披露时间：2023年6月6日

情报来源：https://www.sentinelone.com/labs/kimsuky-new-social-engineering-campaign-aims-to-steal-credentials-and-gather-strategic-intelligence/

相关信息：

Kimsuky 是一个疑似朝鲜高级持续威胁 (APT) 组织，其活动符合朝鲜政府的利益，以其针对组织和个人的全球目标而闻名。该组织至少从 2012 年开始运作，经常采用有针对性的网络钓鱼和社会工程策略来收集情报和访问敏感信息。

研究人员在本文中讨论的活动的一个特点是 Kimsuky 专注于在发起恶意活动之前与目标建立初步联系并建立融洽关系。作为他们最初联系策略的一部分，该组织冒充了 NK News 和关联控股公司 Korea Risk Group 的创始人 Chad O'Carroll，使用攻击者创建的域，该域与合法的 NK News 域非常nknews[.]pro相似nknews.org。最初的电子邮件要求审查分析朝鲜核威胁的文章草案。此外，Kimsuky 的目标还包括窃取 NK News 的订阅凭据。为实现这一目标，该组织分发电子邮件，引诱目标个人登录恶意网站nknews[.]pro，该网站伪装成真实的 NK 新闻网站。呈现给目标的登录表单旨在捕获输入的凭据。

披露时间：2023年6月1日

情报来源：https://asec.ahnlab.com/en/53377/

相关信息：

研究人员已确认伪装成 Hancom Office 文档文件的恶意软件的分发。正在分发的恶意软件名为“Who and What Threatens the World (Column.exe)”，旨在通过使用类似于 Hancom Office 的图标来欺骗用户。对压缩文件进行解压，发现一个比较大的文件，大小为 36,466,238 字节。经确认，插入的Webshell与研究人员发布的“针对特定Web设计公司开发的网站（Red Eyes和APT37）的针对性攻击”中发布的Webshell相似。

披露时间：2023年6月5日

情报来源：https://mp.weixin.qq.com/template/article/1686032491/index.html

相关信息：

APT-C-55（Kimsuky）组织又名（Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom）等，最早由Kaspersky在2013年披露，该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术等机构进行攻击，在过去几年里，他们将攻击目标扩大到包括美国、俄罗斯和欧洲在内的国家，主要目的为窃取敏感信息等。研究人员最近监测到APT-C-55组织采用带有“生日祝福”诱饵信息的CHM类型文件实施攻击活动，并成功投递Quasar RAT，以获取用户的敏感信息。

Quasar RAT是一个开源的远程访问木马（RAT），使用.NET编写，主要针对Windows操作系统。具有强大的远程控制功能，包括远程桌面访问、文件和系统管理、键盘记录、密码恢复和远程Shell命令等。其高度的隐蔽性和强大的功能使其成为攻击者的常用工具。保护措施包括保持系统和应用的更新、安装强大的安全解决方案，以及对网络流量进行监控。

披露时间：2023年6月1日

情报来源：https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3413621/us-rok-agencies-alert-dprk-cyber-actors-impersonating-targets-to-collect-intell/

相关信息：

联邦调查局 (FBI)、美国国务院和大韩民国 (ROK) 国家情报局、国家政策局和外交部——已经观察到来自特定组的持续信息收集工作统称为 Kimsuky、THALLIUM 或 VELVETCHOLLIMA 的朝鲜网络攻击者。

该咨询详细说明了朝鲜如何严重依赖从这些鱼叉式网络钓鱼活动中获得的情报。目标个人的成功妥协使 Kimsuky 参与者能够制作更可信和有效的鱼叉式网络钓鱼电子邮件，这些电子邮件可用于对付敏感的高价值目标。

披露时间：2023年5月31日

情报来源：https://threatmon.io/reverse-engineering-rokrat-a-closer-look-at-apt37s-onedrive-based-attack-vector/

相关信息：

这份分析报告介绍了RokRAT 恶意软件，该恶意软件最近归因于 APT37，被其用作网络攻击的一部分。RokRAT 是一种复杂的远程访问木马 (RAT)，已被视为攻击链中的关键组件，使威胁行为者能够获得未经授权的访问、泄露敏感信息，并可能保持对受感染系统的持久控制。

披露时间：2023年6月7日

情报来源：https://mp.weixin.qq.com/s/MZadlpXbpCfQAv41rtVm3A

相关信息：

近期，研究人员监测到响尾蛇组织对巴基斯坦政府单位的最新攻击动态。在本次攻击活动中，监测到响尾蛇组织使用钓鱼邮件攻击政府单位的事件，本次事件相关的邮件附件名称为“ Adv-16-2023”，是关于巴基斯坦内阁部门发布的网络安全咨询16号文件。

