披露时间：2023年8月2日

情报来源：https://www.recordedfuture.com/bluecharlie-previously-tracked-as-tag-53-continues-to-deploy-new-infrastructure-in-2023

相关信息：

研究人员一直在追踪威胁活动组织 BlueCharlie，该组织与俄罗斯组织 Callisto/Calisto、COLDRIVER 和 Star Blizzard/SEABORGIUM 有关联。BlueCharlie自 2017 年以来一直活跃，专注于间谍活动和黑客泄露行动的信息收集。BlueCharlie 已经发展其策略、技术和程序 (TTP)，并建立了新的基础设施，这表明在适应公开披露和提高运营安全方面的复杂性。具体受害者尚不清楚，过去的目标包括政府、国防、教育、政治部门、非政府组织、记者等。

研究人员观察到 BlueCharlie 构建了可能用于网络钓鱼活动和/或凭据收集的新基础设施，其中包含94个新域。最近的运营中看到的几个 TTP 与过去的活动背道而驰，这表明 BlueCharlie 正在改进其运营，可能是为了回应行业报告中公开披露的运营情况。

披露时间：2023年8月2日

情报来源：https://www.microsoft.com/en-us/security/blog/2023/08/02/midnight-blizzard-conducts-targeted-social-engineering-over-microsoft-teams/

相关信息：

研究人员已识别出高度针对性的社会工程攻击，这些攻击使用由 Midnight Blizzard（之前追踪为 NOBELIUM）在 Microsoft Teams 聊天中发送的凭据盗窃网络钓鱼诱饵。这次最新的攻击与过去的活动相结合，进一步证明了 Midnight Blizzard 使用新技术和通用技术持续执行其目标。Midnight Blizzard 利用来自受感染租户的这些域，利用 Teams 消息发送诱饵，试图通过吸引用户并诱导对多因素身份验证 (MFA) 提示的批准来窃取目标组织的凭据。

调查表明，该活动仅影响全球不到40个组织。此活动的目标组织可能表明 Midnight Blizzard 针对政府、非政府组织 (NGO)、IT 服务、技术、离散制造和媒体部门的特定间谍目标。Midnight Blizzard是一个总部位于俄罗斯的威胁组织，美国和英国政府将其称为俄罗斯联邦对外情报局，也称为 SVR。据了解，该威胁行为者主要针对美国和欧洲的政府、外交实体、非政府组织 (NGO) 和 IT 服务提供商。

披露时间：2023年8月2日

情报来源：https://mp.weixin.qq.com/s/HVhXyIB4sKuG6dDwwe4Pcw

相关信息：

奇安信威胁情报中心红雨滴团队一直以来都在对全球各大APT组织进行追踪，在对南亚相关APT组织进行追踪时我们发现蔓灵花组织近期非常活跃，本文内容仅是对过去一段时间内蔓灵花组织的攻击手法做一个分享，揭示其攻击手段、目标和动机，为相关机构提供有效的安全建议。

自2021年3月《“Operation Magichm”浅谈蔓灵花组织的CHM文件投放与后续操作》一文发布以来，蔓灵花组织一直都在吃老本，鱼叉式钓鱼邮件投递恶意chm文件屡试不爽。而在今年，蔓灵花还是以鱼叉式钓鱼邮件投递恶意压缩包，压缩包里面通常为恶意chm文件，有时也会在压缩包里面搭载带漏洞的office文件。

披露时间：2023年7月31日

情报来源：https://asec.ahnlab.com/ko/55646/

相关信息：

研究人员最近确认，攻击者正积极传播伪装为代币兑换和投资相关内容的恶意代码。研究人员根据恶意代码中使用的User-Agent名称判断，其应是由Kimsuky组织所制作。

