披露时间：2024年12月4日

情报来源：https://mp.weixin.qq.com/s/_xsvFsa7BYkFCYRCh-pwmA

相关信息：

近日，安恒捕获了Patchwork APT组织的攻击样本，相关样本以“国家重点研发计划‘工程科学与综合交叉’重点专项 2025项目指南建议表”为话题，针对国内科研相关的工作人员进行钓鱼攻击。

相关攻击活动以LNK文件作为初始攻击负载，引诱目标运行后，将下载PDF文件及EXE、DLL文件到本地，自动打开PDF文件以降低目标防备心理，并设置计划任务运行白文件。白文件运行后加载恶意DLL文件，在内存中多次解密加载执行Patchwork组织特马BadNews。此外，研究人员发现该组织域名仿冒多个正常网站。

披露时间：2024年11月29日

情报来源：https://threatbook.io/blog/id/1095

相关信息：

近日，ThreatBook研究人员监测到APT35组织利用伪造网站进行攻击活动，攻击目标主要涉及航空航天、半导体行业，地区分布在美国、泰国、阿联酋、以色列等。该组织通过伪造的招聘网站、企业网站等载体，托管白、黑组件，利用站点访问或VPN访问等方式，诱骗目标下载并执行恶意进程。在攻击过程中，利用了OneDrive、Google Cloud和GitHub等合法互联网资源。

APT35组织针对航空航天行业的虚假招聘网站提供了混合了白、黑两个恶意样本的授权访问程序，其中SignedConnection.exe为合法的OneDrive程序，secur32.dll、Qt5Core.dll分别为第一阶段、第二阶段恶意程序。恶意模块secur32.dll采用C#编写，该恶意模块功能为SignedConnection.exe提供图形界面元素支持、将白黑文件复制并重命名至指定路径、为白黑文件创建注册表自启动以及静默加载恶意程序。恶意模块Qt5Core.dll被第一阶段的secur32.dll重命名为%LOCALAPPDATA%\Microsoft\WindowsInsights\workstationsecur32.dll释放，并被同路径下的合法白程序FileCoAuth.exe（原SignedConnection.exe）加载。该恶意模块会访问Google Cloud和GitHub以获取C2，进而与C2通信，接收指令并执行相应功能。推测攻击者会根据控制的IP地址、主机信息以及运行环境来下发下一阶段的木马，但未捕获到样本。

研究人员还发现了一个攻击半导体公司的虚假网站，攻击者利用访问限制来诱骗目标用户下载并安装带有恶意负载的VPN程序。利用VPN访问程序加载恶意DLL模块msvcp.dll，该模块与上文提到的Qt5Core.dll为同一类型的下载器，C&C地址来源于OneDrive链接。

披露时间：2024年12月4日

情报来源：https://mp.weixin.qq.com/s/3lmwcYC8ep8OzQUxdBYdCQ

相关信息：

Gamaredon组织持续采用各种复杂的技术和策略，包括使用恶意LNK文件、XHTML文件进行复杂的网络钓鱼活动。360研究人员分析了四种不同的攻击载荷。其一是包含恶意LNK文件的恶意压缩文件，恶意LNK文件通过利用mshta.exe执行远程恶意代码。

其二恶意附件形式是恶意XHTML文件，主要负责将恶意压缩文件下载到用户系统中，该恶意文件还集成了像素跟踪技术，用于标记用户是否已打开恶意文件。下载的压缩文件同样包含恶意LNK文件，通过mshta.exe执行以获取后续载荷。此外，这类还存在另一种变体，主要的HTML代码经过简单的混淆和编码处理，并且LNK命令行参数有所不同。观察到的恶意载荷为PowerShell类型，该代码在一个无限循环中每三分钟（180秒）执行一次请求函数。每次执行时，该函数会发送计算机名称和磁盘序列号到远程C2地址，并等待服务器的响应。如果响应数据以"!"开头，则直接执行剩余部分。否则，对响应数据进行解码。解码过程使用磁盘序列号作为密钥进行XOR解码操作。解码完成后，启动一个新的任务来执行解码后的VBScript脚本。

