披露时间：2024年10月21日

情报来源：https://mp.weixin.qq.com/s/kkl0jh14M9DtDGtSGQ4gag

相关信息：

近期 360 安全监测到多起通过 searchconnector-ms 文件结合诱饵话题的钓鱼攻击活动，邮件附件压缩包内携带恶意 searchconnector-ms 样本文件，诱导用户打开。与历史相比，在本次 WebDAV 行动中，攻击者不再采取直接投递带有 LNK 的压缩包作为初始访问阶段攻击载荷，而采取投递如 searchconnector-ms 等具有远程指向与访问能力的文件（同一特性的还有.url文件），诱导用户打开此类文件后，通过 WebDAV 远程拉取伪装成文档的恶意 LNK 文件，再次诱导用户打开该 LNK 文件后，通过恶意 LNK 文件执行命令创建计划任务，并周期性从远端下载后续攻击载荷并执行。通过此种方式，用户打开 searchconnector-ms 文件访问远程目标文件时，该文件通过 WebDAV 协议传输给目标用户，并不会在目标机器中落地。当用户再次打开其目标文件时，通过 WebDAV 协议访问 URI 形如：\\\DavWWWRoot\ 的资源，并执行该目标文件，具有较强的隐蔽性。

披露时间：2024年10月18日

情报来源：https://mp.weixin.qq.com/s/qCcuU0E6d84tdQ1r2dCsjA

相关信息：

360 威胁情报中心近期发现了 APT-C-35（肚脑虫）组织针对巴基斯坦的网络攻击活动。本轮攻击中，该组织采用了宏文档和漏洞文档作为恶意载体，加载了全新的 .NET 攻击组件。

攻击流程分析显示，APT-C-35 组织使用了两种方式来加载恶意组件：一种是通过带宏的诱饵文件执行多层 Shellcode，下载恶意 DLL；另一种是利用模板注入加载含漏洞的 RTF 文档，触发漏洞后下载诱饵文件并释放恶意 DLL。捕获的恶意样本之一是伪装成 Shibli Electronics Limited 公司财会相关的 SOP 说明文档，该公司是巴基斯坦专门从事安全系统设计和制造的公司。

宏代码在执行关键函数之前会校验密码，如果校验不通过则不会执行剩余的宏代码。宏代码会根据不同的系统架构执行不同的 Shellcode，Shellcode 的主要功能是下载后续 DLL，但在过程中会检测杀毒软件，并经过多层加密。第二阶段 Shellcode 主要判断杀毒软件是否存在，并下载载荷。加载的 winlst.dll 文件是一个 C# 编译的程序，主要功能是上传信息和下载后续 payload 执行。该组件可能还处于前期开发阶段，之前未见该组织使用这种组件。

披露时间：2024年10月17日

情报来源：https://blog.talosintelligence.com/uat-5647-romcom/

相关信息：

Cisco Talos 团队发现了一个名为 UAT-5647 的俄语团伙，该团伙至少从 2023 年末开始对乌克兰政府实体和波兰实体发起了一系列新的攻击。这个团伙也被称为 RomCom，其攻击活动主要针对乌克兰和波兰的实体，并且使用了更新版本的 RomCom 恶意软件 “SingleCamper”。这个新版本直接从注册表加载到内存，并使用环回地址与其加载器通信。

UAT-5647 团伙已经扩展了其工具集，包括四种不同的恶意软件家族：两种下载器（RustClaw和MeltingClaw）、一个基于RUST的后门（DustyHammock）和一个基于 C++ 的后门（ShadyHammock）。在横向移动过程中，攻击者试图通过将内部接口隧道到外部远程主机来破坏边缘设备，如果成功，将有更高的机会在事件响应过程中逃避检测。

披露时间：2024年10月23日

情报来源：https://securelist.com/lazarus-apt-steals-crypto-with-a-tank-game/114282/

相关信息：

2024年5月13日，Kaspersky 产品在俄罗斯一位用户的个人电脑上检测到了 Manuscrypt 的新感染，这是 Lazarus 组织自 2013 年以来一直在使用的一款全功能后门恶意软件。研究人员发现，在 Manuscrypt 之前攻击者使用了 Google Chrome 浏览器的 0day 漏洞利用，该漏洞利用源自网站 detankzone.com。这个网站表面上是一个为去中心化金融（DeFi）NFT 多人在线战斗竞技场（MOBA）坦克游戏设计的专业化产品页面，邀请用户下载试用版。该网站包含了一个隐藏的脚本，可以在用户的 Google Chrome 浏览器中运行，利用零日漏洞并给予攻击者对受害者电脑的完全控制权。

