披露时间：2022年07月20日

情报来源：https://mp.weixin.qq.com/s/3pawBe4_SL7vuLieHNgmCw

相关信息：

近期，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到EnvyScout攻击样本，该样本释放的ISO文件中包含LNK文件以及设置了文件隐藏属性的PE文件，通过LNK文件启动其中的正常EXE，进而以侧加载方式执行恶意DLL。恶意DLL利用团队协作通信服务Slack作为C&C信道，获取后续载荷并执行。

国外安全研究人员进一步发现了与该EnvyScout攻击样本相关的钓鱼邮件和PDF诱饵文档[5]。邮件与PDF均使用意大利语，内容是要求机构部门人员完成COVID-19疫苗接种的通知，钓鱼邮件使用意大利政府域名进行伪装，因此可以认为此次攻击目标位于意大利。结合对同源样本的分析，我们发现此次攻击活动至少从6月中旬开始。

样本攻击流程如下所示。

披露时间：2022年07月16日

情报来源：https://mp.weixin.qq.com/s/kF7l6UN4GF5cta0ATmz_kw

相关信息：

金刚象（VajraEleph），是一个来自南亚某国军方背景的APT组织，该组织的攻击活动最早由奇安信病毒响应中心于2022年3月进行全球首次公开披露，是奇安信独立发现并率先披露的第15个APT组织。金刚象组织的攻击活动最早可追溯到2021年，迄今为止该组织一直处于活跃状态。

金刚象组织主要针对巴基斯坦、阿联酋、尼泊尔、沙特阿拉伯、斯里兰卡、马尔代夫等印度周边国家发起攻击，对政府机构、国防军事部门人员实施网络间谍活动，攻击活动具有强烈的军事意图。其中巴基斯坦是最主要的受害国家，目前已受害人员近600名，受害占比96.6%。

此外文中将介绍肚脑虫组织的背景、攻击手段、相关攻击工具以及著名攻击事件。详情见情报来源链接。

披露时间：2022年07月21日

情报来源：https://mp.weixin.qq.com/s/jX8D8d-4q46pKHS0AIVgjw

相关信息：

2019年奇安信威胁情报中心发布《阻击“幻影”行动：奇安信斩断东北亚APT组织“虎木槿”伸向国内重要机构的魔爪》全网首次披露东亚APT团伙“虎木槿”，奇安信内部跟踪代号APT-Q-11,在此后的数年间我们一直对其保持高强度的跟踪，该团伙在2019-2021三年间使用了多个浏览器0day漏洞，使用多种攻击手法对目标进行渗透攻击，基于奇安信大数据平台捕获到的攻击手法如下：

1. 普通鱼叉邮件钓鱼

2. 浏览器0day+鱼叉邮件

3. 内网水坑攻击

4. 内网0day横向移动

由于该团伙非常善于挖掘本土化软件的0day漏洞，技术较为高超，我们没有十足的把握洞悉“虎木槿”过去三年中所有的攻击活动，本文披露的活动也只是冰山一角，希望友商对本报告进行补充扩展。本篇以年份为单位，披露漏洞细节（漏洞软件目前均已修复）、成因以及利用，文末会公布历史活动的IOC，相关IOC均已无法访问，截止到报告完成前尚未捕获到新活动。

披露时间：2022年07月19日

情报来源：https://unit42.paloaltonetworks.com/cloaked-ursa-online-storage-services-campaigns/

相关信息：

研究人员最近披露黑客组织APT29利用相关在线存储服务(例如DropBox和Google Drive)对多国外交使馆发起的攻击。APT29(也称为Cloaked Ursa、Nobelium或Cozy Bear)被多国认定是属于俄罗斯外国情报局(SVR)的国家级黑客组织。他们通过后门长期访问受害者环境。