第三种攻击方式涉及使用与目标国家政府和军队相关的敏感信息作为诱饵。这些压缩文件内部包含一个诱饵PDF文档和一个恶意的HTA文件。恶意的HTA文件通过mshta.exe加载托管于trycloudflare.com上的恶意载荷。

第四种攻击方式涉及在邮件中嵌入恶意压缩文件。这些压缩文件内部包含恶意LNK文件和PowerShell脚本文件，PowerShell脚本文件通过LNK文件执行。这类攻击方式将多个PowerShell功能模块写入HKCU:\System注册表，“入口模块”会启动两个后台作业，第一个作业启动存储在注册表中的“通信模块”，负责与C2服务器进行通信。第二个作业启动“移动磁盘搜索模块”，用于搜索并感染连接到计算机的移动磁盘设备。随后，脚本会在450到600秒之间随机选择一个暂停时间，以避开检测并增加其隐蔽性。

披露时间：2024年12月2日

情报来源：https://www.genians.co.kr/blog/threat_intelligence/kimsuky-cases

相关信息：

Genians 的 一项调查显示，自 2023 年 10 月以来，韩国的网络钓鱼攻击激增，恶意行为者冒充“国家秘书”等政府服务。攻击者利用日本 Biglobe 和韩国 MyDomain 等知名提供商的域名，部署旨在窃取凭据的网络钓鱼链接。这些虚假网站伪装成官方门户网站或电子文档服务，有效地诱骗用户泄露敏感信息。

该活动的早期阶段严重依赖日本和韩国的电子邮件服务，但 2024 年 9 月发生了显着转变，当时网络钓鱼电子邮件开始来自俄罗斯域名，例如“mmbox[.]ru”和“ncloud[.]ru”。然而，调查显示，这些都是伪造的发件人地址，电子邮件实际上是从韩国发送的，利用了美国 Evangelia University 等受感染服务器的“star 3.0”邮件程序等工具。

据悉，攻击者没有通过网络钓鱼下发恶意软件，而是专注于凭证盗窃并冒充金融机构或 MYBOX 等云服务，利用用户对这些服务的熟悉度，绕过传统的防病毒检测。被盗凭证可以对同伙进行后续攻击，或帮助更深层次地渗透到网络中。

披露时间：2024年11月29日

情报来源：https://mp.weixin.qq.com/s/6wVfE9SE3wVuazxVppe3tA

相关信息：

毒云藤(APT-C-01)是一个专门针对国防、政府、科技和教育等领域进行持续网络攻击的APT组织，活动已持续多年，最早可追溯至2007年。该组织惯用钓鱼攻击，包括水坑钓鱼、鱼叉式钓鱼，往往针对特定目标，并利用个性化的诱饵内容，以提高成功率。近期，360观察到该组织持续活动，通过模仿官方网站制作钓鱼网页进行定向钓鱼。当受害者访问网站时，则会自动下载恶意载荷，该载荷是一个由C#编写的加载器，它使用PDF图标进行伪装以迷惑受害者，主要负责下载数据文件并进行解密出Shellcode，最终加载Sliver RAT木马程序以进行窃密和远程控制行动。其中，Sliver是一个开源的，基于Golang开发的跨平台C2框架，支持Windows，Linux，MACOS等多种系统，并支持多种通信协议，功能包含文件操作，进程操作，提升权限，进程注入，横向移动、截屏、远程执行shell等。

披露时间：2024年12月2日

情报来源：https://blog.lumen.com/snowblind-the-invisible-hand-of-secret-blizzard/

相关信息：

Lumen的Black Lotus Labs发现了一个由俄罗斯黑客组织“Secret Blizzard”（也称为Turla）长期运作的活动。该组织成功渗透了巴基斯坦黑客组织“Storm-0156”（与“SideCopy”和“Transparent Tribe”活动集群相关）使用的33个C2节点。该活动持续了两年，这是自2019年以来记录的第四个Secret Blizzard嵌入其他组织操作的案例。