经确认，该漏洞利用是基于针对最新版本的 Google Chrome 的零日漏洞 CVE-2024-4947，这是一个影响 Google Chrome V8 JavaScript 引擎的新编译器 Maglev 的漏洞。攻击者利用该漏洞以及另一个漏洞来绕过 V8 沙箱，从而在 Chrome 进程中执行任意代码。

研究人员发现，这款游戏实际上是从其原始开发者那里窃取的源代码，并被修改为攻击者的版本。原始游戏名为 DeFiTankLand (DFTL)，攻击者在 2024 年 2 月 20 日开始宣传活动，并在 3 月 2 日窃取了价值 20,000美元的 DFTL2 代币。研究人员怀疑这是 Lazarus 组织的所作所为，他们可能在窃取代币之前先窃取了游戏的源代码。

披露时间：2024年10月18日

情报来源：https://securelist.com/crypt-ghouls-hacktivists-tools-overlap-analysis/114217/

相关信息：

Securelist 近日披露，一个名为 Crypt Ghouls 的组织自 2023 年 12 月起持续对俄罗斯企业和政府机构发起勒索软件攻击。调查显示，该组织与目前针对俄罗斯的其它黑客团伙(如 BlackJack、Twelve、Shedding Zmiy )在工具、基础设施以及 TTP 上存在重叠，使用的工具包括 Mimikatz、XenAllPasswordPro、PingCastle、Localtonet、resocks、AnyDesk、PsExec 等，以及广为流行的勒索软件 LockBit 3.0 和 Babuk。据悉，目前俄罗斯政府机构以及矿业、能源、金融和零售公司都均已成为 Crypt Ghouls 组织的受害者。攻击者常通过入侵承包商的账户实施攻击，这使得精准识别幕后黑手更加复杂化。由于黑客组织之间共享工具和基础设施，识别具体攻击者变得极具挑战性，尤其是在多个团伙同时使用相同的泄露工具的情况下。该组织的行动显示了网络犯罪分子在当前网络威胁中彼此合作的趋势。

披露时间：2024年10月16日

情报来源：https://asec.ahnlab.com/en/83877/

相关信息：

近日，研究人员发现了 Microsoft Internet Explorer (IE) 浏览器中的一个新的零日漏洞被 APT37 用于一次供应链攻击，该漏洞是一个脚本引擎内存损坏问题，可能导致任意代码执行，其根源是 IE 的 JavaScript 引擎（jscript9.dll）在优化过程中对某种类型的数据进行了错误的处理，导致类型混淆。APT37 利用该漏洞，在安装了 toast 广告程序的电脑上诱骗受害者下载恶意软件，一旦系统被感染，攻击者便可执行执行远程命令等多种恶意行为。

许多 Toast 广告程序使用名为 WebView 的功能来呈现网页内容以显示广告，而 WebView 基于浏览器运行。如果程序创建者使用基于 IE 的 WebView 编写代码，则程序中也可能利用 IE 漏洞。因此，APT37使用不再受支持的　IE 浏览器引擎 (jscript9.dll) 作为初始访问载体的 Toast 广告程序。

APT37 首先入侵 Toast 广告计划背后的在线广告代理服务器，然后将漏洞代码注入服务器的广告内容脚本。当广告程序下载并呈现广告内容时，此漏洞就会被利用，无需用户交互。因为广告程序会自动下载并呈现恶意内容。

披露时间：2024年10月18日

情报来源：https://cyble.com/blog/vietnamese-threat-actors-multi-layered-strategy-on-digital-marketing-professionals/

相关信息：

Cyble 研究与情报实验室 (CRIL)最近的研究揭露了由越南威胁行为者策划的复杂多阶段恶意软件攻击。该活动专门针对求职者和数字营销专业人士，采用了各种高级策略，包括使用 Quasar RAT，这允许攻击者完全控制受感染的系统。

