披露时间：2021年08月10日

情报来源：https://mp.weixin.qq.com/s/IG8g8F6-YqTTcGX1BaSNaQ

情报来源：https://mp.weixin.qq.com/s/XcBuxlDh2DIjIMdFH6KCKQ

相关信息：

南亚地区的APT组织众多，且一直保持高度的活跃状态。360高级威胁研究院通过长时间的跟踪分析发现南亚地区各个组织间存在较密切的关联。

南亚地区的APT组织主要攻击目标为东亚和南亚地区国家，涉及行业侧重国防和国家机构。攻击目的为窃密和收集情报，均以使用鱼叉邮件攻击为主要手段。其中Donot组织在恶意样本结构及代码方面分别与蔓灵花、摩诃草组织存在一定关联性。此外，其网络资产也显示出了明显的联系。

研究人员首次观测到南亚地区组织使用了商业后门程序，与NSO等公司可能存在联系，这表明南亚地区组织已经开始从商业黑客公司中获取更强的攻击能力。

披露时间：2021年08月06日

情报来源：https://asec.ahnlab.com/ko/26183/

相关信息：

AhnLab研究人员捕获了7个PDF漏洞利用文件，疑似Kimsuky组织的新型攻击方式。文件内容包括<国会通过韩朝首脑会晤协定及实现朝鲜半岛和平体制的政策讨论相关内容>、<面试问卷-崔恩律>、<郑延峰管理创新理论视角下的国防改革方向修正>等。研究人员暂未确定攻击活动目标以及诱饵下发途径，推测此次文件为网络获取，用作初始阶段测试，文档执行后加载计算器程序也可佐证。

此外，用于测试的C2域及访问模式与此前披露的Kimsuky组织武器相关，因此研究人员认为此次"攻击活动"与东亚APT组织Kimsuky有关，也存在其他组织模仿作案的可能性。

披露时间：2021年08月11日

情报来源：https://mp.weixin.qq.com/s/Ln7iBm-Go17CQhIaRNHD0Q

相关信息：

The Dukes系列是APT29最早的组织代号，早期的Dukes特马工具是在2013年由卡巴斯基安全团队作为未知类型攻击组件进行命名披露的。研究人员根据受害者、特马编译时间以及美国情报机构调查等原因将TheDukes归因至俄罗斯政府背景黑客组织。

WellMess系列木马在2018年由JPCERT作为一款独立的新型木马披露。2020年，在对英美在内的全球COVID-19疫苗研制机构的网络间谍活动中出现了WellMess的身影，研究人员根据WellMess和SeaDuke特有的应用层数据加密协议以及使用HTTPheader部分Cookie字段传输加密数据的共同偏好，将WellMess归因至SeaDuke所属的APT29。

Nobelium的一个标志性事件是2020年12月曝光的 Solarwinds 供应链攻击活动，该攻击活动的主要受害者为美国和欧洲国家的政府实体、科研、能源等机构。研究人员基于C&C后台源代码中携带的开发者ID、中马机器的俄语信息备注、C&C后台操作行为活跃时间区段等线索将Nobelium定性为俄罗斯政府背景支持的间谍组织。

披露时间：2021年08月04日

情报来源：https://securityintelligence.com/posts/itg18-operational-security-errors-plague-iranian-threat-group/

相关信息：

2020年8月到2021年5月，X-Force研究人员观察到Charming Kitten针对伊朗政治家的监视活动，活动中使用的新的Android后门LittleLooter，该后门具有丰富的信息窃取功能，包括屏幕录制、文件上传/下载、通讯录窃取、语音通话录音、GPS数据收集、设备信息收集、浏览器数据收集、检索短信内容等。其通过HTTPPOST请求和响应与C2服务器建立通信。数据利用GZIP、AES加密和BASE64编码进行压缩。LittleLooter疑似Charming Kitten独有的后门，目前未发现其他攻击者使用。

披露时间：2021年08月05日

情报来源：https://seguranca-informatica.pt/the-clandestine-horus-eyes-rat-from-the-underground-to-criminals-arsenal/#.YRSFF4gzaUl

