披露时间：2022年06月14日

情报来源：https://mp.weixin.qq.com/s/LaWE4R24D7og-d7sWvsGyg

相关信息：

近日，奇安信红雨滴团队在日常高价值样本狩猎过程中，捕获到疑似一批SideWinder组织Android端攻击样本。根据红雨滴研究人员跟踪分析，此次的攻击活动有如下特点：

1. 样本托管在Google Play商店，伪装成Secure VPN(VPN加密通信软件)、Supereme Allah、Z Cleaner(手机清理软件)、Secure browser(浏览器软件)，安装人数超过1K+。

2. C2地址隐蔽性增强，包括硬编码在样本中、加密保存在google play安装链接参数中、通过firebase后台下发C2。

披露时间：2022年06月15日

情报来源：https://mp.weixin.qq.com/s/WBCGGLog3IwJhXZmbjxoTQ

相关信息：

近日，研究人员追踪到一起针对中东地区的网络间谍活动，经研究，此次活动与之前的攻击攻击活动存在许多相似之处，因此背后的攻击组织被归因为Gaza Cybergang Group2：AridViper。

在本次攻击活动中，Gaza Cybergang Group2（AridViper）以“法塔赫运动和巴勒斯坦事业的未来”话题为诱饵再次针对巴勒斯坦地区目标进行网络钓鱼活动攻击。在深度跟踪此次活动后有如下发现：

1. 在宏代码方面，样本未使用Download URL进行下一阶段负载下载，而是将数据流以字符串形式存储在宏代码中，随后释放在本地；

2. 流量特征方面，该组织弃用了过去以明文命名数据包字段的做法，转而使用随机字符替代；

3. 后续负载疑似为Pierogi Backdoor的C++版本，该版本中用到了开源CURL框架进行通信，以及开源的Nlohmann对C2服务器返回的json数据进行解析

披露时间：2022年06月14日

情报来源：https://research.checkpoint.com/2022/check-point-research-exposes-an-iranian-phishing-campaign-targeting-former-israeli-foreign-minister-former-us-ambassador-idf-general-and-defense-industry-executives/

相关信息：

安全研究人员发现了一项主要的新的国家支持的鱼叉式网络钓鱼行动，目标是多名以色列和美国高级官员。研究人员最终将该活动追溯到伊朗Phosphorous APT 组织。

这些攻击使用自定义的网络钓鱼基础设施，以及各种假冒电子邮件帐户来冒充受信任的一方。为了与新目标建立更深的信任，威胁参与者对一些受害者的收件箱进行了帐户接管，然后劫持了现有的电子邮件对话，以从目标和受信任方之间已经存在的电子邮件对话开始攻击，并以此为幌子继续对话。

披露时间：2022年06月09日

情报来源：https://www.zscaler.com/blogs/security-research/lyceum-net-dns-backdoor

相关信息：

Lyceum 集团自 2017 年开始活跃，是一个由国家赞助的伊朗 APT 集团，以针对能源和电信领域的中东组织而闻名，并且主要依赖基于 .NET 的恶意软件。

研究人员最近观察到一个新的活动，攻击者使用带宏的恶意文档释放新的DNS后门到目标系统执行。该后门是开源工具“ DIG.net ”的定制版本，利用一种称为“DNS 劫持”的 DNS 攻击技术，其中攻击者控制的 DNS 服务器操纵 DNS 查询的响应并根据其恶意要求解决它们，并通过滥用 DNS 记录在受感染机器上执行上传/下载等系统命令。

披露时间：2022年06月13日

情报来源：https://www.bleepingcomputer.com/news/security/russian-hackers-start-targeting-ukraine-with-follina-exploits/

相关信息：

近日，乌克兰计算机应急响应小组 (CERT) 警告，俄罗斯组织 Sandworm 可能正在利用 Follina，这是 Microsoft Windows 支持诊断工具 (MSDT) 中的一个远程代码执行漏洞，目前被跟踪为 CVE-2022-30190。

CERT-UA表示 ，Sandworm利用 Follina 发起了一项新的恶意电子邮件活动，并针对乌克兰各种媒体组织的 500 多名收件人，包括广播电台和报纸。

这些电子邮件的主题是“交互式地图链接列表”，并带有一个同名的 .DOCX 附件。打开文件时，JavaScript 代码会执行以获取名为“2.txt”的有效负载，CERT-UA 将其归类为“恶意 CrescentImp”。

披露时间：2022年06月09日

情报来源：https://blog.checkpoint.com/2022/06/09/crypto-miners-leveraging-atlassian-zero-day-vulnerability/

相关信息：

Atlassian Confluence漏洞CVE-2022-26134，可以导致未经身份验证的对象图导航语言 (OGNL)表达式注入攻击。研究人员注意到攻击者开始利用该漏洞将恶意软件下载到受影响的系统。在系统日志中，研究人员发现相关活动的恶意负载来自同一来源，但针对不同的平台Linux和Windows。这两种攻击场景都是从利用CVE-2022-26134漏洞的初始精心制作的HTTP请求开始的，攻击者利用Java执行功能将恶意负载下载到受害者的机器上，然后恶意负载根据受攻击的操作系统下载可执行文件，两个可执行文件都运行同一个加密矿工，以利用受害者的资源为自己谋取利益。

