1月13日，微软在针对乌克兰的大规模攻击活动中检测到一种新型破坏性恶意软件“WhisperGate”，并将攻击活动作为 DEV-0586 进行跟踪。1月21日，研究人员发布报告称，WhisperGate恶意软件与 2017 年攻击乌克兰实体的NotPetya 擦除器有一些相似之处，但WhisperGate具有更多恶意组件。   简况 WhisperGate恶意软件伪装成勒索软件，但其攻击目标不是为了经济获益，而是为了破坏受害者数据。攻击者在活动中使用了被盗凭据，并且在渗透发生前几个月就可以访问一些受害者网络，这是复杂 APT 攻击的典型特征。   WhisperGate 感染链被设计成一个多阶段过程，首先在第一阶段下载一个擦除MBR（主引导记录）的有效负载。感染链的第二阶段是下载程序，下载托管在 Discord 服务器上的恶意 DLL 文件，用作感染链的第三阶段。感染链的第三阶段是一个用 C# 编写并使用 Eazfuscator 混淆的 DLL，用受感染主机上的固定数据覆盖其内容，从而不可撤销地破坏文件。擦除器只擦除以下特定文件扩展名： 研究人员表示，WhisperGate 与2017 年攻击乌克兰实体的臭名昭著的 NotPetya 擦除器有一些相似之处，包括伪装成勒索软件以及针对和破坏主引导记录 (MBR) 而不是对其进行加密，但WhisperGate明显具有更多旨在造成额外损害的组件。

研究人员发现了一场新的网络钓鱼活动，攻击者冒充全球航运业巨头马士基航运公司（Maersk Shipping），使用虚假的运输诱饵，在受害者设备上安装STRRAT远程访问木马。STRRAT是一种远程访问木马，可以窃取受害者信息甚至伪造勒索软件攻击。   简况 电子邮件伪装成马士基航运公司，看似包含有关装运、交货日期更改或虚假购买通知的信息，并包含一个 Excel 附件或伪装成发票相关的链接。如果收件人打开附加的文档，运行的宏代码则会将STRRAT恶意软件安装到受害者的机器上。活动中使用的示例网络钓鱼电子邮件如下： 攻击者使用 Allatori 工具对包含的软件包进行了混淆，以逃避安全产品的检测。STRRAT 感染首先解密配置文件，将恶意软件复制到新目录，然后添加新的 Windows 注册表项以实现持久性。 STRRAT 恶意软件首先收集主机系统的基本信息，例如架构和运行的防病毒工具，并检查本地存储和网络功能。STRRAT 可以执行以下操作： 记录用户击键 可以远程控制操作 从 Chrome、Firefox 和 Microsoft Edge 等浏览器窃取密码 从 Outlook、Thunderbird 和 Foxmail 等电子邮件客户端窃取密码 运行伪勒索软件模块以模拟感染   运行伪勒索软件模块以模拟感染一功能很有趣，因为在伪造的勒索软件攻击中并没有文件被加密。因此这一功能可能是为了用来转移受害者的注意力，使其忽略真正的问题，即数据泄露。   总结 STRRAT虽然不像一些更广为人知的木马那样著名，但也是一种强有力的威胁，企业需要时刻保持警惕以应对这种威胁。

研究人员观察到Emotet垃圾邮件的新活动，该活动使用十六进制和八进制表示IP地址，很可能通过模式匹配来规避检测。   简况 使用十六进制 IP 地址的例程 攻击链始于使用Excel 4.0宏的电子邮件附件文档，恶意软件在用户打开文档后执行。 URL 用插入符号混淆，主机包含 IP 地址的十六进制表示。执行后，宏调用cmd.exe > mshta.exe并使用包含 IP 地址的十六进制表示形式的 URL 作为参数，它将从远程主机下载并执行 HTML 应用程序 (HTA) 代码。电子邮件中的附加文档如下： 使用八进制 IP 地址的例程 与十六进制表示示例非常相似，该文档也使用 Excel 4.0 宏启用并运行恶意软件。URL 也用插入符号混淆，但 IP 包含八进制表示。正如在进程树中观察到的，一旦执行，宏还会调用cmd.exe > mshta.exe，并将 URL 作为参数从远程主机下载并执行 HTA 代码。   总结 攻击者非常规地使用十六进制和八进制 IP 地址，从而规避当前依赖模式匹配的解决方案。

