披露时间：2021年07月06日

情报来源：https://cybersecurity.att.com/blogs/labs-research/lazarus-campaign-ttps-and-evolution

相关信息：

AT&T研究人员观察到了Lazarus组织最新的攻击活动，该活动可能针对美国和欧洲的国防工程行业求职人员或从事机密工程人员。活动中释放的诱饵文件与之前活动中的使用的诱饵文件一致，均试图假冒国防承包商和工程公司，如空中客车、通用汽车和莱茵金属等公司的工作机会引诱目标用户运行恶意文档。其恶意文档的核心技术是相同的，但宏代码存在不断开发和改进的痕迹，目的在于减少威胁检测并增加宏代码功能。

2021年5月初捕获的恶意文件诱饵主题与莱茵金属公司有关，其宏代码特征之一是通过拆分base64编码后的MZ文件头来逃避威胁检测。几周后，研究人员发现相同的诱饵文件所使用的代码进行了更新，其宏代码会向C2服务器报告感染状态，变量从1更新为3。6月初，研究人员发现恶意文件使用了新的注入及执行过程，文档将利用Certutil或其他白程序将文件复制到C:\Drivers，以避免基于EDR签名的检测。

披露时间：2021年07月05日

情报来源：https://mp.weixin.qq.com/s/dHiYZyJXoy2LLXtElcYeog

相关信息：

近期，安天CERT发现了一批针对我国军工、贸易和能源等领域的网络攻击活动。攻击手法存在伪造身份向目标发送鱼叉邮件，投递恶意附件诱导受害者运行。恶意附件运行后将下载两个远控插件、文件窃密插件、浏览器凭证窃密插件以及键盘记录插件。其主要功能及目的为窃取机密信息。

经归因分析发现，这批活动具备APT组织BITTER的历史特征，且在针对目标、恶意代码和网络资产等层面均存在关联，属于BITTER组织在2021年上半年的典型攻击模式。

披露时间：2021年07月07日

情报来源：https://mp.weixin.qq.com/s/bJrEwoq4QkDJvEk_ThvueQ

相关信息：

Gamaredon是具有俄罗斯背景的APT组织，其攻击活动一直以来十分活跃，且一直保持着高频的攻击武器及攻击手法的更新迭代。近期，360高级威胁研究院在持续跟踪Gamaredon组织的相关活动时，发现该组织利用修改PE文件的方式向带有合法签名的PE文件中嵌入恶意脚本。攻击者通过修改Certificate Table的大小和PE头中CheckSum向Chrome.exe的文件的Certificate Table末尾嵌入恶意脚本，来保证其载体的数字证书验证有效，从而逃避检测。

本次被执行的脚本为该组织一直沿用的vbs downloader，主要功能为下载远程文件到本地的%PUBLIC%\Downloads\Musik.ini目录下，并创建计划任务维持控制。

披露时间：2021年07月01日

情报来源：https://blog.alyac.co.kr/3881?category=957259

相关信息：

6月28日，ESRC披露了KimSuky最新的攻击样本，样本伪装成参加学术会议的Word文档以对学术研究者发起攻击。文档文件包含了一个带有密码保护的恶意宏，当受害者启用宏代码之后，程序会先尝试与韩国一家中小型公司的网站建立通信，接着与特定的Google博客建立二次通信以获取后续的执行指令。

成功与C2建立连接之后，程序将会创建desktop.ini和iexplorer.exe.lnk并将lnk文件赋值到启动程序文件夹中实现本地持久化。接下来，程序将会收集受害者主机的用户名、操作系统版本、办公版本、进程列表、桌面文档列表等信息传输到C2服务器中。

披露时间：2021年07月02日

情报来源：https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689

相关信息：

2021年7月2日，Kaseya发布报告，称REvil攻击者利用Kaseya VSA服务器自动更新系统漏洞，向其托管服务提供商客户和Kaseya VSA 远程监控和管理平台现场版的企业用户提供了一个恶意更新包。攻击影响了Kaseya多个托管服务提供商及其一千多名客户。Kaseya VSA 是一个基于云的MSP平台，允许提供商为其客户执行补丁管理和客户端监控。

Kaseya VSA会释放恶意agent.crt文件到C:\kworking文件夹中，该文件夹将作为名为“Kaseya VSA Agent Hot-fix”的更新分发。然后启动PowerShell命令，该命令首先禁用各种Microsoft Defender安全功能，例如实时监控、受控文件夹访问、脚本扫描和网络保护。然后将使用合法的Windows certutil.exe命令解码agent.crt文件，将agent.exe文件提取到同一文件夹中，然后启动该文件夹以开始加密过程。agent.exe使用来自“PB03 TRANSPORT LTD”的证书进行签名，包括嵌入的“MsMpEng.exe”和“mpsvc.dll”，其中 DLL是REvil加密器，MsMPEng.exe 是合法Microsoft Defender可执行文件的旧版本，用作LOLBin以启动 DLL 并通过受信任的可执行文件加密设备。其中一个示例显示勒索软件团伙索要500万美元赎金。