据悉，活动涉及使用的诱饵文档主要以可执行文件和word文档形式传播，其标识被替换成Word文档和PDF图标，看起来像普通文档。其中，恶意可执行文件为SFX(自解压文档)格式，内部包含正常文档文件，且每个文档文件都存在模拟资产管理和硬币交换的信息。因此，一旦用户执行，其首先会创建一个正常文档，接着便会继续使用mshta.exe执行恶意URL中存在的脚本代码。除了SFX类型的可执行文件外，攻击者还分发了包含VBA宏的Word文档，文档伪装成硬币交换的文件名，与恶意可执行文件相同。研究人员表示，由于恶意代码当前未连接到C2，因此尚不清楚其最终执行的是哪个脚本，但用户仍需特别注意，因为其可能会执行各种恶意操作，例如泄露用户信息和下载额外的恶意代码等。

披露时间：2023年7月31日

情报来源：https://mp.weixin.qq.com/s/8aoOtjXn3C5sVIaE08-_GQ

相关信息：

研究人员近期发现APT组织Konni的攻击活动，结合诱饵文件内容及以往的攻击活动推测，此次攻击可能为针对韩国企业进行的网络攻击。APT组织Konni的攻击活动最早可以追溯至2014年，并一直活跃至今。该组织长期针对俄罗斯、韩国等国家进行定向攻击活动，擅长使用社会热点话题作为诱饵对目标进行鱼叉式网络钓鱼攻击。

近期发现，Konni组织可能通过向目标投递与税务相关的ZIP文件实施攻击。在用户打开ZIP文件内的诱饵LNK文件时，执行设置好的PowerShell指令，打开LNK文件内包含的掩饰文档以及压缩包，执行压缩包内的脚本文件，设置注册表实现持久化机制，获取目标机的部分文件列表、进程列表等基础信息并回传至服务端，最终下载后续载荷并执行。

披露时间：2023年8月1日

情报来源：https://www.cyfirma.com/outofband/apt-bahamut-targets-individuals-with-android-malware-using-spear-messaging/

相关信息：

研究人员最近获得了针对南亚地区个人的Android恶意软件。该Android 恶意软件是一个虚假的聊天应用程序。初步技术分析表明 APT组织Bahamut 是这次攻击的幕后黑手。随着技术分析的进一步进行，研究人员还在Bahamut的可疑应用程序中发现了 DoNot使用的策略足迹。

该软件专门用于针对居住在南亚的个人。这种特殊的恶意软件与之前识别的恶意软件（由臭名昭著的 APT 组织“DoNot”通过 Google Play 商店分发）表现出类似的操作机制，但是，这种恶意软件具有更多权限，因此具有更高级别的威胁。可疑的 Android 恶意软件最初被称为“CoverIm”，通过 WhatsApp 发送给受害者，并被发现伪装成名为“SafeChat”的虚拟聊天应用程序。该应用程序的用户界面成功地欺骗用户相信其真实性，从而使威胁行为者能够在受害者意识到该应用程序是假应用程序之前提取所有必要的信息，该恶意软件巧妙地利用毫无戒心的 Android 库来提取数据并将其传输到命令和控制服务器。

披露时间：2023年8月2日

情报来源：https://news.sophos.com/en-us/2023/07/26/into-the-tank-with-nitrogen/

相关信息：

近期，研究人员监测到一款后门病毒正在快速传播，被激活后会释放多个恶意文件并执行，使黑客可以进行信息收集，远程控制等恶意操作。值得注意的是，该病毒不但使用多种免杀手段躲避查杀，其释放的子文件中还具有 Synares 蠕虫感染特征，可在受害者电脑的文件中进行传播。

用户点击病毒程序之后，该病毒就会释放并执行恶意文件，随后黑客可以远程控制用户电脑。除此之外，该黑客团伙在开发过程中疑似主机环境被Synares蠕虫病毒感染或有意捆绑，致使释放的子文件中存在着蠕虫的特征，增加了破坏性。

披露时间：2023年8月1日

情报来源：https://bi.zone/expertise/blog/stiler-white-snake-rasprostranyaetsya-pod-vidom-trebovaniy-roskomnadzora/