研究人员从日志中提取的a[.]oracleservice.top域和加密钱包与一个名为“8220”的网络挖矿团伙有关。

披露时间：2022年06月07日

情报来源：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/phishing-campaigns-featuring-ursnif-trojan

相关信息：

研究人员发现最近的垃圾邮件活动正在使用恶意Word文档来下载和执行 Ursnif 木马。Ursnif 是一种高危木马，旨在记录各种敏感信息。它通常会归档这些敏感数据并将其发送回命令和控制服务器。

最初的攻击媒介是带有 Microsoft Word 文档附件的网络钓鱼电子邮件，打开文档后，VBA 执行恶意 shellcode，Shellcode 下载远程有效负载 Ursnif，并调用 rundll32.exe 来执行Ursnif。

披露时间：2022年06月10日

情报来源：https://unit42.paloaltonetworks.com/helloxd-ransomware/

相关信息：

HelloXD是一个执行双重勒索攻击的勒索软件家族，于2021年11月曝光。研究人员已经观察到Windows和Linux系统的多种变体。与其他勒索软件组不同，该勒索软件系列没有活跃的信息泄漏站点，其背后的攻击者更喜欢通过TOX聊天和基于Tor网络的messenger来与受害者进行谈判。HelloXD核心功能与泄露的Babuk/Babyk源代码非常相似。另外，有一个样本还部署了MicroBackdoor，这是一个开源后门，允许攻击者浏览文件系统、上传和下载文件、执行命令并将自身从系统中删除。

研究人员认为黑客这样做可能是为了监控勒索软件的进展并在受感染的系统中保持额外的立足点。在分析MicroBackdoor样本时，研究人员发现了一个固定的IP地址，并将该地址归属于黑客组织：x4k，也称为L4ckyguy、unKn0wn、unk0w、_unkn0wn和x4kme。

披露时间：2022年06月13日

情报来源：https://mp.weixin.qq.com/s/NvcwQ-7bzkAQasEOHqKo8A

相关信息：

研究人员发现 2022年5月初 VirusTotal 出现了一例 Windows LPE 1day 漏洞利用样本，之后在关联的过程发现与 MedusaLocker 黑客组织存在强关联线索，而结合与2021年挖掘得到的 Windows LPE exploit利用样本进行代码相似度比对发现存在极高相似度，因此从时间线上可以推断出背后的漏洞利用开发人员长期从事该项工作，依据获取的线索与推理得出以下三个结论：

1）基于漏洞利用样本上传地区的不同，开发源码在小范围私密环境中存在共享，基于同一套漏洞利用开发源码迭代开发。

2）MedusaLocker组织拥有 Windows 内核漏洞利用能力，可自行开发exploit。

3）MedusaLocker 组织向第三方购买了 Windows 内核 exploit，存在漏洞交易的可能。

披露时间：2022年06月14日

情报来源：https://mp.weixin.qq.com/s/63Lo_koCIKoLzlR8d47cBg

相关信息：

披露时间：2022年06月13日

情报来源：https://www.zscaler.com/blogs/security-research/technical-analysis-purecrypter

相关信息：

PureCrypter 是一款功能齐全的加载器，至少从 2021 年 3 月起开始对外出售，正在由使用绰号“PureCoder”的威胁参与者积极开发。该加载程序是使用 SmartAssembly 混淆的 .NET 可执行文件，并利用压缩、加密和混淆来规避防病毒软件产品。PureCrypter 功能提供持久性、注入和防御机制，可在 Google 的协议缓冲区消息格式中进行配置。

该恶意软件分发各种远程访问木马和信息窃取程序，包括Agent Tesla、Arkei、AsyncRAT、AZORult、DarkCrystal RAT (DCRat)、LokiBot、NanoCore、RedLine Stealer、Remcos、Snake Keylogger和Warzone RAT。

披露时间：2022年06月13日

情报来源：https://decoded.avast.io/davidalvarez/linux-threat-hunting-syslogk-a-kernel-rootkit-found-under-development-in-the-wild/

相关信息：

一种名为“Syslogk”的新 Linux rootkit 恶意软件被用于隐藏恶意进程，使用特制的“魔术包”唤醒设备上处于休眠状态的后门。该恶意软件目前正在大力开发中，其作者似乎将他们的项目基于 Adore-Ng，一个旧的开源 rootkit。

Syslogk 可以将其模块强制加载到 Linux 内核（支持 3.x 版本），隐藏目录和网络流量，并最终加载“Rekoobe”后门。

类似于 Wake on LAN 魔术数据包，用于唤醒处于睡眠模式的设备，Syslogk 将侦听特殊构造的 TCP 数据包，当检测到正确的魔术包时，Syslogks 将按照远程威胁参与者的指示启动或停止后门，从而大大降低其被检测到的机会。

披露时间：2022年06月15日

情报来源：https://mp.weixin.qq.com/s/NW84edc9bS2k-QdXrgJfPA

相关信息：