披露时间：2022年06月27日

情报来源：https://www.zscaler.com/blogs/security-research/return-evilnum-apt-updated-ttps-and-new-targets

相关信息：

近期，研究人员发现了Evilnum组织针对英国和欧洲地区的目标发起的小规模针对性攻击活动。该组织在新攻击活动中放弃了以Windows快捷方式文件 (LNK)为主要分发媒介，而是使用 MS Office Word 文档，利用文档模板注入将恶意负载传送到受害者的机器上。

此外，在近期的攻击活动中，除了针对金融科技（金融服务）领域，Evilnum APT还瞄准了一个处理国际移民服务的政府间组织。其使用严重混淆的 JavaScript 解密并释放端点上的有效负载。JavaScript 配置了一个计划任务来运行已删除的二进制文件。与 EvilNum APT 小组使用的先前版本相比，此 JavaScript 在混淆技术方面有显著改进。

披露时间：2022年06月27日

情报来源：https://inquest.net/blog/2022/06/27/glowsand

相关信息：

近期，研究人员捕获到一份以军人工资单为诱饵的攻击样本，根据样本诱饵内容来看工资单用于军事单位A4267，这是一个位于乌克兰西部的军事单位。样本初次上传VirusTotal时，检测率较低。

样本通过远程模板注入下载经过混淆的宏文档，且挂载远程模板的服务器配置方式是只允许乌克兰的IP地址下载文件。宏代码会释放一个脚本，并通过任务计划每5分钟执行一次脚本文件，攻击者会通过%userprofile%、%systemdrive%、%computername%的数据判断是否对目标系统感兴趣，随后将下发更多的有效载荷来实现其情报窃取活动。

披露时间：2022年06月29日

情报来源：https://mp.weixin.qq.com/s/I1u6Oh3XliI9QmwTCnonuQ

相关信息：

披露时间：2022年06月29日

情报来源：https://mp.weixin.qq.com/s/Uyypqz9R_kBJoKsviNYqog

相关信息：

根据可考的美国国家安全局（NSA）机密文档显示，NSA的实战化网络攻击武器体系极其复杂，可以根据不同的攻击任务配置多种攻击武器和攻击方式组织，攻击的不同阶段会针对特定目标植入不同类型的木马程序。

其中，一款名为“验证器”（Validator）的木马程序是NSA在网络攻击活动中最先植入目标的轻量级后门，主要功能是对攻击目标的网络系统环境进行探查，被认为是NSA专门开展的“木马尖兵”。

“验证器”木马具备对攻击目标开展系统环境信息收集的能力，同时也为更为复杂的木马程序的安装（植入）提供条件。

该款木马可以通过网络远程和物理接触两种方式进行安装，具有7X24小时在线运行能力，使NSA的系统操控者和数据窃密者可以上传下载文件、远程运行程序、获取系统信息、伪造ID，并在特定情况下紧急自毁。

披露时间：2022年06月28日

情报来源：https://www.trendmicro.com/en_us/research/22/g/log4shell-vulnerability-in-vmware-leads-to-data-exfiltration-and-ransomware.html

相关信息：

最近，研究人员分析了攻击者利用VMware Horizon的Log4Shell 漏洞进行攻击活动的案例，发现其中许多攻击都导致受害者数据从被感染的系统中泄露，之后还有部分受害者在数据泄露几天后感染了勒索软件。

攻击首先利用VMware Horizon中的Log4j漏洞进行初始攻击，之后会生成一个PowerShell实例来执行命令。攻击者利用PowerShell命令下载mfeann.exe、LockDown.DLL和 c0000012.log。在不同的攻击案例中，攻击者用不同的文件侧载恶意DLL。这次攻击中，文件mfeann.exe是负责事件创建和记录的可执行文件。它是一个合法的可执行文件，由一家知名安全公司签名，攻击者滥用它来旁载一个名为LockDown.DLL的恶意DLL。此次攻击最终会加载CobaltStrike有效载荷。在分析中，研究人员还发现了一个名为update.exe二进制文件。该文件实际上是用于将数据泄露到特定的Dropbox位置的Rclone.exe工具。在上传数据时，Rclone工具可能会随着时间的推移上传到不同的IP。

在大多数分析的入侵中，攻击者都会在盗取数据后停止攻击。但是在一个受害者的环境中，研究人员观察到被泄露数据10天后，其再次被Pandora勒索软件感染。

披露时间：2022年06月27日

情报来源：https://www.fortinet.com/blog/threat-research/ukraine-targeted-by-dark-crystal-rat

