奇安信威胁情报中心

奇安信威胁情报中心发现，新海莲花组织APT-Q-31近期重新活跃，并采用MSI文件滥用的新手法，这是首次在国内针对政企的APT活动中捕获到该技术的使用。海莲花的两个攻击集合共享攻击资源，但TTP完全不同。上次新海莲花的活跃是2023年末。

- Midnight Blizzard 使用 RDP 文件进行大规模鱼叉式网络钓鱼活动 - UNC5812 针对乌克兰军事新兵传播反动言论 - Kimsuky组织滥用PebbleDash和RDP Wrapper

- APT-C-08（蔓灵花）组织 WebDAV 行动分析 - APT-C-35（肚脑虫）组织针对南亚某制造公司的攻击活动分析 - RomCom黑客组织利用新型 SingleCamper RAT 变种攻击乌克兰政府

-疑似 Mysterious Elephant 组织利用 CHM 文件攻击南亚多国 -蔓灵花组织启用全新特马MiyaRat，国内用户成为首要目标 -Lazarus窃密币动作活跃，大量资产仍存活

奇安信威胁情报中心近期发现一批特别的CHM，其中html十分简单，仅执行一个外部文件，这导致VT报毒数很低。本文基于恶意样本相似性认为这些特殊的 CHM 攻击样本和 C# 后门很可能来自 Mysterious Elephant 组织。

Bitter在今年一直在尝试各种免杀方法：6 月份通过 powershell 加载 havoc 框架、7 月份直接下发 2018 年就在使用的窃密插件，效果都不太理想，最终在 9 月份下发了全新的特马 MiyaRat 还是被我们成功捕获。

-Patchwork 使用新后门 Nexe 绕过安全警报 -揭秘 Kimsuky 的新工具：KLogEXE 和 FPSpy -Gamaredon 仍然是乌克兰“最活跃”的黑客组织 -Kimsuky涉嫌入侵德国导弹制造商

-SloppyLemming 使用 Cloudflare Workers 针对南亚地区 -Confucius 组织利用 ADS 隐藏载荷攻击宗教相关人士 -UNC1860 针对中东的网络攻击工具分析

奇安信威胁情报中心观察到由rust语言编写的勒索软件Rast ransomware非常活跃，国内大量机器被勒索，政企终端受害单位高达 20 余个。根据统计，短短十个月的时间内有 6800 多台终端被控，其中 5700 余台被成功加密。

- Gleaming Pisces 通过 Python 软件包分发 Linux 和 MacOS 后门 - APT34 针对伊拉克政府网络部署恶意软件 - UNC2970 使用木马化 PDF 阅读器部署后门

2024年9月17日，中东地区的黎巴嫩出现一起非常规袭击事件，真主党成员使用的寻呼机在黎巴嫩各地同时引爆，造成多人伤亡。事件还没有确定的调查结论，奇安信威胁情报中心综合网上现有的公开信息整理寻呼机爆炸事件背后可能的攻击手段。

-DarkHotel APT 组织 Observer 木马攻击分析 -朝鲜相关威胁组织分析 -Kimsuky 利用俄朝伙伴关系论文主题诱饵攻击 -Gamaredon 对乌克兰军队的持续攻击

- APT组织 Citrine Sleet 利用 Chromium 零日漏洞 - Kinsuky 组织针对航空航天工程相关人员的恶意代码分析 - APT29复用间谍软件开发商 NSO 和 Intellexa 用过的漏洞

CVE-2024-30051漏洞最早由卡巴斯基发现，根据最初上传到VT的该漏洞的简单分析报告，我们通过该报告中漏洞的特征，找到了QakBot利用的实际样本并对其进行了详细分析。

2024.08.23~

分享近期值得关注的IOC

分享近期值得关注的IOC

分享近期值得关注的IOC

分享近期值得关注的IOC

奇安信凭借威胁情报平台（TIP）、云端产品服务、漏洞情报服务、APT组织档案库等优势能力已连续三次入选Gartner®威胁情报市场指南。