披露时间：2020年05月19日

情报来源：https://mp.weixin.qq.com/s/adVxC5CgfHoI8_2dKmUGKw

相关信息：

蔓灵花（BITTER）是疑似具有南亚背景的APT组织，该组织长期针对东亚，南亚等地区进行攻击活动，主要针对政府、军工业、电力、核能等单位进行定向攻击，窃取敏感资料。

近日，奇安信威胁情报中心在日常监控过程中发现蔓灵花APT组织开始通过邮箱投递包含有恶意脚本CHM文件的RAR压缩包。经过遥测此类的攻击行动已经持续两年，奇安信研究人员将其命名为Operation Magichm。

经过溯源，本次攻击活动中蔓灵花采用了与以往截然不同的攻击链，使用.net远控作为节点执行命令或者下发插件，并下发了一个之前从未被披露过的新模块。

披露时间：2021年05月19日

情报来源：https://mp.weixin.qq.com/s/DDLLGwumDATr4fRsYtYjQw

相关信息：

Konni APT组织据悉由特定政府提供支持，自2014年以来一直持续活动。该组织经常使用鱼叉式网络钓鱼攻击手法，且经常使用与朝鲜相关的主题或社会热点作为诱饵，吸引用户查看并执行附件。

微步近期通过威胁狩猎系统捕获到 Konni APT 组织利用朝鲜局势相关话题针对俄罗斯方向的攻击活动，分析有如下发现：

披露时间：2021年05月14日

情报来源：https://bi-zone.medium.com/from-pentest-to-apt-attack-cybercriminal-group-fin7-disguises-its-malware-as-an-ethical-hackers-c23c9a75e319

相关信息：

BI.ZONE网络威胁研究团队发现， FIN7组织在最近的攻击中使用新的Lizar后门。自2015年中以来，东欧组织FIN7就瞄准了美国的零售、餐饮和酒店行业。

在此次攻击中，FIN7伪装成销售安全分析平台的合法公司，并且自今年2月份以来一直使用新的Lizar后门。该恶意软件是使用.NET框架编写的，在远程Linux主机上运行，支持与Bot客户端的加密通信，具有强大的数据检索和横向移动功能。

披露时间：2021年05月13日

情报来源：https://blog.talosintelligence.com/2021/05/transparent-tribe-infra-and-targeting.html

相关信息：

Cisco Talos近日发布报告称南亚APT组织透明部落（也称为APT36、Mythic Leopard）扩大了其Windows恶意软件库。该组织在针对印度地区的网络间谍攻击活动中使用了名为ObliqueRAT的新恶意软件。

最新研究发现表明，该组织在各种活动中使用了两种类型的域名：伪装成合法的印度国防和政府相关网站的伪造域名，以及伪装成内容托管站点的恶意域名。这些域相互配合以提供分发带有CrimsonRAT和ObliqueRAT的恶意文档。恶意文档包含多种主题，包括个人简历、军事相关会议议程、蜜罐诱饵和外交主题。

尽管该组织的主要目标仍然为军事和国防人员，但同时也开始针对外交实体、国防承包商、研究组织和与会人员，这表明该组织正在扩大其目标。

披露时间：2021年05月17日

情报来源：https://mp.weixin.qq.com/s/UJBiqul_2RyIXhs3xYtzug

相关信息：

2020年下半年至今，奇安信病毒响应中心在日常威胁监控过程中发现一款新型的移动端远控程序，该远控伪造韩国SeWorks安全公司移动端安全软件，通过伪造Google Play商店下载页面对相关人员进行水坑攻击，可能通过邮件或者短信的方式诱导受害者下载恶意APK文件，基于样本中相关的字符串我们将该远控命名为DbblogRat。

APK样本功能复杂，免杀效果很好，功能主要为相关信息上传、更新配置文件、打开摄像头或音频、删除用户、电源管理等功能。经过溯源本次活动使用的水坑网站归属大多数是台湾中华电信的动态IP和Vultr VPS服务器。

披露时间：2021年05月18日

情报来源：https://labs.bitdefender.com/2021/05/new-wastedloader-campaign-delivered-through-rig-exploit-kit/

