文末下载PDF完整版 

 

【恶意软件威胁情报】

针对泰国Android用户的Joker新变体

Joker 是一种Android间谍软件木马，可以入侵受害者的设备从而窃取信息。近日，研究人员发现了一组新的 Joker 变体，这些变体利用复杂的技术来规避 Google 恶意软件检测引擎的检测，并通过 Play 商店进行传播。分析表明，该恶意软件针对泰国的 Android 用户。

参考链接：https://ti.dbappsecurity.com.cn/info/2823

RATDispenser加载程序分发多种恶意软件

RATDispenser 是一个新型JavaScript恶意软件加载程序，通过发送给用户的网络钓鱼电子邮件传播。RATDispenser分发八种不同的远程访问木马 (RAT)、键盘记录器和信息窃取程序，还能够绕过大多数安全工具的检测。

尽管 JavaScript 是一种并不常见的恶意软件文件格式，但在多数情况下，它的检测率很低。RATDispenser传播的恶意软件家族的多样性表明， 该软件的开发者可能在“恶意软件即服务”的商业模式下运营。

参考链接：https://ti.dbappsecurity.com.cn/info/2840

BABADEDA CRYPTER：针对加密货币社区的新型加密程序

近日，研究人员观察到了一场针对加密货币爱好者的恶意软件活动，该活动部署名为Babadeda的加密程序。Babadeda恶意软件安装程序已被用于最近的多起恶意活动，以提供信息窃取程序、RAT 甚至 LockBit 勒索软件。

此次恶意活动针对加密、NFT （不可替代令牌）和 DEFI 社区。目前的绝大多数 NFT 和加密社区都基于Discord群聊平台。Discord 频道可公开访问，并允许用户在频道内相互发送私聊消息。攻击者利用了这种功能进行钓鱼，先向用户发送一条私人消息，邀请他们下载相关应用程序。

参考链接：https://ti.dbappsecurity.com.cn/info/2841

【热点事件威胁情报】

研究人员因微软漏洞赏金过低，直接公开内核提权0day

2021年 11 月22日，微软修复了一个“Windows 安装程序特权提升漏洞”漏洞，该漏洞编号为 CVE-2021-41379。安全研究员 Abdelhamid Naceri在检查该漏洞修复情况后，发现了一个补丁绕过漏洞和一个更强大的新零日特权提升漏洞。并在推特公开披露了后者的漏洞利用代码项目，该漏洞可在 Windows 10、Windows 11 和 Windows Server系统上直接提权到system最高权限。

参考链接：https://ti.dbappsecurity.com.cn/info/2845

网络托管公司GoDaddy遭黑客入侵，导致120万客户信息泄露

11月22日，GoDaddy发布了数据泄露通知，称黑客获得了该公司托管 WordPress 托管环境的访问权限，导致 120 万客户的数据泄露。该事件于11 月 17 日被 GoDaddy 发现，但至少自 2021 年 9 月 6 日起，攻击者就可以访问其网络以及被入侵系统中包含的数据。

参考链接：https://ti.dbappsecurity.com.cn/info/2834

英国交通部官网被黑，提供露骨内容

11月25日，英国交通部（DfT）的一个官方网站被黑，首页显示该网站提供色情服务。这个被黑的DfT网站为“charts.dft.gov.uk”，此前为公众和部门的业务计划提供重要的DfT统计数据。

参考链接：https://ti.dbappsecurity.com.cn/info/2854

【金融行业威胁情报】

加密货币交易所BTC-Alpha遭Lockbit勒索软件攻击

本月初，加密货币交易所 BTC-Alpha 遭到了Lockbit 勒索软件攻击。勒索软件团伙在其运行的公共泄密网站称，已加密了BTC-Alpha的数据，如果BTC-Alpha在12月1日之前没有支付赎金，Lockbit组织就会泄露窃取的数据。

目前，BTC-Alpha的所有用户都将被强制使用双因素身份验证（2FA）。Alpha公司强烈建议用户不要使用以前的密码，因为这些密码已被泄露。

参考链接：https://ti.dbappsecurity.com.cn/info/2838

【航空行业威胁情报】

伊朗马汉航空公司遭网络攻击

11月21日，伊朗马汉航空公司表示，该公司的电脑系统遭遇了网络攻击。伊朗马汉航空公司疑似与伊斯兰革命卫队有联系。该航空公司涉嫌从伊朗向叙利亚的什叶派组织运送武器，包括真主党恐怖组织。2011 年，马汉航空公司因向圣城军提供支持而受到美国制裁。

