每周高级威胁情报解读(2025.05.02~05.08)

披露时间：2025年5月7日

情报来源：https://mp.weixin.qq.com/s/nY2Hyg6ZsM7ViXW1lhO2Ag

相关信息：

APT-C-51（APT35）组织，又名CharmingKitten、Phosphorus等，自2012年以来一直活跃，主要针对英国、美国和以色列等国家的网络进行攻击，其动机包括政治和经济利益。近期，360高级威胁研究院发现该组织针对中东地区的攻击活动，攻击者利用恶意LNK文件诱导受害者点击，释放伪装文档和多个恶意DLL文件，通过层层解密和加载，最终部署PowerLess木马，实现窃密目的。攻击过程中，恶意组件通过加入大量无效代码干扰分析，并展示出较强的免杀能力。此次攻击使用的PowerLess木马版本为“3.3.4”，增加了自启动和向Telegram发送消息的功能。通过技术特征分析，如解密算法、混淆方式和通信C2域名，确认此次攻击归属于APT-C-51组织。该组织持续更新攻击载荷，相关企业和个人需加强安全意识，避免执行未知样本，防止机密信息泄露。

披露时间：2025年5月1日

情报来源：https://www.fortinet.com/blog/threat-research/fortiguard-incident-response-team-detects-intrusion-into-middle-east-critical-national-infrastructure

相关信息：

FortiGuard 事件响应团队调查了一起针对中东关键国家基础设施的长期网络入侵事件，该事件被归因于伊朗国家支持的威胁组织Lemon Sandstorm 。攻击从2023年5月持续到2025年2月，最早迹象可追溯到2021年5月。攻击者通过盗取的VPN凭证获得初始访问权限，并通过多个Web Shell和后门程序（包括Havoc、HanifNet、HXLibrary和NeoExpressRAT）建立持久性。他们利用开源代理工具（如plink、Ngrok、glider代理和ReverseSocks5）绕过网络分段。攻击分为四个阶段：建立立足点、巩固立足点、初步缓解及对手响应、入侵遏制及最终对手响应。攻击者在被遏制后，试图通过利用未公开的ZKTeco ZKBioTime软件漏洞重新获得访问权限，并发起针对性的网络钓鱼攻击以窃取管理员凭证。

披露时间：2025年4月29日

情报来源：https://www.bridewell.com/insights/blogs/detail/operation-deceptive-prospect-romcom-targeting-uk-organisations-through-customer-feedback-portals

相关信息：

2025年3月，Bridewell的威胁情报团队发现了一场名为“Operation Deceptive Prospect”的网络攻击活动，该活动与俄罗斯黑客组织RomCom存在显著技术重叠。RomCom通过英国零售、酒店和关键国家基础设施行业的客户反馈门户，向客服代表发送带有恶意链接的网络钓鱼邮件。邮件内容包括对目标公司活动设施的投诉或招聘咨询，链接指向存储在谷歌硬盘和微软OneDrive假冒域名上的虚假证据文件，这些域名由攻击者控制的虚拟专用服务器托管。攻击者利用社会工程学手段，通过多级重定向，最终将受害者引导至托管恶意软件下载器的页面，该下载器伪装成.pdf文件，并使用可能被盗用或被篡改的代码签名证书。

披露时间：2025年5月5日

情报来源：https://hunt.io/blog/apt36-clickfix-campaign-indian-ministry-of-defence

相关信息：

APT36组织（也称为Transparent Tribe）被发现通过伪装成印度国防部的虚假网站，利用ClickFix技术针对Windows和Linux用户发起攻击。攻击者创建了一个虚假的新闻门户网站，模仿印度国防部的新闻稿存档，通过社会工程学手段诱导用户执行恶意命令。在Linux系统上，攻击者通过一个简单的CAPTCHA页面，将恶意命令复制到用户的剪贴板，诱导用户在终端中执行。在Windows系统上，攻击者通过一个“仅供官方使用”的警告页面，使用mshta.exe执行恶意脚本。这些脚本从攻击者控制的服务器下载并执行进一步的恶意软件。攻击者还使用了多个伪装成印度政府子域的域名，以及Namecheap作为注册商。

