披露时间：2023年9月6日

情报来源：https://www.zscaler.com/blogs/security-research/steal-it-campaign

相关信息：

研究人员最近发现了一种新的窃取活动，称为“Steal-It”活动。在此活动中，威胁行为者使用 Nishang 的 Start-CaptureServer PowerShell 脚本的自定义版本窃取和泄露 NTLMv2 哈希值，执行各种系统命令，并通过 Mockbin API 泄露检索到的数据。

通过对恶意负载的深入分析，发现该活动采用的地理围栏策略，特别关注澳大利亚、波兰和比利时等目标区域。这些操作使用定制的 PowerShell 脚本，目的是在将关键的 NTLM 哈希传输到 Mockbin 平台之前窃取它。该活动的初始阶段涉及部署隐藏在 zip 存档中的 LNK 文件，同时通过战略性地利用 StartUp 文件夹来确保系统内的持久性。此外，收集到的系统信息和 NTMLv2 哈希值是使用 Mockbin API 泄露的。

研究人员认为 Steal-It 活动可能归因于 APT28（又名 Fancy Bear），因为它与 CERT-UA 在“威胁行为者归因”部分中报告的 APT28 网络攻击相似。

披露时间：2023年9月4日

情报来源：https://asec.ahnlab.com/ko/56654/

相关信息：

研究人员发现，最近再次传播了据称由RedEyes 攻击组制作的 CHM 恶意软件。最近传播CHM恶意软件的行为方式与 3 月份介绍的“冒充韩国金融企业安全邮件的CHM恶意软件” 类似，这次是 RedEyes 集团的 M2RAT 恶意软件攻击过程，在“保持持久性”过程中使用的命令被证实为相同。

攻击者利用福岛污染水排放内容进行攻击，通过提出问题引起用户的好奇，诱使恶意文件被执行。

披露时间：2023年9月1日

情报来源：https://mp.weixin.qq.com/s/6bicaHGYmOBQmXnm27NNAQ

相关信息：

透明部落，也被称为Transparent Tribe和APT36，是一个疑似与巴基斯坦有关的高级持续性威胁 (APT) 组织，至少自 2013 年以来一直活跃，主要针对印度次大陆（特别是印度和阿富汗）政府和军方相关的个人和实体。2022年以来，透明部落一直保持活跃，并且扩大了其受害者网络，瞄准教育行业发起新的攻击活动。

研究人员近期发现伪装成“Wisper Chat”（低语）的聊天应用诱导受害者下载安装，从而窃取受害者隐私数据。通过对样本代码特征和数据回传服务器的分析，判断该样本为透明部落组织最早于2023年3月针对印度地区发起的新的攻击活动。

披露时间：2023年8月31日

情报来源：https://www.cisa.gov/news-events/analysis-reports/ar23-243a

相关信息：

名为 Sandworm 的攻击者在针对乌克兰军方使用Android 设备的活动中使用了一种新的移动恶意软件，该恶意软件在此被称为 Inknown Chisel。

Inknown Chisel 是一组组件，可通过 Tor 网络持续访问受感染的 Android 设备，并定期从受感染的设备中整理和窃取受害者信息。泄露的信息是系统设备信息、商业应用信息和乌克兰军方特定应用程序的组合。该恶意软件定期扫描设备以查找感兴趣的信息和文件，并匹配一组预定义的文件扩展名。它还包含定期扫描本地网络的功能，整理有关活动主机、开放端口和横幅的信息。Inknown Chisel 还通过使用隐藏服务配置和执行 Tor 来提供远程访问，该隐藏服务转发到提供 SSH 连接的修改后的 Dropbear 二进制文件。其他功能包括网络监控和流量收集、SSH 访问、网络扫描和 SCP 文件传输。

披露时间：2023年8月31日

情报来源：https://mp.weixin.qq.com/s/VCGI3FtR4LwXpWzf5EuLIA

相关信息：

Confucius，别名魔罗桫、APT-Q-40，于2016年首次被披露，是一个印度APT组织，最早可追溯至2013年，擅长使用鱼叉式钓鱼邮件、水坑攻击以及钓鱼网站，并配合丰富的社会工程学手段对中国、巴基斯坦、孟加拉国等印度周边国家政府、军事、能源等领域开展以窃取敏感资料为目的的攻击活动。研究人员在进行日常APT Hunting工作时，发现Confucius组织似乎又开始活跃，仅2023年8月28日的Hunt就捕获到了19个新的MessPrint样本。经过分析发现该样本为2023年2月份的v6.1.0版本，对比1月份披露的v3.1.0版本进行了如下更新：

