披露时间：2023年5月23日

情报来源：https://www.sentinelone.com/labs/kimsuky-ongoing-campaign-using-tailored-reconnaissance-toolkit/

相关信息：

研究人员观察到朝鲜 APT 组织 Kimsuky 正在进行的一项活动，目标是针对朝鲜的信息服务、人权活动家和朝鲜叛逃者支持组织。该活动的重点是使用 RandomQuery 恶意软件的变体进行文件侦察和信息泄露，从而实现后续的精确攻击。Kimsuky 使用 Microsoft 编译的 HTML 帮助 (CHM) 文件分发 RandomQuery，这是他们用于交付各种恶意软件集的长期策略。Kimsuky 战略性地为恶意基础设施使用新的 TLD 和域名，模仿标准的 .com TLD 来欺骗毫无戒心的目标和网络防御者。         

披露时间：2023年5月23日

情报来源：https://securelist.com/goldenjackal-apt-group/109677/

相关信息：

GoldenJackal 是一个 APT 组织，自 2019 年开始活跃，通常针对中东和南亚的政府和外交实体。尽管他们多年前就开始了活动，但这个团体通常不为人知，还没有被公开描述过。

研究人员于 2020 年年中开始对该组织进行监控，并观察到持续的活动水平表明这是一个有能力且隐秘的演员。该组的主要功能是 .NET 恶意软件 JackalControl、JackalWorm、JackalSteal、JackalPerInfo 和 JackalScreenWatcher 的特定工具集，旨在：

• 控制受害机器

• 使用可移动驱动器跨系统传播

• 从受感染的系统中泄露某些文件

• 窃取凭据

• 收集有关本地系统的信息

• 收集有关用户网络活动的信息

• 获取桌面的屏幕截图

披露时间：2023年5月23日

情报来源：https://mp.weixin.qq.com/s/g8oSytVgRSV2773kwZYUHA

相关信息：

研究人员捕获到了印度白象组织针对我国相关单位的一起网络钓鱼攻击活动。白象的攻击活动最早可追溯到2009年11月，攻击目标非常广泛，但主要为中国和巴基斯坦。该组织具备Windows、Android、macOS多平台攻击能力，擅长使用政治热点话题作为诱饵进行鱼叉攻击，并不断升级其攻击技术，以达到更好的免杀效果。

在本次活动中，攻击者依然首先向目标投递了包含恶意附件的钓鱼邮件，附件内为一个包含恶意LNK文件的压缩包，而LNK文件则伪装成pdf文档以诱导用户打开执行，进而下载名为"OneDrive.exe"的BADNEWS远控木马，其最终目的是实现对目标系统的信息窃取、远程控制。期间，BADNEWS木马执行时，还会首先判断机器的时区。若检测结果为中国标准时区，则会进行后续恶意操作。

披露时间：2023年5月19日

情报来源：https://mp.weixin.qq.com/s/RjvwKH6UBETzUVtXje_bIA

相关信息：

APT-C-28组织，又名ScarCruft、APT37（Reaper）、Group123，是一个来自于东北亚地区的境外APT组织，其相关攻击活动最早可追溯到2012年，且至今依然保持活跃状态。APT-C-28组织主要针对韩国等亚洲国家进行网络攻击活动，针对包括化学、电子、制造、航空航天、汽车和医疗保健等多个行业，其中以窃取战略军事、政治、经济利益相关的信息和敏感数据为主。同时，RokRat是基于云的远程访问工具，从2016年开始一直被APT-C-28组织在多个攻击活动中使用。

近期，研究人员捕获了APT-C-28组织假借“付款申请表”等恶意文档向目标投递RokRat恶意软件。本次攻击活动与2021年公开威胁情报披露APT-C-28组织利用VBA自解码技术注入RokRat攻击活动的流程基本一致。在本次攻击活动中，我们发现的初始样本是伪装成“付款申请表”的恶意文档，诱导用户启用宏后下载并执行RokRat恶意软件。不过结合以往公开威胁情报信息，此次攻击活动初始载荷应该是钓鱼邮件。

披露时间：2023年5月19日

情报来源：https://securelist.com/cloudwizard-apt/109722/

相关信息：

2023 年 3 月，研究人员在俄乌冲突地区发现了一个以前不为人知的 APT 活动，该活动涉及使用 PowerMagic 和 CommonMagic 植入物。但是，当时尚不清楚攻击活动背后的组织。

