每周高级威胁情报解读(2021.02.18~02.25)

披露时间：2021年02月22日

情报来源：https://mp.weixin.qq.com/s/odBlrTBNXzJHDuXU_2ljZQ

相关信息：

近日，奇安信红雨滴团队在日常高价值威胁挖掘过程中，捕获两例哈萨克斯坦地区上传样本，样本以哈萨克斯坦Kazchrome企业信息为诱饵，Kazchrome据称是全球最大的高碳铬铁生产商。诱导受害者启用恶意宏，一旦宏被启用后，恶意宏将释放执行远控木马到计算机执行，经分析溯源发现，释放执行的木马疑似是奇幻熊组织常用Zebrocy变种。

奇幻熊组织，业界对其有各种别名：APT28、Sednit、Pawn Storm、Sofacy Group、STRONTIUM，主要针对高加索和北约开展网络攻击活动，近期其目标越来越多出现在中亚地区，主要攻击领域为对政府军事和安全组织。

披露时间：2021年02月24日

情报来源：https://mp.weixin.qq.com/s/RC1S7yrYT-o9oyPHkPE-ow

相关信息：

2021年2月，奇安信威胁情报中心移动安全团队在移动端高级威胁分析运营过程中，发现APT组织“透明部落”新近活动采用的移动端Tahorse RAT出现新变种。Tahorse RAT是APT组织“透明部落”此前基于开源的Ahmyth远控定制生成，于2020年8月25日被奇安信进行命名披露。此次Tahorse RAT变种主要去掉了漏洞的使用，但其恶意功能保持不变，部分变种还增加了Google提供的FireBase能力实现云控制，目前未发现此恶意代码对国内有影响。

2020年8月，奇安信威胁情报中心移动安全团队与安全厂商卡巴先后披露了APT组织“透明部落”在移动端的攻击活动。通过关联分析，我们发现到此次Tahorse RAT新变种样本出现在被披露后的第二周；通过与2020年7月印度陆军禁用的89款APP名单比较发现，新变种应用均避开了禁用的APP名单，伪装成新的社交应用进行传播，甚至直接伪装成印度陆军新闻应用进行攻击，可见该组织具备较快的更新响应能力。

“透明部落”是一个南亚来源具有政府背景的APT组织，其长期针对周边国家和地区的军队和政府机构实施定向攻击。为了防止威胁的进一步扩散，奇安信威胁情报中心对该安全事件进行详细分析和披露，以提醒各安全厂商第一时间关注相关的攻击事件。

披露时间：2021年02月24日

情报来源：https://mp.weixin.qq.com/s/tevxtAj3Ybe4xJuO45KPhA

相关信息：

WIRTE 组织至少在2018年8月开始进行间谍活动，最早是由 S2 Grupo 安全人员在取证中所发现，活动一直持续针对中东地区目标，涉及约旦、巴勒斯坦等不同国家的国防、外交、司法等部门。此外，根据思科的调查，攻击者通常在早晨（中欧时区）活跃，这意味着攻击目标可能与该地区的地缘政治环境有关。

该组织攻击者十分注重资产的隐蔽，攻击者使用信誉良好的 CloudFlare 系统来隐藏其基础架构的性质和位置。根据国外安全厂商的取证研究，攻击者通常在攻击阶段部署多个侦查脚本，以检查受害者计算机的有效性，从而阻止了不符合其条件的系统。

该组织通常在攻击活动中投递携带有恶意宏代码的表格文档诱饵，在目标受害者触发宏代码后广泛使用脚本语言（VBScript、PowerShell、VBA）作为攻击的一部分，最终通过 Empire 框架进行下一阶段的攻击。除此之外，该组织早期也曾投递过 VBS 类型的诱饵，加载后会释放出 DOC 文档迷惑受害者。。

披露时间：2021年02月19日

情报来源：https://unit42.paloaltonetworks.com/ironnetinjector

相关信息：

最近，Unit 42的研究人员发现了几个恶意的IronPython脚本。这些脚本的利用方式非常新颖，被称为自带解释器(BYOI)，它描述了使用解释器(默认情况下不存在于系统上)来运行解释后的编程或脚本语言的恶意代码。其中IronPython脚本只是该工具的第一部分，加载恶意软件的主要任务由.NET注入器完成，研究人员将该注入器命名为IronNetInjector。

