每周高级威胁情报解读(2025.01.10~01.16)

披露时间：2025年1月16日

情报来源：https://therecord.media/suspected-ukraine-hackers-russian-phishing

相关信息：

研究人员发现，一个疑似与乌克兰有关的黑客组织Sticky Werewolf正在发起新的网络间谍活动，目标是俄罗斯科学和工业企业。Sticky Werewolf 组织通过钓鱼邮件向俄罗斯工业和贸易部发起攻击，邮件内包含一个带有可执行文件的恶意档案，一旦打开，就会传播一种名为 Ozone 的已知远程访问恶意软件，该恶意软件可以让攻击者访问受感染的设备。

据悉，该组织主要针对俄罗斯、波兰和白俄罗斯的政府机构、研究机构和工业企业。该组织的工具包包括 Darktrack 和 Ozone 远程访问木马，以及 Glory Stealer 和 MetaStealer 恶意软件。

披露时间：2025年1月14日

情报来源：https://mp.weixin.qq.com/s/uJa5uHWn8wnbbqaBvLnPBw

相关信息：

360研究人员分析了APT-C-60自2018年到2024年使用的载荷，这些载荷按功能分为五类：Observer Installer、Observer、Backdoor Installer、Backdoor和Plugin。这些载荷符合APT组织载荷的标准结构，其中由Observer Installer和Observer组成的前锋马，负责对目标环境进行一个基础的探测；由Backdoor Installer和Backdoor组成的后门部分，负责目标完全控制和数据渗出任务；由Plugin载荷提供特异性的扩展功能。随着时间推移，这五类载荷的核心功能不变，实现方式一直在迭代更新，文章通过一些特征来呈现各类载荷随着时间的变化。

此外，文章还介绍了这些载荷中使用的多种解密算法，包括异或、自定义base64编码、BMP文件使用、标准加解密算法（如RC4和AES）以及解密算法的时间分布。这些算法的使用随时间有所变化，反映了攻击者在攻击技术上的不断更新和演变。

披露时间：2025年1月13日

情报来源：https://blog.sekoia.io/double-tap-campaign-russia-nexus-apt-possibly-related-to-apt28-conducts-cyber-espionage-on-central-asia-and-kazakhstan-diplomatic-relations/

相关信息：

据Sekoia研究人员发现，俄罗斯APT28组织（Fancy Bear）被观察到利用看似合法的哈萨克斯坦政府文件作为网络钓鱼诱饵，对中亚地区的政府官员进行感染和间谍活动。自2024年7月以来，该活动已在中亚、东亚和欧洲地区捕获了数十名受害者，并涉及到两种恶意软件HATVIBE和CHERRYSPY。这些文件包含外交声明草案、通信信件、内部行政笔记等，且其中一些文件似乎与哈萨克斯坦外交部发布的真实文件或声明相符，但目前尚不清楚APT 28最初是如何获得用于鱼叉式网络钓鱼攻击的哈萨克斯坦政府文件的。

披露时间：2025年1月10日

情报来源：https://blogs.jpcert.or.jp/ja/2025/01/initial_attack_vector.html

相关信息：

JPCERT/CC 警告称 Lazarus 组织利用 LinkedIn 作为初始感染向量，针对日本国内组织进行不正访问。该组织假装为招聘人员，提供高薪工作，通过 LinkedIn 发送恶意文件，诱导用户下载和执行，从而感染恶意软件。此外，文章介绍了三个Lazarus相关的攻击活动：

1.Operation Dream Job：攻击者利用合法的 LinkedIn 账户（通常是防务相关企业的 HR 部门账户）联系目标组织的员工，然后要求将通信工具改为 Skype 或 WhatsApp，并最终诱导受害者下载和执行恶意 Word 文档，导致恶意软件感染。

2.Operation Dangerous Password：自 2019 年以来持续进行的攻击活动，主要针对加密货币交易所。攻击者通过 LinkedIn 联系目标组织的员工，诱导他们下载 ZIP 文件，并执行其中包含的恶意文件。随着时间的推移，攻击手法逐渐变化，最近还增加了针对 macOS 的攻击手法，虚拟硬盘和OneNote文件也开始被用于攻击活动。

3.Operation AppleJeus：针对加密货币用户（组织）的攻击活动，攻击者通过 LinkedIn 联系目标用户，共享 Telegram 链接，然后通过 Telegram 诱导受害者下载和执行恶意 MSI 文件，这些文件伪装成加密货币交易工具。

披露时间：2025年1月15日

情报来源：https://securityscorecard.com/blog/operation-99-north-koreas-cyber-assault-on-software-developers/

相关信息：

SecurityScorecard 研究团队揭露了 Lazarus Group 组织发起的 Operation 99 网络攻击，该攻击针对寻找自由职业 Web3 和加密货币工作的软件开发者，利用虚假招聘和恶意 GitLab 仓库进行欺骗和感染。Operation 99的独特之处在于，它以编码项目吸引开发人员，其中包括制作欺骗性的 LinkedIn 个人资料，然后利用这些个人资料将他们引导至恶意的 GitLab 存储库。

