披露时间：2021年12月16日

情报来源：https://mp.weixin.qq.com/s/ZpU27cCSKa14aupNcCHcug

相关信息：

近日，奇安信红雨滴团队在日常样本狩猎过程中捕获到一批使用了与海莲花（OceanLotus）APT组织相似代码混淆方法的攻击样本。此类样本借助Word程序的DLL侧加载执行恶意代码，代码混淆也采用了海莲花组织曾使用过的方法。

基于上述相似性，一些安全研究者在这些样本上传到VT后将其归属于海莲花组织。经过红雨滴团队研究人员的研判分析，这些样本具体的攻击流程与海莲花过往活动使用的攻击手法存在明显差异，与海莲花的关联性较弱，暂不能归属到任何APT攻击团伙。

鉴于该类攻击样本所用混淆方法比较典型，且样本攻击流程具有一些独有特征，本文将对样本代码去混淆过程和样本采用的攻击手法做个记录。本次捕获的攻击样本具有如下特点：

1. 恶意DLL和释放的后续组件使用相同的代码混淆方法干扰分析;

2. 通过Glitch平台托管C2服务程序；

3. 释放的组件配合工作从C2服务器下载后续载荷并释放执行。

披露时间：2021年12月14日

情报来源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/espionage-campaign-telecoms-asia-middle-east

相关信息：

近日，Symantec研究人员披露了一起持续六个月针对中东和亚洲电信和IT服务提供商的新间谍活动。此次攻击活动目标地区为科威特、约旦、以色列、沙特阿拉伯、阿联酋、巴基斯坦、泰国和老挝，目标行业为电信以及IT服务提供商。攻击者在活动中没有使用自定义恶意软件，而是依靠公开可用的合法工具如ScreenConnect、RemoteUtilities、eHorus、Ligolo、Nping、ProcDump等远程管理工具；公开的恶意软件和离地攻击LotL策略。

研究人员发现，此活动中使用的两个IP地址可与中东APT组织Muddywater过去的活动关联，且与早期Muddywater的攻击工具有一定的重叠，但由于Muddywater组织会定期更换其基础设施，因此研究人员无法做出确凿的归因。

披露时间：2021年12月07日

情报来源：https://www.volexity.com/blog/2021/12/07/xe-group-exposed-8-years-of-hacking-card-skimming-for-profit/

相关信息：

Volexity在12月7日公开了东南亚团伙XE Group近几年Magecart攻击活动的细节。XE Group是一个疑似来自东南亚的黑客组织，于2020年初首次被发现，一直在进行信用卡盗窃活动。攻击者使用的基础设施相对有限，主要专注于破坏IIS环境，在受影响的网站上部署恶意软件。

此前，XE Group曾对客户站点的Web服务器发起攻击。而该组织的最新活动攻击了客户端系统。攻击者使用与“xe[word]”相关的电子邮件地址，并且多年来一直使用相同的自定义名称服务器（ns1.xegroups.com和ns2.xegroups.com）。

XE Group在攻击活动中使用了名为“XEReverseShell”的恶意软件家族。恶意软件主要是用 .NET和AutoIT编写的。最新的skimmer与去年相比有了细微的改进，包括使用了“.join()”和“.”replace()”来重建混淆的字符串，移除了查找密码的功能，且在脚本中进行了额外的检查，以确保在运行关键功能之前窗口已经完成加载。新版本的skimmer可以更有效地获取受害者输入到恶意JavaScript页面上的任何数据。

攻击者入侵的网站在受欢迎程度以及性质上有很大差异，这表明攻击者没有明确的目标策略，发起的攻击不具有针对性。研究人员表示，XE Group的几个C2域名是在越南注册的，且在VirusTotal中发现的一些恶意软件样本似乎也是由越南用户上传的。这很可能是攻击者上传的，目的是在实际部署之前先测试一下恶意软件的检测率。攻击者的一些账户信息可以追溯到2013年，这表明攻击者可能已经发起类似的攻击长达八年之久。研究人员在论坛上发现了被窃取的信用卡账户信息，这表明攻击者的目的主要是通过出售信用卡信息获取经济效益。

