每週高級威脅情報解讀(2023.07.13~07.20)

2023.07.13~07.20

攻擊團伙情報

APT-C-28（ScarCruft）組織針對能源方向投放Rokrat後門活動分析
APT29在新的網路活動中冒充挪威大使館
Lazarus攻擊 Windows伺服器並將其用作惡意軟體分發伺服器
DangerousPassword在Windows、macOS和Linux環境下攻擊開發人員
Turla使用 CAPIBAR 和 KAZUAR進行有針對性的攻擊
軍事話題成焦點：偽獵者APT組織威脅持續曝光
透明部落利用惡意PPT對印度政府實體發起新攻擊
疑似GhostWriter針對烏克蘭和波蘭的政府、軍事和民用實體發起惡意活動

攻擊行動或事件情報

TeamTNT利用多個後門部署Tsunami惡意軟體
FIN8使用改進的Sardonic後門傳播Noberus勒索軟體
越南犯罪分子藉助惡意Chrome擴展盜取Facebook賬戶
SpacePirates：探索分析非標準技術、新的攻擊向量和分組工具
RedCurl間諜組織頻繁入侵俄羅斯某大型銀行
NoEscape：Avaddon勒索軟體團伙的疑似繼承者
攻擊者利用Zyxel 漏洞 CVE-2023-28771DDoS傳播殭屍網路
新興 DDoS Botnet 家族 Ripper 正在持續進化

惡意程式碼情報

FakeSG與「FakeUpdates」相同分發 NetSupport RAT
CustomerLoader：一種傳播各種有效負載的新惡意軟體
分析非法軟體HotRat下載的風險和其中隱藏的AutoHotkey腳本
深入分析BundleBot及其典型感染載體
惡意後門利用多種免殺手段，可遠控使用者電腦
攻擊 TeamViewer 使用者的木馬應用程序
攻擊者利用配置不當的MS-SQL伺服器部署惡意軟體PurpleFox

漏洞情報

利用WP支付外掛漏洞劫持網站進行攻擊
利用CVE-2023-23397漏洞進行攻擊的樣本綜合分析
Bad.Build：Google Cloud Build 中的一個關鍵許可權升級設計缺陷導致供應鏈攻擊

攻擊團伙情報

APT-C-28（ScarCruft）組織針對能源方向投放Rokrat後門活動分析

披露時間：2023年7月13日

情報來源：https://mp.weixin.qq.com/s/13bQDJCfnTBFVMUbhKgllw

相關資訊：

APT-C-28（ScarCruft）組織又名APT37（Reaper）、Group123，是一個來自於東北亞地區的境外APT組織，其相關攻擊活動最早可追溯到2012年，且至今依然保持活躍狀態。APT-C-28組織主要針對韓國等亞洲國家進行網路攻擊活動，針對包括化學、電子、製造、航空航天、汽車和醫療保健等多個行業，其中以竊取戰略軍事、政治、經濟利益相關的情報和敏感資料為主。

近期，研究人員捕獲到APT-C-28（ScarCruft）組織的一起以能源方向誘餌檔案投遞Rokrat後門木馬的攻擊活動，攻擊者投遞內嵌惡意程式碼和PDF文件的LNK檔案，LNK檔案運行後從第三方雲服務中下載Rokrat後門注入到PowerShell中運行。Rokrat木馬是APT-C-28組織武器化後門軟體，Rokrat木馬可具備獲取計算機敏感資訊、上下發檔案運行、捕獲螢幕截圖和鍵盤輸入等功能，且慣用雲儲存API實現後門指令和檔案的下發。

