披露时间：2021年08月25日

情报来源：https://mp.weixin.qq.com/s/mjmfzRIPpezYTa9bORJAyA

相关信息：

印度和巴基斯坦同属于南亚地区，由于历史原因，半个多世纪以来，两国关系一直较为紧张。双方武装冲突几乎从未中断，而网络被认为是政治的延伸领域，两国之间的网络冲突也异常激烈。其中涉及到的南亚地区APT组织包括：“透明部落”，该组织善于利用社会工程学进行鱼叉攻击，攻击目标地区为印度政府、军方、军事研究机构等；肚脑虫，该组织为奇安信威胁情报中心于2017年发现，主要针对巴基斯坦政府、军方、金融机构、外贸人士等，并一直活跃至今；摩诃草，该组织于2015年开始活跃，主要针对目标包括但不限于巴基斯坦政府、科研教育机构及研究所等，擅长使用Windows平台武器进行攻击；蔓灵花，该组织于2011年开始活跃，主要针对目标包括但不限于巴基斯坦政府部门（尤其是外交机构）、军工企业、核能企业等进行 ”漏洞利用文档” 攻击。

近日，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎发现了一起以“CSD hire 八月购买清单”为诱饵主题针对南亚地区的攻击活动。根据研究人员跟踪分析，此次的攻击活动有如下特点：

披露时间：2021年08月23日

情报来源：https://mp.weixin.qq.com/s/xoHaxeSfz5TDPrRraVO9nQ

相关信息：

黄金鼠组织（APT-C-27）属于中东某国家电子军的其中一个分支，自2014年起，其对叙利亚地区展开了有组织、有计划、有针对性的长期不间断攻击。其攻击涵盖Android和Windows两大平台，通常利用社交网络和钓鱼网址等方式进行开展攻击。

2021年8月，奇安信病毒响应中心移动安全团队在高级威胁追踪中发现来自中东地区的黄金鼠APT组织在今年4月进行的一场攻击活动中，利用VPN相关钓鱼网站投入了移动端新型RAT，由于该RAT是首款被发现到的使用Flutter开发的高级威胁样本，研究人员将其命名为FlutterSpy家族。

此次发现的FlutterSpy是黄金鼠组织利用网上开源的“flutter_vpn_example”项目进行个性化定制添加恶意代码快速开发出的一款RAT。其相比原来的移动端武器Raddex，功能更轻便简单，目前其恶意功能仅包含窃取设备和通讯录信息，研究人员猜测该武器还处于新定制化的初期阶段。

披露时间：2021年08月23日

情报来源：https://blog.malwarebytes.com/threat-intelligence/2021/08/new-variant-of-konni-malware-used-in-campaign-targetting-russia/

相关信息：

2021年7月下旬，Malwarebytes研究人员披露了朝鲜APT组织Konni针对俄罗斯地区的最新攻击活动。在本次攻击活动中，Konni分别以朝俄经济贸易和政府委员会议为诱饵进行样本投递。投递的文档诱饵中依旧是包含了一段恶意的Macro代码，当受害者启用宏代码之后，恶意代码将会释放并加载一个Js文件和一个Powershell脚本。其中Js脚本会解码数据并得到一个bat脚本，该脚本用于进行权限和版本判断，根据受害者主机的实际情况选择后续的执行流程，最终程序释放第二个bat文件安装远控组件，完成对受害者主机的远程控制。Powershell脚本则会从C2下载数据文件到本地并解密加载，加载之后依旧会执行上面的流程在受害者主机上安装远控组件。

披露时间：2021年08月24日

情报来源：https://mp.weixin.qq.com/s/_LHJYgf6l9uFYMN23fUQAA

相关信息：

APT-C-09（摩诃草）组织，又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一个来自于南亚地区的境外APT组织，该组织已持续活跃了7年。摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主。

近日360高级威胁研究人员捕获到几例利用使用借助美女图片作为诱饵的恶意样本程序，这些样本通过婚介主题来诱骗用户执行恶意程序或恶意文档文件，运行后释放对应图片文件并打开以达到伪装的效果，自身主体则与服务器连接，接收指令数据，达到攻击者远程控制用户设备的效果。

此次活动表现出APT-C-09组织在攻击思路上，从企业化朝着个人化的转变趋势。这样的趋势使得攻击方需要搜集更多的目标个人信息，也意味着APT-C-09背后势力对于情报方向上资源投入日益加重的倾向。

