[1101] 一周重点威胁情报｜天际友盟情报站

• Confucius组织最新攻击技术揭秘

• Midnight Blizzard组织大规模鱼叉式网络钓鱼活动追踪

• UNC5812组织利用Telegram向乌克兰军方分发恶意软件

• TeamTNT组织对云原生环境实施大规模加密货币挖矿攻击

• Fog和Akira勒索团伙借助SonicWall VPN漏洞入侵企业网络

• UAC-0215组织瞄准乌克兰政府和军事实体

• StormBoobo组织Cloudscout工具集技术分析

• TA866组织利用WarmCookie恶意软件开展间谍活动

• 朝鲜Jumpy Pisces组织联手Play勒索团伙展开重大网络攻击

• Tenacious Pungsan组织向美国科技行业求职者分发BeaverTail恶意软件

• Homuwitch勒索软件剖析

• 印度机场航空旅客遭钓鱼攻击

• HeptaX活动利用LNK文件实现远程桌面连接

• 新版Fakecall恶意软件劫持银行电话欺诈韩国用户

• 攻击者伪造韩国赌博游戏网站传播WrRAT恶意软件

• Confucius组织最新攻击技术揭秘

Confucius组织自2013年开始活跃，其活动主要目的是获取敏感信息。360近期再次观察到Confucius针对巴基斯坦地区的持续活动，且该组织使用了一种新攻击技术，即利用ADS(Alternate Data Streams)特性来隐藏恶意文件。调查显示，Confucius组织首先针对目标人群发送了钓鱼邮件，邮件则携带恶意压缩包，其中包括一个存在多个数据流的同名LNK文件，文件大小显示仅有4KB，但占用空间却达到了188KB。实际上，攻击者利用ADS交换数据流技术在LNK文件中捆绑了两个数据流Banana和Apple，它们分别是恶意DLL和诱饵文档，不过这两个文件流并不显示，即使系统设置显示隐藏文件，解压后也看不到该文件流。一旦用户点击其中LNK文件，它便会释放隐藏的诱饵文档流数据，和恶意的DLL文件(包括一个C#编写的第一阶段下载器mapistub.dll和文件窃取木马ClassLibrary1.dll)以及拷贝fixmapi.exe实现侧加载，最终再通过注册表实现持久化驻留。

详情查询：https://redqueen.tj-un.com/home/infoDetail/fe6a5f23e0c344d491927858e7e39c0e

• Midnight Blizzard组织大规模鱼叉式网络钓鱼活动追踪

微软近日披露，自2024年10月22日以来，俄罗斯威胁组织Midnight Blizzard向数十个国家(尤其是英国、欧洲、澳大利亚和日本)的政府机构、高等教育、国防、非政府组织发送了一系列高针对性的鱼叉式网络钓鱼电子邮件，其目的疑似是收集情报。据悉，钓鱼邮件被发送给100多个组织中的数千个目标，攻击者使用了微软、亚马逊网络服务(AWS)和零信任概念相关的社会工程诱饵，且这些邮件包含一个使用LetsEncrypt证书签名的远程桌面协议(RDP)配置文件。RDP文件包含几个敏感的设置，这些设置会导致大量信息泄露。一旦目标系统受到攻击，它就会连接到攻击者控制的服务器，并将目标用户的本地设备资源双向映射到服务器。发送到服务器的资源可能包括但不限于Windows操作系统的所有逻辑硬盘、剪贴板内容、打印机、连接的外围设备、音频和身份验证功能和设施，包括智能卡。此访问可能使攻击者能够在目标的本地驱动器和映射的网络共享上安装恶意软件，特别是在AutoStart文件夹中，或者安装其他工具，如远程访问木马，以在RDP会话关闭时保持访问。