APT29在新的網路活動中冒充挪威大使館

披露時間：2023年7月12日

情報來源：https://lab52.io/blog/2344-2/

相關資訊：

此次威脅活動中，攻擊者使用的網路釣魚電子郵件的主題為「邀請 – 聖露西亞慶典」，通過冒充挪威大使館，誘使郵件接收者訪問這個郵件中帶有格式為.svg的附件。

打開.svg檔案後，檔案會執行一個腳本，該腳本會安裝並下載包含下一階段感染的.iso 副檔名的檔案，其內容與研究人員在其他 APT29 活動中觀察到的內容類似。

Lazarus攻擊 Windows伺服器並將其用作惡意軟體分發伺服器

披露時間：2023年7月14日

情報來源：https://asec.ahnlab.com/ko/55252/

相關資訊：

研究人員證實，被稱為國家支持的攻擊組織的Lazarus組織攻擊了Windows網際網路資訊服務（IIS）Web伺服器，並將其用作惡意程式碼分發伺服器。

眾所周知，該組織使用水坑技術作為初始滲透方法。首先，通過駭客入侵國內網站，操縱該網站提供的內容。此後，當使用易受攻擊版本的 INISAFE CrossWeb EX V6 系統通過網路瀏覽器訪問該站點時，會利用 INISAFECrossWebEXSvc.exe 的漏洞從惡意程式碼分發站點安裝 Lazarus 惡意軟體 (SCSKAppLink.dll)。

儘管 INITECH 漏洞已得到修補，但針對未修補系統的攻擊直到最近才出現。Lazarus 組織攻擊 IIS Web 伺服器並奪取控制權後，將其用作分發用於利用 INITECH 漏洞的惡意軟體的伺服器。

DangerousPassword在Windows、macOS和Linux環境下攻擊開發人員

披露時間：2023年7月12日

情報來源：https://blogs.jpcert.or.jp/ja/2023/07/dangerouspassword_dev.html

相關資訊：

DangerousPassword （也稱為 CryptoMimic 或 SnatchCrypto）組織自 2019 年 6 月以來一直在持續進行攻擊。五月底，研究人員確認了一次攻擊目標該攻擊針對的是Windows，macOS 和 Linux 環境上安裝了 Python 或 Node.js 的計算機。

攻擊者提前準備一個用於處理二維碼的Python模組（https://github.com/mnooner256/pyqrcode）的builder.py檔案並插入惡意程式碼，並通過某種方式分發到目標。這樣，目標就不會意識到惡意程式碼，並且可以通過執行該檔案來下載和感染其他惡意軟體。該Python惡意軟體在Windows、macOS和Linux環境中運行，通過在執行惡意軟體時檢查作業系統資訊，感染流程因作業系統而異。

Turla使用 CAPIBAR 和 KAZUAR進行有針對性的攻擊

披露時間：2023年7月18日

情報來源：https://cert.gov.ua/article/5213167

相關資訊：

研究人員發現Turla 組織 (UAC-0003、KRYPTON、Secret Blizzard)利用CAPIBAR 和 KAZUAR進行間諜活動。在最初的妥協階段，除了以宏文件形式發送帶有附件的電子郵件之外，攻擊者通過在合法宏的結構中添加幾行程式碼來修改文件（例如，在內部公共網路資源上），以運行PowerShell。

同時，在某些情況下，受影響的計算機上會載入一個複雜的多功能KAZUAR後門，該後門實現了40多個功能，包括：「chakra」（使用ChakraCore啟動JS）、「eventlog」（從作業系統日誌中獲取資料）等。考慮到戰術、技術和程序的特殊性，以及使用 KAZUAR 程序的事實，有足夠的可信度，所描述的活動 (UAC-0024) 與 Turla有關，其活動由俄羅斯聯邦安全局 (FSB) 指導。

