披露时间：2022年04月15日

情报来源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lazarus-dream-job-chemical

相关信息：

近期，研究人员在韩国多家化学部门和信息技术部门的网络上检测到攻击活动。证据表明，这项活动是被称为“Operation Dream Job”的Lazarus组织攻击活动的延续。在Operation Dream Job活动中，Lazarus组织使用虚假工作机会作为诱饵，诱使受害者点击恶意链接或打开恶意附件，从而导致安装用于间谍活动的恶意软件。

在近期针对韩国化工行业的活动中，还观察到攻击者部署了入侵后工具，包括一种用于以设定的时间间隔截取在受感染机器上查看的网页的工具（SiteShoter）。他们还使用 IP 记录工具 (IP Logger)、用于远程打开计算机的协议 (WakeOnLAN)、文件和目录复制器 (FastCopy) 以及在 MagicLine 进程下执行的文件传输协议 (FTP)。

披露时间：2022年04月18日

情报来源：https://inquest.net/blog/2022/04/18/nobelium-israeli-embassy-maldoc

相关信息：

近日，研究人员发现了一个有趣的样本，分析发现是Nobelium活动的一部分，也称为黑暗光环。该文档是从西班牙上传到 VirusTotal 服务，包含一个有吸引力的视觉诱饵，代表以色列大使馆的文件。

视觉诱饵的设计通过解释字体未显示的原因，诱使目标点击激活嵌入内容的按钮以开始攻击。打开文档并激活内容后，会启动 HTA 脚本，调用一段 JS解密有效载荷为C:\Users\user\AppData\Local\Temp\..\IconCacheService.dll，并启动执行恶意功能，使用 trello.com 与C2交换数据。

披露时间：2022年04月18日

情报来源：https://www.cisa.gov/uscert/ncas/alerts/aa22-108a

相关信息：

研究人员，观察到朝鲜APT组织Lazarus针对区块链技术和加密货币行业的各种组织，包括加密货币交易所、去中心化金融 (DeFi) 协议、游戏赚钱加密货币视频游戏、加密货币贸易公司、风险投资基金投资在加密货币中，以及大量加密货币或有价值的不可替代代币 (NFT) 的个人持有者。

该组织使用各种通信平台对受害者进行社会工程，以诱使受害者个人在 Windows 或 macOS 操作系统上下载木马化的加密货币应用程序。然后，攻击者使用这些应用程序访问受害者的计算机，在受害者的网络环境中传播恶意软件，窃取私钥或利用其他安全漏洞。这些活动支持发起欺诈性区块链交易的其他后续活动。

披露时间：2022年04月06日

情报来源：https://www.cverc.org.cn/head/zhaiyao/news20220419-hive.htm

相关信息：

近日，研究人员对“蜂巢”（Hive）恶意代码攻击控制武器平台（以下简称“蜂巢平台”）进行了分析，蜂巢平台由美国中央情报局（CIA）数字创新中心（DDI）下属的信息作战中心工程开发组（EDG，以下简称“美中情局工程开发组”）和美国著名军工企业诺斯罗普·格鲁曼（NOC）旗下XETRON公司联合研发，由美国中央情报局（CIA）专用。

蜂巢平台属于“轻量化”的网络武器，其战术目的是在目标网络中建立隐蔽立足点，秘密定向投放恶意代码程序，利用该平台对多种恶意代码程序进行后台控制，为后续持续投送“重型”武器网络攻击创造条件。美国中央情报局（CIA）运用该武器平台根据攻击目标特征定制适配多种操作系统的恶意代码程序，对受害单位信息系统的边界路由器和内部主机实施攻击入侵，植入各类木马、后门，实现远程控制，对全球范围内的信息系统实施无差别网络攻击。

披露时间：2022年04月19日

情报来源：https://mp.weixin.qq.com/s/Xs54_RDKU5MvkvsPPCGKEw

相关信息：

2021年下半年，研究人员发现了来自同一个组织APT-C-26（Lazarus）的多起攻击活动。自从去年七月份以来，捕获到多个标题为 Venture Labo Investment Pitch Deck(Protected).docx  (创业实验室投资推介书（受保护）.docx)的诱饵，文件的主要内容为日本东京一家风险投资公司Venture Labo Investment Co.,Ltd 的介绍。该文件是一个具有远程模板注入（CVE-2017-0199）的文档，当用户打开文档后，样本将从远程链接加载远程模板，并诱使用户启用宏，然后从远程地址获取数据注入到合法进程实现后门操作。

