【威胁通告】AG公司科技威胁情报月报（2022年2月）

2022-03-03

2月，AG公司科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，Samba远程代码执行误差（CVE-2021-44142）影响规模相对较大。由于Samba的vfs_fruit�？槟仙柚孟略市硗ü┱刮募粜跃傩性浇缍讯列�。当smbd剖析EA元数据时，对文件扩展属性具有写会见权限的远程攻击者（guest账户或未授权用户）可使用smbd的权限(通常是root)执行恣意代码，CVSS评分9.9。

另外，本次微软共修复了48个误差，主要（Im portant）误差有 48 个，其中涉及Windows、Microsoft Office、Microsoft Dynamics、Azure等普遍使用的产品，其中包括权限提升、远程代码执行等高危误差类型。强烈建议所有用户尽快装置更新。

在本月的威胁事务中，攻击者使用差别恶意软件对国家级企业提倡的攻击相对频仍，其中包括A2541组织使用AsyncRAT恶意软件对航空业提倡垂纶攻击，研究职员追踪发明一个名为 TA2541 的组织从 2017 年最先的网络垂纶运动。该组织使用针对航空业的网络垂纶攻击的电子邮件中提到了燃料、飞机零件和运输等主题。这些网络垂纶电子邮件包括指向存储恶意 Visual Basic 文件的 google 驱动器的链接；和攻击者使用Wiper 恶意软件攻击伊朗广播公司 IRIB，研究职员体现伊朗国家广播公司IRIB遭到入侵，恶意可执行文件和擦除器应对攻击认真。Wiper恶意软件具有多种功效，包括挟制多个电视台播放政治阻挡派向导人要求谋害伊朗最高向导人的录音。其他功效包括自界说后门、屏幕截图功效和用于下载其他恶意可执行文件的几个 bash 剧本。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在AG公司威胁情报中心获取，网址：https://nti.nsfocus.com/

一、误差态势

2022年02月AG公司科技清静误差库共收录203个误差, 其中高危误差2个，微软高危误差2个。

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2022.02.28

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. Lazarus APT使用 Windows 更新客户端 GitHub

【标签】Lazarus

【时间】2022-02-09

【简介】

Lazarus Group 是自 2009 年以来一直活跃的最重大的朝鲜 APT 之一。该组织已往对许多高调的攻击认真，并获得了全天下的关注。Malwarebytes 威胁情报团队正在起劲监控其运动，并能够在 2022 年 1 月 18 日发明新的运动。在这次运动中，Lazarus 举行了鱼叉式网络垂纶攻击，这些攻击使用了使用其已知事情时机主题的恶意文档作为武器。我们发明了两份伪装成美国全球清静和航空航天巨头洛克希德马丁公司的诱饵文件，巧妙地使用 Windows Update 来执行恶意负载，以及将 GitHub 作为下令和控制服务器。

【参考链接】

https://ti.nsfocus.com/security-news/IlNgz

【防护步伐】

AG公司威胁情报中心关于该事务提取12条IOC，其中包括2个域名和10个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. 海内某macOS 应用下载站遭黑客投毒攻击

【标签】macOS

【时间】2022-02-22

【简介】

威胁研究员发明，海内某第三方 macOS 应用下载站（www.macwk.com）上泛起被APT 组织投毒的数据库治理应用 Navicat Premium。Navicat Premium 是一款盛行的收费数据库治理应用，攻击者使用部分使用者寻找破解版的需求，在盛行的第三方 macOS 应用下载站投放被投毒的 Navicat Premium 破解版，进而实现对下载使用者的入侵。鉴于该站点上此应用下载量较高（历史总计超 37 万次），且投毒事务凌驾三周，我们判断该事务影响规模较广。相关木马与 2021 年 9 月份披露的清静事务macOS 平台上多款常用运维工具遭 APT 投毒攻击中使用的木马相同，因此将攻击者归属为Winnti 族组织。

【参考链接】

https://ti.nsfocus.com/security-news/IlNi6

【防护步伐】

AG公司威胁情报中心关于该事务提取2条IOC，其中包括1个IP和1个域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. Arid Viper APT使用Delphi恶意软件对巴勒斯坦提倡新一波以政治为主题的网络垂纶攻击

