每周高级威胁情报解读(2025.02.28~03.06)

披露时间：2025年3月3日

情报来源：https://mp.weixin.qq.com/s/D5Iyxlk87D7bmE8Zu2NjkQ

相关信息：

近期，安恒信息研究院对Patchwork组织攻击活动进行了深入分析，揭示了两条主要攻击链及其技术细节。攻击链1（LNK->PDF+Loader->BadNews）主要针对国内目标，通过诱骗用户运行LNK文件，分阶段下载PDF文件、白文件、恶意DLL及加密Shellcode，最终执行Patchwork组织的专属特马BadNews。相关样本包括以“国家重点研发计划”“硕博连读选拔评审成绩”和“中国气象局文件”为诱饵的LNK文件。攻击链2（LNK->PS->白+黑+加密负载->Shellcode Loader->Havoc框架）不仅限于国内，还涉及南亚地区，例如针对孟加拉国的钓鱼邮件攻击，利用LNK文件加载远程Powershell脚本，通过复杂的白加黑技术及加密负载，最终加载Havoc框架以实现攻击目的。该攻击链涉及仿冒孟加拉国和中国的域名，显示出攻击者对南亚和中国目标的持续关注。

文章还披露了Patchwork组织注册的大量仿冒国内单位的域名，主要涉及外交、教育、科技等领域，表明其攻击目标具有高度针对性。此外，攻击者还通过钓鱼邮件、恶意文档及仿冒域名等多种手段实施攻击，结合社会工程学、加密技术和多阶段加载策略，成功规避了部分安全检测，显示出较强的隐蔽性和适应性。

披露时间：2025年2月28日

情报来源：https://mp.weixin.qq.com/s/LPlNnuLLpkhvBLz_7FCKnw

相关信息：

奇安信威胁情报中心近期发现肚脑虫组织利用PDF文档作为攻击活动的诱饵，可能影响巴基斯坦、孟加拉国等南亚地区的国家。攻击者使用攻击手法具体有两种：第一种是将恶意EXE文件直接用PDF图标伪装，使受害者误以为是PDF文档从而打开运行；另一种方式相对要繁琐一些，诱饵PDF文档中内置获取恶意PPT的钓鱼链接，恶意PPT被受害者下载并启动后将执行宏代码。第二种攻击方式除了在最初阶段使用PDF诱饵，其余环节与之前的肚脑虫直接投递恶意宏文档的攻击活动一致。

诱饵PDF文档故意模糊内容，并通过伪造的提示信息告诉受害者，如果想查看文档内容，需要点击“下载”联网获取。一旦受害者按照指示点击PDF中的指定区域，则会触发网络访问，链接最终会重定向到下载恶意PPT的网页。

披露时间：2025年3月3日

情报来源：https://mp.weixin.qq.com/s/DKC-kuGRU8yd9hw4p4aqfg

相关信息：

奇安信威胁情报中心发现具有南亚背景的 CNC 组织针对国内海洋领域的科研成果。CNC组织通过鱼叉邮件攻击获取初始访问权限，随后控制目标人员的即时通讯软件（如微信、QQ），向同事或师生传播恶意软件，实现横向移动。其恶意软件插件具有高度的模块化和定制化，能够执行远程命令、窃取文件、记录键盘输入，并通过U盘传播。攻击者还会根据目标设备上的杀毒软件进行定制化攻击，以提高免杀效果。

文章详细披露了CNC组织的多种恶意插件，包括远程命令执行后门、通过Github API实现远程控制的特马、U盘传播插件、键盘记录插件和文件窃密插件。这些插件通过多种方式窃取敏感信息，如科研文档、实验数据等，并将其上传到攻击者的C2服务器。此外，文章还提到CNC组织与另一个攻击集合UTG-Q-011的关联，后者主要针对激光科学和航空航天领域，但其后门与CNC组织的代码库相同。

披露时间：2025年3月3日

情报来源：https://malwareanalysisspace.blogspot.com/2025/03/deobfuscating-apt28s-hta-trojan-deep.html