披露时间：2025年5月8日

情报来源：https://cloud.google.com/blog/topics/threat-intelligence/coldriver-steal-documents-western-targets-ngos/

相关信息：

近日，Google威胁情报团队（GTIG）发现威胁组织COLDRIVER部署了新型恶意软件LOSTKEYS。该组织主要通过假验证码网站作为诱饵，利用社会工程学方法诱使用户复制、粘贴并执行PowerShell命令，从而在用户设备上安装恶意软件。LOSTKEYS恶意软件通过伪装的CAPTCHA页面引导用户复制并执行PowerShell命令，进而下载并运行多阶段载荷，最终窃取特定文件类型、系统信息和运行进程数据。COLDRIVER通常以高知名度的个人电子邮件地址或非政府组织地址为目标，窃取凭据、邮件和联系人信息。此次攻击活动的主要目标是为俄罗斯的战略利益收集情报。

披露时间：2025年5月7日

情报来源：https://www.trendmicro.com/en_no/research/25/e/agenda-ransomware-group-adds-smokeloader-and-netxloader-to-their.html

相关信息：

Agenda 勒索软件组织（也称为 Qilin）自2022年7月首次被发现以来，一直在不断演变和增强其攻击能力。2025年，该组织被观察到在多个行业（包括医疗保健、技术、金融服务和电信）中活跃，涉及美国、荷兰、巴西、印度和菲律宾等国家。Agenda 勒索软件从 Go 语言转向 Rust，增加了远程执行、虚拟环境中的传播以及复杂的逃避技术。2024年11月，研究人员发现了一个新的 .NET 编写的加载器（命名为 NETXLOADER），它在攻击中发挥了关键作用。NETXLOADER 使用了高度混淆的技术，包括控制流混淆、反篡改和反反汇编技术，使得逆向工程非常困难。它通过动态加载和执行加密的恶意软件组件（如 Agenda 勒索软件和 SmokeLoader）来逃避检测。SmokeLoader 也采用了多种反分析技术，包括动态 API 解析、虚拟化和沙箱逃避。

披露时间：2025年5月7日

情报来源：https://www.security.com/threat-intelligence/play-ransomware-zero-day

相关信息：

2025年4月，微软修复了一个高危的Windows Common Log File System（CLFS）驱动漏洞（CVE-2025-29824），该漏洞允许攻击者通过本地权限提升获得SYSTEM权限。根据赛门铁克威胁猎人团队报告称，Play 勒索软件组织（也称为 Balloonfly 或 PlayCrypt）针对美国攻击时使用了该漏洞，该团伙还部署了Grixba信息窃取器和其他恶意软件。攻击者通过Cisco ASA防火墙进入网络，然后利用CVE-2025-29824漏洞提升权限。尽管没有部署勒索软件有效载荷，但攻击者通过该漏洞获取了系统级权限，并创建了管理员账户。此外，攻击者还使用PowerShell命令从Active Directory中收集信息。

披露时间：2025年5月6日

情报来源：https://www.elastic.co/security-labs/bit-bybit

相关信息：

2025年2月21日，ByBit 加密货币交易所遭受了重大攻击，约40万以太坊（ETH）被盗，损失高达数十亿美元。此次攻击被认为是由朝鲜的精英网络攻击单位 TraderTraitor 发起的。攻击者通过利用 Safe{Wallet} 的信任关系，篡改了其多签名钱包平台，最终导致了这次大规模盗窃。Elastic Security Labs 对此次攻击进行了详细模拟，从攻击的初始阶段（通过 PyYAML 反序列化漏洞获取初始访问权限）到在 AWS 环境中的横向移动，再到篡改静态网站的供应链，最后通过 Docker 在 macOS 上实现隐蔽操作。模拟攻击揭示了攻击者如何通过社会工程学手段诱骗开发人员下载恶意 Python 应用程序，进而利用该应用程序中的 Docker 逻辑和攻击者控制的域名，获取对开发人员机器的控制权。攻击者随后利用开发人员的 AWS 会话令牌进入 Safe{Wallet} 的 AWS 环境，并在 S3 存储桶中篡改了 Next.js 应用程序的代码，以在交易过程中篡改交易细节，将资金重定向到攻击者的钱包中。

