披露时间：2023年4月20日

情报来源：https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/

相关信息：

研究人员发现了一个针对 Linux 用户的新 Lazarus Operation DreamJob 活动。Operation DreamJob 是一系列活动的名称，在这些活动中，该组织使用社会工程技术来妥协其目标，并以虚假的工作机会作为诱饵。在这种情况下，研究人员能够重建完整的链，从提供虚假的汇丰银行工作机会作为诱饵的 ZIP 文件，直到最终的有效负载：通过 OpenDrive 云存储帐户分发的 SimplexTea Linux后门。据我们所知，这是第一次公开提及这个与朝鲜结盟的主要威胁行为者使用 Linux 恶意软件作为此次行动的一部分。

此外，这一发现帮助研究人员高度自信地确认，最近的 3CX 供应链攻击实际上是由 Lazarus 发起的——这一链接从一开始就被怀疑，此后被几名安全研究人员证实。这篇博文证实了这些发现，并提供了有关 Lazarus 与 3CX 供应链攻击之间联系的更多证据。                                     

披露时间：2023年4月18日

情报来源：https://threatmon.io/apt-blind-eagles-malware-arsenal-technical-analysis/

相关信息：

4月19日发布的一份报告将Blind Eagle链接到一个新的多阶段攻击链。研究人员发现使用一个JavaScript下载程序来执行托管在Discord CDN中的PowerShell脚本。该脚本会分发另一个PowerShell脚本和一个Windows批处理文件，并在Windows启动文件夹中保存一个VBScript文件以实现持久性。然后运行VBScript代码以启动批处理文件，批处理文件随后被解密，以运行之前与之一起分发的PowerShell脚本。在最后阶段，PowerShell脚本会执行njRAT。

披露时间：2023年4月20日

情报来源：https://blog.virustotal.com/2023/04/apt43-investigation-into-north-korean.html

相关信息：

正如报道，APT43 是一个据信与朝鲜有关的威胁组织。APT43的主要目标包括政府机构、研究团体、智库、商业服务和制造业，大多数受害者位于美国和韩国。该组织使用各种技术和工具进行间谍活动、破坏活动和盗窃活动，包括鱼叉式网络钓鱼和凭证收集。这篇博文揭示了 APT43 的活动，APT43 是代表朝鲜政权开展活动的威胁行为者。

披露时间：2023年4月20日

情报来源：https://mp.weixin.qq.com/s/Nk2zml2d0HtK0hszyKW2Dw

相关信息：

近期，研究人员监测到APT组织对国内高校和科研单位的最新攻击动态，将该样本归因为Patchwork组织发起的攻击。Patchwork组织， 又称摩诃草、白象、APT-Q-36、APT-C-09，是一个来自于南亚地区的境外APT组织。

在本次攻击活动中，研究人员监测到Patchwork组织使用钓鱼邮件攻击高校和科研机构的事件，本次事件相关的邮件附件名称为“全国妇联2023年修订《妇女权益保障工作指导意见》”、“先进结构与复合材料等4个重点专项2023年度项目申报指南的通知”、“长江设计集团有限公司2023年度招聘公告”。

邮件内容以职场中的性骚扰事件或项目申报通知为由，引诱用户打开带有密码的压缩包文件，压缩中包含一个恶意lnk文件，用于下载第二阶段BADNEWS远控。通过分析我们发现该组织对以往使用的BADNEWS，进行了更新，对关键功能的调用顺序和方式做出了改进，更换了控制指令和调整对应功能的实现，替换部分关键字符串。

披露时间：2023年4月21日

情报来源：https://mp.weixin.qq.com/s/Lb_NYxhi9iJgmvI2wjY9qg

相关信息：

继3月份对Sidecopy的追踪报告发布以后，奇安信威胁情报中心红雨滴团队在日常威胁情报狩猎中再次捕获了一批Sidecopy以印度为目标的攻击样本。在此攻击活动中，攻击者主要以沙特阿拉伯代表团访印为诱饵，将下载器伪装为快捷方式文件并通过钓鱼邮件发送给受害者。当受害者解压并执行诱饵文件之后，程序将会从远程服务器下载数据文件到本地并解密执行，最终加载远控软件AckRAT。

