披露时间：2023年5月4日

情报来源：https://www.fortinet.com/blog/threat-research/clean-rooms-nuclear-missiles-and-sidecopy

相关信息：

众所周知，SideCopy APT 组织利用类似的 TTP（战术、技术和程序）——在某些情况下，利用与另一个名为“透明部落”的巴基斯坦威胁行为者组织相同的基础设施。

研究人员最近遇到了一份这样的文件，其中提到了印度国家军事研究机构和正在开发的核导弹。该文件旨在部署具有与 APT 组“SideCopy”相匹配的特征的恶意软件。该组织的活动至少可以追溯到 2019 年，其目标与巴基斯坦政府的目标和目标保持一致。

该文件名为“DRDO-K4-Missile-Clean-room.zip”。当名称的含义被完全解析时，它变得非常有趣。“DRDO”指的是印度国防研究与发展组织 ( https://en.wikipedia.org/wiki/Defence_Research_and_Development_Organisation )。“K-4”指的是安装在 Arihant 级核动力弹道导弹潜艇中的中程 SLBM（潜射弹道导弹）(https://en.wikipedia.org/wiki/K-4_(missile) ). 而“洁净室”是指组装敏感部件或对这些导弹进行密集维护所需的设施。                             

披露时间：2023年5月5日

情报来源：https://mp.weixin.qq.com/s/vOH515P_c_HZk6YCbF1DKQ

相关信息：

2023年4月18日，研究人员在日常威胁狩猎中，发现一组针对俄罗斯的鱼叉式钓鱼邮件攻击事件。通过对该事件进行关联分析后，确认该攻击者也对德国发动了类似的钓鱼攻击。

该攻击者在活跃时间、攻击目标、工具类型、工具内特征方面与已知黑客组织TA569有较高相似性，本次事件可能是该组织在2023年2月的系列活动的延续。

披露时间：2023年5月4日

情报来源：https://www.sentinelone.com/labs/kimsuky-evolves-reconnaissance-capabilities-in-new-global-campaign/

相关信息：

Kimsuky 是朝鲜的一个高级持续威胁 (APT) 组织，在全球范围内进行有针对性的攻击已有很长的历史。目前对该组织的了解表明，至少从 2012 年开始，他们主要负责情报收集和间谍活动，以支持朝鲜政府。2018 年，该组织被发现部署了一个名为 BabyShark 的恶意软件系列，研究人员的最新观察表明该组织已经发展具有扩展侦察功能的恶意软件，因此将此 BabyShark 组件称为 ReconShark。

ReconShark 具有独特的执行指令和服务器通信方式的侦察工具功能。对于 ReconShark 的部署，Kimsuky 继续使用特制的网络钓鱼电子邮件。值得注意的是，鱼叉式网络钓鱼电子邮件的设计质量针对特定个人进行了调整，增加了目标打开的可能性。这包括正确的格式、语法和视觉线索，对毫无戒心的用户来说是合法的。在恶意电子邮件中，Kimsuky 诱使目标打开链接以下载受密码保护的文档，利用 Microsoft OneDrive 托管恶意文档以供下载。

披露时间：2023年5月8日

情报来源：https://blogs.blackberry.com/en/2023/05/sidewinder-uses-server-side-polymorphism-to-target-pakistan

相关信息：

研究人员近日追踪发现了APT组织SideWinder针对巴基斯坦政府的最新活动。SideWinder，也称为Razor Tiger、Rattlesnake，至少自2012年以来便一直处于活跃状态，主要通过鱼叉式网络钓鱼、文档利用和DLL侧加载等技术来避免检测以提供具有针对性的植入程序。

活动始于2022年11月下旬，但截止2023年3月，其目标已从巴基斯坦扩展至土耳其，并且在活动期间，SideWinder主要使用了基于服务器的多态性技术。这种技术可允许攻击者绕过传统的基于签名的防病毒(AV)检测来提供其下一阶段的有效载荷。其中，由于多态(字面意思是“多种形状”)恶意软件是通过加密和混淆改变其外观的恶意代码，因此基于签名的传统AV软件很难捕获此类恶意软件。

