安恒高级安全威胁情报周报（2022.3.26~4.2）

点击蓝字关注我们

本期

目录

2022.3.26-4.2

全球情报资讯

“

1

恶意软件

• BlackGuard：黑客论坛上出售的新型密码窃取恶意软件

• Mars Stealer恶意软件通过虚假OpenOffice广告传播

• Verblecon：用于隐蔽加密挖矿攻击的恶意软件加载程序

• IcedID木马的最新活动分析

• Vidar恶意软件隐藏在微软帮助文件中

• Beastmode僵尸网络利用新的路由器漏洞增强 DDoS 能力

• Process Manager：与俄罗斯Turla APT组织有关的 Android 恶意软件
  

“

2

热点事件

• FBI警告：网络钓鱼活动试图窃取美国选举官员凭据

• Viasat卫星调制解调器遭AcidRain恶意软件攻击
  

“

3

勒索专题

• FBI警告：勒索软件团伙针对公共服务发起攻击

• SunCrypt勒索软件在2022年增加了新功能

• Hive勒索软件使用新的“IPfuscation”混淆技巧隐藏有效负载

• Hive勒索软件将其Linux加密器转换为Rust语言
  

“

4

政府部门

• 英国国防部招募网站遭黑客攻击

• 乌克兰情报局公布620名俄罗斯官员的个人数据

• 针对俄罗斯持不同政见者的鱼叉式网络钓鱼活动
  

“

5

医疗卫生

• 美国Val Verde纪念医院遭LockBit勒索软件攻击

“

6

媒体行业

• UAC-0056组织针对多个乌克兰实体发起攻击

“

7

金融行业

• 热门NFT游戏Axie Infinity被窃取6.2亿美元加密货币

• Anonymous泄露俄罗斯中央银行数据
  

“

8

高级威胁情报

• 疑似UAC-0010组织使用PseudoSteel恶意软件攻击乌克兰国家机构

• Transparent Tribe模仿军事国防组织的虚假域，以攻击印度官员

• Kimsuky组织利用伪装成韩国火灾捐赠收据的文档发起攻击

• Lazarus组织使用木马化DeFi应用程序传播恶意软件

恶意软件威胁情报

1.BlackGuard：黑客论坛上出售的新型密码窃取恶意软件

2022年1月，一种名为 BlackGuard 的新型信息窃取恶意软件首次出现在俄语论坛上，在众多暗网市场和论坛上以 700 美元永久使用的价格或每月 200 美元的订阅价格出售。BlackGuard 可以从广泛的应用程序中获取敏感信息，将所有内容打包到 ZIP 存档中，并将其发送到恶意软件即服务 (MaaS) 操作的 C2。

参考链接

https://ti.dbappsecurity.com.cn/info/3266

2.Mars Stealer恶意软件通过虚假OpenOffice广告传播

Mars Stealer 是对 2020 年停止开发的 Oski 恶意软件的重新设计，具有针对广泛应用程序的信息窃取功能。近日，研究人员发现了第一场使用Mars Stealer的大型活动，攻击者使用谷歌广告，将克隆的OpenOffice网站在搜索结果中靠前显示。OpenOffice是一个曾经流行的开源办公套件，假冒网站上的 OpenOffice 安装程序实际上是一个 Mars Stealer 可执行文件，其中包含 Babadeda 加密程序或 Autoit 加载程序，从而感染受害者。

参考链接

https://ti.dbappsecurity.com.cn/info/3260

3.Verblecon：用于隐蔽加密挖矿攻击的恶意软件加载程序

Verblecon是一种相对较新的恶意软件加载程序，其有效载荷结合了多态特性以逃避安全软件的检测。研究人员于今年1月发现了 Verblecon，该程序被用于安装加密货币矿工。Verblecon加载程序在攻击中执行进一步的反分析检查以确定它当前是否正在虚拟或沙盒环境中调试或打开，然后继续将自身复制到计算机并连接到远程服务器以检索包含的加密 blob URL，然后用于获取矿工有效负载。