軍事話題成焦點：偽獵者APT組織威脅持續曝光

披露時間：2023年7月19日

情報來源：https://mp.weixin.qq.com/s/GMgk6LG6pYSebf4y7f7g7w

相關資訊：

偽獵者APT組織於2021年由國內安全廠商披露，據悉其最早攻擊時間可以追溯到2018 年。近期研究人員發現，該組織從2021年12月份至今依然保持活躍。

捕獲到一起偽獵者組織的攻擊活動，經過分析有如下發現：

攻擊者通過 .vhd 檔案投遞惡意檔案，使用.lnk檔案執行攻擊活動，並攜帶有軍事話題誘餌檔案。
攻擊者的樣本在以往的基礎上有所更新，後續載荷調用的路徑、檔案名、匯出函數名、加密參數、字串等都通過與C2地址通訊獲取，並通過 AES解密。

透明部落利用惡意PPT對印度政府實體發起新攻擊

披露時間：2023年7月11日

情報來源：https://threatmon.io/from-slides-to-threats-transparent-tribes-new-attack-on-indian-government-entities-using-malicious-ppt/

相關資訊：

透明部落，也稱為 APT36，它一直積極針對印度的政府實體。該技術分析深入研究了透明部落所採用的攻擊鏈，深入了解他們的策略、技術和程序 (TTP)。觀察到的攻擊媒介涉及一個多階段過程，由網路釣魚電子郵件發起，然後分發嵌入宏程式碼的惡意 PowerPoint 檔案，最終導致遠端訪問木馬 (RAT) 的部署。

疑似GhostWriter針對烏克蘭和波蘭的政府、軍事和民用實體發起惡意活動

披露時間：2023年7月13日

情報來源：https://blog.talosintelligence.com/malicious-campaigns-target-entities-in-ukraine-poland/

相關資訊：

研究人員發現有威脅行為者針對烏克蘭和波蘭的政府實體、軍事組織和民用使用者開展了多次活動，並判斷這些操作很可能旨在竊取資訊並獲得持久的遠端訪問。活動最早發生在 2022 年 4 月，最近發生在本月早些時候，這表明了威脅行為者的永續性。烏克蘭計算機緊急響應小組 (CERT-UA)將 7 月份的活動歸咎於威脅組織UNC1151 ，這是據稱與白俄羅斯政府有關的GhostWriter運營活動的一部分。

這些攻擊使用了由惡意 Microsoft Office 文件發起的多級感染鏈，最常見的是使用 Microsoft Excel 和 PowerPoint 檔案格式。接下來是隱藏在圖像檔案中的可執行下載程序和有效負載，這可能會使其檢測更加困難。最終的有效負載包括 AgentTesla 遠端訪問木馬 (RAT)、Cobalt Strike 信標和 njRAT。

攻擊行動或事件情報

TeamTNT利用多個後門部署Tsunami惡意軟體

披露時間：2023年7月13日

情報來源：https://blog.aquasec.com/teamtnt-reemerged-with-new-aggressive-cloud-campaign

相關資訊：

近期，研究人員發現了一個針對配置不當的Docker API和JupyterLab實例的新興活動，並且經過分析將此次活動歸因於TeamTNT。TeamTNT針對Kubernetes集群、Docker API、Hadoop服務等，利用多種腳本外聯 C2 伺服器下載二進位制檔案。在分析過程中，研究人員發現TeamTNT使用了4種類型的後門，第一個通過修改passwd、shadow和sudoers檔案來創建新帳戶、插入RSA金鑰來創建SSH後門、向C2伺服器回傳新建賬號密碼等資訊。第二個檔案可進行反彈shell。第三個為正規工具Tmate，攻擊者將其作為Webshell。第四個則使用Ngrok建立HTTP隧道。TeamTNT使用dload函數來繞過常規檢測，dload函數利用dev/tcp來調用通訊並下載有效負載。研究人員表示TeamTNT正在跨多個雲環境(包括AWS、Azure和GCP)掃描憑證。另外，TeamTNT在攻陷伺服器後，還會部署Tsunami軟體。Tsunami是一種惡意軟體，主要針對Linux系統拓展殭屍網路，可通過IRC協議與C2伺服器進行通訊。