披露时间：2021年12月07日

情报来源：https://www.mandiant.com/resources/fin13-cybercriminal-mexico

相关信息：

12月7日，Mandiant研究人员发布了对FIN13组织的分析报告，详细介绍了FIN13组织的攻击方式和使用的恶意软件。FIN13组织长期在墨西哥展开攻击活动，活动时间可以追溯到2016年。FIN13组织在攻击前期会花费大量时间收集信息以执行欺诈性活动，使用自定义被动后门和工具来进行长期潜伏。FIN13专门攻击位于墨西哥的组织，包括金融、零售和酒店行业。FIN13由于经济原因进行网络犯罪，针对Linux和Windows系统。研究显示，出于经济动机进行活动的威胁组织大多运行不到一年，但FIN13组织运营了五年以上。

FIN13组织主要利用外部服务器来部署通用Webshell和自定义恶意软件以建立立足点，恶意软件包括BLUEAGAVE和SIXPACK。被动后门无需主动向C2服务器发送信标，就可以监听受害者的网络环境。FIN13组织使用被动后门而不是常用的主动后门，这表明攻击者倾向于隐蔽和持续、长期的入侵。

披露时间：2021年12月10日

情报来源：https://www.accenture.com/us-en/blogs/cyber-defense/karakurt-threat-mitigation

相关信息：

埃森哲研究人员一直在追踪一个自称Karakurt的组织。Karakurt在土耳其语中意为“黑狼”。该黑客团伙于今年6月首次被确认，只专注于数据泄露和随后的勒索，自9月以来已经锁定了40名受害者，其中95%在北美，其余在欧洲。

该团伙具有财务动机，到目前为止，它的目标似乎是较小的公司或子公司，而不是其他大型目标。为了在访问网络后保持持久性，Karakurt主要使用服务创建、远程管理软件和使用Cobalt Strike在受害者环境中分发C2信标。

披露时间：2021年12月09日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/holiday-feelin-ta575-brings-warm-and-fuzzies-year-end-festive-lures

相关信息：

Proofpoint追踪到的威胁组织TA575已经开始使用节日主题的新诱饵，并在最近的恶意活动中率先加入了纳税主题诱饵。这些活动的最终目的是引诱潜在受害者下载Dridex银行木马。Dridex可导致个人身份信息被盗和被安装勒索软件等次级有效载荷。TA575的活动影响了许多行业，如美国的教育、制造业、地方政府、保险和金融业。

TA575于2021年11月24日开始了今年的一连串活动。钓鱼邮件包含恶意的Excel文件附件一旦被打开，就会使用XL4宏来下载和执行Dridex木马。2021年12月，TA575开始同时使用Excel和Word附件，通过Discord链接、HTA文件和远程模板投递Dridex。

披露时间：2021年12月09日

情报来源：https://cofense.com/blog/german-users-targeted-in-digital-bank-heist-phishing-campaigns/

相关信息：

在过去几周中，攻击者针对德国金融行业用户发起了钓鱼攻击。在此次活动中，邮件没有包含URL，而是通过二维码将用户重定向到钓鱼网站，以绕过安全软件的检测。此次活动主要针对Sparkasse和Volksbanken Raiffeisenbanken这两个金融机构。

攻击者在电子邮件中使用了不同的诱饵，邮件内容结构良好、文体通顺并且具有银行标志。邮件主题内容为要求用户同意银行实施的数据更改政策或要求用户审查新的安全程序，最终目标都是引诱用户登录银行网站并向攻击者提供凭据。如果点击嵌入的按钮，攻击者会利用谷歌提供的代理服务“FeedBurner”将用户重定向到钓鱼网站。如果用户位置不在德国，则将会被重定向到不同的页面。

