每周高级威胁情报解读(2022.07.21~07.28)

2022.07.21~07.28

攻击团伙情报

• APT37组织使用Konni RAT攻击欧盟目标
• 近期APT32（海莲花）组织攻击活动样本分析
• 透明部落以“清洁运动”为主题对印度国防部下属企业发起钓鱼攻击
• 疑似EvilNum针对欧洲金融实体

攻击行动或事件情报

• 阿里云OSS遭受恶意软件分发和加密劫持攻击
• Candiru利用零日漏洞CVE-2022-2294攻击中东地区
• 攻击者使用GoMet后门攻击乌克兰
• 1100多个组织受到FileWave MDM漏洞的影响

恶意代码情报

• Amadey Bot通过SmokeLoader分发
• Ducktail Infostealer：针对 Facebook 商业账户的新恶意软件
• QBot使用Windows Calculator侧载来感染设备

漏洞情报

• Apple发布安全补丁修复数十个新漏洞
• Linux Kernel本地权限提升漏洞安全风险通告

攻击团伙情报

01 APT37组织使用Konni RAT攻击欧盟目标

披露时间：2022年07月20日

相关信息：

近期，研究人员观察和分析了最新且仍在进行的活动，他们称之为 STIFF#BIZON，其与朝鲜的 APT37恶意活动有关。此次活动针对针对捷克共和国、波兰和其他欧洲国家的高价值组织，并使用了Konni恶意软件。

攻击始于一封带有包含Word文档(missile.docx)和Windows快捷方式文件(weapons.doc.lnk.lnk)的存档附件的网络钓鱼电子邮件。打开LNK文件后，代码运行以在DOCX文件中查找base64编码的PowerShell脚本，以建立C2通信并下载诱饵文件“weapons.doc”和“wp.vbs”，VBS文件创建定时任务以执行后续攻击载荷。

虽然策略和工具集指向 APT37，但研究人员强调了APT28（又名FancyBear）支持STIFF#BIZON活动的可能性。

02 近期APT32（海莲花）组织攻击活动样本分析

披露时间：2022年07月23日

相关信息：

近期，研究人员捕获了一起海莲花组织的最新攻击活动，分析发现，该组织在执行最终的RAT时，开始采用更加多样化的Loader程序来实施攻击活动，而这次攻击活动就采用了一种较为小众的Nim语言编写的开源工具，来作为其交付Cobalt Strike Beacon的Loader，而在此之前，与该组织相关的采用此类武器攻击的活动几乎很少被提及。

海莲花组织未使用原始的NimPacket的有bug的获取进程方法，通过自定义的createprocess方法来获取进程，说明该组织对nimpacket进行了研究并非简单的使用。此外，NimPacket loader中默认加入Shellycoat，用于unhook安全软AV/NGAV/EDR/Sandboxes/DLP等，以此做到免杀。

03 透明部落以“清洁运动”为主题对印度国防部下属企业发起钓鱼攻击

披露时间：2022年07月25日

相关信息：

近期研究人员捕获到透明部落组织针对印度国防部下属企业攻击的样本，样本格式为带有恶意宏的pptm文件，可能通过钓鱼邮件投递至印度国防部下属企业，样本中的宏代码会释放并执行CrimsonRAT，执行来自恶意C2的各种命令。

诱饵文档冒充为印度国防部下发的指令，大意为通知各个印度国防公共部门企业进行“清洁运动”以减少未决事项。恶意宏代码的执行流程如下：

04 疑似EvilNum针对欧洲金融实体

披露时间：2022年07月21日

相关信息：

研究人员最近发现名为TA4563的攻击组织利用其Evilnum恶意软件攻击欧洲金融和投资实体的恶意活动，尤其针对那些支持外汇、加密货币和去中心化金融的业务实体。研究人员还表明，上述活动与称为Evilnum的黑客组织存在关联。

