披露时间：2023年3月10日

情报来源：https://mrtiepolo.medium.com/sophisticated-apt29-campaign-abuses-notion-api-to-target-the-european-commission-200188059f58

相关信息：

APT29是一个高度复杂的高级持续威胁 (APT) 组织，归因于俄罗斯的外国情报局 (SVR)。该组织至少自2008年以来一直活跃，并参与了针对美国、欧洲和亚洲的政府、军事组织、国防承包商以及各个行业的广泛间谍活动和网络攻击活动。众所周知，该组织使用一系列技术进行 C2 通信，反复滥用合法社交媒体服务以混入正常网络流量并避免被发现。该分析记录了 APT29 对流行的应用程序 Notion 的滥用，该应用程序在最近针对欧盟委员会的活动中被用作 C2 渠道。

此特定活动通过鱼叉邮件分发武器化文档，恶意文档包含一个指向 HTML 文件下载的链接。恶意 HTML 文件被跟踪为 ROOTSAW，也称为EnvyScout，使用一种称为 HTML 走私的技术将一个包含BugSplatRc64.dll和LNK文件的ISO 文件传送到受害者的系统。其中LNK文件用于执行恶意DLL，BugSplatRc64.dll 文件旨在收集和泄露有关受感染系统的信息，通过“api.notion.com”将其发送到命令和控制 (C2) 服务器。

披露时间：2023年3月15日

情报来源：https://mp.weixin.qq.com/s/_WMljf41eTsBrQDa3BjFTQ

相关信息：

    Saaiwc组织，又名Dark Pink，是一个主要以东南亚国家为目标的APT组织，该组织从2021年开始活跃，发起针对过越南、印度尼西亚、马来西亚、柬埔寨和菲律宾的政府及军事部门的网络攻击。

    近期，研究人员在日常威胁狩猎中发现Saaiwc组织针对印度尼西亚外交部等政府部门的多个网络攻击活动。在本轮攻击活动中，该组织利用磁盘映像文件作为恶意载体，诱导执行后解密释放MSBuild Project文件,随后利用计划任务触发winlogon注册表以启动MSBuild.exe工具生成并加载恶意载荷，从而完成窃密行动。

披露时间：2023年3月10日

情报来源：https://blog.eclecticiq.com/dark-pink-apt-group-strikes-government-entities-in-south-asian-countries#A1

相关信息：

近期，研究人员发现了多种针对东盟国家政府实体的恶意软件KamiKakaBot，且该恶意软件目前仅被Dark Pink组织使用。Dark Pink是一个以网络间谍为动机的APT组织，经常以东南亚军事和政府组织为目标，旨在窃取包括机密数据和知识产权在内的敏感信息。KamiKakaBot的主要功能则是窃取存储在Chrome、Edge和Firefox等网络浏览器中的数据，以及允许攻击者使用命令提示符 (cmd.exe) 执行远程代码。

此外，本次活动与Group-IB于2023年1月报告的Dark Pink攻击活动几乎相同：

1. 使用了相同的C2服务器；

2. 使用了相同的恶意软件交付和执行技术(如使用ISO映像文件附件传播KamiKakaBot，并利用Winword.exe执行DLL侧加载)。主要的区别则在于恶意软件的混淆程序得到改进，可以更好地规避反恶意软件措施。例如，攻击者使用了Living-off-the-Land二进制文件 (LOLBIN)，实现在受害者的设备上运行KamiKakaBot。

披露时间：2023年3月13日

情报来源：https://threatmon.io/beyond-bullets-and-bombs-an-examination-of-armageddon-groups-cyber-warfare-against-ukraine/

相关信息：

俄罗斯和乌克兰之间正在进行的冲突已经被双方的网络攻击所标志。参与这些攻击的最突出的威胁者之一是Armageddon（Gamaredon）高级持续性威胁（APT）组织。

Armageddon 通常会通过网络钓鱼电子邮件发起攻击。这些发送给乌克兰政府实体的电子邮件通常包含与内政、外交甚至与俄罗斯冲突相关的主题。这些电子邮件包含鱼叉式网络钓鱼附件，如 RAR、DOCX、DOCM、LNK、SFX 文件。当受害者执行这些附件时，它们都以不同的方式起作用。

