每周高级威胁情报解读(2023.03.16~03.23)

polo1366

攻击团伙情报

对近期APT37组织使用工具集的分析
Kimsuky正在利用恶意OneNote文件分发恶意软件
SideCopy APT 组织将目光投向了印度政府机构 DRDO
SideCopy组织近期以印度国防部相关文档为诱饵的攻击活动分析
DarkPink组织针对印度尼西亚外交部门和菲律宾军事部门的攻击活动
攻击行动或事件情报

Winter Vivern黑客组织使用伪造的防病毒扫描来安装恶意软件
Mispadu 木马从拉丁美洲窃取了 90,000 多份银行凭证
KillNet 和附属黑客组织以医疗保健为目标进行 DDoS 攻击
网络钓鱼活动利用 Microsoft OneNote 文件传播恶意软件
BianLian 勒索软件团伙将重点转移到纯粹的数据勒索
PyPI 上的恶意包使用网络钓鱼技术来隐藏其恶意意图
黑客使用恶意 NuGet 包瞄准 .NET 开发人员
恶意代码情报

“Xidu”后门病毒正快速传播，可随意操控用户电脑
“HinataBot”僵尸网络可以发起大规模的 3.3 Tbps DDoS 攻击
新的 PowerMagic 和 CommonMagic 恶意软件被用来窃取数据
Bee-Ware of Trigona，一种新兴的勒索软件毒株
最近采用新策略的 Emotet 垃圾邮件活动
QBot：为 Black Basta 勒索软件活动奠定基础
漏洞情报

CVE-2019-18935等被黑客利用以入侵美国机构服务器
<hr/>攻击团伙情报

对近期APT37组织使用工具集的分析
披露时间：2023年3月21日
情报来源：https://www.zscaler.com/blogs/security-research/unintentional-leak-glimpse-attack-vectors-apt37
相关信息：
研究人员一直在密切监视 APT37（也称为 ScarCruft 或 Temp.Reaper）的工具、技术和程序 (TTP)。这个威胁行为者在 2023 年 2 月和 2023 年 3 月一直非常活跃，目标是韩国各个组织的个人，它通过威胁参与者感兴趣的选定文件格式的数据泄露来实现这一目标，使用各种攻击向量分发基于 Chinotto PowerShell 的后门。除了分发恶意软件外，该组织还专注于凭据网络钓鱼攻击，该组织已于 2023 年 1 月下半月恢复活动，此后通过鱼叉式网络钓鱼电子邮件积极针对韩国用户，该小组不断改进其工具、技术和程序，同时试验新的文件格式和绕过安全供应商的方法。
研究人员发现了 APT37 的 GitHub 存储库，通过攻击者的 GitHub 存储库识别出的大量样本也不存在于 OSINT 来源（例如 VirusTotal）中，同时发现该组织使用的许多以前未记录的攻击向量、工件和主题。在这篇博客中，研究人员将提供对感染链的高级技术分析、我们发现的新加载器以及对该 APT 小组使用的主题的详细分析。



Kimsuky正在利用恶意OneNote文件分发恶意软件
披露时间：2023年3月17日
情报来源：https://medium.com/s2wblog/kimsuky-group-appears-to-be-exploiting-onenote-like-the-cybercrime-group-3c96b0b85b9f
相关信息：
2023 年 3 月 17 日，一个包含恶意脚本的 OneNote 文件被冒充高丽大学和平与民主研究所上传到 Virustotal ，该文件是从韩国提交的。OneNote 文件要求调查参与者填写韩文文字处理器 (.HWP) 文档（个人信息使用协议）以获得报酬。为此，图像包含一个 .hwp 文件图标和伪装成下载的文件名，并鼓励用户双击它。双击会触发隐藏在图像后面的恶意 VBS 文件的执行，然后从外部服务器下载其他恶意软件。



