APT36组织新攻击武器的演变发展——每周威胁情报动态第199期（11.01-11.07）

APT36组织新攻击武器的演变发展

网络安全厂商Checkpoint Research的最新报告揭露了具有国家背景的网络威胁组织APT36（也称为Transparent Tribe和透明部落）的新活动，该组织以针对印度政府组织、外交人员和军事设施而闻名。APT36组织最近在针对Windows、Linux和Android系统的网络间谍活动中使用了一种特别隐蔽的Windows远程访问工具（RAT），名为ElizaRAT。

• 研究人员在2024年对APT36组织（Transparent Tribe）的攻击活动进行了密切监控，发现该组织持续针对印度的高知名度实体发动定向攻击，并频繁使用ElizaRAT作为攻击工具。在这一年中，他们观察到APT36组织在印度开展了多次可能已成功的攻击活动。
• 对最近攻击活动的分析揭示了恶意软件逃避技术方面的持续增强，并引入了名为“ApoloStealer”的新窃取器有效载荷。
• ElizaRAT样本显示了系统性滥用基于云的服务，包括Telegram、Google Drive和Slack，以促进命令和控制通信。

1.ElizaRAT背景与演变：ElizaRAT是一种Windows远程访问工具（RAT），由Transparent Tribe组织在定向攻击中使用。ElizaRAT感染通常通过Google Storage链接分发的CPL文件启动，很可能是通过网络钓鱼。早期变体使用Telegram频道进行命令和控制（C2）通信。自2023年9月首次公开披露以来，ElizaRAT的执行方法、检测规避和C2通信都有所演变。这在2023年底和2024年初的三个不同攻击活动中尤为明显，攻击者在每次攻击活动中使用了不同的ElizaRAT变体来下载特定的第二阶段有效载荷，这些有效载荷可以自动收集信息。

2.Slack： SlackAPI.dll是一个利用Slack频道作为C2基础设施的ElizaRAT变体。它在2023年底编译，并作为CPL文件执行。CPL文件通过双击直接调用，使网络钓鱼成为方便的感染途径。此变体在功能和执行上最接近原始的Textsource变体，遵循所有ElizaRAT特性和基础创建功能。它生成用户信息文件、创建工作目录、记录日志、检查时区、投放诱饵文件，并每60秒检查C2以获取新命令。

3.ApoloStealer（SlackFiles.dll）：攻击者在特定目标上部署了额外的有效载荷，研究人员将其命名为ApoloStealer。根据编译时间，此活动中使用的ApoloStealer变体在ElizaRAT SlackAPI.dll变体一个月后编译，这可能表明涉及了额外的有效载荷。ApoloStealer使用的技术与其他Transparent Tribe恶意软件类似，包括检查本地时区、使用相同的工作目录、包含SQLite.Interop.dll作为资源以及其他用作诱饵的mp4文件。

4.Circle：2024年1月编译的Circle ElizaRAT变体是恶意软件的改进版本。它使用了一个额外的dropper组件，导致检测率大大降低。Circle攻击活动使用的有效载荷类似于SlackFiles有效载荷，并使用类似的工作目录。与其他ElizaRAT变体不同，Circle攻击活动没有使用任何云服务作为C2基础设施，而是使用了一个简单的虚拟专用服务器（VPS）进行C2通信。

5.Google Drive：此次攻击活动中使用的初始感染向量尚不清楚。然而，基于文件名，如Amended Copy.cpl和Threat Alert 1307-JS-9.pdf，以及威胁行动者过去的活动，它们很可能是通过网络钓鱼发送的。CPL文件是一个dropper，负责为下一阶段设置所有必需品，包括创建工作目录、注册受害者、通过计划任务建立持久性、投放ElizaRAT文件（包括诱饵PDF、X.509证书和主要的ElizaRAT变体）。

ElizaRAT的发展演变反映了APT36组织为更好地逃避检测和有效针对攻击目标而进行的深思熟虑的努力。通过将Google Drive、Telegram和Slack等云服务整合到他们的命令和控制基础设施中，他们利用常用的平台在常规网络流量中掩盖其活动。引入新有效载荷如ApoloStealer标志着APT36组织的恶意软件库显著扩展，并表明该组织正在采取更灵活、模块化的载荷部署方法。这些方法主要关注数据收集和泄露，强调了他们在情报收集和间谍活动上的持续重点。