钓鱼文件内容以文档被微软Azure云安全保护为由，引诱用户下载带有密码的压缩包文件，压缩包中包含一个恶意lnk文件，用于下载第二阶段HTA下载脚本，最后劫持本地Onedrive客户端程序及其更新程序实现DLL侧加载，最终上线Cobalt Strike载荷，用户机器中Onedrive定时更新的计划任务也会成为响尾蛇组织的持久化计划任务，整个攻击过程与之前披露的攻击大相径庭，攻击过程更为简单，样本制作成本更低。

披露时间：2023年6月6日

情报来源：https://www.recordedfuture.com/north-korea-aligned-tag-71-spoofs-financial-institutions

相关信息：

研究人员发现恶意网络威胁活动欺骗了日本、越南和美国的几家金融机构和风险投资公司。负责的小组被称为威胁活动小组 71 (TAG-71)，与朝鲜国家支持的 APT38 有很大的重叠。2022 年 9 月至 2023 年 3 月期间，Insikt Group 发现了与 TAG-71 活动相关的 74 个域和 6 个恶意文件。

TAG-71 之前曾被观察到欺骗属于日本、台湾和美国的金融公司和云服务的域。2022 年 3 月，Insikt Group 确定了 18 个与 TAG-71 相关的恶意服务器，这些服务器也与公开报道的 CryptoCore 活动有关。这些服务器用于恶意软件传递、网络钓鱼以及命令和控制操作，通常冒充流行的云服务和加密货币交易所。朝鲜政府有以经济为动机的入侵活动的历史，目标是全球的加密货币交易所、商业银行和电子商务支付系统。TAG-71 最近的活动符合这种模式，表明朝鲜在面临国际制裁的同时不断努力筹集资金。

披露时间：2023年6月1日

情报来源：https://securelist.com/operation-triangulation/109842/

相关信息：

研究人员监控他们自己的专用于移动设备的公司 Wi-Fi 网络的网络流量时，注意到来自几部基于 iOS 的手机的可疑活动，并将此活动称为“Triangulation”。

移动设备备份包含文件系统的部分副本，包括一些用户数据和服务数据库。文件、文件夹和数据库记录的时间戳允许粗略地重建设备上发生的事件。mvt-ios 实用程序将事件的排序时间线生成到名为“timeline.csv”的文件中，类似于传统数字取证工具使用的超级时间线。

其攻击过程如下：

1. 目标 iOS 设备通过 iMessage 服务接收一条消息，其中包含一个包含漏洞的附件。

2. 在没有任何用户交互的情况下，该消息会触发导致代码执行的漏洞。

3. 利用中的代码从 C&C 服务器下载几个后续阶段，其中包括用于提权的额外利用。

4. 成功利用后，从 C&C 服务器下载最终的 payload，这是一个功能齐全的 APT 平台。

5. 删除了附件中的初始消息和漏洞。

披露时间：2023年6月5日

情报来源：https://www.uptycs.com/blog/cyclops-ransomware-stealer-combo

相关信息：

研究人员最近发现了一个新的令人担忧的威胁。上次遇到了臭名昭著的RTM Locker 勒索软件. 这一次，偶然发现了一个名为 Cyclops 威胁组织的新演员。

Cyclops 组织特别自豪地创造了能够感染所有三个主要平台的勒索软件：Windows、Linux 和 macOS。在前所未有的举措中，它还共享了一个单独的二进制文件，专门用于窃取敏感数据，例如受感染的计算机名称和多个进程。后者针对 Windows 和 Linux 中的特定文件。

披露时间：2023年6月6日

情报来源：https://www.trendmicro.com/en_us/research/23/f/impulse-team-massive-cryptocurrency-scam.html

相关信息：

这篇博文从研究人员对运行常见加密货币骗局的单个网站的调查开始。然而，随着深入挖掘，证据将表明该网站只是相关欺诈网站的庞大网络中的一个——这可能是有史以来最大的加密货币诈骗活动之一——由一个名为“Impulse Team”的讲俄语的威胁演员运营。

