披露时间：2021年01月04日

情报来源：https://mp.weixin.qq.com/s/JyVoX4GUrzr9ef4VK7S2Dg

相关信息：

2020年12月，奇安信威胁情报中心移动安全团队捕获到Android平台上一款新型的恶意RAT，经过溯源和关联后发现，该RAT属于中东地区Molerats APT组织特有的移动端武器。根据奇安信威胁情报中心内部中文命名方式，该组织被重命名为月光鼠组织。

月光鼠来自中东某地区，主要针对以色列地区和巴勒斯坦地区进行攻击，此次攻击所使用的RAT最早出现于2017年，按照功能迭代已发展到现今的第三代，最新第三代已增加利用辅助功能对目前流行的社交应用进行窃取信息功能。

其功能完善，可以获取通话记录，短信信息，照片，通讯录，地理位置信息，通话录音等。攻击者可以根据自身能力扩展更丰富的监控功能，且可以通过下发指令便捷的对受害用户手机进行远程操控。

披露时间：2021年01月03日

情报来源：https://blog.alyac.co.kr/3489?category=957259

相关信息：

最近，ESRC观察到一起朝鲜APT组织kimsuky伪造股票投资程序进行的软件供应链攻击。此次攻击使用Nullsoft脚本安装系统（NSIS）生成了Windows可执行文件，该可执行文件除了包含来自合法股票投资应用程序的合法文件外，还包含攻击者注入的恶意代码。

代码执行后，将从攻击者的FTP服务器上获取恶意XSL脚本，并通过内置的wmic.exe应用程序在Windows系统上执行。然后，有效负载将连接到frog.smtper[.]com上托管的命令和控制（C2）服务器， 以接收其他命令。此外，攻击者会根据收集的主要信息来筛选受感染的人，并发送一个附加的远程控制(RAT)工具。

本次攻击中亦存在Microsoft Office文档，例如包含宏的Excel电子表格，这些文档的有效负载与上述XSL脚本完全相同。

ESRC注意到kimsuky组织不仅将“ XSL脚本处理”技术用于基于文档的恶意鱼叉式网络钓鱼攻击，而且还将其用于供应链攻击。这使得他们密切关注以股票投资用户为目标的供应链攻击的目的是否不是金钱利润。

披露时间：2020年12月31日

情报来源：https://cybleinc.com/2020/12/31/strongpity-apt-extends-global-reach-with-new-infrastructure/

相关信息：

StrongPity/Promethium APT，也称为APT-C-41。自2012年以来一直活跃，于2016年10月首次公开报道，其针对比利时和意大利的用户使用水坑攻击技术进行攻击。

该组织在初始阶段主要使用Truvasys，在多个攻击活动中包括WinRAR，WinUtils，TrueCrypt和SanDisk都曾被披露。但在其每个活动中，Truvasys恶意软件都具有不断发展的功能。在跟踪StrongPity APT组织的活动时，Cyble发现它的目标是通过Trojanized Partition Find和Mount软件应用程序以及更新的C＆C基础结构。

StrongPity感染的高级执行流程如下：1.采用水坑攻击或网络钓鱼电子邮件向受害者提供木马化的Partition Find和Mount软件应用程序；2.执行木马安装程序后，提取加密有效负载并拆分为隐藏的sft文件；3.sft文件通过POST请求发送到C2服务器；4.运行解码后的Exfiltrate组件并根据C2响应执行后续操作。

StrongPity将从受害者的计算机中搜索和窃取多个敏感文件，疑似与政府资助的竞选活动有联系。

披露时间：2021年01月04日

情报来源：https://blog.morphisec.com/the-evolution-of-the-fin7-jssloader

相关信息：

Morphisec在过去的几年中一直在跟踪FIN7(Carbanak Group)的活动。FIN7资金雄厚，他们的先进技术和战术甚至在MITER ATT＆CK活动中得到了模仿。

