每周高级威胁情报解读

披露时间：2020年07月30日

情报来源：

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/operation-north-star-a-job-offer-thats-too-good-to-be-true/

相关信息：

由于经济不景气，求职者越来越多，一些网络攻击组织便开始伪装成职位需求相关信息开展攻击活动，据McAfee高级威胁研究团队监测发现，近期，针对航空航天和国防行业的恶意攻击有所增加。此刻攻击活动疑似出自Hidden Cobra之手，该组织与Lazarus,Kimsuky,KONNI,APT37存在关联，这些攻击活动将诱饵伪装成全球领先的国防承包商职位信息，对具有相关技能和工作经验的人群发动攻击，这些攻击活动通常采用模板注入从远程服务器加载带有恶意宏的文件执行，之后利用宏代码释放执行后门，从而控制受害者计算机，以达到窃取敏感信息的目的。

披露时间：2020年07月28日

情报来源：

https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/

相关信息：

Lazarus APT组织是疑似具有东北亚背景的APT团伙，该组织攻击活动最早可追溯到2007年，其早期主要针对韩国、美国等政府机构，以窃取敏感情报为目的。自2014年后，该组织开始针对全球金融机构、虚拟货币交易所等为目标，进行以敛财为目的的攻击活动。

披露时间：2020年07月27日

情报来源：

https://www.sentinelone.com/blog/four-distinct-families-of-lazarus-malware-target-apples-macos-platform/

相关信息：

披露时间：2020年07月25日

情报来源：

https://blog.alyac.co.kr/3120

相关信息：

      近日，韩国安全厂商ESTsecurity发现Fake Striker APT活动与黑客组织Tallium有直接关系。微软于2019年12月18日向弗吉尼亚联邦法院提起针对该组织的投诉，并于12月30日在其官方博客上发布了相关信息，揭露该组织的主要攻击目标为政府官员，智囊团研究人员，大学职员，人权团体和成员。据ESRC分析，该组织正伪装成韩国的主要机构或社会官员进行网络攻击。朝鲜叛逃者，朝鲜研究人员和朝鲜人权组织也在其攻击目标中。该组织在韩国进行攻击的典型方法为将恶意代码直接插入韩国常用的hwp和Word(doc)等文档文件中，然后将其直接传递到每个受害者者电子邮件中。通过未授权访问，将正常电子邮件正文中的附件替换为恶意附件，然后重新发送。

披露时间：2020年07月30日

情报来源：

https://mp.weixin.qq.com/s/ferNBN0ztRknN84IpPpwgQ

相关信息：

近期，奇安信病毒响应中心在日常跟踪黑产团伙过程中，发现了金眼狗团伙更新了其攻击手法，与国外分发商进行合作，开始向国内企业投递中文垃圾邮件。

恶意宏样本会从远程服务器下载经过魔改的GreenBrowser下载者，执行远程SCT脚本，下载白签名的解压程序去解压挂在七牛云上的压缩包，压缩包主要用于DLL-Sideloading，包含众多模块，内存加载金眼狗特有的RatLoader程序，最终运行Ghost远控与通信模块一起完成远控功能。

披露时间：2020年07月27日

情报来源：

https://mp.weixin.qq.com/s/-7qIcUSrznw8qtxWeuEX7g

相关信息：

近日，奇安信病毒响应中心在日常黑产挖掘过程中发现一种利用支付宝支付和微信支付进行诱导诈骗的新型黑产项目，在地下论坛中被称为“暗雷”和“明雷”。实际效果为：表面支付1元实际支付0-5000任意金额。由于“暗雷”和“明雷”在表现形式上有所不同，再结合对应的支付平台，该新型诈骗一共有三种形式：微信明雷、微信暗雷、支付宝暗雷。通过调查发现“微信暗雷”并不存在，圈内用来进行“黑吃黑”，诈骗购买暗雷源码的黑产从业人员。我们会在下面的内容中进行详细的分析，同时我们对这类新型诈骗的市场进行了深入的调研，从源码搭建、售卖到洗钱过程，已形成一条完整的黑产生态链。