攻击的最终目标是部署数据窃取植入程序，该植入程序能够从开发环境中提取源代码、机密、加密货币钱包密钥和其他敏感数据。其中包括 Main5346 及其变体 Main99，其中Main99还可以下载Payload99/73、Brow99/73、MCLIP等载荷，以便进一步进行恶意活动。

此外，Operation 99 的 C2 服务器由 “Stark Industries LLC” 托管，部署了高度混淆的 Python 脚本。这些脚本使用 ZLIB 压缩数据，并为特定受害者定制有效载荷，使检测变得困难。

披露时间：2025年1月9日

情报来源：https://blog.sucuri.net/2025/01/stealthy-credit-card-skimmer-targets-wordpress-checkout-pages-via-database-injection.html

相关信息：

Sucuri 最近发现了一种针对 WordPress 网站的复杂信用卡窃取恶意软件。这种恶意软件通过在数据库条目中注入恶意 JavaScript 来窃取敏感支付细节。恶意代码嵌入在 WordPress 数据库的wp_options表下，通过 WordPress 后台管理面板（wp-admin > widgets）注入到 HTML 块小部件中。该脚本检查页面 URL 是否包含“checkout”同时排除“cart”，确保恶意软件仅在用户准备提交支付详情时激活。

脚本会动态创建一个虚假支付表单，当受害者填写时会实时窃取支付信息。恶意代码还会通过劫持页面上的现有合法支付表单来窃取付款字段。窃取的敏感信息使用 Base64 编码结合 AES-CBC 加密，并发送到攻击者控制的远程服务器。

披露时间：2025年1月9日

情报来源：https://www.malwarebytes.com/blog/news/2025/01/groupgreeting-e-card-site-attacked-inzqxq-campaign

相关信息：

Malwarebytes 最近发现了一次广泛的网络攻击活动“zqxq”，该活动利用流量大的可信网站，尤其是存在季节性流量高峰的网站。其中包括 GroupGreeting[.]com 等贺卡网站。据公开数据显示，已有超过2800个网站受到类似恶意代码的攻击。恶意代码是一个混淆的 JavaScript 片段，旨在与合法网站文件混合，隐藏在主题、插件或其他关键脚本中，使用加扰变量（例如 zqxq）和自定义函数（HttpClient、rand、token）来逃避检测并妨碍分析。

此外，研究人员还发现“zqxq”活动与另一个被称为“NDSW/NDSX”和“TDS Parrot”的恶意软件注入活动有相似之处：

1.模糊的重定向脚本。与 NDSW/NDSX 非常相似，zqxq 脚本对其变量、方法和流程进行了深度模糊处理。函数的分层（Q、d、rand、token）和重复使用类似 base64 的解码是基于 TDS JavaScript 的威胁的标准指标。

2.流量分配系统行为。在运行检查（例如域名、cookie）后，这些脚本会将流量引导至托管其他恶意软件负载或钓鱼网站的外部页面。这正是 TDS Parrot 活动将用户流量转移到多个恶意域以最大化感染率的方式。

3.大规模网站感染。NDSW/NDSX 和 zqxq 活动都感染了数千个网站，这表明它采用了一种系统性方法（可能是自动化方法），利用流行 CMS 平台（如 WordPress、Joomla 或 Magento）或过时插件中的漏洞，类似于记录在案的 TDS Parrot 行为。

披露时间：2025年1月10日

情报来源：https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/

相关信息：

2024 年12 月初，Arctic Wolf Labs观察到一项涉及 Fortinet FortiGate 防火墙设备的可疑活动。这些设备的管理接口暴露在公共互联网上，攻击者通过访问受影响防火墙的管理接口，能够更改防火墙配置。在被入侵的环境中，攻击者被观察到使用 DCSync 提取凭据。本次活动可分为四个不同的阶段：

1.漏洞扫描（2024 年 11 月 16 日至 11 月 23 日）：攻击者使用不寻常的 IP 地址（如回环地址和流行的 DNS 解析器）进行 jsconsole 会话，形成大量看似自动化的登录和注销事件。

2.侦察（2024 年 11 月 22 日至 11 月 27 日）：攻击者开始进行未经授权的配置更改，例如更改系统控制台的输出设置。

3.SSL VPN 配置（2024 年 12 月 4 日至 12 月 7 日）：攻击者开始在被入侵的设备上进行更实质性的更改，目标是获得 SSL VPN 访问权限。他们通过创建新的超级管理员账户或劫持现有账户来实现这一点。

4. 横向移动（2024 年 12 月 16 日至 12 月 27 日）：成功建立 SSL VPN 访问后，攻击者寻求提取凭据以进行横向移动。他们使用先前获得的域管理员凭据进行 DC 同步攻击。

