安恒高级安全威胁情报周报（2022.7.2~7.8）

点击蓝字关注我们

本期

目录

2022.7.2-7.8

全球情报资讯

“

1

恶意软件

• 欺诈Android恶意应用程序分析

• Bahamut Android恶意软件新变体分析

• 逐渐兴起的LNK恶意软件

• PennyWise：利用 YouTube 感染用户的信息窃取器

• 活跃的Hezb挖矿木马分析

• OrBit恶意软件窃取Linux设备数据

“

2

勒索专题

• DragonForce Malaysia黑客组织将转变为勒索软件团伙

• Lockbit 3.0新版本分析

• RedAlert勒索软件分析

• Hive勒索软件新变种分析

• ALPHV勒索软件添加新工具

“

3

国防行业

• 英国陆军Twitter和YouTube账户遭黑客入侵

“

4

医疗卫生行业

• 攻击者针对韩国医疗机构部署Meterpreter后门

• 朝鲜攻击者使用Maui勒索软件攻击医疗保健部门

“

5

能源行业

• 乌克兰最大私营能源公司DTEK遭俄罗斯黑客攻击

“

6

恶意活动

• IconBurst软件供应链攻击

• 针对中东地区的大规模网络钓鱼活动

• 新的Xloader感染活动分析

• 黑客滥用Brute Ratel红队工具发起攻击

“

7

高级威胁情报

• MuddyWater组织持续攻击中东地区

• Bitter APT组织持续攻击孟加拉国军事实体

• 疑似AridViper组织伪装Threema通讯软件攻击分析

• 疑似Confucius组织最新攻击行动分析

恶意软件威胁情报

1.欺诈Android恶意应用程序分析

6月30日，微软发布报告，介绍了Android收费欺诈恶意软件应用程序。收费欺诈恶意移动应用程序可以在用户不知情或不同意的情况下订阅高级服务，是最流行的Android恶意软件类型。默认情况下，恶意应用程序强制设备连接到移动网络。一旦确认与目标网络的连接，就会秘密发起欺诈性订阅，并在未经用户同意的情况下进行确认，在某些情况下甚至会拦截一次性密码（OTP）来进行确认。这类应用程序还可以阻止与订阅相关的短信通知，以防止受害者意识到欺诈交易并取消订阅服务。

参考链接

https://ti.dbappsecurity.com.cn/info/3608

2.Bahamut Android恶意软件新变体分析

Bahamut APT组织于 2017 年首次被发现，该组织针对中东和南亚，通过网络钓鱼活动传播恶意软件。2022 年 4 月，研究人员发现了一种新的 Bahamut Android 恶意软件变种，该变种通过网络钓鱼网站进行分发。与Bahamut Android间谍软件的旧变体相比，攻击者在新变体中添加了专门针对 Viber、Imo、Signal、Telegram 等消息传递应用程序的模块。

参考链接

https://ti.dbappsecurity.com.cn/info/3613

3.逐渐兴起的LNK恶意软件

在2022年第二季度，使用LNK文件传播的恶意软件有所增加。攻击者利用LNK文件释放Emotet、Qakbot、IcedID、Bazarloaders等恶意软件。6月21日，研究人员发布报告，介绍了利用LNK文件的Emotet、IcedID 和 Qakbot恶意活动的感染链。

参考链接

https://ti.dbappsecurity.com.cn/info/3617

4.PennyWise：利用 YouTube 感染用户的信息窃取器

PennyWise是一个新的窃取程序，通过YouTube传播，可以针对 30 多种浏览器和加密货币应用程序，例如冷钱包、加密浏览器扩展等。PennyWise使用多线程来窃取用户数据并创建超过10个线程，从而实现更快的执行和窃取。

