披露时间：2022年12月15日

情报来源：https://mp.weixin.qq.com/s/NOpFJx4LnMOWhTm0iluFfw

相关信息：

近期，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了响尾蛇组织多个攻击样本。该类样本使用与巴基斯坦相关的学校或者军队为诱饵进行鱼叉攻击，其攻击技战法(TTP)均使用了DotNetToJScript工具生成JS代码来加载.net程序。在近期的攻击活动中，我们总结了响尾蛇组织的攻击手段特点：

(1)擅用社会工程学，使用更贴切的诱饵，诱饵甚至来自真实文件；

(2)多阶段下载，并对后续载荷进行混淆处理；

(3)使用轻量级远程Shell后门，甚至被曝光后仍继续使用相关C2。

披露时间：2022年12月12日

情报来源：https://socradar.io/dark-web-profile-apt42-iranian-cyber-espionage-group/

相关信息：

近期，研究人员在一份报告中详细分析了APT42组织。据称，该组织隶属于伊斯兰革命卫队(IRGC)情报组织(IRGC-IO)，并代表他们开展活动。该组织主要专注于鱼叉式网络钓鱼攻击，针对中东地区对伊朗政府特别感兴趣或与伊朗政权持反对意见的个人和组织。

此外，该报告侧重分析了APT42与伊朗APT35、Nemesis Kitten的关系。APT35和APT42都隶属于IRGC。由于各自的目标模式、战术、技术和程序存在显着差异。此外，他们的攻击目标也有不同。APT35主要攻击美国、西欧和中东的军事、外交和政府人员和组织、国防工业和电信部门。而APT42侧重于对伊朗政府感兴趣的组织和个人以及伊朗的反对者。

Nemesis Kitten与APT42一样属于Phosphorus，其代表伊朗政府进行勒索软件活动，但两者攻击方式上有所不同。在初始访问阶段，Nemesis Kitten通常会利用已知的Exchange和Fortinet漏洞，例如CVE-2018-13379等进行访问，而APT42则主要使用鱼叉式网络钓鱼攻击。

披露时间：2022年12月08日

情报来源：https://securelist.com/deathstalker-targets-legal-entities-with-new-janicab-variant/108131/

相关信息：

研究人员近日发现APT组织DeathStalker利用Janicab新变种攻击了中东的律师事务所。Janicab恶意软件于2013年作为能够在macOS和Windows操作系统上同时运行的基于VBS的恶意软件植入程序首次推出，其功能与Powersing和EVILNUM相似，且疑似被发现主要用于针对中东和欧洲的法律、金融和旅行社。

近期活动中，DeathStalker延续以往手法，依旧采用鱼叉式网络钓鱼策略，并使用DDR/Web服务托管编码字符串。其首先利用基于LNK形式的包含dropper的ZIP存档，诱导用户打开LNK文件后释放后续的恶意软件：Janicab。此外，相比旧版本，新的Janicab变体还嵌入了一个包含可在入侵生命周期后期使用的CAB存档以及基于DLL的键盘记录器。

披露时间：2022年12月09日

情报来源：https://www.secureworks.com/blog/drokbk-malware-uses-github-as-dead-drop-resolver

相关信息：

伊朗COBALT MIRAGE APT组织的一个子组织利用Drokbk恶意软件进行持久化。研究人员发现该恶意软件使用GitHub作为DDR，托管C2服务。该恶意软件是用.NET编写的，由一个投放器和一个有效载荷组成。它的内置功能有限，主要执行来自命令和控制(C2)服务器的其他命令或代码。

该恶意软件在野外使用的早期迹象出现在2022年2月对美国地方政府网络的入侵中，研究人员调查发现，攻击始于Log4j漏洞。Drokbk dropper先检查c:\programdata\SoftwareDistribution目录是否存在，如果不存在则创建该目录。然后，释放器将内部资源中的所有字节写入c:\users\public\pla。这是一个临时步骤；然后将提取的文件(pla)复制为c:\programdata\SoftwareDistribution\SessionService.exe，即主要的恶意软件负载。

披露时间：2022年12月09日

情报来源：https://www.deepinstinct.com/blog/new-muddywater-threat-old-kitten-new-tricks