FIN8使用改進的Sardonic後門傳播Noberus勒索軟體

披露時間：2023年7月18日

情報來源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/syssphinx-fin8-backdoor

相關資訊：

研究人員最近觀察到 Syssphinx（又名 FIN8）網路犯罪組織部署了 Sardonic 後門的變體來傳播 Noberus 勒索軟體。Syssphinx（又名 FIN8）至少自2016年1月開始活躍，是一個以經濟為動機的網路犯罪組織，以酒店、零售、娛樂、保險、技術、化學品和金融領域的組織為目標。

在 2022 年 12 月的事件中，攻擊者連接 PsExec 執行命令「quser」以顯示會話詳細資訊，然後執行命令啟動後門。接下來，攻擊者連接到後門以檢查受影響計算機的詳細資訊，然後執行建立永續性的命令。第二天，攻擊者連接到了持久後門，但在運行了幾個基本命令後就暫停了。大約30分鐘後，活動恢復，攻擊者使用看似 Impacket 的 wmiexec.py，啟動了一個進程來啟動新的後門。攻擊者在接下來的幾個小時內使用了這個新的後門。

越南犯罪分子藉助惡意Chrome擴展盜取Facebook賬戶

披露時間：2023年7月12日

情報來源：https://www.malwarebytes.com/blog/threat-intelligence/2023/07/criminals-target-businesses-with-malicious-extension-for-metas-ads-manager-and-accidentally-leak-stolen-accounts

相關資訊：

研究人員近日指出，在過去幾周裡，越南犯罪分子正藉助惡意Chrome擴展程序積極開展Facebook賬戶憑據盜取活動。調查顯示，攻擊者主要通過在Facebook中推廣虛假的廣告管理軟體”Ads Manager”，進而引誘使用者下載包含惡意MSI安裝程序的壓縮包。

據悉，MSI安裝程序中包含一個批處理腳本(可能以Google Bard命名)和兩個檔案夾。其中，第一個檔案夾內含攻擊者自定義的惡意Chrome擴展，而另一個則是包含WebDriver檔案的System檔案夾。批處理腳本將在MSI安裝程序完成後啟動，其會生成一個新的瀏覽器窗口，該窗口則通過利用先前安裝路徑中的惡意擴展實現啟動，它主要用於將受害者指向Facebook登入頁面。與此同時，惡意的Chrome擴展程序偽裝成Google Translate以誘導使用者執行。經進一步分析發現，該擴展程序的程式碼實際上進行了十六進位制混淆，試圖隱藏其獲取Facebook登入帳戶的惡意行為。

研究人員表示，目前總共發現了20多個不同的惡意Facebook Ad Manager壓縮文件，雖然樣本之間存在差異，但攻擊者的主要目標似乎相同，即收集Facebook企業帳戶。據統計，全球已存在800多名受害者，且其中310人位於美國。

SpacePirates：探索分析非標準技術、新的攻擊向量和分組工具

披露時間：2023年7月17日

情報來源：https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-exploring-non-standard-techniques-new-attack-vectors-and-grouping-tools/

相關資訊：

2019 年底，研究人員發現了一個新的組織，他們將其稱為SpacePirates。該組織至少從 2017 年就開始活躍了。第一份描述該群體的全面研究於2022 年初發布。迄今為止，它加強了針對俄羅斯公司的活動：這一年在調查網路攻擊時經常遇到SpacePirates。該組織的策略沒有太大變化，但開發了新工具並改進了舊工具。

攻擊者的主要目標仍然是間諜活動和竊取機密資訊。SpacePirates擴大了攻擊地域和利益範圍。在俄羅斯，這一年至少有16個組織遭到攻擊，而在塞爾維亞則有1 個。新的受害者包括俄羅斯和塞爾維亞的政府和教育機構、安全公司、航空、火箭航天和農業工業、軍工、燃料和能源綜合體以及涉及資訊安全的公司。

