披露时间：2021年07月26日

情报来源：https://mp.weixin.qq.com/s/BvP00a-33OOmbcdwDkeqeg

相关信息：

Kimsuky，别名Mystery Baby、Baby Coin、Smoke Screen、Black Banshe等。是疑似具有东亚国家背景的APT组织，该组织长期针对韩国政府、新闻机构等目标发起攻击活动，常用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件，拥有功能完善的恶意代码武器库。与Konni APT组织存在基础设施重叠等关联性。

近日，奇安信红雨滴团队在日常高价值样本狩猎过程中，捕获多例疑似Kimsuky组织的攻击样本。根据红雨滴研究人员跟踪分析，此次攻击活动有如下特点：

1. 此次发现的样本大多以案件费用支付委托书为诱饵；

2. 此次活动中的样本所加载的Payload均采用多层下载链，最终使用blogspot博客系统分发最终载荷，为溯源增加了难度；

3. 文档使用恶意VBA代码，捕获到文本输入再执行核心恶意宏代码。

4. 未发现影响国内，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括威胁情报平台（TIP）、天眼高级威胁检测系统、NGSOC、奇安信态势感知等，都已经支持对此APT攻击团伙攻击活动的精准检测。

披露时间：2021年07月27日

情报来源：https://mp.weixin.qq.com/s/fNMHMkd6pA_h8Do-BOghKw

相关信息：

2021年7月，奇安信病毒响应中心移动安全团队关注到自2020年11月起至今，一个未知的APT组织针对巴基斯坦用户展开了有组织、有计划、针对性的长期监控活动。该组织一般利用钓鱼网站进行载荷投递。其攻击平台主要为Android，攻击目标主要锁定为巴基斯坦用户及巴基斯坦TLP政党。截止目前研究人员一共捕获到Android平台攻击样本15个，涉及的C&C有2个。

目前，研究人员并未有直接的发现指向攻击组织身份，且在已知的APT组织中均未发现到有和该组织出现重叠。故研究人员选取了主要受害国家国兽（捻角山羊）的其中一种天敌动物名字，按照其内部的命名规则将该攻击组织命名为——艾叶豹组织（Snow leopard）。

披露时间：2021年07月27日

情报来源：https://www.sygnia.co/praying-mantis-targeted-apt

相关信息：

近期，Sygnia研究人员披露了一个新的威胁组织Praying Mantis（又名TG1021），该组织通过利用Internet服务器漏洞获取对美国一些知名私企网络的初始访问。并使用高级的内存驻留攻击，这表明该组织是一位经验丰富的威胁组织，并且高度了解OPSEC（操作安全）。Praying Mantis组织所使用的恶意软件在避免检测方面做了很大的努力，包括主动干扰日志记录机制、成功避免商业EDR的检测。该组织通过以下4种Windows IIS服务器和Web应用程序漏洞实现对IIS服务器的入侵：

1. Checkbox Survey RCE 0 day漏洞(CVE-2021-27852)

2. VIEWSTATE反序列化漏洞

3. Telerik-UI漏洞(CVE-2019-18935、 CVE-2017-11317)

披露时间：2021年07月27日

情报来源：https://mp.weixin.qq.com/s/og8mfnqoKZsHlOJdIDKYgQ

相关信息：

Kimsuky最早由kaspersky在2013年披露，该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术等机构进行攻击,在过去几年里，他们将攻击目标扩大到包括美国、俄罗斯和欧洲在内的国家。主要目的为窃取情报、间谍活动等。该组织十分活跃，常用的攻击载荷为带有漏洞的hwp文件、恶意宏文件、释放载荷的PE文件等。

纵观2021上半年Kimsuky的活动，攻击目标仍以韩国的政府外交、国防军工、大学教授、智囊团为主。相关攻击活动仍以鱼叉邮件投递诱饵文档为主，同时也在积极利用社会热点事件为诱饵进行攻击。该组织上半年攻击目的多数以收集信息为主，研究人员根据攻击流程将诱饵文档大致分为五类：