以近日的网络钓鱼活动为例，FIN7伪装成“ Natural Health Sherpa”发送了一封电子邮件，其附件包含要从Quickbooks支付的发票。单击发票链接会转到一个专用的Sharepoint目录，该目录存储有恶意VBScript文件。该VBScript下载并执行内存中下一阶段的VBScript。第二阶段的内存脚本下载并在磁盘上写入一个.NET模块(JSSLoader)，然后通过计划的任务执行该模块，并添加新引入的超时延迟来绕过攻击链监视。

JSSLoader是一种RAT，具有随着时间的推移而引入的多种功能。在最近被截获的特定攻击链中，RAT通常执行DiceLoader，它负责反射加载和执行Cobalt信标。另外，其C2托管提供商是一家名为FranTech Solutions的公司，该公司曾被披露为FIN7组织使用。

值得一提的是，VB脚本的早期版本与正在进行的QBot活动非常相似，这可能会导致Egregor学习此种模式。

披露时间：2021年01月05日

情报来源：https://www.intezer.com/blog/research/operation-electrorat-attacker-creates-fake-companies-to-drain-your-crypto-wallets/

相关信息：

新的远程访问工具(RAT)正在广泛的活动中使用，该攻击针对加密货币用户，以试图收集其私钥并最终耗尽其钱包。Intezer的研究人员将之称为ElectroRAT，它使用Golang编写并编译为针对多种操作系统：Windows，Linux和MacOS。

该活动于2020年12月发现，但研究人员认为该活动始于一年前，攻击者通过在专门的在线论坛和社交媒体上推广木马应用程序，诱使加密货币用户下载木马应用程序。根据C2服务器的Pastebin页面的访问者数量，估计至少有6500名受害者被感染。

披露时间：2021年01月02日

情报来源：https://www.zdnet.com/article/backdoor-account-discovered-in-more-than-100000-zyxel-firewalls-vpn-gateways/

相关信息：

超过100000个Zyxel防火墙、VPN网关和访问点控制器包含一个硬编码的管理员级别后门帐户，该帐户使攻击者可以通过SSH界面或Web管理面板对设备进行访问。

如果要利用2016年的漏洞CVE-2016-10401首先需要拥有Zyxel设备上低权限帐户，且该漏洞仅可被利用于Telnet上，主要影响路由器。CVE-2020-29583漏洞的情况则更加糟糕，该漏洞使攻击者可以直接在443端口上尝试使用凭据访问绝大多数公司的Zyxel设备，而无需任何特殊条件。

近年来，勒索的主要攻击目标就是防火墙和VPN。例如Pulse Secure、Fortinet、Citrix、MobileIron 和Cisco设备中的安全漏洞经常被利用来攻击公司和政府网络。新披露的Zyxel漏洞可能会使更多的公司和政府机构遭受这些攻击。

披露时间：2021年01月04日 

情报来源：https://research.checkpoint.com/2021/stopping-serial-killer-catching-the-next-strike/?utm_source=browser&utm_medium=push-notification&utm_campaign=push-notification-cpr

相关信息：

Dridex银行木马于2014年首次出现，至今仍是最流行的恶意软件家族之一。2020年3月，Dridex成为最受欢迎的恶意软件之首。Dridex是由一个名为“ Evil Corp”的网络犯罪组织创建的，该组织估计对全球银行系统造成了1亿美元的损失。

Evil Corp在传播Dridex时，会将其邮件伪装成合法的电子邮件，并“附赠”恶意文件在这些电子邮件中。在Dridex生命周期的不同时间，Necurs，Cutwail和Andromeda僵尸网络都参与了Dridex的传播。