在寻找与 PowerMagic 和 CommonMagic 相似的植入程序时，发现了一组来自同一威胁参与者的更复杂的恶意活动。最有趣的是，它的受害者不仅分布在顿涅茨克、卢甘斯克和克里米亚地区，还分布在乌克兰中西部。目标包括个人，以及外交和研究组织。新发现的活动涉及使用我们称为 CloudWizard 的模块化框架。它的功能包括截图、麦克风录音、键盘记录等。本文对CloudWizard深入研究，并对该活动的归因进行分析。

披露时间：2023年5月23日

情报来源：https://www.clearskysec.com/fata-morgana/

相关信息：

研究人员检测到至少八个以色列网站受到水坑攻击。这次攻击很可能是由来自伊朗的民族国家演员精心策划的，具体归因于 Tortoiseshell（也称为 TA456 或 Imperial Kitten）的可信度较低。受感染站点通过脚本收集初步用户信息。研究人员发现了一些细节表明此脚本被用于恶意目的，该报告是对此次攻击的详细分析。

披露时间：2023年5月22日

情报来源：https://blog.sekoia.io/bluenoroffs-rustbucket-campaign/

相关信息：

Bluenoroff 是一个与朝鲜有联系的入侵装置，据称至少从 2015 年起就隶属于 RGB 的 121 局，负责创收。自 2017 年以来，有人观察到 Bluenoroff 在欧洲、亚洲和欧洲开展了针对加密货币交易所和风险投资相关实体的金融活动，美国和阿联酋。

至少从2022 年 12 月开始，有人观察到 Bluenoroff 利用RustBucket ，这是一种针对 macOS运行系统的 Rust 和 Objective-C 编写的恶意软件。最近的 Bluenoroff 活动说明了入侵集如何在他们的恶意软件开发工作中转向跨平台语言，进一步扩展他们的能力很可能扩大他们的受害者学。RustBucket 感染链由一个 macOS 安装程序组成，该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后，伪造的 PDF 阅读器需要打开一个特定的 PDF 文件，该文件作为触发恶意活动的密钥。

披露时间：2023年5月17日

情报来源：https://medium.com/@DCSO_CyTec/andariels-jupiter-malware-and-the-case-of-the-curious-c2-dbfe29f57499

相关信息：

自 2020 年以来，研究人员一直在监控一个未公开记录的恶意软件系列，该恶意软件系列归因于 Andariel 组，该组是臭名昭著的朝鲜 Lazarus 组的一个子组。恶意软件家族多年来基本保持不变，只出现过几次。

然而，在 2023 年初，这样的一次出现似乎特别值得注意，因为配置的命令与控制表明攻击者已经设法破坏了印度国家病毒学研究所的网络存在，并可能用它来控制感染了恶意软件家族的计算机。

在这篇博文中，研究人员记录了恶意软件并讨论了这一发现如何符合攻击者的特征。

披露时间：2023年5月22日

情报来源：https://permiso.io/blog/s/unmasking-guivil-new-cloud-threat-actor/

相关信息：

研究人员近日观察到，一个源自印度尼西亚的犯罪组织正利用亚马逊网络服务(AWS)弹性计算云(EC2)实例进行盈利性的加密货币挖矿活动。据称，Permiso于2021年11月首次检测到该组织，并为其分配了绰号“GUI-vil(发音为Goo-ee-vil)”。

研究人员表示，GUI-vil的攻击链包括利用在GitHub上公开暴露的源代码库中的武器化AWS密钥或直接扫描存在远程代码执行漏洞(例如CVE-2021-22205)的GitLab实例来获得初始访问权限。成功入侵后，他们将接着进行权限提升和内部侦察，然后查看所有可用的S3存储桶，并确定通过AWS网络控制台可以访问的服务。一旦获得AWS控制台访问权限，他们便会通过网络浏览器直接进行他们的恶意操作。此外，GUI-vil组织显示出了对图形用户界面(GUI)工具的偏好，证据之一是他们将S3浏览器(版本9.5.5)用于了他们的初始操作。

披露时间：2023年5月23日

情报来源：https://www.trendmicro.com/en_us/research/23/e/info-stealer-abusing-codespaces-puts-discord-users--data-at-risk.html