此外还发现有一千多个共享相同类型欺诈内容的网站，所有这些网站都通过 Impulse 团队运行的名为“Impulse Project”的联盟计划连接起来。

这场大规模的活动可能导致全世界成千上万的人被骗。该骗局通过预付费用欺诈来运作，该欺诈涉及欺骗受害者相信他们已经赢得了一定数量的加密货币。然而，为了获得奖励，受害者需要支付少量费用才能在他们的网站上开设一个账户。

披露时间：2023年6月6日

情报来源：https://www.bitdefender.com/blog/labs/tens-of-thousands-of-compromised-android-apps-found-by-bitdefender-anomaly-detection-technology/

相关信息：

经分析，该活动旨在将广告软件积极推送到 Android 设备，以增加收入。但是，所涉及的威胁行为者可以轻松地改变策略，将用户重定向到其他类型的恶意软件，例如银行木马以窃取凭据和财务信息或勒索软件。迄今为止，研究人员已经发现了 60,000 个完全不同的样本（独特的应用程序）携带广告软件，怀疑在野外还有更多。该恶意软件至少从 2022 年 10 月开始就存在，并且值得注意，因为如果没有新的应用程序异常技术，它很可能不会被发现。由于发现了大量的独特样本，该操作很可能是全自动的。

披露时间：2023年6月1日

情报来源：https://blogs.vmware.com/security/2023/06/carbon-blacks-truebot-detection.html

相关信息：

6月1日，研究人员透露从5月开始发现TrueBot活动激增。TrueBot至少从2017年开始活跃，以使用恶意邮件分发而闻名，但最近被发现使用了Netwrix auditor漏洞（CVE-2022-31199）以及Raspberry Robin中的一个漏洞作为感染载体。攻击链始于从Chrome下载可执行文件update.exe。运行后，它会检索并下载第二阶段可执行文件3ujwy2rz7v.exe，由cmd.exe启动。可执行文件连接到C2域并从主机泄露敏感信息。

披露时间：2023年6月1日

情报来源：https://www.akamai.com/blog/security-research/new-magecart-hides-behind-legit-domains

相关信息：

研究人员发现并分析了一项新的正在进行的 Magecart 式网络窃取活动，旨在从数字商务网站窃取个人身份信息 (PII) 和信用卡信息。已在北美、拉丁美洲和欧洲确定了受害者的身份，他们的规模各不相同。据估计，一些受害者每月要接待数十万名访客，这可能会使数万名购物者的 PII 和信用卡面临被盗、滥用或在暗网上出售的风险。攻击者在活动期间采用了多种规避技术，包括混淆 Base64 和掩盖攻击以类似于流行的第三方服务，例如 Google Analytics 或 Google Tag Manager。这次攻击包括对 Magento、WooCommerce、WordPress 和 Shopify 的利用，展示了越来越多的漏洞和可滥用的数字商务平台。

披露时间：2023年6月7日

情报来源：https://mp.weixin.qq.com/s/aVrm6llWkS6PrimNghpyow

相关信息：

根据研究人员捕获到的样本，银狐团伙利用WPS安装文件进行伪装，利用互联网传播，诱导目标受害者下载；下载后的wps_Setup实际是一个压缩包文件，目标受害者双击后，后续恶意操作自动完成。通过对样本及执行逻辑进行深入分析，发现在此样本执行过程中，银狐团伙至少又新增三项针对杀软防御机制弱点的新攻击手法，该文章是对攻击手法的分析。

披露时间：2023年6月2日

情报来源：https://blog.cyble.com/2023/06/02/moveit-transfer-vulnerability-actively-exploited/

相关信息：

2023年5月31日，官方厂商Progress Software发布了关于MOVEit Transfer SQL注入漏洞的安全公告。

MOVEit Transfer 是一种安全的托管文件传输 (MFT)，供处理敏感数据的多个组织使用。最近，观察到 Clop Ransomware 组织利用文件传输服务GoAnywhere 从多个组织勒索数据，这表明威胁参与者 (TA) 对可能用于间谍活动、数据、数据的易受攻击的互联网暴露资产非常感兴趣盗窃和勒索软件目的。互联网上暴露了超过2500个可公开访问的MOVEit实例大部分暴露来自美国、英国和德国地区。

披露时间：2023年6月1日

情报来源：https://blog.talosintelligence.com/new-horabot-targets-americas/

相关信息：

研究人员观察到一个威胁行为者部署了一个之前身份不明的僵尸网络程序 Talos 称为“Horabot”，该程序至少从 2020 年 11 月开始就一直在开展活动，将已知的银行木马和垃圾邮件工具发送到受害者机器上。威胁行为者似乎以美洲的西班牙语用户为目标，根据分析，该威胁者可能位于巴西。