RedCurl間諜組織頻繁入侵俄羅斯某大型銀行

披露時間：2023年7月17日

情報來源：https://www.facct.ru/blog/redcurl-2023/

相關資訊：

近日，研究人員發佈了關於俄羅斯組織RedCurl的最新攻擊活動報告。據悉，RedCurl於2019年底首次被Group-IB披露，專門從事商業間諜活動。在過去四年半中，已對來自英國、德國、加拿大、挪威、烏克蘭、澳洲的公司發起了至少34次攻擊，且其中超過一半的襲擊(20起)發生在俄羅斯，受影響行業則涉及建築、金融、諮詢、零售商、銀行、保險、法律等。

報告顯示，RedCurl近期攻擊了俄羅斯的一家大型銀行和澳洲的一家國際航運公司。值得一提的是，RedCurl對這家俄羅斯銀行發起了兩次攻擊，且均通過使用網路釣魚郵件獲取初始訪問許可權。同年6月，RedCurl被觀察到在對澳洲公司的攻擊中使用了相同的策略和工具。期間，研究人員還發現了RedCurl使用的新工具：RedCurl.SimpleDownloader。其中，RedCurl.SimpleDownloader目前仍在開發狀態，為RedCurl新活動量身定製，它使用了知名品牌作為誘餌，是一個具有單個可匯出函數的DLL檔案，程式碼輕量且功能簡單，主要充當誘餌並被用於下載額外有效負載。

NoEscape：Avaddon勒索軟體團伙的疑似繼承者

披露時間：2023年7月17日

情報來源：https://www.bleepingcomputer.com/news/security/meet-noescape-avaddon-ransomware-gangs-likely-successor/

相關資訊：

新的 NoEscape 勒索軟體操作被認為是 Avaddon 的品牌重塑，該勒索軟體團伙於 2021 年關閉併發布了其解密金鑰。NoEscape 於 2023 年 6 月推出，當時它開始針對企業進行雙重勒索攻擊。作為這些攻擊的一部分，威脅參與者會竊取 Windows、Linux 和 VMware ESXi 伺服器上的資料並加密檔案。

與其他勒索軟體團伙一樣，NoEscape 不允許其成員針對獨聯體（前蘇聯）國家，來自這些國家的受害者會收到免費的解密器以及有關如何被破壞的資訊。目前，勒索軟體團伙已在其資料洩露網站上列出了來自不同國家和行業的十家公司，表明他們並不針對特定的垂直領域。

攻擊者利用Zyxel 漏洞 CVE-2023-28771DDoS傳播殭屍網路

披露時間：2023年7月19日

情報來源：https://www.fortinet.com/blog/threat-research/ddos-botnets-target-zyxel-vulnerability-cve-2023-28771

相關資訊：

2023 年 6 月，研究人員檢測到多個利用 Zyxel 漏洞 ( CVE-2023-28771 ) 的 DDoS 殭屍網路的傳播。此漏洞的特徵是影響多個防火牆模型的命令注入缺陷，允許未經授權的攻擊者通過向目標設備發送特製資料包來執行任意程式碼。TRAPA Security的研究人員報告了該缺陷的嚴重性，CVSS 評分系統的評分為 9.8 。合勤科技於 2023 年 4 月 25 日發佈了有關此漏洞的安全公告。隨後，網路安全和基礎設施安全局 (CISA) 將此安全漏洞添加到其已知的利用漏洞中（KEV）五月目錄。通過抓獲漏洞流量，識別出攻擊者的IP地址，並確定攻擊發生在中美洲、北美、東亞、南亞等多個地區。

自漏洞利用模組發佈以來，惡意活動持續激增。分析發現，從 5 月份開始，攻擊爆發量顯著增加。此外還發現了多個殭屍網路，包括基於 Mirai 的變體 Dark.IoT 以及另一個殭屍網路。本文將詳細解釋通過 CVE-2023-28771 傳遞的有效負載和相關殭屍網路。

