APT37黑客组织利用群组聊天传播恶意LNK文件展开攻击——每周威胁情报动态第211期 （02.07-02.13）

APT37黑客组织利用群组聊天传播恶意LNK文件展开攻击

近日，网络安全研究机构发现，朝鲜支持的APT37黑客组织（亦称ScarCruft、Reaper）正在通过群组聊天平台传播恶意LNK文件，以入侵目标系统并窃取敏感数据。这一新策略凸显了该组织在攻击手段上的不断演变。

APT37近期的攻击活动涉及通过流行即时通讯平台的群组聊天发送恶意LNK文件。这些文件通常嵌入ZIP存档中，并伪装成带有熟悉图标和文件名的文件，以欺骗目标用户。例如，攻击者使用“Changes in Chinese Government’s North Korea Policy.zip”等文件名，诱导受害者打开文件。

据Genians分析师分析，一旦执行，LNK文件会触发PowerShell命令，启动多阶段感染链。该命令解码并执行嵌入脚本，通常导致部署RokRAT恶意软件。RokRAT是一种强大的远程访问木马（RAT），能够进行数据窃取、屏幕截图和远程命令执行。恶意LNK文件包含嵌入的PowerShell命令，执行隐藏脚本。该脚本从临时文件（如“bus.dat”）中读取恶意负载，解码并在内存中执行，这种无文件执行技术可以规避传统杀毒软件的检测。

APT37利用社会工程学手段，伪装成可信个人或组织，以地缘政治报告或讲座资料等为主题，诱导用户打开文件。这些文件看似合法，但包含嵌入的OLE对象或脚本，一旦交互即被激活。攻击的主要负载通常是RokRAT或类似恶意软件变体，其关键功能包括数据窃取、远程控制和持久化。APT37还利用云服务（如pCloud和OneDrive）进行命令与控制（C2）操作，进一步增加检测难度。为防御此类威胁，建议部署端点检测与响应（EDR）解决方案，以检测异常行为，如无文件恶意软件执行。同时，教育用户不要打开未经请求的文件，即使来自可信联系人，并禁用“隐藏已知文件类型的扩展名”设置，以便轻松识别可疑的双扩展名（如“.pdf.lnk”）。

APT37利用群组聊天作为传播机制，凸显了其适应性和针对韩国实体及其他目标的持续性。各组织必须保持警惕，并采取主动的网络安全措施，以应对这些高级持续性威胁。

图1APT37组织攻击流程

参考链接：

https://cybersecuritynews.com/apt37-hackers-abusing-group-chats/

UAC-0063组织的网络攻击活动从中亚扩展至欧洲

近日，Bitdefender Labs的研究人员发现，一个名为UAC-0063的网络间谍组织正在扩大其攻击范围，从中亚地区扩展至欧洲多个国家，包括德国、英国、荷兰、罗马尼亚和格鲁吉亚等。这一行动引发了欧洲各国政府机构和外交使团对网络安全的高度关注。自俄乌冲突爆发以来，中亚地区的地缘政治格局发生了显著变化。俄罗斯在该地区的影响力因乌克兰军事行动而减弱，而中国的经济影响力则通过“一带一路”倡议不断增长。这种复杂的地缘政治竞争为网络间谍活动提供了肥沃的土壤。UAC-0063组织利用这一背景，针对中亚和欧洲的政府机构和敏感目标展开了一系列复杂的网络攻击。

武器化文档：攻击者利用之前泄露的Microsoft Word文档，将其武器化后用于传播恶意软件HATVIBE。这些文档通过电子邮件链接发送给目标用户，而不是直接作为附件，以降低被邮件安全系统检测到的风险。这些文档在打开时会显示模糊页面，并提示“宏已禁用”，诱导用户启用宏。一旦用户启用宏，隐藏的VBA脚本将自动执行，部署HATVIBE加载器，为攻击者提供持久访问权限。