参考链接

https://ti.dbappsecurity.com.cn/info/3619

5.活跃的Hezb挖矿木马分析

自2022年5月以来，研究人员陆续捕获到Hezb挖矿木马攻击样本，该木马在5月份时主要利用WSO2 RCE（CVE-2022-29464）漏洞进行传播，自Confluence OGNL（CVE-2022-26134）漏洞利用的详细信息公布后，Hezb挖矿木马开始利用该漏洞进行传播。目前，该挖矿木马较为活跃，同时向Linux与Windows双平台传播恶意脚本，下载门罗币挖矿程序进行挖矿：在Linux平台上使用Shell脚本执行挖矿程序，并且该脚本还会清除竞品挖矿程序、下载其他恶意脚本和创建计划任务等功能；在Windows平台上使用bat脚本执行挖矿程序；脚本其他功能与Shell脚本功能基本一致。

参考链接

https://ti.dbappsecurity.com.cn/info/3620

6.OrBit恶意软件窃取Linux设备数据

OrBit是一种新发现的Linux恶意软件，该恶意软件通过修改受感染设备上的 LD_PRELOAD 环境变量劫持共享库以拦截函数调用。该恶意软件实现了先进的绕过技术，并通过hook关键功能在设备上获得持久性，通过SSH为攻击者提供远程访问功能，收集凭证并记录TTY命令。OrBit恶意软件使用2种不同的方式来加载恶意库：1.将共享对象添加到加载程序使用的配置文件中；2.修补加载程序本身的二进制文件，以便加载恶意共享对象。

参考链接

https://ti.dbappsecurity.com.cn/info/3627

勒索专题

1.DragonForce Malaysia黑客组织将转变为勒索软件团伙

2022年6月23日，DragonForce Malaysia黑客组织在Telegram频道上分享了一个新漏洞，该漏洞能够在印度服务器上执行Windows服务器的本地权限提升（LPE）和本地分发路由器（LDR）操作。DragonForce Malaysia组织将此漏洞归因于一个名为“impossible1337”的威胁行为者。此外，该组织还宣布了其转变为勒索软件组织的计划。

参考链接

https://ti.dbappsecurity.com.cn/info/3609

2.Lockbit 3.0新版本分析

LockBit勒索软件是目前最流行的勒索软件组织之一，其背后的攻击者于近日发布了一项名为“LockBit 3.0”的改进后的RaaS操作。LockBit 3.0对受害者机器上的文件进行加密，将加密文件的扩展名附加为 “HLJkNskOq”，并使用systemparametersinfoW() API 函数利用文件“HLJkNskOq.bmp”更改受害者的壁纸。

参考链接

https://ti.dbappsecurity.com.cn/info/3618

3.RedAlert勒索软件分析

研究人员发现了一种新的勒索软件操作，该软件可以对 Windows 和 Linux VMWare ESXi 服务器进行加密。根据勒索信中使用的字符串，勒索软件被称为“RedAlert”。但是，在Linux 加密器中，攻击者在内部将其操作称为“N13V”。Linux 加密器是针对 VMware ESXi 服务器而创建的，其命令行选项允许攻击者在加密文件之前关闭所有正在运行的虚拟机。加密文件时，勒索软件只会针对与 VMware ESXi 虚拟机关联的文件，包括日志文件、交换文件、虚拟磁盘和内存文件。

参考链接

https://ti.dbappsecurity.com.cn/info/3616

4.Hive勒索软件新变种分析

微软威胁情报中心发现了Hive勒索软件新变种，该变种进行了几项主要的升级。新的Hive变种用Rust编写，并且使用了新的加密算法：椭圆曲线Diffie-Hellmann（ECDH）。它不是在加密的每个文件中嵌入一个加密密钥，而是在内存中生成两套密钥来加密文件，然后将这两套密钥加密并写入它所加密的驱动器的root中。在新变种中，用于访问Hive赎金支付网站的用户名和密码必须在命令行中的“-u”参数下提供。

参考链接

https://ti.dbappsecurity.com.cn/info/3622

5.ALPHV勒索软件添加新工具

ALPHV勒索软件又名“Blackcat”，是一种基于 Rust 编程语言的勒索软件。该团伙现在疑似添加了一种新的勒索技术，以可搜索的格式提供泄露的数据。ALPHV勒索软件团伙创建了一个名为“ALPHV Collections”的工具来搜索泄露数据库中的关键字，此工具可以执行基于文件内容、文件名和通配符 (*) 的搜索。