1. 更新了加密算法和密钥，疑似为免杀操作；

2. 更新了C2控制指令的明文格式；

3. 移除了日志记录功能；

4. 移除了部分指令；

5. 更新反分析技术

披露时间：2023年8月31日

情报来源：https://asec.ahnlab.com/en/56405/

相关信息：

据了解，Andariel 威胁组织通常针对韩国企业和组织，隶属于 Lazarus 威胁组织或其子公司之一。自2008年以来，针对韩国目标的攻击已被确定。主要目标行业是国防、政治组织、造船、能源和通信等与国家安全相关的行业。韩国的其他各种公司和机构，包括大学、物流和信息通信技术公司也成为攻击目标。

在最初的妥协阶段，Andariel 通常采用鱼叉式网络钓鱼、水坑和供应链攻击。此外，在某些情况下，该组织在恶意软件安装过程中滥用中央管理解决方案。该组织的一个值得注意的事实是它在攻击中创建和使用各种恶意软件类型。后门类型有很多，包括过去攻击中使用的 Andarat、Andaratm、Phandoor 和 Rifdoor，以及过去几年检测到的TigerRAT和 MagicRAT 。这篇博文将介绍有关最近发现的被认为是由 Andariel 组织实施的攻击的详细信息。

披露时间：2023年8月31日

情报来源：https://www.reversinglabs.com/blog/vmconnect-supply-chain-campaign-continues

相关信息：

研究人员发现了一个恶意供应链活动，研究团队将其称为“VMConnect”。该活动包括发布到 Python 包索引 (PyPI) 开源存储库的两打恶意 Python 包。这些软件包模仿了流行的开源Python工具，包括vConnector ，这是一个用于pyVmomi VMware vSphere绑定的包装模块；eth-tester，用于测试基于以太坊的应用程序的工具集合；和数据库，一种为一系列数据库提供异步支持的工具。

研究团队继续监控 PyPI，现在又发现了另外三个恶意 Python 包，它们被认为是 VMConnect 活动的延续：tablediter、request-plus和requestspro。然而，对所使用的恶意软件包及其解密有效负载的分析揭示了与 Labyrinth Chollima 先前活动的链接，Labyrinth Chollima 是朝鲜国家支持的威胁组织 Lazarus Group 的一个分支。

披露时间：2023年9月1日

情报来源：https://interlab.or.kr/archives/19416

相关信息：

研究人员在9月1日称其发现了针对韩国民间团体的钓鱼攻击，利用了新型RAT SuperBear。据悉，一名新闻工作者收到有针对性的钓鱼邮件，其中包含恶意LNK文件。LNK文件会启动PowerShell命令来执行VB脚本，该脚本又会从WordPress网站获取下一阶段payload，包括一个Autoit3.exe二进制文件和一个AutoIt脚本。AutoIt脚本使用进程空洞技术执行进程注入，在这种情况下，会生成一个Explorer.exe实例来注入SuperBear。该RAT可窃取数据，下载并运行其它shell命令和动态链接库(DDL)。

披露时间：2023年9月1日

情报来源：https://www.trellix.com/en-us/about/newsroom/stories/research/icymi-emotet-reappeared-early-this-year-unfortunately.html