USB数据窃取：攻击者部署了名为PyPlunderPlug的恶意脚本，用于从受感染系统中窃取通过USB连接的设备数据。

高级恶意软件载荷：DownEx（C++编写）和DownExPyer（Python编写，也称为CHERRYSPY）是UAC-0063常用的恶意软件，能够实现长期的间谍活动，包括数据窃取、远程命令执行和持久化。

键盘记录与监视：研究人员发现了一个简单的Python脚本，用于记录受感染机器上的按键操作，这可能是LOGPIE键盘记录器的早期版本。

攻击者通过精心设计的电子邮件，诱导目标用户打开包含恶意链接的文档。这些文档在打开时会显示模糊页面，并提示“宏已禁用”，诱导用户启用宏。一旦用户启用宏，隐藏的VBA脚本将自动执行，部署HATVIBE加载器，为攻击者提供持久访问权限。HATVIBE加载器是一个HTML应用程序（HTA）脚本，能够与命令与控制（C2）服务器通信，接收命令并执行恶意操作。该脚本通过HTTP PUT请求向C2服务器发送受害者信息，并根据服务器的响应执行进一步的操作，如下载和执行其他恶意软件。UAC-0063组织还维持着一个庞大的C2服务器网络，用于恶意软件部署和数据窃取。这些服务器不断更新TLS证书以确保长期运营。已知的C2域名包括lanmangraphics.com、errorreporting.net、internalsecurity.us等。

尽管UAC-0063组织的攻击手法与俄罗斯网络间谍组织APT28（也称BlueDelta）存在相似之处，但目前尚无确凿证据表明两者之间存在直接联系。CERT-UA对UAC-0063与APT28之间的关联性评估为中等信心水平，但具体依据尚不明确。

图 2 UAC-0063组织攻击流程图

参考链接：

https://www.bitdefender.com/en-us/blog/businessinsights/uac-0063-cyber-espionage-operation-expanding-from-central-asia

Ivanti Connect Secure漏洞引发新型恶意软件SPAWNCHIMERA多起攻击活动

近日，日本计算机应急响应协调中心（JPCERT/CC）发布警告称，黑客组织利用Ivanti Connect Secure软件的漏洞（CVE-2025-0282）部署的新型恶意软件SPAWNCHIMERA正在对日本国内多个组织造成威胁。该漏洞于2025年1月由Ivanti公司公开，而JPCERT/CC早在2024年12月下旬就已确认多起相关攻击事件。

Ivanti Connect Secure是一款广泛使用的远程管理和支持软件，而CVE-2025-0282是一个存在于该软件中的缓冲区溢出漏洞，源于strncpy函数的不当使用。攻击者利用该漏洞，能够远程执行代码并植入恶意软件。JPCERT/CC指出，目前已有多个攻击组织利用该漏洞实施攻击，且攻击范围可能进一步扩大。

SPAWNCHIMERA是SPAWN家族恶意软件系列中的最新变种，它集成了SPAWNANT、SPAWNMOLE及SPAWNSNAIL的各项功能，构成了一种高度复杂且功能全面的威胁。该恶意软件通过多种高级手段潜入目标系统并实现横向移动，其主要特性概述如下：

首先，SPAWNCHIMERA在通信方式上进行了显著改进，摒弃了传统的网络端口通信，转而采用更为隐蔽的UNIX域套接字进行数据传输，具体路径设置为/home/runtime/tmp/.logsrv。这一变革使得其通信活动更难被常规网络监控工具所察觉，从而增强了隐蔽性。

其次，该恶意软件具备独特的漏洞修复功能，特别是针对CVE-2025-0282漏洞。它通过挂钩strncpy函数并动态限制复制大小为256字节的方式，有效修复了这一漏洞，此举可能旨在预防其他攻击者利用同一漏洞进行二次渗透，为自身在目标系统中的长期潜伏扫清障碍。

在数据保护方面，SPAWNCHIMERA对内部使用的私钥实施了编码处理，并利用XOR解码函数进行动态解码，避免了私钥以明文形式存在，极大地减少了恶意软件被追踪和分析的痕迹，提升了安全性。

