UNC3890攻击以色列关键基础设施

Mandiant研究人员披露具有伊朗背景的新APT组织UNC3890。该组织至少从2020年末开始活跃，主要针对以色列航运、政府、能源和医疗部门开展攻击活动，擅长通过水坑攻击和伪装成合法服务进行钓鱼完成初始接入。在此次攻击活动中，攻击者使用两个独特的工具：SUGARUSH的后门和浏览器凭据窃取程序，此外还使用了多种公开工具，例如METASPLOIT框架和NorthStar C2。目前尚未发现UNC3890与已披露的其他APT组织之间存在明显联系，因此将其归为一个独立的APT组织。

来源：

https://www.mandiant.com/resources/suspected-iranian-actor-targeting-israeli-shipping

SEABORGIUM针对北约进行的网络攻击活动

微软威胁情报中心披露了具有俄罗斯背景的SEABORGIUM组织正开展的网络攻击活动。SEABORGIUM（又名COLDRIVER、TA446）,主要针对北约国家，特别是美国和英国发起攻击活动，具体行业则包括国防和情报资讯公司、政府与非政府组织等。SEABORGIUM利用电子邮件、社交媒体和LinkedIn帐户创建在线角色，使用虚假角色与目标建立信任关系后，通过发送带有PDF附件、文件托管服务平台链接（特别是OneDrive平台链接）开展社会工程学攻击活动。

来源：

https://www.microsoft.com/security/blog/2022/08/15/disrupting-seaborgiums-ongoing-phishing-operations/

Shuckworm持续攻击乌克兰目标

近日，赛门铁克研究人员在受害者的系统中发现一个自解压7-Zip文件，该文件是通过系统默认浏览器下载的。自解压文件运行后，通过下载一个XML文件，进一步执行PowerShell编写的窃取工具。此外，研究人员发现同一个PowerShell窃取工具的三个版本出现在一个系统上。研究人员将此次攻击溯源为具有俄罗斯背景的Shuckworm组织（又名Gamaredon Group、Armageddon）。

来源：

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/russia-ukraine-shuckworm

Kasablanka（卡萨布兰卡）组织针对中东地区

疑似具有摩洛哥背景的APT组织Kasablanka，自2020年开始活跃，此前主要攻击孟加拉国的金融行业。近日，360研究人员捕获到该组织针对Windows和Android两个平台的攻击活动。Windows端利用军事经济热点事件伪装成PDF文档并使用LodaRAT发起攻击。Android端则利用钓鱼网站等针对也门政治团体或公益组织进行攻击，攻击工具使用了SpyNote家族。通过对攻击活动的分析，攻击者的动机更倾向于信息收集和间谍活动。

来源：

https://mp.weixin.qq.com/s/mstwBMkS0G3Et4GOji2mwA

Lazarus Group组织近期不断攻击加密货币行业

近日，安恒信息的猎鹰实验室捕获到Lazarus组织的攻击样本，初始接入使用钓鱼邮件附件和链接的方式传播，诱导用户下载恶意压缩包，并执行压缩包中的恶意文件。下图是攻击流程图。但此次攻击有所变化的是，采用了MSI文件执行嵌入脚本的方式来执行其恶意载荷，并使用三种方法来逃避检测：（1）expand.exe是系统用于解压压缩包的程序，但可以被用来进行文件复制，代替敏感的copy命令；（2）复制并重命名msiexec.exe，以逃避对msiexec.exe的执行检测；（3）pcalua.exe是windows程序兼容性助手，是系统的白名单程序，攻击者使用该程序调用重命名为pat.exe的msiexec.exe，访问远程服务器上的恶意msi文件，从而逃避检测。

来源：

https://mp.weixin.qq.com/s/R8fvBQDHrTA5-VnKINO5Wg

疑似摩诃草针对巴基斯坦政府的攻击样本

近日，研究人员捕获疑似摩诃草针对巴基斯坦的攻击样本。

文件名：NITB e-office02.docx

MD5：47d9189cc83bbed4a6e2b2a2e9cb8db6

URL：https://support-office-us.herokuapp.com/Documents

来源：

https://twitter.com/h2jazi/status/1558130495891857408

Killnet针对洛克希德马丁公司发起DDoS攻击

俄罗斯黑客组织Killnet声称对洛克希德马丁公司（一家美国航空航天制造厂商）进行DDoS攻击，并窃取了公司员工的个人信息数据。被窃数据包括：员工个人姓名、电子邮件、电话号码等图片。Killnet组织自3月以来一直活跃，持续针对意大利、罗马尼亚、摩尔多瓦、捷克共和国、立陶宛、挪威和拉脱维亚等表示支持乌克兰的国家发起DDoS攻击。

来源：

https://securityaffairs.co/wordpress/134341/hacking/killnet-lockheed-martin.html

超过9,000台VNC终端在线暴露

Cyble研究人员发现了至少9,000个暴露的VNC（虚拟网络计算）端点，无需身份验证，攻击者便可以轻松访问内部网络。大多数暴露的VNC终端位于中国、瑞典、美国、西班牙和巴西，这些国家存在大量未受保护的VNC。更糟糕的是，其中一些暴露的VNC终端位于重要的工业控制系统中。

来源：

https://blog.cyble.com/2022/08/12/exposed-vnc-a-major-threat-to-critical-infrastructure-sectors/

Windows Server服务存在漏洞CVE-2022-30216

Akamai研究员在Windows Server服务中发现了一个关键漏洞CVE-2020-30216。该漏洞存在于未打补丁的Windows 11和Windows Server 2022计算机中。利用CVE-2020-30216漏洞，具有域凭据的攻击者能够在域控制服务器上远程运行任意代码。

来源：

https://www.akamai.com/blog/security/authentication-coercion-windows-server-service

MasterFred充当下载器分发Xenomorph恶意软件

MasterFred于2021年11月被发现，是一个针对波兰和土耳其目标的Android银行木马新变种。近期，MasterFred使用Gymdrop下载器，下载其他高级Android银行木马来感染受害者的设备。Masterfred的新变种充当下载器，并添加了一个额外的模块，用于检查恶意应用程序是否存在于Google Play商店中并下载Xenomorph恶意软件，进一步开展攻击活动。

来源：

https://blog.cyble.com/2022/08/17/masterfred-using-gymdrop-to-distribute-xenomorph-android-banking-trojan/

Clop勒索软件攻击英国供水商

英国供水商South Staffordshire Water是一家每天为1.6名消费者提供3.3亿升饮用水的公司。8月15日，该公司发表声明，确认网络攻击导致IT中断，但安全和配水系统仍在运行，IT系统的中断不会影响向其客户或其子公司客户供水。Clop勒索软件声称攻击了英国最大的水供应商和废水处理供应商Thames Water，并访问了SCADA系统，导致1500万客户数据被泄露。公开证据显示，Clop提供了一个包含用户名和密码的电子表格，其中包含South Staffordshire Water公司的电子邮件地址。因此，很可能是Clop勒索软件攻击者误认了受害者。

来源：

https://www.bleepingcomputer.com/news/security/hackers-attack-uk-water-supplier-but-extort-wrong-company/

APT32新攻击样本——每周威胁动态第91期（08.05-08.11）

肚脑虫组织攻击样本——每周威胁动态第90期（07.29-08.04）

疑似海莲花攻击样本——每周威胁动态第89期（07.22-07.28）

揭秘集多种攻击服务于一体的商业型性APT组织——Atlas Intelligence Group（AIG）