披露时间：2021年06月17日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/new-ta402-molerats-malware-targets-governments-middle-east

相关信息：

近日，Proofpoint研究人员发现TA402以中东各国政府为目标，分发高度针对性钓鱼邮件，并在活动中传播新型恶意软件LastConn。TA402是一个以中东政府机构和与中东地区地缘政治相关的全球政府实体为目标的APT组织，该组织最早活跃于2012年，其目标主要位于以色列和巴勒斯坦，影响行业包括电信、金融机构、学术机构、军事、媒体和政府。

TA402 在此次活动中使用了用阿拉伯语编写的鱼叉式网络钓鱼电子邮件，诱饵主题包括“Hamas代表团会见叙利亚政权”和“Hamas成员名单”。其中包含带有地理防御URL的PDF附件，当中招IP地址属于中东地区的目标国家，则会指向带有密码保护的RAR文件下载链接，否则将跳转到正常的阿拉伯语新闻网站。

下载到本地的RAR文件密码被存放在PDF的文本中。运行后将在本地释放TA402定制恶意软件LastConn。但在最近的活动中，RAR文件中删除了LastConn恶意软件。通过此攻击路径分发的其他恶意软件包括 SharpStage、Loda 和 MiraiEye RAT。

披露时间：2021年06月22日

情报来源：https://blog.lumen.com/suspected-pakistani-actor-compromises-indian-power-company-with-new-reverserat/

相关信息：

近日，Lumen 的 Black Lotus Labs 检测到一种新的远控木马并将其命名为ReverseRat。安全研究员在对其进行深入的关联分析之后表明，该远控木马背后应该是针对南亚和中亚地区政府机构发起攻击的南亚APT组织。

此类攻击主要分为两个阶段，第一阶段，攻击者会将恶意的LNK文件和包含正常PDF的诱饵ZIP文件上传到被他们控制的网站后台，接着向受害者发送钓鱼链接诱导受害者下载并执行LNK文件。第二阶段，LNK文件会下载并执行恶意的HTA文件，由HTA文件加载后续的远控组件，HTA加载的远控组件可能是AllaKore或ReverseRat。安全研究员通过对感染链和远控组件的关联分析发现该组织的TTP和已经披露的SideCopy有部分重合，包括远控组件的加载方式、pdb路径的相似性以及C2地址的分布情况。

披露时间：2021年06月23日

情报来源：https://mp.weixin.qq.com/s/SLocYak45PoOwLtMCn0PFg

相关信息：

Kimsuky组织为境外APT组织，该组织长期针对韩国政府、新闻、医疗、金融等机构进行攻击活动，经常以政府相关热点事件为诱饵进行定向攻击，窃取高价值情报是其主要攻击目的之一。

披露时间：2021年06月16日

情报来源：https://securelist.com/ferocious-kitten-6-years-of-covert-surveillance-in-iran/102806/#comment-3394769

相关信息：

近日，Kaspersky披露了一个对伊朗公民进行了长达6年网络监视的APT组织Ferocious Kitten。该组织在其攻击文档中释放的恶意软件被称为“MarkiRAT”，该恶意软件功能包括键盘记录、剪贴板内容窃取、本机文件上传、远程文件下载以及任意命令执行。其变种通过劫持Telegram、Chrome程序运行。

此次活动主要针对伊朗公民。除了大部分是波斯文的文件名外，一些恶意网站还使用子域来冒充伊朗的流行服务，例如 “aparat.com-view[.]space” 仿冒伊朗视频共享服务Aparat，“khabarfarsi.com-view[.]org” 仿冒伊朗新闻网站。此外，恶意文件显示的诱饵内容往往利用政治主题，涉及抵抗基地或打击伊朗政权的图像或视频，表明此次攻击是针对国内此类运动的潜在支持者。

FerociousKitten与其他威胁组织DomesticKitten和RampantKitten在TTP和受害者方面存在相似之处。和DomesticKitten一样，FerociousKitten长期使用相同的C2服务器集，并且使用相同的URL模式来进行C2通信，如“updatei[.]com/fff/”或“updatei[.]com/fil/”。和RampantKitten一样，两个威胁组织都试图从Keepass密码管理器中收集信息，并更改TelegramDesktop的执行流程以确保其恶意软件的持久性。

