每周高级威胁情报解读(2022.02.24~03.03)

披露时间：2022年03月02日

情报来源：https://mp.weixin.qq.com/s/jHjzky8xIaEuocHzbWjFSA

相关信息：

从2008年开始，研究人员捕获大量高级复杂的攻击程序，经过长期的分析与跟踪并从多个受害单位取证，结合关联全球威胁情报，以及对斯诺登事件、“影子经纪人”黑客组织的持续追踪，研究人员确认了这些攻击属于NSA组织，进而证实了NSA长期对我国开展极为隐蔽的攻击行动。

通过研究人员对取证数据分析，发现APT-C-40（NSA）针对系列行业龙头公司的攻击实际开始于2010年，结合网络情报分析研判该攻击活动与NSA的某网络战计划实施时间前后衔接，攻击活动涉及企业众多关键的网络管理服务器和终端。

披露时间：2022年02月28日

情报来源：https://mp.weixin.qq.com/s/_3DPj9N3nLhDqlWrqsUcfw

相关信息：

近期，研究人员捕获了一封名为“Доручення”（授权书）的恶意文档。经过分析，研究人员确认该文档是由APT组织Gamaredon制作的钓鱼诱饵，用于攻击与乌克兰 卢甘斯克州 斯瓦季夫斯卡区检察官办公室有关联的组织或人员，属于Gamardon针对乌克兰的长期钓鱼活动的一部分。

该钓鱼文档带有恶意的模板注入链接，文档运行后将访问http[:]//sound23.sundabokun[.]ru/FRIMEPC2016-PC/allowance.stc获取后续载荷并运行。相关域名在2022年1月被启用，并且曾绑定多个Gamaredon已知IP地址。上述链接中的模板文件通常被Gamaredon用于跳板，经过多次脚本程序运行后下载执行最终的间谍木马。

披露时间：2022年02月26日

情报来源：https://mp.weixin.qq.com/s/j2w_cZgprGsM0zTQ5ngEWA

相关信息：

NDR安全团队人员梳理了近期乌俄网络攻击时间线，发现近期乌俄关系急剧恶化后 Gamaredon 组织近期活跃度升高，同时攻击活动还存在俄罗斯新兴组织 SaintBear 影子。

该团队近期捕获Gamaredon 组织攻击活动针对目标包括不限于乌基辅地区检察院、乌经济部、乌外交人员。攻击方式包括不限于诱导网站、诱导文档等。其最终程序常常使用定制开发的恶意窃密软件 QuietSieve。主要窃取文件类型包括不限于：doc、docx、xls、rtf、odt、txt、jpg、pdf、rar、zip、7z 。

此外，在二月初发现SaintBear、APT28针对乌克兰核机构 (atom.gov.ua)、外交部 (mfa) 和国防部 (mil.gov.)等高价值目标的诱导攻击。其恶意文件采用大量混淆花指令等对抗分析技术，在将自身保存到C:UsersPublic目录下后，进行网络 Socket Init 操作，连接远程服务器stun.site:443，下载第二阶程序pet1.exe执行。

披露时间：2022年02月24日

情报来源：https://www.cisa.gov/uscert/ncas/alerts/aa22-055a

相关信息：

最近，研究人员观察到MuddyWater组织针对亚洲、非洲、欧洲和北美的电信、国防、地方政府以及石油和天然气等部门的一系列政府和私营部门进行网络间谍活动和其他恶意网络行动。

MuddyWater APT 组织采用鱼叉式网络钓鱼、利用已知漏洞并利用多种开源工具来访问敏感的政府和商业网络，试图诱使他们的目标受害者下载 ZIP 文件，其中包含带有与攻击者的 C2 服务器通信的恶意宏的 Excel 文件或将恶意文件放入受害者网络的 PDF 文件。MuddyWater还使用诸如侧载 DLL等技术来欺骗合法程序运行恶意软件，并利用混淆 PowerShell 脚本  以隐藏 C2 。

此外，该组织使用多个恶意软件集（包括 PowGoop、Small Sieve、Canopy/Starwhale、Mori 和 POWERSTATS）来实现加载恶意软件、后门访问以及持久化等目的。