披露时间：2021年07月22日

情报来源：https://mp.weixin.qq.com/s/NUjR3qVE0PJXULgGc3Edow

相关信息：

在日常狩猎海莲花攻击时，研究人员发现海莲花组织攻入企业内部后，滥用白利用技术，进行持久化驻留。配合横移技术以后，为了持久化驻留，使用了一个新的白利用驻留模式。研究人员推测海莲花攻击步骤如下：

1. 攻陷企业内网管控端。

2. 使用攻陷的内网管控端，通过SMB/RPC建立与目标内网终端的远程服务连接。

3. 收集内网终端应用服务信息，同时收集其他可用于定制化的信息，例如：内网IP段，MAC地址，HostName等。

4. 将定制化后门模块下发至目标内网终端的指定目录中。

5. 将白文件下发替换内网终端的服务原可执行文件。

当内网终端原有任务计划启动服务时，相当于启动了白利用后门组合文件。根据研究人员对攻击过程的观察和分析，发现海莲花选择的目标服务主要是非系统服务，例如谷歌更新服务GoogleUpdate.exe，Adobe更新服务armsvc.exe。这些服务即使被替换也不会影响应用程序的正常使用。

由于没有创建新服务项或修改原服务项的配置信息，仅替换原服务的可执行文件，用于替换的白文件也是可信文件，相当于模拟了一次应用程序文件升级的过程，以此来逃避安全软件的筛查。

披露时间：2021年07月21日

情报来源：https://www.trendmicro.com/en_us/research/21/g/strongpity-apt-group-deploys-android-malware-for-the-first-time.html

相关信息：

近日，趋势科技研究人员在对叙利亚电子政务网站上 Android 恶意软件样本进行分析时，发现这是 StrongPity APT 组织首次利用 Android 恶意软件进行攻击活动。该 Android 恶意软件使用不同的证书签名，并通过重新包装的叙利亚政府的原始应用程序生成，且所有的原始应用程序均使用另一个证书签名。

虽然一些杀毒厂商将该恶意样本识别检测为 Bahamut 组织，但趋势科技研究人员调查将这些样本与 StrongPity APT 关联起来。研究人员表示 StrongPity APT 组织倾向于重新包装良性安装程序以生成这些应用程序的木马化版本。同样，这些后门的主要功能是从受害者的计算机中搜索、收集和窃取文件。研究人员还表示，StrongPity APT 组织正在积极开发用于针对 Android 平台的新恶意软件。

披露时间：2021年07月28日

情报来源：https://mp.weixin.qq.com/s/JoohsUOJXbaEGaYZWv0pnw

相关信息：

2021年5月，安天CERT监测到一起对国内某化学品生产企业的窃密行动，经安天CERT分析发现了一个利用Telegram、Internet Archive和blogger博客分发Raccoon Stealer窃取木马活动。该起攻击行动主要通过钓鱼邮件进行传播，将邮件内容伪装成公司客户需求，诱导受害者下载附件并执行解压后的恶意程序。安天CERT跟踪发现该攻击活动从2021年4月一直持续至今，攻击者使用多种手法进行反溯源和反查杀，如使用Telegram作为C2进行通信、利用注册表实现恶意载荷访问、窃密载荷不落地和削弱Microsoft Defender防病毒功能等。针对其多种方式反追踪溯源的攻击特点，安天将其命名为“幻鼠”组织，与Gorgon组织TTP手法类似。

RaccoonStealer窃密木马首次出现于2019年4月，是暗网中最受关注的10大恶意软件之一，目前已经感染了全球数十万台设备。该木马具有窃取登录凭据、信用卡信息、加密货币钱包和浏览器信息等多种恶意功能。

披露时间：2021年07月22日

情报来源：https://cofense.com/blog/hta-fake-chrome-patches/

相关信息：

Cofense网络钓鱼防御中心(PDC)发现电子邮件发送HTML应用程序（HTA）文件附件作为Chrome网络浏览器的新漏洞假补丁分发。这封电子邮件警告用户最近报告的Google Chrome中的漏洞以及供员工应用的相应更新。点击后，用户被指向到有效载荷托管站点hxxps://vpnupdate[.]net/chrome[.]html。该页面使用了Chrome logo，并包含一个表示正在加载的GIF。几秒钟内，浏览器将下载一个名为update.hta的HTA文件，通过HTA使用mshta.exe运行。

