每周高级威胁情报解读(2024.10.25~10.31)

披露时间：2024年10月29日

情报来源：https://www.microsoft.com/en-us/security/blog/2024/10/29/midnight-blizzard-conducts-large-scale-spear-phishing-campaign-using-rdp-files/

相关信息：

2024 年 10 月 22 日，微软发现 Midnight Blizzard 向 100 多个组织的数千名用户发送了网络钓鱼电子邮件。目标涉及数十个国家的政府机构、高等教育机构、国防和非政府组织，尤其是英国、欧洲、澳大利亚和日本。

这些电子邮件具有很强的针对性，使用与 Microsoft、Amazon Web Services (AWS) 和零信任概念相关的社交工程诱饵。这些电子邮件包含使用 LetsEncrypt 证书签名的远程桌面协议 (RDP) 配置文件。

恶意 .RDP 附件包含多个敏感设置，会导致大量信息泄露。一旦目标系统被入侵，它就会连接到攻击者控制的服务器，并将目标用户的本地设备资源双向映射到服务器。发送到服务器的资源可能包括但不限于所有逻辑硬盘、剪贴板内容、打印机、连接的外围设备、音频以及 Windows 操作系统的身份验证功能和设施，包括智能卡。这种访问可能使攻击者能够在目标的本地驱动器和映射的网络共享（尤其是在 AutoStart 文件夹中）上安装恶意软件，或者安装其他工具（如远程访问木马 (RAT)）以在 RDP 会话关闭时保持访问。与攻击者控制的系统建立 RDP 连接的过程还可能暴露登录到目标系统的用户的凭据。

披露时间：2024年10月29日

情报来源：https://cloud.google.com/blog/topics/threat-intelligence/russian-espionage-influence-ukrainian-military-recruits-anti-mobilization-narratives

相关信息：

2024 年 9 月，谷歌威胁情报小组发现疑似俄罗斯组织 UNC5812 使用名为“Civil Defense”的 Telegram 角色传播 Windows 和 Android 恶意软件。“Civil Defense”声称是一家免费软件程序提供商，旨在让潜在应征者查看和分享乌克兰军事招募人员的众包位置。该活动的最终将受害者导航到 UNC5812 控制的“Civil Defense”网站。

对于 Windows 用户，该网站提供下载程序Pronsis Loader，该程序用 PHP 编写，使用开源JPHP 项目编译为 Java 虚拟机 (JVM) 字节码。执行时，Prosnis Loader 会启动复杂的恶意软件交付链，最终交付 SUNSPINNER 和称为 PURESTEALER 的商品信息窃取程序。对于 Android 用户，恶意 APK 文件会尝试安装市售 Android 后门 CRAXSRAT 的变种。研究人员观察到了此负载的不同版本，其中包括一个除了 CRAXSRAT 负载外还包含 SUNSPINNER 的变种。虽然“Civil Defense”网站也宣称支持 macOS 和 iPhone，但在分析时只有 Windows 和 Android 有效载荷可用。

值得注意的是，该网站在常见问题解答中宣称为了“保护用户的匿名性和安全性”，以消除用户对 App Store 之外的 APK 交付的怀疑，并引导用户查看一组随附的视频说明，指导受害者如何禁用 Google Play Protect（该服务用于检查应用程序安装在 Android 设备上时是否存在有害功能），以及如何在恶意软件成功安装后手动启用所有权限。

披露时间：2024年10月24日

情报来源：https://asec.ahnlab.com/ko/84066/

相关信息：

AhnLab 研究人员发现 Kimsuky 组织在最近的多起攻击案例中使用 PebbleDash 和 RDP Wrapper，攻击针对公共、法律和学术领域的个人或组织。该组织首先通过带有 LNK 文件的鱼叉式网络钓鱼攻击进行渗透。LNK恶意文件的标题和图标形状被伪装成文档，并通告双扩展名方法来欺骗用户认为快捷方式文件是文档文件。

