披露时间：2021年05月25日

情报来源：https://labs.sentinelone.com/from-wiper-to-ransomware-the-evolution-of-agrius/

相关信息：

SentinelLabs研究人员发现伊朗从2020年12月开始将以色列作为攻击目标。该组织利用ProtonVPN匿名访问受害者的系统并部署WebShell，其利用的WebShell大多是开源恶意软件ASPXSpy变体。这些WebShell被用来将流量导入网络，以便利用被破坏的凭证，使用远程桌面协议进行横向移动。入侵后Agrius将部署两个不同的Wiper。

最初，该团伙使用了磁盘擦除器DEADWOOD（又名Detbosit），旨在破坏受感染设备上的数据，之后又使用了具有勒索功能的Apostle。研究人员认为，其加密功能仅是为了掩盖其想要销毁受害者数据的实际意图。此外，攻击者还使用了多种攻击媒介，包括SQL注入、FortiOS CVE-2018-13379漏洞以及各种1 day漏洞。

披露时间：2021年05月24日

情报来源：https://www.clearskysec.com/cryptocore-lazarus-attribution/

相关信息：

ClearSky称已窃取数亿美元的CryptoCore攻击活动与东亚地区APT组织Lazarus有关。CryptoCore自2018年开始活跃，攻击了美国、以色列、欧洲和日本等国的加密货币交易所，造成的损失估计超过2亿美元。

最初，ClearSky认为该团伙与乌克兰、俄罗斯和罗马尼亚等东欧国家有关。近期发现CryptoCore与F-Secure的活动高度一致，后者与Lazarus组织有关。研究人员还指出，黑客的活动也在扩大，最近开始将以色列作为目标。

披露时间：2021年05月26日

情报来源：https://blog.alyac.co.kr/3799

相关信息：

近期，ESTsecurity发现Kimsuky对金融交易所的工作人员发起频繁的攻击。此次攻击主要有三类诱饵，第一类是仿冒韩国商业银行官方指导发送电子邮件，第二类是以小额奖励的名义欺骗受害者，第三类是向受害者发送问卷、会议邀请等电子邮件。

Kimsuky此次构建了看起来比较真实的诱饵文件以诱导受害者启动宏执行恶意代码，宏代码执行之后将会收集受害者本机的基本信息上传C2并下载后续payload执行。

披露时间：2021年05月21日

情报来源：https://www.zscaler.com/blogs/security-research/threat-actors-distribute-malicious-vpn-apps-masquerading-popular-vendors

相关信息：

Zscaler ThreatLabZ近期观察到攻击者注册了几个新域，用于分发伪装成流行VPN软件的恶意程序，包括NordVPN，F-secure Freedom VPN，Avast Secureline VPN和Hotspot Shield，最终分发Raccoon stealer。

攻击者注册仿冒相关VPN的域名和网页内容，一旦访问者点击网页中的下载按钮，将下载恶意的程序包。恶意程序包中的文件会禁用感染主机的安全软件，包括Windows Defender和Exploit Guard。

攻击者还在文件中添加垃圾代码，以反检测和增加逆向分析难度，同时使用开源的防病毒混淆器来打包文件。为了避免引起怀疑，清理程序会删除安装程序初始化阶段中使用的所有组件。最终有效负载Raccoon通过多阶段加载落地，其中包括使用位图图像、自定义算法、Unicode字符来隐藏恶意代码。

披露时间：2021年05月26日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/bazaflix-bazaloader-fakes-movie-streaming-service

相关信息：

Proofpoint研究人员发现一个BazaLoader活动，该攻击活动需要进行大量的人为交互执行安装BazaLoader后门。

攻击者向目标发送伪装成娱乐服务的“试用过期”主题电子邮件，引导目标拨打电话取消服务。然后客服将用户引导至创建的名为BravoMovies假冒电影流媒体服务网站。引导客户下载恶意的Excel文件。Excel文件包含恶意宏，如果启用，将下载BazaLoader。目前，Proofpoint尚未在此活动中观察到第二阶段的有效载荷。

披露时间：2021年05月25日

情报来源：https://www.lacework.com/taking-teamtnt-docker-images-offline/

相关信息：

TeamTNT使用合法用户的Docker Hub帐户在Docker Hub上部署恶意映像。研究人员发现Docker Hub的账户megawebmaster将凭据意外提交到公共的GitHub存储库。其账户下包含许多公共映像，其中五个映像中均包含TeamTNT恶意程序，包括dockgeddon, docker, tornadopw, and dcounter 。

恶意映像中包括的恶意程序包括Tsunami变体，以下载XMRig二进制文件，进行恶意挖矿活动。通过用户名“ Megawebmaster”为中心，发现一个GitHub帐户，该帐户具有一个包含Docker Hub隐私的配置文件。TeamTNT利用此配置文件将恶意Docker映像上传到该用户的Docker Hub帐户。

披露时间：2021年05月25日

情报来源：https://securelist.com/evolution-of-jsworm-ransomware/102428/

相关信息：

JSWorm勒索软件于2019年被发现，并且演变为不同的变种，如Nemty、Nefilim、Offwhite等。除了更改名称外，该勒索软件的开发人员还一直在重新编写代码，并尝试使用不同的方法传播。

