披露时间：2021年09月13日

情报来源：https://www.trendmicro.com/en_us/research/21/i/apt-c-36-updates-its-long-term-spam-campaign-against-south-ameri.html

相关信息：

近日，Trend研究人员发现了APT-C-36(Blind Eagle、盲眼鹰)利用商业RAT针对南美实体的网络钓鱼活动，其钓鱼邮件主题包括伪装哥伦比亚国家税务和海关总局发出的银行帐户扣押令或个人照片分享。邮件中包含带有短链接的PDF或DOCX文件。短链接被点击后将判断用户地理位置，若位于哥伦比亚则跳转到文件托管服务器并自动下载文件，其后续有效载荷为BitRAT。与大多数其他恶意软件不同，BitRAT使用Camellia密码，需要几个计算步骤来获得最终密钥。此前，APT-C-36曾在攻击活动中使用过多种RAT，包括njRAT、ImminentMonitor、自定义的ProyectoRAT、WarzoneRAT、AsyncRAT、LimeRAT、RemcosRAT以及BitRAT。

APT-C-36此次活动的攻击目标位于哥伦比亚，以及一些其他南美国家，如厄瓜多尔、西班牙和巴拿马。尽管APT-C-36的目标不明确，但研究人员认为攻击者开展此活动是为了获得经济利益。该活动影响了多个行业，主要是政府、金融和医疗保健实体，也影响了金融、电信以及能源、石油和天然气行业。

披露时间：2021年09月09日

情报来源：https://www.zscaler.com/blogs/security-research/cloudfall-targets-researchers-and-scientists-invited-international-military

相关信息：

2021年8月，Zscaler ThreatLabZ发现了一些恶意Microsoft Word文档，这些文档利用Cloudflare Workers和MS Office Word的功能把中亚和东欧的用户作为攻击目标。根据文档内容中使用的社会工程诱饵，这次活动的目标是受国际军事会议邀请的科学家和研究人员。ThreatLabZ根据攻击者使用的网络基础设施将此其命名为CloudFall，CloudFall和APT组织CloudAtlas之间有很大的重叠。

此活动中的每个MS Office Word文档都会显示一个覆盖图像，在Word完成文档加载后，该图像将被文本替换，文本包含有关于国际军事战略方针会议的信息。此外，此攻击者使用的攻击链有两种不同的变体。

在变体1中，文档获取攻击者控制的网站上托管的基于宏模板，并引诱用户启用宏。关闭文档时，它会检查路径“%AppData%\Microsoft\Word\start\Main.dotm”中是否存在文档模板文件。如果找不到此文件，则会将其下载并保存在此位置。宏代码启用后将下载Base64编码的二进制文件进而下载后续payload。

与变体1类似，变体2也会下载托管在攻击者控制的Cloudflare Worker实例上的远程文档模板。然而，与变体1不同的是，持久性文档模板和最终有效负载都会嵌入到文档本身中。

披露时间：2021年09月09日

情报来源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/grayfly-china-sidewalk-malware

相关信息：

8月底，一家位于美国的计算机零售公司成为SideWalk后门的攻击目标，ESET将该后门归因于一个名为SparklingGoblin的新组织，但近日，Symantec公司发表的最新研究将SideWalk后门归因于Grayfly组织。

Grayfly是一个有针对性的攻击组织，至少自2017年3月以来一直活跃，该组织使用CROSSWALK自定义后门、Chattak、CobaltStrike自定义加载程序及其他辅助工具。该组织攻击目标为亚洲、欧洲和北美的多个国家或地区，涉及食品、金融、医疗保健、酒店、制造和电信等各个行业。

在最近的攻击活动中，Grayfly的主要目标为电信行业，也攻击了媒体、金融和IT服务提供商领域的实体。该组织通过攻击暴露的MicrosoftExchange或MySQLWeb服务器安装Webshell以进行初始入侵，然后在网络中横向传播并安装SideWalk恶意后门，安装后门后，攻击者部署了自定义版本的凭证转储工具Mimikatz，从而保持远程访问并窃取信息。

披露时间：2021年09月14日

情报来源：https://blog.cyble.com/2021/09/14/apt-group-targets-indian-defense-officials-through-enhanced-ttps/

相关信息：

近日有研究人员捕获了一批针对印度国防官员的恶意样本，样本疑似归属到南亚APT组织Sidecopy，该组织此前曾被披露与透明部落有相似之处。

值得一提的是，此次活动中所使用的样本将隐藏在.vhdx文件中以绕过防病毒软件检测。样本执行后将检查当前时区，若时区处于IST，则连接到攻击者服务器以下载后续执行，最后连接到C2接收远控指令。

