披露时间：2023年1月28日

情报来源：https://www.welivesecurity.com/2023/01/27/swiftslicer-new-destructive-wiper-malware-ukraine/

相关信息：

研究人员在乌克兰发现了新的网络攻击，并将其归因于Sandworm APT 组织。攻击者使用 Active Directory 组策略部署了一个被命名为SwiftSlicer且用 Go 编程语言编写的新擦除器。在俄罗斯入侵前期，研究人员便在乌克兰发现的一些擦拭器——HermeticWiper、CaddyWiper，HermeticWiper在某些情况下也以同样的方式植入。CaddyWiper是几天前最后一次出现在乌克兰新闻机构 Ukrinform 的网络上。擦拭器会删除影子副本，递归地覆盖文件。在重新启动受感染的系统之前，擦拭器的目标是位于%CSIDL_SYSTEM%\drivers、%CSIDL_SYSTEM_DRIVE%\Windows\NTDS和其他非系统驱动器中的文件。SwiftSlicer 擦除器用随机生成的字节覆盖 4096 字节长度块的文件。

而与俄罗斯有联系的 APT 组织Sandwork（又名 BlackEnergy 和 TeleBots）是擦除器攻击的幕后黑手。Sandworm 小组自2000年以来一直活跃，它在俄罗斯GRU 特殊技术主要中心 (GTsST) 的74455部队的控制下运作。

披露时间：2023年1月28日

情报来源：https://therecord.media/latvia-confirms-phishing-attack-on-ministry-of-defense-linking-it-to-russian-hacking-group/

相关信息：

有关媒体1月28日称，拉脱维亚国防部遭到了Gamaredon的钓鱼攻击。国防部透露黑客冒充乌克兰政府官员向其几名员工发送钓鱼邮件，但并未成功。攻击活动的感染链为HTMLSmuggling -> ZIP -> LNK -> HTA，还使用了域名admou[.]org来发送邮件，该域被认为与Gamaredon有相关联。目前，调查仍在进行中。Gamaredon主要针对乌克兰，CERT-UA称2022年乌克兰记录了70多起与该团伙相关的攻击事件。

披露时间：2023年1月25日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/ta444-apt-startup-aimed-at-your-funds

相关信息：

据研究人员表明，与朝鲜有关的TA444 APT组织（又名APT38，BlueNoroff，Copernicium和Stardust Chollima）是针对多个垂直行业的凭证收集活动的幕后黑手。该组织至少从2017年开始瞄准加密货币。美国联邦调查局(FBI)证实，2022年6月，与朝鲜有联系的Lazarus APT集团和APT38从区块链公司Harmony Horizon Bridge窃取了价值1亿美元的加密货币资产。

该组织历来使用的攻击链主要依赖于两种初始访问技术，一种是面向LNK的交付链，另一种是使用带有远程模板的武器化文档的链。TA444利用区块链相关的诱饵、知名公司的虚假工作机会和薪资调整来诱骗受害者点击恶意链接。为此，攻击使用网络钓鱼电子邮件，通常是根据受害者的兴趣量身定制的，其中充满了带有恶意软件的附件，例如LNK文件和ISO磁盘映像。

该组织还向美国和加拿大的各种目标发送了充斥着拼写错误的OneDrive 网络钓鱼电子邮件，除了金融垂直领域外，还涉及教育、政府和医疗保健等多个垂直领域。诱饵电子邮件诱使用户点击重定向到凭据收集页面的SendGrid URL。

披露时间：2023年1月26日

情报来源：https://www.ncsc.gov.uk/news/spearphishing-campaigns-targets-of-interest

相关信息：

总部位于俄罗斯的 SEABORGIUM (Callisto Group/TA446/COLDRIVER/TAG-53) 和总部位于伊朗的 TA453 (APT42/Charming Kitten/Yellow Garuda/ITG18) 继续成功地对英国的目标组织和个人进行鱼叉式网络钓鱼攻击和其他感兴趣的领域，用于信息收集活动。在整个 2022 年， 攻击者目标行业包括学术界、国防、政府组织、非政府组织、智库以及政治家、记者和活动家。

首先使用开源资源进行侦察，包括社交媒体和专业网络平台。攻击者识别钩子以吸引目标，创建了伪造的社交媒体或网络配置文件，使用来自不同提供商（包括 Outlook、Gmail 和 Yahoo）的网络邮件地址，冒充目标的已知联系人或目标兴趣领域或部门中的知名人士，举办虚假的会议或活动。

