【恶意软件】

Quantum Builder使用新的TTP交付Agent Tesla

Quantum Builder是一种可定制的工具，用于生成恶意快捷方式文件以及 HTA、ISO 和 PowerShell 有效负载，以在目标机器上交付下一阶段的恶意软件。研究人员发现，攻击者正在使用“Quantum Builder”构建器，提供Agent Tesla远程访问木马。多阶段攻击链从包含 GZIP 存档附件的鱼叉式网络钓鱼邮件开始，该附件包含一个快捷方式，旨在执行负责使用MSHTA启动远程 HTML 应用程序 (HTA) 的 PowerShell 代码。HTA文件解密并执行另一个 PowerShell 加载程序脚本，该脚本充当下载器，用于获取 Agent Tesla 恶意软件并以管理权限执行。

参考链接：https://ti.dbappsecurity.com.cn/info/3989

Chaos：基于Go语言的恶意软件

Chaos是一种基于Go语言的恶意软件，主要通过攻击未针对各种安全漏洞和 SSH 暴力破解的设备进行传播，也会使用被盗的 SSH 密钥来劫持更多设备。 Chaos的功能包括枚举主机环境、运行远程 shell 命令、加载附加模块等。研究人员发现，Chaos僵尸网络正在瞄准并感染 Windows 和 Linux 设备，从而进行挖矿活动或发起 DDoS 攻击。

参考链接：https://ti.dbappsecurity.com.cn/info/3988

Erbium恶意软件分析

Erbium恶意软件是一种信息窃取器，它以恶意软件即服务 (MaaS) 的形式分发。Erbium能够窃取存储在网络浏览器中的数据，例如密码、cookie、信用卡和自动填充信息。Erbium具有枚举路径、文件和文件夹的功能，还可以在内存中加载其他库、进程和 DLL。Erbium的感染地区包括美国、法国、哥伦比亚、西班牙、意大利、印度、越南和马来西亚。

参考链接：https://ti.dbappsecurity.com.cn/info/3980

Ruzki PPI服务利用PrivateLoader部署恶意负载

PrivateLoader于 2021 年 5 月首次被观察到，是2022年使用最广泛的加载程序之一。Pay-Per-Install(PPI)服务使用PrivateLoader在受感染的主机上部署多个恶意负载。PPI是一种恶意软件服务，恶意软件运营商向PPI运营商提供有效载荷、请求的安装数量和目标地理位置。

自2021年5月起，ruzki（又名 les0k，zhigalsz）在地下俄语论坛和telegram频道上以相同的名称宣传PPI服务。在推出时，该服务每天可提供多达 20,000 次安装。PrivateLoader是Ruzki PPI恶意软件服务的专有加载程序，目前已经主动分发了包括信息窃取程序、勒索软件、僵尸网络和矿工软件等多种恶意软件。

参考链接：https://ti.dbappsecurity.com.cn/info/3971

网络钓鱼活动传播Doenerium窃密木马

研究人员发现了一个被用于针对Office365用户的鱼叉式网络钓鱼电子邮件活动中使用的恶意域，同一域托管了多个恶意软件，包括一个名为“Doenerium”的新窃密木马。钓鱼电子邮件包含一个伪装成PDF附件的链接，一旦用户点击链接，则会被重定向到钓鱼页面。攻击者运行网络钓鱼活动以窃取 Microsoft Office 365 凭据，其中一个网页托管Doenerium窃密木马。Doenerium恶意软件可以从已安装的浏览器中收集受害者的敏感信息，例如用户名、密码、cookie、历史记录、书签和用户配置文件。

参考链接：https://ti.dbappsecurity.com.cn/info/3991

【热点事件】

黑客通过OAuth应用程序攻击Exchange服务器

9月22日，微软披露，攻击者在撞库攻击中获得了对托管Microsoft Exchange服务器的云租户的访问权限，其最终目标是部署恶意OAuth应用程序，并发送网络钓鱼电子邮件。攻击者对未启用多因素身份验证(MFA)的高风险账户发起撞库攻击，并利用不安全的管理员账户获得初始访问权限。攻击者通过对云租户的未经授权的访问，能够创建一个恶意OAuth应用程序，该应用程序在电子邮件服务器中添加了一个恶意的入站连接器。攻击者使用此入站连接器和传输规则，从而规避检测，通过受感染的Exchange服务器传递网络钓鱼电子邮件。作为额外的防御规避措施，攻击者删除了恶意入站连接器和垃圾邮件活动之间的所有传输规则。

