近期威胁情报速览

AVL威胁情报团队 2025-05-29 11:31 四川

近期威胁情报速览！

本期导读：

移动安全

● GhostSpy：高级安卓远控木马窃取银行信息并绕过安全防护

● AppleProcessHub 使用 Objective-C 窃取开发者数据

● PWA JavaScript 攻击，将用户重定向至成人诈骗应用程序

● Venice.ai：无限制AI工具可生成Android间谍软件

● FrigidStealer 恶意软件通过虚假 Safari 浏览器更新攻击 macOS 用户

APT事件

● 伪装韩国国家安全战略智库的APT37攻击案例分析

● 俄罗斯黑客利用电子邮件和VPN漏洞来监视乌克兰援助物流

● 南亚各部委遭 SideWinder APT 攻击，利用旧 Office 漏洞和自定义恶意软件

● 南亚“苦象”攻击组织近期样本分析

● 与俄罗斯相关的黑客利用武器化的Word文档攻击塔吉克斯坦政府

● 关于“游蛇”黑产攻击活动的风险提示

● 俄罗斯 APT 组织利用零日漏洞和擦除器加强对欧洲的攻击

● TransparentTribe针对阿富汗监狱管理局的鱼叉式钓鱼邮件攻击

● Marbled Dust 利用 Output Messenger 中的零日漏洞进行区域间谍活动

● 朝鲜支持的TA406组织利用恶意软件攻击乌克兰

漏洞新闻

● iOS内核漏洞公开PoC曝光：越狱与权限提升风险浮现

● 苹果发布安全更新，修复 iOS 和 macOS 中的多个漏洞

移动安全

01 GhostSpy：高级安卓远控木马窃取银行信息并绕过安全防护

一种名为 GhostSpy 的极其先进的 Android 远程访问木马 (RAT)，该木马能够在受害者不知情的情况下进行全方位监控、数据泄露和设备控制。GhostSpy 攻击活动始于一个欺骗性的植入程序 APK，该 APK 滥用 Android 辅助功能和 UI 自动化功能，秘密地侧载了第二个有效载荷 (update.apk)。通过模拟用户点击，它自动授予所有必要的权限，完全绕过了人工交互。

https://securityonline.info/ghostspy-advanced-android-rat-steals-banking-info-bypasses-security/

02 AppleProcessHub 使用 Objective-C 窃取开发者数据

一款名为 AppleProcessHub 的隐秘新型 macOS 信息窃取程序，基于 Objective-C 的独特植入器，能够滥用 Apple 的原生框架，并使用 AES 解密的命令与控制逻辑来执行恶意负载。“在 macOS 上，信息窃取者会收集钥匙串密码和加密货币钱包等私人信息，然后将其上传到攻击者控制的服务器。 ”

“AppleProcessHub”恶意软件旨在窃取敏感文件，通常包含身份验证令牌、shell 命令、端点 IP、内部主机名和私钥——对于针对个人和组织的威胁行为者来说，这是一个金矿。

https://securityonline.info/new-macos-infostealer-appleprocesshub-uses-objective-c-to-steal-developer-data/

03 PWA JavaScript 攻击，将用户重定向至成人诈骗应用程序

PWAs 是一种使用 Web 技术构建的应用程序，它提供与为 Windows、Linux、macOS、Android 或 iOS 等特定平台构建的原生应用程序类似的用户体验。“新的恶意攻击活动利用JavaScript注入将移动用户重定向到成人内容的PWA骗局。该攻击仅针对移动设备，通过PWA增加用户停留时间和绕过浏览器保护，最终引导用户到虚假应用商店。这种攻击方法表明攻击者在尝试更持久的钓鱼手段，主要针对移动用户以规避检测。

