披露时间：2021年08月17日

情报来源：https://www.trendmicro.com/en_us/research/21/h/confucius-uses-pegasus-spyware-related-lures-to-target-pakistani.html

相关信息：

趋势科技研究人员近日跟踪魔罗桫组织攻击活动时，发现该组织利用Pegasus间谍软件相关诱饵针对巴基斯坦武装部队。Pegasus间谍软件为以色列公司NSO Group开发，曾被用于监视全球11个国家的政治活动人员。

此次活动始于鱼叉式网络钓鱼邮件，邮件据称是巴基斯坦军方关于Pegasus间谍软件的警告，其中包含指向恶意加密Word文档的cutt.ly链接和解密密码。目标用户启用文档包含的恶意宏代码后，恶意代码最终将在本机释放窃密程序并窃取扩展名为TXT、PDF、PNG、JPG、DOC、XLS、XLM、RTF、PPT等文件及图像。

研究人员还发现魔罗桫组织使用不同诱饵传播相同有效载荷的钓鱼活动，攻击者在此活动中冒充巴基斯坦国防住房管理局，同样针对军事相关人员。此外，研究人员此前曾分析过摩诃草和魔罗桫组织之间的多个联系。在某些情况下，魔罗桫组织会从归因于摩诃草组织的域名mailerservice.发送鱼叉式网络钓鱼电子邮件。

披露时间：2021年08月17日

情报来源：https://www.volexity.com/blog/2021/08/17/north-korean-apt-inkysquid-infects-victims-using-browser-exploits/

相关信息：

CVE-2020-1380是IE11上jscript9引擎的一个UAF漏洞，该漏洞最早在2020年5月由卡巴斯基披露。CVE-2021-26411是一个针对Internet Explorer和MicrosoftEdge 旧版本的漏洞，该漏洞利用方式和1380较为类似。

近日，国外Volexity披露了东亚地区这两款漏洞利用的攻击事件并将其命名为SWC活动。Volexity详细分析了两个漏洞的poc、SVG标签、初始载荷、C2指令、URL之后将两个漏洞的利用都归类到了APT37上，并且将该攻击事件和BLUELIGHT攻击事件关联起来，在BLUELIGHT事件中，攻击者会利用jquery的子域来托管恶意软件，托管的恶意软件最终会加载CobaltStrike实现对受害者主机的控制。

披露时间：2021年08月12日

情报来源：https://www.clearskysec.com/siamesekitten/

相关信息：

ClearSky的研究人员在8月17日披露了伊朗APT组织Siamesekitten针对以色列的间谍活动。ClearSky于2021年5月初检测到该团伙针对以色列的一家IT公司的第一次攻击，并在5月和7月又检测到了多次攻击。此次活动中，攻击者伪装成ChipPc和Software AG等知名公司的人力资源部员工，以工作机会诱使目标通过钓鱼页面下载MsNpENg后门以及远程访问木马DanBot。

此前，Siamesekitten使用的后门为用C++编写的Milan后门。Milan恶意软件收集有关机器的信息，例如机器名称、用户的注册信息等等，内容被编码并保存在后缀为MDF的文件中。在5月到7月期间，该组织使用了用.NET编写的Shark新变体替代了Milan后门。Milan恶意软件会激活一个名为“redus”的功能，此函数生成加密的G-ZIP文件，具有在恶意软件中编码的预设配置。这个配置文件包含两个C&C服务器和各种恶意软件功能。

Siamesekitten组织在近期的攻击活动中，将社会工程技术与更新的恶意软件变体相结合，从而能够远程访问受感染的机器。此次攻击主要针对IT和通信公司，因此ClearSky推测攻击者可能旨在对他们的客户发起供应链攻击。

披露时间：2021年08月16日

情报来源：https://mp.weixin.qq.com/s/0zCpEQT4XHPOnB6h_9zg2Q

相关信息：

Gamaredon组织一直以来在东欧地区保持着较为高调的活跃姿态，其下属资产和攻击载荷更新频繁，且多种多样。在众多APT组织中，Gamaredon也属于比较另类的一种，在其他组织小心翼翼的进行攻击活动时，Gamaredon似乎丝毫不在意暴露自身的地域背景和攻击意图，其使用的攻击载荷也被广泛的捕获和分析，其下属网络资产数量也非常丰富。