马韩航空公司表示，由于其在伊朗航空业中的重要地位，它已经多次成为网络攻击的目标。该公司已迅速解决了网络攻击带来的问题，目前所有航班都按计划运行。

参考链接：https://ti.dbappsecurity.com.cn/info/2826

【勒索专题】

太古集团海事服务部门遭Cl0p勒索团伙攻击

11月25日，太古集团的海事服务部门SPO（Swire Pacific Offshore）确认其遭到Cl0p团伙的勒索攻击。SPO称，此次攻击可能会暴露员工的个人信息和公司的机密商业信息。目前，SPO已向有关当局报告了该事件，并展开密切合作。SPO正在联系可能受影响的各方，向他们通报此次事件。

参考链接：https://ti.dbappsecurity.com.cn/info/2855

Memento新型勒索软件分析

10月下旬，研究人员观察到了一个新的勒索软件组织“Memento Team”，该组织采取了一种特殊的勒索方式，不会对文件进行加密，而是将文件锁定到受密码保护的 WinRAR 档案中。

攻击团伙的勒索信中要求受害者支付15.95 BTC (94万美元)以恢复所有文件，或者支付0.099 BTC恢复单个文件 (5,850美元)。在研究人员调查的攻击中，受害者没有支付赎金，而是使用了备份恢复大部分数据。因此，有效备份网络数据对于从勒索软件攻击中恢复至关重要。但泄露的数据仍可能会对公司产生长期影响。

参考链接：https://ti.dbappsecurity.com.cn/info/2833

DECAF新型勒索软件分析

9月下旬，研究人员发现了一款基于Golang语言的新型勒索软件，并命名为DECAF。DECAF的第一个版本包含符号和测试断言，于9月下旬确定。攻击者很快删除了原始alpha版本，添加了附加功能，并上传了这个存根版本以验证其检测分数。攻击者在一周之内就在客户网站上部署了一个完全武器化的版本。

参考链接：https://ti.dbappsecurity.com.cn/info/2836

【漏洞利用】

攻击者利用ProxyShell和ProxyLogon漏洞劫持电子邮件

9 月，Squirrelwaffle恶意软件通过垃圾邮件活动传播。近日，研究人员发现，攻击者正在使用 ProxyShell 和 ProxyLogon 漏洞攻击 Microsoft Exchange 服务器，以分发SquirrelWaffle加载程序，然后安装 Qbot恶意软件，并通过对现有的电子邮件链的回复绕过检测。

微软在3 月修复了 ProxyLogon 漏洞， 在4 月和 5 月修复了 ProxyShell 漏洞。通过利用 ProxyLogon 和 ProxyShell漏洞，攻击者能够规避对恶意电子邮件传播的常规检查。此次传播Squirrelwaffle的恶意活动表明，来自受信任联系人的电子邮件可能不足以表明电子邮件中包含的任何链接或文件都是安全的。

参考链接：https://ti.dbappsecurity.com.cn/info/2829

研究人员披露联发科芯片中的漏洞，可窃听全球37%的手机音频

研究人员发现了联发科芯片中的新漏洞：CVE-2021-0661、CVE-2021-0662、CVE-2021-0663以及CVE-2021-0673，攻击者可以利用这些漏洞窃听全球近37%的智能手机的音频。

联发科一直是全球智能手机芯片的领导者，联发科系统芯片 (SoC) 已嵌入全球约37%的智能手机和物联网设备中。

参考链接：https://ti.dbappsecurity.com.cn/info/2852

【攻击团伙威胁情报】

FIN7组织的攻击组件分析

FIN7是一个出于经济动机的威胁组织，主要针对金融机构、酒店、餐厅和赌博行业。据美国司法部称，FIN7 组织在美国窃取了大约1500万条支付卡记录，并在全球造成了 10 亿美元的损失。近日，研究人员发布了对FIN7组织使用的JSS Loader 和 Remcos工具的分析报告。

参考链接：https://ti.dbappsecurity.com.cn/info/2848

【恶意活动威胁情报】

伪装成“阿联酋邮政”快递公司的恶意电子邮件活动

最近正值海外直购的旺季，因此涌现了许多伪装成不同公司的网络钓鱼网站。研究人员发现了一个伪装成阿联酋邮政运输公司的恶意电子邮件活动，攻击者可以通过恶意邮件窃取受害者的信用卡信息。

