披露时间：2024年1月9日

情报来源：https://mp.weixin.qq.com/s/I-beF5SWmqVMGTfUifieZg

相关信息：

APT-C-56（透明部落）是南亚一个具有政府背景的高级持续性威胁组织，其长期针对周边国家和地区的军队和政府机构实施定向攻击，目的是收集各类情报。

近期，研究人员持续监控到透明部落组织在Android平台的RlmRat家族新样本。通过对这些样本进行分析，发现最近的样本相比此前的同家族样本有了明显的变化，属于RlmRat家族的精简版。这些样本使用了相似的结构设计，以窃取设备各类文件为主，受影响地区主要为印度。

披露时间：2024年1月4日

情报来源：https://objective-see.org/blog/blog_0x78.html

相关信息：

研究人员近日剖析了一个名为"SpectralBlur"的新型macOS后门。据悉，该后门样本的64位Intel二进制文件(名为.macshare)最初从与朝鲜APT38(又名TA444、Sapphire Sleet、BLUENOROFF和STARDUST CHOLLIMA)有关联的可疑域pxaltonet[.]org的auth子域处下载，并于2023年8月从哥伦比亚上传到VirusTotal，并且当时未被任何防病毒引擎检测到。

它具备中等后门功能，包括通过RC4封装的套接字从C2服务器接受命令以实现文件上传/下载/删除、shell命令执行、配置更新等操作。此外，经进一步分析，研究人员还发现该恶意软件与另一个名为KandyKorn(又名SockRacket)的macOS后门植入程序存在相似之处，而后者近期则被朝鲜黑客组织Lazarus在针对加密货币交易平台的区块链工程师的攻击中使用。

披露时间：2024年1月5日

情报来源：https://www.huntandhackett.com/blog/turkish-espionage-campaigns

相关信息：

安全人员持续追踪Sea Turtle组织针对荷兰的攻击活动并进行了公开。Sea Turtle，别名Teal Kurma、Marbled Dust、SILICON、Cosmic Wolf，是一个与土耳其有关的APT组织，从2017年开始活跃，主要进行窃密活动，常围绕欧洲和中东组织进行攻击，攻击目标涉及政府、库尔德工人党(PKK)等库尔德团体、非政府组织、电信机构、IT服务提供商等，该组织的攻击手段处于中等水平，主要利用公开漏洞获取初始访问权限。

在2023年的最新活动中，安全人员观察到攻击者破坏cPanel账户并使用SSH服务实现对目标主机的初始访问，同时利用一个名为SnappyTCP的反向TCP shell来建立持久性。攻击者还通过重置Bash、MySQL历史文件以及重写系统日志来进行防御绕过。

披露时间：2024年1月4日

情报来源：https://www.clearskysec.com/wp-content/uploads/2024/01/No-Justice-Wiper.pdf

相关信息：

2023年12月24日，伊朗组织“Homeland justice”在其Telegram频道上发布了一段阿尔巴尼亚语视频，称其再次摧毁“恐怖分子支持者”。该组织自2022年7月以来一直在运作，专注于针对阿尔巴尼亚的勒索软件和破坏性活动。

第二天，该黑客在其Telegram频道和官方网站上宣布，它已经入侵、完全接管并清除了一些阿尔巴尼亚基础设施和政府组织的计算系统和网站

目前的活动以#DestroyDurresMilitaryCamp (DDMC)为标签。研究人员估计该组织此次行动可能会威胁到其他国家。

该威胁行为者发布的一段视频展示了用于攻击阿尔巴尼亚议会的PowerShell代码片段。PowerShell和可执行文件被检测从阿尔巴尼亚上传。这个独特的PowerShell文件也被检测到压缩在不同的ZIP存档中，由同一用户从阿尔巴尼亚上传，以及公开可用的Plink(以前被伊朗威胁行为者使用)，W2K Res Kit和RevSocks工具。因此，研究人员估计在当前的攻击中使用了额外的工具

披露时间：2024年1月9日

情报来源：https://www.trendmicro.com/en_us/research/24/a/a-look-into-pikabot-spam-wave-campaign.html

相关信息：

一个名为Water Curupira的威胁组织开始在垃圾邮件活动中积极传播PikaBot恶意软件加载程序。据悉，Water Curupira组织常会通过开展网络钓鱼活动以释放Cobalt Strike等后门，进而实施Black Basta勒索软件攻击。不过，该组织在2023年第三季度的前几周进行DarkGate垃圾邮件活动和IcedID恶意软件分发活动后，便一直专注于传播Pikabot。PikaBot则是一种复杂的多阶段恶意软件，它在同一文件中具有加载程序、核心模块，以及解密的shellcode，可从其资源(实际有效负载)中解密另一个DLL文件。另外，PikaBot与Qakbot非常相似，后者于2023年8月被执法部门取缔，而PikaBot则在2023年最后一个季度得到积极传播，这表明Pikabot很可能会成为Qakbot的替代品。

