披露时间：2022年08月11日

情报来源：https://blog.morphisec.com/apt-c-35-new-windows-framework-revealed

相关信息：

近日，研究人员确定了Donot组织一个新的攻击活动，该组织使用RTF文件,针对包括巴基斯坦国防部在内的政府部门进行网络钓鱼活动。

当RTF文档打开时，它会尝试通过发送HTTP GET请求从其C2获取恶意远程模板：<domain>/<X>/<Y>.php。如果该请求的User-Agent不包含MSOffice，则C2将返回一个内容为空的诱饵文档。否则，它会下载并注入一个宏武器化文档，宏代码执行shellcode最终下发Windows框架YTY的各个组件。

其中攻击者对浏览器窃取模块进行了升级，该模块没有在DLL中实现窃取功能，而是使用前一阶段下载的四个可执行文件。每个可执行文件都会从Google Chrome或Mozilla Firefox中窃取信息。

披露时间：2022年08月15日

情报来源：https://mp.weixin.qq.com/s/egG0nORZFvo_rCY_zmTgVQ

相关信息：

Patchinfecter木马是Patchwork组织的新攻击工具，并应用在近期针对国内的攻击活动中。此外，研究人员还发现该组织通过CVE-2021-40444漏洞利用文档植入后续木马。

Patchinfecter木马会遍历机器上最近打开的文档，并注入恶意代码，如果受害者将文档共享给其他人，那么该受控机器的其他联系人也会成为新的受控者。跟常见的钓鱼文档不同，此种感染白文件的方式，完全可以造成一个身份受信任的人不通过邮件方式将恶意文件传给其他人的情况，那么会极大的提高恶意文档的点开率。

Infectedloader，该文件为Patchinfecter木马生成的恶意文档，利用CVE-2021-40444漏洞进行后续木马传播，CVE-2021-40444为微软MHTML远程命令执行漏洞，攻击者可通过传播Microsoft Office文档，诱导目标点击文档从而在目标机器上执行任意代码，在受控机器上植入后续木马。

披露时间：2022年08月15日

情报来源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/russia-ukraine-shuckworm

相关信息：

研究人员发现在最近针对乌克兰组织的活动中，Gamaredon组织使用Infostealer作为有效载荷。

该组织通过电子邮件向目标传递一个自解压7-Zip文件，点击后会利用mshta.exe下载一个XML文件，并伪装成HTML应用程序(HTA)文件。随后XML文件执行PowerShell窃取程序。研究人员观察到同一个PowerShell窃取程序的三个版本出现在同一个系统上，以试图逃避检测。

在受害者机器上还观察到两个文件名中包含“juice”和“justice”字样的VBS下载器，分析发现为Pterodo后门，这些脚本能够调用PowerShell、上传屏幕截图以及执行从命令和控制(C&C)服务器下载的代码。此外，在受害机器上还发现了Giddome后门，使用VCD、H264和ASC扩展名进行伪装，以达到混淆分析的目的。

披露时间：2022年08月17日

情报来源：https://mp.weixin.qq.com/s/R8fvBQDHrTA5-VnKINO5Wg

相关信息：

研究人员分析发现，近日Lazarus组织的攻击手法有所变化，采用了MSI文件执行嵌入脚本的方式来执行其恶意载荷，并使用多种方法来逃避检测。且该组织的攻击行为，与加密货币的涨跌具有较强的相关性。

该组织通常采用钓鱼邮件的方式传播，通过邮件附件或链接的方式，诱导用户下载恶意压缩包，并执行压缩包中的恶意文件。压缩包分为三种情况：

1. 释放加密的诱饵文件和一个带有恶意命令的LNK文件，由LNK文件下载后续载荷，后续载荷释放文件密钥和恶意脚本；

2. 释放LNK文件，LNK文件下载后续载荷，后续载荷释放诱饵文件和恶意脚本；

3. 释放带宏的OFFICE文件，由恶意宏下载后续载荷并执行；

披露时间：2022年08月17日

情报来源：https://mp.weixin.qq.com/s/mstwBMkS0G3Et4GOji2mwA

相关信息：

2021年2月15日，一个疑似名称为Kasablanka的组织针对孟加拉国银行和包括孟加拉国警察局、伊斯兰银行在内的多个金融、政府组织发起网络攻击。研究表明，Kasablanka组织开发有自己专用的LodaRAT，利用AutoIt脚本语言编写，同时开发人员也已将Android添加为目标平台。

