披露时间：2022年05月16日

情报来源：https://mp.weixin.qq.com/s/_oulmr53ZeMFFsVR1esa9A

相关信息：

从2015年至今，奇安信威胁情报中心捕获了多个针对博彩行业的RCE 0day攻击活动，国外友商avast在最近发布的龙堡行动一文[4]中捕获了利用wps 0day漏洞针对博彩公司的攻击事件，这表明针对博彩行业的攻击水平不亚于目前主流的APT团伙，但目前每年全球安全类报告涉及博彩的数量少之又少，仍未被友商重视。

金眼狗（ 奇安信内部跟踪编号APT-Q-27）是一个针对在东南亚从事博彩、狗推相关人员以及海外华人群体的黑客团伙，其业务范围涵盖远控、挖矿、DDOS和流量相关。样本主要在Telegram群组中进行传播，样本免杀效果好，有些诱饵针对性强，且极具诱惑性。

本文我们依然从金眼狗的新活动入手，文末会披露金眼狗团伙所在的Miuuti Group组织。

披露时间：2022年05月18日

情报来源：https://mp.weixin.qq.com/s/qsGxZIiTsuI7o-_XmiHLHg

相关信息：

近期，研究人员捕获了一起略为特殊的攻击活动事件。该攻击活动由APT-C-24（响尾蛇）组织发起，一改往日的攻击框架，使用了全新的攻击方式和流程。有意思的是，在这次攻击活动中，因为软件版本原因，导致按照正常代码执行逻辑无法正常完成攻击活动，似乎是响尾蛇APT组织在代码的测试环境上并未完全与中文环境同步。

响尾蛇组织在本次攻击活动围绕FileSyncShell.dll构建了前期的执行流程，使用恶意程序替换FileSyncShell.dll，以DLL侧加载的方式通过explorer.exe来启动FileSyncShell.dll，从而实现攻击流程。此次捕获的攻击流程如下：

披露时间：2022年05月13日

情报来源：https://cluster25.io/2022/05/13/cozy-smuggled-into-the-box/

相关信息：

最近，研究人员分析了几个与Cozy Bear（又名Nobelium、APT29、The Dukes ）相关的鱼叉式网络钓鱼活动，这些活动通过签名软件（如Adobe 套件）和合法的 Web服务（如Dropbox）作为命令和控制(C&C) 的通信载体，以逃避自动分析软件的检测。研究人员确定了以下攻击媒介：

第一种方法涉及分发IMG 文件，该文件在挂载时包含LNK快捷方式和带有其他 DLL 的签名软件 以及作为隐藏文件的诱饵 PDF。该攻击者将LNK文件图标更改为文件夹图标，诱使受害者点击执行后，调用cmd.exe实用程序来运行已签名的可执行文件并启动恶意 DLL（即 AcroSup.dll）的旁加载。

第二种方法涉及使用EnvyScout dropper，它基本上是一个带有嵌入式JavaScript的HTML文件，旨在解码和丢弃下一阶段的有效负载 ( HTML Smuggling )。事实上，一旦 HTML 文件被执行，JavaScript 代码就会解码一个字节数组，并将结果保存在下载目录中的存档下。

披露时间：2022年05月12日

情报来源：https://asec.ahnlab.com/ko/34107/

相关信息：

近日，研究人员正在监测Lazarus组织针对韩国国内目标的攻击。4月，推测Lazarus组织的攻击活动中利用了Log4j 的漏洞 (CVE-2021-44228)分发NukeSped恶意软件。攻击者使用了没有安全补丁的 VMware Horizon 产品中的 log4j 漏洞。

NukeSped 是一种后门恶意软件，可以通过从 C&C 服务器接收攻击者的命令来执行。Lazarus此次攻击使用的是 NukeSped 变种之一。此外攻击者还使用 NukeSped 安装了信息窃取恶意软件。两个已确认的恶意代码都是控制台类型的程序，泄露的结果没有保存为单独的文件。因此，推测攻击者远程控制了用户PC的GUI屏幕或以管道的形式泄露了数据。

披露时间：2022年05月18日

情报来源：https://mp.weixin.qq.com/s/oe6d46e29KEsRXnc9fsIWw

相关信息：

近日，研究人员发现大量高仿 Telegram 中文版的钓鱼网站(搜索引擎中排名第二)，下载恶意文件进行分析拓线后，确认该事件是国内黑灰产组织 FinGhost 所为。