相关信息：

Emotet(也称为Geodo和Heodo)是一种著名的银行木马，同时也可作为其他恶意软件的下载器或加载器。2021年1月，Emotet基础设施被拆除，但于当年11月恢复，并在2022年和2023年初扩大其运营规模。期间，Emotet曾被欧洲刑警组织进行针对性打击，但是依然在今年3月重新活跃。研究人员表示，目前遭受Emotet感染的目标包括爱沙尼亚、泰国、危地马拉、以色列、新加坡等多个国家，受害行业主要为电子商务、能源、金融服务、政府、医疗保健。Emotet的主要感染媒介是电子邮件，常采用社会工程学技术编造诱饵邮件，使用加密附件或者嵌入恶意代码的Onenote文档传播恶意代码。当用户被诱导打开邮件附件并启用宏时，附件中携带的恶意脚本代码将被执行从而下载Emotet DLL文件，随后通过新生成的regsvr32文件执行Emotet程序，同时修改注册表建立持久性。Emotet将会收集主机相关信息，利用ECC进行非对称加密，生成ECDH-ECK1公钥以及用于数据/服务器响应验证的ECDSA-ECS1公钥。公钥还具有识别Emotet僵尸网络的作用。Emotet执行完毕后将连接C2服务器，获取其后续指示。

披露时间：2023年9月4日

情报来源：https://www.securityjoes.com/post/new-attack-vector-in-the-cloud-attackers-caught-exploiting-object-storage-services

相关信息：

研究人员最近发现了2023年3月下旬发布的一组相对较新的 CVE。令人惊讶的是，这些漏洞几乎没有受到任何媒体报道，因为它们易于被利用，并且对任何人造成潜在的安全影响。黑客正在利用最近的两个 MinIO 漏洞来破坏对象存储系统并访问私人信息、执行任意代码，并可能接管服务器。

MinIO 是一种开源对象存储服务，提供与 Amazon S3 的兼容性，并能够存储大小高达 50TB 的非结构化数据、日志、备份和容器映像。

其高性能和多功能性，特别是对于大规模 AI/ML 和数据湖应用程序，使 MinIO 成为流行的、经济高效的选择。研究人员在攻击中发现的两个漏洞是 CVE-2023-28432和 CVE-2023-28434，这两个高严重性问题影响 RELEASE.2023-03-20T20-16-18Z 之前的所有 MinIO 版本。

披露时间：2023年9月1日

情报来源：https://www.securonix.com/blog/securonix-threat-labs-security-advisory-threat-actors-target-mssql-servers-in-dbjammer-to-deliver-freeworld-ransomware/

相关信息：

研究人员在9月1日披露了通过MS SQL分发勒索软件FreeWorld的攻击活动DB#JAMMER。其工具包括枚举工具、RAT payload、漏洞利用和凭证窃取工具以及勒索软件。FreeWorld似乎是勒索软件Mimic的新变种。初始访问是通过暴力破解MS SQL服务器来实现的，下一阶段需要采取措施攻击系统防火墙，连接远程SMB共享来建立持久性，以便在系统之间传输文件，并安装Cobalt Strike等工具。然后安装AnyDesk，横向移动，最终安装FreeWorld。

披露时间：2023年8月31日

情报来源：https://blog.eclecticiq.com/decrypting-key-group-ransomware-emerging-financially-motivated-cyber-crime-gang

相关信息：

Key Group 勒索软件家族于 2023 年 1 月 6 日首次曝光，此后一直在继续运作。研究人员高度自信地评估，Key Group 勒索软件团伙主要是一个讲俄语、出于经济动机的威胁组织，使用 Telegram 频道 keygroup777Tg 进行赎金谈判。Key Group 还有一个额外的私人（仅限受邀者）Telegram 频道来共享 。信息成员之间的人肉搜索和攻击性工具共享。根据 Telegram 消息，自 2023 年 6 月 29 日起，威胁行为者可能会使用 NjRAT（一种远程管理工具 (RAT)）来远程访问受害者设备。

Key Group 勒索软件使用 CBC 模式高级加密标准 (AES) 来加密文件，并将受害者设备的个人身份信息 (PII) 发送给威胁参与者。该勒索软件使用相同的静态 AES 密钥和初始化向量 (IV) 递归加密受害者数据，并使用 keygroup777tg 扩展名更改加密文件的名称。

披露时间：2023年9月4日

情报来源：https://mp.weixin.qq.com/s/L1mdQ3NU3BI6BfzX9pJduw

相关信息：

“银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙通过投递远控木马，在获得受害者的计算机控制权限后会在其系统内长期驻留，并监控用户日常操作。待时机成熟时，攻击者会利用受感染设备中已登录的聊天工具软件（如微信等）发起诈骗。此外，该家族也经常使用高仿微信号进行诈骗。

