每周高级威胁情报解读(2024.11.01~11.07)

披露时间：2024年11月4日

情报来源：https://www.zscaler.com/blogs/security-research/pyongyang-your-payroll-rise-north-korean-remote-workers-west#technical-analysis

相关信息：

2023 年 11 月，一家安全供应商发现Lazarus组织正在利用Contagious Interview和 WageMole 活动在西方国家获取远程就业机会，从而逃避对朝鲜 (DPRK) 的金融制裁。Contagious Interview活动专注于窃取数据，而 WageMole 则利用这些被盗数据以及其他社会工程技术帮助这些威胁行为者获得远程工作。

Zscaler ThreatLabz 最近发现，攻击者已显著改进了其脚本的混淆技术，使检测更加困难。InvisibleFerret 的最新版本包括动态更新的远程监控和管理 (RMM) 配置以及针对每个操作系统量身定制的持久性机制

攻击者还通过在Contagious Interview 感染链中支持 Windows 和 macOS 应用程序格式来扩展其武器库，同时保持其核心功能完好无损，以瞄准更多受害者。通过监控已安装的 BeaverTail (JavaScript) 和 InvisibleFerret (Python) 脚本，可以确认攻击者窃取了受害者的源代码、加密货币数据和个人信息。攻击者在短时间内成功感染了多个操作系统的 100 多台设备，窃取了包括源代码、加密货币钱包和个人数据等敏感信息。

披露时间：2024年11月6日

情报来源：https://mp.weixin.qq.com/s/pvm0QUAMS0U5dIge1ImcCQ

相关信息：

360发布报告分析了其在近一年捕获到的蔓灵花组织各种攻击载体样本，其中包括但不限于PUB文件、PDF文件、宏文档、searchConnector-ms文件、CHM文件、LNK文件、PPT文档、PE文件，此外还有部分载体文件还未被公开披露。文章详细披露了蔓灵花组织近一年使用过的载体文件及其变化过程。

攻击流程分析显示，蔓灵花组织的攻击主要通过鱼叉邮件捆绑各式各样的载体文件，诱导用户点击载体文件，通过层层下载，最终执行远控程序。远控程序主要集中在wmRAT类型，少数为C#和ORPCBackdoor类型，今年9月份开始还使用了新的MiyaRat。攻击者使用的远控程序一般捆绑在MSI软件安装程序中，运行时会显示各类软件安装界面，以迷惑用户。

披露时间：2024年11月4日

情报来源：https://mp.weixin.qq.com/s/alaZxCd61gJNI9D01eQzgg

相关信息：

奇安信威胁情报中心在日常运营中发现新海莲花组织重新活跃，并采用了MSI文件滥用的新手法。该组织被分为两个攻击集合，每年通过轮战方式交替针对国内开展间谍活动。新海莲花上次活跃时间为2023年末，本次攻击活动中，攻击者通过鱼叉邮件执行了一系列行动，包括利用MSI TRANSFORMS技术投递特马。

攻击者通过执行特定命令行，利用微软官方提供的合法安装包和MST文件实现DLL-Sideloading的效果，内存加载RUST特马，实现内存对抗。与2023年不同的是，攻击者将RUST特马彻底Shellcode化，删除了之前使用通用Shellcode反射加载PE文件的流程。

同时，文章还讨论了MSI滥用的常见手法，包括Media表、CustomAction表和MST文件的利用情况，但目前只有新海莲花组织被观察到利用MST文件技术。

披露时间：2024年11月4日

情报来源：https://research.checkpoint.com/2024/the-evolution-of-transparent-tribes-new-malware/

相关信息：

checkpoint研究人员发现 APT36 最近使用定制植入程序 ElizaRAT 针对印度知名实体发动了定向攻击，恶意软件在执行方法、检测规避和C2通信等方面都已经过重大改进，逃避技术得到不断增强。

ElizaRAT 于 2023 年首次被发现，其基于.NET 编写并使用 Costura 嵌入.NET 和组装模块，通常通过 Google Storage 链接分发的 CPL 文件执行。据悉，ElizaRAT在大多数样本中，使用IWSHshell创建恶意软件的Windows快捷方式，并使用SQLite作为资源，以在泄露之前将受害者机器上的文件存储在本地数据库中。其早期变体使用 Telegram 频道来进行命令和控制 (C2) 通信，后续演变中还观察到使用 Google、 Slack 等云服务进行分发和 C2 通信。

