTail 恶意软件的新 Qt 版本。恶意软件作者使用 Qt 编程语言从同一源代码编译了适用于 Windows 和 macOS 的 BeaverTail 变种。此外研究人员还观察到InvisibleFerret 后门的持续代码更新。

披露时间：2024年10月7日

情报来源：https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/

相关信息：

ESET 报告称，被追踪为 GoldenJackal 的网络间谍组织被发现使用旨在破坏隔离系统的工具瞄准欧洲政府组织，攻击活动发生在 2022 年 5 月至 2024 年 3 月之间。GoldenJackal组织已活跃至少五年，2019 年 8 月以来，该组织就使用自定义工具集攻击白俄罗斯南亚大使馆的隔离系统，主要包括三个组件：GoldenDealer 通过 USB 监控向隔离系统提供可执行文件；GoldenHowl，具有各种功能的模块化后门；以及 GoldenRobo，文件收集器和提取器。

在最近针对欧洲政府组织的一系列攻击中，攻击者使用了一套新工具，并开始转向高度模块化。此外，攻击者还使用Impacket在网络中横向移动。这些工具大部分都是用 Go 编写的，提供多种功能，具体如下：

• GoldenUsbCopy: 一个监视USB驱动器插入并复制有趣文件到加密容器的工具，这些文件稍后将被其他组件外传。

• GoldenUsbGo: 与GoldenUsbCopy功能类似但实现更简单的工具，它也监视USB驱动器并复制文件，但没有持续监控插入的驱动器，而是定期检查预定义的驱动器列表。

• GoldenAce: 一个分布工具，用于通过USB驱动器传播其他恶意可执行文件，并检索通过USB驱动器传播的文件。

• HTTP server: 使用Python的HTTP服务器，用于在内部网络中作为服务器来分发和收集文件。

• GoldenBlacklist: 一个处理组件，用于从本地服务器下载加密的存档，处理电子邮件消息，保留感兴趣的邮件，然后生成新的存档供其他组件外传。

• GoldenPyBlacklist: 是GoldenBlacklist的Python实现，功能类似，但使用Python脚本执行。

• GoldenMailer: 一个外传组件，通过发送带有附件的电子邮件到攻击者控制的账户来外传文件。

• GoldenDrive: 另一个外传组件，它通过将文件上传到Google Drive来外传文件。

披露时间：2024年10月7日

情报来源：https://securelist.com/awaken-likho-apt-new-implant-campaign/114101/

相关信息：

近日，卡巴斯基的一份报告详细介绍了“Awaken Likho”组织一项从 2024 年 6 月开始并至少持续到 8 月的新攻击活动。此次攻击活动主要针对俄罗斯政府机构、政府承包商和工业企业。

Awaken Likho 也被称为 Core Werewolf 和 PseudoGamaredon，于 2023 年 6 月首次被 BI.ZONE 记录，与针对国防和关键基础设施部门的网络攻击有关。据信该组织至少自 2021 年 8 月起就一直活跃。

通常攻击者通过鱼叉式网络钓鱼分发伪装成 Microsoft Word 或 PDF 文档的恶意可执行文件，最终触发 UltraVNC 的安装，但在这次活动中，攻击者使用了 MeshCentral 系统的代理 MeshAgent。根据MeshCentral官方网站的说法，这是一个具有广泛功能的开源远程设备管理解决方案。

卡巴斯基发现的最新攻击链还依赖于使用 7-Zip 创建的 SFX 存档文件，该文件在打开时会触发名为“MicrosoftStores.exe”的文件执行，然后该文件会解压 AutoIt 脚本，最终运行开源MeshAgent远程管理工具。

披露时间：2024年10月9日

情报来源：https://www.securityweek.com/us-agencies-warn-political-campaigns-of-iranian-phishing-attacks/

相关信息：

美国网络安全机构 CISA 和 FBI 发出警告，称伊朗威胁组织瞄准并侵入与国家政治实体有关的个人的电子邮件账户，政府官员、活动家、记者、智库人员和说客成为攻击目标。