2020年开发人员甚至将编程语言从C ++更改为Golang，从头开始完全重写代码。但是，密码方案、赎金记录、数据泄漏网站地址和之前攻击活动样本仍然具有高度相似性。该恶意软件的原始版本以及随后的一些“更名”，例如Nemty，是由地下论坛上的用户使用JSWorm用户名发布的。

2019年创建到2020年上半年，JSWorm作为公共RaaS提供，并通过以下方式传播：RIG渗透套件、Trik僵尸网络、伪造的付款网站、垃圾邮件活动。2020年上半年开始，攻击者开始转向大型攻击活动，利用易受攻击的服务器端软件（Citrix ADC）和不安全的RDP访问。并且开设自己网站，以发布窃取的受害者数据，截止目前，该网站仍在运行。

披露时间：2021年05月20日

情报来源：https://www.lacework.com/8220-gangs-recent-use-of-custom-miner-and-botnet/

相关信息：

Lacework Labs最近发现8220 Gang通过自定义的矿工和IRC bot感染云服务。感染通过加载程序shell脚本完成，并且可能利用了Redis和Apache等流行服务的各种n-day漏洞，其下载并执行PwnRig矿工和Tsunami IRC bot，获得持久性，尝试横向移动，并清理相关工件。

PwnRig是一个基于XMRig的自定义矿工变体，其会隐藏配置信息，并且使用C2服务器作为矿池挖掘代理。并从服务器端私有地管理公共池配置。修改后的基于Tsunami的IRC bot可以防止同时执行多个bot，并且具有三个单独的服务器，以进行故障转移。

披露时间：2021年05月20日

情报来源：https://blogs.jpcert.or.jp/ja/2021/05/xmrig.html

相关信息：

JPCERT发现挖矿攻击活动。攻击者通过SSH登录到受损服务器账户。入侵后，攻击者将使用bash脚本执行多种扫描工具（ps、ps2、banner、prg、root），进一步尝试对内部的网络服务器发起SSH暴力破解攻击。并在这些服务器安装和运行Monero币挖矿工具。安装后，攻击者将删除感染痕迹。

披露时间：2021年05月20日

情报来源：https://www.microsoft.com/security/blog/2021/05/20/phorpiex-morphs-how-a-longstanding-botnet-persists-and-thrives-in-the-current-threat-environment/

相关信息：

Phorpiex是一个以勒索活动闻名的僵尸网络。近年来，Phorpiex的基础设施变得更多样化，使用域生成算法（DGA）域并提供更危险的有效负载。Phorphiex僵尸网络造成的恶意活动包括勒索和垃圾邮件活动，现已扩展到加密货币挖掘。

从2018年开始，研究人员还观察到数据泄露活动和勒索软件发送量的增加，该bot安装程序分发Avaddon，Knot，BitRansomware（DSoftCrypt / ReadMe），Nemty，GandCrab和Pony勒索软件以及其他恶意软件。Phorpiex僵尸网络活动的分布范围也有所扩展。此前主要针对日本，但最近的活动表明该僵尸网络已在全球更广泛的范围分布。

披露时间：2021年05月21日

情报来源：https://s.tencent.com/research/report/1313.html

相关信息：

腾讯安全近期发现，有攻击者正在扫描攻击存在Jenkins远程命令执行漏洞（CVE-2018-1000861）的云主机，攻击成功后会进一步植入Mirai僵尸网络木马变种，控制这些设备组建僵尸网络，意图发起DDoS攻击。

该团伙还同时扫描攻击物联网设备，包括存在未授权远程命令执行漏洞（CVE-2020-9054）的ZyXEL NAS设备，存在命令注入漏洞（CVE-2018-10562）的GPON家用光纤路由器设备等。针对不同平台和不同架构，攻击者投递不同的Mirai木马程序。

木马运行后自删除，进程名伪装成系统/工具进程。木马C2域名使用分段式字串拆分存储，使用时进行拼接，进而避免暴露完整C2字串特征。然后对C2域名进行TXT解析，获取真实通信IP地址，并从10个DNS服务器地址内随机选择一个，解析记录会包含多个IP，木马会随机挑选一个进行连接。如果DNS解析失败，木马会直接使用硬编码的C2进行通讯。

披露时间：2021年05月24日

情报来源：https://www.jamf.com/blog/zero-day-tcc-bypass-discovered-in-xcsset-malware/

相关信息：

Jamf研究人员发现XCSSET恶意软件利用macOS零日漏洞（CVE-2021-30713）绕过Apple TCC用户隐私保护框架进行截屏。TCC控制应用程序可以访问哪些系统资源，例如授予视频协作软件对网络摄像头和麦克风的访问权。

XCSSET是一种针对Mac开发者的新型恶意软件，通过感染Xcode项目，利用Github存储库传播，使用AppleScripts编写，主要特征为利用零日漏洞。目前，Apple尚未在CVE数据库中的条目中提供有关该漏洞的具体详细信息。

披露时间：2021年05月24日

情报来源：https://www.kb.cert.org/vuls/id/799380/

相关信息：

法国情报机构ANSSI的研究人员发现了Bluetooth Core和Mesh Profile协议中存在多个漏洞。这两个协议定义了蓝牙设备相互通信所需的需求，以及蓝牙设备使用低能耗无线技术实现互操作的网状网络解决方案所需的需求。

漏洞分别为CVE-2020-26559、CVE-2020-26556、CVE-2020-26557和CVE-2020-26560等，攻击者利用这些漏洞可在配对过程中冒充合法设备，并发起中间人（MitM）攻击。