披露时间：2022年06月22日

情报来源：https://mp.weixin.qq.com/s/lROsp60YGcOJFbe2vWEmVw

相关信息：

近期，国外安全厂商zscaler发布报告披露Lyceum组织利用新的DNS后门攻击能源部门。奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中也捕获了该组织近期的攻击样本，于第一时间在社交平台上进行了披露。

根据我们捕获的攻击样本托管网址推测，初始攻击入口可能是鱼叉式钓鱼邮件，诱骗受害者点击下载docm文件或者伪装的SCR屏幕保护程序。攻击样本被下载执行后，会释放一个诱饵文件来迷惑受害者。从此次Lyceum的攻击活动中，我们总结出该组织的攻击手段具有以下特点：

(1) Lyceum组织通过planet-informer[.]me域托管攻击样本；

(2) SCR攻击样本实际为带有密码保护的SFX文件，SFX解压得到的释放器从伪装的jpg图片文件中提取出后门和诱饵释放器的可执行文件数据；

(3) 第一阶段释放器和后门依然沿用了Lyceum组织此前样本中使用的C#代码控制流平坦化手段

披露时间：2022年06月17日

情报来源：https://mp.weixin.qq.com/s/JEQT3Lv1xoAe0nO7SkrgAA

相关信息：

近期，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了APT-Q-2（Kimsuky）组织多个鱼叉式钓鱼攻击样本。攻击使用多个诱饵话题进行攻击，例如“第20届脱北者咨询委员会意见收集“、”文化体育观光部韩国政策广播院节目邀请“等话题。在此攻击活动中，攻击者使用带恶意ole对象的hwp文件进行鱼叉攻击，当受害者点击执行诱饵文件之后，将会展示一个提示内容，诱导用户进行交互，以达到执行恶意载荷的目的。从此次Kimsuky的攻击活动中，我们总结出该组织的攻击手段具有以下特点：

1. 通过执行hwp文档中的OLE对象，将shellcode注入正常程序来执行后续操作；

2. Kimsuky组织拓宽武器库，使用MSF生成Shellcode；

3. 后续载荷均未落地，以无文件运行方式躲避杀软查杀；

披露时间：2022年06月21日

情报来源：https://mp.weixin.qq.com/s/YKSedzm7haO0vPttIqsUAQ

相关信息：

披露时间：2022年06月17日

情报来源：https://mp.weixin.qq.com/s/mC5D8kFaQA-cIcw2rlTgeA

相关信息：

披露时间：2022年06月21日

情报来源：https://blog.malwarebytes.com/threat-intelligence/2022/06/russias-apt28-uses-fear-of-nuclear-war-to-spread-follina-docs-in-ukraine/

相关信息：

2022年6月20日，研究人员发现了APT28组织使用的一个恶意文件，该文件已被Follina (CVE-2022-30190) 漏洞利用以下载并执行谷歌首次报告的新 .Net 窃取程序。

恶意文件的文件名为 Nuclear Terrorism A Very Real Threat.rtf ，试图通过利用受害者对乌克兰入侵将升级为核冲突的恐惧来打开它。恶意文档是 6 月 10 日编译的 RTF 文件，这表明攻击是在大约同一时间进行的。它使用嵌入在Document.xml.rels文件中的远程模板从 URL http://kitten-268.frge.io/article.html检索远程 HTML 文件。HTML 文件使用 JavaScript 调用window.location.href加载和执行使用ms-msdtMSProtocol URI 方案的编码 PowerShell 脚本。解码后的脚本用于运行cmd下载并执行最终有效负载的 PowerShell 代码，最终的有效载荷是 APT28之前在乌克兰用于攻击目标的窃取器的变体。

披露时间：2022年06月20日

情报来源：https://mp.weixin.qq.com/s/Ah3pFjYk5AOvKvZPwXod6g

相关信息：

披露时间：2022年06月15日

情报来源：https://news.sophos.com/en-us/2022/06/15/telerik-ui-exploitation-leads-to-cryptominer-cobalt-strike-infections/