相较于之前的版本，SPAWNCHIMERA还进一步优化了自身的抗分析性，通过彻底移除所有与调试信息相关的函数，使得安全研究人员对其的分析和追踪工作变得异常困难。

攻击流程上，攻击者通常首先利用CVE-2025-0282漏洞作为突破口，成功入侵目标系统后，随即部署SPAWNCHIMERA恶意软件。该软件具备在多个系统进程中注入并执行自身代码的能力，借此实现持久化驻留和高度隐蔽。此外，SPAWNCHIMERA还拥有通过网络横向移动的特性，能够迅速感染并传播至其他系统，进一步扩大其影响范围。

综上所述，SPAWNCHIMERA作为SPAWN家族的新成员，以其创新的通信方式、漏洞修复能力、增强的数据保护机制、优化的抗分析性以及高效的横向移动能力，构成了对当前网络安全环境的严峻挑战。

图3攻击流程图

参考链接：

https://blogs.jpcert.or.jp/ja/2025/02/spawnchimera.html

新型网络钓鱼活动滥用Webflow、搜索引擎优化和假验证码，窃取信用卡信息

近日，Netskope威胁实验室（Netskope Threat Labs）研究人员披露了一起自2024年下半年起持续至今的大规模网络钓鱼活动。该活动利用Webflow内容分发网络（CDN）、搜索引擎优化（SEO）策略以及精心设计的假验证码技术，针对全球范围内数百名Netskope客户及数千名用户，旨在窃取信用卡信息以实施金融诈骗。

此次网络钓鱼攻击主要聚焦于在搜索引擎中搜索文档的用户群体。攻击者巧妙地将恶意PDF文件托管在Webflow CDN上（域名为assets.website-files.com），这些文件通过SEO优化，在用户搜索特定关键词（例如书籍标题、文档和图表）时，会出现在搜索引擎结果的前列，并以目标关键词作为诱饵，诱导用户点击。

当用户打开这些恶意PDF文件时，会遇到一个精心设计的陷阱——一个嵌入钓鱼链接的假验证码图像。这个假验证码不仅外观逼真，还利用了Cloudflare Turnstile验证码服务，进一步增强了欺骗性，使用户误以为他们正在进行合法的安全验证。这一设计不仅欺骗了用户，还使得钓鱼页面能够躲避静态扫描器的检测，提高了攻击的成功率。

一旦用户尝试解决这个假验证码，他们就会被重定向到一个伪装成论坛页面的钓鱼网站。在这个页面上，攻击者提供了一个看似与用户搜索关键词相关的文件下载链接。当用户尝试下载文件时，会被要求注册账户，提供电子邮件地址、姓名等个人信息。紧接着，用户会被进一步诱导输入信用卡信息以完成所谓的“交易”。然而，一旦用户提交了信用卡信息，攻击者会立即发送错误消息，提示信用卡未被接受，如果用户多次尝试，最终会被重定向到一个HTTP 500错误页面，以此来掩盖其恶意行为。

此次网络钓鱼活动的受害者主要集中在技术、制造业和银行业领域，受影响最严重的地区包括北美、亚洲和南欧。攻击者通过这一复杂且狡猾的攻击手段，试图窃取包括信用卡信息、电子邮件地址、姓名等在内的个人敏感信息，以实施进一步的金融诈骗活动。

参考链接：

https://www.netskope.com/blog/new-phishing-campaign-abuses-webflow-seo-and-fake-captchas

美国医疗系统数据泄露事件，近90万患者信息受影响

近日，美国Hospital Sisters Health System（HSHS）宣布，2023年8月发生的一起网络攻击事件导致近882,000名患者的私人和医疗数据遭到泄露。HSHS是一家成立于1875年的非营利性医疗机构，与约2,200名医生合作，拥有超过12,000名员工，并在伊利诺伊州和威斯康星州运营着15家社区医院和两个儿童医院。