IronNetInjector作为Turla不断发展的军火库中的工具集，它的结构与以前PowerShell脚本使用的内存加载机制执行恶意软件的结构类似，包含一个嵌入式的PE加载程序，以执行带有恶意软件有效负载。有效负载可以是.NET程序集(x86/64)也可以是本机PE(x86/64)。运行IronPython脚本时，它将加载.NET注入程序IronNetInjector，然后将有效负载注入其自身或远程进程。

披露时间：2021年02月23日

情报来源：https://www.amnestyusa.org/reports/vietnamese-activists-targeted-by-notorious-hacking-group/

相关信息：

近日，Amnesty Tech披露了OceanLotus从2018年2月到2020年11月对人权捍卫者(human rights defenders)的网络攻击活动。据悉，OceanLotus是来自东南亚的APT组织，该组织从2014年开始一直保持着活跃状态，主要的攻击目标是私企和人权捍卫者。

AmnestyTech的安全研究员捕获了海莲花针对非营利性人权组织攻击的最新样本，包括Windows平台和MacOs平台。

其中，在Windows平台上运行的是一款名为Kerdown的恶意软件。Kerrdown是一个下载器，该恶意软件可以在受害者主机上安装其他恶意软件并打开诱饵文档以迷惑用户。在此次攻击事件中，Kerrdown下载了CobaltStrike的后门木马以实现对受害者主机的完全控制，在过去三年中，海莲花一直在使用CobaltStrike进行APT攻击。

在MacOS平台上运行的是一款名为Spyware的恶意软件，该恶意软件最早由趋势科技在2018年4月披露，Spyware感染受害者主机后，攻击者可自由的访问受害者系统，窃取信息、下载文件、上传其他攻击组件或执行shell命令。

披露时间：2021年02月22日

情报来源：https://mp.weixin.qq.com/s/y2kRbYCt94yPu-5jtcZ_AA

相关信息：

安天CERT近期在APT组织攻击活动狩猎工作过程中，捕获到一起“幼象”组织针对巴基斯坦国防制造商的攻击活动。在本次攻击活动中“幼象”向受害者投递包含用于社工掩护的空白RTF文档以及包含恶意链接的LNK文件的压缩包，其中压缩包、RTF文档以及LNK文件的文件名都与巴基斯坦工程产品制造企业Heavy Mechanical Complex Ltd(重型机械联合有限公司，该公司隶属于巴基斯坦工业和生产部下属的国家工程公司)有关。

攻击者通过LNK文件的文件名，诱导受害者点击执行LNK文件，当LNK文件被执行后便会通过Windows系统自带工具MSHTA执行第二阶段的恶意HTA脚本，第二阶段恶意HTA脚本则会连接攻击者的恶意载荷托管服务器下载“WRAT”恶意软件，同时创建计划任务定时启动“WRAT”恶意软件。

披露时间：2021年02月22日

情报来源：https://www.ndss-symposium.org/wp-content/uploads/ndss2021_1B-4_24117_paper.pdf

相关信息：

研究人员展示了一种新颖的攻击类型，它可以使不良行为者有可能规避现有对策，并破坏数字签名PDF文档的完整性保护。波鸿鲁尔大学的学者将该技术称为“影子攻击”，该技术使用了“ PDF规范提供的巨大灵活性，因此影子文档保持符合标准”。

这些发现已于2021年2月22日在网络和分布式系统安全研讨会(NDS)上发布，经过测试的29个PDF查看器中有16个(包括Adobe Acrobat，Foxit Reader，Perfect PDF和Okular)容易受到影子攻击。为了进行攻击，恶意行为者会创建具有两个不同内容的PDF文档：一个是签名文档的一方所期望的内容，另一个是在PDF签名后显示的一部分隐藏内容。

攻击的核心是利用不会损害签名的“无害” PDF功能，例如允许对PDF(例如，填写表格和“交互式表格”(例如文本)进行更改的“增量更新”。字段，单选按钮等)，将恶意内容隐藏在看似无害的叠加层对象后面，或在签名后直接替换原始内容。

