披露时间：2021年09月06日

情报来源：https://mp.weixin.qq.com/s/nE_cvvooXvVjLhZd0EnXcQ

相关信息：

双尾蝎（奇安信内部跟踪编号：APT-Q-63）是一个长期针对中东地区的高级威胁组织，其最早于2017年被披露。至少自2016年5月起，持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动，以窃取敏感信息为主的网络攻击组织，开展了有组织，有计划，有针对性的攻击。

近日，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多起攻击样本，捕获的样本包括伪装成政治热点、教育相关的可执行文件诱饵，以及伪装成微软图像处理设备控制面板程序(ImagingDevices.exe)，此类样本运行后，将会释放展示正常的诱饵以迷惑受害者，同时后门将继续在后台运行以窃取受害者计算机敏感信息。

披露时间：2021年09月07日

情报来源：https://mp.weixin.qq.com/s/axdINLybUO3b7U-i8H-Bww

相关信息：

Lazarus APT组织是疑似具有东北亚背景的APT团伙，该组织攻击活动最早可追溯到2007年，其早期主要针对韩国、美国等政府机构，以窃取敏感情报为目的。自2014年后，该组织开始针对全球金融机构 、虚拟货币交易所等为目标，进行以敛财为目的的攻击活动。

据公开情报显示，2014 年索尼影业遭黑客攻击事件，2016 年孟加拉国银行数据泄露事件，2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件都出自APT组织Lazarus之手。

近日，奇安信红雨滴团队使用内部高价值样本狩猎流程捕获多个Lazarus组织新的攻击样本。本次鱼叉式网络攻击活动中，攻击目标包括区块链与石油天然气等行业，使用了zip打包Lnk后缀文件或和诱饵文件。Lnk文件使用了的伪装后缀包括txt、pdf、docx等，运行后打开谷歌云盘的诱饵文件或自释放诱饵文件，并同时加载具有后门功能的恶意js代码，将恶意Lnk文件写入到%startup%文件夹中。

披露时间：2021年09月02日

情报来源：https://asec.ahnlab.com/ko/26705/

相关信息：

Metasploit是一个用于渗透测试的框架。它是一种可用于检查公司或机构的网络和系统的安全漏洞的工具，并在渗透测试的每个步骤中支持各种功能。Metasploit逐步提供必要的功能，从为初始感染生成各种类型的有效载荷，例如CobaltStrike，到窃取帐户信息、移动内部网络，然后接管系统。

CobaltStrike和Metasploit都是渗透测试工具，可用于控制受感染的PC和窃取信息。Metasploit也提供了一个负责实际恶意行为的后门，称为Meterpreter。Meterpreter可以像CobaltStrike一样以Staged/Stageless方式创建。

Metasploit的Meterpreter也被Kimsuky小组使用。ASEC分析团队确认，meterpreter在监控metasploit恶意软件的同时运行在rundll32.exe进程中。实际的恶意软件是一个64位DLL，由regsvr32.exe进程加载和执行。之后，随着rundll32.exe的执行和stagershellcode的注入，meterpreter运行在rundll32.exe中，这是一个正常的程序。

披露时间：2021年09月07日

情报来源：https://www.welivesecurity.com/2021/09/07/bladehawk-android-espionage-kurdish/

相关信息：

ESET研究人员调查了针对库尔德族群的有针对性的移动间谍活动。该活动至少自2020年3月以来一直活跃，分发（通过专用的Facebook个人资料）两个Android后门，即888 RAT和Spy Note，伪装成合法应用程序。这些配置文件似乎以库尔德语提供Android新闻，并为库尔德人的支持者提供新闻。一些个人资料故意将其他间谍应用程序传播到带有亲库尔德内容的Facebook公共群组。来自下载站点的数据表明，至少有1,481次下载来自仅在几个Facebook帖子中宣传的URL。

新发现的Android 888 RAT已被Kasablanka小组和Blade Hawk使用。他们都使用替代名称来指代相同的AndroidRAT——分别是LodaRAT和Gaza007。

