披露时间：2023年5月25日

情报来源：https://mp.weixin.qq.com/s/WU0VnMCf-FQyXiBkZfZAEw

相关信息：

Patchwork APT组织，也称为Dropping Elephant、Chinastrats、Monsoon、Sarit、Quilted Tiger、APT-C-09和ZINC EMERSON，于2015年12月首次被发现，使用一套定制的攻击工具，针对多名外交官和经济学家发起攻击。这些攻击通常是通过鱼叉式网络钓鱼活动或水坑攻击进行的。该组织被怀疑由一个隶属于南亚某国的威胁行为者运营，主要攻击目标是巴基斯坦、斯里兰卡、尼泊尔，孟加拉国、缅甸、柬埔寨等国。

近期研究人员在对PatchWork的持续追踪过程中，发现其武器库中出现了一款由.NET开发的精简后门，目标框架为.NET Framework 4，狩猎追踪过程中发现该后门与BADNEWS共同出现，故有理由猜测该后门用于配合BADNEWS共同使用，该后门使用的命名空间为Eye，为了方便后续追踪及区分，根据命名空间将这款后门称之为EyeShell。

披露时间：2023年5月23日

情报来源：https://www.genians.co.kr/blog/threat_intelligence_report_apt37

相关信息：

从 4 月到 5 月，研究人员抓获了一些与朝鲜有联系的威胁行为者，以组织名称 APT37（RedEyes，Group123）为人所知，他们试图以恶意 MS Word DOC 文档文件和 LNK 快捷方式文件的形式进行攻击。以在国内的朝鲜人权界负责人的情报为幌子，以另一名朝鲜人权界代表为对象，进行了包含恶意文件的基于电子邮件的鱼叉式网络钓鱼攻击，类似的攻击仍在继续。APT37组织是FireEye命名的朝鲜背后的黑客组织，从2012年前后开始参与各种网络间谍活动。该组织的主要任务之一是以获取对朝鲜政权有利的情报为目的的侦察活动，在韩国的公共部门和私营部门开展范围广泛的黑客活动。

披露时间：2023年5月23日

情报来源：https://asec.ahnlab.com/en/53132/

相关信息：

研究人员最近确认了 Lazarus 组织的相关攻击活动。该组织以在全国范围内获得支持而闻名，近期对 Windows IIS Web 服务器进行了攻击。通常情况下，当威胁行为者扫描并发现存在漏洞版本的Web服务器时，他们会利用适合该版本的漏洞安装Web shell或执行恶意命令。Windows 服务器系统正成为攻击目标，恶意行为正在通过 IIS Web 服务器进程 w3wp.exe 执行。因此，可以假设威胁行为者在稍后执行恶意命令之前使用管理不善或易受攻击的 Web 服务器作为其初始入侵路径。

披露时间：2023年5月30日

情报来源：https://mp.weixin.qq.com/s/H-ZRvcofbzwZ8Ikyn5Vu4w

相关信息：

Bitter，也被称为蔓灵花，是一个疑似来源于南亚的高级威胁组织。自 2013年以来，一直属于活跃状态，该组织行动目标主要是巴基斯坦、孟加拉国和沙特阿拉伯的能源、工程和政府部门。近期，研究人员在对Bitter组织的持续追踪过程中发现其武器库中出现了一款新型DLL后门，原始名称为OLEMAPI32.DLL，产品名称为Microsoft Outlook，本次发现的后门使用的通讯方式较为独特，与该组织其他武器相比较，本次发现的后门通讯方式采用RPC与服务端交互。根据已有信息来看，此次新发现的后门极有可能针对Outlook用户群体，为方便后续追踪狩猎及区分，故据此特征将其命名为ORPCBackdoor。

披露时间：2023年5月24日

情报来源：https://research.checkpoint.com/2023/agrius-deploys-moneybird-in-targeted-attacks-against-israeli-organizations/