披露时间：2021年08月24日

情报来源：https://www.welivesecurity.com/2021/08/24/sidewalk-may-be-as-dangerous-as-crosswalk/

相关信息：

2020年5月，ESET研究人员观察到针对东亚某大学的攻击活动。该大学此前曾在2019年10月被Winnti入侵，攻击者在活动中使用了CROSSWALK后门和PlugX变体。为了避免与Winnti组织混淆，研究人员决定将这一活动集群记录为一个新组织，并将攻击者命名为SparklingGoblin组织。该组织主要针对东亚及东南亚地区学术界，近年来在其他地区及其他领域也被发现存在攻击迹象。

近日，美国一家计算机零售公司遭到该组织攻击，攻击者在活动中使用了新的模块化后门SideWalk，SideWalk可以动态加载从其C&C服务器发送的额外模块，利用Google Docs作为死循环解析器，并利用Cloudflare工作器作为C&C服务器。与CROSSWALK类似，SideWalk shellcode使用一个主要结构来存储字符串、变量、导入地址表(IAT)及其配置数据。然后将此结构作为参数传递给所有需要的函数。在SideWalk的初始化过程中，首先将字符串解密并添加到结构中，然后填充负责存储IAT的结构部分，最后解密SideWalk的配置。

尽管SideWalk和CROSSWALK代码不同，但两个家族具有相似的防篡改技术、线程模型和数据布局，以及在整个执行过程中处理这些数据的方式。在功能方面，两个后门都是模块化的，能够处理代理以与其C&C服务器正确通信。因此研究人员认为SideWalk和CROSSWALK很可能是由相同的开发人员编写的。

披露时间：2021年08月24日

情报来源：https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/

相关信息：

近日，巴林政府公布了他们对部分巴林激进分子的追踪情况。报告表明，从2020年6月至2021年2月，巴林政府通过NSO Group发现的zero-click漏洞成功向巴林激进分子的iPhone手机中终止了Pegasus远控软件。巴林政府一共入侵了9名激进分子的iPhone设备，其中包括Waad（巴林政治社会）的三名成员、巴林人权中心的三名成员、两名流亡的巴林持不同政见者以及一名AlWefaq团体的成员。在此次攻击活动中，NSO Group分别使用了KISMET的老漏洞和名为FORCEDENTRY的新漏洞，这两个漏洞都可以在受害者不点击带有漏洞的iMessage短信的情况下触发。

披露时间：2021年08月23日

情报来源：https://www.documentcloud.org/documents/21047946-onepercent-group-ransomware-bc-flash-alert

相关信息：

FBI近期公布了一个名为OnePercent Group的威胁组织的信息，该组织至少从2020年11月以来频繁使用勒索软件针对美国的组织机构进行勒索软件攻击。OnePercent Group会对数据进行加密，并将其从受害者的系统中渗出。攻击者通过电话和电子邮件联系受害者，威胁要通过洋葱路由(TOR)网络和Clearnet公布被盗数据，除非支付虚拟货币作为赎金。

FBI称攻击者首先使用钓鱼攻击，通过恶意的附件在目标系统上安装银行木马IcedID并下载Cobalt Strike，以便在受害者的网络中进行横向移动。在对受害者的网络保持长达一个月的访问并窃取文件之后，部署勒索软件有效负载之前，OnePercent将使用随机的八个字符扩展名对文件进行加密，并留下一个网址。受害者可以访问该网址获得更多赎金信息，与攻击者谈判，并获得“技术支持”。大多数情况下，受害者将被要求以比特币支付赎金，并在支付后48小时内获得解密密钥。

FBI没有提供攻击或加密器的详细信息，但称其与REvil有关。研究人员推断，其可能是REvil的cartel联盟中的合作伙伴。

披露时间：2021年08月24日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/delta-variant-spreads-covid-19-themes-make-resurgence-email-threats

相关信息：

近期，Proofpoint研究人员观察到，随着全球对Delta病毒的关注度持续上升，多种不同类型的威胁转向使用新冠病毒社会工程主题。自2021年6月下旬以来，利用新冠病毒主题的恶意电子邮件数量大幅增加：大量以新冠病毒为主题的邮件分发RustyBuer、Formbook和AveMaria等恶意软件。此外，还有通过这种方式进行企业钓鱼，试图窃取Microsoft和O365凭据的情况发生。

