每周高级威胁情报解读(2022.03.10~03.17)

披露时间：2022年03月14日

情报来源：https://mp.weixin.qq.com/s/fDqwkp2PerQeINf20MO4iQ

相关信息：

UNC1151是疑似具有东欧国家背景的APT组织。近日，研究人员在社交平台上发现了一个针对乌克兰的攻击样本。乌克兰CERT也于3月7日发布通告，将该攻击样本归属为UNC1151。

该样本使用的攻击手法与UNC1151之前被披露的攻击手法有些不同。经过深入挖掘，研究人员发现此类攻击样本至少从2021年9月就开始出现，攻击目标涉及乌克兰、立陶宛等国。本次获取的样本中包含一个压缩包，压缩包内部是一个dovidka.chm文件。

一旦受害者打开此文件，就会解压缩dovidka.chm得到内嵌的html代码。HTML中包含两段代码，一段为js代码，用于显示诱饵内容，另一段为vbs代码，vbs代码释放作为Loader的dll，并通过在开机启动目录下创建链接文件实现持久化。释放的dll是经过Confuser加壳的C#文件，负责解密后门程序，并在内存中加载并执行后门。

披露时间：2022年03月15日

情报来源：https://mp.weixin.qq.com/s/5gXllrE1srnHtaFCc-86GA

相关信息：

近期，研究人员从 VirusTotal 渠道发现一例从越南地区上传的可疑文件，上传时间为 2022 年 2 月14 日，上传提交时原始文件名为 ggg.dll，查看 community 字段后发现，该文件提交来源于已经登录的 VirusTotal 用户。经过对代码同源性进行分析，表明该文件是属于海莲花组织团伙的落地攻击文件，但是在深度分析中发现该文件新增的部分逻辑存在未完成的痕迹，与以前存在代码同源性的众多攻击文件明显不同。由于该文件在互联网上并未搜索到公开的相关结果，从提交来源是越南地区来看，可以得出以下两种猜测：

1. 恶意文件是该组织针对越南地区的攻击文件；

2. 该组织存在相关关系的成员有可能无意间泄露了还未发布的测试文件（由于针对二进制层面的逻辑修改补丁难度极高，可以推测相关成员是能接触到明文源码的人群）。

披露时间：2022年03月11日

情报来源：https://ti.dbappsecurity.com.cn/blog/articles/2022/03/11/bitter-nepal-army-day/

相关信息：

蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织，该组织长期针对我国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击，窃取敏感数据，具有较强的政治背景。

近期，研究人员捕获到多个疑似蔓灵花组织利用“尼泊尔建军节邀请函”等相关诱饵发起的网络攻击活动样本。该批样本无论在攻击手法或者武器代码等方面都与该组织此前的攻击活动极为相似。可以说是延续了其一贯的攻击特征。另外虽然本次捕获的样本没有明确表明其攻击目标，但是我们从该组织长期以来的攻击活动，以及地缘政治等方面推测此次攻击活动很可能是“针对巴基斯坦国家的政府、以及核能方面的相关从业人员”。

披露时间：2022年03月10日

情报来源：https://blog.talosintelligence.com/2022/03/iranian-supergroup-muddywater.html

相关信息：

近日，研究人员发现了Muddywater组织一项针对土耳其和阿拉伯半岛的新活动，其中包含恶意文档，释放“SloughRAT”，这是一种基于 Windows 脚本文件 (WSF) 的远程访问木马 (RAT)。

该木马虽然经过混淆处理，但相对简单，并试图执行从其命令和控制 (C2) 服务器接收到的任意代码和命令。

此外，研究人员还发现了另外两种基于脚本的植入程序的使用：一种是用 Visual Basic (VB) 编写的，另一种是用 JavaScript 编写的，它还可以在受害者的系统下载和运行任意命令。

披露时间：2022年03月15日

情报来源：https://mp.weixin.qq.com/s/pwWtDRbB2okAvyPBGaGKbQ

相关信息：

2022年2月24日，俄罗斯针对乌克兰开展特别军事行动，俄乌爆发军事冲突。在物理战场之外，是以俄乌为主的多方势力在网络空间这个看不见硝烟的第二战场上的激烈较量。

在俄乌网络战中，除了有直接的网络攻击引起系统瘫痪或数据损毁，还有网络信息战对舆论的影响与争夺。俄乌战争爆发现已过去三周，在此，奇安信安全威胁分析团队根据奇安信内部数据视野及互联网公开渠道收集的网络攻击数据，对近期涉及两国的网络冲突进行梳理分析，总结俄乌网络战所呈现的几大特征，并分享这场数字战争给我们带来的思考和启示。