相关信息：

一位名为“Seeker”的安全研究员对APT28的HTA Trojan恶意软件进行了深入剖析。该恶意软件采用了VBE技术和多层混淆手法，以规避安全检测，其目标主要针对中亚和哈萨克斯坦外交领域的网络间谍活动。分析过程详细描述了混淆代码的解码、控制交互字符串以及嵌入字符的选择等关键技术环节。研究发现，这些嵌入字符串由Windows vbscript.dll生成，并经过微软提供的Windows Script Encoder工具进行编码处理。通过多种手段对恶意软件进行解码和解析，揭示出APT28正积极寻求新机会并调整其网络间谍策略，对数字世界构成重大威胁。

披露时间：2025年2月27日

情报来源：https://unit42.paloaltonetworks.com/macos-malware-targets-crypto-sector/

相关信息：

Networks Unit 42 Palo Alto 研究人员发现了一种基于 Rust 的 macOS 恶意软件，名为 RustDoor，它会伪装成合法的软件更新。他们还发现了 Koi Stealer 恶意软件家族中一种之前未知的 macOS 变种。在调查过程中，他们观察到了先进的规避技术，即操纵 macOS 组件以避免被发现。这些策略与最近有关朝鲜威胁行为者针对求职者的报道相符。根据这些发现，有一定程度的信心认为，此次袭击是代表朝鲜政权进行的。

披露时间：2025年3月6日

情报来源：https://mp.weixin.qq.com/s/iRTOM04z_UPrOiiKtg2jXQ

相关信息：

近期，4SecNet团队发现了一起针对渗透测试人员的大规模APT钓鱼攻击，涉及38个GitHub账号。攻击者伪装成红队开源开发者，在GitHub上发布精心构造的恶意代码库，诱导用户下载并编译，从而在受害者设备上植入恶意后门。这些恶意项目利用Visual Studio的编译特性，在工程文件（.csproj）中嵌入恶意代码，通过多层混淆和Base64编码隐藏攻击载荷。最终，攻击者通过下载和执行远控工具，获取受害机器的控制权，窃取敏感数据，并可能进一步扩展攻击范围。

攻击活动已持续至少一年，涉及多个虚假GitHub账户，这些账户发布的游戏外挂、加密工具、窃密程序等恶意项目均包含独特的后门功能。4SecNet团队通过溯源分析，发现了一个与这些账户相关的本地邮箱地址，并进一步确认了38个相关账户的恶意行为。

披露时间：2025年3月4日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/call-it-what-you-want-threat-actor-delivers-highly-targeted-multistage-polyglot

相关信息：

Proofpoint研究人员发现了一个高度针对性的电子邮件攻击活动，目标是阿联酋的少数客户，特别是航空、卫星通信和关键交通基础设施领域的组织。攻击者利用一家印度电子公司的受感染邮箱发送恶意邮件，邮件中包含一个ZIP文件，其中包含一个LNK文件（伪装成XLS文件）和两个PDF文件。这些文件实际上是多语言文件，第一个PDF文件附加了HTA代码，第二个PDF文件附加了一个ZIP存档。LNK文件通过cmd.exe和mshta.exe执行PDF/HTA多语言文件。HTA脚本作为协调器，从第二个PDF文件中提取可执行文件和URL文件，并将其写入注册表以实现持久化。最终，从第二个PDF文件中提取的“sosano.jpg”文件通过XOR解码生成一个DLL（yourdllfinal.dll），即Sosano后门。Sosano后门是一个用Golang编写的DLL，具有获取当前目录/更改工作目录、列出当前目录内容、下载和加载额外负载、删除/移除目录、执行shell命令等恶意功能。

披露时间：2025年3月6日

情报来源：https://mp.weixin.qq.com/s/J2Y8QXQLaNeUulOXnG5m1A

相关信息：

奇安信威胁情报中心发现了一个针对DeepSeek本地部署工具的仿冒攻击活动，攻击者通过高仿水坑网站和搜索引擎投毒，诱导用户下载伪造的DeepSeek本地部署工具。该工具包中嵌入了恶意DLL文件，通过伪装成正常安装程序的方式，在安装过程中释放恶意代码，最终植入银狐WinOS远控木马，连接硬编码的C2服务器。此次攻击与黑产组织UTG-Q-1000的历史活动和技术手段存在同源性，且其资产与该团伙存在重叠。攻击者利用了DeepSeek的高热度和本地部署需求的激增，通过技术手段和黑文件在“财务组”中实施攻击。奇安信建议用户在访问和使用DeepSeek相关服务时，务必确认官方网站，并通过奇安信情报沙箱进行未知文件的安全性判别。