2021年8月15日，美国俄亥俄州的Memorial Health System遭到勒索软件攻击，三天后该公司向勒索团伙支付了赎金。2022年1月12日，Memorial Health System开始通过信函通知受影响的患者，据悉，大约216478名患者的受保护健康信息（PHI）可能被泄露。   简况 Memorial Health System是一个非营利性综合卫生系统，拥有 3,000 多名员工，由社区成员志愿者委员会领导。旗下拥有64家诊所，以及位于西弗吉尼亚州与俄亥俄州玛丽埃塔-帕克斯堡都市区的玛丽埃塔纪念医院、塞尔比将军医院以及锡斯特斯维尔将军医院。   Memorial Health System遭到勒索软件攻击后，其IT系统瘫痪，导致临床和财务运营中断，美国三家医院和数十家诊所取消手术预约，并被迫将患者通过救护车转移至其他医疗机构。三天后，该公司向攻击者支付了赎金。   据悉，此次勒索事件的攻击者可能是Hive 勒索软件团伙。Hive 有一个托管在暗网上的名为 HiveLeaks 的泄密网站，他们在该网站发布拒绝支付赎金的受害者的数据，如下所示： 勒索攻击发生后，Memorial Health System对事件中可能被访问的文件进行了检查。据悉，患者的姓名、地址、社会安全、医疗信息和保险信息可能已经被攻击者查看。自1月12日起，Memorial Health System开始通过信函通知受影响的患者，并表示所有收数据泄露影响的患者都将获得Kroll信用监控服务的12个月免费会员资格。   总结 医院和诊所一直是勒索软件攻击的主要对象，数据泄露事件可能会给受害者带来二次攻击的影响。

研究人员在日常威胁狩猎中捕获到一例SideCopy组织针对Linux平台的攻击样本。此次捕获样本由Go语言编写而不是Python，功能较为单一，仅实现了对目标受害者主机目录的扫描和窃取。     简况 本次捕获到的样本均为Linux 64位系统的ELF文件。本文将此次捕获到的样本分为两类，两类样本在基本结构、功能上大抵相似，不同之处在于其中一类样本获取了本机IP地址并进行了持久化操作。     以第一类样本，即不包含持久化操作的样本34d9dff0aa80f6ea7eea6f491d493fa3为例进行分析。样本运行后将获取当前用户信息，以及主目录，并判断是否存在“/tmp/lists.txt”文件。若“/tmp/lists.txt”文件不存在，则样本将会先遍历主目录信息，然后在/tmp目录下创建lists.txt，并将结果存放在里面，上传C2为207.180.243[.]186:8062。若“/tmp/lists.txt”存在则跳过主目录遍历，遍历的结果如下： 之后，继续扫描/home/目录下带特定扩展名的文件，并创建/tmp/temp.txt，用于存放上传文件的记录，之后将扫描结果逐一上传C2，上传完成后便结束程序。     第二类样本与第一类样本的不同之处在于： 1. 样本运行后首先向api.ipify.org 发送GET请求获取受感染系统的IP地址，之后再进行获取用户信息的操作； 2. 在获取到用户信息之后，样本会通过“/.config/autostart/”目录实现开机自启，获得持久化。     之后的流程便与第一类样本完全相同。最终连接到的C2为164.68.108[.]153:8062。     第一类样本使用的C2与SideCopy APT组织在此前的活动中请求的C2相同。根据攻击流程来看，SideCopy组织利用207.180.243[.]186下发后续攻击组件。而本次捕获的样本功能简单，很像某条攻击链中使用的某一组件。通过本次捕获到的Linux样本再次印证了SideCopy APT团伙将攻击能力覆盖包括Linux、Windows等多个平台的意图，且为此在不断发展新的攻击武器。     总结 SideCopy作为近年才被披露的APT组织，在2021下半年进入高度活跃的状态。近期，SideCopy组织不再满足于使用网络上开源的代码及工具，而是试图发展其攻击能力，更新其武器库。

2021 年 12 月，研究人员发现了几个从约旦等中东国家上传到 VT 等 OSINT 源的基于宏的 MS Office 文件。经过分析，研究人员将此次间谍攻击活动归因于Molerats APT组织。   简况 活动中的这些MS Office文件包含与以色列和巴勒斯坦之间的地缘政治冲突有关的诱饵主题，Molerats APT 之前发起的攻击活动中使用了此类主题。这次活动的目标包括巴勒斯坦银行的关键成员、与巴勒斯坦政党有关的人，以及土耳其的人权活动家和记者。   此次活动自 2021 年 7 月以来一直处于活跃状态，攻击者仅在 2021 年 12 月切换了分发方式，并对 .NET 后门进行了细微更改。新的攻击链如下图： 新攻击链和旧攻击链的主要区别在于后门交付。这些 RAR/ZIP 文件很可能是使用网络钓鱼 PDF 传递的。后门提取主要 Dropbox 帐户令牌的方式存在细微差异。   归因 基于以下原因，研究人员将此次攻击归因于 Molerats APT 组： 后门使用开源和商业打包程序（ConfuserEx、Themida） 针对中东地区 使用 Dropbox API 进行整个 C2 通信 使用 RAR 文件进行后门交付 使用其他合法的云托管服务（如 Google Drive）来托管有效负载 在当前攻击基础设施上观察到的域 SSL 证书指纹与过去 Molerats APT 组使用的域重叠 在当前观察到的域的被动 DNS 解析重叠使用 Molerats APT组织过去使用的 IP 攻击基础设施