披露时间：2021年08月05日

情报来源：https://mp.weixin.qq.com/s/3Je-DmyQrqNHxzRo70FTJw

相关信息：

Transparent Tribe（“透明部落”）也称为C-Major、ProjectM，是一个具有南亚背景的APT组织。该组织的主要攻击目标为印度政府、军队或相关组织，其利用社会工程学进行鱼叉攻击，向目标投递带有VBA的doc、xls文档，执行诱饵文档中的宏代码释放执行CrimsonRAT、PeppyRAT，窃取相关敏感资料信息。

近日，奇安信威胁情报中心红雨滴在日常的威胁狩猎发现，Transparent Tribe近期针对南亚地区的攻击活动主要以国防部会议、军事材料等为主题。根据红雨滴研究人员跟踪分析发现此次攻击活动中，攻击者利用此前披露的透明部落组织类似攻击手法，即通过带恶意宏的文档最终释放CrimsonRAT执行。

披露时间：2021年08月05日

情报来源：https://mp.weixin.qq.com/s/x0Y8psN_luaIH8dfQjwp3w

相关信息：

APT29组织，国内外安全机构曾命名DarkHalo、Nobelium、UNC2452、TheDukes、CozyBear、CozyDuke、StellarParticle、OfficeMonkeys等。APT29的攻击目标覆盖欧洲、北美、亚洲、非洲的多个地区和国家，主要攻击目标为包含美国、英国等在内的北约成员国以及欧洲地域邻近国家，具体攻击行业目标为政府实体、科研机构、智囊团、高技术企业、通信基础设施供应商等。

APT29至少自2008年开始活跃， 2009年，该组织早期工具集Dukes曝光，其使用Twitter社交平台存放恶意网络资产、以此为跳板进行后续网络交互行为。自此至2019年10余年时间内，公开披露的APT29活动中均可看到Dukes工具集的使用，只是后续的Dukes工具集已经扩充成包含PolyglotDuke、RegDuke、MiniDuke、FatDuke、SeaDuke等在内的复杂武器库工具集。

2016年美国总统大选期间，APT29针对美国民主党全国委员会的间谍活动（据NCCIC、FBI披露，该活动由APT28、APT29协同参与，于2015年夏季开始对目标系统渗入）。2020年7月，全球新冠肺炎疫情局势紧张，一波使用 WellMess\WellMail 等攻击组件对全球 COVID-19  疫苗研制机构的定向攻击活动被关联归因至APT29，同年12月份曝光的 Solarwinds 供应链攻击活动同样指向 APT29 ，受害者覆盖欧美亚地区4700余个实体机构。

披露时间：2021年08月02日

情报来源：https://mp.weixin.qq.com/s/dMFyLxsErYUZX7BQyBL9YQ

相关信息：

CNC（APT-C-48）组织是于2019年新出现的组织，由于其使用的远程控制木马的PDB包含了“cnc_client“的字样，所以将该组织命名为CNC，该组织主要攻击对象为我国军工和教育行业。去年年初我国疫情爆发初期，CNC组织通过伪造疫情相关的文档以及钓鱼网站对医疗行业发起攻击。

近日360高级威胁研究院监测到CNC组织在6月中旬我国航天相关时事热点前后，针对我国科研机构、高等院校以及航天相关领域进行多次情报窃取的定向攻击活动。因此我们将此次攻击活动命名为“猎天行动”。在本次攻击活动中，CNC组织采用了两种不同的攻击方式进行攻击。

攻击方式一使用的攻击流程如下，攻击者在各个阶段依靠多个github账号传递以及下发数据。

攻击方式二与攻击方式一不同的是，该样本运行后会根据有无网络环境采取不同的运行策略，以此试图从部分隔离网络环境中窃取文档数据。

披露时间：2021年07月30日

情报来源：https://www.riskiq.com/blog/external-threat-management/apt29-bear-tracks/

相关信息：

6月11，安全研究人员在Twitter社区披露了有关新的WellMess C2服务器的信息，随后，研究人员开始调查APT29的攻击基础设施，发现了超过30个活动C2服务器的集群，且这些服务器与WellMess恶意软件相关。其中一台服务器早在2020年10月9日就处于活动状态。