相关信息：

2021年2月，Bitdefender研究人员发现了一个新的RIG Exploit Kit活动。攻击者通过在合法网站发布恶意广告，将访问者重定向到“RIG EK”的登录页面。然后该页面会利用Internet Explorer浏览器中的两个脚本引擎漏洞（CVE-2019-0752和CVE-2018-8174），如果其中一个利用成功，就会执行恶意软件。

恶意软件具备反沙箱、代码混淆、Shellcode解密等功能。可以通过DLL反射注入技术，在当前进程中加载第三阶段的恶意软件模块。所交付的恶意软件似乎为WastedLocker的新变种，其勒索软件部分可能是从C2服务器下载。恶意软件会收集由计算机名、用户名等信息计算的指纹信息并发送给C2。

披露时间：2021年05月19日

情报来源：https://mp.weixin.qq.com/s/kASObxoxintb6As-7kR93g

相关信息：

近日，安天CERT通过网络安全监测发现了一起恶意文档释放Python编写的远控木马事件。通过文档内容中涉及的组织信息和其中攻击者设置的诱导提示，研究人员判断该事件是一起针对阿塞拜疆共和国国家石油公司进行的定向攻击活动。

此次事件中，攻击者充分利用技术实现规避反病毒软件查杀，具体为利用了隐写术将远控木马相关文件以压缩包格式存储于恶意文档里的图片中以备后期提取利用。

首先将该恶意文档另存为docx文件，该文件格式具备ZIP文件的特性，然后另存为ZIP格式进行解压并获取其中的图片，最后提取图片中的远控木马文件。此远控木马采用Python语言编写，具备一般远控的上传、下载和命令执行等功能。

披露时间：2021年05月19日

情报来源：https://unit42.paloaltonetworks.com/bazarloader-malware/

相关信息：

2021年2月上旬，Unit42研究人员发现一种基于呼叫中心的BazarLoader分发方法。攻击者通过发送带有电话号码的试用订阅到期电子邮件，引导目标拨打电子邮件中的电话号码，呼叫中心接线员将受害者引导至假公司网站，下载上面的恶意Microsoft Excel文件，启用宏后将感染BazarLoader恶意软件。

BazarLoader（有时称为BazaLoader）是一种恶意软件，可提供对受感染Windows主机的后门访问。客户端被感染后，可以使用此后门来分发后续恶意软件（如Cobalt Strike、Anchor）。

披露时间：2021年05月17日

情报来源：https://lab52.io/blog/literature-lover-targeting-colombia-with-limerat/

相关信息：

Lab52分析人员发现针对哥伦比亚的攻击活动，攻击者正在通过电子邮件发起感染，使用的邮件主题涉及传票或银行付款，并且具有精心制作的html视图。电子邮件附件实际上是伪装的PDF图标，点击后将从One Drive下载压缩文件。rar文件包含Visual Basic Script脚本，其将创建一个Windows脚本主机Shell对象，下载并执行一个新的Powershell脚本。

攻击者将恶意软件托管在Internet Archive上，并使用注册表项“ HKCU”建立持久性。发现的大多数脚本试图禁用常见的防病毒解决方案，并使用Reflection Assembly技术，在Powershell中以字节数组的形式创建二进制有效载荷。然后使用puppet进程注入将其加载到进程。最终的有效负载为njRAT的修改版本LimeRAT。

披露时间：2021年05月17日

情报来源：https://www.uptycs.com/blog/discovery-of-simps-botnet-leads-ties-to-keksec-group

相关信息：

Uptycs的威胁研究小组发现了一个名为“Simps”的新僵尸网络，其主要用于DDOS活动。Simf僵尸网络二进制文件通过Shell脚本以及CVE-2017-17215、CVE-2018-10561远程代码执行漏洞利用程序下载。

僵尸网络执行后存在被感染的.log文件，表明其可能处于开发早期阶段。其使用Mirai和Gafgyt类似的模块进行DDOS功能。

该僵尸网络所有者拥有一个YouTube和Discord账户，用于进行僵尸网络的使用演示。相关信息表明Simps僵尸网络与Keksec Group可能存在联系。

披露时间：2021年05月17日

情报来源：https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/

相关信息：

Bizarro是一个来自巴西的银行木马家族，现已在世界其他地区发现，如西班牙，葡萄牙，法国和意大利。研究人员发现攻击者正在从欧洲和南美不同国家的70家银行的客户那里窃取凭证。Bizarro是移动端恶意软件，旨在捕获在线银行凭证并劫持Android用户的比特币钱包。分析表明，它是通过Microsoft Installer软件包传播，该软件包可以由受害者直接从垃圾邮件的链接中下载，也可以通过木马化的应用程序进行安装。

