披露时间：2022年08月26日

情报来源：https://blog.alyac.co.kr/4892

相关信息：

近期，研究人员捕获到Kimsuky组织针对俄罗斯外交部的攻击样本。此次攻击是通过电子邮件进行的，分析发现Kimsuky试图利用已失陷的俄罗斯驻沈阳总领事馆账户对俄罗斯驻日本总领事馆进行进一步攻击。

钓鱼邮件伪装成大使馆会计部门，并以转移资金为诱饵主题。附件包含一个正常的非恶意文件_Pyongyang in talks with Moscow on access to Donbass.pptx，以及一个嵌入恶意宏代码的文件Donbass.ppam。宏代码中包含了另一个名为oup的vbs文件，通过设置任务计划，以便每5分钟执行一次vbs文件。vbs文件包含攻击者指定的C&C服务器地址，每5分钟执行一次，等待攻击者的命令。

披露时间：2022年08月29日

情报来源：https://mp.weixin.qq.com/s/IZNl6N2K1LUU7e1hT4JeYw

相关信息：

近两年蔓灵花的攻击流程上并未有较大的变化，依旧以投递恶意文档文件（如公式编辑器漏洞文档、chm文档、宏文件等）作为主要的攻击入口，而此类型的样本也被多次分析，此处就不再多做赘述。

通过对蔓灵花的基础设施进行分析，研究人员捕获到多个由蔓灵花APT组织服务器下发的多个msi文件。在这些msi文件中，存在部分msi中包含vbs文件。vbs文件的功能多为重命名并执行一同被释放的组件程序。值得注意的，蔓灵花在vbs文件中会通过“Explorer.exe”代理运行程序，并且在捕获的多个vbs文件的下方均存在字符串“asdasdasdad”。

披露时间：2022年08月25日

情报来源：https://securelist.com/kimsukys-golddragon-cluster-and-its-c2-operations/107258/

相关信息：

2022年初，研究人员观察到Kimsuky组织正在攻击韩国的媒体和智囊团，包括与政治或外交活动相关的人员或组织。在其新的攻击中，该组织通过发送Word文档的鱼叉式网络钓鱼电子邮件，以获取与朝鲜半岛地缘政治问题相关的信息。

攻击者主要利用HTML应用程序文件格式感染受害者，偶尔使用Hangeul诱饵文档。受害者感染之后，攻击者便向其传递一个VBS文件，并利用合法的博客服务来托管恶意脚本，植入的VBS文件能够报告有关受感染机器的信息并下载其他有效负载。最后阶段，攻击者利用一个Windows恶意软件从受害者那里窃取信息，例如文件列表、用户击键和存储的Web浏览器登录凭据。

情报来源：https://www.microsoft.com/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-to-authenticate-as-anyone/

相关信息：

研究人员发现了一种称之为MagicWeb的后入侵工具，被NOBELIUM组织使用，以保持对受感染环境的持续访问。

MagicWeb是一个恶意DLL，它允许操作由Active Directory联合服务（AD FS）服务器生成的令牌中传递的声明。它操作用于身份验证的用户身份验证证书，而不是黄金 SAML 等攻击中使用的签名证书。

NOBELIUM能够通过首先获得对高特权凭据的访问权限并横向移动以获得AD FS系统的管理特权来部署MagicWeb。攻击者拥有AD FS系统的管理员访问权限，并将合法DLL替换为自己的恶意DLL，从而导致恶意软件由AD FS而不是合法的二进制文件加载。一旦攻击者获得管理访问权限，他们就有很多选项可以进一步破坏系统、活动混淆和持久性。

披露时间：2022年08月25日

情报来源：https://www.microsoft.com/security/blog/2022/08/25/mercury-leveraging-log4j-2-vulnerabilities-in-unpatched-systems-to-target-israeli-organizations/

相关信息：

最近，研究人员检测到伊朗的威胁攻击者MERCURY（MuddyWater）利用SysAid应用程序中的Log4j 2漏洞来攻击所有位于以色列的组织。

成功利用SysAid后，攻击者会释放Web shell来执行多个命令。大多数命令都与侦察有关，并使用一个编码的PowerShell来下载攻击者的横向移动和持久性工具。一旦MERCURY获得对目标组织的访问权限，威胁行为者就会使用多种方法建立持久性并利用新的本地管理员用户通过远程桌面协议(RDP)进行连接。在此会话期间，威胁参与者通过利用开源应用程序Mimikatz转储凭据。研究人员还观察到MERCURY随后在SQL服务器中执行额外的凭证转储以窃取其他高权限账户，如服务账户。

披露时间：2022年08月30日

情报来源：https://mp.weixin.qq.com/s/37rosWbQhRjyT7J-B5l-FQ

相关信息：

2022年8月，奇安信病毒响应中心移动安全团队在高级威胁追踪中发现到Bahamut组织投入了一个近两年其在Android端经常使用的TriggerSpy家族新变种。该变种为第四代，此次攻击仍采用钓鱼网站进行分发。需要注意的是，目前该新变种在VirusTotal上显示暂无其它杀软识别。

Bahamut组织在今年8月16日开始投入钓鱼网站(paytm[.]website)进行载荷投递，钓鱼网站伪装成印度知名支付Paytm网站。根据此次的钓鱼网站性质和历史攻击情况，分析认为Bahamut组织此次攻击的目标主要针对的是部分印度人员。

披露时间：2022年08月29日

情报来源：https://research.checkpoint.com/2022/check-point-research-detects-crypto-miner-malware-disguised-as-google-translate-desktop-and-other-legitimate-applications/