2022年12月，Secret Blizzard首次获得了Storm-0156的C2服务器的访问权限，并在2023年中期扩展了对与Storm-0156相关的多个C2的控制。利用Storm-0156预先获得的访问权限，Secret Blizzard在阿富汗政府网络中部署了自己的恶意软件“TwoDash”和“Statuezy”。2023年4月，Secret Blizzard进一步扩展了他们的行动，进入了巴基斯坦运营商的工作站，可能获取了大量的数据，包括Storm-0156的工具、C2和目标网络的凭据，以及从先前操作中收集的外泄数据。

到2024年中期，Secret Blizzard扩大了他们的焦点，包括使用从巴基斯坦工作站中获取的另外两个恶意软件家族Waiscot和CrimsonRAT。CrimsonRAT之前被发现用于针对印度政府和军事目标。Secret Blizzard后来利用他们的访问权限收集了先前部署的恶意软件的数据。

披露时间：2024年12月2日

情报来源：https://www.fortinet.com/blog/threat-research/sophisticated-attack-targets-taiwan-with-smokeloader

相关信息：

在2024年9月，FortiGuard Labs发现了一起针对台湾多家公司的攻击活动，这些公司涉及制造业、医疗保健、信息技术等领域。攻击者使用了SmokeLoader恶意软件，该软件以其模块化设计而著称，能够执行多种攻击。SmokeLoader通常作为下载器来传递其他恶意软件，但在这次攻击中，它通过从其C2服务器下载插件来执行攻击。

攻击始于钓鱼邮件，其附件为CVE-2017-0199漏洞文档，当受害者打开精心设计的文件时，会自动下载并执行恶意文档。第二阶段是CVE 2017-11882漏洞文档或者HTA文件。CVE 2017-11882漏洞文档中shellcode 包含解密算法和加密数据。解密后，shellcode下载下一阶段所需的 VBS 文件；HTA文件包含使用多次URL编码进行编码的VBS代码，该 VBS 脚本会执行一段 PowerShell 代码，从而下载 AndeLoader 的 VBS 文件。第三阶段都使用 VBS 文件来启动恶意软件加载器 AndeLoader，最终的有效载荷是 SmokeLoader。其中，VBS 文件在垃圾代码中隐藏了混淆的 PowerShell 代码，通过 PowerShell 下载包含注入器 base64 编码数据的隐写图像，解码执行后注入器会对上一阶段下载的VBS文件进行持久化操作，之后下载指定的 TXT 文件，对其数据进行反混淆处理，得到 SmokeLoader，然后将其注入到RegAsm.exe中。

SmokeLoader 从C2服务器接收到9个插件，包括3个独立插件，32位和64位各3个插件。根据插件的架构，SmokeLoader使用循环将这些插件依次注入explorer.exe。SmokeLoader会创建一个挂起的explorer.exe进程，将插件和解密算法的加密数据以及调用解密算法的一段shellcode写入其中，然后将explorer.exe入口点开头的代码改为跳转到shellcode的地址，并调用ResumeThread来执行插件。

披露时间：2024年11月29日

情报来源：https://thecyberexpress.com/helldown-ransomware-targets-zyxel-firewalls/

相关信息：

德国 CERT (CERT-Bund) 与 Zyxel 一起发出警告，Zyxel 防火墙已成为近期网络攻击的主要目标，攻击者利用关键漏洞部署危险的 Helldown 勒索软件。此次攻击与 Zyxel ZLD 固件中的漏洞CVE-2024-11667有关，该漏洞影响 Zyxel ATP 和 USG FLEX 防火墙系列，是 Zyxel ZLD 固件（版本 4.32 至 5.38）中的一个目录遍历漏洞。此漏洞允许攻击者绕过安全措施并通过特制的 URL 上传或下载文件。通过利用此漏洞，网络犯罪分子可以未经授权访问系统、窃取凭据并创建后门 VPN 连接。最危险的设备是运行 ZLD 固件版本 4.32 至 5.38 之间且启用了远程管理或SSL VPN 的设备。重要的是，通过 Nebula 云管理系统管理的设备不受此漏洞的影响。