2023 年底到 2024 年攻击者利用该恶意软件进行了三次不同活动：Slack Campaign、Circle Campaign、Google Drive Campaign。在每次活动中，攻击者都使用不同的 ElizaRAT 变体来下载自动收集信息的特定第二阶段有效载荷，还引入了一种名为"ApoloStealer"的新窃取负载。

披露时间：2024年11月6日

情报来源：https://www.genians.co.kr/blog/threat_intelligence/apt37_recon

相关信息：

APT37是一个有国家背景的网络威胁组织，主要针对韩国进行网络间谍活动。该组织的目标群体包括北韩人权组织、脱北者、北韩采访记者、统一与国防外交安全专家和教授等。在监控该组织的活动时，genians发现了一个有趣的行为模式。

研究人员首先分析了一起发生在4月的案例，攻击者冒充大学教授通过主题为“四月朝鲜动向”的鱼叉邮件投递快捷方式 (lnk) 文件。LNK文件中隐藏着经过异或逻辑加密的RoKRAT恶意模块，用于从用户终端搜索和收集各种文档和智能手机记录文件扩展名。

新的侦察活动将在上述鱼叉式网络钓鱼攻击发生约三天后进行，包括发送带有错误标题和附件的电子邮件，以及使用Web Beacon技术进行侦察，收集收件人的 IP（本地信息）地址等网络浏览器（OS）信息，用于全面渗透所需的分析。

披露时间：2024年11月5日

情报来源：https://mp.weixin.qq.com/s/JQxuwBvAVRCQt_BlsB7-2w

相关信息：

2024年10月31日至11月3日，奇安信技术研究院的天问软件供应链分析平台检测到一起针对npm生态的软件供应链攻击事件。攻击者通过发布名为haski的恶意npm包，模仿流行软件包husky，利用npm包安装后自动执行的特性，植入混淆后的恶意代码。这些代码会根据不同操作系统类型，从远程C2服务器下载并静默运行恶意payload文件。

攻击者利用以太坊智能合约动态获取C2地址，这种技术手段新颖，对传统安全检测构成挑战。以太坊智能合约允许存储数据并在合约中定义“读取”函数，攻击者通过调用这些公开的函数来获取C2地址，无需特殊权限，且不消耗gas。这种方法使得C2地址的获取隐蔽且动态，难以被安全检查发现。攻击者多次修改C2地址，用于向不同平台发送特定恶意负载。

据悉，攻击者在npm生态中发布了34个类似的恶意包，每个包都由不同用户发布，元数据描述信息模仿正常软件包，增加了攻击的隐蔽性。反混淆分析显示，恶意代码会根据系统平台下载对应的恶意负载，并在后台运行，添加自启动，等待C2指令。

披露时间：2024年11月5日

情报来源：https://lab.wallarm.com/attackers-abuse-docusign-api-to-send-authentic-looking-invoices-at-scale/

相关信息：

近日，Wallarm 警告称，攻击者者正在滥用 DocuSign 向毫无戒心的用户发送电子邮件并绕过电子邮件保护机制。与传统的网络钓鱼不同，传统的网络钓鱼涉及模仿知名品牌的欺骗性电子邮件，旨在获取凭证或安装恶意软件，而此活动依靠受信任的电子签名服务来传递恶意内容。

具体来说，攻击者一直在创建合法的付费 DocuSign 账户，从而使他们能够更改模板并直接访问该服务的 API。接下来，攻击者会创建一个模板，模仿知名品牌（例如软件公司）的电子签名文件请求，并将其发送给毫无戒心的受害者。这些信息可能以包含定价信息或直接电汇指示的假发票形式出现。这些发票通常遵循请求签名的模式，签名将授权直接向攻击者的账户付款。

Wallarm 表示，此次攻击活动的持续时间表明攻击者正在使用自动化流程，很可能滥用 DocuSign 提供的合法自动化 API。

披露时间：2024年11月4日

情报来源：https://www.securonix.com/blog/crontrap-emulated-linux-environments-as-the-latest-tactic-in-malware-staging/

相关信息：

Securonix 的研究人员发现一项名为“CRON#TRAP”的新型网络钓鱼活动，攻击者使用网络钓鱼电子邮件来执行无人值守的 Linux 虚拟机安装，以侵入公司网络并获得持久性。

