Gamaredon Group使用信息窃取恶意软件针对乌克兰 

近日，思科研究人员披露了具有俄罗斯背景的APT组织Gamaredon Group，针对乌克兰政府、国防和执法机构的攻击活动。攻击者使用网络钓鱼电子邮件，传递包含带有恶意VBScript宏脚本的文档附件，诱导受害者打开文档，下载宏并通过LNK执行MSHTA.EXE，进而下载并解析远程XML文件以执行恶意PowerShell脚本，随后在受感染的端点上下载并激活下一阶段的有效载荷开展攻击活动。鉴于此次攻击活动在TTP、恶意软件和基础设施方面，与此前乌克兰计算机应急响应团队(CERT-UA)披露的Gamaredon Group的一系列攻击活动存在重叠，因此将此次攻击归因于GamaredonGroup。

来源：

https://blog.talosintelligence.com/2022/09/gamaredon-apt-targets-ukrainian-agencies.html 

Sandworm组织冒充乌克兰电信公司投递恶意软件

Recorded Future研究人员披露了具有俄罗斯背景的APT组织Sandworm，伪装成乌克兰电信供应商，通过发送恶意ISO文件，向乌克兰的军事人员和实体，投递Colibri Loader和Warzone RAT等商业恶意软件的攻击活动。Colibri Loader是用户“c0d3r_0f_shr0d13ng3r”在XSS论坛上提供的针对Windows操作系统使用汇编和C语言编写的商业恶意软件；Warzone RAT是一种流行的商业远程访问工具 (RAT)，在地下论坛和开发者网站warzone.ws上出售，被宣传为使用C/C++开发的全功能RAT，声称“易于使用且高度可靠”。

来源：

https://www.recordedfuture.com//russia-nexus-uac-0113-emulating-telecommunication-providers-in-ukraine

APT37使用网络钓鱼电子邮件投递恶意软件

最近，FortiGuard Labs研究人员发现具有朝鲜背景的APT组织APT37，使用俄语编写的网络钓鱼邮件，向受害者投递恶意软件。攻击者通过在恶意邮件的附件中添加宏脚本，创建计划任务并执行PowerShell命令，从而连接到C2并下载恶意软件。经过研究人员确认，攻击使用的恶意软件与APT37远程访问工具(RAT)—Konni一致，因此将此次活动归因于APT37。

来源：

https://www.fortinet.com/blog/threat-research/konni-rat-phishing-email-deploying-malware

披露Donot样本

近日，研究人员披露Donot组织的恶意样本，IOC信息如下所示：

文件名：doc125555.ppt

MD5：3cd6fc1309294e4eb4bfb2e861e2f570

Domain：furnish.spacequery.live

来源：

https://twitter.com/jameswt_mht/status/1572536554425548800

针对中国用户的仿冒Telegram下载网站

Cyble研究人员发现了一个虚假的Telegram下载网站，其中的恶意安装程序滥用了Windows Defender应用程序来执行RAT操作。仿冒网站首先将用户重定向到Telegram的官方网站，以下载Android、iOS和macOS等非Windows平台上的应用程序，当用户选择安装Windows平台应用程序时，虚假网站就会下载恶意的MSI安装程序。MSI文件执行时会使用正版MpCmdRun.exe进行DLL侧加载，加载的恶意文件mpclient.dll进一步读取一个名为upgrade.xml的文件，对其进行解密，并将代码注入以逃避检测，进而展开下一步攻击活动。

来源：

https://blog.cyble.com/2022/09/17/fake-telegram-site-delivering-rat-aimed-at-chinese-users/

利用SocGholish框架分发NetSupport RAT

SocGholish是自2017年以来一直活跃的JavaScript恶意软件框架，通过社会工程学方法，伪装成软件更新包在受害者的系统上部署其他恶意软件，例如Cobalt Strike框架、勒索软件、信息窃取程序、RAT等。NetSupport Manager是一种商业远程访问工具(RAT)，通常用于管理员对用户计算机的远程访问。当NetSupport 通过伪装的浏览器更新(SocGholish)部署到受害者的系统后，攻击者可以执行多种恶意活动，例如监控受害者的系统、传输文件、启动应用程序、识别系统位置、远程检索库存和系统信息等。以下是SocGholish的感染链示意图。

来源：

https://blog.cyble.com/2022/09/21/netsupport-rat-distributed-via-socgholish/

美国航空遭到攻击造成数据泄露

近期，美国航空称遭受未经授权的攻击者入侵了若干美国航空员工的电子邮件账户。该公司表示攻击者可能访问和泄露的数据包括：员工和客户姓名、出生日期、邮寄地址和电子邮件地址、电话号码、驾照和护照号码以及医疗信息等。

来源：

https://www.bleepingcomputer.com/news/security/american-airlines-discloses-data-breach-after-employee-email-compromise/

黑客组织Guacamaya泄露智利等国的军事和警察机构数据

一个主要关注中美洲目标的黑客组织Guacamaya发布了来自智利、墨西哥、萨尔瓦多、哥伦比亚和秘鲁的军事和警察机构的大约10TB的电子邮件和其他数据。这已是该组织自2022年3月以来第四次公开数据，并且该组织将窃取数据发布到了Enlace Hacktivista暗网上。此次事件主要涉及了智利武装部队参谋长联席会议、墨西哥国防部秘书处、萨尔瓦多国民警卫队、萨尔瓦多武装部队、哥伦比亚总司令部、秘鲁武装部队联合司令部以及秘鲁陆军部队。

来源：

https://www.cyberscoop.com/central-american-hacking-group-releases-emails/

BlackCat勒索软件团伙攻击美国萨福克县IT系统

据报道，BlackCat勒索软件宣称对萨福克县的IT系统勒索攻击事件负责，并称其已加密县政府系统和政府承包商的系统中超过4 TB的数据，其中包括萨福克县法院记录、治安官办公室记录、与纽约州的合同以及萨福克县公民的其他个人数据。

来源：

https://riverheadlocal.com/2022/09/16/blackcat-group-claims-responsibility-for-ransomware-attack-on-suffolk-county-begins-publishing-stolen-documents-on-dark-web/

Lazarus Group利用Log4J漏洞攻击能源供应商——每周威胁动态第96期（09.09-09.15）

Mandiant披露伊朗组织APT42——每周威胁动态第95期（09.03-09.08）

Kimsuky攻击韩国的媒体和智囊机构——每周威胁动态第94期（08.26-09.02）

突发！国产财务管理软件勒索病毒大爆发，损失严重！