安恒高级安全威胁情报周报（2022.5.21~5.27）

点击蓝字关注我们

本期

目录

2022.5.21-5.27

全球情报资讯

“

1

恶意软件

• 攻击者使用0-day漏洞安装Predator间谍软件

• 针对macOS平台的oRAT远控木马

• 伪造的Win 11下载门户传播Vidar信息窃取器

• 针对云CI管道的供应链攻击分析

• ERMAC银行木马2.0版本针对467个应用程序

“

2

勒索专题

• 印度第二大航空公司遭勒索软件攻击

• Yashma：Chaos勒索软件新变体

• Conti勒索软件关闭运营

• Cheerscrypt：以 ESXi 设备为目标的勒索软件变种

“

3

恶意活动

• Operation Discord：针对哥伦比亚的间谍活动

• 伪装成沙特采购订单的钓鱼邮件释放GuLoader

• Snake Keylogger恶意软件分发活动

• 隐蔽的Web skimming攻击活动分析

• 攻击者通过劫持Python和PHP库以窃取AWS密钥

“

4

攻击团伙

• Wizard Spider团伙开发的加密器分析

“

5

高级威胁情报

• Kimsuky组织通过伪造的新闻稿传播恶意软件

• Sandworm组织使用ArguePatch恶意软件攻击乌克兰目标

• Turla组织展开新的侦查活动

• Gamaredon新一轮DDoS攻击任务分析

恶意软件威胁情报

1.攻击者使用0-day漏洞安装Predator间谍软件

5月19日，谷歌的威胁分析小组 (TAG) 披露，国家支持的威胁组织使用五个0-day漏洞来安装由商业监控开发商 Cytrox 开发的 Predator 间谍软件。活动中使用的五个以前未知的 0-day 安全漏洞包括：Chrome中的 CVE- 2021-37973、 CVE-2021-37976、 CVE-2021-38000、 CVE-2021-38003，以及Android 中的CVE-2021-1048。在这些活动中，攻击者安装了Android Alien 银行木马 ，用于加载 Predator Android 植入程序，允许录制音频、添加 CA 证书和隐藏应用程序。

参考链接

https://ti.dbappsecurity.com.cn/info/3453

2.针对macOS平台的oRAT远控木马

使用 Go 编写的远控木马在 Mac 平台上并不常见，但研究人员近日发现了一个针对 macOS 用户并用Go语言编写的 oRAT 恶意软件样本。oRAT 综合利用开源代码与自研代码针对 macOS 用户发起攻击。

参考链接

https://ti.dbappsecurity.com.cn/info/3460

3.伪造的Win 11下载门户传播Vidar信息窃取器

2022 年 4 月，研究人员发现了几个由攻击者新注册的域，目的是伪装成官方的Windows 11操作系统下载门户，以分发恶意ISO文件，从而导致终端感染Vidar信息窃取程序。Vidar变体从Telegram和Mastodon上托管的攻击者的社交媒体频道获取C2配置。

参考链接

https://ti.dbappsecurity.com.cn/info/3459

4.针对云CI管道的供应链攻击分析

研究人员调查了针对Rust开发社区的供应链攻击，并将此攻击称为“CrateDepression”。2022 年 5 月 10 日，Rust安全响应工作组宣布在 Rust 依赖社区存储库中发现了一个恶意crate。为了欺骗rust开发人员，恶意crate域名仿冒了用于分数财务计算的rust_decimal包。恶意依赖将检查受感染机器的GITLAB_CI环境变量，以尝试识别用于软件开发的持续集成（CI）管道。在这些系统上，攻击者会提取构建在红队利用后框架Mythic上的下一阶段有效载荷。

参考链接

https://ti.dbappsecurity.com.cn/info/3451

5.ERMAC银行木马2.0版本针对467个应用程序

ERMAC 是一种 Android 银行木马，于 2021 年 8 月下旬首次被发现。近日，ERMAC Android银行木马已发布2.0版本，目标应用程序的数量从378个增加到467个，覆盖了更广泛的应用程序，以窃取账户凭证和加密钱包。

参考链接

https://ti.dbappsecurity.com.cn/info/3473

勒索专题

1.印度第二大航空公司遭勒索软件攻击

当地时间24日晚，印度SpiceJet航空公司系统遭到勒索软件攻击，导致25日上午多个航班延误，数百名旅客滞留机场。SpiceJet 是印度第二大航空公司，拥有超过 14,000 名员工，并有约 15% 的当地市场份额。因此，针对该公司的网络攻击会影响大量乘客，而这些数小时的延误会转化为重大的经济损失。