主要攻击媒介是利用 CVE-2024-11667 漏洞获取目标系统的初始访问权限。一旦进入系统，攻击者通常会采用复杂的后利用策略，包括创建未经授权的用户帐户，例如“SUPPORT87”和“SUPPOR817”。这些账户用于横向移动，建立持久后门。这些攻击造成的影响包括数据泄露、关键文件加密和运营中断，通常目的是索要文件解密的赎金。据CERT-Bund称，截至目前，Helldown 的泄密网站已列出全球 32 名受害者，其中包括德国的五个组织。

披露时间：2024年12月1日

情报来源：https://www.bleepingcomputer.com/news/security/novel-phising-campaign-uses-corrupted-word-documents-to-evade-security/

相关信息：

Any.Run发现了一项新的网络钓鱼活动，该活动滥用了 Microsoft 的 Word 文件恢复功能。攻击者假装来自工资和人力资源部门，将损坏的 Word 文档作为电子邮件附件发送，从而使它们能够由于损坏状态而绕过安全软件，但仍可被应用程序恢复。这些附件采用多种主题，均围绕员工福利和奖金。

打开附件时，Word 将检测到文件已损坏并显示“在文件中发现无法读取的内容”，询问您是否要恢复。恢复后，显示一个文档，告诉目标扫描二维码以检索文档，扫描二维码会将用户带到一个伪装成 Microsoft 登录的钓鱼网站，试图窃取用户的凭据。

披露时间：2024年12月2日

情报来源：https://emailsecurity.fortra.com/blog/cloudflares-pagesdev-and-workersdev-domains-increasingly-abused-phishing

相关信息：

Cloudflare的“pages.dev”和“workers.dev”域名，通常用于部署网页和支持无服务器计算，但目前正成为网络犯罪分子的攻击工具，用于开展钓鱼和其他恶意活动。据网络安全公司Fortra的报告，2024年这些域名的滥用量相比2023年增长了100%到250%。研究人员认为，黑客利用Cloudflare的可信品牌、服务可靠性、低使用成本以及反向代理功能来提升恶意活动的合法性和有效性。Cloudflare Pages原本是前端开发者用于在其全球内容分发网络(CDN)上构建、部署和托管网站的平台，但现在却被黑客用来托管中介钓鱼页面，引导受害者访问伪造的Microsoft Office365登录页面。Fortra还发现，Cloudflare Workers平台也被广泛滥用，黑客通过它进行分布式拒绝服务(DDoS)攻击、部署钓鱼网站、注入恶意脚本并进行账号密码暴力破解等恶意活动。

披露时间：2024年12月2日

情报来源：https://unit42.paloaltonetworks.com/threat-assessment-howling-scorpius-akira-ransomware/

相关信息：

Howling Scorpius 勒索软件组织于 2023 年初出现，是 Akira 勒索软件即服务 (RaaS) 背后的实体，一直以双倍勒索策略对北美、欧洲和澳大利亚的中小企业构成威胁，涉及教育、咨询、政府、制造、电信、技术和制药等多个行业。该集团针对Windows和Linux操作系统维护和运营加密器，并有针对ESXi主机的变体。

Howling Scorpius通过多种方式获得初始访问权限，包括利用缺乏多因素认证（MFA）的易受攻击VPN服务、针对RDP的攻击和鱼叉式网络钓鱼活动。该组织通过Mimikatz和LaZagne等工具、Kerberoasting攻击来获取凭证，或者从Active Directory数据库和受感染的 vCenter 实例中提取凭据，以实现全面的域控制。Howling Scorpius创建新的域账户以建立持久性，利用RDP和SMB等远程服务进行横向移动。在防御绕过方面，该组织使用自己的驱动程序终止反恶意软件进程，并尝试禁用Windows Defender实时保护，有时该组织会创建自己的虚拟机，禁用虚拟机的安全工具后在新虚拟机中执行勒索软件以绕过主机的安全工具。Howling Scorpius通常使用WinRAR和WinSCP、RClone和FileZilla等工具通过FTP从受感染的主机中窃取数据。