披露时间：2022年02月24日

情报来源：https://www.mandiant.com/resources/telegram-malware-iranian-espionage

相关信息：

在 2021 年下半年，Mandiant 研究人员确定了一场 UNC3313 组织的攻击活动，使用 GRAMDOOR 和 STARWHALE 新型后门来针对中东政府和技术实体。根据目前可用的信息，Mandiant以适度的信心评估 UNC3313 与MuddyWater存在关联。

UNC3313 最初通过有针对性的网络钓鱼电子邮件获得了对该组织的访问权限，并利用经过修改的开源攻击性安全工具来识别可访问的系统并横向移动，使用 ScreenConnect 在初始入侵后一小时内渗透系统来建立远程访问。攻击的后续阶段涉及提升权限、对目标网络执行内部侦察，以及运行混淆的 PowerShell 命令以在远程系统上下载其他工具和有效负载。

UNC3313还通过使用 Telegram API 进行命令和控制允许恶意流量与合法用户行为相结合，结合使用合法的远程访问软件、公开可用的工具（如 LIGOLO 和 CrackMapExec）以及多层编码例程来逃避检测。

此外，研究人员还观察到了一个名为 STARWHALE 的以前未记录的后门，这是一个 Windows 脚本文件后门 ，通过 HTTP 从命令和控制 (C2) 服务器接收命令，并通过 Windows cmd.exe 执行这些命令。

披露时间：2022年03月02日

情报来源：https://mp.weixin.qq.com/s/X_HEYvV64ylUd8JX5S5GKQ

相关信息：

研究人员对金融行业机构真实环境中所面临的整体网络威胁进行深度统计分析并探究部分真实行业威胁事件，发现金融机构当前面临的网络威胁简要概括如下：

1. 金融机构生产运营过程中面临着大批量的网络攻击活动，其中以源自互联网侧的网络渗透攻击为主、其次为钓鱼邮件攻击；

2. 金融机构内部主机失陷占比最多的是挖矿木马，其次是僵尸网络及其下载衍生的各类家族木马，勒索病毒和 APT 类攻击占比最小，但依然存在真实攻击案例发生；

3. 金融机构普遍存在内部网络资产暴露、敏感数据泄露等互联网侧威胁，黑客组织对金融机构敏感数据的兴趣逐渐升温；

4. 金融机构供应链安全问题形势严峻，传统的网络、服务、运维等安全信任体系值得反思。

披露时间：2022年03月01日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails

相关信息：

Proofpoint安全团队发现一个可能由国家背景支持的网络钓鱼活动，该活动使用窃取的乌克兰武装部队成员的电子邮件账号，针对参与管理逃离乌克兰的难民后勤工作的欧洲政府人员。钓鱼附件利用了与2022年2月23日举行的北约安理会紧急会议有关的社会工程主题。该电子邮件还包含一个恶意附件，利用宏负载XLS附件来提供安装Lua恶意软件脚本的MSI包。

Proofpoint认为鉴于正在进行的俄乌战争，该攻击团伙将继续针对欧洲政府，以收集有关乌克兰难民流动和对俄罗斯政府重要问题的情报。

披露时间：2022年02月25日

情报来源：https://therecord.media/russia-or-ukraine-hacking-groups-take-sides/

相关信息：

随着俄罗斯乌克兰冲突升级，部分黑客组织已经开始在社交媒体发表立场声明，The Record网站对两边阵营情况进行了梳理。

俄罗斯阵营方面，Conti勒索软件团伙声将利用所有资源对针对俄罗斯实施网络攻击的敌方关键基础设施进行反击；白俄罗斯UNC1151团伙已经开始入侵乌克兰军事人员的电子邮件账户；“沙虫”（SandWorm）组织得到俄罗斯的支持，由俄罗斯国家资助的黑客组成；“红土匪”（The Red Bandits）组织声称，已劫持乌克兰警方行车记录仪，如乌克兰不按俄罗斯意愿行事，将升级对乌克兰的攻击，并将考虑在乌克兰散播勒索软件；Coomingproject组织声称，将协助俄罗斯政府应对网络攻击。

