鑽石舞台

點擊藍字關注我們

周報匯總下載前往TI平台：

https://ti.dbappsecurity.com.cn/info

首頁-「安全周報」每周更新，往期周報可以在TI平台關鍵詞搜索「周報」。請保留該地址哦~

2022.7.30-8.5

全球情報資訊

虛假Atomic錢包網站分發Mars Stealer

Matanbuchus惡意加載程序分析

DawDropper惡意軟件釋放四種銀行木馬

Raccoon Stealer v2新變體分析

Google Play商店中的惡意軟件影響100萬用戶

AMETROLL Android銀行木馬分析

RapperBot：專注於暴力破解SSH服務器的殭屍網絡

Ousaban：濫用雲服務的拉丁美洲銀行惡意軟件

GitHub存儲庫被Fork後用於託管惡意軟件

超過 3200 個應用程序泄露 Twitter API 密鑰

黑客聲稱入侵了歐洲導彈製造商MBDA

德國半導體製造商Semikron遭LV勒索軟件攻擊

Industrial Spy勒索軟件分析

BlackCat勒索軟件攻擊歐洲能源供應商

英國Wooton Upper學校遭到Hive勒索軟件攻擊

LockBit 勒索軟件濫用 Windows Defender 加載 Cobalt Strike

GwisinLocker：針對韓國工業和製藥公司的勒索軟件

俄羅斯國防實體遭到新型Woody RAT惡意軟件攻擊

針對企業用戶的大規模AitM攻擊

Charming Kitten組織增加了新的工具和策略

GAMAREDON組織加緊對烏克蘭的網絡攻勢

APT32（海蓮花）組織近期攻擊活動樣本分析

惡意軟件威脅情報

Mars Stealer是最近出現的惡意軟件，可以竊取存儲在 Web 瀏覽器、加密貨幣擴展和錢包以及雙因素身份驗證插件上的帳戶憑據。一位研究人員披露了一個虛假的 Atomic 錢包網站，該網站分發了 Mars Stealer惡意軟件的副本。攻擊者通過社交媒體上的惡意廣告、各種平台上的消息、SEO 中毒或垃圾郵件推送該網站。嘗試下載該軟件的訪問者若單擊 Windows 按鈕，將下載一個名為「Atomic Wallet.zip」的 ZIP 文件，其中包含安裝 Mars Stealer 感染的惡意代碼。加載程序從 Discord 服務器下載 Mars Stealer 的副本並將其放在主機上的 %LOCALAPPDATA% 上。安裝後，惡意軟件啟動並開始從受感染的設備中竊取數據。

Matanbuchus 是一種惡意軟件即服務加載程序，用於在目標環境中下載和執行惡意軟件負載，如 Qbot 和 Cobalt Strike beacon。Matanbuchus由兩個階段組成：初始加載程序（第一階段）和主加載程序（第二階段）。第一階段主要執行檢查以確保當前環境不受監控，第二階段的主要目標是加載攻擊者的有效載荷。

2021年下半年，研究人員發現了一項惡意活動，該活動涉及一種新的 dropper 變體，研究人員將其稱為DawDropper。DawDropper偽裝成文檔掃描儀、二維碼閱讀器、VPN 服務和通話記錄器等應用程序。DawDropper變體可以釋放四種銀行木馬，包括 Octo、Hydra、Ermac 和 TeaBot。所有 DawDropper 變體都使用 Firebase 實時數據庫作為其命令和控制 (C&C) 服務器，並在 GitHub 上託管惡意負載。

Raccoon是一個功能強大的竊取程序，其開發者於2022 年 7 月上旬發布了該惡意軟件的新變種Raccoon Stealer v2。與以前主要用 C++ 編寫的版本不同，新變種是用C語言和匯編語言編寫的。Raccoon Stealer v2使用受攻擊者控制的服務器的硬編碼 IP 地址來獲取C2服務器的列表，從中下載下一階段的有效負載。

研究人員在 Google Play 商店中發現了新的惡意軟件，這些惡意軟件偽裝成系統清理器或優化器，聲稱可以刪除垃圾文件或優化電池以進行設備管理。此類惡意軟件會在沒有交互的情況下執行惡意服務。為了防止被用戶注意到，開發者將惡意程序的圖標更改為用戶熟悉的 Google Play 圖標，並將其名稱更改為「Google Play」或「設置」。該惡意軟件及其變種影響了廣泛的國家/地區，包括韓國、日本和巴西。

