E周观察-安全威胁情 （2022.5.28～6.2）

本期

目录

2022.5.28-6.2

全球情 资讯

“

1

恶意软件

AppleSeed伪装成路由器安装文件分发

EnemyBot恶意软件添加漏洞利用以扩大影响范围

XLoader僵尸 络使用新技巧隐藏C2服务器

Grandoreiro银行木马通过钓鱼邮件传播

Kthmimu挖矿木马分析 告

“

2

热点事件

络犯罪分子在暗 出售美国高校的 络访问凭据

“

3

勒索专题

新的“GoodWill”勒索软件迫使受害者帮助穷人

哥斯达黎加公共卫生机构遭Hive勒索软件攻击

Clop 勒索软件团伙卷土重来

奥地利克恩顿州遭到BlackCat勒索软件攻击

富士康工厂遭LockBit 2.0 勒索软件攻击

“

4

恶意活动

新的恶意软件分发活动提供 Android RAT

攻击者滥用Linux的Windows子系统安装有效载荷

攻击者利用虚假Windows漏洞PoC传播Cobalt-Strike Beacon

模仿印度政府的浏览器 (BITB) 攻击活动

“

5

攻击团伙

亲俄黑客组织KillNet计划攻击意大利 站

“

6

高级威胁情

摩诃草组织以巴基斯坦相关政府机构文件为诱饵的攻击活动分析

SideWinder组织模仿巴基斯坦政府合法域发起攻击

恶意软件威胁情

1.AppleSeed伪装成路由器安装文件分发

AppleSeed 是一种后门恶意软件，可以通过接收来自 C&C 的命令来执行各种恶意操作，例如窃取信息和生成额外的恶意软件。迄今为止已知的AppleSeed，主要是通过伪装文档文件或图片文件进行分发。5月26日，研究人员发现了AppleSeed恶意软件伪装成路由器固件安装程序的样本。创建 AppleSeed 的 dropper 恶意软件使用 JS（Java Script）和 VBS（Visual Basic Script）等脚本格式，且使用了伪装的图标和文件名。

参考链接

https://ti.dbappsecurity.com.cn/info/3489

2.EnemyBot恶意软件添加漏洞利用以扩大影响范围

EnemyBot 是一个基于多个恶意软件代码的僵尸 络，目前正在通过快速添加漏洞利用来扩大其影响范围，其新变种添加了24 个针对不同设备和 Web 服务器的漏洞利用。

参考链接

https://ti.dbappsecurity.com.cn/info/3480

3.XLoader僵尸 络使用新技巧隐藏C2服务器

新版本的 XLoader 僵尸 络恶意软件使用新技术隐藏其命令和控制服务器，从而规避研究人员的检测。XLoader在 2.3 版中通过将真实域名隐藏在包含 63 个诱饵的配置中来伪装其实际的命令和控制 (C2) 服务器。而在最新版本中，恶意软件会在每次通信尝试中用新值覆盖其配置列表中随机选择的 64 个域列表中的 8 个。

参考链接

https://ti.dbappsecurity.com.cn/info/3491

4.Grandoreiro银行木马通过钓鱼邮件传播

4 月初，研究人员观察到针对来自巴西、西班牙和墨西哥的银行用户的 Grandoreiro 恶意软件活动。活动以税收为主题，发送 络钓鱼电子邮件。Grandoreiro于2016 年首次被发现，可以使用恶意浏览器扩展记录击键、捕获剪贴板数据、窃取 cookie 和其他用户信息，并监控 上银行活动。

参考链接

https://ti.dbappsecurity.com.cn/info/3502

5.Kthmimu挖矿木马分析 告

自2022年三月以来，研究人员陆续捕获到Kthmimu挖矿木马攻击样本，该木马主要通过Log4j 2漏洞进行传播。自Log4j 2漏洞曝光后，该木马挖矿活动较为活跃，同时向Windows与Linux双平台传播恶意脚本，下载门罗币挖矿程序进行挖矿。该挖矿木马在Windows平台上使用PowerShell脚本下载并执行门罗币开源挖矿程序XMRig。除此之外，该脚本还具有创建计划任务持久化、判断系统用户包含关键字符串和创建计划任务等功能。在Linux平台上，木马使用Shell脚本下载挖矿程序，并且该脚本还会清除竞品挖矿程序、下载其它脚本和创建计划任务等功能。

参考链接

https://ti.dbappsecurity.com.cn/info/3483

热点事件威胁情

1. 络犯罪分子在暗 出售美国高校的 络访问凭据

5月26日，FBI发布警告称，攻击者正在暗 上出售美国高校的 络访问凭证和VPN访问权限。攻击者利用鱼叉式钓鱼攻击和勒索攻击等策略来收集凭证，然后以几美元到几千美元不等的价格出售获得的凭证。

参考链接

https://ti.dbappsecurity.com.cn/info/3488

勒索专题

1.新的“GoodWill”勒索软件迫使受害者帮助穷人

参考链接

https://ti.dbappsecurity.com.cn/info/3486

2.哥斯达黎加公共卫生机构遭Hive勒索软件攻击

5月31日早，哥斯达黎加公共卫生服务 络遭到 Hive 勒索软件攻击，随后所有计算机系统都处于离线状态。哥斯达黎加政府机构表示，存储在 EDUS（统一数字健康）和 SICERE（集中税收系统）数据库中的公民健康和税务信息没有受到损害。此前，哥斯达黎加曾因 Conti 勒索软件攻击宣布进入国家紧急状态。

参考链接

https://ti.dbappsecurity.com.cn/info/3492

3.Clop 勒索软件团伙卷土重来

Clop于2019年2月首次被发现，是一个活跃的勒索团伙。去年11月至今年2月期间，Clop勒索软件组织关闭了运营，但于近日卷土重来，在4月份的一个月内向其数据泄露站点添加了21名新受害者。该团伙主要针对的领域是工业部门，45%的Clop勒索软件攻击针对工业组织，27%针对科技公司。

