安恒高级安全威胁情报周报（2022.6.3~6.10）

点击蓝字关注我们

本期

目录

2022.6.3-6.10

全球情报资讯

“

1

恶意软件

• Clipminer新型加密货币挖矿恶意软件分析

• Bumblebee加载器正在兴起

• Black Basta通过Qbot进行横向移动

• SMSFactory Android木马订阅高级服务以窃取资金

• 新的 Symbiote 恶意软件感染 Linux 系统上所有正在运行的进程

“

2

热点事件

• 黑客泄露了俄罗斯律所1TB的数据

“

3

勒索专题

• Cuba勒索团伙推出新变种

• Mandiant否认遭到勒索攻击

• 美国CISA发布有关Karakurt数据勒索组织的安全警报

• 更新的Black Basta勒索软件支持加密VMware ESXi服务器

“

4

政府部门

• 意大利巴勒莫市关闭所有系统以抵御网络攻击

• 针对欧美政府机构的钓鱼攻击活动

“

5

金融行业

• 针对西班牙银行客户的恶意软件攻击活动

“

6

公共事业

• 俄罗斯建设、住房公用事业部网站遭到攻击

“

7

恶意活动

• FakeCrack恶意软件传播活动分析

• “猎图行动”：针对NFT艺术家的窃密活动分析

• 传播SVCReady恶意软件的网络钓鱼活动

• 大规模网络钓鱼活动影响数百万Facebook用户

“

8

攻击团伙

• Polonium组织滥用OneDrive平台攻击以色列实体

• WatchDog黑客组织发起新的 Docker 加密劫持活动

“

9

高级威胁情报

• WIRTE组织近期针对中东地区的攻击活动分析

• Kimsuky组织近期BabyShark组件披露

• 近期LAZARUS持续针对加密货币行业展开攻击活动

• SideWinder组织正在攻击巴基斯坦

• Bitter、SideWinder以及摩耶象近期活动分析

恶意软件威胁情报

1.Clipminer新型加密货币挖矿恶意软件分析

Clipminer是一种新型加密货币挖矿恶意软件，该恶意软件疑似是KryptoCibule挖矿木马的变体。Clipminer以WinRAR压缩文件的形式存放在主机系统上，并自动解压缩以启动下载动态链接库(.DLL)的控制面板(.CPL)文件。DLL创建一个新的注册表值并将其自身放置在随机文件名下的“C:\Windows\Temp\”上。其目的是分析主机并从Tor网络下载和安装Clipminer有效载荷。

Clipminer通过游戏和盗版软件破解传播，并在 P2P 网络、torrent 索引器或 YouTube 视频上传播。该软件目前已通过从加密货币挖矿和剪贴板劫持获得了至少 170 万美元的非法收益。

参考链接

https://ti.dbappsecurity.com.cn/info/3506

2.Bumblebee加载器正在兴起

2022 年 3 月，研究人员发现一种名为“Bumblebee”的新恶意软件正通过垃圾邮件活动传播，该软件是BazarLoader恶意软件的替代品。Bumblebee 充当下载器，提供已知的攻击框架和开源工具，如 Cobalt Strike、Shellcode、Sliver、Meterpreter 等，还会下载其他类型的恶意软件，如勒索软件、木马等。数据显示，Bumblebee感染事件正在上升。

参考链接

https://ti.dbappsecurity.com.cn/info/3518

3.Black Basta通过Qbot进行横向移动

Black Basta 是一个相对较新的勒索软件操作，在相对较短的时间内破坏了多家公司，勒索大量赎金。研究人员发现，Black Basta正通过 Qakbot 进行横向移动。QBot (QuakBot) 是一种 Windows 恶意软件，可窃取银行凭据、Windows 域凭据，并在受感染设备上提供更多恶意软件负载。