「AMEXTROLL」是一個Android銀行木馬，又名BRATA，於 2021 年 6 月下旬首次被發現，通過針對意大利銀行的不同詐騙和網絡釣魚活動進行分發。AMEXTROLL的開發者目前正在地下網絡犯罪論壇上宣傳該惡意軟件。開發者聲稱，此惡意軟件經過加密、混淆和持久化，具有強大的功能，Beta 版的租金為 3500 美元/月，測試版 APK 的售價為 300 美元。安裝惡意軟件後，系統會提示用戶啟用輔助功能服務。一旦用戶授予此權限，惡意軟件就會開始濫用輔助功能服務功能來執行惡意活動。該惡意軟件使用虛擬網絡計算 (VNC) 來捕獲受害者設備的屏幕，監控目標應用程序以竊取憑據。此外，惡意軟件根據從控制和命令 (C&C) 服務器接收到的命令收集受害者的 SMS 數據，攻擊者可以使用這些SMS 數據執行多種惡意活動，如竊取聯繫方式、繞過雙重身份驗證等。

自 2022 年 6 月中旬以來，一個名為「RapperBot」的新殭屍網絡快速發展，該軟件基於 Mirai 木馬，但具有自己的命令和控制 (C2) 協議、獨特的功能和非典型的妥協後活動。RapperBot專注於暴力破解，進入 Linux SSH 服務器以在設備上建立立足點。在過去一個半月中，RapperBot殭屍網絡使用了全球 3,500 多個唯一 IP 來掃描並嘗試暴力破解 Linux SSH 服務器。

Ousaban（又名Javali ）是 2017 年至 2018 年間出現的一種銀行惡意軟件，其主要目標是從巴西的金融機構竊取敏感數據。研究人員發現了Ousaban的最新樣本，這些樣本在攻擊流程中濫用雲服務，例如使用Amazon 或 Azure來下載其有效負載並記錄受害者的 IP，以及使用 Pastebin 來檢索 C2 配置。該惡意軟件通過 JavaScript 或 Delphi DLL 通過 MSI 文件下載，目標是巴西的 50 多家金融機構。此外，研究人員還在惡意軟件代碼中發現了 Telegram 濫用，可能用於通過 Webhooks 進行 C2 通信。

熱點事件威脅情報

「8月3日，一位軟件工程師發現，數千個 GitHub 存儲庫被Fork，其副本被更改為包含惡意軟件。雖然克隆開源存儲庫是一種常見的開發實踐，但此次發現涉及攻擊者創建合法項目的副本，並使用惡意代碼污染這些副本，以利用他們的惡意克隆來瞄準毫無戒心的開發人員。GitHub 在收到工程師的報告後已經清除了大部分惡意存儲庫。

8月1日，研究公司披露稱發現了 3207 個應用程序，這些應用程序泄露了 Twitter API 密鑰，可用於訪問或接管 Twitter 帳戶。應用程序的下載量在5萬到500萬次之間，包括城市交通夥伴、無線電調諧器、圖書閱讀器、事件記錄器、報紙、電子銀行應用程序、自行車GPS應用程序等。

一個暱稱為Adrastea的攻擊者聲稱已經入侵了歐洲跨國導彈製造商MBDA。Adrastea稱在MBDA公司基礎設施中發現了嚴重漏洞，並竊取了 60 GB 的機密數據，包括公司員工參與軍事項目、商業活動、合同協議以及與其他公司的通信信息。Adrastea 分享了一個受密碼保護的鏈接，其中包含與項目和通信相關的內部文件。目前尚不清楚Adrastea攻擊者是否只入侵了該公司的一個部門，黑客沒有透露攻擊的更多細節。

勒索專題

德國電力電子製造商Semikron聲稱遭到了勒索軟件攻擊，導致公司的 IT 系統和文件被部分加密。Semikron在德國、巴西、中國、法國、印度、意大利、斯洛伐克和美國設有 24 個辦事處和 8 個生產基地，擁有 3,000 多名員工。據悉，贖金記錄表明此次事件為LV勒索軟件攻擊，攻擊者竊取了價值 2TB 的文件。目前，Semikron正在調查數據泄露的說法是否屬實。

Industrial Spy是一個相對較新的勒索軟件組織，於 2022 年 4 月出現。Industrial Spy 使用3DES算法加密每個文件的內容，然後使用硬編碼的 RSA 公鑰對每個 3DES 密鑰和初始化向量 (IV) 進行加密。目前，在野外觀察到的工業間諜勒索軟件樣本並不多，該組織每月在其數據泄露門戶上增加大約兩到三個新受害者。

7月22日至23日，中歐國家天然氣管道和電力網絡運營商 Creos Luxembourg SA遭到了網絡攻擊。Creos 的所有者 Encevo 在 5 個歐盟國家擔任能源供應商，此次攻擊導致Encevo和Creos的客戶門戶無法訪問，但服務並未中斷。BlackCat勒索團伙聲稱對此次攻擊負責。BlackCat威脅稱要公開180000個盜取的文件，總大小為150GB，包括合同、協議、護照、賬單和電子郵件。