研究人员监测到该组织不仅针对 Telegram 聊天软件使用者，其最主要的目标是金融证券行业从业者，分析有如下发现：

1.该组织使用钓鱼网站、社工文档和间谍软件为主的方式诱导用户安装病毒文件，从而实现肉鸡控制；

2.该组织当前主要目标为金融从业者，但也存在利用 Telegram 等常用软件或流行新闻等间谍软件进行大范围传播的方式；

3.该组织构造病毒文件使用多层壳嵌套(NsPack壳+VMP壳)的方式阻碍逆向分析，生成样本流程已形成模板化，最终的病毒文件为修改后的 Zegost 病毒变种，具备多角度窃密、控制和执行功能；

4.通过关联分析，该组织曾于 2021年7月以来使用金融相关的社工文件传播病毒， C&C 为206.119.83.28。2022年2月到至今，该组织将病毒文件加 VMP 壳后重新投递，仍使用该 C&C 控制肉鸡；

披露时间：2022年05月12日

情报来源：https://www.secureworks.com/blog/cobalt-mirage-conducts-ransomware-operations-in-us

相关信息：

近日，研究人员正在调查伊朗COBALT MIRAGE威胁组织的攻击，该组织至少从 2020 年 6 月开始运作。COBALT MIRAGE 与伊朗COBALT ILLUSION（APT35）威胁组织有关，该组织主要使用持续性网络钓鱼活动来攻击获得初始访问权限，这两个团体有可能共享交易技巧和访问权限。

研究人员确定了两个不同的 COBALT MIRAGE 入侵集群。在集群 A 中，威胁参与者使用BitLocker和DiskCryptor进行机会性勒索软件攻击以获取经济利益。集群 B 攻击更有针对性，其主要目标是保护访问和收集情报，同时在特定情况下部署勒索软件。

2022 年 3 月，COBALT MIRAGE使用 DefaultUser 用户帐户，将 FRPC 部署到美国地方政府网络进行攻击。

披露时间：2022年05月16日

情报来源：https://www.prodaft.com/resource/detail/ws-wizard-spider-group-depth-analysis

相关信息：

Wizard Spider，也被称为 Gold Blackburn，据信在俄罗斯境外开展业务，是与 TrickBot 僵尸网络有关的出于经济动机的威胁行为者。研究人员分析显示，Wizard Spider 的大部分努力都用于入侵欧洲和美国的企业，他们的一些攻击者使用一种特殊的破解工具来破坏高价值目标。他们获得的部分资金将用于开发新工具和人才的项目。

涉及该组织的典型攻击链始于分发恶意软件（如Qakbot（又名 QBot）和SystemBC ）的垃圾邮件活动，在执行释放器之前，将它们用作启动板以投放其他工具，包括用于横向移动的 Cobalt Strike。

除了利用大量实用程序进行凭证盗窃和侦察外，Wizard Spider 还使用利用已知安全漏洞（例如Log4Shell ）的漏洞利用工具包在受害者网络中获得初步立足点。更重要的是，该组织投资了一个定制的 VoIP 设置，其中聘请的电话接线员拨给没有响应的受害者，以施加额外的压力并迫使他们在勒索软件攻击后付款。

披露时间：2022年05月16日

情报来源：https://home.treasury.gov/system/files/126/20220516_dprk_it_worker_advisory.pdf

相关信息：

美国政府警告称，朝鲜民主主义人民共和国 (DPRK) 正在派遣其 IT 员工在世界各地的公司中获得自由职业，以获得有时用于促进网络入侵的特权访问。

他们利用作为承包商获得的特权访问权限来启用朝鲜的恶意网络入侵。其中一些人通过提供基础设施访问或协助洗钱和虚拟货币转移来帮助朝鲜的黑客行动。在某些情况下，朝鲜派遣的工薪阶层——通常位于中国、俄罗斯、非洲和东南亚，帮助出售在朝鲜黑客攻击中窃取的数据。

为了进入理想的位置，朝鲜的 IT 工作者经常假装是位于美国或其他未受制裁国家的远程工作者。他们还假装是韩国、中国、日本或东欧的远程工作人员。他们经常在各种竞标平台上使用代理来获得工作，并从个人资料中没有明显朝鲜隶属关系的个人购买账户，从而利用该人宣传的工作经验更容易获得自由职业。

披露时间：2022年05月16日

情报来源：https://blog.malwarebytes.com/threat-intelligence/2022/05/custom-powershell-rat-targets-germans-seeking-information-about-the-ukraine-crisis/

