【恶意软件威胁情报】

TrailBlazer：APT29组织隐藏多年的恶意软件

1月27日，研究人员披露了StellarParticle活动的攻击细节，该活动与APT29组织有关。在最新的调查活动中，研究人员在受害者系统上发现了 GoldMax 的Linux版本变体和 TrailBlazer 恶意软件。这两种威胁至少自 2019 年年中以来就已在 StellarParticle 活动中使用，但在两年后的事件响应调查中才被发现。

参考链接：https://ti.dbappsecurity.com.cn/info/3083

Sugar新型勒索软件家族分析

2022年2月，研究人员分析了一种名为Sugar的新型勒索软件家族，该软件通过勒索软件即服务(RaaS)模型提供。与大多数勒索软件不同，Sugar勒索软件并非针对企业网络，而是针对个人设备，主要目标可能为消费者或小型企业。

参考链接：https://ti.dbappsecurity.com.cn/info/3080

FritzFrog僵尸网络感染医疗保健、教育和政府系统

FritzFrog 僵尸网络是一款使用Golang语言编写的恶意软件，于2020年8月被发现。2021 年 12 月初，研究人员发现了FritzFrog 僵尸网络的新版本，其感染率在一个月内增长了 10 倍，受害行业包括医疗保健、教育和政府部门。

参考链接：https://ti.dbappsecurity.com.cn/info/3092

BRATA银行木马增加了新的恶意功能

BRATA于2019年首次被发现，是一款主要针对巴西用户的Android木马。近日，BRATA的最新版本更新了其功能，包括 GPS 跟踪、使用多个通信通道，以及执行恢复出厂设置以清除所有恶意活动痕迹的功能。

参考链接：https://ti.dbappsecurity.com.cn/info/3091

PowerLess：Phosphorus组织使用的新后门

Phosphorus又名 Charming Kitten或APT35，是来自伊朗的APT组织。近日，研究人员披露了由 Phosphorus 组织开发的新工具集，其中包括一个名为PowerLess Backdoor的新型 PowerShell 后门。

Phosphorus组织是伊朗的APT组织，曾在2020 年末攻击美国和以色列的医学研究组织和学术研究机构，此前还针对人权活动人士、媒体部门展开攻击，并干预美国总统选举。

参考链接：https://ti.dbappsecurity.com.cn/info/3093

【热点事件】

FBI警告：伊朗网络公司正发起恶意攻击

2022年1月26日，FBI发布警告称，伊朗网络公司Emennet Pasargad正在发起恶意网络攻击。FBI描述了该公司的策略、技术和程序 (TTP)，并分享了一些预防和检测攻击的建议。

Emennet Pasargad公司在伊朗境内提供网络安全服务，包括为政府组织提供服务。FBI在警告中指出，自2018年以来，Emennet针对多个行业进行了传统的“网络攻击活动”，包括新闻、航运、旅游、石油和石化、电信和金融行业，主要目标为美国、欧洲和中东。

参考链接：https://ti.dbappsecurity.com.cn/info/3084

【恶意活动威胁情报】

Dark Herring移动诈骗软件活动已影响1亿安卓用户

Dark Herring是一项针对安卓用户的移动诈骗软件活动，据悉，已有超过1.05亿安卓用户从Google Play和第三方应用商店下载并安装了诈骗软件，用户被骗取的总金额可能达到数亿美元。 Dark Herring已成为被发现的持续时间最长的移动短信骗局。

参考链接：https://ti.dbappsecurity.com.cn/info/3085

Roaming Mantis恶意活动攻击欧洲用户

“Roaming Mantis”是一种恶意软件分发活动，受害者主要集中在日本、韩国和中国台湾。近日，研究人员发现，法国和德国也成为了Roaming Mantis的主要攻击目标。

在最新的活动中，Roaming Mantis 使用名为“ Wroba ”的木马，并且开始针对法国和德国的用户，Wroba 的目标是窃取电子银行详细信息。

参考链接：https://ti.dbappsecurity.com.cn/info/3077

传播AsyncRAT木马的钓鱼活动

AsyncRAT是一种远程访问木马，具有键盘记录、捕获屏幕、系统配置管理等功能。近日，研究人员观察到一种新的、复杂的活动交付方式，攻击者通过带有 html 附件的电子邮件网络钓鱼策略，提供 AsyncRAT，旨在监控受感染的计算机。