2021年12月，TA4563以及相关攻击组织使用相关Microsoft Word模板文档，该文档试图与域通信以安装多个LNK加载器组件，利用wscript加载Evilnum有效负载，最终在用户主机上安装JavaScript有效负载。这些文档通常围绕财务主题，吸引目标受害者提交“丢失文件的所有权证明”，从而展开攻击。到2022年初，该组织继续以原始电子邮件活动的变体为目标，试图提供包含ISO或 .LNK附件的多个OneDrive URL。在最近的一次活动中攻击者方法再次改变，TA4563交付Microsoft Word文档以尝试下载远程模板。模板主题为“紧急丢失文件”，并携带附件，附加的文档负责生成到 hxxp://outlookfnd.com的流量，这是一个由参与者控制的域，能下载相关EvilNum有效负载，最终开展相关攻击。

攻击行动或事件情报

01 阿里云OSS遭受恶意软件分发和加密劫持攻击

披露时间：2022年07月21日

相关信息：

研究人员最近披露了关于利用阿里云的对象存储服务(OSS)进行恶意软件分发和非法加密货币挖掘的恶意行为。

OSS是一项服务，允许阿里云客户将Web应用程序图像和备份信息等数据存储在云端。OSS Buckets是相关的存储空间，其具有各种配置属性，包括地域、访问权限、存储类型等。恶意攻击者通过获取相关凭据来获取用户相关OSS bucket的访问权限，并实现文件的上传下载等。

此次攻击行为中，攻击者还使用隐写术将包含嵌入式 shell 脚本的图像文件上传到受感染的OSS bucket，上传后便可以利用XMRig非法挖掘Monero，还能够利用配置错误的Redis实例，执行恶意代码。

02 Candiru利用零日漏洞CVE-2022-2294攻击中东地区

披露时间：2022年07月21日

相关信息：

最近，研究人员现Google Chrome中存在一个零日漏洞，被间谍软件供应商Candiru用来有针对性地对中东的Avast用户进行水坑攻击。该漏洞编号为CVE-2022-2294，是WebRTC中的堆缓冲区溢出导致的内存损坏，被Candiru用来实现渲染器进程内shell code的执行。

据调查，攻击者先利用XSS漏洞注入的代码通过其他几个攻击者控制的域将目标受害者路由到攻击服务器。之后，收集包括受害者的语言、时区、屏幕信息、设备类型、浏览器插件、参考、设备内存、cookie功能等多种信息并发送给攻击者，如果满足漏洞攻击服务器的要求，它将建立一个加密通道。通过该通道将零日漏洞传递给受害者。在受害者的机器上站稳脚跟后，恶意负载（被称为DevilsTongue，一种成熟的间谍软件）试图通过另一个零日攻击来提升其权限。

03 攻击者使用GoMet后门攻击乌克兰

披露时间：2022年07月21日

相关信息：

研究人员发现了一种罕见的恶意软件，该恶意软件被用于针对一家大型乌克兰软件开发公司，该公司的软件被乌克兰境内的各个国家组织使用。研究人员认为，攻击者可能与俄罗斯有关，并以该公司为目标，企图发动供应链攻击。目前尚不清楚攻击是否成功。

对恶意代码的分析表明，它是“GoMet”开源后门的一个稍微修改的版本。研究人员检测到的恶意活动包括由GoMet dropper创建的虚假Windows更新计划任务。此外，该恶意软件使用了一种新的方法来实现持久性。它列举了自动运行的值，并没有创建一个新的值，而是用恶意软件替换了一个现有的软件自动运行可执行文件。这可能会逃避检测或阻碍分析。

04 1100多个组织受到FileWave MDM漏洞的影响

披露时间：2022年07月25日

相关信息：

研究人员最近发现，FileWave MDM产品受到两个关键安全漏洞的影响：身份验证绕过问题（CVE-2022-34907）和硬编码加密密钥（CVE-2022-34906）。

通过身份验证绕过漏洞，远程攻击者可以实现“super_user”访问，并完全控制连接到互联网的MDM实例，从而可以入侵使用FileWave产品管理的所有设备，还可以窃取敏感信息和传播恶意软件。研究人员发现了1100多个暴露在互联网上的易受攻击的MDM服务器实例，其中包括企业、教育机构、政府机构和中小企业所拥有的实例。FileWave在本月发布的14.7.2版本中修补了该漏洞。

