每周高级威胁情报解读(2024.12.20~12.26)

披露时间：2024年12月23日

情报来源：https://securelist.com/cloud-atlas-attacks-with-new-backdoor-vbcloud/115103/

相关信息：

卡巴斯基研究人员发现，Cloud Atlas组织在2024年使用了新的VBShower和VBCloud后门工具，通过包含恶意文档的鱼叉式网络钓鱼电子邮件传播，旨在从受害者设备中窃取数据。

当打开文档时，它会从攻击者控制的远程服务器下载一个格式为RTF的恶意模板。该模板包含一个公式编辑器漏洞，用于下载并运行托管在同一C2服务器上的HTML应用程序（HTA）文件。RTF和HTA下载仅限于特定的时间段和受害者IP地址：请求仅允许来自目标区域。

恶意HTA文件提取并写入多个文件到磁盘，这些文件是VBShower后门的组成部分。VBShower下载和执行的多个脚本，包括安装安装 VBCloud 和 PowerShower 后门的脚本。PowerShower 和 VBCloud 均会下载并运行带有有效负载的 PowerShell 脚本，PowerShower 探测本地网络并促进进一步渗透，而 VBCloud 则收集有关系统的信息并窃取文件，并且VBCloud 使用公共云存储作为 C2。

披露时间：2024年12月20日

情报来源：https://securelist.com/bellacpp-cpp-version-of-bellaciao/115087/

相关信息：

BellaCiao 是一个基于 .NET 的恶意软件家族，该恶意软件将 Webshell 的隐秘持久性与建立隐蔽隧道的能力相结合。它于 2023 年 4 月下旬首次浮出水面，此后被公开归因于 APT 组织 Charming Kitten。最近，研究人员发现一个新的 BellaCiao 样本，并命名为 BellaCPP，其使用 C++ 编写，是旧版 BellaCiao 的重新实现。

BellaCPP 是一个名为 “adhapl.dll” 的 DLL 文件，它有一个名为“ServiceMain”的导出函数，表明该变体旨在作为Windows服务运行。BellaCPP 与早期BellaCiao版本的行为非常相似。它使用XOR加密解密三个字符串包括一个DLL文件路径和两个函数名称，之后再解密的路径上加载DLL文件，并使用GetProcAddress解析其他两个解密字符串的函数。它还使用与.NET BellaCiao版本相同的方法生成域名。然后调用CheckDNSRecords函数，如果返回值与硬编码的IP地址匹配，则调用SecurityUpdate函数。

研究人员无法检索到D3D12_1core.dll文件，因此无法分析触发的过程中的SecurityUpdate函数。然而，基于传递的参数和已知的BellaCiao功能，研究人员评估认为缺失的DLL创建了一个SSH隧道。与旧版BellaCiao样本中观察到的PowerShell webshell不同，BellaCPP样本缺少硬编码的webshell。

披露时间：2024年12月19日

情报来源：https://securelist.com/lazarus-new-malware/115059/

相关信息：

最近，卡巴斯基研究人员观察到了一次类似DeathNote 的攻击，该组织在一个月内向至少两名与同一核相关组织有关联的员工发送了包含恶意文件的存档文件，攻击中使用了多种类型的恶意软件，例如下载器、加载器和后门。在最新案例中，目标收到了至少三个与IT职位技能评估相关的压缩包，其中两个涉及特洛伊木马化的VNC工具。

攻击者使用恶意压缩ISO文件避开检测，其中包含恶意VNC和合法UltraVNC Viewer及恶意DLL。当受害者执行恶意VNC时，会弹出窗口要求输入IP地址和密码，这些信息可能通过社交媒体联系人告知。输入IP后，会生成XOR密钥解密VNC可执行文件的内部资源并解压数据，实际上是Ranid下载器，由AmazonVNC.exe加载到内存中执行进一步恶意操作。

