披露时间：2024年10月16日

情报来源：https://mp.weixin.qq.com/s/tkOMIHY36TujPKjWKVa6kA

相关信息：

奇安信威胁情报中心近期发现一批较为特别的 CHM 文件，其中 html 文件的脚本内容十分简单，只是执行一个外部文件。由于 CHM 脚本自身不包含明显的恶意代码，导致这些样本在 VT 上的报毒数很低。

CHM 样本带有图片诱饵，结合文件名称中的 “.pdf.chm” 双扩展名伪装为 PDF 文件，诱饵内容与巴基斯坦、孟加拉国、缅甸等南亚多国有关，涉及政府机构、军事、外交、经济等行业。在样本关联过程中，我们还发现攻击者模仿红队手法制作的钓鱼样本，诱饵内容表明攻击对象为巴基斯坦国防军事部门。

CHM 执行的外部文件实际是用 C# 编写的后门，与Bitter 组织恶意样本相似，且Bitter的服务器（libraofficeonline[.]com）上面托管的一些攻击武器正是已披露的 Mysterious Elephant 恶意软件（包括 ORPCBackdoor、WalkerShell、DemoTrySpy 等）。

由于南亚地区 APT 组织之间错综复杂的联系和多方安全研究人员不同的追踪视野，目前业界对于是否将 Mysterious Elephant 和 Bitter 区分开来还没有达成一致意见。为避免引入更多分歧，本文基于恶意样本相似性认为这些特殊的 CHM 攻击样本和 C# 后门很可能来自 Mysterious Elephant 组织。

披露时间：2024年10月12日

情报来源：https://mp.weixin.qq.com/s/eseliIVHqiWI-Q1CoCA81g

相关信息：

蔓灵花组织（APT-Q-37）一直在尝试各种方法以实现免杀，包括使用PowerShell加载HAVOC框架和下发窃密插件。2024年9月，该组织下发了全新的特马MiyaRat，该木马针对国内用户，奇安信成功捕获并分析了该木马。

木马由MSI文件释放，解密出C2域名"samsnewlooker.com"，使用特定key进行解密。木马主体功能在函数sub_406960中，连接C2服务器的56172端口，并收集系统信息发送给C2服务器。木马支持的功能包括文件信息枚举、命令执行、文件上传下载、截屏等。木马指令包括：

• GDIR：列举指定目录下的文件和子目录信息
• DELz：删除指定文件
• GFS：递归枚举指定目录的所有文件信息
• SH1cmd：创建命令执行的shell
• SH1, SH2：将命令传入shell
• SFS：连接C2服务器指定端口进行文件传输操作
• GSS：截屏
• SH1exit_client：退出木马进程

披露时间：2024年10月15日

情报来源：https://mp.weixin.qq.com/s/VfdouLQrybeIeZB1E1l-dg

相关信息：

微步情报局的最新分析显示，尽管Lazarus组织相关攻击事件已被多次披露，但许多攻击资产依然存活。该组织通过在LinkedIn、Twitter、Facebook、GitHub、Stack Overflow等多个平台发布加密货币相关的虚假招聘广告或研究项目来物色目标人员。一旦目标上钩，攻击者会通过Telegram等通讯平台进一步引诱目标人员下载安装带毒的工具或密币项目，以此展开密币窃取活动。这些活动最早可追溯到2023年5月，使用的武器库木马包括QT6平台开发的下载器，Python、Javascript木马，目标操作系统包括Windows、Linux、MacOS。

文章分析了伪造的FCCCall视频会议安装包的样本，该样本覆盖Windows、Linux、MacOS平台，后续使用的载荷多为轻量级的同类型Python窃密木马。这些木马具有远控、窃密、按键及窗口监控等恶意功能，适配Windows、Linux、MacOS三大PC平台，并针对多个主流浏览器进行窃密。

披露时间：2024年10月11日

情报来源：https://www.trendmicro.com/en_us/research/24/j/earth-simnavaz-cyberattacks-uae-gulf-regions.html