加密成功后，Akira 勒索软件加密器会创建一份名为akira_readme.txt的勒索信，其中包含泄密网站和谈判网站的链接。该文件还包含一个唯一代码，受害者必须在谈判网站上输入该代码，以便与攻击者进行沟通并进行可能的赎金讨论。

文章还提供了Akira勒索软件的Windows新变体MegaZord和Linux/ESXi新变体Akira_v2的分析，该组织的开发人员和附属机构似乎正在积极开发新毒株和新能力，并不断对工具包进行修改，这有助于勒索软件的持久性和流行性。

披露时间：2024年12月3日

情报来源：https://www.trendmicro.com/en_us/research/24/l/gafgyt-malware-targeting-docker-remote-api-servers.html

相关信息：

趋势科技的研究人员观察到威胁行为者利用配置错误的Docker远程API服务器传播Gafgyt恶意软件。如果成功部署 Gafgyt 恶意软件，威胁行为者可以对目标服务器发起 DDoS 攻击。这种恶意软件主要针对易受攻击的物联网设备，但最近开始攻击Docker远程API服务器，超出了通常的目标范围。

攻击者首先尝试在由“alpine”Docker镜像创建的Docker容器中部署Gafgyt僵尸网络二进制文件（文件名为“rbot”）。创建容器时，攻击者使用“chroot”将容器的根目录更改为“/mnt”，并使用“Binds”：[“/:/mnt”]选项将主机的根目录 (/:) 挂载到容器内的 /mnt 目录，这意味着容器可以访问和修改主机的文件系统，从而提升权限并可能获得对主机系统的控制权。如果Gafgyt与C&C服务器通信成功，恶意软件将解析响应并使用UDP、TCP和HTTP协议发起DDoS攻击。如果容器创建请求失败，攻击者会尝试使用另一个Gafgyt二进制文件（文件名为“atlas.i586”）部署容器。该恶意软件还尝试找到受害主机的本地IP地址，使用Google的DNS服务器8.8.8.8作为目标IP来确定系统用于出站通信的网络接口和本地IP地址。如果容器部署失败，攻击者会尝试通过部署名为“cve.sh”的Shell脚本来部署不同系统架构的Gafgyt僵尸网络二进制文件。

披露时间：2024年12月2日

情报来源：https://www.zscaler.com/blogs/security-research/unveiling-revc2-and-venom-loader

相关信息：

Venom Spider，又名 GOLDEN CHICKENS，是一个以提供恶意软件即服务 (MaaS) 工具而闻名的威胁行为者。最近，Zscaler ThreatLabz 报告了 2024 年 8 月至 10 月期间利用 Venom Spider 的 MaaS 工具进行的两次重大活动，并披露了两个新的恶意软件系列，RevC2 和 Venom Loader，它们是使用 Venom Spider MaaS 工具部署的。

第一次攻击活动发生在 8 月至 9 月之间，攻击始于一个VenomLNK文件，该文件包含一个混淆的批处理(BAT)脚本，执行时下载一个PNG图片，该图片为API文档诱饵。然后执行命令注册一个ActiveX控件，触发RevC2的执行。RevC2在执行时会检查是否以dWin.ocx为后缀的参数启动，并创建日志文件记录其活动。RevC2使用WebSockets与C2服务器通信，支持多种命令，包括窃取密码、执行shell命令、截屏、代理流量、窃取cookies以及以不同用户身份执行命令。