与我们在四月份发表的《窥探裸聊诈骗背后黑色产业链的一角》一文中的APK类似，本次披露的新型诈骗使用的APK本身并没有特别明显的恶意行为，只是作为诈骗过程中的一环，支持双端APP（Android,IOS）。杀软一般不会进行报毒，故一旦安装了这些app，就会落入诱导消费的圈套，最终导致财产的损失。

披露时间：

2020年07月27日

情报来源：

https://www.seqrite.com/blog/blue-mockingbird-threat-group-targets-servers-in-india-for-cryptomining/

相关信息：

      自19年以来，网络犯罪组织正以惊人的速度传播挖矿恶意软件，一般利用公开漏洞对服务器进行攻击，以传播挖矿软件，服务由于其具备挖矿的高性能配置而受到黑客的青睐。

       近期，据Seqrite安全研究人员监测发现，印度有上百万服务器收到挖矿恶意软件的影响，在一些攻击行动中，黑客通过CVE-2019-18935完成初步攻击，进而释放执行Powershell下载器，恶意软件利用多种技术实现持久性，并使用随机名称创建多个计划任务。在过程中使用了COR_PROFILER COM劫持执行恶意DLL。在每台感染服务器上都发现了多个拥有相同哈希，但名称不同的XMR矿工 dll文件。矿工进入网络后，将执行横向移动，以感染网络中的更多机器。经分析，此次攻击活动与Blue Mockingbird存在联系。

披露时间：

2020年07月30日

情报来源：

https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/

相关信息：

       Intezer 研究人员近期捕获了一种新型恶意软件，该恶意软件于2020年1月被上传到VT，但至今仍没有一家杀软检出，Doki利用DynDNS服务和基于Dogecoin加密货币区块链的独特域生成算法（DGA）来实时查找其C2域。Intezer将其命名为Doki。

       Doki是多线程的，并使用embedTLS库进行加密功能和网络通信。执行后，恶意软件将创建一个单独的线程以处理所有C2通信。

该恶意软件首先使用其独特的DGA生成C2域。为了构造C2地址，恶意软件执行以下步骤：

1. 查询dogechain加密货币区块浏览器dogechain.infoAPI，以获取从攻击者控制的硬编码钱包地址发送（spent）的值。查询格式为：https : //dogechain.info/api/v1/address/sent/{address}

2.  对sent下返回的值执行SHA256计算

3.  保存SHA256值的十六进制字符串表示形式的前12个字符，用作子域。

4. 通过将子域附加到ddns.net来构造完整地址。一个示例域是：6d77335c4f23 [.] ddns[.] net

披露时间：

2020年07月23日

情报来源：

https://blog.talosintelligence.com/2020/07/prometei-botnet-and-its-quest-for-monero.html

相关信息：

       思科Talos团队近期发现了一个新型复杂的攻击活动，该攻击活动采用了多种传播方式传播多模块的僵尸网络以及其他恶意负载，该恶意负载专注于挖掘门罗币以获得经济收益，攻击者通过多种方法在网络中传播此恶意负载，例如SMB,psexec,WMI和SMB漏洞，Talos团队将其命名为Prometei。

       Prometei僵尸网络具有15个以上的可执行模块，这些模块均由主模块下载并驱动，这些主模块通过HTTP持续与命令和控制（C2）服务器进行通信。除了着重在整个环境中传播外，Prometei还尝试获取管理员密码。被获取的密码将发送到C2，然后由其他模块重用，这些模块尝试使用SMB和RDP协议在其他系统上验证密码的有效性。

披露时间：2020年07月28日

情报来源：

https://mp.weixin.qq.com/s/mRUTVML3B3Fuc341rkSYVA

相关信息：

Dridex是目前全球活跃的技术最先进的银行木马之一。该恶意软件的主要目标是从受害者身上窃取银行凭证。Dridex自2014年以来一直存在，并且一直在更新，这些更新帮助恶意软件不断发展并变得越来越强大。

由于黑客组不断的技术改进发展，Dridex当前支持非常先进的功能，例如Atom Bombing注入技术，将Web注入Chrome和Microsoft Word的0day漏洞，这帮助Dridex恶意软件感染了无数机器。