LNK 恶意文件使用 Powershell 或 Mshta 程序从攻击者的服务器下载其他恶意脚本。最终执行其中一个脚本，该脚本执行三个功能：“执行其他脚本文件”、“注册脚本文件runkey和任务调度程序”以及“下载并执行附加文件”。

RDP Wrapper被确认为大多数攻击案例中攻击者执行的额外恶意代码。攻击者激活RDP，注册后门帐户，然后使用RDP Wrapper远程控制受感染的系统。在此过程中，使用了自产的代理恶意软件。最近 Kimsuky还经常使用 PebbleDash ，该恶意软件之前由Lazarus 组织使用。此外，攻击者还使用各种信息窃取工具和权限升级工具，包括RATClient和AsyncRAT等后门。

披露时间：2024年10月30日

情报来源：https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/

相关信息：

Unit 42研究显示，Jumpy Pisces（Andariel）可能正在与Play勒索软件集团合作，这是该组织首次使用现有的勒索软件基础设施，可能作为初始访问代理（IAB）或Play勒索软件集团的合作伙伴。

据悉，Jumpy Pisces 于 2024 年 5 月通过受感染的用户帐户获得了初始访问权限，并通过服务器消息块 (SMB)协议将开源工具Sliver及其独特的自定义恶意软件DTrack传播到其他主机，从而进行了横向移动并保持了持久性。这些远程工具一直与其命令和控制 (C2) 服务器通信。直到 9 月初，一名身份不明的威胁行为者通过 Jumpy Pisces 使用的同一个被盗用户账户进入网络。他们进行了勒索软件前的活动，包括凭证收集、特权提升和卸载 EDR 传感器，最终导致 Play 勒索软件的部署。

这起事件是朝鲜政府支持的 Jumpy Pisces 组织与地下勒索软件网络首次合作。此后朝鲜威胁组织可能越来越多地参与更广泛的勒索软件活动，这将导致全球范围内发生范围更广、破坏性更强的攻击。

披露时间：2024年10月30日

情报来源：https://mp.weixin.qq.com/s/qi1krFG75sxQO6DSS3B3eQ

相关信息：

360研究人员发现Confucius组织近期的攻击活动主要针对巴基斯坦地区，通过发送携带恶意压缩包的钓鱼邮件进行攻击。该组织利用了ADS（Alternate Data Streams）技术来隐藏恶意DLL和诱饵文档。

攻击入口为一个压缩包，文件名称为“Hajj_Advisory.rar”，解压后得到Hajj_Advisory.pdf.lnk，该LNK文件一旦运行会执行PowerShell脚本，分别读取LNK文件中名为“Apple”和“Banana”的交换数据流。接着将其Apple数据流写入mapistub.dll文件中，将Banana数据流写入file.pdf，并复制“C:WindowsSystem32fixmapi.exe”到mapistub.dll同级目录并命名为“BlueApple.exe”实现侧加载。最后将“BlueApple.exe”添加到“HKCUSOFTWAREMicrosoftWindows NTCurrentVersionWindows”实现持久化。mapistub.dll是一个C#编写的第一阶段下载器，用于远程下载并内存加载下一阶段的文件窃取木马。

披露时间：2024年10月24日

情报来源：https://aws.amazon.com/cn/blogs/security/amazon-identified-internet-domains-abused-by-apt29/

相关信息：

亚马逊网络服务公司（AWS）周四宣布，已查获俄罗斯威胁组织 APT29 在网络钓鱼攻击中使用的域名。

据悉，APT29发送了乌克兰语的网络钓鱼邮件，目标数量远超他们通常的狭窄目标范围。攻击者使用的某些域名试图诱使目标相信这些域名是AWS的域名（实际不是），但AWS并非目标，该组织也不是为了获取AWS客户凭据。相反，APT29试图通过Microsoft远程桌面获取目标的Windows凭据。目标包括政府机构、企业和军事组织。