在此攻击活动中，Sidecopy的感染链与之前的攻击活动保持相对一致，使用恶意LNK文件作为入口点，然后是一个复杂的感染链，涉及多层文件嵌套以传递最终的有效负载。其最终载荷疑似Sidecopy组织新开发的木马，在与C2的通信过程中不断发送’ACK’字符，故此我们暂时将其命名为AckRAT。

披露时间：2023年4月25日

情报来源：https://research.checkpoint.com/2023/educated-manticore-iran-aligned-threat-actor-targeting-israel-via-improved-arsenal-of-tools/

相关信息：

研究人员揭示了一组与Phosphorus密切相关的新发现。这项研究提出了攻击者使用的新的和改进的感染链。通过跟踪攻击的踪迹，能够与 Phosphorus 建立联系，Phosphorus 是一个在北美和中东活动的伊朗威胁组织，以前与广泛的活动有关，从勒索软件到知名人士的鱼叉式网络钓鱼。

在本报告详述的攻击中，研究人员发现威胁行为者显着改进了其机制并采用了罕见的技术，例如使用以混合模式创建的 .NET 二进制文件和汇编代码。新发现的版本可能是针对以伊拉克为中心的网络钓鱼攻击，使用 ISO 文件启动感染链。ISO 文件中的其他文件使用希伯来语和阿拉伯语，表明这些诱饵是针对以色列目标的。

本报告中描述的变体是使用 ISO 文件传送的，表明它很可能是初始感染媒介。由于它是先前报告的恶意软件的更新版本，因此与 Phosphorus 的某些勒索软件操作相关的此变体 (PowerLess) 可能仅代表感染的早期阶段，感染后活动的很大一部分尚未在野外看到。

披露时间：2023年4月18日

情报来源：https://www.ncsc.gov.uk/news/apt28-exploits-known-vulnerability-to-carry-out-reconnaissance-and-deploy-malware-on-cisco-routers

相关信息：

APT28 访问维护不善的思科路由器，并使用 CVE-2017-6742 在未打补丁的设备上部署恶意软件。对于某些目标设备，APT28使用 SNMP 漏洞来部署恶意软件，如 NCSC 的Jaguar Tooth 恶意软件分析报告中所述。该恶意软件获取了更多设备信息，这些信息通过普通文件传输协议 (TFTP) 泄露，并通过后门启用未经身份验证的访问。

攻击者通过恶意软件执行大量命令行界面 (CLI) 命令来获取此设备信息。它包括通过查询地址解析协议 (ARP) 表获取 MAC 地址来发现网络上的其他设备。研究人员评估认为，APT28 极大可能是俄罗斯总参谋部情报总局 (GRU) 第 85 特种服务中心 (GTsSS) 军事情报部门 26165。

披露时间：2023年4月24日

情报来源：https://securelist.com/tomiris-called-they-want-their-turla-malware-back/109552/

相关信息：

研究人员于 2021 年 9 月向已经全世界介绍了Tomiris。初始报告描述了 Tomiris Golang 植入物与SUNSHUTTLE （与NOBELIUM / APT29/TheDukes相关联）以及Kazuar （与Turla相关联）之间的联系；然而，事实证明解释这些联系很困难。在 2021 年至 2023 年的三个新攻击活动中，继续将 Tomiris 作为一个独立的威胁参与者进行跟踪。

Tomiris 专注于中亚的情报收集。它的特点是倾向于使用基本但有效的打包和分发技术，以各种编程语言开发大量低复杂性的“燃烧器”植入物，这些植入物针对相同的目标重复部署。Tomiris 偶尔会利用商业或开源 RAT，以独联体国家的政府和外交实体为目标。在其他地区（如中东或东南亚）偶尔发现的受害者原来是独联体国家的外国代表，这说明该威胁者的关注范围很窄。

