APT攻击
最新发现新APT组织Void Arachne针对中文用户群体展开攻击
Mandiant发现APT组织UNC5537攻击活动
APT组织Turla最新Tiny BackDoor后门详细剖析
攻击活动
数据泄露
香港中文大学(CUHK)遭遇重大数据泄露事件
美国洛杉矶公共卫生部门遭受钓鱼攻击导致20万个人信息泄露
恶意软件
新的跨平台恶意软件“Noodle RAT”针对Windows和Linux系统展开攻击
恶意软件NiceRAT通过伪装成破解版软件的方式展开攻击
勒索软件
知名企业KEYTRONIC确认被勒索软件攻击后数据泄露
近期美国多个城市服务系统遭受勒索软件攻击
APT攻击
网络安全厂商趋势科技最近揭露了一项名为“Void Arachne”的新APT组织的攻击活动,该攻击活动专门针对中文用户群体。该组织通过伪装成合法的AI软件及其他流行软件的安装程序,传播包含恶意Winos 4.0 CC框架的Windows Installer(MSI)文件,完成部署恶意木马程序。据趋势科技的研究人员透露,Void Arachne组织的活动始于今年4月初,其攻击策略包括将合法的AI软件及其他流行软件的安装包与恶意负载捆绑在一起。这些看似无害的安装程序实则暗藏玄机,不仅携带了能够绕过网络审查的工具,还嵌入了用于生成深度伪造色情内容的AI软件、声音及面部交换技术等,以及简体中文语言包、简体中文版谷歌浏览器和中国市场上的虚拟私人网络(VPN)应用如LetsVPN和QuickVPN。值得注意的是,攻击者利用搜索引擎优化(SEO)中毒技巧以及社交媒体和即时通讯平台来广泛传播这些恶意MSI文件,以此扩大感染范围。一旦用户不慎下载并安装了这些被篡改的软件包,一个名为Winos4.0的后门程序就会在系统中悄然植入,为黑客全权控制受害者电脑铺平道路,这可能会导致数据被盗、隐私泄露乃至整个系统的彻底沦陷。Winos 4.0后门程序是一个具备远程控制受感染计算机广泛能力的复杂工具。Winos 4.0植入了多种功能,包括文件管理、分布式拒绝服务(DDoS)攻击、全盘搜索、网络摄像头控制、屏幕捕获、进程注入、麦克风录音、系统及服务管理、远程Shell访问和键盘记录等。报告强调,由于国内网络管制环境,公众对于能够穿透防火墙访问外部网络的软件需求激增,而Void Arachne正巧妙地利用了这一点,将恶意软件伪装成可以帮助用户规避网络限制的工具,进而实施攻击。Void Arachne组织不仅传播传统的恶意软件,还推广了滥用AI技术的深度伪造(Deepfake)色情生成软件和声音、面部交换应用程序。这些技术常被用于敲诈勒索和虚拟绑架案件,攻击者利用生成的假视频或音频对受害者进行心理压迫,要求支付赎金。在Telegram上,研究人员发现了一些被固定在顶部的恶意消息,其中包含能够生成非自愿色情内容的AI应用程序,这些应用程序直接威胁到个人隐私与安全。总之,Void Arachne组织的攻击活动凸显了AI技术可能被滥用的风险,以及网络攻击手法的不断演变,不仅对个人用户构成威胁,也对企业网络安全构成了严重挑战。
图 1 Void Arachne攻击活动示意图
参考链接:
Mandiant最近揭露了一起针对Snowflake客户数据库实例的复杂威胁活动,该活动由名为 UNC5537的APT攻击组织发起,其目的是进行数据盗窃和勒索。Snowflake是一个多云数据仓库平台,被广泛用于存储和分析大量结构化和非结构化数据。APT组织UNC5537通过一系列精心策划的攻击,利用被盗的客户凭证,成功地访问了Snowflake客户实例,并从中窃取了大量敏感数据。这些攻击并非源自Snowflake企业环境的任何安全漏洞,而是由于客户凭证被泄露。Mandiant 的调查发现,攻击者通过多个信息窃取恶意软件活动获得了这些凭证,这些恶意软件感染了非Snowflake拥有的系统,包括但不限于VIDAR、RISEPRO、REDLINE、RACOON STEALER、LUMMA 和 METASTEALER等变种。这些凭证的泄露可以追溯到2020年,表明了信息窃取恶意软件对组织安全的长期威胁。UNC5537组织利用这些凭证,不仅访问了受影响的客户账户,还试图在网络犯罪论坛上出售被盗数据,并对许多受害者进行直接勒索。