该活动攻击意图为窃取加密货币，与Lazarus分支组织BlueNoroff攻击载荷、流程及IOC重合,应同属BlueNoroff组织活动

披露时间：2022年04月20日

情报来源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-intense-campaign-ukraine

相关信息：

与俄罗斯有联系的 Shuckworm 间谍组织（又名 Gamaredon，Armageddon）正在继续对乌克兰的组织发起激烈的网络攻击。

该组织近期活动的标志之一是在目标计算机上部署了多个恶意软件有效负载。这些有效载荷通常是同一恶意软件 (Backdoor.Pterodo) 的不同变体，旨在执行类似的任务。每个都将与不同的命令和控制 (C&C) 服务器进行通信。

攻击者使用多个变体的最可能原因是它可以提供一种在受感染计算机上维持持久性的基本方法。如果一个有效载荷或 C&C 服务器被检测到并被阻止，攻击者可以依靠其他一个并推出更多新变体来进行补偿。

披露时间：2022年04月15日

情报来源：https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/

相关信息：

近期，GitHub研究人员发现有证据表明攻击者滥用了被盗的 OAuth 用户令牌，这些令牌发给了两个第三方 OAuth 集成商，Heroku 和 Travis-CI，以从包括npm在内的数十个组织下载数据。这些集成商维护的应用程序被 GitHub 用户使用，包括 GitHub 本身。

Heroku和Travis CI维护的OAuth应用程序中受损的OAuth用户令牌被窃取，以下载属于数十个使用这些应用程序的受害组织的私有存储库。分析表明，攻击者可能正在挖掘下载的私有存储库内容，窃取的OAuth令牌可以访问这些内容，以获取可用于转移到其他基础设施的秘密。

披露时间：2022年04月15日

情报来源：https://arcticwolf.com/resources/blog/karakurt-web

相关信息：

近日，Arctic Wolf公司 Tetra Defense 与 Chainalysis 合作，通过 Tetra 的数字取证和 Chainalysis 的区块链分析分析 Karakurt 网络勒索组织与 Conti 和 Diavol 勒索软件之间的联系。

正如最近的泄漏所揭示的那样，Conti 和 Trickbot 是具有复杂结构的复杂操作。但研究结果表明，网络比最初想象的还要广泛，包括额外的仅用于渗透的操作。网络也更具粘性，因为已多次确认 Karakurt 组织不会删除受害者数据，并且即使在勒索付款后也会保留一份副本。

披露时间：2022年04月15日

情报来源：https://mp.weixin.qq.com/s/lnCAGb_lMTzRL-CwnOzVCg

相关信息：

近日，研究人员监测到一起目标为韩国奖学金基金会、重工企业等多个机构的窃密攻击活动。攻击者利用钓鱼邮件的方式投递恶意载荷，主题为“请求基础产业报价”的报价单，以此诱导受害者解压并执行压缩包中的LokiBot窃密木马，导致用户的隐私和信息泄露。

LokiBot窃密木马执行后，会自动收集受害者的浏览器数据、电子邮件、远程连接凭据等数据并回传至攻击者服务器，造成受害者数据泄露。LokiBot还支持接收C2命令、执行下载其他恶意代码等功能，对受害者数据产生更多威胁。

披露时间：2022年04月18日

情报来源：https://securelist.com/how-to-recover-files-encrypted-by-yanlouwang/106332/

相关信息：

近日，卡巴斯基研究人员发现了“阎罗王”加密算法中的一个漏洞，并创建了一个免费的解密器来帮助这个勒索软件的受害者恢复他们的文件。

该勒索软件是相对较新的，它的名字来自于中国的神祇阎罗王，他是十个地狱之王。数据表明，攻击已经在美国、巴西、土耳其和其他几个国家进行。感染数量少是由于勒索软件的针对性：威胁参与者仅准备和实施对特定公司的攻击，而不用于其他 RaaS 家族。

披露时间：2022年04月18日

情报来源：https://citizenlab.ca/2022/04/catalangate-extensive-mercenary-spyware-operation-against-catalans-using-pegasus-candiru/

相关信息：

Citizen Lab与加泰罗尼亚民间社会团体合作，确定了至少 65 名受雇佣间谍软件攻击或感染的人。至少有 63 人成为目标或被 Pegasus 感染，另外 4 人被 Candiru 感染。至少有两人成为目标或同时感染两者。

受害者包括欧洲议会议员、加泰罗尼亚总统、立法者、法学家和民间社会组织成员。在某些情况下，家庭成员也被感染。

研究人员发现了 HOMAGE 的证据，这是 NSO Group 使用的一个先前未公开的 iOS 零点击漏洞，它对 13.2 之前的某些版本有效。Citizen Lab并未将这些行动最终归咎于特定实体，但强有力的间接证据表明与西班牙当局存在联系。