披露时间：2023年4月21日

情报来源：https://www.jamf.com/blog/bluenoroff-apt-targets-macos-rustbucket-malware/

相关信息：

研究人员发现了一个 macOS 恶意软件系列，它与命令和控制 (C2) 服务器通信以下载和执行各种有效负载，跟踪并防范名为“RustBucket”的这个恶意软件系列，并怀疑它是由朝鲜政府支持的威胁行为者所为。名为 BlueNoroff 的 APT 组织被认为是著名的 Lazarus 组织的一个子组织，并被认为是这次攻击的幕后黑手。这种归因是由于卡巴斯基博客条目中记录了 Windows 端攻击的相似之处。这些相似之处包括 macOS 上的恶意工具，它与活动中使用的人员的工作流程和社会工程模式密切相关。

披露时间：2023年4月18日

情报来源：https://decoded.avast.io/martinchlumecky/ddosia-project-how-noname05716-is-trying-to-improve-the-efficiency-of-ddos-attacks/

相关信息：

通过他们的 DDosia 项目，亲俄罗斯的黑客活动组织 NoName057(16) 仍在进行 DDoS 攻击，主要目的是让欧洲国家的机构和公司的网站离线。在其 Telegram 频道上，该组织公开表示他们在对乌克兰的战争中采取行动支持俄罗斯，而且很明显，他们的活动将在战争期间进一步继续。该组织一直在向安装 DDosia 工具以参与其攻击的人提供加密货币付款。

以下分析的主要目的是探索C2架构和当前僵尸网络与C2服务器之间的通信过程。因此，研究人员一直在积极监控 DDosia 僵尸网络，并在僵尸网络实施和僵尸网络基础设施方面发现了多项创新。C2 基础设施由一个中央服务器和两个转发机器人请求的代理组成。这与更新机制相结合，使僵尸网络对中断具有相当的弹性。最新版本还包括用于所有 C2 通信的机器人身份验证机制以及 IP 地址黑名单。

披露时间：2023年4月19日

情报来源：https://blog.sucuri.net/2023/04/massive-abuse-of-abandoned-evalphp-wordpress-plugin.html

相关信息：

在过去的几周里，研究人员注意到一些受感染网站的数据库被注入以下代码到wp_posts表中，这段代码非常简单：它使用file_put_contents函数创建一个 PHP 脚本到带有指定远程代码执行后门的网站的文档根目录中。攻击者需要做的就是访问其中一个受感染的帖子或页面，后门程序将被注入到文件结构中。这些代码与官方存储库中一个非常古老的 WordPress 插件相关，该插件具有相同的名称Eval PHP。

然而，这不完全是一个新的后门。早在去年夏天就发现了这种类型的更多传统 PHP 后门，仅在过去 6 个月内，就从受感染的网站中清除了6,000多个此类后门实例。

披露时间：2023年4月20日

情报来源：https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise

相关信息：

3CX 桌面应用程序是企业软件，可为用户提供通信，包括聊天、视频通话和语音通话。2023 年 3 月下旬，软件供应链妥协通过可从其网站下载的 3CX 合法软件的木马化版本传播恶意软件。受影响的软件是 3C X DesktopApp 18.12.416 及更早版本，其中包含运行下载程序 SUDDENICON 的恶意代码，该下载程序反过来从 GitHub 上托管的加密图标文件接收额外的命令和控制 (C2) 服务器。解密的 C2 服务器用于下载标识为 ICONICSTEALER 的第三阶段，这是一种窃取浏览器信息的数据挖掘程序。研究人员将此活动跟踪为 UNC4736，这是一个疑似朝鲜关联活动集群。

披露时间：2023年4月19日

情报来源：https://blog.cyble.com/2023/04/19/al-aqsa-mosque-incident-ignites-opisrael/

相关信息：

阿克萨清真寺事件最近引发了黑客攻击者在#OpIsrael运动中针对以色列的高潮。该事件涉及以色列警察冲进清真寺，对巴勒斯坦礼拜者使用催泪瓦斯和橡皮子弹等非致命武器。这导致了巴勒斯坦人和以色列军队之间的抗议和冲突。作为回应，Anonymous Sudan等黑客组织对以色列的邮政、农业、电信和银行网站发起了大规模的网络攻击，导致网站暂时关闭。

