E周观察-安全威胁情报（2022.4.16~4.22）

恶意软件威胁情报

1、Lillin scanner：BotenaGo恶意软件的新变种

2、攻击者利用Win11的虚假升级分发Inno Stealer

3、研究人员发布EagleMonitor RAT分析报告

热点事件

1、美国主战网络攻击武器“蜂巢”（Hive）曝光

2、五眼网络安全部门建议盟友增强关键基础设施防护

勒索专题

1、Karakurt数据勒索组织与Conti勒索团伙有关

2、风力涡轮机公司Nordex遭到Conti勒索软件攻击

3、FBI警告针对美国农业部门的勒索软件攻击

4、FBI警报：BlackCat勒索软件入侵了全球至少60个实体

5、PYSA勒索软件组织分析报告

6、研究人员为Yanluowang勒索软件受害者发布免费解密器

7、SunnyDay勒索软件分析

8、美国HHS警告：Hive勒索软件组织“异常激进”

漏洞利用

1、新的零点击iPhone漏洞可用于NSO间谍软件攻击

政府部门

1、英国政府官员设备感染Pegasus间谍软件

恶意活动

1、针对韩国多个机构的窃密攻击活动分析

2、与朝鲜有关的攻击者针对韩国用户展开网络钓鱼行动

高级威胁情报

1、Lazarus组织与有史以来最大的加密货币窃取事件有关

2、朝鲜APT组织瞄准区块链公司

3、Shuckworm组织利用Pteredo新变种攻击乌克兰目标

4、Lazarus组织利用INITECH进程分发恶意代码

1、Lillin scanner：BotenaGo恶意软件的新变种

BotenaGo 是一种相对较新的恶意软件，基于Golang语言编写。该僵尸网络的源代码自2021年10月被泄露以来，出现了几个恶意软件变体。近日，研究人员发现了 BotenaGo僵尸网络恶意软件的一种新变种，它是迄今为止最隐秘的变种，任何反病毒引擎都无法检测到它的运行。由于样本针对Lilin安全摄像头DVR设备，因此研究人员将其命名为“Lillin scanner”。

参考链接：https://ti.dbappsecurity.com.cn/info/3331

2、攻击者利用Win11的虚假升级分发Inno Stealer

研究人员发现冒充Win11升级分发Inno Stealer的活动。攻击者通过中毒的搜索结果来推送冒充微软Windows 11推广页面的钓鱼网站。点击立即下载后会得到一个ISO文件，其中包含Inno Stealer的加载程序。Inno Stealer可窃取浏览器cookie和存储的凭据、加密货币钱包中的数据以及文件系统的数据。

参考链接：https://ti.dbappsecurity.com.cn/info/3337

3、研究人员发布EagleMonitor RAT分析报告

一位名为“Arsium”的开发人员在GitHub上发布了EagleMonitorRAT的新版本，并发布了一个指向 EagleMonitorRAT的GitHub页面的链接，该链接指向各种地下暗网市场。EagleMonitorRAT是用C#编写的，是从基于Visual Basic .NET 的 HorusEyesRat升级而来。

EagleMonitorRAT有一个用于管理受害设备的服务器面板。该面板显示国家/地区、硬件ID、操作系统详细信息、用户名、可用RAM、权限、区域等，还具有各种管理选项，可在受感染的设备中执行多项操作。EagleMonitorRAT的桌面菜单选项有5个不同的子操作——文件管理器、进程管理器、实时键盘记录器、远程桌面和远程网络摄像头。EagleMonitorRAT具有实时键盘记录功能，可远程捕获受害者系统的击键。

参考链接：https://ti.dbappsecurity.com.cn/info/3341

1、美国主战网络攻击武器“蜂巢”（Hive）曝光

近日，国家计算机病毒应急处理中心对“蜂巢”（Hive）恶意代码攻击控制武器平台（以下简称“蜂巢平台”）进行了分析，蜂巢平台由美国中央情报局（CIA）数字创新中心（DDI）下属的信息作战中心工程开发组（EDG，以下简称“美中情局工程开发组”）和美国著名军工企业诺斯罗普·格鲁曼（NOC）旗下XETRON公司联合研发，由美国中央情报局（CIA）专用。蜂巢平台属于“轻量化”的网络武器，其战术目的是在目标网络中建立隐蔽立足点，秘密定向投放恶意代码程序，利用该平台对多种恶意代码程序进行后台控制，为后续持续投送“重型”武器网络攻击创造条件。美国中央情报局（CIA）运用该武器平台根据攻击目标特征定制适配多种操作系统的恶意代码程序，对受害单位信息系统的边界路由器和内部主机实施攻击入侵，植入各类木马、后门，实现远程控制，对全球范围内的信息系统实施无差别网络攻击。