相关信息：

Trend Micro的研究团队监测到一个名为Earth Simnavaz的网络间谍组织，该组织也被称为APT34和OilRig，它一直在积极针对阿联酋和海湾地区的政府实体。这个组织使用复杂的策略，包括部署后门程序利用Microsoft Exchange服务器进行凭证窃取，以及利用如CVE-2024-30088这样的漏洞进行权限提升。Earth Simnavaz使用定制的.NET工具、PowerShell脚本和基于IIS的恶意软件，使其恶意活动能够混入正常网络流量，避免传统检测方法。

该组织最近活动表明，它专注于滥用关键基础设施和地缘政治敏感地区的漏洞。他们还寻求在被妥协的实体中建立持久的立足点，以便这些实体可以被武器化以攻击其他目标。攻击链的初始入口点追溯到上传到脆弱Web服务器的Web shell，该Web shell不仅允许执行PowerShell代码，还允许攻击者从服务器下载和上传文件，从而在目标网络内扩大其立足点。

Earth Simnavaz还被发现使用ngrok这样的远程监控和管理（RMM）工具，该工具允许流量无缝隧道传输，为攻击者提供了一种有效手段，以维持对被妥协环境的持久性和控制。攻击者还利用了CVE-2024-30088漏洞，将其作为目标系统权限提升的工具。通过利用这些新漏洞，攻击变得更加隐蔽和有效。

披露时间：2024年10月10日

情报来源：https://mp.weixin.qq.com/s/KV2NfqR26NK8YBRdCwhlDg

相关信息：

近日，360 在对 APT28 的持续跟踪过程中发现,该组织运用了多种复杂的攻击手法发动网络攻击。APT28 的攻击者通常首先向目标用户发送精心构造的钓鱼邮件，邮件正文包含恶意链接。

其中一类攻击使用Headlace后门程序，这类攻击邮件中的链接指向恶意压缩文件。一旦用户下载并打开压缩文件, Headlace Dropper会使用一些伪装手段诱导用户执行例如文件名为Windows更新、网页链接或者图标伪装为文档的LNK文件等。在某些情况下，攻击者还会利用DLL劫持技术，在用户打开合法应用时加载Headlace Dropper。除了恶意压缩文件，还发现APT28使用了LNK快捷方式文件和恶意URL等多种诱饵格式,以提高攻击的成功率。Headlace Dropper成功执行后，会进一步释放Headlace后门程序。该后门程序能够与攻击者的命令控制服务器建立通信，并在受害者的系统上执行各种恶意操作，如窃取敏感信息、下载额外的恶意组件等，最终实现对目标系统的长期控制。

在APT28的另一种常见攻击手法中，攻击者部署 MASEPIE 后门，当用户点击钓鱼邮件中的链接后会被重定向到攻击者精心设计的诱饵页面，并诱导用户点击特定的按钮或链接，之后被进一步引导到一个WebDAV服务器。攻击者在服务器上预置了恶意的LNK快捷方式文件。该LNK文件会执行PowerShell命令释放多个恶意组件，包括用于迷惑用户的诱饵文档、用于执行恶意代码的Python解释器，以及名为MASEPIE的后门程序。通过该后门，攻击者能够建立起一条稳定的远程控制通道，该通道允许攻击者向受害者系统下发其他的攻击组件，如STEELHOOK或OCEANMAP，以进一步扩大对目标环境的控制。MASEPIE后门还允许攻击者在受害者系统上执行任意命令。

此外，APT28 还会发送带有附件的钓鱼邮件，附件通常是一个恶意的压缩文件，其中包含PDF或HTML诱饵文件，这些诱饵文件引导用户到另一个钓鱼页面，最终用户会被一步步引诱填写自己的账户凭据，如用户名、密码等敏感信息。

披露时间：2024年10月10日

情报来源：https://www.ic3.gov/Media/News/2024/241010.pdf

相关信息：

美国和英国网络机构今天警告称，与俄罗斯对外情报局 (SVR) 有关的 APT29 组织利用 CVE-2022-27924 和 CVE-2023-42793 漏洞，“大规模攻击”在线暴露的未打补丁的 Zimbra 和 TeamCity 服务器，攻击范围覆盖全球各个行业的受害者。