图1基于 Google Drive 的活动感染链

参考链接：

https://research.checkpoint.com/2024/the-evolution-of-transparent-tribes-new-malware/

APT37组织的网络间谍攻击活动分析

近日，网络安全厂商GSC发布了一份有国家背景的APT37组织的网络间谍攻击活动分析报告。这个组织进行了一系列复杂的网络间谍活动，主要针对人权组织、新闻记者以及政府实体、国防军工、外交部门和特定行业专家及教授。

1.目标与方法： APT37组织主要通过收集目标的IP地址、浏览器和操作系统等信息，利用快捷方式(lnk)恶意文件作为主要攻击手段。研究人员通过监控APT37组织的活动，发现了其逃避主要基于Anti-Virus签名检测的有趣行为模式。

2.攻击案例分析： 研究人员分析了一起发生在4月的攻击案例，攻击者伪装成特定公职人员，通过电子邮件发送名为“4月北韩动向”的文档，附带名为“北韩动向.docx”的文件。然而，该文件实际上是从伪装成当地门户网站的“navarar[.]com”地址下载的恶意lnk文件。

3.恶意模块分析： lnk文件内部包含XOR逻辑加密的RoKRAT恶意模块，这是APT37组织的典型特征。该模块能够控制受害系统，并根据条件执行不同功能，如收集特定文档和音频文件并泄露给C2服务器。

4.相似恶意程序： 4月份事件分析发现，多个lnk文件通过RoKRAT模块传播，文件名包括“设施目录.lnk”、“东北工程(美国国会调查局(CRS Report).lnk”等，这些文件内部隐藏了名为“panic.dat”或“viewer.dat”的RoKRAT模块。

5.侦察活动： APT37组织不仅传播恶意文件，还通过发送正常内容的邮件来降低怀疑，诱导回复，为后续攻击做准备。通过这些侦察活动，APT37组织能够收集到初步渗透所需的周边信息。

6.威胁基础设施暴露： 在某些情况下，由于APT37组织服务器设置不当，内部资料被外部曝光，这为研究人员提供了分析其活动的机会。

参考链接：

https://www.genians.co.kr/blog/threat_intelligence/apt37_recon

黑客攻击利用Microsoft服务逃避检测并分发恶意软件

在2024年9月，Hunters’Team AXON响应了一起针对关键基础设施公司的攻击事件，从而揭露了VEILDrive这一独特的威胁活动。该活动从2024年8月初开始，一直持续到报告发布之时。攻击者利用微软SaaS服务，包括Teams、SharePoint、Quick Assist和OneDrive，来分发鱼叉式网络钓鱼攻击和存储恶意软件，这种云中心策略使得攻击者能够避开传统监控系统的检测。

攻击者首先通过微软Teams发送鱼叉式网络钓鱼信息，冒充IT团队成员，诱使目标组织员工通过Quick Assist远程工具提供设备访问权限。一旦获得访问权限，攻击者便通过SharePoint分享包含恶意软件的.zip文件下载链接，该链接指向另一个组织的SharePoint租户。这些恶意文件中包含了一个Java-based .jar文件，该文件没有进行任何混淆处理，却成功逃避了顶级终端检测和响应（EDR）工具和VirusTotal所有安全引擎的检测。

进一步的分析揭示了攻击者如何利用OneDrive作为C&C通道，通过硬编码的凭证进行“代表”身份验证访问Entra ID，从而访问特定用户的OneDrive，滥用此访问权限进行C2通信。这种OneDrive基础的C&C方法在恶意软件中是独特的，涉及到三个特定类型的OneDrive文件：UUID、cf_UUID和rf_UUID，每个文件类型在恶意软件操作中扮演不同的角色。

VEILDrive活动展示了攻击者如何结合简单技术和复杂的战术，以及如何利用微软服务作为攻击基础设施。这种攻击手法不仅增加了检测难度，也突显了当前检测策略的局限性，强调了对非传统攻击方法保持警惕的必要性。随着网络威胁的不断演变，保持对最新威胁情报的了解和采取适当的安全措施变得至关重要。

参考链接

https://www.hunters.security/en/blog/veildrive-microsoft-services-malware-c2

通过利用Typosquat的恶意软件面向全球npm开发者展开攻击

根据Checkmarx、Phylum和Socket的最新独立研究结果，一个正在进行的恶意软件活动针对npm开发者，通过数百个typosquat版本的合法对应物来诱使他们运行跨平台恶意软件。这一攻击活动因其利用以太坊智能合约进行命令和控制（C2）服务器地址分发而备受关注。