SideCopy APT 组织将目光投向了印度政府机构 DRDO
披露时间：2023年3月21日
情报来源：https://blog.cyble.com/2023/03/21/notorious-sidecopy-apt-group-sets-sights-on-indias-drdo/
相关信息：
SideCopy APT 是来自巴基斯坦的威胁组织，自 2019 年以来一直活跃，主要针对南亚国家，尤其是印度和阿富汗。SideCopy APT 的名字来源于感染链，它模仿了SideWinder APT的感染链。一些报告表明，该攻击者与 Transparent Tribe (APT36) 具有相同的特征，并且可能是该威胁攻击者的一个子组。
最近，研究人员发现了一条Twitter帖子，内容是 SideCopy APT 正在进行的针对印度政府“国防研究与发展组织”的活动。DRDO 是一个政府机构，负责研究和开发供印度武装部队使用的先进技术。最初的感染始于一封垃圾邮件，其中包含指向受感染网站上托管的恶意文件的链接。该链接允许用户从以下 URL 下载包含名为“DRDO – K4 Missile Clean room.pptx.lnk”的 LNK 文件的 ZIP 文件。



SideCopy组织近期以印度国防部相关文档为诱饵的攻击活动分析
披露时间：2023年3月21日
情报来源：https://mp.weixin.qq.com/s/21kLaaPEzGBBAlguLgU9Cw
相关信息：
近日，研究人员在对SideCopy组织进行持续追踪的过程，发现了一些比较有意思的样本。
在此攻击活动中，SideCopy的感染链与之前的攻击活动保持相对一致，使用恶意LNK文件作为入口点，然后是一个复杂的感染链，涉及多层文件嵌套以传递最终的有效负载。经研判，本次攻击活动的特点如下：

• 鱼叉式钓鱼邮件，以压缩包中的lnk文件为攻击入口点；
  
• 以无文件的方式在内存中加载执行后续载荷；
  
• 最终载荷为Delphi编写的改良开源木马或者是由C++编写的新木马；
  
• 诱饵内容均与印度国防部有关。
  

DarkPink组织针对印度尼西亚外交部门和菲律宾军事部门的攻击活动
披露时间：2023年3月20日
情报来源：https://mp.weixin.qq.com/s/w--fSiFrHQUaIv80AuitZQ
相关信息：
研究人员近期监测到多起APT组织DarkPink针对印度尼西亚外交部门及菲律宾军事部门的攻击活动。DarkPink（又称saaiwc）组织最早在2021年年中开始活跃，其主要攻击目标为柬埔寨、印度尼西亚、马来西亚、菲律宾、越南、波斯尼亚和黑塞哥维那等国家的外交、军事等部门及行业。
本次攻击活动的初始样本均为打包的ISO文件，按照攻击流程可分为两类：一类是采用DLL侧加载的方式，释放包含恶意XML文件载荷并通过修改注册表实现持久化。恶意 DLL 还会创建计划任务定时注销登录用户，在登录Windows用户时，通过调用MSBuild.exe（Microsoft 生成引擎）启动恶意载荷KamiKakaBot，实现远程控制功能；另一类采用DLL侧加载攻击的方式进行初始攻击，恶意DLL解密出PE文件并在内存中加载执行，内存中的PE文件会将启动代码添加至注册表中实现持久化，启动代码用于解密并启动恶意载荷TelePowerBot，实现远程控制功能。



攻击行动或事件情报

Winter Vivern黑客组织使用伪造的防病毒扫描来安装恶意软件
披露时间：2023年3月16日
情报来源：https://www.sentinelone.com/labs/winter-vivern-uncovering-a-wave-of-global-espionage/
相关信息：
Winter Vivern Advanced Persistent Threat (APT) 是一个值得注意但相对低报的组织，其以亲俄罗斯的目标运作。最初于 2021 年初公开了该组织，并根据不再使用的初始命令和控制信标 URL 字符串“wintervivern”为其命名。随后，研究人员在几个月后分享了额外的分析，确定了与 Winter Vivern 相关的新活动。
研究人员对 Winter Vivern 过去活动的分析表明，自 2021 年以来，APT 已将各种政府组织作为目标，包括立陶宛、印度、梵蒂冈和斯洛伐克的政府组织。
最近关联的活动表明，Winter Vivern 已将波兰政府机构、乌克兰外交部、意大利外交部和印度政府内部的个人作为目标。特别令人感兴趣的是该组织以私营企业为目标，包括在正在进行的战争中支持乌克兰的电信组织。