网络钓鱼电子邮件伪装与调查有关，包含一个ZIP下载链接，该ZIP文件名为“OneAmerica Survey.zip”，其中包含一个LNK文件“OneAmerica Survey.lnk”和一个包含整个 QEMU 安装目录的“data”目录。

启动快捷方式时，它会执行 PowerShell 命令将下载的ZIP存档提取到“%UserProfile%datax”文件夹，然后启动“start.bat”向用户显示“服务器错误”的诱饵图片并在设备上设置和启动自定义 QEMU Linux 虚拟机。

名为“PivotBox”的定制 TinyCore Linux VM 预装了后门，该后门的核心是一个名为 Chisel 的工具，这是一个网络隧道工具，攻击者预先在二进制文件中配置了硬编码参数，允许它通过 websockets 自动连接到远程命令和控制 (C2) 服务器，为攻击者提供进入环境的持久后门。

披露时间：2024年11月4日

情报来源：https://www.hunters.security/en/blog/veildrive-microsoft-services-malware-c2

相关信息：

以色列网络安全公司Hunters发现了一个名为VEILDrive的攻击活动，攻击者通过利用之前受到攻击的组织的可信基础设施，使用Teams、SharePoint、Quick Assist和OneDrive等服务来分发鱼叉式网络钓鱼攻击并存储恶意软件，以此避开传统监控系统的检测。该攻击活动始于 2024 年 8 月初，最终导致部署了一种基于Java的恶意软件，该软件使用OneDrive进行命令和控制（C2）。

攻击者利用了潜在的先前受害者的用户帐户冒充IT团队成员，通过Teams的“外部访问”功能向目标组织的四名员工发送信息，并请求远程访问他们的系统，当目标被成功诱骗执行 Microsoft 的 Quick Assist 工具后，通过SharePoint分享了一个下载链接，指向托管在不同租户上的ZIP存档文件，其中嵌入了其他文件，包括远程访问工具LiteManager。通过Quick Assist获得的远程访问权限用于在系统上创建计划任务，以定期执行LiteManager远程监控和管理（RMM）软件。

攻击者还使用相同方法下发了第二个ZIP文件，其中包含基于Java的恶意软件以及整个Java开发工具包（JDK）。该恶意软件使用硬编码的Entra ID凭据连接到对手控制的OneDrive帐户，并将其用作C2，以便通过Microsoft Graph API在受感染的系统上获取和执行PowerShell命令。值得注意的是这个基于 Java 的 .jar 文件明显缺乏混淆，可读性极高且结构良好。尽管如此，但该恶意软件却躲过了顶级端点检测和响应 (EDR) 工具以及 VirusTotal 中的所有安全引擎的检测。这凸显了一个关键风险：即使是未混淆的简单代码也可以躲过现代检测机制，这表明有必要重新审视高风险环境中的检测策略。

披露时间：2024年10月31日

情报来源：https://www.bleepingcomputer.com/news/security/lottiefiles-hacked-in-supply-chain-attack-to-steal-users-crypto/

相关信息：

10 月 30 日下午 6:20（UTC 时间）， LottieFiles 流行的开源 npm 包网络播放器@lottiefiles /lottie-player 有未经授权的新版本被推送，其中包含恶意代码，目标是向网站注入加密消耗器以窃取访客的加密货币。LottieFiles 是一个软件即服务 (SaaS) 平台，用于创建和共享可嵌入应用程序和网站的轻量级基于矢量（可扩展）的动画。

据悉Lottie Web Player（“lottie-player”）2.0.5、2.0.6 和 2.0.7 被修改，包含了向网站注入加密钱包消耗器的恶意代码。加密钱包窃取程序是注入到显示 web3 提示以连接加密货币钱包的网站的恶意脚本。但是，当用户连接钱包时，脚本会自动尝试“窃取”或窃取所有资产和 NFT，并将其发送给威胁行为者。区块链威胁监控平台Scam Sniffer 称，至少有一名受害者因 LottieFiles 供应链泄露而损失了价值 723,000 美元的比特币。

LottieFiles 表示，其一名开发人员的身份验证令牌被盗，并被用于上传 npm 包的恶意版本，导致其 JavaScript 库遭到入侵。目前已发布了基于纯净的2.0.4版本的2.0.8版本，建议用户尽快升级到该版本。