Armageddon组织通常利用RTF、DOCX等进行远程模板注入以下载下一阶段的攻击载荷，此外还频繁使用包含恶意 LNK 文件的压缩 TAR 文件作为鱼叉邮件的附件。通过 LNK 文件执行 mshta.exe 以启动第二阶段的 VBScript，然后滥用 Telegram 来获取真实的 C2 地址，最终执行的有效负载是 Powershell 脚本、VBScript 或 PE 文件。

披露时间：2023年3月9日

情报来源：https://www.secureworks.com/blog/cobalt-illusion-masquerades-as-atlantic-council-employee

相关信息：

研究人员正在调查 2023 年 2 月 24 日通过 Twitter 报告的可疑活动。攻击者将名称为Sara Shokouhi的Twitter帐户@SaShokouhi伪装成大西洋理事会的雇员进行网络钓鱼活动，其目标是记录伊朗妇女和少数群体受压情况的研究人员。

该活动的多个特征表明伊朗组织COBALT ILLUSION参与其中，该组织也称为 Charming Kitten、APT42、Phosphorous、TA453 和 Yellow Garuda，涉嫌代表伊朗伊斯兰革命卫队情报组织 (IRGC-IO) 开展活动。COBALT ILLUSION 针对范围广泛的个人，尤其对关注伊朗的学者、记者、人权捍卫者、政治活动家、政府间组织 (IGO) 和非政府组织 (NGO) 感兴趣。威胁行为者创建一个假角色，然后用它来联系目标，请求采访、协助报告或讨论共同兴趣。在几天或几周的时间里，COBALT ILLUSION 与目标建立了融洽的关系，然后尝试钓鱼凭据或将恶意软件部署到目标的计算机或移动设备。

披露时间：2023年3月13日

情报来源：https://asec.ahnlab.com/en/49295/

相关信息：

最近研究人员发现了一种 CHM 恶意软件，该恶意软件被认为是由 Kimsuky 组织创建的。攻击者将恶意CHM文件压缩后作为电子邮件附件分发。发送的第一封电子邮件伪装为关于朝鲜相关问题的采访请求。如果电子邮件收件人接受采访，则会将受密码保护的压缩文件作为附件发送。第二封邮件遵循仅在收件人回复电子邮件时才发送恶意文件的相同格式。

CHM包含一个恶意脚本，通过Click方法调用快捷方式对象（ShortCut），执行Item1中的命令。脚本执行时，编码后的命令保存在Document.dat中，使用Certutil解码后的命令保存为Document.vbs。之后在注册表Run键中注册Document.vbs，以保证连续性。最后，Document.vbs 执行远程服务器中的PowerShell脚本代码，试图窃取用户信息。

披露时间：2023年3月10日

情报来源：https://www.threatfabric.com/blogs/xenomorph-v3-new-variant-with-ats.html

相关信息：

去年，研究人员发现犯罪分子对付移动恶意软件的方法发生了根本性转变。犯罪分子已经开始更加关注手机银行领域，放弃更基本的方法，转而采用更精致、更专业的理念。

该组织的主要产品是Xenomorph，这是一种 于 2022 年 2 月发现的 Android 银行木马。这个恶意软件家族在整个 2022 年都在进行中，尽管它以小型活动的形式进行分发，但它从未真正达到威胁领域的其他恶意软件家族的数量，例如 Octo 或最近的 Hook。

Xenomorph 活动的特点一直是短期且包含分发工作，首先是通过 GymDrop，这是一个由同一组创建和管理的滴管操作，后来是通过Zombinder。在任何一种情况下，短暂的活动爆发都表明短期测试运行与具有欺诈意图的真正大规模分发相反。然而，在不久的将来，情况很可能会发生变化：研究人员发现了该恶意软件家族的一个新变种，将其归类为Xenomorph.C。