披露时间：2023年5月1日

情报来源：https://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html

相关信息：

自 2019 年 6 月以来，研究人员 一直在跟踪持续的攻击活动DangerousPassword. （也称为CryptoMimic或SnatchCrypto），已确认对加密交换运营商的攻击。多年来，攻击者一直试图通过电子邮件向目标发送快捷方式文件来感染恶意软件，但众所周知，他们在执行各种其他攻击模式的同时其目标是恶意软件感染。本文将介绍最近确认的基于四种攻击模式的DangerousPassword攻击方法。

• 从LinkedIn发送恶意 CHM 文件的攻击

• 使用 OneNote 文件进行攻击

• 使用虚拟硬盘文件的攻击

• 针对 macOS 的攻击

披露时间：2023年5月7日

情报来源：https://www.silentpush.com/blog/the-1877-team-a-kurdish-hacker-group-on-the-rise

相关信息：

研究人员近日披露了一个名为“1877 Team”的伊拉克黑客组织，该组织由一小群伊拉克库尔德人于2021年7月成立，最初仅开发和分发流行手机游戏PUBG的修改版本，但随着时间的推移，其活动变得更加复杂，并且受到政治驱动。该组织拥有两种获取外国基础设施访问权限的技术：1)扫描存在特定漏洞的网页；2)暴力破解管理员凭据。目前，1877 Team的活动范围主要位于中东，不过非洲、亚洲和西方组织也受到影响，其攻击目标则涉及政治实体和流行的软件/服务。在过去的一年里，该组织声称对大型人肉搜索活动、网站篡改、DDoS攻击以及对国家政府、大学、电信公司、国防组织和IT公司的服务器和数据库的攻击负责。

研究人员表示，1877 Team尚不具备APT的资格，但仍被归类为值得关注的新兴威胁组织。此外，1877 Team还运营社交媒体服务、信息泄露曝光网站和暗网论坛，用于交易漏洞、恶意软件和泄露信息，或寻求发起网络攻击的建议。其在社交媒体上积累了大量粉丝，仅Telegram频道就有12000名成员。同时，该组织与Anonymous、AnonGhost(亲巴勒斯坦/反以色列黑客组织)和ALtharea(亲伊朗)等成熟的黑客组织还建立了密切联系。

披露时间：2023年5月2日

情报来源：https://www.amnesty.org/en/latest/news/2023/05/dominican-republic-pegasus-spyware-journalists-phone/

相关信息：

国际特赦组织在世界新闻自由日发布的一项新调查中透露，多米尼加共和国一名知名女记者成为 NSO Group 的 Pegasus 间谍软件的目标，这是该国首例 Pegasus 攻击案例。

国际特赦组织安全实验室的分析证实，属于 Nuria Piera 的移动设备成为攻击目标并感染了 Pegasus，该设备可在 2020 年至 2021 年期间三次完全不受限制地访问设备。Piera 是一名调查记者，专注于多米尼加共和国的腐败和有罪不罚现象。

披露时间：2023年5月10日

情报来源：https://www.malwarebytes.com/blog/threat-intelligence/2023/05/redstinger

相关信息：

研究人员发现了一个针对乌克兰东部地区的有趣的新诱饵，并向公众报告了这一发现，此后开始追踪其背后的演员，并将其内部代号为Red Stinger。这项调查保密了一段时间，但卡巴斯基最近发布了有关同一演员（称为Bad Magic）的信息。

研究人员已经确定了该组织从 2020 年开始的攻击，这意味着它们至少在三年内一直处于低调状态。此外，此文将深入了解 Red Stinger 执行的最新活动，发现该组织针对乌克兰不同地方的实体。军事、交通和关键基础设施是一些成为目标的实体，还有一些参与了 9 月的东乌克兰公投。根据活动的不同，攻击者设法泄露快照、USB 驱动器、键盘敲击和麦克风录音等相关数据。最后，研究人员将在本报告中揭示该组织运行的未知脚本和恶意软件。

