每周高級威脅情報解讀(2021.04.01~04.08)

攻擊團夥情報

攻擊行動或事件情報

惡意代碼情報

漏洞情報

披露時間：2021年03月31日

情報來源：https://www.anomali.com/blog/bahamut-possibly-responsible-for-multi-stage-infection-chain-campaign

相關信息：

Anomali研究人員發現有攻擊者在多階段感染鏈攻擊活動中利用漏洞(CVE-2017-8570)分發惡意文檔，以在目標機器上安裝Visual Basic (VB)可執行文件，創建後門。該後門似乎只檢索受感染機器的用戶名，表明這可能是一項偵察活動。

研究人員基於有限的技術情報，並根據目標與先前觀察到的活動相一致，評估該活動疑似與APT網絡間諜組織Bahamut有關。Bahamut是一個「僱傭組織」，通常以中東和南亞的實體和個人為目標，使用魚叉式釣魚信息和虛假應用程式作為初始感染媒介。

Gaza Cybergang使用語音轉換軟體誘騙目標安裝惡意軟體

披露時間：2021年04月06日

情報來源：https://www.cadosecurity.com/post/threat-group-uses-voice-changing-software-in-espionage-attempt

相關信息：

Gaza Cybergang是一個來自中東的APT組織，最早於2012年開始活動。2016年年初，該組織發起了名為Operation DustSky的攻擊活動，該活動主要以埃及、以色列、沙烏地阿拉伯和伊拉克為攻擊目標。近日，國外安全研究員披露了該組織近期的活動情況。

和歷史一樣，該組織的社會工程釣魚還是以魚叉攻擊和仿冒釣魚網站為主。不同於以往的是，該組織最近正在通過語音交談來誘使受害者安裝指定的惡意軟體。目前已知該團夥會構造女性語音包，在社交媒體上與受害者進行交談，取得受害者信任之後向其發送惡意軟體，一旦受害者下載並安裝了該軟體，攻擊者就可以取得對受害者設備的完全控制，包括文件傳輸、簡訊、聯繫人、麥克風權限和相機權限。

披露時間：2021年04月07日

情報來源：https://mp.weixin.qq.com/s/ljD-ExFysbuYj4Xu7ls7Wg

相關信息：

Turla也被稱為 Snake，Venomous Bear、WhiteBear 、Waterbug、Uroboros 等，是一個具有俄語政府背景的 APT 組織。此外，卡巴斯基曾證實上世紀90年代著名網絡間諜組織「月光迷宮」（Moonlight Maze）為 Turla 組織的前身。該組織因其複雜的惡意攻擊組件以及泛散的攻擊目標而聞名。

Turla 組織在2008年因入侵美國中央司令部計算機系統而被曝光，隨後幾年，多家安全公司相繼披露多起有關 Turla 組織的攻擊事件。根據關聯 Turla 使用攻擊組件推測該組織最早活動時間約為2004年，2015年年中開始，其活動頻次明顯加劇。

自活動至今，Turla 組織發起的攻擊活動中的受害者涉及地域已超過45個國家，其攻擊目標包括政府機構、大使館、國際組織、軍隊、高等教育機構、科研機構、製藥公司等等。其最終攻擊目的為情報刺探，通過一系列網絡間諜活動竊取目標單位敏感情報信息。

披露時間：2021年04月06日

情報來源：https://blog.malwarebytes.com/threat-analysis/2021/04/aurora-campaign-attacking-azerbaijan-using-multiple-rats/

相關信息：

Malwarebytes最近監測到針對亞塞拜然的網絡攻擊活動。使用的誘餌文件以SOCAR信件模板，針對亞塞拜然政府，SOCAR是亞塞拜然共和國石油天然氣公司的名稱。該文檔中嵌入式宏可以提取隱藏在PNG文件中的惡意負載數據。創建的VBS文件通過調用Runner.bat以執行Python RAT。

RAT首先使用從PNG文件中提取並放入RAT目錄的證書文件(cert.pem)創建到伺服器的安全SSL連接，然後循環接收來自伺服器的消息，包括收集受害者信息（包括作業系統名稱，作業系統版本和用戶名）、執行shell命令等。

披露時間：2021年03月31日

情報來源：https://www.group-ib.com/media/indonesia-twitter-scam/

相關信息：

Group-IB披露針對印度尼西亞大型金融機構的詐騙活動，涉及超過200萬客戶。攻擊者在Twitter上偽裝成銀行代表或客戶技術支持來接觸受害者，最終目標是盜取其銀行中的資金。該活動已對至少有七家組織發起攻擊，針對超過200萬印尼銀行的客戶。此外，從1月初的600個偽造Twitter帳號到3月份的1600個，該活動的範圍擴大了2.5倍，平均每天都會創建數十個帳戶。

披露時間：2021年03月31日

情報來源：https://blog.talosintelligence.com/2021/03/cheating-cheater-how-adversaries-are.html

相關信息：

Cisco Talos最近發現了一項針對視頻遊戲玩家和其他PC遊戲模組的新活動。活動通過包括YouTube在內的廣告或者與視頻遊戲修改相關的社交媒體開展，傳播具有惡意功能的遊戲補丁、調整或修改工具。

活動中攻擊者使用了一種新的密碼器，其隱藏在看似合法的文件中，用戶下載這些文件後，作弊代碼將安裝到視頻遊戲或其他遊戲修改(又名「mods」)中。密碼器使用VisualBasic6、Shellcode和進程注入技術。其中包含後門加載器代碼，分發的後門包括XtremeRAT，可用來竊取文檔、記錄鍵盤輸入、捕獲屏幕截圖、使用攝像頭或麥克風錄製音頻以及遠程shell等。

