安全威胁情报周报（04.03-04.11）

来源： https://blog.malwarebytes.com/threat-analysis/2021/04/aurora-campaign-attacking-azerbaijan-using-multiple-rats/

一项检查处的审计报告显示，美国能源部的非保密网络，包括美国国家核安全局的网络，依然存在网络安全漏洞。尽管能源部在改善其网络安全计划方面取得了长足进展，解决了上一财年78% 的安全问题，但最近发布的《2020年能源部审计报告》发现，能源部的非保密网络和系统仍然脆弱。为解决这些长期存在的问题，检查长又提出了83项改进网络安全的建议，包括加强漏洞管理和提高网络应用程序的安全性，涉及诸如 web 应用程序的系统完整性、配置管理、漏洞管理和访问控制等。美国能源部的管理层表示将努力解决报告中确定的所有安全问题。

据德国博主 GünterBorn 报告，德国 Android 移动设备 Gigaset 存在预安装的恶意软件，这个新的 Android 恶意软件， 是一个名为 Android / PUP.Riskware.Autoins.Redstone 的移动设备自动安装更新程序，通过预先安装的系统更新应用程序包“com.redstone.ota.ui”下载并安装，根据大多数受感染的用户反馈，该程序包会安装三个恶意软件。该恶意软件正在影响欧洲的设备。在复活节前后检测到该类型恶意软件活动，受影响的主要是 Gigaset Android 手机，但在少部分其他移动设备上也发现了该种恶意活动。Gigaset 已对该情况进行调查、确认，当前该问题已经得到解决。

eSentire 安全团队发现，名为 Golden Chickens 的威胁组织正在进行一项针对 LinkedIn 失业人士的鱼叉式网络钓鱼活动。研究人员表示，攻击者利用目标个人资料中列出的职位信息，向受害人投递虚假的工作机会，使用带有对应职位的恶意 zip 文件对受害者进行鱼叉钓鱼攻击。这些网络钓鱼邮件会在诱饵文件名末尾添加“职位”一词，使其看起来像是一份无害的职位相关的文件，从而诱使受害者点击下载。受害者一旦打开假诱饵文件，将会触发隐蔽安装无文件后门文件 more_eggs。该恶意软件会劫持合法的 Windows 进程来隐藏其配置文件，可以下载其它恶意插件，并提供对受害者计算机的实际访问权。此外，该攻击活动可以针对不同的目标来不断调整其攻击，利用特制的诱饵来诱使用户下载恶意软件。目前尚不清楚该黑客组织的身份，但据推测，可能与 FIN6、Cobalt Group 或 Evilnum 有关。eSentire 的高级主管对该恶意活动深表担忧：1) 该恶意程序利用正常的 Windows 进程运行，比较隐蔽，病毒和自动安全解决方案通常难以检测到；2) 攻击者以 LinkedIn 上与目标受害者有关的职位为诱饵，会增加收件人引爆恶意软件的机率；3) 自从 COVID-19 大流行以来，失业率急剧上升。现在正是利用绝望的求职者的机会。因此，在这一时期，特定的工作诱饵将更加诱人。

Hancitor 是一种信息窃取者和恶意软件下载程序，据 Unit 42 报告称，其于近期发现该恶意软件的相关感染活动，同时该恶意软件指向为 MAN1、Moskalvzapoe 或 TA511 的威胁攻击者使用。活动中，攻击者使用了带有链接的电子邮件，链接指向可能受到破坏的托管在 Google Drive 上的页面。该页面包含下载恶意 Word 文档的链接，恶意 Word 文档启用宏后，宏代码将释放并运行 Hancitor 恶意 DLL 文件。Unit 42 曾在2018年的一份威胁简报中指出 Hancitor 恶意软件相对来说还不成熟，但在未来几年里它仍然是一个威胁。在3年后的今天，Hancitor 已衍变成一个威胁，并且已经发展为使用类似钴打击的恶意软件。最近几个月，该恶意软件的威胁攻击者已经开始使用网络 ping 工具来帮助枚举受感染主机的 activedirectory（AD）环境。在局域网（LAN）中，正常的 ping 活动很低甚至不存在，但是这个 ping 工具在 ping 超过1700万个内部、不可路由的 IPv4 地址空间的 IP 地址时，会生成大约 1.5GB 的 Internet 控制消息协议（ICMP）流量。

美国联邦调查局（FBI）和网络安全与基础设施安全局（CISA）于近期发布警告，宣称 APT 组织正在积极大肆利用 Fortinet FortiOS 网络安全操作系统中的已知安全漏洞，攻击企业的 SSL VPN 产品。网络攻击者正在扫描 4443、8443 和 10443 端口的设备，寻找未打补丁的 Fortinet 设备。具体来说，APT 组织正在利用 CVE-2018-13379、CVE-2019-5591 和 CVE-2020-12812 漏洞进行攻击。报告中还表示，APT 攻击者很可能正在扫描这些漏洞，来获得对多个政府、商业和技术服务网络的访问权限，APT 攻击者曾经利用过关键的漏洞进行分布式拒绝服务（DDoS）攻击、勒索软件攻击、结构化查询语言（SQL）注入攻击、鱼叉式钓鱼活动、网站篡改和发布虚假信息等活动。针对该种情况，建议您采取及时修补相关漏洞，如果您的组织没有使用 FortiOS，请将 FortiOS 使用的关键文件添加到您组织的拒绝执行列表中，从而防止任何试图安装或运行该程序及其相关文件的行为。

ESET 研究人员发现了疑似 Lazarus 组织使用的一个新后门—— Vyveva，该后门用于攻击南非的一家货运物流公司。Vyveva 后门由多个组件组成，并通过 Tor 网络与其 C&C 服务器通信，具有文件泄露、修改文件时间戳、收集受害计算机及其驱动器的信息，以及其他常见的后门功能，例如运行恶意软件操控者指定的任意代码。Vyveva 后门与 Lazarus 组织有关的 NukeSped 恶意软件家族具有相似性，同时在其他方面也有一定相似性，比如：在网络通信中使用伪造的 TLS，命令行执行链，以及使用加密和 Tor 服务的方式，这些特征都指向 Lazarus 组织。因此，ESET 研究人员将 Vyveva 归因于该 APT 组织。研究还发现，该后门至少从2018年12月开始使用，但其初始攻击向量未知。