研究人员在近期的运营工作中，监控到了一个新的银狐家族变种样本通过微信进行传播。该类样本主要针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击，传播的路径有三种，社交媒体传播，网站传播，伪装虚假软件传播。

披露时间：2023年8月31日

情报来源：https://www.group-ib.com/blog/classiscam-2023/

相关信息：

8月31日，研究人员发布了关于Classiscam在全球范围内攻击活动的分析报告。报告称，Classiscam通过欺骗分类广告网站用户并窃取他们的资金和支付卡详细信息，已赚取了6450万美元。目标品牌的数量也从去年的169个增加到251个，目前有393个攻击团伙针对79个国家的用户，有1366个Telegram频道进行协调。欧洲遭到的攻击最多，其中德国被攻击用户最多，其次是波兰、西班牙、意大利和罗马尼亚。英国用户的平均损失金额最高，为865美元，而全球平均水平为353美元。

披露时间：2023年9月6日

情报来源：https://www.seqrite.com/blog/new-warp-malware-drops-modified-stealerium-infostealer/

相关信息：

“Warp Stealer”，非常复杂且具有多功能，可以从受感染的系统中提取有价值的信息，包括硬件详细信息、网络配置、浏览历史记录以及与财务和活动相关的敏感数据。

攻击者创建一个 Telegram Bot 帐户并将 Bot 令牌插入可执行文件。将可执行文件部署为电子邮件附件并将其发送到受害者的邮件中。当受害者打开邮件时，可执行文件就会被下载并开始执行。它充当加载程序并下载释放器组件。这反过来会删除两个文件，一个用于绕过 UAC，另一个用于终止 AV/EDR 解决方案。该植入程序最终会下载一个窃取程序，该窃取程序会窃取受害者的所有系统信息、信用卡详细信息、加密钱包详细信息、社交媒体帐户详细信息、网络浏览器 cookie 和保存的密码。它还收集网络摄像头镜头并将其保存为日志，随后将其发送到攻击者的 C2。如果有加密钱包，它将收集所有关键信息并将其与剪贴板信息一起存储在文件夹中。它还会将钱包 ID 替换为攻击者的钱包 ID。

披露时间：2023年9月5日

情报来源：https://www.rapid7.com/blog/post/2023/08/31/fake-update-utilizes-new-idat-loader-to-execute-stealc-and-lumma-infostealers/

相关信息：

最近，研究人员观察到攻击者正通过创建虚假的浏览器更新页面以诱骗用户执行恶意二进制文件。经进一步分析，研究人员发现了一个新型加载程序IDAT。据了解，IDAT于2023年7月首次曝光，是一种复杂的加载程序，其因恶意负载存储在PNG文件格式的IDAT块中而得名，具有多种规避技术，包括进程分身、DLL搜索顺序劫持等 。它的早期版本伪装成提供SecTop RAT的7-zip安装程序，目前已被观察到传播包括Stealc、Lumma和Amadey在内的多种信息窃取程序。

调查显示，IDAT恶意活动始于2023年7月19日，攻击者通过创建虚假浏览器更新页面诱导用户下载了一个名为ChromeSetup.exe的二进制文件，该文件实际上则为ClearFake恶意软件，它将用于下载并安装一个MSI包。执行时，MSI dropper将写入合法的VMwareHostOpen.exe可执行文件、多个合法依赖项以及恶意动态链接库(DLL)文件vmtools.dll。合法的VMWareHostOpen.exe则会从执行VMWareHostOpen.exe的同一目录加载恶意的vmtools.dll，这种技术即称为DLL搜索顺序劫持。IDAT加载程序则被打包到DLL中，采用动态导入方法，由VMWarehost、Python和Windows Defender等合法程序加载。

披露时间：2023年9月5日

情报来源：https://www.trendmicro.com/en_us/research/23/i/analyzing-a-facebook-profile-stealer-written-in-node-js.html

相关信息：

研究人员之前对涉及 Facebook 窃取者的活动进行分析时，发现了另一个有趣的窃取者。它是用Node.js编写的，打包成可执行文件，通过Telegram bot API 和命令与控制 (C&C) 服务器窃取被盗数据，并使用GraphQL作为 C&C 通信的通道。