相关信息：

Agrius 于 2021 年首次推出，是与伊朗结盟的威胁行为者，主要在中东开展活动。该演员与数次勒索软件 和 擦除器攻击有关  ，主要针对以色列机构。该组织在伊朗的隶属关系尚不清楚，尽管最近的报道将  其与伊朗情报和安全部 (MOIS)联系在一起。Agrius 继续针对以色列目标开展行动，将破坏性影响行动掩盖为勒索软件攻击。在最近的攻击中，该组织部署了 Moneybird，这是一种以前从未见过的用 C++ 编写的勒索软件。尽管将自己展示为一个名为 Moneybird 的新团体，但这是另一个 Agrius 别名。数据最终通过 Agrius 以前的化名之一泄露。正如 Moneybird 攻击中所展示的那样，Agrius 的技术、战术和程序 (TTP) 基本保持不变。

披露时间：2023年5月24日

情报来源：https://mp.weixin.qq.com/s/DhQj9-0QLwVSQYH_uGDw2g

相关信息：

近期，研究人员监测到Patchwork组织的最新攻击动态。Patchwork组织， 又称摩诃草、白象、APT-Q-36、APT-C-09，是一个来自于南亚地区的境外APT组织。该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主.相关攻击活动最早可以追溯到2009年11月，至今还非常活跃.在针对中国地区的攻击中，该组织主要针对政府机构、科研教育领域进行攻击，其中以科研教育领域为主。

在本次攻击活动中，研究人员获取到Patchwork组织投递的恶意lnk文件，该文件用于下载第二阶段BADNEWS远控。另外，在分析过程中观察到Patchwork组织使用多种开源组件用于其攻击活动，本文将对该组织使用的多种开源组件进行披露。

披露时间：2023年5月25日

情报来源：https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/analyzing-the-ntc-vulkan-leak-what-it-says-about-russias-cyber-capabilities/

相关信息：

泄露的NTC Vulkan 文件中披露的信息使研究人员能够调查俄罗斯私营软件开发公司与俄罗斯国防部之间合作的可能性很高，即 GRU（Sandworm），可能还与其他公司相关。既不能证实也不能否认泄露文件的真实性，因为检查过的文件中存在一致的模式和细节。这些文件重点介绍了三个软件套件，如果它们得到充分开发，可以让俄罗斯专家发起网络攻击，以达到政治和军事目标。软件系统包含工具和功能（Scan-V 和 Amezit-V）、培训程序（Krystal-2V）。它们共同构成了一个平台，用于练习和开展不同类型的攻击性网络活动，例如网络间谍活动、信息操作和对操作技术系统的攻击。

披露时间：2023年5月31日

情报来源：https://www.group-ib.com/blog/dark-pink-episode-2/

相关信息：

1 月初，研究人员发表报告描述代号为Dark Pink的新 APT（高级持续威胁）组织使用的技术和工具（也以名称进行跟踪上汽集团). Dark Pink 这个名字是通过形成威胁行为者在数据泄露期间使用的一些电子邮件地址的混合体而创造的。这个威胁行为者自 2021 年年中以来一直在运作，主要在亚太地区。该组织使用一系列复杂的定制工具，依靠鱼叉式网络钓鱼电子邮件部署多个杀伤链。一旦攻击者获得对目标网络的访问权限，他们就会使用高级持久性机制来保持不被发现并保持对受感染系统的控制。

随着继续跟踪该组织的活动，研究人员在 Dark Pink 以前从未针对过的国家/地区发现了新工具、渗透机制和新行业的受害者。根据最新调查结果，确认了5 名新受害者，这表明攻击的实际范围可能更大。Dark Pink 继续攻击亚太地区的政府、军队和非营利组织，并将其业务扩展到泰国和文莱。另一个受害者是一个教育部门组织，也在比利时被发现。