披露时间：2023年5月6日

情报来源：https://cert.gov.ua/article/4555802

相关信息：

研究人员警告称，UAC-0006组织正积极开展网络钓鱼活动，并且旨在以多语言钓鱼文件的形式分发SmokeLoader恶意软件加载器。活动感染链始于从受感染帐户发送的主题为“账单/付款”的电子邮件以及ZIP文档形式的附件。而ZIP文档是一个多语言文件，其中包含一个诱饵文档和一个JavaScript文件“pax_2023_AB1058..js“。该文件将使用PowerShell下载并执行用于启动SmokeLoader恶意软件的可执行文件：portable.exe。SmokeLoader一旦执行，它就会将恶意代码注入当前运行的资源管理器进程(explorer.exe)，并在系统中下载另一个有效载荷。

根据攻击者使用的域名注册日期以及文件的编译日期，CERT-UA表示，UAC-0006组织本次的活动于2023年4月启动，并且主要是出于财务动机，原因是其典型的意图是破坏会计师的计算机，窃取身份验证数据并创建未经授权的付款操作。

披露时间：2023年5月1日

情报来源：https://censys.wpengine.com/months-after-first-goanywhere-mft-zero-day-attacks-censys-still-sees-180-public-admin-panels/

相关信息：

根据一项新的研究，许多组织仍然因 GoAnywhere MFT 中被广泛滥用的漏洞而遭受网络攻击，GoAnywhere MFT 是一种基于 Web 的工具，可帮助组织传输文件。

2023 年 2 月上旬，研究人员报告了 Fortra 的“GoAnywhere MFT”（托管文件传输）软件中的零日 RCE 漏洞。Clop 勒索软件团伙声称他们利用此漏洞破坏了130 个组织的数据。更重要的是，其他勒索软件团体似乎也加入了这股潮流。

在这个零日事件被披露后的两个多月里，研究人员继续观察到近 180 台运行暴露的 GoAnywhere MFT 管理面板的主机，其中 30 %（55 台主机）显示有迹象表明仍未修补并且可能容易受到此漏洞的攻击。单个易受攻击的实例有可能成为可能影响数百万个人的数据泄露的门户。

披露时间：2023年5月4日

情报来源：https://www.cleafy.com/cleafy-labs/uncovering-driban-fraud-operations-chapter1

相关信息：

研究人员表示，某黑客团伙至少自2019年以来就一直在利用一种名为"drIBAN"的新型网络注入工具包实施金融欺诈活动，近期还将其目标瞄准了意大利企业银行客户。其中，使用网络注入是一种久经考验的策略，它使恶意软件可通过浏览器中间人(MitB)攻击的方式在客户端注入自定义脚本，并拦截进出服务器的流量。

此外，有迹象表明drIBAN欺诈操作与Proofpoint跟踪的一个活动重叠，该活动是由一个名为TA554的组织于2018年发起的，并且主要针对加拿大、意大利和英国的用户。其攻击链始于经过认证的网络电子钓鱼邮件(或PEC电子邮件)。这些邮件带有一个可执行文件，作为恶意软件sLoad(又名Starslord loader)的下载程序。而sLoad既是一个PowerShell加载器，也是一个侦察工具，不仅可从受感染的主机收集和泄露信息以达到评估目标的最终目的，还能在认定目标后投放有效载荷(如Ramnit)。

披露时间：2023年5月8日

情报来源：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/shtml-phishing-attack-with-blurred-image/

相关信息：

研究人员最近观察到新一波网络钓鱼攻击。在这一波中，攻击者一直在滥用服务器解析的 HTML (SHTML) 文件。SHTML 文件通常与将用户重定向到恶意、窃取凭据的网站或在浏览器本地显示网络钓鱼表单以获取用户敏感信息的 Web 服务器相关联。

攻击者通过将 SHTML 文件作为电子邮件附件分发来使用户受害。此类网络钓鱼电子邮件中使用包括付款确认、发票、装运等电子邮件包含的一小段消息，以使收件人更好奇地打开附件。

披露时间：2023年5月5日

情报来源：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/deconstructing-amadeys-latest-multi-stage-attack-and-malware-distribution/

