【恶意软件威胁情报】

BotenaGo僵尸网络利用 33 个漏洞攻击数百万物联网设备

BotenaGo是一种新发现的用 Golang语言编写的恶意软件，它部署了 30 多个漏洞利用程序，针对的目标包括数百万个路由器和物联网设备。

近年来，Golang语言编写的恶意软件非常流行，因为使用Go语言制作的有效载荷通常更难检测和逆向工程。以BotenaGo为例，该恶意软件的检测率较低。BotenaGo的运行状态还不完整，可能仍处于测试阶段，目前尚不清楚恶意软件背后的攻击者和受感染设备的数量。

参考链接：https://ti.dbappsecurity.com.cn/info/2771

传播Squirrelwaffle恶意软件的垃圾邮件活动

Squirrelwaffle是一种新兴的恶意软件，可以为攻击者提供对系统及其网络环境的初步立足点，还可以用来部署其他恶意软件，如Qakbot 恶意软件和渗透测试工具Cobalt Strike。近日，研究人员发现了通过垃圾邮件传播Squirrelwaffle的恶意活动。传播Squirrelwaffle恶意软件的攻击活动已经严重影响了我国用户，因此用户在办公时应谨慎打开未知来源的邮件，以免感染恶意软件。

参考链接：https://ti.dbappsecurity.com.cn/info/2769

PhoneSpy：监视韩国公民的Android软件

PhoneSpy是一款最新披露的Android 恶意软件，具有间谍软件功能，能够窃取用户的敏感信息并接管设备的麦克风和摄像头。目前，已有1000多名韩国用户成为PhoneSpy间谍软件的目标。

目前，研究人员暂未确定恶意应用程序的初始分发渠道，因为攻击者没有将应用程序上传到 Google Play 商店。这些伪造的应用程序可能通过网站、社交媒体、论坛，甚至网络硬盘和种子分发。

参考链接：https://ti.dbappsecurity.com.cn/info/2768

Snake Keylogger新变种分析

Snake Keylogger于 2020 年末首次出现，可以从受害者的设备中窃取敏感信息，包括保存的凭据、受害者的按键、受害者屏幕的截图和剪贴板数据。近日，研究人员捕获了一个用于传播恶意软件的Excel样本，该样本是 Snake Keylogger 恶意软件的一个新变种。

参考链接：https://ti.dbappsecurity.com.cn/info/2753

攻击者使用DatopLoader部署QakBot 木马

2021年11月8日，研究人员发现了一个钓鱼活动，攻击者使用DatopLoader，,通过恶意垃圾邮件活动危害受害者，获得进入受害者网络的初始立足点，最终部署 Qakbot恶意软件。最终下载的三个文件都是Qakbot银行木马的 DLL。Qakbot（又名Pinkslipbot、Qbot 和 Quakbot），是一种银行木马，旨在窃取帐户凭据和网上银行会话信息。

参考链接：https://ti.dbappsecurity.com.cn/info/2759

【热点事件威胁情报】

FBI警告：伊朗威胁行为者试图获取美国组织的泄露数据

11月8日，美国联邦调查局发布私营行业通知称，一个伊朗威胁行为者企图购买有关美国和全球组织的被盗信息。攻击者可能会从网络论坛或暗网购买泄露数据，包括电子邮件和网络信息，从而破坏相关组织的系统。FBI建议曾遭遇数据泄露的美国组织，通过远程桌面协议 (RDP) 服务器、Web 应用程序防火墙和 Kentico CMS 安装来阻止黑客攻击。

参考链接：https://ti.dbappsecurity.com.cn/info/2772

美国国防承包商EWA遭到网络攻击，导致数据泄露

美国国防承包商Electronic Warfare Associates（EWA）披露，攻击者入侵了公司的电子邮件系统，导致数据泄露。EWA向美国政府提供电子设备，客户名单包括国防部 (DOD)、国土安全部 (DHS) 和司法部 (DOJ)。该公司证实，攻击者窃取了包含敏感信息的文件。

参考链接：https://ti.dbappsecurity.com.cn/info/2752

美国达拉斯县警方监控录像泄露

Distributed Denial of Secrets（DDoSecrets）是一个透明倡议组织，经常公开爆料机密数据。近日，DDoSecrets在其网站上发布了从美国达拉斯执法机构窃取的 1.9 TB 的数据。据悉，这些机密数据存储在不安全的云基础设施中，因此遭到泄露。

视频发布后，达拉斯市议会安排在周三与其律师举行非公开会议，讨论达拉斯警察局（达拉斯警察局）内的“潜在数据泄露”。此次泄露事件和上次的误删事件都表明，达拉斯执法部门的数据保护意识非常松懈。

参考链接：https://ti.dbappsecurity.com.cn/info/2770

【金融行业威胁情报】

美国知名基金证券交易平台遭社会工程攻击，导致700 万客户信息泄露

11月8日，美国最受欢迎的基金证券交易平台罗宾汉（Robinhood）发表声明称，平台发生重大数据泄漏事件，超过700万客户的数据遭泄露。声明指出，攻击者掌握了约500万客户的电子邮件地址，以及200万客户的姓名，部分客户的邮政编码和出生日期等信息也被泄漏。Robinhood是一个提供在线投资和交易平台的互联网金融服务公司，是美国的投资者最常用的炒股交易平台之一。

参考链接：https://ti.dbappsecurity.com.cn/info/2757

【电子商务行业威胁情报】

电子零售巨头MediaMarkt遭到Hive勒索软件攻击，被索要 2.4 亿美元赎金

11月7日晚，电子零售巨头MediaMarkt遭到 Hive 勒索软件的攻击，导致公司 IT 系统关闭，荷兰和德国的商店运营中断。Hive在攻击后提出了 2.4 亿美元的初始赎金要求。MediaMarkt 是欧洲最大的消费电子产品零售商，在 13 个国家/地区拥有 1,000 多家商店。MediaMarkt 拥有约 53,000 名员工，总销售额为 208 亿欧元。