该攻击活动最初于2024年10月31日被标记，但据称至少在一周前已经开始。截至目前，已有不少于287个typosquat包被发布到npm包注册表中。这些包包含在安装过程中（或之后）执行的混淆JavaScript代码，最终导致根据操作系统从远程服务器检索下一阶段的二进制文件。这些包中的二进制文件建立持久性并泄露与被控制机器相关的敏感信息回传至同一服务器。然而，有趣的是，JavaScript代码使用ethers.js库与以太坊智能合约交互以获取IP地址。值得注意的是，一个名为EtherHiding的活动利用了类似的策略，使用币安智能链（BSC）合约来过渡到攻击链的下一阶段。由于区块链的去中心化特性，这意味着很难阻止该活动，因为合约提供的IP地址可以由威胁行为者随时间更新，从而允许恶意软件在旧的IP地址被阻止或关闭时无缝连接到新的IP地址。研究员表示，通过这种方式使用区块链，攻击者获得了两个关键优势：由于区块链的不可变性，他们的基础设施几乎不可能被关闭，而且去中心化架构使得这些通信极难被封锁。目前尚不清楚谁在背后推动这一活动，尽管研究人员表示，他们识别出用于异常处理和日志记录目的的错误消息是用俄语编写的，这表明威胁行为者可能是俄语使用者。这一发展再次展示了攻击者破坏开源生态系统的新方法，要求开发者在从软件仓库下载包时保持警惕。研究人员表示，在npm生态系统中，使用区块链技术进行C2基础设施代表了供应链攻击的不同方法，使得攻击基础设施更能抵抗关闭尝试，同时使检测工作变得复杂。

参考链接：

https://thehackernews.com/2024/11/malware-campaign-uses-ethereum-smart.html

黑客泄露MIT Technology Review杂志30万用户记录

近期，一起严重的数据泄露事件震惊了科技界，黑客通过入侵MIT Technology Review杂志的第三方承包商，泄露了近30万用户的个人记录。这一事件不仅暴露了用户隐私，也引发了对网络安全管理的深刻反思。

据披露，黑客Intel Broker声称通过第三方承包商的安全漏洞，非法获取了MIT Technology Review网站的大量用户数据，并在Breach Forums上公开。这些数据可能源自网站的邮件订阅列表，包括用户的全名、电子邮件地址、活动日期和教育详情。虽然泄露的信息不包括密码、社会安全号码或财务数据等极度敏感的内容，但这些个人详细信息足以被用于钓鱼攻击和针对性诈骗。

Hackread.com对泄露的数据进行了分析，确认了其真实性，并指出这些信息可能被用于构建针对个人的复杂诈骗计划。尽管泄露的数据不包含高度敏感的财务信息，但用户隐私的泄露仍然是一个严重的问题，可能导致用户面临身份验证攻击和隐私侵犯的风险。

值得注意的是，Intel Broker此前已有多次针对高知名度组织的攻击记录。此次事件再次证明了即使是知名机构也可能成为网络攻击的目标，凸显了第三方承包商在网络安全管理中的重要性和潜在风险。MIT Technology Review作为麻省理工学院旗下的权威出版物，以其对新兴技术及其对社会影响的深入分析而闻名。此次数据泄露事件不仅可能对杂志的声誉造成影响，也给其用户带来了隐私安全的担忧。

参考链接：

https://hackread.com/hackers-leak-mit-technology-review-user-records/

黑客声称入侵诺基亚内部系统并出售获取的敏感数据

一名名为Intel Broker的黑客宣布成功入侵全球电信巨头诺基亚的内部系统。此次入侵是通过一个与诺基亚内部工具开发相关的第三方承包商实现的，黑客声称获取了包括SSH密钥、源代码和内部凭证在内的敏感数据，并将这些数据在BreachForums上以20,000美元的价格公开出售。这起事件的披露显示了黑客如何利用第三方承包商的安全漏洞来访问和窃取企业的关键内部信息。Intel Broker在BreachForums上发布的帖子中详细列出了被盗数据的清单，包括SSH密钥、源代码、RSA密钥、Bitbucket登录凭证、SMTP账户、webhook和硬编码的凭证等。这些信息的泄露可能会使诺基亚面临进一步的未授权访问风险，甚至可能被用于其他类型的网络攻击。