披露时间：2025年1月9日

情报来源：https://www.trendmicro.com/en_us/research/25/a/information-stealer-masquerades-as-ldapnightmare-poc-exploit.html

相关信息：

近日，趋势科技发现一种伪装成 CVE-2024-49113 (LDAPNightmare) 的 PoC Exploit 的虚假证明概念 (PoC) 利用程序，旨在诱使安全研究人员下载和执行信息窃取恶意软件。尽管使用 PoC 诱饵作为恶意软件传递手段的策略并不新鲜，但此次攻击仍然引起了重大关注，特别是因为它利用了一个 trending 问题，可能会影响更多的受害者。

技术分析显示，包含 PoC 的恶意存储库似乎是原始创建者的分支。在这种情况下，原始的 Python 文件被替换为使用 UPX 打包的可执行文件 poc.exe。当用户执行该文件时，会在 %Temp% 文件夹中投放并执行一个 PowerShell 脚本。这将创建一个计划任务，进而执行一个编码脚本。

解码后，该脚本从 Pastebin 下载另一个脚本，该脚本收集一系列信息后上传到外部 FTP 服务器。

披露时间：2025年1月16日

情报来源：https://mp.weixin.qq.com/s/VyOKU0uxTTV_6-l4hVm3UQ

相关信息：

近日，微步捕获到银狐木马的新变种，该变种不仅全程免杀，而且常规检测手段很难追溯到威胁根因，即使溯源到了，处置清理也非常困难。文章分析了攻击者的三大隐藏与对抗技巧和三大对抗清理技巧。

三大隐藏和对抗技巧：利用MSI内置CustomAction的方式，将恶意DLL嵌入其中；用临时服务的执行后自动销毁机制，以及执行的主体是操作系统进程来实现断链；安装有漏洞的驱动CleverSoar，利用漏洞提升至内核权限，用于搜寻并关闭主流杀软进程。

三大对抗清理机制：利用傀儡计划任务；对真正的持久化计划任务进行隐藏；利用RootKit实现自我保护，避免被关闭和拦截。

披露时间：2025年1月15日

情报来源：https://blog.xlab.qianxin.com/gayfemboy/

相关信息：

2024年8月，XLab观察到针对国产游戏《黑神话悟空》的发行平台Steam和完美世界的有预谋的大规模DDoS攻击。攻击分四波进行，攻击者精心选择各时区玩家在线高峰时段，持续数小时攻击。该攻击中涉及的僵尸网络最初自称AISURU，9月暂时停止活动，10月更新并命名为kitty，11月底出现新变体并再次更新为AIRASHI。AIRASHI僵尸网络利用cnPilot路由器的0DAY漏洞传播样本，采用多种加密和验证方式，具有稳定的T级DDoS攻击能力和丰富的IP资源。其攻击目标分布全球，涉及多个行业，主要攻击目标位于中国、美国、波兰、俄罗斯等地区，每天攻击数百个目标。

披露时间：2025年1月13日

情报来源：https://www.fortinet.com/blog/threat-research/deep-dive-into-a-linux-rootkit-malware

相关信息：

近日，FortiGuard研究团队对一款Rootkit恶意软件进行深入分析，研究表示Rootkit通过在NF_INET_PRE_ROUTING上设置Netfilter钩子函数，劫持受感染系统的TCP流量。钩子函数做的工作包括：处理attacker-init报文和相应报文格式、调用用户空间文件以及在用户空间进程和内核模块之间交换数据等。攻击者通过与受感染系统建立连接、发送命令并通过流量嗅探检索结果，进一步掌控目标系统。

披露时间：2025年1月10日

情报来源：https://mp.weixin.qq.com/s/t_M0zAfpthtr612z9EuXGw

相关信息：

近期，安天CERT监测到多起Outlaw挖矿僵尸网络攻击事件，该挖矿僵尸网络最早于2018年被发现，主要针对云服务器从事挖矿活动，持续活跃。安天CERT在分析近期的攻击事件中发现，该挖矿僵尸网络样本在第三版本基础上有了重要更新，其功能更加多样、隐匿性更高、清除更加困难。主要传播途径和功能依旧是SSH暴力破解攻击目标系统，植入SSH公钥，以达到长期控制目标系统的目的，同时下载执行基于Perl脚本语言编写的后门和开源门罗币挖矿木马，使用扫描和暴力破解工具对其他主机进行相应攻击。

披露时间：2025年1月15日

情报来源：https://mp.weixin.qq.com/s/SMyls_A-xI6LJVuOln7tBA

相关信息：

本月，微软共发布了159个漏洞的补丁程序，修复了Windows 远程桌面服务、Windows Hyper-V、Windows OLE等产品中的漏洞。经研判，28个重要漏洞值得关注（包括12个紧急漏洞、16个重要漏洞），其中3个在野利用的零日漏洞CVE-2025-21333、CVE-2025-21334、CVE-2025-21335，Windows Hyper-V NT内核集成VSP特权提升漏洞。其他更多信息详见原文链接。