披露时间：2024年10月24日

情报来源：https://securitylabs.datadoghq.com/articles/tenacious-pungsan-dprk-threat-actor-contagious-interview/

相关信息：

2024年9月，Datadog发现了三个恶意的npm包：passports-js、bcrypts-js和blockscan-api。调查显示，passports-js出现于2024年9月11日，它的两个版本(0.7.0和0.7.1)都包含一行非常长的混淆JavaScript代码，实际上是一个后门副本，为Express应用程序提供非常流行的身份验证框架，上传者似乎正在使用域名抢注攻击来针对那些passport记错名称的潜在用户，而另外两个软件包同样被插入了一条较长的混淆行，均是后门副本。这些软件包总计有323次下载，包含BeaverTail恶意软件样本，它是一类JavaScript信息窃取和下载程序，由与朝鲜相关的威胁组织使用。据Palo Alto Networks报道，BeaverTail与一项名为"Contagious Interview"的正在进行的活动有关，该活动主要针对美国科技行业的求职者。BeaverTail的目标是加密货币钱包以及存储在Unix和Windows系统上的浏览器缓存和登录钥匙串中的信用卡信息。然后，它将这些数据泄露到攻击者控制的C2服务器。此外，它还会从服务器下载并持续运行名为InvisibleFerret的第二阶段Python后门。由于Datadog研究人员在两个反混淆样本中观察到了BeaverTail的所有典型行为，因此将这两起活动联系起来，并将其归因于一个名为Tenacious Pungsan的朝鲜组织

披露时间：2024年10月26日

情报来源：https://www.safebreach.com/blog/update-on-windows-downdate-downgrade-attacks/

相关信息：

在最近的一项研究中，SafeBreach Labs 研究员 Alon Leviev 揭露了一种新的攻击技术，该技术可能会危及已全面修补的 Windows 11 系统的安全性。这种技术被称为 Windows Downdate，涉及操纵Windows 更新过程以降级关键系统组件，从而有效地恢复先前修补的漏洞。

其中一个漏洞是“ItsNotASecurityBoundary”驱动程序签名强制 (DSE) 绕过，它允许攻击者加载未签名的内核驱动程序。此绕过允许攻击者用恶意版本替换经过验证的安全目录，从而能够加载未签名的内核驱动程序。

通过利用 Windows Downdate，攻击者可以攻击特定组件（例如解析安全目录所必需的“ci.dll”模块），并将其降级到易受攻击的状态，从而能够利用此绕过漏洞并获得内核级权限。

披露时间：2024年10月30日

情报来源：https://cert.gov.ua/article/6281202

相关信息：

2024 年 10 月 28 日，乌克兰政府计算机应急响应小组 CERT-UA 发现，UAC-0050 组织模仿乌克兰国家税务局大量分发包含税务相关主题和附件的电子邮件。

附件是PDF 文档形式，其中包含文件服务的链接（qaz.im、qaz.is、qaz.su），点击后会下载 “dps_tax_gov_ua_0739220983.rar”计算机，该文件具有多个嵌套级别，将存档“Electronic request for Documents of the Tax service.pdf.rar”受密码保护，该存档又将包含 SFX 文件“Electronic request for Documents of the Tax service.pdf.exe”。打开后会向用户显示诱饵文档，并在计算机上启动LITEMANAGER远程管理 MSI 包，实现未经授权的隐藏远程访问。

披露时间：2024年10月30日

情报来源：https://www.bitdefender.com/en-us/blog/labs/unmasking-the-sys01-infostealer-threat-bitdefender-labs-tracks-global-malvertising-campaign-targeting-meta-business-pages/

相关信息：

网络安全研究人员发现了一场正在进行的恶意广告活动，该活动滥用 Meta 的广告平台并劫持 Facebook 账户来分发被称为 SYS01stealer 的信息窃取软件。此次活动利用了近百个恶意域，不仅用于分发恶意软件，还用于实时命令和控制 (C2) 操作，使威胁行为者能够实时管理攻击。