相关信息：

Wextract.exe 是一个 Windows 可执行文件，用于从压缩 (.cab) 文件中提取文件。Cabinet 文件是压缩档案，用于打包和分发软件、驱动程序和其他文件。它是 Windows 操作系统的一部分的合法文件，位于 Windows 目录的 System32 文件夹中。

研究人员发现 Wextract.exe 样本有所增加，这些样本会在多个阶段投放恶意软件负载，从野外收集恶意 wextract.exe 样本，并对其行为进行了分析。

该博客提供了对恶意“wextract.exe”的详细技术分析，该恶意软件被用作多种类型恶意软件的传递机制，包括 Amadey 和 Redline Stealer。它还提供了有关恶意软件用来逃避安全软件检测并执行其有效负载的技术的详细信息。一旦恶意软件负载在系统上执行，它们就会与攻击者控制的命令和控制 (C2) 服务器建立通信。这种通信允许攻击者从受害者的系统中窃取数据，包括登录凭据、财务数据和其他个人信息等敏感信息。

披露时间：2023年5月10日

情报来源：https://www.dragos.com/blog/deconstructing-a-cybersecurity-event/

相关信息：

2023 年 5 月 8 日，一个已知的网络犯罪集团试图对 Dragos 实施勒索计划，但未遂。没有任何 Dragos 系统遭到破坏，包括与 Dragos 平台相关的任何内容。

犯罪集团通过在新销售员工入职日期之前泄露其个人电子邮件地址获得访问权限，随后使用他们的个人信息冒充 Dragos 员工并完成员工入职流程的初始步骤。该小组访问了新销售员工通常在 SharePoint 和 Dragos 合同管理系统中使用的资源。在一个实例中，访问了一份包含与客户关联的 IP 地址的报告，相关人员已经联系了客户。

披露时间：2023年5月8日

情报来源：https://www.fortinet.com/blog/threat-research/andoryubot-new-botnet-campaign-targets-ruckus-wireless-admin-remote-code-execution-vulnerability-cve-2023-25717

相关信息：

4 月，研究人员观察到一个独特的僵尸网络，该僵尸网络基于通过 Ruckus 漏洞 (CVE-2023-25717) 传播的 SOCKS 协议。这个名为 AndoryuBot 的僵尸网络于 2023 年 2 月首次出现。它包含针对不同协议的 DDoS 攻击模块，并使用 SOCKS5 代理与其命令和控制服务器通信。根据研究人员的 IPS 签名触发计数，该活动在 4 月中旬之后的某个时间开始分发当前版本。本文详细介绍了此恶意软件如何利用 Ruckus 漏洞并检查其在受感染设备中的行为。

披露时间：2023年5月7日

情报来源：https://www.bleepingcomputer.com/news/security/meet-akira-a-new-ransomware-operation-targeting-the-enterprise/

相关信息：

Akira 于 2023 年 3 月推出，声称已经对 16 家公司进行了攻击。这些公司分布在各个行业，包括教育、金融、房地产、制造和咨询。研究人员发现了 Akira 勒索软件样本 ，他们与研究人员共享了一个样本，以便我们对其进行分析。执行时，Akira 将通过运行以下 PowerShell 命令删除设备上的 Windows 卷影副本加密时，加密器将跳过在回收站、系统卷信息、引导、ProgramData 和 Windows 文件夹中找到的文件。它还将避免使用 .exe、.lnk、.dll、.msi 和 .sys 文件扩展名加密 Windows 系统文件。加密文件时，勒索软件会加密文件并附加 .akira 扩展名，该扩展名将附加到文件名中。Akira 还使用 Windows Restart Manager  API 来关闭进程或关闭可能使文件保持打开状态并阻止加密的 Windows 服务。

披露时间：2023年5月7日

情报来源：https://www.bleepingcomputer.com/news/security/new-cactus-ransomware-encrypts-itself-to-evade-antivirus/

相关信息：

一种名为 Cactus 的新型勒索软件一直在利用 VPN 设备中的漏洞对“大型商业实体”的网络进行初始访问。研究人员认为，Cactus 通过利用 Fortinet VPN 设备中的已知漏洞获得对受害网络的初始访问权限。