试图利用针对电子邮件和聊天应用程序的社会工程技术来访问美国个人和商业账户。攻击者冒充知名人士，发送采访请求、高端活动邀请以及美国竞选和选举的邀请，以欺骗目标受害者访问欺骗性的电子邮件登录页面。

网络钓鱼页面提示受害者输入他们的用户名和密码，这些信息被威胁组织收集并用于访问他们的帐户。

披露时间：2024年10月7日

情报来源：https://www.csoonline.com/article/3549777/malware-attack-on-state-data-center-in-india-puts-some-citizen-services-at-a-standstill.html

相关信息：

近日，印度北阿坎德邦的整个 IT 基础设施陷入瘫痪，原因是州数据中心的系统检测到恶意软件。此次停机影响了多项关键服务，包括政府网站、首席部长热线和土地登记服务。州数据中心托管了83个部门的123个以公民为中心的应用程序，并在最新的超融合基础设施（HCI）上运行688个虚拟机。

IT秘书Nitesh Jha表示，尽管有11个虚拟机中的1,378个受到了恶意软件的影响，但没有数据丢失。一些关键服务，包括电子办公和首席部长热线，已经恢复。尽管如此，到周五晚上，SWAN等关键服务仍未能完全恢复，所有与州数据中心连接的网站仍然处于离线状态。

披露时间：2024年10月4日

情报来源：https://gridinsoft.com/blogs/fakeupdate-campaign-warmcookie-virus-france/

相关信息：

FakeUpdate 是一种在常规互联网浏览过程中弹出的虚假浏览器更新活动，目前该活动针对的是法国用户。该活动的最终目标似乎是部署最近发现的恶意软件样本 WarmCookie 后门。

除了 Google Chrome、Mozilla Firefox 和 Microsoft Edge 等流行浏览器外，该攻击活动还提供 Java、VMware Workstation、Proton VPN 和 WebEx 等应用程序的虚假“更新”。为此，攻击者会入侵或创建显示虚假 Web 浏览器更新请求的网站。

根据研究人员的报告，用户单击“更新”按钮会下载安装文件“Install_x64.exe”，即 WarmCookie 后门。该恶意软件启动后会执行虚拟环境的标准检查。如果未检测到虚拟环境，它会收集系统指纹并将其发送到攻击者的 C2 服务器。Gen Threat Labs 观察到的最新活动显示，WarmCookie 已升级，具有新功能。其中包括从临时文件夹运行 DLL 并传输输出，以及传输和执行 EXE 和 PowerShell 文件的能力。除了基本的数据窃取之外，攻击者还可以传递有效载荷像勒索软件。

披露时间：2024年9月30日

情报来源：https://www.trendmicro.com/en_us/research/24/i/mdr-in-action--preventing-the-moreeggs-backdoor-from-hatching--.html

相关信息：

据观察，一项针对招聘人员的鱼叉式网络钓鱼电子邮件活动使用名为 More_eggs 的 JavaScript 后门，表明该活动持续以虚假求职申请为幌子，专门针对该行业。More_eggs是一种作为恶意软件即服务（MaaS）出售的恶意软件，具有窃取包括网上银行账户、电子邮件账户和IT管理员账户在内的凭证的能力。它被归因于一个名为Golden Chickens（也称为Venom Spider）的威胁行为者，并且已被FIN6、Cobalt和Evilnum等多个其他电子犯罪团伙使用。

此次攻击活动中，攻击者发送了一封鱼叉式钓鱼电子邮件，可能试图建立信任并赢得受害者的信任。研究人员指出，不久之后，一名招聘人员从URL下载了一个所谓的简历John Cboins.zip。虽然无法确定该用户从哪里获得了URL，但从两名用户的行为来看，他们显然都在寻找一名内部销售工程师。

ZIP存档文件包含LNK文件，双击LNK文件将导致执行混淆的命令，进而执行恶意DLL，该DLL负责通过启动器投放More_eggs后门。More_eggs首先检查它是否以管理员或用户权限运行，然后运行一系列命令对被妥协的主机进行侦察。随后，它向命令和控制（C2）服务器发出信号，接收并执行二级恶意软件负载。

