[1209] 一周重点威胁情报｜天际友盟情报站

热点情报

11月份物联网安全攻击概况
朝鲜APT37组织利用IE 0-day漏洞袭击韩国
海莲花组织利用Torii远控木马针对物联网设备
疑似APT-C-56瞄准巴基斯坦恐怖主义分子
俄罗斯组织TAG-53针对美国军事企业发起钓鱼攻击
伊朗APT组织Agrius通过供应链攻击部署Fantasy擦除器

APT攻击

TeamTNT挖矿组织剖析
Vice Society勒索团伙详情披露
Callisto组织瞄准支持乌克兰的实体
Cranefly组织使用新技术从合法lIS日志中读取命令
黑客组织Lazarus利用AppleJeus变种软件继续针对加密货币用户

技术洞察

新木马CryWiper伪装成勒索软件
针对Redis服务器的新后门软件Redigo分析
Zerobot僵尸网络借助物联网等多个漏洞传播
Cuba勒索软件持续攻击美国关键基础设施领域，累计获取赎金超6千万美元

情报详情

11月份物联网安全攻击概况

根据CNCERT监测数据，2022年11月共捕获物联网恶意样本101921个，发现样本传播P地址82703个，其中来自境外的IP地址主要位于印度(87%)、巴西(5%)、巴基斯坦(1%)国家/地区。监测到活跃的僵尸网络C&C控制节点337个，活跃C&C控制节点主要分布在美国(21.7%)、德国(6.5%)、俄罗斯(6.5%)等。发现境内的感染节点IP地址40604个，主要位于广东省(22.2%)、云南省(9.4%)、河南省(9.3%)等。此外，按照IP属性分布，感染节点大多数属于住宅用户、数据中心、企业专线等类型。其中来自美国的73个C&C服务器控制了境内的12774个设备。本月共发现活跃的物联网僵尸网络28个，其中最活跃的有mirai(58.8%)、mozi(26.7%)、moobot(4.5%)等。物联网僵尸网络大量利用漏洞利用攻击进行感染传播，本月监测共发现698种物联网漏洞攻击，新增12种漏洞攻击，监测到物联网(IoT)设备攻击行为7.75亿次。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=0370bf92ce7b4e829a5c7d1a0f7ffd6e

朝鲜APT37组织利用IE 0-day漏洞袭击韩国

Google于2022年10月下旬发现了一个0-day漏洞，该漏洞被嵌入到以韩国梨泰院事件为主题的恶意文档中，并且正被由朝鲜政府支持的APT37组织用于针对韩国用户。

恶意文档首先会下载一个富文本文件(RTF)远程模板，该模板又将获取远程HTML内容。但由于Office默认使用Internet Explorer (IE)呈现此HTML内容，因此自2017年以来，该技术已被广泛用于分发IE漏洞（例如CVE-2017-0199）。APT37组织在本次活动中则主要利用了JScript引擎“jscript9.dll”中的Internet Explorer 0-day漏洞：CVE-2022-41128，该漏洞可允许攻击者在目标系统上执行任意代码。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=2799d8077c4441d697e24861fc573738

海莲花组织利用Torii远控木马针对物联网设备

安天CERT在近期攻击活动中捕获了一个被称为Torii的远控家族，溯源结果表明，该远控似乎是由海莲花组织研发并运营。远控涉及的攻击活动最早在2018年被披露，已发现通过弱口令暴力破解、漏洞攻击等手段进行传播。

近期Torii活跃于针对我国的攻击活动中，攻击者通过攻陷国内的公网路由器、摄像头等网络设备充当跳板，安装流量转发工具，将被植入Torii木马的设备的窃密数据和流量，经一层或多层跳板转发至真实的Torii远控C2服务器。基于研究已发现2022上半年存在超1万7千条的可疑受控流量访问数据，Torii在国内已初步具有僵尸网络规模。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=d8624c0a63d748929a1d6138ac7e0dc9

疑似APT-C-56瞄准巴基斯坦恐怖主义分子

近期，360发现了一批疑似APT-C-56(透明部落)针对巴基斯坦恐怖主义分子的恶意攻击样本，且样本涉及Android和Widows平台。通过溯源分析发现，该活动至少开始于2018年6月，至今仍处于活跃状态。