参考链接

https://ti.dbappsecurity.com.cn/info/3470

2.Yashma：Chaos勒索软件新变体

Chaos 是一种可定制的勒索软件构建器，于 2021 年 6 月 9 日首次出现在地下论坛中。此后，该软件经历了五次旨在改进其功能的迭代：6 月 17 日的 2.0 版、7 月 5 日的 3.0 版、8 月 5 日的 4.0 版和 2022 年初的 5.0 版。近日，研究人员披露了Chaos 勒索软件的最新版本的详细信息。新版本名为Yashma，具有两项新改进，包括能够根据受害者的位置停止执行，以及终止与防病毒和备份软件相关的各种进程。

参考链接

https://ti.dbappsecurity.com.cn/info/3463

3.Conti勒索软件关闭运营

臭名昭著的Conti勒索软件团伙已正式关闭其运营，基础设施已下线。尽管面对公众的“Conti News”数据泄露和赎金谈判网站仍处于在线状态，但团伙成员用于执行谈判和在其数据泄露网站上发布“新闻”的Tor管理面板现已离线。分析师表示，Conti正在分成更小更独立的群体，这样更有助于安全运营。

参考链接

https://ti.dbappsecurity.com.cn/info/3452

4.Cheerscrypt：以 ESXi 设备为目标的勒索软件变

“Cheerscrypt”是一种新的基于Linux的勒索软件变种，攻击目标为客户用于管理VMware文件的ESXi服务器。Cheerscrypt需要一个输入参数来指定加密路径，自动枚举并关闭正在运行的VM进程。如果成功加密，Cheerscrypt会使用.Cheers扩展名重命名加密的文件，并在每个加密的目录下释放名为“How to Restore Your Files.txt”的赎金记录。

参考链接

https://ti.dbappsecurity.com.cn/info/3474

恶意活动威胁情报

1.Operation Discord：针对哥伦比亚的间谍活动

“Operation Discord”是一项主要针对哥伦比亚的间谍活动，该活动试图分发njRAT恶意软件。njRAT是一种流行的远程访问木马，允许攻击者远程控制受感染的计算机并执行诸如发送和接收文件、记录击键、截屏和录制音频等操作。该活动的主要受害者是来自不同行业的公司、非营利组织和政府实体。

参考链接

https://ti.dbappsecurity.com.cn/info/3466

2**.伪装成沙特采购订单的钓鱼邮件释放GuLoader**

近日，研究人员发现了发送给乌克兰咖啡公司的钓鱼邮件，邮件看似是由沙特阿拉伯的一家石油供应商发送的，正文中显示的部分PDF文件图像声称是采购订单，实际上是指向云中托管的ISO文件的链接，其中包含GuLoader的可执行文件。GuLoader也称为CloudEye和vbdropper，通常用于部署其他恶意软件变种，如Agent Tesla、Formbook和Lokibot。

参考链接

https://ti.dbappsecurity.com.cn/info/3465

3.Snake Keylogger恶意软件分发活动

近日，研究人员发现了一个恶意软件分发活动，该活动利用PDF附件分发恶意Word文档，从而使用户感染恶意软件。活动中通过电子邮件传播的PDF文档名为“Remittance Invoice（汇款发票）”，打开PDF时，Adobe Reader会提示用户打开其中包含的DOCX文件。攻击者将嵌入的文档命名为“已验证”，诱使收件人相信Adobe Reader已将该文件验证为合法并且该文件可以安全打开。如果打开DOCX文件并启用宏，将从远程资源下载RTF文件并打开。

RTF文档包含格式错误的OLE对象，可能会规避分析。研究人员发现它试图滥用旧的微软公式编辑器漏洞（CVE-2017-11882）来运行代码。通过利用该漏洞，RTF中的shellcode会下载并运行Snake Keylogger，这是一个模块化的信息窃取程序，具有强大的持久性、防御规避、凭据访问、数据收集和数据泄露功能。

参考链接

https://ti.dbappsecurity.com.cn/info/3461

4.隐蔽的Web skimming攻击活动分析

近期的Web skimming活动采用了多种混淆技术来传递和隐藏恶意脚本。此前，攻击者通过漏洞利用将恶意脚本注入电商平台和内容管理系统（CMS），此次转变使攻击更容易规避检测。