当窃取程序被执行时，它会运行其主要功能，从多个基于 Chromium 的网络浏览器中窃取 cookie 和凭证，然后将数据外泄到 C&C 服务器和 Telegram 机器人。它还会将客户端订阅到运行 GraphQL 的 C&C 服务器。当 C&C 服务器向客户端发送信息时，窃取功能将再次运行。

披露时间：2023年9月5日

情报来源：https://www.fortinet.com/blog/threat-research/agent-tesla-variant-spread-by-crafted-excel-document

相关信息：

研究人员发现传播新 Agent Tesla 变种的网络钓鱼活动。该恶意软件家族使用基于 .Net 的远程访问木马 (RAT) 和数据窃取程序来获得初始访问权限。它通常用于恶意软件即服务 (MaaS)。

从最初的网络钓鱼电子邮件到安装在受害者计算机上的 Agent Tesla 的操作，再到从受影响的设备收集敏感信息。在本次分析中，将了解该攻击的内容，例如钓鱼邮件如何发起攻击活动、如何利用CVE-2017-11882/CVE-2018-0802漏洞（而非VBS宏）进行下载和攻击。在受害者的设备上执行Agent Tesla文件，以及 Agent Tesla如何从受害者的设备收集敏感数据，例如凭据、按键记录和受害者屏幕截图。

尽管Microsoft 于 2017 年 11 月和 2018 年 1 月发布了CVE-2017-11882 / CVE-2018-0802修复程序，但此漏洞在威胁参与者中仍然很受欢迎，这表明即使在五年多之后，仍然存在未修补的设备。

披露时间：2023年9月5日

情报来源：https://blog.morphisec.com/chaes4-new-chaes-malware-variant-targeting-financial-and-logistics-customers

相关信息：

2023 年 1 月，研究人员发现了一个令人担忧的趋势，即许多客户（主要是物流和金融领域的客户）受到了Chaes 新型高级变体的攻击。据观察，从 2023 年 4 月到 2023 年 6 月，威胁的复杂性在多次迭代中不断增加。这不仅仅是普通的 Chaes 变体，它经历了重大修改：从完全用 Python 重写（导致传统防御系统的检测率较低）到通信协议的全面重新设计和增强。此外，它现在还拥有一套新模块，可以进一步增强其恶意功能。值得注意的是，Chaes 恶意软件对于网络安全领域来说并不是全新的。它的首次亮相可以追溯到 2020 年 11 月，当时 Cybereason 的研究人员强调其业务主要针对拉丁美洲的电子商务客户。

披露时间：2023年8月31日

情报来源：https://research.checkpoint.com/2023/from-hidden-bee-to-rhadamanthys-the-evolution-of-custom-executable-formats/

相关信息：

研究人员注意到 Rhadamanthys 使用的格式与属于 Hidden Bee 的格式之间的相似之处，Rhadamanthys 是一种相对较新的窃贼，它在不断发展，并越来越受欢迎。最早被提及是在 2022 年 9 月的一则黑市广告中。该窃取程序以其丰富的功能集和精良的多阶段设计立即吸引了买家和研究人员的注意。Hidden Bee 是另一种由多个阶段组成的复杂恶意软件。Hidden Bee 于 2018 年左右首次出现，其最终有效负载是由 LUA 脚本实现的硬币挖矿程序。其主要分发渠道曾经是 Underminer Exploit Kit。最初，恶意软件的开发似乎投入了很多精力。然而，随着时间的推移，找到新样本的机会越来越少。最后一次 观测是在 2021 年。

披露时间：2023年9月5日

情报来源：https://source.android.com/docs/security/bulletin/2023-09-01

相关信息：

Android 安全公告包含影响 Android 设备的安全漏洞的详细信息。

其中最严重的问题是系统组件中的严重安全漏洞，该漏洞可能导致远程（近端/相邻）代码执行，而无需额外的执行权限。利用该漏洞不需要用户交互。基于严重性评估利用漏洞可能对受影响设备产生的影响，假设平台和服务缓解措施出于开发目的而关闭或成功绕过。