Mandiant发现,大多数受影响账户未启用多因素认证(MFA),且在某些情况下,被盗的凭证在多年后仍然有效,且未被轮换或更新。此外,受影响的Snowflake客户实例没有设置网络允许列表,以限制仅从可信位置访问。Mandiant和Snowflake已经通知了大约165个可能受影响的组织,并与这些客户直接合作,以确保他们的账户和数据安全。Mandiant认为UNC5537组织将继续这种入侵模式,并可能在不久的将来针对其他SaaS平台。这一活动的影响范围突显了对凭证监控、普遍实施 MFA 和安全认证、限制对重要资产的可信位置流量以及对异常访问尝试进行警报的迫切需求。
图 2 APT组织UNC5537攻击示意图
参考链接:
https://cloud.google.com/blog/topics/threat-intelligence/unc5537-snowflake-data-theft-extortion
近期,网络安全公司Cyble发布的报告《Tiny BackDoor Goes Undetected – Suspected Turla leveraging MSBuild to Evade detection》,报告详细披露了一起由Turla组织使用的新型后门攻击活动,介绍了攻击链及最终载荷Tiny BackDoor后门的功能。该攻击活动通过利用MSBuild项目文件来规避检测,实现了隐蔽的恶意操作。攻击活动的核心是Tiny BackDoor,一个使用MSBuild作为其执行载体的后门程序。MSBuild是微软的构建工程工具,攻击者通过它来执行内存中的项目文件,从而激活后门功能。此后门通过预定的任务触发,执行解密的MSBuild项目文件,利用内联任务执行内存中的代码,其核心功能始于“Execute”函数。进一步的分析揭示了后门的多个关键功能,包括但不限于隐藏MSBuild执行窗口、收集主机信息、定期向远程服务器发送主机基本信息以接收控制指令、执行包括shell命令执行、文件上传下载、更改工作目录、显示工作目录路径、执行PowerShell命令在内的远控指令集。此外,后门使用Base64编码和gzip压缩的组合算法来加密其通信数据,增加了分析和检测的难度。为了模拟攻击场景和通信模型,研究者基于Golang语言构建了一个模拟的C&C(命令与控制)站点程序,该程序能够模拟Tiny BackDoor后门的远程控制行为和通信过程。通过这个模拟程序,研究者能够复现后门上线、远程指令接收与执行、文件上传下载等功能。攻击者利用人权研讨会邀请和公共咨询作为诱饵,通过垃圾邮件传播恶意LNK文件,这些文件嵌入了诱饵PDF和MSBuild项目文件,用以无文件执行,进一步隐蔽其攻击行为。最终有效载荷作为后门,使攻击者能够执行各种命令并控制受感染的系统。此次攻击活动的技术深度和隐蔽性表明,Turla组织在逃避检测方面具有高度的复杂性和先进性。网络安全专家提示,应对此类攻击需采取多层防护措施,包括及时更新系统、使用安全工具监控网络流量、加强电子邮件安全策略,以及提高对此类攻击手法的认识。
图 3 相关载荷解密截图
参考链接:
攻击活动
CDK Global是一家服务于汽车行业的软件即服务(SaaS)提供商,近期遭受了一次严重的网络攻击,影响了其为超过15000家北美汽车经销商提供的全面运营平台。该平台涵盖了客户关系管理(CRM)、融资、工资单、支持与服务、库存以及后台办公等关键业务操作。网络攻击导致CDK Global必须关闭其信息系统、电话和应用程序,以防止攻击进一步扩散。据Brad Holton,汽车经销商网络安全和IT服务公司Proton Dealership IT的首席执行官向BleepingComputer透露的信息,CDK Global在检测到攻击后,于夜间关闭了其两个数据中心。攻击发生后,CDK Global向客户发送了一封电子邮件,声明他们正在经历一次网络事件,并出于对客户的谨慎和关心,关闭了大部分系统。公司正在评估事件的整体影响,但尚未提供恢复服务的具体时间表。此次攻击引发了对使用始终在线VPN连接至CDK数据中心的安全性的担忧。由于CDK软件在设备上运行具有管理员权限,用于部署更新,因此建议断开VPN连接作为一种预防措施。