披露时间：2022年10月27日

情报来源：https://mp.weixin.qq.com/s/IwcxY3TqkmyY-pBxnXuM1A

相关信息：

奇安信威胁情报中心红雨滴团队在日常的样本跟踪分析过程中，捕获摩诃草组织多个近期针对周边国家和地区的定向攻击样本。结合近几个月我们收集的数据来看，该组织正在对其武器库进行更新迭代，并且使用被窃取的签名伪装攻击样本，我们总结出该组织近期的木马特点如下：

1.引入开源加密库，对加密算法进行更新；

2.所属攻击样本大部分都打上了被窃取的签名，降低在主机上暴露的风险；

3.Shellcode绕过部分安全产品对重点API调用的监控；

4.开发新的注入器，并使用mimikatz窃取受害主机密钥；

披露时间：2022年10月28日

情报来源：https://mp.weixin.qq.com/s/il8Sq8MlgeNLnNDzypHFyA

相关信息：

近日，研究人员捕获到南亚地区“网络冲突间谍战”中的恶意文档文件，文件运行后将加载远程模板中的宏代码执行，后续在本地释放PyInstaller打包的文件窃密器。此活动主要针对印度国防部下设的CSD部门，与已知APT组织常用的攻击手段有较大差异。

第一阶段通过CVE-2017-0199漏洞文档远程加载包含宏代码的flyer.png文件，宏代码会打开flyer[1].png读取数据写入ZIP。随后将ZIP文件中的document01.docx解压，释放theme01.xml到本地\System32\spool\drivers\color路径下重命名为sppsvc.exe，该文件为PyInstall打包的窃密软件，会窃取多种后缀文件。通过创建计划任务实现sppsvc.exe的持久化操作，最后打开document01.docx诱饵文件迷惑用户，诱饵文档内容为CSD摩托车品牌价格清单。

披露时间：2022年10月31日

情报来源：https://asec.ahnlab.com/en/40830/

相关信息：

近日，研究人员发现Lazarus组织使用水坑技术渗透目标系统，在成功入侵目标网站后，攻击者便可操纵网站的内容。鉴于此功能仅在从特定IP访问网站时激活，则视为特定公司或组织成为目标。

当使用易受攻击的INISAFECrossWebEX的PC用户通过 Web 浏览器访问该网站时，网站会分发下载Lazarus组织的恶意软件(SCSKAppLink.dll)并通过IISAFECrossWebEXSvc.exe执行。Lazarus利用MagicLine4NX（一种执行证书验证以及电子签名和数据加密解密功能的解决方案）的漏洞来访问内部系统，通过MagicLine4NX进程向ftp.exe注入恶意线程来执行恶意行为。

攻击者还使用RDP访问内部系统。在获得访问权限后，攻击者会先生成一个后门来维持控制并允许主机防火墙中的TCP 60012端口，后门将通过该端口进行通信。之后，创建后门文件并将其注册为服务以保持控制。然后，创建rootkit恶意软件以及易受攻击的DLL和驱动程序以禁用安全软件。为了禁用系统的安全软件，攻击者还使用了BYOVD（Bring Your Own Vulnerable Driver，一种使用易受攻击的驱动程序模块的攻击）技术。

披露时间：2022年11月02日

情报来源：https://mp.weixin.qq.com/s/v2wiJe-YPG0ng87ffBB9FQ

相关信息：

2020年至今，“海莲花”利用国内外失陷IoT设备做流量中转，研究人员于2021年找到证据确定Torii僵尸网络背后攻击者实际为“海莲花”组织，并且证实Torii僵尸网络控制的主机被用于APT攻击活动的流量隐藏&跳板，流量转发的方式包括iptables转发、tinyPortMapper等，失陷设备代理流量的木马类型包括CobaltStrike、Buni、Torii、Remy等。

Torii木马家族，最早在2018年由Avast安全厂商披露，而后在2021年国内友商报告中提到Torii木马和RotaJakiro（双头龙）存在相似的代码设计思路，木马最新版本和Avast安全厂商披露的版本存在通信流量加密算法上的细微变动。

将Torii僵尸网络背后的攻击组织归因为“海莲花”的证据如下：

1.Torii僵尸网络所控制的主机主要被用于“海莲花”攻击活动中的流量中转&隐藏，在少量攻击活动中，该木马也用于控制存储性质的主机窃取数据；

2.Torii木马、RotaJakiro（双头龙）和“海莲花”MacOS平台所使用的木马，三者存在相似的代码设计思路；

3.资产特点和APT32历史中所使用的一致，包括但不限于：域名注册服务商“Internet Domain Service BS Corp.”、NS服务器“he.net”、IP服务器提供商“EstNOC OY”。

披露时间：2022年11月01日

情报来源：https://mp.weixin.qq.com/s/w-KF5HUNe8-KlmFl6zLkZw

相关信息：

近期，研究人员再次发现了朝鲜APT组织Lazarus针对韩国的攻击活动，其活动诱饵文档标题为“Sogang KLEC.docx”（西江大学韩国语言教育中心.docx）。Lazarus组织是半岛地区的顶尖黑客团伙，专注于针对特定目标进行长期的持续性网络攻击，以窃取资金和实现政治目的为出发点，是全球金融机构的最大威胁之一。