SYS01stealer于 2023 年初首次由 Morphisec 披露，主要传播方式是通过 Facebook、YouTube 和 LinkedIn 等平台上的恶意广告，这些广告宣传 Windows 主题、游戏、AI 软件、照片编辑器、VPN 和电影流媒体服务。大多数 Facebook 广告都是针对 45 岁及以上的男性而设计的。

与其他窃取恶意软件一样，其最终目标是窃取登录凭据、浏览历史记录和 Cookie。但它还专注于获取 Facebook 广告和企业帐户数据，然后利用这些数据通过虚假广告进一步传播恶意软件。如果数据中包含与 Facebook 相关的信息，那么他们的 Facebook 账户还可能被攻击者控制，从而进一步传播恶意广告并继续这个循环。

披露时间：2024年10月30日

情报来源：https://checkmarx.com/blog/cryptocurrency-enthusiasts-targeted-in-multi-vector-supply-chain-attack/

相关信息：

网络安全研究人员发现了一个新的恶意 Python 包，该软件包伪装成加密货币交易工具，包含一个看似合法的加密货币交易机器人的代码，包括 DEX 上的自动交易、价格监控和流动性管理功能，但隐藏着窃取敏感数据和从受害者的加密钱包中窃取资产的功能。

该软件包名为“CryptoAITools”，已通过 Python 软件包索引 (PyPI) 和虚假的 GitHub 存储库分发。在从 PyPI 上撤下之前，它已被下载超过 1,300 次。该软件包旨在通过注入其“__init__.py”文件的代码在安装后立即释放其恶意行为，该文件首先确定目标系统是 Windows 还是 macOS，以便执行适当版本的恶意软件。

该恶意软件采用了多阶段感染过程，利用看似合法的虚假网站来托管和传递第二阶段的有效载荷。在第二阶段恶意软件被激活时，恶意软件将自己呈现为“AI Bot Starter”应用程序，使用欺骗性的图形用户界面（GUI）来分散受害者的注意，同时在后台执行其恶意活动。

披露时间：2024年10月28日

情报来源：https://mp.weixin.qq.com/s/fvAqqKiDddeY_qibULT3Rg

相关信息：

微步情报局揭露了名为“黑猫”的黑产团伙，该团伙擅长使用搜索引擎优化技术提高虚假软件下载网站在搜索引擎中的排名，诱导受害者下载安装带有后门的软件，从而窃取个人数据和虚拟货币。该团伙的活动最早可追溯至2022年，涉及仿冒Telegram中文官方网站、AICoin虚拟货币行情交易平台等多个领域。微步情报局通过对攻击者资产的监控、拓线和溯源，发现“黑猫”团伙擅长使用各种提高网站排名的手法，部署的钓鱼网站主题包括WPS、Chrome、搜狗输入法等常用软件，以及针对数字货币行业的软件。

披露时间：2024年10月29日

情报来源：https://www.threatfabric.com/blogs/lightspy-implant-for-ios

相关信息：

网络安全研究人员发现了一种名为 LightSpy 的 Apple iOS 间谍软件的改进版本，它不仅扩展了其功能，还结合了破坏性功能，以防止受感染的设备启动。LightSpy 于 2020 年首次被发现，是一种模块化植入物，它采用基于插件的架构来增强其功能，并允许它从受感染的设备中捕获广泛的敏感信息。

分发恶意软件的攻击链利用 Apple iOS 和 macOS 中的已知安全漏洞来触发 WebKit 漏洞，该漏洞会丢弃扩展名为“.PNG”的文件，但实际上是一个 Mach-O 二进制文件，负责通过滥用编号为 CVE-2020-3837 的内存损坏漏洞从远程服务器检索下一阶段的有效载荷。这包括一个名为 FrameworkLoader 的组件，该组件反过来会下载 LightSpy 的核心模块及其各种插件，在最新版本中，这些插件已从6.0.0版本的12 个上升到7.9.0版的28个。

