每周高级威胁情报解读(2024.07.26~08.01)

2024.07.26~08.01

攻击团伙情报

• APT45：朝鲜的数字军事机器

• Operation Giant：熔断指令下的金融风暴

• 巴基斯坦威胁的伞：针对印度的网络行动策略融合

• SideWinder（响尾蛇）APT组织攻击地中海港口和海事设施

• Andariel组织开展全球间谍活动

• DEV#POPPER黑客组织利用跨平台攻击开发者

• APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击

攻击行动或事件情报

• 一次后攻击阶段升级控制活动分析

• 攻击者正围绕AI平台Sora制造钓鱼网站

• UNC4393组织近期运营策略及其恶意软件使用情况披露

• Proofpoint电子邮件保护服务遭利用，致大规模钓鱼活动

恶意代码情报

• 攻击者通过钓鱼投递ModiLoader瞄准波兰中小企业

• SnakeKeylogger近期活动分析

• Mint Stealer恶意软件框架的深度分析报告

• 2024年上半年勒索攻击组织盘点

漏洞情报

• CVE-2024-7339：DVR 漏洞使超过 400,000 台设备面临黑客攻击

• 多个勒索团伙利用 VMware ESXi 漏洞CVE-2024-37085 攻击

攻击团伙情报

01

APT45：朝鲜的数字军事机器

**披露时间：**2024年7月26日

**情报来源：**https://cloud.google.com/blog/topics/threat-intelligence/apt45-north-korea-digital-military-machine

相关信息：

APT45自2009年起开展间谍活动，并逐渐扩展到经济动机的行动，包括开发和部署勒索软件。APT45与TEMP.Hermit和APT43等其他朝鲜组织有独特的恶意软件家族谱系。该组织经常针对关键基础设施，包括核研究设施和核电站，以及金融部门和知识产权，以弥补国内缺陷。APT45的活动反映了朝鲜政权的地缘政治优先事项，其行动可能旨在支持朝鲜的其他国家优先事项。

APT45 依赖于多种公开可用的工具（例如 3PROXY）、从公开可用的恶意软件（例如 ROGUEEYE）修改而来的恶意软件以及自定义恶意软件系列，还会使用独特的恶意软件家族，与其他朝鲜组织有所区别。

02

Operation Giant：熔断指令下的金融风暴

披露时间：2024年7月30日

**情报来源：**https://mp.weixin.qq.com/s/ASEs8NYHIyGhXUVsaACe2A

相关信息：

文章介绍了BerBeroka组织自2022年以来的活动，该组织针对中国的金融、医疗和游戏等行业进行了大规模的入侵。与一般的黑产不同，BerBeroka组织拥有丰富的渗透经验，并且在涉及金融收益的活动中展现出强烈的攻击欲望。Operation Giant行动是在新冠大流行期间发起的，目的是获取金融市场的走势信息和基金经理的投资策略。

BerBeroka 通过在自己的基础设施上架设 Nessus、AWVS、QingScan 等多种扫描器以支持其庞大的扫描需求，通过 Nday 漏洞（CVE-2020-6287、ThinkPHP RCE）和自研 Web 系统 0day 漏洞的方式入侵边界服务器，当目标为个人终端时则会投递鱼叉邮件。他们还使用了Medialoader进行内存加载，并且定期更换C2和Loader来绕过流量检测。

2023年BerBeroka组织将加载的载荷替换为自己的特种木马，包括golang编写的CLMPSUZ和基于Ghost远控协议魔改的木马。他们还使用了DNS隧道技术进行横向移动，并在内网中使用themida加壳的lcx工具进行端口转发。

03

巴基斯坦威胁的伞：针对印度的网络行动策略融合

**披露时间：**2024年7月25日

**情报来源：**https://www.seqrite.com/blog/umbrella-of-pakistani-threats-converging-tactics-of-cyber-operations-targeting-india/