研究人员表示，Water Curupira主要通过采用线程劫持技术，向用户投递包含压缩文档或PDF附件的垃圾邮件来获取对受害者计算机的初始访问权限。钓鱼邮件随附的压缩文档大小超过100KB，含有经严重混淆的JavaScript。PDF文件内容被伪装成Microsoft OneDrive上托管的文件，主要目的是诱骗受害者访问PDF文件内容，即下载恶意JS文件的链接。

披露时间：2024年1月9日

情报来源：https://www.securonix.com/blog/securonix-threat-research-security-advisory-new-returgence-attack-campaign-turkish-hackers-target-mssql-servers-to-deliver-domain-wide-mimic-ransomware/

相关信息：

研究人员一直在监控正在进行的威胁活动 RE#TURGENCE，该活动涉及瞄准和利用 MSSQL 数据库服务器来获取初始访问权限。威胁行为者似乎以美国、欧盟和拉丁美洲国家为目标，并且具有经济动机。

分析的威胁活动似乎以两种方式之一结束，要么出售对受感染主机的“访问权”，要么最终交付勒索软件有效负载。这些细节是攻击者在一次重大 OPSEC（操作安全）故障期间发现的。从最初访问 MIMIC 勒索软件到在受害域上部署 MIMIC 勒索软件，该事件的时间大约为一个月。

该活动的初始访问部分与去年写的DB#JAMMER类似，也涉及通过暴力破解管理密码进行直接 MSSQL 访问。

披露时间：2024年1月9日

情报来源：https://asec.ahnlab.com/ko/60171/

相关信息：

近期，研究人员监测到Remcos RAT正伪装为成人游戏通过云盘进行传播。云盘和种子是主要用于在家庭环境中传播恶意软件的方式。攻击者将恶意程序伪装成游戏进行分发，要求用户通过运行Game.exe启动游戏，Game.exe启动的同时，游戏dll文件与恶意vbs脚本将一起运行，最终执行名为ffmpeg.exe的恶意软件，利用存储在test.jpg中的字符串获取解密的二进制文件和密钥，并通过进程注入技术向explorer.exe注入恶意代码，连接C2服务器下载Remcos RAT程序。随后Remcos RAT将被注入ServiceModelReg.exe程序，以获取其他恶意程序。

披露时间：2024年1月8日

情报来源：https://www.forcepoint.com/blog/x-labs/advanced-malware-attack-using-microsoft-office

相关信息：

研究人员今天发现，在一个国家大选前夕，针对知名商界领袖的基于 Microsoft Office 的高级攻击。电子邮件从未明确诱使用户单击任何附件，所附文档的名称：投票须知.docx。

调查显示，同一文档的多个版本已发送给著名的商业领袖。目前尚不清楚攻击者想要获得什么，但可能是为了监视选民的情绪。

接下来是 Word 文档本身。这是一个完全空白的 Word 文档，但在调查 document.xml 属性时，它显示了一个指向 OleObject 的链接。这与 2023 年的 Follina 漏洞类似，但有一个关键区别：链接类型现在表示为图片，更新模式设置为 "始终"，而不是 "OnCall"。这意味着脚本会在文档打开时自动执行。

披露时间：2024年1月8日

情报来源：https://mp.weixin.qq.com/s/urn--ubM9Q3lEd_JUQqo9Q

相关信息：

本次研究人员捕获到一起国内关联的安全事件，攻击者以信息泄露为话题通过邮件的方式与目标用户进行接触，借由白+黑的方式执行Cobalt Strike生成的beacon。其中邮件以及相关恶意组件在Vt平台中均具有极低的查杀率。

攻击者通过创建与中国移动相似的邮箱来投递邮件，增大自身邮件内容可信度。使用信息泄露作为话题与用户进行接触，在邮件中着重提醒了，根据附件“信息泄露列表“进行自查。打开附件可以看到以下文件列表，其中不仅可以看到邮件中提到的“泄露列表-待反馈”的文件，还有一个属性为“DSHR”的“Notepad++“的文件夹。可能是得益于“notepad++“的签名，涉及样本的检出率较少，甚至作为启动“notepad++”的快捷方式的检出率为零。