在最近的网络钓鱼活动中，攻击者使用二维码将用户重定向到钓鱼网站。这些电子邮件不包含明文URL，而是通过QR码进行混淆，使安全软件难以检测。一旦受害者被重定向到钓鱼网站，用户就会被要求输入他们的银行地址、代码、用户名和PIN。输入这些详细信息并等待验证后，用户会被提示密码不正确而再次输入凭据。

这是网络钓鱼活动中常见的策略，旨在避免用户在第一次输入时出现拼写错误。研究人员警告称，无论电子邮件看起来多么合法，用户都应该避免点击按钮、URL甚至二维码，这些代码很可能将用户重定向到外部网站。

披露时间：2021年12月09日

情报来源：https://www.wordfence.com/blog/2021/12/massive-wordpress-attack-campaign/

相关信息：

Wordfence研究人员近日发现了一个针对超过一百万WordPress站点的主动攻击。这些攻击来自1.6万多个不同的IP地址，针对四个不同插件和几个Epsilon框架主题，目标有160多万个网站。

攻击者针对的是4个具有未经认证的任意选项修改漏洞(Unauthenticated Arbitrary Options Update Vulnerabilities)的独立插件。这四个插件包括：Kiwi Social Share、WordPress Automatic、Pinterest Automatic和PublishPress Capabilities。此外，他们还利用各种Epsilon框架主题中的函数注入漏洞，试图修改目标配置。在大多数情况下，攻击者将Users_can_register选项修改为enabled，并将default_role选项设置为 “administrator"，这使得攻击者有可能以管理员身份在任何站点上注册，有效地接管网站。

披露时间：2021年12月10日

情报来源：https://www.fortinet.com/blog/threat-research/phishing-campaign-targeting-korean-to-deliver-agent-tesla-new-variant

相关信息：

最近，Fortinet发现了一起网络钓鱼活动，该活动利用PowerPoint文件投递Agent Tesla新变种。
    钓鱼邮件是用韩语写的，攻击者试图诱使收件人打开附加文件以确认购买订单。事实上，PowerPoint文件中没有幻灯片，只有一个恶意宏。VBA宏代码会利用Windows默认程序mshta访问恶意URL，以获取VBScript代码。为了投递Agent Tesla，攻击者使用了各种各样的脚本，包括嵌入在html中的VBScript、独立的VBScript和PowerShell。

本次攻击者使用的Agent Tesla变种，可以窃取凭证和cookie，其能够窃取凭证的软件客户端超过70个。此变种使用HTTP Post向攻击者回传数据，它使用DES算法对窃取的数据进行加密，并使用base64算法对结果进行编码。

披露时间：2021年12月11日

情报来源：https://blog.netlab.360.com/wei-xie-kuai-xun-log4jlou-dong-yi-jing-bei-yong-lai-zu-jian-botnet-zhen-dui-linuxshe-bei/

相关信息：

360安全研究团队使用蜜罐先后捕获到2波利用Log4j漏洞组建botnet的攻击，快速的样本分析表明它们分别用于组建Muhstik和Mirai僵尸网络，针对的都是Linux设备。

这一波传播的Mirai新变种有两处代码改动，并且其C2域名选用了一个uy顶级域的域名，这在国内是很少见的。同时，新Muhstik变种增加了一个后门模块ldm，它具有增加SSH后门公钥的能力。

考虑到log4j2的漏洞原理比较特殊，攻击者只需漫无目的地散播恶意负载即会有机器被攻击。所以攻击者为确保后续可以使用后门，还要建立一个汇报机制，将受控机器的实际位置/用户名汇报到指定的服务器。Muhstik通过TOR网络完成该汇报任务，这可能会给溯源工作增加一层难度。

披露时间：2021年12月14日

情报来源：https://securelist.com/owowa-credential-stealer-and-remote-access/105219/

相关信息：

攻击者正在Microsoft Exchange Outlook web Access服务器上安装名为“Owowa”的恶意IIS模块，以窃取凭证并在服务器上远程执行命令。Owowa的开发可能始于2020年底。根据卡巴斯基的数据，最近流通的样本来自2021年4月，目标是马来西亚、蒙古、印度尼西亚和菲律宾的服务器。攻击目标为政府机构、公共交通公司和其他重要实体。但Owowa的目标并不局限于东南亚，欧洲也出现了感染的迹象。

