披露时间：2021年05月27日

情报来源：https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/

披露时间：2021年05月28日

情报来源：https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/

相关信息：

微软威胁情报中心(MSTIC)观察到了由NOBELIUM组织运营的大规模恶意电子邮件活动。NOBELIUM是针对SolarWinds、SUNBURST后门、TEARDROP恶意软件、GoldMax恶意软件和其他相关组件的攻击背后的威胁组织。该活动始于2021年1月，慢慢演变成一系列攻击，上周以美国国际开发署为主题的网络钓鱼浪潮达到高潮。NOBELIUM利用合法的群发邮件服务Constant Contact，伪装成一家总部位于美国的开发组织，针对政府机构、智库、顾问和非政府组织等150多个不同组织的大约3000个电子邮件账户分发恶意URL，目标受害者遍及至少24个国家。

NOBELIUM的感染链和恶意软件传递技术在整个攻击过程中不断发展，通过包含HTML附件的鱼叉式钓鱼信息下发ISO文件并诱使目标运行包含在其中的文件（LNK快捷方式或RTF文档），这将执行被捆绑在文件或存储在ISO映像中恶意DLL文件，并在系统上加载CobaltStrike Beacon。此外，Volexity也发布了一份报告，将这次网络钓鱼活动与APT29联系在一起，通过分析将其中的网络钓鱼活动使用的战术追溯到2018年。

在微软另一篇文章中，研究人员还提供了NOBELIUM在攻击中使用的四个新恶意软件家族的细节。这四个新系列包括一个名为 “EnvyScout”的HTML附件，一个名为 “BoomBox”的下载器，一个名为 “NativeZone”的加载器，以及一个名为 “VaporRage”的壳码下载器和启动器。

披露时间：2021年05月27日

情报来源：https://www.volexity.com/blog/2021/05/27/suspected-apt29-operation-launches-election-fraud-themed-phishing-campaigns/

相关信息：

2021年5月25日，Volexity研究人员发现了一起针对美国和欧洲多个组织的网络钓鱼活动。该活动以非政府组织、研究机构、政府机构、国际机构为目标，传播以“美国联邦选举”为主题的钓鱼邮件。该邮件中包含恶意URL，使收件人点击后将被重定向到下载恶意ISO文件的链接。其ISO文件运行后，将释放美国联邦选举相关主题诱饵并加载恶意DLL。该DLL文件具备反沙箱和反虚拟机检查功能，有效载荷为CobaltStrike Beacon。在感染CobaltStrike后，攻击者将利用其下载二阶段载荷"FRESHFIRE"，该恶意软件将使用被感染主机名的特定属性来解密和执行从远程C2服务器接收的数据。

研究人员表示，此次攻击活动中的一些攻击策略与APT29以前使用的策略一致：

披露时间：2021年06月02日

情报来源：https://mp.weixin.qq.com/s/MBH8ACSTfC6UGzf2h1BuhA

相关信息：

微步研究员近期监测到Lazarus组织针对国防军工行业的攻击活动。攻击者在此次攻击活动中冒充德国军工企业“莱茵金属”公司，以“工作要求”为主题向目标投递带有恶意宏的诱饵文档。文档运行后将启用恶意宏利用多阶段组件来执行恶意行为，最终加载执行远控模块，实现对目标主机的远程控制。

结合该组织以往攻击活动样本分析，从执行流程上看具有高度相似性，但细节有一定程度变化，表明攻击者在持续开发并优化其攻击组件。此外，攻击者仍然在攻击活动中利用事先入侵的站点作为C2通信服务器。

披露时间：2021年06月01日

情报来源：https://blog.malwarebytes.com/threat-analysis/2021/06/kimsuky-apt-continues-to-target-south-korean-government-using-appleseed-backdoor/

相关信息：

KimSuky是一个自2012年以来就一直活跃的北韩APT组织，该APT组主要针对韩国政府实体发起攻击。近日，Malwarebytes研究人员捕获并披露了KimSuky针对韩国外交部的攻击事件，并指出KimSuky近期的攻击目标主要包括：韩国外交部一等秘书、外交部二等秘书、贸易部长、韩驻港领事员、核安全官员、贸易部员工、首尔国立大学等韩国组织。其攻击的主要方式依旧是网络钓鱼攻击，该组织通过仿造知名网站欺骗用户输入凭证信息，伪造域名包括：Gmail、Hotmail、Microsoft Outlook、Nate、Daum、Naver、Telegram、KISA等。此过程是该组织收集电子邮件地址的主要方法之一，这些地址将被用于发送鱼叉式网络钓鱼电子邮件。根据相关参数显示，此次活动不仅针对韩语用户，同时也针对英语用户。