再建立融洽关系以博取信任。攻击者花时间研究目标的兴趣和联系方式以创建可信的方法后，现在开始建立信任。通常首先就一个他们希望能吸引目标的话题建立良性接触，之后攻击者和目标之间通常会有一些对应关系，有时会持续很长时间。

最后进行恶意链接的传递。攻击者就会使用典型的网络钓鱼技术并共享一个链接指向感兴趣的文档或网站。这会将目标引导至参与者控制的服务器，提示目标输入帐户凭据。链接可能是电子邮件中的 URL，或者攻击者可能会在 OneDrive、GoogleDrive 或其他文件共享平台上的文档 中嵌入链接。

披露时间：2023年2月2日

情报来源：https://www.trendmicro.com/en_us/research/23/b/new-apt34-malware-targets-the-middle-east.html

相关信息：

2022年12月，研究人员发现一个可疑的可执行文件（其检测为 Trojan.MSIL.REDCAP.AD），该文件已在多台计算机上投放并执行。经过调查将此攻击与高级持续威胁 (APT) 组织 APT34 联系起来，其主要目标是窃取用户的凭据。即使在密码重置或更改的情况下，恶意软件也能够将新凭据发送给威胁参与者。此外，在分析部署的后门变体后，发现该恶意软件能够使用新的过滤技术——滥用受感染的邮箱帐户，将窃取的数据从内部邮箱发送到攻击者控制的外部邮件帐户。虽然这不是一项新技术，但这是 APT34 首次将其用于其活动部署。按照这个分析，此活动的例程很可能只是更大部署链的一小部分。

其攻击流程如下：

1. 首先是名为MrPerfectInstaller（被研究人员检测为 Trojan.MSIL.REDCAP.AD）的初始阶段。Net 释放器恶意软件负责释放四个不同的文件，每个组件都存储在主释放器内的 Base64 缓冲区中。

2. 接着滥用Microsoft引入的密码过滤器，作为从域用户（域控制器）或本地帐户（本地计算机）拦截或检索凭据的方法。

3. 最后利用后门函数Backdoor.MSIL.REDCAP.A通过合法的邮件流量进行数据泄露。

自2014年以来，APT34 已被记录为以全球组织为目标，特别是来自中东金融、政府、能源、化学和电信行业的公司。APT34 被记录为主要参与网络间谍活动的组织，此前已被记录以政府办公室为目标，并且没有停止入侵的迹象。

披露时间：2023年1月24日

情报来源：https://www.trendmicro.com/en_us/research/23/a/vice-society-ransomware-group-targets-manufacturing-companies.html

相关信息：

Vice Society 勒索在2022年末和2023年初对多个目标发起了一系列攻击，例如影响旧金山快速交通系统的目标，成为头条新闻。大多数报告都让威胁行为者将其工作重点放和医疗保健上行业。然而，通过研究人员的遥测数据，有证据表明该组织也在瞄准制造业，这意味着他们有能力和愿望渗透到不同的行业——很可能是通过从地下渠道购买受损凭证来实现的。研究人员检测到巴西（主要影响该国的制造业）、阿根廷、瑞士和以色列存在 Vice Society。

Vice Society 最初被报道在他们的例程中利用PrintNightmare漏洞，之前已经部署了勒索软件变体，例如 Hello Kitty/Five Hands 和 Zeppelin（该组织的电子邮件已在他们的勒索笔记中）。最近，Vice Society 已经能够开发自己的定制勒索软件构建器并采用更强大的加密方法。任何进一步的增强可能意味着该组织正在为他们自己的勒索软件即服务 (RaaS) 操作做准备。

披露时间：2023年1月23日

情报来源：https://www.uptycs.com/blog/titan-stealer-telegram-malware-campaign

相关信息：

研究人员最近发现了一场涉及 Titan Stealer 恶意软件的活动，威胁参与者 (TA) 出于网络犯罪目的通过 Telegram 渠道营销和销售该恶意软件。窃取者能够从受感染的 Windows 机器上窃取各种信息，包括来自浏览器和加密钱包的凭证数据、FTP 客户端详细信息、屏幕截图、系统信息和抓取的文件。

第一阶段：该二进制文件是一个用 GCC 编译的32位可执行文件。当文件执行时，会解密同一内存区域中的 XOR 编码有效载荷，然后将自身注入名为“AppLaunch.exe”的合法目标进程。

第二阶段：在成功注入后从“AppLaunch.exe”进程的内存区域开始运行另一个32位可执行文件，同时提供Golang 编译的二进制文件的构建 ID。

披露时间：2023年1月25日

情报来源：https://blog.cyble.com/2023/01/25/the-rise-of-amadey-bot-a-growing-concern-for-internet-security/