参考链接

https://ti.dbappsecurity.com.cn/info/3256

4.IcedID木马的最新活动分析

IcedID 是一种模块化银行木马，于2017年首次被发现，主要用于部署第二阶段恶意软件，例如其他加载程序或勒索软件。在新的 IcedID 活动中，攻击者使用受感染的 Microsoft Exchange 服务器发送网络钓鱼电子邮件。有效负载也从使用办公文档转换到使用包含 Windows LNK 文件和 DLL 文件的 ISO 文件。使用 ISO 文件可以让攻击者绕过Mark-of-the-Web控件，目前，受害者包括能源、医疗保健、法律和制药行业的组织。

参考链接

https://ti.dbappsecurity.com.cn/info/3238

5.Vidar恶意软件隐藏在微软帮助文件中

Vidar恶意软件是一种用 C++ 编译的信息窃取程序，能够从系统中的各种浏览器和其他应用程序中获取系统信息和数据。3月24日，研究人员警告Windows用户，Vidar恶意软件被隐藏在微软Compiled HTML Help（CHM）文件中，以避免在垃圾邮件活动中被检测到。分发Vidar的电子邮件包含一个通用主题行和一个附件“request.doc”，它实际上是一个.iso磁盘映像。.iso包含两个文件：一个Microsoft编译的HTML Help（CHM）文件（pss10r.chm）和一个可执行文件（app.exe）。

参考链接

https://ti.dbappsecurity.com.cn/info/3250

6.Beastmode僵尸网络利用新的路由器漏洞增强 DDoS 能力

Beastmode又名 B3astmode，是基于 Mirai 的分布式拒绝服务 (DDoS) 僵尸网络。该僵尸网络已更新其漏洞利用列表，其中包含三个针对各种型号的 Totolink 路由器的新漏洞：CVE-2022-26210、CVE-2022-26186、CVE-2022-25075/25076/25077/25078/25079/25080/25081/25082/25083/25084。

参考链接

https://ti.dbappsecurity.com.cn/info/3270

7.Process Manager：与俄罗斯Turla APT组织有关的 Android 恶意软件

研究人员发现了一个名为“Process Manager”的恶意 APK，它充当 Android 间谍软件。一旦安装，Process Manager 会尝试使用齿轮形图标伪装成系统组件，隐藏在 Android 设备上，其请求的权限允许程序获取设备的位置、发送和阅读文本、访问存储、使用相机拍照以及录制音频。收到权限后，间谍软件会删除其图标并在后台运行。研究人员已将该软件与俄罗斯支持的Turla APT组织相关联。

参考链接

https://ti.dbappsecurity.com.cn/info/3271

热点事件

1.FBI警告：网络钓鱼活动试图窃取美国选举官员凭据

3月29日，美国联邦调查局 (FBI) 发布警告称，至少自 2021 年 10 月以来，一场持续且广泛的网络钓鱼活动正以美国选举官员为目标，试图窃取其登录凭据。至少有九个州的美国选举官员收到了以发票为主题的网络钓鱼电子邮件，其中包含指向旨在窃取登录凭据的网站的链接。如果攻击成功，这项活动可能会为攻击者提供对受害者系统的持续、隐蔽的访问。

参考链接

https://ti.dbappsecurity.com.cn/info/3255

2.Viasat卫星调制解调器遭AcidRain恶意软件攻击

2 月 24 日，一场网络攻击导致Viasat公司的KA-SAT卫星宽带服务在乌克兰无法使用，影响了位于乌克兰的数千名客户和欧洲数万其他固定宽带客户。3月31日，研究人员发布报告称，在攻击中发现了一种新的数据擦除恶意软件，命名为 AcidRain。AcidRain旨在暴力破解设备文件名并擦除找到的每个文件，以便在未来的攻击中轻松重新部署。在 AcidRain 的数据擦除过程完成后，恶意软件会重新启动设备，使其无法使用。

参考链接

https://ti.dbappsecurity.com.cn/info/3267

勒索专题

1.FBI警告：勒索软件团伙针对公共服务发起攻击

3月30日，联邦调查局 (FBI) 发布警告称，网络犯罪分子将攻击目标对准医疗保健、紧急服务和地方政府等人们日常生活依赖的关键服务。勒索软件攻击通过扰乱公用事业、紧急服务和教育等公共服务，带来安全风险。

