鑽石舞台

披露時間：2022年07月20日

情報來源：https://www.securonix.com/blog/stiffbizon-detection-new-attack-campaign-observed/

相關信息：

近期，研究人員觀察和分析了最新且仍在進行的活動，他們稱之為 STIFF#BIZON，其與朝鮮的 APT37惡意活動有關。此次活動針對針對捷克共和國、波蘭和其他歐洲國家的高價值組織，並使用了Konni惡意軟件。

攻擊始於一封帶有包含Word文檔(missile.docx)和Windows快捷方式文件(weapons.doc.lnk.lnk)的存檔附件的網絡釣魚電子郵件。打開LNK文件後，代碼運行以在DOCX文件中查找base64編碼的PowerShell腳本，以建立C2通信並下載誘餌文件「weapons.doc」和「wp.vbs」，VBS文件創建定時任務以執行後續攻擊載荷。

雖然策略和工具集指向 APT37，但研究人員強調了APT28（又名FancyBear）支持STIFF#BIZON活動的可能性。

披露時間：2022年07月23日

情報來源：https://mp.weixin.qq.com/s/U9LIfVVP5kHBFFt0LN0Q-A

相關信息：

近期，研究人員捕獲了一起海蓮花組織的最新攻擊活動，分析發現，該組織在執行最終的RAT時，開始採用更加多樣化的Loader程序來實施攻擊活動，而這次攻擊活動就採用了一種較為小眾的Nim語言編寫的開源工具，來作為其交付Cobalt Strike Beacon的Loader，而在此之前，與該組織相關的採用此類武器攻擊的活動幾乎很少被提及。

海蓮花組織未使用原始的NimPacket的有bug的獲取進程方法，通過自定義的createprocess方法來獲取進程，說明該組織對nimpacket進行了研究並非簡單的使用。此外，NimPacket loader中默認加入Shellycoat，用於unhook安全軟AV/NGAV/EDR/Sandboxes/DLP等，以此做到免殺。

披露時間：2022年07月25日

情報來源：https://mp.weixin.qq.com/s/U7RiFIlyLGo0aTYttvPQfg

相關信息：

近期研究人員捕獲到透明部落組織針對印度國防部下屬企業攻擊的樣本，樣本格式為帶有惡意宏的pptm文件，可能通過釣魚郵件投遞至印度國防部下屬企業，樣本中的宏代碼會釋放並執行CrimsonRAT，執行來自惡意C2的各種命令。

誘餌文檔冒充為印度國防部下發的指令，大意為通知各個印度國防公共部門企業進行「清潔運動」以減少未決事項。惡意宏代碼的執行流程如下：

披露時間：2022年07月21日

情報來源：https://www.proofpoint.com/us/blog/threat-insight/buy-sell-steal-evilnum-targets-cryptocurrency-forex-commodities

相關信息：

研究人員最近發現名為TA4563的攻擊組織利用其Evilnum惡意軟件攻擊歐洲金融和投資實體的惡意活動，尤其針對那些支持外匯、加密貨幣和去中心化金融的業務實體。研究人員還表明，上述活動與稱為Evilnum的黑客組織存在關聯。

2021年12月，TA4563以及相關攻擊組織使用相關Microsoft Word模板文檔，該文檔試圖與域通信以安裝多個LNK加載器組件，利用wscript加載Evilnum有效負載，最終在用戶主機上安裝JavaScript有效負載。這些文檔通常圍繞財務主題，吸引目標受害者提交「丟失文件的所有權證明」，從而展開攻擊。到2022年初，該組織繼續以原始電子郵件活動的變體為目標，試圖提供包含ISO或 .LNK附件的多個OneDrive URL。在最近的一次活動中攻擊者方法再次改變，TA4563交付Microsoft Word文檔以嘗試下載遠程模板。模板主題為「緊急丟失文件」，並攜帶附件，附加的文檔負責生成到 hxxp://outlookfnd.com的流量，這是一個由參與者控制的域，能下載相關EvilNum有效負載，最終開展相關攻擊。

披露時間：2022年07月21日

情報來源：https://www.trendmicro.com/en_us/research/22/g/alibaba-oss-buckets-compromised-to-distribute-malicious-shell-sc.html

相關信息：

研究人員最近披露了關於利用阿里雲的對象存儲服務(OSS)進行惡意軟件分發和非法加密貨幣挖掘的惡意行為。

OSS是一項服務，允許阿里雲客戶將Web應用程序圖像和備份信息等數據存儲在雲端。OSS Buckets是相關的存儲空間，其具有各種配置屬性，包括地域、訪問權限、存儲類型等。惡意攻擊者通過獲取相關憑據來獲取用戶相關OSS bucket的訪問權限，並實現文件的上傳下載等。

此次攻擊行為中，攻擊者還使用隱寫術將包含嵌入式 shell 腳本的圖像文件上傳到受感染的OSS bucket，上傳後便可以利用XMRig非法挖掘Monero，還能夠利用配置錯誤的Redis實例，執行惡意代碼。

披露時間：2022年07月21日

情報來源：https://decoded.avast.io/janvojtesek/the-return-of-candiru-zero-days-in-the-middle-east

相關信息：

最近，研究人員現Google Chrome中存在一個零日漏洞，被間諜軟件供應商Candiru用來有針對性地對中東的Avast用戶進行水坑攻擊。該漏洞編號為CVE-2022-2294，是WebRTC中的堆緩衝區溢出導致的內存損壞，被Candiru用來實現渲染器進程內shell code的執行。