相关信息：

SEQRITE 实验室 APT 团队发现了一个托管与透明部落 (APT36)有关的恶意软件的开放目录。进一步分析发现，同一域上隐藏的URL包含其分支 APT 小组SideCopy使用的有效载荷。通过托管其新有效载荷的多个开放目录观察到SideCopy针对印度政府实体（如空军、造船厂和港口） 发起攻击。

这两个威胁组织以及RusticWeb在其感染链中使用了不同格式的相同诱饵文件、基础设施和网络服务，三个组织之间存在很强的相关性。Transparent Tribe 和 Operation RusticWeb 都使用oshi[.]at网络服务，两个相同的 PDF 诱饵文档及其虚假域名解析到相同的 IP 地址。研究人员有中等至高的信心认为 RusticWeb 类似于 SideCopy，是 APT36 的一个分支团队。

APT36 的重点主要在 Linux 系统，通过一个基于 Golang 的下载器从 Google Drive 获取最终有效载荷，并继续通过 Poseidon 攻击 Linux 平台；而 SideCopy 的目标是 Windows 系统，使用与 SideWinder 相同的更新HTA文件来逃避检测，并利用MSI包分发Reverse RAT。此外，还发现了用于窃取文件和图像的新有效载荷 Cheex、用于从连接驱动器窃取文件的 USB 复印机、FileZilla 应用程序、SigThief 脚本以及一种新的基于 .NET 的有效负载 Geta RAT。

04

SideWinder（响尾蛇）APT组织攻击地中海港口和海事设施

**披露时间：**2024年7月25日

**情报来源：**https://blogs.blackberry.com/en/2024/07/sidewinder-targets-ports-and-maritime-facilities-in-the-mediterranean-sea

相关信息：

BlackBerry 威胁研究和情报团队发现 SideWinder 发起的新活动,该组织升级了其基础设施，并利用新技术和新策略进行攻击。第一阶段攻击针对的是巴基斯坦、埃及和斯里兰卡。第二阶段攻击还针对了孟加拉国、缅甸、尼泊尔和马尔代夫。

攻击者通过钓鱼邮件发送包含特定标志和主题的恶意文档，利用CVE-2017-0199漏洞来获得目标系统的初始访问权限。这些文档精心制作，以模仿目标组织已知的官方文件。攻击链的下一步涉及使用RTF文件下载利用 CVE-2017-11882 漏洞的文档，其中包含执行后续攻击阶段的shellcode。Shellcode 执行一系列检查以确定它是否在虚拟环境中运行，然后解密并运行用于从远程服务器加载下一阶段的 JavaScript 代码。

BlackBerry 的分析显示，攻击者一直使用旧的 Tor 节点作为第二阶段命令和控制 (C＆C) 服务器，同时继续依赖已知的 Sidewinder 域命名结构。

05

Andariel组织开展全球间谍活动

**披露时间：**2024年7月25日

**情报来源：**https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a

相关信息：

美国FBI宣称黑客组织Andariel正对全球多个国家多个机构实施间谍活动。主要针对国防、航空航天、核能和工程实体，以获取敏感和机密的技术信息和知识产权。

攻击者通过利用 Log4j 等软件中已知的漏洞广泛利用 Web 服务器，从而获得初始访问权限，部署 Web Shell 并获取敏感信息和应用程序的访问权限，以便进一步利用。然后，攻击者采用标准系统发现和枚举技术，使用计划任务建立持久性，并使用常见的凭据窃取工具（如 Mimikatz）执行特权升级。攻击者部署并利用自定义恶意软件植入程序、远程访问工具 (RAT) 和开源工具来执行命令、横向移动和数据泄露。使用的工具有TigerRAT、NukeSped、KaosRAT等，工具涉及键盘记录、截图、浏览器历史记录检查等功能。

此外，还使用恶意附件进行网络钓鱼活动，包括加密或未加密的 zip 档案内的 Microsoft Windows 快捷方式文件 (LNK) 或 HTML 应用程序 (HTA) 脚本文件。

06

DEV#POPPER黑客组织利用跨平台攻击开发者

**披露时间：**2024年7月31日

**情报来源：**https://www.securonix.com/blog/research-update-threat-actors-behind-the-devpopper-campaign-have-retooled-and-are-continuing-to-target-software-developers-via-social-engineering/

