鑽石舞台

披露時間：2022年03月14日

情報來源：https://mp.weixin.qq.com/s/fDqwkp2PerQeINf20MO4iQ

相關信息：

UNC1151是疑似具有東歐國家背景的APT組織。近日，研究人員在社交平台上發現了一個針對烏克蘭的攻擊樣本。烏克蘭CERT也於3月7日發布通告，將該攻擊樣本歸屬為UNC1151。

該樣本使用的攻擊手法與UNC1151之前被披露的攻擊手法有些不同。經過深入挖掘，研究人員發現此類攻擊樣本至少從2021年9月就開始出現，攻擊目標涉及烏克蘭、立陶宛等國。本次獲取的樣本中包含一個壓縮包，壓縮包內部是一個dovidka.chm文件。

一旦受害者打開此文件，就會解壓縮dovidka.chm得到內嵌的html代碼。HTML中包含兩段代碼，一段為js代碼，用於顯示誘餌內容，另一段為vbs代碼，vbs代碼釋放作為Loader的dll，並通過在開機啟動目錄下創建鏈接文件實現持久化。釋放的dll是經過Confuser加殼的C#文件，負責解密後門程序，並在內存中加載並執行後門。

披露時間：2022年03月15日

情報來源：https://mp.weixin.qq.com/s/5gXllrE1srnHtaFCc-86GA

相關信息：

近期，研究人員從 VirusTotal 渠道發現一例從越南地區上傳的可疑文件，上傳時間為 2022 年 2 月14 日，上傳提交時原始文件名為 ggg.dll，查看 community 字段後發現，該文件提交來源於已經登錄的 VirusTotal 用戶。經過對代碼同源性進行分析，表明該文件是屬於海蓮花組織團伙的落地攻擊文件，但是在深度分析中發現該文件新增的部分邏輯存在未完成的痕跡，與以前存在代碼同源性的眾多攻擊文件明顯不同。由於該文件在互聯網上並未搜索到公開的相關結果，從提交來源是越南地區來看，可以得出以下兩種猜測：

1. 惡意文件是該組織針對越南地區的攻擊文件；

2. 該組織存在相關關係的成員有可能無意間泄露了還未發布的測試文件（由於針對二進制層面的邏輯修改補丁難度極高，可以推測相關成員是能接觸到明文源碼的人群）。

披露時間：2022年03月11日

情報來源：https://ti.dbappsecurity.com.cn/blog/articles/2022/03/11/bitter-nepal-army-day/

相關信息：

蔓靈花(Bitter)是一個被廣泛認為來自印度的APT組織，該組織長期針對我國及巴基斯坦的政府、軍工、電力、核等部門發動網絡攻擊，竊取敏感數據，具有較強的政治背景。

近期，研究人員捕獲到多個疑似蔓靈花組織利用「尼泊爾建軍節邀請函」等相關誘餌發起的網絡攻擊活動樣本。該批樣本無論在攻擊手法或者武器代碼等方面都與該組織此前的攻擊活動極為相似。可以說是延續了其一貫的攻擊特徵。另外雖然本次捕獲的樣本沒有明確表明其攻擊目標，但是我們從該組織長期以來的攻擊活動，以及地緣政治等方面推測此次攻擊活動很可能是「針對巴基斯坦國家的政府、以及核能方面的相關從業人員」。

披露時間：2022年03月10日

情報來源：https://blog.talosintelligence.com/2022/03/iranian-supergroup-muddywater.html

相關信息：

近日，研究人員發現了Muddywater組織一項針對土耳其和阿拉伯半島的新活動，其中包含惡意文檔，釋放「SloughRAT」，這是一種基於 Windows 腳本文件 (WSF) 的遠程訪問木馬 (RAT)。

該木馬雖然經過混淆處理，但相對簡單，並試圖執行從其命令和控制 (C2) 服務器接收到的任意代碼和命令。

此外，研究人員還發現了另外兩種基於腳本的植入程序的使用：一種是用 Visual Basic (VB) 編寫的，另一種是用 JavaScript 編寫的，它還可以在受害者的系統下載和運行任意命令。

