E周观察-安全威胁情报（2022.4.30~5.7）

1、针对乌克兰电网的Industroyer2工具分析

Industroyer2是俄罗斯Sandworm组织用来针对乌克兰电网的最新工具，与其前身Industroyer恶意软件存在许多共性。Industroyer2恶意软件是一个独立的可执行文件，专门针对 IEC-104信息对象地址 (IOA)。

参考链接：https://ti.dbappsecurity.com.cn/info/3385

2、新的NetDooka框架通过PrivateLoader恶意软件分发

2022年5月5日，研究人员披露了一种名为NetDooka的新恶意软件框架，该框架通过PrivateLoader按安装付费（PPI）服务分发，具有加载程序、释放程序、保护驱动程序和依赖于自定义网络通信协议的远程访问木马 (RAT)。

参考链接：https://ti.dbappsecurity.com.cn/info/3386

3、隐藏“无文件”恶意软件的新技术

2022年2月，研究人员首次在野观察到将shellcode放入Windows事件日志的技术，这允许在文件系统中隐藏“无文件”最后阶段的木马。Dropper模块还修改了与事件跟踪（ETW) 和反恶意软件扫描接口 (AMSI) 相关的Windows原生API功能，使感染过程更加隐蔽。除了事件日志之外，攻击者还使用了内存注入技术，且使用了一些商业渗透测试工具，如Cobalt Strike 和SilentBreak的工具集。

参考链接：https://ti.dbappsecurity.com.cn/info/3392

4、Raspberry Robin蠕虫使用Windows Installer释放恶意软件

“Raspberry Robin”是研究人员在2021年9月首次观察到的一组恶意活动，研究人员在追踪该活动时发现了一种具有蠕虫功能的新型Windows恶意软件。该软件通过外部驱动器（通常是 USB 设备）进行传播，驱动器利用Windows Installer访问与QNAP相关的域并下载恶意 DLL。

参考链接：https://ti.dbappsecurity.com.cn/info/3387

1、韩国正式加入北约网络防御中心

5月5日，韩国国家情报院宣布作为正式会员加入北大西洋公约组织（NATO）合作网络防御卓越中心（CCDCOE）。由此，韩国成为首个加入该机构的亚洲国家。韩国加入该机构后，正式会员国增至32个，包括北约27个成员国和其他5个非成员国。

1、美国农业机械制造商AGCO遭勒索软件攻击

5月5日，总部位于美国的领先农业机械生产商AGCO宣布遭到勒索软件攻击，导致其部分生产设施受到影响。AGCO是该农业机械生产商领域的巨头，收入超过90亿美元，共有21000名员工，拥有Fendt、Massey Ferguson、Challenger、Gleaner和Valtra等品牌。因此，勒索软件攻击造成的任何生产中断都可能对设备的生产和交付产生重大的供应链影响。

参考链接：https://ti.dbappsecurity.com.cn/info/3396

2、REvil勒索软件卷土重来

4月30日，研究人员宣布发现了新的REvil勒索软件操作的加密器样本，这表示臭名昭著的REvil勒索软件行动已经卷土重来，其新的基础设施和修改后的加密器可以发起更有针对性的攻击。

参考链接：https://ti.dbappsecurity.com.cn/info/3394

3、AvosLocker勒索软件变种使用新技巧规避检测

AvosLocker是一个基于勒索软件即服务 (RaaS) 的附属组织，于2021年7月首次被发现。研究人员发现了一个AvosLocker勒索软件变种，它利用合法的驱动程序文件来禁用防病毒解决方案并规避检测。此外，该勒索软件还能够使用Nmap NSE脚本扫描多个端点以查找Log4j漏洞Log4shell。

参考链接：https://ti.dbappsecurity.com.cn/info/3381

4、BlackByte Ransomware新变种分析

BlackByte是一个功能齐全的勒索软件家族，于2021年7月左右首次出现。该勒索软件最初是用C#编写的，在2021年9月左右开始用Go语言重新开发。研究人员确定了两个基于Go语言的BlackByte变体。第一个变体出现在2021年9月左右，与C#版本有许多相似之处，包括执行横向传播、权限提升和文件加密算法的命令。第二个变体出现于2022年2月左右，引入了许多新的功能并更新了文件加密算法。

1、UNC3524：以企业员工电子邮件为目标的新间谍组织

UNC3524是一个新发现的黑客组织，其目标为专注于企业发展、并购和大型企业交易的员工的电子邮件。UNC3524可以在不支持安全监控和恶意软件检测工具的网络设备上部署名为 QUIETEXIT的新后门。UNC3524的一些活动反映了不同俄罗斯黑客组织的技术，如APT28和APT29。但研究人员缺乏将其与现有APT组织联系起来的证据，因此将其作为独立组织追踪。

参考链接：https://ti.dbappsecurity.com.cn/info/3382

2、LAPSUS$团伙近期的技术、策略和程序分析

LAPSUS$于2021年12月首次公开出现，在过去的5个月中成功入侵包括Microsoft、Nvidia、Okta 和三星在内的一些大型企业。4月28日，研究人员发布报告，描述了在最近的LAPSUS$攻击事件中观察到的技术、策略和程序。