相关信息：

Seguranca Informatica研究人员最近发现一个名为warsaw的银行木马，其采用.net开发。研究人员发现的warsaw通过一个恶意域下载到被感染机器上。warsaw木马通过流行银行的覆盖窗口诱使受害者在不知情中下载第二阶段负载。第二阶段负载为Horus Eyes RAT的定制版本，其在感染主机上创建持久性，收集有关受感染机器的一些详细信息，例如计算机名称、用户名、操作系统版本、CPU架构和语言。最后，所有数据都通过Telegram bot通道发送给攻击者。

收到有关新感染的通知后，攻击者会使用Horus Eyes RAT功能远程访问并完全控制受害者的机器。Horus Eyes RAT的通信服务器IP地址和端口被硬编码在二进制文件中，并托管在位于巴西的AWS EC2 实例上，其通过ngrok TCP隧道与受害者的机器建立通信。

披露时间：2021年08月09日

情报来源：https://www.advanced-intel.com/post/front-door-into-bazarbackdoor-stealthy-cybercrime-weapon

相关信息：

趋势科技研究人员最近发现Water Kappa团伙针对日本的恶意活动。该活动通过恶意广告活动分发伪装成免费色情游戏、奖励积分应用程序或视频流应用程序的恶意软件。这些恶意应用程序滥用Internet Explorer 漏洞CVE-2020-1380和CVE-2021-26411来加载并启动Cinobi银行木马，从而窃取受害者加密货币账户的凭据。

Cinobi整体功能与“Operation Overtrap”活动中使用版本保持相同，但对配置进行了更新，将几个日本加密货币交换网站作为目标列表的一部分。攻击者通过网站克隆制作恶意软件下载网页，并且恶意网站限制对非日语IP地址的访问。恶意软件解压缩释放的大多数文件是从旧版本的“Logitech Capture”应用程序中提取的合法文件。

Cinobi银行木马分为四个阶段，每个阶段下载额外的组件，并执行环境或反虚拟机（VM）检查，有两个命令和控制（C&C）服务器。2021年夏天出现的Cinobi银行木马变种新增表单抓取功能，当感染机器的受害者访问配置文件中涉及的网站并且单击提交按钮后，恶意程序会带有加密请求和被盗凭据信息的文本文件短暂存储在安装银行木马的文件夹中，然后发送给远程服务器。

披露时间：2021年08月11日

情报来源：https://labs.sentinelone.com/massive-new-adload-campaign-goes-entirely-undetected-by-apples-xprotect/

相关信息：

近期，SentinelLabs持续跟踪新AdLoad活动，目前这些活动仍未被苹果设备上的恶意软件扫描程序检测到。这种恶意软件使用了持久化机制以及统一模式的可执行文件名。无论是否有权限，AdLoad都会在用户的Library LaunchAgents文件夹中安装持久性代理，当用户登录时，该代理将执行隐藏在~/Library/Application Support/文件夹中的二进制文件。2021变体使用了和以往不同的文件名模式，主要依靠文件扩展名来实现：根据抛出的持久性文件和可执行文件的位置使用.system或.service。该活动的投放器使用安装在DMG中的虚假Player.app，其中很多都使用有效的签名，甚至被公证过。

Apple观察到相关活动后，会撤销用于签署 dropper 的开发人员证书，以防这些样本通过Gatekeeper和OCSP签名进行进一步的攻击活动。传播10个月以来，这些活动仍未被苹果的内置恶意软件扫描程序检测到。

披露时间：2021年08月06日

情报来源：https://blog.netlab.360.com/wei-xie-kuai-xun-teamtntxin-huo-dong-tong-guo-gan-ran-wang-ye-wen-jian-ti-gao-chuan-bo-neng-li/

相关信息：

TeamTNT是一个比较活跃的挖矿家族，曾被国内外知名安全厂商多次捕获与分析。该恶意家族喜欢使用新技术，比如名为EzuriCrypter的加密壳就是首次在TeamTNT样本中被检测到。