乌克兰阵营方面，“匿名者”（Anonymous）宣布正式与俄罗斯政府展开网络战，并声称已经发动攻击致“今日俄罗斯”网站下线；“幽灵安全”（Ghostsec）宣布支持乌克兰，该组织通常也被称为“匿名者”的一个分支。黑客公告的“多米诺骨牌效应”已经促使乌克兰国防部向乌克兰向地下黑客社区发布信息，号召乌克兰黑客集结执行任务，以保护乌克兰关键基础设施免受网络攻击，并在网络间谍活动中对俄罗斯采取进攻性行动。安全专家分析称，所谓“网络爱国者”根据自己的意愿或在政府的指示下与所谓的敌人交战，是任何军事行动中不可避免的一部分；黑客组织的部分活动（如DDoS攻击）只会产生一定干扰作用，但其他活动可能会产生严重后果。

披露时间：2022年02月25日

情报来源：https://unit42.paloaltonetworks.com/ukraine-targeted-outsteel-saintbot/

相关信息：

近期，Unit 42 研究人员观察到攻击者向乌克兰一家能源组织的个人发送了一封有针对性的电子邮件。该电子邮件使用的社会工程主题表明该人已犯罪。电子邮件附有一个 Word 文档，其中包含一个恶意 JavaScript 文件，该文件将下载并安装称为 SaintBot和 OutSteel的有效负载。

OutSteel 工具是一个简单的文件窃取工具，可根据文件类型搜索潜在的敏感文档，并上传到远程服务器。SaintBot 工具是一个下载器，它允许攻击者在受感染的系统上下载和运行其他工具。据研究人员分析，这次袭击至少可追溯到 2021 年 3 月的一场更大的攻击活动，其早期钓鱼活动多倾向于使用加密货币和 COVID 作为诱饵主题。

披露时间：2022年02月24日

情报来源：https://research.checkpoint.com/2022/new-malware-capable-of-controlling-social-media-accounts-infects-5000-machines-and-is-actively-being-distributed-via-gaming-applications-on-microsofts-official-store/

相关信息：

checkpoint研究人员检测到一种名为 Electron Bot 的新恶意软件，该恶意软件已感染全球 5,000 多台活动机器。Electron Bot 是一种模块化的 SEO 中毒恶意软件，用于社交媒体推广和点击欺诈。它主要通过微软商店平台分发，并从攻击者不断上传的数十个受感染应用程序（主要是游戏）中释放。

Electron bot 的主要功能有：

1. SEO 中毒，一种网络犯罪分子创建恶意网站并使用搜索引擎优化策略使它们在搜索结果中显著出现的攻击方法。这种方法也被用作销售即服务来提升其他网站的排名。

2. 点击广告，一种在后台运行并不断连接到远程网站以产生广告“点击”的计算机感染，因此通过点击广告的次数获得经济利益。

3. 推广社交媒体帐户，例如 YouTube 和 SoundCloud，将流量引导至特定内容，并增加浏览量和广告点击以产生利润。

4. 推广在线产品，通过广告点击产生利润或提高商店评级以获得更高的销售额。

此外，该恶意软件的有效载荷包含控制 Facebook、Google 和 Sound Cloud 上的社交媒体帐户的功能。它可以注册新帐户、登录、评论和“喜欢”其他帖子。

披露时间：2022年02月24日

情报来源：https://unit42.paloaltonetworks.com/sockdetour/

相关信息：

Unit 42 研究人员一直在跟踪名为 TiltedTemple 的攻击活动。该活动攻击者使用各种技术来访问和持续存在受感染的系统，并成功入侵了技术、能源、医疗保健、教育、金融和国防行业的十几个组织。在对该活动进行进一步分析时，发现了另一个用于保持持久性的复杂工具，并将其称之为 SockDetour，这是一个以 64 位 PE 文件格式编译的自定义后门。它旨在用作备用后门，以防主要后门被检测删除。它适用于运行带有侦听 TCP 端口的服务的 Windows 操作系统。

