每周高级威胁情报解读(2025.05.09~05.15)

披露时间：2025年5月13日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/ta406-pivots-front

相关信息：

朝鲜支持的黑客组织TA406自2025年2月起开始针对乌克兰政府机构，通过鱼叉式钓鱼邮件传播恶意软件和窃取凭据，以收集有关俄罗斯入侵的情报。TA406利用伪造的智库成员身份和虚假组织（如皇家战略研究所）发送钓鱼邮件，邮件中包含指向MEGA文件托管服务的链接，下载受密码保护的RAR归档文件。解密并运行该文件后，会启动一个使用PowerShell进行广泛侦察的感染链。该组织还通过发送伪造的Microsoft安全警报消息，试图从乌克兰政府机构窃取凭据。TA406的行动旨在了解乌克兰继续对抗俄罗斯入侵的意愿，并评估冲突的中期前景。朝鲜于2024年秋季向俄罗斯派遣了部队，TA406的情报收集活动可能有助于朝鲜领导层评估其在该地区的风险。

披露时间：2025年5月12日

情报来源：https://www.microsoft.com/en-us/security/blog/2025/05/12/marbled-dust-leverages-zero-day-in-output-messenger-for-regional-espionage/

相关信息：

Microsoft 研究人员发现 APT 组织 Marbled Dust 利用 Output Messenger 的零日漏洞（CVE-2025-27920）进行区域间谍活动，主要针对伊拉克的库尔德军事人员。自2024年4月以来，Marbled Dust 通过利用该漏洞，收集了相关用户数据。该漏洞允许攻击者上传恶意文件到服务器的启动目录，从而在目标系统上执行恶意代码。Marbled Dust 还利用了 Output Messenger 的系统架构，获取所有用户的通信内容，窃取敏感数据并伪装用户身份。

披露时间：2025年5月12日

情报来源：https://www.genians.co.kr/en/blog/threat_intelligence/toybox-story

相关信息：

Genians安全中心分析了APT37组织伪装成韩国国家安全智库的攻击活动“ToyBox Story”。该活动通过鱼叉式钓鱼邮件传播恶意LNK文件，邮件伪装成关于韩国国家安全战略的学术论坛邀请或与朝鲜士兵相关的虚假信息。这些LNK文件通过Dropbox链接分发，执行后会下载并执行名为“toy”的恶意软件。最终载荷为RoKRAT恶意软件，能够收集系统信息、截取屏幕并上传到C2服务器。APT37组织利用合法的云服务作为C2服务器，以逃避检测。该组织还使用了多种零日漏洞，并扩展了攻击范围，包括针对Android和macOS的恶意软件。

披露时间：2025年5月9日

情报来源：https://mp.weixin.qq.com/s/bE2TnA4mDOr37_so-oATqA

相关信息：

绿盟科技伏影实验室发现APT组织TransparentTribe针对阿富汗监狱管理局发动了鱼叉式钓鱼邮件攻击。攻击者通过邮件投递名为“opa.zip”的压缩文件，该文件包含多个诱饵文件，如图片、PDF和Excel文档。其中，一个Excel加载宏文件（xlam）包含恶意VBA脚本，执行后会创建动态文件夹，解压ZIP文件，并根据系统中.NET Framework的版本选择执行不同版本的恶意程序。最终载荷为CrimsonRAT远程控制程序，具备收集系统信息、下载运行文件、窃取敏感信息等功能。此次攻击中，攻击者还随机生成文件存储路径下的文件夹名称，以隐藏自身并防止被静态检测到恶意路径。

披露时间：2025年5月14日

情报来源：https://hackread.com/north-korean-hackers-stole-88m-posing-us-tech-workers/

相关信息：

美国司法部于2024年12月12日对14名朝鲜人提起诉讼，指控他们通过伪装成美国技术工人，利用虚假身份在美国公司和非营利组织获取远程IT工作，六年间共窃取了8800万美元。安全公司Flashpoint通过分析黑客受感染计算机中的数据，揭露了这一诈骗行为的细节。黑客们创建了如“Baby Box Info”“Helix US”和“Cubix Tech US”等虚假公司，以制作逼真的简历和提供虚假的推荐信。研究人员发现，位于巴基斯坦拉合尔的一台受感染计算机中存有与这些虚假实体相关的电子邮件登录凭据。这些黑客还利用谷歌翻译在英语和韩语之间切换，创建虚假工作参考，甚至包括编造的联系人信息。调查还发现，这些黑客使用AnyDesk远程桌面软件远程访问美国公司的系统，直接获取了敏感公司网络的访问权限。此外，他们还讨论了如何避免在在线会议中使用网络摄像头，以及如何处理远程工作设备的运输问题。这起案件揭示了朝鲜黑客如何通过复杂的网络攻击手段，直接获取美国公司的资金、知识产权和信息。