披露时间：2023年5月29日

情报来源：https://mp.weixin.qq.com/s/UyunRrAnpz2_GFe5AC0LMg

相关信息：

近期，研究人员观测到一组针对土耳其企业的网络钓鱼攻击行动，受影响企业包括土耳其工业集团Borusan Holding、通信运营商Turkcell，银行Vakıf Katılım，以及线上彩票服务公司Nesine。攻击者在该组活动中投放了不同类型的钓鱼文档以及新式木马程序，意图窃取目标企业的内部文件数据以及长期控制企业设备。黑客在恶意代码中自称为TheRedBeard（红胡子），因此本报告中将以RedBeard代称该攻击者。

披露时间：2023年5月30日

情报来源：https://blog.cyble.com/2023/05/30/bl00dy-ransomware-targets-indian-university-actively-exploiting-papercut-vulnerability/

相关信息：

Bl00dy 勒索软件组织在 2023 年 4 月至 5 月以 PaperCut NG 严重漏洞攻击美国的几所大学和学院后，于 2023 年 5 月 28 日在印度宣布了第一个受害者，并要求 90,000 美元的赎金。研究人员于 2023 年 4 月 25 日在博客中详细介绍了此漏洞的严重性并公开了全球资产。

披露时间：2023年5月30日

情报来源：https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html

相关信息：

自 2022 年 10 月以来，RomCom 后门已被用于出于地缘政治动机的攻击，目标包括乌克兰能源和水务部门的组织。乌克兰以外的目标也被观察到，例如为乌克兰难民提供帮助的省级地方政府、欧洲国家的议会议员、欧洲国防公司以及欧洲和美国的各种 IT 服务提供商。

在这篇博文中，研究人员将讨论 RomCom 后门的使用如何适应当前的情况，在这种情况下，出于政治动机的攻击并非仅由民族国家行为者实施。尽管无法确认不同攻击之间的协调，但乌克兰和支持乌克兰的国家正成为各种行为者的目标，例如 APT 行为者、黑客行动主义者、网络雇佣军和网络犯罪分子（如 Void Rabisu）。还将深入研究 RomCom 如何随着时间的推移而发展，以及后门如何通过类似于 APT 的方法以及当前发生的主要网络犯罪活动所使用的方法传播，以表明 RomCom 使用更多的检测规避技术，这些技术是在最具影响力的网络犯罪分子中很受欢迎。

披露时间：2023年5月25日

情报来源：https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response

相关信息：

研究人员发现面向新型操作技术 (OT) / 工业控制系统 (ICS) 的恶意软件，并将其跟踪为 COSMICENERGY，该恶意软件由俄罗斯的提交者于 2021 年 12 月上传到公共恶意软件扫描实用程序。该恶意软件旨在通过与 IEC 60870-5-104 (IEC-104) 设备（例如远程终端设备 (RTU)）交互来造成电力中断，这些设备通常用于欧洲、中东的输配电业务, 和亚洲。

COSMICENERGY 是专门 OT 恶意软件的最新示例，它能够造成网络物理影响，但很少被发现或披露。COSMICENERGY 的独特之处在于，根据分析，承包商可能已将其开发为红队工具，用于模拟由俄罗斯网络安全公司 Rostelecom-Solar 主持的电力中断演习。对该恶意软件及其功能的分析表明，它的功能与之前的事件和恶意软件（例如INDUSTROYER和INDUSTROYER.V2）中使用的功能相当，这两种恶意软件变体都是过去部署的，旨在通过 IEC-104 影响电力传输和分配。

披露时间：2023年5月25日

情报来源：https://www.sentinelone.com/labs/operation-magalenha-long-running-campaign-pursues-portuguese-credentials-and-pii/

相关信息：

在 2023 年第一季度，研究人员观察到一个巴西威胁组织针对葡萄牙金融机构用户开展的活动。该活动是可追溯到 2021 年的更广泛活动关系的最新迭代，现在针对 30 多家金融机构的用户。攻击者可以窃取凭据并泄露用户的数据和个人信息，这些信息可用于进行超出经济利益的恶意活动。威胁组织同时部署两个后门变体以最大化攻击效力。为了确保不间断的操作，威胁行为者已将其基础设施托管从实施更严格的反滥用措施的 IaaS 提供商（例如美国的主要云提供商）转移到 Timeweb，这是一家以更宽松的政策而闻名的俄罗斯 IaaS 提供商。

