每周高级威胁情报解读(2025.02.01~02.06)

披露时间：2025年2月3日

情报来源：https://www.genians.co.kr/blog/threat_intelligence/k-messenger

相关信息：

2024年下半年，以韩国为目标的多次APT攻击中，APT37黑客组织利用K Messenger进行攻击。攻击者通过身份盗用和K Messenger团体聊天室通道，以鱼叉式钓鱼攻击作为初始入侵手段，成功后利用包含OLE的HWP文件和包含PowerShell命令的LNK文件进行下一步攻击。他们还利用多种手段规避Anti-Virus检测，使用变异攻击并利用商用云作为C2。攻击过程中，恶意软件通过多种方式获取用户信息并进行传播，对韩国的信息技术行业造成威胁。

披露时间：2025年2月4日

情报来源：https://asec.ahnlab.com/en/86098/

相关信息：

AhnLab发布报告，分析了Kimsuky组织利用RDP Wrapper和PebbleDash后门进行的持续性攻击活动。攻击者通过鱼叉式钓鱼攻击分发伪装成文档文件的恶意快捷方式文件（.LNK），执行后会通过PowerShell或Mshta下载并执行额外的有效载荷，最终控制受感染系统。报告指出，Kimsuky组织不仅使用PebbleDash和自定义RDP Wrapper，还结合了代理工具（用于绕过私有网络限制）、键盘记录器（用于记录用户按键）以及信息窃取工具（如forceCopy，用于窃取浏览器存储的凭据）。此外，报告还发现了新的Loader和Injector恶意软件，用于在内存中加载和注入恶意代码。2024年，Kimsuky的攻击方式发生了变化，更多地使用RDP Wrapper和代理工具进行远程控制，而非安装后门。

披露时间：2025年2月5日

情报来源：https://www.bitdefender.com/en-us/blog/labs/lazarus-group-targets-organizations-with-sophisticated-linkedin-recruiting-scam

相关信息：

Bitdefender Labs发现，Lazarus组织正在通过LinkedIn上的复杂招聘骗局针对企业和组织发动攻击。攻击者通过发送诱人的工作机会（如加密货币交易所项目）吸引目标，随后要求受害者提交简历和个人信息，以此收集数据并增加骗局的可信度。当受害者表现出兴趣后，攻击者会分享一个包含“最小可行产品”的代码仓库，并要求受害者运行代码以回答问题。然而，这些代码实际上是经过高度混淆的恶意脚本，会从第三方端点动态加载恶意代码。该恶意软件是一个跨平台的信息窃取器，能够感染Windows、macOS和Linux系统，目标是窃取与加密货币钱包相关的浏览器扩展数据，并将信息泄露到恶意IP地址。此外，该恶意软件还会下载并执行Python脚本，进一步下载其他恶意模块，包括键盘记录器、系统信息收集器、浏览器数据窃取器和加密货币矿工。攻击者通过这些工具收集主机信息、用户名、操作系统、处理器信息、GPU、RAM、IP地址等，并通过Tor代理与命令与控制服务器通信。

披露时间：2025年2月3日

情报来源：https://www.sentinelone.com/blog/macos-flexibleferret-further-variants-of-dprk-malware-family-unearthed/

相关信息：

苹果公司最近更新了其设备上的XProtect恶意软件检测工具，以阻止与朝鲜相关的macOS Ferret恶意软件家族的多个变种。然而，SentinelOne研究人员发现了一个新的变种“FlexibleFerret”，它尚未被XProtect检测到。

FlexibleFerret是“Contagious Interview”活动的一部分，该活动通过伪装成工作面试流程诱使目标安装恶意软件。攻击者通过链接诱导受害者安装伪装成Google Chrome更新或虚拟会议软件（如VCam或CameraAccess）的恶意软件。FlexibleFerret的安装程序包含多个应用程序和脚本，其中一个伪装成Zoom的虚假二进制文件会尝试与恶意域名通信，并在后台安装持久化组件。

研究人员发现，FlexibleFerret与之前报告的ChromeUpdate恶意软件高度相似，但使用了有效的苹果开发者签名。此外，攻击者还通过在GitHub上发布虚假问题，试图诱使开发人员下载恶意软件。FlexibleFerret的发现表明，攻击者正在不断调整其攻击策略，从签名的应用程序转向功能相似但未签名的版本，以扩大其攻击目标范围。