参考链接

https://ti.dbappsecurity.com.cn/info/3513

4.SMSFactory Android木马订阅高级服务以窃取资金

6月1日，研究人员披露，一种名为SMSFactory的Android恶意软件通过发送付费短信和拨打付费电话号码窃取受害者的资金，受害地区包括俄罗斯、巴西、阿根廷、土耳其、乌克兰、美国、法国和西班牙等。攻击者依靠恶意广告来推动活动，受害者会被重定向到一个看似提供破解软件、免费视频应用程序等下载文件的网站。一旦用户点击下载，就会安装SMSFactory恶意应用程序。

参考链接

https://ti.dbappsecurity.com.cn/info/3514

5.新的 Symbiote 恶意软件感染 Linux 系统上所有正在运行的进程

Symbiote是一种新发现的Linux恶意软件，可以感染受感染系统上所有正在运行的进程，窃取帐户凭据，并为攻击者提供后门访问权限。Symbiote 可以hook“libc”和“libpcap”函数并执行各种操作来隐藏其存在，例如隐藏寄生进程、隐藏与恶意软件一起部署的文件等。

参考链接

https://ti.dbappsecurity.com.cn/info/3528

热点事件威胁情报

1.黑客泄露了俄罗斯律所1TB的数据

Anonymous的附属组织B00da和Porteur宣布入侵了俄罗斯顶级律师事务所Rustam Kurmaev and Partners(RKP Law) ，窃取了约1TB的数据。Porteur在Twitter上称，已窃取了电子邮件、法庭文件、客户文件和备份等文件，以及一个包含220个客户的列表。目前，被盗数据已被公开在DDoSecrets上。

参考链接

https://ti.dbappsecurity.com.cn/info/3511

勒索专题

1.Cuba勒索团伙推出新变种

Cuba是一个勒索软件家族，在2021年攻击了5个关键基础设施领域的 49 个组织，累积了至少 4390 万美元的赎金。研究人员披露，Cuba勒索软件从今年3月开始重新回归，在其 Tor 网站上于 4 月和 5 月分别列出了 3 名受害者和 1 名受害者。Cuba勒索组织使用不同的感染技术推出了一种新的恶意软件变种，新二进制文件包括一些小的添加和更改，会在加密之前终止更多进程，包括 Outlook、MS Exchange 和 MySQL。

参考链接

https://ti.dbappsecurity.com.cn/info/3522

2.Mandiant否认遭到勒索攻击

2022年6月6日，LockBit勒索团伙在暗网上声称攻破了美国网络安全厂商Mandiant，并且扬言要发布从Mandiant窃取的上万份机密文件。随后，Lockbit勒索团伙在其暗网网站上发布了文件，但并不是 Mandiant的机密数据，而是关于试图与Evil Corp网络犯罪团伙撇清关系的内容。因为Mandiant曾在6月2日发布的报告中称Evil Corp团伙使用了LockBit 2.0组织的勒索软件以实施网络攻击。6日，Mandiant回应称，正在调查LockBit勒索软件团伙入侵公司网络并窃取数据的说法，但根据已发布的数据，目前没有迹象表明 Mandiant的数据已泄露。

参考链接

https://ti.dbappsecurity.com.cn/info/3516

3.美国CISA发布有关Karakurt数据勒索组织的安全警报

6月1日，美国联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA)、财政部 (Treasury) 和金融犯罪执法网络 (FinCEN) 发布联合网络安全咨询，以提供关于Karakurt数据勒索组织的信息。Karakurt勒索组织不会对受感染机器或文件进行加密，而是窃取数据并威胁称要将其拍卖或向公众发布。已知的比特币赎金要求从 25,000 美元到 13,000,000 美元不等。Karakurt 似乎没有针对特定部门、行业或受害者类型。