在整个疫情期间，攻击者利用人们对于新冠疫情的恐惧和关注，使用新冠病毒作为成为社会工程活动的诱饵。随着疫苗的普及，攻击者开始使用与疫苗接种状态相关的主题，他们通常将新冠病毒主题与经济救济或医疗保健信息组合作为诱饵，诱导受害者点击执行邮件。随着德尔塔的持续蔓延，这一趋势仍在继续。在目前感染率和人们对病毒以及保护措施的兴趣仍然很高的情况下，更多的攻击者可能会开始使用病毒相关主题用作未来活动的诱饵。

披露时间：2021年08月19日

情报来源：https://www.microsoft.com/security/blog/2021/08/19/how-to-proactively-defend-against-mozi-iot-botnet/

相关信息：

Mozi僵尸网络可使用类似BitTorrent的网络感染物联网设备，例如网络网关和数字视频记录 (DVR)。近日，微软IoT安全研究人员发现，Mozi僵尸网络正在不断进化，持续攻击IoT设备并新增数个功能，如利用弱Telnet口令和近10个未修复的IoT设备漏洞来执行DDoS攻击、数据窃取、命令和payload执行。目前已经在Netgear、华为、中兴等厂商的网关上实现了驻留。在感染路由器后，僵尸网络可以通过HTTP劫持和DNS欺骗执行中间人攻击（MITM），从而黑掉终端并部署勒索软件。研究人员建议用户使用更新的安全解决方案以保护、检测和响应 Mozi 及其增强功能。

披露时间：2021年08月20日

情报来源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows

相关信息：

Symantec研究人员发现LockFile勒索软件正在使用Microsoft Exchange ProxyShell漏洞和PetitPotam漏洞攻击 Windows域控制器。攻击者首先使用ProxyShell漏洞访问内部Microsoft Exchange服务器，接着通过执行PowerShell指令利用PetitPotam漏洞来接管域控制器，从而接管Windows域。其他针对相同 IP 地址的powershell wget命令使用类似的看似随机的端口号。目前尚不清楚PowerShell指令的下载对象。

在开始勒索软件攻击之前，攻击者至少会在几天内保持对受害者网络的访问。在部署勒索软件之前大约20到30分钟，攻击者会在受感染的 Exchange Server 上安装一组工具。这些工具包括：CVE-2021-36942漏洞利用工具PetitPotam，该代码似乎来源于github.com/zcgonvh/EfsPotato；active_desktop_render.dll以及active_desktop_launcher.exe。active_desktop_launcher.exe 是酷狗活动桌面的合法版本。该可执行文件被用于DLL搜索顺序加载攻击以加载恶意的active_desktop_render.dll 文件。然后会尝试加载和解密本地目录中名为“desktop.ini”的文件。如果文件成功加载和解密，则执行文件中的shellcode，激活PetitPotam漏洞利用。一旦获得对本地域控制器的访问权限，攻击者就会将 LockFile勒索软件以及批处理文件和支持的可执行文件复制到域控制服务器上。这些文件被复制到“ sysvol\domain\scripts ”目录中。当网络客户端向域控制器进行身份验证时，此目录用于将脚本部署到网络客户端。

披露时间：2021年08月24日

情报来源：https://securelist.com/triada-trojan-in-whatsapp-mod/103679/

相关信息：

社交软件WhatsApp的用户有时会觉得官方应用程序缺乏一些功能，无论是动画主题、消息自毁、从主列表中隐藏某些对话、消息自动翻译，或者查看被发送者删除的消息。因此，网络上出现了许多第三方WhatsApp应用mod，提供部分上述功能。然而，安全人员发现，Triada木马随着广告软件开发工具潜入了名为FMWhatsapp 16.80.0的mod中。

一旦被启动，恶意软件就会收集唯一设备标识符(设备ID、订阅账户ID、MAC地址)和部署它们的应用程序包的名称。收集的信息被发送到远程服务器以注册设备。它通过向有效负载发送链接进行响应，之后，木马会下载、解密并启动。

值得一提的是，FMWhatsapp用户会授予该应用程序阅读其短信的权限，这意味着该木马程序及其后续加载的所有其他恶意模块都会拥有这一权限。

披露时间：2021年08月23日

情报来源：https://cybersecurity.att.com/blogs/labs-research/prism-attacks-fly-under-the-radar

相关信息：

AT&T Alien实验室最近发现了一组Linux ELF可执行文件，并且这些样本在VirusTotal中的防病毒检测结果为低或零风险。在进行深入检查后，可以确定样本是开源后门PRISM的改版，PRISM曾被众多黑客在各种恶意活动中使用。几个使用这些恶意可执行文件的活动在超过3.5年的时间里一直未被发现，最早的样本可以追溯到2017年11月8日。