虽然目前尚不清楚这些服务器的使用方式或针对目标，但研究人员认为，APT29组织目前仍在积极使用这些IP地址和证书。

披露时间：2021年08月04日

情报来源：https://mp.weixin.qq.com/s/Ryc_4vbVh2-kxn_jXMaURw

相关信息：

近期，启明星辰ADLab注意到多起针对乌克兰边防局和乌克兰国防部的网络攻击事件。黑客组织以“辉瑞疫苗签订协议”、“向 ATO 退伍军人付款”、“紧急更新！！！”、“乌克兰总统令 №186_2021”等内容为邮件标题向目标发起鱼叉式钓鱼攻击并进一步向攻击目标计算机植入木马。研究人员对该组织进行追踪溯源与关联分析后发现，该组织持有大量用于定向攻击的网络基础设施，擅于使用恶意快捷方式、多级链接跳转以及多级Loader加载等方式投放恶意木马。

该组织从去年6月就已经开始展开攻击，并在今年2月份利用新冠疫情为诱饵内容针对格鲁吉亚政府展开攻击，在今年4月份针对乌克兰边防局发起多次网络攻击活动。特别要警惕的是,该组织也曾经攻入了位于中国的企业服务器并将其作为恶意代码存储点，比如黑客组织曾在3月份利用上海某机电设备有限公司的官网（shca****.com）服务器作为其木马的存储服务器，以此作为其攻击活动中的一环来投递木马。

披露时间：2021年07月28日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/i-knew-you-were-trouble-ta456-targets-defense-contractor-alluring-social-media

相关信息：

安全公司Proofpoint披露伊朗黑客针对国防承包商的攻击活动。这群黑客利用社交媒体平台，特别是Facebook，窃取航空防务承包商员工的登录凭证。

Proofpoint研究人员指出，此次攻击活动至少持续了18个月，黑客伪装成来自英国利物浦的健美操教练，目标是美国、英国和欧洲的大约200名军事人员以及航空航天和承包商。目前，有证据表明此次活动与TA456有关（也被称为Tortoiseshell），而该团伙与伊朗军事部门“伊斯兰革命卫队”(IRGC)关系密切。

披露时间：2021年07月29日

情报来源：https://blog.malwarebytes.com/threat-intelligence/2021/07/crimea-manifesto-deploys-vba-rat-using-double-attack-vectors/

相关信息：

2021年7月21日，Malwarebytes的安全研究人员发现了一种新型的文档攻击手法。原始的文档文件执行后会尝试注入两个远程模板，其中第一个远程模板的为宏代码利用文档，第二个模板包含了CVE-2021-26411的漏洞利用代码，这是一个IE浏览器漏洞。两个模板最终都会加载同一个VBA RAT，且远程模板加载之后，恶意文档会展示一个俄语编写的诱饵文档，该文档的主要内容是克里米亚针对俄罗斯的政策的反对声明。

最终加载的VBA RAT包含了完整的远控功能，它可以收集本地的基本信息并上传到C2，可收集的信息包括UUID、操作系统版本、系统架构、CUP信息、内存容量、硬盘空间、计算机名、用户名、域名、管理员标志、手感染计算机上的杀软信息等。同时，该RAT还可以远程执行shell、删除用户文件、上传和下载文件、读取磁盘和文件系统信息。

披露时间：2021年07月29日

情报来源：https://labs.sentinelone.com/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/

相关信息：

7月9日，伊朗的铁路系统遭遇wiper网络攻击，使管理火车时刻表和售票服务的系统瘫痪。攻击者在全国各地车站的显示屏上提供了伊朗国家领导人阿亚图拉·阿里·哈梅内伊办公室的电话号码，供旅客致电投诉，通过这种方式戏弄了伊朗政府。

研究人员经过分析重建了大部分攻击链，发现攻击者使用了一个特别的名为“Meteor”的wiper，并将此次攻击活动命名为 MeteorExpress。目前，研究人员还无法将此次活动与先前确认的威胁组织联系起来。