相关信息：

研究人员检查了一个针对 Windows 平台的基于 Rust 的信息窃取程序，它具有反分析和反调试程序，并使用文件共享和存储平台 Gofile 和基于 Codespace 的 webhook 来窃取基于 Chromium 的浏览器凭据、信用卡、加密货币钱包以及 Steam 和 Discord 令牌。这篇博文将详细介绍了这个信息窃取者如何通过修改受害者的 Discord 客户端在受害者的机器上实现持久性的发现。以下分析和屏幕截图基于具有 SHA256 哈希值 c92a7425959121ff49970c53b78e714b9e450e4b214ac85deb878d0bedf82a70 的恶意软件样本。

披露时间：2023年5月23日

情报来源：https://blog.cyble.com/2023/05/23/new-mdbotnet-unleashes-ddos-attacks/

相关信息：

研究人员最近在网络犯罪论坛上发现了一种名为“MDBotnet”的新型恶意软件。分析表明，此恶意软件的来源可归因于与俄罗斯相关的威胁参与者 (TA)。此 MDBotnet 恶意软件专门设计用于通过采用 HTTP/SYN 洪水攻击技术对目标受害者执行分布式拒绝服务 (DDoS) 攻击。

DDoS 攻击是一种恶意尝试，通过大量互联网流量或请求来破坏计算机网络、服务或网站的正常运行。DDoS 攻击的主要目的是破坏目标的运营、造成经济损失或损害其声誉。

MDBotnet 服务的价格为 2,500₽（俄罗斯卢布），提供终身访问权限。此外，该广告还提供了有关 MDBotnet 服务中包含的功能的详细信息。

披露时间：2023年5月19日

情报来源：https://drops.scamsniffer.io/post/5-9-million-stolen-by-scam-as-a-service-provider-called-inferno-drainer/

相关信息：

近期研究人员发现，一些钓鱼事件与一家名为Inferno Drainer的诈骗厂商有关，该公司专门从事多链诈骗，主要收取被盗资产的20%。通过分析Mainnet、Arbitrum、BNB等链上的关联数据，发现他们已经盗取了约590万美元的资产，目前已有近4888名受害者！

近日，在0xSaiyanElite的提醒下，研究人员的Telegram群出现疑似Inferno成员。用户BIO链接到Inferno官方推广渠道。在他们的一个频道截图中，检测到基于 Permit2 的 103,000 美元盗窃案！通过查询截图中隐藏的交易哈希，在 ScamSniffer 的数据库中找到了这笔交易，并将其与恶意地址数据库中的一些已知恶意地址相关联。

披露时间：2023年5月19日

情报来源：https://www.trendmicro.com/en_us/research/23/e/rust-based-info-stealers-abuse-github-codespaces.html

相关信息：

研究人员最近遇到了针对 Windows的基于Rustlang的信息窃取程序。这些信息窃取者将自己伪装成应用程序或平台。调查显示这些信息窃取者如何利用CS 实例上的暴露端口从受感染的机器中窃取凭据。在此博客中，将详细介绍了这些信息窃取者之一伪装成流行的电脑游戏。这将作为该系列的第一部分，随后是另一篇文章，分析此信息窃取程序在感染现有的 Discord 安装后如何能够在受害计算机上持续存在。

披露时间：2023年5月19日

情报来源：https://blog.cyble.com/2023/05/19/capcut-users-under-fire/

相关信息：

研究人员 最近发现了一系列冒充视频编辑软件的钓鱼网站。这些欺诈网站引诱用户下载和执行各种类型的恶意软件系列，例如窃取程序、RAT 等。在这些活动中，威胁参与者 (TA) 专门针对 CapCut 视频编辑工具，它是 ByteDance 的产品，是拥有 ByteDance 的同一母公司抖音。在过去的几年中，该应用程序在各个国家的日益普及使其成为对 TA 的诱人诱惑。

几个 TA 一直在利用 CapCut 网络钓鱼网站作为传播各种恶意软件系列的平台。一个值得注意的例子涉及托管 Offx 窃取程序的网络钓鱼网站，而在另一项活动中，网络钓鱼网站充当 BatLoader 的主机，随后将 redline 窃取程序传送到目标系统。

披露时间：2023年5月17日

情报来源：https://25608397.fs1.hubspotusercontent-eu1.net/hubfs/25608397/Report-Dark-Web-Threats-Against-The-Energy-Industry.pdf