标记为“PRISM v1”的样本，与开源版PRISM相比，引入了一个不断向C&C服务器查命令的子程序。且PRISM v1没有对二进制文件进行任何类型的混淆、打包或加密。PRISM v2.2引入了XOR加密来混淆敏感数据。密钥为单字节，并且被硬编码为0x1F值。PRISM v3与v2.2的不同之处是，客户端开始包含一个用于识别身份的bot id。WaterDrop v7（后续版本检测到的PRISM变种名称）引入了内核模块，若进程具有root权限，则使用inmod安装该内核模块。WaterDrop v9的变化微乎其微，bot程序开始使用自己的bot id作为ICMP密码来产生反弹shell。WaterDrop v12仅仅增强了后门稳定性。

Alien实验室通过研究C&C域名，解析出由其他十二个域共享的IP地址，进而还检测到了恶意软件家族Prismatic Successor。

披露时间：2021年08月25日

情报来源：https://www.trendmicro.com/en_us/research/21/h/new-campaign-sees-lokibot-delivered-via-multiple-methods.html

相关信息：

近期，Trend Micro发现了一个激进的恶意软件传播活动，这一活动利用多种技术分发LokiBot。攻击者使用邮件等方式传播作为诱饵的恶意文档，诱导受害者点击打开文档，从而实施交付机制，完成最终恶意载荷LokiBot的部署。

攻击者为不同格式的文档设计了不同的交付机制，这些文档格式包括：PDF（使用开放操作对象）、DOCX（使用框架机制）、RTF（利用CVE-2017-11882漏洞）、Internet Explorer（利用CVE-2016-0189漏洞）、Excel（使用嵌入式OLE对象和Word文档）等。

这次活动表明，LokiBot及其变体仍在广泛使用，并仍在使用社会工程和漏洞开发等旧的可靠技术作为交付方法。

披露时间：2021年08月23日

情报来源：https://mp.weixin.qq.com/s/Fj3zgNB_H2-_XJXemCubxw

相关信息：

近日，奇安信 CERT 监测到XStream官方发布漏洞公告，公开了多个XStream高危漏洞的详细信息。其中CVE-2021-39141、CVE-2021-39144、CVE-2021-39145、CVE-2021-39146等漏洞允许攻击者通过构造特制的XML数据绕过XStream黑名单限制从而在目标机器上执行任意代码。鉴于此类漏洞危害较大，且细节和POC已公开，建议客户尽快自查XStream版本，升级到安全版本以避免受此影响。

披露时间：2021年08月24日

情报来源：https://nvd.nist.gov/vuln/detail/CVE-2021-3711

相关信息：

OpenSSL于8月24日发布安全更新，修复其产品中的2个安全漏洞。其中最为严重的是缓冲区溢出漏洞，追踪为CVE-2021-3711，攻击者利用其可导致应用程序崩溃。该漏洞与SM2加密数据的解密过程相关，可用来更改堆中的数据（即凭据）。此次修复的另一个漏洞追踪为CVE-2021-3712，攻击者可以利用该漏洞触发拒绝服务(DoS)，还可能导致机密信息泄露，例如私钥或敏感明文。

披露时间：2021年08月24日

情报来源：https://mp.weixin.qq.com/s/bJ1-aI3WWQQvleEaRhAlag

相关信息：

2021年上半年以来，被曝光的APT组织使用的在野0day漏洞数量陡然剧增，出现的频次之高历年罕见，且受影响的平台均为具有垄断地位市场份额的系统和产品。包括微软公司操作系统、Windows Defender反病毒套件、微软Exchange，主流浏览器产品Chrome、Firefox，主流手机操作系统Android、IOS，以及PDF阅读器Adobe Reader等等。

除却在野0day漏洞在网络世界中大放异彩外，国际上的冲突也导致网络世界战争不断，如乌克兰东部顿巴斯地区冲突加剧导致幕后势力双方通过网络攻击窃取情报，中东地区就核问题爆发激烈网络战争等等。

本报告按照惯例，总结了2021年上半年的主要攻击活动，包括新的 APT 组织和地缘 APT 组织的活动变化趋势，以及上半年全球 APT 事件所呈现的趋势。

报告详情可点击阅读全文下载PDF版查看~