披露时间：2023年5月25日

情报来源：https://www.akamai.com/blog/security-research/dark-frost-botnet-unexpected-author-profile

相关信息：

在5月25日研究人员称其发现了新型僵尸网络Dark Frost DDoS攻击游戏行业的企业。该团伙至少从2022年5月开始活跃，针对游戏公司、游戏服务器托管供应商、在线流媒体和其他游戏社区成员。通过分析研究人员确定它的攻击潜力约在629.28 Gbps。该僵尸网络以Gafgyt、QBot、Mirai和其它恶意软件为蓝本，截至2月份，它包括414台运行各种指令集架构的设备，如ARMv4、x86、MIPSEL、MIPS和ARM7。该案例的特殊之处在于，攻击者发布了他们攻击的实时记录，供所有人查看。

披露时间：2023年5月25日

情报来源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/buhti-ransomware

相关信息：

一种自称为 Buhti 的相对较新的勒索软件操作似乎正在避免开发自己的有效载荷，而是利用泄露的 LockBit 和 Babuk 勒索软件系列的变体来攻击 Windows 和 Linux 系统。虽然该组织没有开发自己的勒索软件，但它确实利用了一种似乎是定制开发的工具，一种旨在搜索和归档特定文件类型的信息窃取器。

Buhti 于 2023 年 2 月首次引起公众关注，最初据报道它会攻击 Linux 计算机。同时研究人员也发现了在受感染网络上攻击 Windows 计算机的企图。该组织似乎很快就利用了最近披露的漏洞，最近的一次攻击利用了最近修补的 PaperCut 漏洞。由于 Buhti 与任何已知的网络犯罪集团都没有关联，因此研究人员为其运营商指定了攻击者名称 Blacktail。

披露时间：2023年5月31日

情报来源：https://blog.cyble.com/2023/05/31/evolving-threat-landscape-of-hacktivism-in-colombia/

相关信息：

在2023 年 5 月 19 日被捕后，SiegedSec 黑客组织立即将他们的活动转移到哥伦比亚地区的各个国家机构和互联网暴露的 ICS 资产上。

正如索赔中所述，“SiegedSec 的领导者曾与 Org0n 合作”，在被捕后，近 30 个无线电广播和政府附属的卫星接收器成为 SiegedSec 的目标。几个月前，黑客组织 GhostSec 也将卫星接收器作为目标。研究人员描述了该事件的严重性——“ GhostSec 瞄准卫星接收器”。

随后，在 2023 年 5 月 26 日， SiegedSec声称已经渗透了哥伦比亚政府的网络并泄露了 6 GB 的数据。2023 年5 月 28 日， SiegedSec在宣布 OpColombia 活动结束时声称对哥伦比亚的电源控制器和燃料系统的攻击负责。

披露时间：2023年5月29日

情报来源：https://cloudsek.com/blog/dogerat-the-android-malware-campaign-targeting-users-across-multiple-industries

相关信息：

研究人员发现了另一种名为 DogeRAT（远程访问木马）的开源 Android 恶意软件，针对多个行业的庞大客户群，尤其是银行业和娱乐业。尽管此活动的大部分目标是印度的用户，但它的目标是覆盖全球。该恶意软件伪装成合法应用程序，并通过社交媒体和消息传递应用程序进行分发。安装后，该恶意软件可以从受害者的设备中窃取敏感信息，例如联系人、消息和银行凭证。该恶意软件还可用于控制受害者的设备并执行恶意操作，例如发送垃圾邮件、进行未经授权的支付、修改文件、查看通话记录，甚至通过受感染设备的前后摄像头拍照。

