APT-C-36组织又名盲眼鹰，是一个疑似来自南美洲的、主要针对哥伦比亚的APT组织，该组织自2018年持续发起针对哥伦比亚的攻击活动。近日，研究人员发现并捕获到了疑似APT-C-36组织的攻击行动，恶意文档最终释放RAT对中招机器进行远程控制，已有国外哥伦比亚用户受到了影响。   简况 样本标题为FACTURACION-PDF-10-AGOSTO-2021.xlam，包含在多个压缩包中，压缩包的名字被伪装成了各种金融、政府相关标题，并且所有的文件名称都是西班牙语。此次捕获到的恶意表格文档内部没有内容，如果有不谨慎的用户随意点击了“启用宏”的按钮，其内部的宏代码就已经开始自动执行。安全声明如下图： 宏代码是一段base64编码的powershell脚本。脚本解码后同样是一段powershell代码，内部隐藏着base64代码通过iex调用执行。最后运行的是一段downloader脚本，首先利用循环尝试躲避沙箱检测，然后利用PowerShell的bitstransfer远程文件传输，下载后续载荷。   释放的RAT是商业开源的asyncRAT，其功能有剪贴板监控、键盘记录、进程管理、远程Shell、反沙箱、反虚拟机、反分析和反调试等。后续所有远控功能代码，都是被封装在不同的DLL模块中有选择性的下发；并且在中招机器上以内存加载执行，这样做能够有效的免杀和绕过安全机制。   由于以下原因，研究人员认为此样本疑似归因于APT-C-36组织： 最终释放的RAT远控在之前APT-C-36组织的攻击活动中被使用。 诱饵文档的文件名称都是西班牙语，而且尝试伪装的信息、意图攻击的目标都与之前APT-C-36组织的目标一致，这一点符合APT-C-36组织是一个非常了解西班牙语的群体的特点。 最终CC的IP地址所在地为哥伦比亚，之前APT-C-36组织使用的所有IP地址均归属于哥伦比亚，与该组织早期活动的IP地理位置相同。 域名dns为duckdns[.]org也与APT-C-36组织在之前的攻击活动相关联。   总结 在APT-C-36组织的活动中，钓鱼邮件一直是其重要的攻击前置手段，钓鱼邮件也是APT攻击入口的重要手段，大多数用户安全意识不强，很容易被伪装邮件以及伪装的文档、欺骗性标题所迷惑，在毫无防范的情况下被攻陷，进而泄漏机密文件、重要情报，影响政治、经济、军事的走向与决定。

Malwarebytes公司研究了Magecart Group 8的基础设施，发现了该组织的大部分基础设施迁移到了不同的主机，如Flowspec 和 OVH。研究人员引用了多个数据源，通过交叉图展示了Flowspec 和 OVH、ICME 和 Crex Fex Pex的联系。   简况 Flowspec 是一种众所周知的防弹托管服务，不仅用作skimmer，还用作勒索软件、其他恶意软件和网络钓鱼。研究人员通过交叉图展示了Flowspec 和 OVH的联系。例如，域safeprocessor[.]com托管在176.121.14[.]103 (Flowspec) 和178.33.231[.]184 (OVH)，它也是“Keeper”家族的IOC。在同一个 OVH IP 上，域foodandcot[.]com也是CoffeMokko 家族的 IOC。Flowspec 和 OVH的关联如下： Crex Fex Pex 是一个防弹主机，研究人员已经观察到了大量的skimmer活动。ICME 和 Crex Fex Pex的关联如下： 在检查Magecart Group 8的基础架构时，研究人员发现了许多与网页浏览活动相关的工件，包括 webshell、面板和其他工具。拥有如此庞大的网络，犯罪分子自己可能也很难跟踪他们所拥有的一切。工具如下图：   总结 最近的一项调查显示，与疫情之前相比，70.7% 的购物者增加了在线购物的频率，而这些趋势使 Magecart 等网络攻击变得更加有利可图。研究人员会继续报告此类工具，发布有助于识别和阻止新域和 IP 地址的信息，保护受害者以免受数字攻击的侵害。