参考链接

https://ti.dbappsecurity.com.cn/info/3509

4.更新的Black Basta勒索软件支持加密VMware ESXi服务器

Black Basta 勒索软件团伙更新了其功能，可以加密在 Linux 服务器上运行的 VMware ESXi 虚拟机 (VM)。Black Basta 自 2022 年 4 月以来一直活跃，实施双重勒索攻击模型。勒索软件会将 .basta 扩展名附加到加密文件名，并在每个文件夹中创建名为 readme.txt 的勒索记录。此次更新是为了扩大潜在目标。

参考链接

https://ti.dbappsecurity.com.cn/info/3527

政府部门威胁情报

1.意大利巴勒莫市关闭所有系统以抵御网络攻击

意大利南部巴勒莫市于本月初遭受网络攻击，受影响的系统包括公共视频监控管理、市警察行动中心以及市政府的所有服务。此外，游客无法在线预订博物馆和剧院的门票，无法确认对体育设施的预订，也无法获取限制交通的区域卡。在网络攻击发生之后，当地所有的服务、公共网站和在线门户都处于离线状态。巴勒莫市议员表示，已经关闭了所有系统并与网络隔离，以应对网络攻击。

参考链接

https://ti.dbappsecurity.com.cn/info/3515

2.针对欧美政府机构的钓鱼攻击活动

6月6日，研究人员披露了一项针对欧美多个政府机构的钓鱼攻击。活动使用了以加薪为诱饵的恶意RTF文档，部署一个Powershell脚本作为最终payload。文档中利用的安全漏洞为CVE-2022-30190，是Microsoft Windows支持诊断工具(MSDT)远程代码执行漏洞（Follina）。研究人员怀疑这场活动是由国家支持的攻击者发起的，但目前没有归因于特定团伙。

参考链接

https://ti.dbappsecurity.com.cn/info/3525

金融行业威胁情报

1.针对西班牙银行客户的恶意软件攻击活动

一种Android恶意软件正伪装成 BBVA 银行的官方消息传播。该活动自 2020 年以来就一直在西班牙传播，专门针对 BBVA 银行用户。一旦用户单击收到的 SMS 中的网络钓鱼链接，就会被要求下载伪装成合法 BBVA 银行应用程序的恶意程序。恶意程序可以请求多种权限，包括录制音频、接收读取消息等，可以窃取 BBVA 银行用户的账户余额和银行凭证。

参考链接

https://ti.dbappsecurity.com.cn/info/3523

公共事业威胁情报

1.俄罗斯建设、住房公用事业部网站遭到攻击

俄罗斯建设、住房公用事业部网站遭到黑客攻击，在互联网上搜索该网站后，会显示“荣耀归于乌克兰”的标志。俄外交部代表称，用户的个人数据未受影响，该网站已经关闭。俄新社称，黑客要求该部门支付赎金以防止个人数据泄露。

参考链接

https://ti.dbappsecurity.com.cn/info/3512

恶意活动威胁情报

1.FakeCrack恶意软件传播活动分析

FakeCrack是一项新的恶意软件传播活动，通过伪造的CCleaner Pro Windows优化程序的破解版本来传播窃取用户密码、信用卡和加密钱包的恶意软件。感染链始于可疑网站，这些网站声称提供破解版的知名软件，例如游戏、办公程序或下载多媒体内容的程序，实际上会下载恶意软件。FakeCrack活动的受害者大多来自法国、巴西、印度尼西亚和印度。

参考链接

https://ti.dbappsecurity.com.cn/info/3524

2**.“猎图行动”：针对NFT艺术家的窃密活动分析**

自今年4月以来，研究人员监测到多起针对非同质化代币（简称NFT）艺术家的窃密活动，目前已出现多个受害者。根据攻击手法、C2地址等特征将其关联为同一攻击组织发起的规模化窃密行动，由于攻击者的主要目标为NFT艺术品，因此将该活动命名为“猎图行动”。