相关信息：

近日，研究人员发现由朝鲜支持的黑客组织DEV#POPPER正在进行一场针对软件开发者的跨平台恶意软件攻击，目标包括Windows、Linux和macOS系统。该攻击活动主要针对韩国、北美、欧洲和中东的开发者，通过伪装成招聘面试引诱受害者下载受感染的软件。攻击链涉及黑客假冒面试官，要求候选人下载包含恶意代码的ZIP档案。档案内的npm模块一旦安装，会执行混淆的JavaScript（即BeaverTail），识别操作系统并与远程服务器建立联系以窃取数据。新版本的恶意软件还包括一个Python后门程序InvisibleFerret，能够收集系统详细信息、访问浏览器中的Cookie、执行命令、上传/下载文件以及记录键盘和剪贴板内容。最新的样本增加了增强的混淆技术、利用AnyDesk软件保持持久性、改进的FTP数据泄露机制等功能。此外，Python脚本还负责从Google Chrome、Opera和Brave等浏览器中窃取敏感信息。

07

APT组织Donot利用“第七届COMAC国际科技创新周”主题进行钓鱼攻击

**披露时间：**2024年7月30日

**情报来源：**https://mp.weixin.qq.com/s/YOxHnvFsSF2pXBpnWUF3\_Q

相关信息：

近期，安全人员捕获到Donot组织对国内民众发起钓鱼活动。样本以“第七届COMAC国际科技创新周”为主题构造诱饵内容，内容显示该活动由中国商用飞机有限责任公司、重庆大学等主办。样本为伪装为pdf的lnk文件，当用户打开文件后，文件将执行Powershell代码，从远程服务器下载文件、执行文件、创建计划任务等。代码通过Invoke-WebRequest下载用于迷惑用户的中文主题PDF文件。此外，恶意文件被下载至特定目录，并且被重命名为Update.exe。update.exe中包含大段base64编码shellcode，程序经过多重解码、解密后调用内核函数将shellcode写入内存，并且通过异步过程调用执行shellcode。

攻击行动或事件情报

01

一次后攻击阶段升级控制活动分析

**披露时间：**2024年8月1日

**情报来源：**https://mp.weixin.qq.com/s/21or\_2wSIHjt9nsHt0nCHA

相关信息：

文章报告了一起用户设备在登录社交软件后自动向联系人发送疑似钓鱼链接的事件。奇安信病毒响应中心分析了用户提供的钓鱼链接和负载文件，发现攻击者在设备上注入了隐蔽的木马程序，并通过社交软件传播。此次攻击活动的主要目的在于感染更多设备和增强已受控设备远控功能。利用白利用、DLL侧加载、加密和多阶段检测和动态加载恶意载荷，具有比较复杂的攻击链，获得了较好的免杀性。

02

攻击者正围绕AI平台Sora制造钓鱼网站

**披露时间：**2024年7月31日

**情报来源：**https://cyble.com/blog/threat-actors-exploit-sora-ai-themed-branding-to-spread-malware/

相关信息：

安全人员在7月22日发现了一个钓鱼网站，该网站仿造SoraAI官网，并且，攻击者还盗取了Facebook账户去宣传该钓鱼网站。钓鱼网站提供zip压缩包，压缩包在VT的检测率为0。压缩包中包含一个py脚本，脚本采用zlib、bz2、gzip和lzma以及十六进制编码来混淆其负载。最终负载为BraodoStealer，该程序主要针对六款浏览器(Chrome、Firefox、Edge、Opera、Brave和Chromium)提取敏感信息，包括cookie、登录凭据、Web数据和本地状态。数据收集完成后，会压缩为ZIP文件，并通过向Telegram API发送HTTP POST请求，将其发送到两个单独的Telegram聊天ID。