披露时间：2021年09月07日

情报来源：https://asec.ahnlab.com/ko/26777/

相关信息：

ASEC分析团队继续介绍TA551组在攻击中使用的DOC宏文档。去年7月介绍的内容和宏文件的操作方法都没有改变，但这一次，确定了宏执行后最后阶段分发BazarLoader的情况。

BazarLoader是一种从内存中下载后门并注入正常进程的恶意代码，基于C++语言，主要以x64可执行文件的形式分布。BazarLoader下载的恶意代码称为BazarBackdoor，该后门收集用户PC信息和企业环境信息，并执行下载器为公司下载其他恶意代码的功能。作为海外感染案例，安装了CobaltStrike以收集横向移动和附加信息，最后安装Ryuk Ransomware或Conti Ransomware向公司索要钱财。BazarLoader和BazarBackdoor使用名为*.bazar的C2域命名为“Bazar”。

披露时间：2021年09月07日

情报来源：https://asec.ahnlab.com/ko/26833/

相关信息：

ASEC分析团队证实，旨在窃取比特币的恶意电子邮件正在韩国传播。邮件正文中包含比特币充值相关内容，其特点是点击其中包含的恶意网址时会连接到诈骗网站。

诈骗电子邮件伪装成管理员，并以比特币支付为标题分发，在电子邮件正文中，根据客户的要求，提供了有关存入BTC（1,184,081.00美元）的信息以及注册客户ID和密码。

电子邮件中的诈骗网站（www.fortcoin[.]net）伪装成一个比特币投资组合管理网站，以提供每个投资组合的钱包管理、存款/取款和利息支付服务为借口进行运营。

披露时间：2021年09月08日

情报来源：https://mp.weixin.qq.com/s/AhxP5HmROtMsFBiUxj0cFg

相关信息：

近期微步在线捕获到数起攻击活动，包括针对 Windows 平台使用钓鱼攻击和水坑攻击投递具有明显目的性的恶意诱饵文档和伪装正常软件的恶意安装包，同时还有搭建伪装正常 Android 应用商店诱导受害者下载的恶意 APP。关联发现，此次攻击活动背后组织的历史间谍活动至少可以追溯到2013年，早期针对印度地区进行攻击，在2017年"恰巴哈尔港协议"签订三方-印度、阿富汗、伊朗正式开展贸易往来后，伊朗、阿富汗以及伊朗和巴基斯坦交界-俾路支斯坦地区也被纳入攻击范围，主要涉及人权活动家、运输部门、军事、退役军人、极端信仰者和政府部门等多个领域。

通过溯源分析，发现近期捕获的移动端后门配置信息，与透明部落(TransparentTribe)组织近期使用的后门具有相同配置，这意味着两个组织或许存在一定的关联，此次攻击活动目的性较强，带有国家战略性目的，疑似具有国家背景支持的 APT 攻击组织所为。

披露时间：2021年09月05日

情报来源：https://mp.weixin.qq.com/s/qTg6rRdhGdAFWBSkHxxlcw

相关信息：

安恒威胁情报中心猎影实验室近期捕获到一起针对疑似位于印度的渣打银行相关人员的攻击。攻击者使用的钓鱼链接中涉及利用社会工程得到的几个肯尼亚渣打银行员工姓名。样本伪装成渣打银行的“包容性调查”excel表，诱导受害者点击。

PoshC2是一款基于PowerShell和C#的命令控制工具框架，用于帮助渗透测试人员进行红队、后渗透和横向攻击。PoshC2主要以Python3形式编写，采用模块化格式，使用户能够添加自己的模块和工具，从而允许灵活扩展的C2框架。

披露时间：2021年09月02日

情报来源：https://www.anomali.com/blog/cybercrime-group-fin7-using-windows-11-alpha-themed-docs-to-drop-javascript-backdoor

