披露时间：2021年12月7日

情报来源：https://www.telsy.com/nobelium-again-or-ecrime-operation/

相关信息：

威胁情报团队发现了一项网络钓鱼活动，该活动似乎针对位于美国、英国和欧洲的多名受害者。并至少自 2021 年 10 月以来一直活跃，现在仍在进行中。分析发现此次攻击TTP与APT29相似。使用了ISO磁盘映像->LNK->DLL。并使用了Sliver进行部署。

所有iso都以以下形式命名为“Document_XXXX.iso”（Xs代表一个4位数字），并且所有iso内部都有名为“Documents.LNK”的LNK文件。根据所使用的装载机，ISOs可以分为4种不同的类型。

披露时间：2021年12月6日

情报来源：https://www.mandiant.com/resources/russian-targeting-gov-business

相关信息：

研究人员确定了两个不同的活动集群，UNC3004 和 UNC2652。这两个集群都与 UNC2452 相关联，也被微软称为 Nobelium。在大多数情况下，其入侵后活动包括盗窃与俄罗斯利益相关的数据。在某些情况下，窃取数据似乎主要是为了创建访问其他受害环境的新路径。威胁行为者不断创新和识别新技术和技巧，以保持对受害者环境的持续访问、阻碍检测和混淆归因工作：

披露时间：2021年12月6日

情报来源：https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-011/

相关信息：

法国网络安全机构ANSSI在12月6日发布通告称Nobelium APT自今年2月开始一直针对法国。NOBELIUM主要针对政府组织、非政府组织(NGO)、智库、军队、IT服务提供商、医疗和研究行业以及电信提供商。ANSSI称其发现了与Nobelium APT的TTP重叠的钓鱼活动，成功入侵了法国组织的邮件帐户，并利用这些帐户向外国机构发送武器化邮件。

披露时间：2021年12月2日

情报来源：https://blog.malwarebytes.com/threat-intelligence/2021/12/sidecopy-apt-connecting-lures-to-victims-payloads-to-infrastructure/

相关信息：

SideCopy APT 至少自 2019 年以来一直在运作，主要针对南亚国家，尤其是印度和阿富汗。它试图模仿SideWinder APT 的感染链。此次攻击活动中，SideCopy使用Microsoft Publisher 文件和木马应用程序作为其初始感染媒介，并更新了hta.dll和preBotHta.dll的代码并添加了更多功能。

攻击者用来发送给受害者的每个存档文件都被视为一个独特的包，每个包都有自己的负载，包括 hta 和通常托管在受感染域上的可执行文件。SideCopy有一个名为“Scout”的系统来监控每个包裹。Scout 系统有四个英文昵称的用户（Hendrick、Alexander、Hookes、Malone）。它还定义了负责管理每个包的团队。

此外，SideCopy APT 使用了一种新的 Stealer，该组件还有一个有趣的独特 PDB 路径："D:\Project Alpha\HTTP Auto\app\Release\app.pdb"

披露时间：2021年12月7日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/university-targeted-credential-phishing-campaigns-use-covid-19-omicron-themes

相关信息：

研究人员发现攻击者开始利用COVID-19新变体Omicron为诱饵主题针对大学进行凭证窃取活动。随着学院和大学在假期期间和之后往返校园的学生、教职员工和其他工作人员提供和要求测试，并且随着 Omicron 变体更广泛地出现，这项活动很可能会在接下来的两个月内增加。

网络钓鱼电子邮件包含旨在收集大学帐户凭据的页面的附件或 URL。登陆页面通常模仿大学的官方登录门户，尽管一些活动具有通用的 Office 365 登录门户。在某些情况下，例如 Omicron 变体诱饵，受害者在获取凭据后会被重定向到合法的大学通信。

攻击者使用不同的发件人和托管方法来分发凭证盗窃活动。在 Omicron 变体活动中，威胁行为者利用已控制的基础设施来托管使用类似域命名模式的凭据盗窃网页；而基于附件的活动利用合法但遭到入侵的 WordPress 网站来托管凭据捕获网页。研究人员观察到攻击者利用合法的、受损的大学帐户发送 COVID-19 主题威胁，其很可能正在窃取大学的凭据并使用受感染的邮箱向其他大学发送相同的威胁。