当打开该文件时，显示漏洞CVE-2021-30554安全更新，要求用户点击“运行更新”按钮。打开HTA文件的同时，VBS脚本将收集当前用户的用户名以及系统的名称，并将其发送至hxxp://vpnupdate[.]net/update，该站点目前未存活。

披露时间：2021年07月27日

情报来源：https://unit42.paloaltonetworks.com/thor-plugx-variant/

相关信息：

在监控2021年3月的Microsoft Exchange Server攻击时，Unit 42的研究人员发现了一种PlugX变体，该变体作为攻击后远程访问工具(RAT)被发送给其中一台受攻击的服务器。该变种将其标志“PLUG”替换为“THOR”。发现的最早的THOR样本是在2019年8月，而在此变种中出现了新功能，包括增强的有效负载传递机制和信任二进制文件的滥用。

PlugX于2008年首次被发现，已被中国网络间谍组织PKPLUG(又名Mustang Panda)和其他组织使用。除了多年来在多起备受瞩目的攻击中使用外，包括2015年美国政府人事管理办公室(OPM)的重大入侵事件，PlugX还以其模块性和插件式恶意软件开发方法而闻名。

2021年3月19日，攻击者利用零日漏洞 (CVE-2021-26855 和CVE-2021-27065)获得目标服务器的webshell，随后从参与者控制的GitHub代码库下载PlugX的有效负载Aro.Dat，此负载使用了特殊的设计以躲避杀软检测。

披露时间：2021年07月27日

情报来源：https://businessinsights.bitdefender.com/deep-dive-into-a-fin8-attack-a-forensic-investigation

相关信息：

近日，Bitdefender研究人员发现了FIN8网络犯罪组织使用新版本的BADHATCH恶意软件进行的攻击活动，该活动攻击链如下：1.使用社会工程技术和鱼叉式网络钓鱼活动进行最初的入侵；2.进行网络侦察，使用命令(nltest.exe /domain_trusts、nltest.exe /dclist:)检索受信任域列表和控制器列表：3.利用WMIC实用程序进行横向移动；4.建立持久性，执行PowerShell代码，并尝试从FIN8的C&C服务器下载和执行有效负载。最后，命令行尝试执行从IP地址104[.]168.237.21下载的代码。

此外，攻击者滥用合法且广泛的sslip服务链接到C2，使SSL证书生成更容易进行流量加密，且更容易逃避检测。研究人员表示，企业必须提高预防能力以减缓攻击并生成早期指标检测和响应能力以阻止FIN8组织的攻击。

披露时间：2021年07月21日

情报来源：https://www.mbsd.jp/research/20210721/blog/

相关信息：

安全公司MBSD披露了以奥运会为主题针对日本的wiper恶意软件。该恶意软件是在上周五举行的2021年东京奥运会开幕式前两天发现的，它不仅能删除电脑上的所有数据，还能搜索位于C:/Users//的用户个人文件夹中的特定文件类型。

其中，Microsoft Office文件是要该恶意软件删除的主要目标，还有TXT、LOG和CSV文件，因为这些文件有时会存储日志、数据库或密码信息等。此外，该wiper还针对使用了Ichitaro日语文字处理器创建的文件，这证明它可能专门针对日本。

披露时间：2021年07月21日

情报来源：https://research.checkpoint.com/2021/top-prevalent-malware-with-a-thousand-campaigns-migrates-to-macos/

相关信息：

CheckPoint研究人员披露新恶意软件XLoader可在macOS和Windows窃取登录信息。XLoader源自针对Windows的信息窃取程序Formbook。Formbook是目前最流行的信息窃取程序之一，已经活跃了5年多。该恶意软件从各种Web浏览器获取凭据、收集屏幕截图、监视和记录按键，并可以根据从命令与控制(C&C)服务器接收的命令下载和执行文件。该软件原本被设计成一个简单的按键记录软件，但却在世界范围内被利用在恶意活动中。

2020年2月6日，作为Formbook的后继，XLoader支持了macOS平台。甚至XLoader的卖家还发布了一个免费的Java绑定器，旨在创建包含Mach-O和exe二进制文件的独立JAR文件。