相关信息：

近期，研究人员发现针对俄罗斯组织的White Snake信息窃取软件分发活动，攻击者以Roskomnadzor（俄罗斯国家信息监控局）为邮件主题发送钓鱼邮件，邮件内容为Roskomnadzor检测到用户访问受禁IP的相关通知，诱使用户下载包含White Snake信息窃取软件的附件。White Snake于2023年2月首次出现在暗网论坛，目前该软件还有Telegram群组发布软件更新信息。软件开发者提供该软件的租赁服务和永久使用权售卖。购买服务者将会获得一个控制面版用于配置该软件。窃密软件执行后，软件首先会创建互斥锁以确保当前主机只存在一个窃密进程，随后检测当前环境是否为虚拟环境，非虚拟环境则会创建计划任务，进行初始化配置，收集感染主机的设备信息，建立持久性从而进行信息窃取、命令执行操作等。

披露时间：2023年7月28日

情报来源：https://www.securonix.com/blog/detecting-ongoing-starkmule-attack-campaign-targeting-victims-using-us-military-document-lures/

相关信息：

研究人员发现了一种有趣的持续攻击活动，该活动利用美国军事相关文件引诱受害者运行来自合法且受感染的韩国网站上的恶意软件。根据所使用文件的命名法和名称以及引诱文件的内容，该活动似乎针对说韩语的受害者。MTA有可能来自朝鲜（这一点仍有待证实）。在这种情况下，文件表明它们包含有关美国陆军/军队招募资源的信息。根据来源和可能的目标，这些类型的攻击与APT37等典型朝鲜组织过去发起的攻击相当，因为韩国历史上一直是该组织的主要目标，尤其是其政府官员。

STARK#MULE 活动中使用的整个恶意基础架构都是以合法的、被入侵的韩国电子商务网站为中心。这些网站允许威胁行为者混入正常流量中，以逃避检测，从而在受害者的机器上交付恶意软件分级器并管理全面的命令和控制。在攻击链的最后阶段，恶意软件被植入目标计算机，该恶意软件在计划任务中运行，并立即通过 HTTP 打开通信。

披露时间：2023年7月31日

情报来源：https://www.cadosecurity.com/redis-p2pinfect/

相关信息：

近期，研究人员发现一个针对公网Redis服务器的新型恶意软件，软件开发者将其命名为P2Pinfect，由Rust语言编写，具备跨平台特性。攻击者利用各种Redis已知漏洞对公网中的Redis服务器进行攻击。在研究人员监测到的攻击活动中，攻击者通过Redis主从复制方法攻陷目标主机。并使用MODULE LOAD命令加载恶意文件exp.so。该文件扩展了Redis服务器的功能，为攻击者提供反弹shell访问并新增一个新命令system.exec，使得攻击者可在主机上运行任意shell命令。P2Pinfect使用由Rust FFI库和C语言编写的ELF文件，执行Rust编写的有效负载，在目标主机的SSH配置文件中写入攻击者公钥，并执行大量bash命令，获取当前主机的网络状态、修改防火墙规则、修改wget和curl命令名称以逃避安全设备的检测、建立持久性等。P2Pinfect还采用P2P僵尸网络方法，每个受感染的服务器都被视为一个节点，连接到其他受感染的服务器，使得整个僵尸网络可以在不使用集中式C2服务器的情况下相互沟通。

披露时间：2023年7月30日

情报来源：https://mp.weixin.qq.com/s/UvoJivXipoHI0p9xh2Pbcw

相关信息：

黑客组织最早在2020年左右就开始使用SocGholish框架发起攻击活动，该框架模拟多个浏览器(Chrome、FireFox)更新、Flash Player更新等网站，通过钓鱼、水坑、社会工程技术等攻击手法诱骗受害者访问网站，并点击下载更新脚本，安装各种恶意软件。