Bizarro具有Windows x64模块，以诱骗受害者在伪造的弹出窗口中输入双因素身份验证代码，还利用社会工程攻击诱骗受害者下载移动应用程序。该恶意软件的的核心组件是一个支持100多个命令的后门，只有当其检测到已经连接到一个硬编码的网上银行系统时，后门才会启动。Bizarro利用会员或招募现金骡子来提现或转移。Bizzaro背后的组织使用Azure和Amazon（AWS）上托管的服务器以及受感染的WordPress服务器来存储恶意软件并收集信息。

披露时间：2021年05月13日

情报来源：https://www.anomali.com/blog/threat-actors-use-msbuild-to-deliver-rats-filelessly

相关信息：

Anomali发现了一个活动，其中攻击者使用Microsoft Build Engine（MSBuild）来无文件分发Remcos远程访问工具（RAT）和窃密恶意软件RedLine Stealer。该活动似乎于2021年4月开始，至2021年5月11日仍在进行中。

恶意MSBuild文件包含编码的可执行文件和shellcode，其中一些文件托管在俄罗斯图像托管网站“ joxi[.]net”上。RemcosRAT具备反AV、凭证收集、收集系统信息、键盘记录、持久性保持、屏幕截图、脚本执行功能。RedLine Stealer具备收集Cookies、凭据（聊天客户端、vpn、浏览器、NordVPN、加密货币钱包）、系统信息功能。

披露时间：2021年05月14日

情报来源：https://blog.morphisec.com/ahk-rat-loader-leveraged-in-unique-delivery-campaigns

相关信息：

Morphisec实验室团队追踪到一个独特的使用AutoHotKey脚本传播RAT的攻击活动。研究人员发现攻击活动至少传播了四个版本的RAT，其中每个版本都出现了多种调整。

攻击者使用VBsEdit将VjW0rm和Houdini VBScript等恶意脚本转换为可执行文件。使用相同的脚本和UAC绕过技术来禁用安全程序；下载的木马包括：LimeRAT ，RevengeRAT，AsyncRAT和 Houdini RAT。

披露时间：2021年05月17日

情报来源：https://www.zerodayinitiative.com/blog/2021/5/17/cve-2021-31166-a-wormable-code-execution-bug-in-httpsys

https://github.com/0vercl0k/CVE-2021-31166

相关信息：

HTTP协议堆栈(HTTP.sys)中存在一个远程执行代码漏洞(CVE-2021-31166)。该漏洞是由于维护UlpParseAcceptEncoding中的循环双链表时存在设计缺陷导致。漏洞存在于Windows 10和Windows Server中的HTTP协议栈(http.sys)处理程序，该程序广泛的用于应用之间或设别之间的通信。常见的组件如Internet Information Services（IIS）便使用该程序进行通信处理。

未授权的攻击者可以通过在Web请求中向目标系统发送特制的Accept-Encoding请求头来利用该漏洞攻击目标服务器，成功利用该漏洞的攻击者可以进行DoS拒绝服务攻击，或在目标服务器以内核权限执行任意代码。

披露时间：2021年05月19日

情报来源：https://blog.talosintelligence.com/2021/05/vuln-spotlight-smb-information-disclosure.html

相关信息：

思科Talos最近在Apple macOS的SMB服务器中发现了一个可利用的整数溢出漏洞，该漏洞可能导致信息泄露。服务器消息块（SMB）是Windows网络环境中常见的网络文件共享，但是MacOS包含其自身对服务器和客户端组件的专有实现。

CVE-2021-1878是一个整数溢出漏洞，在MacOS SMB服务器处理SMB3复合数据包时触发。攻击者可以通过向目标SMB服务器发送特制数据包来利用此漏洞。除了能获取到敏感信息之外，攻击者还可以使用整数溢出来绕过加密检查并进行拒绝服务攻击。