披露时间：2023年5月30日

情报来源：https://blog.cyble.com/2023/05/30/pixbankbot-new-ats-based-malware-poses-threat-to-the-brazilian-banking-sector/

相关信息：

时间线显示，2022 年 12 月发现的 BrasDex 在野外运行了很长一段时间。相比之下，最近发现的 PixPirate 和GoatRAT银行木马非常活跃并继续传播，专门针对巴西银行用户。

研究人员一直在积极监控 Android 银行木马，最近发现了一个新变种，称之为“PixBankBot”，它基于滥用 Pix 即时支付平台的恶意软件功能。PixBankBot 银行木马专门针对巴西银行而设计，利用 ATS（自动转账系统）框架。与其他基于 ATS 的银行木马一样，PixBankBot 利用辅助功能服务来识别和跟踪目标银行应用程序中的用户界面 (UI) 元素。这使恶意软件能够实现 ATS 功能并在受害者的设备上执行欺诈交易。此外，PixBankBot 还使用辅助功能服务来进行键盘记录。该恶意软件会捕获用户与之交互的 UI 元素的日志，以及其他详细信息，如账户余额、汇款详细信息和目标银行。

披露时间：2023年5月29日

情报来源：https://blogs.jpcert.or.jp/en/2023/05/gobrat.html

相关信息：

近日，研究人员披露了一个名为GobRAT的木马针对日本多个Linux路由器发起攻击。攻击者首先针对WEB界面对公网开放的路由器，利用漏洞执行命令，外联C2获取加载器，下载GobRAT木马。加载器的功能包括禁用防火墙、在/root/.ssh/authorized_keys中注册SSH公钥、创建启动权限维持脚本、下载对应目标机器架构的GobRAT木马。

GobRAT是一个由Go语言编写的木马程序，可以通过TLS协议与C2服务器通信并执行各种命令。GobRAT样本支持多种机构如ARM、x86、x86-64等。木马程序启动时，会获取当前主机的IP、MAC地址、网络连接状态、运行时间。程序运行时，GobRAT使用gob协议来接收命令、发送命令的执行结果。除了使用TLS协议，程序还会使用AES加密命令。

披露时间：2023年5月30日

情报来源：https://unit42.paloaltonetworks.com/mirai-variant-iz1h9/

相关信息：

研究人员观察到，自2021年11月以来，攻击者一直在使用Mirai恶意软件的变体"IZ1H9"针对物联网设备开展新一轮的恶意活动。其中，Mirai僵尸网络恶意软件可将运行Linux的网络设备(通常是小型IoT设备)转变为远程控制的机器人，进而用于大规模网络攻击(如DDos攻击)。而活动涉及的恶意软件IZ1H9，于2018年8月首次被发现，此后成为最活跃的Mirai变种之一。

IZ1H9最初通过HTTP、SSH和Telnet协议获取初始访问权限，本轮攻击中则利用了物联网设备中的多个漏洞(包括：CVE-2023-27076、CVE-2023-26801、CVE-2023-26802和Zyxel远程代码执行漏洞)进行传播。即攻击者首先试图从特定地址下载并执行shell脚本程序：lb.sh。一旦执行，该shell脚本程序便将首先删除日志以隐藏其踪迹。然后再继续下载并执行多种僵尸网络机器人客户端，以适应不同的Linux 架构。最后，shell脚本还会通过更改设备的iptable规则来阻止网络连接，以使受害者无法远程连接和恢复受感染的设备。

披露时间：2023年5月26日

情报来源：https://asec.ahnlab.com/en/53267/

相关信息：

在5月初，韩国某VPN软件(用户多为中国用户)被公布其安装程序携带恶意软件SparkRAT，攻击者通过入侵正常使用的VPN服务分发恶意代码，后续该问题已被解决。但近期，研究人员再次监测到这家VPN公司的安装程序携带SparkRAT，分析其攻击特征后，判断此次行动与上次行动为同一攻击者。