披露时间：2025年5月5日

情报来源：https://www.bleepingcomputer.com/news/security/luna-moth-extortion-hackers-pose-as-it-help-desks-to-breach-us-firms/

相关信息：

Luna Moth 勒索黑客组织（也称 Silent Ransom Group）近期加大了针对美国法律和金融机构的回调网络钓鱼攻击力度。该组织通过伪装成 IT 支持人员，利用电子邮件、假网站和电话进行社会工程学攻击，诱使受害者安装远程监控与管理（RMM）软件，从而获得对受害者设备的远程访问权限。这些攻击中，攻击者注册了至少 37 个域名，模仿美国主要律师事务所和金融服务公司的 IT 帮助台或支持门户，使用拼写错误的域名模式。受害者在不知情的情况下安装了合法且经过数字签名的 RMM 工具，如 Syncro、SuperOps、Zoho Assist 等，这些工具通常不会触发安全软件的警告。攻击者通过这些工具获取键盘操作权限，传播到其他设备，并在本地文件和共享驱动器中搜索敏感数据。找到有价值文件后，通过 WinSCP（通过 SFTP）或 Rclone（云同步）将数据传输到攻击者控制的基础设施中。随后，Luna Moth 联系受害组织，威胁要公开泄露数据，除非支付赎金，赎金金额因受害者而异，从 100 万到 800 万美元不等。这种攻击方式不涉及恶意软件、恶意附件或链接到恶意软件的网站，受害者在认为自己正在接受帮助台支持的情况下自行安装了 RMM 工具。

披露时间：2025年5月1日

情报来源：https://sansec.io/research/license-backdoor

相关信息：

Sansec 发现多个流行的电子商务软件包被植入后门，这些软件包由 Tigren、Meetanshi 和 MGS 等供应商提供，影响了数百家商店，包括一家价值 400 亿美元的跨国公司。这些后门自2019年至2022年被发布，攻击者通过入侵这些供应商的服务器，在其下载服务器上植入后门。这种供应链攻击使攻击者能够访问所有客户的商店，进而影响访问这些商店的客户。后门通过 License.php 或 LicenseApi.php 文件中的假许可证检查实现，攻击者可以控制 $licenseFile 变量，执行恶意 PHP 代码。Sansec 建议使用这些供应商软件的用户立即检查商店，并谨慎使用这些供应商的软件。

披露时间：2025年5月6日

情报来源：https://www.akamai.com/blog/security-research/active-exploitation-mirai-geovision-iot-botnet

相关信息：

Akamai的安全团队发现，Mirai僵尸网络正在积极利用GeoVision IoT设备的两个已知漏洞（CVE-2024-6047和CVE-2024-11120）。这些漏洞允许攻击者通过命令注入在目标系统上执行任意命令。攻击者利用这些漏洞下载并执行名为“boatnet”的Mirai变种恶意软件，该恶意软件具有DDoS攻击功能。Akamai团队在2025年4月首次在蜜罐中观察到这种攻击活动。攻击者还尝试利用其他已知漏洞，如DigiEver漏洞。受影响的GeoVision设备已停产，不再接收安全更新。

披露时间：2025年5月6日

情报来源：https://socket.dev/blog/malicious-pypi-package-targets-discord-developers-with-RAT

相关信息：

研究人员发现了一个名为 discordpydebug 的恶意 Python 包，该包伪装成 Discord 相关的工具，实际上却是一个功能完备的远程访问木马（RAT）。该包于2022年3月21日上传到 PyPI 仓库，至今已被下载超过11,500次，且自上传以来从未更新。安装后，该包会联系外部服务器（backstabprotection.jamesx123.repl[.]co），并根据服务器发送的命令执行文件读写操作和运行 Shell 命令。这使得攻击者可以读取敏感数据、篡改文件、下载额外的有效载荷以及执行数据外泄命令。尽管该代码没有包含持久化或提权机制，但其简单性使其特别有效，尤其是通过出站 HTTP 轮询而非入站连接，使其能够绕过大多数防火墙和安全监控工具。