披露时间：2021年06月21日

情报来源：https://mp.weixin.qq.com/s/l1YDyweyIXS1MIZj3HvmMQ

相关信息：

2021年6月，奇安信病毒响应中心移动安全团队在日常的威胁分析运营过程中，捕获到Android平台上一款新型的的恶意RAT。该RAT利用色情下载页面对相关人员进行钓鱼攻击，通过社交应用聊天的方式诱导受害者下载恶意APK文件。通过样本追踪关联挖掘，研究人员发现到攻击者在移动端Android和iOS双平台展开攻击，主要攻击韩语及日语用户，攻击的目的是实现钱财勒索。通过奇安信大数据监测，国内尚无用户中招。

目前并未有直接的发现指向该黑产团伙的身份，但该团伙除了熟悉韩、日语， 在攻击时创建相应的韩、日钓鱼网站及RAT样本外；还熟悉中文，我们在样本发现到采用了一些中文的控制指令信息。且该团伙拥有较多的网络资产，至少活跃了3年，可以推测其是一个规模不小有相当经验的黑产团伙。研究人员将其暂命名为“金睛兽”黑产团伙，另由于其使用色情诱导方式展开勒索攻击，将其攻击活动命名为“火热”勒索活动。

披露时间：2021年06月16日

情报来源：https://www.fireeye.com/blog/threat-research/2021/06/darkside-affiliate-supply-chain-software-compromise.html

相关信息：

Fireeye Mandiant披露了Darkside附属团伙UNC2465针对监控系统（CCTV）提供商的供应链攻击。攻击始于2021年5月18日，受影响组织中的用户浏览到恶意链接并下载了恶意ZIP，然后安装了一系列恶意软件。

Mandiant分析初始载体是一个来自合法网站的恶意安全摄像头PVR安装程序，攻击主要分为5个阶段：木马化安装程序下载、Nullsoft安装程序、下载VBScript和PowerShell、安装SMOKEDHAM Dropper和SMOKEDHAM后门。

披露时间：2021年06月22日

情报来源：https://cybersecurity.att.com/blogs/labs-research/darkside-raas-in-linux-version

相关信息：

AT&T Alien Labs最近分析了Linux版本的Darkside勒索软件。与通常使用密码压缩文件的常见Linux勒索软件不同，Darkside使用加密库对文件进行加密。Darkside Linux版本主要针对ESXi服务器，其默认配置包括ESX服务器计算机的根路径，目标扩展名包括“vmdk”、“log”、“vmem”、“vmsn”，它们在ESX服务器中用于保存虚拟机信息、数据和日志。该恶意软件将其执行的大部分操作打印到屏幕上，其中包括加密的根路径、RSA密钥、要加密的目标文件扩展名、C2 地址等。

Darkside使用了几个开源库，这些库通过恶意软件代码导入并编译成一个二进制文件。其中一些库是：用于加密的crypto++、用于日志目的的boost以及用于HTTP请求的curl。使用这些库可以使最终的二进制文件大小为2.7MB。例如，为了通过命令和控制(C&C)与受感染的机器通信，恶意软件使用与其余代码一起编译的libcurl函数。恶意软件使用ChaCha20和从配置中获取的RSA 4096密钥加密目标文件，加密后，恶意软件会在加密文件的末尾添加一个包含常量和密码的尾部。同时会从受感染的机器收集信息，加密后将其发送到C&C服务器。C&C地址使用轮换的XOR密钥进行加密，泄露的信息包括：用户名、操作系统版本、主机名、版本等。

披露时间：2021年06月16日

情报来源：https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/

相关信息：

Unit 42研究人员针对多个地下论坛和市场的成员BelialDemon进行了调查。发现其在2021年2月，宣传了一种名为Matanbuchus Loader的新型恶意软件即服务（MaaS）Loader程序，并收取2500美元的初始租金。

恶意软件加载程序通过包含恶意宏的Microsoft Excel文档分发，会从命令和控制 (C2) 基础设施中删除或拉下第二阶段的恶意软件。Matanbuchus具有以下功能：在内存中启动.exe或 .dll文件的能力；能够利用schtasks.exe添加或修改任务计划；能够启动自定义PowerShell 命令；如果攻击者无法这样做，则能够利用独立的可执行文件加载DLL。

受Matanbuchus影响的组织包括美国的一所大型大学和高中，以及比利时的一家高科技组织。

披露时间：2021年06月17日

情报来源：https://www.intezer.com/blog/malware-analysis/klingon-rat-holding-on-for-dear-life/