攻击者可以构建一个完整的影子文档，从而影响每页甚至页的总数以及其中包含的每个对象的显示方式。简而言之，该想法是创建一个表单，该表单在签名前后显示相同的值，但是在攻击者的操纵后一组完全不同的值。

披露时间：2021年02月18日

情报来源：https://sansec.io/research/google-apps-script

相关信息：

Sansec获悉，攻击者利用谷歌的Apps Script业务应用开发平台窃取电子商务网站用户在网上购物时提交的信用卡信息。他们使用script.google.com域名成功地隐藏了恶意软件扫描引擎的恶意活动，并绕过了内容安全策略(CSP)控件。

攻击者将一小部分混淆的恶意代码注入到电子商务站点中，恶意代码将拦截信用卡信息并发送到Google Apps Script业务应用开发平台。研究人员通过一部分错误消息可知，被拦截的个人数据由Google服务器发送到了地属以色列的域名analit.tech，该恶意软件域analit.tech与先前发现的恶意软件域hotjar.host和pixelm.tech都在同一天进行了注册，且托管在同一网络上。

这种新的威胁表明，仅保护Web存储区不与不受信任的域进行通信是不够的。电子商务平台首先需要确保攻击者不能注入未经授权的代码。在任何安全策略中，服务器端恶意软件和漏洞监视都必不可少。

披露时间：2021年02月22日

情报来源：https://www.fireeye.com/blog/threat-research/2021/02/accellion-fta-exploited-for-data-theft-and-extortion.html

相关信息：

近日，FireEye披露2020年12月利用Accellion FTA服务器0day漏洞攻击全球100家左右企业的黑客组织是FIN11。在攻击中，黑客利用4个安全缺陷攻击FTA 服务器，安装了一个名为“DEWMODE”的webshell，之后用于下载存储在受害者FTA设备上的文件。在约300个FTA客户端中，受害者约100人，而其中1/4的人遭受严重的数据盗取事件。

在FTA文件分享服务器遭攻击数据被盗窃之后，某些受害人收到了勒索留言，攻击者发送邮件要求支付比特币，或者在由Clop勒索团伙运营的“泄露”网站上公开受害者数据。

FireEye调查后发现这些攻击活动和两个组织(UNC2546和UNC2582)有关。这两个组织的基础设施和FIN11组织都存在重叠之处。目前FIN11正在Clop勒索软件泄露站点上公布Accellion FTA客户信息，但这些企业的内部网络并未被加密，而是沦为勒索攻击受害者。

披露时间：2021年02月17日

情报来源：https://us-cert.cisa.gov/ncas/alerts/aa21-048a

相关信息：

FBI，CISA和美国财政部最近发布了一份联合咨询报告，着重指出了使用AppleJeus恶意软件的多种变体的Lazarus Group构成的威胁。该报告总共命名了七个伪造的加密货币交易应用程序，这些应用程序已被开发或修改为包括AppleJeus变种以窃取加密货币。

AppleJeus至少从2018年开始活跃，到目前为止，加密货币盗窃活动已使用多种恶意应用程序进行了传播，这些应用程序包括Celas Trade Pro、JMT Trading、Union Crypto、Kupay Wallet、oinGoTrade、Dorusio和Ants2Whale。攻击者使用了多种初始感染媒介，例如网络钓鱼、社交网络和社交工程技术，以诱使受害者下载恶意软件。

2020年1月，Lazarus Group修改了其方法，以通过操纵应用程序交付AppleJeus的macOS用户为目标。通过对其技术稍作修改，Lazarus Group已经能够从加密货币交易所和个人帐户中窃取和洗出数亿美元的加密货币。仅在过去的一年中，该组织就将目标锁定在30个国家的加密货币交易所和金融服务公司，这使它成为网络安全专业人员的关注焦点。

披露时间：2021年02月17日

情报来源：https://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html

相关信息：

思科Talos最近披露了一起利用Masslogger木马变种进行的活动，该变种旨在从多种来源(例如Microsoft Outlook，Google Chrome和即时通讯程序)中检索和泄露用户凭据。

