披露时间：2021年09月23

情报来源：https://mp.weixin.qq.com/s/o-rvkERRn_7TCX_31s1LQQ

相关信息：

Turla，也被称为Venomous Bear、Waterbug Uroboros，是迄今为止最为高级的威胁组织之一，被认为隶属于东欧某国情报机构。该组织是奇安信红雨滴团队重点监控的APT组织，内部编号为APT-Q-78。Turla组织的攻击活动可以溯源到1996年，但在2014年才被卡巴斯基实验室首次发现。

Turla发动的攻击活动涉及45个国家，主要针对外交部门、政府机构、军事机构、科研机构等组织窃取重要情报，目前已知受害单位包括美国中央司令部、德国外交部、法国军队、瑞士军工企业RUAG等。此外Turla还会针对俄罗斯境内存在腐败嫌疑的目标进行攻击。

披露时间：2021年09月21日

情报来源：https://blog.talosintelligence.com/2021/09/tinyturla.html

相关信息：

Cisco Talos 近期发现并披露了东欧地区APT组长Turla所使用的新型后门TinyTurla，该恶意软包含了下载、上传和执行文件功能，软件运行后可在受害者主机上安装另外一个隐蔽的后门以保持攻击者对受害者系统的长期访问。

目前，美国、德国和阿富汗地区都发现了该样本的驻留痕迹。在此类攻击中，攻击者通常会使用.bat的初始文件来安装后门，后门以名为w64time.dll的形式存在，攻击者为该DLL添加了完整的描述信息使得文件看起来像是微软官方的DLL文件。DLL加载之后将会在注册表中写入配置文件，然后循环请求C2以注册自身，解析C2回复并执行对应的指令。

披露时间：2021年09月16日

情报来源：https://us-cert.cisa.gov/ncas/alerts/aa21-259a

相关信息：

FBI、CISA和CGCYBER在9月16日联合发布了有关利用Zoho中漏洞的APT攻击活动的警报。该漏洞是Zoho ManageEngine ADSelfService Plus平台中的一个身份验证绕过漏洞（CVE-2021-40539），可导致远程代码执行，已于9月7日修复。

该警报称，此次漏洞利用活动对关键的基础设施公司、美国国防承包商、学术机构和其他使用该软件的组织构成了严重风险。

披露时间：2021年09月15日

情报来源：https://www.crowdstrike.com/blog/darkoxide-technical-analysis/

相关信息：

2019年9月，一个未知的APT组织开始崭露头角，该组织对亚太(APAC)半导体行业内的公司发起了长期的定向攻击。CrowdStrike的威胁情报团队将其命名为DarkOxide活动。

两年以来，攻击者的TTPs似乎没有太大改变，攻击者主要是先社工目标用户，在与目标用户在社交媒体接触之后，诱导用户下载并打开与招聘相关的诱饵文件。下载的文件是有双重拓展名的可执行文件，由于Windows操作系统会默认不显示文件的扩展名，那么这种双拓展名的文件很容易就能迷惑受害者。

当可执行文件被执行，程序将会调用脚本代码以下载后续的二进制文件。目前看到的脚本代码有Powershell和VBS两类。第二阶段的二进制文件执行之后，攻击者就成功在受害者主机上安装了远控工具，完成对受害者主机的完全控制。

披露时间：2021年09月15日

情报来源：https://blog.cyble.com/2021/09/15/apt-c-23-using-new-variant-of-android-spyware-to-target-users-in-the-middle-east/

相关信息：

近日，Cyble研究人员发现APT-C-23组织使用Android恶意软件变种针对中东地区的用户，该恶意软件通过网络钓鱼邮件或通过伪装成Telegram应用进行分发。该恶意软件可以从受感染设备窃取敏感信息，包括联系人数据、短信数据以及其他隐私文件。

披露时间：2021年09月16日

情报来源：https://mp.weixin.qq.com/s/PEi2aaprbO3h3FMw_7Es_A

相关信息：

南美洲是世界第四大洲，拥有丰富的自然环境资源，但是由于历史原因导致殖民经济一直存在，战乱不断，政治不稳定，各国经常出现暴乱，伴随着南美洲的动乱，以及政治意见的不同，针对性的情报窃取攻击广泛存在，这类APT攻击持续性强，针对性明确，即使被安全厂商披露，也不会停止行动潜伏，应该时刻保持关注。

APT-C-36盲眼鹰组织是一个疑似来自南美洲的、主要针对哥伦比亚的APT组织，该组织自2018年持续发起针对哥伦比亚的攻击活动。

近日，360高级威胁研究院在日常情报挖掘中发现并捕获到了疑似盲眼鹰的攻击行动。恶意文档最终释放RAT对中招机器进行远程控制，目前已经监控到有国外哥伦比亚用户受到了影响。

披露时间：2021年07月13日

情报来源：https://www.advanced-intel.com/post/front-door-into-bazarbackdoor-stealthy-cybercrime-weapon