披露時間：2022年03月15日

情報來源：https://mp.weixin.qq.com/s/pwWtDRbB2okAvyPBGaGKbQ

相關信息：

2022年2月24日，俄羅斯針對烏克蘭開展特別軍事行動，俄烏爆發軍事衝突。在物理戰場之外，是以俄烏為主的多方勢力在網絡空間這個看不見硝煙的第二戰場上的激烈較量。

在俄烏網絡戰中，除了有直接的網絡攻擊引起系統癱瘓或數據損毀，還有網絡信息戰對輿論的影響與爭奪。俄烏戰爭爆發現已過去三周，在此，奇安信安全威脅分析團隊根據奇安信內部數據視野及互聯網公開渠道收集的網絡攻擊數據，對近期涉及兩國的網絡衝突進行梳理分析，總結俄烏網絡戰所呈現的幾大特徵，並分享這場數字戰爭給我們帶來的思考和啟示。

披露時間：2022年03月15日

情報來源：https://www.welivesecurity.com/2022/03/15/caddywiper-new-wiper-malware-discovered-ukraine/

相關信息：

ESET 研究人員發現了另一種新的用於攻擊烏克蘭組織的破壞性數據擦除器。

該惡意軟件被稱為 CaddyWiper，於當地時間周一上午 11.38（UTC 上午 9.38）首次檢測到。擦除器會破壞連接驅動器中的用戶數據和分區信息，在少數組織的數十個系統上被發現。

CaddyWiper 與此前發現的HermeticWiper 、 IsaacWiper或我們已知的任何其他惡意軟件沒有任何明顯的代碼相似性，該惡意樣本沒有數字簽名，且於3月14日編譯。與 HermeticWiper 類似， CaddyWiper 是通過 GPO 部署的，這表明攻擊者事先已經控制了目標的網絡。

披露時間：2022年03月14日

情報來源：https://thehackernews.com/2022/03/russian-ransomware-gang-retool-custom.html

相關信息：

一項新的研究發現，一個講俄語的勒索軟件組織可能通過重新利用其他 APT 組織（如伊朗的 MuddyWater）開發的定製工具來針對歐洲和中美洲賭博和遊戲行業實體。

研究人員表示，這種不尋常的攻擊鏈涉及濫用被盜憑據以未經授權訪問受害者網絡，最終導致在受損資產上部署 Cobalt Strike 有效載荷。這次入侵發生在 2022 年 2 月，攻擊者利用了ADFind、NetScan、SoftPerfect和LaZagne等後期利用工具。還使用了一個 AccountRestore 可執行文件來暴力破解管理員憑據，以及一個名為 Ligolo 的反向隧道工具的變種版本Sockbot。

鑑於 Ligolo 是伊朗國家組織 MuddyWater的主要工具，攻擊者使用 Ligolo增加了其利用其他組織的工具併合並他們自己的簽名以試圖混淆歸屬的可能性。

披露時間：2022年03月15日

情報來源：https://www.prevailion.com/what-wicked-webs-we-unweave/

相關信息：

2022 年 1 月下旬，Prevailion 研究人員發現了旨在獲取 Naver 憑據的廣泛網絡釣魚活動。Naver 是韓國流行的在線平台，可與谷歌相媲美，提供多種服務（例如，電子郵件、新聞和搜索等）。

研究人員注意到了兩個有趣的地方：單個實體的惡意活動的絕對數量和關注重點，攻擊者專注於收集 Naver 憑據（超過 500 個域），並且已證實與歷史上與 WIZARD SPIDER 相關的基礎設施重疊（一個位於俄羅斯的、出於經濟動機的威脅參與者，參與初始訪問和勒索軟件操作）。這種重疊很重要，因為它可能表明現有最活躍的網絡犯罪集團之一當前的地理目標偏好，並將提供對該集團運營工作流程的寶貴洞察。

披露時間：2022年03月12日

情報來源：https://seguranca-informatica.pt/brazilian-trojan-impacting-portuguese-users-and-using-the-same-capabilities-seen-in-other-latin-american-threats/

相關信息：

自上個月（2022 年 2 月）以來，一種巴西木馬的新變種已經影響了葡萄牙的互聯網終端用戶。該木馬與Maxtrilha、URSA和Javali等其他知名特洛伊木馬相比沒有顯著差異和複雜性。經分析，相關釣魚活動有以下特點：

1. 該木馬已通過冒充葡萄牙稅務服務的網絡釣魚郵件進行傳播。

2. HTML 文件下載從 MSI 文件屏蔽的 .lnk 文件，該文件利用 LoL bin 執行 MSI 文件 (second.msi)。

3. 「monday.msi」下載並執行一個 EXE 文件，該文件將刪除最後階段。

4.該木馬本身會安裝或修改 Windows 受信任的證書，通過打開窗口進行檢查以執行銀行窗口覆蓋以竊取憑據，並且可以部署通過 DLL 注入技術執行的其他有效負載。

