奇安信威胁情报中心

- Lazarus 利用 macOS 扩展文件属性隐藏恶意代码 - 伊朗“梦想工作”活动披露 - WIRTE 继续针对中东并转向破坏性活动 - 金眼狗团伙近期活动跟踪

我们发现一个来自伪装为求职网站的可疑压缩包。通过奇安信情报沙箱的智能恶意行为综合判断，识别出文件可疑并给出10分的恶意评分。RAS 检测结果表明样本可能采用 DLL 侧加载手段。结合手动分析，认为此次恶意活动是 UNC1549 攻击的延续。

基于奇安信威胁雷达的测绘分析，从 2022 年以来，金眼狗一直是对国内攻击频率最高的几个组织之一。本文将对最近几年捕获到的金眼狗样本以及攻击手法进行介绍，并讨论金眼狗的常用攻击手法和样本演变。

-Lazarus组织不断更新Contagious Interview活动策略 -APT-C-08（蔓灵花）组织：多元攻击载体大揭秘 -MSI 文件滥用新趋势：新海莲花组织首度利用 MST 文件投递特马

奇安信威胁情报中心发现，新海莲花组织APT-Q-31近期重新活跃，并采用MSI文件滥用的新手法，这是首次在国内针对政企的APT活动中捕获到该技术的使用。海莲花的两个攻击集合共享攻击资源，但TTP完全不同。上次新海莲花的活跃是2023年末。

- Midnight Blizzard 使用 RDP 文件进行大规模鱼叉式网络钓鱼活动 - UNC5812 针对乌克兰军事新兵传播反动言论 - Kimsuky组织滥用PebbleDash和RDP Wrapper

- APT-C-08（蔓灵花）组织 WebDAV 行动分析 - APT-C-35（肚脑虫）组织针对南亚某制造公司的攻击活动分析 - RomCom黑客组织利用新型 SingleCamper RAT 变种攻击乌克兰政府

-疑似 Mysterious Elephant 组织利用 CHM 文件攻击南亚多国 -蔓灵花组织启用全新特马MiyaRat，国内用户成为首要目标 -Lazarus窃密币动作活跃，大量资产仍存活

奇安信威胁情报中心近期发现一批特别的CHM，其中html十分简单，仅执行一个外部文件，这导致VT报毒数很低。本文基于恶意样本相似性认为这些特殊的 CHM 攻击样本和 C# 后门很可能来自 Mysterious Elephant 组织。

Bitter在今年一直在尝试各种免杀方法：6 月份通过 powershell 加载 havoc 框架、7 月份直接下发 2018 年就在使用的窃密插件，效果都不太理想，最终在 9 月份下发了全新的特马 MiyaRat 还是被我们成功捕获。

-Patchwork 使用新后门 Nexe 绕过安全警报 -揭秘 Kimsuky 的新工具：KLogEXE 和 FPSpy -Gamaredon 仍然是乌克兰“最活跃”的黑客组织 -Kimsuky涉嫌入侵德国导弹制造商

-SloppyLemming 使用 Cloudflare Workers 针对南亚地区 -Confucius 组织利用 ADS 隐藏载荷攻击宗教相关人士 -UNC1860 针对中东的网络攻击工具分析

奇安信威胁情报中心观察到由rust语言编写的勒索软件Rast ransomware非常活跃，国内大量机器被勒索，政企终端受害单位高达 20 余个。根据统计，短短十个月的时间内有 6800 多台终端被控，其中 5700 余台被成功加密。

- Gleaming Pisces 通过 Python 软件包分发 Linux 和 MacOS 后门 - APT34 针对伊拉克政府网络部署恶意软件 - UNC2970 使用木马化 PDF 阅读器部署后门

2024年9月17日，中东地区的黎巴嫩出现一起非常规袭击事件，真主党成员使用的寻呼机在黎巴嫩各地同时引爆，造成多人伤亡。事件还没有确定的调查结论，奇安信威胁情报中心综合网上现有的公开信息整理寻呼机爆炸事件背后可能的攻击手段。

-DarkHotel APT 组织 Observer 木马攻击分析 -朝鲜相关威胁组织分析 -Kimsuky 利用俄朝伙伴关系论文主题诱饵攻击 -Gamaredon 对乌克兰军队的持续攻击

- APT组织 Citrine Sleet 利用 Chromium 零日漏洞 - Kinsuky 组织针对航空航天工程相关人员的恶意代码分析 - APT29复用间谍软件开发商 NSO 和 Intellexa 用过的漏洞

CVE-2024-30051漏洞最早由卡巴斯基发现，根据最初上传到VT的该漏洞的简单分析报告，我们通过该报告中漏洞的特征，找到了QakBot利用的实际样本并对其进行了详细分析。

2024.08.23~

分享近期值得关注的IOC