此次攻击似乎源自包含网络钓鱼附件的垃圾邮件。这些电子邮件旨在诱使收件人打开一个存档文件，其中包含伪装成 PDF文档的 LNK 文件。事件序列从执行 LNK 文件开始，该文件携带用于从外部来源下载高度混淆的脚本的 PowerShell 命令。此策略旨在绕过传统的检测方法，尤其是在非虚拟化环境中。

一旦确认环境没有分析工具，攻击者就会使用硬编码密钥解密有效载荷。此步骤将激活 Quasar RAT，使威胁行为者能够广泛访问受感染的系统，从而促进数据泄露，并可能部署其他恶意软件。

披露时间：2024年10月22日

情报来源：https://cyble.com/blog/cyble-sensors-detect-attacks-on-java-framework-iot-devices/

相关信息：

Cyble 漏洞情报部门发布了一份报告，详细介绍了最近针对 Spring Java 框架和数十万物联网 (IoT) 设备的网络攻击。该报告揭示了 30 多个针对知名漏洞的主动攻击活动。其中，值得重点关注的是影响 Spring Java 框架的严重漏洞CVE-2024-38816。CVE-2024-38816 是广泛使用的 Spring Java 框架中存在严重的路径遍历漏洞。此漏洞允许攻击者制作恶意 HTTP 请求，可能访问运行 Spring 应用程序的系统上的敏感文件。具体来说，使用 RouterFunctions 提供静态资源并配置了 FileSystemResource 位置的应用程序尤其容易受到攻击。

研究人员还发现了 CVE-2020-11899，这是 Treck TCP/IP 堆栈中的一个中等严重程度的越界读取漏洞，影响 6.0.1.66 之前的版本。此漏洞属于“Ripple20”系列，会带来严重风险，包括数据窃取和未经授权的设备控制。Cyble在 2024 年 10 月 9 日至 15 日期间检测到了惊人的 411,000 次利用此漏洞的攻击，旨在获取管理权限。

除了 Java 框架和 IoT 设备中的漏洞外，Cyble 的漏洞情报报告还显示，对 Linux 系统的威胁仍然存在，网络犯罪分子使用高级方法通过包管理器部署恶意软件。包括 CoinMiner、Mirai 和 IRCBot 在内的主动威胁仍然盛行。

披露时间：2024年10月18日

情报来源：https://mp.weixin.qq.com/s/42samC3J-rLjigynNsXlXQ

相关信息：

近期，新华三发现了多个伪装成谷歌 Chrome 浏览器下载站点的钓鱼网站。据悉，这些网站诱导用户下载捆绑了 FatalRat 远控木马的恶意MSI安装包(谷歌安装包_15_97316.msi)。一旦运行，用户主机将面临被攻击者控制的风险。具体来说，MSI 文件包含两个文件，其中 chromesetup.exe 是正常的谷歌浏览器安装程序，exe 是恶意载荷，最终负责在受害者机器上释放安装 Fatalrat 远控木马。FatalRat 还可通过注册表和服务项两种方式实现持久化，并能够将恶意代码注入到其他进程中执行。此外，还具有反调试、反虚拟机等反分析功能。经分析发现，此次活动的攻击手法与早期银狐相关团伙高度相似，包括仿冒常用软件的下载站点、利用 MSI 文件重新打包正常安装包程序并捆绑远控木马、利用公共云存储服务下发载荷、白加黑利用执行、使用 Gh0st 变种 (FatalRat) 载荷等。此外，攻击资产上也存在部分重叠，因此研究人员认为这是银狐相关团伙一次最新的钓鱼攻击活动。

披露时间：2024年10月22日

情报来源：https://mp.weixin.qq.com/s/MtddRj3RRM6XSpB_USG3ug

相关信息：

顺丰安全应急响应中心在对银狐恶意软件样本的归因分析中，发现了与 Dragon Breath 后门的关联。这两种后门使用了类似的资源和手法，并且主题存在交叉。攻击者通过伪造的爱思助手、Clash VPN、金山 WPS 等安装包进行攻击，这些安装包都使用了相同的技术，直接调用dll函数启动恶意代码或释放 lnk 文件到桌面诱使用户点击。

银狐样本的分析显示，攻击者在安装过程中调用了 Setup.dll 中的 func 函数，将自身写入注册表以实现持久化，并指定 RunWebHelper 加载函数。样本从资源点下载 k3.bin 文件并写入日志文件，然后通过反射加载技术运行恶意代码。k3.bin 内部是一个反射加载器，它解密并加载 payload，该 payload 包含 Dragon Breath 后门代码。