该评估基于以下观察：在调查的所有事件中，黑客都使用 VPN 服务帐户从 VPN 服务器转移到内部。Cactus 与其他操作的不同之处在于使用加密来保护勒索软件二进制文件。攻击者使用批处理脚本通过 7-Zip 获取加密器二进制文件。删除原始 ZIP 存档，并使用允许其执行的特定标志部署二进制文件。整个过程不寻常，研究人员认为这是为了防止检测到勒索软件加密器。

披露时间：2023年5月9日

情报来源：https://unit42.paloaltonetworks.com/royal-ransomware/

相关信息：

自 2022 年 9 月首次被观察到以来，Royal 一直参与针对关键基础设施（尤其是医疗保健）的高调攻击。与雇佣分支机构以将其威胁作为一种服务进行宣传的流行趋势相反，Royal作为一个私人团体运作Conti 的前成员。Royal 勒索软件还通过开发 ELF 变体来影响 Linux 和 ESXi 环境，从而扩大了他们的武器库。ELF 变体与 Windows 变体非常相似，样本不包含任何混淆。所有字符串，包括 RSA 公钥和赎金记录，都以明文形式存储。

研究人员观察到该组织通过 BATLOADER 感染危害受害者，威胁行为者通常通过搜索引擎优化 (SEO) 中毒传播这种病毒。这种感染涉及投放 Cobalt Strike Beacon 作为勒索软件执行的前兆。

披露时间：2023年5月5日

情报来源：https://blog.cyble.com/2023/05/05/sophisticated-darkwatchman-rat-spreads-through-phishing-sites/

相关信息：

最近，研究人员发现了一个模仿俄罗斯著名网站 CryptoPro CSP 的钓鱼网站。助教们使用这个网站来分发 DarkWatchman 恶意软件。

DarkWatchman 于 2021 年首次被发现，主要目标是俄罗斯用户。DarkWatchman 是一种远程访问木马 (RAT) 类型，使攻击者能够远程控制受感染的系统并提取敏感数据。它的恶意功能包括捕获击键、剪贴板数据和系统信息。值得注意的是，DarkWatchman 避免将捕获的数据写入磁盘，而是将其存储在注册表中，从而最大限度地降低了被发现的风险。

在钓鱼网站hxxps[:]//cryptopro-download[.]one 上，用户可以选择下载名为“CSPSetup.rar”的恶意文件。要访问此文件的内容，需要提供用于提取的密码。

披露时间：2023年5月10日

情报来源：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/guloader-campaigns-a-deep-dive-analysis-of-a-highly-evasive-shellcode-based-loader/

相关信息：

在最近的 GULoader 活动中，研究人员看到通过电子邮件作为恶意垃圾邮件发送的基于 NSIS 的安装程序有所增加，这些安装程序使用插件库在受害者系统上执行 GU shellcode。NSIS 脚本化安装程序是一种高效的软件打包实用程序。安装程序的行为由 NSIS 脚本决定，用户可以通过添加称为 NSIS 插件的自定义库 (dll) 来扩展打包程序的功能。自成立以来，对手就滥用该实用程序来传送恶意软件。

NSIS 代表 Nullsoft Scriptable Installer。NSIS 安装程序文件是独立的存档，使恶意软件作者能够将恶意资产与垃圾数据一起包含在内。垃圾数据用作反 AV / AV 逃避技术。

披露时间：2023年4月28日

情报来源：https://blog.cyble.com/2023/04/28/citrix-users-at-risk-aresloader-spreading-through-disguised-gitlab-repo/

相关信息：

最近，研究人员观察到一种名为 AresLoader 的新加载程序，该加载程序已用于传播多种类型的恶意软件系列。AresLoader 是一种用 C 编程语言编写的加载程序恶意软件，于 2022 年首次出现在网络犯罪论坛和电报频道中。该加载程序可用于恶意软件即服务 (MaaS) 模型，由相同的威胁参与者 (TA) 开发) 谁负责 AiD Locker 勒索软件。该组织的成员也被怀疑与俄罗斯黑客组织有联系。AresLoader 的成本是每月 300 美元，包括五个构建。