披露时间：2025年3月3日

情报来源：https://www.fortinet.com/blog/threat-research/havoc-sharepoint-with-microsoft-graph-api-turns-into-fud-c2

相关信息：

FortiGuard Labs发现了一场利用Havoc框架和Microsoft Graph API进行攻击的活动。攻击者通过钓鱼邮件发送HTML附件，利用ClickFix技术诱骗用户执行恶意PowerShell命令，从而下载并执行多阶段恶意软件。该恶意软件通过SharePoint托管脚本文件，并利用Python脚本加载shellcode。最终，攻击者通过修改版的Havoc Demon Agent与C2服务器通信，利用Microsoft Graph API隐藏恶意通信，使其更难被检测。攻击的目标是获取对受感染系统的完全控制权。Fortinet建议用户保持警惕，避免执行不明来源的终端或PowerShell命令，并强调了FortiGuard Antivirus和IPS签名在检测和阻止此类威胁中的作用。

披露时间：2025年2月28日

情报来源：https://unit42.paloaltonetworks.com/javaghost-cloud-phishing/

相关信息：

JavaGhost是一个活跃超过五年的威胁组织，最初以网站涂鸦为主，但从2022年开始转向利用云环境发送钓鱼邮件以获取经济利益。该组织通过获取AWS环境中暴露的长期访问密钥（IAM密钥），绕过安全限制并利用受害者的Amazon Simple Email Service（SES）和WorkMail服务发送钓鱼邮件。JavaGhost采用复杂的防御规避技术，例如不使用常见的GetCallerIdentity API调用，而是通过GetFederationToken和GetSigninToken生成临时凭证访问AWS控制台，隐藏其身份并建立长期持久性。此外，该组织还会创建多个IAM用户和角色，赋予其最高权限以控制AWS账户，并通过修改SES和WorkMail的配置来搭建钓鱼基础设施。

披露时间：2025年2月28日

情报来源：https://www.splunk.com/en_us/blog/security/infostealer-campaign-against-isps.html

相关信息：

Splunk威胁研究团队发现了一场针对美国西海岸和中国互联网服务提供商（ISP）基础设施的恶意信息窃取和加密货币挖矿活动。这场大规模攻击活动源自东欧，攻击者利用简单的工具滥用受害者计算机的处理能力，安装具有多种功能的恶意软件，包括：利用弱凭据（暴力破解）获取初始访问权限、通过命令与控制（C2）服务器窃取数据、部署额外的恶意软件、自我终止以避免检测、建立持久性和禁用远程访问、对目标CIDR范围进行横向攻击等。

攻击者通过Windows远程管理（WINRM）服务获取目标主机的访问权限，并执行恶意负载。主要恶意软件包括MIG.RDP.EXE、Migrate.exe和X64.exe，这些工具能够执行信息窃取、部署XMRig比特币矿工、修改文件和目录权限、创建持久性机制，并通过Telegram机器人进行C2通信。

此外，攻击者还利用了多个工具，例如masscan.exe进行网络扫描，auto.exe用于暴力破解和WINRM端口扫描，以及run.exe用于安装服务和清理过程。这些工具通过脚本语言（如Python和PowerShell）运行，以减少操作痕迹并利用API调用进行C2操作。

披露时间：2025年3月5日

情报来源：https://socket.dev/blog/typosquatted-go-packages-deliver-malware-loader

相关信息：

Socket研究人员发现了一个正在进行的恶意活动，攻击者利用域名抢注的Go包，在Go生态系统中发起恶意活动。这些包安装了隐藏的加载器恶意软件，目标是Linux和macOS系统。攻击者发布了至少七个冒充广泛使用的Go库的恶意包，其中一个针对金融领域开发者。这些包使用了重复的恶意文件名和一致的混淆技术，表明存在一个有组织的攻击者。恶意代码会下载并执行远程脚本，最终安装ELF文件。此攻击活动可能旨在窃取信息或进行其他恶意行为，对使用UNIX类环境的开发者构成风险。

披露时间：2025年3月4日

情报来源：https://cybersecuritynews.com/hackers-deliver-xworm-via-malicious-registry-files/

相关信息：

Stegoсampaign 是一种利用网络钓鱼、多功能 RAT、加载程序和恶意脚本的复杂攻击，现在有了新的变化。ANY.RUN 的恶意软件分析师发现了一种 Stegocampaign 变体，通过Windows注册表文件将恶意脚本添加到自动运行（Autorun）中。