相关信息：

Cisco Talos发现了最近两年针对航空领域的攻击活动Operation Layover。研究人员称，攻击者来自尼日利亚，已经活跃了至少5年。该攻击活动使用的技术并不复杂，自开始以来就使用现成的恶意软件而没有自行开发，还购买了可以使恶意软件不被检测到的加密器。在过去的两年里，他们一直在针对航空业，同时还开展了其他活动。

披露时间：2021年09月22日

情报来源：https://blog.malwarebytes.com/reports/2021/09/mshtml-attack-targets-russian-state-rocket-centre-and-interior-ministry/

相关信息：

9月22日，Malwarebytes 研究人员截获了针对俄罗斯的电子邮件并称，利用MSHTML漏洞的恶意攻击活动疑似针对俄罗斯实体。第一封邮件声称来自JSC GREC Makeyev(俄罗斯最大的火箭和空间技术研发中心之一)的人力资源部门，一旦目标打开恶意文档并启用编辑，依赖MSHTML的定制控件ActiveX将被加载并运行恶意代码感染系统。第二封邮件则声称来自莫斯科内政部，感染途径同上。

在此，奇安信威胁情报中心强烈建议相关企业用户安装CVE-2021-40444安全补丁。

披露时间：2021年09月21

情报来源：https://www.microsoft.com/security/blog/2021/09/21/catching-the-big-fish-analyzing-a-large-scale-phishing-as-a-service-operation/

相关信息：

微软的安全团队近期发现了一个名为BulletProofLink的大规模“钓鱼即服务”(phishing as a service)活动，该操作以相对较低的价格销售钓鱼工具、电子邮件模板、主机和自动化服务。BulletProofLink通过出售模仿知名品牌和服务的100多个可用的网络钓鱼模板获利，其行为对目前影响企业的许多网络钓鱼活动负有责任。BulletProofLink被多个网络攻击组织以一次性或每月订阅的商业模式使用，持续创造非法收益。

与勒索软件即服务(RaaS)类似，网络钓鱼即服务遵循软件即服务的模式，要求有企图的攻击者支付费用，让其从仿冒登录页面开发、网站托管、凭证解析和重新分发等方面全面开发和部署网络钓鱼活动。

披露时间：2021年09月20日

情报来源：https://www.trendmicro.com/en_us/research/21/i/Water-Basilisk-Uses-New-HCrypt-Variant-to-Flood-Victims-with-RAT-Payloads.html

相关信息：

Trend安全研究员近期发现了一个无文件攻击活动并命名为Water Basilisk，该活动结合HCrypt的新变种向受害者下发了大量的恶意软件。在Water Basilisk行动中，攻击者使用了大量的公共资源，一方面，他们会使用公开的文件托管服务器来托管他们的恶意软件；另一方面，他们还会入侵WordPress站点用于托管他们的钓鱼工具。

Water Basilisk活动的第一阶段payload通常以VBScript的形式存在，由VBS下载并加载下一阶段的payload。最后，攻击者通常是选择使用经过混淆的powershell脚本进行进程注入，经不完全统计，powershell脚本会加载NjRAT、BitRAT、NanocoreRAT、QuasarRAT、LimeRAT和Warzone等七种不同的远控木马。

披露时间：2021年09月15日

情报来源：https://www.zscaler.com/blogs/security-research/fakeclicky-activity-skimmers-hit-again

相关信息：

Zscaler ThreatLabz对不同的skimmer团伙进行了监控，并在最近发现使用FakeClicky skimmer加载器从电子商务网站窃取支付细节的情况出现了激增。这个skimmer至少在过去两年里一直很活跃。

Skimmer团伙通常使用多种逃避技术，如利用第三方脚本和把skimmer脚本隐藏在图片中，滥用合法服务，如谷歌analytics和Telegram。几乎所有的skimmer活动，都会在某一阶段频繁使用新注册的域名，有助于对抗基于信誉值的检测机制。攻击者注册的域在词法上与合法域相似，增加了它们不被检测到的可能性。ThreatLabz观察到skimmer团伙使用各种方法将恶意代码注入电子商务网站，包括感染第三方脚本，以及直接将恶意代码注入目标电子商务网站的所有页面或选定页面。在更复杂的攻击中，只在结帐页面上添加skimmer代码可以帮助skimmer在很长时间内保持不被发现。

FakeClicky skimmer正是使用了上述的技术，其利用新注册的域名，使用一个假谷歌analytics脚本作为加载器，并在结帐页面注入了恶意的skimmer代码。

披露时间：2021年09月20日

情报来源：https://decoded.avast.io/anhho/blustealer/

相关信息：

BluStealer恶意软件于今年5月被首次发现，主要通过垃圾邮件活动传播。邮件会伪造英文或西班牙文发票，包含.iso附件和下载url，诱导收件人打开并填写表单以解决货运问题。附件包含了BluStealer和一个. NET加载器。

BluStealer由Visual Basic编写的核心和. NET内部负载组成。VB核心重用了来自2004年SpyEx项目的大量代码，在此基础上增加了窃取加密钱包数据、交换剪贴板中的加密地址、查找和上传文档文件、通过SMTP和Telegram Bot API窃取数据以及反分析/反虚拟机策略的功能。. NET组件主要是一个证书窃取器，它是由诸如ThunderFox、ChromeRecovery、StormKitty和firepwd等开源c#工具组合而成的。