CVE-2022-27924 至少自 2022 年 8 月以来就已被利用来从未修补的 Zimbra Collaboration 实例中窃取电子邮件帐户凭据，而 CVE-2023-42793 则被勒索软件团伙和朝鲜黑客组织利用进行初始访问并试图进行供应链攻击。

SVR网络行动通常有两种类型的预期受害者：有意目标和机会目标。有意目标包括政府和外交实体、技术公司、智库、国际组织和经过清理的国防承包商。机会目标则是通过互联网可访问的基础设施，这些设施容易受到公开披露的漏洞、弱认证控制或系统配置错误的影响。

披露时间：2024年10月13日

情报来源：https://doubleagent.net/fastcash-for-linux/

相关信息：

研究人员新发现了一种FASTCash恶意软件变种，它专门针对运行Linux操作系统的支付系统。FASTCash是一种已知的由朝鲜支持的恶意软件，它被安装在处理ATM卡交易的支付开关上，目的是在未经授权的情况下从ATM机提取现金。这个新变种的发现增加了该恶意软件已知目标操作系统的列表，之前已知的样本包括IBM AIX（针对UNIX系统）和Microsoft Windows（针对Windows系统）。

这个Linux变种与之前针对Windows系统的样本在功能上非常相似，包括拦截失败的银行卡交易、向交易中添加资金以及批准交易。这些样本的工作货币是土耳其里拉，而不是之前AIX变种中的印度卢比。这些样本在病毒Total（VT）上的检测结果很少，表明它们在技术上相当复杂，能够绕过传统的安全检测。

此外，文章详细介绍了与银行卡交易处理系统相关的术语和技术，包括参与方、支付开关、协议和接口、终端（如ATM和POS机）以及ISO8583消息格式。

披露时间：2024年10月10日

情报来源：https://thehackernews.com/2024/10/cisa-warns-of-threat-actors-exploiting.html

相关信息：

美国网络安全和基础设施安全局 (CISA) 警告称，它观察到威胁行为者利用 F5 BIG-IP 本地流量管理器 (LTM) 模块管理的未加密持久 cookie 来对目标网络进行侦察，以推断或识别其他网络资源，并可能利用网络上其他设备中发现的漏洞。该模块被用来枚举网络上其他非面向互联网的设备。然而，该机构没有透露该活动的幕后黑手是谁，也没有透露该活动的最终目标是什么。

披露时间：2024年10月15日

情报来源：https://www.trendmicro.com/en_us/research/24/j/edrsilencer-disrupting-endpoint-security-solutions.html

相关信息：

趋势科技观察到一种名为 EDRSilencer 的红队工具，它试图识别安全工具并关闭其警报。研究人员表示，攻击者正试图将 EDRSilencer 整合到攻击中以逃避检测。EDRSilencer 是一个开源工具，其灵感来自专有渗透测试工具 MdSec NightHawk FireBlock，它可以检测正在运行的 EDR 进程并使用 Windows 过滤平台 (WFP) 来监控、阻止或修改 IPv4 和 IPv6 通信协议上的网络流量。

通过设置自定义规则，攻击者可以破坏 EDR 工具与其管理服务器之间的持续数据交换，从而阻止传递警报和详细的遥测报告。在最新版本中，EDRSilencer 可以检测并阻止 16 种现代 EDR 工具。

据悉，EDRSilencer 通过提供文件路径为攻击者提供了为特定进程添加过滤器的选项，因此可以扩展目标进程列表以涵盖各种安全工具。研究人员表示，识别并阻止硬编码列表中未包含的其他进程后，EDR 工具未能发送日志，从而证实了该工具的有效性。这使得恶意软件或其他恶意活动无法被发现，增加了在不被发现或干预的情况下成功攻击的可能性。

披露时间：2024年10月14日

情报来源：https://checkmarx.com/blog/this-new-supply-chain-attack-technique-can-trojanize-all-your-cli-commands/