相关信息：

近日，研究人员发现MuddyWater组织的一项新活动，该活动针对亚美尼亚、阿塞拜疆、埃及、伊拉克、以色列、约旦、阿曼、卡塔尔、塔吉克斯坦和阿拉伯联合酋长国。并且，攻击者在本次攻击活动中使用了新的TTP，包括一种名为Syncro的新型远程管理工具。另外，研究人员对MuddyWater从一家以色列酒店业公司向以色列不同保险公司的大量联系人发送的一封电子邮件进行分析。

攻击者通常在发送给受害者的钓鱼邮件或附件文档内包含一个指向合法的远程管理工具的链接，攻击者通常会更换不同的远程管理工具，而近期攻击者使用的是一种名为“ Syncro ”的新型远程管理工具。此外，研究人员还观察到攻击者近期使用了一种新诱饵，以HTML附件形式出现。

披露时间：2022年12月07日

情报来源：https://blog.alyac.co.kr/5009

相关信息：

研究人员发现朝鲜组织Konni利用包含韩国用户个人信息的文件进行APT攻击，此次发现的攻击文档为docx文件，使用了近期攻击者常用的Remote Template Injection技术。研究人员分析发现攻击文档文件于2022年12月6日19时26分左右被名为“Paypal”的账户修改，利用远程模板注入技术下载并运行包含.dotm扩展名的模板文件,在在模板文件“k22012.c1[.]biz/paypal.dotm”中发现嵌入了恶意宏。当用户确认后激活宏功能时，用户会看到诱饵文件，.dotm中的恶意宏在后台被激活执行。

恶意宏代码会从“5645780.c1.biz”下载一个扩展名为“cab”的压缩负载，该文件包含多个攻击载荷。其首先会解压执行其中的“check.dat”，先检查管理员权限，然后根据操作系统位数执行wpnprv32/64.dll进行提权，最终在管理员权限下执行“rdssvc.dll”有效载荷，通过与C&C通信执行PC信息上传和命令控制功能。

披露时间：2022年12月12日

情报来源：https://unit42.paloaltonetworks.com/next-gen-kerberos-attacks/

相关信息：

近期，研究人员发布了新的Kerberos攻击方式的分析报告。Active Directory的广泛使用使Kerberos攻击成为许多攻击者的主要手段，研究人员发现了两种新的攻击技术，Diamond Ticket和Sapphire Ticket，这两种新技术都是从Golden Ticket扩展出来的。Golden Ticket攻击允许威胁行为者伪造一张票以伪装成高特权用户。

新的攻击技术使攻击者能够不受限制地访问AD域中的所有服务和资源。Sapphire Ticket攻击需要获取域中用户的凭据，然后利用凭据获取TGT，并将其用于解密高权限用户的PAC。Diamond Ticket攻击首先是获取TGT，然后使用KRBTGT帐户的密钥解密TGT并修改Ticket，提升权限。

披露时间：2022年12月09日

情报来源：https://mp.weixin.qq.com/s/48Atw1b6Oe7A-vlsKHYWwg

相关信息：

近期，研究人员发现部分网络攻击组织利用四年一度的世界杯这个契机，进行有针对性的网络攻击。2018年APT-C-23组织就通过将攻击样本伪装成世界杯直播类应用进行网络攻击，今年同样发现有组织将攻击样本伪装成世界杯相关应用针对阿拉伯语用户发起攻击，截止到目前（2022年12月9日），发现受感染的设备已经超过1000，主要分布在以色列和巴勒斯坦地区。

与其他攻击不同的是此次攻击具有较高时效性，整个攻击活动的攻击时间围绕着世界杯的举办赛程时间。此次攻击的开始准备的时间为10月10号左右，开始进行攻击的时间为11月5号左右。为了赶在世界杯开始之前发起攻击，攻击者在一些细节方面出现准备不足的情况，这表明了此次攻击时效性非常高。

攻击者提前运营了一个Facebook账号，在实施攻击时发布包含钓鱼网站的卡塔尔世界杯相关帖子，诱导用户前往钓鱼网站下载安装恶意应用，最终实现对目标的攻击行动，攻击流程如下：