在最新的攻击中，他们将包含了恶意软件的压缩包上传到了钓鱼站点引诱用户下载并解压运行，压缩包中包含了一份伪装成PDF文档的JavaScript文件，该文件包含两段Base64编码的Shellcode。在对Shellcode进行解码之后将会得到AppleSeed的Payload，攻击者将该Payload写入到%ProgramData%目录中并通过Powershell启动该段payload回连C2，实现对目标主机的控制。

披露时间：2021年06月01日

情报来源：https://labs.bitdefender.com/2021/06/threat-actors-use-mockups-of-popular-apps-to-spread-teabot-and-flubot-malware-on-android/

相关信息：

Bitdefender研究人员发现了一批新的恶意Android应用程序。其中研究人员确认了五个新恶意应用程序包含了Teabot银行木马，两个应用程序在与Anatsa恶意软件关联。包含Teabot银行木马的应用程序基于Google Play上的APP。

攻击者使用虚假的Ad Blocker应用程序充当恶意软件的投放器，其会根据CnC命令下载并尝试安装Teabot。除此之外，还发现FluBot银行木马同样活跃，其使用垃圾短信传播，攻击者使用了100多个被黑/被劫持的站点来托管其恶意软件。恶意软件从受害者手机中窃取联系人姓名和电话号码。

披露时间：2021年06月01日

情报来源：https://mp.weixin.qq.com/s/oWqmDlvWZ5CEvpjSz1GzPg

相关信息：

360高级威胁研究分析中心在2021年3月到4月，检测到一批疑似针对外贸等相关企业人员的钓鱼攻击活动。经分析，其伪装成悬挂巴拿马旗帜的一艘名为UNIVERSE PROSPERITY的散货邮轮的信息文件进行邮件钓鱼传播。其最终执行木马载荷为一个数据窃取工具Formbook，该工具自2016年初以来就开始在各种黑客论坛上开始出现销售。其功能包括：键盘记录、文本监控、抓取 HTTP/HTTPS/SPDY/HTTP2表单和网络请求、从浏览器和电子邮件客户端抓取密码、屏幕截图、从命令和控制服务器接收以下远程命令等。

数据统计显示已有超过百个国内外企业或个人受到此次攻击影响。其中不乏一些国内的大型物流公司。

披露时间：2021年06月01日

情报来源：https://blogs.jpcert.or.jp/ja/2021/06/php_malware.html

相关信息：

JPCERT/CC 发现了部分网站被篡改，PHP 脚本将页面访问者引导至欺诈站点或可疑产品销售站点的情况。调查显示带有 PHP 恶意软件的网站会在服务器上创建大量恶意网页，将访问跳转到恶意网站，同时执行从攻击者那里收到的命令，如设置服务器上的无效页面、更新sitemap.xml和robots.txt、使用eval执行任意代码等。

此外，攻击者利用了内容管理系统 (CMS) 中的漏洞将 PHP 恶意软件上传到服务器。

披露时间：2021年05月28日

情报来源：https://news.sophos.com/en-us/2021/05/28/epsilonred/

相关信息：

Sophos发现新勒索软件Epsilon Red利用Microsoft Exchange服务器上的Exchange漏洞进行攻击。研究人员在调查针对美国某酒店的攻击活动时发现的该恶意软件。Epsilon Red用Golang（Go）编写，有一组独特的PowerShell脚本，其中每个脚本都有特定作用，如终止安全工具、删除副本、窃取安全帐户管理器（SAM）文件等。

研究人员表示，该团伙使用了REvil赎金记录的模板（改正了其中的语法和拼写错误），并且Epsilon Red是漫威中俄罗斯超级士兵的角色名，因此推断该团伙与俄罗斯有关。

披露时间：2021年05月28日

情报来源：https://mp.weixin.qq.com/s/3UUbbZewFwoNHRNqwV3YOQ

相关信息：

近日，安天CERT发现一起入侵工业控制系统并最终投放勒索软件的攻击事件，此次事件影响了欧洲一些国家的工业企业，其工业控制环境的服务器被加密，导致工控业务系统临时关闭。经过分析，该起攻击事件归属于一个新的勒索软件家族Cring（也被称为Crypt3r，Vjiszy1lo，Ghost，Phantom等）。