此外,一些用户报告称,尽管可以使用旧凭据登录,但应用程序并未按预期工作。这次网络攻击导致了广泛的业务中断,许多汽车经销商无法使用CDK的平台来跟踪和订购汽车零件、进行销售和提供融资。员工在社交媒体上表示,他们不得不重新使用纸张和笔进行记录,一些经销商甚至让员工回家,因为系统中断导致无法进行正常工作。尽管没有官方声明确认攻击的性质,但据传CDK Global遭受的是一次勒索软件攻击,这可能也影响了公司的备份系统。勒索软件攻击通常涉及黑客在不被注意的情况下渗透网络,窃取数据,并在获得足够的控制权后对设备进行加密,随后提出赎金要求以换取解密器和保证不公开被盗数据。勒索软件攻击可能会持续数天甚至数周,特别是如果涉及到数据泄露和双重勒索的情况。如果公司选择不支付赎金,黑客可能会公开泄露被盗数据,这可能包括员工和客户的个人信息。截至2024年6月19日,CDK Global已经向BleepingComputer发布了一份声明,并更新了客户,称他们已经恢复了CDK电话、DMS和数字零售服务,并且Unify和DMS登录现在已经可用。公司仍在对所有其他应用程序进行测试,以确保安全后才会重新上线。
参考链接:
数据泄露
香港中文大学(CUHK)遭遇重大数据泄露事件,影响了超过20,000名师生及员工。此次数据泄露是由该校持续及专业教育学院(CUSCS)使用的在线学习系统Moodle服务器在6月3日遭到黑客攻击引起的。攻击导致包括员工、兼职导师、学生、毕业生及部分访客在内的20,870个Moodle账户信息被盗,涉及姓名、电子邮件地址和学号等个人信息。在检测到三次失败的登录尝试后,学院立即停用了相关账户,重置密码,并将在线学习平台从涉事服务器上移除,同时加强了安全措施以封锁账户。经过网络安全专家的调查,确认没有信息被泄露到任何公共网站或暗网。尽管如此,学院还是向警方和个人资料私隐专员公署(PCPD)报告了此次事件,并已收到PCPD对该数据泄露事件的报告和投诉。Moodle作为一个开源的学习管理系统,允许教师、管理员和学生在学校、学院和工作场所为在线项目创建个性化的学习环境。CUSCS已成立了包含院长、副院长、信息技术服务主任、行政主任及通信和公关主任在内的危机管理团队,以评估可能出现的风险。学院还聘请了安全顾问进行了立即调查,确认没有大量数据被泄露,且相关信息未在暗网上发现。然而,与大学管理层声称对公共平台上的任何泄露一无所知相反,在暗网域名BreachForums上发现被泄露的信息是公开可获取的。一个使用“Valerie”别名的威胁行为者(TA)在暗网上发帖声称,她是一名愿意将数据出售给买家的黑客。TA表示,“大约75%的被盗信息已售给一个私人买家,此次泄露就是由这个私人买家资助的。”其余的数据没有被分享。在多次出价后,决定主动公开出售。这是今年香港第三所遭受网络攻击的教育机构。此前,香港当代文化学院、李兆基创新学院在5月遭到勒索软件攻击,超过600名学生和教职员工的数据受到影响。4月,私立医疗机构联合医院遭受勒索软件攻击,导致服务器被瘫痪。2月,香港科技学院也面临勒索软件攻击,导致约8100名学生的数据泄露。这一连串的事件突显了教育机构在网络安全方面所面临的挑战,以及加强网络安全措施的迫切需求。
参考链接:
https://www.cysecurity.news/2024/06/major-data-breach-at-cuhk-affects-over.html
美国洛杉矶公共卫生部门(DPH)遭受了一次数据泄露事件,影响了超过20万个人。这次数据泄露发生在2024年2月19日至20日之间,攻击者通过一次钓鱼攻击获取了53名公共卫生员工的登录凭证。DPH发布的数据泄露通知中指出,这次网络钓鱼攻击使攻击者得以获得员工的登录信息,进而侵犯了超过20万人的个人信息。泄露的个人信息可能包括DPH客户、员工以及其他个人的姓名、出生日期、诊断结果、处方、医疗记录号/患者ID、Medicare/Med-Cal号码、健康保险信息、社会安全号码以及其他财务信息。值得注意的是,并非所有受影响的个体都包含了列表中的所有元素。在发现钓鱼攻击后,公共卫生部门迅速禁用了受影响的电子邮件账户,并对用户设备进行了重置和重新映像处理。