披露时间：2023年4月5日

情报来源：https://blog.google/threat-analysis-group/how-were-protecting-users-from-government-backed-attacks-from-north-korea/

相关信息：

作为Mandiant关于APT43的报告的后续，研究人员分享了对这个参与者的观察，以及相关措施来保护用户免受该组织和其他政府支持的攻击者的侵害。报告使用名称 ARCHIPELAGO 来跟踪 APT43 活动的一个子集。

ARCHIPELAGO经常发送网络钓鱼电子邮件，冒充媒体或智库的代表，并要求朝鲜专家参加媒体采访或索取信息（RFI）。电子邮件提示收件人单击链接以查看面试问题或 RFI。当收件人单击时，链接将重定向到伪装成登录提示的网络钓鱼站点。网络钓鱼页面记录在登录表单中输入的击键，并将其发送到攻击者控制的 URL。收件人输入密码后，网络钓鱼页面会重定向到包含上下文适当的面试问题的良性文档，或者根据原始网络钓鱼电子邮件的内容对收件人有意义的 RFI。

披露时间：2023年4月7日

情报来源：https://www.microsoft.com/en-us/security/blog/2023/04/07/mercury-and-dev-1084-destructive-attack-on-hybrid-environment/

相关信息：

研究人员已检测到由 MERCURY 启用的破坏性操作， MERCURY是一个与伊朗政府有联系的民族国家行为者，它同时攻击本地和云环境。虽然威胁行为者试图将该活动伪装成标准的勒索软件活动，但不可恢复的行为表明破坏和破坏是该行动的最终目标。

MERCURY 可能利用未修补应用程序中的已知漏洞进行初始访问，然后移交对 DEV-1084 的访问以执行广泛的侦察和发现、建立持久性并在整个网络中横向移动，通常需要等待数周甚至数月才能进入下一阶段。后来观察到 DEV-1084 利用高特权的受损凭据对资源进行大规模破坏，包括服务器场、虚拟机、存储帐户和虚拟网络，并向内部和外部收件人发送电子邮件。

披露时间：2023年4月4日

情报来源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/mantis-palestinian-attacks

相关信息：

Mantis 网络间谍组织（又名 Arid Viper、Desert Falcon、APT-C-23）是一个据信在巴勒斯坦领土外活动的威胁组织，正在继续发起攻击，部署更新的工具集并竭尽全力在目标网络上保持持久存在。

虽然该组织以针对中东的组织而闻名，但研究人员通过Broadcom Software发现的最近一次活动主要针对巴勒斯坦领土内的组织，恶意活动从 2022 年 9 月开始，至少持续到 2023 年 2 月。这个目标对于 Mantis 和赛门铁克此前发现的 2017 年针对位于巴勒斯坦领土内的个人的攻击来说，这并非史无前例。

披露时间：2023年4月11日

情报来源：https://mp.weixin.qq.com/s/tBPFybetqCHM1h23SSuunQ

相关信息：

在2022及2023年期间，研究人员监测到某未知组织针对东欧及中东、中亚部分国家的攻击行动并进行了披露（由于其使用了LodaRAT，前期披露文章将其与Kasablanka进行关联，通过更深度的判断分析确认其为新组织），该组织最早攻击行动可追溯到2022年3月份，接近俄乌战争开始时间（2022年2月），结合其攻击目标分析，可初步判断该组织是由于俄乌战争而催生出的网络间谍组织。该组织主要活跃于东欧及中亚地区，将其命名为WarSunflower（战争葵花）以代表其产生来源于俄乌战争，外部友商将该组织命名为“APT-LY-1006”、“YoroTrooper”。除了通过钓鱼窃取邮箱凭证外，该组织还投递多种木马对目标进行攻击（主要投递的载荷为vhdx文件，并且vhdx里包含后门组件或LNK文件下载器及诱饵文件等）。下图为该组织的相关钓鱼攻击行动时间线。