披露时间：2021年07月01日

情报来源：https://decoded.avast.io/luigicamastra/backdoored-client-from-mongolian-ca-monpass/

相关信息：

Avast研究人员发现了一个从MonPass官方网站下载的安装程序，MonPass是蒙古最大的证书颁发机构(CA)之一。该安装程序带有Cobalt Strike二进制文件的后门。经过调查，发现MonPass托管的公共Web服务器可能被入侵了八次，在该服务器上发现了八个不同的webshell和后门。并且2021年2月8日至2021年3月3日期间，可供下载的MonPass客户端存在后门，事件于3月下旬被披露。

恶意安装程序是一个未签名的PE文件，其首先从MonPass官方网站下载安装程序的合法版本以迷惑用户。攻击者使用隐写术将shellcode传送给受害者。执行时，恶意软件会从远程链接下载包含加密负载的位图图像。研究人员称，攻击者显然是打算通过入侵可信赖的来源来向蒙古的用户传播恶意软件。

披露时间：2021年07月06日

情报来源：https://blogs.jpcert.or.jp/ja/2021/07/water_pamola.html

相关信息：

JPCERT/CC最近发现，使用EC-CUBE构建的EC站点容易受到XSS漏洞（CVE-2021-20717）的攻击，EC-CUBE是一个高性能的网店系统，可从官方网站免费下载。

JPCERT已确认，截至2021年7月1日，这些攻击活动仍在进行中。安装在EC站点上的恶意文件包括：多功能Web Shell、数据库操作工具Adminer、信息窃取JavaScript（发送信用卡信息，加载到登录页面和支付页面）、信息存储JavaScript、信息存储文件（存储信用卡号、有效日期、安全代码、电子邮件地址、密码等）、简单WebShell（执行上传的PHP文件）。

披露时间：2021年07月01日

情报来源：https://www.trendmicro.com/en_us/research/21/g/purplefox-using-wpad-to-targent-indonesian-users.html?&web_view=true

相关信息：

近日，Trend研究人员发现攻击者利用PurpleFox针对印度尼西亚用户进行攻击。攻击者在Cloudflare注册了域名“wpad.id”，并加载WPAD服务的URL: http://wpad[.]id/wpad[.]dat，该URL将下载一个利用CVE-2019-1367的JavaScript版本的自定义Shellcode到本地，自定义Shellcode将从URL下载下一阶段以投放有效载荷。

攻击者利用WPAD域感染用户，使用这种技术，可以实现零点击攻击，因为在系统启动时访问WPADURL，无需任何用户输入。除了印度尼西亚顶级域之外，研究人员暂时没有发现其他受到影响的国家顶级域。此外，PurpleFox正在尝试访问用户交互少但可能受WPAD技术影响的服务器，例如自动机器。

披露时间：2021年07月01日

情报来源：https://www.fortinet.com/blog/threat-research/diavol-new-ransomware-used-by-wizard-spider

相关信息：

Fortinet最近发现Wizard Spider网络犯罪集团使用新型勒索软件Diavol发起攻击活动。执行时，Diavol首先检查命令行参数。Diavol将主要例程保存在位图图像中，这些图像存储在PE资源部分。在调用每个例程之前，其会将位图中的字节复制到具有执行权限的全局缓冲区。Diavol有14个不同的例程存储为位图，包括创建ID、初始化配置、C&C通信、杀死进程、初始化加密秘钥、查找驱动、查找文件、通过删除卷影副本防止恢复、加密文件、更换桌面壁纸。

此外，分析人员在受害者环境中的其他主机上还发现了Conti勒索软件，Diavol使用的命令行参数与Conti使用的参数几乎相同，并且在对文件路径进行排队以进行加密时的操作与异步I/O操作类似。

披露时间：2021年06月30日

情报来源：https://www.guardicore.com/labs/smb-worm-indexsinas/

相关信息：

Guardicore披露了一个名为Indexsinas的SMB网络蠕虫（也称为NSABuffMiner）的新活动细节。该攻击活动自2019年以来一直活跃，至今仍在运营中。目标设备是容易受到EternalBlue（MS17-010）攻击的SMB服务器。主要使用了3个漏洞：EternalBlue、DoublePulsar和EternalRomance。Guardicore 全球传感器网络 (GGSN)自2019年开始总共记录了来自1300多个不同来源的2000多次攻击，其中大多位于美国、越南和印度。研究人员称，攻击者非常谨慎，C2服务器都在韩国并都受到了高度保护，安装了补丁且没有向互联网暴露多余的端口。