攻击者首先采用恶意模板注入的方式，等待诱饵文档被目标用户打开并下载到受害者主机。然后模板中的宏代码通过请求指定的URL以下载恶意载荷并将其注入到WINWORD.exe中执行。接着，恶意载荷释放并执行下载工具IEUpdate.exe，以及将其添加至注册表RUN中实现持久化。最后，IEUpdate.exe发送消息以获取后续通信使用的C2，再根据回传的信息下载执行不同恶意载荷。目前已知存在hvncengine.dll和shellengine.dll两种载荷，均用于与C2通信以实现远程控制。

披露时间：2022年10月27日

情报来源：https://mp.weixin.qq.com/s/BXjZ6fEgNmLY_l8cZt1FXQ

相关信息：

2022年9月底，研究人员发现了来自印度白象(别称Patchwork)组织的网络攻击活动，攻击者主要通过钓鱼攻击手法投递其专用远控木马BADNEWS。

活动感染链始于挂载恶意链接的诱饵文档，且链接指向内容发生过多次变化，但都主要面向科研院所领域。9月28日，研究人员捕获到名为“重大项目领域建议.doc”的诱饵文档，该文档通过伪造为某科学基金标题，诱导受害者点击运行。此外，文档包含还CVE-2017-11882漏洞的利用条件，当文档运行时，将触发漏洞并释放名为mcods.exe的木马程序，该恶意软件为白象组织长期使用的专有远控BADNEWS家族，且此次主要瞄准中国地区。一旦木马程序检测到受害主机的时区为中国，就会窃取受害者的数据并将其发送到攻击者的C2服务器。

披露时间：2022年10月26日

情报来源：https://www.crowdstrike.com/blog/new-kiss-a-dog-cryptojacking-campaign-targets-docker-and-kubernetes/

相关信息：

披露时间：2022年10月27日

情报来源：https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-blackcat

相关信息：

2021年11月中旬，第一个由Rust编写的BlackCat（又名AlphaVM、AlphaV或ALPHV）勒索软件系列首次被MalwareHunterTeam团队观察到。该勒索软件通常利用MS Exchange Server漏洞（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065）获取初始访问权限，然后再通过使用嵌入式 PsExec模块自行进行横向传播。BlackCat勒索组织通常对知名目标进行连续攻击，执行Raas操作并采用三重勒索策略。除了公开泄露的数据外，勒索软件攻击者还声称要对受害者的基础设施发起分布式拒绝服务 (DDoS) 攻击，以迫使其支付赎金。此外，FBI曾发布公告称，BlackCat的几名开发人员与两个已解散的RaaS组织：DarkSide和BlackMattet存在关联。

自2021年首次问世以来，BlackCat勒索组织的攻击范围涉及全球各行各业，其中受影响较多的地区依次为美国、澳大利亚、欧洲和亚太地区，主要攻击行业则为制造业。据调查显示，从2021年12月1日至2022年9月30日，该组织共入侵了173个组织。

披露时间：2022年10月31日

情报来源：https://mp.weixin.qq.com/s/vSpNiS8vF2OLJw18MJIHnQ

相关信息：

LNK文件是Windows快捷方式，是基于ShellLink二进制文件格式，其中包含用于访问数据对象的信息。利用LNK文件执行恶意指令的攻击方式也常被APT组织滥用。在“DangerousPassword”攻击活动中，攻击者在压缩文件中附上带有加密文档的诱饵文件和一个名称中带有“password”的LNK恶意文件，再诱导用户点击恶意LNK文件后，从攻击者控制的基础设施中下载下一阶段载荷以执行后续恶意功能。

研究人员近期捕获了一些由黑产团伙发起的类似的攻击活动。攻击者模仿APT-C-26（Lazarus）组织下发加密PDF文档作为诱饵和具有诱惑性名称的LNK恶意文件手法，而且攻击链在初始访问和执行阶段的手法和Lazarus组织的DangerousPassword攻击活动手法非常相似，但其下发的恶意载荷是目前流行的恶意程序，甚至是公开发售的程序，例如IceDid或挖矿木马等。此外在公开威胁情报中也表明IceDid也会利用LNK、powershell和mshta等恶意荷载发起攻击。目前这些模仿DangerousPassword攻击活动手法的“案例”没有归属到任何APT组织，其更像黑产团伙所为。

披露时间：2022年10月27日

情报来源：https://blog.cyble.com/2022/10/27/drinik-malware-returns-with-advanced-capabilities-targeting-indian-taxpayers/

相关信息：

最近，研究人员发现了一个升级版的Drinik，它冒充印度所得税部门并再次针对18家印度银行发起攻击。Drinik恶意软件的早期变种于2016年作为SMS窃取程序首次被发现。大约在2021年8月，该恶意软件再次活跃并演变为Android银行木马。2021年9月，该应用程序通过网络钓鱼活动窃取了印度纳税人个人身份信息 (PII) 和银行凭证。