披露时间：2023年4月11日

情报来源：https://mp.weixin.qq.com/s/RHbsCLzahLP0zGgC3N5pPQ

相关信息：

APT-C-28（ScarCruft），又称Konni，是一个活跃于朝鲜半岛的APT组织，其主要针对周边国家地区的政府机构进行网络攻击活动，以窃取敏感信息为主。该组织的攻击活动最早可追溯到2014年，近年来该组织活动频繁，不断被数个国内外安全团队持续追踪和披露。

近期研究人员多次发现该组织针对韩国的定向攻击行动。在本轮攻击中，该组织前后使用“奖励清单”、“支付”等具有诱导性的文件名，同时使用“加密货币”、“通讯录”等诱饵内容诱导用户执行恶意宏文档。宏文档被允许执行后，会从自身下载或者释放CAB载荷并解压执行其中的脚本文件，进行一系列恶意样本的加载，从而对受害者发动网络攻击，达到窃密目的。

披露时间：2023年4月12日

情报来源：https://securelist.com/the-lazarus-group-deathnote-campaign/109490/

相关信息：

Lazarus 组织是一个备受瞩目的韩语威胁组织，拥有多个子活动。研究人员之前已经发布了有关该组每个集群的连接信息。在本博客中，将重点关注称为 DeathNote 的活动集群，因为负责下载额外有效负载的恶意软件名为 Dn.dll 或 Dn64.dll。此威胁也称为 Operation DreamJob 或 NukeSped。在过去的几年里，研究人员一直密切关注 DeathNote 集群，观察他们目标的转变以及他们工具、技术和程序的开发和完善。

披露时间：2023年4月7日

情报来源：https://mp.weixin.qq.com/s/nLX-b4_-PsrR51fU_Mx7hA

相关信息：

近日，奇安信威胁情报中心及奇安信网络安全部通过日常监测发现Navicat.exe仿冒恶意安装包样本，通过天擎大网数据发现多个该样本下载链接，该样本下载链接的主页伪造了netsarang的官网，并且后续根据恶意样本证书溯源拓线多个仿冒运维工具，如xshell、LNMP、宝塔Linux面板等。根据奇安信天擎大网数据该恶意样本安装包访问数据统计表明该样本已存在主机被控制情况，于是我们第一时间针对该攻击事件进行了详细分析。

上述多个伪造运维工具是国内运营人员和网管用户日常使用频次较高的软件工具，攻击者利用该用户群体需求，搭建伪造的官网站点，诱使下载伪造的运维工具，实现对受害主机远程控制等窃密行为。

披露时间：2023年4月10日

情报来源：https://mp.weixin.qq.com/s/E2X_QqbkZ6kbsgmGZ108Tg

相关信息：

奇安信威胁情报中心在去年发布了《Operation(верность) mercenary：陷阵于东欧平原的钢铁洪流》介绍Conti Group在2022年上半年的渗透攻击活动。

值得一提的是，我们在有些现场发现了Karakurt Group留下的勒索信，这从侧面印证了Karakurt Group曾经与Conti Group存在合作，国外研究人员认为Karakurt Group作为Conti Group的红队专门用来渗透攻击，基于我们观察到的案例，Conti 相关的勒索事件中所用的手法和C2基础设施确实与Karakurt Group有着很深的关联，由于Conti Group已经解散，无法获得更多有价值的信息。但我们观察到新兴的Quantum勒索软件似乎与Karakurt Group有着比较深的联系。

本文作为Operation mercenary的补充，重点介绍Karakurt Group在2022年的其他活动，相关IOC均已不活跃，仅供友商参考。

披露时间：2023年4月8日

情报来源：https://www.cyfirma.com/outofband/ares-leaks-emerging-cyber-crime-cartel/

相关信息：

该集团目前从事企业和政府权威数据库的销售。研究人员的分析表明，ARES 通过积极寻找与其他威胁参与者的联系并断言与已建立的黑客组织和勒索软件运营商的联系，显示出与类似卡特尔行为一致的特征。观察表明，其他网络犯罪集团已经承认这种关联。在最近的发展中，研究人员观察到在 BreachedForum 关闭后，ARES 泄密活动显着增加。这引起了人们的担忧，即 ARES 可能正在加紧努力，向其平台添加更多威胁行为者和漏洞，本报告是对集团运营、发展和能力的完整分析。