参考链接：https://ti.dbappsecurity.com.cn/info/3977

匿名者组织声称攻击了俄罗斯国防部

匿名者黑客组织声称已经入侵了俄罗斯国防部的网站，泄露了305925人的数据，这些人可能是普京总统宣布的三波动员中的第一批预备役军人。匿名者组织通过ProtonDrive共享了一个90MB大小的TXT文件。该文件包含超过30万人的姓名、出生日期和地区。目前无法验证已发布档案的确切来源。

参考链接：https://ti.dbappsecurity.com.cn/info/3976

乌克兰安全局捣毁了窃取3000万账户的黑客团伙

乌克兰安全局(SSU)的网络部门逮捕了一群黑客，这些黑客窃取了大约3000万人的账户并在暗网上出售。黑客使用恶意软件获取乌克兰和欧盟受害者系统上可用的凭据和其他敏感数据。根据初步统计，黑客出售了大约3000万个账户，并获得了近1400万UAH（380000美元）的“利润”。

参考链接：https://ti.dbappsecurity.com.cn/info/3975

【勒索专题】

以色列国防承包商确认数据泄露事件

以色列国防巨头 Elbit Systems 的子公司 Elbit Systems of America确认，公司于6月8日遭到了勒索软件攻击，导致数据泄露，共有369人受到影响。Elbit Systems of America提供国防、商业航空、国土安全、医疗仪器、执法以及维持和支持解决方案。此次事件的攻击者为Black Basta勒索软件团伙，该组织已公开了从Elbit窃取的所有文件，这表明该公司拒绝支付勒索团伙要求的赎金。

参考链接：https://ti.dbappsecurity.com.cn/info/3985

LockBit勒索团伙泄露法国医院数据

8月底，位于大巴黎南部边缘的一家法国医院遭到了LockBit勒索团伙的攻击，并被要求支付1000万美元的赎金。由于该医院拒绝付款，因此LockBit团伙泄露了近12GB的患者和工作人员数据，泄露的内容包括社会安全号码、实验室报告和其他健康数据。该事件促使法国政府在医院网络安全方面额外投入 2000 万欧元。法国社会事务和卫生部长谴责了这次泄密事件，并在推特上表示不会向这些罪犯屈服。

参考链接：https://ti.dbappsecurity.com.cn/info/3983

Microsoft SQL服务器遭到FARGO勒索软件攻击

9月23日，研究人员披露，易受攻击的Microsoft SQL服务器遭到了FARGO勒索软件的新一轮攻击。MS-SQL服务器是为Internet服务和应用程序保存数据的数据库管理系统，MS-SQL服务器遭到破坏可能会导致严重的业务故障。FARGO与GlobeImposter一样，是主要针对MS-SQL服务器的勒索软件之一，此前也被称为“Mallox”。感染始于目标设备上的MS-SQL进程使用cmd.exe和powershell.exe下载.NET文件。Payload会获取其他恶意软件，生成并运行终止特定进程和服务的BAT文件。然后，将勒索软件payload注入到合法的Windows进程AppLaunch.exe中。

参考链接：https://ti.dbappsecurity.com.cn/info/3979

Bl00dy新勒索软件家族分析

“Bl00dy”是一种使用双重勒索技术的新型勒索软件。勒索软件对受害者机器上的文件进行加密，并将加密文件的扩展名附加为“.bl00dy”，随后创建赎金票据以要求付款。该勒索软件使用Telegram发布受害组织的信息。Bl00dy背后的勒索团伙于2022年7月下旬创建了Telegram账户，并于2022年8月开始发布泄露的受害者数据。Bl00dy勒索软件目前已攻击了消费品、医疗保健、专业服务、IT和ITES等多个行业领域的知名组织（目前已知受害者6名）。

参考链接：https://ti.dbappsecurity.com.cn/info/3993

Prilex团伙使用“GHOST交易”方式发起攻击

Prilex是一个来自巴西的黑客团伙，自2014年开始活跃，在2016年决定放弃ATM恶意软件，将所有攻击集中在PoS系统上，瞄准支付行业的核心。Prilex团伙不断更新其工具，PoS恶意软件从简单的内存抓取器演变为非常先进和复杂的恶意软件，直接处理 PIN 键盘硬件协议，滥用与 PoS 软件相关的流程来拦截和修改与 PIN 键盘的通信。此外，在攻击方式上，Prilex的最新版本从基于重放的攻击转变为使用GHOST交易，即使用受害者卡在店内支付过程中生成的密码进行欺诈交易。