CookieTime恶意软件在感染主机上被发现，其执行方式多样，包括作为DLL侧加载和作为服务执行。CookieTime用于下载多种恶意软件，包括LPEClient、Charamel Loader、ServiceChanger和CookiePlus更新版本。CookiePlus是一个新发现的基于插件的恶意程序，最初由ServiceChanger和Charamel加载器加载，具有从内部资源和外部文件获取C2列表的能力。CookiePlus作为下载器，功能有限，向C2服务器传输的信息很少。CookiePlus随后检索来自C2的额外加密负载，并使用Base64解码，得到包含ChaCha20加密负载的数据结构。负载类型由偏移0x04处的标志决定，可以是DLL或shellcode。

研究人员获得了CookiePlus加载的三种不同的shellcode，实际上是使用sRDI开源shellcode生成工具转换为shellcode的DLL，这些DLL作为插件执行，并将执行结果加密发送给C2。评估认为CookiePlus是MISTPEN的继任者，两者都伪装成Notepad++插件，且CookiePlus比MISTPEN更完整，支持更多执行选项。

披露时间：2024年12月17日

情报来源：https://www.trendmicro.com/en_us/research/24/l/earth-koshchei.html

相关信息：

Trend Micro 发现 APT29（又名“Earth Koshchei”）的俄罗斯黑客组织正在使用由 193 个远程桌面协议代理服务器组成的网络执行中间人 (MiTM) 攻击，以窃取数据和凭据并安装恶意负载。MiTM 攻击利用 PyRDP 红队代理工具扫描受害者的文件系统、在后台窃取数据并在受感染的环境中远程执行恶意应用程序。据悉，此次活动的目标是政府和军事组织、外交实体、IT 和云服务提供商以及电信和网络安全公司，主要针对美国、法国、澳大利亚、乌克兰、葡萄牙、德国、以色列、法国、希腊、土耳其和荷兰的实体。

Trend Micro分析了发送给欧洲一位学术研究人员的 RDP 配置文件，其中有一种向用户提供误导性的 AWS 安全存储连接稳定性测试连接请求，并会重定向所有本地驱动器、打印机、COM 端口、智能卡和剪贴板，从而允许远程访问受害者的本地计算机

建立连接后，恶意服务器会模仿合法 RDP 服务器的行为，并利用会话执行各种恶意活动。主要攻击媒介是攻击者部署恶意脚本或更改受害者机器上的系统设置。此外，PyRDP 代理有助于访问受害者的文件系统，使攻击者能够浏览目录、读取或修改文件以及注入恶意负载。

披露时间：2024年12月20日

情报来源：https://www.bleepingcomputer.com/news/security/malicious-rspack-vant-packages-published-using-stolen-npm-tokens/

相关信息：

三个流行的 npm 软件包 @rspack/core、@rspack/cli 和 Vant 均通过被盗的 npm 帐户令牌遭到入侵，这使得威胁行为者得以发布安装了加密矿工的恶意版本。Sonatype和Socket 的研究人员都发现了这次供应链攻击，攻击在受感染的系统上部署了 XMRig 加密货币挖掘器，以挖掘难以追踪的 Monero 隐私加密货币。此外，Sonatype 发现所有三个 npm 包都在同一天遭受了相同的攻击，影响了多个版本。

Rspack 是一个用 Rust 编写的高性能 JavaScript 捆绑器，用于构建和捆绑 JavaScript 项目。受到攻击的两个软件包是其核心组件和命令行界面 (CLI) 工具，在 npm 上每周的下载量分别达到 394,000 次和 145,000 次。Vant 是一个轻量级、可定制的 Vue.js UI 库，专为构建移动 Web 应用程序而设计，提供预先设计、可重复使用的 UI 组件。它也比较受欢迎，在 npm 上的每周下载量达到 46,000 次。

恶意代码隐藏在@rspack/core 上的“support.js”文件中，以及“@rspack/cli”中的“config.js”文件中，并从外部服务器获取其配置和命令与控制 (C2) 指令。该恶意软件利用 npm 的 postinstall 脚本在包安装时自动执行。一旦运行，它就会检索受害者系统的地理位置和网络详细信息。XMRig 二进制文件是从 GitHub 存储库下载的，对于受感染的 Vant 包，它被重命名为“/tmp/vant_helper”以隐藏其用途并融入文件系统。加密挖掘活动使用执行参数将 CPU 使用率限制为可用处理器线程的 75％，从而在加密挖掘性能和逃避之间取得了良好的平衡。