攻击者伪装成移动游戏开发公司PlayMe Studio、NFT项目“赛博朋克猿高管”等企业的工作人员，通过艺术创作社交平台发送招聘信息。攻击信息中均包含一个指向下载页面的链接，受害者可从该页面下载一个压缩包，其中包括伪装为图片的窃密木马。窃密木马执行后会自动收集计算机的系统信息、浏览器数据、电子钱包、NFT管理器和密码管理器等软件数据，而后将数据加密回传至攻击者服务器。

参考链接

https://ti.dbappsecurity.com.cn/info/3519

3.传播SVCReady恶意软件的网络钓鱼活动

自 2022 年 4 月底以来，新的网络钓鱼活动传播了一种名为SVCReady的恶意软件。攻击者通过包含VBA宏的电子邮件向目标发送Microsoft Word文档附件，以部署SVCReady恶意有效载荷。SVCReady可能正处于开发的早期阶段，其开发者在5月多次更新了恶意软件。

参考链接

https://ti.dbappsecurity.com.cn/info/3517

4.大规模网络钓鱼活动影响数百万Facebook用户

研究人员披露了一起大规模的网络钓鱼活动，该操作滥用Facebook和Messenger，引诱数百万用户访问网络钓鱼页面，以诱使用户输入帐户凭证。攻击者使用被盗账户向他们的朋友发送更多的钓鱼信息，并通过在线广告佣金赚取了可观的收入。据悉，该活动至少自2021年9月以来一直很活跃，在2022年4月至5月达到顶峰，迄今为止大约有 850 万用户访问了攻击者的页面。

参考链接

https://ti.dbappsecurity.com.cn/info/3529

攻击团伙威胁情报

1.Polonium组织滥用OneDrive平台攻击以色列实体

6月2日，微软宣布成功阻止了Polonium黑客组织滥用OneDrive云存储平台的攻击活动。POLONIUM是一个黎巴嫩黑客团伙，在攻击中部署一系列自定义植入程序，这些植入程序利用云服务进行命令和控制以及数据泄露。在过去的三个月里，POLONIUM已经攻击了 20 多个以色列组织，主要目标为以色列的关键制造业、IT 和国防工业组织。

参考链接

https://ti.dbappsecurity.com.cn/info/3508

2**.WatchDog黑客组织发起新的 Docker 加密劫持活动**

WatchDog黑客组织正在开展一项新的加密劫持活动，针对暴露的 Docker Engine API 端点和 Redis 服务器，可以快速从一台受感染的机器传播到整个网络。WatchDog通过端口2375破解配置不当的Docker引擎API端点来启动攻击，使黑客能够访问出厂设置中的保护进程。攻击者先运行cronb.sh脚本检查主机的感染状态，然后创建进程列表，并为第二阶段攻击提取AR.SH有效负载。随后攻击者运行第二个脚本来拦截ps命令，执行隐藏shell脚本的进程。此外，它还会更改时间戳以迷惑安全研究人员。

参考链接

https://ti.dbappsecurity.com.cn/info/3507

高级威胁情报

1.WIRTE组织近期针对中东地区的攻击活动分析

安恒信息中央研究院猎影实验室捕获到一批疑似来自WIRTE组织的样本，这些样本使用一些政治相关主题，目标指向中东地区的各国政府部门。WIRTE组织主要针对中东地区各种垂直领域，包括外交和金融机构、政府、律师事务所、军事组织和技术公司。近些年受影响的包括亚美尼亚、塞浦路斯、埃及、巴勒斯坦、叙利亚和土耳其等中东地区国家。本次所发现的样本，与WIRTE组织在此前的行动中相似之处，对比该组织过往的活动情况有以下发现：