Web skimming活动的主要目标是在付款期间收集并随后泄露用户的支付信息，例如信用卡详细信息。攻击者通常利用电子商务平台和 CMS 中的漏洞来访问他们想要注入浏览脚本的页面。另一种常见的方法是基于 Web 的供应链攻击，攻击者利用已安装的第三方插件和主题中的漏洞或破坏广告网络，这些网络可能不可避免地在未经网站所有者知情或同意的情况下提供恶意广告。

参考链接

https://ti.dbappsecurity.com.cn/info/3471

5.攻击者通过劫持Python和PHP库以窃取AWS密钥

在针对开源生态系统的软件供应链攻击实例中，研究人员发现了两个木马化的 Python 和 PHP 包。其中一个包是“ctx”，这是PyPi存储库中可用的Python模块。另一个是“phpass”，这是一个在GitHub上派生出来的PHP包，用于分发恶意更新。在两种情况下，攻击者似乎都接管了一段时间未更新的软件包。攻击者似乎试图获取所有的环境变量，用Base64编码，然后将数据转发到其控制下的网络应用程序。

参考链接

https://ti.dbappsecurity.com.cn/info/3469

攻击团伙威胁情报

1.Wizard Spider团伙开发的加密器分析

ITG23又名Wizard Spider、DEV-0193或“Trickbot Group”，是一个以开发 Trickbot 银行木马而闻名的网络犯罪组织。研究人员分析了 13 种加密器，这些加密器均与由 ITG23 内部团队、第三方分销商（包括 Trickbot、BazarLoader、Conti 和 Colibri）以及Emotet、IcedID 等其他组织开发的恶意软件一起使用。

参考链接

https://ti.dbappsecurity.com.cn/info/3464

高级威胁情报

1.Kimsuky组织通过伪造的新闻稿传播恶意软件

研究人员发现了伪装成新闻稿传播的恶意软件。此恶意软件会加载一个正常的文档文件并尝试访问恶意 URL。如果访问成功，则运行网页上已有的脚本。新闻稿文件配置为 .NET，但文件显示 HWP 或 Word 图标以伪装为文档文件。由于此次活动中的URL有一个脚本代码与Kimsuky组织此前攻击活动中的VBS代码类似，因此研究人员将该活动归因于Kimsuky组织。

参考链接

https://ti.dbappsecurity.com.cn/info/3472

2.Sandworm组织使用ArguePatch恶意软件攻击乌克兰目标

Sandworm是与俄罗斯有关的网络间谍组织，持续以乌克兰实体为目标发起网络攻击。研究团队现已发现ArguePatch恶意软件加载程序的更新版本，该加载程序用于针对乌克兰能源提供商的Industroyer2攻击以及涉及名为CaddyWiper的数据擦除恶意软件的多次攻击。

参考链接

https://ti.dbappsecurity.com.cn/info/3454

3.Turla组织展开新的侦查活动

Turla是一个讲俄语的网络间谍威胁组织，与俄罗斯联邦的FSB部队有密切联系。近日，Turla瞄准了奥地利经济商会、波罗的海国防学院以及一个北约电子学习平台。仿冒域名用于托管名为“War Bulletin 19.00 CET 27.04.docx”的恶意 Word 文档，此文件包含嵌入的 PNG (logo.png)，但不包含任何恶意宏，研究人员认为PNG仅用于执行侦察。此外，Turla 还可以访问受害者的 IP 地址，这将有助于后续的攻击阶段。

参考链接

https://ti.dbappsecurity.com.cn/info/3462

4.Gamaredon新一轮DDoS攻击任务分析

近日，Gamaredon组织相关的网络攻击活动愈加频繁，研究人员发现该组织开始下发开源DDoS木马程序“LOIC”进行DDoS攻击活动。在对Gamaredon组织的网络攻击进行监测过程中，研究人员发现了其多条攻击链：钓鱼邮件、文件远程模板注入执行、SFX自解压程序执行恶意脚本、Wiper恶意软件的投放、以及注册表写入载荷计划任务执行等等。

参考链接

https://ti.dbappsecurity.com.cn/info/3477

安恒安全数据部， 下设猎影实验室、零壹实验室、析安实验室和回声实验室，团队以数据分析与技术研究为核心，致力于数据驱动安全创造用户价值。

猎影实验室

高级威胁研究团队，专注于APT攻击发现、分析、检测、溯源、防御等研究，以及积累了海量的IoC情报数据。

安恒威胁分析平台， 分析安全威胁数据、多源情报数据，跟踪APT事件，为客户提升区域安全态势感知、 未知威胁检测、威胁溯源分析、主动防御等场景。

平台地址：https://ti.dbappsecurity.com.cn/