披露时间：2025年5月12日

情报来源：https://www.fortinet.com/blog/threat-research/horabot-unleashed-a-stealthy-phishing-threat

相关信息：

FortiGuard Labs 发现，攻击者利用伪装成发票或财务文件的恶意 HTML 文件通过网络钓鱼邮件传播 Horabot 僵尸网络，主要针对讲西班牙语的用户。攻击者使用 Outlook COM 自动化功能从受害者邮箱发送钓鱼消息，横向传播至企业或个人网络。攻击还结合了 VBScript、AutoIt 和 PowerShell 来进行系统侦察、凭证窃取和额外负载安装。这些攻击主要针对拉丁美洲用户，包括墨西哥、危地马拉、哥伦比亚、秘鲁、智利和阿根廷。

攻击通过西班牙语邮件诱导收件人打开附件中的恶意 ZIP 文件，该文件包含 Base64 编码的 HTML 数据，用于下载下一阶段的有效负载。VBScript 用于检测环境、收集信息并从远程服务器下载额外文件。AutoIt 脚本用于解密并执行恶意 DLL，收集系统信息和浏览器数据，并窃取登录凭证。PowerShell 脚本用于构建受害者电子邮件列表并发送恶意附件，伪装成发票附件。

披露时间：2025年5月8日

情报来源：https://jp.security.ntt/tech_blog/en-waterplum-ottercookie

相关信息：

NTT安全研究人员发现朝鲜相关攻击组织WaterPlum（也称为Famous Chollima或PurpleBravo）使用新版OtterCookie恶意软件。WaterPlum主要针对全球金融机构、加密货币运营商和金融科技公司。自2023年起，该组织开始使用名为BeaverTail或InvisibleFerret的恶意软件进行“传染性面试”活动，自2024年9月起，他们开始使用新的OtterCookie恶意软件。研究人员介绍了OtterCookie从v1到v4的演变过程，其中v1仅具有文件窃取功能，而v4则通过多次更新增加了许多新功能。v3版本在2025年2月被观察到，增加了对Windows环境的支持，并能够收集特定扩展名的文件并发送到远程服务器。v4版本自2025年4月起被观察到，增加了两个新的窃取模块，能够窃取Google Chrome的登录数据和MetaMask、Brave浏览器的凭据。

披露时间：2025年5月8日

情报来源：https://cyberint.com/blog/dark-web/meet-scattered-spider-the-group-currently-scattering-uk-retail-organizations/

相关信息：

Scattered Spider是一个以经济利益为目标的网络攻击组织，自2022年5月起活跃，最初主要针对电信和业务流程外包（BPO）行业，近期转向英国零售业。尽管Scattered Spider未公开承认对英国零售业的攻击，但其攻击手法与已知行为高度一致，暗示其可能是DragonForce勒索软件攻击的前期参与者。该组织擅长利用社会工程学手段，如短信钓鱼（smishing）、语音钓鱼（vishing）和多因素认证（MFA）疲劳攻击，伪装成IT人员以获取用户凭据。入侵成功后，Scattered Spider利用对Azure、AWS和Microsoft 365等云环境的深入了解，进行横向移动和数据窃取。他们还使用合法的远程管理工具（如AnyDesk和ConnectWise Control）和恶意驱动程序（如POORTRY和STONESTOP）来维持持久性并禁用端点检测与响应（EDR）系统。此外，Scattered Spider还利用漏洞（如CVE-2015-2291和CVE-2021-35464）进行权限提升和远程代码执行。自2023年中期以来，该组织还部署了BlackCat勒索软件，攻击Windows、Linux和VMware ESXi系统，窃取忠诚度计划和支付令牌等有价值的数据。

披露时间：2025年5月14日

情报来源：https://unit42.paloaltonetworks.com/darkcloud-stealer-and-obfuscated-autoit-scripting/

相关信息：

2025 年 1 月，Unit 42 研究人员发现了一系列传播 DarkCloud Stealer 的攻击活动。这些攻击利用 AutoIt 脚本和文件共享服务器来逃避检测和托管恶意软件。DarkCloud Stealer 自 2022 年首次出现以来，一直活跃且不断演变，主要通过电子邮件钓鱼活动传播，目标包括政府机构等多个行业。攻击链通常从包含 RAR 压缩包或钓鱼 PDF 的钓鱼邮件开始，PDF 会诱导受害者从文件共享服务下载恶意压缩包，其中包含 AutoIt 编译的可执行文件。该文件利用加密的数据文件构建最终的 DarkCloud Stealer 负载，这些数据文件包括加密的 shellcode 和 XOR 加密的有效负载。DarkCloud Stealer 能够收集计算机名称、用户名、截图、联系人、浏览器密码和电子邮件客户端密码等敏感信息，并将其发送到 C2 服务器。此外，它还具备多种反分析技术，例如检查分析工具和获取受害者公网 IP 地址等。

