[1108] 一周重点威胁情报｜天际友盟情报站

• App Miner挖矿木马活动追踪

• Ngioweb僵尸网络代理7年后依旧活跃

• 台湾地区Facebook商业账户遭到信息窃取攻击

• SteelFox木马伪装成软件激活器进行窃密和挖矿活动

• Atlassian Confluence漏洞遭攻击者利用以进行加密货币挖矿

• 蔓灵花组织多元攻击载体揭秘

• APT36组织ElizaRAT恶意软件演变分析

• 朝鲜APT37组织近期对韩网络侦察活动分析

• 海莲花组织首度利用MST文件投递RUST特马

• Lazarus组织不断更新Contagious Interview活动策略

• 新型勒索软件Interlock分析

• 新LightSpy lOS软件版本分析

• 恶意软件利用以太坊智能合约实现C2操作

• Strela Stealer恶意软件瞄准中欧和西南欧

• CopyRh(ight)adamantys活动以侵权为由部署Rhadamantys窃取程序

• App Miner挖矿木马活动追踪

近期，安天监测到一起挖矿木马攻击事件。据悉，该木马从2024年3月开始出现，持续更新攻击脚本，脚本可针对操作系统类型下载对应的挖矿程序，检查系统环境是否有curl、Python、Perl等工具，若有则使用这些工具下载挖矿程序，反之则会进行下载适配，对CPU进行一个合理的功率限制，以确保不会影响正常操作和业务。总之，该挖矿木马会尽可能的独占资源进行挖矿，且不影响受害操作系统稳定性。因其在脚本中多次出现"app"字符串，研究人员将其命名为"App Miner"。

详情查询：https://redqueen.tj-un.com/home/infoDetail/c69d708d76a64a13b48cc6b8dd0cddc4

• Ngioweb僵尸网络代理7年后依旧活跃

Cybersecurity近期报道称，新型多功能僵尸网络代理Ngioweb自2017年首次出现以来，仍然活跃并对网络安全构成威胁。研究人员表示，该僵尸网络由银行恶意软件家族Ramnit加载，其原始代码几乎没有任何相关变化，积极广泛地扫描易受攻击的设备(如Linear eMerge、Zyxel路由器和Neato吸尘器)，以将其转化为住宅代理，随后通过Nsocks平台将这些住宅代理在黑市上以几美分的价格进行出售。数据显示，Nsocks在全球范围内提供30,000个IP，并以低于1.50美元的价格出售24小时访问权，主要目标是住宅ISP用户，占感染用户的75%以上。此外，攻击者还会采用针对特定漏洞的扫描策略，以避免暴露他们的整个武器库。同时还会利用域名生成算法(DGA)和加密的TXT响应来保护其C2基础设施，确保持续的恶意活动。

详情查询：https://redqueen.tj-un.com/home/infoDetail/4451aeef4eab4ddd90553ce610cd4501

• 台湾地区Facebook商业账户遭到信息窃取攻击

Cisco Talos近期观察到未知攻击者至少自2024年7月以来便在中国台湾地区针对被用于商业或广告目的的Facebook账户进行网络钓鱼活动。据悉，活动涉及利用谷歌的Appspot[.]com域名、短URL和Dropbox服务，旨在部署信息窃取恶意软件(包括LummaC2、Rhadamanthys)。具体来说，感染链始于一封包含恶意软件下载链接的钓鱼邮件，邮件诱饵在诱饵模板和假PDF文件中使用了繁体中文，通过冒充公司的法律部门，试图诱使受害者下载并执行恶意软件，且攻击者使用了多种技术来逃避反病毒检测和沙盒分析，例如代码混淆、外壳代码加密、在资源数据中隐藏恶意代码以将文件大小扩展到700MB以上，以及将信息窃取器嵌入合法二进制文件等。

详情查询：https://redqueen.tj-un.com/home/infoDetail/3419579dac614c85a30e543684571d81

• SteelFox木马伪装成软件激活器进行窃密和挖矿活动

2024年8月，Securelist发现一种由矿工和窃密恶意软件组成的未知捆绑包引起了大规模的感染，并将其命名为"SteelFox"。据悉，此次活动始于2023年2月，活动涉及的恶意软件具有复杂的执行链，主要通过论坛帖子、恶意的Torren跟踪器、博客和模仿流行的软件(如福昕PDF编辑器、JetBrains和AutoCAD等)实现传播。此外，SteelFox还会使用窃密恶意软件提取受害者的信用卡数据和受感染设备的详细信息，随后利用受感染设备的计算资源进行加密货币挖矿，通过易受攻击的驱动程序提升权限，以便更深入地控制系统，最后再利用SSL pinning和TLSv1.3与C2服务器通信，确保通信的安全性和隐蔽性。目前，研究人员已经检测到这种威胁11000多次，受害者遍布全球，其中大多数受影响的用户在巴西、中国、俄罗斯、墨西哥、阿联酋、埃及、阿尔及利亚、越南、印度和斯里兰卡。

详情查询：https://redqueen.tj-un.com/home/infoDetail/59aad1410c224731af2389260baa977a

• Atlassian Confluence漏洞遭攻击者利用以进行加密货币挖矿

趋势科技近期发现，攻击者正利用Atlassian Confluence漏洞(CVE-2023-22527，未经身份验证的模板注入漏洞)通过Titan Network进行加密货币挖矿活动。据悉，Titan Network基于去中心化物理基础设施网络(DePIN)，是一个开源平台，允许用户共享和部署硬件资源，将其转化为有价值的数字资产，如计算能力、存储和带宽。此次活动，攻击者主要使用公共IP查找服务和各种系统命令来收集有关受感染机器的详细信息，还涉及下载和执行多个shell脚本来安装Titan二进制文件并以攻击者的身份连接到Titan网络。最终，通过执行一系列侦察、有效载荷部署和持久性机制，攻击者能够有效地利用服务器资源，将受感染的系统整合到Titan网络中，以获取经济利益。

详情查询：https://redqueen.tj-un.com/home/infoDetail/9c5710b822e14b6a8d0673682483b403