相关信息：

Intezer研究人员最近发现一种新的用Golang编写的恶意软件Klingon RAT，其至少从2019年开始活跃。该RAT首先创建一个对象，其目的是存储有关受害机器、控制器设置和已分发实用程序路径的信息。其运行 WMI 命令（wmic process get Caption、ParentProcessId、ProcessId）来获取所有正在运行的进程。恶意软件将检查此进程列表，并将其与目标防病毒进程列表进行匹配。taskkill命令用于终止匹配的进程和子进程。并使用ver命令获取操作系统版本，然后获取用户名。请求https://api.ipify.org得到公网IP地址，并从注册表中得到机器ID。

恶意软件通过多种方式设置持久性，包括利用注册表的run键、映像文件执行选项注入、WMI 事件订阅、Winlogon Helper DLL和任务计划。建立命令和控制(C2)之前，恶意软件会启动一个控制器结构。恶意软件可以启动SOCKS代理（proxy）、启动一个反向shell（shell）、启动RDP服务器（rdp）、启动一个二进制文件 (binary)、更新二进制文件（update）、运行PowerShell命令（cmd）。

披露时间：2021年06月17日

情报来源：https://securelist.com/black-kingdom-ransomware/102873/

相关信息：

BlackKingdom勒索软件于2019年首次出现，于今年3月在利用MicrosoftExchange中的ProxyLogon漏洞（编号为CVE-2021-27065）的活动中被观察到。BlackKingdom家族与其他勒索软件即服务(RaaS)或大规模狩猎(BGH)家族相比并不复杂，且存在多个错误和一个严重的加密缺陷，可能允许任何人使用硬编码密钥解密文件，因此研究人员认为BlackKingdom是一个由业余勒索软件团伙开发的勒索软件。

BlackKingdom使用Python编码并使用PyInstaller编译为可执行文件。它支持两种加密模式：一种是动态生成的，一种是使用硬编码的密钥。在静态分析代码时，研究人员发现大部分勒索软件逻辑都被编码到一个名为0xfff.py的文件中。BlackKingdom背后的黑客指定要从加密系统文件中排除某些文件夹。目的是避免在加密期间破坏系统。

披露时间：2021年06月21日

情报来源：https://www.sentinelone.com/blog/darkradiation-abusing-bash-for-linux-and-docker-container-ransomware/

情报来源：https://www.trendmicro.com/en_us/research/21/f/bash-ransomware-darkradiation-targets-red-hat--and-debian-based-linux-distributions.html

相关信息：

研究人员最近发现的一种名为“DarkRadiation”的勒索软件，其针对Linux和Docker云容器，采用Bash编写。该勒索软件使用一组复杂的Bash脚本和至少六个C2，所有这些当前似乎都处于离线状态，通过硬编码的API密钥与Telegram bots进行通信。该DarkRadiation脚本存在依赖，包括wget、curl、sshpass、pssh和openssl。

如果受感染设备上没有这些工具，恶意软件会尝试使用 YUM下载所需的工具。该勒索软件试图停止、禁用和删除/var/lib/docker目录，Docker使用该目录来存储镜像、容器和本地命名卷。为了便于通信，勒索软件依赖另一个脚本bt_install.sh来设置和测试Telegram bot。同时还安装并启用名为“griphon”的服务，以获得持久性。

披露时间：2021年06月23日

情报来源：https://mp.weixin.qq.com/s/ELZsDZzMw3565OKkwIzfGA

相关信息：

VMware Carbon Black App Control（AppC），是市场上最成熟和可扩展的应用控制解决方案之一，提供应用设备控制，高级威胁检测等服务。

近日，奇安信CERT监测到VMware官方发布安全更新，修复了漏洞编号为CVE-2021-21998的AppC中身份验证绕过漏洞。可以通过网络访问AppC管理服务器的攻击者，利用该漏洞无需身份验证即可获得对该产品的管理访问权限。

目前官方已有可更新版本，鉴于漏洞危害较大，建议用户及时安装更新补丁。

披露时间：2021年06月18日

情报来源：https://nvidia.custhelp.com/app/answers/detail/a_id/5205

相关信息：

NVIDIA发布安全更新，修复了NVIDIA Jetson AGX Xavier系列、Jetson Xavier NX、Jetson TX1、Jetson TX2系列和Jetson Nano中的9个漏洞。

此次修复的最为严重的漏洞是Jetson框架中的缓冲区溢出漏洞（CVE‑2021‑34372），存在于NVIDIA OTE协议消息解析代码中，可能导致信息泄露、权限提升和拒绝服务(DoS)。其次为NVIDIA TLK中的堆溢出漏洞（CVE‑2021‑34373）和多个可触发DoS攻击的漏洞（CVE-2021-34379和CVE-2021-34380）等。