根据分析，至少从2010年以来APT29就一直在攻击外交组织和政府机构。本次攻击活动中，其攻击目标是外国驻葡萄牙大使馆和外国驻巴西大使馆。攻击方式主要是利用鱼叉式钓鱼攻击，向相关目标投放针对性钓鱼邮件，邮件文档中都包含指向恶意HTML文件(EnvyScout)的链接，该文件用作目标网络中其他恶意文件的投放器，包括Cobalt Strike有效负载。其中的EnvyScout可以被描述为一种辅助工具，用于进一步用攻击者的植入物感染目标。对恶意软件的内容进行去混淆处理，该阶段的恶意软件其实是一个恶意ISO文件。这种技术被称为HTML Smuggling。在这种情况下，文件Agenda.html负责对有效负载进行反混淆，并将恶意ISO文件写入预期的目标硬盘驱动器。下载ISO后，需要用户交互才能在受害机器上执行代码。用户必须双击ISO文件，然后双击快捷方式文件Information.lnk以启动解包和感染过程。

披露时间：2022年07月15日

情报来源：https://mp.weixin.qq.com/s/USitU4jAg9y2XkQxbwcAPQ

相关信息：

2022年上半年，研究人员发现了来自Lazarus组织的攻击活动，本次攻击活动伪装为Alibaba相关组件进行攻击，载荷组件与NukeSped家族相关，后续载荷以窃取目标相关文件信息为主，可以推断是针对特定领域或者人群进行的攻击行动，本次攻击行动针对性强、隐蔽性强，目前视野内中招用户涉及韩国软件企业Hancom Secure相关。

组织利用伪造Alibaba相关程序并注册服务实现伪造组件的持久化，涉及伪造组件alibabaprotect.db、alibabaconf.bat，伪造组件释放后续载荷HttpUploader，实际主要为根据载荷参数上传用户特定目录下文件信息。值得注意的是连接C&C地址与上传目录均以参数形式传递至伪造组件，以达到关键信息与载荷分离目的。

披露时间：2022年07月18日

情报来源：https://blog.sekoia.io/ongoing-roaming-mantis-smishing-campaign-targeting-france/

相关信息：

近日，研究人员发现一起网络钓鱼活动，该活动通过嵌入网络钓鱼短信的恶意URL，部署MoqHao Android恶意软件，或重定向到Apple登录详细信息凭据收集页面。经分析该活动归因于Roaming Mantis组织。

Roaming Mantis是一个出于经济动机的攻击者，曾针对德国、韩国、日本、美国和英国用户展开攻击活动。研究人员表示，Roaming Mantis此次活动针对法国的 Android 和 iOS 用户，并可能导致大约 70000 台 Android 设备遭到入侵。

Roaming Mantis 组织在 Android 设备上投放 XLoader (MoqHao) 有效负载，这是一种强大的恶意软件，具有远程访问、信息窃取和短信垃圾邮件等功能。在最近观察到的活动中，攻击者使用 SMS 通信来引诱用户在其 Android 设备上下载恶意软件。如果潜在受害者为iOS用户，则将被重定向到 虚假的 Apple 登录网页。

披露时间：2022年07月15日

情报来源：https://unit42.paloaltonetworks.com/digium-phones-web-shell/

相关信息：

最近，研究人员发现了一项针对Digium 手机中使用的Elastix系统的活动。攻击者通过在目标的 Digium 手机软件（一个用 PHP 编写的 FreePBX 模块）中下载和执行额外的有效载荷，植入一个 web shell 以窃取数据。其中，Web shell的植入利用了Rest Phone Apps (restapps) 模块中的远程代码执行 (RCE) 漏洞CVE-2021-45461。

研究人员表示，该恶意软件将多层混淆的 PHP 后门安装到 Web 服务器的文件系统，下载新的有效载荷以用于执行并安排重复任务以重新感染主机系统。此外，该恶意软件会在每个恶意软件下载中植入一个随机垃圾字符串，以试图规避基于妥协指标 (IoC) 的签名防御。此次活动与以色列网络安全公司Check Point在2020年11月披露的INJ3CTOR3攻击活动有相似之处，可能是之前攻击的“死灰复燃”。初始 dropper 脚本概述如下：

披露时间：2022年07月15日

情报来源：https://mp.weixin.qq.com/s/EYIYWbnFFcnitu2Pz9wIpg

相关信息：

近日，研究人员监测到一起针对Linux系统的破坏性攻击活动。恶意代码在系统时间2022年6月20日0时之后触发破坏功能，导致感染的用户因系统无法正常启动而感知到了恶意代码的存在。