披露时间：2024年10月1日

情报来源：https://sansec.io/research/cosmicsting-fallout

相关信息：

Sansec 的研究表明，自6 月 11 日发布 CVE-2024-34102（也称为CosmicSting ）以来，七个不同的团伙一直在利用该漏洞入侵 4275 家在线商店知名受害者包括惠而浦、雷朋、国家地理、赛格威和思科。今年夏天，5% 的Adobe Commerce 和 Magento 商店的结帐页面上还是出现了付款盗刷器。

这些组织名为“Bobry”、“Polyovki”、“Surki”、“Burunduki”、“Ondatry”、“Khomyaki”和“Belki”，每个团伙都使用 CosmicSting 攻击来窃取 Magento 的秘密密钥。然后，该密钥用于生成 API 授权令牌，使攻击者能够访问私人客户数据，并通过“CMS 拦截”将付款窃取程序插入结帐流程。通常，第一个入侵网站的黑客会保护网站，阻止其他人入侵。然而，CosmicSting 漏洞阻止了这一过程，导致多个团体争夺同一家商店的控制权，并一次又一次地相互驱逐。

然而，Sansec 预计未来几个月会有更多的商店遭到黑客攻击，因为在开始自动扫描秘密加密密钥时，发现75% 的 Adobe Commerce 和 Magento 安装基数尚未修补。

披露时间：2024年9月29日

情报来源：https://mp.weixin.qq.com/s/l3-7OeaOJMl10LypsPGzag

相关信息：

2024年9月份，绿盟科技伏影实验室全球威胁狩猎系统监测到一个自称是gorilla botnet的新型僵尸网络家族进入异常活跃状态，该家族在9月4号至9月27号期间下发30余万条攻击指令，攻击密度之高令人震惊。gorillabot本轮活跃期内的攻击目标涵盖100多个国家，中美两国为重灾区，其攻击目标涉及大学、政府网站、运营商、银行、游戏、博彩等多个单位或行业。

gorillabot支持arm,mips,x86_64,x86等多种CPU架构，该家族修改自Mirai源代码，新增了多种DDoS攻击方式，并通过KekSec团伙惯用加密算法来隐藏关键信息，同时通过多种技术手段来维持对IoT，云主机等设备的长期占有，还具备反蜜罐能力，是一种具备较高对抗意识的新兴僵尸网络家族。

披露时间：2024年10月4日

情报来源：https://www.sonatype.com/blog/counterfeit-lodash-attack-leverages-anydesk-to-target-windows-users

相关信息：

近日，研究人员发现多个伪装为流行JavaScript库Lodash的恶意npm包，目标为使用Windows操作系统的开发者。最具代表性的是“lodasher”包，该包利用打字错误欺诈（typosquatting）技术，假冒Lodash库，通过版本号迷惑用户，并内含被篡改的AnyDesk远程桌面工具。这些恶意包还包括“laodasher”和“them4on”，由同一作者发布，已被下载850次。通过伪装为Lodash功能，恶意包将AnyDesk.exe重命名为Chrome.exe，并在受害者系统上执行。该AnyDesk版本使用已泄露的旧版签名证书，并通过不可信连接进行通讯。