相关信息：

Anomali Threat Research 对以Windows 11 Alpha为主题的恶意MicrosoftWord文档(.doc)文件进行了分析，并以适度的信心评估这些Word文档是威胁组织FIN7开展的活动的一部分。该组织的目标似乎是至少自2018年以来提供FIN7使用的JavaScript后门的变体。有以下主要发现：

披露时间：2021年09月02日

情报来源：https://isc.sans.edu/diary/rss/27798

相关信息：

STRRAT是一个基于Java的远程访问工具(RAT)，并且不需要预装Java Runtime Environment(JRE)，主要通过恶意垃圾邮件传播。2021年8月30日，安全研究人员发现了一起与之相关的Excel感染事件。此次感染过程中，STRRAT随着其自带的JRE环境一起安装，它们是一个zip存档的一部分，该存档包含了JRE version 8 update 261、STRRAT的.jar文件以及使用zip存档中的JRE运行STRRAT的命令脚本。

此Excel电子表格很可能是通过电子邮件传播的，如果受害者打开电子表格并在易受攻击的Windows主机上启用宏，则宏代码会生成到攻击者服务器的未加密HTTP流量。第二次HTTP请求会返回一个大约72.1MB的zip存档。zip保存在新创建的“C:\user”下(拼写与C:\Users非常接近)，然后自动解压，解压后会删除zip。

这种特定的STRRAT感染之所以值得注意，是因为它将JRE作为感染包的一部分。这样使得，无论受害者主机是否安装了Java，RAT都可以运行。

披露时间：2021年09月03日

情报来源：https://www.bleepingcomputer.com/news/security/babuk-ransomwares-full-source-code-leaked-on-hacker-forum/

相关信息：

一名威胁行为者在俄语黑客论坛上泄露了Babuk勒索软件的完整源代码。

BabukLocker，内部也称为Babyk，是一种勒索软件操作，于2021年初启动，当时它开始针对企业在双重勒索攻击中窃取和加密他们的数据。

在袭击华盛顿特区的大都会警察局(MPD)并感受到美国执法部门的压力后，勒索软件团伙声称已关闭其业务。然而，同一组的成员分裂了，重新启动勒索软件BabukV2，直到今天他们继续加密受害者。

正如安全研究小组vx-underground首次注意到的那样，Babuk小组的一名据称成员在一个流行的俄语黑客论坛上发布了他们勒索软件的完整源代码。

披露时间：2021年09月02日

情报来源：https://blogs.blackberry.com/en/2021/09/threat-thursday-phobos-ransomware

相关信息：

Phobos 是一个较老的勒索软件系列，针对包括医疗保健在内的广泛行业的中小型组织。与其他勒索软件系列相比，攻击者通常要求的赎金金额要低得多，这对于受害者来说可能看起来更实惠，并增加了付款的可能性。勒索软件事件响应公司Coveware 报告称，2021 年 7 月 Phobos 的平均付款金额约为54,700美元。

Phobos 攻击有两个主要的感染媒介：带有恶意附件的电子邮件网络钓鱼活动，或通过远程桌面协议 (RDP) 访问系统。攻击者通过各种不同的方法获取 RDP 凭据。他们可以进行暴力攻击，利用从暗网市场购买的被盗凭据，或者可以识别可被利用的开放、配置不当或易受攻击的连接。在环境中站稳脚跟后，威胁行为者将尝试通过 RDP 横向移动。

披露时间：2021年09月03日

情报来源：http://blog.nsfocus.net/keksec-lolfme/

相关信息：

从今年5月底开始，绿盟科技伏影实验室不间断地捕获到一些特征及行为相似的ELF样本，通过对这批样本持续的跟踪与分析，最终确认这些样本隶属于一个新的botnet家族，依据样本运行时特点，我们将它命名为lolfme。lolfme在5,6,7,8这四个月里有过多次版本的更迭，与此同时，我们也见证了它从最初的测试版本到功能趋于完善的发展过程。

lolfme开发初期的样本运行时输出：“md5hashguys botnet testing”，通过溯源分析，我们发现类似的名称在Keksec往期攻击活动中也曾使用过，但在lolfme后期的版本中逐渐消除了这些信息。