在之前的#OpIsrael活动中，黑客活动家主要针对以色列的国家和私人实体的网站。这些攻击包括网站污损、分布式拒绝服务（DDoS）攻击，以及通过SQL注入窃取数据。然而，黑客组织今年正积极针对暴露于互联网的工业控制系统（ICS）设备。ICS设备被用来控制关键基础设施部门，如电网、水处理厂和运输系统等。这些设备通常与互联网相连，使它们容易受到攻击。

研究人员正在积极跟踪为响应#以色列行动而发起的持续攻击。研究人员已经观察到DDoS攻击、数据库转储、GNSS攻击以及对部署在以水和其他液体为主要运营部分的设施中的ICS的攻击激增。

披露时间：2023年4月20日

情报来源：https://interlab.or.kr/archives/18979

相关信息：

自 2021 年以来，研究人员一直在密切监视使用不明集群 ID (UCID) – UCID902 跟踪的高级持续性威胁组织进行的事件。根据分析，得出结论，该行为者的尝试表明，朝鲜继续以人权团体和与倡导人权有关的活动家为目标。此外，不断观察到这个攻击者利用合法商业网站的妥协来托管他们的网络钓鱼工具包，研究人员认为这是由原始网站开发人员的基础设施组成或利用网络服务器本身的结果。攻击者是一个有动机、资源充足的高级持续威胁，其动机与位于朝鲜的敌对威胁组织所表现出的动机密切相关。该组织的目标威胁与朝鲜对外情报部门侦察总局 (RGB) 的任务密切相关。

应该指出的是，UCID902和威胁组织“Kimsuky”在 TTP、动机和作案手法 (MO) 方面有很多重叠之处，但是，在撰写本文时，研究人员尚未看到该活动组织属于的Kimsuky 集群。

披露时间：2023年4月24日

情报来源：https://mp.weixin.qq.com/s/bOJ88Zzk27ZaHShlYUCYgA

相关信息：

近日，研究人员发现了一起针对俄罗斯军事部队的攻击活动，活动使用的恶意文档以俄罗斯联邦武装部队电子部队的专业假期——“电子战专家日”为主题引诱目标点击并运行。

对活动进行关联分析及归因研判后，发现来自同一威胁组织（猎影实验室内部追踪代号为“APT-LY-1007”）的攻击样本最早活跃于2022年8月。

除俄罗斯国防部外，该组织还针对俄罗斯铁路部门。相关恶意文档以“推迟征召俄罗斯联邦武装部队的命令”、 “俄罗斯铁路股份公司免除义务征召通知”为话题下发，后续释放远控木马以窃取目标机密信息。

披露时间：2023年4月26日

情报来源：https://www.trendmicro.com/en_us/research/23/d/attackers-use-containers-for-profit-via-trafficstealer.html

相关信息：

研究人员最近发现了一种不同类型的攻击：一种利用 Docker 容器通过货币化流量赚钱的软件。尽管该软件本身看起来是合法的，但它可能包含导致被监视为潜在有害应用程序 ( PUA ) 的组件。

在分析过程中，注意到蜜罐捕获了一个数据集，这是不寻常的。之后发现后台运行的不是加密货币挖掘软件或 Linux 命令，而是运行在后台的一个不熟悉的程序——一个使用实验室网络通过将流量吸引到特定网站并与广告互动来赚钱的容器。攻击者将研究人员的蜜罐变成了自己的创收机器。

从获得的 JavaScript 对象表示法 (JSON) 蜜罐日志中，研究人员确定了有关目标 IP 地址、国家/地区、来自蜜罐的流量移动、攻击发生时间的时间戳、令牌、环境路径以及对容器采取的操作等信息。

披露时间：2023年4月20日

情报来源：https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/dog-hunt-finding-decoy-dog-toolkit-via-anomalous-dns-traffic/

