[1011] 一周重点威胁情报｜天际友盟情报站

• APT28复合攻击战术揭秘

• 微软补丁日通告：2024年10月版

• Lua恶意软件变种针对教育行业和游戏社区进行攻击

• Lying Pigeo组织对摩尔多瓦政府和教育部门发动虚假信息活动

• 虚假应用程序传播加密挖矿和信息窃取软件，影响28000多名用户

• 勒索软件团伙Trinity剖析

• APT组织Turla新后门分析

• GoldenJackal组织再度活跃，袭击欧洲政府

• APT组织AWAKEN LIKHO通过新植入软件瞄准俄罗斯政府

• 恶意广告伪装成下载软件进行投放

• 新网络钓鱼工具包Mamba 2FA出现

• 虚假交易程序引诱受害者加入"Pigbutchering"骗局

• 攻击者利用Zimbra邮件服务器中的RCE漏洞进行攻击

• 恶意软件perfctl针对Linux服务器进行长期加密挖矿活动

• APT28复合攻击战术揭秘

APT28活跃于网络空间已有十多年，其攻击目标遍及全球多个国家和地区，涉及政府、军事、媒体、能源等多个关键领域。该组织以其高超的技术手段和复杂的攻击策略而闻名，善于利用多种攻击载体，如鱼叉式网络钓鱼邮件、水坑攻击、零日漏洞等，并结合多种技术手段，如恶意软件、远程控制工具、加密通信协议等，实现对目标系统的渗透和控制。同时，APT28也非常重视对攻击行为的掩盖和伪装，通过使用代理服务器、伪造文件属性等手段，增加了溯源和归因的难度。360近期在对APT28的持续跟踪过程中发现，该组织运用了多种复杂的攻击手法发动网络攻击，并剖析了其三类最为活跃的攻击战术。

详情查询：https://redqueen.tj-un.com/home/infoDetail/d160a1a137e14c0b85c6d618f2685600

• 微软补丁日通告：2024年10月版

微软近期发布了2024年10月的安全更新。本次安全更新修复了总计117个安全漏洞，主要针对Microsoft Management Console、Windows MSHTML Platform、Microsoft Configuration Manager等产品中的漏洞。其中包括28个特权提升漏洞、7个安全功能绕过漏洞、43个远程代码执行漏洞、6个信息泄露漏洞、26个拒绝服务漏洞、7个欺骗漏洞。本月的Patch Tuesday修复了5个零日漏洞，其中2个漏洞在攻击中被积极利用，并且所有5个漏洞均已公开披露。更多信息，可参考微软2024年10月安全更新说明：https://msrc.microsoft.com/update-guide/releaseNote/2024-Oct。

详情查询：https://redqueen.tj-un.com/home/infoDetail/4196dbc13c174245828a5d6779a10a69

• Lua恶意软件变种针对教育行业和游戏社区进行攻击

Morphisec Threat Labs发现了一场针对教育行业和游戏社区的新型恶意软件攻击。研究人员指出，这些复杂的恶意软件变种利用Lua这一广泛应用于游戏开发的脚本语言，通过GitHub等平台渗透系统。此次活动影响了北美、南美、欧洲、亚洲和澳大利亚等多个地区。恶意软件通常通过ZIP压缩包传递，其中包含多个组件，包括Lua编译器、Lua DLL文件、混淆的Lua脚本和批处理文件。这些组件协同工作，一旦在受害者的计算机上安装并执行，将进行恶意操作。执行后，Lua脚本会与C2服务器建立通信，发送有关被感染系统的详细信息。一旦恶意软件激活，C2服务器会向受感染机器提供指令，这些指令分为两种类型的任务：Lua加载程序任务和任务有效负载。Lua加载程序任务负责保持持久性和隐藏进程，而任务负载则专注于下载其他恶意软件负载或应用新配置。为了逃避检测，Lua脚本使用Prometheus混淆器进行了混淆，该工具旨在保护底层代码不被逆向工程。除了混淆，恶意软件还利用Lua的ffi(外部函数接口)库直接执行C代码。这种Lua与C的集成增强了恶意软件操控系统级进程和执行更高级攻击的能力。该恶意软件传播的负载为Redline Infostealers，这是一种用于收集受害者凭证和敏感信息的恶意软件。

详情查询：https://redqueen.tj-un.com/home/infoDetail/58ffe9e6ec3e4274a4641f9c2bee1739

• Lying Pigeo组织对摩尔多瓦政府和教育部门发动虚假信息活动

Check Point从2024年8月初观察到一场主要针对摩尔多瓦政府和教育部门的网络虚假信息活动：MiddleFloor。据悉，此次活动发生在10月20日摩尔多瓦选举之前，其背后的威胁组织Lying Pigeo据称来自欧盟机构、摩尔达维亚各部委或其它政治人物，通过利用与当前亲欧洲政府和摩尔多瓦潜在欧盟成员资格相关的多个敏感话题，传播虚假电子邮件和文件，旨在分发信息窃取恶意软件并收集敏感信息，以发起针对性的恶意软件攻击，对摩尔多瓦共和国的政治稳定构成重大且持续的威胁，尤其试图影响全国选举和欧盟成员国公投的结果。研究人员表示，Lying Pigeo讲俄语，并不完全精通英语，与APT-UNK2存在重叠，根据其TTP，似乎符合俄罗斯的利益。此外，该组织一直活跃于北约峰会和欧洲经济论坛等欧洲重大活动，可能利用这些备受瞩目的场合来进一步开展虚假宣传活动。

详情查询：https://redqueen.tj-un.com/home/infoDetail/5b65d5f90dfb42cbbcaf6c447c4ec2f8

• 虚假应用程序传播加密挖矿和信息窃取软件，影响28000多名用户

Doctor Web发现了一项大规模活动，旨在通过以办公程序、游戏作弊和在线交易机器人为幌子，向目标发送木马，从而传播加密挖矿和信息窃取恶意软件。此次攻击的感染源是攻击者在GitHub上创建的欺诈页面或视频描述中包含恶意软件链接的Youtube页面。通过单击该链接，受害者会下载一个自解压、受密码保护的文档。由于文档已加密，因此防病毒软件无法自动扫描。在下载页面输入攻击者提供的密码后，多个临时文件被提取到受害者计算机上。其中，DeviceId.dll和7zxa.dll文件分别执行隐藏的加密挖矿和加密窃取功能。这两个文件都使用Process Hollowing技术将其有效负载注入explorer.exe(Windows资源管理器)进程。第一个文件是作为.NET框架的一部分分发的合法库，它嵌入了一个恶意的AutoIt脚本，用于执行SilentCryptoMiner矿工。该矿工具有广泛的加密货币挖矿配置和隐身功能，以及远程控制功能。7zxa.dll库，也是7-Zip的合法库，包含一个剪辑器。这种类型的恶意软件用于监控剪贴板中的数据，它可以传递给攻击者。在这种情况下，裁剪器会等待剪贴板中具有钱包地址特征的典型字符串，并将其替换为攻击者指定的字符串。据悉，该活动总共影响了超过28,000人，其中绝大多数是俄罗斯居民。此外，在白俄罗斯、乌兹别克斯坦、哈萨克斯坦、乌克兰、吉尔吉斯斯坦和土耳其也观察到了大量感染。

详情查询：https://redqueen.tj-un.com/home/infoDetail/04da0cdd5d754b1cac95fb1eeea2d75a