披露时间：2022年02月16日

情报来源：http://blog.nsfocus.net/apt-lorec53-20220216/

相关信息：

近期，绿盟科技研究人员捕获到了大量针对乌克兰的钓鱼文件攻击活动，关联恶意文件包括pdf、doc、cpl、lnk等类型。经过分析，确认这一系列钓鱼活动均来自APT组织Lorec53（中文名称：洛瑞熊）。该组织在2021年底至2022年2月的期间内，使用多种攻击手法，对乌克兰国防部、财政部、大使馆、国企、公众医疗设施等关键国家机构投递多种钓鱼文件，进行以收集组织人员信息为主的网络攻击活动。

Lorec53本轮攻击行动持续时间较长，攻击目标十分广泛，且攻击手法带有明显的组织特征。延续了其以往的诱饵设计手法，构建了包括掩盖部分信息的乌克兰政府文档、带有乌克兰语标题和伪装扩展名的快捷方式文件、带有乌克兰语文件名的cpl文件等钓鱼诱饵，并伪装成具有公信力的组织成员分发这些诱饵。

Lorec53这次依然使用了已知的木马程序，包括LorecDocStealer（又名OutSteel）、LorecCPL、SaintBot，并尽可能地对这些木马程序进行了壳封装。

披露时间：2022年02月16日

情报来源：https://mp.weixin.qq.com/s/jEdI4dL3JNKeJAUVGCYUDw

相关信息：

Molerats APT 组织又名 “Gaza Hackers Team”、“月光鼠”、“灵猫”等，其至少从2012年开始在中东地区活跃，主要攻击目标为以色列地区、巴勒斯坦地区与政党相关的组织和个人，惯用政治相关主题作为诱饵对目标进行鱼叉式钓鱼攻击。

微步情报局近期通过威胁狩猎系统监测到 Molerats 组织针对中东地区的间谍攻击活动，分析有如下发现：

披露时间：2022年02月14日

情报来源：https://asec.ahnlab.com/ko/31481/

相关信息：

近期，ASEC研究人员发现一起Kimsuky组织针对对属于特定大学的教授进行了鱼叉式网络钓鱼攻击。攻击者向研究生院教授分发了伪装对朝鲜相关手稿的要求的恶意文字 (DOC) 文件。word文档以“3 月月度KIMA手稿_requirements.doc”名称分发，文档标题中提到的KIMA是韩国军事研究所出版的专门从事安全、国防和军事事务的月刊的名称。

诱饵文档的恶意宏代码从攻击者的服务器下载一个附加命令（VBS（Visual Basic Script）脚本）并在内存中执行。从攻击者服务器下载的 VBS 代码从用户的 PC 收集并泄露以下信息：

披露时间：2022年02月11日

情报来源：https://mp.weixin.qq.com/s/jdMsvLamCDJbfErLNgRjLA

相关信息：

近期，绿盟科技研究人员获到一封主题为“ПАРТНЕРИ КУЛЬТУРНОЇ ДИПЛОМАТІЇ МЗС УКРАЇНИ”（乌克兰外交部文化外交伙伴）的钓鱼文档，并确认该文档的制作者为俄罗斯APT组织Gamaredon。本次捕获的钓鱼文档伪装成一份政府机构的参考资料，内容上分别罗列了“信息和政治”、“艺术”、“音乐”、“电影”、“戏剧”等领域的乌克兰外交部文化外交伙伴的通信地址信息。

该文档通过内嵌的恶意宏实现攻击。宏代码将两个vbs文件分别释放至系统的startup目录与系统的theme目录中，实现开机自动运行和执行后续攻击流程。

名为Themes.vbs的脚本将计算机名与系统磁盘序列号发送至固定网址，进而从该网址的响应中获得后续木马载荷。值得注意的是，后续木马载荷使用异或加密，异或键为由Themes.vbs发送的磁盘序列号。这种利用宿主机信息的载荷保护技术常见于Gamaredon、OceanLotus等APT组织的活动中。

披露时间：2022年02月11日

情报来源：https://www.sentinelone.com/labs/modifiedelephant-apt-and-a-decade-of-fabricating-evidence/

相关信息：

近期，sentinelone研究人员确定了一个潜伏十年之久的黑客组织。在过去十年中，ModifiedElephant 攻击者试图通过带有恶意文件附件的鱼叉式网络钓鱼电子邮件来感染他们的目标，通过对其过去十年的攻击活动研究发现：

披露时间：2022年02月10日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/ugg-boots-4-sale-tale-palestinian-aligned-espionage

相关信息：

2021 年底，Proofpoint 分析师发现了一个针对中东政府、外交政策智囊团和一家国有航空公司的复杂攻击链。在三个多月的时间里，Proofpoint 观察到了这个攻击链的三个细微变化。Proofpoint 将这些活动归因于 TA402，该攻击者通常被追踪为 Molerat 并被认为是为了巴勒斯坦领土的利益而运作。

根据 Proofpoint 的研究，TA402 对中东的组织和政府构成持续威胁，不仅定期更新他们的恶意软件植入，而且还更新他们的交付方式。在 2021 年 6 月发布 Proofpoint 的 TA402 研究后，TA402 似乎在短时间内停止了其活动，几乎可以肯定是要进行重组。Proofpoint 研究人员认为，他们利用这段时间来更新他们的植入物和传递机制，使用名为 NimbleMamba 和 BrittleBush 的恶意软件。TA402 还经常使用地理围栏技术和各种攻击链，这使防御者的检测工作变得复杂。