1.攻击者以“大使理事会和阿拉伯外交使团团长会议议程草案”等政治相关主题作为诱饵攻击；

2.投诱饵文档使用了此前未记录过的ppam格式文件进行投递；

3.疑似在POST请求头中以“rv”参数标记攻击目标。

参考链接

https://mp.weixin.qq.com/s/JkVX2YycMREFc75ypeExYA

2**.Kimsuky组织近期BabyShark组件披露**

2019年2月，一个名为 BabyShark 的组件被发现针对美国的国家安全智库和学术机构。该活动中，BabyShark组件主要用于收集目标的机密和敏感信息，后续该组件被用于从事核安全和朝鲜半岛国家安全问题的间谍活动、通过渗透加密行业获取经济收益等目的。2022年上半年，研究人员发现了来自Kimsuky组织BabyShark组件的多起攻击活动,该组件会针对特定用户进行定向攻击活动，隐蔽性强，并通过对多个地址访问请求增强其溯源难度。

参考链接

https://ti.dbappsecurity.com.cn/info/3521

3.近期LAZARUS持续针对加密货币行业展开攻击活动

近期安恒安全数据部猎影实验室捕获到一批疑似来自Lazarus组织的样本，这些样本目标指向风投、加密货币等前沿产业。一些诱饵文档标题伪装成受密码保护的各类相关文档，引导用户点击意为密码的恶意lnk文件，在点击后下载执行hta文件并部署后门。这些文件从攻击目标和手法上与Lazarus组织关联度较高，疑似来自Lazarus组织的BlueNorOff小组。

参考链接

https://ti.dbappsecurity.com.cn/info/3530

4.SideWinder组织正在攻击巴基斯坦

SideWinder 组织，又被称“响尾蛇”、“APT-C-17”、“T-APT-04”，主要针对巴基斯坦等南亚国家进行定向攻击。近日，研究人员检测到SideWinder 组织常用的鱼叉式钓鱼攻击文件，以及相关远控程序。此次钓鱼攻击针对的目标为巴基斯坦财务司和外交部。

攻击者使用鱼叉式钓鱼文件 Pay and Pension Increase Circular_Finance Division.zip（工资和养老金增加通知_财务司.zip），解压后得到 SideWinder 常用lnk攻击文件，使用 mshta 去下载远程 hta 文件。针对巴基斯坦外交部的鱼叉式钓鱼文件 Belarus & CSTO.docx 后续下载的远程模板文件。远程模板仍然是采用 CVE-2017-11882 漏洞利用执行释放在 %temp% 下名为 1.a的 js 脚本文件。最后由 1.a 去内存加载 SideWinder 的 downloader，下载下阶段文件。

参考链接

https://ti.dbappsecurity.com.cn/info/3531

5.Bitter、SideWinder以及摩耶象近期活动分析

6月8日，研究人员披露了Bitter团伙在四月份最新的攻击活动中使用的新的攻击手法和样本，以及摩耶象近期的钓鱼活动和SideWinder今年以来的基础设施：

蔓灵花组织仿冒军贸客户（孟加拉海军）以维修船体声纳为主题向军工企业投递的带有chm附件的钓鱼邮件，还投递了带有DDE auto的文档作为附件，仿冒军工企业以推销反无人机系统为主题向军贸客户（孟加拉空军）投递钓鱼邮件。

摩耶象通过投递html或者压缩包中带有html的方式诱导受害者双击html。

响尾蛇组织在过去的一段时间内仍利用11882等古董漏洞和带有Lnk的压缩包进行鱼叉攻击。

参考链接

https://ti.dbappsecurity.com.cn/info/3520

安恒安全数据部， 下设猎影实验室、零壹实验室、析安实验室和回声实验室，团队以数据分析与技术研究为核心，致力于数据驱动安全创造用户价值。

猎影实验室

高级威胁研究团队，专注于APT攻击发现、分析、检测、溯源、防御等研究，以及积累了海量的IoC情报数据。

安恒威胁分析平台， 分析安全威胁数据、多源情报数据，跟踪APT事件，为客户提升区域安全态势感知、 未知威胁检测、威胁溯源分析、主动防御等场景。

平台地址：https://ti.dbappsecurity.com.cn/