披露时间：2023年3月9日

情报来源：https://blog.talosintelligence.com/prometei-botnet-improves/

相关信息：

Prometei 是一个高度模块化的僵尸网络，具有类似蠕虫的功能，主要部署 Monero 加密货币矿工，自 2016 年首次出现以来一直在不断改进和更新，对组织构成持续威胁。在2020年博文中首先分析了这种威胁，强调了其庞大的模块库、多种传播方法和持续发展。于 2022 年 11 月开始的初步分析和当前活动跟踪中，研究人员观察到 Prometei 部署了基于 Windows 的工具和恶意软件以及安全研究人员观察到的其他 Linux 版本。

研究人员 观察到 Prometei 的加密货币挖掘和凭据盗窃活动是出于经济动机并且在地理上不分青红皂白。它的感染很可能是机会主义的，针对所有地区和垂直行业的易受攻击实体，以支持更高产量的凭证收集和 Monero 加密货币的挖掘。

披露时间：2023年3月13日

情报来源：https://www.trendmicro.com/en_us/research/23/c/emotet-returns-now-adopts-binary-padding-for-evasion.html

相关信息：

在中断三个月后，Emotet 垃圾邮件活动于2023年3月恢复，当时称为 Epoch 4的僵尸网络开始传送嵌入在电子邮件附件中的 Zip 文件中的恶意文档。Emotet 背后的威胁行为者继续使用包含宏的恶意文档来传递恶意负载。虽然 Microsoft在2022年默认禁用了来自互联网的宏，但该文档模板采用社会工程技术诱骗用户启用宏，以允许攻击按预期进行。

这些电子邮件背后的威胁行为者采用了二进制填充作为一种规避技术，其中释放器文档和 Emotet DLL 文件都被膨胀到500多兆字节以避开安全解决方案。其他类似的防御规避技术之前已被观察到被其他恶意行为者使用。

披露时间：2023年3月15日

情报来源：https://www.crowdstrike.com/blog/crowdstrike-discovers-first-ever-dero-cryptojacking-campaign-targeting-kubernetes/

相关信息：

研究人员发现了有史以来第一个针对 Kubernetes 基础设施的 Dero 加密劫持操作。Dero 是一种相对较新且注重隐私的加密货币，它使用有向无环图 (DAG) 技术来声明其交易的完全匿名性。与 Monero 相比，匿名性和更高回报率的结合使其对加密货币劫持团体来说可能有利可图，Monero 是攻击者或运行矿工操作的团体常用的加密货币。

新颖的 Dero 加密劫持操作专注于通过在 Kubernetes API 上启用匿名访问来定位 Kubernetes 集群，并侦听可从互联网访问的非标准端口。自 2023 年 2 月开始以来，研究人员 一直在美国的三台服务器上观察到这些攻击。

披露时间：2023年3月14日

情报来源：https://blog.talosintelligence.com/yorotrooper-espionage-campaign-cis-turkey-europe/

相关信息：

研究人员已经确定了一个新的威胁行为者，将其命名为“YoroTrooper”，至少自 2022 年 6 月以来，它一直在开展多次成功的间谍活动。

据分析，YoroTrooper 的主要目标是阿塞拜疆、塔吉克斯坦、吉尔吉斯斯坦和其他独立国家联合体 (CIS) 的政府或能源组织。另外还观察到来自至少两个国际组织的 YoroTrooper 妥协账户：一个关键的欧盟 (EU) 医疗保健机构和世界知识产权组织 (WIPO)。

窃取的信息包括来自多个应用程序的凭据、浏览器历史记录和 cookie、系统信息和屏幕截图。主要工具包括基于 Python 的、定制的和开源的信息窃取器，例如通过Nuitka 框架和PyInstaller包装到可执行文件中的Stink 窃取器。对于远程访问，YoroTrooper 还部署了商用恶意软件，例如 AveMaria/Warzone RAT、LodaRAT 和 Meterpreter。感染链由恶意快捷方式文件 (LNK) 和可选的诱饵文件组成，这些文件包裹在交付给目标的恶意档案中。攻击者似乎有意窃取文件和其他信息，可能用于未来的行动。