披露时间：2022年03月15日

情报来源：https://www.welivesecurity.com/2022/03/15/caddywiper-new-wiper-malware-discovered-ukraine/

相关信息：

ESET 研究人员发现了另一种新的用于攻击乌克兰组织的破坏性数据擦除器。

该恶意软件被称为 CaddyWiper，于当地时间周一上午 11.38（UTC 上午 9.38）首次检测到。擦除器会破坏连接驱动器中的用户数据和分区信息，在少数组织的数十个系统上被发现。

CaddyWiper 与此前发现的HermeticWiper 、 IsaacWiper或我们已知的任何其他恶意软件没有任何明显的代码相似性，该恶意样本没有数字签名，且于3月14日编译。与 HermeticWiper 类似， CaddyWiper 是通过 GPO 部署的，这表明攻击者事先已经控制了目标的网络。

披露时间：2022年03月14日

情报来源：https://thehackernews.com/2022/03/russian-ransomware-gang-retool-custom.html

相关信息：

一项新的研究发现，一个讲俄语的勒索软件组织可能通过重新利用其他 APT 组织（如伊朗的 MuddyWater）开发的定制工具来针对欧洲和中美洲赌博和游戏行业实体。

研究人员表示，这种不寻常的攻击链涉及滥用被盗凭据以未经授权访问受害者网络，最终导致在受损资产上部署 Cobalt Strike 有效载荷。这次入侵发生在 2022 年 2 月，攻击者利用了ADFind、NetScan、SoftPerfect和LaZagne等后期利用工具。还使用了一个 AccountRestore 可执行文件来暴力破解管理员凭据，以及一个名为 Ligolo 的反向隧道工具的变种版本Sockbot。

鉴于 Ligolo 是伊朗国家组织 MuddyWater的主要工具，攻击者使用 Ligolo增加了其利用其他组织的工具并合并他们自己的签名以试图混淆归属的可能性。

披露时间：2022年03月15日

情报来源：https://www.prevailion.com/what-wicked-webs-we-unweave/

相关信息：

2022 年 1 月下旬，Prevailion 研究人员发现了旨在获取 Naver 凭据的广泛网络钓鱼活动。Naver 是韩国流行的在线平台，可与谷歌相媲美，提供多种服务（例如，电子邮件、新闻和搜索等）。

研究人员注意到了两个有趣的地方：单个实体的恶意活动的绝对数量和关注重点，攻击者专注于收集 Naver 凭据（超过 500 个域），并且已证实与历史上与 WIZARD SPIDER 相关的基础设施重叠（一个位于俄罗斯的、出于经济动机的威胁参与者，参与初始访问和勒索软件操作）。这种重叠很重要，因为它可能表明现有最活跃的网络犯罪集团之一当前的地理目标偏好，并将提供对该集团运营工作流程的宝贵洞察。

披露时间：2022年03月12日

情报来源：https://seguranca-informatica.pt/brazilian-trojan-impacting-portuguese-users-and-using-the-same-capabilities-seen-in-other-latin-american-threats/

相关信息：

自上个月（2022 年 2 月）以来，一种巴西木马的新变种已经影响了葡萄牙的互联网终端用户。该木马与Maxtrilha、URSA和Javali等其他知名特洛伊木马相比没有显著差异和复杂性。经分析，相关钓鱼活动有以下特点：

1. 该木马已通过冒充葡萄牙税务服务的网络钓鱼邮件进行传播。

2. HTML 文件下载从 MSI 文件屏蔽的 .lnk 文件，该文件利用 LoL bin 执行 MSI 文件 (second.msi)。

3. “monday.msi”下载并执行一个 EXE 文件，该文件将删除最后阶段。

4.该木马本身会安装或修改 Windows 受信任的证书，通过打开窗口进行检查以执行银行窗口覆盖以窃取凭据，并且可以部署通过 DLL 注入技术执行的其他有效负载。