披露时间：2021年09月22

情报来源：https://www.cybereason.com/blog/threat-analysis-report-printnightmare-and-magniber-ransomware

相关信息：

CVE-2021-34527和CVE-2021-34481被统称为PrintNightmare。在PrintNightmare被公开披露后不久，攻击者就开始利用该漏洞。原因有以下两点：第一，PrintNightmare允许攻击者使用管理权限执行任意代码；第二，此漏洞存在于“Point and Print”Windows功能中，许多大型企业网络都在积极使用该功能。

攻击者利用PrintNightmare在被攻击的系统上部署Magniber勒索软件。此勒索软件一直在积极开发中，频繁地对代码进行重大修改，并改进了混淆功能、逃避策略和加密机制。攻击者以Windows DLL文件的形式分发Magniber，将Magniber的DLL文件写入%SYSTEM%\System32\spool\drivers\目录，并在“Print Spooler”服务中执行它。执行后，Magniber会解压其恶意代码，并调用Microsoft CryptoAPI加密用户文件。

披露时间：2021年09月21日

情报来源：https://www.trendmicro.com/en_us/research/21/i/cryptominer-z0miner-uses-newly-discovered-vulnerability-cve-2021.html

相关信息：

最近，Trend Micro发现挖矿木马z0Miner开始利用CVE-2021-26084，该漏洞为8月份披露的Atlassian Confluence远程代码执行(RCE)漏洞。该木马于去年末最初被发现利用Oracle的WebLogic服务器RCE漏洞(CVE-2020-14882)。从那时起，z0Miner因利用了各种不同的RCE漏洞而受到关注，如ElasticSearch RCE漏洞(CVE-2015-1427)。

一旦攻击者成功利用Confluence漏洞，z0Miner将部署web shell下载恶意文件。z0Miner使用了多种持久性和检测逃避机制，其中之一是安装文件vmicvguestvs.dll，能够让z0Miner伪装成一个合法的集成服务，称为“Hyper-V Guest integration”。z0Miner木马将从下载的文件ok.bat中包含的url中收集它自己的挖掘工具，它还下载另一个名为clean.bat的脚本，用于查找和删除来自其他竞争对手的任何加密货币挖掘有效负载。

披露时间：2021年09月17日

情报来源：https://www.welivesecurity.com/2021/09/17/numando-latam-banking-trojan/

相关信息：

Numando是一个用Delphi编写的拉丁美洲银行木马，该恶意软件至少自2018年以来一直活跃。Numando木马主要由垃圾邮件分发，主要针对巴西地区。

Numando的分发活动在每封垃圾邮件中添加一个包含MSI安装程序的ZIP附件。此安装程序包含一个CAB存档，其中包含一个应用程序、一个注入器和一个加密的Numando银行木马DLL。如果潜在的受害者执行MSI，最终运行应用程序，并加载注入器。注入器定位有效负载，然后使用带有多字节密钥的简单XOR算法对其进行解密，

此外，Numando还可以使用诱饵ZIP存档分发。分发链以Delphi下载器下载诱饵ZIP存档开始。下载器会忽略存档的内容并从ZIP文件注释中提取一个十六进制编码的加密字符串，这是一个存储在文件末尾的可选ZIP文件组件。下载器不解析ZIP结构，而是查找整个文件中的最后一个字符。解密字符串会产生一个不同的URL，该URL指向实际的有效负载存档。第二个ZIP档案包含一个应用程序、一个注入器和一个BMP图像。下载器提取此存档的内容并执行应用程序，该应用程序会侧向加载注入器，进而从BMP覆盖中提取并执行Numando银行木马。

披露时间：2021年09月15日

情报来源：https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/

相关信息：

微软在9月15日称，其威胁情报中心在8月份发现了少量通过特制MicrosoftOffice文档利用MSHTML中的远程代码执行漏洞（CVE-2021-40444）的活动。

此次活动利用了交付机制，通过托管在文件共享站点上的合同和法律协议，诱使目标下载Cabinet归档文件，其包含一个扩展名为INF的DLL，该DLL将检索并下载远程托管的shellcode。微软将此次活动归因于黑客组织DEV-0413和DEV-0365。

披露时间：2021年09月18日

情报来源：https://medium.com/csg-govtech/all-your-d-base-are-belong-to-us-part-1-code-execution-in-apache-openoffice-cve-2021-33035-767fc7d6daf7

相关信息：

研究人员在9月18日披露了Apache OpenOffice(AOO)中的RCE漏洞CVE-2021-33035的细节。这是一个文件覆盖的缓冲区溢出漏洞，它通过DEP（地址空间布局随机化）和ASLR（地址空间布局随机化）绕过返回指针，最终执行任意命令，攻击者可以通过诱骗目标打开特制的.dbf文件来触发该漏洞。目前，修复该漏洞的测试版程序已经发布。