攻击者在Android平台使用了商业间谍软件SpyNote和SonicSpy，以及开源间谍软件AhMyth和Metasploit；Windows平台则使用了开源远控工具AsyncRAT。Android平台攻击样本主要伪装成恐怖主义相关样本以及工具类样本。例如：Explosive_course(爆炸物课程)、Abdul Rasheed(巴基斯坦伊斯兰原教旨主义者和圣战活动家)及Bolan Attack Video(俾路支解放军攻击视频)等相关应用。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=53342293a03f41e98e3c42e9bc382610

俄罗斯组织TAG-53针对美国军事企业发起钓鱼攻击

研究人员发现一批冒充美国军事企业的网络钓鱼网站与具有俄罗斯国家背景的黑客组织TAG-53有关。攻击者主要将钓鱼网页伪造成美国军事武器和硬件供应商公司Global Ordnance的Microsoft账号登录页面。TAG-53此前主要针对政府、情报和军事行业的目标开展凭据窃取活动。此外，该组织与Callisto Group、COLDRIVER和SEABORGIUM的基础设施及技术存在重叠。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=82b67f66932d4cd48510d032329ef062

伊朗APT组织Agrius通过供应链攻击部署Fantasy擦除器

近日，ESET研究人员在分析针对以色列软件开发商的供应链攻击时，发现了一种新的数据擦除器Fantasy及其横向移动和执行工具Sandals。证据显示，该活动归因于Agrius APT组织。Agrius是一个较新的与伊朗政府相关的的组织，该组织自2020年以来持续针对以色列和阿拉伯联合酋长国。

Agrius最近的活动始于2022年2月，目标是以色列的人力资源和IT咨询公司及钻石行业使用以色列软件套件的用户，且活动主要部署了凭证收集工具。然而在2022年3月12日，Agrius开始利用未知软件开发商的软件更新机制部署了Fantasy wiper和Sandals横向移动工具。目前，该活动主要受影响范围涉及以色列、南非、香港地区等。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=c14982eb84e240b099848b0dd31a6221

欢迎登陆天际友盟RedQueen平台，获取更多威胁情报。

联系方式

RedQueen平台：redqueen.tj-un.com

官网：www.tj-un.com

邮箱：[email protected]

电话：400-0810-700

关于威胁情报应用解决方案

秉承着“应用安全情报，解决实际问题”的理念，天际友盟以丰富的情报数据种类、多样的情报应用产品与强大的情报服务能力，为政府、行业管理机构和企业用户提供了坚实的情报技术支撑，协助客户构建情报驱动的主动防御体系，抵御网络安全风险，展现了情报应用的价值。

RedQueen安全智能服务平台，是天际友盟情报应用的核心枢纽，不仅是国内首个云端一体化安全智能综合服务平台，也是国内最大的安全情报聚合、分析与交换平台。

更多详情：https://www.tj-un.com/redQueen.html

通过与各类专业安全厂商的解决方案结合，将威胁情报落地应用在客户实际业务场景中来解决安全问题，是威胁情报应用的一种特有方式，我们称之为Threat Intelligence Inside，TI Inside模式。迄今，天际友盟的威胁情报能力，已实现与三十多家安全厂商的集成联动。

SIC安全情报中心（Security Intelligence Center），是天际友盟情报解决方案体系的核心。作为安全情报落地应用的一种表现形式，SIC可以将云端数据同步到本地，实现情报订阅与威胁溯源，还可通过其他来源的API接口接收STIX标准格式的情报数据并聚合到SIC中，配合SIC内嵌的流量分析、防护设备、资产引擎等，实现实时精准告警。

更多详情：https://www.tj-un.com/sic.html

Leon威胁情报网关，是基于海量威胁情报应用的高性能流量检测防护类产品。Leon可以与天际友盟的威胁情报产品家族（RedQueen、SIC、Ada、Alice 等）协同联动，构建全网立体纵深防御体系。基于实时订阅的恶意IP库、恶意URL库、恶意域名库、恶意邮件库等高价值威胁情报，实现对威胁的实时发现、实时阻断、全网预警及溯源分析。

更多详情：https://www.tj-un.com/leon.html