相关信息：

Amadey bot 是一种木马程序，于2018年首次被发现，用于从受感染的设备中窃取敏感信息。最初，它被发现通过漏洞利用工具包进行分发，威胁参与者 (TA) 利用它来部署其他恶意软件，例如 GrandCrab 勒索软件和 Flawed Ammyy 远程访问木马。2022年，LOCKBIT 的附属机构使用 Amadey bot向受害者传播勒索软件。

最近，研究人员检测到Amadey bot样本数量显着增加，表明威胁行为者正在积极利用该机器人用其他恶意软件感染受害者的系统。Amadey bot通过网络钓鱼站点进行传播，钓鱼网站模仿 Game Cheat 从 URL 下载“Bossmenu Setup.rar”文件。当用户点击下载按钮时，包含名为“Seil.exe”的.rar 文件将会被会下载，以从远程服务器下载 Amadey bot。

披露时间：2023年1月24日

情报来源：https://unit42.paloaltonetworks.com/realtek-sdk-vulnerability/

相关信息：

研究人员每月审查数千万条攻击记录，大多数月份针对单个漏洞的攻击不超过攻击总数的10%。然而在2022年8月至2022年10月期间，利用Realtek Jungle SDK远程代码执行漏洞（CVE-2021-35394）的攻击次数占攻击总数的40%以上。12月，研究人员共观察到1.34亿次利用此漏洞的攻击尝试，其中约97%的攻击发生在2022年8月开始之后。

由于该漏洞的在野利用，经分析发现了三种不同类型的有效载荷：

1. 脚本在目标服务器上执行的shell 命令，用以下载其他恶意软件；

2. 用以将二进制有效负载写入文件并执行的注入命令；

3. 直接重新启动目标服务器以导致拒绝服务（DoS）条件的注入命令。

通过滥用 CVE-2021-35394传递的还有已知的僵尸网络，如 Mirai、Gafgyt 和 Mozi，以及一个名为 RedGoBot 的基于 Golang 的新型分布式拒绝服务（DDoS）僵尸网络。

RedGoBot活动于2022年9月首次被观察到，它涉及投放一个旨在下载一些针对不同CPU架构的僵尸网络客户端的壳脚本。该恶意软件一旦启动，就可以运行操作系统命令并发动DDoS攻击。

披露时间：2023年2月1日

情报来源：https://www.securityjoes.com/post/operation-ice-breaker-targets-the-gam-bl-ing-industry-right-before-it-s-biggest-gathering

相关信息：

黑客一直以在线游戏和赌博公司为目标，在世界上最大的游戏/博彩会议 ICE London 召开前几个月出现，因此研究人员将其命名为 Ice Breaker。Ice Breaker 使用了一种非常特殊的社会工程技术通过诱骗客户打开恶意 ZIP 或 LNK 文件，以执行恶意软件。

黑客进攻经过一般会两个阶段：

第一阶段：释放下载器。攻击者在对话期间向受害者分发两种不同类型的有效载荷。根据相关数据，LNK 文件是主要的有效载荷，也是第一个呈现给客户服务代理的文件。另一方面，VBS 文件仅作为备份选项共享，以防代理无法打开第一个文件。根据受害者执行的恶意文件（LNK 或 VBS），提供不同的有效负载。若执行 LNK ，将获取并执行一个包含IceBreaker 后门的额外 MSI 包，这是一种新的威胁，以前没有在任何其他公开可用的威胁情报报告中描述过。若执行 VBS ，将获取 Houdini RAT，这是一种基于 VBS 的远程访问木马，至少自 2013 年以来一直活跃。

第二阶段：执行操作。Windows 快捷方式下载并执行的 MSI 文件。该快捷方式包含一个命令，用于从攻击者的服务器下载 MSI 负载，无需用户交互即可安装，并在没有用户界面的情况下运行。MSI 软件包具有大量诱饵文件，可以逃避基于签名的检测工具和分析引擎。最后一层是提取到受害者临时文件夹中的 CAB 存档，并释放“Port.exe”有效负载。

披露时间：2023年1月26日

情报来源：https://www.mandiant.com/resources/blog/tracking-evolution-gootloader-operations

相关信息：

2021年1月以来，研究人员一直在响应 GOOTLOADER 感染。威胁行为者在传播 GOOTLOADER 时广泛撒网，并影响广泛的垂直行业和地理区域。目前只将 GOOTLOADER 恶意软件和基础设施归因于追踪为 UNC2565 的一个组。GOOTLOADER 感染始于用户在线搜索与业务相关的文档，例如模板、协议或合同。受害者被引诱访问受感染的网站并下载包含称为 GOOTLOADER 的 JavaScript 文件的恶意存档。