披露时间：2024年10月2日

情报来源：https://www.group-ib.com/blog/pig-butchering/

相关信息：

Group-IB研究人员近期发现Google Play和Apple App Store上多个虚假交易应用程序引诱受害者陷入具有全球影响力的“Pig butchering”骗局。研究人员表示，这些应用程序在积累了数千次下载后已从官方Android和iOS商店中删除。Pig butchering是一种骗局的名称，受害者被引导相信他们在虚假交易平台上获得了高额投资回报，欺诈者使用社会工程来诱骗受害者持续存入资金并阻止他们提取显示的“利润”。当受害者试图兑现他们的钱时，骗局就会被揭露，而欺诈者早已经将钱转移到他们的账户中。Group-IB将欺诈应用程序归类为“UniShadowTrade”恶意软件家族，使用UniApp框架构建，并于5月首次被发现。它们的名字是SBI-INT（iOS）、Finans Insights（Android）、Finans Trader6（Android），最近两个活跃的下载计数器，它们被下载了5,000次。这些虚假应用程序安装后，受害者会被重定向到只能通过邀请码访问的虚假交易平台。这些应用程序要求用户上传一些文件，例如身份证和护照，这既是为了增加投资过程的合法性，也是为了进一步增强攻击者窃取敏感信息的能力。

披露时间：2024年10月8日

情报来源：https://blog.morphisec.com/threat-analysis-lua-malware

相关信息：

最近，Morphisec 威胁实验室发现并阻止了多个针对教育领域的复杂 Lua 恶意软件变种。这些攻击利用了 Lua 游戏引擎作弊程序在学生游戏玩家社区中的流行度。

在过去的一年中，Lua 恶意软件的传播方式似乎有所简化，可能是为了减少暴露于检测机制的风险。恶意软件经常使用混淆的 Lua 脚本而不是编译的 Lua 字节码进行传播，以逃避监测。

搜索游戏作弊工具的用户通常会从 GitHub 等平台或类似来源下载文件。Lua 恶意软件通常以安装程序或 ZIP 存档的形式提供。ZIP 存档通常包含四个组件：Lua 编译器、Lua DLL 文件、混淆的 Lua 脚本和批处理文件。批处理文件通过将参数传递给 Lua 编译器来执行 Lua 脚本。执行批处理文件后，加载程序会与 C2 服务器建立通信，发送有关受感染机器的详细信息。作为响应，服务器提供分为两类的任务：Lua 加载程序任务（涉及维持持久性或隐藏进程等操作）和有效载荷任务（侧重于下载新的有效载荷并对其应用配置）。最终部署的是信息窃取程序，尤其是 Redline 信息窃取程序。

披露时间：2024年10月7日

情报来源：https://any.run/cybersecurity-blog/phantomloader-and-ssload-analysis/

相关信息：

近日，ANY.RUN发布了一份关于 PhantomLoader 的深入报告，PhantomLoader 是一种用于分发基于 Rust 的恶意软件 SSLoad 的新加载程序。该病毒通常伪装成 360 Security Total 防病毒软件的合法 DLL 模块。本例中该病毒伪装成“PatchUp.exe”，这仍然是 360 Total Security 的一个合法模块。它通过二进制补丁技术嵌入到合法DLL或可执行文件中，并使用自修改技术来解密并加载一种名为 SSLoad 的新型 Rust 恶意软件。

据悉，攻击者使用嵌入宏的恶意 Word 文档启动 SSLoad 分发，而恶意Word文档通过钓鱼邮件传播。Autoclose 宏从名为“UserForm1”的 XML 文件中读取 JavaScript 编码的 XML 字符串，加载后，JavaScript 代码使用 base64 解码下一阶段 PhantomLoader。然后它将解码后的文件放置在用户的 %TEMP% 目录中，文件名为“app.com”，并启动它。PhantomLoader中包含加密的代码和SSLoad载荷，经过解析后的函数将解密的 SSLoad 直接加载到内存中。

SSLoad收集的指纹数据包括关键系统信息，如操作系统版本、用户名、主机名、架构（arch）、公共 IP 地址和其他系统特定的详细信息。其采用了各种反分析技术，包括反调试和反仿真方法。SSLoad 还使用多层字符串解密来隐藏其命令和控制 (C2) URL和IP 地址，使检测和分析更具挑战性。

披露时间：2024年10月3日

情报来源：https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/

相关信息：

Aqua Security 的研究人员对新发现的一个恶意软件家族发出了警报，该家族针对 Linux 系统建立持久访问权限并劫持资源进行加密货币挖掘。这款名为perfctl的恶意软件似乎利用了超过 20,000 种错误配置和已知漏洞，并且已经活跃了三年多。