披露时间：2024年11月5日

情报来源：https://www.theregister.com/2024/11/05/typosquatting_npm_campaign/

相关信息：

据悉，一场针对开发人员的域名抢注活动正在通过数百个流行的JavaScript库（每周下载量达数千万次）传播恶意软件，以窃取和监视信息。该npm供应链攻击似乎起源于10月份，多家安全机构已发出警报。攻击者发布看似合法的恶意npm包，名称与合法包相似但略有差异，诱骗开发人员安装，从而获得对其机器的持久访问权限。这些恶意包使用以太坊智能合约进行命令和控制（C2）操作，使传统C2阻止方法失效，增加了恶意软件分发活动的隐蔽性。Socket和Phylum的安全研究人员在万圣节期间发出警告，指出身份不明的恶意分子正在使用伪装成Puppeteer、Bignum.js和各种加密货币库的域名抢注包（共287个包）进行攻击。Checkmarx也发布了类似警告，指出恶意软件“jest-fet-mock”旨在冒充合法的JavaScript测试实用程序。Checkmarx发现，恶意软件在安装后会执行系统侦察，根据主机操作系统下载适当的有效负载，窃取凭据并建立持久性。

披露时间：2024年11月1日

情报来源：https://cybersecurity.att.com/blogs/labs-research/ngioweb-remains-active-7-years-later

相关信息：

Cybersecurity近期报道称，新型多功能僵尸网络代理Ngioweb自2017年首次出现以来，仍然活跃并对网络安全构成威胁。研究人员表示，该僵尸网络由银行恶意软件家族Ramnit加载，其原始代码几乎没有任何相关变化，积极广泛地扫描易受攻击的设备(如Linear eMerge、Zyxel路由器和Neato吸尘器)，以将其转化为住宅代理，随后通过Nsocks平台将这些住宅代理在黑市上以几美分的价格进行出售。数据显示，Nsocks在全球范围内提供30,000个IP，并以低于1.50美元的价格出售24小时访问权，主要目标是住宅ISP用户，占感染用户的75%以上。此外，攻击者还会采用针对特定漏洞的扫描策略，以避免暴露他们的整个武器库。同时还会利用域名生成算法(DGA)和加密的TXT响应来保护其C2基础设施，确保持续的恶意活动。

披露时间：2024年11月6日

情报来源：https://securelist.com/steelfox-trojan-drops-stealer-and-miner/114414/

相关信息：

2024年8月，Securelist发现一种由矿工和窃密恶意软件组成的未知捆绑包引起了大规模的感染，并将其命名为"SteelFox"。据悉，此次活动始于2023年2月，活动涉及的恶意软件具有复杂的执行链，主要通过论坛帖子、恶意的Torren跟踪器、博客和模仿流行的软件(如福昕PDF编辑器、JetBrains和AutoCAD等)实现传播。此外，SteelFox还会使用窃密恶意软件提取受害者的信用卡数据和受感染设备的详细信息，随后利用受感染设备的计算资源进行加密货币挖矿，通过易受攻击的驱动程序提升权限，以便更深入地控制系统，最后再利用SSL pinning和TLSv1.3与C2服务器通信，确保通信的安全性和隐蔽性。目前，研究人员已经检测到这种威胁11000多次，受害者遍布全球，其中大多数受影响的用户在巴西、中国、俄罗斯、墨西哥、阿联酋、埃及、阿尔及利亚、越南、印度和斯里兰卡。

披露时间：2024年11月3日

情报来源：https://www.bleepingcomputer.com/news/security/meet-interlock-the-new-ransomware-targeting-freebsd-servers/

相关信息：

近期，一种名为Interlock的新勒索软件行动在全球范围内攻击了多家组织，采取了罕见的方法，专门针对FreeBSD服务器创建了一个加密器。Interlock于2024年9月底启动，至今已攻击了六家组织，并在未支付赎金的情况下在其数据泄露网站上发布了被盗数据。其中一个受害者是密歇根州韦恩县，该地区在10月初遭受了网络攻击。研究人员在测试过程中发现了FreeBSD和Windows版本的加密器样本。其中，Windows加密器能够清除事件日志并在加密文件后附加.interlock扩展名，同时在每个文件夹中留下勒索说明，而攻击者对FreeBSD的攻击是因为该系统常用于关键基础设施，攻击可以造成广泛破坏。