Dragon Breath 后门具有类似 Gh0st 的功能，通过加载插件扩展其能力。后门会根据主机名创建注册表项，用于存储和读写关键信息。它动态加载模块和 api，建立与 C2 服务器的网络连接，并在成功上线后执行一系列恶意功能，包括关机/重启/注销、设置注册表项、获取 MetaMask 区块链钱包扩展的状态、下载并执行文件等。

披露时间：2024年10月22日

情报来源：https://www.security.com/threat-intelligence/exposing-danger-within-hardcoded-cloud-credentials-popular-mobile-apps

相关信息：

根据赛门铁克的报告，多款流行的 iOS 和 Android 移动应用程序都带有 Amazon Web Services (AWS) 和 Microsoft Azure Blob Storage 等云服务的硬编码、未加密凭证，从而将用户数据和源代码暴露于安全漏洞之中。

暴露此类凭据很容易导致未经授权访问包含敏感用户数据的存储桶和数据库。除此之外，攻击者还可以利用它们来操纵或窃取数据。这些密钥存在于应用程序的代码库中，是因为开发阶段的错误和不良做法。

研究人员发现，Google Play 商店上下载量超过 500万 的“Pic Stitch: Collage Maker”应用程序代码中直接包含硬编码的 AWS 凭证。其他几个在iOS平台上流行的应用，如“Crumbl”、“Eureka: Earn Money for Surveys” 和 “Videoshop - Video Editor”，也在其代码中嵌入了硬编码且未加密的AWS凭证。在苹果应用商店中的几款热门应用中也发现了亚马逊硬编码凭证：Crumbl 、Eureka、Videoshop、Solitaire Clash、Zap Surveys。

披露时间：2024年10月19日

情报来源：https://www.elastic.co/security-labs/tricks-and-treats

相关信息：

Elastic Security Labs 发现 GHOSTPULSE 算法发生了显著变化，在早期版本中，GHOSTPULSE 滥用 PNG 文件的 IDAT 块来隐藏恶意载荷。最新版本的 GHOSTPULSE 现在通过解析图像像素来检索其配置和有效载荷，这种方法涉及将恶意数据直接嵌入像素结构中，使用 GdiPlus(GDI+) 库中的标准 Windows API 依次提取每个像素的红、绿、蓝 (RGB) 值，从而构建一个字节数组。一旦构建了字节数组，该恶意软件就会搜索包含加密 Ghostpulse 配置的结构的开头，其中包括解密所需的 XOR 密钥。

恶意软件通过循环遍历 16 字节块中的字节数组来实现这一点。每个块前四个字节代表 CRC32 哈希，接下来的 12 个字节是要进行哈希处理的数据。恶意软件计算 12 个字节的 CRC32 并检查它是否与哈希匹配。如果找到匹配项，它会提取加密 Ghostpulse 配置的偏移量、其大小和四字节 XOR 密钥，然后对其进行 XOR 解密。

此外，研究人员观察到，涉及 LUMMA STEALER 的多个活动使用 GHOSTPULSE 作为其加载器。受害者被诱骗验证一个 CAPTCHA，但网站指示他们执行一系列 Windows 键盘快捷方式，这些快捷方式触发了恶意 JavaScript 复制到剪贴板的命令，导致执行 PowerShell 脚本，从而启动了感染链，下载并执行 GHOSTPULSE 有效载荷。

披露时间：2024年10月23日

情报来源：https://blog.talosintelligence.com/warmcookie-analysis/

相关信息：

一个名为 WarmCookie（也称为 BadSpace）的新恶意软件家族自 2024 年 4 月以来一直通过恶意垃圾邮件和恶意广告活动积极传播。该恶意软件有助于持续访问受感染的网络，并且已被观察为初始负载，通常导致部署其他恶意软件，如 CSharp-Streamer-RAT 和Cobalt Strike。

WarmCookie 活动的交付阶段无论是通过恶意垃圾邮件还是恶意广告进行的，都会交付一个模糊的 JavaScript 下载程序，该程序负责继续感染过程。执行时，它会反混淆并执行 PowerShell 命令，该命令使用 Bitsadmin 的语法检索和执行 WarmCookie DLL，WarmCookie提供了广泛的功能，包括命令执行、屏幕截图和有效载荷部署。