根据 Unit 42 的遥测数据和对收集到的样本的分析，认为 SockDetour 背后的威胁行为者一直专注于使用这些工具瞄准美国的国防承包商。并且SockDetour 可能至少从 2019 年 7 月开始就已经存在。

披露时间：2022年03月01日

情报来源：https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/

相关信息：

随着最近俄罗斯和乌克兰之间的敌对行动开始，ESET 研究人员发现了几个针对乌克兰组织的恶意软件家族。

2022年 2 月 23 日，一场使用 HermeticWiper 的破坏性活动针对多个乌克兰组织。这次网络攻击比俄罗斯联邦军队入侵乌克兰早了几个小时，至少利用了三个组件：

1. HermeticWiper：通过破坏系统数据使系统无法运行；

2. HermeticWizard：通过 WMI 和 SMB 在本地网络中传播 HermeticWiper；

3. HermeticRansom：用 Go 编写的勒索软件。

2022年 2 月 24日，对乌克兰政府网络的第二次破坏性攻击开始了，使用的是我们命名为 IsaacWiper 的擦除器。同时研究人员表示两种数据擦除恶意软件可能相关，但目前未发现明确关联。需要注意的是，IsaacWiper是在一个不受 HermeticWiper 影响的组织中看到的。

披露时间：2022年03月01日

情报来源：https://www.cybereason.com/blog/cybereason-vs.-blackcat-ransomware

相关信息：

据 Cybereason 研究人员跟踪分析，BlackCat最近的受害者包括德国石油公司、意大利奢侈时尚品牌和瑞士航空公司。自最近出现以来，BlackCat 已经攻击了各个行业，包括电信、商业服务、保险、零售、机械、制药、运输和建筑行业。受影响的地区包括德国、法国、西班牙、菲律宾和荷兰，其中大多数受害者位于美国。

BlackCat 勒索软件的独特元素之一是它是用Rust编写的，这不是恶意软件和勒索软件的通用编码语言。由于 Rust 对性能的重视，加密的过程非常快，此外，Rust 是跨平台的，这使得为 Windows 和 Linux 创建变体变得更加容易。

BlackCat 的运营商证实他们是DarkSide/BlackMatter勒索软件团伙的附属机构。该组织采用了流行的双重勒索范式，这意味着除了加密文件外，他们还会窃取文件，然后威胁要发布被盗数据，除非支付赎金。在某些情况下，甚至通过 DDOS 攻击来进行三重勒索。

披露时间：2022年02月28日

情报来源：https://news.sophos.com/en-us/2022/02/28/conti-and-karma-actors-attack-healthcare-provider-at-same-time-through-proxyshell-exploits/

相关信息：

12 月初，加拿大的一家医疗保健提供商遭到两个不同的勒索软件攻击者的攻击。两个攻击者都通过“ProxyShell”漏洞（针对微软 Exchange Server 平台上的 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207）获得了访问权限。

第一个勒索软件组织，被确定为 Karma，泄露了数据，但没有加密目标的系统。

第二组，被确定为conti，在 Karma 团伙放弃赎金后不到一天，Conti 就部署了他们的勒索软件，加密了受影响系统的C盘文件。

披露时间：2022年02月25日

情报来源：https://www.fortinet.com/blog/threat-research/unraveling-the-evolution-of-the-soul-searcher-malware

相关信息：

赛门铁克于 2021 年 10 月发布的一份威胁报告讨论了一个未知的威胁行为者使用新的自定义恶意软件在东南亚进行间谍活动，报告中还提到了一个从注册表加载但尚未被发现的 DLL 有效负载。

经fortinet研究人员跟踪分析，发现了该模块的样本以及可追溯到 2017 年的大量组件和变体。在最早阶段，攻击者使用一个包含开源 Gh0st RAT 和 NetBot Attacker 工具代码的后门，并进行了相当大的修改。后门作为压缩 blob 嵌入在其 dropper 可执行文件中，该文件将其写入磁盘并运行它。

