"南亚之蟒"针对印度国防部投递新型Python窃密软件

近日，安恒信息的研究人员披露了新的APT组织，并命名为”南亚之蟒“，内部编号”APT-LY-1004“。该组织针对印度国防部投递了新型Python窃密软件。研究人员在捕获到南亚地区“网络冲突间谍战”中的恶意文档文件后，通过分析该样本发现，样本运行后，将加载远程模板中的宏代码执行，宏代码会对虚拟机环境及调试环境进行较为全面的检测，然后通过创建计划任务实现持久化。除此之外，还会在本地释放PyInstaller打包的文件窃密器，该窃密器的主要功能为窃取指定后缀文件并上传，以及执行任意cmd指令。本次攻击活动的攻击链图如下所示。

来源：

https://mp.weixin.qq.com/s/il8Sq8MlgeNLnNDzypHFyA

Kimsuky使用AppleSeed木马攻击核电相关公司

近日，ASEC的研究人员披露了向核电相关公司分发AppleSeed木马的网络攻击事件，并确认攻击者为具有朝鲜背景的APT组织Kimsuky。AppleSeed是Kimsuky使用频率最高的后门恶意软件之一。在此次攻击中，攻击者使用了双扩展名诱饵文档来欺骗用户。当执行诱饵文档后，通过解码诱饵文档中的编码数据，将恶意文件放在不同的路径，并调用regsvr32执行和删除的恶意代码。执行成功后，恶代码会访问特定的C2服务器接收指令并将执行结果编码返回。攻击者可以使用run命令控制受害者执行所需行为，并且下载执行其他恶意载荷，例如AppleSeed。

来源：

https://asec.ahnlab.com/ko/40552/

Cranefly团伙近期攻击活动分析

近日，Symantec的研究人员披露了Cranefly团伙攻击活动的分析报告。根据分析报告显示，Cranefly(又名UNC3524)正在使用新dropper(Trojan.Geppei)来安装另一款新的木马工具(Trojan.Danfuan)和其它恶意工具(Hacktool.Regeorg)。Geppei会从合法的IIS日志中读取命令，其中包含恶意编码的.ashx文件，这些文件被保存到由命令参数指定的任意文件夹中，并作为后门运行。尽管上述恶意代码已在受害者的网络中潜伏了18个月，但研究人员尚未观察到攻击者实际窃取数据的活动。

来源：

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cranefly-new-tools-technique-geppei-danfuan

疑似Lazarus组织针对韩国的攻击活动分析

近日，安天的研究人员披露了具有朝鲜背景的APT组织Lazarus，疑似针对韩国的攻击活动分析报告。此次攻击活动中，Lazarus组织使用多阶段下载工具，并通过Dropbox获取C2地址，增加攻击载荷被捕获的难度。同时，样本中存在检测指定的杀软组件以及沙箱进行防御规避的行为。样本还利用了fodhelper.exe绕过UAC提升恶意进程的权限，通过进程注入的方式以及更改Windows Defender的排除列表使攻击活动更难被发现。最后，通过样本中检测的杀软ALyac以及Ahnlab均为韩国流行的杀软，并结合诱饵文件的名称“Sogang KLEC.docx”以及诱饵文档正文中的图片可以推测出这是一起针对韩国的攻击活动。

披露Kimsuky的样本

近日，研究人员披露了Kimsuky组织的恶意样本，IOC信息如下所示：

MD5：320d2e841d145f48f513eba516c1e796

URL：hxxp://h987ft.c1.biz/dn.php?name={}&prefix=tt&tp={}

来源：

https://twitter.com/shadowchasing1/status/1587023070820081664

欧盟最大铜生产商Aurubis遭受网络攻击

德国铜生产商Aurubis宣称遭受网络攻击，迫使其关闭IT系统以防止攻击蔓延。Aurubis是欧洲最大的铜生产商，也是世界第二大铜生产商，在全球拥有6900名员工，每年生产100万吨阴极铜。Aurubis在其网站上发布的公告中表示，已经关闭了所在地的各种系统，并且未影响生产，但是无法估计所有系统恢复正常运行需要多长时间。最后，Aurubis表示，这次袭击是“对金属和采矿业的更大攻击的一部分”。