对于Exchange服务器，web shell通常是防御者的关注重点。因此，使用IIS模块作为后门是一种很好的隐藏方式。攻击者可以将看似无害的身份验证请求发送给OWA，同时规避标准的网络监控规则。

披露时间：2021年12月13日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/tinynuke-banking-malware-targets-french-entities

相关信息：

Proofpoint研究人员发现了银行恶意软件TinyNuke的持续活动，主要针对在法国开展业务的法国实体。这些活动利用以发票为主题的诱饵，瞄准制造业、工业、科技、金融和其他垂直行业的实体。这表示专门针对法国用户的恶意软件活动继2018年达到顶峰后，再一次回归。

TinyNuke于2017年首次披露，是针对法国公司的银行木马。它有许多具有相同功能的变体，可以用来窃取凭证和其他私人信息，并可以用来启动后续的恶意软件攻击。在最近的活动中，攻击者使用附有ZIP文件下载url的诱饵邮件，并声称是物流、运输或业务服务公司。ZIP包含一个JavaScript文件，js被调用后会执行PowerShell，并下载另一个ZIP文件，其中就包含TinyNuke PE文件。

在最近的大多数活动中，攻击者始终坚持使用url来投递压缩文件，并进而使用Tor进行C2通信，被攻击的机器甚至可能会被添加到僵尸网络中，并受到攻击者的控制。

披露时间：2021年12月13日

情报来源：https://thedfirreport.com/2021/12/13/diavol-ransomware/

相关信息：

Diavol Ransomware于2021年6月由FortiGuard实验室首次发现，被怀疑与Wizard Spider威胁组织有关。研究人员近期披露有攻击者正通过BazarLoader恶意软件活动部署 Diavol 勒索软件。

BazarLoader通过邮件传播，附带一个OneDrive的链接，诱导用户下载恶意负载。BazarLoader感染开始于使用Windows实用程序进行内部侦查，随后，攻击者会部署多个Cobalt Strike DLL信标，使用多个脚本和二进制文件进行凭证获取。一段时间后，攻击者使用RDP执行横向移动，使用AnyDesk、Filezilla 建立远程访问，渗出数据。据观察，攻击者在初始访问后短短32小时内就能够部署全域勒索软件。

披露时间：2021年12月13日

情报来源：https://blog.netlab.360.com/yi-jing-you-xxxge-jia-zu-de-botnetli-yong-log4shelllou-dong-chuan-bo-wei-da-bu-ding-de-gan-jin-liao/

相关信息：

近日，360安全研究团队陆续又捕获到其它家族的样本利用Log4j2漏洞传播。据统计，攻击者扫描的端口主要是8081端口（Apache Flink），占比31.61%，其次是8983端口（Apache Solr），占比28.1%。已经捕获超过1050个攻击源IP，主要来自于ALPHASTRIKE-RESEARCH，ASMK和DIGITALOCEAN-ASN，占比50%以上。扫描源IP来自全球各个国家，其中德国占比最大。攻击源IP主要为国外大网测绘厂商IP，以及大量Tor代理出口节点IP。

目前，360共捕获到10个家族的恶意样本。分别是Muhstik、Mirai、DDoS家族Elknot、挖矿家族m8220、SitesLoader、xmrig.pe、xmrig.ELF，还有两个攻击工具变种，以及一个未知PE家族。

披露时间：2021年12月14日

情报来源：https://news.sophos.com/en-us/2021/12/14/microsoft-wraps-up-2021-with-64-patched-vulnerabilities-including-windows-7-fixes/