相关信息：

石油和天然气公司的很大一部分首席信息安全官（28%）可能没有意识到来自暗网的网络威胁，或者没有积极监控它们。这些说法来自最新的研究人员的威胁情报报告，该报告还显示，超过四分之一（27%）的能源行业CISO认为暗网上的活动对其公司没有影响。

根据该报告，用于初始访问企业网络的暗网拍卖是对能源行业最普遍的威胁。这些拍卖经常在著名的黑客论坛上举行，如Exploit，RaidForums和BreachForums。

披露时间：2023年5月16日

情报来源：https://www.esentire.com/blog/batloader-impersonates-midjourney-chatgpt-in-drive-by-cyberattacks

相关信息：

5 月初，研究人员发现了一个正在进行的 BatLoader 活动，该活动使用 Google 搜索广告为 ChatGPT 和 Midjourney 提供冒名顶替的网页：

• https://openai.com/blog/chatgpt

• https://en.wikipedia.org/wiki/Midjourney

这两种 AI 服务都非常受欢迎，但缺乏第一方独立应用程序（即，用户通过其 Web 界面与 ChatGPT 交互，而 Midjourney 使用 Discord）。

这种真空已被威胁行为者利用，他们希望驱使 AI 应用程序搜索者冒名顶替推广虚假应用程序的网页。在其最新活动中，BatLoader 使用 MSIX Windows 应用程序安装程序文件感染设备红线窃取者. 这不是 BatLoader 第一次针对搜索 AI 工具的用户。2023 年 2 月，研究人员确定一系列新注册的 BatLoader 域，其中包括chatgpt-t[.]com.

披露时间：2023年5月23日

情报来源：https://www.welivesecurity.com/2023/05/23/android-app-breaking-bad-legitimate-screen-recording-file-exfiltration/

相关信息：

研究人员发现了一个木马化的 Android 应用程序，该应用程序已在 Google Play 商店中提供，安装量超过 50,000 次。研究人员将包含 AhRat 的基于 AhMyth 的恶意软件命名为 AhRat。最初，iRecorder 应用程序没有任何有害功能。非常罕见的是，该应用程序在启动几个月后收到了包含恶意代码的更新。该应用程序的特定恶意行为，包括提取麦克风录音和窃取具有特定扩展名的文件，可能表明它参与了间谍活动。

在发出警报后，下载量超过 50,000 次的恶意应用已从 Google Play 中移除；还没有在野外其他任何地方发现 AhRat。

披露时间：2023年5月23日

情报来源：https://www.fortinet.com/blog/threat-research/youtube-pirated-software-videos-deliver-triple-threat-vidar-stealer-laplas-clipper-xmrig-miner

相关信息：

本月早些时候，研究人员发现了针对搜索盗版软件的 YouTube 观众的持续威胁活动。“破解”软件的视频广告下载由拥有大量订阅者的经过验证的 YouTube 频道上传。受害者被引导执行恶意二进制文件，将多个恶意软件安装到他们的系统中，专注于收集凭证、加密劫持和从钱包中窃取加密货币资金。本文描述了构成此活动的恶意软件组件：Vidar Stealer、Laplas Clipper、XMRig Miner的整个攻击链和技术细节。

披露时间：2023年5月22日

情报来源：https://www.fortinet.com/blog/threat-research/wintapix-kernal-driver-middle-east-countries

相关信息：

Donut 是一个与位置无关的 shellcode，它从内存中加载 .NET 程序集、PE 文件和其他 Windows 有效载荷，并使用参数运行它们。在 2 月初的日常威胁搜寻过程中，研究人员遇到了一个使用 Donut 工具的内核驱动程序，引起其注意以进行下一步分析。触发规则的样本是一个名为 WinTapix.sys 的驱动程序。由于它使用了 Donut，我们决定进一步分析它。结果证明这是一个非常有趣的样本，研究人员认为它被用于针对中东国家的有针对性的攻击。

样本是在 2020 年 5 月编译的，但直到今年 2 月才上传到 Virus Total。从中发现这个驱动程序的另一个同名变体，它大约在同一时间编译，但是在 2022 年 9 月上传到 Virus Total 。从使用过的证书中发现 WINTAPIX 驱动程序的另一个变体使用 SRVNET2.SYS 名称，于 2021 年 6 月编制，并于 2021 年 12 月首次在野外观察到。