相关信息：

网络安全研究人员发现，入口点可能在 PyPI、npm、Ruby Gems、NuGet、Dart Pub 和 Rust Crates 等多个编程生态系统中被滥用，以发起软件供应链攻击。入口点攻击为威胁行为者提供了一种更隐蔽、更持久的方法来破坏系统，从而绕过传统的安全防御。Python 等编程语言中的入口点是指一种打包机制，允许开发人员将某些功能公开为命令行包装器（也称为 console_scripts）。或者，它们还可以用于加载增强包功能的插件。

Checkmarx 指出，利用入口点向毫无戒心的用户分发恶意代码的一些方式包括命令劫持和为各种工具和框架创建流氓插件。当假冒软件包使用冒充流行的第三方工具和命令（例如 aws 和 docker）的入口点时，就会发生命令劫持，从而在开发人员安装软件包时收集敏感信息，即使它是作为轮子分发的（.whl）文件。一些广泛使用的第三方命令可能成为命令劫持的潜在目标，包括 npm、pip、git、kubectl、terraform、gcloud、heroku 和 dotnet。

当威胁行为者使用合法的系统命令名称（例如 touch、curl、cd、ls 和 mkdir）作为入口点以劫持执行流时，第二种类型的命令劫持也会出现。这种方法的成功主要取决于 PATH 顺序。如果包含恶意入口点的目录在路径中早于系统目录出现，则将执行恶意命令而不是系统命令。这种情况更有可能发生在优先考虑本地包目录的开发环境中

此外，Checkmarx 发现，命令劫持的有效性可以通过一种称为命令包装的更隐蔽的策略来提高，该策略涉及创建一个入口点，充当原始命令的包装器，而不是完全替换它。这将会默默地执行恶意代码，同时调用原始的合法命令并返回执行结果，从而使其能够在雷达下飞行。

披露时间：2024年10月11日

情报来源：https://infosec.exchange/@SophosXOps/113284564225476186

相关信息：

网络安全供应商 Sophos 表示，过去的一个月攻击者利用受损的 VPN 凭证和 CVE-2024-40711 创建本地帐户并部署Akira 和 Fog 勒索软件。

CVE-2024-40711 在 CVSS 评分中评分为 9.8 分（满分 10.0 分），是指允许未经身份验证的远程代码执行的严重漏洞。Veeam 于 2024 年 9 月上旬在 Backup & Replication 版本 12.2 中解决了这个问题。

攻击者最初都是使用受损的 VPN 网关访问目标，而没有启用多因素身份验证。每次，攻击者都会在端口 8000 上的 URI /trigger 上利用 VEEAM，触发 Veeam.Backup.MountService.exe 生成 net.exe。该漏洞会创建一个本地帐户“point”，将其添加到本地管理员并远程桌面用户组。

在一个案例中，攻击者将 Fog 勒索软件部署到未受保护的Hyper-V服务器上，然后使用实用程序rclone来窃取数据。同一时间范围内的另一次攻击试图部署 Akira 勒索软件。所有 4 个案例的指标都与早期的 Akira 和 Fog 勒索软件攻击重叠。

披露时间：2024年10月14日

情报来源：https://www.trendmicro.com/en_us/research/24/j/water-makara-uses-obfuscated-javascript-in-spear-phishing-campai.html

相关信息：

Trend Micro 近期发现，一个名为 Water Makara 的组织正对拉丁美洲(尤其是巴西)的企业发起鱼叉式网络钓鱼攻击。据悉，此次钓鱼活动覆盖各行各业，其中制造、零售公司受影响最为严重。

活动涉及使用的钓鱼邮件常冒充官方税务文件，利用个人所得税申报的紧迫性来诱骗用户下载恶意软件。邮件包含恶意的ZIP文件，它又包含一个恶意的 LNK 文件，负责使用 mshta.exe(一种经常被利用的实用程序，通常用于运行 HTML 应用程序文件)来执行混淆的 JavaScript 命令，从而与 C2 服务器建立连接。期间，攻击者还使用混淆的 JavaScript 部署了 Astaroth 银行恶意软件以绕过安全防御。而 Astaroth 则是一种臭名昭著的信息窃取银行木马，目前仍很活跃。