披露时间：2024年1月3日

情报来源：https://www.cloudsek.com/whitepapers-reports/gold-rush-on-the-dark-web-threat-actors-target-x-twitter-gold-accounts

相关信息：

本报告讨论了围绕 Twitter 新验证的暗网活动激增。它揭示了威胁行为者如何出售 Twitter Gold 帐户，这些帐户是与“蓝色”和“灰色”验证一起推出的。该论文概述了用于获取这些帐户的各种方法，包括手动创建、暴力破解现有帐户以及使用恶意软件获取凭据。它强调了这些活动带来的风险，包括网络钓鱼和虚假信息活动。该文件强调需要采取强有力的网络安全实践来防范这些威胁。

披露时间：2024年1月5日

情报来源：https://cybersecurity.att.com/blogs/labs-research/asyncrat-loader-obfuscation-dgas-decoys-and-govno

相关信息：

研究人员发现了一项向毫无戒心的受害者系统传送 AsyncRAT 的活动。在至少 11 个月的时间里，该威胁行为者一直致力于通过嵌入网络钓鱼页面的初始 JavaScript 文件来传递 RAT。经过 300 多个样本和 100 多个域之后，威胁行为者的意图始终如一。

受害者以及相关公司都经过精心挑选，以扩大该活动的影响。一些已确定的目标为美国的关键基础设施。AsyncRAT 是 2019 年发布的一款开源远程访问工具，目前仍可在 Github 上获取。与任何远程访问工具一样，它可以被用作远程访问木马（RAT），尤其是在这种情况下，它可以免费访问和使用。

9 月初，研究人员观察到针对某些公司的特定个人的网络钓鱼电子邮件激增。gif 附件会指向一个 svg 文件，该文件还会导致下载一个高度混淆的 JavaScript 文件，然后是其他混淆的 PowerShell 脚本，最后执行一个 AsyncRAT 客户端。

披露时间：2024年1月10日

情报来源：https://blog.aquasec.com/threat-alert-apache-applications-targeted-by-stealthy-attacker

相关信息：

近期，研究人员发现了一种针对Apache Hadoop和Flink应用程序的新型攻击方式。针对Hadoop的攻击中，若Hadoop YARN的ResourceManager配置错误，攻击者可以通过精心设计的HTTP请求包利用该错误配置，在未经身份验证的情况下执行任意代码。Flink同样存在配置错误的条件下攻击者能够执行任意代码的情况。安全人员表示这两种攻击几乎相同。在针对Hadoop的攻击活动中，攻击者利用错误配置部署并运行dca二进制文件，该文件将下载另外两个二进制文件，用于门罗币挖矿程序部署。攻击者还通过打包二进制文件的方式规避安全检测。目前，dca文件在VT的检测率为0。

披露时间：2024年1月5日

情报来源：https://unit42.paloaltonetworks.com/malware-configuration-extraction-techniques-guloader-redline-stealer/

相关信息：

GuLoader开发者自2020年以来一直在尽力混淆其C2配置，从2020年将C2配置隐藏在文本中，到2023年开发者使用最新的密文分割技术和控制流混淆技术，以试图避免安全人员的分析。

安全人员需要逆向分析被分别加密的每一个DWORD类型，以解密GuLoader的密文分割技术。而控制流混淆技术通过反分析指令使得EXCEPTION_BREAKPOINT、EXCEPTION_ACCESS_VIOLATION和EXCEPTION_SINGLE_STEP违规，从而导致安全人员的分析工具无法进一步分析指令，面对这一问题，目前研究人员只能采用手动分析代码的方式来找到反分析指令并绕过相关配置。而在RedLinStealer最新样本的分析中，安全人员需要使用名为dnSpy的MSIL反编译器识别RedLine Stealer的配置模块，手动获取其中的密文及密钥，以对抗其反分析技术，定位和提取C2配置。

披露时间：2024年1月9日

情报来源：https://blog.talosintelligence.com/decryptor-babuk-tortilla/

相关信息：

研究人员获得了能够解密受 Babuk Tortilla 勒索软件变体影响文件的可执行代码，从而能够提取并共享威胁行为者使用的私有解密密钥。

该解密器包含所有已知的私钥，允许许多用户恢复被不同 Babuk 勒索软件变体加密的文件。

Babuk 勒索软件于 2021 年出现，因其对目标行业（尤其是医疗保健、制造、物流和公共服务（包括关键基础设施））的高调攻击而声名狼藉。荷兰警方根据研究人员提供的威胁情报，识别、逮捕并起诉了 Babuk Tortilla 行动背后的威胁行为者。