披露时间：2024年12月20日

情报来源：https://mp.weixin.qq.com/s/TCZVQEut9CvSiJ4VPwKJYg

相关信息：

近期，安天CERT监测到"游蛇"黑产团伙利用仿冒成远程控制软件下载站点的钓鱼网站传播恶意MSI安装程序，"游蛇"黑产团伙(又名"银狐"、"谷堕大盗"、"UTG-Q-1000"等)自2022年下半年开始活跃至今，针对国内用户发起了大量攻击活动，以图窃密和诈骗，对企业及个人造成了一定的损失。该黑产团伙主要通过即时通讯软件(微信、企业微信等)、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件，其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。"游蛇"黑产团伙仍在频繁地对恶意软件及免杀手段进行更新，并且由于该黑产团伙使用的远控木马及攻击组件的源代码在网络中流传，因此存在更多恶意变种，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户从官方网站下载安装应用程序，避免点击安全性未知的可执行程序、脚本、文档等文件，以免遭受“游蛇”攻击造成损失。经验证，安天智甲终端防御系统(简称IEP)可有效查杀该远控木马。

披露时间：2024年12月19日

情报来源：https://www.chainalysis.com/blog/crypto-hacking-stolen-funds-2025/

相关信息：

根据区块链分析公司 Chainalysis 的最新报告，朝鲜黑客在 2024 年发生的 47 次网络攻击中窃取了价值 13.4 亿美元的加密货币，这一数额占全年被盗资金总额的 61%，同比增长 21%。Chainalysis 表示，今年的大部分事件都发生在 1 月至 7 月之间，在此期间被盗金额占 2024 年总金额的 72%。

在被盗资金的平台类型方面，2021至2023年间，去中心化金融（DeFi）平台通常是加密货币黑客攻击的主要目标。然而，2024年第一季度后，中心化服务成为主要攻击目标，其中一些显著的中心化服务攻击包括DMM Bitcoin（2024年5月；3.05亿美元）和WazirX（2024年7月；2.349亿美元）。从手段上看，私钥泄露占损失的 44%，而利用安全漏洞仅占被盗加密货币的 6.3%。这表明安全审计对减少平台上可利用的漏洞有显著作用。然而，在处理私钥时需要实施更严格的安全措施。

受国家支持的朝鲜黑客系统地瞄准加密货币持有者、平台和投资者，以此来获取收入，寻找该国的武器发展计划。他们今年的收益已达到 13 亿美元，打破了 2022 年创下的 11 亿美元的纪录。Chainalysis 表示2023 年，与朝鲜有关的黑客在 20 起事件中窃取了约 6.605 亿美元；2024 年，这一数字增加到 47 起事件中被盗金额 13.4 亿美元，被盗金额增加了 102.88％。朝鲜黑客在2024年发动的攻击更加频繁，这表明其实施大规模攻击的能力更强。

然而，自2024年7月朝鲜领导人金正恩与俄罗斯总统普京在平壤会晤并签署互不侵犯条约后，朝鲜的黑客活动有所放缓。会晤后，朝鲜被盗资金的日均损失下降了约53.73%，而非朝鲜的被盗资金增加了约5%。这可能表明朝鲜在加强与俄罗斯的合作的同时，也调整了其网络犯罪活动。

披露时间：2024年12月24日

情报来源：https://www.bleepingcomputer.com/news/security/new-botnet-exploits-vulnerabilities-in-nvrs-tp-link-routers/

相关信息：

一种新的基于 Mirai 的僵尸网络正在积极利用远程代码执行漏洞，该漏洞尚未得到CVE编号，也没有在 DigiEver DS-2105 Pro NVR 中修补。僵尸网络针对多个网络录像机和固件过时的 TP-Link 路由器。