近期，研究人员发现并捕获到了该组织针对Windows和Android两个平台的攻击活动。Windows端利用军事经济热点事件伪装成PDF文档并使用LodaRAT发起攻击。Android端则利用钓鱼网站等针对也门政治团体或公益组织进行攻击，并且攻击工具开始使用SpyNote家族。通过对攻击活动的分析，推测该组织不简简单单是为了获取经济利益，其动机似乎更倾向于信息收集和间谍活动。

披露时间：2022年08月15日

情报来源：https://www.microsoft.com/security/blog/2022/08/15/disrupting-seaborgiums-ongoing-phishing-operations/

相关信息：

近日，国外研究团队破坏了一项黑客的社会工程活动，该活动与被追踪为SEABORGIUM的俄罗斯威胁行动者有关，该活动目标针对北约国家的个人和组织。

研究人员表示，SEABORGIUM（也称为ColdRiver和TA446）主要针对北约国家，但已经在波罗的海、北欧和东欧地区（包括乌克兰）看到了活动，SEABORGIUM主要针对国防和情报咨询公司、非政府组织(NGO) 、政府间组织(IGO)、智囊团和高等教育方面开展攻击活动。此外，还观察到SEABORGIUM针对前情报官员、俄罗斯事务专家和国外的俄罗斯公民。

SEABORGIUM通过电子邮件、社交媒体和LinkedIn账户创建虚假的在线角色，用于针对目标个人和组织的社会工程活动。当攻击者与目标进行对话并建立融洽关系，最终导致发送网络钓鱼附件。一旦打开附件，便会提示受害者“无法查看该文档，诱导单击按钮重试。点击后会将受害者带到运行网络钓鱼框架（例如 EvilGinx）的登录页面，以显示特定服务的登录表单。

披露时间：2022年08月12日

情报来源：https://mp.weixin.qq.com/s/ua7KrEP5yWbvNHfCULgn8g

相关信息：

近日，研究人员监测到大量针对威联通（QNAP）网络存储设备（NAS）的攻击活动，攻击者开发的恶意软件可以通过USB盘和网络共享进行横向传播。

根据分析，攻击者目前仅以捕获为目的，并未发起更多的攻击活动，攻击者原本期望通过网页挂马的方式，感染用户主机，这一思路主要针对用户浏览器进行攻击，成本较高。一般通过浏览器控制目标主机，获取主机权限，往往需要漏洞进行辅助或利用社会工程学，引导用户主动点击并运行恶意软件。

攻击者通过将快捷方式（Lnk）文件伪装为正常文件或网络驱动器，诱骗受害者点击执行。执行后，会从快捷方式文件中指定的网址下载安装恶意的MSI（微软安装包）文件。MSI文件中包含了恶意的DLL模块，该DLL模块采用了高级对抗技术，将最终攻击模块深度隐藏，在经过对数据的多层解密和加载执行后，才释放出最终的攻击模块。此外，此恶意快捷方式文件可以传播到U盘或网络共享设备，实现感染。

披露时间：2022年08月10日

情报来源：https://securelist.com/vilerat-deathstalkers-continuous-strike/107075/

相关信息：

DeathStalker主要针对金融和律师事务所组织，研究人员认为DeathStalker是一个雇佣兵组织，提供专门的黑客或金融情报服务。

其2022年的攻击基于“VileRAT”Python植入物，具有高度规避性。VileRat通常在复杂的感染链之后部署，该链一般从鱼叉式网络钓鱼电子邮件开始。最近，还利用嵌入在目标公司公共网站中的聊天机器人来发送恶意文档，恶意DOCX文档通常使用“合规性”或“投诉”关键字（以及目标公司的名称）命名，假装攻击者正在回答一个识别请求或报告一个问题以掩盖攻击，在最初的感染之后，DeathStalker会将一个混淆的JavaScript文件传递给目标计算机，这些计算机将分发并计划VileLoader（VileRAT安装程序）的执行，之后VileRAT可以从命令和控制（C2）服务器进行任意远程命令执行，例如键盘记录和自我更新等。