披露时间：2021年12月2日

情报来源：https://blog.talosintelligence.com/2021/12/magnat-campaigns-use-malvertising-to.html

相关信息：

近日，研究人员披露了一项恶意活动，该活动提供流行软件的虚假安装程序为诱饵，试图诱骗用户在其系统上执行流恶意软件。该活动还包括一组于 2018 年底开始的恶意软件分发活动，主要针对加拿大、美国、澳大利亚和一些欧盟国家。

一旦假安装程序运行，它们就会在受害者的系统上执行三个恶意软件：

其中，后门程序和Google Chrome 扩展程序是两个未记录的恶意软件系列。

披露时间：2021年12月2日

情报来源：https://lookout.com/blog/phishing-targeting-military-families

相关信息：

研究人员发现了一项长期存在的网络钓鱼活动，该活动正积极针对美国军人的家人以及有兴趣成为士兵的个人。攻击者冒充军事支持组织和人员窃取敏感的个人和财务信息以获取金钱利益。

为了增强钓鱼网站的可信度，攻击者在这些页面上使用了人们希望在军事附属网站上看到的视觉效果和语言。此外，他们还会在恶意内容旁边编织虚假的国防部服务广告。这些假冒的服务自称只为家人或亲人代为办理的士兵。他们都没有为他们的服务定价，而是要求个人联系提供的联系方式。将所有这些数据放在一起来看，显然是为了让攻击者能够冒充个人并从他们的银行账户中窃取资金，或者以欺诈方式注册其他金融服务

披露时间：2021年12月6日

情报来源：https://www.fortinet.com/blog/threat-research/mirai-based-botnet-moobot-targets-hikvision-vulnerability

相关信息：

去年 9 月 18 日，威胁研究人员发布了 一篇 关于远程代码执行漏洞的文章，该漏洞影响了海康威视（全球最大的视频监控品牌之一）的各种产品。该漏洞 CVE 编号为CVE-2021-36260。CVE-2021-36260 源于输入验证不足，允许未经身份验证的用户将恶意内容注入标签以触发对海康威视产品的命令注入攻击。

研究人员观察到大量有效载荷试图利用此漏洞来探测设备状态或从受害者那里提取敏感数据。特别是一种有效载荷引起了我们的注意。它试图删除一个表现出感染行为并执行 Moobot 的下载程序，这是一个基于 Mirai 的 DDoS 僵尸网络。本博客解释了攻击者如何通过海康威视漏洞传送此有效载荷，以及僵尸网络的详细信息。

披露时间：2021年12月7日

情报来源：https://asec.ahnlab.com/en/29316/

相关信息：

最近，研究团队发现在AgentTesla恶意 PowerPoint 文件中运行的脚本中添加了各种恶意功能。运行恶意文件的方法与之前的案例相同，它执行反病毒和UAC绕过等功能，并通过恶意脚本执行其他恶意软件。

执行恶意宏时，会出现伪装成PowerPoint错误的错误提示，让用户难以察觉恶意行为。恶意宏由Auto_Open()函数自动执行，用于恶意行为的数据被混淆。去混淆后会显示特定字符串，恶意命令是通过 shell 函数执行的，并通过mshta进程连接恶意URL，运行附加脚本。

披露时间：2021年12月7日

情报来源：https://s.tencent.com/research/report/140

相关信息：

CERBER勒索软件传播者利用Atissin Confutence远程代码执行漏洞(CNVE-2021-260.4)，和itlbaerftrc,远程代码执行漏洞(CVE-2021-2205)攻击云上主机。被勒索软件加密破坏的文件无密钥暂不能解密，可造成数据完全损失，业务彻底崩溃。