https://thehackernews.com/2025/05/researchers-expose-pwa-javascript.html

04 Venice.ai：无限制AI工具可生成Android间谍软件

Venice.ai，一个在地下黑客论坛上流行的无限制AI聊天工具。该平台每月收费18美元，提供高级语言模型的无限制访问，比其他暗网AI工具（如WormGPT和FraudGPT）便宜得多。Venice.ai的隐私设计（聊天记录仅存储在浏览器中）和可禁用的安全过滤器使其对网络犯罪分子极具吸引力。它能够生成钓鱼邮件、恶意软件和间谍软件代码，甚至在测试中成功生成了功能完备的勒索软件和Android间谍软件应用。

https://www.infosecurity-magazine.com/news/uncensored-ai-tool-cybersecurity/

05 FrigidStealer 恶意软件通过虚假 Safari 浏览器更新攻击 macOS 用户

一种名为 FrigidStealer 的已知 macOS 恶意软件变种正在通过令人信服的虚假浏览器更新提示攻击 Apple 用户，使用基于 DNS 的数据盗窃方法窃取密码、加密钱包和笔记。该变种于 2025 年 2 月首次发现，并由Hackread.com报道，属于Ferret恶意软件家族，目前已影响到北美、欧洲和亚洲的用户。

该恶意软件毒株与 TA2726 和 TA2727 有关，这两个病毒都以使用虚假浏览器更新作为攻击媒介而闻名。此外，它还与面向公众的行业（尤其是零售业和酒店业）感染激增有关。

https://hackread.com/frigidstealer-malware-macos-fake-safari-browser-update/

APT事件

01 伪装韩国国家安全战略智库的APT37攻击案例分析

2025年3月，APT37威胁行为者针对多名关注朝鲜的活动人士发起了鱼叉式网络钓鱼攻击。该电子邮件包含一个Dropbox链接，该链接指向一个包含恶意快捷方式（LNK）文件的压缩包。提取并执行该LNK文件后，会激活包含关键字“toy”的其他恶意软件。根据威胁的特征，Genians 安全中心 (GSC) 将该活动命名为“Operation: ToyBox Story”，并开始深入分析。

https://www.genians.co.kr/en/blog/threat_intelligence/toybox-story

02 俄罗斯黑客利用电子邮件和VPN漏洞来监视乌克兰援助物流

自2022年以来，俄罗斯网络威胁行为者一直被归咎于一场由政府支持的、针对西方物流实体和科技公司的攻击活动。据评估，此次活动由APT28（又名Fancy Bear）策划，该组织与俄罗斯总参谋部情报总局（GRU）第85总特别服务中心第26165军事单位有关联。

根据最新的安全公告，APT28 策划的网络攻击据称涉及密码喷洒、鱼叉式网络钓鱼以及修改 Microsoft Exchange 邮箱权限以进行间谍活动。最初入侵目标网络是通过以下七种不同方法实现（包含钓鱼攻击、漏洞利用以及暴力破解），一旦 Unit 26165 攻击者使用上述方法之一站稳脚跟，攻击就会进入后利用阶段，包括进行侦察以识别其他目标关键岗位人员、负责协调运输的人员以及与受害实体合作的其他公司。

https://thehackernews.com/2025/05/russian-hackers-exploit-email-and-vpn.html

03 南亚各部委遭 SideWinder APT 攻击，利用旧 Office 漏洞和自定义恶意软件

SideWinder 针对斯里兰卡、孟加拉国和巴基斯坦的高级政府机构展开新的攻击，该攻击链利用鱼叉式网络钓鱼诱饵作为起点，激活感染过程并部署一种名为 StealerBot 的已知恶意软件。值得指出的是，该攻击手法与卡巴斯基在 2025 年 3 月记录的近期 SideWinder 攻击一致。这些攻击的特点是利用 Microsoft Office 中存在多年的远程代码执行漏洞（CVE-2017-0199 和 CVE-2017-11882）作为初始载体，部署能够在南亚各地政府环境中维持持续访问的恶意软件。

