一、热点事件威胁情报

1．BRATA银行木马针对意大利银行客户

BRATA是一种恶意Android远程访问工具 (RAT)，通过 WhatsApp 和 SMS 消息进行传播以感染和监视巴西用户。2021年6月，研究人员发现了针对意大利银行用户的BRATA攻击样本，攻击者通过短信网络钓鱼活动感染受害者，从而窃取他们的网上银行凭证。

2. Aberebot v2.0恶意软件针对银行应用及加密货币钱包

7月，研究人员发现了在暗网上出售的新型安卓银行木马Aberebot。近日，研究人员发现了Aberebot恶意软件的一个新变种Aberebot v2.0，该变种针对22个国家的213个银行应用程序和9个加密钱包应用程序，能够通过钓鱼网页窃取敏感信息，包括用户的财务和个人数据。

二、攻击团伙情报

1.APT组织Lorec53（洛瑞熊）发动多轮针对乌克兰的网络攻击活动

披露时间：2022年02月16日

情报来源：http://blog.nsfocus.net/apt-lorec53-20220216/

2. 中东持续活跃的威胁：月光鼠组织借助云服务展开间谍攻击

披露时间：2022年02月16日

情报来源：

https://mp.weixin.qq.com/s/jEdI4dL3JNKeJAUVGCYUDw

3. Kimsuky组织针对特定大学教授发起鱼叉式钓鱼攻击

披露时间：2022年02月14日

情报来源：https://asec.ahnlab.com/ko/31481/

4. Gamaredon对乌克兰外交部发起网络钓鱼攻击活动

披露时间：2022年02月11日

情报来源：

https://mp.weixin.qq.com/s/jdMsvLamCDJbfErLNgRjLA

5. ModifiedElephant：十年潜伏，印度黑客组织浮出水面

披露时间：2022年02月11日

情报来源：

https://www.sentinelone.com/labs/modifiedelephant-apt-and-a-decade-of-fabricating-evidence/

三、攻击行动或事件情报

1. 与巴勒斯坦有关的黑客使用新的 NimbleMamba 恶意软件

披露时间：2022年02月10日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/ugg-boots-4-sale-tale-palestinian-aligned-espionage

2. TA2541组织针对航空、运输行业分发恶意软件

披露时间：2022年02月15日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/charting-ta2541s-flight

3. 攻击者将 RedLine Stealer 伪装成Windows 11 安装程序

披露时间：2022年02月14日

情报来源：https://threatresearch.ext.hp.com/redline-stealer-disguised-as-a-windows-11-upgrade/

四、恶意代码情报

1.深入分析CapraRAT

披露时间：2022年02月11日

情报来源：https://blog.cyble.com/2022/02/11/deep-dive-analysis-caprarat/

2. 新的 MyloBot 恶意软件变种发送勒索邮件

披露时间：2022年02月07日

情报来源：https://blog.minerva-labs.com/mylobot-2022-so-many-evasive-techniques-just-to-send-extortion-emails

漏洞相关情报

1.PHP Everywhere插件的RCE漏洞影响数千个WordPress网站

披露时间：2022年02月08日

情报来源：

https://www.wordfence.com/blog/2022/02/critical-vulnerabilities-in-php-everywhere-allow-remote-code-execution/

相关信息：

2022 年 1 月 4 日，Wordfence 威胁情报团队开始负责披露 PHP Everywhere 中的几个远程代码执行漏洞，这是一个安装在 30,000 多个网站上的 WordPress 插件。

第一个漏洞被跟踪为 CVE-2022-24663，CVSS严重性评分为 9.9。WordPress 允许经过身份验证的用户通过 parse-media-shortcode AJAX 操作执行简码。在这种情况下，如果登录的用户——即使他们几乎没有权限，比如他们是订阅者——可以发送一个精心设计的请求参数来执行任意 PHP，从而导致整个网站被接管。

第二个漏洞CVE-2022-24664 的严重性评分也为 9.9。该漏洞使不受信任的贡献者级别的用户可以创建帖子，将 PHP 代码添加到 PHP Everywhere 元框，然后预览帖子来实现网站上的代码执行

第三个漏洞被跟踪为 CVE-2022-24665，并且在严重性等级上也已发布 9.9。所有具有 edit_posts 权限的用户都可以使用 PHP Everywhere Gutenberg 块，攻击者可以通过这些函数执行任意PHP 代码来篡改网站的功能。

2.HancomOffice 中的漏洞可能导致内存损坏、代码执行

披露时间：2022年02月16日

情报来源：

https://blog.talosintelligence.com/2022/02/vuln-spotlight-.html

相关信息：

Cisco 研究人员最近在韩国流行的软件套件 Hancom Office 中发现了一个漏洞，该漏洞可能允许攻击者破坏目标机器上的内存或执行远程代码。

Hancom Office 提供与 Microsoft Office 类似的服务，包括文字处理和电子表格创建和管理。

TALOS-2021-1386 (CVE-2021-21958) 存在于 Hancom Office 的 HwordApp.dll 中。攻击者创建的恶意文档可能会触发基于堆的缓冲区溢出，如果攻击者遵循特定的攻击向量，最终会导致代码执行和/或内存损坏。