参考链接

https://ti.dbappsecurity.com.cn/info/3485

4.奥地利克恩顿州遭到BlackCat勒索软件攻击

奥地利克恩顿州遭到了BlackCat勒索团伙的攻击。攻击发生在上周二，导致该州政府服务的运营中断，据悉，数千个工作站已被加密。目前，Carinthia的官 和邮件服务处于离线状态，政府无法签发护照或处理罚款。BlackCat提出了500万美元的赎金要求，但克恩顿州发言人表示不会支付赎金，因为没有证据表明 BlackCat 从该州的系统中窃取了数据。

参考链接

https://ti.dbappsecurity.com.cn/info/3482

5.富士康工厂遭LockBit 2.0 勒索软件攻击

LockBit 2.0勒索软件团伙声称已经破坏了墨西哥富士康一家重要工厂的系统，并威胁称，如果该公司不支付赎金，则会在6月11日发布窃取的文件。LockBit 2.0团伙最近还声称窃取了轮胎和橡胶巨头普利司通美洲公司的文件。

参考链接

https://ti.dbappsecurity.com.cn/info/3504

恶意活动威胁情

1.新的恶意软件分发活动提供 Android RAT

研究人员发现了几个 Android 恶意软件样本，这些样本大多使用 Invoice.apk、Google.apk、prueba.apk、ZiniTevi.apk 和 cisamu.apk 等合法应用程序的名称和图标，从而引诱用户执行，实际上会提供恶意RAT。这个新的Android RAT分发活动自 2022 年 3 月以来一直很活跃，恶意应用程序可以窃取剪贴板数据、设备信息、SIM 详细信息、设备 IP、SMS、设备位置、通话记录、设备 MAC 地址等数据。

参考链接

https://ti.dbappsecurity.com.cn/info/3490

2.攻击者滥用Linux的Windows子系统安装有效载荷

2016 年 4 月，微软宣布推出适用于 Linux 的 Windows 子系统 (WSL) ，这是一项补充功能，可在 Windows 上原生运行 Linux 映像。近日，研究人员发现了几个用 Python 编写并以 Linux 二进制格式 ELF为 Debian 操作系统编译的恶意文件，这些文件充当加载程序，运行嵌入在样本中或从远程服务器检索的有效负载，然后使用 Windows API 调用将其注入正在运行的进程中。这些样本表明，已经出现了滥用 WSL 来安装后续有效载荷的攻击者。

参考链接

https://ti.dbappsecurity.com.cn/info/3481

3.攻击者利用虚假Windows漏洞PoC传播Cobalt-Strike Beacon

研究人员发现了针对信息安全 区的恶意软件活动。攻击者在GitHub存储库中发布了CVE-2022-24500和CVE-2022-26809的虚假漏洞PoC。虚假PoC会使用cmd.exe执行PowerShell命令以安装实际的payload，即Cobalt-Strike Beacon。

参考链接

https://ti.dbappsecurity.com.cn/info/3479

4.模仿印度政府的浏览器 (BITB) 攻击活动

近日，研究人员观察到了一种新的浏览器 (BITB) 攻击。攻击者冒充印度政府 站，称由于用户反复访问色情 站，其浏览器被阻止，需要通过输入卡详细信息来支付罚款。如果受害者拒绝付款，攻击者则会威胁称要发布有关受害者的敏感信息。

参考链接

https://ti.dbappsecurity.com.cn/info/3501

攻击团伙威胁情

1.亲俄黑客组织KillNet计划攻击意大利 站

Killnet黑客组织于2022年2月25日开始运营，是一个亲俄的黑客组织。Killnet黑客组织的主要目标之一是意大利，已呼吁其成员采取行动，其目标清单包括意大利银行、媒体、能源公司等。近日，Killnet黑客组织在Telegram上宣布计划于5月30日对意大利发动大规模攻击。意大利的计算机安全事件响应小组 (CSIRT) 发布了紧急警 ，以提高群众对 络攻击对国家实体的高风险的认识。目前，意大利CSIRT的 站间歇性不可用，但没有发现长时间的连接问题。此外，意大利国家警察和意大利外交部和国防部的在线门户 站似乎也受到了DDoS的影响。

参考链接

https://ti.dbappsecurity.com.cn/info/3487

高级威胁情

1.摩诃草组织以巴基斯坦相关政府机构文件为诱饵的攻击活动分析

1. 熟悉目标国家的政府机构，使用政府机构图标增强诱饵的可信性；

3. 提升加密效率，使用RC4算法替换AES-CBC-128算法对数据的加密。

参考链接

：https://ti.dbappsecurity.com.cn/info/3499

2.SideWinder组织模仿巴基斯坦政府合法域发起攻击

SideWinder又名 Rattlesnake、Hardcore Nationalist、RAZOR TIGER、T-APT-04和APT-C-17，至少从2012年开始活跃，是一个疑似来自印度的APT组织。自2020年4月以来，SideWinder针对巴基斯坦、中国、尼泊尔和阿富汗的组织发起了将近1000次攻击。

SideWinder在最近的 络钓鱼活动中建立了多个模仿巴基斯坦政府合法域的 络钓鱼域，在发现的 络钓鱼链接中，研究人员还发现了一个下载虚假“Secure VPN”应用的 络钓鱼链接，但研究人员目前无法确认虚假VPN 应用程序的用途是否是恶意的。此外，SideWinder使用了一个自定义工具，研究人员将其追踪为SideWinder.AntiBot.Script。

参考链接

https://ti.dbappsecurity.com.cn/info/3503