披露时间：2023年4月6日

情报来源：https://blog.sucuri.net/2023/04/balada-injector-synopsis-of-a-massive-ongoing-wordpress-malware-campaign.html

相关信息：

自 2017 年以来，研究人员一直在追踪一场大规模的 WordPress 感染活动——但直到最近才懒得给它起一个合适的名字。这场持续的、持久的大规模 WordPress 感染活动，它利用所有已知和最近发现的主题和插件漏洞。其他组织和博客以类似的方式对其进行了描述，有时会添加诸如“恶意广告活动”之类的术语或命名当前使用的域（在过去 6 年中使用了数百个域）。

此活动很容易通过其对String.fromCharCode混淆的偏好、使用在随机子域上托管恶意脚本的新注册域名以及重定向到各种诈骗站点（包括虚假技术支持、欺诈性彩票中奖以及最近的推送通知）来轻松识别显示虚假验证码页面的骗局要求用户“请允许验证，您不是机器人”。

披露时间：2023年4月3日

情报来源：https://www.mandiant.com/resources/blog/alphv-ransomware-backup

相关信息：

研究人员近日披露了ALPHV(又名BlackCat)勒索软件组织的一个附属机构：UNC4466。该附属机构的目标是公开暴露的Veritas Backup Exec服务器备份软件，其易受CVE-2021-27876、CVE-2021-27877、CVE-2021-27878漏洞攻击，主要被攻击者用于获取访初始访问权限。经扫描服务发现，当前已确定了8500多个暴露在Internet上的Veritas Backup Exec安装实例。ALPHV组织此前的初始入侵方法主要依靠所窃取的凭据，此次活动则表明其开始转向采用通过利用已知漏洞实施攻击的机会主义策略。

研究人员表示，早在2022年底，UNC4466就获得了暴露于互联网的Windows服务器的访问权限，该服务器可使用Metasploit的一个模块运行Veritas Backup Exec 21.0版本软件。此后，攻击者又调用了Metasploit的持久性模块来维持对系统的持久访问，以便进行后续入侵活动。在获得对Veritas Backup Exec服务器的访问权限后，UNC4466接着将使用IE浏览器从其网站下载Advanced IP Scanner工具。该工具能够扫描单个IP地址或IP地址范围以查找开放端口，并返回主机名、操作系统和硬件制造商信息。此外，UNC4466还会利用ADRecon收集受害者环境中的网络、帐户和主机信息。最后，UNC4466将使用后台智能传输服务(BITS)来下载其它恶意工具，包括LAZAGNE、LIGOLO、WINSW、RCLONE，以及ALPHV勒索软件。

披露时间：2023年4月11日

情报来源：https://citizenlab.ca/2023/04/spyware-vendor-quadream-exploits-victims-customers/

相关信息：

研究人员发现了一家以色列公司 QuaDream 制造的商业间谍软件，该软件使用名为 ENDOFDAYS 的零点击漏洞来破坏高风险个人的 iPhone。攻击者使用描述为回溯和“隐形 iCloud 日历邀请”的零日漏洞，该漏洞影响 2021 年 1 月至 2021 年 11 月期间运行 iOS 1.4 至 14.4.2 的 iPhone。

当在 iOS 设备上收到带有回溯时间戳的 iCloud 日历邀请时，它们会在没有任何通知或提示的情况下自动添加到用户的日历中，从而允许 ENDOFDAYS 漏洞利用在没有用户交互的情况下运行，并且目标无法检测到攻击。