【标签】Delphi恶意软件

【时间】2022-02-23

【简介】

研究职员发明了自 2017 年以来使用 Delphi 恶意软件的一连运动的新浪潮。而最近一波攻击使用最初宣布在土耳其国营通讯社Anadolu和巴勒斯坦MA\'AN 生长中心的内容以运动家和巴勒斯坦机构为目的，视察后发明用于针对巴勒斯坦实体的植入物由基于 Delphi 的 Micropsia 版本组成，该植入程序由一个 Delphi 表单组成，该表单具有四个按钮和四个计时器，用于执行下述差别的恶意运动。

【参考链接】

https://ti.nsfocus.com/security-news/IlNim

【防护步伐】

AG公司威胁情报中心关于该事务提取22条IOC，其中包括7个域名和15个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. 攻击者使用恶意excel文件撒播BitRAT恶意软件

【标签】BitRAT

【时间】2022-02-23

【简介】

清静研究员最近发明了一个外观奇异的Excel 宏文件 (XLSM)，其中似乎包括 NFT 相关信息。但相反，它会在后台下载并装置 BitRAT 恶意软件。首先，XLSM 被命名为“NFT_Items.xlsm”。其次，该文件有两本事情簿，其中一本是希伯来语的。该事情簿包括似乎是处置惩罚 NFT 的正当 Discord ，它还包括 NFT 的名称、潜在投资回报的展望（炒作、稳固和 50/50）以及销售数目。研究职员体现攻击通过使用 Discord 托管恶意文件来滥用 Discord，并且攻击者很可能向以色列的 NFT 喜欢者发送了一条新闻，以诱使他们下载并翻开恶意 XLSM，从而抵达撒播BitRAT恶意软件的目的。

【参考链接】

https://ti.nsfocus.com/security-news/IlNin

【防护步伐】

AG公司威胁情报中心关于该事务提取3条IOC，其中包括1个IP和2个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. Transparent Tribe组织使用Crimson RAT提倡垂纶攻击

【标签】Crimson RAT

【时间】2022-02-23

【简介】

克日，清静研究院在一样平常的威胁狩猎中捕获了Transparent Tribe组织的多个Crimson RAT攻击样本。在此攻击运动中，攻击者使用图片文件图标用作恶意软件图标，诱使目的翻开\"图片\"审查，实则运行恶意软件。当受害者点击执行诱饵文件之后，将会在外地释放一个压缩包，并执行压缩包内包括的Transparent Tribe组织的自有远控软件Crimson RAT。

【参考链接】

https://ti.nsfocus.com/security-news/IlNio

【防护步伐】

AG公司威胁情报中心关于该事务提取8条IOC，其中包括2个IP和6个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. 攻击者使用Wiper 恶意软件攻击伊朗广播公司 IRIB

【标签】Wiper

【时间】2022-02-24

【简介】

研究职员体现伊朗国家广播公司 IRIB 遭到入侵，恶意可执行文件和擦除器应对攻击认真。Wiper恶意软件具有多种功效，包括挟制多个电视台播放政治阻挡派向导人要求谋害伊朗最高向导人的录音。其他功效包括自界说后门、屏幕截图功效和用于下载其他恶意可执行文件的几个 bash 剧本。在视察研究中研究职员发明了两个相同的 .NET 示例msdskint.exe，它们的主要目的是擦除盘算机的文件、驱动器和 MBR。这也可以从 PDB 路径中推导出来：C:\\work\\wiper\\Wiper\\obj\\Release\\Wiper.pdb。别的，该恶意软件还能够扫除 Windows 事务日志、删除备份、终止历程、更改用户密码等。

【参考链接】

https://ti.nsfocus.com/security-news/IlNiC

【防护步伐】

AG公司威胁情报中心关于该事务提取22条IOC，其中包括22个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

