披露时间：2021年04月27日

情报来源：https://securelist.com/apt-trends-report-q1-2021/101967/

相关信息：

近日，Kaspersky发布了2021年第一季度APT趋势报告。报告中描述了针对不同地区的APT跟踪情况及恶意软件研究情况，以下是报告中提到的第一季度主要趋势：

披露时间：2021年04月21日

情报来源：https://about.fb.com/news/2021/04/taking-action-against-hackers-in-palestine/

相关信息：

Facebook近期发现了2个分别在2019年和2020年开始活跃的巴勒斯坦攻击团伙的间谍活动。这两个组织之间似乎没有联系，但它们的目的似乎相反。他们均利用了iOS恶意软件窃取用户数据，并以Facebook等社交媒体平台为起点，与目标建立联系并发起社会工程攻击，诱使他们进入钓鱼页面和其他恶意网站。

研究人员推断其中之一与巴勒斯坦安全机构（PSS）有关，在土耳其、伊拉克、黎巴嫩和利比亚也有攻击活动。另一组与Arid Viper有关，攻击者利用伪造和失陷的社交媒体帐户冒充年轻女性，以法塔赫或哈马斯的支持者、各种军事团体、新闻工作者和活动家的身份与人们建立信任，诱使其安装恶意软件，该活动主要针对法塔赫政党成员、政府官员、安全部队和学生。

披露时间：2021年04月21日

情报来源：https://www.recordedfuture.com/iran-threat-actor-mabna-2020-operations/

相关信息：

TA407是由美国司法部与伊朗伊斯兰革命卫队（IRGC）共同追踪的APT组织。近日，RecordedFuture对该组织2020年的活动情况进行了总结分析。

2020年该组织依旧使用伊朗境内外的基础设施发起通过大规模的网络钓鱼盗取受害者的凭证信息，但研究员表明，并没有在攻击活动中发现恶意软件。这表示该组织盗取用户凭证可能会通过地下交易论坛等方式销售给其他组织，而不是在受害者网络中持久化以实现完全控制。

当然，不排除TA407盗取用户凭证后会将其共享给与之相关联的APT组织，由他们发起进一步攻击。

披露时间：2021年04月27日

情报来源：https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/lazarus-recruitment/

相关信息：

PT ESEC近日披露了一起Lazarus Group以招聘为诱饵对制药公司发起的攻击活动。在此次攻击活动中，攻击者以General Dynamics Mission Systems的HR服务为幌子，通过LinkedIn，Telegram，WhatsApp和公司电子邮件发送了以工作机会为诱饵实则带有恶意宏的文档。宏代码运行后将在被感染机器上释放CommsCacher后门程序。通过公司网络感染域控制器、RDG服务器、文件服务器和Crontab服务器等。

此外，攻击者为此次活动创建了General Dynamics Mission Systems的网络钓鱼站点，其C2使用了位于巴西、法国、日本、韩国和美国受到攻击的资源。

披露时间：2021年04月23日

情报来源：https://www.csis.dk/newsroom-blog-overview/2021/moserpass-supply-chain/

相关信息：

ClickStudios公司最近通知客户利用密码管理器Passwordstate更新进行的供应链攻击活动。攻击发生在2021年4月20日晚上8:33 UTC到2021年4月22日上午00:30 UTC之间。攻击者利用更新机制，分发了包含流氓dll的恶意zip文件Passwordstate_upgrade.zip。CSIS安全小组将此事件中的恶意软件称为Moserpass。

恶意dll会尝试从远程服务器下载第二阶段负载，并使用AES算法通过密码f4f15dddc3ba10dd443493a2a8a526b0解密，然后使解密的代码直接在内存中执行。由于分析时攻击者的C2已经关闭，未能取得第二阶段有效负载。

披露时间：2021年04月27日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/flubot-android-malware-spreading-rapidly-through-europe-may-hit-us-soon

相关信息：

Proofpoint研究人员发现FluBot Android恶意软件最近开始重新流行，其通过SMS在欧洲地区传播。据估计，目前在英国大约有7000个受感染的设备参与传播，恶意短信的数量可以达到每小时数万条，一些移动用户已经收到多达6条带有FluBot链接的短信。这些链接中包括一些被破坏的网站链接。受害者点击后，会被提示下载一个恶意的应用程序，其图标使用快递服务的标志，其中加密并嵌入了FluBot。

FluBot可以同时充当间谍软件、短信垃圾邮件发送者、信用卡和银行凭证窃取者。FluBot恶意软件发送受害者的联系人列表，并检索SMS钓鱼信息和号码以继续使用受害者的设备传播。其最新受害者包括英国、德国、匈牙利、意大利、波兰和西班牙的安卓用户。

披露时间：2021年04月22日

情报来源：https://blog.checkpoint.com/2021/04/22/turning-telegram-toxic-new-toxiceye-rat-is-the-latest-to-use-telegram-for-command-control/

相关信息：

CheckPoint研究人员发现名为ToxicEye的恶意软件利用Telegram进行命令控制。ToxicEye通过包含恶意.exe文件的网络钓鱼电子邮件进行传播。

如果用户打开附件，则ToxicEye会将其自身安装在受害者的PC上，并在受害者不知情的情况下执行一系列攻击，包括：窃取数据（密码、计算机信息、浏览器历史记录和Cookie），删除或传输文件，在PC上终止进程，劫持麦克风和摄像头以录制音频和视频，键盘记录和勒索加密。

披露时间：2021年04月23日

情报来源：https://unit42.paloaltonetworks.com/unsecured-kubernetes-instances/

相关信息：

Unit 42在其中一些不安全的Kubernetes集群中发现了恶意软件和恶意活动。研究人员观察到的大多数恶意代码都以容器的形式在Pod中运行，但有些直接部署在主机上。每个容器化的应用程序都在一个隔离的工作空间（命名空间）中运行，该工作空间具有与所有其他应用程序不同的进程ID、网络和文件系统。