新興 DDoS Botnet 家族 Ripper 正在持續進化

披露時間：2023年7月19日

情報來源：https://mp.weixin.qq.com/s/ZrDOdw7VgkYQG2utcTrBfA

相關資訊：

2023 年 7月初，研究人員捕獲到了一個未知 DDoS Botnet 家族樣本，該樣本諸多基礎函數從 Mirai 原始碼移植而來，但在主機行為、網路控制協議方面又做了很大改動。樣本中的多個核心函數由 “ripper_” 開頭，所以把這個家族命名為 Ripper。

對其樣本和 C&C 的關聯分析，發現該家族已經傳播了數月時間，只不過之前的樣本與現在的樣本變化比較大。經過梳理，暫時把 Ripper 家族的樣本分為 3 個版本：V0、V1 和最新的 V2。

Ripper 的傳播機制借鑑自 Mirai：樣本中內建 Telnet 弱口令掃描模組，掃描模組會把掃描結果上報給 Report Server，攻擊者會根據上報的掃描結果，控制 Loader 向失陷主機植入 Ripper 的木馬檔案。最新的 Ripper V2 中，C&C 還會通過特定的指令動態更新樣本掃描用到的弱口令字典。

惡意程式碼情報

FakeSG與「FakeUpdates」相同分發 NetSupport RAT

披露時間：2023年7月18日

情報來源：https://www.malwarebytes.com/blog/threat-intelligence/2023/07/socgholish-copycat-delivers-netsupport-rat

相關資訊：

稱為 FakeUpdates（又稱 SocGholish）的新活動利用受損網站誘騙使用者運行虛假的瀏覽器更新。相反，受害者的電腦最終會感染 NetSupport RAT，從而讓威脅行為者獲得遠端訪問許可權並交付額外的有效載荷。研究人員稱之為 “FakeSG “的新活動也依賴於被駭客入侵的 WordPress 網站來顯示模仿受害者瀏覽器的自定義登陸頁面。威脅方通過壓縮下載或網際網路快捷方式分發 NetSupport RAT。雖然 FakeSG 看起來是個新手，但它使用了不同層次的混淆和傳播技術，使其成為一個值得重視的威脅，有可能與 SocGholish 相媲美。

CustomerLoader：一種傳播各種有效負載的新惡意軟體

披露時間：2023年7月12日

情報來源：https://blog.sekoia.io/customerloader-a-new-malware-distributing-a-wide-variety-of-payloads

相關資訊：

研究人員發現了一個未記錄的 .NET 載入程序，旨在下載、解密和執行下一階段的有效負載。2023 年 6 月上旬，多個威脅參與者使用惡意網路釣魚電子郵件、YouTube 視訊和冒充合法網站的網頁積極分發此新載入程序。研究人員將這種新惡意軟體命名為「CustomerLoader」，因為其命令與控制 (C2) 通訊和載入功能中存在字串「customer」。

分析發現，CustomerLoader 下載的所有有效負載都是 dotRunpeX 樣本，這些樣本提供各種惡意軟體系列，包括資訊竊取程序、遠端訪問木馬 (RAT) 和商品勒索軟體。dotRunpeX 是一個 .NET 注入器，實現了多種反分析技術，由 Checkpoint 於 2023 年 3 月首次公開記錄。

這篇博文旨在介紹CustomerLoader 的技術分析，重點關注下一階段有效負載的解密，概述30多個已知和分佈的惡意軟體家族，以及觀察到的分佈載入程序的三個感染鏈的詳細資訊。

分析非法軟體HotRat下載的風險和其中隱藏的AutoHotkey腳本

披露時間：2023年7月19日

情報來源：https://decoded.avast.io/martinchlumecky/hotrat-the-risks-of-illegal-software-downloads-and-hidden-autohotkey-script-within/?utm_source=feedly&utm_medium=rss&utm_campaign=hotrat-the-risks-of-illegal-software-downloads-and-hidden-autohotkey-script-within

