披露时间：2022年1月29日 

情报来源：https://mp.weixin.qq.com/s/epRGn7Tnzx6rXihYXIpIIg

相关信息：

Transparent Tribe（透明部落），是2016年2月被Proofpoint披露并命名的APT组织，也被称为ProjectM、C-Major。该APT组织被广泛认为来自南亚地区某国，并且与另一个由Paloalto Unit42团队披露的Gogron Group存在一定的关系。

近日，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多个Crimson RAT攻击样本。在此攻击活动中，攻击者使用图片文件图标用作恶意软件图标，诱使目标打开"图片"查看，实则运行恶意软件。当受害者点击执行诱饵文件之后，将会在本地释放一个压缩包，并执行压缩包内包含的Transparent Tribe组织的自有远控软件Crimson RAT。值得注意的是Transparent Tribe组织为了降低攻击样本的查杀率，对相关攻击样本进行了加壳处理。

披露时间：2022年1月27日

情报来源：https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/

相关信息：

    供应链入侵是影响一系列部门的日益严重的威胁，威胁参与者利用访问权限来支持多种动机，包括经济利益（例如 Kaseya 勒索软件攻击）和间谍活动。整个 2020 年，美国政府对俄罗斯联邦外国情报局 (SVR)进行了一项行动，以获取 SolarWinds IT 管理软件的更新机制，并利用它来扩大其情报收集能力。该活动被 CrowdStrike研究人员 跟踪为 StellarParticle 活动，并与APT29 COZY BEAR组织相关联。

研究人员对于 StellarParticle 活动利用的新颖策略和技术进行了分析。这些技术包括：

    1. 用于掩盖横向移动的凭证跳跃

    2. Office 365 (O365) 服务主体和应用程序劫持、模拟和操纵

    3. 窃取浏览器 cookie 以绕过多因素身份验证

    4. 使用TrailBlazer植入程序和GoldMax恶意软件的 Linux 变种

    5. 使用 Get-ADReplAccount 窃取凭据

    下图为凭证跳跃技术示例：

披露时间：2022年1月31日 

情报来源：https://blog.talosintelligence.com/2022/01/iranian-apt-muddywater-targets-turkey.html

    近日，Cisco Talos 研究人员观察到一项针对土耳其私人组织和政府机构的新活动，并将其归因于 MuddyWater ——美国网络司令部最近将其归于伊朗情报与安全部 (MOIS) 的 APT 组织。

该活动利用恶意 PDF、XLS 文件和 Windows 可执行文件将基于 PowerShell 的恶意下载器部署为目标企业的初始立足点。MuddyWater 使用基于脚本的组件（例如基于 PowerShell 的混淆下载器）也是美国网络司令部 2021 年 1 月的公告中描述的一种策略。

在本次攻击活动中，MuddyWater还利用金丝雀令牌来跟踪目标的成功感染，这是该组织新利用的TTP。这种在此活动中利用金丝雀令牌的特定方法也可能是规避基于沙盒的检测系统的一种措施。

披露时间：2022年1月27日

情报来源：https://blog.malwarebytes.com/threat-intelligence/2022/01/north-koreas-lazarus-apt-leverages-windows-update-client-github-in-latest-campaign/

相关信息：

    Lazarus Group 是自 2009 年以来一直活跃的最复杂的朝鲜 APT 之一。该组织过去曾对许多高调的攻击负责，并获得了全世界的关注。Malwarebytes 威胁情报团队正在积极监控其活动，并能够在 2022 年 1 月 18 日发现新的活动。

    在这次活动中，Lazarus 进行了鱼叉式网络钓鱼攻击，这些攻击使用了使用其已知工作机会主题的恶意文档作为武器，包括两份伪装成美国全球安全和航空航天巨头洛克希德马丁公司的诱饵文件。

    研究人员分享了对这一最新攻击的技术分析，包括巧妙地使用 Windows Update 来执行恶意负载，以及将 GitHub 作为命令和控制服务器。我们报告了恶意 GitHub 帐户的有害内容。

披露时间：2022年1月28日

情报来源：https://mp.weixin.qq.com/s/fXggBsgYzWJVXV_2eSr_tg

相关信息：

    此次钓鱼活动，TA575组织使用具有Excel 4.0宏的文档作为附件，释放并运行HTA文件，对其存放于Discord、Dropbox和OneDrive等社交和文件云存储平台中的恶意样本实现下载。此外，由于HTA文件代码中存在一个域控环境的判断，因此本次钓鱼活动只针对处于域控环境下的终端系统。在整个攻击过程中，攻击者使用了混淆、宏代码隐藏、加密和异常处理等形式来对抗分析和检测。分析发现，下载至目标环境中的恶意样本实质是Dridex银行木马的装载器，功能为获取目标系统基本信息、连接C2并回传、获取P2P节点列表、参与构建僵尸网络、获取后续模块和实现窃密或勒索等。由此可以看出，一旦用户被植入该银行木马，将面临敏感信息外泄和勒索导致系统故障的安全威胁。

披露时间：2022年1月26日

情报来源：https://www.microsoft.com/security/blog/2022/01/26/evolved-phishing-device-registration-trick-adds-to-phishers-toolbox-for-victims-without-mfa/

相关信息：

    研究人员最近发现了一个大规模、多阶段的活动，该活动通过将攻击者操作的设备加入组织的网络以进一步传播活动，为传统的网络钓鱼策略增加了一种新技术。

    第一个活动阶段涉及窃取主要位于澳大利亚、新加坡、印度尼西亚和泰国的目标组织的凭证。然后在第二阶段利用被盗凭据，其中攻击者使用受感染的帐户通过横向网络钓鱼以及通过出站垃圾邮件在网络之外扩展其在组织内的立足点。