参考链接

https://ti.dbappsecurity.com.cn/info/3626

国防行业威胁情报

1.英国陆军Twitter和YouTube账户遭黑客入侵

英国国防部证实，英国陆军的Twitter和YouTube账户遭到黑客入侵，并用于宣传加密货币诈骗活动。黑客劫持了英国陆军的Twitter页面，更换了个人资料图片、简历和封面照，使其看起来与The Possessed NFT收藏有关。该帐户转发的推文将用户链接到一个虚假的NFT造币网站。黑客还入侵了英国陆军的YouTube频道，删除了所有视频，并更改了其名称和头像，以模仿合法的Ark Invest投资公司。该频道同时播放了四个直播，吸引了数千名观众。

参考链接

https://ti.dbappsecurity.com.cn/info/3615

医疗卫生行业威胁情报

1.攻击者针对韩国医疗机构部署Meterpreter后门

Meterpreter 是一种后门恶意软件，可以通过从 C&C 服务器接收攻击者的命令来执行恶意功能。近日，研究人员发现，攻击者正使用JexBoss工具，针对韩国医疗机构安装Meterpreter后门。

参考链接

https://ti.dbappsecurity.com.cn/info/3612

2**.朝鲜攻击者使用Maui勒索软件攻击医疗保健部门**

7月6日，美国FBI、CISA和财政部发布联合咨询，称朝鲜攻击者利用Maui勒索软件，攻击医疗保健和公共卫生(HPH)组织。从 2021 年 5 月开始，FBI 已响应并检测到多起 Maui 勒索软件攻击，影响负责医疗保健服务的服务器，包括电子健康记录服务、诊断服务、成像服务和内网服务。研究人员在2022年4月收集了第一个Maui样本，但所有Maui的编译时间戳均为2021年4月15日。与其它勒索软件不同，Maui不会在被加密的系统上释放勒索信。

参考链接

https://ti.dbappsecurity.com.cn/info/3629

能源行业威胁情报

1.乌克兰最大私营能源公司DTEK遭俄罗斯黑客攻击

乌克兰最大的私营能源公司DTEK遭到了网络攻击，攻击者的目的是为了破坏其配电和发电公司的技术流程，并让乌克兰消费者断电。名为 XakNet 的俄语黑客组织声称对此次攻击负责，并在 Telegram 上发布了据称是 DTEK 数据的截图作为证据。

参考链接

https://ti.dbappsecurity.com.cn/info/3610

恶意活动威胁情报

1.IconBurst软件供应链攻击

7月5日，研究人员披露了一场名为IconBurst的活动，该活动至少从2021年以来一直活跃，提供恶意 NPM 包，这些包可以从移动应用程序和网站中的表单中收集敏感数据。攻击者依赖于拼写错误，冒充流行的NPM模块，如umbrellajs和ionic.io NPM模块。此次攻击标志着软件供应链攻击的显着升级。

参考链接

https://ti.dbappsecurity.com.cn/info/3621

2.针对中东地区的大规模网络钓鱼活动

7月4日，研究人员披露了冒充阿联酋政府人力资源部的大规模网络钓鱼活动。攻击者模仿合法网站，创建了一个伪造的网站www[.]mohregov-ae[.]com。此次攻击主要针对金融、旅游、医院、法律、石油和天然气以及咨询行业的各种政府和企业实体，攻击者旨在窃取其密码、文件、加密钱包和其他敏感信息。

参考链接

https://ti.dbappsecurity.com.cn/info/3623

3.新的Xloader感染活动分析

研究人员发现了一个有趣的 Xloader 恶意软件感染链，恶意软件使用 PDF、XLSX 和 RTF 等多种文件类型进行初始感染和执行，还旨在将三个模块放入内存，并使用 Process-Hollowing 技术执行最终的有效负载。此外，该恶意软件使用隐写术将其恶意内容隐藏在位图文件中。Xloader 从浏览器窃取用户凭据或 cookie、记录击键、窃取剪贴板内容、截取屏幕截图并将其发送到 TA 的 C&C 服务器。