相关信息：

研究人员每天分析超过 700 亿条 DNS 记录，以及来自其他来源的数百万条域相关记录，以识别整个互联网中的可疑域和恶意域。算法按顺序工作，使用威胁洞察基础设施在某些领域做出近乎实时的决策，而其他决策则随着时间的推移而做出，利用领域的纵向概况。这使能够在域名可能对客户构成威胁时，在其生命周期的各个阶段识别域名。描述的域都与之称为 Decoy Dog 的单个工具包相关，该工具包是使用 DNS 指纹匹配当前世界上活跃域的 0.0000027% 来识别的。在撰写本文时，研究人员发现围绕 Decoy Dog 及其在网络中的存在的谜团是复杂且未解的。

披露时间：2023年4月20日

情报来源：https://www.fortinet.com/blog/threat-research/evil-extractor-all-in-one-stealer

相关信息：

EvilExtractor（有时拼写为 Evil Extractor）是一种攻击工具，旨在针对 Windows 操作系统并从端点设备中提取数据和文件。它包括几个模块，它们都通过 FTP 服务工作。它是由一家名为 Kodex 的公司开发的，该公司声称它是一种教育工具。

根据研究人员对主机 evilextractor[.]com 的流量来源数据，恶意活动在 2023 年 3 月显着增加。研究人员 在 3 月 30 日的网络钓鱼电子邮件活动中观察到该恶意软件，并将其追溯到该博客中包含的样本。它通常伪装成合法文件，例如 Adobe PDF 或 Dropbox 文件，但一旦加载，它就会开始利用 PowerShell 进行恶意活动。它还包含环境检查和防虚拟机功能。它的主要目的似乎是从受感染端点窃取浏览器数据和信息，然后将其上传到攻击者的 FTP 服务器。本文将研究用于传递 EvilExtractor 及其功能的初始攻击方法。

披露时间：2023年4月20日

情报来源：https://blog.cyble.com/2023/04/20/daam-android-botnet-being-distributed-through-trojanized-applications/

相关信息：

研究人员最近分析了一个由MalwareHunterTeam共享的 Android 僵尸网络。上述恶意样本是 Psiphon 应用程序的木马化版本，被识别为 DAAM Android 僵尸网络，它提供以下功能：键盘记录器、勒索软件、VOIP 通话录音、在运行时执行代码、收集浏览器历史记录、记录来电、窃取 PII 数据、打开网络钓鱼 URL、拍摄照片、窃取剪贴板数据、切换 WiFi 和数据状态。

DAAM Android 僵尸网络提供 APK 绑定服务，其中威胁参与者 (TA) 可以将恶意代码与合法应用程序绑定。研究人员分析了一个名为PsiphonAndroid.s.apk的 APK 文件，其中包含与合法 Psiphon 应用程序绑定的 DAAM 僵尸网络恶意代码。

披露时间：2023年4月20日

情报来源：https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloads

相关信息：

最近，研究人员观察到 Bumblebee 恶意软件通过木马化安装程序分发，用于 Zoom、Cisco AnyConnect、ChatGPT 和 Citrix Workspace 等流行软件。Bumblebee 是一种模块化加载程序，过去主要通过网络钓鱼进行分发，已用于交付通常与勒索软件部署相关的有效负载。为特别热门的软件（例如 ChatGPT）或远程工作人员常用的软件安装木马程序会增加新感染的可能性。

研究人员分析的 Bumblebee 样本之一是从 http[:]//appcisco[.]com/vpncleint/cisco-anyconnect-4_9_0195.msi下载的。2023 年 2 月 16 日左右，威胁行为者在 appcisco[.]com 上为 Cisco AnyConnect Secure Mobility Client v4.x创建了一个虚假的下载页面。以恶意 Google Ad 开始的感染链通过受感染的 WordPress 网站将用户发送到这个虚假的下载页面。

披露时间：2023年4月20日

情报来源：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fakecalls-android-malware-abusing-legitimate-signing-key/

相关信息：

研究人员发现了 一个 Android 银行木马程序，该木马程序使用韩国合法应用程序使用的密钥签名。按照设计，Android 要求所有应用程序都必须使用密钥签名，换句话说就是密钥库，这样它们才能安装或更新。因为此密钥只能由创建它的开发人员使用，所以假定使用相同密钥签名的应用程序属于同一个开发商。这个 Android银行木马就是这种情况，它使用这个合法的签名密钥来绕过基于签名的检测技术。这些银行木马直到现在才在 Google Play 或官方应用商店中发布。这一威胁已于去年披露给拥有合法密钥的公司，该公司已采取预防措施。公司已确认他们已更换签名密钥 目前，他们所有的合法应用程序都使用新的签名密钥进行签名。