该组织还封锁了攻击发起的网站,并隔离了所有可疑的传入电子邮件,以防止进一步的数据泄露。DPH目前正在通过邮件通知受影响的个体,并已向美国卫生与公众服务部民权办公室及其他相关机构报告了此次事件。为了减少未来类似电子邮件攻击的风险,公共卫生部门已经实施了多项改进措施。目前,DPH还无法确认是否有信息被访问或滥用。该机构建议受影响的个体与医疗服务提供者一起审查其医疗记录的内容和准确性。此外,DPH还宣布已实施了多项增强措施,以减少未来遭受类似电子邮件攻击的风险,并为有权享受的个体提供了免费的信用和身份监测服务。在2024年4月,洛杉矶卫生服务部也曾披露了一次影响数千名患者的数据泄露事件。在那次事件中,超过两打员工受到钓鱼攻击的影响,导致患者的个人和健康信息暴露。这次泄露的信息可能包括患者的姓名、出生日期、家庭住址、电话号码、电子邮件地址、医疗记录号、客户识别号、服务日期以及医疗信息(例如,诊断/病情、治疗、测试结果、药物)和/或健康计划信息。幸运的是,社会安全号码(SSN)或财务信息并未泄露。
参考链接:
恶意软件
一种名为Noodle RAT的新型跨平台恶意软件被揭露,这种恶意软件被认为已经由威胁行为者用于间谍活动或网络犯罪多年。Noodle RAT,也被称为ANGRYREBEL或Nood RAT,是针对Windows和Linux系统的恶意软件,自2016年7月以来一直在被使用。Noodle RAT最初被归类为Gh0st RAT和Rekoobe的变种,但安全研究人员Hara Hiroaki指出,这种后门是一种全新的类型,而不仅仅是现有恶意软件的变种。Gh0st RAT是一种远程访问木马,最早出现在2008年,当时一个名为C. Rufus Security Team的威胁组织公开了其源代码。此后,这种恶意软件和其他工具如PlugX和ShadowPad一起,被用于众多的网络行动和攻击。Noodle RAT的Windows版本是一个内存中的模块化后门,已被诸如Iron Tiger和Calypso等黑客团队使用。由于其基于shellcode,通过一个加载器来启动,支持下载/上传文件、运行其他类型的恶意软件、作为TCP代理,甚至可以自我删除。目前至少发现了两种不同类型的加载器MULTIDROP和MICROLOAD,分别针对泰国和印度的攻击。Noodle RAT的Linux版本则被不同网络犯罪和间谍组织使用,包括Rocke和Cloud Snooper。它能够启动反向shell、下载/上传文件、安排执行任务和启动SOCKS隧道,攻击者利用公共应用程序中已知的安全漏洞来入侵Linux服务器,并部署一个web shell以实现远程访问和恶意软件交付。尽管两个版本的后门命令有所不同,但据说它们在命令和控制(C2)通信上共享相同的代码,并使用类似的配置格式。对Noodle RAT工件的进一步分析显示,虽然恶意软件重用了Gh0st RAT的各种插件,并且Linux版本的某些部分与Rekoobe有代码重叠,但后门本身是全新的。
参考链接:
https://thehackernews.com/2024/06/new-cross-platform-malware-noodle-rat.html
近期,一种名为NiceRAT的恶意软件通过伪装成破解版软件的方式,针对韩国用户发起攻击,意图将受感染的设备纳入僵尸网络。这种策略利用了破解软件在用户间自然传播的特性,使得恶意软件的传播独立于初始传播者。由于威胁行为者通常在分发阶段会教授用户如何绕过或移除反恶意软件程序,这使得NiceRAT的检测变得更加困难。NiceRAT的传播途径不仅限于社交工程手段,还包括使用远程访问木马(RAT)如NanoCore RAT控制的僵尸网络计算机。这种传播策略与之前利用Nitol DDoS恶意软件传播Amadey Bot的行为相似。NiceRAT是一款用Python编写的、积极开发的开源RAT和窃取器恶意软件,它使用Discord Webhook进行命令与控制(C2)通信,允许威胁行为者从受感染主机中窃取敏感信息。该恶意软件自2024年4月17日发布以来,当前版本为1.1.0,并由其开发者提供高级付费版本,暗示其采用恶意软件即服务(MaaS)模式进行推广。与此同时,一个名为Bondnet的加密货币挖矿僵尸网络也重新出现,该网络自2023年以来就被检测到使用高性能挖矿机器人作为C2服务器,通过使用一个名为Fast Reverse Proxy(FRP)的合法工具的修改版本配置反向代理。这些事件表明,恶意软件的开发者和使用者正在不断地寻找新的传播途径和盈利模式,利用各种手段来感染更多的设备并从中获利。NiceRAT和Bondnet的出现进一步凸显了网络安全的重要性,以及用户和组织需要采取更有效的安全措施来保护自己免受这类威胁的必要性。