相关信息：

近期，研究人员检测到了一个未公开的名为Nitrokod的土耳其加密货币挖矿活动，活动可能感染了全球的数千台机器。活动的初始阶段从下载一个受Nitrokod感染的程序开始，攻击者主要从Softpedia和uptodown等数十个流行网站上的免费软件中释放恶意软件。

Nitrokod自2019年开始活跃，已感染了11个国家/地区的系统。其实际上是一家土耳其语软件开发商，提供例如谷歌翻译桌面应用程序等已被木马化的流行软件。应用程序包含一个延迟机制，以释放加密恶意软件并造成长期感染。用户通过google搜索“谷歌翻译桌面下载”时可轻松下载该恶意软件，一旦启动新软件，就会安装一个实际的谷歌翻译应用程序并释放一个更新的文件，该文件会启动四个投放器，直到释放实际的恶意软件。恶意软件由计划任务执行后便连接到C2服务器nvidiacenter.com以获取XMRig加密矿工配置并开始挖矿活动。

披露时间：2022年08月25日

情报来源：https://www.trendmicro.com/en_us/research/22/h/new-golang-ransomware-agenda-customizes-attacks.html

相关信息：

Agenda是一种基于Golang编写的可针对受害者进行定制的新勒索软件，实质上为64 位Windows PE文件，其攻击目标为亚洲和非洲的医疗保健和教育企业。

攻击者主要利用Citrix服务器作为入口点，使用有效账户访问服务器从而进入受害者的网络，然后通过扫描网络、创建组策略对象(GPO)，再通过执行计划任务将勒索软件部署在机器上。

Agenda首先检查注册表值数据中的字符串safeboot来确定机器是否在安全模式下运行，若检测到机器在安全模式下运行，则终止执行。否则，终止其配置中指示的与防病毒相关的进程和服务。Agenda还通过更改用户密码并以安全模式重新启动以规避检测，并能够利用本地账户凭据冒充合法账户的形式来执行勒索软件二进制文件，并在其配置中使用嵌入式登录凭据。Agenda使用AES-256加密文件，使用RSA-2048加密生成的密钥。加密后，通过配置中指示的公司ID来重命名加密文件，然后将赎金记录{company_id}-RECOVER-README.txt放在每个加密目录中。Agenda最后将pwndll.dll注入svchost.exe以允许连续执行勒索软件二进制文件。

目前，已发现印度尼西亚、沙特阿拉伯、南非和泰国的受害者，赎金要求在5万美元到80万美元之间。

披露时间：2022年08月29日

情报来源：https://blog.netlab.360.com/purecrypter/

相关信息：

近日，研究人员观察到一个MaaS类型的loader，它名为PureCrypter，今年非常活跃，先后推广了10多个其它的家族，使用了上百个C2。本文主要从C2和传播链条角度介绍我们看到的PureCrypter传播活动，分析其运作过程。

PureCrypter使用了package机制，由两个可执行文件组成：downloader和injector，它们都使用C#编写，其中downloader负责传播injector，后者释放并运行最终的目标家族二进制文件。实际操作时，攻击者通过builder生成downloader和injector，然后先设法传播downloader，后者会在目标机器上下载并执行injector，再由injector完成其余工作。从代码逻辑上看，downloader模块相对简单，样本混淆程度较低，没有复杂的环境检测和持久化等操作，而injector则使用了loader里常见的奇技淫巧，比如2进制混淆、运行环境检测、启动傀儡进程等。

披露时间：2022年08月25日

情报来源：https://unit42.paloaltonetworks.com/threat-assessment-black-basta-ransomware/

相关信息：

Black Basta是一种勒索软件即服务(RaaS)，于2022年4月首次出现，该勒索软件是用C++编写的，影响Windows和Linux操作系统，目前已攻击了超过75个组织。

研究人员观察到Black Basta勒索软件组使用QBot作为初始入口点，并在受感染的网络中横向移动。QBot，也称为Qakbot，是一种Windows恶意软件，最初是一种银行木马，后来演变为恶意软件植入程序。它已被其他勒索软件组织使用，包括MegaCortex、ProLock、DoppelPaymer和Egregor。虽然这些勒索软件组使用QBot进行初始访问，但观察到 Black Basta 组使用它进行初始访问并在整个网络中横向传播。

披露时间：2022年08月31日

情报来源：https://mp.weixin.qq.com/s/pgKs4POmqi2Bnjg_uPbIoQ

相关信息：

FontOnLake是一个经过精心设计并且在持续发展的恶意软件家族。此类恶意软件以Linux系统为目标，会伪装成实用工具软件例如kill、cat、ssh等，具备收集登录凭据，充当代理服务器，执行shell命令等后门能力，并且会利用内核态rootkit来隐藏自身的存在。使用FontOnLake的攻击者十分谨慎，目前观察到的样本都使用不同的C&C服务器地址，常用高端口，而且当样本出现在公开平台后，样本使用的C&C服务器就不再处于活动状态。

近期攻击活动中，攻击者扫描到攻击目标的一个web服务存在Yii框架远程命令执行漏洞，通过wget下载系统对应版本的FontOnLake恶意软件。此外攻击者会利用NATBypass内网穿透端口转发工具，将内网的ssh端口转发到公网服务器，并使用ssh_scan工具对ssh端口进行爆破，通过Ladon的go版本以及fscan对内网进行快速扫描。

披露时间：2022年08月30日

情报来源： https://mp.weixin.qq.com/s/xjt34CvfoQXqWc67BE8K2w

相关信息：