Horabot 使威胁行为者能够控制受害者的 Outlook 邮箱，泄露联系人的电子邮件地址，并将带有恶意 HTML 附件的网络钓鱼电子邮件发送到受害者邮箱中的所有地址。银行木马可以收集受害者各种在线账户的登录凭据、操作系统信息和击键。它还从受害者的在线银行应用程序中窃取一次性安全代码或软令牌。

披露时间：2023年6月6日

情报来源：https://www.trendmicro.com/en_us/research/23/f/xollam-the-latest-face-of-targetcompany.html

相关信息：

在2021 年 6 月首次被发现后，TargetCompany 勒索软件家族经历了几次名称更改，这标志着勒索软件家族的重大更新，例如加密算法的修改和不同的解密器特性。TargetCompany 勒索软件最早的样本在受害者的文件中附加了“.tohnichi”的扩展名，这是其当时受害企业的名称，表示对同名组织进行有针对性的攻击。因此，它最初被称为 Tohnichi 勒索软件。后来，该组织继续根据受害者的名字附加加密文件，例如阿姆斯特丹 Artis ，动物园的“.artis”。其他扩展名包括“.herrco”、“.brg”和“.carone”。随后，行业专家根据其采用的在目标公司后附加加密文件的模式，将勒索软件识别为 TargetCompany。变体 Tohnichi（2021 年活跃）、Mallox 和 Fargo（均在 2022 年活跃）针对 Microsoft SQL (MS SQL) Server 中的漏洞进行初始访问。调查表明，其最新变体 Xollam 现在偏离了该团伙久经考验的初始访问方法。在这篇博客中，讨论了 TargetCompany 勒索软件行为的最新发展，并研究了它之前的感染链。

披露时间：2023年6月6日

情报来源：https://blog.cyble.com/2023/06/06/lockbit-ransomware-2-0-resurfaces/

相关信息：

研究人员最近发现了一项与臭名昭著的勒索软件组织 LockBit 相关的持续活动。

LockBit 自 2019 年 9 月以来一直在积极运营，并始终采用各种方法来传播其恶意软件。这些策略包括分发包含恶意文件的网络钓鱼电子邮件、利用路过式下载以及利用远程桌面协议 (RDP) 中的漏洞。因此，LockBit 已将自己确立为勒索软件领域中突出且活跃的威胁参与者。

LockBit 勒索软件的恶意文档活动最初于 2022 年被发现，专门针对韩国的个人。在他们最近的活动中，LockBit 再次采用了通过针对韩国个人的恶意文档文件传播恶意软件的方法。值得注意的是，该组织使用相同的模板注入技术来交付他们的有效载荷。

披露时间：2023年6月6日

情报来源：https://adlumin.com/post/powerdrop-a-new-insidious-powershell-script-for-command-and-control-attacks-targets-u-s-aerospace-defense-industry/

相关信息：

研究人员发现了一种名为 PowerDrop 的新型恶意 PowerShell 脚本，其目标是美国航空航天业。这种新颖的恶意软件跨越了基本的“基本现成威胁”和高级持续威胁组 (APT) 使用的策略之间的界限。PowerDrop 使用先进的技术来逃避检测，例如欺骗、编码和加密。

通过逆向工程，研究人员发现该恶意软件由新的 PowerShell 和 Windows Management Instrumentation (WMI) 持久化远程访问工具 (RAT) 组成。该代码发送 Internet 控制消息协议 (ICMP) 回显请求消息作为恶意软件命令和控制 (C2) 的触发器，以及类似的 ICMP ping 使用数据泄露。尚未确定恶意软件背后的威胁行为者，但怀疑是民族国家的攻击者。

披露时间：2023年6月5日

情报来源：https://securelist.com/satacom-delivers-cryptocurrency-stealing-browser-extension/109807/

相关信息：

Satacom下载器，也称为LegionLoader，是一种著名的恶意软件家族，于2019年出现。它以查询DNS服务器获取base64编码的URL技术而闻名，以接收Satacom当前分发的另一个恶意软件家族的下一阶段。Satacom恶意软件通过第三方网站传递。其中一些网站本身不提供Satacom服务，但使用攻击者滥用注入恶意广告到网页中的合法广告插件。这些网站上的恶意链接或广告将用户重定向到诸如虚假文件共享服务之类的恶意站点。