披露时间：2022年02月15日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/charting-ta2541s-flight

相关信息：

TA2541 是一个高度活跃的网络犯罪分子，它分发针对航空、航天、运输和国防等行业的各种远程访问木马 (RAT)。自 2017 年 1 月以来，TA2541 持续不断的发起攻击活动。通常，其恶意软件活动包括数百到数千封钓鱼邮件，尽管很少看到 TA2541 一次发送超过 10,000 封邮件。其活动影响了全球数百个组织，其目标反复出现在北美、欧洲和中东。

在最近的活动中，Proofpoint 观察到该组在电子邮件中使用 Google Drive URL，导致混淆的 Visual Basic 脚本 (VBS) 文件。如果成功执行，PowerShell 从托管在各种平台（如 Pastetext、Sharetext 和 GitHub）上的文本文件中提取可执行文件。攻击者在各种 Windows 进程中执行 PowerShell 并查询 Windows Management Instrumentation (WMI) 以获取防病毒和防火墙软件等安全产品，并尝试禁用内置的安全保护。威胁参与者将在主机上下载 RAT 之前收集系统信息。

披露时间：2022年02月14日

情报来源：https://threatresearch.ext.hp.com/redline-stealer-disguised-as-a-windows-11-upgrade/

相关信息：

2022 年 1 月 27 日，也就是宣布Windows 11 升级最后阶段的第二天，惠普安全研究员注意到一名恶意行为者注册了windows-upgraded[.]com域名，该域名引起了我们的注意，因为它是新注册的，且模仿了合法品牌并利用了最近的公告。威胁行为者使用该域名分发RedLine Stealer，这是一个信息窃取恶意软件系列，在地下论坛中广泛宣传出售。

攻击者复制了合法 Windows 11 网站的设计，但单击“立即下载”按钮会下载一个名为Windows11InstallationAssistant.zip的可疑 zip 文件，包含伪装为Windows 11 安装程序的RedLine Stealer恶意软件。

披露时间：2022年02月11日

情报来源：https://blog.cyble.com/2022/02/11/deep-dive-analysis-caprarat/

相关信息：

Cyble 安全研究人员发现一篇文章，其中提到了一种名为 capraRAT 的新 Android 恶意软件。该恶意软件被一个名为 APT36（又名透明部落）的高级持续威胁 (APT) 组织使用，该组织已被观察到针对印度政府及其国防人员。

分析表明，在成功执行后，恶意软件会从 Android 设备的屏幕上隐藏其图标，从受害者的设备中窃取敏感数据，例如联系人、通话记录、短信、位置、截屏、记录通话和麦克风音频、发送短信等。并不断与命令和控制 (C&C) 服务器通信，根据从 C&C 服务器接收到的命令执行删除文件、发送短信、拨打电话、从摄像头拍照等操作。

披露时间：2022年02月07日

情报来源：https://blog.minerva-labs.com/mylobot-2022-so-many-evasive-techniques-just-to-send-extortion-emails

相关信息：

MyloBot 于 2018 年首次被发现，是当时最具规避性的僵尸网络之一。根据各种报告，它采用了不同的技术，例如：

Minerva研究人员最近发现了一个 2022 版本的 MyloBot，分析表明其一些反调试和反 VM 技术已经消失，开始使用实施注入技术，最终从 C&C 服务器下载的第二阶段有效负载用于发送勒索电子邮件。

披露时间：2022年02月08日

情报来源：https://www.wordfence.com/blog/2022/02/critical-vulnerabilities-in-php-everywhere-allow-remote-code-execution/

相关信息：

2022 年 1 月 4 日，Wordfence 威胁情报团队开始负责披露 PHP Everywhere 中的几个远程代码执行漏洞，这是一个安装在 30,000 多个网站上的 WordPress 插件。

第一个漏洞被跟踪为 CVE-2022-24663，CVSS 严重性评分为 9.9。WordPress 允许经过身份验证的用户通过 parse-media-shortcode AJAX 操作执行简码。在这种情况下，如果登录的用户——即使他们几乎没有权限，比如他们是订阅者——可以发送一个精心设计的请求参数来执行任意 PHP，从而导致整个网站被接管。

第二个漏洞CVE-2022-24664 的严重性评分也为 9.9。该漏洞使不受信任的贡献者级别的用户可以创建帖子，将 PHP 代码添加到 PHP Everywhere 元框，然后预览帖子来实现网站上的代码执行

第三个漏洞被跟踪为 CVE-2022-24665，并且在严重性等级上也已发布 9.9。所有具有 edit_posts 权限的用户都可以使用 PHP Everywhere Gutenberg 块，攻击者可以通过这些函数执行任意 PHP 代码来篡改网站的功能。

披露时间：2022年02月16日

情报来源：https://blog.talosintelligence.com/2022/02/vuln-spotlight-.html

相关信息：

Cisco 研究人员最近在韩国流行的软件套件 Hancom Office 中发现了一个漏洞，该漏洞可能允许攻击者破坏目标机器上的内存或执行远程代码。

Hancom Office 提供与 Microsoft Office 类似的服务，包括文字处理和电子表格创建和管理。

TALOS-2021-1386 (CVE-2021-21958) 存在于 Hancom Office 的 HwordApp.dll 中。攻击者创建的恶意文档可能会触发基于堆的缓冲区溢出，如果攻击者遵循特定的攻击向量，最终会导致代码执行和/或内存损坏。