披露时间：2024年10月6日

情报来源：https://blog.checkpoint.com/security/uncovering-a-large-scale-campaign-using-the-latest-version-of-the-rhadamanthys-stealer-rhadamanthys-07/

相关信息：

Check Point Research 发现了一项利用新版 Rhadamanthys Stealer 的大规模网络钓鱼行动。该行动被称为 CopyRh(ight)adamantys，攻击者使用了Rhadamanthys Stealer 的新版本，这是一种复杂的恶意软件，旨在从受感染的机器中提取数据。该窃取程序被威胁行为者Void Manticore使用，这是一个在以色列和阿尔巴尼亚等地区活动的伊朗组织。

新发现的攻击活动以 Gmail 账户的鱼叉式网络钓鱼电子邮件为特征，这些邮件据称来自知名公司，声称存在版权侵权行为。这些电子邮件似乎来自被冒充公司的法定代表人，指责收件人在目标社交媒体页面上滥用其品牌，并要求删除特定图片和视频。删除指令指示收件人下载文件，从而触发感染并安装最新版本的 Rhadamanthys 窃取程序。此次攻击活动影响范围广泛，影响了美国、欧洲、中东、东亚和南美洲的目标。

披露时间：2024年10月30日

情报来源：https://cyble.com/blog/strela-stealer-targets-europe-stealthily-via-webdav/

相关信息：

Cyble近期分析了Strela Stealer针对中欧和西南欧的隐蔽网络钓鱼活动。据悉，该活动涉及使用混淆的JavaScript和WebDAV来部署其有效负载并窃取敏感凭据。其中，Strela Stealer于2022年底首次被发现，是一种信息窃取恶意软件，旨在从广泛使用的电子邮件客户端(包括Microsoft Outlook和Mozilla Thunderbird)中窃取电子邮件帐户凭据，如服务器信息、用户名和密码。此外，它还会收集详细的系统信息，使攻击者能够进行侦察，并对受感染的系统采取进一步的有针对性的行动。调查显示，它最初以讲西班牙语的用户为目标，通过包含恶意ISO附件的垃圾邮件活动实现传播，其中包括一个.lnk文件和一个多语言文件。执行时，.lnk文件会触发多语言文件，使用"rundll32.exe"执行诱饵html和Strela窃取器DLL。此次活动，攻击者主要通过使用带有ZIP文件附件的德语鱼叉式网络钓鱼电子邮件来改进他们的策略，邮件主题伪装成发票通知。当用户下载并提取存档时，一个JavaScript文件将保存到他们的系统上。JavaScript文件隐藏了一个base64编码的PowerShell命令，该命令在执行时直接从WebDAV服务器启动恶意负载，而无需将文件保存到磁盘。有效载荷Strela Stealer则嵌入在一个模糊的DLL文件中，专门针对德国和西班牙的系统。

披露时间：2024年11月5日

情报来源：https://www.securityweek.com/google-patches-two-android-vulnerabilities-exploited-in-targeted-attacks/

相关信息：

谷歌在2024年11月的安全更新中修复了超过40个漏洞，特别值得注意的是两个已经被攻击者利用的漏洞。这两个漏洞分别是CVE-2024-43047和CVE-2024-43093。CVE-2024-43047是一个影响高通数字信号处理器（DSP）服务的释放后利用漏洞，由国际特赦组织和谷歌威胁分析小组（TAG）发现其野外利用的证据。高通已经发布了针对该问题的补丁，并强烈建议OEM尽快在受影响的设备上部署更新。CVE-2024-43093是一个Android框架组件中的高严重性特权提升漏洞，影响通过Google Play更新的Project Mainline的Documents UI组件。

谷歌警告称，有迹象表明这两个漏洞可能受到了有限的、有针对性的利用，但尚未分享有关所观察到的攻击的具体信息。CVE-2024-43047已在2024-11-01安全补丁级别中得到解决，而CVE-2024-43093则在2024-11-05安全补丁级别中得到修复。这些更新还包括了内核版本的更新。

此外，Wear OS 2024年11月的安全更新除了修复Android 2024年11月公告中描述的缺陷外，还包含针对两个错误的补丁。而2024年11月的Android