披露时间：2021年09月10日

情报来源：https://www.fortinet.com/blog/threat-research/new-dridex-variant-being-spread-by-crafted-excel-document

相关信息：

FortiGuard实验室最近在野外捕获了新的钓鱼邮件活动，其中包括一个精心制作的Excel文档附件，一旦恶意的Excel文档在受害者的机器上打开，它就会下载Dridex的新变种。Dridex是一种木马类恶意软件，也称为Bugat或Cridex，它能够从受感染的计算机中窃取敏感信息，并传递和执行恶意模块。

钓鱼邮件假装将进口关税数据发送给客户，然后要求客户通过打开附件中的Excel文件查看详细信息。用户打开Excel附件后，文档将显示“请启用宏以使用运费计算器”。宏代码运行后将提取包含一段VBScript代码的HTML应用程序(.hta文件)。其中VBScript代码将下载Dridex到本地，创建rundll32.exe加载Dridex负载文件，并调用名为ReportDeviceAdd的导出函数来执行其恶意功能。

Dridex从受害者受感染的设备收集敏感数据，然后将其放入格式化的数据包中，进行加密，然后发送到C2服务器。之后，会从C2服务器部署恶意模块到本地，并执行持久化。

披露时间：2021年09月09日

情报来源：https://www.lacework.com/blog/pysa-ransomware-gang-adds-linux-support/

相关信息：

2021年8月，Lacework Labs发现ChaChi的Linux变体，它被配置为使用与PYSA (Menipoza ransomware Gang)勒索软件团伙相关的域。ChaChi是基于Golang的开源RAT的定制版本，它利用DNS隧道来进行C2通信。Linux版本与Windows版本具有相同的特点，Linux版本的一个显著特征是包含datetime数据的调试输出。ChaChi利用了自定义名称服务器，它可以同时作为c2来支持DNS隧道协议。

此外，最近几周BlackMatter勒索软件团伙、HelloKitty勒索软件和REvil勒索软件首次被发现通过使用ELF加密器的ESXi服务器扩展到Linux目标。勒索软件转向Linux平台是目前值得注意的一个重要趋势。

披露时间：2021年09月08日

情报来源：https://cybersecurity.att.com/blogs/labs-research/teamtnt-with-new-campaign-aka-chimaera

相关信息：

AT&T Alien Labs发现了威胁组织TeamTNT针对多个操作系统和应用程序的新恶意活动，代号Chimaera。该活动使用了多个shell/批处理脚本、新的开源工具、加密货币挖掘器、TeamTNT IRC bot等等。Alien Labs的研究表明，TeamTNT自2021年7月25日以来一直在运行这项活动，它对全球数千起感染事件负责。

Chimaera中出现了新凭据窃取程序：Lazagne。恶意脚本在感染的开始阶段会修改bash中的history文件，这向用户隐藏了将来在Linux上使用“history”命令执行的任何命令，然后脚本安装其依赖项(curl、bash、wget、pip、py3-pip、python3-pip)。

一旦恶意软件完成“预安装”，它就会从C&C下载攻击的第二阶段，其中包括另一个bash脚本run.sh和Lazagne项目。Lazagne支持多种操作系统，可用于检索存储在本地机器上的多个密码。在攻击的第二阶段，恶意脚本执行Lazagne工具，将其输出保存到“laZagne.out.txt”中，并使用curl命令将其上传到C&C。执行结束时，恶意软件会删除所有已下载的文件。除Lazagne之外，Chimaera还出现了各种各样的恶意模块。

披露时间：2021年09月13日

情报来源：https://www.sentinelone.com/labs/hide-and-seek-new-zloader-infection-chain-comes-with-improved-stealth-and-evasion-mechanisms/

相关信息：

Sentinelone研究人员发现Zloader新一轮的攻击活动，主要针对德国和澳大利亚的金融行业。ZLoader于2016年首次被发现，是一种典型的银行木马，可用来窃取cookie、密码和任何敏感信息。此次攻击采用了更高级的隐蔽技术，其第一阶段的dropper已从恶意文档更改为隐蔽的、已签名的MSI payload。

此外，它还可以禁用目标计算机上的Microsoft Defender Antivirus来绕过检测。

披露时间：2021年09月08日

情报来源：https://www.lacework.com/blog/muhstik-takes-aim-at-confluence-cve-2021-26084/

相关信息：

2021年9月3日，USCYBERCOM提醒广大用户在节假期周末之前紧急针对Atlassian Confluence CVE-2021-26084安装补丁。公告发布后，Lacework Labs团队经观察到许多利用公开可用的漏洞攻击代码的攻击企图。