相關資訊：

威脅者通過 torrent 站點或可疑網頁獲取線上破解程序，並製作惡意 AutoHotkey 腳本，將其轉化為與被劫持的破解程序圖示相同的可執行檔案。攻擊者通過使用 Ahk2Exe 編譯器（版本 1.1.36.00）編譯腳本來實現這一目的。因此，可執行檔案涉及多個階段，最終部署了AsyncRAT 的.NET，研究人員將其命名為 HotRat。HotRat 惡意軟體為攻擊者提供了各種功能，如竊取登入憑證、加密貨幣錢包、螢幕捕捉、鍵盤記錄、安裝更多惡意軟體以及訪問或更改剪貼簿資料。

深入分析BundleBot及其典型感染載體

披露時間：2023年7月19日

情報來源：https://research.checkpoint.com/2023/byos-bundle-your-own-stealer/

相關資訊：

研究人員一直在監視一個新的未知竊取程序，並將其稱為 BundleBot ，它在雷達下傳播並濫用 dotnet 捆綁包。這種 dotnet 編譯格式已經支持了大約四年，從 .net core 3.0+ 到 dotnet8+，已經有一些已知的惡意軟體家族在濫用它（例如 Ducktail）。

使用這種特定 dotnet 格式的 BundleBot 就其感染鏈而言是不同的（更復雜），主要是濫用 Facebook 廣告和受損帳戶，導致網路釣魚網站偽裝成常規程序、人工智慧工具和遊戲。利用 dotnet 捆綁包（單檔案）、自包含格式、多階段感染和自定義混淆，形成了一種有效的方法，可以保持在雷達之下，靜態檢測率非常低以至於根本無法檢測。

本研究的主要主題是深入分析BundleBot及其典型感染載體，並對dotnet包（單檔案）自包含格式進行解釋，重點關注分析此類檔案過程中的常見問題格式。

惡意後門利用多種免殺手段，可遠控使用者電腦

披露時間：2023年7月19日

情報來源：https://mp.weixin.qq.com/s/hOK1rgE5x32bDK3JbrqAwQ

相關資訊：

近期，研究人員監測到一款後門病毒正在快速傳播，被激活後會通過遠端伺服器下載多個惡意檔案並獲取遠端惡意程式碼，隨後駭客可以進行擷取受害者螢幕圖像、遠端控制受害者電腦等各種惡意操作。不僅如此，該病毒還使用多種手段來躲避安全軟體的查殺，隱蔽性極強。

攻擊 TeamViewer 使用者的木馬應用程序

披露時間：2023年7月13日

情報來源：https://blog.cyble.com/2023/07/13/trojanized-application-preying-on-teamviewer-users/

相關資訊：

研究人員發現一起涉及欺騙性利用 TeamViewer 應用程序檔案的安全事件。TeamViewer 是一種廣泛採用的軟體應用程序，可促進遠端控制、桌面共享、線上會議、檔案傳輸和跨各種設備的協作工作。

初步調查發現，njRAT 惡意軟體的傳播與威脅行為者 (TA) 所青睞的技術之間存在顯著相關性。該技術需要利用流行且合法的應用程序（例如 TeamViewer、WireShark、Process Hacker 等）的信任。njRAT，通常稱為 Bladabindi，是一種遠端訪問木馬 (RAT)，最初於 2012 年被發現。該惡意軟體主要用於針對中東國家組織的攻擊。njRAT 可以執行各種惡意活動，例如記錄擊鍵、擷取螢幕截圖、竊取密碼、竊取資料、訪問網路攝像頭和麥克風、下載其他檔案等。該文章是對njRAT相關技術分析。