披露时间：2023年5月22日

情报来源：https://www.trendmicro.com/en_us/research/23/e/blackcat-ransomware-deploys-new-signed-kernel-driver.html

相关信息：

在这篇博文中研究人员将提供有关2023 年 2 月发生的BlackCat 勒索软件事件的详细信息，在该事件中观察到一种主要用于防御规避阶段的新功能，该功能与三个供应商早先披露的恶意驱动程序重叠。众所周知，BlackCat分支机构在防御规避阶段使用多种技术，通过禁用和修改工具或使用安全模式启动技术来削弱防御。

恶意行为者使用不同的方法来签署他们的恶意内核驱动程序：通常是通过滥用 Microsoft 签名门户、使用泄露和被盗的证书，或使用地下服务。在该案例中，攻击者试图部署由 Mandiant 披露的旧驱动程序，该驱动程序是通过 Microsoft 签名的 (SHA256: b2f955b3e6107f831ebe67997f8586d4fe9f3e98)。由于此驱动程序先前已为人所知并被检测到，因此恶意行为者部署了另一个由被盗或泄露的交叉签名证书签名的内核驱动程序。

披露时间：2023年5月22日

情报来源：https://research.checkpoint.com/2023/cloud-based-malware-delivery-the-evolution-of-guloader/

相关信息：

GuLoader 是一个著名的基于 shellcode 的下载器，已被用于大量攻击以提供范围广泛的“最想要的”恶意软件。其早期版本是作为包含加密 shellcode 的 VB6 应用程序实现的。目前，最常见的版本是基于 VBScript 和 NSIS 安装程序。VBScript 变体将 shellcode 存储在远程服务器上。其已经活跃了三年多，并且仍在进一步开发中。最新版本集成了新的反分析技术，导致分析难度极大。新的 GuLoader 样本在 VirusTotal 上的检测为零，确保其恶意负载也未被发现。GuLoader 的负载是完全加密的，包括 PE 标头。这允许威胁行为者使用众所周知的公共云服务存储有效负载，绕过防病毒保护，并使有效负载在很长一段时间内可供下载。

披露时间：2023年5月18日

情报来源：https://www.reversinglabs.com/blog/rats-found-hiding-in-the-npm-attic

相关信息：

研究人员发现了两个包含 TurkoRat 的恶意软件包，TurkoRat 是一种开源信息窃取程序，在被发现之前潜伏在 npm 上两个月。在分析数百万个可疑包裹的过程中，研究人员已经确定了许多行为组合，当这些行为组合在一起时，高度表明存在恶意活动。

两个多月前首次发布的nodejs-encrypt-agent，乍一看是一个合法的软件包。然而，一些差异引起了研究人员的警觉。该篇文章是对软件包的详细分析。

披露时间：2023年5月22日

情报来源：https://mp.weixin.qq.com/s/Qlst6CX_z1A698Tvvx-bIQ

相关信息：

该在野0day提权漏洞是一个越界写入（增量）漏洞，当目标系统试图扩展元数据块时被利用来获取system权限———Windows中最高的用户权限级别。该漏洞允许改变基础日志文件，作为回报，迫使系统将基础日志文件中的假元素视为真实元素。其通过改变指向内存中一个特定的公共日志文件系统（CLFS）结构的偏移值，使之指向一个恶意结构。此外其在用户层面提供一个指向受控内存的指针，以获得内核的读/写权限。CLFS结构是Windows操作系统使用的CLFS通用日志系统的一部分，它由物理日志文件、日志流、日志记录等组成。

该在野0day提权漏洞已被Nokoyawa 勒索团伙使用，以用于部署勒索软件前获取目标系统的system权限。

该漏洞在四月补丁日被修复，并将其标记为CVE-2023-28252（Windows 通用日志文件系统驱动程序特权提升漏洞）。以下是红雨滴团队对此漏洞的分析。

披露时间：2023年5月24日

情报来源：https://mp.weixin.qq.com/s/R0gg4SFcssuesqk7GFHPbw

相关信息：

Gitlab是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理，同时可以搭建Web服务。

近日，奇安信CERT监测到 GitLab 目录遍历漏洞(CVE-2023-2825)，当嵌套在至少五个组中的公共项目中存在附件时，未经身份验证的恶意用户可以利用该漏洞读取服务器上的任意文件。鉴于该漏洞影响较大，建议客户尽快做好自查及防护。