Mispadu 木马从拉丁美洲受害者那里窃取了 90,000 多份银行凭证
披露时间：2023年3月17日
情报来源：https://www.metabaseq.com/mispadu-banking-trojan/
相关信息：
研究人员确定了 20 个针对智利、墨西哥、秘鲁和葡萄牙的不同垃圾邮件活动。攻击者试图在访问网上银行、学校、政府服务、社交媒体、游戏、电子商务时窃取用户的凭据，公共存储库等，还针对 Outlook 电子邮件凭据。即使在某些情况下，攻击者也可以向受害者展示，必要时伪造网上银行窗口。对于最初的感染，攻击者试图引诱受害者打开不同类型的假账单来支付，以 HTML 页面或受密码保护的 PDF 文件形式出现。



KillNet 和附属黑客组织以医疗保健为目标进行 DDoS 攻击
披露时间：2023年3月17日
情报来源：https://www.microsoft.com/en-us/security/blog/2023/03/17/killnet-and-affiliate-hacktivist-groups-targeting-healthcare-with-ddos-attacks/
相关信息：
KillNet 使用 DDoS 作为其主要的抗议工具。DDoS 攻击是一种相对容易且成本低廉的破坏在线服务和网站的方法，可以成为吸引注意力的有力方式，使其成为黑客活动组织的热门选择。此外，DDoS 攻击可以匿名发起，这可能使当局难以追查肇事者。
在这篇博文中，研究人员概述了过去三个月针对 Azure 中托管的医疗保健应用程序的 DDoS 攻击情况。然后，研究人员列出了 KillNet 最近的几个活动，描述了它们的攻击模式，并介绍了如何减轻和保护客户免受这些攻击。最后，概述了组织保护其应用程序免受 DDoS 攻击的最佳实践。



网络钓鱼活动利用 Microsoft OneNote 文件传播恶意软件
披露时间：2023年3月16日
情报来源：https://www.fortinet.com/blog/threat-research/microsoft-onenote-file-being-leveraged-by-phishing-campaigns-to-spread-malware
相关信息：
最近引起研究人员注意的几个网络钓鱼活动被发现利用带有恶意 Microsoft OneNote 文件的网络钓鱼电子邮件来传播 AsyncRAT 恶意软件。在本次分析中，可了解此次攻击的内容，例如发起活动的钓鱼邮件类型、恶意 Microsoft OneNote 文件如何参与活动、如何利用它在受害者的计算机上下载并执行恶意文件、相关设备使其能够逃避检测和分析的技术种类以及恶意软件 AsyncRAT 如何与其 C2 服务器通信，包括它支持哪些控制命令以完全控制受害者的设备。



BianLian 勒索软件团伙将重点转移到纯粹的数据勒索
披露时间：2023年3月16日
情报来源：https://redacted.com/blog/bianlian-ransomware-gang-continues-to-evolve/
相关信息：
自从首次报告被称为 BianLian 的勒索软件组织以来，研究人员一直在关注他们的活动。不幸的是，该组织继续运作并增加名单上的受害者人数。该组织继续使用非常相似的战术、技术和程序 (TTP)，这些在研究人员的第一份报告中有详细说明，在受害者的网络以执行他们的初始访问和横向移动。该组织继续维护和部署他们用 Go 编写的自定义后门，它提供了另一种远程访问受感染网络的方法。虽然 BianLian 对其后门进行了一些小的调整，例如更新各种支持库并试图在某些情况下更好地隐藏在众目睽睽之下，但其后门的核心功能保持不变。



PyPI 上的恶意包使用网络钓鱼技术来隐藏其恶意意图
披露时间：2023年3月18日
情报来源：https://blog.checkpoint.com/2023/03/18/detecting-malicious-packages-on-pypi-malicious-package-on-pypi-use-phishing-techniques-to-hide-its-malicious-intent/
相关信息：
PyPI（Python 包索引）是 Python 编程语言的官方软件包存储库。它是一个集中式平台，Python 开发人员可以在其中查找、安装开源 Python 包并与他人共享。研究人员发现恶意攻击者试图隐藏其恶意意图的新技术和新策略（从使用隐写术，到劫持安装系统以挖掘加密货币牟利的加密劫持者），检测到恶意软件包就表明，网络钓鱼是攻击者用来隐藏其意图的另一种工具。使用机器学习模型，能够在PyPI上检测到这些恶意软件包。虽然假装是async-io相关的辅助工具，但该软件包实质是恶意性的，作为其安装过程的一部分，隐藏地下载和执行混淆的代码。