披露时间：2023年3月9日

情报来源：https://www.mandiant.com/resources/blog/lightshow-north-korea-unc2970

相关信息：

2022 年 6 月，研究人员检测并响应了UNC2970组织针对一家美国科技公司的网络钓鱼活动，该组织疑似为朝鲜间谍组织，针对西方媒体和技术公司攻击。在此操作期间观察到 UNC2970 利用三个新代码系列：TOUCHMOVE、SIDESHOW 和 TOUCHSHIFT。怀疑 UNC2970 在这次行动中专门针对安全研究人员。在确定该活动后，通过使用招聘主题的鱼叉式网络钓鱼响应针对美国和欧洲媒体组织的多次 UNC2970 入侵，并展示了该组织在云环境中操作和针对端点检测和响应 (EDR) 工具的能力的进步。

UNC2970 被高度怀疑为 UNC577，也称为 Temp.Hermit。UNC577 是朝鲜网络活动的集群，至少自 2013 年以来一直活跃。该组织与其他朝鲜运营商有大量的恶意软件重叠，据信与其他不同的参与者共享资源，例如代码和完整的恶意软件工具。虽然观察到的 UNC577 活动主要针对韩国的实体，但它也针对全球其他组织。

披露时间：2023年3月15日

情报来源：https://blog.cyble.com/2023/03/15/unmasking-medusalocker-ransomware/

相关信息：

MedusaLocker 勒索软件自 2019 年 9 月以来一直活跃。MedusaLocker 攻击者通常通过利用远程桌面协议 (RDP) 中的漏洞来访问受害者的网络。

一旦攻击者获得网络访问权限，他们就会对受害者的数据进行加密，并留下勒索字条，其中说明受害者如何与攻击者进行通信。赎金票据告诉受害者向 攻击者支付赎金的加密钱包地址。

MedusaLocker 似乎在勒索软件即服务 (RaaS) 模型上工作，该模型允许网络犯罪分子从开发人员那里租用勒索软件及其服务。在 RaaS 模型中，勒索软件运营商开发勒索软件和一个命令和控制面板，然后分支机构使用该面板对其分支机构选择的目标发起勒索软件攻击。成功操作后，勒索软件运营商和附属机构会平分从受害者那里勒索的赎金。

披露时间：2023年3月10日

情报来源：https://unit42.paloaltonetworks.com/gobruteforcer-golang-botnet/

相关信息：

研究人员最近发现了一个新的基于 Golang 的恶意软件样本。其名为 GoBruteforcer，它针对 Web 服务器，特别是那些运行 phpMyAdmin、MySQL、FTP 和 Postgres 服务的服务器。经过进一步研究，发现该恶意软件托管在合法网站上。

进一步调查显示，攻击者托管了 x86、x64 和 ARM 处理器架构的二进制文件。我们还发现 GoBruteforcer 在受害者服务器上部署了一个互联网中继聊天 (IRC) 机器人，它与攻击者的服务器进行通信。

披露时间：2023年3月9日

情报来源：https://www.esentire.com/blog/batloader-continues-to-abuse-google-search-ads-to-deliver-vidar-stealer-and-ursnif

相关信息：

3月9日，研究人员发布报告披露了BATLOADER利用谷歌搜索广告来分发Vidar Stealer和Ursnif的活动。2023年2月中旬，研究人员发现了通过代码注入在一个制造业客户的端点上执行Ursnif的尝试。随后的调查发现，该感染是目标用户在谷歌上搜索Adobe Reader的结果。此外，除了Ursnif或Vidar等标准payload外，BatLoader还执行Cobalt Strike，研究人员认为这样做是为了对系统进行预处理以便进一步入侵。

披露时间：2023年3月10日

情报来源：https://blog.cyble.com/2023/03/10/emotet-strikes-again-resuming-spamming-operations/