披露时间：2023年4月21日

情报来源：https://blog.cyble.com/2023/04/21/qakbot-malware-continues-to-morph/

相关信息：

OneNote 文件也作为最近添加到其潜在交付机制的清单中出现。研究人员观察到一些恶意软件家族，例如 AsyncRAT、QuasarRAT、DCRAT 等，被发现使用 OneNote 附件作为其策略的一部分。2023 年 2 月，著名的恶意软件 Qakbot 开始在其垃圾邮件活动中使用 OneNote 附件。 

同时还注意到，在最近的垃圾邮件活动中，Qakbot 的传送机制略有变化。变体涉及 OneNote 附件删除 CHM 文件。

在感染的第一阶段，会发送一封带有 OneNote 附件的垃圾邮件。当收件人打开附件时，会加载一个嵌入式 CHM 文件，触发 PowerShell 脚本的执行。PowerShell 脚本负责下载包含 Qakbot 恶意软件的 DLL，该 DLL 使用 rundll32.exe 执行。

披露时间：2023年4月20日

情报来源：https://blogs.jpcert.or.jp/en/2023/04/parallax-rat.html

相关信息：

2023 年 2 月左右，研究人员发现了一次试图用 Parallax RAT 恶意软件感染加密资产交换器的攻击。该攻击试图通过发送垃圾邮件来用恶意软件感染加密资产交易所的员工。

已识别的攻击以垃圾邮件开始，该邮件敦促用户从其上的 Google Drive 链接下载文件。一旦用户访问 Google Drive，就会下载一个包含 OneNote 文件的 ZIP 文件。打开时，会出现一个文档，提示用户单击嵌入其中的 VBS 文件。如果目标运行其中一个 VBS 文件，它会下载并运行多个文件，包括 Parallax RAT。

本文介绍了此攻击的详细信息。

披露时间：2023年4月24日

情报来源：https://www.trendmicro.com/en_us/research/23/d/vipersoftx-updates-encryption-steals-data.html

相关信息：

ViperSoftX是一种信息窃取软件，据报道主要针对加密货币，因其在日志文件中隐藏恶意代码的执行技术而成为 2022 年的头条新闻。自从它于 11 月首次被记录以来，研究人员观察到该恶意软件活动通过使用 DLL 侧载来实现其到达和执行技术，使其与之前的迭代有所不同。此更新包括更复杂的字节重映射加密方法和命令与控制 (C&C) 服务器的月度更改。如果没有正确的字节映射，就无法正确解密包括所有组件和相关数据的加密 shellcode，从而使分析人员对 shellcode 的解密和分析更加耗时。

研究人员注意到消费者和企业部门有大量受害者，澳大利亚、日本和美国是消费者类别中受 ViperSoftX 影响的前三个国家。同时，来自东南亚国家的受害组织包括企业界。

披露时间：2023年4月25日

情报来源：https://www.bitsight.com/blog/new-high-severity-vulnerability-cve-2023-29552-discovered-service-location-protocol-slp

相关信息：

研究人员发现了服务定位协议 (SLP) 中的一个高危漏洞，编号为 CVE-2023-29552，这是一种传统的 Internet 协议。利用此漏洞的攻击者可以利用漏洞实例发起高达 2200 倍的大规模拒绝服务 (DoS) 放大攻击，这可能使其成为有史以来最大的放大攻击之一。2023 年 2 月，研究人员确定了超过 2,000 个全球组织和超过 54,000 个 SLP 实例——包括 VMware ESXi Hypervisor、柯尼卡美能达打印机、Planex 路由器、IBM 集成管理模块 (IMM)、SMC IPMI 等——攻击者可能利用这些实例来启动 DoS攻击世界各地毫无戒心的组织。