研究人员还将 WarmCookie 与一个名为 TA866 的威胁组织联系起来，该组织自 2023 年以来一直活跃。WarmCookie 与另一个名为 Resident backdoor 的恶意软件家族有相似之处，后者之前曾部署在 TA866 活动中。两款恶意软件核心功能和编码约定存在重叠，但与 Resident 后门相比，WarmCookie 包含更为强大的功能和命令支持。

披露时间：2024年10月22日

情报来源：https://securelist.com/grandoreiro-banking-trojan/114257/

相关信息：

近日，研究人员发布报告称Grandoreiro部分成员被捕后，继续攻击全球用户，进一步开发新的恶意软件并建立新的基础设施。新变种采用新策略来绕过反欺诈措施，其他新加入的技巧包括使用域生成算法 (DGA) 进行命令和控制 (C2) 通信、密文窃取 ( CTS ) 加密和鼠标跟踪。此外，研究人员还观察到更轻量级的本地版本，专门针对墨西哥的银行客户。

据悉，Grandoreiro 该组织部分成员在今年被捕，这一事件导致该恶意软件的 Delphi 代码库分裂。研究人员在同时发生的活动中发现了两个不同代码库的支持：较新的样本包含更新的代码，而较旧的样本则依赖于遗留代码库，现在仅针对墨西哥大约 30 家银行的客户。

Grandoreiro 主要通过钓鱼电子邮件进行传播，在较小程度上也通过 Google 上的恶意广告进行传播。第一阶段是一个 ZIP 文件，其中包含一个合法文件和一个负责下载和启动恶意软件的 MSI 加载程序。今年逮捕行动之后发现的较新的攻击链包括在执行主要载荷之前的 CAPTCHA 屏障，以此来绕过自动分析。新版Grandoreiro 的重大更新，包括自我更新、记录击键、选择列出受害者的国家、检测银行安全解决方案、使用 Outlook 发送垃圾邮件以及监控 Outlook 电子邮件中的特定关键字等功能。它还具有捕捉鼠标移动的功能，发出模仿用户行为的信号并欺骗反欺诈系统将该活动识别为合法。

披露时间：2024年10月16日

情报来源：https://www.trendmicro.com/en_us/research/24/j/fake-lockbit-real-damage-ransomware-samples-abuse-aws-s3-to-stea.html

相关信息：

趋势科技最近发现了一种使用 Golang 编写的勒索软件，它滥用亚马逊 S3 的传输加速功能来泄露受害者的文件，并将它们上传到攻击者控制的 S3 存储桶。这种勒索软件试图通过模仿 LockBit 勒索软件家族来给受害者施加压力，可能是为了利用 LockBit 的恶名来迫使受害者屈服。

技术分析表明，勒索软件样本在初始化时会获取主机的通用唯一标识符（UUID），导入硬编码的公钥，并生成一个随机的主密钥，该密钥使用先前导入的 RSA 公钥进行加密。然后，勒索软件使用 AWS SDK for Go v2 库的 StaticCredentialsProvider 加载静态凭证，包括硬编码的访问密钥 ID、秘密访问密钥和 AWS 区域。

勒索软件会跳过特定排除文件夹中的文件，并对目标文件扩展名列表中的文件进行加密。加密算法是 AES-CTR，密码是文件名的 MD5 哈希值与主密钥的组合。加密过程中，每个小于 100MiB 的文件都会被上传到 AWS，以节省 AWS 空间和资金。

披露时间：2024年10月23日

情报来源：https://www.securityweek.com/fortinet-confirms-zero-day-exploit-targeting-fortimanager-systems/

相关信息：

美国政府网络安全机构 CISA 周三呼吁紧急关注 Fortinet 的 FortiManager 平台中的一个严重漏洞，并警告称远程黑客已经启动代码执行漏洞攻击。该安全缺陷编号为CVE-2024-47575，记录为 FortiManager fgfmd 守护进程中的“关键功能漏洞缺少身份验证”。该漏洞为远程未经身份验证的攻击者打开了大门，使他们能够通过特制的请求执行任意代码或命令。它的 CVSS 严重性评分为 9.8/10。

报告显示，该漏洞已被广泛利用。此次攻击在野外被发现的行为是通过脚本自动从 FortiManager 中窃取各种文件，其中包含受管设备的 IP、凭证和配置。