披露时间：2025年2月5日

情报来源：https://securityaffairs.com/173863/data-breach/icao-and-acao-breached-cyberespionage-groups-targeting-aviation-safety-specialists.html

相关信息：

联合国专门机构国际民用航空组织（ICAO）正在调查一起重大数据泄露事件。据称，一个名为Natohub的威胁行为者声称获取了ICAO的42,000份文件，其中包括个人身份信息（PII）。ICAO确认，受影响的记录包括2016年4月至2024年7月的招聘申请数据，共有11,929人受到影响，泄露的数据包括姓名、电子邮件地址、出生日期和就业历史等信息。此次事件表明攻击者的目标是获取特定个人及其数字身份信息，而非破坏IT/OT流程，这与传统的间谍活动和人力情报（HUMINT）相关。与此同时，Resecurity发现攻击者还针对阿拉伯民用航空组织（ACAO）发动攻击，通过SQL注入攻击窃取了员工及其凭据信息。被盗数据包括安全航空专家和事故调查员的信息，这些专家可能参与敏感通信。此类信息对传统网络犯罪分子来说价值较低，但可能被国家支持的攻击者用于寻找特定目标。ICAO和ACAO的数据泄露事件均通过暗网社区泄露，这凸显了航空组织在数据保护方面存在的持续性漏洞。

披露时间：2025年2月6日

情报来源：https://fieldeffect.com/blog/field-effect-mitigates-not-so-simplehelp-exploits-enabling-deployment-of-backdoors

相关信息：

Field Effect报告了一起针对SimpleHelp RMM客户端漏洞的攻击事件。攻击者通过位于爱沙尼亚的IP地址（194.76.227.171）连接到目标网络，利用SimpleHelp RMM客户端的漏洞入侵系统。攻击者在入侵后迅速执行了一系列侦察命令（如ipconfig、sc query、schtasks等），以获取系统和网络信息。Field Effect的MDR（托管检测与响应）系统检测到这些异常行为并触发了高危警报，随后对端点进行了网络隔离。

据悉，攻击者创建了一个名为“sqladmin”的管理员账户，并安装了一个名为agent.exe的后门程序，该程序与Sliver后门工具一致。Sliver是一种用Go语言编写的渗透测试工具，但常被攻击者滥用作为后门。攻击者还尝试在目标的域控制器上安装并运行Cloudflare隧道（伪装成svchost.exe），以实现横向移动和持久化访问。此外，Field Effect还发现了一个类似的攻击事件，攻击者利用位于俄罗斯的IP地址（213.183.45.230）上的恶意SimpleHelp服务器入侵目标网络。

披露时间：2025年2月4日

情报来源：https://socket.dev/blog/malicious-package-exploits-go-module-proxy-caching-for-persistence

相关信息：

Socket的研究人员发现了一个恶意的Go语言包github.com/boltdb-go/bolt，该包通过模仿广泛使用的BoltDB数据库模块（github.com/boltdb/bolt），并利用Go模块代理的缓存机制，实现了持久化的远程代码执行后门。攻击者通过创建一个与BoltDB名称相似的恶意包，诱使开发者在不知情的情况下安装该包。该恶意包被上传到Go模块代理后，攻击者修改了GitHub上的标签，使其指向一个干净的版本，从而隐藏恶意代码。然而，由于Go模块代理的缓存机制，开发者通过go命令行工具安装该包时，仍然会下载到缓存中的恶意版本。该恶意包包含一个隐蔽的远程访问后门，能够连接到攻击者的C2服务器（IP地址为49.12.198.231:20022），并执行从服务器接收到的任意命令。该攻击利用了Go模块代理的缓存机制，即使原始仓库的标签被修改，缓存中的恶意版本仍然可用。

披露时间：2025年2月4日

情报来源：https://www.trendmicro.com/en_us/research/25/a/cve-2025-0411-ukrainian-organizations-targeted.html