据观察，攻击者部署了额外的侦察工具、部署了代理劫持软件，并投放了加密货币矿工。攻击链始于漏洞利用或错误配置，之后从远程 HTTP 服务器部署并执行有效负载。接下来，它将自身复制到临时目录，终止原始进程并删除初始二进制文件，然后从新位置执行。该有效载荷包含针对 CVE-2021-4043 的漏洞利用，这是开源多媒体框架 Gpac 中的一个中等严重程度的空指针取消引用漏洞，它会执行该漏洞以尝试获取 root 权限。

该恶意软件还被发现将自身复制到系统上的多个其他位置，并释放一个 rootkit 和经过修改以用作用户空间 rootkit 的流行 Linux 实用程序以及加密矿工。它打开一个 Unix 套接字来处理本地通信，并利用 Tor 匿名网络进行外部命令和控制 (C&C) 通信。已部署的 rootkit 会挂载各种功能并修改其功能，包括进行更改以启用“身份验证过程中的未经授权的操作，例如绕过密码检查、记录凭据或修改身份验证机制的行为。

此外，该恶意软件还会监视特定文件，如果检测到用户已登录，它会暂停活动以隐藏其存在。它还会确保在 Bash 环境中执行用户特定的配置，以在运行时维持正常的服务器操作。为了保持持久性，perfctl 会修改脚本以确保它在服务器上应运行的合法工作负载之前执行。它还会尝试终止受感染机器上可能识别的其他恶意软件的进程。

披露时间：2024年10月3日

情报来源：https://blog.talosintelligence.com/threat-actor-believed-to-be-spreading-new-medusalocker-variant-since-2022/

相关信息：

Cisco Talos 发现了一个自2022年以来活跃的、以经济利益为动机的威胁行为者，该行为者最近被发现传播了一种名为“BabyLockerKZ”的MedusaLocker勒索软件变种。该行为者主要针对全球的组织，尽管在2023年中期之前，欧盟国家的受害者数量高于平均水平，之后则转向南美国家。攻击者使用的工具包括公开已知的攻击工具和一些可能是该行为者独有的工具，这些工具通常存储在被攻击系统的“Music”、“Pictures”或“Documents”用户文件夹中。这些工具包括用于禁用防病毒和端点检测响应软件的HRSword，用于网络扫描的Advanced Port Scanner，以及用于进程监控和管理的Processhacker等。攻击者还使用了名为“Checker”的工具，该工具集成了多个免费工具，并提供了一个用于管理凭证的图形用户界面。此外，攻击者还使用了“PTH”和“MIMIK”工具，这些工具分别用于执行哈希传递攻击和窃取凭证并自动上传到攻击者控制的服务器。

披露时间：2024年10月1日

情报来源：https://checkmarx.com/blog/crypto-stealing-code-lurking-in-python-package-dependencies/

相关信息：

2024年9月22日，一名新的PyPI用户通过短时间内上传多个软件包发起了广泛攻击，恶意软件包伪装成用于解码和管理一系列流行加密货币钱包数据的合法工具。这些攻击目标是Atomic、Trust Wallet、Metamask、Ronin、TronLink、Exodus等知名钱包的用户。这些软件包表面上提供了提取助记词和解密钱包数据的有用功能，但实际上，它们会从依赖项中获取恶意代码，秘密窃取敏感的加密货币钱包数据，包括私钥和助记词，可能使攻击者能够完全访问受害者的资金。

每个软件包都附有精心制作的README文件，进一步增强了其表面上的合法性。这些README包括详细的安装说明、使用示例，在某些情况下，甚至还有虚拟环境的“最佳实践”。攻击者通过在README文件中包含虚假的软件包统计数据，进一步欺骗。据统计，每个软件包在被删除之前都吸引了数百次下载。

其中已识别的六个 PyPI 包包含一个名为 cipherbcryptors 的依赖项来执行恶意程序，而其他几个包则依赖于一个名为 ccl_leveldbases 的附加包，显然是为了混淆功能。这些软件包的一个显著特点是，只有调用某些函数时才会触发恶意功能，这与典型的模式不同，在安装后，此类行为会自动激活。然后，窃取的数据会被泄露到远程服务器。