攻击者使用带有PDF附件的钓鱼邮件诱导用户下载一个扩展程序（.REG文件）以打开附件。下载并打开该文件后，它会修改注册表，添加一个从网络下载的VBS文件到自动运行中。在Windows重启或用户登录后，计划任务运行VBS文件，触发PowerShell执行链，最终使用 ReverseLoader 感染操作系统。加载器会下载XWorm恶意软件并执行，其中包含嵌入图像中的DLL文件，XWorm从资源中提取并注入到AddInProcess32系统进程中。

披露时间：2025年3月3日

情报来源：https://www.trendmicro.com/en_us/research/25/b/black-basta-cactus-ransomware-backconnect.html

相关信息：

Black Basta和Cactus勒索软件团伙开始利用BackConnect恶意软件维持对受感染设备的持久控制并窃取敏感数据。攻击者通过社会工程学手段（如伪装成IT支持人员）诱骗受害者授予初始访问权限，利用Microsoft Teams和Quick Assist等工具获取未经授权的访问。攻击者还滥用OneDriveStandaloneUpdater.exe加载恶意DLL，以获取对内部网络的访问权限。BackConnect恶意软件与QakBot（一种加载器恶意软件）存在关联，后者在2023年的“Operation Duckhunt”行动中被打击。攻击者还通过商业云存储服务托管和分发恶意文件，利用其易用性和广泛的采用率。根据Trend Micro的威胁情报数据，自2024年10月以来，北美地区（21起事件）和欧洲（18起事件）受影响最为严重，其中美国有17个组织受影响，加拿大和英国各有5起事件。

披露时间：2025年2月28日

情报来源：https://www.greynoise.io/blog/new-ddos-botnet-discovered

相关信息：

GreyNoise披露了一个名为Eleven11bot的新型DDoS僵尸网络，该网络已感染超过30,000台互联网设备，主要用于发动分布式拒绝服务（DDoS）攻击。这些设备主要是安全摄像头和网络视频录像机（NVR）。根据Censys提供的数据，GreyNoise观察到1,042个IP地址在过去30天内活跃，其中61%（636个）可追溯到伊朗。此外，该僵尸网络通过暴力破解登录系统、利用IoT设备的弱密码和默认密码、针对特定安全摄像头品牌（如VStarcam）以及扫描暴露的Telnet和SSH端口来扩大其规模。

披露时间：2025年3月3日

情报来源：https://cybersecuritynews.com/windows-hyper-v-nt-kernel-vulnerability/

相关信息：

微软Windows Hyper-V NT内核集成虚拟服务提供商（VSP）中存在一个严重漏洞（CVE-2025-21333），已被攻击者积极利用以获取SYSTEM级别权限。该漏洞是一个堆缓冲区溢出漏洞，位于vkrnlintvsp.sys驱动程序中，CVSS评分为7.8。攻击者通过操纵I/O环形缓冲区机制，能够在内核内存中实现任意读写，从而提升本地攻击者的权限。相关概念验证（PoC）代码已由研究人员发布在GitHub上，展示了具体的利用技术。受影响的系统包括Windows 11 Version 23H2，Windows 11 Version 24H2也可能受影响。微软已在2025年1月的Patch Tuesday更新中修复了该漏洞，强烈建议用户立即应用这些补丁以降低风险。

披露时间：2025年2月28日

情报来源：https://securitylab.amnesty.org/latest/2025/02/cellebrite-zero-day-exploit-used-to-target-phone-of-serbian-student-activist/

相关信息：

Amnesty International发现，塞尔维亚一名23岁的青年活动家的Android手机被Cellebrite开发的零日漏洞利用程序解锁。该漏洞利用链针对Android USB驱动程序中的CVE-2024-53104（CVSS评分7.8），这是一个内核组件中的权限提升漏洞。该漏洞已于2024年12月在Linux内核中修复，并于2025年2月在Android中得到解决。此外，该漏洞还结合了另外两个Linux内核漏洞（CVE-2024-53197和CVE-2024-50302），但这两个漏洞尚未包含在Android安全公告中。Amnesty的分析显示，该漏洞利用程序被用于解锁活动家的Samsung Galaxy A32手机，并尝试安装一个未知的Android应用程序。Cellebrite本周表示，其工具并非用于任何进攻性网络活动，并且已停止塞尔维亚使用其软件。