7. 攻击者使用Trickbot恶意软件对多家着名公司的客户提倡攻击

【标签】Trickbot

【时间】2022-02-24

【简介】

研究职员体现Trickbot 是一种重大且用途普遍的恶意软件，具有 20 多个可按需下载和执行的�？�。此类�？樵市碇葱兄种侄褚庠硕�，并对主要位于美国的 60 家着名金融（包括加密钱币）和手艺公司的客户组成重大危险。自 2020 年 10 月以来，类似于 Zeus 恶意软件的 injectDll �？楸黄等允褂�，该�？榻褚獯胱⑷� Web 浏览器以窃取银行和凭证数据。别的，Trickbot 拥有多种反剖析手艺，其中许多在低水平上都很是重大。这种增添的混淆使其受到希望在较长时间内隐藏其行为的攻击者的接待。

【参考链接】

https://ti.nsfocus.com/security-news/IlNiE

【防护步伐】

AG公司威胁情报中心关于该事务提取3条IOC，其中包括2个域名和1个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

8. A2541组织使用AsyncRAT恶意软件对航空业提倡垂纶攻击

【标签】AsyncRAT

【时间】2022-02-24

【简介】

研究职员追踪发明一个名为 TA2541 的组织从 2017 年最先的网络垂纶运动。该组织使用针对航空业的网络垂纶攻击的电子邮件中提到了燃料、飞机零件和运输等主题。这些网络垂纶电子邮件包括指向存储恶意 Visual Basic 文件的 google 驱动器的链接。一旦执行，这些文件就会运行注入 RegScvs.exe 的 powershell 下令，从而允许攻击者禁用 Windows 反恶意软件扫描接口 (AMSI)。在防御受到威胁的情形下，powershell 下令会毗连到攻击者的 C2 基础设施以装置远程会见木马 (RAT)。

【参考链接】

https://ti.nsfocus.com/security-news/IlNiD

【防护步伐】

AG公司威胁情报中心关于该事务提取15条IOC，其中包括11个域名和4个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

9. Shuckworm针对乌克兰提倡网络特工攻击

【标签】Shuckworm

【时间】2022-02-11

【简介】

与俄罗斯有关的 Shuckworm 组织（又名 Gamaredon，Armageddon）正在继续对乌克兰的目的举行网络特工攻击，近期，清静研究员发明了许多针对该国许多组织的未遂攻击的证据。众所周知，该组织使用网络垂纶电子邮件向目的分发免费可用的远程会见工具，包括远程使用器系统 (RMS) 和 UltraVNC，或名为 Pterodo/Pteranodon 的定制恶意软件。乌克兰清静局 (SSU)最近宣布的一份报告指出，Shuckworm 的攻击最近变得越来越重大，攻击者现在使用非外地工具来窃取凭证并在受害者网络上横向移动。

【参考链接】

https://ti.nsfocus.com/security-news/IlNgA

【防护步伐】

AG公司威胁情报中心关于该事务提取条235条IOC，其中包括210个样本、5个域名和20个URL；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

10. 伊朗 APT MuddyWater 通过恶意 PDF、可执行文件针对土耳其用户

【标签】MuddyWater

【时间】2022-02-11

【简介】

MuddyWater接纳的典范 TTP 是在其熏染链中大宗使用剧本，使用 PowerShell 和 Visual Basic 等语言，以及频仍使用外地二进制文件 (LoLBins)，频仍开启种种运动。近期，清静研究员视察到 MuddyWater 针对土耳其用户开展的一项运动。该运动包括使用恶意 PDF 和 Microsoft Office 文档 (maldocs) 作为初始熏染前言。这些恶意文档被命名为伪装成土耳其卫生和内政部的正当文件。恶意软件会执行一系列安排在受熏染端点上的剧本，作为特殊负载的下载器和工具。该攻击者在此运动中举行的攻击中使用了标记或令牌。这些令牌旨在批注该组织的恶意工件已乐成熏染目的。

【参考链接】

https://ti.nsfocus.com/security-news/IlNgB

【防护步伐】

AG公司威胁情报中心关于该事务提取条56条IOC，其中包括14个URL、11个IP和31个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2022.02.21-2022.02.27）

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2022.02.28-2022.03.06）