每周高级威胁情报解读(2021.07.15~07.22)

披露时间：2021年07月19日

情报来源：https://mp.weixin.qq.com/s/v62AeG6vNcQTm1-zc4nXBQ

相关信息：

近日，奇安信威胁情报中心红雨滴团队在日常威胁狩猎时发现，南亚地区APT组织Donot攻击活动频发。其利用RTF格式文档中的*template目标控制字加载远程恶意模板文件针对阿富汗地区军事组织及相关人员进行攻击。此次活动中样本所加载的Payload均采用多层解密，最后在内存中加载恶意代码BaneChant（MMCore）后门，该后门此前曾被披露为摩诃草、BITTER组织在攻击中所使用的攻击武器。

此外，南亚地区各组织间关系密切，地缘归属相同，攻击目标相似，其部分工具存在重叠性特征，不排除背后支持的国家机构为同一组织。红雨滴威胁情报研究团队会对相关攻击活动持续进行跟踪，及时发现安全威胁并快速响应处置。

披露时间：2021年07月16日

情报来源：https://mp.weixin.qq.com/s/6zy3MXSB_ip_RgwZGNmYYQ

相关信息：

360高级威胁研究院近日披露了一起新的境外APT组织活动，该活动最早可追溯到2020年1月，至今仍然活跃。其APT组织的攻击活动主要针对南亚地区巴基斯坦、孟加拉等国家的国家机构、军工、科研、国防等重要领域。与南亚地区已知活跃的蔓灵花、响尾蛇等APT组织暂无关联，疑似属于新的APT攻击组织。

该APT组织通过鱼叉邮件配合社会工程学手段进行渗透，向目标设备传播恶意程序，暗中控制目标设备，持续窃取设备上的敏感文件。由于其使用的C2、载荷下发、窃取的数据存储等均依赖于云服务，且使用的木马为Python语言编写，因此研究人员将其命名为腾云蛇，编号为APT-C-61。

披露时间：2021年07月20日

情报来源：https://mp.weixin.qq.com/s/y-SHoh9f5qwAwqml3uf8vw

相关信息：

近期深信服安全团队捕获到了Lazarus组织针对加密货币相关行业的社工攻击活动。该组织在寻找到攻击目标信息后，疑似通过即时通讯软件主动和目标取得联系，并发送修改过的开源PDF软件(Secure PDF Viewer.exe)和携带加密Payload的恶意PDF文件(Android Hardware Wallet.pdf)。单独打开“Secure PDF Viewer.exe”无恶意行为，“Android Hardware Wallet.pdf”无法用常规软件打开，所以该组织会利用社工的方式，诱使攻击目标使用exe文件查看pdf文件，最终解密出后台恶意程序执行，达到远控和窃取信息的目的。

在对比2021年初Google披露的Lazarus组织针对安全研究人员的攻击活动后，研究人员发现本次活动有以下特征：

披露时间：2021年07月15日

情报来源：https://asec.ahnlab.com/ko/25351/

相关信息：

ASEC研究人员发现，Kimsuky使用的相同类型的VBA代码仍然在继续分发。该组织近期投放的攻击样本通过外部链接下载带有恶意宏的dotm文件，宏代码启用后将执行Powershell指令下载Powershell脚本，恶意脚本功能包括收集用户信息、上传下载文件等。此次活动样本以BIO为诱饵，疑似针对生物相关行业。

披露时间：2021年07月19日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/new-threat-actor-uses-spanish-language-lures-distribute-seldom-observed-bandook

相关信息：

Proofpoint研究人员确定了一个新的高度活跃的网络攻击者团伙，并命名为TA2721（也称为Caliente Bandits）。自2021年1月以来，TA2721发起的小规模活动每次影响不到100个组织。目标包括制造、汽车、食品和饮料、娱乐、媒体、银行、保险和农业领域的实体。涉及美国、欧洲和南美洲的实体以及跨国组织和小型企业。不同行业里只有少数人遭受到此类攻击，而且大多数人都有西班牙语姓氏，如佩雷斯、卡斯蒂略、奥尔蒂斯等。

钓鱼诱饵多为预算或支付为主题。感染链涉及一个包含URL的PDF，该URL指向安装Bandook恶意软件的加密RAR文件。攻击者倾向于在几周或几个月的时间内使用相同的命令和控制(C2)基础设施。在过去的六个月里，Proofpoint只观察到三个不同的C2域名。

披露时间：2021年07月19*日

情报来源：https://blog.malwarebytes.com/threat-analysis/2021/07/remcos-rat-delivered-via-visual-basic/

相关信息：

近期，Malwarebytes研究人员披露了一起以金融为主题传播Remcos远控马的钓鱼邮件活动。该活动以下发包含Visual Basic脚本(.vbs)的zip文件为主，运行后将下载PowerShell脚本并加载RemcosRAT到合法的Windows二进制文件aspnet_compiler.exe中。

RemcosRAT是一款功能齐全且非常成熟的的商业RAT，其历经多年发展，键盘记录、音频视频录制、截图、收集系统信息等基本远控功能保持不变，但下发途径和安装方法却在不断变化。由于其商业性与”知名度”，目前较难追踪或归因于特定参与者使用。

披露时间：2021年07月20日

情报来源：https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/

相关信息：

国际特赦组织联合Forbidden Stories披露了以色列NSO Group利用iMessage中零点击0 day安装间谍软件Pegasus进行的广泛、持续的非法监视和侵犯人权活动。目前已有1000多名受感染用户身份被确认，其中包括阿拉伯王室成员、企业高管、人权活动家、记者、政府工作者、持反对政见者等。在对多个国家的人权捍卫者和记者的移动设备进行分析后，研究人员发现Pegasus入侵特征如下：