来源：

https://www.bleepingcomputer.com/news/security/largest-eu-copper-producer-aurubis-suffers-cyberattack-it-outage/

OpenSSL3.0存在漏洞：CVE-2022-3786和CVE-2022-3602

近日，OpenSSL官方发布了关于CVE-2022-3786和CVE-2022-3602漏洞的安全公告。OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的WEB服务器。CVE-2022-3602存在于OpenSSL中X.509证书验证的名称约束检查功能中，攻击者可通过制作恶意电子邮件地址导致任意4字节堆栈缓冲区溢出，最终导致远程代码执行或拒绝服务；CVE-2022-3786同样存在于OpenSSL中X.509证书验证的名称约束检查功能中，攻击者可通过制作恶意电子邮件地址导致包含“.”字符（0x46）的任意字节数堆栈缓冲区溢出，最终导致拒绝服务。

来源：

https://www.trellix.com/en-us/about/newsroom/stories/research/openssl-3-0-vulnerabilities.html

Drinik Android恶意软件针对多家印度银行的用户

近日，Cyble的安全研究人员披露新版本的Drinik Android木马针对18家印度银行，伪装成该国的官方税务管理应用程序，以窃取受害者的个人信息和银行凭证。新版本的Drinik Android木马以名为“iAssist”的APK形式出现，据称该恶意软件是印度所得税部门的官方税务管理工具。恶意软件安装后，会请求接收、读取和发送SMS、读取用户的通话记录以及读取和写入外部存储的权限。接下来，该恶意软件还会请求用户允许应用程序(Accessibility Service)使用无障碍服务。如果获得批准，将禁用Google Play Protect并使用此恶意软件来执行导航手势、记录屏幕和捕获按键。最终，该恶意软件通过WebView加载实际的印度所得税网站，通过记录屏幕和使用键盘记录器来窃取用户凭据。

来源：

https://blog.cyble.com/2022/10/27/drinik-malware-returns-with-advanced-capabilities-targeting-indian-taxpayers/

SandStrike安卓恶意软件针对讲波斯语的宗教少数群体

近日，卡巴斯基的研究人员披露了一款名为SandStrike的此前未知的Android恶意软件。该恶意软件通过恶意的VPN应用程序分发给安卓用户，并主要针对讲波斯语且信仰巴哈伊教少数群体。为了诱导用户下载该恶意软件，攻击者建立了拥有1000多关注者的Facebook和Instagram账户，并在其中添加了与宗教主题相关的材料。而这些社交媒体账户中大多包含一个指向由攻击者创建的Telegram频道链接，攻击者通过此频道链接分发恶意VPN程序。SandStrike能够窃取范围广泛的敏感数据，包括通话记录、联系人列表。除此之外，还可以监视受害者的活动。

来源：

https://securityaffairs.co/wordpress/137990/hacking/sandstrike-malware-cyberespionage.html

法国军事供应商HENSOLDT遭遇Snatch勒索攻击

HENSOLDT France是HENSOLDT集团的一家子公司，位于法国，其专门从事军事和国防电子产品。此外，HENSOLDT France还为国际上多个国家的航空、国防、能源和运输部门提供广泛的关键电子解决方案、产品和服务。目前，勒索软件组织Snatch已经将HENSOLDT France添加到泄露网站上公布的受害者名单中。同时，该组织还发布了一份被盗数据样本作为黑客攻击的证据。该勒索软件会让受害者的PC崩溃，并迫使受感染设备重新启动进入安全模式。而在安全模式下，通常会禁用防病毒和其他安全软件，从而允许该恶意程序作为服务进行自启，对PC进行全盘加密，最后向受害者进行勒索。

来源：

https://securityaffairs.co/wordpress/137886/cyber-crime/snatch-hensoldt-france-ransomware.html

响尾蛇组织使用新的后门WarHawk针对巴基斯坦——每周威胁动态第101期（10.21-10.27）

Ducktail使用Infostealer新变种攻击Facebook企业用户——每周威胁动态第100期（10.14-10-20）

Lazarus Group利用武器化的开源软件开展攻击——每周威胁动态第99期（09.30-10.13）

新的APT组织Metador针对电信公司、ISP和大学——每周威胁动态第98期（09.23-09.29）