Lazarus Group使用DTrack后门针对欧洲和拉丁美洲

近日，卡巴斯基的研究人员披露具有朝鲜背景的APT组织Lazarus Group，使用新版本的DTrack后门程序针对欧洲和拉丁美洲的攻击活动。DTrack是一个模块化后门，具有键盘记录器、屏幕截图捕捉器、浏览器历史记录检索器、运行进程窥探器、IP地址和网络连接信息捕捉器等功能模块。除此之外，它还可以运行命令来执行文件操作、获取额外的有效负载、窃取文件和数据，以及在受感染的设备上执行进程。与过去的旧版本相比，新的后门程序本身并没有太大的变化，只是将自己隐藏在一个看似合法程序的可执行文件中，并且在恶意负载释放和启动之前多了几个解密阶段。唯一与之前不同的便是现在部署的范围更广，针对的行业也更多了。

来源：

https://securelist.com/dtrack-targeting-europe-latin-america/107798/

XDSpy APT组织近期针对俄罗斯国防部的攻击活动分析

XDSpy是ESET于2020年首次披露的APT组织，该组织最早活跃于2011年，主要针对东欧和塞尔维亚地区的政府、军队、外交部及私人公司进行窃密活动。2020年9月，该组织在攻击活动中使用Covid-19主题诱饵下发恶意Windows脚本文件(WSF)。时隔两年，安恒信息的猎影实验室再次捕获到该组织利用WSF文件针对俄罗斯国防部的攻击活动。活动包含如下特点：此次攻击只针对特定用户，非目标用户不会触发恶意代码执行；样本中用于执行恶意行为的Windows API函数、DLL库、字符串等均被加密，且样本包含较为完整的反沙箱、反虚拟机、反杀软检测功能；后续负载为模块化恶意软件，主要功能为执行C2下发的其他恶意组件。

来源：

https://mp.weixin.qq.com/s/cW2Evf6Nqb3fhQ7ntnKHsA

俄罗斯APT组织Sandworm与Prestige勒索软件攻击有关

自10月以来，攻击者使用Prestige勒索软件针对乌克兰和波兰的运输和物流组织进行了一系列的攻击。在经过微软的研究人员根据取证分析、受害者、交易技巧、功能以及与该组织先前活动重叠的基础设施，将勒索软件攻击归因于俄罗斯Sandworm组织。几个显著关联特征包括：1.攻击者在受害者的企业网络中部署了勒索软件，这种策略在针对乌克兰的其他组织的攻击中很少见；2.该活动与此前的俄罗斯国家联盟行动存在受害者特征一致，并且与此前HermeticWiper破坏性恶意软件的受害者存在重叠。

来源：

https://www.microsoft.com/en-us/security/blog/2022/10/14/new-prestige-ransomware-impacts-organizations-in-ukraine-and-poland/

Konni APT组织针对东欧和东北亚地区的攻击活动分析

近日，安恒信息的研究人员发布了具有朝鲜背景的APT组织Konni，在2022年针对东欧和东北亚地区的攻击活动分析报告。报告中，安恒信息的研究人员捕获到一批来自Konni APT组织的恶意样本。按照针对地域，研究人员将样本区分为针对韩国地区和针对俄罗斯地区两类。针对韩国地区的样本中，发现该组织重新开始针对加密货币行业，而在针对俄罗斯地区的样本中，发现恶意样本主要针对外交实体及相关人员。此外，安恒信息还在10月中旬捕获了该组织利用政治新闻话题传播恶意CHM文件的样本，并怀疑该组织开始将目标转向东南亚地区国家。报告中还总结了该组织在后续下发的组件存在的更新：RAT重新启用x86版本，疑似扩大攻击范围，提高与目标机器适配性；启用除INI后缀之外的配置文件，逃避行为检测；采用新的加密算法对C2配置文件、Windows API函数等进行加解密；不再以明文传输窃取数据，而是通过AES加密避免流量检测；通过修改合法软件，设置异常函数，以加载恶意代码；灵活应用VBscript、Powershell等脚本组成攻击链。样本攻击链图如下所示。

来源：

https://mp.weixin.qq.com/s/uIurwbTha1WKbY52vXFPOQ

披露疑似Inception Framework的样本

近日，研究人员披露了疑似Inception Framework组织的恶意样本，IOC信息如下所示：

文件名：ДСП №3-2022 финал.doc、Действия работодателя в связи с Указом.doc

MD5：ae828e3c03cc1aaedc43bb391e8b47ed、c7a1dd829b03b47c6038afa870b2f965、89d40dd2db9c2cfd6a03b20b307dcdec