Akamai 的研究人员观察到，僵尸网络在 11 月中旬开始利用该漏洞，但发现证据表明该活动至少从 9 月份就开始活跃。除了 DigiEver 漏洞之外，新的 Mirai 恶意软件变种还针对TP-Link 设备上的CVE-2023-1389和 Teltonika RUT9XX 路由器上的 CVE-2018-17532。

被用来攻击 DigiEver NVR 的漏洞是一个远程代码执行 (RCE) 缺陷，黑客的目标是“/cgi-bin/cgi_main.cgi”URI，该 URI 会不正确地验证用户输入。这允许远程未经身份验证的攻击者通过某些参数（例如 HTTP POST 请求中的 ntp 字段）注入“curl”和“chmod”等命令。通过命令注入，攻击者从外部服务器获取恶意软件二进制文件，并将设备纳入其僵尸网络。通过添加 cron 作业实现持久性。一旦设备受到攻击，就会利用漏洞集和凭证列表进行分布式拒绝服务 (DDoS) 攻击或传播到其他设备。

披露时间：2024年12月25日

情报来源：https://mp.weixin.qq.com/s/BMlkSTj-Nc7wJQ06QTjs6w

相关信息：

MedusaLocker勒索软件在2019年9月首次出现，并感染加密了世界各地的Windows机器，其勒索信中表示免费解密一个小于10MB的文件来展示解密的可能性。

据悉，MedusaLocker样本在启动后会判断是否具有管理员权限，若没有则尝试提升权限，并通过修改注册表改变UAC。样本生成AES加密密钥，使用内置的RSA公钥加密密钥，并生成用户ID。用户ID会被写入勒索信和加密文件中，用于攻击者解密时使用。样本会复制自身到%AppData%Roaming目录下，并创建定时任务每隔15分钟执行复制后的样本。样本还会停止多种服务，包括数据库相关服务、安全相关服务、虚拟化相关服务等，并尝试结束多种进程，包括数据库相关进程、安全相关进程等。MedusaLocker在执行加密前，配置了不执行加密操作的文件目录，包括带$的文件和文件夹、系统目录、用户目录等。样本不加密勒索信文件和特定后缀名的文件，对数据库文件进行全量加密，对其他类型的文件，如果文件大小不大于16MB，则全量加密，否则只加密前16MB的数据。

在对该家族的详细分析之后，奇安信勒索解密还原工具目前集成了对该勒索家族的解密还原。通过在最新的奇安信测试环境中进行验证测试，奇安信勒索解密还原工具目前可以成功还原被该勒索家族加密勒索的文件。

披露时间：2024年12月23日

情报来源：https://www.fortinet.com/blog/threat-research/analyzing-malicious-intent-in-python-code

相关信息：

根据Fortinet FortiGuard 实验室的最新发现，两个名为zebo和cometlogger 的恶意软件包已上传到 Python 软件包索引 (PyPI) 存储库，都具备从受感染主机窃取敏感信息的功能。两个恶意软件包在被下架之前分别吸引了 118 次和 164 次下载。根据 ClickPy 的统计数据，这些下载大部分来自美国、中国、俄罗斯和印度。

其中，zebo 使用混淆技术（例如十六进制编码字符串）来隐藏通过 HTTP 请求与之通信的命令和控制 (C2) 服务器的 URL。它还包含大量用于收集数据的功能，包括利用 pynput 库捕获击键和利用 ImageGrab 每小时定期抓取屏幕截图并将其保存到本地文件夹，然后使用从 C2 服务器检索的 API 密钥将其上传到免费图像托管服务 ImgBB。除了窃取敏感数据外，该恶意软件还通过创建批处理脚本在机器上设置持久性，该脚本启动 Python 代码并将其添加到 Windows 启动文件夹，以便在每次重新启动时自动执行。

另一方面，Cometlogger 功能丰富，可以窃取各种信息，包括来自 Discord、Steam、Instagram、X、TikTok、Reddit、Twitch、Spotify 和 Roblox 等应用程序的 cookie、密码、令牌和帐户相关数据。它还能够收集系统元数据、网络和 Wi-Fi 信息、正在运行的进程列表以及剪贴板内容。此外，它还包含检查以避免在虚拟化环境中运行，并终止与 Web 浏览器相关的进程以确保不受限制的文件访问。

