[1122] 一周重点威胁情报｜天际友盟情报站

• 银狐最新木马变种通过微信群实现传播

• Windows NPM开发者遭遇供应链投毒攻击

• 盲眼鹰组织近期伪造司法部门文件部署DcRat后门

• 反追踪型僵尸网络家族XorBot改头换面，来势汹汹

• 伊朗Emennet Pasargad组织利用WezRat恶意软件攻击以色列

• UNC1549组织伪造求职网站投递恶意软件

• Lazarus组织利用macOS扩展属性隐藏恶意代码

• BrazenBamboo组织利用Forticlient漏洞窃取VPN凭证

• Hive0145黑客组织针对欧洲实体传Strela stealer恶意软件

• Earth Kasha组织与APT10 Umbrella的关联LODEINFO活动分析

• Helldown勒索软件详情披露

• ClickFix社会工程学技术分析

• Raspberry Robin恶意软件下载程序技术分析

• Ngioweb僵尸网络犯罪代理服务NSOCKS揭秘

• Water Barghest僵尸网络针对物联网设备的攻击活动追踪

• 银狐最新木马变种通过微信群实现传播

近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室通过监测发现了银狐木马病毒最新变种。据悉，攻击者虚构财务、税务等主题的钓鱼网页，通过微信群传播病毒下载链接。此次活动涉及的木马病毒常用文件格式以MSI安装包格式和ZIP、RAR等压缩包格式为主。木马病毒被安装后，会在操作系统中注册名为UserDataSvc[字母与数字随机组合]的系统服务，实现开机自启动和持久驻留，最终回联C2服务器，收集受害主机的操作系统信息、用户名、CPU信息、内存信息以及内网IP地址等数据。

详情查询：https://redqueen.tj-un.com/home/infoDetail/4af477b2a5a94a1fb26a5601f7d5fbd6

• Windows NPM开发者遭遇供应链投毒攻击

近两周，悬镜供应链安全情报中心在NPM官方仓库中连续捕获了多起针对Windows NPM开发者的恶意木马投毒攻击事件。据悉，活动涉及9个恶意组件包，共34个不同版本，恶意NPM包代码结构和恶意行为相似，属同一攻击者投放，总下载量超过3200次，并且仍托管在NPM官方仓库，存在较大安全隐患。进一步调查显示，恶意NPM包的主要行为是将内嵌在源代码中Windows EXE恶意木马程序解码释放到系统本地，并伪造成cmd.exe执行。以fixsolara组件包为例，其恶意代码在组件安装过程中执行，释放出内嵌的Windows木马程序XClient.exe，并植入到受害者系统中执行。具体来说，该木马程序的base64编码数据被嵌入在代码中，释放到系统临时目录下，并重命名为cmd.exe。而木马程序XClient.exe在VirusTotal上被多款杀毒引擎检测为trojan.msil/xworm恶意木马。

详情查询：https://redqueen.tj-un.com/home/infoDetail/ae473d69b2024930b534e16a615a5ea9

• 盲眼鹰组织近期伪造司法部门文件部署DcRat后门

盲眼鹰是一个疑似来自南美洲的APT组织，主要目标位于哥伦比亚境内，以及南美的一些地区，如厄瓜多尔和巴拿马。该组织自2018年被发现以来，持续发起针对哥伦比亚国家的政府部门、金融、保险等行业以及大型公司的定向攻击。近期，360监测发现该组织使用UUE压缩包伪造司法部门文件，通过钓鱼邮件诱使哥伦比亚地区人群或组织从第三方云平台下载携带恶意文件的压缩包，最终释放DcRat后门于用户机器中运行。调查显示，其攻击过程中使用了多种技术，包括利用西班牙语命名文件进行伪装，在压缩文件中内嵌自解压EXE文件，运行后释放恶意脚本执行程序和文件，创建计划任务用于持久化，下载并运行恶意载荷等。

详情查询：https://redqueen.tj-un.com/home/infoDetail/dcb8ce6084264b7cac6dbc6cf65938e4

• 反追踪型僵尸网络家族XorBot改头换面，来势汹汹

绿盟监测到，自2024年初以来，一个具有高度反追踪意识的新型僵尸网络家族XorBot频繁更新版本并引入新功能。据悉，该家族于2023年11月首次出现，并于12月份被披露，主要针对物联网设备，尤其是Intelbras监控摄像头以及TP-Link和D-Link品牌路由器进行攻击，导致国内大量物联网设备受到侵害，其中江苏和河北受影响最为严重。一旦攻击成功，它就会在受害设备上运行恶意木马程序，最新版本木马内置多达12种不同的漏洞利用方式。调查显示，XorBot家族的木马版本经历了多次迭代，每个版本都有其活跃时间段和特征。最新版本与早期版本在保持相似性的同时，也展现出显著差异，包括新增版本标识字段、不同的Flooding攻击模块、以及新增十余种漏洞利用技术，且该家族的传播脚本显示出对多种CPU架构的广泛兼容性，包括MIPS、PowerPC、ARM以及x86_64等。此外，值得注意的是，随着被该僵尸网络控制的设备数量日益增加，其背后的操控者开始积极展开营利性运营活动，公开提供DDoS攻击租赁服务，并以"Masjesu Botnet"为名在Telegram频道进行宣传。

详情查询：https://redqueen.tj-un.com/home/infoDetail/c0ebf25af99f4045a0286b5da40b5551

• 伊朗Emennet Pasargad组织利用WezRat恶意软件攻击以色列

2024年10月21日，一系列伪装成以色列国家网络安全局(INCD)的电子邮件被发送至多个以色列组织。这些邮件来自一个欺诈性地址[email protected]，警告收件人紧急更新他们的Chrome浏览器。10月30日，美国联邦调查局(FBI)、美国财政部和以色列国家网络安全局联合发布网络安全咨询，报告了此次活动中使用的恶意软件，它由Check Point命名为WezRat，归咎于伊朗网络组织Emennet Pasargad。该组织最近以Aria Sepehr Ayandehsazan(ASA)的名义运作，隶属于伊朗伊斯兰革命卫队(IRGC)，在2023年至2024年期间对美国、法国、瑞典和以色列等国家的多个领域发动了一系列网络攻击。而WezRat恶意软件则基于C++编写，是一款定制模块化信息窃取器，已经活跃了一年多，具有执行命令、截图、上传文件、窃取键盘记录和剪贴板内容以及cookie文件等许多功能，且其最新版本的一些功能是由以DLL文件形式从C2服务器检索的单独模块所执行。

详情查询：https://redqueen.tj-un.com/home/infoDetail/b8589dcb6a874b71a034782ff7820800