披露时间：2022年08月17日

情报来源：https://mp.weixin.qq.com/s/pQYN6CvAUMr4PBVMvSmBrg

相关信息：

研究人员对Emotet僵尸网络的背后团伙、攻击事件及手法、资产通信进行了深入的分析，目前主要的结论如下：

● 团伙画像：Emotet僵尸网络主要通过伪装成收款单、节日祝福、新冠疫情通告等内容的钓鱼邮件进行传播。其攻击的地区遍布全球，对各种制造、互联网、金融等行业均有涉及，近期也观测到其针对国内政企单位的大范围攻击活动，值得警惕。

● 技术特点：Emotet木马载荷使用WordPress失陷站存储，且木马回连的C2服务器同样为失陷站点，因此从网络资产维度难以追踪到攻击者的真实身份。对抗检测的技术较为成熟：样本层面加壳或使用混淆器混淆，且二进制文件通过随机字节改变哈希值，流量层面使用HTTPS协议加上自定义的加密信道进行通信。

● 危害：受Emotet感染的机器会加入僵尸网络，定期接收任务执行，用于窃取本地账密，邮件和发送钓鱼邮件，代理和下载执行其他第三方银行木马、勒索软件等功能，造成企业敏感信息泄露，甚至造成内部范围传播并勒索，危害很大。

● 通过对该僵尸网络通信协议的详细分析并进一步依赖于自有的网络空间测绘系统对全网进行的分析，累计发现了上千台Emotet活跃的主控服务器，位于美国的最多，德国、法国次之。

披露时间：2022年08月11日

情报来源：https://www.cisa.gov/uscert/ncas/alerts/aa22-223a

相关信息：

Zeppelin是基于Delphi的Vega恶意软件家族的衍生产品，可用作RaaS（勒索软件即服务），从2019年到2022年6月被用来攻击大量的的企业和关键基础设施，包括国防承包商、教育机构、制造商和技术公司，特别是医疗行业的组织。Zeppelin要求用比特币支付赎金，初始金额从几千美元到一百多万美元不等。

Zeppelin通过远程RDP连接、利用SonicWall防火墙漏洞和网络钓鱼攻击访问受害者网络。在部署勒索软件之前，攻击者花费一到两周的时间映射或枚举受害者网络以识别包括云存储和网络备份的数据安全区，Zeppelin执行组件可以将勒索软件部署为文件，或通过PowerShell加载到程序中。在加密之前，Zeppelin会窃取敏感的公司数据文件，以便在受害者拒绝支付赎金的情况下出售或发布。执行勒索软件后，每个加密文件都会附加一个随机的九位十六进制数字作为文件扩展名。带有赎金记录的便笺文件会留在受感染系统的桌面上。

Zeppelin会在受害者的网络中多次执行恶意软件，导致为每个攻击活动创建不同的ID或文件扩展名，致使受害者需要多个唯一的解密密钥。

披露时间：2022年08月17日

情报来源：https://www.cybereason.com/blog/threat-analysis-report-bumblebee-loader-the-high-road-to-enterprise-domain-control

相关信息：

研究人员分析了从最初的Bumblebee感染到整个网络的危害的攻击链。据观察，大多数Bumblebee感染都是由最终用户执行LNK文件开始的，这些文件使用系统二进制文件加载恶意软件。恶意软件的分发是通过带有附件或指向包含Bumblebee的恶意存档的链接的网络钓鱼电子邮件来完成的。

入侵成功后Bumblebee攻击者进行信息侦察活动，并将执行命令的输出重定向到文件以进行泄露。攻击者在整个攻击过程中使用Cobalt Strike框架，并利用获得的Active Directory凭据访问制作包含整个Active Directory数据的ntds.dit副本。最后，域管理员账户用于横向移动、创建本地用户账户以及使用Rclone软件窃取数据。

披露时间：2022年08月17日

情报来源：https://mp.weixin.qq.com/s/MRWc-woCAugH7qhyeH8vww

相关信息：

近日，奇安信CERT监测到Google Chrome官方发布安全通告，其中包括Google Chrome 代码执行漏洞(CVE-2022-2856)，由于Intents对不可信输入数据的验证不足，Google Chrome 存在远程代码执行漏洞。攻击者可通过诱导用户打开特制页面来利用此漏洞，配合其他漏洞可在目标系统上执行任意代码。影响版本如下：

Google Chrome   Desktop for Mac/Linux < 104.0.5112.101

Google Chrome Desktop for Windows < 104.0.5112.102/101

Google Chrome Extended for Mac < 104.0.5112.101

Google Chrome Extended for Windows < 104.0.5112.102