恶意代码情报

01 Amadey Bot通过SmokeLoader分发

披露时间：2022年07月21日

相关信息：

研究人员最近披露利用SmokerLoader安装Amaday bot的活动，Amaday bot能通过接收攻击者的指令窃取信息并安装额外的恶意软件，SmokerLoader通过将自己伪装成软件的破解版本和串行生成程序来分发。

SmokerLoader提供与信息窃取相关的各种附加功能作为插件。它通常作为下载程序用于安装其他恶意软件。当执行SmokerLoader，他会在目前运行的explorer.exe注入一个main bot，在explorer进程内下载Amaday。下载完成后，Amaday先自我复制到一个temp路径，然后注册一个开机文件夹，使其在电脑重启后仍能运行，还将自身注册到任务调度器以保持持久性。以上进程运行完后，恶意软件会与C2服务器交流，通过其发送的URL下载cred.dll插件和Redline info-stealer（另一种恶意软件），收集用户信息并发送给C2服务器，包括基础信息、计算器名和用户名、邮件、FTPs、VPN客户机、及一系列反恶意软件产品信息。

02 Ducktail Infostealer：针对 Facebook 商业账户的新恶意软件

披露时间：2022年07月26日

相关信息：

Ducktail是一种针对Facebook业务和广告账户的新恶意软件，旨在窃取浏览器cookie，并利用经过身份验证的Facebook会话从受害者的账户中窃取信息。据悉，Ducktail恶意活动始于2021年下半年，研究人员将此活动归因于越南攻击者，其主要目标是在公司中担任管理、数字营销、数字媒体和人力资源角色的个人，攻击者诱使这些目标下载托管在Dropbox、Apple iCloud和MediaFire上的Facebook广告信息。攻击链如下：

03 QBot使用Windows Calculator侧载来感染设备

披露时间：2022年07月21日

相关信息：

至少从7月11日起，Qbot(又名Qakbot)恶意软件运营商就一直在滥用Windows 7计算器应用程序进行DLL侧加载攻击。Qakbot的初始感染始于包含各种主题的恶意垃圾邮件活动，垃圾邮件包含一个HTML文件，该文件具有base64编码图像和一个受密码保护的ZIP文件，其中包含一个ISO文件。ISO包含一个.LNK文件、一个“calc.exe”副本和两个DLL文件，即WindowsCodecs.dll和一个名为7533.dll的有效负载。

ISO文件打开仅向用户显示被伪装成PDF的.lnk文件，其指向Windows中的计算器应用程序。单击快捷方式会通过命令提示符执行Calc.exe来触发感染。加载后，Windows 7计算器会自动搜索并尝试加载合法的WindowsCodecs.dll文件。Qakbot执行流程如下：

漏洞相关

01 Apple发布安全补丁修复数十个新漏洞

披露时间：2022年07月20日

相关信息：

Apple推出了适用于iOS、iPadOS、macOS、tvOS和watchOS的软件修复程序，以解决影响其平台的许多安全漏洞。这包括至少37个跨越iOS和macOS中不同组件的缺陷，范围从特权升级到任意代码执行，从信息泄露到拒绝服务(DoS)。

其中最主要的是CVE-2022-2294，这是WebRTC组件中的一个内存损坏漏洞，该漏洞已在针对Chrome浏览器用户的实际攻击中被利用。但是，没有证据表明针对iOS、macOS和Safari的漏洞进行了零日漏洞利用。

除了 CVE-2022-2294，这些更新还解决了多个漏洞，详见情报来源链接。

02 Linux Kernel本地权限提升漏洞安全风险通告

披露时间：2022年07月22日

相关信息：

近日，奇安信CERT监测到Linux Kernel本地权限提升漏洞(CVE-2022-34918)的技术细节及PoC在互联网上公开，Linux 内核存在本地权限提升漏洞，经过身份认证的本地攻击者可以利用该漏洞将权限提升到ROOT权限。奇安信CERT已复现此漏洞，经验证，此PoC有效。鉴于此漏洞影响范围较大，建议尽快做好自查及防护。