第二次攻击活动发生在 9 月至 10 月之间，该活动中的VenomLNK文件会创建并执行VBS和BAT脚本来下载显示加密货币交易图片，并在后台下载包含Venom Loader的base.zip文件，其中EXE文件侧载名为 dxgi.dll 的恶意 DLL从而导致 Venom Loader 的执行。Venom Loader 随后会加载 More_eggs lite，这是一个 JavaScript (JS) 后门，可为威胁行为者提供远程代码执行 (RCE) 功能。More_eggs lite通过无限循环发送HTTP POST请求到C2服务器，并根据响应中的命令执行相应的操作。

披露时间：2024年11月29日

情报来源：https://mp.weixin.qq.com/s/L-ca7jGMU6fE5wE8YImeUQ

相关信息：

深信服千里目安全技术中心近期发现了“银狐”木马的新变种，该变种通过微信等通讯软件以“公司名单”为诱饵传播给用户。一旦用户解压并运行exe文件，木马即开始与攻击者控制的C2通信。新变种的攻击流程复杂，C2隐藏于云服务器，且具备多段载荷加载的能力。样本层层隐藏，攻击者可以通过该样本向受害者主机投送后续恶意文件或执行ShellCode，获取用户主机的任意数据并能操控用户主机。

新变种与之前通过微信群聊传播的“金稅四期（电脑版）-uninstall.msi”样本有所不同，编译时间更新，部分C2在样本分析时仍然存活，且技术手法有较大差别。特点包括：

1.入口文件作为Loader远程加载ShellCode，降低被静态扫描检出的几率。

2.增加对文件名称的检测，一定程度上绕过沙箱。

3.复用Github项目UACMe的代码用于提权。

4.利用NT Stub函数避免被安全软件动态检出。

5.应用2023年BlackHat披露的PoolParty技术躲避安全软件检出。

披露时间：2024年11月29日

情报来源：https://www.binarly.io/blog/logofail-exploited-to-deploy-bootkitty-the-first-uefi-bootkit-for-linux

相关信息：

Binarly研究团队发现了一个新的威胁——Bootkitty，这是一种能够感染Linux内核的UEFI引导木马。该木马的开发利用了LogoFAIL漏洞（CVE-2023-40238），这是一个已被报告超过一年的UEFI固件图像解析漏洞，影响整个UEFI固件生态系统。Bootkitty通过修改的BMP图像利用该漏洞，执行恶意代码并绕过安全启动保护，向MokList变量注入伪造的证书，从而实现系统的控制。Bootkitty首次出现在VirusTotal上，标志着恶意攻击者不仅将目标扩展到Windows生态系统，还开始攻击Linux平台，尤其是Ubuntu配置。根据Binarly的研究，受影响的设备包括Acer、HP、富士通和联想等品牌，且漏洞可能被针对特定硬件配置进行了定制。尽管Insyde发布了补丁来缓解此漏洞，但未打补丁的设备仍然处于风险之中。研究人员深入分析了两张名为logofail.bmp和logofail_fake.bmp的图像文件，发现logofail.bmp文件异常庞大且包含嵌入式Shellcode。分析后确认，Bootkitty正是通过利用LogoFAIL漏洞来部署其恶意负载。

披露时间：2024年11月27日

情报来源：https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/cve-2024-11477-7-zip-flaw-allows-remote-code-execution/

相关信息：

Zero Day Initiative（ZDI）研究人员披露了7-Zip中的一个严重漏洞，标识为CVE-2024-11477。该漏洞存在于7-Zip的Zstandard解压缩库中，主要由于解压过程中未能有效验证用户提供的数据，导致整数下溢。攻击者利用此漏洞可以在受影响的进程中执行任意代码。虽然该漏洞的CVSS评分为7.8，属于高危漏洞，但截至目前，尚未发现该漏洞在野外有活跃的利用案例。尽管如此，研究人员发现一个恶意链接，伪造了7-Zip漏洞的概念验证（PoC）文件，指向一个钓鱼页面，提醒用户要警惕此类攻击。为了缓解这一风险，建议用户立即更新到7-Zip 24.07版本或更高版本，并保持对来自不可信来源的压缩文件保持警惕。