一年之内，后门的代码被重构并添加了自定义代码，完成了向我们所说的 Soul 模块的转换。其加载器SoulSearcher，也发生了变化。压缩后的模块不是将有效负载放到磁盘上，而是存储在注册表中并加载到内存中。

自 2020 年初以来，我们发现了越来越复杂的 SoulSearcher 变体，其中一些支持从注册表加载多个模块。除了后门之外，攻击者还使用了其他工具，例如键盘记录程序和自定义编译的 7zr 工具（简化的独立 7-zip）。

披露时间：2022年02月25日

情报来源：https://asec.ahnlab.com/en/32090/

相关信息：

ASEC 研究人员发现了一种新型的信息窃取器 ColdStealer ，该恶意软件将自己伪装成用于下载破解工具的软件，通过Dropper释放执行downloader，从 C2 服务器下载 ColdStealer。

ColdStealer 具有多个包装层的结构。它目前使用 .NET 混淆打包方法，但最初可以获得使用进程挖空和 .NET 加载打包方法构建的原始版本。当收集到将被窃取的信息时，它将信息以 ZIP 形式保存，而不是内存中的文件。为此，它使用了在 GitHub 上公开的源代码。收集信息后，它将内存流发送到 C2。

披露时间：2022年02月28日

情报来源：https://mp.weixin.qq.com/s/KSbNEj_bbs3o8t5gwBklxw

相关信息：

《奇安信CERT——2021年度漏洞态势观察报告》围绕漏洞监测、漏洞分析与研判、漏洞情报获取、漏洞风险处置等方面描绘过去一年全网漏洞态势，并对2021年度有现实威胁的漏洞进行重点分析和回顾。思考在漏洞造成实际危害前，对于个人、企业以及漏洞情报供应商而言，可以采取哪些措施来有效隔离风险。基于我们所收集到的事实，本报告的主要洞见如下：

1. 尽管存在对应Exploit（漏洞利用代码或工具）的漏洞占到了总漏洞数的22.06%，但其中的大部分并未监测到实际利用的发生，漏洞是否真的被利用，还取决于漏洞的可达性、利用条件和危害程度。从公开信息来看，实际存在野外利用的漏洞，仅占漏洞总量的1 %~2 %左右。所以，基于威胁情报的漏洞处理优先级排序对于威胁的消除将起到事半功倍的效果。

2. 另一方面看漏洞的利用，已知存在野外利用的漏洞有46%也就是一小半左右并没有公开的漏洞Exploit，这个事实暗示了一大部分漏洞的威胁并没有显式的呈现，攻击面的削减管理也非常重要。

3. 2021年的攻防演习期间大量的0day漏洞被使用，其中很大部分为国外漏洞库并不收录的国产软件漏洞，这些漏洞如果被国家级的对手利用将导致非常严重的后果。事实上我们看到的活跃国外APT组织已经在这样做了，提示了国内挖掘自己特有软件漏洞并共享情报的高度必要性。

4. 明星漏洞存在很强的聚光灯效应，当某个软件出现重大漏洞时会引起超高关注度的产品极易在未来一段时间出现更多漏洞，如：Apache Log4j连续被曝4个远程代码执行漏洞、Microsoft Exchange Server在被曝出ProxyLogon漏洞之后又出现了ProxyShell等漏洞。但是，由于明星漏洞衍生出来的新漏洞大概率未必有同等的威胁和影响面，需要漏洞情报分析运营团队进行深入的研判确认其利用真正的威胁，非常考验团队的响应能力。

5. 由于多种技术层面以外因素的影响，相同CVSS评分的漏洞所能导致实际安全风险往往天差地别，结合情报的导致影响威胁升级的关键因素监测，确认漏洞对于风险的影响才具备了真正的动态性。

6. 有效的漏洞情报可以帮助用户快速、准确、全面的定位资产相关的漏洞风险，在详细多角度的处理方案的建议下实现相应威胁的消除和缓解。基于漏洞对不同类型用户的影响和处理要求，个人用户、企业用户以及安全监管单位在漏洞情报的选择上应遵循“C端用户挑产品、B端用户挑服务、监管机构挑供应商”的原则。