如果恶意软件绕过隔离并访问底层主机的资源，则会对托管群集的云环境构成风险。通过这种访问级别，研究人员证明了更多的横向或纵向移动是可能的，包括提取凭据，破坏注册表以及访问主机的数据和网络。

披露时间：2021年04月25日

情报来源：https://therecord.media/hacking-campaign-targets-filezen-file-sharing-network-appliances/

相关信息：

攻击活动利用文件共享网络设备FileZen中的两个安全漏洞，来入侵公司和政府系统并窃取敏感数据。FileZen是来自日本Soliton公司流行的文件共享网络设备，主要应用于日本国内。

攻击者利用两个FileZen漏洞（CVE-2020-5639和CVE-2021-20655）的组合进行攻击，CVE-2020-5639漏洞允许攻击者在设备上上传恶意文件，而CVE-2021-20655漏洞则允许攻击者提升权限并运行操作系统命令。

披露时间：2021年04月22日

情报来源：https://www.trendmicro.com/en_us/research/21/d/tor-based-botnet-malware-targets-linux-systems-abuses-cloud-management-tools.html

相关信息：

趋势科技的研究人员发现了一个新的Linux僵尸网络，使用了基础架构代码（IaC）工具、Tor代理和合法的DevOps工具来挖掘XMRig Monero。该Linux僵尸网络劫持了一个包含多个漏洞的庞大代理网络，从Tor匿名网络下载它所需的所有文件，包括ss、ps和curl等合法的二进制文件。还使用了Shell脚本和Unix系统设计执行HTTP请求，以获取有关受感染系统信息，包括IP地址、操作系统架构、当前运行脚本的用户名、部分URI（标识要下载的文件）、要保存的文件、运行脚本的主机名等。

此外，研究人员称这是第一个利用了基础架构代码（IaC）工具，诸如Ansible、Chef和Salt Stack进行传播的僵尸网络。

披露时间：2021年04月21日

情报来源：https://www.humansecurity.com/blog/pareto-a-technical-analysis

相关信息：

自2020年上半年以来，HUMAN的Satori威胁情报和研究团队一直在调查一个名为PARETO的僵尸网络，其以CTV为中心，通过隐藏在噪音中，欺骗广告商和技术平台，让其相信广告正在CTV上播放。PARETO僵尸网络由将近一百万受感染的Android设备组成，其伪装成智能电视和其他设备上观看广告，从而在流媒体平台上造成无效流量。

据统计，PARETO通过29个Android应用欺骗超过6000个CTV应用，相关流量平均每天达到6.5亿次投标请求，其中一些Android应用程序只能通过第三方市场获得。

此外，分析人员在Roku的频道商店里发现了36个应用程序，它们接收来自PARETO僵尸网络中的同一台命令控制服务器的指令，同样可以欺骗智能电视和流媒体设备的广告流量。

披露时间：2021年04月27日

情报来源：https://www.trendmicro.com/en_us/research/21/d/hello-ransomware-uses-updated-china-chopper-web-shell-sharepoint-vulnerability.html

相关信息：

趋势科技最近发现通过SharePoint服务器漏洞（CVE-2019-0604）传播以.hello作为扩展名的新勒索软件。该勒索软件被称为Hello勒索软件（又名WickrMe）。

利用漏洞成功后，攻击者部署了China Chopper Web Shell，来执行PowerShell命令，该命令随后又下载Cobalt Strike beacon。最终使勒索软件有效载荷感染目标系统。该恶意软件对文件（如Office文档、数据库文件）进行AES加密，AES密钥使用RSA加密。

披露时间：2021年04月22日

情报来源：https://www.cybereason.com/blog/prometei-botnet-exploiting-microsoft-exchange-vulnerabilities

相关信息：

最近，Cybereason安全团队在几起涉及prometi僵尸网络感染北美公司的事件中，发现攻击者利用了Microsoft Exchange漏洞（CVE-2021-27065和CVE-2021-26858）渗透网络并安装恶意软件。

Prometei是一个模块化和多阶段的加密货币僵尸网络，于2020年7月首次被发现，历史可以追溯到2016年，具有Windows和Linux两个版本。为了实现挖取门罗币的目标，Prometei使用了不同的技术和工具，包括Mimikatz、SMB和RDP漏洞以及其他工具。

披露时间：2021年04月26日

情报来源：https://labs.sentinelone.com/relaying-potatoes-dce-rpc-ntlm-relay-eop/

相关信息：

4月26日，SentinelOne研究人员发布了Windows RPC协议中的一个权限提升漏洞分析报告。报告中指出，标准用户可以在无需受害者交互的情况下触发权限认证，并将其中继到另一台机器（例如ldap服务器）上的权限服务，以提升用户权限。该漏洞被Microsoft视为重要的权限提升漏洞，但已被归类为“无法修复”。

披露时间：2021年04月27日

情报来源：https://blog.talosintelligence.com/2021/04/vuln-spotlight-linux-kernel.html

相关信息：

Cisco Talos称，Linux内核中存在可绕过KASLR的信息泄露漏洞。该漏洞被追踪为CVE-2020-28588，位于运行Linux的32位ARM设备的/proc/pid/ syscall功能中，是由于读取文件时数值转换不正确而引起的。

通过使用几条shell命令，攻击者可以输出24个字节的未初始化的堆栈内存，这些内存可以被用来绕过内核地址空间布局随机化（KASLR）。奇安信建议广大用户尽快更新受影响的产品Linux内核版本5.10-rc4、5.4.66和5.9.8。