相关信息：

Trend Micro的研究人员发现，俄罗斯黑客自2024年9月起利用7-Zip中的一个漏洞（CVE-2025-0411）绕过Windows的“Mark of the Web”（MotW）安全功能，发动针对乌克兰的攻击。MotW是一种安全机制，用于警告用户即将执行的文件来自不可信来源，并要求用户确认是否运行。绕过MotW后，恶意文件可以在没有警告的情况下运行。攻击者利用该漏洞，通过双层压缩文件（一个压缩包内嵌另一个压缩包）的方式，利用MotW标志未正确传递到内层压缩包内容的漏洞，实现恶意文件的无警告执行。这些恶意文件通过伪装成Word或PDF文档的7-Zip文件发送给目标用户，最终触发SmokeLoader恶意软件，用于安装信息窃取器、木马、勒索软件或创建持久化后门。受影响的组织包括乌克兰国家行政服务、扎波罗热汽车制造厂、基辅公共交通服务等。该漏洞已于2024年11月30日通过7-Zip 24.09版本修复，但由于7-Zip没有自动更新功能，用户需手动下载最新版本以确保安全。

披露时间：2025年2月2日

情报来源：https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/malicious-packages-deepseeek-and-deepseekai-published-in-python-package-index

相关信息：

Positive Technologies的供应链安全团队发现，攻击者在2025年1月29日向PyPI上传了两个恶意包deepseeek和deepseekai，目标是开发者、机器学习工程师和AI爱好者。这些恶意包在用户运行deepseeek或deepseekai命令时会执行恶意代码，收集用户和计算机数据以及环境变量中的敏感信息（如API密钥、数据库凭据等）。攻击者使用Pipedream平台作为C2服务器接收窃取的数据。值得注意的是，恶意脚本的编写过程中使用了AI助手，这从代码中的注释可以明显看出。研究人员及时通知了PyPI管理员，这些恶意包已被删除。尽管如此，deepseeek被下载了36次，deepseekai被下载了186次。研究人员建议用户在安装新发布的包时需谨慎，尤其是那些伪装成流行服务包装器的包。

披露时间：2025年2月6日

情报来源：https://cyble.com/blog/dark-web-activity-new-hacktivist-group-emerges/

相关信息：

2025年1月，安全研究机构发现新的俄罗斯黑客组织，名为“Sector 16”，与已知的Z-Pentest组织合作，针对美国关键基础设施发动攻击。这些攻击涉及德克萨斯州的石油和天然气设施，黑客能够访问和操控监控和数据采集系统（SCADA），包括油罐液位、泵压和警报管理等关键数据。此外，多达15个勒索软件团体在暗网上活跃，包括CL0P、INC和黑巴斯塔，声称针对不同美国行业的攻击成功。攻击目标涵盖从港口、芯片设备制造商到政府和军事平台。

披露时间：2025年2月4日

情报来源：https://unit42.paloaltonetworks.com/macos-stealers-growing/

相关信息：

Unit 42的研究表明，macOS信息窃取器的数量正在迅速增长，这些恶意软件通过窃取敏感信息（如浏览器数据、加密货币钱包、即时通讯数据等）对用户和组织构成威胁。2024年，信息窃取器成为macOS上增长最快的恶意软件类型，第四季度相比第三季度增长了101%。研究重点分析了三种主要的信息窃取器：Atomic Stealer、Poseidon Stealer和Cthulhu Stealer。

（1）Atomic Stealer：也称为AMOS，首次发现于2023年4月，通过恶意广告传播，能够窃取浏览器数据、加密货币钱包、即时通讯数据等。它通过伪装成合法安装文件来欺骗用户。

（2）Poseidon Stealer：由化名“Rodrigo4”的攻击者推广，被认为是Atomic Stealer的分支或竞争对手。它通过伪装成合法应用程序的恶意安装程序传播，利用AppleScript框架窃取浏览器密码、加密货币钱包、Telegram数据等。

（3）Cthulhu Stealer：由“Cthulhu Team”通过Telegram推广，通过恶意应用程序安装程序传播。它能够窃取浏览器数据、加密货币钱包、Telegram数据、macOS笔记应用中的数据等。