参考链接:
https://thehackernews.com/2024/06/nicerat-malware-targets-south-korean.html
勒索软件
Keytronic,作为全球知名的印刷电路板组装(PCBA)制造商,在2024年5月6日遭遇了一起严重的网络安全事件,该事件由Black Basta勒索软件团伙发起,导致公司遭受了前所未有的数据泄露。在这次攻击中,据称Black Basta团伙窃取了超过530GB的敏感数据,包括人力资源、财务、工程文档、公司数据以及家庭用户数据,并在网上泄露了这些信息。Keytronic在检测到未授权访问其信息技术系统后,迅速采取了行动,与外部网络安全专家合作,启动了全面的调查,并及时通知了执法部门。不幸的是,这次攻击迫使公司在美国和墨西哥的运营暂停了约两周,严重影响了公司业务应用程序和企业功能的运行,包括财务和运营报告系统。这次事件不仅暴露了公司在网络安全方面的漏洞,还凸显了加强网络安全防护的紧迫性。Keytronic确认,由于这次事件公司已经产生了高达600,000美元的相关费用,并且由于生产中断,公司的财务损失更为严重。尽管如此,公司已经恢复了运营,锁定了未授权的第三方,并正在积极通知可能受影响的各方和监管机构。Black Basta勒索软件团伙,由Conti勒索软件团伙的前成员组成,自2022年4月成立以来,已经成为一个重大的网络安全威胁,对多个关键基础设施部门发起了攻击,并在2022年4月至2024年5月期间入侵了500个组织。这次对Keytronic的攻击进一步凸显了勒索软件攻击对企业运营和财务状况可能造成的深远影响,以及企业在数字化时代面临的网络安全挑战。
参考链接:
https://securityaffairs.com/164642/data-breach/keytronic-blackbasta-ransomware.html
美国克利夫兰市近期遭遇了一场严重的勒索软件攻击,这场网络攻击不仅迫使市政厅连续关闭,而且导致了关键IT系统的下线。尽管市政厅暂时对公众关闭,但紧急服务、垃圾收集、供水、供电和机场运营等基本城市服务依然保持正常运转,显示出市政当局在危机管理中的有效应对。然而,这场攻击对市政厅的无线网络服务造成了影响,尽管通过分发Wi-Fi热点,员工能够继续工作,但网络的中断仍然对日常运营造成了不便。此次勒索软件攻击的具体细节仍在调查之中,市政官员并未透露受影响的服务范围或数据泄露的具体情况,这反映了在处理此类敏感事件时的谨慎态度。FBI和俄亥俄州国民警卫队的网络预备队的介入,显示了在网络安全领域跨部门合作的重要性。此外,市政厅员工的工资发放未受网络攻击影响,这在一定程度上减轻了员工的担忧。对于需要办理出生或死亡证明的市民,市政厅提供了在线申请或前往其他市政厅办公室的替代方案,这体现了市政当局在提供连续服务方面的灵活性和适应性。然而,声明中并未明确系统何时能够完全恢复,这为市民带来了不确定性。值得注意的是,克利夫兰市的事件并非孤立,近六个月来,针对城市和县政府的网络攻击激增了50%,这揭示了地方政府在网络安全方面的普遍脆弱性。其他城市,如堪萨斯城和威奇托,也遭受了类似的攻击,影响了从机场Wi-Fi到警察局数据库的多个关键领域。威奇托市在经历一个多月的中断后,尽管许多系统已恢复正常,但仍有部分服务,如图书馆的借书服务,只能手动进行,这表明网络攻击的长期影响可能比最初预期的更为深远。
参考链接:
https://therecord.media/cleveland-confirms-ransomware-city-hall
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