相关信息：

CERT-UA近日爆料称乌克兰的各种媒体机构都成为了包含恶意文档“СПИСОК_посилань_на_інтерактивні_карти.docx”（翻译成英文为“LIST_of_links_interactive_maps.docx”）的电子邮件的目标。根据该报告，该文档利用了Microsoft支持诊断工具(MSDT)中的一个零日漏洞CVE-2022-30190 (Follina),结果导致在受感染的机器上下载和执行未知的远程文件。

研究人员发现了一个可能在相同攻击活动中使用的文件，这个恶意文件使用了相同的文件名，但是新文件为Excel(xlsx)格式，包含恶意宏代码。其下载的Payload是一个DCRat变体，DCRat是自2018年以来一直可用的商业.NET恶意软件，主要设计目的是从已被入侵的主机上窃取数据。DCRat的功能包括键盘记录、截图，从浏览器中窃取cookie、密码和表单内容，从FTP客户端窃取凭据，窃取剪贴板内容，收集机器信息（主机名称、主机用户名、国家位置、安装的安全产品等）并将收集的信息发送到C2服务器等。DCRat变体由一个未知的打包程序打包，该打包程序在解包过程中会对一些安全产品名称进行检查，如TEQUILABOOMBOOM，即VirusTotal Cuckoofork沙箱，以试图逃避安全解决方案的检测。

披露时间：2022年06月27日

情报来源：https://ics-cert.kaspersky.com/publications/reports/2022/06/27/attacks-on-industrial-control-systems-using-shadowpad/

相关信息：

2021年10月中旬，研究人员在巴基斯坦的工业控制系统(ICS)上发现了活跃的ShadowPad后门感染程序。之后，研究人员发现了攻击者针对电信公司的大规模活动，在巴基斯坦和阿富汗的工业和电信部门的组织中也发现了ShadowPad恶意软件。此外，还发现一起针对马来西亚物流和运输组织（港口）的攻击。

早期时候，攻击者经常使用Microsoft Exchange中的CVE-2021-26855漏洞进行攻击。从2021年3月到2021年10月，ShadowPad后门以mscoree.dll文件的形式下载到受害者计算机，该文件由完全合法的应用程序AppLaunch.exe启动。后来，攻击者在合法的OLE-COM对象查看应用程序中使用DLL劫持启动ShadowPad。在初始感染后，攻击者首先手动发送命令，然后自动发送。攻击中还使用了其他工具：如CobaltStrike，攻击者利用certutil.exe将CobaltStrike下载到目标的计算机，同时编译aspx webshells，将procdump和Mimikatz等工具下载到受害者机器；攻击者还使用了PlugX后门变种aro.dat以及用来盗窃凭据的Bat文件、用于远程访问Web服务器的Web shell、用于扫描网络主机的Nextnet应用程序等。攻击者利用在NameSilo、GoDaddy.com和ENOM注册的域名与命令和控制服务器进行通信。大多数C2服务器托管在从Choopa 租用的专用服务器上。

披露时间：2022年06月29日

情报来源：https://mp.weixin.qq.com/s/aL9Etmiri3NPLT7fP6nLQw

相关信息：

近日，研究人员发现一个仿冒证券交易、色情交易、刷单平台、网上商城、竞猜平台等APP，以退款、开通会员、刷单、网上购物等形式针对特定人群实施电信诈骗的黑产团伙。由于该团伙主要通过APP聊天的方式进行诈骗，因此将其命名为EvilChat组织。

EvilChat团伙会从境外打电话给目标人群，邀请进入统一的QQ群后，宣称需安装仿冒APP进行相关操作。然后团伙通过APP的聊天功能用准备好的话术进行诈骗，说服受害者通过银行卡转账或充值虚拟货币的方式完成交易。EvilChat团伙通过特殊渠道获得特定受害者的联系方式，并且有一套完整的诈骗话术和流程，有较强的目标针对性和欺骗性。

披露时间：2022年06月24日

情报来源：https://asec.ahnlab.com/en/35822/

相关信息：

近期，研究人员发现LockBit勒索软件使用钓鱼邮件进行分发，这些钓鱼邮件声称收件人在未经创作者许可的情况下使用了媒体文件，要求收件人删除侵权内容，否则他们将面临法律诉讼，邮件正文并没有明确指出侵权的文件，而是告诉收件人下载并打开附件以查看侵权内容。

