[1216] 一周重点威胁情报｜天际友盟情报站

热点情报

微软补丁日通告：2022年12月版
Coffee勒索病毒新变种再度袭击国内高校与科研机构
伊朗组织MuddyWater针对亚洲和中东国家发起钓鱼攻击
响尾蛇组织近期瞄准巴基斯坦学校及军队
攻击者利用CHAOS RAT开展加密货币挖矿活动

APT攻击

Royal勒索软件组织剖析
伊朗间谍组织APT42及关联APT追踪
Deathstalker组织利用Janicab木马新变种攻击律师事务所
恶意软件TrueBot攻击活动，传播新窃密工具和Clop勒索软件

技术洞察

新型DDoS僵尸网络RedGoBot分析
开源存储库中涌现144294个网络钓鱼包
伪装为勒索软件的恶意擦除器Azov分析
针对电信和BPO公司的入侵活动持续增加
GoTrim僵尸网络正积极暴力破解WordPress等网站
针对VMWare ESXi服务器的自定义Python后门攻击分析

情报详情

微软补丁日通告：2022年12月版

微软周二发布了每月安全更新，披露了48个漏洞。在这些漏洞中，7个被归为“严重”，41个被归为“重要”。微软在这次补丁日还修复了两个零日漏洞，一个已被积极利用，另一个被公开披露。第一个零日漏洞为CVE-2022-44698：Windows智能屏幕安全功能绕过漏洞。目前许多恶意软件分发活动都在积极利用此漏洞，包括传播QBot木马和Magniber勒索软件的活动。另一个公开披露的零日漏洞是CVE-2022-44710：DirectX图形内核特权提升漏洞。成功利用此漏洞，攻击者可以获得系统权限。更多信息，可参考微软2022年12月安全更新说明：https://msrc.microsoft.com/update-guide/releaseNote/2022-Dec

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=231b13caca27454b803878adda0153e8

Coffee勒索病毒新变种再度袭击国内高校与科研机构

近日，360监测到针对国内高校与科研机构的Coffee勒索病毒出现了新的变种，这是继该勒索病毒在2022年1月首次出现后的再度“升级”。据了解，相较于前期主要通过群发钓鱼邮件、QQ群文件、QQ自动发送等方式进行传播，新变种主要通过邮箱传播。

此外，Coffee勒索病毒新变种仍采用RC4算法加密，且只加密文件前2M的头部数据，密钥生成算法等未作修改。但新变种对加密触发方式、加密格式、远程勒索shellcode C2获取方式等进行了更新调整。新变种通过邮箱传播，加密过程更加隐蔽，潜伏期最多可长达15天，同时使用DNS隧道技术来获取C2信息，免杀能力更强。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=e4a20245c8c24fe0a94c1b5273edc0a4

伊朗组织MuddyWater针对亚洲和中东国家发起钓鱼攻击

MuddyWater是一个网络间谍组织，且疑似为伊朗情报和安全部(MOIS)的下属组织。至少从2017年开始，该组织就瞄准了中东、亚洲、非洲、欧洲和北美的一系列政府和私营组织(涉及电信、政府、国防、石油和天然气等行业)。

Deep Instinct在今年十月初发现MuddyWater利用了合法的新型远程管理工具Syncro针对亚洲和中东国家的酒店业及保险公司开展了鱼叉式钓鱼活动。活动感染链始于一种以HTML附件形式出现的诱饵文件，该文件包含了指向OneDrive或Dropbox等托管平台的链接，这些平台最终托管的是一个包含Syncro MSI安装程序的文档。目前，已观察到该活动攻击范围遍及亚美尼亚、阿塞拜疆、埃及、伊拉克、以色列、约旦、阿曼、卡塔尔、塔吉克斯坦和阿拉伯联合酋长国等。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=a41fa93fda894616a297b1fba91c0696

响尾蛇组织近期瞄准巴基斯坦学校及军队

响尾蛇(Sidewinder)攻击活动最早可追溯到2012年，主要攻击巴基斯坦、中国、阿富汗、尼泊尔、孟加拉等国家，并以窃取政府外交机构、国防军事部门、高等教育机构等领域的机密信息为目的，其攻击活动具有强烈的政治背景。

近期，奇安信捕获了响尾蛇组织的多个攻击样本。样本使用与巴基斯坦相关的以学校和军队为主题的诱饵进行鱼叉式网络钓鱼攻击，且诱饵样本采用远程模板注入方式拉取后续载荷以降低前期被杀软查杀的可能性。此外，远程模板文件为RTF文件，借助CVE-2017-11882漏洞来执行Shellcode，并且利用RTF文件特性释放后续载荷。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=524b05ab4b434d92bd055041b0998f68

攻击者利用CHAOS RAT开展加密货币挖矿活动

趋势科技近期发现了针对Linux系统的加密货币挖矿活动，且攻击者主要使用了基于开源项目的Chaos远程访问木马(Trojan.Linux.CHAOSRAT)。该工具可对受感染系统执行反向shell，并具有截取屏幕截图，收集系统信息，下载、上传甚至删除文件等多种功能。此外，其主要下载器脚本和其他有效负载托管在不同位置，以确保活动持续活跃。研究人员指出，下载有效负载的主服务器似乎位于俄罗斯，而Chaos RAT则连接到了位于香港的另一台C2服务器。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=6931d47ac66543a99211ad88ca87038f

欢迎登陆天际友盟RedQueen平台，获取更多威胁情报。

联系方式

RedQueen平台：redqueen.tj-un.com

官网：www.tj-un.com

邮箱：[email protected]

电话：400-0810-700

关于威胁情报应用解决方案

秉承着“应用安全情报，解决实际问题”的理念，天际友盟以丰富的情报数据种类、多样的情报应用产品与强大的情报服务能力，为政府、行业管理机构和企业用户提供了坚实的情报技术支撑，协助客户构建情报驱动的主动防御体系，抵御网络安全风险，展现了情报应用的价值。

RedQueen安全智能服务平台，是天际友盟情报应用的核心枢纽，不仅是国内首个云端一体化安全智能综合服务平台，也是国内最大的安全情报聚合、分析与交换平台。

更多详情：https://www.tj-un.com/redQueen.html

通过与各类专业安全厂商的解决方案结合，将威胁情报落地应用在客户实际业务场景中来解决安全问题，是威胁情报应用的一种特有方式，我们称之为Threat Intelligence Inside，TI Inside模式。迄今，天际友盟的威胁情报能力，已实现与三十多家安全厂商的集成联动。

SIC安全情报中心（Security Intelligence Center），是天际友盟情报解决方案体系的核心。作为安全情报落地应用的一种表现形式，SIC可以将云端数据同步到本地，实现情报订阅与威胁溯源，还可通过其他来源的API接口接收STIX标准格式的情报数据并聚合到SIC中，配合SIC内嵌的流量分析、防护设备、资产引擎等，实现实时精准告警。

更多详情：https://www.tj-un.com/sic.html

Leon威胁情报网关，是基于海量威胁情报应用的高性能流量检测防护类产品。Leon可以与天际友盟的威胁情报产品家族（RedQueen、SIC、Ada、Alice 等）协同联动，构建全网立体纵深防御体系。基于实时订阅的恶意IP库、恶意URL库、恶意域名库、恶意邮件库等高价值威胁情报，实现对威胁的实时发现、实时阻断、全网预警及溯源分析。

更多详情：https://www.tj-un.com/leon.html