披露时间：2025年5月6日

情报来源：https://unit42.paloaltonetworks.com/lampion-malware-clickfix-lures/

相关信息：

Unit 42 研究人员发现了一场针对葡萄牙多个组织的恶意活动，攻击者使用了 Lampion 恶意软件和 ClickFix 社会工程学诱饵。Lampion 是一种专注于窃取敏感银行信息的恶意软件，自2019年以来一直活跃。此次活动中，攻击者通过网络钓鱼邮件发送恶意 ZIP 文件，内含 HTML 文件，将受害者重定向至假冒葡萄牙税务机构的网站。该网站诱使受害者复制并执行恶意 PowerShell 命令，下载并执行多阶段的 Visual Basic 脚本（VBS）。这些脚本经过高度混淆，包含多个阶段，每个阶段负责不同的功能，如侦察、检测规避和数据收集。第三阶段的 VBS 脚本负责收集受害者信息并将其发送到攻击者的 C2 服务器。尽管最终的有效载荷在此次活动中被注释掉了，但攻击者可能在未来的攻击中启用它。

披露时间：2025年4月29日

情报来源：https://blog.alyac.co.kr/5560

相关信息：

BPFDoor首次于2021年被PWC发现，主要针对中东及亚洲的电信、政府和教育部门部署。它通过在内核创建具root权限的BPF套接字，实时过滤网络数据包，探测到含“魔术数字”的特定报文后，即刻在包内执行攻击者指令，包括启动反向Shell、连接新Shell端口及检测后门激活状态。由于BPF运行在防火墙前，相关流量无视传统网络策略，从而规避监控与阻断。近年来，BPFDoor不断演进，命令集和功能持续扩充，攻击手法日趋成熟。

披露时间：2025年5月6日

情报来源：https://gbhackers.com/critical-microsoft-0-click-telnet-vulnerability/

相关信息：

研究人员发现了一个严重的零日漏洞，影响微软的Telnet客户端（telnet.exe），攻击者可以利用该漏洞在某些网络场景下无需用户交互即可窃取Windows凭证。该漏洞涉及微软Telnet客户端的MS-TNAP认证协议。当Windows用户连接到恶意Telnet服务器时，客户端会自动发起认证。如果服务器位于内网或可信区域，或者系统策略允许静默认证，Windows将自动传输用户的NTLM认证数据，而无需用户批准或警告。这种行为在组织中尤其危险，因为许多组织在添加内部IP范围或主机到可信区域时未指定协议。攻击者可以通过设置恶意Telnet服务器，诱使用户点击telnet://链接（例如通过网络钓鱼邮件），然后捕获连接客户端的NTLM哈希值。捕获的哈希值可以用于NTLM中继攻击或使用工具（如Hashcat）离线破解，从而为攻击者提供对敏感系统和数据的潜在访问权限。研究人员建议，组织应立即审查可信区域设置，确保在添加主机/IP到内网/可信站点区域时指定协议（例如http://），并禁用或卸载不必要的Telnet客户端功能。

披露时间：2025年5月6日

情报来源：https://www.malwarebytes.com/blog/news/2025/05/android-fixes-47-vulnerabilities-including-one-zero-day-update-as-soon-as-you-can

相关信息：

Google发布了2025年5月的Android安全公告，修复了Android 13、14和15版本中的47个漏洞，其中包括一个被积极利用的零日漏洞（CVE-2025-27363）。该零日漏洞存在于FreeType库中，FreeType是Android设备用于显示文本的开源软件库，负责将字体文件渲染成屏幕上显示的字母和字符。攻击者可以利用此漏洞通过处理特定TrueType GX和可变字体文件执行远程代码（RCE），因为FreeType在处理设备内存中的值时存在越界写入漏洞。Facebook在3月发现了该漏洞，Google确认该漏洞可能已被有限、针对性地利用，但未披露更多细节。用户可以通过设备的“关于手机”或“关于设备”选项中的“软件更新”检查并安装更新。如果设备的补丁级别显示为2025-05-05或更高，则可以认为漏洞已被修复。用户应尽快更新系统，并运行主动的反恶意软件保护，以防止已知漏洞被利用。