英國貝德福德郡的Wooton Upper學校遭到了Hive勒索軟件攻擊，勒索團伙提出了50萬英鎊的贖金要求。此次攻擊還影響了金伯利學院（Kimberley college），這兩個組織都是Wooton學院信託的一部分。在成功發起攻擊後，Hive勒索軟件團伙還通知了學生和家長，稱幾周前已經入侵了Wooton信託的網絡，竊取了家庭地址、銀行信息、醫療記錄，甚至學生的心理評估。

LockBit勒索軟件攻擊者正在利用Microsoft Defender的命令行工具「MpCmdRun.exe」，來側載惡意DLL，以解密和安裝Cobalt Strike信標。最初的網絡入侵都是通過利用易受攻擊的 VMWare Horizon Server上的 Log4j 漏洞運行 PowerShell 代碼來進行的。執行時，MpCmdRun.exe 將加載一個名為「mpclient.dll」的合法 DLL，執行的代碼從「c0000015.log」文件加載和解密加密的 Cobalt Strike 有效載荷，該文件與攻擊早期階段的其他兩個文件一起釋放。

GwisinLocker是一個新的勒索軟件家族，針對韓國工業和製藥公司發起攻擊。該軟件由Gwisin 勒索軟件組織操作，以Linux 操作系統為目標。據悉，Gwisin勒索團伙只攻擊韓國公司，並在贖金記錄中明確警告受害者不要聯繫韓國執法部門或政府機構，如韓國警方、韓國國家情報局和 KISA。

國防行業威脅情報

Woody Rat是一種新的遠程訪問特洛伊木馬，已在野至少存在一年。未知攻擊者正使用Woody Rat瞄準一個名為OAK的俄羅斯航空航天和國防實體。Woody Rat使用兩種不同的格式分發：存檔文件和使用 Follina 漏洞的 Office 文檔。

惡意活動威脅情報

近期，研究人員發現了一種新的大規模網絡釣魚活動，該活動使用中間對手 (AitM) 技術以及多種規避策略，旨在繞過傳統的電子郵件安全和網絡安全解決方案。該活動專門針對使用微軟電子郵件服務的企業用戶而設計，針對的目標包括美國、英國、新西蘭和澳大利亞等區域的一些關鍵行業垂直領域，如金融科技、貸款、保險、能源和製造業。

高級威脅情報

Charming Kitten(又名Yellow Garuda、PHOSPHORUS、UNC788)是來自伊朗的APT組織，自 2012 年以來一直很活躍。研究人員發現了Charming Kitten 在 2021 年底使用的新工具，其中一種工具用於從目標 Telegram 帳戶中獲取數據，與 Charming Kitten 使用的 Android 惡意軟件 PINEFLOWER 的功能重疊。此外，自 2022 年 3 月以來，Charming Kitten組織使用啟用宏的 Word 文檔模板文件傳播惡意軟件，這是該組織使用的一種新策略。

Gamaredon是一個俄羅斯APT組織，從今年第二季度起開始頻繁使用多種不同類型的攻擊方式對烏克蘭赫爾松州、頓涅茨克州等地區的軍方和警方目標進行網絡攻擊。研究人員分析了Gamaredon組織近期的三類攻擊活動，發現該組織在7月之後明顯加強了攻擊頻度，且攻擊趨勢呈現以下兩個方面：

1.Gamaredon增加了對惡意htm附件魚叉攻擊流程和SFX自解壓文件攻擊流程的依賴；

攻擊者使用的誘餌內容，從早期的新聞類信息逐漸轉向現在的軍事類信息。

2.一方面，Gamaredon常用的一種惡意SFX自解壓文件攻擊流程，在4月底和7月底出現了兩次明顯的高峰，流程中攜帶的誘餌也逐漸統一為各式俄羅斯軍方文檔；另一方面，一種包含惡意htm附件和lnk文件的魚叉式攻擊也在7月中下旬迎來攻擊高峰，此類魚叉郵件的誘餌內容也更多聚焦於烏克蘭軍方信息和網絡安全類信息。

APT32（海蓮花）組織是目前對我國進行攻擊竊密行為最為活躍的APT組織之一，該組織主要針對我國及其他東亞國家（地區）政府、海事機構、海域建設部門、科研院所和航運企業等國家重要行業部門的核心關鍵單位進行攻擊，具有強烈的政治背景。研究人員捕獲了該組織最新的一次攻擊活動，此次捕獲的木馬有如下3個新的特徵：

1.使用Nim語言編寫的開源loader NimPacket

2.未使用原始的NimPacket的有bug的獲取進程方法，通過自定義的createprocess方法來獲取進程，說明該組織對nimpacket進行了研究並非簡單的使用

3.NimPacket loader中默認加入Shellycoat，用於unhook安全軟AV/NGAV/EDR/Sandboxes/DLP等，以此做到免殺。