相关信息：

研究人员发现一项新的钓鱼攻击活动，利用了德国人对乌克兰当前的局势的担忧，以提供相关信息为诱饵，传播远程访问木马（RAT），该木马能够窃取数据并在受害者的计算机上执行其他恶意命令。附件中的恶意脚本为静默下载，会在当前用户目录中创建一个名为SecuriyHealthService的文件夹，并将两个文件放入其中：MonitorHealth.cmd和一个名为Status.txt脚本。.cmd文件会通过PowerShell执行Status.txt。最后，下载的脚本通过创建一个计划任务使MonitorHealth.cmd持久化。Status.txt是用PowerShell编写的RAT，收集受害者相关信息并通过POST请求发送到C2服务器。

披露时间：2022年05月17日

情报来源：https://www.fortinet.com/blog/threat-research/chaos-ransomware-variant-sides-with-russia

相关信息：

最近，研究人员发现了一种站在俄罗斯立场的Chaos勒索软件变种，该变种是基于GUI的勒索软件生成器，可以根据一组选项轻松定制恶意软件。一旦恶意软件运行，它会枚举所有驱动器上的文件。对于小于2117152字节的文件，它会为每个文件生成一个随机的20个字符长的密码，然后用AES-256（CBC-SALTED）对其进行加密。每个加密文件都包含一个RSA加密的密码、带有硬编码的公钥以及base64编码的AES加密文件内容。该恶意软件还向受影响的文件添加了“fuckazov”文件扩展名。

该勒索软件没有赎金要求，也没有关于受害者如何接触攻击者的任何信息。只是在提供的链接里指向了一个创建于2022年4月的俄罗斯网页。这说明攻击者无意为受害者提供解密工具或文件恢复指令，其目的只在于破坏目标系统。这个组织还有明显的亲俄的政治倾向，攻击者表示对当前局势感到非常失望，而Chaos勒索软件允许任何人创建破坏性恶意软件进行攻击。

披露时间：2022年05月18日

情报来源：https://mp.weixin.qq.com/s/1rCz2Bd20BFlwjd-IQYfcQ

相关信息：

Redline Stealer 于2020.2在俄罗斯 DDW 论坛公开售卖，提供的三种服务分别为：RENT($100/月)，LITE($150/月)，PRO($200/永久)。窃取的信息包括受害机器基础信息（用户，ip，系统环境等）和各种凭证信息（浏览器凭据、加密钱包信息、FTP 信息、Telegram 和 Discord 信息等）。另外攻击者还能控制受害机器下载执行可执行文件，执行任意 cmd 命令等。

AE（After Effects）是许多视觉效果和动态图形开发人员使用的行业领先的动态图形创建和布局软件。近期，研究人员发现攻击者通过伪装的 AE 破解安装包投递最新的 Redline 商业木马进行窃密攻击，主要针对影视行业的视频剪辑人员。用户打开运行伪装的安装包后会导致后台安装 Redline 商业木马，使得攻击者可以窃取未发布的影视作品，可能会远程下载执行下阶段破坏性荷载。

披露时间：2022年05月16日

情报来源：https://www.bleepingcomputer.com/news/security/apple-emergency-update-fixes-zero-day-used-to-hack-macs-watches/

相关信息：

Apple 已发布安全更新，以解决威胁行为者可以在针对 Mac 和 Apple Watch 设备的攻击中利用的零日漏洞。据Apple 透露他们知道有报道称这个安全漏洞“可能已被积极利用”。

该漏洞是 AppleAVD（音频和视频解码的内核扩展）中的一个越界写入问题 (CVE-2022-22675)，它允许应用程序以内核权限执行任意代码。

受影响的设备列表包括 Apple Watch Series 3 或更新机型、运行 macOS Big Sur 的 Mac、Apple TV 4K、Apple TV 4K（第 2 代）和 Apple TV HD。

披露时间：2022年05月13日

情报来源：https://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml

相关信息：

一个影响多种Zyxel防火墙模型的严重漏洞 (CVE-2022-30525) 以及利用该漏洞的 Metasploit 模块已被公开披露。

CVE-2022-30525 是一个漏洞，未经身份验证的远程攻击者可能会利用该漏洞通过易受攻击的防火墙的管理 HTTP 接口（如果暴露在互联网上）将命令注入操作系统，从而允许他们修改特定文件并执行操作系统命令。

经Zyxel确认，它会影响以下防火墙型号和固件版本：