最新活动中，攻击者使用了之前相同的活动主题来引诱受害者，但恶意软件已升级并具备高级功能，包括通过屏幕录制以获取凭据、键盘记录、利用CallScreeningService来管理来电通知并通过FirebaseCloudMessaging接收命令等。攻击者通过这些高级功能可窃取印度所得税网站的凭证、银行凭证和生物特征细节等。目前，Drinik恶意软件仍在开发中，未来仍然可能会观察到Drinik恶意软件的新变种。

披露时间：2022年10月27日

情报来源：https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/

相关信息：

Raspberry Robin于 2021 年 9 月首次被发现，通常通过受感染的可移动驱动器（通常是USB设备）引入网络。据研究人员调查，该蠕虫在过去30天内已在近1,000个组织的设备上触发了有效负载警报。

最初，Raspberry Robin蠕虫通常以快捷方式.lnk文件的形式出现，伪装成受感染USB设备上的合法文件夹。lnk文件的名称是recovery.lnk，后来更改为与USB设备品牌相关的文件名。Raspberry Robin通过自动运行启动或社会工程来诱导用户单击LNK文件，LNK文件指向cmd.exe以启动Windows Installer服务msiexec.exe并安装托管在受感染的QNAP网络附加存储(NAS)设备上的恶意负载。恶意负载会注入到包括regsvr32.exe、rundll32.exe和dllhost.exe在内的系统进程中，并连接到托管在Tor节点上的各种命令和控制(C2)服务器。

披露时间：2022年10月30日

情报来源：https://www.bleepingcomputer.com/news/security/new-azov-data-wiper-tries-to-frame-researchers-and-bleepingcomputer/

相关信息：

一种新的破坏性Azov Ransomware数据擦除器正在通过盗版软件、密钥生成器和广告软件包大量传播。试图通过声称他们是攻击的幕后黑手来陷害知名安全研究人员。Azov勒索软件试图通过声称是由一位名叫Hasherazade的知名安全研究人员创建的，并列出了参与该操作的其他研究人员，其中包括BleepingComputer，以此来陷害知名安全研究人员。由于无法联系威胁参与者支付赎金，因此该恶意软件应被视为破坏性数据擦除器，而不是勒索软件。

在过去两天开始的新活动中，威胁参与者似乎通过SmokeLoader僵尸网络传播Azov擦除器，此外还会提供其他恶意软件，如RedLine Stealer和STOP勒索软件，因此有受害者受到Azov和STOP勒索软件的双重加密。初始勒索软件将被放到%Temp%文件夹中的随机文件下并执行。擦除器现在将扫描计算机上的所有驱动器并加密任何没有 .ini、.dll和.exe扩展名的文件。加密文件时，它会将.azov 文件扩展名附加到加密文件的名称中。比如1.doc被加密重命名为1.doc.azov。

披露时间：2022年11月02日

情报来源：https://mp.weixin.qq.com/s/8gr30USDJkBB5ymWtFbyvQ

相关信息：

OpenSSL 是用于传输层安全 (TLS) 协议（以前称为安全套接字层 (SSL) 协议）的强大、商业级、功能齐全的开源工具包，协议实现基于全强度通用密码库，用于保护计算机网络上的通信免受窃听，被互联网服务器广泛使用（包括大多数HTTPS网站）。

近日，奇安信CERT监测到OpenSSL官方发布了漏洞安全更新，包括OpenSSL拒绝服务漏洞(CVE-2022-3786)和OpenSSL远程代码执行漏洞(CVE-2022-3602)，攻击者利用CVE-2022-3786漏洞，制作包含恶意电子邮件地址的证书，以溢出包含"."的任意字节数，此缓冲区溢出可能导致服务崩溃。CVE-2022-3602漏洞存在于ossl_punycode_decode函数，当客户端或服务器配置为验证X.509证书时调用此函数，攻击者可以通过在电子邮件地址字段的域中创建包含 punycode 的特制证书来利用该漏洞，可能导致服务崩溃或潜在的远程代码执行。

披露时间：2022年10月31日

情报来源：https://mp.weixin.qq.com/s/w9GHtqcAbHx-E5OsQXkKPw

相关信息：

近日，奇安信威胁情报中心发布《全球高级持续性威胁（APT）2022年中报告》，该报告通过分析奇安信威胁雷达对2022上半年境内的APT攻击活动的全方位遥感测绘数据，展示了我国境内APT攻击活动及高级持续性威胁发展趋势，并结合开源情报分析了全球范围内高级持续性威胁发展变化，特别是俄乌冲突使得该地区成为APT攻击的重灾区。

在野0day漏洞方面，2022年上半年0day漏洞的攻击使用整体趋于缓和，比之2021年有大幅下降，但同比2020年的0day在野漏洞攻击依然有所增加。以浏览器为核心的漏洞攻击向量仍然是主流趋势，其中大部分为沙箱逃逸漏洞，主要源自之前漏洞补丁绕过的变种。

按照以往惯例，本报告最后会从地域空间的角度详细介绍了各地区的活跃APT组织及热点APT攻击事件。详见情报来源链接。