近期，360 Netlab的安全人员捕获到TeamTNT的新变种，使用了如下新技术和工具：通过ELF文件包装入口bash脚本；集成了一个新的Go编写的扫描器。本轮传播使用了已知漏洞 Hadoop ResourceManager apps RCE。跟以往攻击相同，漏洞利用成功后会植入一个名为i.sh的入口脚本，脚本会解析出主模块的URL，然后下载并执行。下载的主模块实质上为一个ELF打包的bash脚本，其用到的矿机程序和扫描器为：XMRig、masscan和lisa.scanner。其中，前两者已经多次见到，但是lisa.scanner却是一个首次见到的扫描器，它的开发语言为Go，支持 Postgres、 Reids和 ssh 三种服务的爆破扫描。

披露时间：2021年08月06日

情报来源：https://www.welivesecurity.com/2021/08/06/anatomy-native-iis-malware/

相关信息：

ESET研究人员近期发现了一个新的木马程序IIStealer，该木马程序会窃取电子商务网站用户的支付信息。IIStealer作为一个IIS的恶意扩展实现，它使用伪造的VERSIONINFO资源来模仿名为dirlist.dll的合法WindowsIIS模块。IIStealer具有较强的持久性：它由IIS工作进程(w3wp.exe)自动加载，并可以处理发送到IISWeb服务器的请求。

IIStealer通过拦截特定URI路径发出的HTTPPOST请求（/checkout/checkout.aspx或/checkout/Payment.aspx）来运行。每当用户向结帐页面发出请求时，IIStealer都会将HTTP请求正文（可能包含用户身份或信用卡号等敏感信息）记录到日志文件中，且不会干扰网站生成的HTTP回复。然后，攻击者向服务器发送特制的HTTP请求以获取信息。当恶意模块接收到此类请求时，它会删除IIS服务器准备的HTTP响应，并将日志文件的未加密内容复制到HTTP响应正文中传递给攻击者。这使得IIStealer操作员仅需简单地向受感染的IIS服务器发送特殊请求，就可以访问和泄漏收集的敏感数据。

披露时间：2021年08月09日

情报来源：https://blog.zimperium.com/flytrap-android-malware-compromises-thousands-of-facebook-accounts/

相关信息：

Zimperium研究人员发现了一种名为FlyTrap的新型Android木马。自3月以来，FlyTrap已通过Google Play商店和第三方应用程序市场上的恶意应用传播到至少144个国家和地区。其中，在越南的攻击活动旨在劫持Facebook帐户。攻击者使用多种手段来分发该恶意软件，如免费Netflix优惠券代码、Google AdWords优惠券代码，以及最佳球队或球员的投票。一旦目标成功安装，其就会窃取Facebook ID、位置、邮件地址、IP地址，以及相关的cookie和代币。

攻击者利用常见的用户误解，认为登录到正确的域名就是安全的，而不考虑用于登录的应用程序。此攻击活动收集到的来自144个国家的用户的社交媒体账户，可以作为僵尸网络用于不同的目的：从垃圾营销到传播谣言或政治宣传。

披露时间：2021年08月10日

情报来源：https://unit42.paloaltonetworks.com/ech0raix-ransomware-soho/

相关信息：

Palo Alto Networks 的最新报告显示，勒索软件 eCh0raix（aka QNAPCrypt）近日衍生出一个新变种，针对QNAP 以及 Synology 网络附加存储（NAS）设备。

攻击者利用CVE-2021-28799 QNAP HBS 3授权不当漏洞向设备投递勒索软件变种。针对Synology 设备的样本的详细投递信息还未知，但新变体接受Syno字符作为输入参数。新变体使用不同的 URL 格式通过 API与 C2 通信，获取加密密钥，使用的加密算法与原始版本相同 (AES CFB)，并在加密文件后附加相同的扩展名 ( .encrypt )，加密分两步进行，首先针对有较高优先级扩展名的简短列表，然后是更长的一个文件扩展名列表。

披露时间：2021年08月11日

情报来源：https://mp.weixin.qq.com/s/GlEmOYTMWhqdsUCKbY2aVA

相关信息：

微软在8月份的补丁日发布了44个CVE的修复补丁，涉及到.NET Core & Visual Studio、Azure、Microsoft Dynamics、Microsoft Edge、Microsoft Graphics Component、Microsoft Office、Windows Print Spooler Components等产品或组件，其中7个CVE被标记为严重漏洞，37个被标记为高危漏洞。这之中还包含了3个零日漏洞。

以下为零日漏洞说明：

其他重点漏洞说明：