第一阶段:GOOTLOADER 成功执行后，将下载两个额外的有效负载到注册表以逃避检测同时保持其持久性和安全性。

第二阶段:PowerShell 脚本尝试创建计划任务，以启动保存到注册表中的恶意负载。

FONELAUNCH 是 GOOTLOADER 写入注册表的有效负载之一，它是一个基于.NET 的加载程序，可将编码的有效负载从注册表加载到内存中。由 GOOTLOADER 写入注册表的辅助注册表有效载荷是一个用 .NET 或 C++ 编写的纯内存释放器，该投放器对位于随机命名的函数中的嵌入式有效载荷进行解码并执行。

披露时间：2023年1月26日

情报来源：https://www.securonix.com/blog/security-advisory-python-based-pyration-attack-campaign/

相关信息：

研究人员发现了一种名为PY#RATION的新恶意软件，攻击者可以从受影响的设备上窃取敏感文件并记录击键情况。该恶意软件通过传统的网络钓鱼机制传播，其中电子邮件包含一个受密码保护的ZIP存档。当它被解压缩时，会出现两个快捷图像文件，名称分别为front.jpg.lkn和back.jpg.lnk。当启动时，这些文件会显示不存在的驾照的正面和背面，这样恶意代码也会被行，导致从互联网上下载两个新文件，这些文件的标题分别是front.txt和back.txt，之后重命名为.bat文件并执行。恶意软件伪装成小娜虚拟助手，以确保在系统上持久存在。

披露时间：2023年1月26日

情报来源：https://www.trendmicro.com/en_us/research/23/a/new-mimic-ransomware-abuses-everything-apis-for-its-encryption-p.html

相关信息：

研究人员发现了一种新的勒索软件，该勒索软件滥用了一种名为 Everything 的合法工具的 API，这是一种由 Voidtools 开发的 Windows 文件名搜索引擎，可提供快速搜索和实时更新，从而最大限度地减少资源使用。这种勒索软件（我们根据在其二进制文件中发现的字符串将其命名为 Mimic）于2022年6月首次在野外被发现，目标是俄语和英语用户。它具有删除卷影副本、终止多个应用程序和服务、滥用Everything32.dll函数查询待加密目标文件等多种能力。

Mimic 以可执行文件的形式出现，其中包含多个二进制文件和受密码保护的存档文件（伪装成 Everything64.dll），在提取时包含勒索软件有效负载。执行时，它会首先将其组件放到 %Temp%/7zipSfx 文件夹中。然后它使用7za.exe将受密码保护的 Everything64.dll 提取到同一目录，同时放入话密钥文件 session.tmp以在进程中断时用于继续加密。将删除的文件复制到“%LocalAppData%\{Random GUID}\”之后,勒索软件将被重命名为 bestplacetolive.exe，原始文件被删除。

披露时间：2023年1月26日

情报来源：https://unit42.paloaltonetworks.com/plugx-variants-in-usbs/

相关信息：

研究人员在受害者的机器上发现了多个工具和恶意软件样本，包括GootLoader恶意软件、Brute Ratel C4红队工具和一个较旧的PlugX恶意软件样本。PlugX 恶意软件相对突出，因为此变体会感染任何连接的可移动 USB 媒体设备，例如软盘、拇指或闪存驱动器以及 USB 稍后插入的任何其他系统。

PlugX 是一个第二阶段的植入程序，它已经存在了十多年，并在一些备受瞩目的网络攻击中被观察到，包括2015年的美国政府人事管理办公室 (OPM)漏洞。PlugX 恶意软件用于隐藏 USB 设备中文件的技术涉及使用特定的 Unicode 字符。这会阻止 Windows 资源管理器和命令外壳 ( cmd.exe ) 显示 USB 目录结构和任何文件。为从隐藏目录执行恶意软件的代码，在 USB 设备的根文件夹中创建了一个 Windows 快捷方式 ( .lnk ) 文件。目标单击快捷方式后，x32dbg.exe将通过cmd.exe从 USB 设备上的隐藏文件目录启动。USB 连接的主机现在感染了 PlugX 恶意软件。

当主机感染了 PlugX 后， USB 可移动设备将被持续监视。感染后写入 USB 设备根文件夹的任何新文件都会移动到 USB 设备内的隐藏文件夹中。由于 Windows 快捷方式文件类似于 USB 设备的文件，且恶意软件会显示受害者的文件， PlugX便会在不知不觉中继续传播。