據調查，攻擊者先利用XSS漏洞注入的代碼通過其他幾個攻擊者控制的域將目標受害者路由到攻擊服務器。之後，收集包括受害者的語言、時區、屏幕信息、設備類型、瀏覽器插件、參考、設備內存、cookie功能等多種信息並發送給攻擊者，如果滿足漏洞攻擊服務器的要求，它將建立一個加密通道。通過該通道將零日漏洞傳遞給受害者。在受害者的機器上站穩腳跟後，惡意負載（被稱為DevilsTongue，一種成熟的間諜軟件）試圖通過另一個零日攻擊來提升其權限。

披露時間：2022年07月21日

情報來源：https://blog.talosintelligence.com/2022/07/attackers-target-ukraine-using-gomet.html

相關信息：

研究人員發現了一種罕見的惡意軟件，該惡意軟件被用於針對一家大型烏克蘭軟件開發公司，該公司的軟件被烏克蘭境內的各個國家組織使用。研究人員認為，攻擊者可能與俄羅斯有關，並以該公司為目標，企圖發動供應鏈攻擊。目前尚不清楚攻擊是否成功。

對惡意代碼的分析表明，它是「GoMet」開源後門的一個稍微修改的版本。研究人員檢測到的惡意活動包括由GoMet dropper創建的虛假Windows更新計劃任務。此外，該惡意軟件使用了一種新的方法來實現持久性。它列舉了自動運行的值，並沒有創建一個新的值，而是用惡意軟件替換了一個現有的軟件自動運行可執行文件。這可能會逃避檢測或阻礙分析。

披露時間：2022年07月25日

情報來源：https://claroty.com/2022/07/25/blog-research-with-management-comes-risk-finding-flaws-in-filewave-mdm/

相關信息：

研究人員最近發現，FileWave MDM產品受到兩個關鍵安全漏洞的影響：身份驗證繞過問題（CVE-2022-34907）和硬編碼加密密鑰（CVE-2022-34906）。

通過身份驗證繞過漏洞，遠程攻擊者可以實現「super_user」訪問，並完全控制連接到互聯網的MDM實例，從而可以入侵使用FileWave產品管理的所有設備，還可以竊取敏感信息和傳播惡意軟件。研究人員發現了1100多個暴露在互聯網上的易受攻擊的MDM服務器實例，其中包括企業、教育機構、政府機構和中小企業所擁有的實例。FileWave在本月發布的14.7.2版本中修補了該漏洞。

披露時間：2022年07月21日

情報來源：https://asec.ahnlab.com/en/36634/

相關信息：

研究人員最近披露利用SmokerLoader安裝Amaday bot的活動，Amaday bot能通過接收攻擊者的指令竊取信息並安裝額外的惡意軟件，SmokerLoader通過將自己偽裝成軟件的破解版本和串行生成程序來分發。

SmokerLoader提供與信息竊取相關的各種附加功能作為插件。它通常作為下載程序用於安裝其他惡意軟件。當執行SmokerLoader，他會在目前運行的explorer.exe注入一個main bot，在explorer進程內下載Amaday。下載完成後，Amaday先自我複製到一個temp路徑，然後註冊一個開機文件夾，使其在電腦重啟後仍能運行，還將自身註冊到任務調度器以保持持久性。以上進程運行完後，惡意軟件會與C2服務器交流，通過其發送的URL下載cred.dll插件和Redline info-stealer（另一種惡意軟件），收集用戶信息並發送給C2服務器，包括基礎信息、計算器名和用戶名、郵件、FTPs、VPN客戶機、及一系列反惡意軟件產品信息。

披露時間：2022年07月26日

情報來源：https://labs.withsecure.com/assets/BlogFiles/Publications/WithSecure_Research_DUCKTAIL.pdf

相關信息：

披露時間：2022年07月21日

情報來源：https://blog.cyble.com/2022/07/21/qakbot-resurfaces-with-new-playbook/

相關信息：

至少從7月11日起，Qbot(又名Qakbot)惡意軟件運營商就一直在濫用Windows 7計算器應用程序進行DLL側加載攻擊。Qakbot的初始感染始於包含各種主題的惡意垃圾郵件活動，垃圾郵件包含一個HTML文件，該文件具有base64編碼圖像和一個受密碼保護的ZIP文件，其中包含一個ISO文件。ISO包含一個.LNK文件、一個「calc.exe」副本和兩個DLL文件，即WindowsCodecs.dll和一個名為7533.dll的有效負載。

ISO文件打開僅向用戶顯示被偽裝成PDF的.lnk文件，其指向Windows中的計算器應用程序。單擊快捷方式會通過命令提示符執行Calc.exe來觸發感染。加載後，Windows 7計算器會自動搜索並嘗試加載合法的WindowsCodecs.dll文件。Qakbot執行流程如下：

披露時間：2022年07月20日

情報來源：https://support.apple.com/en-us/HT201222

相關信息：

Apple推出了適用於iOS、iPadOS、macOS、tvOS和watchOS的軟件修復程序，以解決影響其平台的許多安全漏洞。這包括至少37個跨越iOS和macOS中不同組件的缺陷，範圍從特權升級到任意代碼執行，從信息泄露到拒絕服務(DoS)。

其中最主要的是CVE-2022-2294，這是WebRTC組件中的一個內存損壞漏洞，該漏洞已在針對Chrome瀏覽器用戶的實際攻擊中被利用。但是，沒有證據表明針對iOS、macOS和Safari的漏洞進行了零日漏洞利用。

除了 CVE-2022-2294，這些更新還解決了多個漏洞，詳見情報來源鏈接。

披露時間：2022年07月22日

情報來源：https://mp.weixin.qq.com/s/Qon1AU2GG992J6-nFGZjnA

相關信息：