这些插件可以捕获范围广泛的数据，包括 Wi-Fi 网络信息、屏幕截图、位置、iCloud 钥匙串、录音、照片、浏览器历史记录、联系人、通话记录和 SMS 消息，以及从文件、LINE、邮件大师、电报、QQ、微信和 WhatsApp 等应用程序收集信息。一些新添加的插件还拥有破坏性功能，可以冻结设备并阻止其重新启动。此外，LightSpy 插件可以生成包含特定 URL 的虚假推送通知。

披露时间：2024年10月28日

情报来源：https://www.elastic.co/security-labs/katz-and-mouse-game

相关信息：

7 月，Google在Windows上的Chrome浏览器中引入了这项新机制，以提高cookie数据的安全性。近期，Elastic Security Labs研究了信息窃取恶意软件（infostealers）如何适应Google Chrome的新安全特性，尤其是应用绑定加密。文章指出，多个恶意软件家族已经开发出新的代码来绕过这种保护，以保持其在市场上的竞争力，并确保能够可靠地从Chrome浏览器中检索cookie数据。

具体包括STEALC/VIDAR、METASTEALER、PHEMEDRONE、XENOSTEALER和LUMMA等信息窃取家族使用的不同方法来绕过Google的App-Bound Encryption特性。这些技术包括通过Chrome的DevTools协议进行远程调试、读取Chrome网络服务进程的进程内存（使用ChromeKatz和ReadProcessMemory）、提升至SYSTEM权限后通过COM解密app_bound_encryption_key等。

披露时间：2024年10月23日

情报来源：https://www.welivesecurity.com/en/eset-research/embargo-ransomware-rocknrust/

相关信息：

ESET研究人员揭露了一种新的勒索组织Embargo，它首次出现在2024年5月，使用基于Rust语言开发的工具集。Embargo组织似乎资源丰富，建立了自己的基础设施与受害者沟通，并采用双倍勒索策略，通过在其泄密网站上发布被盗数据来向受害者施压。集团代表在一次采访中提到了分支机构的基本支付计划，表明Embargo提供勒索软件即服务（RaaS）。

近期研究人员发现其新的工具包，其中包括一个加载器（MDeployer）和一个专门针对特定受害者环境的EDR杀手（MS4Killer）。MDeployer 是一种用于部署 MS4Killer 和 Embargo 勒索软件的恶意加载程序。它首先尝试从文件b.cache解密 MS4Killer 有效负载，将解密的文件放入praxisbackup.exe并执行。然后从a.cache解密 Embargo 勒索软件负载，保存为pay.exe并执行。当勒索软件完成对系统的加密后，MDeployer 会终止 MS4Killer 进程，删除解密的有效负载和 MS4Killer 释放的驱动文件，最后重新启动系统。MS4Killer 是一种 EDR 杀手，它滥用易受攻击的驱动程序来禁用受害者机器上运行的安全产品。

披露时间：2024年10月24日

情报来源：https://arcticwolf.com/resources/blog/arctic-wolf-labs-observes-increased-fog-and-akira-ransomware-activity-linked-to-sonicwall-ssl-vpn/

相关信息：

Arctic Wolf Labs报告称，自2024年8月以来，与SonicWall SSL VPN相关的Fog和Akira勒索软件入侵事件激增，这些入侵活动涉及多个行业，且多数目标设备未修补CVE-2024-40766漏洞。但没有确凿的证据表明威胁行为者利用 CVE-2024-40766 等远程代码执行漏洞入侵了 SonicWall 设备。在某些情况下，VPN 凭据可能是通过其他方式（例如数据泄露）获取的。

在几乎所有入侵中，与 VPN 的连接都源自与托管相关的 ASN。在两组不同的入侵中，研究人员观察到 Akira 勒索软件使用与单独的 Fog 入侵中确定的相同的 VPS IP 地址登录受害者的 SonicWall VPN。据观察Akira 和 Fog都表现出对入侵 SonicWall 设备上的 SSL VPN 帐户、快速加密 VM 存储数据以及泄露敏感数据的兴趣，以增加勒索赎金的可能性。