附件是一个受密码保护的 ZIP 存档，其中包含另一个压缩文件，该文件又包含伪装成 PDF 文档的可执行文件，但实际上是 NSIS 安装程序。如果受害者打开所谓的“PDF”以了解哪些图像被非法使用，恶意软件将使用 LockBit 2.0 勒索软件加载和加密设备。

披露时间：2022年06月24日

情报来源：https://www.cybereason.com/blog/cybereason-vs.-black-basta-ransomware

相关信息：

Black Basta 勒索软件是 2022 年 4 月发现的一种新型勒索软件。尽管活跃了仅两个月，但该组织已经声名鹊起，截至本报告发布时已有近50名受害者。Black Basta 专门针对美国、加拿大、英国、澳大利亚和新西兰，并瞄准了一系列行业，包括制造、建筑、运输、电信、制药、化妆品、管道和供暖、汽车经销商、内衣制造商等。

与其他勒索软件操作类似，Black Basta采用久经考验的双重勒索策略从目标手中掠夺敏感信息，并威胁要发布被盗数据，除非进行数字支付。Black Basta利用 QBot（又名Qakbot）作为管道来维持受感染主机的持久性并获取凭据，然后在网络中横向移动并部署文件加密恶意软件。

此外，Black Basta 背后的参与者开发了一种 Linux 变体，旨在攻击企业服务器上运行的 VMware ESXi 虚拟机 (VM)，使其与 LockBit、Hive 和 Cheerscrypt 等其他组织相提并论。

披露时间：2022年06月28日

情报来源：https://blog.lumen.com/zuorat-hijacks-soho-routers-to-silently-stalk-networks/

相关信息：

研究人员发现一种名为ZuoRAT新的远程访问木马正在针对小型办公室和家庭办公室(SOHO)路由器，主要在北美和欧洲攻击活动中出现。

该恶意软件能够通过劫持网络通信以保持隐蔽的立足点，从而进入本地网络并访问LAN上的其他系统。对路由器的初始访问是通过扫描已知的未修补漏洞然后加载远程访问工具，然后加载用于下载CobaltStrike和自定义后门（如CBeacon和GoBeacon）的下一阶段shellcode并删除自身。ZuoRAT能够对目标网络进行深入侦察、流量收集和网络通信劫持，看起来是Mirai恶意软件的一个重度修改版本。

披露时间：2022年06月29日

情报来源：https://mp.weixin.qq.com/s/KuOuatM1FqTUwdFyVJKefw

相关信息：

近日，奇安信CERT监测到Apache Shiro身份认证绕过漏洞(CVE-2022-32532)技术细节及PoC在互联网上公开，当Apache Shiro中使用RegexRequestMatcher进行权限配置，且正则表达式中携带"."时，未经授权的远程攻击者可通过构造恶意数据包绕过身份认证，导致配置的权限验证失效。

目前Apache官方已发布此漏洞修复版本，建议尽快升级至Apache Shiro 1.9.1及以上版本。

披露时间：2022年06月23日

情报来源：https://www.crowdstrike.com/blog/novel-exploit-detected-in-mitel-voip-appliance/

相关信息：

研究人员发现一个被攻陷的Mitel VOIP是黑客攻击的入口点。攻击者利用CVE-2022-29499在Mitel设备上实现远程代码执行，以获得对环境的初始访问。研究人员发现攻击者在VOIP设备上使用了反取证手段：删除文件与试图覆盖设备上的可用空间，以隐藏其恶意活动。

该漏洞涉及两个GET请求。第一个请求针对一个php文件的get_url参数，用设备上的一个本地文件的URL填充该参数。然后引发第二个请求，该请求来自设备本身并进行漏洞利用。第一个请求是必要条件，因为带有漏洞的URL被限制接收来自外部IP地址的请求。第二个请求完成命令注入，会在服务器上建立一个反向shell。建立反向shell后，攻击者会将隧道和代理工具Chisel下载到 VOIP 设备上，对其进行重命名并执行。该二进制文件充当反向代理，允许威胁参与者通过 VOIP 设备进一步横向移动。研究人员建议：关键资产应尽可能地与周边设备隔离开来，当攻击者破坏了周边设备时，防止其通过被破坏设备的"one hop"访问关键资产。特别是，尽可能地隔离和限制对虚拟化主机或管理服务器（如ESXi和vCenter系统）的访问。