攻擊者利用配置不當的MS-SQL伺服器部署惡意軟體PurpleFox

披露時間：2023年7月17日

情報來源：https://asec.ahnlab.com/ko/55302/

相關資訊：

研究人員發現攻擊者正在針對配置不當的MS-SQL伺服器部署PurpleFox。攻擊者通過MS-SQL伺服器執行PowerShell命令，從指定網址下載混淆後的Powershell腳本以及PurpleFox MSI檔案，腳本檔案分別偽裝成57BC9B7E.Png和2E0ECB2F.Png，下載的PowerShell腳本中包含攻擊者創建的MsiMake函數。隨後腳本會下載MSI檔案，並在系統上執行MsiMake命令安裝MSI檔案。MSI檔案可以更改註冊表項以運行PurpleFox惡意軟體進行許可權提升與維持。MSI檔案還會使用netsh命令為特定埠添加IPsec策略，使惡意程式碼能夠使用指定埠。最後，MSI檔案將重新啟動，重啟後，SENS服務與惡意程式碼開始執行，執行的惡意程式碼會進行額外的服務註冊工作，從而使用rootkit能夠在安全模式下運行。

漏洞情報

利用WP支付外掛漏洞劫持網站進行攻擊

披露時間：2023年7月17日

情報來源：https://www.wordfence.com/blog/2023/07/massive-targeted-exploit-campaign-against-woocommerce-payments-underway/

相關資訊：

研究人員一直在監控一項持續的漏洞利用活動，該活動針對最近披露的 WooCommerce Payments（超過600,000 個網站安裝了此外掛）中的漏洞。針對該漏洞的大規模攻擊（分配號為CVE-2023-28121）於2023年7月14日星期四開始，並持續到週末，在2023年7月16日星期六，針對 157,000 個站點的攻擊達到峰值，達到 130 萬次攻擊。

該漏洞允許未經身份驗證的攻擊者獲得易受攻擊網站的管理許可權，其 CVSS 嚴重評分為 9.8。

利用CVE-2023-23397漏洞進行攻擊的樣本綜合分析

披露時間：2023年7月19日

情報來源：https://securelist.com/analysis-of-attack-samples-exploiting-cve-2023-23397/110202/

相關資訊：

2023 年 3 月 14 日，Microsoft 發佈了一篇博文，描述了 Outlook 客戶端特權提升漏洞（CVSS：9.8 CRITICAL）。該報告在白帽、灰帽和黑帽研究人員中引起了廣泛關注，並之後發佈大量有關該漏洞及其利用的出版物和推文。

從技術角度來看，該漏洞是一個嚴重的EoP，當攻擊者在擴展MAPI屬性中發送Outlook 對象（任務、訊息或日曆事件）時觸發，該屬性包含攻擊者在控制的伺服器上SMB共享的UNC路徑，導致Net-NTLMv2哈希洩漏。研究人員發文重點介紹攻擊者在該漏洞公開之前的最初利用情況。

Bad.Build：Google Cloud Build 中的一個關鍵許可權升級設計缺陷導致供應鏈攻擊

披露時間：2023年7月18日

情報來源：https://orca.security/resources/blog/bad-build-google-cloud-build-potential-supply-chain-attack-vulnerability/

相關資訊：

Bad.Build 是Orca Research Pod在 Google Cloud Build 服務中發現的一個關鍵設計缺陷，它使攻擊者能夠提升許可權並獲得對 ArtifactRegistry 中程式碼儲存庫和圖像的未經授權的訪問。該缺陷帶來了重大的供應鏈風險，因為它允許攻擊者惡意篡改應用程序映像，從而在安裝應用程序時感染使用者和客戶。

通過濫用此缺陷，攻擊者可以模擬默認的Cloud Build服務帳戶，從而操縱 Google Artifact Registry 中的圖像並注入惡意程式碼。然後，任何使用受操縱的圖像構建的應用程序都會受到影響，潛在的後果包括拒絕服務 (DoS) 攻擊、資料盜竊和惡意軟體傳播。