报告还提到，从初始SSL VPN账户访问到勒索软件加密的时间很短，通常在同一天内发生。

披露时间：2024年10月30日

情报来源：https://www.zimperium.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware/

相关信息：

研究人员发现了一种新的Android恶意软件FakeCall版本，该恶意软件拦截用户拨出的银行电话，并将其重定向至攻击者的电话号码，旨在窃取敏感信息和银行资金。FakeCall是一种银行木马，通过冒充银行进行语音钓鱼，以获取受害者的敏感信息。新版本增强了规避和数据窃取能力，主要针对韩国用户。早期版本通过显示伪造的银行界面及真实的银行电话号码来欺骗用户，而最新版本则在安装时设为默认拨号应用，控制所有拨出电话。研究人员的报告指出，受害者需要批准恶意应用作为默认拨号处理程序。FakeCall模拟Android拨号器，显示受信任的联系信息，以欺骗用户，同时秘密劫持拨打金融机构的电话并将其重定向至诈骗者。恶意软件利用Monitoring Dialer Activity服务监控拨号器事件，能够检测用户是否尝试使用其他应用拨打电话。它甚至可以在未获得用户同意的情况下自动授予权限，从而绕过用户的操作。该恶意软件还允许远程攻击者全面控制受害者设备的用户界面，模拟用户操作。整体来看，该恶意软件在隐藏恶意行为方面表现出色，使得用户难以察觉其存在。

披露时间：2024年10月29日

情报来源：https://patchstack.com/articles/rare-case-of-privilege-escalation-patched-in-litespeed-cache-plugin/

相关信息：

WordPress 的 LiteSpeed Cache 插件中被发现存在一个高严重性安全漏洞，可能允许未经身份验证的威胁行为者提升其权限并执行恶意操作。该漏洞编号为 CVE-2024-50550（CVSS 评分：8.1），已在插件 6.5.2 版本中得到解决。

LiteSpeed Cache 是一款流行的 WordPress 网站加速插件，顾名思义，它具有高级缓存功能和优化功能。它已安装在超过六百万个网站上。新发现的问题根源于一个名为 is_role_simulation 的函数，类似于 2024 年 8 月公开记录的早期缺陷（CVE-2024-28000，CVSS 评分：9.8）。它源于使用弱安全哈希校验，该校验可能被不良行为者暴力破解，从而允许滥用爬虫功能来模拟已登录的用户（包括管理员）。

披露时间：2024年10月29日

情报来源：https://www.securityweek.com/apple-patches-over-70-vulnerabilities-across-ios-macos-other-products/

相关信息：

苹果公司周一宣布为 iOS 和 macOS 用户发布最新的安全更新，解决了其平台上的 70 多个 CVE，其中包括导致受保护文件系统修改的几个漏洞。

iOS 18.1 和 iPadOS 18.1 现已向移动用户推出，修补了 28 个漏洞，这些漏洞可能导致信息泄露、进程内存泄露、拒绝服务、沙盒逃逸、受保护系统文件的修改、堆损坏以及访问受限文件。同时，安全更新也针对旧硬件版本推出了 iOS 17.7.1 和 iPadOS 17.7.1，解决了 17 个漏洞。

周一开始推出的 macOS Sequoia 15.1 更新解决了 59 个安全缺陷。这些补丁解决了 iOS 中也解决的 15 个问题以及第三方依赖项中的几个缺陷。受影响的平台组件包括 App Support、CoreText、Foundation、ImageIO、Installer、Kernel、Pro Res、Safari Downloads、Safari Private Browsing、SceneKit、Shortcuts、Siri 和 WebKit。

此外，苹果发布了 macOS Sonoma 14.7.1 和 macOS Ventura 13.7.1，分别修复了 40 多个缺陷，并宣布推出 watchOS、tvOS 和 visionOS 安全更新。