5. 受害者的数据被加密并发送到位于俄罗斯的 C2 服务器。

披露时间：2022年03月14日

情报来源：http://www.cverc.org.cn/head/zhaiyao/news20220218-1.htm

相关信息：

近日，国家计算机病毒应急处理中心对名为“NOPEN”的木马工具进行了攻击场景复现和技术分析。该木马工具针对Unix/Linux平台，可实现对目标的远程控制。根据“影子经纪人”泄露的NSA内部文件，该木马工具为美国国家安全局开发的网络武器。“NOPEN”木马工具是一款功能强大的综合型木马工具，也是美国国家安全局接入技术行动处（TAO）对外攻击窃密所使用的主战网络武器之一。

“NOPEN”木马工具为针对Unix/Linux系统的远程控制工具，主要用于文件窃取、系统提权、网络通信重定向以及查看目标设备信息等，是TAO远程控制受害单位内部网络节点的主要工具。通过技术分析，我单位认为，“NOPEN”木马工具编码技术复杂、功能全面、隐蔽性强、适配多种处理器架构和操作系统，并且采用了插件式结构，可以与其他网络武器或攻击工具进行交互和协作，是典型的用于网络间谍活动的武器工具。

披露时间：2022年03月15日

情报来源：https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_cn/

相关信息：

自从Log4J漏洞被曝光后，正所谓”忽如一夜漏洞来，大黑小灰笑开怀”。无数黑产团伙摩拳擦掌加入了这个“狂欢派对”，其中既有许多业界非常熟悉的恶意软件家族，同时也有一些新兴势力想趁着这股东风在黑灰产上分一杯羹。

近期，研究人员捕获了一个未知的ELF文件通过Log4J漏洞传播，经过分析，确定是一个全新的僵尸网络家族，基于其传播时使用的文件名”b1t”，XOR加密算法，以及RC4算法秘钥长度为20字节，将其命名为B1txor20。

B1txor20是一个针对Linux平台的后门木马， 它利用DNS Tunnel技术构建C2通信信道，除了传统的后门功能，B1txor20还有开启Socket5代理，远程下载安装Rootkit，反弹Shell等功能，这些功能可以很方便的将被侵入的设备变成跳板，供后续渗透时使用。

披露时间：2022年03月15日

情报来源：https://mp.weixin.qq.com/s/ri8wc_tXPMKRIG-_5Xi8Rw

相关信息：

根据Check Point Research 发布的全球威胁指数，emotet长期位居榜首，而Check Point Research (CPR) 的 2022 年安全报告中的亮点则是emotet回归，emotet是史上最危险、最臭名昭著的僵尸网络之一。自 Emotet 11 月回归以来，CPR 认为该恶意软件的活动至少是 2021 年 1 月（即在其最初被删除前不久）看到的水平的 50%。

近日，研究人员监测到emotet木马针对国内某公司发起的钓鱼邮件攻击，emotet最早发现于2014年，以银行木马程序的形式出现在大众视野（窃取银行凭证信息），背后的黑客组织是TA542。经过几年的发展，emotet的功能不断扩展，进化成完整的恶意软件分发服务。在2021年1月，emotet遭到全球多国联合执法打击摧毁，而在同年11月份，emotet卷土重来。

钓鱼邮件附件为恶意office宏病毒，样本执行流程如下：

披露时间：2022年03月08日

情报来源：https://binarly.io/posts/Repeatable_Firmware_Security_Failures_16_High_Impact_Vulnerabilities_Discovered_in_HP_Devices/index.html

相关信息：

近日，Binarly 研究人员发现并披露了 UEFI 固件的各种实施中的 16 个高严重性漏洞，这些漏洞影响了惠普的多个企业产品，包括笔记本电脑、台式机、销售点系统和边缘计算节点。利用成功后可导致任意代码执行、导致拒绝服务 (DDoS) 和信息泄露等问题。

这些漏洞被描述为影响 UEFI 运行时驱动程序执行环境 (DXE) 和系统管理模式 (SMM) 组件的堆栈溢出、堆溢出和内存损坏错误。所有这些安全漏洞都被赋予了“高严重性”等级。所有这些漏洞都可以被用作第二阶段来获得额外的持久性或绕过基于虚拟化的内存隔离。