黑客使用恶意 NuGet 包瞄准 .NET 开发人员
披露时间：2023年3月20日
情报来源：https://jfrog.com/blog/attackers-are-starting-to-target-net-developers-with-malicious-code-nuget-packages/
相关信息：
研究人员最近发现了一种复杂且高度恶意的攻击，通过 NuGet 存储库使用复杂的域名仿冒技术针对 .NET 开发人员。发现的包——在过去一个月内被下载了 15 万次（在从 NuGet 存储库中删除之前）——包含“下载并执行”类型的有效负载。这些软件包包含一个 PowerShell 脚本，该脚本将在安装时执行并触发“第二阶段”有效载荷的下载，该有效载荷可以远程执行。第二阶段的有效载荷是一个自定义的、更复杂的可执行文件，将在本文中进行简要说明，并将在我们的下一篇博文中进行彻底分析。


恶意代码情报

“Xidu”后门病毒正快速传播，可随意操控用户电脑
披露时间：2023年3月20日
情报来源：https://mp.weixin.qq.com/s/y0jLawhtJQBMoZNqUbXZCw
相关信息：
研究人员近期监测到一款后门病毒“Xidu”正在快速传播。经分析，该病毒入侵用户电脑后，会收集计算机及用户隐私信息、加载其他恶意模块，并可随时远程控制受害者电脑，对用户安全构成了巨大威胁。
此外，“Xidu”病毒的大部分恶意功能以插件的形式进行下发，只内置较少的功能如：下载执行任意文件、弹出指定网页、收集计算机信息、远程控制等，其还可通过快捷方式将自身添加到注册表中实现持久化。同时，该病毒使用了多层“白加黑”技术(一种即利用可信程序加载恶意DLL的劫持技术)来躲避安全软件的查杀，隐蔽性很强。其中，“Xidu”病毒最早由MSI安装程序释放部分文件到用户主机中，主要用于执行my7z.exe和NNN_chrome.exe程序。my7z.exe首先负责解压bin.7z中的文件并释放出黑白文件以及shellcode。bin.7z解压后，将通过多层白文件来绕过杀毒软件的查杀，MSI安装程序则会继续执行白文件NNN_chrome.exe，该程序后续会导入另一个白文件Sysinv.dll，而Sysinv.dll最终将导入并执行被劫持的Getinfo.dll。



“HinataBot”僵尸网络可以发起大规模的 3.3 Tbps DDoS 攻击
披露时间：2023年3月17日
情报来源：https://www.akamai.com/blog/security-research/hinatabot-uncovering-new-golang-ddos-botnet
相关信息：
研究人员发现了一个新的基于 Go 的 DDoS 僵尸网络。该恶意软件似乎已被恶意软件作者以流行动漫系列火影忍者中的一个角色命名为“Hinata”，因此称它为“HinataBot”。
HinataBot 被发现在 2023 年的前三个月分发，并且作者或运营商正在积极更新。该样本是在滥用旧漏洞和弱凭据的 HTTP 和 SSH 蜜罐中被发现。 观察到的感染尝试在Realtek SDK 设备 (CVE-2014-8361)、华为 HG532 路由器 (CVE-2017-17215) 和暴露的 Hadoop YARN 服务器 (CVE N/A) 上利用 miniigd SOAP 服务。通过结合对恶意软件进行逆向工程和模仿命令与控制 (C2) 服务器，研究人员能够深入了解恶意软件的工作原理以及其产生的攻击流量的独特之处。

新的 PowerMagic 和 CommonMagic 恶意软件被用来窃取数据
披露时间：2023年3月21日
情报来源：https://securelist.com/bad-magic-apt/109087/
相关信息：
自俄乌冲突爆发以来，研究人员发现了大量在政治和地缘政治背景下实施的网络攻击，之前发布了与俄罗斯和乌克兰冲突相关的网络活动和威胁态势概述，并继续监测这些地区的新威胁。
2022 年 10 月，研究人员确定了位于顿涅茨克、卢甘斯克和克里米亚地区的政府、农业和运输组织的活跃感染。尽管最初的攻击途径尚不清楚，但下一阶段的细节暗示会使用鱼叉式网络钓鱼或类似方法。受害者导航到指向托管在恶意 Web 服务器上的 ZIP 存档的 URL。存档又包含两个文件：