参考链接：https://ti.dbappsecurity.com.cn/info/3335

2、五眼网络安全部门建议盟友增强关键基础设施防护

以美国为首的“五眼”网络安全部门，向其盟友（包括英国、加拿大、澳大利亚和新西兰）发出了针对关键网络基础设施的警告。美国家安全局（NSA）表示，受俄罗斯支持的黑客组织，或对乌克兰境内外的组织构成更大的风险。警报中提到了对组织里的关键基础设施加强防御的建议，以保护其信息技术（IT）和运营技术（OT）网络不受各种网络威胁的影响 —— 包括勒索软件、破坏性恶意软件、DDoS攻击、以及网络间谍活动等。

参考链接：https://ti.dbappsecurity.com.cn/info/3344

1、Karakurt数据勒索组织与Conti勒索团伙有关

在攻破网络犯罪分子管理的服务器后，研究人员发现Conti勒索软件与最近出现的 Karakurt 数据勒索组织之间存在联系。在对曾向Conti支付赎金的受害者进行调查时，研究人员发现，Karakurt组织后来通过Conti留下的Cobalt Strike后门入侵了同一受害者。此外，调查揭示了几个 Karakurt钱包，它们将加密货币发送到由Conti控制的钱包。区块链分析公司还发现了由Conti钱包托管的Karakurt受害者付款地址，表明两个团伙由同一方管理。

参考链接：https://ti.dbappsecurity.com.cn/info/3321

2、风力涡轮机公司Nordex遭到Conti勒索软件攻击

Nordex是全球最大的风力涡轮机开发商和制造商之一，在全球拥有8,500多名员工。4月2日，Nordex称遭受了网络攻击，被迫关闭IT系统并远程访问受管理的涡轮机。4月14日，Conti勒索软件操作声称他们是攻击 Nordex的幕后黑手。但是，勒索软件团伙尚未开始泄露任何数据，这表明Nordex公司可能正在与攻击者进行谈判，或者在攻击期间没有数据被盗。

参考链接：https://ti.dbappsecurity.com.cn/info/3324

3、FBI警告针对美国农业部门的勒索软件攻击

2022年4月20日，美国联邦调查局 (FBI) 警告食品和农业 (FA) 部门组织称，在收获和种植季节，勒索软件组织攻击美国农业部门实体的数量将增加。针对农业合作社的勒索软件攻击可能导致运营中断、财务损失，并对美国和全球食品供应链产生负面影响。

参考链接：https://ti.dbappsecurity.com.cn/info/3339

4、FBI警报：BlackCat勒索软件入侵了全球至少60个实体

4月19日，FBI和CISA联合发布警报，称BlackCat勒索软件团伙（又名ALPHV、Noberus）在2021年11月至2022年3月期间入侵了全球至少60个组织。BlackCat于2021年11月首次被发现，是第一个基于Rust编程语言的勒索软件家族。

参考链接：https://ti.dbappsecurity.com.cn/info/3343

5、PYSA勒索软件组织分析报告

PYSA是一个臭名昭著的勒索软件，其大多数受害者位于美国和欧洲，主要攻击政府、医疗保健和教育部门。与其他勒索软件家族一样，PYSA遵循双重勒索的“大型游戏狩猎”方法，在发动攻击之前会仔细研究高价值目标，破坏企业系统并迫使组织支付大笔赎金以恢复其数据。研究人员检测了 PYSA的勒索软件基础架构，分析了其犯罪活动的运作方式，并发布分析报告。

参考链接：https://ti.dbappsecurity.com.cn/info/3328

6、研究人员为Yanluowang勒索软件受害者发布免费解密器

Yanluowang是一种相对较新的针对性勒索软件，已经感染了美国、巴西、土耳其等国家。一旦部署在受感染的网络上，Yanluowang就会停止管理程序虚拟机，结束所有进程，并对文件进行加密。研究人员分析并发现了Yanluowang勒索软件的一个漏洞，该漏洞允许通过已知明文攻击解密受影响用户的文件。