近日，笔者捕获到黑客组织利用SocGholish框架进行新一轮攻击活动，并对该攻击活动进行了详细分析。

披露时间：2023年7月31日

情报来源：https://mp.weixin.qq.com/s/FQUJ0tLqAdIopvb2BN_B-g

相关信息：

近期，研究人员监测发现某黑灰产团伙针对国内用户进行SEO投毒攻击。

该团伙通过购买搜索引擎广告，将多个伪造的软件下载页面置顶于指定关键词的搜索结果中。下载链接对应的文件是恶意软件与正常软件捆绑在一起的msi安装包，安装包运行后在显示正常的安装程序的同时，还会执行恶意软件。

经分析发现，该团伙投递的恶意软件回连C2更新频繁，执行流程复杂，采用多种手法对抗检测和调试，最终将加载FatalRAT窃取用户敏感信息。

由于该团伙的样本执行过程最终都会通过读取一个图片文件数据得到最终的远控模块，猎影实验室以成语“图穷匕见”之意将该团伙命名为“图穷之刃”，内部追踪代号“GRP-LY-1003”。

披露时间：2023年7月31日

情报来源：https://mp.weixin.qq.com/s/ZURjlsoPEfZlB587nMJ4vw

相关信息：

Mylobot僵尸网络是一个针对Windows操作系统的僵尸网络家族，它曾使用内嵌大量Fake-DGA域名的方式来对抗传统黑名单检测技术，研究人员在2020年发布了一篇文章《Mylobot僵尸网络依旧活跃，C2解密流程揭露》讨论了内嵌域名的解密方法，并提供了进行批量解密的思路。而该团伙至今仍处于活跃状态，研究人员对其运营的恶意软件进行了一些梳理分析。

Mylobot僵尸网络由Deepinstinct公司在2018年发现并命名，其文章里提到的主要是mylobot-proxy恶意软件，mylobot-proxy主要功能是网络代理。我们2020年的解密分析也是针对mylobot-proxy样本的，而事实上，mylobot-proxy仅仅是Mylobot团伙运营的恶意软件之一，其运营的主要恶意软件还包括mylobot-core等。

披露时间：2023年7月31日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/out-sandbox-wikiloader-digs-sophisticated-evasion

相关信息：

近期，研究人员发现一个新的恶意软件名为WikiLoader，首次发现于2022年12月，由TA544在对意大利的攻击活动中使用。WikiLoader被监测到出现在多起攻击活动中，其中大部分活动均为针对意大利的活动。这些活动通常利用钓鱼邮件，投递携带恶意代码的Excel附件、OneNote附件或者PDF附件，当邮件接收者打开附件时，附件中的恶意代码将会执行，并且下载WikiLoader，从而部署下一阶段的恶意软件。经过研究人员分析，这些攻击活动大多归因于黑客组织TA551和TA544。WikiLoader的第一阶段是高度混淆的，其中大多数调用指令已被替换为push/jmp指令的组合以重新创建返回操作，导致IDAPro、Ghidra等常见分析工具在分析时出现问题。除了这些功能之外，WikiLoader还使用间接系统调用来尝试绕过安全产品的检测。WikiLoader的第二阶段用于解密第三阶段，第三阶段包含WikiLoader的大部分功能，其中的命令会检测与外网的连接，如果连接正常则从DiscordCDN上获取托管的下一阶段所需内容，内容解码后下载最终有效负载，如Ursnif木马。

披露时间：2023年8月1日

情报来源：https://unit42.paloaltonetworks.com/nodestealer-2-targets-facebook-business/

相关信息：

研究人员最近发现了一个针对Facebook企业帐户的NodeStealer恶意软件钓鱼活动。经追踪发现，本次NodeStealer恶意软件活动似乎始于2022年12月左右，攻击者涉及利用多个Facebook用户发布以企业广告材料为主题的钓鱼信息，进而引诱受害者从已知的云文件存储提供商处下载NodeStealer的两个变体：变体#1和变体#2。