披露时间：2023年1月31日

情报来源：https://darktrace.com/blog/vidar-info-stealer-malware-distributed-via-malvertising-on-google

相关信息：

据消息人士报道，最近几周，相关研究人员注意到Google上的恶意广告活动有所增加，旨在将信息窃取恶意软件渗透到毫无戒心的受害者的系统中。据观察，当个人在Google上搜索记事本++、Zoom、AnyDesk、福昕、Photoshop等流行工具时，他们可能会遇到将他们重定向到恶意网站的广告。该报告旨在对一个此类活动进行高级分析，特别关注Vidar Info窃取恶意软件的交付。

2023年1月，经观察发现当从美国境内搜索术语“记事本++”时， Google 上显示没有关于其发布者可见信息的问题广告，点击广告会将潜在受害者定向到网站 notepadplusplus.site，该网站已在1月4日，托管在 IP 地址37.140.192.11上。单击“下载”按钮，无论选择哪个版本流量都会重定向到 https://download-notepad-plus-plus.duckdns.org/，下载名为“npp”的.zip文件。下载并执行后，恶意软件会立即建立与 Telegram 通道的连接，以获取其命令和控制（C2）地址，特别是 http://95.217.16.127。

通过流量分析、恶意软件获取其命令和控制（C2）位置的方法以及对获得的配置的分析，可以高度自信地评估所讨论的恶意软件是称为 Vidar 的信息窃取者。

披露时间：2023年1月30日

情报来源：https://mp.weixin.qq.com/s/1DEtLahMkhb2U3KCh0h3CA

相关信息：

Argo CD是用于Kubernetes的声明性GitOps持续交付工具。Argo CD可在指定的目标环境中自动部署所需的应用程序状态，应用程序部署可以在Git提交时跟踪对分支，标签的更新，或固定到清单的特定版本。Argo CD支持的Kubernetes 配置清单包括helm charts、kustomize、Ksonnet、Plugin、YAML/json文件等。

近日，奇安信CERT监测到Argo CD官方发布Argo CD身份认证绕过漏洞(CVE-2023-22482)和Argo CD授权绕过漏洞(CVE-2023-22736)通告，攻击者可以利用CVE-2023-22482，使Argo CD的API接受某些无效令牌绕过身份认证从而访问Argo CD；利用CVE-2023-22736可在配置允许的命名空间之外部署应用程序。鉴于这些漏洞影响范围较大，建议客户尽快做好自查及防护。

披露时间：2023年1月28日

情报来源：https://mp.weixin.qq.com/s/qkqBR4TEUVo__w_AIaEqTg

相关信息：

ManageEngine是专业研发和销售IT管理软件、网管软件的品牌，逐步改变企业级IT运维管理方法。ManageEngine全面管理IT业务，包括IT服务管理、服务器监控、网络监控、应用性能管理、网络管理配置、活动目录管理等自动化产品，管理日益复杂的企业IT基础设施监控、应用性能管理及IT服务管理交付。

近日，奇安信CERT监测到ManageEngine官方发布Zoho ManageEngine OnPremise 多款产品远程代码执行漏洞(CVE-2022-47966)通告。Zoho ManageEngine OnPremise 多款产品如ADManager Plus中存在远程代码执行漏洞，在当前已启用或曾经启用过SAML单点登录的状态下，未经授权的远程攻击者可利用此漏洞在目标服务器上执行任意代码。鉴于此漏洞影响产品较多，漏洞影响较大，建议客户尽快做好自查及防护。

披露时间：2023年1月29日

情报来源：https://mp.weixin.qq.com/s/f1nNtEJHX_3ZFiMkClSHPQ

相关信息：

VMware VRealize Log Insight 是一个日志收集和分析的虚拟设备，使管理员能够收集、查看、管理和分析系统日志数据。Log Insight 使管理员能够管理基础架构、整合日志、监控vSphere和 IT 环境并对其进行故障排除，以及执行安全审计和合规性测试。

近日，奇安信CERT监测到VMware官方发布vRealize Log Insight 8.10.2版本，修复了vRealize Log Insight中的多个安全漏洞。包括：

• CVE-2022-31711 VMware vRealize Log Insight 信息泄露漏洞

• CVE-2022-31704 VMware vRealize Log Insight 远程代码执行漏洞

• CVE-2022-31706 VMware vRealize Log Insight 目录穿越漏洞

未经身份认证的远程攻击者可组合利用这些漏洞在目标系统上以 ROOT 权限执行任意代码。目前，国外安全团队已发布博客，证实组合利用这些漏洞可控制目标系统，并表明将于下周公开这些漏洞细节及PoC。建议客户尽快做好自查及防护。