    被攻击者控制的设备连接到网络将允许攻击者秘密传播攻击并在整个目标网络中横向移动。虽然在这种情况下，设备注册被用于进一步的网络钓鱼攻击，但随着其他用例的出现，设备注册的利用正在增加。

披露时间：2022年01月27日

情报来源：https://www.proofpoint.com/us/blog/cloud-security/oivavoii-active-malicious-hybrid-cloud-threats-campaign

相关信息：

    威胁分析师观察到一个名为“OiVaVoii”的新活动，针对公司高管和总经理使用恶意 OAuth 应用程序和从被劫持的 Office 365 帐户发送的自定义网络钓鱼诱饵。

    OiVaVoii 活动背后的参与者至少使用了五个恶意 OAuth 应用程序，其中三个是由两个不同的“经过验证的发布者”创建的，这意味着该应用程序的所有者很可能是合法 Office 租户中被盗用的管理员用户帐户。在其余两个应用程序中，至少一个是由未经验证的组织创建的，这可能意味着利用（第三个）被劫持的云环境或使用专门的恶意 Office 租户。

    攻击者使用这些应用程序向目标组织的高级管理人员发送授权请求。在许多情况下，收件人接受了请求，没有发现任何可疑之处。当受害者点击接受按钮时，攻击者使用令牌从他们的帐户向同一组织内的其他员工发送电子邮件

披露时间：2022年01月27日

情报来源：https://blog.pradeo.com/vultur-malware-dropper-google-play  

相关信息：

Pradeo 的研究人员发现了一个名为 2FA Authenticator 的恶意移动应用程序，该应用程序分布在 Google Play 上并有 10K+ 用户安装。网络犯罪分子利用它在用户的移动设备上秘密安装恶意软件，是一个用于在其用户设备上传播恶意软件的 dropper。分析显示，dropper 会自动安装一个名为 Vultur 的恶意软件，该恶意软件针对金融服务窃取用户的银行信息。

披露时间：2022年01月25日

情报来源：https://blog.morphisec.com/asyncrat-new-delivery-technique-new-threat-campaign

相关信息：

    近期，研究人员发现了发现了一种新的、复杂的活动交付方式，它已成功地避开了许多安全供应商的雷达。攻击者通过带有 html 附件的简单电子邮件网络钓鱼策略，提供 AsyncRAT（一种远程访问木马），旨在通过安全、加密的连接远程监控和控制受感染的计算机。

    攻击从包含伪装成订单确认收据（例如，Receipt-.html）的 HTML 附件的电子邮件消息开始。打开诱饵文件会将消息接收者重定向到提示用户保存 ISO 文件的网页。

    最新的 RAT 活动巧妙地使用 JavaScript 从 Base64 编码的字符串本地创建 ISO 文件并模仿下载过程。当受害者打开 ISO 文件时，它会自动挂载为 Windows 主机上的 DVD 驱动器，并包含一个 .BAT 或一个 .VBS 文件，该文件会继续感染链以通过执行 PowerShell 命令检索下一阶段的组件。

    这导致在内存中执行 .NET 模块，该模块随后充当三个文件的释放器（一个充当下一个文件的触发器），最终交付 AsyncRAT 作为最终有效负载，同时还检查防病毒软件并设置Windows Defender 排除项。

披露时间：2022年01月27日

情报来源：https://decoded.avast.io/anhho/chasing-chaes-kill-chain/

相关信息：

    一场出于经济动机的恶意软件活动已经入侵了 800 多个 WordPress 网站，以提供一个名为Chaes的银行木马，针对 Banco do Brasil、Loja Integrada、Mercado Bitcoin、Mercado Livre 和 Mercado Pago 的巴西客户。

    Chaes 的特点是多阶段交付，它利用 JScript、Python 和 NodeJS 等脚本框架、用 Delphi 编写的二进制文件以及恶意的 Google Chrome 扩展，其最终目标是窃取存储在 Chrome 中的凭据并拦截巴西流行银行网站的登录。

    当用户访问其中一个受感染的网站时会触发攻击序列，然后会显示一个弹出窗口，敦促他们安装虚假的 Java Runtime 应用程序。如果用户按照说明进行操作，恶意安装程序将启动复杂的恶意软件交付例程，最终部署多个模块。

披露时间：2022年01月25日

情报来源：https://thehackernews.com/2022/01/12-year-old-polkit-flaw-lets.html

相关信息：

    Polkit（以前称为PolicyKit）是一个用于在类 Unix 操作系统中控制系统范围权限的工具包，并为非特权进程与特权进程通信提供了一种机制。在该系统实用程序中披露了一个存在 12 年之久的安全漏洞，此漏洞允许任何非特权用户通过在易受攻击主机的默认配置中利用此漏洞来获得对易受攻击主机的完全 root 权限。

    该漏洞被网络安全公司 Qualys 称为“PwnKit”，它影响了 polkit 中一个名为 pkexec 的组件，该程序默认安装在每个主要的 Linux 发行版上，如 Ubunti、Debian、Fedora 和 CentOS。

披露时间：2022年01月26日

情报来源：https://mp.weixin.qq.com/s/faMOI5C3H1Eu_61LYBJLBg

相关信息：

    Apple解决的零日漏洞之一（编号为 CVE-2022-22587）是内存损坏问题，位于 IOMobileFrameBuffer 中并影响 iOS、iPadOS 和 macOS Monterey。

    利用此漏洞会导致在受感染设备上以内核权限执行任意代码。该公司通过改进输入验证来解决该缺陷。该漏洞影响 iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）。

    第二个零日漏洞，编号为 CVE-2022-22594，是一个影响 iOS 和 iPadOS 的 Safari WebKit 问题。由于这个缺陷，网站可以实时跟踪用户的浏览活动和身份。

此漏洞影响 iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）。