https://thehackernews.com/2025/05/south-asian-ministries-hit-by.html

04 南亚“苦象”攻击组织近期样本分析

2025年初，南亚“苦象”攻击组织针对中国、巴基斯坦等国相关机构，其中一例典型的钓鱼邮件，主题为“Ministry of Foreign Affairs Document”（外交部文件），邮件携带两个恶意附件。通过鱼叉式钓鱼邮件投递CHM、PDF等恶意载荷，利用远控木马（如wmRAT、MiyaRAT）和窃密木马等实现持久控制与信息窃取，攻击载荷涵盖信息收集、文件操作、命令执行等功能。

https://mp.weixin.qq.com/s/d_bYkerQrlyHw33Fc4OUUQ

05 与俄罗斯相关的黑客利用武器化的Word文档攻击塔吉克斯坦政府

与俄罗斯结盟的威胁行为者 TAG-110（又称 UAC-0063），与俄罗斯民族国家黑客团队 APT28 存在重叠，使用启用宏的 Word 模板作为初始有效载荷，针对塔吉克斯坦开展鱼叉式网络钓鱼活动。攻击活动始于 2025 年 1 月，TAG-110 利用启用宏的 Word 文档来传播基于 HTA 的恶意软件 HATVIBE，以进行初始访问。新检测到的文档不包含用于创建计划任务的嵌入式 HTA HATVIBE 有效负载，而是利用 Word 启动文件夹中的全局模板文件来实现持久化。

https://thehackernews.com/2025/05/russia-linked-hackers-target-tajikistan.html

06 关于“游蛇”黑产攻击活动的风险提示

“游蛇”自2022年下半年开始频繁活跃至今，针对国内用户发起了大量攻击活动，以图窃密和诈骗。该黑产团伙主要通过即时通讯软件（微信、企业微信等）、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件，其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。

https://www.secrss.com/articles/79032

07 俄罗斯 APT 组织利用零日漏洞和擦除器加强对欧洲的攻击

ESET Research在其《2024 年第四季度至 2025 年第一季度APT 活动报告》中记录了 2024 年 10 月至 2025 年 3 月期间来自朝鲜、伊朗、俄罗斯和其他一些国家的一些主要高级持续性威胁 (APT) 组织的活动。在监测期间，与俄罗斯结盟的威胁行为者，尤其是 Fancy Bear、Gamaredon 和 Sandworm，继续其积极的攻击活动，主要针对乌克兰和欧盟国家。乌克兰的关键基础设施和政府机构遭受了最为猛烈的网络攻击。

https://www.infosecurity-magazine.com/news/russian-apt-intensify-cyber/

08 TransparentTribe针对阿富汗监狱管理局的鱼叉式钓鱼邮件攻击

TransparentTribe组织利用邮件投递名称为“opa.zip”的压缩文件，文件名称指向阿富汗监狱管理局（opa.gov.af）。该压缩文件解压后，是包含多个图片，PDF文件，Excel文档等文件组成的诱饵文件集。恶意文件被压缩隐藏在其中一个文档中，运行后会执行嵌入的VBA脚本，以提取文件中的恶意程序并运行。

本次攻击中使用的最终载荷为CrimsonRAT远程控制程序，是TransparentTribe攻击组织的常用木马。该RAT具备收集系统信息、下载运行文件、窃取敏感信息等功能。

https://mp.weixin.qq.com/s/bE2TnA4mDOr37_so-oATqA

09 Marbled Dust 利用 Output Messenger 中的零日漏洞进行区域间谍活动

自2024年4月以来，威胁行为者Marbled Dust利用Output Messenger中的零日漏洞（CVE-2025-27920）攻击伊拉克境内与库尔德军方有关联的用户，收集用户数据并部署恶意文件。Marbled Dust 利用该漏洞在启动文件夹中植入恶意脚本。攻击者可以利用服务器的文件共享功能上传文件并操纵文件路径来执行任意代码。一旦进入系统，攻击者便可以访问所有用户通信、窃取数据、冒充用户并窃取凭证。

Marbled Dust 是一家与土耳其相关的间谍威胁行为体，与 Sea Turtle 和 UNC1326 等其他安全厂商追踪的活动存在重叠。目标对象是欧洲和中东的实体，尤其是可能与土耳其政府利益相悖的政府机构和组织。