披露时间：2025年5月14日

情报来源：https://www.zscaler.com/blogs/security-research/technical-analysis-transferloader

相关信息：

TransferLoader 是一种复杂的恶意软件加载器，通常作为后续模块和组件执行链的第一部分。它包含多种反分析技术，如反虚拟机/反调试、字符串加密和代码混淆，以逃避检测。其主要功能包括解密和执行嵌入的有效载荷。TransferLoader 从 PE 部分获取加密的有效载荷，解密两个字符串（16 字节 AES 密钥和自定义 Base32 字符集），并使用自定义 Base32 解码和 AES-CBC 解密算法解密最终有效载荷。其嵌入的有效载荷包括下载器、后门加载器和后门模块。下载器用于从 C2 服务器下载额外的有效载荷并执行诱饵文件；后门加载器用于处理读取或修改配置数据的请求；后门模块是接收和执行 C2 服务器命令的核心组件，也用于更新自身配置数据。

披露时间：2025年5月14日

情报来源：https://blog.alyac.co.kr/5563

相关信息：

近期，一种新型的钓鱼邮件攻击手段正通过伪装成版权侵权通知在韩国传播，其背后隐藏着Rhadamanthys恶意软件，对用户的网络安全构成严重威胁。这些邮件伪装成来自国内律师事务所的版权侵权警告，诱导用户点击邮件中的PDF链接，链接实际指向云存储服务，下载伪装成PDF文件的恶意软件。恶意软件通过特殊的加载技术，执行数据盗窃任务，主要目标是窃取浏览器数据和加密货币钱包信息。

披露时间：2025年5月12日

情报来源：https://www.jamf.com/blog/pyinstaller-malware-jamf-threat-labs/

相关信息：

Jamf Threat Labs 发现了一种新型 macOS 信息窃取器，攻击者利用 PyInstaller 将恶意 Python 代码打包为 Mach-O 可执行文件。分析发现其行为包括触发 AppleScript 对话框以获取用户密码、运行 tccutil reset AppleEvents、执行 /usr/bin/osascript 等。通过静态分析，确认该样本是通过 PyInstaller 打包的，且为 FAT 二进制文件，支持 x86_64 和 arm64 架构。动态分析显示，该恶意软件在运行时会解包 Python 库到临时目录，并执行数据收集活动。反编译后的代码显示，该恶意软件通过字符串反转、base85 编码、XOR 加密和 zlib 压缩等方式进一步混淆。最终确认该恶意软件的功能包括窃取用户凭证、执行 AppleScript、从 macOS Keychain 提取敏感信息以及扫描加密货币钱包等。

披露时间：2025年5月9日

情报来源：https://news.sophos.com/en-us/2025/05/09/lumma-stealer-coming-and-going/

相关信息：

Sophos 在2024年9月发现了一起利用虚假验证码网站传播 Lumma Stealer 的活动。攻击者通过社会工程学手段，诱导受害者将恶意的 PowerShell 命令粘贴到 Windows 命令行界面中。具体来说攻击者创建了一个看似受验证码保护的恶意网站，要求用户加载 Windows “运行” 命令，然后按下 Ctrl-V 和 Enter 键。这会触发一个隐藏的 JavaScript 函数，将 PowerShell 脚本放入剪贴板并在隐藏窗口中运行。该脚本从 C2 服务器检索 Lumma Stealer 恶意软件，并开始下载恶意负载。在另一次调查中，用户被诱导访问一个恶意网站并打开一个伪装成 PDF 文件的 .lnk（快捷方式）文件，该文件尝试执行一个混淆的 PowerShell 脚本，利用 “ProxyCommand” 选项下载和执行远程脚本。

研究人员还详细分析了 Lumma Stealer 的代码，发现其使用了 AES 加密算法，并通过混淆技术隐藏了其真实行为。最终，该恶意软件会下载一个合法的 PDF 文件作为诱饵，同时在后台执行恶意操作。

披露时间：2025年5月14日

情报来源：https://mp.weixin.qq.com/s/BsLH6moSvIkUYJGGrBvISQ

相关信息：

本次微软共发布了 78 个漏洞的补丁程序，涉及 Windows 通用日志文件系统驱动程序、Windows 脚本引擎、Microsoft SharePoint Server 等产品。其中，23 个漏洞值得关注，包括 11 个紧急漏洞和 12 个重要漏洞。这些漏洞可能被攻击者利用，造成权限提升、远程代码执行等严重后果。特别值得关注的是，13 个漏洞已被标记为 “Exploitation Detected” 或 “Exploitation More Likely”，这意味着这些漏洞已遭利用或更容易被利用。例如，CVE-2025-30400（Microsoft DWM 核心库权限提升漏洞）、CVE-2025-30386（Microsoft Office 远程代码执行漏洞）和 CVE-2025-32706（Windows 通用日志文件系统驱动程序权限提升漏洞）等漏洞已存在在野利用。