其中，变体#1在攻击者内部被命名为word.exe，基于Nuitka编译，伪装为Peguis产品名称，它创建了多个可被视为异常活动迹象的进程，例如向用户显示弹出窗口，主要攻击特点包括：窃取Facebook企业帐户信息、下载额外的恶意软件、通过GUI页面禁用Windows Defender、MetaMask加密货币钱包盗窃。变体#2在攻击者内部则被命名为MicrosofOffice.exe，同样使用Nuitka编译，伪装为Microsoft Coporation产品名称，但却不会生成大量对用户可见的活动，主要攻击特点与变体#1类似，还包括：接管Facebook帐户、实施反分析功能、窃取电子邮件等。

此外，进一步调查显示，NodeStealer恶意软件背后的攻击者疑似为越南裔，原因包括：1)两个变体的Python脚本中存在许多越南语字符串；2)攻击者的目标是名为Cốc Cốc的浏览器，该浏览器在其"关于我们"页面上描述为"越南人民的网络浏览器和搜索引擎"；3)变体尝试从两个不同的越南网站购买在线邮箱服务：Hotmailbox.me和Dongvanfb.net。

披露时间：2023年7月31日

情报来源：https://www.cleafy.com/cleafy-labs/spynote-continues-to-attack-financial-institutions

相关信息：

在过去的几年里，研究人员发现并分析了多个Android银行木马（例如Sharkbot、Teabot等），即用于通过ATO或ATS技术进行银行欺诈的恶意应用程序。从2022年底开始，一款名为SpyNote的 Android 间谍软件因其众多功能而被观察到针对银行进行欺诈。

SpyNote 滥用辅助服务和其他 Android 权限，以便：

1. 收集短信和联系人列表

2. 录制音频和屏幕

3. 键盘记录活动

4. 绕过2FA

5. 跟踪 GPS 位置

间谍软件通过电子邮件网络钓鱼或网络钓鱼活动进行分发，并结合远程访问木马 (RAT) 功能和网络钓鱼攻击来执行欺诈活动。在 2023 年 6 月和 7 月期间，研究人员观察到针对不同银行的多个欧洲客户的广泛活动。

披露时间：2023年7月28日

情报来源：https://cyble.com/blog/sneaky-xworm-uses-multistaged-attack/

相关信息：

研究人员分析了一种传播 XWorm 恶意软件的新方法，其中涉及使用 LOLBins 进行多阶段攻击来传递其有效负载。该样本首先由abuse.ch引起注意，并在推特上发布了有关其发现的信息。攻击的初始阶段源自名为“Invoice_**29839_PDF.lnk”的.lnk 文件。

根据文件名，怀疑.lnk 文件可能已通过垃圾邮件分发给用户。打开.lnk 文件后，它会执行托管在“TheDriveHQ”（一种基于云的文件存储服务）提供的 WebDAV 服务器上的恶意 PowerShell 内容。此远程托管的 PowerShell 代码负责下载包含加载程序的.zip 文件。该加载程序旨在将 XWorm 代码注入正在运行的进程中，从而促进恶意软件的进一步传播。

披露时间：2023年7月28日

情报来源：https://www.trendmicro.com/en_us/research/23/g/cherryblos-and-faketrade-android-malware-involved-in-scam-campai.html

相关信息：

研究人员发现了两个新的相关 Android 恶意软件，涉及针对 Android 用户进行加密货币挖掘和出于经济动机的诈骗活动。

第一个活动利用流行的社交网络平台来宣传欺诈服务，广告指向钓鱼网站，诱骗用户下载和安装恶意 Android 应用程序。下载的恶意软件 CherryBlos (AndroidOS_CherryBlos.GCL) 因其劫持框架中使用的独特字符串而得名，可以窃取与加密货币钱包相关的凭证，并在受害者提款时替换他们的地址。