参考链接：https://ti.dbappsecurity.com.cn/info/3082

【高级威胁情报】

ModifiedElephant：隐藏十年的APT组织

2022年2月9日，研究人员发布报告，将一项持续十年的恶意活动归因于以前未知的名为 ModifiedElephant 的攻击组织。ModifiedElephant 至少从 2012 年开始运营，多次攻击特定个人，受害者包括印度各地的人权活动家、人权捍卫者、学者和律师。

ModifiedElephant的目的是对受害者进行长期监视，研究人员已确定了数百个 ModifiedElephant 网络钓鱼活动的目标群体和个人。

参考链接：https://ti.dbappsecurity.com.cn/info/3094

Shuckworm组织持续针对乌克兰实体发起攻击

自2021年10月以来，俄罗斯黑客组织Shuckworm发起了一系列针对乌克兰实体的攻击活动。2021年1月31日，研究人员披露了Shuckworm组织在网络间谍行动中使用的8个恶意软件样本，这些样本可以为企业提供必要的信息，以抵御该组织的攻击。

参考链接：https://ti.dbappsecurity.com.cn/info/3076

Lazarus组织使用工作机会诱饵展开攻击

Lazarus组织自 2009 年以来一直活跃，是最复杂的朝鲜APT组织之一。2022年1月18日，研究人员检测到了Lazarus 组织的新活动。在这次活动中，Lazarus组织使用工作机会主题的恶意文档，冒充美国安全和航空航天公司洛克希德马丁公司，进行了鱼叉式网络钓鱼攻击。

参考链接：https://ti.dbappsecurity.com.cn/info/3078

MuddyWater组织攻击土耳其私人组织和政府机构

MuddyWater APT组织又名MERCURY 或 Static Kitten，此前曾被美国网络司令部归因于伊朗情报与安全部(MOIS)。近日，研究人员观察到一项针对土耳其私人组织和政府机构的新活动，并以高置信度将此活动归因于MuddyWater组织。

参考链接：https://ti.dbappsecurity.com.cn/info/3079

ACTINIUM组织窃取乌克兰实体敏感数据

2月4日，微软威胁情报中心 (MSTIC) 分享了ACTINIUM威胁组织的信息，该组织已经运行了近十年，针对的目标为乌克兰的组织或与乌克兰事务相关的实体。MSTIC 此前曾将 ACTINIUM 活动跟踪为 DEV-0157，该组织也被公开称为 Gamaredon。

参考链接：https://ti.dbappsecurity.com.cn/info/3087

TA402组织使用NimbleMamba恶意软件攻击中东实体

TA402组织又名Molerats，是一个疑似与巴勒斯坦有关的APT组织。近日，该组织已经开始了新一轮的攻击活动，利用新的恶意软件NimbleMamba，攻击中东的政府、外交机构以及国有航空公司。

参考链接：https://ti.dbappsecurity.com.cn/info/3088

Kimsuky组织使用Gold Dragon后门攻击韩国实体

2月8日，研究人员披露了Kimsuky APT组织近期攻击活动的细节。攻击者使用 xRAT恶意软件和Gold Dragon恶意软件的新变体，针对韩国的组织进行了有针对性的攻击。此次活动始于2022年1月24日，目前仍在进行中。

参考链接：https://ti.dbappsecurity.com.cn/info/3089

APT36针对印度的军事和外交资源分发恶意软件

APT36组织又名Earth Karkaddan或Transparent Tribe（透明部落），是一个出于政治动机的APT组织，历来以印度军事和外交资源为目标。2021年末，研究人员观察到，APT36组织在攻击活动中使用了 CapraRAT。CapraRAT是Android RAT，在设计上与 Windows 恶意软件 Crimson RAT 有明显相似之处。

参考链接：https://ti.dbappsecurity.com.cn/info/3090

“透明部落”正在寻求CrimsonRAT的新出路

Transparent Tribe（透明部落），是2016年2月被披露的APT组织，与Gogron Group存在一定的关系。近日，研究人员捕获了该组织多个Crimson RAT攻击样本，攻击者使用图片文件图标用作恶意软件图标，诱使目标打开"图片"查看，实则运行恶意软件。当受害者点击执行诱饵文件之后，将会在本地释放一个压缩包，并执行压缩包内包含的Transparent Tribe组织的自有远控软件Crimson RAT。

参考链接：https://ti.dbappsecurity.com.cn/info/3081