披露时间：2023年5月4日

情报来源：https://blog.checkpoint.com/security/fluhorse-check-point-research-exposes-a-newly-discovered-malware-disguised-as-east-asian-legitimate-popular-android-apps/

相关信息：

研究人员发现了一种令人担忧的新恶意软件变种，称为FluHorse。该恶意软件通过一组恶意 Android 应用程序运行，每个应用程序都模仿一个安装量超过 100,000 的流行且合法的应用程序。这些恶意应用程序旨在提取敏感信息，包括用户凭据和双因素身份验证 (2FA) 代码。双因素身份验证 (2FA) 可以提高使用在线服务或访问公司资源的任何人的安全性。基本上，它要求用户提供两种不同类型的信息，以在授予访问权限之前验证或证明他们是他们所说的人。

FluHorse 针对东亚的多个行业，通常通过电子邮件分发。在某些情况下，政府官员等知名实体在网络钓鱼电子邮件攻击的初始阶段成为目标。FluHorse 出现之际，亚太地区的网络攻击正在大幅增加——根据 研究人员调查数据，2023 年第一季度，亚太地区的平均组织每周遭受 1,835 次攻击，这比 2022 年第一季度增长了 16%。

披露时间：2023年5月4日

情报来源：https://vulncheck.com/blog/papercut-rce

相关信息：

PaperCut 漏洞，跟踪为 CVE-2023-27350，是 PaperCut MF 或 NG 8.0 或更高版本中的严重未经身份验证的远程代码执行缺陷，已在勒索软件攻击中被利用。该漏洞于 2023 年 3 月首次披露，警告说它允许攻击者通过 PaperCut 的内置脚本接口执行代码。4 月份对该公告的更新警告说，该漏洞正在攻击中被积极利用。

研究人员很快发布了 针对 RCE 漏洞的PoC 漏洞 ，微软确认它  在几天后被Clop 和 LockBit 勒索软件团伙用于初始访问。从那时起，多家安全公司发布了针对 PaperCut 漏洞利用和危害指标的检测规则，包括通过 Sysmon、日志文件和网络签名进行的检测。然而，研究人员发现的一种新的攻击方法  可以绕过现有的检测，让攻击者可以畅通无阻地利用 CVE-2023-27350。

披露时间：2023年5月10日

情报来源：https://msrc.microsoft.com/update-guide/releaseNote/2023-May

相关信息：

微软发布5月安全更新。本次安全更新修复了包括3个0day漏洞在内的总计38个安全漏洞(不包括5月5日修复的11个Microsoft Edge漏洞)，其中存在32个高危漏洞(Important)、6个严重漏洞(Critical)。在漏洞类型方面，主要包括12个远程执行代码漏洞、8个特权提升漏洞、8个信息泄露漏洞、5个拒绝服务漏洞、4个安全功能绕过漏洞、1个欺骗漏洞。

本次发布的安全更新涉及Microsoft Office、Windows LDAP、Windows Network File System、Windows OLE、Windows PGM、Windows SSTP、Microsoft Bluetooth Driver、Remote Desktop Client、Visual Studio Code、Windows NFS Portmapper、Windows NTLM、Windows PGM等多个产品和组件。

以下为重点关注漏洞列表：

• CVE-2023-29336：Windows Win32K特权提升漏洞

该漏洞的CVSSv3评分为7.8分。一个允许攻击者获得 SYSTEM 权限的漏洞，目前微软没有提供有关其利用背景的详细信息。

• CVE-2023-29325：Windows OLE 远程代码执行漏洞

该漏洞的CVSSv3评分为8.1分。攻击者可以通过向受害者发送特制电子邮件来利用此漏洞，这可能会导致服务器端执行远程代码。

• CVE-2023-24932：安全启动安全功能绕过漏洞

该漏洞的CVSSv3评分为6.2分。对目标设备具有物理访问权限或管理权限的攻击者可以利用此漏洞安装执行策略。

• CVE-2023-24941：Windows Network File System远程代码执行漏洞

该漏洞的CVSSv3评分为9.8分。未经身份验证的远程攻击者可以利用精心编制的Payload调用该服务，从而触发漏洞，执行恶意代码。