该样本执行后，会将curl、top等系统命令劫持为恶意代码，并创建计划任务，实现持久化驻留。定时条件触发后，样本会尝试删除root账户、破坏启动扇区、系统引导文件和Linux内核，使系统无法正常启动，然后删除系统中的特定文件，破坏业务系统环境，最后清除日志，抹除痕迹。由于大部分Linux系统未进行有效防护，使恶意代码长期潜伏在系统中而未能及时发现。

披露时间：2022年07月20日

情报来源：https://mp.weixin.qq.com/s/jk4Muxapf69fD-rIABYnvw

相关信息：

近期，奇安信病毒应急响应中心捕获到了一个奇怪的样本，经溯源分析，发现这是一款在公开渠道售卖并在TG流行的商业木马。该木马是一款在黑客论坛上出售的商业木马，会窃取的信息包括系统信息、浏览器凭据、加密钱包信息、FTP 信息、Telegram 和 Discord 信息等。由于售卖者的头像有Redline字样，因此该木马被命名Redline Stealer。

Redline Stealer 最早可追溯到 2020 年 02 月 20 日, 有人在一个俄文论坛上以昵称 "REDGlade"发帖进行公开销售。在搜索相关信息时, 发现如同盗号箱子洗信一样, 网上同样有在售卖 REDLINE STEALER 窃取的日志, 其日志内容包含用户系统信息, 安装的软件, Cookies, 浏览器自动完成以及其他账号密码等。由此可见，从生产、销售、分发、获利等环节看，该木马已然形成了一个完整的产业。

披露时间：2022年07月19日

情报来源：https://www.fortinet.com/blog/threat-research/new-variant-of-qakbot-spread-by-phishing-emails

相关信息：

研究人员捕获了一封网络钓鱼电子邮件，该邮件通过HTML附件传播QakBot最新变种，QakBot是一种信息窃取程序和银行木马。

HTML文件包含一段javascript代码，一旦收件人在Web浏览器中打开，该代码就会自动执行。该代码会解码base64数据并保存到名为“ScannedDocs_1586212494.zip”的本地文件中。ZIP文档中包含一个 Windows快捷方式文件，快捷方式文件可以通过将命令放入Target字段来执行，当双击文件时会下载一个DLL文件，用于加载QakBot。QakBot最终会从受害者的设备收集敏感数据并将其发送到其C2服务器。同样地，攻击者可以将相应的子模块传输到QakBot客户端以在受害者的设备上执行。QakBot还利用Windows API、WMI对象查询来获取目标机器的相关信息。

为了避免被发现，该恶意软件通常利用进程挖空技术将恶意代码或模块注入另一个进程。同时它还利用了一系列反分析技术，包括常量字符串加密，动态获取关键Windows API，检测分析工具进程名称等。

披露时间：2022年07月19日

情报来源：https://www.welivesecurity.com/2022/07/19/i-see-what-you-did-there-look-cloudmensis-macos-spyware/

相关信息：

2022年4月，研究人员发现了一个以前未知的macOS后门，它监视受感染Mac的用户，并专门使用公共云存储服务与其运营商来回通信。经过分析，将其命名为CloudMensis。它的功能清楚地表明，其操作员的意图是通过窃取文档、击键和屏幕截图从受害者的Mac中收集信息。

CloudMensis是用Objective-C开发的macOS恶意软件。研究人员分析的样本是针对英特尔和苹果芯片架构编译的。当获得代码执行和管理权限时，会执行一个两阶段的操作，第一阶段下载并执行功能更强大的第二阶段。有趣的是，这个第一阶段的恶意软件会从云存储提供商那里检索下一个阶段。它不使用可公开访问的链接；它包含一个访问令牌，用于从驱动器下载MyExecute文件。在分析的样本中，pCloud用于存储和交付第二阶段。

披露时间：2022年07月20日

情报来源：https://mp.weixin.qq.com/s/vfbZRtmNstrNa5InOcJCXw

相关信息：