如果说其他组织的攻击武器是“精准而优雅”，那么Gamaredon的攻击武器绝对算得上“粗犷且数量庞大”，即使是混淆的手段，也是一种非常暴力的策略：插入大量垃圾变量和垃圾逻辑。其采用的规避查杀的方法是频繁的修改样本特征，针对同类载荷，通过不同的编译参数或修改代码顺序的方式来最大程度降低被特征规则命中的可能性，与此同时，大量初始阶段的恶意脚本都在本地生成和释放，这使得大量脚本文件根本不能作为恶意指标使用，因为每个受害者机器上的样本都不同。因此，分析人员需要花费一定时间精力跟踪和调查相关活动，并对新出现的样本进行分析和归纳。

披露时间：2021年08月18日

情报来源：https://mp.weixin.qq.com/s/GBGJ1WOVsQCpVTY9audJPA

相关信息：

APT29自2008年开始活跃，至今已活跃13年时间，与同属俄罗斯政府背景的Turla组织处于同一历史舞台，其凭借长时间的攻击战术演进以及网络武器库积累在国际情报窃取领域中处于较高地位。本文将分析该组织TTPs如下：1.早期The Dukes系列工具集会进行落地环境检测，包括杀软产品、虚拟环境、安全工具、异常PC用户名称、异常文件名等；2.APT29的Sunburst后门具有上线延迟，即在初始化之后进行12-14天的休眠；3.The Dukes系列工具集中多款组件均会使用Twitter社交平台托管攻击C&C地址；4.APT29组件中RegDuke通过图像隐写术进行攻击指令或攻击载荷下发；5.APT29的WellMess特马会通过HTTP header的Cookie字段传输C&C指令，加密方式选用RC6+Base64+垃圾数据混淆的组合方式进行加密编码。

披露时间：2021年08月14日

情报来源：https://research.checkpoint.com/2021/indra-hackers-behind-recent-attacks-on-iran/

相关信息：

近期Check Point Research发现，Indra对伊朗铁路和道路与城市发展部系统进行了有针对性的网络攻击，被攻击的相关网站在网络中断后停止了服务。

攻击者模仿AnalyzeSystemWindows电源效率诊断报告工具，通过组策略将计划任务从AD推送到所有机器。在第一阶段，setup.bat检查机器的主机名并判断是否继续执行。第二阶段，setup.bat将恶意文件env.cab下载到机器上，同时启动update.bat解压并运行其他工具。update.bat使用密码hackemall提取下一阶段cache.bat、msrun.bat和bcd.bat。在第三阶段，cache.bat断开机器与所有网络的连接并执行反AV检查，bcd.bat破坏引导过程，msrun.bat释放主要恶意载荷msapp.exe。第四阶段，msapp.exe使受害机器停止服务，然后mssetup.exe通过阻止来自键盘和鼠标设备的输入来阻止用户与机器交互。

披露时间：2021年08月12日

情报来源：https://www.anomali.com/blog/aggah-using-compromised-websites-to-target-businesses-across-asia-including-taiwan-manufacturing-industry

相关信息：

Anomali的研究团队发现了始于2021年7月上旬的鱼叉式网络钓鱼活动，针对整个亚洲的制造业。Aggah最早于2019年3月由Unit 42的研究人员发现，主要针对阿拉伯联合酋长国(UAE)的组织。

此次活动中，攻击者伪装成英国FoodHub.co.uk发送钓鱼邮件，诱使用户登录已被入侵的mail.hoteloscar.in/images网站，并分发Warzone RAT。据分析，Aggah最新的攻击目标包括中国台湾的制造公司Fon-star和工程公司FomoTech，以及韩国的电力公司现代电气。

披露时间：2021年08月16日

情报来源：https://www.revelock.com/en/blog/medusa-banking-trojan-exploits-several-social-networks-to-communicate-with-control-server

相关信息：

Medusa是一种银行木马，于2020年7月开始出现，但在2020年9月之后开始消失。自2021年5月以来，Revelock研究人员检测到该家族的几个新样本，这些样本保留了木马的主要功能。与大多数Android银行木马程序一样，除了银行凭据外，Medusa还从受感染设备中获取其他数据，如窃取短信、联系人列表、键盘记录。Medusa利用多个社交网络（例如Telegram、ICQ或Twitter）来存储木马回连的控制服务器地址。为了窃取凭据，其会检测合法应用的打开操作，并将钓鱼网页覆盖在合法应用上。目前，分发恶意软件的方式还未知，不过相关特征显示，攻击者可能是仿冒合法应用程序，通过虚假网页进行分发。此外，在受影响的银行实体中只观察到土耳其银行实体。

披露时间：2021年08月16日

情报来源：https://www.trendmicro.com/en_us/research/21/h/lockbit-resurfaces-with-version-2-0-ransomware-detections-in-chi.html