披露时间：2024年12月19日

情报来源：https://mp.weixin.qq.com/s/cXZBppKTM3ttI53hyH8jMg

相关信息：

NodeStealer 恶意软件已经从基于 JavaScript 发展为基于 Python 的威胁，够窃取更广泛的敏感数据。Trend Micro 研究人员在调查一起针对马来西亚教育机构的恶意软件活动时，发现了这一更新版的NodeStealer变体，该活动与一个越南威胁组织有关。最新版本的NodeStealer不仅可以收集信用卡信息和浏览器存储的数据，还针对Facebook Ads Manager账户，窃取关键的财务和业务数据。Facebook Ads Manager被广泛用于创建、管理和分析跨Facebook、Instagram、Messenger和Audience Network等平台的广告活动，已成为网络犯罪分子寻求利用敏感个人和业务相关信息的首要目标。

据悉，感染链始于一封带有恶意嵌入链接的鱼叉式网络钓鱼电子邮件，一旦点击，就会下载并安装伪装成合法应用程序的恶意软件。恶意软件使用了DLL侧加载和编码的PowerShell命令等复杂技术，以绕过安全防御并执行最终的有效载荷，通过Telegram泄露数据。

最终的有效载荷是一个信息窃取器，旨在收集信用卡数据和存储在Web浏览器中的敏感信息。此外，此次新活动还针对Facebook Ads Manager账户，提取财务和业务相关信息以推动恶意广告活动。观察到数据泄露是通过Telegram进行的，其中被盗的敏感信息首先被编译成zip存档，然后发送到特定的Telegram链接。

披露时间：2024年12月18日

情报来源：https://blog.qualys.com/vulnerabilities-threat-research/2024/12/18/notlockbit-a-deep-dive-into-the-new-ransomware-threat

相关信息：

NotLockBit是一种新兴的勒索软件家族，活跃于2024年，该恶意软件以x86_64 Go语言编写，能够同时攻击macOS和Windows系统。NotLockBit的主要功能包括目标文件加密、数据外泄和自删除机制。

攻击链始于通过网络钓鱼邮件传播的恶意文档，受害者在打开文档后，恶意代码会利用公式编辑器漏洞（CVE-2018-0802）下载并执行恶意软件。NotLockBit在感染后会收集系统信息，并生成一个主密钥，该密钥使用RSA加密，确保只有对应的私钥可以解密。该恶意软件还会将敏感数据上传到攻击者控制的存储库，通常是Amazon S3桶或其他远程存储服务器。

NotLockBit在加密文件时，会跳过某些系统目录，并专注于特定文件扩展名，如文档、图片和虚拟机文件。它使用AES加密文件内容，并可能使用RSA加密过程。完成加密后，NotLockBit会更改受感染系统的桌面壁纸，显示勒索通知，并通过命令与控制（C2）服务器进行通信。

披露时间：2024年12月20日

情报来源：https://thehackernews.com/2024/12/cisa-adds-critical-flaw-in-beyondtrust.html

相关信息：

BeyondTrust公司的两款产品Privileged Remote Access(PRA)和Remote Support(RS)所存在的高危漏洞CVE-2024-12356(CVSS评分：9.8)被美国CISA加入其已被利用的漏洞列表(KEV)。该命令注入漏洞允许攻击者以站点用户身份运行任意命令。目前，BeyondTrust的云基础设施使用的服务上的漏洞已修复，但自托管用户仍需尽快更新补丁BT24-10-ONPREM1或BT24-10-ONPREM2。此外，BeyondTrust在12月遭受网络攻击，攻击者利用其Remote Support SaaS API密钥重置本地应用账户密码。CISA调查过程中还发现了中等严重性漏洞CVE-2024-12686(CVSS评分：6.6)，该漏洞同样影响着同一产品，目前修复补丁已发布，但攻击者身份及受影响规模尚不明确。