03

UNC4393组织近期运营策略及其恶意软件使用情况披露

**披露时间：**2024年7月30日

**情报来源：**https://cloud.google.com/blog/topics/threat-intelligence/unc4393-goes-gently-into-silentnight/

相关信息：

UNC4393是一个以经济为目的的黑客组织，至少从2022年初开始活跃，是BASTA勒索软件的主要用户，常通过钓鱼攻击或者僵尸网络感染来部署BASTA勒索软件。目前，安全人员观测到该组织使用的恶意软件有BASTA、SYSTEMBC、KNOTWRAP、KNOTROCK、DAWNCRY。攻击者在获得主机的初始访问权限后，常使用BLOODHOUND、ADFIND等工具进行横向移动，使用LotL技术建立持久性，使用SYSTEMBC工具进行隧道通信。攻击者的主要目标是收集数据，以进行勒索和数据泄露，常使用RCLONE工具进行数据窃取。RCLONE是一个命令行程序，允许用户管理各种云存储平台上的文件。

04

Proofpoint电子邮件保护服务遭利用，致大规模钓鱼活动

**披露时间：**2024年7月30日

**情报来源：**https://thehackernews.com/2024/07/proofpoint-email-routing-flaw-exploited.htmlhttps://labs.guard.io/echospoofing-a-massive-phishing-campaign-exploiting-proofpoints-email-protection-to-dispatch-3dd6b5417db6

相关信息：

近期，安全人员发现了Proofpoint电子邮件保护服务的一个关键漏洞，该服务负责保护87家Fortune100强公司，漏洞被称为EchoSpoofing，允许攻击者发送数百万封伪造的网络钓鱼电子邮件，邮件利用Proofpoint的客户群，这些客户群包括迪士尼、IBM、耐克、百思买和可口可乐等知名公司和品牌。电子邮件从Proofpoint官方电子邮件中继中发出，带有经过身份验证的SPF和DKIM签名，从而绕过主要的安全保护措施，最终窃取资金和信用卡详细信息。经过分析，这些钓鱼电子邮件都有相同的特征，都从虚拟服务器上的SMTP服务器开始，经过Office365在线Exchange服务器，然后进入特定域的Proofpoint服务器，并通过该服务器将电子邮件发送给目标。漏洞源于Proofpoint对微软账户的限制过于宽松，导致任何Office365帐户都可以与Proofpoint中继服务器进行交互。该攻击活动始于2024年1月，据安全人员估算，每天平均有300万封伪造的电子邮件被发送到各个目标。

恶意代码情报

01

攻击者通过钓鱼投递ModiLoader瞄准波兰中小企业

**披露时间：**2024年7月30日

**情报来源：**https://www.welivesecurity.com/en/eset-research/phishing-targeting-polish-smbs-continues-modiloader/

相关信息：

近期，安全人员披露了多起ModiLoader的钓鱼投递活动。攻击活动主要针对波兰、罗马尼亚和意大利的中小型企业，其中波兰是遭受攻击的主要对象。攻击活动一般通过钓鱼电子邮件发送，邮件内容以商业报价为主，邮件附件包含一个压缩包文件，压缩包中携带ModiLoader恶意负载。ModiLoader是一个Delphi下载器，其任务是从Onedrive云或者其他服务器下载后续负载。最终被部署的有效负载有Agent Tesla、Rescoms和Formbook。三者均具有信息窃取功能，其中，Agent Tesla、Rescoms还具有远控功能。

02

SnakeKeylogger近期活动分析

**披露时间：**2024年7月29日

**情报来源：**https://asec.ahnlab.com/ko/81806/

相关信息：

近期，安全人员发现一起通过电子邮件传播SnakeKeylogger恶意软件的攻击活动。SnakeKeylogger是一种用.NET语言编写的Infostealer型恶意软件，其特点是使用电子邮件、FTP、SMTP或Telegram进行数据泄露。邮件与银行通知相关，附件为恶意文件。附件会释放恶意au3脚本和其他二进制文件，脚本代码经过混淆，经过分析可以推断脚本通过VirtualAlloc分配内存空间并在该内存空间中执行shellcode。ShellCode负责将SnakeKeylogger恶意软件注入正常进程。经分析，该恶意软件经过攻击者自定义，仅具有信息窃取功能，可从系统中存在的电子邮件、浏览器、FTP和SNS等服务中窃取数据(帐户信息等)。