披露时间：2021年07月29日

情报来源：https://blog.talosintelligence.com/2021/07/threat-spotlight-solarmarker.html

相关信息：

近期Cisco Talos观察到恶意软件Solarmarker的新活动。Solarmarker是一种在内存中运行的NET RAT，能够通过后门系统窃取敏感信息，也可以在感染木马的设备上投放其他payloads。此次检测到的Solarmarker包含三个模块：“Mars”、 “Jupyter”和“Uran”。

其中，此恶意软件先前的模块“dm”被“Mars”取代， “Uran”模块首次被发现。该软件的初始恶意文件执行后注入主要组件“dm”，“dm”充当受害主机上的stager，用于命令和控制（C2）通信以及进一步的恶意操作，此次攻击活动中使用的“Mars”是“dm”的变体，具有更好的反溯源和反查杀能力。“Jupyter”由 stager进行注入，具有浏览器形式和其他信息窃取功能。“Uran”辅助模块是一个键盘记录恶意软件，是在一些较旧的活动基础设施上发现的。

目前，Solarmarker幕后的恶意软件操纵者仍在未被发现的状态下继续发展和进行活动。

披露时间：2021年07月29日

情报来源：https://www.microsoft.com/security/blog/2021/07/29/when-coin-miners-evolve-part-2-hunting-down-lemonduck-and-lemoncat-attacks/

相关信息：

Microsoft 365 Defender Threat Intelligence研究人员称，LemonDuck已经从门罗币挖矿木马演变为LemonCat，后者是一种进行后门安装、凭证和数据窃取以及恶意软件部署的木马程序。

LemonDuck最早的记录来自2019年5月的加密货币活动，它的名字来源于PowerShell脚本中使用的一个变量名“Lemon_Duck”。LemonDuck一直正在更新漏洞利用和混淆技巧，如利用其无文件形式挖矿软件来逃避检测，其使用如下方法进行感染：包含利用CVE-2017-8570的Word文档和带有恶意JavaScript的zip存档的邮件；SMB漏洞；RDP暴力破解；SSH暴力破解；ProxyLogon漏洞。值得注意的是，LemonDuck还会清除其他竞争关系的恶意软件，并通过修补相应漏洞来防止新的感染，从而从受攻击的设备中移除其他攻击者。

LemonCat是根据LemonDuck从2021年1月开始使用的两个新c2域名中包含的“cat”字段命名的。新的域名利用Microsoft Exchange Server中的漏洞进行攻击，来实施后门安装、凭据和数据盗窃以及恶意软件部署，如恶意软件Ramnit。一旦进入具有Outlook邮箱的系统，LemonDuck就会利用脚本向邮箱所有联系人发送带有预设信息和附件的钓鱼邮件。在电子邮件发送后，发送痕迹会被删除，使用户觉得好像什么都没有发送一样。此传播方法会在任何具有邮箱的受感染设备上进行，无论该设备是否使用了Exchange服务器。

披露时间：2021年08月03日

情报来源：https://news.sophos.com/en-us/2021/08/03/trash-panda-as-a-service-raccoon-stealer-steals-cookies-cryptocoins-and-more/

相关信息：

最近，Sophos追踪到一起十分活跃的攻击活动，攻击者使用了一款流行的窃取信息软件Raccoon Stealer。Raccoon Stealer作为一项服务进行出售。其开发者过去两年一直在暗网上推销该盗窃软件即服务平台。基于Tor的C2服务器控制的Raccoon Stealer会定期发布新功能和bug修复，甚至还会为已经部署在受感染机器上的恶意软件提供自动更新。Raccoon Stealer可以收集网站的密码、Cookie和“自动填充”文本，包括信用卡数据和浏览器可能存储的其他个人身份信息。最近的clipper更新包，还为Raccoon Stealer新增了窃取加密货币、检索或删除文件的功能。