在本报告中，研究人员介绍了最近与 Satacom 下载器相关的恶意软件分发活动。Satacom 下载器投放的恶意软件的主要目的是通过对目标加密货币网站执行网络注入，从受害者的账户中窃取比特币。该恶意软件试图通过为基于 Chromium 的网络浏览器安装扩展来实现这一点，该扩展随后会与其 C2 服务器通信，其地址存储在 BTC 交易数据中。

披露时间：2023年6月5日

情报来源：https://blog.cyble.com/2023/06/05/helloteacher-new-android-malware-targeting-banking-users-in-vietnam/

相关信息：

研究人员发现了一种新的 Android 间谍软件变体，该变体已将目标锁定在毫无戒心的越南用户身上。由于恶意软件变种是新出现的，因此根据源代码中存在的测试服务将此恶意软件称为“HelloTeacher”。

HelloTeacher 恶意软件将自己伪装成流行的消息应用程序，如 Viber 或 Kik Messenger，引诱目标安装恶意应用程序。该恶意软件具有复杂的功能，例如泄露联系人详细信息、SMS 数据、照片、已安装的应用程序列表，甚至捕获图片和记录受感染设备的屏幕。HelloTeacher 背后的 攻击者 试图通过滥用辅助功能服务将此间谍软件与银行木马的功能相结合。

披露时间：2023年6月5日

情报来源：https://www.zscaler.com/blogs/security-research/technical-analysis-bandit-stealer

相关信息：

研究人员一直在跟踪一种名为 Bandit Stealer 的新型信息窃取程序，该程序于 2023 年 4 月出现。Bandit 从受害者的机器上收集敏感信息，包括来自十几个网络浏览器的 cookie、保存的登录数据和信用卡信息。窃取程序还为流行的 FTP 客户端和电子邮件客户端执行凭据盗窃。最后，Bandit 的目标是桌面加密货币钱包应用程序。然后，所有被盗信息都会通过 Telegram 泄露回命令和控制 (C2) 服务器。该恶意软件是用 Go（又名 Golang）编程语言编写的，尤其值得注意的是大量尝试逃避虚拟环境和自动化恶意软件分析平台。

披露时间：2023年6月4日

情报来源：https://blog.cyble.com/2023/06/02/moveit-transfer-vulnerability-actively-exploited/

相关信息：

最近，研究人员检测到出现了一种名为“NoEscape”的全新勒索软件即服务 (Raas) 计划。到 2023 年 5 月底，该程序被发现在网络犯罪论坛上得到推广。NoEscape 的创建者正在积极寻找分支机构加入他们的网络。现通过最新的博客文章分享了这一发现的细节。随后，推特账号@D4RKR4BB1T47 的安全研究员 EVIL RABBIT 最近分享了一条推文，其中包含一张 NoEscape 勒索软件组织使用的仪表板图片。除了共享仪表板面板图像外，安全研究人员还提供了 RaaS 构建器页面的图像以及与此特定勒索软件系列相关的随附样本。

披露时间：2023年6月6日

情报来源：https://vulcan.io/blog/ai-hallucinations-package-risk

相关信息：

研究人员发现了一种新的恶意包传播技术，称之为“AI 包幻觉”。

该技术依赖于这样一个事实，即 ChatGPT 以及可能的其他生成式 AI 平台有时会使用幻觉来源、链接、博客和统计数据来回答问题。它甚至会为 CVE 生成有问题的修复程序，并且——在这种特定情况下——提供指向实际上并不存在的编码库的链接。使用这种技术，攻击者首先会制定一个问题，向 ChatGPT 询问将解决编码问题的程序包。然后ChatGPT 用多个包进行响应，其中一些可能不存在。这就是事情变得危险的地方：ChatGPT会 推荐未在合法包存储库（例如 npmjs、Pypi 等）中发布的包。这篇博文将详细介绍研究人员的发现，包括攻击的 PoC。

披露时间：2023年6月6日

情报来源：https://mp.weixin.qq.com/s/OOjQO-iFd_J8BLYKF5GdwA

相关信息：

Nacos是一个易于使用的平台，专为动态服务发现和配置以及服务管理而设计。可以帮助您轻松构建云原生应用程序和微服务平台。

近日，奇安信CERT监测到 Nacos 集群Raft反序列化漏洞(QVD-2023-13065)，在Nacos集群处理部分Jraft请求时，攻击者可以无限制使用hessian进行反序列化利用，最终实现代码执行。鉴于该漏洞仅影响集群间通信端口 7848（默认配置下），若部署时已进行限制或未暴露则风险可控，建议客户做好自查及防护。