参考链接：https://ti.dbappsecurity.com.cn/info/3327

7、SunnyDay勒索软件分析

SunnyDay是一个基于SALSA20流密码的简单勒索软件，它附带了一个嵌入的RSA公钥blob，用于加密对称SALSA20使用的生成密钥，该密钥将破坏计算机上所有可用的文件。

SunnyDay在其执行过程中的主要操作包括：

·删除卷影副本 (VSS)

·终止和停止目标进程和服务

·使用SALSA20流密码生成加密文件的密钥

·密钥也使用RSA公钥blob加密，并附加在加密文件的末尾

·将扩展名“.sunnyday”附加到损坏的文件

·自删除

参考链接：https://ti.dbappsecurity.com.cn/info/3323

8、美国HHS警告：Hive勒索软件组织“异常激进”

Hive是一种活跃的勒索软件，于2021年6月首次出现，对医疗行业造成了严重破坏。4月18日，美国卫生与公众服务部网络安全计划发出警报，称Hive勒索软件组织“异常激进”，敦促供应商组织加强预防性安全措施。

参考链接：https://ti.dbappsecurity.com.cn/info/3332

1、新的零点击iPhone漏洞可用于NSO间谍软件攻击

Citizen Lab的研究人员发现了一种新的零点击iMessage漏洞利用，用于在属于加泰罗尼亚政治家、记者和活动家的iPhone上安装NSO Group间谍软件。该漏洞名为HOMAGE，是一个先前未公开的iOS零点击安全漏洞，会影响iOS 13.2之前的部分版本。

在2017年至2020年期间，至少有63人成为目标或被Pegasus软件感染，另外4人被Candiru软件感染。至少有两人同时成为两款间谍软件的目标。目前，公民实验室并未最终将这些黑客行动归咎于特定政府，但一系列间接证据表明此次事件与西班牙政府内的一个或多个实体存在密切联系。

参考链接：https://ti.dbappsecurity.com.cn/info/3330

1、Lazarus组织与有史以来最大的加密货币窃取事件有关

4月14日，FBI指控，朝鲜Lazarus组织和APT38组织与大规模加密货币窃取活动有关。此次窃取事件发生在3月23日，热门链游区块链NFT游戏Axie Infinity的Ronin Network被窃取了173,600个以太坊和2550万美元的代币 (USDC)，价值6.2 亿美元，是有史以来最大的加密货币窃取事件。

参考链接：https://ti.dbappsecurity.com.cn/info/3322

2、朝鲜APT组织瞄准区块链公司

CISA、联邦调查局和美国财政部发布警告称，朝鲜 Lazarus APT组织正在针对加密货币和区块链行业的组织使用木马加密货币应用程序。入侵始于在各种通信平台上发送给加密货币公司员工的大量鱼叉式网络钓鱼消息，这些员工通常从事系统管理或软件开发/IT运营 (DevOps)。这些消息通常模仿招聘工作并提供高薪工作以诱使收件人下载带有恶意软件的加密货币应用程序，美国政府将这种程序称为“TraderTraitor”。

参考链接：https://ti.dbappsecurity.com.cn/info/3329

3、Shuckworm组织利用Pteredo新变种攻击乌克兰目标

CISA、联邦调查局和美国财政部发布警告称，朝鲜 Lazarus APT组织正在针对加密货币和区块链行业的组织使用木马加密货币应用程序。入侵始于在各种通信平台上发送给加密货币公司员工的大量鱼叉式网络钓鱼消息，这些员工通常从事系统管理或软件开发/IT 运营 (DevOps)。这些消息通常模仿招聘工作并提供高薪工作以诱使收件人下载带有恶意软件的加密货币应用程序，美国政府将这种程序称为“TraderTraitor”。

参考链接：https://ti.dbappsecurity.com.cn/info/3340

4、Lazarus组织利用INITECH进程分发恶意代码

近日，研究人员正在监测2022年第一季度感染了Lazarus组织恶意代码的47家公司和机构，这些机构中包括国防公司。恶意行为是由受害者中的INITECH进程inisafecrosswebexsvc.exe引起的。inisafecrosswebexsvc.exe文件是 INITECH的安全程序INISAFE CrossWeb EX V3的可执行文件。研究人员发现，inisafecrosswebexsvc.exe文件为正常文件，其中被注入了SCSKAppLink.dll，SCSKAppLink.dll包含根据注入的主机进程分支的代码。研究人员确定，SCSKAppLink.dll 为 Lazarus 攻击组织创建的恶意代码。

参考链接：https://ti.dbappsecurity.com.cn/info/3342