03

Mint Stealer恶意软件框架的深度分析报告

**披露时间：**2024年7月30日

**情报来源：**https://www.cyfirma.com/research/mint-stealer-a-comprehensive-study-of-a-python-based-information-stealer/

相关信息：

Cyfirma发布的报告详揭示了Mint Stealer技术细节和作为MaaS框架的运作方式。Mint Stealer是一种新型的信息窃取恶意软件，作为恶意软件即服务（MaaS）的一部分，专门设计用于秘密窃取敏感数据。Cyfirma的专家团队对Mint Stealer的编译、执行、数据窃取和传输等环节进行了全面技术分析。研究发现，该恶意软件使用Nuitka编译器提高隐蔽性和效率，并通过多阶段执行流程避开安全检测。

Mint Stealer的第一阶段涉及看似无害的可执行文件，第二阶段在系统中创建临时目录并加载必要代码，第三阶段收集系统数据并上传至文件共享网站，同时与C2服务器通信。开发者展示了高适应性和技术熟练度，不断更新恶意软件以绕过安全措施，并利用Telegram提供客户支持，通过专门网站销售，显示了成熟的市场和分销网络。

04

2024年上半年勒索攻击组织盘点

**披露时间：**2024年8月1日

**情报来源：**https://mp.weixin.qq.com/s/D87mIzROHIpYmi6Rl7j2Tg

相关信息：

安天发布报告盘点了2024年上半年勒索攻击。据不完全统计，截至2024年上半年，至少有62个不同名称的组织曾发布过受害方信息，其中20个是2024年新出现的勒索攻击组织，这些攻击组织已经发布超过2700个来自不同国家和地区的受害方信息，涵盖医疗保健、公共管理、社会保障、金融、能源、制造和教育等多个关键行业。

2024上半年活跃的勒索攻击组织，包括8Base、Akira、BianLian、Black Basta、Hunters International、INC、LockBit、Medusa、Play和RansomHub等，这些组织通过勒索即服务、基于勒索赎金和贩卖数据的方式运营。同时，还列举了2024年上半年新出现的勒索攻击组织，如APT73、Brain Cipher、SenSayQ和SEXi（APT INC）等。

漏洞情报

01

CVE-2024-7339：DVR 漏洞使超过 400,000 台设备面临黑客攻击

**披露时间：**2024年8月2日

**情报来源：**https://mp.weixin.qq.com/s/exvemLPx1LL-2dLgarlchA

相关信息：

一个被标记为 CVE-2024-7339 的安全漏洞被发现存在于多种流行的 DVR（数字视频录像机）设备中，包括 TVT、Provision-ISR、AVISION 等品牌的机型。该漏洞使多达 408,035 台设备面临未经授权的访问和潜在利用的风险。

该漏洞存在于设备的 Web 服务器中，该服务器缺乏访问控制。这允许攻击者远程提取敏感信息，包括硬件和软件版本、序列号和网络配置。利用这些数据，恶意行为者可以发起进一步的攻击，例如有针对性的入侵、设备接管、数据泄露等。

02

多个勒索团伙利用 VMware ESXi 漏洞CVE-2024-37085 攻击

披露时间：2024年7月31日

**情报来源：**https://securityaffairs.com/166432/hacking/vmware-esxi-cve-2024-37085-vulnerable-instances.html

相关信息：

Shadowserver 基金会的研究人员报告称，大约 20,000 台在线暴露的 VMware ESXi 服务器似乎受到了被利用的漏洞CVE-2024-37085的影响。

微软本周警告称，Storm-0506、Storm-1175、 Octo Tempest和 Manatee Tempest等多个勒索软件团伙正在利用 VMware ESXi 漏洞中最近修补的漏洞 CVE-2024-37085（CVSS 评分为 6.8），以获取加入域的 ESXi 虚拟机管理程序的完全管理权限。该漏洞是 VMware ESXi 中的一个身份验证绕过漏洞。

点击阅读原文至ALPHA 5.0

即刻助力威胁研判