参考链接：https://ti.dbappsecurity.com.cn/info/3395

3、UNC2903团伙滥用元数据服务

自2021年7月以来，UNC2903团伙利用了亚马逊的实例元数据服务 (IMDS) ，获取和滥用凭证。研究人员追踪了UNC2903使用窃取的凭证访问S3存储桶和其他云资源的访问尝试，发现UNC2903团伙利用服务器端请求伪造 (“SSRF”) 漏洞返回用于AWS S3存储桶存储访问的临时访问密钥。

参考链接：https://ti.dbappsecurity.com.cn/info/3393

4、Hive0117组织冒充俄罗斯政府机构攻击电信公司

Hive0117是出于经济动机的网络犯罪组织，该组织自2022年2月起，冒充俄罗斯机构针对东欧国家实体发起网络钓鱼活动。该活动伪装成俄罗斯政府联邦法警局的官方通讯，向立陶宛、爱沙尼亚和俄罗斯电信、电子和工业部门的用户发送俄语电子邮件，旨在提供名为DarkWatchman的无文件恶意软件变种。研究人员认为，Hive0117不属于俄罗斯APT组织，也不属于国家资助的执行网络间谍和网络战行动的集群的一部分。

参考链接：https://ti.dbappsecurity.com.cn/info/3388

5、俄罗斯黑客针对罗马尼亚政府网站发起DDoS攻击

2022年4月29日，从当地时间04:00 开始，属于罗马尼亚国家当局和金融银行机构的一系列网站成为分布式拒绝服务攻击（DDoS）的受害者。攻击导致网站在几个小时内无法使用。此次事件的攻击者为亲俄罗斯的“Killnet”黑客组织。Killnet组织表示，这些攻击是对于罗马尼亚参议院主席马塞尔·乔拉库承诺向乌克兰提供包括武器在内的援助的回应。该组织此前也曾出于类似的政治原因对美国、捷克、爱沙尼亚、德国和波兰的网站发起DDoS攻击，要求停止向乌克兰供应军事武器和装备。

1、Nobelium组织针对以色列大使馆的攻击活动分析

近日，研究人员披露了一个Nobelium组织的样本，文档伪装成以色列大使馆的文件，原始名称为“Ambassador_Absense.docx”。打开文档并激活内容时，会启动HTA脚本，调用一段JS，该脚本具有解密并运行可执行库的功能。启动后，恶意代码会收集系统的数据，并将详细信息发送到远程服务器。

参考链接：https://ti.dbappsecurity.com.cn/info/3390

2、SOLARDEFLECTION C2基础设施分析报告

2022年5月3日，研究人员发布报告，介绍了俄罗斯国家支持的APT组织NOBELIUM（APT29组织）使用的SOLARDEFLECTION基础设施。SOLARDEFLECTION C2广泛使用仿冒域名，倾向于效仿各种媒体、新闻和技术提供商。潜在有害的域名注册和域名抢注可能导致鱼叉式网络钓鱼活动或重定向，从而对公司的品牌或员工构成更高的风险。

参考链接：https://ti.dbappsecurity.com.cn/info/3389

3、俄罗斯APT29组织攻击外交和政府实体

俄罗斯APT29组织（又名Cozy Bear 或 Nobelium）正针对外交官和政府实体发起网络钓鱼活动。电子邮件伪装成与各个大使馆相关的行政通知，滥用Atlassian Trello和其他合法的云服务平台来进行C2通信。

参考链接：https://ti.dbappsecurity.com.cn/info/3384

4、新的APT组织Earth Berberoka攻击赌博网站

近日，研究人员发现了一个新的APT组织，并将其称之为Earth Berberoka（又名 GamblingPuppet）。该APT组织使用多种恶意软件家族攻击Windows、macOS和Linux平台上的赌博网站。Earth Berberoka在攻击中使用了一个新的恶意软件家族，研究人员将其称之为 PuppetLoader，这是一个复杂的五阶段恶意软件家族。此外，该组织还使用了oRAT、PuppetDownloaders、PlugX、Quasar RAT以及AsyncRAT等工具。

参考链接：https://ti.dbappsecurity.com.cn/info/3383

5、UAC-0056组织传播GraphSteel和GrimPlant恶意软件

乌克兰CERT-UA政府计算机应急响应小组披露了UAC-0056组织（又名Lorec53、SaintBear和TA471）的钓鱼活动。电子邮件是从乌克兰国家机构雇员的受感染帐户发送的，邮件中包含名为“Aid request COVID-19-04_5_22.xls”的XLS文档，最终下载并释放GraphSteel和GrimPlant恶意软件。

参考链接：https://ti.dbappsecurity.com.cn/info/3380

6、东欧网络攻击活动分析

Google TAG发布了东欧网络活动的更新报告，表示越来越多的攻击者利用战争作为网络钓鱼和恶意软件活动的诱饵，并且更多地针对关键基础设施，包括石油和天然气、电信和制造业。

报告中披露：俄罗斯APT28组织（又名Fancy Bear）使用新的恶意软件变种针对乌克兰的用户；俄罗斯Turla组织针对波罗的海国家的国防和网络安全组织开展活动；俄罗斯COLDRIVER组织（又名Callisto）使用 Gmail 帐户发送凭据网络钓鱼电子邮件，目标包括政府和国防官员、政治家、非政府组织和智囊团以及记者；白俄罗斯Ghostwriter组织通过凭据网络钓鱼攻击Gmail帐户。

E周观察-安全威胁情报（2022.4.30~5.7）