这些信息窃取器不仅能够直接窃取敏感信息，还可能为后续的恶意活动（如勒索软件部署）提供入口点。

披露时间：2025年2月6日

情报来源：https://mp.weixin.qq.com/s/gcl97UAZ3XozTfdj5McvNQ

相关信息：

挖矿木马通过各种手段将挖矿程序植入受害者的计算机中，在用户不知情的情况下，利用受害者计算机的运算能力进行挖矿，从而获取非法收益。目前已知多个威胁组织（例如，H2Miner、“8220”等）传播挖矿木马，致使用户系统资源被恶意占用和消耗、硬件寿命被缩短，严重影响用户生产生活，妨害国民经济和社会发展。2024年，安天CERT捕获了多起挖矿木马的攻击活动，现将2024年典型的挖矿木马梳理形成组织/家族概览，进行分享，详见情报来源链接。

披露时间：2025年1月31日

情报来源：https://www.forcepoint.com/blog/x-labs/asyncrat-reloaded-python-trycloudflare-malware

相关信息：

近日安全研究人员曝光了一起新的AsyncRAT恶意软件活动。攻击者利用合法的Dropbox和TryCloudflare平台，通过复杂的多阶段流程将恶意负载投递到目标系统。AsyncRAT是一种高效的远程访问木马，能够实现隐秘的系统控制、数据窃取及命令执行。整个活动采用分布式恶意文件链，并通过虚假的发票掩盖真实意图。其分层设计和基础设施使用表明，攻击者正越来越多地利用低成本且难以追踪的合法平台开展恶意活动。安全研究人员警告，此类攻击可能会成为未来信息窃取和远程控制的主要传播手段。

披露时间：2025年2月3日

情报来源：https://securelist.ru/sparkcat-stealer-in-app-store-and-google-play/111638/

相关信息：

安全研究人员发现一种名为SparkCat的恶意软件正在通过Google Play和Apple App Store上的应用程序传播。该恶意软件利用光学字符识别（OCR）技术扫描用户设备上的图片，窃取加密货币钱包的恢复短语。据统计，已有18款Android应用和10款iOS应用被确认感染，部分应用仍在应用商店中提供，受感染应用的下载量已超过24.2万次。安全人员提示用户立即卸载可疑应用，并避免将敏感信息存储在屏幕截图或相册中。

披露时间：2025年2月5日

情报来源：https://cybersecuritynews.com/0-day-vulnerabilities-in-microsoft-sysinternals-tools/

相关信息：

研究人员发现，微软Sysinternals工具（包括Process Explorer、Autoruns和Bginfo等）存在一个严重的0-Day漏洞，该漏洞允许攻击者通过DLL注入技术执行恶意代码。这些工具广泛用于系统分析和恶意软件检测，但由于未与Windows更新系统集成，其安全更新需手动管理，存在风险。漏洞源于Sysinternals工具加载DLL文件的方式，它们优先从当前工作目录（CWD）或网络路径加载DLL，而非安全的系统目录。攻击者可利用此漏洞将恶意DLL（如cryptbase.dll或TextShaping.dll）放置在Sysinternals工具的同一目录下，当用户运行工具时，恶意DLL将被加载并执行攻击代码。研究人员通过Bginfo工具演示了该漏洞的实际影响，攻击者可利用此漏洞在系统启动时自动部署木马或恶意软件。尽管研究人员已于2024年10月28日向微软披露该漏洞，但微软将其归类为“纵深防御”增强而非关键漏洞，因此目前仍未修复。用户需采取预防措施，如避免从网络位置运行工具、验证DLL完整性等，以降低风险。

披露时间：2025年2月4日

情报来源：https://thehackernews.com/2025/02/microsoft-patches-critical-azure-ai.html

相关信息：

微软修复了两个被评为“关键”的安全漏洞，分别是Azure AI Face Service的CVE-2025-21415（CVSS评分9.9）和Microsoft Account的CVE-2025-21396（CVSS评分7.5）。其中，CVE-2025-21415是一个身份验证绕过漏洞，攻击者可以通过伪造手段在网络环境中提升权限。该漏洞由一名匿名研究人员报告。另一个漏洞CVE-2025-21396是由于缺少授权机制，可能导致未经授权的攻击者在网络环境中提升权限，该漏洞由化名Sugobet的安全研究人员发现。微软表示，这两个漏洞已经完全修复，无需用户采取额外措施。