每周高级威胁情报解读(2022.04.28~05.05)

披露时间：2022年04月29日

情报来源：https://mp.weixin.qq.com/s/xRumzCNzQ857I7VDg57mBg

相关信息：

Transparent Tribe组织长期针对周边国家和地区的政府、军队进行定向攻击活动，擅于利用社会工程学进行鱼叉攻击，向目标投递带有VBA的doc、xls文档，执行诱饵文档中的宏代码释放执行CrimsonRAT、PeppyRAT等，窃取目标的相关资料信息。

近期，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多个Crimson RAT攻击样本。在此攻击活动中，攻击者使用恶意宏文件进行鱼叉攻击，当受害者点击执行诱饵文件之后，将会在本地释放并执行一个恶意程序，恶意程序就是Transparent Tribe组织自有的远控软件Crimson RAT，在后续关联中，我们还发现了Transparent Tribe组织的USBWorm组件。

披露时间：2022年04月26日

情报来源：https://www.zscaler.com/blogs/security-research/naver-ending-game-lazarus-apt

相关信息：

2021 年，Lazarus使用的主要攻击媒介是通过电子邮件进行的凭据网络钓鱼攻击，冒充韩国流行的搜索引擎和门户网站 Naver。

2022 年，同一威胁者开始欺骗韩国的各种重要实体，包括KRNIC（韩国互联网信息中心）、韩国安全供应商（如Ahnlab）、加密货币交易所（如Binance）等。有关此活动的一些详细信息已在韩国博客中发布，但它们并未执行威胁归因。

在过去的两个月中，该威胁行为者经常更新其攻击链。研究人员确定了威胁行为者用来在电子邮件中分发恶意软件的三个独特的攻击链，都使用鱼叉式网络钓鱼电子邮件分发：

披露时间：2022年04月28日

情报来源：https://www.nozominetworks.com/blog/industroyer2-nozomi-networks-labs-analyzes-the-iec-104-payload/

相关信息：

与 Industroyer 不同，Industroyer2主要通过不同的动态链接库 (DLL)（ie101.dll、104.dll、61850.dll、OPC.exe 和 OPCClientDemo.dll）针对 IEC-101、IEC-104、IEC 61850 和 OPC 数据访问，被称为 Industroyer2 的恶意软件是一个独立的可执行文件，专门针对 IEC-104。

在对样本的分析过程中，研究人员发现了现代恶意软件中的一些不寻常之处：作者没有费心隐藏其活动，也没有进行任何形式的混淆。恶意软件的核心由其配置组成，除了文中描述的其他参数外，还包含要操作的 IOA 的硬编码列表。此配置在可执行文件中不受保护，而是作为常规 Unicode 字符串嵌入。

披露时间：2022年05月03日

情报来源：https://www.recordedfuture.com/solardeflection-c2-infrastructure-used-by-nobelium-in-company-brand-misuse/

相关信息：

从 2021 年年中开始，Recorded Future 的中点收集显示，Insikt Group 跟踪的 NOBELIUM 基础设施的使用稳步上升，称为 SOLARDEFLECTION，其中包括指挥和控制 (C2) 基础设施。在本报告中，重点介绍了 Insikt Group 在监控 SOLARDEFLECTION 基础设施及其运营商反复使用仿冒域名时观察到的趋势。

研究人员从参与威胁活动的 NOBELIUM 运营商那里观察到的一个关键因素是对模仿其他品牌的域名的依赖（一些是合法的，一些可能是虚构的业务）。域名注册和域名仿冒可以启用对受害者网络和品牌构成威胁的鱼叉式网络钓鱼活动或重定向。

通过结合主动的对手基础设施检测、域分析技术和记录的未来网络流量分析，确定 NOBELIUM 对 SOLARDEFLECTION 基础设施的使用与其他常见的基础设施策略、技术和程序 (TTP) 重叠。微软、Fortinet、Sekoia 和 Volexity 等之前的开源报告还强调了 NOBELIUM 使用了破解版的 Cobalt Strike 渗透测试工具。

披露时间：2022年04月28日

情报来源：https://www.mandiant.com/resources/tracking-apt29-phishing-campaigns

相关信息：

从 2022 年 1 月中旬开始，Mandiant 检测并响应了针对外交实体的 APT29 网络钓鱼活动。在调查期间，Mandiant 确定了 BEATDROP 和 BOOMMIC 下载器的部署和使用。在识别此活动后不久，Mandiant 通过一系列网络钓鱼浪潮发现了针对多个其他外交和政府实体的 APT29。

APT29 发送的网络钓鱼电子邮件伪装成与各个大使馆相关的行政通知，并利用合法但被增选的电子邮件地址发送电子邮件和 Atlassian 的 Trello 服务进行指挥和控制 (C2)。这些网络钓鱼电子邮件与 2021 年之前的 Nobelium 网络钓鱼活动类似， 因为它们针对外交组织，使用 ROOTSAW（公开称为 EnvyScout）传递额外的有效负载，并滥用 Firebase 或 DropBox 用于 C2。滥用 Trello、Firebase 或 DropBox 等合法 Web 服务可能是为了加大检测或修复的难度。

披露时间：2022年04月28日

情报来源：https://mp.weixin.qq.com/s/kzr0v6PpbySGajmML3jPlA

相关信息：

自2022年一月以来，研究人员陆续捕获到多批次“8220”挖矿组织攻击样本，该挖矿组织自2017年出现，持续活跃，同时向Windows与Linux双平台传播恶意脚本，下载的载荷是门罗币挖矿程序以及其他僵尸网络程序、端口扫描爆破工具等。