披露时间：2022年04月15日

情报来源：https://mp.weixin.qq.com/s/40vbhcR6NJC6Gt7YEtF9sQ

相关信息：

“LemonDuck”（柠檬鸭）是一种主动更新且强大的恶意软件，主要以其僵尸网络和加密货币挖掘(XMR门罗币)而闻名。

近期，研究人员捕获到多起Zegost变种木马以及伴随的挖矿攻击活动，经过分析，确认为“LemonDuck”木马的新活动。除了保持僵尸网络和挖矿等“传统艺能”，LemonDuck 现在还会窃取凭据、移除安全控制、通过电子邮件传播、横向移动，并最终下发更多的恶意工具。

经分析，该团伙的“武器库”很丰富，大量使用开源模块，比如：XMRig、ReflectivePEInjection、FreeRDP、GetPassHashes、SMBGhost等，使其开发、攻击成本更低。

披露时间：2022年04月14日

情报来源：https://blog.group-ib.com/oldgremlin_comeback

相关信息：

自 2020 年春季OldGremlin被首次发现以来，该团伙一直在攻击俄罗斯企业，包括银行、工业企业、医疗组织和软件开发商。2022 年 3 月下旬，OldGremlin 通过两次恶意电子邮件活动让自己备受关注。

3月22日，OldGremlin伪装成俄罗斯一家金融机构的高级会计师，在钓鱼邮件中警告收件人有关新的制裁措施将完全暂停 Visa/万事达卡支付系统的运营。打开钓鱼邮件附件后，文档会加载位于hxxps://dl[.]dropboxusercontent[.]com/s/gjyjs0rbtihy7ue/Doc1.dotm 的模板，从而开展后续攻击。

三天后，该组织使用更简化的工具包发起了一项新的活动。造成这种情况的可能原因是上次攻击中使用的最终脚本尚未准备好在野外全面使用，需要额外的测试。

披露时间：2022年04月18日

情报来源：https://thehackernews.com/2022/04/researchers-share-in-depth-analysis-of.html

相关信息：

分析显示，网络犯罪卡特尔从 2020 年 8 月开始遵循五个阶段的软件开发周期，恶意软件作者优先考虑功能以提高其工作流程的效率。

PYSA 是“保护您的系统，Amigo”的缩写，是 Mespinoza 勒索软件的继任者，于 2019 年 12 月首次被发现，并已成为 2021 年第四季度检测到的第三大流行勒索软件菌株。自 2020 年 9 月以来，据信该网络犯罪团伙已泄露了多达 747 名受害者的敏感信息，直到其服务器于今年 1 月初下线。

它的大多数受害者位于美国和欧洲，该组织主要打击政府、医疗保健和教育部门。与其他勒索软件家族一样，PYSA 遵循双重勒索的“大型游戏狩猎”方法，其中包括在受害者拒绝遵守该组织的要求时公布被盗信息。

披露时间：2022年04月19日

情报来源：https://www.welivesecurity.com/2022/04/19/when-secure-isnt-secure-uefi-vulnerabilities-lenovo-consumer-laptops/

相关信息：

ESET 研究人员发现并分析了影响各种联想消费者笔记本电脑型号的三个漏洞。这些漏洞中的前两个——CVE-2021-3971、CVE-2021-3972，影响原本打算仅在联想消费类笔记本电脑制造过程中使用的 UEFI 固件驱动程序。

不幸的是，它们也被错误地包含在生产 BIOS 映像中，而没有正确停用。攻击者可以激活这些受影响的固件驱动程序，以在操作系统运行时从特权用户模式进程直接禁用 SPI 闪存保护（BIOS 控制寄存器位和受保护范围寄存器）或 UEFI 安全启动功能。这意味着利用这些漏洞将允许攻击者在受影响的设备上部署并成功执行 SPI 闪存或 ESP 植入程序。

披露时间：2022年04月20日

情报来源：https://mp.weixin.qq.com/s/vygB1UOMXTii1WhRgHmncw

相关信息：

Oracle官方发布了2022年4月的关键安全补丁集合更新CPU（CriticalPatch Update），修复了多个存在于WebLogic中的漏洞包括CVE-2022-23305、CVE-2022-21420、CVE-2022-21441、CVE-2022-23437、CVE-2022-21453、CVE-2021-41184。

经过技术研判，奇安信CERT认为CVE-2022-23305（Oracle WebLogic Server远程代码执行漏洞）、CVE-2022-21420（Oracle Coherence远程代码执行漏洞）漏洞利用限制较少，影响较为严重。