披露时间：2024年10月15日

情报来源：https://www.bleepingcomputer.com/news/security/over-200-malicious-apps-on-google-play-downloaded-millions-of-times/

相关信息：

Zscaler 的威胁情报研究人员在 2023 年 6 月至 2024 年 4 月期间识别并分析了 Google Play 和其他分发平台上的恶意软件家族，发现Android 官方商店 Google Play 在一年内传播了 200 多个恶意应用程序，累计下载量接近 800 万次。研究人员在官方 Android 应用商店中发现的最常见威胁包括：

• Joker (38.2%)：信息窃取者和短信抓取者，为受害者订阅高级服务；

• Adware (35.9%)：消耗互联网带宽和电池来加载侵入性前台广告或后台隐形广告的应用程序，产生欺诈性广告印象；
• Facestealer (14.7%)：Facebook 帐户凭据窃取程序，将网络钓鱼表单覆盖在合法的社交媒体应用程序之上；
• Coper (3.7%)：信息窃取器和短信拦截器，还可以执行键盘记录和覆盖网络钓鱼页面；
• Loanly Installer (2.3%)；
• Harly (1.4%)：为受害者订阅高级服务的木马应用程序；
• Anatsa (0.9%)：Anatsa（或 Teabot）是一种银行木马，针对全球 650 多个银行应用程序

披露时间：2024年10月10日

情报来源：https://www.zscaler.com/blogs/security-research/technical-analysis-darkvision-rat

相关信息：

DarkVision RAT 是一种高度可定制的远程访问木马 (RAT)，于 2020 年首次出现，在 Hack Forums 及其网站上提供，价格低至 60 美元。DarkVision RAT 采用 C/C++ 和汇编语言编写， RAT 的功能包括键盘记录、屏幕截图、文件操作、进程注入、远程代码执行和密码盗窃。

据悉，DarkVision攻击链包括多个阶段。第一阶段，攻击者使用.NET Reactor保护的.NET可执行文件开始攻击链。这个文件在执行时会解密第二阶段的shellcode，使用3DES算法，并利用VirtualAlloc和VirtualProtect将shellcode写入可执行内存块中。第二阶段涉及开源的Donut loader，这是一个位置无关的x86 shellcode，用于直接将.NET程序集加载到内存中。Donut loader使用Chaskey块密码算法加密其模块。第三阶段是PureCrypter，一个.NET程序集，它负责加载DarkVision RAT。PureCrypter使用AES算法加密RAT有效载荷，并包含RAT的启动设置。此外，PureCrypter还通过执行PowerShell命令来绕过Windows Defender，并为RAT实现持久性。第四阶段涉及RAT的持久性和与C2服务器的通信协议。DarkVision RAT使用多个技术来确保在受感染系统上的持久性，包括启动文件夹、autorun键和任务计划程序。RAT还通过NtCreateSection和NtMapViewOfSection API执行进程注入。

DarkVision RAT使用自定义的二进制协议与C2服务器进行通信。RAT首先向C2服务器注册自己，然后执行设备指纹识别并收集系统信息。RAT支持一系列命令，包括文件操作、进程管理、屏幕截图、系统控制等。

披露时间：2024年10月11日

情报来源：https://harfanglab.io/insidethelab/hijackloader-abusing-genuine-certificates/

相关信息：

近日，HarfangLab研究人员披露了一种新的恶意软件活动，该活动提供使用合法代码签名证书签名的劫持加载程序工件，最终部署名为 Lumma 的信息窃取程序。

这些活动的最新变体会将用户引导至虚假的验证码页面，敦促网站访问者通过复制并运行编码的 PowerShell 命令来证明自己是人类，该命令会以 ZIP 存档的形式投放恶意负载。ZIP 存档本身包含一个容易受到 DLL 侧面加载影响的真正可执行文件和要加载的恶意 DLL（即劫持加载程序）。