详情查询：https://redqueen.tj-un.com/home/infoDetail/9dec0f255d2745709c9e9e99a00d9da0

• UNC5812组织利用Telegram向乌克兰军方分发恶意软件

Cybersecuritynews近日发现，俄罗斯黑客组织UNC5812正通过Telegram向乌克兰军方传播恶意软件。据悉，该活动发生在2024年9月，恶意软件通过合法的乌克兰Telegram频道中的推广帖子进行传播，包括一个拥有80,000多名订阅者的导弹警报频道，并持续积极推广到至少2024年10月8日。具体来说，UNC5812涉及利用欺骗性Telegram频道"@civildefense_com_ua"和网站"civildefense.com.ua"，活动伪装成提供跟踪乌克兰军事招募人员的软件服务，实际上却会传播针对Windows和Android设备的恶意软件。对于Windows用户，攻击者部署了Pronsis Loader，一个基于PHP编写的下载器，它使用JPHP编译成Java虚拟机字节码，随后安装了两个恶意软件变体：SUNSPINNER(诱饵地图应用程序)、PURESTEALER(一种基于.NET的商业信息窃取程序，可收集浏览器凭证、加密货币钱包和消息应用程序数据)。而Android用户则成为商业后门恶意软件CRAXSRAT的攻击目标，它要求用户禁用Google Play Protect才能安装，能够进行文件操作、短信拦截、凭证盗窃和全面设备监控等活动。

详情查询：https://redqueen.tj-un.com/home/infoDetail/67dbd825670445c888815f89358f4527

• TeamTNT组织对云原生环境实施大规模加密货币挖矿攻击

Aqua Nautilus近期发布报告称，臭名昭著的黑客组织TeamTNT正针对云原生环境展开大规模攻击，旨在挖掘加密货币并将入侵的服务器租给第三方。据悉，该组织涉及利用暴露的Docker守护进程来部署Sliver恶意软件、网络蠕虫和加密矿工程序，并使用受感染的服务器和Docker Hub作为传播恶意软件的基础设施。调查显示，TeamTNT不仅会利用Docker Hub托管和分发恶意负载，还通过将受害者的计算能力出租以进行非法加密货币挖矿，展现出其多样化的盈利策略。攻击期间，黑客通过masscan和ZGrab识别未认证的Docker API端点，并利用这些端点部署加密矿工，以将受感染的基础设施出售给Mining Rig Rentals平台。此外，TeamTNT还采用了新的黑客工具，从Tsunami后门转向使用Sliver C2框架来远程控制受感染服务器，并采用匿名DNS指向其网络服务器以保持隐匿。

详情查询：https://redqueen.tj-un.com/home/infoDetail/2ad08f795f044ebb8d98d4c8df24fa46

• Fog和Akira勒索团伙借助SonicWall VPN漏洞入侵企业网络

Arctic Wolf观察到，自2024年8月初以来，Fog和Akira勒索软件团伙至少对企业网络实施了30次入侵尝试，且这些入侵均始于通过SonicWall VPN账户的远程访问，并涉及利用CVE-2024-40766漏洞。据悉，Fog勒索软件于2024年5月推出，常利用被盗的VPN凭证进行初始访问。SonicWall在2024年8月底修复了CVE-2024-40766漏洞，并在随后一周警告称该漏洞已被积极利用。在这些案例中，75%与Akira有关，其余的则归因于Fog勒索软件。值得注意的是，这两个团伙似乎共享基础设施，显示出两者之间非正式合作的延续。尽管研究人员不能完全确定所有案例都利用了该漏洞，但所有被入侵的终端都运行着易受攻击的旧版本。在大多数情况下，从入侵到数据加密的时间很短，通常约为十个小时，最快甚至达到1.5至2小时。许多攻击中，攻击者通过VPN/VPS访问终端，隐藏其真实IP地址。在随后的攻击阶段，攻击者迅速加密，主要针对虚拟机及其备份。被侵入系统的数据窃取涉及文档和专有软件，但攻击者对超过六个月(或更敏感文件超过30个月)的文件不感兴趣。

详情查询：https://redqueen.tj-un.com/home/infoDetail/d31f18edf77d477a800570845ceff2ed