参考链接

https://ti.dbappsecurity.com.cn/info/3269

2.SunCrypt勒索软件在2022年增加了新功能

SunCrypt 是一个 RaaS（勒索软件即服务）组织，于 2019 年 10 月首次出现，是最早应用三重勒索策略的组织之一。SunCrypt勒索软件的2022更新版本添加了新功能，允许勒索软件终止进程、停止服务并清除痕迹。该勒索软件还使用一个 winlogon.exe 访问令牌，并通过使用SetThreadToken API 调用将其设置为其主线程。此外，样本中似乎还有一个反虚拟机功能，可能会在未来的版本中添加。

参考链接

https://ti.dbappsecurity.com.cn/info3265

3.Hive勒索软件使用新的“IPfuscation”混淆技巧隐藏有效负载

Hive 勒索软件团伙使用了一种新的混淆技术“IPfuscation”。研究人员在分析 64 位 Windows 可执行文件时发现了这种技术，每个可执行文件都包含一个提供 Cobalt Strike 的有效负载，有效载荷本身通过采用 ASCII IPv4 地址数组的形式进行了混淆，因此看起来像一个无害的 IP 地址列表。

参考链接

https://ti.dbappsecurity.com.cn/info/3259

4.Hive勒索软件将其Linux加密器转换为Rust语言

Hive 勒索软件团伙已将他们的 VMware ESXi Linux 加密器转换为 Rust 编程语言，并添加了新功能，从而使研究人员更难窥探受害者的赎金谈判。在新的 Hive Linux 加密器中，Hive要求攻击者在启动恶意软件时提供用户名和登录密码作为命令行参数。

参考链接

https://ti.dbappsecurity.com.cn/info/3253

政府部门威胁情报

1.英国国防部招募网站遭黑客攻击

英国国防部已暂停由英国陆军Capita运营的国防招募系统的在线申请和支持服务，并证实攻击者泄露了一些潜在士兵的数据。军方于3月14日获悉此次入侵事件，两天后，作为预防措施，军方关闭了职业网站和DRS。目前，信息被盗的候选人的确切数量尚未得到证实，据悉其范围大概在125到150之间。

参考链接

https://ti.dbappsecurity.com.cn/info/3247

2.乌克兰情报局公布620名俄罗斯官员的个人数据

乌克兰国防部情报局在网上公布了620名俄罗斯情报人员的个人数据，包含姓名、地址、车牌、护照号码、SIM 卡、签名以及电话号码。乌克兰声称名单上的人员是俄罗斯联邦安全局 (FSB) 的官员，参与了在欧洲的“犯罪活动”。俄罗斯尚未对公布的名单发表评论， 暂时无法核实其真实性。

参考链接

https://ti.dbappsecurity.com.cn/info/3261

3.针对俄罗斯持不同政见者的鱼叉式网络钓鱼活动

3月23日，研究人员确定了一场新的鱼叉式网络钓鱼活动，目标是反对俄罗斯政府和国家媒体的持不同政见者。该活动针对俄罗斯公民和政府实体，通过电子邮件警告使用俄罗斯政府禁止的网站、社交网络、即时通讯程序和 VPN 服务的人。这些邮件带有恶意附件或链接，可以将 Cobalt Strike 信标释放到收件人的系统，从而对目标进行间谍活动。

参考链接

https://ti.dbappsecurity.com.cn/info/3262

医疗卫生行业威胁情报

1.美国Val Verde纪念医院遭LockBit勒索软件攻击

3月16日，LockBit称，Val Verde 纪念医院遭到入侵，泄露了96,000 份患者记录。该清单于 3 月 16 日添加到泄漏站点。3 月 24 日，LockBit 从 VVMRC 转储了近 400 MB 的患者数据。患者文件中有 96,000 条记录，患者联系人文件中有超过 53,000 条条目，患者保险文件中有超过 85,000 条条目。

参考链接

https://ti.dbappsecurity.com.cn/info/3252

媒体行业威胁情报

1.UAC-0056组织针对多个乌克兰实体发起攻击

UAC-0056组织又名SaintBear、UNC2589 和 TA471，自 2021 年初以来一直活跃，主要针对乌克兰和格鲁吉亚。3 月下旬，研究团队发现了该组织针对乌克兰多个实体的新活动，受害者包括私人电视频道 ICTV。在此活动中，UAC-0056组织使用嵌入恶意宏的Excel文档发起鱼叉式网络钓鱼攻击，部署的初始可执行文件为Elephant Dropper，有效载荷包括Elephant Downloader、Elephant Implant（也被跟踪为 GrimPlant 后门）以及Elephant Client（也被跟踪为 GraphSteel 后门）。