• 诱饵文档（我们发现了 PDF、XLSX 和 DOCX 版本）
  
• 具有双重扩展名（例如 .pdf.lnk）的恶意 LNK 文件，打开后会导致感染
  

Bee-Ware of Trigona，一种新兴的勒索软件毒
披露时间：2023年3月16日
情报来源：https://unit42.paloaltonetworks.com/trigona-ransomware-update/
相关信息：
研究人员于3月16日披露了勒索软件Trigona针对欧美等地的活动。Trigona于2022年10月下旬首次被发现，在12月非常活跃，影响了至少15个组织，涉及制造、金融、建筑、农业、营销和高科技行业。该勒索软件会使用包含JavaScript代码的.hta赎金记录向目标显示付款说明。研究人员在Trigona攻击中观察到的一些工具和技术包括，NetScan、Start.bat批处理脚本、Turnoff.bat、Newuser.bat、Mimikatz、DC4.exe和Advanced Port Scanner。

最近采用新策略的 Emotet 垃圾邮件活动
披露时间：2023年3月17日
情报来源：https://blog.cyble.com/2023/03/17/recent-emotet-spam-campaign-utilizing-new-tactics/
相关信息：
Emotet 是一种复杂的银行恶意软件，通常通过电子邮件附件传播。它的主要目的是从目标中提取机密数据，包括密码和银行详细信息，并将其发送到命令和控制 (C&C) 服务器。研究人员正在密切监视 Emotet 活动，该活动在休眠三个月后于 3 月 7 日重新出现。
Emotet 再次通过重建其网络在全球范围内传播恶意电子邮件和感染设备。在上周的活动中，Emotet使用了包含 DOC 文件的恶意 ZIP 附件。在此活动中，Emotet 使用了一种名为“ZIP 轰炸”的技术，将一个非常大的 DOC 文件压缩成一个小的存档文件。
然而，在最近的活动中，Emotet 改变了策略，现在使用 OneNote 附件，而不是垃圾邮件中带有恶意文档文件的 ZIP 存档。OneNote 是 Microsoft 提供的一款功能强大的数字笔记本软件，使用户能够在一个集中的位置高效地存储他们的想法、想法和笔记，促进组织。



QBot：为 Black Basta 勒索软件活动奠定基础
披露时间：2023年3月15日
情报来源：https://www.reliaquest.com/blog/qbot-black-basta-ransomware/
相关信息：
攻击者通过发送到最终用户收件箱的网络钓鱼电子邮件实现了初始访问——已经绕过了过于宽松的安全解决方案。这封网络钓鱼电子邮件导致了 QBot 恶意软件的部署，并为攻击者提供了在环境中的初步立足点。他们获得了属于域管理员组的有效服务帐户凭据，为横向移动和部署其他 Cobalt Strike 信标铺平了道路。从初始 QBot 执行到横向移动的时间线为 77 分钟。这比大多数此类案例要快得多，后者的爆发时间通常约为2 小时。
攻击者的行为带有 Black Basta 分支机构的味道，Qbot 活动被广泛报道为 Black Basta 入侵的基石。Black Basta是在“Conti”勒索软件集团被平息后出现的一个分裂组织；其成员转向替代勒索软件程序。Black Basta 组织运营着一个勒索软件即服务 (RaaS) 程序。



漏洞情报

CVE-2019-18935等被黑客利用以入侵美国机构服务器
披露时间：2023年3月15日
情报来源：https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-074a
相关信息：
从 2022 年 11 月到 2023 年 1 月上旬，网络安全和基础设施安全局 (CISA) 和创作组织发现联邦文职行政部门 (FCEB) 机构存在妥协指标 (IOC)。研究人员确定多个网络威胁参与者，包括一个 APT 参与者，能够利用 Progress Telerik 用户界面 (UI) 中的 .NET 反序列化漏洞 ( CVE-2019-18935 ) for ASP[.]NET AJAX，位于该机构的 Microsoft Internet Information服务 (IIS) Web 服务器。成功利用此漏洞可实现远程代码执行。根据 Progress Software 的说法，2020 年第 1 版 (2020.1.114) 之前构建的适用于 ASP[.]NET AJAX 的 Telerik UI 容易受到此漏洞的攻击。