• Lazarus组织与3CX供应链事件存在关联

• Evasive Panda组织针对国内用户投递恶意软件

• 盲眼鹰组织针对哥伦比亚政府开展网络钓鱼活动

• 南亚APT组织Patchwork攻击国内高校和科研单位

• APT-LY-1007组织针对俄罗斯军队的攻击活动分析

• 大量黑客组织利用PaperCut RCE漏洞对全球互联网进行攻击

• APT组织Tomiris详情披露

• Sidecopy组织新木马行为披露

• 黑客组织FIN7利用VBR漏洞攻击服务器

• Alloy Taurus间谍组织构建PingPull Linux变体

• BlueNoroff黑客组织使用RustBucket攻击macos

• Charming Kitten组织近期BellaCia恶意软件活动分析

• Educated Manticore组织通过部署PowerLess后门瞄准以色列

• 窃密程序ViperSoftX更新加密方法

• RTM Locker勒索软件瞄准Linux系统

• 基于GoLang的CrossLock勒索软件追踪

• 攻击者利用Microsoft XLL文件投递Qbot银行木马

• Bumblebee恶意软件通过木马化安装程序进行分发

• Mirai恶意软件利用TP-Link Archer WiFi路由器漏洞感染用户设备

• Lazarus组织与3CX供应链事件存在关联

近日，ESET研究人员发现Lazarus存在一个新的针对Linux用户的Operation DreamJob活动。Operation DreamJob活动中攻击者使用社工技术，伪造新的工作机会来诱骗用户下载恶意软件。此次攻击中，攻击者利用zip文件传递一份虚假的汇丰银行工作机会，以该文件作为诱饵，诱骗用户下载打开，最终利用OpenDrive 云存储账户下发SimplexTea(Linux后门)。研究人员表示，这是Lazarus第一次使用Linux恶意软件。此外，研究人员在进行归因分析时，发现此次恶意软件存在与3CX供应链攻击事件相同的特征，证实Lazarus与3CX供应链攻击事件存在关联。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=aa655de9907647ae874833e1b71ef47d

• Evasive Panda组织针对国内用户投递恶意软件

ESET监测到黑客组织Evasive Panda对国内用户投递恶意软件，Evasive Panda通过未知方法劫持国内正规软件的正规更新渠道，投递MgBot恶意软件。此次攻击的主要目标为甘肃、江苏、广东的用户，据ESET调查发现，主要受害用户为某NGO组织成员。Evasive Panda，别名BRONZE HIGHLAND或者Daggerfly，是一个使用中文的APT组织，自2012年开始活跃，主要针对中国的个人用户实施网络间谍活动，也对东亚国家和东南亚国家的政府实体、组织发起攻击，包含中国、缅甸、越南、菲律宾等国家。该组织使用模块化架构实施自己的自定义恶意软件框架，允许其后门(MgBot)接收模块以监视受害者并增强其功能。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=1e70ad0a9c4b4ddf8dc16e5edca4c4b2

‍‍‍

• 盲眼鹰组织针对哥伦比亚政府开展网络钓鱼活动

近期，360捕获到盲眼鹰(又名APT-C-36)组织针对哥伦比亚的政府机构及实体公司开展了网络钓鱼活动。该组织一如既往地采用鱼叉攻击策略，以PDF文件作为入口点，并通过伪装成哥伦比亚海关局、援助局、国家司法部门，诱导用户点击并下载含有恶意样本的RAR压缩包文件。
其中，压缩包文件名称、诱饵文档名称、伪装信息都是西班牙语(哥伦比亚官方语言)，压缩包文件解压后则是伪装成PDF文件图标的VBS脚本。一旦用户点击执行，便将开启一段复杂多阶段的无文件攻击链。即恶意脚本首先会内存加载远端下载的第一阶段DLL，该DLL接着继续内存加载第二阶段DLL。为了隐藏最终恶意代码，第二阶段DLL还会将下载的LimeRAT木马注入到傀儡进程InstallUtil.exe中执行。最后，加载的木马程序与C2服务器建立通信，以实现窃密功能。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=cc321bb539744a4892071003a2d05dc1

• 南亚APT组织Patchwork攻击国内高校和科研单位

近期，深信服监测到了南亚APT组织Patchwork(又名APT-Q-36)针对国内高校和科研单位的最新攻击动态。其中，Patchwork组织常使用鱼叉攻击对目标进行打点攻击，并且主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，旨在窃取敏感信息，其相关攻击活动最早可以追溯到2009年11月，至今还非常活跃。在针对中国地区的攻击中，该组织主要瞄准政府机构、科研教育领域，并以科研教育领域为主。

在本次攻击活动中，Patchwork组织依旧利用了包含恶意附件的鱼叉式网络钓鱼邮件，邮件内容以职场中的性骚扰事件或项目申报通知为由，引诱用户打开带有密码的压缩包文件。压缩文件中则包含一个恶意lnk文件，用户双击后会执行文件中的powershell命令，主要用于下载名为“OneDrive.exe”的第二阶段远控程序：BADNEWS。该远控将首先获取受感染机器的时区名称，并且只有当时区名称为“China Standard Time”，才会执行后续的恶意操作。此外，经调查分析，Patchwork还加强了BADNEWS的窃密、反分析及反取证能力。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=7344164c8e5a4f2ebb785e706379420a

• APT-LY-1007组织针对俄罗斯军队的攻击活动分析

近日，安恒观察到了一起针对俄罗斯军事部队的攻击活动，经研究人员溯源分析发现，该活动由一个未曾被披露的新威胁组织“APT-LY-1007”发起。该组织的攻击样本最早活跃于2022年8月，其目标除俄罗斯国防部外，还包括俄罗斯铁路部门。

本次活动，攻击者首先使用了以俄罗斯联邦武装部队电子部队的专业假期——“电子战专家日”、“推迟征召俄罗斯联邦武装部队的命令”、 “俄罗斯铁路股份公司免除义务征召通知”等主题的诱饵文档以诱导用户点击运行。一旦成功运行，诱饵文档便会通过远程模板注入并执行恶意宏代码，宏代码接着再通过JS代码释放后续的Cyrillic RAT远控木马。其中，Cyrillic RAT木马使用了自定义加密算法，具有反沙箱、反分析的特性，且该木马中日志打印功能的代码页被攻击者设置为东欧地区字符集。基于以上攻击特点，研究人员目前推测，APT-LY-1007组织诞生于俄乌网络战时期，主要攻击目的为窃取俄罗斯军事机密，且在半年时间内对攻击武器进行了升级。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=108c492b10714b24a708df7247a006d9

• 大量黑客组织利用PaperCut RCE漏洞对全球互联网进行攻击

Sophos监测到大量黑客组织利用PaperCut RCE漏洞(CVE-2023-27350)投递远控软件甚至勒索病毒。2023年4月19日，PaperCut发布通告，表示存在该RCE漏洞的在野利用。PaperCut是一个多平台可用的打印管理软件，多为教育行业使用。此次PaperCut RCE漏洞影响全平台的PaperCut MF和NG应用程序，用户需要将软件更新至新版本以免遭受攻击。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=6e4d8c58acb7467f9b8862754d4be3c8