相关信息：

Emotet 是一种著名的银行木马，通常通过包含恶意附件的垃圾邮件进行传播。打开电子邮件附件后，恶意软件将被下载并加载到设备的内存中，最终从远程命令与控制 (C&C) 服务器接收命令。它还窃取受害者的电子邮件和联系人，用于未来的表情垃圾邮件活动，还可以下载其他有效负载，如 Cobalt Strike，经常导致勒索软件攻击。

Emotet 曾经是传播最广泛的恶意软件，但它的势头一直在逐渐减弱，其之前在 2022 年 11 月发起的垃圾邮件活动仅持续了两周。尽管如此，经过三个月的不活动后，Emotet 僵尸网络已重新开始发送恶意电子邮件并通过重建其网络在全球范围内感染设备。3 月 7 日，美国东部标准时间上午 8 点，僵尸网络恢复发送恶意电子邮件并感染全球用户。

研究人员在 3 月 7 日发布的一条推文表明，Emotet 重新浮出水面，并使用 Epoch4 服务器分发包含大小超过 500MB 的恶意文档附件的垃圾邮件。根据我们在 2023 年 3 月 7 日至 3 月 9 日期间观察到的情报，Emotet 垃圾邮件机器人活动在地理上分散在超过 16 个国家/地区

披露时间：2023年3月13日

情报来源：https://www.sentinelone.com/blog/decrypting-catb-ransomware-analyzing-their-latest-attack-methods/

相关信息：

CatB 勒索软件系列（有时称为 CatB99 或 Baxtoy）于 2022 年底首次被发现，自 11 月以来一直在稳定地观察到活动。由于他们通过 Microsoft 分布式事务处理协调器 (MSDTC) 持续使用 DLL 劫持来提取和启动勒索软件有效载荷，该组织的活动受到了关注。

勒索笔记中的字符串相似性以及勒索软件有效负载留下的修改表明 CatB 可能是 Pandora 勒索软件的演变或直接更名，Pandora 勒索软件在 2022 年初至中期活跃，目标是汽车行业。

在这篇文章中，研究人员对 CatB 勒索软件及其对合法 MSDTC 服务的滥用进行了技术分析，描述了其规避策略、加密行为以及窃取凭据和浏览器数据的尝试。

披露时间：2023年3月14日

情报来源：https://research.checkpoint.com/2023/south-korean-android-banking-menace-fakecalls/

相关信息：

“低调行事，高瞄准”是研究人员在最近的Android恶意软件研究中所发现的特点。一种名为FakeCalls的Android特洛伊木马，可以冒充20多个金融应用程序并模仿与银行或金融服务员工的电话对话，这种攻击称为语音网络钓鱼。FakeCalls恶意软件针对韩国市场，不仅能够实现其主要目的，还能从受害者的设备中提取私人数据。

研究人员发现了2500多个FakeCalls恶意软件样本，使用了各种组合的仿冒金融组织，并实施了反分析（也称为逃避）技术。恶意软件开发人员特别关注其恶意软件的保护，使用了几种我们之前在野外从未见过的独特逃避技术。

在报告中，描述所有遇到的反分析技术，并展示了如何缓解它们，深入探讨了恶意软件功能的关键细节，并解释了如何保护自己免受此类威胁。

披露时间：2023年3月14日

情报来源：https://mp.weixin.qq.com/s/35ApySgWu7UjgUxeAzSQzg

相关信息：

微软近期发布了3月安全更新，涉及产品Microsoft Outlook、Windows SmartScreen、Internet Control Message Protocol 、Windows HTTP.sys等。本次安全更新修复了包括2个0day漏洞在内的总计73个安全漏洞，其中有6个被评级为“严重”，66个漏洞被评级为“重要”，1个被评为“中度”。在漏洞类型方面，主要包括24个远程执行代码漏洞、17个特权提升漏洞、15个信息泄露漏洞、10个欺骗漏洞、4个拒绝服务漏洞、3个安全功能绕过漏洞。

本次修复的漏洞中有2个漏洞已经检测到在野利用，包括CVE-2023-24880 Windows SmartScreen 安全功能绕过漏洞、CVE-2023-23397 Microsoft Outlook 权限提升漏洞。