相关信息：

微软在12月份的补丁日发布了67个漏洞的修复补丁，涉及到Microsoft Defender、Microsoft Devices、Microsoft Office、Microsoft PowerShell、Visual Studio、Windows NTFS等多款产品或组件，其中7个漏洞被标记为严重漏洞，60个被标记为高危漏洞。此次更新总计修复了6个0day，包括5个提权漏洞，以及Windows AppX安装程序欺骗漏洞。其中，CVE-2021-43890已被用于各种恶意软件分发活动，包括Emotet、TrickBot和BazarLoader。

零日漏洞说明：

CVE-2021-43240 - NTFS Set Short Name Elevation权限提升漏洞：CVE-2021-43240是新技术文件系统（NTFS）设置短名称功能中的一个EoP漏洞。它的CVSSv3评分为7.8，被评为"不太可能被利用"，已经被公开披露。在今年早期，NFTS的另一个EoP漏洞 CVE-2021-31956 被当作零日漏洞利用。

CVE-2021-41333 - Windows Print Spooler权限提升漏洞：CVE-2021-41333是Windows Print Spooler中的一个EoP漏洞，CVSSv3评级为7.8，被标记为"更可能被利用"。这个漏洞由趋势科技的Abdelhamid Naceri和谷歌的James Forshaw发现。这只是今年Windows Print Spooler披露的一系列漏洞中的最新一个。鉴于以前的Print Spooler漏洞被大量利用，用户应该尽快使用补丁。

CVE-2021-43883 - Windows Installer权限提升漏洞：CVE-2021-43883是Windows Installer的一个EoP漏洞，由Abdelhamid Naceri在11月公开披露。当时，Naceri还披露了一个零日漏洞，似乎还没有被修补。CVE-2021-43883的CVSSv3评分为7.8，并被标记为"更可能被利用"，表明它比原来的漏洞更严重。要利用这个漏洞，攻击者需要说服目标打开一个特制的安装程序，以获得升高的权限。

CVE-2021-43890 - Windows AppX 安装程序欺骗性漏洞：CVE-2021-43890是Windows AppX 安装程序的一个欺骗性漏洞，该Installer用于在Windows 10系统上安装AppX应用程序。根据报告，这个漏洞已经被人在野外利用。它与Emotet/TrickBot/Bazaloader恶意软件家族密切相关。要利用这个漏洞，攻击者需要说服用户打开一个恶意附件，这往往是通过网络钓鱼实现的。一旦被利用，该漏洞将赋予攻击者更高的权限，特别是当受害者的账户在系统上有管理权限时。

其他重要漏洞说明：

CVE-2021-43215 - iSNS服务器内存破坏漏洞：CVE-2021-43215是互联网存储名称服务（iSNS）协议中的一个内存损坏漏洞。iSNS协议用于促进iSNS服务器和客户端之间的通信。远程、未经认证的攻击者可以通过向有漏洞的iSNS服务器发送特制的请求来利用这一漏洞。成功利用后，攻击者将在iSNS服务器上执行远程代码。该漏洞的CVSSv3评分为9.8分，根据微软的可利用性指数，该漏洞被评为 "更可能被利用"。

CVE-2021-43905 - Microsoft Office应用远程代码执行漏洞：CVE-2021-43905是Microsoft Office应用中的一个RCE漏洞。该漏洞的CVSSv3评分为9.6。要利用这个漏洞，攻击者必须创建一个恶意的微软Office文档，并通过社交工程说服用户打开该文档。微软表示，预览窗格不是一个攻击媒介，这意味着利用该漏洞需要打开文档，而不仅仅是预览文档。由于这个漏洞存在于微软Office应用程序中，这个漏洞的补丁将作为自动更新的一部分通过微软商店分发。

CVE-2021-43233 - 远程桌面客户端远程代码执行漏洞：CVE-2021-43233是远程桌面客户端的一个RCE，CVSSv3评分为7.5。鉴于过去对远程桌面协议（RDP）的攻击，微软将其评为 "更可能被利用 "。要利用这一缺陷，需要一个易受攻击的目标连接到一个恶意的RDP服务器。成功的利用将允许攻击者在连接的客户端的机器上执行任意代码。