侧载 HijackLoader DLL 的目的是解密并执行包中提供的加密文件。该文件隐藏了最后的 HijackLoader 阶段，旨在下载并执行窃取程序植入。

据称，该交付机制已于 2024 年 10 月上旬从 DLL 侧面加载更改为使用多个签名的二进制文件，以试图逃避安全软件的检测。

披露时间：2024年10月11日

情报来源：https://www.zimperium.com/blog/expanding-the-investigation-deep-dive-into-latest-trickmo-samples/

相关信息：

Zimperium近日披露了名为TrickMo的银行木马新变种。据悉，该变体采用创新技术来逃避检测和分析，例如zip文件操作和混淆。经研究人员进一步分析，确定了该木马的40个最新变体、16个植入程序和22个C2以及其他功能。这些变体所共享的功能包括：OTP拦截、屏幕录制、数据泄露、遥控、自动授予权限并自动点击提示、无障碍服务滥用、叠加显示和凭证盗窃等，使得恶意软件能够有效访问设备上存储的任何类型的信息。

除了上述核心功能之外，研究人员还在一些示例中发现了一项新功能，允许这些变体窃取设备的解锁图案或PIN。这一新功能使攻击者即使在设备锁定时也可以在设备上进行操作。为了获取必要的解锁信息，恶意软件会呈现一个模仿设备实际解锁屏幕的欺骗性用户界面(UI)。该界面是托管在外部网站上的HTML页面，并在设备上以全屏模式显示，使其看起来像合法屏幕。当用户输入解锁图案或PIN码时，页面会将捕获的PIN码或图案详细信息以及唯一的设备标识符(Android ID)传输到PHP脚本。

数据显示，至少13000名受害者受到影响，主要分布在加拿大、阿联酋、土耳其和德国，且其攻击目标不仅限于银行账户，还包括VPN、电子商务、社交媒体等平台。

披露时间：2024年10月12日

情报来源：https://mp.weixin.qq.com/s/Bbe-D14DiWl--eUbghQkLg

相关信息：

Mozilla Firefox 是一款广泛使用的开源网页浏览器，它由 Mozilla 基金会和其子公司 Mozilla Corporation 开发。Firefox 以其对网络标准的高兼容性、对用户隐私的重视以及对扩展和自定义的支持而受到用户的青睐。

Animation timelines 是一个用于控制CSS动画进度的CSS属性。它允许开发者指定一个时间线，这个时间线可以是默认的文档时间线，也可以是与滚动事件相关联的滚动进度时间线，或者是与元素可见性变化相关联的视图进度时间线。通过animation-timeline属性，可以创建更加丰富和互动的动画效果。

近日，奇安信CERT监测到Mozilla发布公告称Mozilla Firefox Animation timelines 释放后重用漏洞(CVE-2024-9680)存在在野利用，远程攻击者能够通过利用 Animation timelines 中的释放后使用漏洞在内容进程中实现代码执行。目前，此漏洞已发现在野利用，影响版本：Firefox < 131.0.2、Firefox ESR < 115.16.1、Firefox ESR < 128.3.1。

披露时间：2024年10月12日

情报来源：https://cyberscoop.com/ips-vulnerable-fortinet-flaw-must-patch/

相关信息：

根据Shadowserver基金会的数据显示，约8.7万个IP受Fortinet的远程代码执行漏洞影响，该漏洞被美国网络安全和基础设施安全局（CISA）列为“必须修补”的安全风险。CISA警告该漏洞正被攻击者积极利用，并要求联邦机构在10月30日前完成修补。该漏洞最早在2024年2月被发现，影响范围广泛，主要分布在亚洲（37778个IP）、北美（21262个IP）和欧洲（16381个IP）。尽管Fortinet已发布了修复补丁，但建议该修复仅作为缓解措施，不能完全消除漏洞利用的风险。目前尚不清楚该漏洞是否与勒索软件攻击有关。