参考链接：https://ti.dbappsecurity.com.cn/info/2754

【通信行业威胁情报】

Telnyx VoIP提供商遭受 DDoS 攻击

11 月 9 日晚上 11 点左右开始，互联网协议语音电话提供商Telnyx公司成为 DDoS 攻击的目标，导致所有电话服务失效或延迟。Telnyx是一家互联网协议语音（VoIP）电话提供商，提供全球电话服务，业务遍及美洲、欧洲、中东和非洲地区、亚太地区和澳大利亚地区。目前，Telnyx 已将其 EMEA 和 APAC 服务转移到 Cloudflare，该公司计划在非高峰时段将服务迁移到美洲。

参考链接：https://ti.dbappsecurity.com.cn/info/2766

【攻击团伙威胁情报】

雇佣黑客组织Void Balaur已窃取3500多名受害者信息

Void Balaur是一个新披露的雇佣黑客组织，该组织自2015年以来一直活跃，五年多来一直在窃取电子邮件和敏感信息，并将其出售给具有经济和间谍目的的客户。该组织窃取了来自政治、电信、零售、金融、医疗、生物技术等领域的3,500多名受害者的信息，受害者遍及俄罗斯、美国、以色列、日本和欧洲国家。

参考链接：https://ti.dbappsecurity.com.cn/info/2765

TeamTNT使用窃取的Docker Hub帐户部署挖矿程序

2021年10月，研究人员发现了针对服务器暴露的Docker REST API的攻击活动。活动中还发现了一些Docker Hub注册表帐户，这些账户被用来托管恶意图像，可能被盗用或属于TeamTNT组织，并且是滥用 Docker REST API 的僵尸网络和恶意软件活动的活跃组成部分。暴露的 Docker API 已成为攻击者的普遍目标，这些 API 允许攻击者在目标主机上以 root 权限执行自己的恶意代码。

参考链接：https://ti.dbappsecurity.com.cn/info/2758

Zebra2104为三个威胁组织提供初始访问权限

研究人员发现了一个名为“Zebra2104”的初始访问代理 (IAB)，这个代理为MountLocker 和 Phobos 等金融勒索软件以及 StrongPity APT组织的攻击提供了切入点。研究人员表示，域名解析为由同一保加利亚 ASN Neterra LTD 提供的 IP。恶意基础设施的互连网络表明，网络犯罪组织之间建立伙伴关系和联盟来推进攻击，这种商业伙伴关系在未来会变得更加普遍。

参考链接：https://ti.dbappsecurity.com.cn/info/2751

新Magecart团伙在攻击中使用新规避技术

11月3日，研究人员发现了一个新的Magecart攻击团伙，该组织使用浏览器脚本来规避检测。该组织在攻击活动中添加了一个额外的浏览器进程，该进程使用WebGL JavaScript API来收集有关用户机器的信息，并确定是否在VM中运行。攻击者使用的skimmer可以收集受害者已注册帐户的在线商店的密码、浏览器的用户代理和唯一的用户ID。

参考链接：https://ti.dbappsecurity.com.cn/info/2755

【恶意活动威胁情报】

DanaBot恶意活动激增

DanaBot是一个恶意软件即服务平台，于 2018 年 5 月首次被发现。研究人员观察到，今年10月以来，传播DanaBot恶意软件的活动激增，包括两次大型软件供应链攻击，以及在俄语电子论坛上发起的DDoS攻击。尽管近年来 DanaBot 的流行度和活跃度有所下降，但 UAParser.js 和 COA 软件供应链攻击表明，该恶意软件仍然是一个活跃的威胁。

参考链接：https://ti.dbappsecurity.com.cn/info/2750

【高级威胁情报】

朝鲜APT组织针对安全研究人员发起攻击

2021年11月10日，国外安全厂商ESET发布推文，曝光朝鲜APT组织Lazarus的最新攻击活动，该组织在分发IDA Pro 7.5软件安装包中植入两个恶意组件，意图针对安全研究人员。此前，猎影实验室也发现了该组织相关账户的一些攻击活动，并发现该组织利用漏洞研究相关内容建立账户信任感，以进一步圈定攻击目标，发起攻击。其中，我们在今年5月观察到的0Day漏洞CVE-2021-33739就是一个十分诱人的素材。

参考链接：https://ti.dbappsecurity.com.cn/info/2764

Lyceum APT组织针对中东和非洲的 ISP、电信公司展开攻击活动

2021年7月至10月期间，Lyceum APT组织针对以色列、摩洛哥、突尼斯和沙特阿拉伯的互联网服务提供商（ISP）和电信运营商以及非洲的外交部 (MFA)发起了攻击。Lyceum在攻击活动中使用了两个不同的恶意软件系列，分别为 Shark 和 Milan（又名 James）。这两个后门都通过 DNS 和 HTTPS 与其命令和控制服务器 (C2) 进行通信。

参考链接：https://ti.dbappsecurity.com.cn/info/2760

Kimsuky APT组织攻击韩国智库

Kimsuky是朝鲜国家资助的APT组织，自 2012 年以来一直活跃。自 2021 年 6 月以来，Kimsuky APT组织一直试图在受害机器上植入监视和窃取程序。此次活动的攻击目标为与韩国智库相关的研究机构和大学，这些机构的研究重点是与朝鲜、中国、美国和俄罗斯相关的政治、军事和外交主题。

参考链接：https://ti.dbappsecurity.com.cn/info/2767