当用户从主页下载执行VPN程序时，程序不仅会安装现有的VPN程序，还会部署SparkRAT。SparkRAT是一种用Go语言开发的远程控制程序，提供命令执行、信息窃取、进程和文件控制等基本功能，同时该程序支持多个操作系统平台。与之前使用.NET开发不同的是，此次攻击中，攻击者使用的程序均为Golang开发。此外，攻击者还使用MeshCentral辅助进行远程控制，该程序支持多种架构，提供远程桌面等多种功能，可以弥补SparkRAT的不足(不具有远程桌面功能)。

披露时间：2023年5月26日

情报来源：https://www.trendmicro.com/en_us/research/23/e/new-info-stealer-bandit-stealer-targets-browsers-wallets.html

相关信息：

一种名为 Bandit Stealer 的新出现的信息窃取恶意软件越来越受欢迎，因为它以众多浏览器和加密货币钱包为目标，同时逃避检测。虽然 Bandit Stealer 是专门为在 Windows 系统上运行而开发的，但研究人员已经观察到 Linux 命令的存在。由于 Bandit Stealer 的二进制样本设计为在 Windows 中运行，因此该恶意软件使用的一些 Linux 命令包括：

1. pgrep 和 pkill 命令终止黑名单进程

2. isof -t<zip <="" span="">文件路径>，Linux 环境中用于列出所有正在使用文件的进程的实用程序

3. isof -t<zip <="" span="">文件路径>，Linux 环境中用于列出所有正在使用文件的进程的实用程序

披露时间：2023年5月31日

情报来源：https://www.trendmicro.com/en_us/research/23/e/investigating-blacksuit-ransomwares-similarities-to-royal.html

相关信息：

Royal勒索软件已经是2022 年最著名的勒索软件家族之一，在用于攻击德克萨斯州达拉斯的 IT 系统后，它在 2023 年 5 月初变得更加臭名昭著。大约在同一时期， Twitter 上的几位研究人员发现了一个名为 BlackSuit 的新勒索软件系列，它同时针对 Windows 和 Linux 用户。其他 Twitter 帖子提到了BlackSuit 和 Royal 之间的联系，这激起了研究人员的兴趣，设法检索并分析了来自 Twitter 的勒索软件 Windows 32 位样本。

BlackSuit勒索软件（与Royal有相似之处）的出现表明，它要么是同一作者开发的新变种，要么是使用类似代码的山寨版，要么是Royal勒索软件团伙对原家族进行修改的分支。

披露时间：2023年5月30日

情报来源：https://cybersecurity.att.com/blogs/labs-research/seroxen-rat-for-sale

相关信息：

SeroXen 是一种新的远程访问木马 (RAT)，于 2022 年底出现，并在 2023 年变得越来越流行。它被宣传为一种合法工具，可以在不被发现的情况下访问 计算机，它的售价仅为每月30美元获得许可证或60美元终生捆绑，使其易于访问。SeroXen 是一种无文件 RAT，在逃避静态和动态分析检测方面表现良好。该恶意软件结合了多个开源项目以提高其功能。它是 Quasar RAT、r77-rootkit 和命令行 NirCmd 的组合。SeroXen 的大多数受害者都在游戏社区，但随着该工具越来越受欢迎，目标范围可能会扩大到包括大型公司和组织。

披露时间：2023年5月31日

情报来源：https://mp.weixin.qq.com/s/FZ3NyR8YnqWHn1pv_Dmtyg

相关信息：

RocketMQ是阿里巴巴在2012年开发的分布式消息中间件，专为万亿级超大规模的消息处理而设计，具有高吞吐量、低延迟、海量堆积、顺序收发等特点。它是阿里巴巴双十一购物狂欢节和众多大规模互联网业务场景的必备基础设施。

近日，奇安信CERT监测到Apache RocketMQ 远程代码执行漏洞(CVE-2023-33246)，在RocketMQ 5.1.0及以下版本，在一定条件下，存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证，攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外，攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。鉴于该漏洞影响较大，建议客户尽快做好自查及防护。