来源：

https://twitter.com/h2jazi/status/1592158354113462273

冒充西班牙税务局的网络钓鱼活动

近日，Avast的研究人员发现西班牙出现了一起新的网络钓鱼活动，攻击者在钓鱼活动中冒充西班牙税务局对受害者进行欺骗。钓鱼活动由一个欺诈性的短信开始，该短信通知受害者点击链接在网站中填写表格以获得财务报销。当受害者点击链接后，会被重定向至伪装成税务机构的页面，并在页面中询问信用卡的相关信息，包括信用卡的CVV码和PIN码等敏感信息。

来源：

https://blog.avast.com/phishing-spain-tax-agency

俄罗斯城市交通服务平台Whoosh发生数据泄露

Whoosh是俄罗斯领先的城市交通服务平台，在40个城市运营，并提供超过75000辆踏板车的共享服务。黑客对Whoosh进行网络攻击后，开始在黑客论坛上出售窃取的数据。黑客在论坛中出售相关数据库，其中有720万Whoosh客户的详细信息，包括电子邮件地址、电话号码和名字等，还包含190万名用户的部分支付卡信息。黑客表示将以4200美元或0.21490980比特币的价格将数据出售给五名买家，目前还没有人购买这些数据。

来源：

https://www.bleepingcomputer.com/news/security/whoosh-confirms-data-breach-after-hackers-sell-72m-user-records/

Google Play商店中存在恶意软件投放Xenomorph银行木马

近日，Zscaler的安全研究人员在Google Play商店的Lifestyle应用程序中发现了Xenomorph银行木马。该应用程序名为“Todo：Day manager”，下载量超过1,000次。除此之外，根据研究人员分析，Xenomorph恶意软件是在安装该应用程序时作为伪造的Google服务应用程序从GitHub上下载。其首先要求受害者启用访问权限。一旦提供，它会将自己添加为设备管理员，并阻止受害者禁用设备管理员，使其无法从手机上卸载。Xenomorph在合法的银行应用程序上创建一个覆盖层，以诱骗受害者输入自己的凭据。此外，Xenomorph木马还能够拦截受害者的短信通知，以窃取一次性密码和验证码信息。攻击链图如下所示。

来源：

https://www.zscaler.com/blogs/security-research/rise-banking-trojan-dropper-google-play-0

基于Golang的新KmsdBot恶意软件

近日，Akamai的安全研究人员披露了一种基于Golang的新型恶意软件KmsdBot。攻击者对多个领域的公司进行SSH爆破并植入此恶意软件。恶意软件的程序名称为“kmsd.exe”，研究人员基于此名称将其命名为KmsdBot。KmsdBot具有扫描功能并且可以通过下载用户名和密码组合列表进行传播，也配备挖矿、自我更新和发起分布式拒绝服务攻击（DDoS）的功能。现已发现攻击针对各种公司，从游戏到豪华汽车品牌再到安全公司。

来源：

https://www.akamai.com/blog/security-research/kmdsbot-the-attack-and-mine-malware

俄罗斯黑客组织FRwL使用新的Somnia勒索软件针对乌克兰

近日，乌克兰计算机应急小组(CERT-UA)披露了俄罗斯黑客组织FRwL(又名Z-Team)新一轮的攻击活动。攻击者使用了冒充Advanced IP Scanner软件的网站来诱骗目标下载安装程序。实际上，安装程序会使用Vidar窃取程序感染系统，并窃取Telegram会话数据来控制他们的帐户。然后，其会利用目标的Telegram帐户来窃取VPN连接数据(身份验证和证书)，用来部署Cobalt Strike信标和窃取数据，之后使用Netscan、Rclone、Anydesk和Ngrok执行各种监视和远程访问活动。除此之外，CERT-UA还指出，这些攻击中使用了新版本采用了AES算法的Somnia勒索软件。该勒索软件在加密文件时会将.somnia扩展名附加到加密文件后，但是其不要求受害者支付赎金以换取可用的解密器，因为攻击者的动机在于破坏而非牟取经济收益。

来源:

https://cert.gov.ua/article/2724253

新APT组织OPERA1ER针对非洲目标开展攻击活动——每周威胁情报动态第103期（11.04-11.10）

"南亚之蟒"针对印度国防部投递新型Python窃密软件——每周威胁情报动态第102期（10.28-11.03）

响尾蛇组织使用新的后门WarHawk针对巴基斯坦——每周威胁动态第101期（10.21-10.27）

Ducktail使用Infostealer新变种攻击Facebook企业用户——每周威胁动态第100期（10.14-10-20）