在2020年12月1日至2021年6月1日之间的6个月内，多达69个国家/地区的都出现了Formbook/XLoader，占当今世界公认的195个国家/地区总数的三分之一以上。来自美国的受害者占全球受害者的一半以上。

披露时间：2021年07月27日

情报来源：https://www.cleafy.com/cleafy-labs/ubel-oscorp-evolution

相关信息：

在2021年2月，一场使用Android恶意软件Oscorp的短信钓鱼活动，通过结合使用钓鱼工具包和诈骗电话从受害者银行中窃取资金。在该活动明显停止后，2021年5月，新的Oscorp样本被发现，只存在一些微小的改变；与此同时，在多个黑客论坛上，一个名为Ubel的新Android僵尸网络开始推广。Oscorp和Ubel链接到同一个恶意代码库，表明可能是同一原始项目的分支，或者只是其他组织进行了重新命名。

Oscorp是为攻击银行和加密货币应用程序而开发的，其主要功能如下：具有发送/拦截/删除短信和拨打电话的能力；能够对150多个移动应用程序执行覆盖攻击；通过WebRTC协议和Android无障碍服务实现VNC功能；启用关键日志记录功能。钓鱼过程如下：首先受害者会收到一个附有钓鱼链接的可疑短信，点击链接后攻击者会收到受害者的电话号码及有效凭证。此时，假冒的银行柜员会打电话给受害者，并发送Oscorp的下载链接，骗取受害者点击。至此，攻击者已经获取了受感染设备的全部权限，利用Oscorp的功能就可以实施一系列恶意操作，如转走受害人的银行资产。

披露时间：2021年07月22日

情报来源：https://www.trendmicro.com/en_us/research/21/g/updated-xcsset-malware-targets-telegram--other-apps.html

相关信息：

XCSSET是一款窃取各种应用程序数据的恶意软件。近期，趋势科技发现该恶意软件添加了更多功能。如窃取Telegram、联系人、印象笔记、Skype、微信等应用程序的数据。其通过恶意AppleScript文件，将应用程序sandbox目录文件~/Library/Containers/com.xxx.xxx和~/Library/Group Containers/com.xxx.xxx（具有 READ/WRITE 权限）压缩成.ZIP格式，上传到C&C服务器。

在Chrome中，被窃取的数据包括用户存储的密码转储数据，XCSSET需要使用security find -generic -password -wa 'Chrome'命令获取safe_storage_key。该命令需要root权限，恶意软件则通过一个假对话框提示用户授予这些特权。一旦获得Chrome safe_storage_key，恶意软件就会解密所有敏感数据并将其上传到 C&C服务器。

此外，攻击者还是使用的一些新的域和添加了一个新模块“canary”，用于在谷歌的 Chrome Canary浏览器上执行XSS注入。

披露时间：2021年07月26日

情报来源：https://support.apple.com/zh-cn/HT212623

相关信息：

Apple发布了安全更新，修复了iOS和macOS中已被在野利用的0day。该漏洞追踪为CVE-2021-30807，是用于管理屏幕帧缓冲区的内核扩展IOMobileFramebuffer中的内存损坏漏洞。攻击者可以利用此漏洞在目标设备上使用内核权限执行任意代码，并完全控制设备。该公司称漏洞可能已被积极利用，但并未透露有关这些攻击的任何其他信息。这是Apple在今年修复的第13个0day。

披露时间：2021年07月27日

情报来源：https://blog.sonarsource.com/zimbra-webmail-compromise-via-email

相关信息：

SonarSource研究人员披露电子邮件协作软件Zimbra中的2个漏洞。第一个是在日历邀请组件ZmMailMsgView.js中的跨站脚本漏洞，追踪为CVE-2021-35208，受害者在浏览收到的邮件时可能会触发该漏洞。第二个是Servlet中的ProxyServlet.java中的开放重定向漏洞，追踪为CVE-2021-35209，允许列表绕过，可能导致服务器端的请求伪造漏洞。

研究人员称，远程攻击者结合使用两个漏洞可以窃取谷歌云API令牌或AWS IAM凭据。