披露时间：2023年4月11日

情报来源：https://insight-jp.nttsecurity.com/post/102ic6o/webgoogle-chrome

相关信息：

自 2022 年 11 月左右以来，研究人员一直在观察一场攻击活动，该活动从伪装成 Google Chrome 错误屏幕的网页分发恶意软件。它从2023年2月左右开始活跃，已经确认恶意软件下载范围非常广，所以需要小心。本文概述了攻击活动和恶意软件。它会显示一个模仿 Google Chrome 错误页面的虚假页面，并使用社交工程来诱骗用户执行恶意软件。部分被污损的网站包括日文网站，影响广泛且严重，以后可能还会继续。

披露时间：2023年4月10日

情报来源：https://blog.sygnia.co/threat-actor-spotlight-ragnarlocker-ransomware

相关信息：

RagnarLocker 既是勒索软件的名称，也是开发和运营它的犯罪集团的名称。他们的数据泄露博客出现在 2020 年 4 月，但尽管他们是一个经验丰富的组织，但 RagnarLocker 从未进入前 10 名勒索软件毒株。话虽这么说，该组织的目标是关键基础设施部门的组织（如由 CISA 定义) 使它们非常危险。RagnarLocker 妥协与其他勒索软件组的攻击流程非常相似。初始访问是通过利用面向外部的服务中的软件漏洞获得的。基于IC3，这是勒索软件组织使用的前三个初始访问向量之一。此外，被利用的服务是 CISA 的一部分已知漏洞利用 (KEV) 目录，这一事实证明了优先修补这些漏洞的重要性。

在获得初始访问权限后，威胁参与者使用文件夹“C:\users\public”作为暂存目录。在发现阶段，从该文件夹中执行了多个工具。威胁行为者结合了商业工具（例如，用于扫描内部网络的 Famatech 的 Advanced Port Scanner）、Microsoft 开发的工具（例如，用于收集有关操作系统的信息的 Sysinternal 的 PsInfo 以及用于收集操作系统信息的 Dsquery）查询活动目录）和自定义工具。

披露时间：2023年4月7日

情报来源：https://blog.cyble.com/2023/04/07/new-cylance-ransomware-with-power-packed-commandline-options/

相关信息：

最近，研究人员看到了来自 Palo Alto Networks 的一个部门 Unit 42 的一条推文，其中揭示了一种可以同时攻击 Linux 和 Windows 操作系统的新型勒索软件。该勒索软件似乎处于开发阶段，因为目前关于其受害者的信息很少。负责它的组织尚未创建泄漏站点来展示其受害者。

勒索软件留下的勒索信息将自己标识为 Cylance 勒索软件，但需要注意的是，不要将其与被黑莓收购的网络安全公司 Cylance 混淆。两者是截然不同且无关的实体。此博客提供了对 Cylance 勒索软件的 Windows 和 Linux 版本的技术见解。

披露时间：2023年4月6日

情报来源：https://blog.checkpoint.com/research/what-do-the-inkblots-tell-you-check-point-researchers-unveil-rorschach-previously-unseen-fastest-ever-ransomware/

相关信息：

2023年1月底，威胁者开始滥用OneNote附件，将恶意软件Qakbot送入用户的设备。在2023年1月底至2023年2月底期间，广泛采用这种新的传输方法，导致Qakbot感染在客户群中激增。利用其自我学习人工智能，研究人员能够在新趋势出现时发现并应对这些所谓 "QakNote "感染，并且在杀毒链的多个阶段检测到并应对了这种威胁，防止了对客户网络的破坏性和广泛的损害。

Qakbot已经发展成为一个高度模块化、多用途的工具，具有后门、有效载荷交付、侦察、横向移动和数据渗出的能力。虽然Qakbot的主要交付方式一直是基于电子邮件的，但面对不断变化的情况，威胁者会修改其基于电子邮件的Qakbot交付方式。

披露时间：2023年4月6日

情报来源：https://blog.cyble.com/2023/04/06/demystifying-money-message-ransomware/

相关信息：

研究人员发现了一个名为 Money Message 的新勒索软件组。Money Message 可以加密网络共享并针对 Windows 和 Linux 操作系统。在分析 Money Message 二进制文件时，发现其相似之处：它们在配置中包含管理员凭据，然后用于定位网络资源。基于此，有理由怀疑威胁参与者 (TA) 可能在其操作中利用窃取日志。 