相关信息：

一个名为 Cobalt Strike Blue Mockingbird 的组织已被确定利用 Telerik UI 漏洞安装 Cobalt Strike 并劫持系统资源以挖掘加密货币 Monero。

攻击者利用的漏洞是CVE-2019-18935，这是一个用于ASP.NET AJAX的Telerik UI库中的远程代码执行漏洞。2020年5月，使用Telerik UI对易受攻击的Microsoft IIS服务器进行了攻击。此后不久，供应商发布了安全更新。然而，在安全更新发布一年后，Blue Mockingbird 组织仍在使用相同的漏洞进行攻击。

研究人员在最近的一次攻击中发现，Blue Mockingbird 使用了一种开箱即用的概念验证 (PoC) 漏洞利用来处理加密逻辑并自动执行 DLL 编译。并使用 Cobalt Strike 信标负载（一种渗透测试工具）来执行加密的 PowerShell 命令。

披露时间：2022年06月22日

情报来源：https://blogs.microsoft.com/on-the-issues/2022/06/22/defending-ukraine-early-lessons-from-the-cyber-war/

相关信息：

披露时间：2022年06月16日

情报来源：https://ti.dbappsecurity.com.cn/blog/articles/2022/06/16/grp-ly-1001/

相关信息：

研究人员发现一起由黑产团伙（伪装聚合支付平台定向投递恶意木马进行网络盗刷获利的活动。目前该黑产活动仍在持续进行，各相关聚合支付接入商户需提高安全警惕，提升员工安全意识，不随意打开来历不明的链接或文件，在进行网页支付前检查网站是否属于官方网址。同时可在企业侧部署相关安全检测防护产品。

该团伙类似活动已存在一段时间，至少可追溯到2021年年中。分析观察到其主要活动形式为通过社工等手段投送伪装为支付平台的钓鱼链接，诱导下载伪装为“安全控件”、“支付密钥”等程序的恶意木马，受害人执行中招后恶意程序自动收集信息（包括浏览器缓存、QQ号QQ好友QQ群组信息、击键记录信息等PC中关键信息），后续该团伙根据获得信息通过一定手法进行盗刷获利。

披露时间：2022年06月17日

情报来源：https://www.zscaler.com/blogs/security-research/resurgence-voicemail-themed-phishing-attacks-targeting-key-industry

相关信息：

研究人员观察到以恶意语音邮件通知为主题的电子邮件针对美国多个组织中的用户，企图窃取他们的Office365和Outlook凭据。在这个新的活动中，攻击者针对特定领域的美国组织，包括软件安全、美国军方、安全解决方案提供商、医疗保健、制药厂商等。

攻击流程涉及发送给受害者的以语音邮件为主题的通知电子邮件。该电子邮件包含一个HTML附件，附件中的URL将用户重定向到另一个URL，并要求用户在显示实际的Office网络钓鱼页面之前先解决验证码问题。对于Captcha，攻击者使用了Google reCAPTCHA技术，这有助于规避自动URL分析工具。一旦用户成功解决了验证码，他们将被重定向到最终的网络钓鱼页面，该页面试图窃取用户的Office 365凭据。研究人员发现，在每个攻击实例中，最终的URL都遵循一致的格式，其中包括目标组织的名称以及目标个人的电子邮件地址。

披露时间：2022年06月17日

情报来源：https://www.cleafy.com/cleafy-labs/brata-is-evolving-into-an-advanced-persistent-threat

相关信息：

近期，研究人员发现在最近两个月内，BRATA已经做了全面的升级，强化了数据窃取功能，转型成为更加复杂的恶意软件。该恶意软件同时更新了钓鱼技术，从之前的获取应用列表针对性覆盖到加载预先做好的钓鱼页面以减少数据传输逃避检测。在最新版本中，BRATA添加了更多权限，允许其发送和接收短信，这可以帮助攻击者窃取银行发送给客户的一次性密码（OTP）和双因素身份验证（2FA）等信息。BRATA恶意软件也更具有针对性，因为它一次只关注一家金融机构，只有当它们的攻击因对策而变得无效时，才会转向另一家金融机构。