参考链接

https://ti.dbappsecurity.com.cn/info/3272

金融行业威胁情报

1.热门NFT游戏Axie Infinity被窃取6.2亿美元加密货币

3月29日，热门链游区块链NFT游戏Axie Infinity的Ronin Network宣布遭遇黑客攻击。黑客成功窃取了 173,600 个以太坊和 2550 万美元的代币 (USDC)，价值约 6.2 亿美元（3月29日价值）。Ronin 是用于促进 Axie Infinity 游戏交易的以太坊侧链，充当在以太坊和 Ronin 区块链之间传输 ERC-20 代币的一种方式。目前，Ronin 桥和 Katana Dex已被暂停。这可能是迄今为止最大的一次DeFi黑客攻击，也是链游领域发生的最严重的一次安全事件。

参考链接

https://ti.dbappsecurity.com.cn/info/3257

2.Anonymous泄露俄罗斯中央银行数据

Anonymous黑客团体声称已经入侵了俄罗斯中央银行并窃取了 35,000 份文件。Anonymous组织推特账户表示，其附属组织Black Rabbit World泄露了从俄罗斯中央银行窃取的28GB数据。该组织分享了两个指向云存储和文件托管服务Mega NZ的链接。Anonymous组织声称，被盗文件包括俄罗斯的经济机密。

参考链接

https://ti.dbappsecurity.com.cn/info/3249

高级威胁情报

1.疑似UAC-0010组织使用PseudoSteel恶意软件攻击乌克兰国家机构

今天，乌克兰的计算机应急响应小组宣布发现了一场网络钓鱼活动，并以低置信度归因于 UAC-0010（世界末日）俄罗斯威胁组织。该活动使用伪装成乌克兰军队损失信息的文件诱饵来投放“PseudoSteel”恶意软件，攻击者可以使用该恶意软件远程搜索本地文件并将其上传到 FTP 服务器。

参考链接

https://ti.dbappsecurity.com.cn/info/3254

2.Transparent Tribe模仿军事国防组织的虚假域，以攻击印度官员

透明部落（Transparent Tribe、APT36、Mythic Leopard）是来自巴基斯坦的APT组织，至少自2016年以来一直活跃。研究人员发现，透明部落组织在最新的攻击活动中创建了模仿合法军事和国防组织的虚假域，并使用多种交付方法传递恶意软件以攻击印度实体和个人，如伪装成合法应用程序安装程序的可执行文件、存档文件和恶意文档。

参考链接

https://ti.dbappsecurity.com.cn/info/3258

3.Kimsuky组织利用伪装成韩国火灾捐赠收据的文档发起攻击

3月初，韩国蔚珍郡和三陟市发生了一场大型森林火灾，韩国各地纷纷捐款以帮助受灾者。研究人员发现，Kimsuky组织试图利用火灾捐赠诱饵进行 APT 攻击。攻击中使用了伪装成来自蔚珍山火捐赠收据的 Word 文档，以执行恶意宏。

参考链接

https://ti.dbappsecurity.com.cn/info/3263

4.Lazarus组织使用木马化DeFi应用程序传播恶意软件

近日，研究人员发现了一个木马化的 DeFi 应用程序，该应用程序于 2021 年 11 月编译，包含一个名为 DeFi Wallet 的合法程序，该程序可以保存和管理加密货币钱包，在执行时会植入恶意文件。该恶意软件是一个功能齐全的后门，与 Lazarus组织使用的其他工具有许多重叠之处。经分析后，研究人员确信该软件与Lazarus组织有关。

参考链接

https://ti.dbappsecurity.com.cn/info/3268

猎影实验室， 是一支关注APT攻防的团队，主要的研究方向包括：收集APT攻击组织&情报、APT攻击检测、APT攻击分析、APT攻击防御、APT攻击溯源以及最新APT攻击手段的研究。

安恒威胁分析平台， 分析安全威胁数据、多源情报数据，跟踪APT事件，为客户提升区域安全态势感知、 未知威胁检测、威胁溯源分析、主动防御等场景。

平台地址：https://ti.dbappsecurity.com.cn/