尽管Intel Broker强调此次泄露不涉及客户信息，但诺基亚内部数据的曝光仍可能带来严重后果。黑客现在拥有的开发环境、源代码和凭证等信息，可能被用来篡改诺基亚的工具或服务，或者利用这些资源中的漏洞来破坏其他系统。

诺基亚对此事迅速做出回应，表示公司已经意识到这些指控，并正在进行积极调查。然而，根据诺基亚的初步调查结果，目前没有证据表明公司的系统或数据受到了影响。诺基亚的发言人表示，诺基亚对这些指控非常重视，他们正在调查中。到目前为止，调查没有发现任何系统或数据受到影响的证据。他们将继续密切监控情况。

参考链接：

https://hackread.com/hackers-claim-access-nokia-internal-data-selling-20k/

Winos4.0恶意软件通过假冒游戏应用针对Windows用户

近期，一种名为Winos4.0的恶意软件通过伪装成游戏应用的方式，针对Windows操作系统用户发起攻击。这种新型恶意软件利用用户对游戏应用的信任和兴趣，诱骗他们下载并安装，从而悄无声息地控制受害者的计算机并窃取敏感数据。

Winos4.0的攻击始于攻击者在非官方渠道发布假冒的游戏应用，这些应用看似合法，实则暗藏恶意代码。用户在不知情的情况下下载并安装这些应用后，Winos4.0便开始在后台执行一系列复杂的恶意行为。这些行为包括但不限于键盘记录、系统信息收集、远程控制等，严重威胁用户的隐私和数据安全。Winos4.0恶意软件的执行过程中，它能够巧妙地隐藏其真实身份，模仿合法游戏应用的界面，同时在后台悄无声息地收集用户的键盘输入、系统信息、浏览器历史等敏感数据，并将其发送回攻击者的服务器。更令人担忧的是，Winos4.0还具备远程控制功能，允许攻击者远程访问受害者的计算机，执行文件操作、系统命令等，这为攻击者提供了进一步进行恶意活动，如安装其他恶意软件、窃取更多数据或进行网络钓鱼攻击的能力。为了保持在受害者计算机上的持续性存在，Winos4.0会修改系统设置，确保在系统重启后能够自动运行。此外，该恶意软件还采取了一系列隐蔽措施，包括代码混淆和加密通信，以避免被安全软件检测，从而在用户不知情的情况下长期存在。

Winos4.0恶意软件的出现提醒所有Windows用户，尤其是游戏爱好者，对于来源不明的游戏应用要格外警惕。这种恶意软件不仅威胁个人用户的隐私和安全，也可能给企业网络带来风险。用户应避免从不可信的来源下载游戏应用，始终从官方应用商店或官方网站获取软件，并保持操作系统和安全软件的最新更新，以防止已知漏洞的利用。

参考链接：

https://hackread.com/winos4-0-malware-target-windows-fake-gaming-apps

SpyNote恶意软件的高级功能和攻击策略

SpyNote是一种高级的恶意软件，能够悄无声息地感染Android设备，窃取用户数据，并执行一系列恶意操作。恶意软件是通过伪装成合法应用或利用社交工程手段诱骗用户下载安装。一旦安装，它能够在用户不知情的情况下获取设备的管理员权限，从而获得对设备功能的全面控制。这种恶意软件的主要目标是窃取用户数据，包括联系人信息、短信、通话记录、位置数据以及麦克风和摄像头访问权限。

研究人员对SpyNote进行了深入的技术分析，揭示了其高级功能和攻击策略。SpyNote使用了多种逃避技术，包括代码混淆和加密通信，以避免被安全软件检测。它还能够模拟用户操作，如发送短信和拨打电话，以及在后台静默安装其他应用。SpyNote的另一个显著特点是其模块化架构，允许攻击者根据需要远程加载和执行不同的恶意模块。这些模块可能包括键盘记录器、联系人窃取器、设备锁定器等，使得攻击者能够根据目标设备的价值和攻击目的灵活调整恶意行为。通过对SpyNote样本的逆向工程，研究人员发现该恶意软件还能够利用设备的麦克风和摄像头进行实时监听和监视，进一步增强了其监控能力。此外，SpyNote还能够通过Wi-Fi和移动数据网络将窃取的数据发送回攻击者的服务器。