攻击者利用FortiGate VPN服务器中的CVE-2018-13379漏洞进行攻击，一旦获取系统中的访问权限，会下载Mimikatz工具并使用该工具窃取以前登录的Windows用户的账户凭据。然后通过该凭据将PowerShell脚本分发到其他系统中。PowerShell脚本解密有效载荷为Cobalt Strike Beacon后门，该后门为攻击者提供了对受感染系统的远程控制能力。在获得对受感染系统的控制后，攻击者使用cmd脚本将Cring勒索软件下载到系统中，并使用PowerShell启动加密整个系统。

披露时间：2021年05月28日

情报来源：https://blog.netlab.360.com/ssh_stealer_facefish_cn/

相关信息：

360Netlab研究团队发现了一款针对Linux平台的窃密后门Facefish，可控制Linux系统并窃取敏感数据。其感染程序可以分为3个阶段：1.预备阶段，通过漏洞传播，在设备上植入Dropper；2.释放阶段，Dropper释放出Rootkit；3.业务阶段，Rootkit收集回传敏感信息，等待执行C2下发的指令。

其中主要功能由Rootkit模块决定。Rootkit工作在Ring3层，利用LD_PRELOAD特性加载，通过Hook ssh/sshd程序的相关函数以窃取用户的登录凭证。该恶意软件支持多种功能，包括：上报设备信息、窃取用户凭证、反弹Shell、执行任意命令。

此外，研究人员表示Facefish采用了复杂的通信协议和加密算法，它使用以0x2XX开头的指令来交换公钥，并使用BlowFish与C2服务器加密通信数据。

披露时间：2021年05月28日

情报来源：https://mp.weixin.qq.com/s/iGvL1eO9kxtSRiFoB3AQtw

相关信息：

腾讯安全检测到Phorpiex僵尸网络新变种近期活动频繁，在今年三月以来有明显上升趋势。该团伙的作恶记录包括：分发过GandCrab在内的多种勒索病毒；下载挖矿木马利用肉鸡电脑算力挖矿；分发剪贴板大盗木马用于盗窃数字加密货币；群发垃圾邮件实施勒索诈骗等等。

Phorpiex僵尸网络新变种除保留了其家族的主要特征外，还出现一些新变化：删除了感染win32可执行程序的功能，删除了部分版本中的本地web目录exe文件替换功能；启用了新的网络基础设施：IP或domain资源，这些基础设施从3月份后开始活跃（185.215.113.93，feedmefile.top，gotsomefile.top，gimmefile.top）；增加了基于Tor网络的基础设施，使僵尸网络的通信更加隐蔽（7fv5nq57k4qvbrpt.onion）；增加了处理Tor-onion请求的代理服务器功能；新版本病毒对乌克兰地区进行了双重规避。

同时新版本继续保留了Phorpiex僵尸网络木马的主要技术特征：包括其一贯使用窗口函数进行大量无效操作进行代码，行为混淆；保留移动设备的感染功能、比特币窃取功能。

披露时间：2021年06月04日

情报来源：https://mp.weixin.qq.com/s/BMfhaIG3ovsesWZn7DbGgQ

相关信息：

近日，奇安信CERT监测到VMware官方发布多个关于vCenter Server的风险通告，其中包括VMware vCenter Server远程代码执行漏洞（CVE-2021-21985）、VMware vCenter Server错误的身份验证漏洞（CVE-2021-21986）两个高危漏洞，目前官方已有可更新版本。鉴于漏洞危害较大，建议用户及时安装更新补丁。

披露时间：2021年06月01日

情报来源：https://blog.talosintelligence.com/2021/06/vuln-spotlight-accusoft-.html

相关信息：

Cisco Talos披露了Accusoft ImageGear中的多个漏洞。ImageGear是一个文档图像开发工具包，允许用户创建、编辑、注释和转换各种图像。

此次披露的漏洞包括越界写漏洞（CVE-2021-21793、CVE-2021-21794和(CVE-2021-21824）、缓冲区溢出漏洞(CVE-2021-21795、CVE-2021-21808和CVE-2021-21821）以及远程代码执行漏洞（CVE-2021-21833）等。