该组织利用双重勒索技术来锁定受害者，包括在加密之前窃取受害者的数据。如果未支付赎金，该组织会将数据上传到他们的泄密网站。 

Money Message 于 2023 年 3 月首次被发现，已经影响了超过五名公开披露的受害者，其中大多数来自美国。受害者来自不同的行业，包括 BFSI、运输和物流以及专业服务。

披露时间：2023年4月4日

情报来源：https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/rilide-a-new-malicious-browser-extension-for-stealing-cryptocurrencies/

相关信息：

研究人员发现了一种名为 Rilide 的新型恶意软件，它针对基于 Chromium 的浏览器，例如 Google Chrome、Microsoft Edge、Brave 和 Opera。Rilide 恶意软件伪装成合法的 Google Drive 扩展，使威胁行为者能够执行范围广泛的恶意活动，包括监控浏览历史记录、截取屏幕截图以及注入恶意脚本以从各种加密货币交易所提取资金。

Rilide的不同之处在于它具有有效且很少使用的能力，可以利用伪造的对话框来欺骗用户透露他们的双因素身份验证 (2FA)，然后在后台提取加密货币。在调查 Rilide 的起源期间，研究人员发现了类似的浏览器扩展被广告出售，此外，其部分源代码最近因支付纠纷而在地下论坛上泄露。

披露时间：2023年4月5日

情报来源：https://unit42.paloaltonetworks.com/crypto-clipper-targets-portuguese-speakers/

相关信息：

研究人员最近发现了一个针对葡萄牙语用户的恶意软件活动，旨在将加密货币从合法用户的钱包重定向到由威胁行为者控制的钱包中。为此，该活动使用了一种称为加密货币剪辑器的恶意软件，它会监视受害者的剪贴板以查找正在复制加密货币钱包地址的迹象。

研究人员称之为 CryptoClippy 的恶意软件试图用威胁行为者的地址替换用户的实际钱包地址，导致用户无意中将加密货币发送给威胁行为者。在制造业、IT 服务和房地产行业都发现了受害者，尽管他们可能影响了使用他们工作机器的人的个人钱包地址。

披露时间：2023年4月11日

情报来源：https://mp.weixin.qq.com/s/qYSBypZ6p6cpsxWzUWccpA

相关信息：

本月，微软共发布了97个漏洞的补丁程序，修复了Windows Server 2022、Visual Studio Code等产品中的漏洞，其中包含1个已被用于在野攻击的0 Day漏洞。值得注意的是，微软在1月10日停止了Windows 7 和 Windows 8.1 的安全更新和技术支持，建议您尽快升级系统。

本次修复的漏洞中有1个漏洞已经检测到在野利用，CVE-2023-28252 Windows 通用日志文件系统驱动程序权限提升漏洞。以下9个漏洞被微软标记为“Exploitation More Likely”，这代表这些漏洞更容易被利用：

• CVE-2023-28218 WinSock 的 Windows 辅助功能驱动程序权限提升漏洞

• CVE-2023-21554 Microsoft 消息队列远程代码执行漏洞

• CVE-2023-21554 Windows 图形组件权限提升漏洞

• CVE-2023-28219 第二层隧道协议远程代码执行漏洞

• CVE-2023-28220 第二层隧道协议远程代码执行漏洞

• CVE-2023-28227 Windows Bluetooth 驱动程序远程代码执行漏洞

• CVE-2023-28231 DHCP 服务器服务远程代码执行漏洞

• CVE-2023-28266 Windows 通用日志文件系统驱动程序信息泄露漏洞

• CVE-2023-28274 Windows Win32k 权限提升漏洞

以下漏洞由奇安信代码安全实验室发现并提交，包括：CVE-2023-28234 Windows 安全通道拒绝服务漏洞、CVE-2023-28233 Windows 安全通道拒绝服务漏洞。