此外，研究人员还发现了一个新活动：一个与相同C2基础设施通信的短信窃取应用程序。它使用与BRATA相同的框架和类名，它的目标是英国、意大利和西班牙。为了拦截传入的短信，应用程序要求用户将其设置为默认的消息应用程序，同时请求访问设备上联系人的权限。

披露时间：2022年06月15日

情报来源：https://www.fortinet.com/blog/threat-research/new-icexloader-3-0-developers-warm-up-to-nim

相关信息：

IceXLoader是一种商业恶意软件，用于在受感染的机器上下载和部署其他恶意软件。近日，研究人员发现了IceXLoader的3.0版本，新版本由Nim语言开发。作为IceXLoader的主要功能，攻击者可以交互地向加载程序发送“runFile”命令，以在磁盘上或在内存中无文件地下载和执行其他恶意软件。

在野外发现了IceXLoader的两类活动，一个是通过IceXLoader版本1分发DcRat，第二个活动通过IceXLoader版本3与关联的门罗币(XMR)矿工一起分发未知恶意软件。

披露时间：2022年06月21日

情报来源：https://mp.weixin.qq.com/s/YLu5VfzBmFfChVlTP-FsNA

相关信息：

Hermit（隐士）间谍软件是一种模块化监视软件，在部署后将其恶意功能隐藏在下载的包中，能够获取设备的root权限、记录音频、拨打和重定向电话，以及收集敏感数据，例如通话记录，联系人，照片，设备位置和短信等。

2022年4月，研究人员捕获了针对哈萨克斯坦的Hermit间谍软件样本，该活动的样本使用了“oppo.service”的标题，用于假冒中国电子制造商Oppo。间谍软件是通过仿冒来自合法来源的短信传播的，通过伪装成电信公司或智能手机制造商的应用程序，欺骗用户访问服务商的合法网页，实则在后台运行恶意活动。研究人员还发现了假冒为三星和Vivo的Hermit恶意软件样本。经研究人员推测，间谍软件Hermit的背后运营者很可能是RCS Lab和Tykelab两家意大利的公司。这两家公司打着“提供技术解决方案”的旗号，实则在向巴基斯坦，智利，叙利亚，越南、缅甸等多个国家出售间谍软件。

披露时间：2022年06月14日

情报来源：https://googleprojectzero.blogspot.com/2022/06/an-autopsy-on-zombie-in-wild-0-day.html

相关信息：

今年早些时候在野外利用的 Apple Safari 中的一个安全漏洞最初于2013年修复，并于2016年12月重新引入。

该问题被跟踪为CVE-2022-22620（CVSS 评分：8.8），涉及 WebKit 组件中的一个释放后使用漏洞的案例，该漏洞可被一段特制的 Web 内容利用以获得任意代码执行。

2022年2月初，Apple 在 Safari、iOS、iPadOS 和 macOS 上发布了该漏洞的补丁，同时承认它“可能已被积极利用”。虽然History API中2013年和2022年的bug基本相同，但触发漏洞的路径不同。

披露时间：2022年06月16日

情报来源：https://www.cyberark.com/resources/threat-research-blog/that-pipe-is-still-leaking-revisiting-the-rdp-named-pipe-vulnerability

相关信息：

研究人员分享了有关 Windows 中RD 命名管道漏洞的技术信息，该问题被跟踪为CVE-2022-21893 ，最初在2022年1月的补丁星期二得到解决，但对该修复的分析显示，新的攻击向量尚未得到修补。在2022年4月的星期二补丁中，Microsoft将该错误解决为CVE-2022-24533。

CVE-2022-21893 是一个Windows远程桌面服务漏洞，它可能允许通过RDP访问计算机的非特权用户访问其他连接用户的客户端计算机的文件系统。

该问题还允许攻击者查看和修改其他连接用户的数据，包括剪贴板内容、传输的文件和智能卡PIN。攻击者还可以冒充其他用户登录机器，并获得对受害者重定向设备的访问权限，包括USB设备、硬盘驱动器等，这可能导致数据隐私问题、横向移动和特权升级。

据研究人员称，该漏洞的存在是因为命名管道权限在远程桌面服务中处理不当，从而允许具有正常权限的用户接管其他连接会话中的RDP虚拟通道。