当用户下载并打开此类文档（可能是Word或Excel）时，将启动嵌入式宏，下载并执行Dridex有效负载。

Dridex的目标是来自世界各地的不同知名实体：美国银行帐户、信用卡公司、金融投资公司、欧洲银行帐户、沙特阿拉伯、卡塔尔、阿曼的政府机构。

Dridex向服务器发送POST请求以获取更多命令，等待响应。但这些服务器不是真正的C＆C服务器，而是用于连接到真实服务器的代理。

Checkpoint表示，Dridex和其他流行的恶意软件家族(例如Emotet和Ursnif)之间存在关联。尽管端口和连接类型不同，但Dridex和Emotet都使用某些代理C2服务器。

披露时间：2021年01月03日

情报来源：http://chuongdong.com/reverse%20engineering/2021/01/03/BabukRansomware

相关信息：

2021年初，国外安全研究员发现了一种名为Babuk Locker的新型勒索软件。该勒索软件结合SHA256、ChaCha8和ECDH进行文件加密。当勒索软件启动之后，攻击者可使用-lanfirst、-lansecond和-nolan参数来指定加密本地文件还是网络共享文件。同时，勒索软件会关闭各种Windows服务和进程，保证文件可打开以防止加密失败

Babuk是一种新的勒索软件，始于今年年初。尽管使用了业余编码方式，但迄今为止，其利用强大的椭圆曲线Diffie-Hellman算法加密方案已被证明可以有效地攻击许多公司。

由于攻击者为每个Babuk样本使用一个私钥，因此很明显，他们的主要目标是大型公司，而不是普通的计算机用户。到目前为止，根据赎金记录中的网站以及Raidforums上的漏洞，他们成功地破坏了全球5家不同的公司。

披露时间：2021年01月04日 

情报来源：https://www.zdnet.com/article/malware-uses-wifi-bssid-for-victim-identification/

相关信息：

SANS Internet Storm Center的研究人员发现新的恶意软件可用WiFi BSSID来识别受害者。BSSID为基本服务集标识符，是用户用来通过WiFi连接的无线路由器或接入点的MAC物理地址。

研究人员称，该恶意软件正在收集用户的BSSID，并将其与Alexander Mylnikov维护的BSSID-geo数据库进行比较，以确定受害者用来访问Internet的WiFi接入点的物理地理位置。通过这种方式，某些国家黑客可以确定受害者属于特定的国家和地区，或者部分不想攻击本国受害者的黑客可以避免引起当地人的注意。

披露时间：2021年01月04日

情报来源：https://www.bleepingcomputer.com/news/security/zend-framework-disputes-rce-vulnerability-issues-patch/

相关信息：

研究人员Ling Yizhou披露Zend Framework3.0.0中的一个反序列化漏洞（CVE-2021-3007）。Zend Framework的安装量超过5.7亿次，被用来构建面向对象的web应用程序。

该漏洞存在于Stream类的析构函数中，可被用来对易受攻击的PHP应用进行远程代码执行（RCE）攻击。此外，Zend于2020年1月迁移到Laminas项目，在某些版本的Laminas中也存在上述Stream.php类，因此部分使用Laminas构建的应用也可能会受到影响。

披露时间：2021年01月05日

情报来源：https://threatpost.com/google-warns-of-critical-android-remote-code-execution-bug/162756/

相关信息：

Google的Android安全更新解决了影响Android手机（包括三星手机）的43个漏洞。

其中严重程度严重的漏洞包括Google的Android系统组件（CVE-2021-0316）Android操作系统的核心中的远程执行代码漏洞。严重的另一个缺陷是Android Framework组件中的拒绝服务问题（CVE-2021-0313）。

除了这些严重程度严重的问题之外，Google还修复了其框架中13个严重程度较高的缺陷的纠结。其中包括八个特权提升问题（CVE-2021-0303，CVE-2021-0306，CVE-2021-0307，CVE-2021-0310，CVE-2021-0315，CVE-2021-0317，CVE-2021- 0318，CVE-2021-0319）；四个信息泄露故障（CVE-2021-0304，CVE-2021-0309，CVE-2021-0321，CVE-2021-0322）和一个DoS漏洞（CVE-2019-9376）。