披露时间：2024年1月4日

情报来源：https://arcticwolf.com/resources/blog/follow-on-extortion-campaign-targeting-victims-of-akira-and-royal-ransomware/

相关信息：

研究人员了解到多起勒索软件案件，在最初的妥协后，受害者被勒索组织联系以尝试进一步的勒索。在调查的两起案件中，威胁行为者编造了试图帮助受害者的说法，提出侵入原始勒索软件组织的服务器基础设施以删除泄露的数据。

据了解，这是威胁行为者冒充合法安全研究人员提出删除来自勒索软件组织的黑客数据的第一个公开实例。虽然参与这些二次勒索企图的人物被视为单独的实体，但研究人员以中等信心评估，勒索企图很可能是由同一威胁行为者实施的。

披露时间：2024年1月3日

情报来源：https://www.cyfirma.com/outofband/a-gamer-turned-malware-developer-diving-into-silverrat-and-its-syrian-roots/

相关信息：

近期，安全人员研究并公开了Silver RAT程序相关信息。Silver RAT v1.0出现于2022年，其开发者在黑客论坛发布了该程序，程序由C#编写，能够绕过防病毒软件并秘密启动隐藏的应用程序、浏览器、键盘记录程序以及进行其他恶意活动。

当受害主机感染该程序后，攻击者可通过专用面板进行配置，执行进程隐藏、杀软绕过等操作。Silver RAT控制面板还包括多种功能，攻击者可以管理和控制目标系统的各个方面。这包括管理已安装的应用程序、导航文件管理器、修改注册表项、检查启动项以及监视目标系统的性能。此外，攻击者可以使用勒索软件加密受害主机上的数据，远程删除目标主机上的数据和浏览器cookie。目前，Silver RAT开发者宣称即将发布针对Android平台和Windows平台的新版本。

披露时间：2024年1月8日

情报来源：https://www.fortinet.com/blog/threat-research/lumma-variant-on-youtube

相关信息：

研究人员最近发现一个威胁组织利用 YouTube 频道传播 Lumma Stealer 变种。其中在2023 年 3 月通过 YouTube 发现并报告了类似的攻击方法。这些 YouTube 视频通常包含与破解应用程序相关的内容，为用户提供类似的安装指南，并包含通常使用 TinyURL 和 Cuttly 等服务缩短的恶意 URL。为了绕过简单的 Web 过滤器黑名单，攻击者利用 GitHub 和 MediaFire 等开源平台，而不是部署恶意服务器。在这种情况下，共享链接会导致直接下载新的私有 .NET 加载程序，该加载程序负责获取最终的恶意软件 Lumma Stealer。

Lumma Stealer 针对敏感信息，包括用户凭据、系统详细信息、浏览器数据和扩展。自 2022 年以来，它一直在暗网和 Telegram 频道上进行宣传，观察到十多个野外命令与控制 (C2) 服务器并进行了多次更新。

披露时间：2024年1月10日

情报来源：https://msrc.microsoft.com/update-guide/releaseNote/2024-jan

相关信息：

研究人员近期发布了2024年1月的安全更新。本次安全更新修复了总计48个安全漏洞(不包含4个基于 Chromium的漏洞和1个SQLite漏洞)，其中存在46个重要漏洞(Important)、2个严重漏洞(Critical)。在漏洞类型方面，主要包括10个特权提升漏洞、11个远程代码执行漏洞、12个信息泄露漏洞、6个安全功能绕过漏洞、6个拒绝服务漏洞、3个欺骗漏洞。

本次发布的安全更新涉及Windows Hyper-V、Windows Win32K、Windows Kernel、Visual Studio等多个产品和组件。

以下为重点关注漏洞列表：

• CVE-2024-20674：Windows Kerberos 安全功能绕过漏洞,该漏洞的CVSSv3评分为9.0分。成功利用此漏洞的攻击者可以在目标服务器上绕过身份验证功能。

• CVE-2024-20677：Microsoft Office远程代码执行漏洞,该漏洞的CVSSv3评分为7.8分。成功利用此漏洞的攻击者可以在目标服务器上执行远程代码。该漏洞允许攻击者使用嵌入式FBX 3D模型文件创建恶意Office文档以执行远程代码。

• CVE-2024-20700：Windows Hyper-V 远程代码执行漏洞,该漏洞的CVSSv3评分为7.5分。成功利用此漏洞的攻击者可以在目标服务器上执行远程代码。