该攻击大量使用了Equation Group漏洞利用工具包，其中包括EternalBlue漏洞利用以及DoublePulsar后门。受害者包括医疗保健、酒店、教育和电信部门的组织。攻击流由许多批处理脚本、可执行有效载荷、下载器、服务和计划任务组成。恶意木马会终止与其他攻击活动相关的进程，删除其文件系统残留并停止其他攻击组创建的服务。还试图通过杀死与进程监控和分析相关的程序来逃避检测。此外，其会在执行后立即删除自己的文件。

披露时间：2021年07月07日

情报来源：https://securelist.com/wildpressure-targets-macos/103072/

相关信息：

Kaspersky研究人员发现WildPressure活动更新版本的恶意软件。包括C++ Milum 木马、VBScript变体和三个插件的模块。PyInstaller模块包含一个名为Guard的脚本，其针对Windows和macOS，C2的信标数据包含主机名、机器架构、操作系统版本名称。

为了对Windows目标进行指纹识别，Guard还使用WQL（WMI查询语言）请求。其主要功能包括反杀毒软件、下载文件、上传文件、使用操作系统命令解释器执行命令、更新木马和清理木马。

VBScript自解密变种被命名为Tandis木马，其针对Windows，具备下载文件、从服务器更新脚本、对主机进行指纹识别、执行命令等功能。基于插件的C++恶意软件用于收集目标主机上的数据。指纹插件通过WQL查询收集有关主机的非常详细的数据，并使用公开可用的库创建JSON。

此外，还发现了键盘记录和截图插件。该攻击者基础设施中同时使用了VPS和受感染的服务器，其中大部分是WordPress网站，合法的受感染网站被用于Guard中继服务器。

披露时间：2021年07月01日

情报来源：https://blog.netlab.360.com/mirai_ptea-botnet-is-exploiting-undisclosed-kguard-dvr-vulnerability/

相关信息：

360Netlab检测到Mirai变种样本（mirai_ptea）通过未知漏洞传播。经过分析，该漏洞为KGUARD DVR未公开的漏洞，存在于2016年的固件版本中，2017年之后的固件厂家均已经修复该漏洞。通过探测发现至少3千左右的在线设备依然存在该漏洞。

目前该僵尸网络处于活跃的攻击状态。该变体使用Tor Proxy和C2通信，内嵌了大量的代理节点，而且Tor-C2被加密，Tor C2建立连接后，通过ptea自定义的协议和C2通信，接收C2下发的攻击指令。使用TEA算法（Tiny Encryption Algorithm）隐藏敏感的资源信息。Bot源IP地理位置主要集中在美国、韩国和巴西。

披露时间：2021年07月07日

情报来源：https://mp.weixin.qq.com/s/rklak7ZUXBFyYpt6mrt0Ug

相关信息：

近日，奇安信CERT监测到微软发布了Windows Print Spooler 服务远程代码执行漏洞（CVE-2021-34527）通告，Windows Print Spooler 服务在执行特权文件操作时，存在远程执行代码漏洞。经过身份认证的攻击者可通过调用RpcAddPrinterDriverEx函数获取系统System权限并执行任意代码或者添加具有完全权限的用户，微软在通告中声称已经检测到了在野利用。

微软在通告中指出，该漏洞与6月份补丁日修复的CVE-2021-1675漏洞相似，但攻击向量不同。奇安信CERT已发布多次CVE-2021-1675漏洞通告并附带产品解决方案。在6月28日，奇安信威胁情报中心红雨滴团队已通过技术手段开发出此漏洞利用EXP，并在Twitter上发布相关演示视频。

目前该漏洞的PoC和EXP均已公开，鉴于该漏洞危害极大，建议客户尽快修复漏洞并自查服务器的安全状况。

披露时间：2021年06月30日

情报来源：https://www.microsoft.com/security/blog/2021/06/30/microsoft-finds-new-netgear-firmware-vulnerabilities-that-could-lead-to-identity-theft-and-full-system-compromise/

相关信息：

Microsoft披露了NETGEAR DGN2200v1系列路由器固件中的3个漏洞，可被用来在企业的网络中横向移动。这些漏洞为HTTPd身份验证安全漏洞，CVSS评分为7.1 – 9.4不等。

其中，利用第一个漏洞可在子字符串中的请求中附加GET变量，来绕过身份验证，访问设备上的任何页面；第二个漏洞可用来进行侧信道攻击，以窃取存储的凭据；第三个漏洞可与先前的认证绕过漏洞结合使用，来窃取路由器的配置恢复文件。目前，Netgear已修复了这些漏洞。