最近绝大多数Raccoon Stealer样本都是通过利用恶意网站进行感染分发的。攻击者还会利用搜索引擎来提高寻找某些特定软件包的人访问恶意网站的机会。在某搜索引擎上搜索“某某软件+破解版”，就会出现声称提供破解版软件下载的网站。一旦受害者从网站下载了所谓的破解版软件，就会被部署Raccoon Stealer等一系列恶意软件。

披露时间：2021年07月29日

情报来源：https://www.microsoft.com/security/blog/2021/07/29/bazacall-phony-call-centers-lead-to-exfiltration-and-ransomware/

相关信息：

BazarCall活动于今年2月首次被发现，攻击者伪装成订阅服务提供商引诱受害者使用手机取消一项不存在的订阅。一旦接通呼叫中心，”工作人员”就会指导用户启用恶意文档中的宏代码从而下载BazaLoader恶意软件。

微软在7月29日发布的报告中表示，对BazaCall活动的持续调查表明，除了具有后门功能外，BazarCall活动的BazaLoader负载还为远程攻击者提供了对受影响用户设备的手动键盘控制，从而实现了快速的网络攻击。此外，BazaCall攻击可以在网络内迅速传播，进行广泛的数据和凭据盗窃，并在初始入侵后的48 小时内分发勒索软件。

披露时间：2021年07月29日

情报来源：https://decoded.avast.io/janvojtesek/magnitude-exploit-kit-still-alive-and-kicking/

相关信息：

Magnitude Exploit kit是一个漏洞利用工具包，早在2012年就已经存在，这款工具包至今依然活跃。Magnitude目前主要利用InternetExplorer内存损坏漏洞CVE-2021-26411和Windows内存损坏漏洞CVE-2020-0986进行恶意软件部署。

Magnitude运营商向使用Microsoft Windows版本Internet Explorer的韩国用户精准投放恶意广告（这类用户容易受到上述漏洞攻击）。受害者点击广告后，恶意广告通过中间URL将他们重定向到提供CVE-2021-26411漏洞利用的页面，漏洞利用工具包每三十分钟轮换一次这些域，并且不会以任何方式重用它们。

Magnitude利用CVE-2021-26411漏洞在渲染器进程中执行shellcode：shellcode获取当前进程的完整性级别，根据该级别通过不同途径下载有效Magniber 勒索软件负载。此外，研究人员发现Magnitude初次利用的CVE-2020-0986漏洞时，并没有进行武器化，一周后该漏洞利用样本出现了改进版本：携带Magniber勒索软件作为有效载荷。

披露时间：2021年08月04日

情报来源：https://www.forescout.com/blog/new-critical-operational-technology-vulnerabilities-found-on-nichestack/

相关信息：

TCP/IP中统称为INFRA:HALT的高严重性和严重漏洞正在影响NicheStack低于4.3的所有版本。NicheStack是一种专有TCP/IP堆栈，至少有200家工业自动化供应商使用，其中许多处于市场领先地位。该堆栈通常存在于实时操作系统(RTOS)上，为操作技术(OT)和工业控制系统(ICS)设备提供动力，以提供互联网和网络功能。

INFRA:HALT是Forescout Research Labs和JFrog Security Research联合发现的一组（14个）漏洞，漏洞可能造成的风险范围包括远程代码执行、拒绝服务(DoS)、信息泄漏、TCP 欺骗和DNS缓存中毒。在14个INFRA:HALT漏洞中，有10个被评为高严重性评分，2个为低严重性，2个为严重，其中CVE-2020-25928和CVE-2020-31226可以造成远程代码执行。HCC Embedded已提供补丁解决了所有INFRA:HALT漏洞。

披露时间：2021年08月02日

情报来源：https://source.android.com/security/bulletin/2021-08-01

相关信息：

Google发布安全更新，修复了Android中的30多个漏洞。其中最严重的漏洞是媒体框架中的CVE-2021-0519，可用来在Android 8.1和9版本的设备上提权，或导致Android 10和11上的信息泄露。

此外，此次更新还还修复了高通组件和高通闭源组件中多个严重的漏洞，包括CVE-2021-1972、CVE-2021-1976、CVE-2021-1916和CVE-2021-1919等漏洞。