与此同时，另一场活动使用了多个欺诈性赚钱应用程序（于2021年首次上传到 Google Play），并涉及 FakeTrade (AndroidOS_FakeTrade.HRXB)恶意软件。这些应用程序声称是电子商务平台，承诺通过推荐和充值为用户增加收入。但是，当用户尝试提取资金时，将无法提取资金。

披露时间：2023年7月31日

情报来源：https://decoded.avast.io/matejkrcma/unpacking-the-threats-within-the-hidden-dangers-of-zip-domains/

相关信息：

研究表明，在研究人员的威胁检测引擎拦截的前30个.zip 域名中，有三分之一滥用了微软、谷歌、亚马逊和 Paypal 等领先科技公司的名称，诱使人们误以为它们是可信公司的文件。

在互联网发展初期，引入顶级域名是为了简化浏览和分类在线内容的过程。使用域名和 TLD 的主要原因是为了使网络导航更加方便用户。此外，当时地理位置也很重要。最近（过去几年），顶级域名的用途变得更加模糊。它们现在也可以作为品牌推广工作的一部分，例如.lidl 或 .edeka TLD 或我想到的其他奇特的 TLD。例如，.beer、.motorcycles、.plumbing、.soccer、.taxi 等。

披露时间：2023年7月27日

情报来源：https://news.sophos.com/en-us/2023/07/27/uncovering-an-iranian-mobile-malware-campaign/

相关信息：

在搜寻恶意移动恶意软件期间，研究人员发现了一组由四个针对多家伊朗银行客户的凭据收集应用程序。大多数应用程序都使用相同的（可能是被盗的）证书进行签名，并共享各种类和字符串。

这些应用程序针对以下银行：

1. 梅拉特银行

2. 萨德拉特银行

3. 雷萨拉特银行

4. 伊朗中央银行

所有这些应用程序均在2022年12月至2023年5月期间可供下载，收集网上银行登录凭据和信用卡详细信息，并具有其他一些功能，包括隐藏图标以保持隐秘性，以及拦截一些银行使用的传入短信。多因素身份验证方案的一部分。虽然这是移动银行恶意软件的预期功能，但仍有一些东西引起研究人员注意，包括不寻常的 C2 机制、可能被盗的证书以及未来可能活动的迹象。

披露时间：2023年7月27日

情报来源：https://news.drweb.com/show/?i=14728&lng=en&c=5

相关信息：

近期，研究人员发现一个针对Windows平台的木马下载器，该下载器可以根据攻击者的需求对感染主机部署不同类型的恶意软件。研究人员将该木马下载器命名为Fruity。攻击者通过精心设计的伪造网站以及专门设计的应用程序欺骗用户下载程序，以此分发该木马下载器。当受害者尝试从虚假网站下载应用程序时，请求会被重定向到MEGA文件托管服务网页，该网页为他们提供一个包含木马安装程序包的zip文件。受害者启动zip包中的可执行文件后，诱饵程序的安装过程与Fruity的安装过程均会开始。研究人员分析的此次样本中，Fruity被植入进一个Python库中，随后通过具有合法证书的Python程序启动。研究人员还发现存在攻击者使用VLC多媒体播放器或者VMWare虚拟化程序的文件进行植入。一旦木马相关程序被提取完成，受害主机的多阶段感染过程就开始了。

披露时间：2023年8月2日

情报来源：https://mp.weixin.qq.com/s/OSA-iOcqujpf9vDP7CdYIw

相关信息：

Smartbi是企业级商业智能BI和大数据分析品牌，满足用户在企业级报表、数据可视化分析、自助分析平台、数据挖掘建模、AI智能分析等大数据分析需求。

近日，奇安信CERT监测到Smartbi 身份认证绕过漏洞(QVD-2023-17461)，未经授权的远程攻击者可利用该漏洞获取管理员Token，从而以管理员权限接管后台，进一步利用可实现任意代码执行。利用此漏洞需目标可出网。鉴于此漏洞影响较大，建议客户尽快做好自查及防护。