2023年8月27日，HSHS发现黑客入侵其网络系统，导致“几乎所有操作系统”和电话系统瘫痪。该事件被怀疑是一起勒索软件攻击，尽管目前没有勒索软件组织声称对此事件负责。HSHS在发现入侵后，立即聘请了外部安全专家协助调查，并协助IT团队恢复受攻击的系统。根据HSHS的调查，黑客在2023年8月16日至27日期间访问了受攻击系统中的文件。泄露的信息因人而异，但通常包括患者的姓名、地址、出生日期、医疗记录号、有限的治疗数据、健康保险信息、社会安全号码和/或驾驶执照号码。

HSHS在2024年9月的声明中表示，患者安全是其首要任务，正在尽快恢复系统运行。鉴于该医疗系统规模庞大，涉及数百个系统应用程序和数千台服务器，恢复和调查工作需要一定时间。此外，HSHS还为受影响的个人提供了一年的免费Equifax信用监控服务，以帮助他们监测可疑行为。

参考链接：

https://www.cysecurity.news/2025/02/us-health-system-notifies-nearly-900k.html

新型高级Android恶意软件Btmob RAT通过网络钓鱼传播

Btmob RAT是一款由Cyble研究与情报实验室（CRIL）于2025年1月31日披露的恶意软件，它正通过网络钓鱼网站广泛传播，尤其是那些伪装成流行流媒体平台（例如iNat TV）和虚假加密货币挖矿网站的钓鱼站点。该恶意软件专门针对Android设备，利用无障碍服务来执行一系列恶意活动，包括但不限于远程控制、凭证窃取、数据外泄，甚至绕过设备锁远程解锁设备。

Btmob RAT通过WebSocket技术与命令与控制（C&C）服务器通信，使攻击者能够实时执行多种命令，实现对受感染设备的全面控制和对敏感数据的窃取。这些命令包括但不限于键盘记录（捕获用户输入内容）、凭证窃取（在合法应用中注入虚假登录页面以捕获用户数据）、实时屏幕共享（允许远程查看和控制设备屏幕）、文件管理（在设备上下载、删除和操作文件）以及音频录制（通过麦克风录制对话）。

该恶意软件背后的网络犯罪分子，名为EVLF，通过Telegram积极推广Btmob RAT，提供付费许可和持续更新服务。其收费标准为5000美元的一次性费用，外加每月300美元的持续支持费用。EVLF不断更新Btmob RAT以增强其功能，并逃避安全检测。

从技术运作层面来看，Btmob RAT在安装后会请求用户授予无障碍服务权限，一旦获得此权限，它便能接管设备操作，并在用户不知情的情况下授予自身额外权限。随后，恶意软件连接到WebSocket服务器以接收命令和更新。它可以接收五种类型的响应命令，包括执行操作、停止活动或建立新连接等。

在数据外泄方面，Btmob RAT将各种设备详细信息（如设备名称、操作系统版本、电池状态和已安装的应用程序）传输回C&C服务器。此外，它还能通过WebView注入技术，向应用中注入虚假登录页面，窃取用户输入的凭证，并将这些信息发送到服务器以供进一步利用。

参考链接：

https://thecyberexpress.com/btmob-rat/

LegionLoader恶意软件下载器卷土重来，新增2000多个样本

TEHTRIS威胁情报团队发布了一份深度分析报告，揭示了LegionLoader恶意软件下载器的再度肆虐。LegionLoader，亦称Satacom、CurlyGate或RobotDropper，作为一种高度复杂的下载器，自2024年12月19日起在全球范围内死灰复燃，仅数周内便累积超过2000个样本，其中巴西成为重灾区，占比约10%。

该恶意软件主要通过“路过式下载”技术传播，攻击者利用被黑的网站及非法下载平台等不安全站点，诱骗用户访问恶意页面。这些页面生命周期极短，通常仅存在数小时，旨在诱导用户点击含有单个ZIP文件的Mega共享链接。ZIP文件内含一个密码保护的7-Zip压缩包及一张图片，图片揭示了解压密码，以此欺骗用户执行恶意软件。