今年7月13日，REvil勒索团伙的部分基础设施下线，导致未支付赎金的受感染受害者无法恢复其加密数据。9月16日，Bitdefender公司发布了针对REvil勒索软件的通用解密器，适用于7月13日之前遭到REvil攻击的所有受害者，可以帮助受害者免费恢复文件。   简况 BleepingComputer的研究人员利用今年早些时候的REvil样本对其进行了验证，确定解密器可以正常使用。7月份时，Kaseya也曾获得了REvil解密器，但当时的解密工具只适用于针对Kaseya的攻击活动的受害者。解密器如下图： REvil又名Sodinokibi，是一个勒索软件即服务（RaaS）组织，据悉是GandCrab勒索软件团伙的分支。REvil今年至少攻击了360家美国组织，包括对宏碁、JBS、广达电脑等公司的高调攻击。7月初，REvil勒索软件团伙对Kaseya发起大规模攻击，加密了全球60家托管服务提供商和1500多家企业。   由于面临国际执法部门的严密审查以及俄罗斯和美国之间日益加剧的政治紧张局势， REvil 于 7 月 13 日突然停止运营。但本月7日，REvil勒索软件突然重新启动Happy Blog网站，一名成员声称只是休息了一下，如下图：   通用解密工具的下载链接如下（警告：建议只在虚拟机上下载运行该软件，切勿在本机上运行）： http://download[.]bitdefender[.]com/am/malware_removal/BDREvilDecryptor.exe 解密工具的分布教程如下： https://www[.]nomoreransom[.]org/uploads/REvil_documentation[.]pdf   总结 这款主解密器的发布对于现有受害者来说是一个巨大的福音。随着REvil勒索的卷土重来，新的 REvil 攻击即将来临，Bitdefender敦促组织应保持高度警惕并采取必要的预防措施。

“Capoae”是用Golang编写的UPX打包加密挖矿恶意软件，针对Linux系统和Web应用程序。该恶意软件利用易受攻击的系统和管理凭据进行传播，一旦被感染，这些系统就会被用来挖矿。Capoae 利用的漏洞包括CVE-2020-14882和CVE-2018-20062。   简况 Capoae恶意软件通过链接到名为download-monitor的WordPress插件的后门程序到达，猜测管理凭据后，将主要 Capoae 有效负载（一个 3MB UPX 打包二进制文件）部署到 /tmp，然后对其进行解码，最后安装 XMRig 以挖矿。   研究人员在解压恶意软件后发现了CVE-2020-14882 的利用代码，该漏洞是Oracle WebLogic Server产品中的漏洞，允许未经身份验证的攻击者通过 HTTP 访问网络来破坏 Oracle WebLogic Server，代码如下图： 二进制文件使用一个弱登录凭据列表进入运行 SSH 的系统，一旦成功通过身份验证，恶意软件就会安装公钥。研究人员还发现了CVE-2018-20062的利用代码，该漏洞是ThinkPHP中被广泛利用的远程代码执行漏洞，漏洞利用代码如下图： Capoae的另一种传播机制是尝试暴力破解WordPress 安装进行传播，并且还可能利用CVE-2019-1003029和CVE-2019-1003030，这两个漏洞都是影响 Jenkins 的RCE漏洞。此外，恶意软件中还包含端口扫描程序，用于查找开放端口和服务。它针对随机生成的 IP 地址，检查可以针对其启动各种漏洞利用负载的端口。   Capoae 恶意软件被执行后，会使用在被感染系统上实现驻留。恶意软件首先从磁盘上可能找到系统二进制文件的位置列表中选择一个看起来合法的系统路径，然后生成一个随机的6个字符的文件名，将自身复制到磁盘上的新位置并删除。   总结 Capoae 恶意软件使用多种漏洞和策略进行传播，且具有跨平台功能，因此被攻击者广泛使用。目前，利用Capoae恶意软件进行的加密货币挖矿活动仍在继续。