参考链接：https://ti.dbappsecurity.com.cn/info/2839

攻击者使用伪造的旅行服务网站针对美国旅客进行欺诈活动

TSA PreCheck是一项在美国境内各机场推行的快速安检计划，允许部分旅客在机场出发时更加快速地通过安检。近日，研究人员发现了一项针对美国旅客的诈骗活动，攻击者在活动中利用了伪造的TSA PreCheck网站，诱导用户在虚假网站提交续订申请。

调查表明，这些诈骗网站中至少有一个出现在Google的“TSA Pre-Check”搜索的顶部搜索结果中。因此研究人员建议，要申请或续订 TSA PreCheck、Clear 或 Global Entry 会员资格的用户，不要在搜索引擎中搜索，而是直接访问国土安全部的官网，以防点击欺诈广告。

参考链接：https://ti.dbappsecurity.com.cn/info/2835

攻击者使用域前置技术在缅甸政府网站分发恶意载荷

2021年9月，研究人员发现了一项使用Cobalt Strike发起攻击的恶意活动。攻击者至少自 2021 年 8 月以来一直活跃，使用缅甸政府运营的缅甸数字新闻网络作为其beacon的域前端，从而规避检测。

攻击者选择缅甸特定域可能表明对缅甸的地缘政治感兴趣。在此活动中，攻击者使用 Meterpreter stager 使用了分段有效载荷，这表明beacon将用于进一步攻击。防御者应时刻保持警惕并监控网络流量以检测 Cobalt Strike 活动，因为它是犯罪软件和 APT组织最常用的攻击工具之一。

参考链接：https://ti.dbappsecurity.com.cn/info/2825

伊朗攻击者利用CVE-2021-40444漏洞攻击讲波斯语的受害者

自2021 年 9 月中旬起，一个新的伊朗威胁组织利用 Microsoft Windows MSHTML平台中的关键漏洞，攻击了讲波斯语的受害者。攻击者使用了一种名为PowerShortShell新型信息窃取程序，旨在从受感染的机器中窃取信息。

此次攻击活动针对讲波斯语的受害者，几乎一半的受害者位于美国。根据 文档内容中对伊朗领导人的指责，以及所收集数据的性质，研究人员假设，活动针对的目标可能是居住在国外的伊朗人。攻击者可能与伊朗的伊斯兰政权有关。

参考链接：https://ti.dbappsecurity.com.cn/info/2853

【高级威胁情报】

APT-C-23组织使用间谍软件攻击中东Android用户

2021年9月，研究人员发现APT-C-23组织使用Android间谍软件针对中东地区用户的攻击活动。近日，该组织再次改进了其 Android 间谍软件，增强了功能，使其更隐蔽、更持久。

移动间谍软件名为VAMP，（又名FrozenCell、GnatSpy和Desert Scorpion），至少自 2017 年以来一直是 APT-C-23 组织的首选工具。新变种以应用程序的形式出现，声称可以在目标手机上安装更新。这些应用程序都没有托管在 Google Play 商店中，因此研究人员怀疑这些应用程序是通过 SMS 短信发送给特定用户的。

参考链接：https://ti.dbappsecurity.com.cn/info/2847

APT组织使用Tardigrade恶意软件，攻击生物制造行业

11月23日，美国生物经济信息共享与分析中心 (BIO-ISAC) 发布报告，披露了一场针对生物制造设施的攻击活动。该活动于2021 年春季首次被观察到，攻击者使用了名为Tardigrade的恶意软件。由于恶意软件的复杂性极高，且攻击活动具有间谍活动的性质，因此研究人员认为该活动背后的攻击者是一个APT组织。

参考链接：https://ti.dbappsecurity.com.cn/info/2849

疑似Kimsuky组织利用商业软件Web Browser Password Viewer进行攻击

Kimsuky，别名Mystery Baby、Baby Coin、Smoke Screen、Black Banshe等，是疑似具有东亚国家背景的APT组织。该团伙长期针对韩国政府、国防军工、新闻机构、教育学术等目标发起攻击。研究人员捕获疑似Kimsuky组织利用利用商业软件Web Browser Password Viewer进行测试的样本，疑似测试功能是收集用户浏览器密码信息。

参考链接：https://ti.dbappsecurity.com.cn/info/2844

Donot组织近期利用Google云盘分发新款恶意插件的攻击活动分析

Donot是疑似具有南亚背景的APT组织，其主要以周边国家的政府机构为目标进行网络攻击活动，通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。近日，研究人员捕获一起Donot APT组织近期的攻击活动。

参考链接：https://ti.dbappsecurity.com.cn/info/2843