其感染链始于一封企业信息相关的电子邮件，该电子邮件包含.chm后缀名附件。CHM是一个已编译的HTML文件，其中包含带有JavaScript代码的嵌入式HTML文件，以启动主动感染过程。第二阶段是PowerShell脚本，该脚本最终反模糊化为下载器，然后下载并加载主PowerShell加载器。主要有效负载是Masslogger木马的一种变体，该木马旨在从各种来源中检索和泄露用户凭证，以家庭和企业用户为目标。

除了最初的电子邮件附件外，攻击的所有阶段都是无文件的，在内存中执行。主要感染在西欧地区。

披露时间：2021年02月18日

情报来源：https://redcanary.com/blog/clipping-silver-sparrows-wings/

相关信息：

近日，研究人员发现了一种基于MacOS的新型恶意下载器，该恶意软件可利用 MacOS Installer JavaScript API执行可疑命令，且可以感染Apple的M1 ARM64架构编译的文件。该恶意软件被研究人员命名为“Silver Sparrow”。截至2月17日，Silver Sparrow已在153个国家/地区感染了29139个MacOS端点。

基于此恶意软件可在M1芯片上本地运行，研究人员调查发现了银雀恶意软件的两个版本：即Intel系列Mac设备和基于M1的、以及旧版的Mac设备。行为分析显示，每隔一小时，受感染的Mac就会检查C2上是否有新的恶意软件需要下载或被运行。然而，一周后研究人员还未发现后续的有效负载，因此未发现Silver Sparrow所针对的目标。

披露时间：2021年02月23日

情报来源：https://www.trendmicro.com/en_us/research/21/b/nefilim-ransomware.html

相关信息：

Nefilim是著名的勒索软件变种之一，其可以通过暴露的RDP到达系统。某些情况下攻击者也会使用其他已知漏洞进行初始访问，例如Citrix漏洞(CVE-2019-19781)。

进入受害系统后，攻击者利用几种合法工具进行横向移动。例如，它使用PsExec或Windows Management Instrumentation(WMI)进行横向移动，删除并执行其他组件，包括勒索软件本身。据观察，Nefilim使用批处理文件终止某些进程和服务。它甚至使用PC Hunter，Process Hacker和Revo Uninstaller等第三方工具来终止与防病毒相关的进程，服务和应用程序。它还使用AdFind，BloodHound或SMBTool来识别活动目录和/或连接到域的计算机。

披露时间：2021年02月24日

情报来源：https://mp.weixin.qq.com/s/7sYkj9uXT2ShRzfEkhpHYA

相关信息：

近日，奇安信CERT监测到VMware官方发布多个关于vCenter Server、ESXi的风险通告，其中包括VMware vCenter Server远程代码执行漏洞(CVE-2021-21972)、VMware ESXi堆溢出漏洞(CVE-2021-21974)两个高危漏洞，目前官方已有可更新版本。鉴于漏洞危害较大，建议用户及时安装更新补丁。

VMware vCenter Server远程代码执行漏洞(CVE-2021-21972)：vSphere Client(HTML5)在vCenter Server插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求，从而在服务器上写入webshell，最终造成远程任意代码执行。

VMware ESXi堆溢出漏洞(CVE-2021-21974)：当在OpenSLP服务中处理数据包时，由于边界错误，本地网络上的远程非身份验证攻击者可以将伪造的数据包发送到端口427/tcp，触发基于堆的缓冲区溢出，并在目标系统上执行任意代码。

披露时间：2021年02月19日

情报来源：https://blog.python.org/2021/02/python-392-and-388-are-now-available.html

相关信息：

Python软件基金会(PSF)推出了Python 3.9.2和3.8.8，以解决两个显著的安全漏洞，其中一个漏洞可以远程利用，可使计算机脱机。PSF正在敦促其Python用户群尽快升级到Python 3.8.8或3.9.2，特别是为了解决远程代码执行漏洞，该漏洞被跟踪为CVE-2021-3177。

Python 3.x到3.9.1的ctypes/callproc.c中的PyCArg_repr存在缓冲区溢出，这可能导致远程代码执行。