披露时间：2024年10月1日

情报来源：https://thehackernews.com/2024/10/ai-powered-rhadamanthys-stealer-targets.html

相关信息：

Rhadamanthys信息窃取恶意软件的开发人员为其增加了新功能，其中包括使用人工智能进行光学字符识别（OCR），以识别图像中的加密货币钱包种子短语。这一功能增强了其作为恶意软件即服务（MaaS）模型下广告的最强大信息窃取器之一的能力。

Rhadamanthys的订阅价格为每月250美元（或90天550美元），允许客户从被入侵的主机中获取包括系统信息、凭证、加密货币钱包、浏览器密码、Cookie以及各种应用程序中存储的数据在内的广泛敏感信息。同时，它还采取措施在沙箱环境中加大分析工作的难度。

0.7.0 版是 Rhadamanthys 的最新版本，于 2024 年 6 月发布，它包括客户端和服务器端框架的完全重写，从而提高了程序的执行稳定性。此外，还添加了 30 种钱包破解算法、人工智能图形和用于短语提取的 PDF 识别。文本提取功能得到增强，可以识别多个已保存的短语。还允许威胁行为者运行和安装 Microsoft 软件安装程序 (MSI) 文件，以此逃避主机上安装的安全解决方案的检测。Rhadamanthys 的一个值得注意的方面是它的插件系统，可以通过键盘记录器、加密货币剪辑器和反向代理功能增强其功能。

披露时间：2024年10月7日

情报来源：https://blog.sekoia.io/mamba-2fa-a-new-contender-in-the-aitm-phishing-ecosystem/

相关信息：

在2024年5月底，Sekoia检测到一个新的攻击活动，该活动利用了一个以前未知的AiTM网络钓鱼工具包，Sekoia将其跟踪为Mamba 2FA。该工具包是作为网络钓鱼即服务（PhaaS）出售的。Mamba 2FA网络钓鱼页面的URL具有特殊结构：https://{domain}/{m,n,o}/?{Base64 string}，仅当存在有效的Base64参数时，才会显示网络钓鱼页面。如果参数不存在或无效，则页面为空。而且，网络钓鱼工具包还会尝试检测自动化Web浏览器和安全沙箱。在这种情况下，访客将被重定向到google网站。Mamba 2FA网络钓鱼平台具有如下功能：1.支持一次性验证码和应用程序通知的两步验证; 2.支持Entra ID、AD FS、第三方SSO提供者以及Microsoft用户; 3.对于企业帐户，它动态反映组织的自定义登录页面品牌（徽标、背景图像）; 4.被盗的凭据和cookie会立即通过Telegram机器人发送给攻击者; 5.该工具包尝试阻止安全扫描服务对页面的访问。Mamba 2FA网络钓鱼页面在Telegram上以订阅模式出售。250天的售格为30美元，客户可以访问Telegram机器人，该机器人提供按需生成网络钓鱼链接和HTML附件。

披露时间：2024年10月9日

情报来源：https://mp.weixin.qq.com/s/JYxM07l-aEQTvuYXxw76sg

相关信息：

本月，微软共发布了117个漏洞的补丁程序，修复了Microsoft Management Console、 Windows MSHTML Platform、Microsoft Configuration Manager等产品中的漏洞。其中10个漏洞被微软标记为 “Exploitation Detected”或“Exploitation More Likely”，经研判，以下13个重要漏洞值得关注（包括3个紧急漏洞、9个重要漏洞、1个中等）：

披露时间：2024年10月5日

情报来源：https://thehackernews.com/2024/10/apple-releases-critical-ios-and-ipados.html

相关信息：

苹果发布了 iOS 和 iPadOS 更新来解决两个安全问题，其中一个问题可能允许用户的密码被其VoiceOver辅助技术大声读出。该漏洞编号为 CVE-2024-44204，被描述为新密码应用程序中的一个逻辑问题，影响了大量 iPhone 和 iPad。安全研究员 Bistrit Daha 因发现并报告该漏洞而受到赞誉。