lolfme 的代码由Gafgyt修改而来，但与传统的Gafgyt相比又有许多新的变化，最新版本的lolfme主要有以下特点：

披露时间：2021年09月02日

情报来源：https://securelist.com/qakbot-technical-analysis/103931/

相关信息：

Qakbot，也被称为QBot，QuackBot和Pinklipbot，是一个存在了十多年的银行木马程序。它于2007年被发现，此后一直得到不断的维护和发展。近年来，Qakbot已成为全球范围内影响严重的银行木马程序之一。它的主要目的是窃取银行凭证(如登录密码等)，另外，它还发展出了监控金融操作、自我传播和安装勒索软件的功能。直到今天，Qakbot在功能方面仍在不断发展，拥有更多的功能和新技术，如记录按键、后门功能和逃避检测的技术。逃避检测包括虚拟环境检测、定期自我更新和更换加密器/打包器。此外，Qakbot还试图保护自身免受专家和自动化工具的分析和调试。另一项有趣的功能是窃取电子邮件。攻击者随后使用这些信息向受害者发送有针对性的电子邮件，并利用获得的信息引诱受害者打开这些电子邮件。

Qakbot主要通过垃圾邮件活动感染受害者。在某些情况下，电子邮件会附上Microsoft Office文档(Word、Excel)或受密码保护的存档。这些文档包含宏，并诱导受害者打开并进行其他操作。在某些情况下，电子邮件会附带包含恶意文档的网页链接。此外，还有另一个感染方式，是通过已经沦陷的机器上的其他恶意软件将恶意Qakbot有效负载传输到受害者的机器上。

披露时间：2021年09月08日

情报来源：https://mp.weixin.qq.com/s/54bJuWskXUKf51ESjGlqRA

相关信息：

近日， 奇安信CERT监测到微软紧急发布Microsoft MSHTML 远程代码执行漏洞通告，漏洞编号为CVE-2021-40444。MSHTML（又称为Trident）是微软旗下的Internet Explorer 浏览器引擎，虽然 MHTML 主要用于已被弃用的 Internet Explorer 浏览器，但该组件也用于 Office 应用程序，以在 Word、Excel 或 PowerPoint 文档中呈现 Web 托管的内容。

Microsoft MSHTML引擎存在远程代码执行漏洞，攻击者可通过制作带有恶意 ActiveX 控件的Microsoft Office 文档并诱导用户打开此文档来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。

披露时间：2021年09月07日

情报来源：https://blog.talosintelligence.com/2021/09/vuln-spotlight-ribbonsoft.html

相关信息：

CiscoTalos最近在Ribbonsoft的dxflib库中发现了一个可利用的基于堆的缓冲区溢出漏洞，该漏洞可能导致代码执行。dxflib库是一个C++库，被QCAD和KiCad等数字设计软件用来解析DXF文件以进行读写。

TALOS-2021-1346(CVE-2021-21897)是一个漏洞，如果攻击者向用户提供特制的.dxf文件，就会出现该漏洞。攻击者可能会导致堆缓冲区溢出，这最终可能允许他们在受害机器上执行远程代码。

披露时间：2021年09月02日

情报来源：https://research.checkpoint.com/2021/now-patched-vulnerability-in-whatsapp-could-have-led-to-data-exposure-of-users/

相关信息：

截至 2021 年，WhatsApp 是全球最受欢迎的全球移动通讯应用程序 ，每月有大约 20 亿活跃用户。它允许用户发送文本和语音消息、进行语音和视频通话以及共享图像、文档、用户位置和其他内容。

Check Point Research (CPR) 最近在流行的消息传递应用程序中发现了一个新的越界读写漏洞。该问题已被修补并仍然是理论上的，需要复杂的步骤和广泛的用户交互才能利用，并且可能允许攻击者从 WhatsApp 内存中读取敏感信息。WhatsApp 确认他们没有看到与此漏洞相关的滥用证据。