相关信息：

勒索软件集团LockBit于6月随LockBit 2.0重新出现。在7月1日至8月15日期间，Trend Micro检测到LockBit 2.0的攻击活动发生在智利、意大利、台湾和英国等地。此次活动中该集团的目标公司数量有所增加，并在LockBit 2.0中纳入了双重勒索功能。

LockBit 2.0从目标公司内部招募“内应”，从而通过获取有效凭证和访问公司网络的方式对目标实现入侵和过滤。进入系统后，LockBit 2.0首先找到并进入目标域控制器，然后创建新的组策略，将勒索软件二进制文件分发和执行到网络中的每台Windows机器。其中LockBIT_7D68A5BFD028A31F.exe是主要勒索软件模块，它将.lockbit附加到每个加密文件。一旦LockBit 2.0完成设备加密，它会释放赎金通知Restore-My-Files.txt到所有加密目录，并强调如不支付赎金，文件还有被发布到网络的风险。此外，LockBit 2.0还包含将桌面壁纸更改为勒索说明图像的功能。

披露时间：2021年08月17日

情报来源：https://blog.talosintelligence.com/2021/08/neurevt-trojan-takes-aim-at-mexican.html

相关信息：

Cisco Talos近期发现了具有间谍软件和后门功能的新版Neurevt木马。此版本的Neurevt似乎针对墨西哥金融机构的用户。发现的感染链通过一个经过混淆的PowerShell命令开始，该命令会绕过受感染端点的 PowerShell执行策略，然后创建一个新的Google Chrome网络客户端对象以连接到域saltoune[.]xyz下载Neurevt可执行文件。

Neurevt将其他可执行文件、脚本和文件放入其在运行时创建的文件夹中。释放的有效载荷最终会在文件系统的适当位置运行，从而窃取服务令牌信息提升其特权。然后安装挂钩程序监控击键和鼠标输入事件，捕获监视器屏幕和剪贴板信息。此外， Neurevt还会检测虚拟化和调试器环境，禁用防火墙，修改受害者机器中的Internet代理设置以逃避检测和阻止分析。该恶意软件没有调用已知的API进行HTTP通信，而是使用System.Web命名空间，通过Nginx Web服务器启用与C2服务器的浏览器-服务器通信。

披露时间：2021年08月17日

情报来源：https://us-cert.cisa.gov/ncas/current-activity/2021/08/18/adobe-releases-multiple-security-updates

相关信息：

Adobe于8月17日发布安全更新，修复了Adobe Captivate、XMP Toolkit SDK、Photoshop、Bridge和Media Encoder中的多个安全漏洞。其中较为严重的是Adobe XMP Toolkit SDK中的任意代码执行漏洞(CVE-2021-36052和CVE-2021-36064)、Photoshop中的任意代码执行漏洞(CVE-2021-36065和CVE-2021-36066)，以及Adobe Bridge中的任意代码执行漏洞(CVE-2021-36078等)等漏洞。

披露时间：2021年08月17日

情报来源：https://www.zerodayinitiative.com/blog/2021/8/17/from-pwn2own-2021-a-new-attack-surface-on-microsoft-exchange-proxyshell

相关信息：

国外研究人员发现，攻击者正在使用ProxyShell漏洞利用针对Microsoft Exchange服务器来安装后门。ProxyShell是一种攻击的名称，该攻击使用三个Microsoft Exchange漏洞来执行未经身份验证的远程代码执行。漏洞为：CVE-2021-34473(KB5001779于4月修补)、CVE-2021-34523(KB5001779于4月修补)、CVE-2021-31207(KB5003435于5月修补)。

8月12日，Beaumont和NCC Group的漏洞研究员Rich Warren透露，攻击者已经利用ProxyShell漏洞针对Microsoft Exchange蜜罐。攻击者通过精心构造的初始访问URL将一个大小为265KB的Webshell内置进相关文件夹中。Webshell包含一个简单的受身份验证保护的脚本，攻击者可以使用该脚本上传其他WebShell和可执行文件到受感染的Microsoft Exchange服务器。

上传的其中两个可执行文件为createhidetask.exe与ApplicationUpdate.exe。攻击者将使用Webshell启动createhidetask.exe，以创建一个名为PowerManager的计划任务，在凌晨1点启动ApplicationUpdate.exe可执行文件。

ApplicationUpdate.exe可执行文件是后门的自定义.NET加载程序，其从远程服务器获取另一个.NET二进制文件。当前的有效载荷是良性的，但一旦足够多的服务器受到威胁，其就会被恶意有效载荷替换掉。目前发现通过美国、伊朗和荷兰的IP地址扫描易受ProxyShell攻击的设备。