参考链接：https://ti.dbappsecurity.com.cn/info/3992

【政府部门】

OpIran：匿名者组织发起了针对伊朗的攻击行动

9月21日，Anonymous组织（匿名者）向伊朗政府宣战，针对政府网站发起了#OpIran运动，目标包括伊朗情报和警察网站。该组织呼吁黑客采取行动，对伊朗网站发起 DDoS 攻击，窃取其数据并在线泄露。Anonymous入侵了伊朗取证研究中心、伊朗议会，并在网上泄露了被盗数据，还关闭了伊朗国家附属媒体法尔斯通讯社。此外，Anonymous声称入侵了伊朗的数百个摄像头，该组织的成员透露，他们利用了 CVE-2018-9999 漏洞。

参考链接：https://ti.dbappsecurity.com.cn/info/3981

【攻击团伙】

Void Balaur网络雇佣黑客组织分析

Void Balaur是一个活跃的网络雇佣黑客组织，目标跨越美国、英国、俄罗斯、乌克兰和其他各个国家。至少自2016年以来，Void Balaur就向公众在线出售包括收集私人数据以及访问特定的知名电子邮件（Gmail、Outlook、Yahoo）和社交媒体（Facebook、Instagram、Telegram）的服务。Void Balaur利用通用可重复的网络钓鱼电子邮件来引诱目标提供帐户凭据，最常见的目标和攻击主题是Google服务。目前，Void Balaur 已经运行了 5,000 多个用于针对单个目标的唯一域。

参考链接：https://ti.dbappsecurity.com.cn/info/3994

【APT组织事件】

Lazarus组织使用“BYOVD技术”攻击韩国实体

2022 年初，Lazarus组织针对韩国的国防、金融、媒体和制药行业发起了攻击。在攻击活动中，Lazarus组织使用rootkit恶意软件，滥用易受攻击的驱动程序内核模块直接读取和写入内核内存区域。因此，系统内的所有监控系统，包括AV（反病毒）都被禁用。这种技术被称为“BYOVD（自带易受攻击的驱动程序）”方法，主要在硬件供应公司的易受攻击的驱动程序模块上执行。攻击者可以使用这种合法签名的易受攻击的驱动程序来轻松控制内核区域。

参考链接：https://ti.dbappsecurity.com.cn/info/3982

Metador：针对电信公司、ISP和大学的新APT组织

9月22日，研究人员披露了一个名为“Metador”的新APT组织。Metador组织主要针对中东和非洲几个国家的电信、互联网服务提供商(ISP)和大学。Metador的攻击链旨在绕过本地安全解决方案，同时将恶意软件直接部署到内存中。在分析过程中，研究人员检索并分析了 Metador 使用的两个Windows恶意软件变体：“metaMain”和“Mafalda”。metaMain 是一个功能丰富的后门，攻击者可以通过metaMain保持长期访问、记录击键、下载和上传任意文件以及执行shellcode。Mafalda 是一个灵活的交互式植入程序，支持67种命令，具有窃取凭据、网络侦察等功能。

参考链接：https://ti.dbappsecurity.com.cn/info/3978

俄罗斯组织使用“鼠标悬停”技术，传播Graphite恶意软件

俄罗斯黑客开始使用一种新的代码执行技术，该技术依赖于Microsoft PowerPoint演示文稿中的鼠标移动来触发恶意PowerShell脚本，从而传播 Graphite 恶意软件。恶意代码不需要恶意宏来执行和下载有效载荷，从而进行更隐蔽的攻击。攻击者使用PowerPoint(.PPT)文件引诱目标，该文件据称与经济合作与发展组织(OECD)相关。PPT文件包含一个超链接，作为启动恶意PowerShell脚本的触发器。当以演示模式打开诱饵文档并且受害者将鼠标悬停在超链接上时，会激活恶意PowerShell脚本从Microsoft OneDrive帐户下载JPEG文件。

生成的有效负载是可移植可执行 (PE) 形式的 Graphite 恶意软件。Graphite滥用 Microsoft Graph API和OneDrive，与命令和控制 (C2) 服务器通信。研究人员将这一活动归因于与俄罗斯有关的攻击组织APT28(又名Fancy Bear),攻击者的目标是欧盟和东欧国家国防和政府部门实体。

参考链接：https://ti.dbappsecurity.com.cn/info/3984

Lazarus组织以工作机会为诱饵，分发macOS恶意软件

朝鲜Lazarus组织发起了新一轮的攻击活动，攻击者发送一个伪装成PDF的macOS二进制文件，其中包含虚假的“Crypto.com”招聘职位。Crypto.com是世界领先的加密货币交易平台之一，此次活动针对的目标为加密领域的开发人员和艺术家，其长期目标可能是窃取数字资产和加密货币。由于负责托管恶意软件的 C2 服务器当前处于脱机状态，因此研究人员无法检索最终有效负载。

参考链接：https://ti.dbappsecurity.com.cn/info/3990