参考链接

https://ti.dbappsecurity.com.cn/info/3614

4.黑客滥用Brute Ratel红队工具发起攻击

攻击者正在从使用Cobalt Strike转向使用Brute Ratel作为他们的后利用工具包，以贵 EDR 和防病毒解决方案的检测。在疑似与俄罗斯黑客组织 APT29有关的攻击中，攻击者通过鱼叉式网络钓鱼消息传播ISO文件，双击后将其安装为Windows驱动器，其中包含看似无害的Word文档，该文档启动后会在目标设备上安装BRc4，并与远程服务器建立通信。

参考链接

https://ti.dbappsecurity.com.cn/info/3628

高级威胁情报

1.MuddyWater组织持续攻击中东地区

自2020 年第四季度以来，MuddyWater组织持续针对中东国家发起攻击行动，目前仍处于活跃状态。攻击活动通常始于一个压缩文件，文件中包含一个嵌入 VBA 宏的恶意 Word 文档，文档似乎专门为讲阿拉伯语的用户设计，释放的样本是一个小型的 RAT。据观察，攻击活动针对的是巴基斯坦、哈萨克斯坦、亚美尼亚、叙利亚、以色列、巴林、土耳其、南非、苏丹等国家。

参考链接

https://ti.dbappsecurity.com.cn/info/3611

2**.Bitter APT组织持续攻击孟加拉国军事实体**

Bitter是一个南亚APT组织，至少从 2013 年就开始活跃。近期，Bitter组织持续攻击孟加拉国的军事组织，使用恶意文档文件作为诱饵，部署新的“Almond RAT”以进行间谍活动。

参考链接

https://ti.dbappsecurity.com.cn/info/3624

3.疑似AridViper组织伪装Threema通讯软件攻击分析

APT-C-23（双尾蝎）又被称为AridViper 、Micropsia、FrozenCell、Desert Falcon，攻击范围主要为中东地区相关国家的教育机构、军事机构等重要领域。研究人员关联到了双尾蝎与之前攻击不太相同的活动，此次攻击行动直接把商业RAT伪装成Threema诱使用户点击打开，Threema是瑞士开发的一款付费的开源端到端加密即时通讯应用程序。

参考链接

https://ti.dbappsecurity.com.cn/info/3625

4**.疑似Confucius组织最新攻击行动分析**

近期，研究人员监测到疑似Confucius组织的新一轮攻击活动，本次事件中使用到的相关攻击工具与基础设施与2021年国外安全厂商披露的相关攻击活动存在关联，通过对相关基础设施分析，该事件疑似与南亚其他组织如 SideWinder、Patchwork 也存在一定关联。

本次捕获的恶意文档以巴基斯坦三军情报局（Inter-Services Intelligence）招聘信息、宗教相关内容作为诱饵，诱导目标启动宏文档。在进行关联分析时，还发现了属于该组织的多个 .net 下载器，由下载器依次下载第二、三阶段payload，最终下载的最后阶段 payload 文件为文件窃密器，获取用户基本信息进行上传建档。

参考链接

https://ti.dbappsecurity.com.cn/info/3630

安恒安全数据部， 下设猎影实验室、零壹实验室、析安实验室和回声实验室，团队以数据分析与技术研究为核心，致力于数据驱动安全创造用户价值。

猎影实验室

高级威胁研究团队，专注于APT攻击发现、分析、检测、溯源、防御等研究，以及积累了海量的IoC情报数据。

安恒威胁分析平台， 分析安全威胁数据、多源情报数据，跟踪APT事件，为客户提升区域安全态势感知、 未知威胁检测、威胁溯源分析、主动防御等场景。

平台地址：https://ti.dbappsecurity.com.cn/