披露时间：2022年12月12日

情报来源：https://www.trendmicro.com/en_no/research/22/l/linux-cryptomining-enhanced-via-chaos-rat-.html

相关信息：

研究人员近期发现了针对Linux系统的加密货币挖矿活动，且攻击者主要使用了基于开源项目的Chaos远程访问木马(Trojan.Linux.CHAOSRAT)。该工具可对受感染系统执行反向shell，并具有截取屏幕截图，收集系统信息，下载、上传及删除文件等多种功能。

活动中使用的恶意软件首先通过更改/etc/crontab文件建立持久性，这可使其每10分钟从Pastebin下载一次。之后下载额外有效负载：包括XMRig矿工软件、配置文件、杀死竞争恶意软件的有效负载，以及基于Go编写的Chaos RAT。此外，主要下载器脚本和其他有效负载托管在不同位置，以确保活动持续活跃。

披露时间：2022年12月14日

情报来源：https://mp.weixin.qq.com/s/4iTA4LBNEnOQ5T5AcvZCCA

相关信息：

2022年11月底，奇安信威胁情报中心监测到RedGoBot利用Vacron NVR RCE漏洞传播的事件。分析发现，RedGoBot核心样本由Go语言编写，当前样本由Go 1.18.8编译，目前支持11种DDoS攻击方式，并且样本内部集成了暴破Telnet服务来传播的能力。

根据我们的回溯分析，ReGoBot历史上有过3波传播，样本层面也有过两次明显的变动。虽然目前为止RedGoBot的传播量还不是很大，但我们已经看到它在尝试下发DDoS攻击指令来测试攻击效果。

由于RedGoBot某种程度上会误杀失陷主机上的正常文件及进程，带来严重后果，因此我们建议检查是否存在 Telnet 弱口令来防御RedGoBot的入侵。

披露时间：2022年12月12日

情报来源：https://www.fortinet.com/blog/threat-research/gotrim-go-based-botnet-actively-brute-forces-wordpress-websites

相关信息：

据研究人员称，一种名为“GoTrim”的基于Go的新型僵尸网络恶意软件正扫描网络以寻找自托管的WordPress网站，并试图暴力破解管理员的密码以最终控制网站。该恶意活动始于2022年9月，目前仍在进行中，这将增加恶意软件部署、信用卡窃取脚本注入、托管网络钓鱼页面等风险。根据被破坏站点的流行程度，可能会影响数百万人。

GoTrim主要利用僵尸网络执行分布式暴力攻击，其可以通过客户端和服务器两种模式与其C2服务器进行通信。此外，GoTrim通过检查网页内容中的特定字符串尝试确定目标网站上是否正在使用四种CMS(WordPress、Joomla、OpenCart、DataLife Engine)中的一种，但目前仅支持对WordPress和OpenCart网站进行身份验证，这表明该僵尸网络恶意软件仍在开发中。

披露时间：2022年12月08日

情报来源：https://blog.talosintelligence.com/breaking-the-silence-recent-truebot-activity/

相关信息：

TrueBot是一种Windows恶意软件下载程序，疑似归属于一个说俄语的组织Silence。Truebot于2017年首次被发现，自2022年8月以来，研究人员发现Truebot（又名 Silence.Downloader）恶意软件的感染有所增加。

最近，攻击者已从使用恶意电子邮件作为主要发送方式转向使用其他技术。8月的一小波攻击，攻击者利用Netwrix中的远程代码执行漏洞的攻击。10月，大量感染利用蠕虫病毒Raspberry Robin作为传播媒介。妥协后的活动包括数据盗窃和Clop勒索软件的执行。过程中，研究人员发现了一个功能齐全的自定义数据泄露工具，称之为“Teleport”，在攻击期间被广泛用于窃取信息。

Truebot僵尸网络主要关注墨西哥、巴基斯坦和巴西。新的Truebot版本会额外收集屏幕截图、计算机名称、本地网络名称和活动目录信任关系等信息。

披露时间：2022年12月14日

情报来源：https://mp.weixin.qq.com/s/qUKaGP4YdcYNYOlJGutA8g

相关信息：