針對LinkedIn用戶分發more_eggs的釣魚活動

披露時間：2021年04月05日

情報來源：https://www.esentire.com/security-advisories/hackers-spearphish-professionals-on-linkedin-with-fake-job-offers-infecting-them-with-malware-warns-esentire

相關信息：

eSentire安全團隊發現針對LinkedIn上失業用戶的新一輪魚叉式網絡釣魚活動，黑客利用目標個人資料中列出的職位信息，使用帶有對應職位的惡意zip文件對受害者進行魚叉釣魚攻擊。一旦打開虛假的工作邀請，將啟動無文件後門more_eggs的隱蔽安裝。

該惡意軟體會劫持合法的Windows進程來隱藏其配置文件，可以下載其它惡意插件，並提供對受害者計算機的實際訪問權。此外，該活動可以針對不同的目標來不斷調整其攻擊，利用特製的誘餌來誘使用戶下載惡意軟體。目前尚不清楚該黑客組織的身份，但據推測，可能與FIN6、Cobalt Group或Evilnum有關。

GitHub上開源Android RAT工具「AndroSpy」開始活躍

披露時間：2021年04月06日

情報來源：https://mp.weixin.qq.com/s/mpoiwvYW2ryz4oYTF4L0iQ

相關信息：

2021年3月，奇安信病毒響應中心移動安全團隊在日常的威脅分析運營中發現到一個攻擊團夥使用了一款新型Android RAT。經分析後發現，該款RAT實際是AndroSpy開源RAT。AndroSpy於2020年8月被開源於github上，其首款在野攻擊時間為2020年11月。

開源後的數月，已發現其被數個攻擊團夥用於攻擊，至今共涉及近百個在野樣本，目前尚未發現該RAT對國內有影響。該RAT採用C＃編寫，是個典型的RAT類程序，通過控制端可以便捷操控受控手機及竊取受控手機敏感信息。

Hancitor惡意軟體活動傳播Cobalt Strike和Ficker Stealer

披露時間：2021年04月01日

情報來源：https://unit42.paloaltonetworks.com/hancitor-infections-cobalt-strike/

相關信息：

Hancitor是一種信息竊取和惡意軟體下載程序。最近，Palo Alto Networks研究人員發現相關感染活動。活動中，攻擊者使用了帶有連結的電子郵件，連結指向可能受到破壞的在Google Drive上託管的頁面。該頁面包含下載惡意Word文檔的連結，惡意Word文檔啟用宏後，宏代碼將釋放並運行Hancitor 惡意DLL文件。

Hancitor DLL文件通過rundll32.exe運行，然後向C2發起通信，發送受感染的Windows主機的公共IP位址、主機名和用戶帳戶名、Windows版本和域信息，並且檢索後續階段需要的惡意軟體，如Cobalt Strike、Ficker Stealer。

此外，還發現一個用於執行ping的Windows EXE文件，該工具可以查找AD環境中的所有其他活動主機，會造成大量異常的ICMP流量。

披露時間：2021年04月02日

情報來源：https://blog.morphisec.com/the-fair-upgrade-variant-of-phobos-ransomware

相關信息：

Morphisec研究人員在3月初發現了Phobos勒索軟體變種。該變種使用PowerShell腳本在內存中投放勒索軟體，腳本通過使用paste.ee來投放加載程序和勒索軟體組件。該變種還在受感染伺服器上創建了後門帳戶以保持持久訪問，並安裝了挖礦程序和殭屍網絡。

披露時間：2021年04月06日

情報來源：https://www.welivesecurity.com/2021/04/06/janeleiro-time-traveler-new-old-banking-trojan-brazil/

相關信息：

ESET的研究人員披露了針對巴西地區的新型銀行木馬Janeleiro。該木馬至少從2019年以來就開始針對巴西的企業，涉及工程、醫療保健、零售、製造業、金融、運輸和政府等各個領域。

Janeleiro通過帶有惡意附件的未付款發票主題釣魚郵件進行傳播，通過虛假的MSI安裝程序加載。Janeleiro檢索感染計算機的公共IP位址，並使用Web服務對感染機器進行地理位置定位，非巴西則退出，否則收集受感染計算機基礎信息並發送給C＆C伺服器，其中C＆C伺服器地址存儲在攻擊者創建的GitHub頁面中。

aneleiro通過偽造大型銀行網站（Santander和Banco do Brasil等）的彈窗來誘惑目標，這些彈窗包含虛假的表格來誘使目標輸入銀行憑證和個人信息。此外，Janeleiro是由Visual Basic .NET編寫的，這與該地區的黑客所喜歡的Delphi有很大的出入。

Apple Mail中存在可用來監聽郵件的零點擊漏洞

披露時間：2021年04月02日

情報來源：https://mikko-kenttala.medium.com/zero-click-vulnerability-in-apples-macos-mail-59e0c14b106c

相關信息：

研究人員在Apple的macOS Mail中發現了一個零點擊漏洞（CVE-2020-9922）。該漏洞允許攻擊者在Mail的沙箱環境中添加或修改任何文件。攻擊者只需向目標發送一封帶有兩個.ZIP文件的電子郵件即可觸發該漏洞，包括未經授權地將敏感信息洩露給第三方；修改受害者的郵件配置，包括郵件重定向，該重定向使密碼重置可以接管受害者的其他帳戶；更改受害者的配置，從而使攻擊能夠以類似蠕蟲的方式傳播到通信對象。

在macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15.5中已對該漏洞進行了修復。