总之，SpyNote的发现强调了Android用户面临的日益增长的安全威胁。这种恶意软件的复杂性和高级功能使其成为对个人隐私和企业数据安全的重大威胁。

参考链接：

https://www.cyfirma.com/research/spynote-unmasking-a-sophisticated-android-malware/

能源管理巨头施耐德电气公司面临第三次勒索软件攻击

跨国能源管理公司施耐德电气近日遭受了一起网络攻击，新型勒索软件Hellcat的攻击者声称对此负责。施耐德电气也表示，公司正在调查一起涉及未授权访问内部项目执行跟踪平台的网络安全事件，该平台托管在一个隔离环境中。尽管施耐德电气的产品和服务未受影响，但此次事件标志着施耐德电气在过去18个月内第三次遭受勒索软件攻击。

攻击者在Hellcat勒索软件变种的泄露网站上列出施耐德电气为受害者，并要求支付150,000美元赎金，以“baguettes”为名，暗指施耐德电气总部位于法国。实际上，攻击者要求以Monero这种注重隐私的加密货币支付。Hellcat声称从施耐德电气的JIRA平台窃取了超过40GB的数据，包括项目、问题、插件以及超过40万行的用户数据，这些数据可能包含敏感或专有信息。此次勒索软件攻击的特点是，攻击者不仅加密了文件，还通过多种方式留下勒索信，包括在每个加密文件的目录中创建.txt文件、在桌面上显示.html文件，并以图像形式替换系统壁纸，进一步增强了对受害者的心理影响。此外，Hellcat勒索软件还具备绕过和禁用Windows系统上的用户账户控制（UAC）、覆盖系统的主引导记录（MBR）以及破坏系统还原工具的能力，使得受害者在没有备份的情况下很难恢复文件。施耐德电气的新任首席执行官Olivier Blum在本周接替了被撤职的Peter Herweck，而勒索信中提到的“你的选择，奥利维尔…”似乎是指这位新任CEO。此次事件再次提醒了全球企业，尤其是关键基础设施领域的企业，必须加强对网络安全的重视，采取有效的预防和应对措施。

参考链接：

https://cyberscoop.com/schneider-electric-energy-ransomware-hellcat/

新型GoZone勒索软件攻击成功后指控并威胁受害者支付赎金

最近出现了一种新型勒索软件GoZone，其背后的攻击者通过心理战术和数据加密技术对受害者进行威胁。这种勒索软件不仅要求受害者支付1000美元比特币以解密文件，还声称在受害者计算机上发现了儿童性虐待材料（CSAM），以此施压受害者支付赎金以避免被报告给当局。GoZone勒索软件的运作机制显示了攻击者在勒索软件领域的创新和狡猾。据研究人员的分析，这种勒索软件是用Go语言编写的，它采用了Chacha20和RSA算法对受害者文件进行加密，加密后的文件被赋予.d3prU扩展名。此外，攻击者还在受害者计算机上留下多种格式的勒索信，包括在每个加密文件的目录中创建.txt文件、在桌面上显示.html文件，并以图像形式替换系统壁纸，进一步增强了对受害者的心理影响。GoZone勒索软件的另一个特点是其模块化能力，它能够绕过和禁用Windows系统上的用户账户控制（UAC）、覆盖系统的主引导记录（MBR）以及破坏系统还原工具。这些行为不仅增加了受害者恢复文件的难度，也使得攻击者能够在受害者支付赎金后仍保持对系统的控制。尽管GoZone勒索软件的比特币地址交易历史较短，且近期没有交易记录，但这可能是攻击者在测试和调整策略。网络安全公司Elastio报告称，他们最近在企业云环境中观察到了GoZone的活动，这表明攻击者可能正在探索新的攻击领域。

GoZone勒索软件的出现提醒我们，勒索软件的威胁正在不断演变，攻击者不仅利用技术手段加密数据，还通过心理战术增加受害者支付赎金的压力。面对这种威胁，个人和企业必须提高警惕，采取包括定期备份数据、更新系统和软件、加强网络安全措施以及对员工进行安全意识培训在内的综合防御策略。

参考链接：

https://www.helpnetsecurity.com/2024/11/06/gozone-ransomware-d3pru/