Muhstik威胁组织针对易受攻击的Confluence服务器来传播僵尸网络便是其中之一。在此活动中捕获到的pty文件为IRC僵尸程序，似乎是Tsunami/Katien的修改版。其文件均已修改UPX头，以防止通过UPX实用程序轻松解包。此外，IRC僵尸程序针对多种架构进行编译，包括ARM、MIPS、x86和x64。IRC的主要功能包括用于各种协议的dos命令，以及ssh暴力强制和原始sh命令执行。

CVE-2021-26084漏洞最终允许未经身份验证的用户在Confluence服务器或数据中心实例上执行任意代码，影响Confluence Server和DataCenter 6.13.23之前版本、7.4.11之前的6.14.0版本、7.11.6之前的7.5.0版本以及7.12.5之前的7.12.0版本。建议用户关注官方Confluence咨询以获得最新的技术建议，包括补丁和配置更新。

披露时间：2021年09月10日

情报来源：https://www.threatfabric.com/blogs/sova-new-trojan-with-fowl-intentions.html

相关信息：

2021年8月初，ThreatFabric的研究人员发现了一种新的Android银行木马，称为SOVA。该木马目前处于开发和测试阶段，其目标是在未来的版本中添加其他高威胁性的功能，如DDoS和加密勒索。

SOVA包含当前Android恶意软件的常见功能，包括重放攻击、按键记录、通知操控。此外，它还有一个不常见的特性：会话cookie盗窃。该功能允许犯罪分子访问用户的有效登录会话，而不需要知道登录凭证。在开发方面，SOVA的突出之处在于它完全是用Kotlin开发的，Kotlin是Android支持的一种编码语言，被许多人认为是Android开发的未来。如果SOVA作者承诺功能得以实现，SOVA将有可能成为迄今为止使用Kotlin开发的最完整、最先进的Android bot。

披露时间：2021年09月13日

情报来源：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-malware-distributed-in-mexico-uses-covid-19-to-steal-financial-credentials/

相关信息：

McAfee移动恶意软件研究小组发现了一款针对墨西哥的恶意软件。它伪装成银行相关工具或应用程序。这种恶意软件可以窃取用户登录凭证，以访问目标金融机构的受害者账户。McAfee将这一威胁及其变体标注为Android/Banker.BT。

恶意软件通过钓鱼页面传播，该页面提供一些银行安全贴士，并诱导访问者下载恶意应用程序。并且有可能与短信钓鱼、诈骗电话关联在一起，作为分发方法的一部分。

一旦恶意应用程序安装并启动，就会显示一条西班牙语信息，解释该应用程序的目的。如告知受害者其账户下有几笔可疑的转账，如果不能在24小时内确定转账的缘由，就会按金额扣款。以此来造成急迫感，诱导受害者在恶意应用提供的页面输入银行账户和密码。

披露时间：2021年09月09日

情报来源：https://www.trendmicro.com/en_us/research/21/i/remote-code-execution-zero-day--cve-2021-40444--hits-windows--tr.html

相关信息：

2021年9月7日，微软披露了一个新的零日漏洞，此远程代码执行漏洞（CVE-2021-40444）影响Microsoft Windows的MSHTML，MSHTML是Internet Explorer web浏览器的渲染引擎，许多Office文档也使用这个引擎。

目前，攻击者正通过恶意Office 365文档来利用此漏洞。漏洞利用文档包中的document.xml.rels文件包含下载恶意side.html文件的代码。side.html包含混淆的JavaScript，其下载一个.cab文件，并从该.cab文件中提取一个.dll文件，然后使用路径遍历来运行名为champion .inf的文件。最终落地Cobalt Strike有效载荷，使攻击者控制受影响的系统。目前，微软尚未发布官方补丁。

披露时间：2021年09月14日

情报来源：https://zh-cn.tenable.com/blog/microsoft-s-september-2021-patch-tuesday-addresses-60-cves-cve-2021-40444

相关信息：

Microsoft于9月14日发布了本月安全更新，总计修复了86个漏洞。此次更新修复了2个零日漏洞，包括Windows MSHTML远程代码执行漏洞（CVE-2021-40444），已在野外发现利用该漏洞的攻击活动；以及Windows DNS提权漏洞（CVE-2021-36968）。

此外，还修复了Azure 开放式管理基础设施中的远程代码执行漏洞（CVE-2021-38647）和Windows脚本引擎内存损坏漏洞（CVE-2021-26435）等。

零日漏洞说明：

其他重点漏洞说明：