苹果还修补了新推出的 iPhone 16 机型特有的一个安全漏洞 (CVE-2024-44207)，该漏洞允许在麦克风指示灯亮起之前捕获音频。它的根源在于媒体会话组件。

披露时间：2024年10月7日

情报来源：https://thehackernews.com/2024/10/critical-apache-avro-sdk-flaw-allows.html

相关信息：

Apache Avro Java 软件开发工具包 (SDK) 中披露了一个严重安全漏洞，如果成功利用，则可能允许在易受攻击的实例上执行任意代码。该漏洞编号为CVE-2024-47561，影响 1.11.4 之前的所有软件版本，同时对通过 avroAvro 模式收到的输入进行反序列化。

Apache Avro 类似于 Google 的协议缓冲区 ( protobuf )，是一个开源项目，为大规模数据处理提供了与语言无关的数据序列化框架。Avro 团队指出，如果应用程序允许用户提供自己的 Avro 模式进行解析，则该漏洞会影响任何应用程序。

披露时间：2024年10月1日

情报来源：https://www.jdsupra.com/legalnews/critical-vulnerability-in-nvidia-5645108/

相关信息：

NVIDIA 容器工具包中出现了一个严重漏洞 CVE-2024-0132，使相当一部分云环境面临风险。受影响的云提供商包括亚马逊网络服务 (AWS)、Google Cloud 和 Microsoft Azure。

该漏洞由 Wiz 的研究人员发现，影响 NVIDIA 容器工具包和 GPU 操作员。这些工具对于在容器化环境中启用 GPU 功能至关重要，尤其是那些需要高性能计算的环境。该漏洞允许容器逃逸，导致潜在的未经授权访问底层主机，对数据安全和系统完整性构成严重风险。

NVIDIA 容器工具包是 GPU 加速 Docker 容器的关键，而 GPU 操作员则负责管理 Kubernetes 环境中的 GPU 资源，它们对于现代 AI 和机器学习工作负载而言必不可少。该漏洞影响广泛；超过 33% 利用 NVIDIA GPU 的云环境存在漏洞，涉及从医疗保健、金融到自动驾驶汽车等行业。

该漏洞源于检查时间使用时间 (TOCTOU) 问题，可利用该漏洞获取提升的权限、逃逸容器并操纵 GPU 工作负载。此漏洞可能导致错误的 AI 结果或完全的服务故障。攻击媒介包括容器逃逸、权限提升和拒绝服务攻击。例如，在使用 Kubernetes 的共享云环境中，攻击者可以通过跨集群访问共享的 GPU 资源来破坏多个应用程序。

披露时间：2024年10月8日

情报来源：https://thehackernews.com/2024/10/zero-day-alert-three-critical-ivanti.html

相关信息：

• CVE-2024-9379（CVSS 评分：6.5）- Ivanti CSA 5.0.2 版本之前的管理 Web 控制台中的 SQL 注入允许具有管理员权限的远程经过身份验证的攻击者运行任意 SQL 语句
• CVE-2024-9380（CVSS 评分：7.2）- Ivanti CSA 5.0.2 版本之前的管理 Web 控制台中存在操作系统 (OS) 命令注入漏洞，允许具有管理员权限的远程经过身份验证的攻击者获取远程代码执行权限

• CVE-2024-9381（CVSS 分数：7.2）- 版本 5.0.2 之前的 Ivanti CSA 中的路径遍历允许具有管理员权限的远程经过身份验证的攻击者绕过限制。

成功利用这些漏洞可以允许具有管理员权限的经过身份验证的攻击者绕过限制，运行任意 SQL 语句，或获取远程代码执行。除了更新到最新版本（5.0.2）之外，该公司还建议用户检查设备中是否有修改或新添加的管理用户，以寻找受到入侵的迹象，或者检查设备上安装的端点检测和响应（EDR）工具发出的警报。