5. 受害者的數據被加密並發送到位於俄羅斯的 C2 服務器。

披露時間：2022年03月14日

情報來源：http://www.cverc.org.cn/head/zhaiyao/news20220218-1.htm

相關信息：

近日，國家計算機病毒應急處理中心對名為「NOPEN」的木馬工具進行了攻擊場景復現和技術分析。該木馬工具針對Unix/Linux平台，可實現對目標的遠程控制。根據「影子經紀人」泄露的NSA內部文件，該木馬工具為美國國家安全局開發的網絡武器。「NOPEN」木馬工具是一款功能強大的綜合型木馬工具，也是美國國家安全局接入技術行動處（TAO）對外攻擊竊密所使用的主戰網絡武器之一。

「NOPEN」木馬工具為針對Unix/Linux系統的遠程控制工具，主要用於文件竊取、系統提權、網絡通信重定向以及查看目標設備信息等，是TAO遠程控制受害單位內部網絡節點的主要工具。通過技術分析，我單位認為，「NOPEN」木馬工具編碼技術複雜、功能全面、隱蔽性強、適配多種處理器架構和操作系統，並且採用了插件式結構，可以與其他網絡武器或攻擊工具進行交互和協作，是典型的用於網絡間諜活動的武器工具。

披露時間：2022年03月15日

情報來源：https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_cn/

相關信息：

自從Log4J漏洞被曝光後，正所謂"忽如一夜漏洞來，大黑小灰笑開懷」。無數黑產團伙摩拳擦掌加入了這個「狂歡派對」，其中既有許多業界非常熟悉的惡意軟件家族，同時也有一些新興勢力想趁着這股東風在黑灰產上分一杯羹。

近期，研究人員捕獲了一個未知的ELF文件通過Log4J漏洞傳播，經過分析，確定是一個全新的殭屍網絡家族，基於其傳播時使用的文件名"b1t"，XOR加密算法，以及RC4算法秘鑰長度為20字節，將其命名為B1txor20。

B1txor20是一個針對Linux平台的後門木馬， 它利用DNS Tunnel技術構建C2通信信道，除了傳統的後門功能，B1txor20還有開啟Socket5代理，遠程下載安裝Rootkit，反彈Shell等功能，這些功能可以很方便的將被侵入的設備變成跳板，供後續滲透時使用。

披露時間：2022年03月15日

情報來源：https://mp.weixin.qq.com/s/ri8wc_tXPMKRIG-_5Xi8Rw

相關信息：

根據Check Point Research 發布的全球威脅指數，emotet長期位居榜首，而Check Point Research (CPR) 的 2022 年安全報告中的亮點則是emotet回歸，emotet是史上最危險、最臭名昭著的殭屍網絡之一。自 Emotet 11 月回歸以來，CPR 認為該惡意軟件的活動至少是 2021 年 1 月（即在其最初被刪除前不久）看到的水平的 50%。

近日，研究人員監測到emotet木馬針對國內某公司發起的釣魚郵件攻擊，emotet最早發現於2014年，以銀行木馬程序的形式出現在大眾視野（竊取銀行憑證信息），背後的黑客組織是TA542。經過幾年的發展，emotet的功能不斷擴展，進化成完整的惡意軟件分發服務。在2021年1月，emotet遭到全球多國聯合執法打擊摧毀，而在同年11月份，emotet捲土重來。

釣魚郵件附件為惡意office宏病毒，樣本執行流程如下：

披露時間：2022年03月08日

情報來源：https://binarly.io/posts/Repeatable_Firmware_Security_Failures_16_High_Impact_Vulnerabilities_Discovered_in_HP_Devices/index.html

相關信息：

近日，Binarly 研究人員發現並披露了 UEFI 固件的各種實施中的 16 個高嚴重性漏洞，這些漏洞影響了惠普的多個企業產品，包括筆記本電腦、台式機、銷售點系統和邊緣計算節點。利用成功後可導致任意代碼執行、導致拒絕服務 (DDoS) 和信息泄露等問題。

這些漏洞被描述為影響 UEFI 運行時驅動程序執行環境 (DXE) 和系統管理模式 (SMM) 組件的堆棧溢出、堆溢出和內存損壞錯誤。所有這些安全漏洞都被賦予了「高嚴重性」等級。所有這些漏洞都可以被用作第二階段來獲得額外的持久性或繞過基於虛擬化的內存隔離。