“8220”是一个长期活跃并且擅长使用漏洞进行攻击并部署挖矿程序的组织，该组织早期使用Docker镜像传播挖矿木马，后来逐步利用多个漏洞进行攻击，如WebLogic漏洞、Redis未授权访问漏洞、Hadoop Yarn未授权访问漏洞和Apache Struts漏洞等。在2020年发现该组织开始使用SSH爆破进行横向攻击传播。自Apache Log4j 2远程代码执行漏洞曝光后，该组织利用该漏洞制作漏洞利用脚本进行传播，影响范围广。

披露时间：2020年04月28日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/bumblebee-is-still-transforming

相关信息：

从 2022 年 3 月开始，Proofpoint 观察到活动提供了一个名为 Bumblebee 的新下载器。包括已知威胁行为者在内的至少三个活动集群目前正在分发 Bumblebee。Proofpoint 识别的活动与 Google 威胁分析组博客中详述的活动重叠，导致 Conti 和 Diavol 勒索软件。

Bumblebee 是一个复杂的下载器，包含反虚拟化检查和通用下载器功能的独特实现，尽管它在恶意软件开发的早期阶段。Bumblebee 的目标是下载和执行额外的有效载荷。Proofpoint 研究人员观察到 Bumblebee 丢弃了 Cobalt Strike、shellcode、Sliver 和 Meterpreter。恶意软件名称来自早期活动中使用的唯一用户代理“bumblebee”。

披露时间：2022年04月28日

情报来源：https://research.nccgroup.com/2022/04/28/lapsus-recent-techniques-tactics-and-procedures/

相关信息：

在过去的 5 个月中，LAPSUS$ 因成功入侵包括 Microsoft、Nvidia、Okta 和三星在内的一些大型企业而声名狼藉。对这个群体知之甚少，其动机似乎是为了名誉、金钱和“为了 lulz”。研究人员在最近的 LAPSUS$ 事件中观察到的技术、策略和程序，可以总结如下：

披露时间：2022年05月03日

情报来源：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/instagram-credentials-stealer-disguised-as-mod-app/

相关信息：

Instander 是可用于 Android 设备的著名 Instagram 修改应用程序之一，可帮助 Instagram 用户访问更多有用的功能。mod应用程序支持上传高质量的图像和下载发布的照片和视频。

McAfee 研究人员发现了另一种Android恶意软件类型，它使用不同的技术方法来窃取用户的凭据。目标用户是对 Instagram 提供的默认功能不满意的用户。互联网上的这些用户已经存在各种 Instagram 修改应用程序。这种新恶意软件伪装成流行的 mod 应用程序并窃取 Instagram 凭据。

披露时间：2022年05月04日

情报来源：https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/

相关信息：

2022 年 2 月，研究人员在恶意活动期间首次“在野外”观察到将 shellcode 放入 Windows 事件日志的技术。它允许在文件系统中隐藏“无文件”最后阶段的木马。这种对活动中事件日志的关注不仅限于存储 shellcode。Dropper 模块还修补了与事件跟踪 (ETW) 和反恶意软件扫描接口 (AMSI) 相关的 Windows 原生 API 功能，以使感染过程更加隐蔽。

除了事件日志之外，攻击者的工具集中还有许多其他技术。其中，让研究人员区分攻击者在开发下一个恶意阶段时如何考虑初步侦察：模仿合法域名的 C2 Web 域名以及属于受害者使用的现有软件的名称。为了托管恶意代码，攻击者使用 Linode、Namecheap、DreamVPS 上的虚拟专用服务器。

披露时间：2022年05月02日

情报来源：https://www.trendmicro.com/en_us/research/22/e/avoslocker-ransomware-variant-abuses-driver-file-to-disable-anti-Virus-scans-log4shell.html

相关信息：

近日，研究人员发现了AvosLocker 勒索软件的样本，它利用合法的驱动程序文件来禁用防病毒解决方案和检测规避。虽然以前的 AvosLocker 感染使用类似的例程，但这是从美国观察到的第一个样本，它能够使用合法的 Avast Anti-Rootkit 驱动程序文件 ( asWarPot.sys ) 禁用防御解决方案。此外，该勒索软件还能够使用 Nmap NSE 脚本扫描多个端点以查找 Log4j 漏洞 Log4shell。

根据分析，可疑的入口点是通过 Zoho ManageEngine ADSelfService Plus (ADSS) 漏洞利用。由于缺乏网络流量详细信息，无法确定攻击者使用的安全漏洞的确切 CVE ID。但是，有一些迹象表明他们滥用了Synacktiv之前在渗透测试中记录的相同漏洞CVE-2021-40539，观察到与创建 JSP 文件 ( test.jsp )、使用“null”参数执行keytool.exe以运行精心设计的 Java 类/代码特别相似。

披露时间：2022年05月02日

情报来源：https://www.nozominetworks.com/blog/nozomi-networks-discovers-unpatched-dns-bug-in-popular-c-standard-library-putting-iot-at-risk/

相关信息：

Nozomi Networks Labs 发现了一个漏洞（在 ICS-VU-638779 下跟踪，VU#473698）影响所有版本的uClibc和uClibc-ng（物联网产品中流行的 C 标准库）的域名系统 (DNS) 实现。该漏洞是由库生成的 DNS 请求中包含的事务 ID 的可预测性引起的，这可能允许攻击者对目标设备执行 DNS 中毒攻击。

根据各自的官方网站，已知 uClibc 已被 Linksys、Netgear 和 Axis 等主要供应商以及 Embedded Gentoo 等 Linux 发行版使用。uClibc-ng 是专为 OpenWRT 设计的一个分支，OpenWRT 是一种用于路由器的通用操作系统，可能部署在各种关键基础设施领域。