LegionLoader以MSI文件形式分发，需用户交互才能激活，但其设计巧妙地规避了传统杀毒软件，VirusTotal的60个检测引擎中仅有3至9个能识别。为防自动化分析，MSI文件内置两种反沙箱机制：一是假验证码提示，伪装成验证用户身份，实则阻挠分析；二是利用Advanced Installer检测虚拟环境，虽可通过Orca绕过，但仍增加了分析难度。

执行后，MSI文件将多个组件释放至%APPDATA%目录，包括看似无害的DLL和可执行文件、一个加密存档iwhgjds.rar及用于解压的UnRar.exe。使用硬编码密码解包后，通过obsffmpegmux.exe侧加载obs.dll有效载荷，该DLL通过大量空导出函数混淆视听，浪费分析时间。

研究人员利用BinDiff对比多个obs.dll样本，发现其核心代码一致，差异仅在于第二阶段有效载荷及编译细节。动态分析揭示，shellcode解密后执行第二阶段可执行文件，该阶段负责与硬编码的C2服务器通信。遗憾的是，在TEHTRIS分析期间，所有C2服务器均处于静默状态，阻碍了深入分析。

若所有阶段顺利执行，LegionLoader将利用rundll32执行最终有效载荷，该载荷疑似为恶意DLL，但具体功能因C2基础设施失活而无法确定。恶意软件还会下载一个额外文件至%TMP%随机命名目录，并伪装成svchost.exe启动，进一步掩盖其恶意行为。

综上所述，LegionLoader以其复杂的传播手段、规避检测的设计及灵活的执行流程，对全球网络安全构成严重威胁。

参考链接：

https://securityonline.info/legionloader-malware-downloader-resurfaces-with-2000-new-samples/

Sarcoma勒索软件组织声称攻击了台湾大型印制电路板制造商Unimicron

近日，一个名为“Sarcoma”的新兴勒索软件组织声称对台湾地区的印制电路板（PCB）制造商Unimicron发起攻击，并窃取了大量数据。该组织在其泄露网站上公布了据称是从Unimicron系统中窃取的文件样本，并威胁如果未收到赎金，将在近期泄露所有数据。

Unimicron是一家全球知名的大型印制电路板制造商，生产刚性、柔性PCB、高密度互连（HDI）板和集成电路（IC）载体。该公司在全球范围内设有工厂和服务中心，其产品广泛应用于LCD显示器、计算机、外围设备和智能手机等领域。

根据Unimicron在台湾证券交易所（TWSE）发布的公告，该公司于2025年1月30日遭受了一起勒索软件攻击，影响了其在中国的子公司——Unimicron Technology (Shenzhen) Corp.。该公司表示，此次攻击的影响有限，并已聘请外部网络安全团队进行事件分析并协助实施防御措施。尽管Unimicron未确认数据泄露，但Sarcoma在其勒索网站上公布的文件样本看起来是真实的。

Sarcoma勒索软件组织于2024年10月首次发起攻击，并迅速成为当月最活跃和最活跃的勒索软件团伙之一，声称有36个受害者。2024年11月，网络安全专家警告称，Sarcoma勒索软件因其激进的攻击手段和不断增加的受害者数量，正迅速成为一个重大威胁。2024年12月，工业组织的网络安全威胁情报公司Dragos将Sarcoma列为全球工业组织面临的最重要的新兴威胁之一。

根据RedPiranha的报告，Sarcoma的运营者通过网络钓鱼邮件和利用已知漏洞（n-day）来获取初始访问权限，并且还进行了供应链攻击，从服务供应商转向其客户。在入侵后，Sarcoma会利用远程桌面协议（RDP）进行横向移动和数据窃取。然而，该威胁组织使用的工具尚未被详细分析，尽管其运营显示出一定的经验，但其确切来源和攻击手段尚未被完全破解。

参考链接：

https://www.bleepingcomputer.com/news/security/sarcoma-ransomware-claims-breach-at-giant-pcb-maker-unimicron/