CERBER勒索病毒使用CryptoPP加密库对文件进行加密，加密行为极具针对性。本次利用Cconfutence远程代码执行漏洞(CVF-2021-26084)攻击的样本，加密路径针对性包含了Confluence组件下相关文件。而关联出的另一样本，可看出为样本针对性加密Gitab目录文件。该样本通过citlab exirool远程代码执行漏洞攻击(CVE-2021-2205)传播。攻击者通过不同漏洞投递的勒索样本，加密目录也会伴随着入侵方式做优化。被加密后的文件将被添加locked扩展后缀，同时留下名为_SSRECOVERY_READMESS_.html的勒索信，要求登陆指定暗网地址购买解密器。

披露时间：2021年12月3日

情报来源：https://www.trendmicro.com/en_us/research/21/l/vulnerabilities-exploited-for-monero-mining-malware-delivered-via-gitHub-netlify.html

相关信息：

研究人员观察到攻击者通过在 2020 年和 2021 年披露的安全漏洞进行恶意加密货币挖掘活动。

捕获到的挖矿样本可针对 Windows 和 Linux 平台。虽然使用的漏洞根据目标基础设施而有所不同，但批处理脚本适用于两者。Netlify 和 GitHub 被用作恶意软件文件服务器，用于从攻击者控制的帐户下载批处理脚本。批处理脚本被重命名为临时文件并在它开始在后台运行后被删除。

批处理脚本（c3.bat)）会调用wmic枚举系统中的特定参数，用于计算 Windows 主机的门罗币挖矿率。对于不同的挖矿速率，矿池上使用不同的端口。在识别出 CPU 的算力后，将运行的 c3pool_miner 从主机中移除。然后从攻击者控制的 GitHub 存储库下载压缩的矿工 (c3.zip)，并使用 PowerShell 解压缩下载的文件。该脚本还继续从官方存储库安装适用于 Windows 的最新版本的 XMRig。成功安装矿工后，将使用 PowerShell 修改配置文件。

披露时间：2021年12月2日

情报来源：https://mp.weixin.qq.com/s/FSRyK3vLD3jyd3saRkesqQ

相关信息：

近日，研究人员捕获了一款仿冒Word文档的木马病毒FakeWord，该病毒将自身放置在具有系统以及隐藏属性的文件夹中，伪装成Word文档的快捷方式，利用社会工程学诱导用户启动自身。自身运行后会释放并打开正常的“简历”Word文档来迷惑用户，在打开“简历”文档的同时，其会继续释放并运行第二阶段木马。第二阶段木马具有反调试功能，运行后会解密出恶意Dll，并将Dll注入到正常程序中，然后调用Dll中的导出函数在被注入的程序中创建远程线程。最终，在被注入的进程中运行CS Beacon。

披露时间：2021年12月10日

情报来源：https://mp.weixin.qq.com/s/0OU-U6gdcfJLR_-_RfjEEA

相关信息：

近日，奇安信CERT监测到Apache Log4j存在任意代码执行漏洞，经过分析，该组件存在Java JNDI注入漏洞，当程序将用户输入的数据进行日志，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

经奇安信CERT验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响，鉴于此漏洞危害巨大，利用门槛极低，奇安信CERT建议用户尽快参考缓解方案阻止漏洞攻击。

披露时间：2021年12月7日

情报来源：https://mp.weixin.qq.com/s/SXidZxG5B8bDFjxidfEmXw

相关信息：

研究人员获取到Grafana未授权任意文件读取 0day相关漏洞情报，攻击者可以利用该漏洞任意读取主机上的文件。Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。

需要注意的是该漏洞并不依赖于某个特定的插件，而是因为Grafana在解析插件路由的时候没有对输入进行有效过滤造成的任意文件读取。

披露时间：2021年12月1日

情报来源：https://blog.talosintelligence.com/2021/12/vuln-spotlight-chrome-.html

相关信息：

研究人员最近在Google Chrome中发现了一个可利用的释放后使用漏洞。TALOS-2021-1352 (CVE-2021-30625)是一个释放后使用的漏洞，如果用户在Chrome中打开一个特别制作的网页，就会触发该漏洞。该页面可能触发重用以前释放的内存，从而导致任意代码执行。

奇安信提醒广大用户及时以下受影响的产品：Google Chrome版本92.0.4515.131以及94.0.4597.1，研究人员已测试并确认这些版本的Chrome可能会被这个漏洞所利用。