苹果公司目前正在调查此事，并表示像上述那样的攻击非常复杂，开发成本为数百万美元，通常有效时间很短，并且仅用于针对特定的个人。

披露时间：2021年07月20日

情报来源：https://www.bitdefender.com/blog/labs/debugging-mosaicloader-one-step-at-a-time

相关信息：

Bitdefender研究人员发现新的恶意下载器，可以向受感染系统传送任意负载。其具有复杂的内部结构，旨在绕过恶意软件分析。研究人员将其命名为MosaicLoader。该恶意软件通过搜索结果中的付费广告投放，旨在引诱寻找破解软件的用户感染他们的设备。

一旦植入系统，最初的基于Delphi的dropper会从远程服务器获取下一阶段的payload，并在Windows Defender中为下载的可执行文件添加本地排除项以绕过杀毒软件的扫描。之后恶意软件将创建一个复杂的进程链并尝试下载各种负载，从简单的cookie窃取程序到加密货币挖掘程序或更复杂的负载，例如Glupteba后门。MosaicLoader的执行流程以及攻击者采用的一些技术，包括：

此外，MosaicLoader的执行流程与WarzoneRAT相似，但其C2服务器与下发的有效负载似乎与WarzoneRAT背后的威胁组织魔罗桫无关。

披露时间：2021年07月19日

情报来源：https://www.fortinet.com/blog/threat-research/fresh-malware-hunts-for-crypto-wallet-and-credentials?&web_view=true

相关信息：

FortiGuard研究人员近日发现网络钓鱼活动传播新型恶意软件Dmechant以窃取加密钱包信息及凭据。原始钓鱼邮件主题为订单相关，其附件包含恶意宏代码，宏代码被启用后将调用Shell执行JS指令并在本地释放恶意负载。

其恶意负载伪装为PDF文件，运行后在内存中加载恶意代码以检测设备中的加密钱包配置文件以及浏览器凭证，收集的加密钱包包括Zcash、Armory、Bytecoin、Electrum、Atomic等。最后，恶意软件通过SMTP将收集到的数据发送至C2。

披露时间：2021年07月15日

情报来源：https://unit42.paloaltonetworks.com/gasket-and-magicsocks-tools-install-mespinoza-ransomware/

相关信息：

Mespinoza（Pysa）是一个长期活跃的勒索家族，该团队攻击目标遍布全球，主要是针对政府和商业相关的网络发起攻击。近期，Unit42的安全研究员发现Mespinoza家族异常活跃，对美国的房地产、工业制造、教育等行业发起了频繁的攻击。赎金要求高达160万美元，最高支付记录高达470,000美元。

在对攻击事件进行梳理和详细分析之后，安全研究员发现Mespinoza的策略和商业模式有所改变。新版本的Mespinoza在感染受害者网络之后，将安装一个由golang编写的Gasket的后门软件，该后门会与C2通信并尝试收集并回传受害者主机上有价值的数据，使得Mespinoza以此对受害者进行威胁，提升受害者支付赎金的概率。

“有趣”的是，Mespinoza将受害者称为“合作伙伴”，该勒索软件团伙试图将自己作为一家企业运营，并将受害者视为为其利润提供资金的商业伙伴。

披露时间：2021年07月22日

情报来源：https://mp.weixin.qq.com/s/i4suHWEp7vua9siUZQSMSg

相关信息：

近日，奇安信CERT监测到微软紧急发布CVE-2021-36934 Windows 提权漏洞通告，目前该漏洞细节及POC已公开。由于对多个系统文件（包括安全帐户管理器 (SAM) 数据库）的访问控制列表 (ACL) 过于宽松，存在特权提升漏洞。

成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。经过身份认证的攻击者可利用此漏洞在目标设备上以SYSTEM 权限运行任意代码。鉴于此漏洞细节及POC已公开，建议客户尽快排查受影响机器并采用缓解措施。

披露时间：2021年07月20日

情报来源：https://labs.sentinelone.com/cve-2021-3438-16-years-in-hiding-millions-of-printers-worldwide-vulnerable/

相关信息：

SentinelLabs披露在HP、Samsung和Xerox打印机驱动程序中发现的一个严重的缓冲区溢出漏洞。该漏洞自2005年就开始存在，追踪为CVE-2021-3438，CVSS评分为8.8，影响超过380款的惠普和三星打印机，以及12种Xerox打印机。

该漏洞位于打印驱动程序安装程序包SSPORT.SYS中，本地攻击者可以利用该漏洞将权限提升到SYSTEM并在内核模式下运行代码，来安装、查看、更改、加密或删除数据等。目前，该漏洞已经修复。

披露时间：2021年07月16日

情报来源：https://ethz.ch/en/news-and-events/eth-news/news/2021/07/four-cryptographic-vulnerabilities-in-telegram.html

相关信息：

研究团队披露了Telegram的加密协议中的4个安全漏洞。Telegram依赖于自己的MTProto加密协议，而不使用像Transport Layer Security这样更广泛的协议。

研究人员将发现的最严重的漏洞称之为“crime pizza”，攻击者利用该漏洞可以轻易地修改从客户端到云服务器的消息序列。此外，研究人员还演示了攻击者如何对客户端和服务器之间的初始密钥协议发起中间人攻击。