9月16日，联邦调查局 (FBI)、美国海岸警卫队网络司令部 (CGCYBER) 和网络安全和基础设施安全局 (CISA) 发布联合警报，称有APT组织正利用 ManageEngine ADSelfService Plus（Windows AD域管理软件）中新发现的CVE-2021-40539漏洞展开攻击活动。   简况 CVE-2021-40539是一种身份验证绕过漏洞，CVSS评级为严重，影响ADSelfService Plus中的REST API URL。FBI、CISA 和 CGCYBER 评估认为，APT组织很可能正利用该漏洞进行攻击活动。CVE-2021-40539漏洞的利用对关键基础设施公司、美国批准的国防承包商、学术机构和其他使用ManageEngine ADSelfService Plus的实体构成严重风险。成功利用该漏洞允许攻击者放置 webshell，从而使对手能够进行后利用活动，例如破坏管理员凭据、进行横向移动。 联邦调查局 (FBI)、美国海岸警卫队网络司令部 (CGCYBER) 和网络安全和基础设施安全局 (CISA) 发布的联合警报如下：   2021年8月，研究人员就观察到攻击者利用CVE-2021-40539漏洞访问 ManageEngine ADSelfService Plus，攻击者使用的TTP如下： 将webshell写入磁盘以实现初始持久化； 混淆和解码文件或信息； 进一步操作以转储用户凭据 ； 仅使用已签名的 Windows 二进制文件进行后续操作； 根据需要添加/删除用户帐户； 窃取 Active Directory 数据库 ( NTDS.dit)或注册表配置单元的副本； 使用 Windows Management Instrumentation (WMI) 进行远程执行； 删除文件以从主机中移除指标； 使用netWindows 命令发现域帐户； 使用 Windows 实用程序收集和存档文件以进行渗漏； 使用自定义对称加密。 总结 警报中称，APT攻击者的目标是多个行业领域的学术机构、国防承包商和关键基础设施实体，包括运输、IT、制造、通信、物流和金融。非法获得的访问权限和信息可能会扰乱公司的正常运营，影响美国的多个领域。Zoho 于9月6日发布的ManageEngine ADSelfService Plus build 6114修复了 CVE-2021-40539。因此，FBI、CISA 和 CGCYBER 强烈敦促用户和管理员更新到 ADSelfService Plus build 6114。

SideWinder又名RattleSnake、响尾蛇，是一个具有印度政府背景的APT组织，其主要目的是对南亚的多个国家进行间谍活动以满足印度政府的利益。主要攻击的行业为南亚国家的国防和政府部门。近期， Sidewinder 发起了针对巴基斯坦海军招募中心的攻击活动，通过鱼叉式网络钓鱼邮件投递恶意附件，使用了与以往活动稍有不同的DLL侧加载技术，利用合法的control.exe 可执行文件加载一个恶意的 DLL，最终在受害者主机中植入 SideWinder 在过往攻击活动中使用的 RAT 以完成命令执行和数据外渗。   简况 攻击活动中的诱饵文档样本的上传地址位于巴基斯坦旁遮普省的拉瓦尔品第（Rawalpindi），也是巴基斯坦海军招募中心的所在地。诱饵文档的主题也与巴基斯坦海军相关，文档内容要求支付巴基斯坦海军的阿兹玛特号与德哈特号上舰载雷达的维修费用，这表明本次 SideWinder 的攻击目标很可能是这个巴基斯坦海军招募中心，诱饵文档如下图： 一旦受害者打开诱饵文档并点击“Enable the Content”，该恶意文档将尝试使用模板注入的方法，从一个 URL 地址中下载一个投递器，下载得到的 RTF 文件利用 CVE-2017-11882 漏洞，可以在其嵌入的第一个对象上启动 mshta.exe 工具以执行 hta 文件。htm 文件 1.a 由一个 Javascript 片段组成，作为下一阶段的 dropper。JS 片段使用一种基于字符操作和移位的自定义算法进行混淆。C# 加载的库是另一个投递器，其主要目的为从一个 URL 下载和调用一个新的.NET 库。   在感染中期阶段，攻击者利用新下载的 DLL 来收集受害者系统的信息，在环境中实现持久化，并对 AV/EDR等安全产品进行规避。最终的加载器是名为 propsys.dll 的 DLL，以加密的方式包含在 oihg1qyj.k3k 中。用于解密该文件的程序由于多年来一直被 SideWinder APT 使用，因此早已在社区中公开。该加载器最终会植入一个 SideWinder 曾使用的远控工具（RAT）。该工具可以执行命令并渗出文件和系统信息。RAT 会与 C2 服务器进行通信。C2 的 URL 以加密的形式存储在 Default 资源。用于加解密该 URL 的算法和解密最终加载器的算法相同。   总结 随着地缘政治局势的加剧或者紧张，亦或是位于特定区域的特定团体在政治，经济或军事的利益增长，可以观察到以信息收集为目的的网络攻击行动的指数会随之增长。印巴两国的地缘政治问题由来已久，本文所描述的这次 SideWinder APT 攻击正是以印巴地区当前的紧张局势为背景展开的新一轮情报收集活动。