APT组织Kimsuky利用Facebook和MS管理控制台展开攻击——每周威胁情报动态第175期(05.10-05.16)
APT攻击
APT组织Kimsuky利用Facebook和MS管理控制台展开攻击
APT组织Turla使用的攻击武器“Lunar”工具集分析
疑似APT组织Lazarus网络窃密攻击行动分析
攻击活动
黑客声称攻击入侵了全球顶级网络安全公司,出售访问权限
俄罗斯黑客劫持乌克兰电视台转播胜利日阅兵
数据泄露
戴尔数据泄露暴露4900万个人信息
俄亥俄州彩票数据泄露影响了超过 538,000 人
恶意软件
新型Android银行恶意木马软件--Brokewell
勒索软件
INC 勒索软件源代码在黑客论坛上售价 30 万美元
Black Basta 勒索软件袭击了北美、欧洲和澳大利亚的 500 多个实体
APT攻击
APT组织Kimsuky利用Facebook和MS管理控制台展开攻击
网络安全公司GSC揭露了一起由Kimsuky APT组织发起的网络攻击事件。这次攻击主要针对韩国和日本的北韩人权活动家和安全政策专家,攻击者利用社交媒体平台Facebook作为初始渗透手段,通过精心伪装的个人资料接触目标群体,进而部署恶意软件以窃取敏感信息。Kimsuky APT组织此次采用了更为隐蔽和个性化的攻击手法。他们首先在Facebook上创建了伪装账户,冒充关心北韩人权的韩国公职人员,以此吸引目标群体的注意。通过发送好友请求和个性化的消息,攻击者试图与目标建立信任关系。攻击者精心设计了他们的社交工程策略,通过Facebook Messenger与目标进行交流,分享日常问候和相关信息,以增加个人魅力和可信度。这种方法的高明之处在于,它不仅使得攻击看起来更加真实,而且也更难以被传统的安全监控系统所发现。
在建立了一定的信任基础之后,攻击者会诱导目标点击一个看似无害的文档文件链接。该链接指向一个OneDrive云服务上的文件,名为"My_Essay(prof).msc",这个文件名暗示了它是一个专业的文档文件,但实际上是一个恶意的Microsoft Common Console(.msc)文档,用于执行远程攻击者的命令。一旦目标下载并打开了"My_Essay(prof).msc"文件,攻击者的恶意代码就会被执行。该文件通过XML语言构建,设置了特定的图标和视觉效果,使其看起来像是Microsoft Word文档。执行后,它会连接到预先设定的C2服务器,接收并执行进一步的攻击指令。
为了保持对受感染网络的持久访问,攻击者使用了多种技术来保持隐蔽性。他们利用Windows任务计划程序创建了定期执行的任务,这些任务会下载额外的恶意脚本,如"warm.vbs",以及通过"mshta.exe"执行的远程脚本"ttt.hta"。这些脚本不仅允许攻击者横向移动到网络中的其他计算机,而且还能够维持对受感染系统的控制。
这次Kimsuky APT组织的攻击事件再次提醒我们,网络攻击是多变且不断进化的。攻击者不断寻找新的方法来绕过传统的安全防御措施,这意味着防御者也需要不断更新他们的策略和技术。社交媒体平台的广泛应用为攻击者提供了新的攻击途径,个人用户和组织都必须提高警惕,加强安全意识,采用先进的安全解决方案来保护自己免受这类高级持续性威胁的侵害。
图 1 Kimsuky组织基于Facebook的ReconShark攻击流程图
参考链接:
https://www.genians.co.kr/blog/threat\_intelligence/facebook
APT组织Turla使用的攻击武器“Lunar”工具集分析
ESET研究人员在2024年5月15日发表的一篇技术博客文章中,详细分析了名为“Lunar”的恶意工具集,这些工具集很可能是由与俄罗斯有关的Turla APT组织使用的。研究人员发现,这些工具集至少自2020年起就被用来渗透一个欧洲外交部(MFA)及其驻外使团。Lunar工具集中包含两种之前未知的后门程序,分别命名为LunarWeb和LunarMail。LunarWeb部署在服务器上,使用HTTP(S)进行命令与控制(C&C)通信,并通过模仿合法请求来隐藏其通信。而LunarMail部署在工作站上,作为Outlook插件持久存在,并使用电子邮件消息进行C&C通信。两者都采用了隐写术技术,将命令隐藏在图像中以避免被检测到。
Turla,也被称为Snake,自2004年以来一直活跃,可能最早可以追溯到1990年代末。这个组织被认为与俄罗斯联邦安全局(FSB)有关,主要针对欧洲、中亚和中东的政府和外交机构等高知名度实体。ESET的调查始于检测到一个加载器解密并运行一个有效载荷,该有效载荷从一个外部文件在一台未识别的服务器上执行。这导致了LunarWeb后门的发现。随后,研究人员在欧洲MFA的外交机构中检测到了LunarWeb的类似部署链,并注意到攻击者还部署了第二个后门——LunarMail,该后门使用不同的方法进行C&C通信。在另一次攻击中,研究人员观察到在中东同一MFA的三个外交机构中几乎同时部署了LunarWeb的链,这表明攻击者可能事先访问了MFA的域控制器,并利用它在同一个网络中横向移动到相关机构的机器。进一步的检查揭示了更多的线索,包括在妥协的初始阶段使用的组件以及攻击者发出的有限数量的命令。最古老的样本的时间戳和使用的库的版本表明,这个工具集至少自2020年起就已投入使用,可能更早。
最后,研究人员得出结论,LunarWeb和LunarMail后门在欧洲政府机构的攻击中被使用,这些后门共享一个加载器,具有代码重叠,并支持类似的命令,但它们采用了不同的C&C通信方法。LunarWeb使用HTTP(S)并尝试通过模仿合法服务(如Windows Update)的流量来融入其中。LunarMail利用Outlook并通过电子邮件消息进行通信,使用PNG图像或PDF文档外泄数据。
图 2 Lunar 两个工具集攻击链
参考链接:
https://www.welivesecurity.com/en/eset-research/moon-backdoors-lunar-landing-diplomatic-missions/
疑似APT组织Lazarus网络窃密攻击行动分析
Lazarus是疑似具有东北亚背景的APT组织,该组织因2014年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到2007年。Lazarus早期主要针对政府机构,以窃取敏感情报为目的,但自2014年后,开始攻击全球金融机构、虚拟货币交易场所等目标,从受害者处盗取金钱资产。Lazarus曾多次利用虚假的社交账号,以提供工作机会为伪装,向特定行业人员发起钓鱼攻击。近期国内网络安全公司研究人员发现一类携带恶意JS代码的ZIP压缩包,样本涉及的恶意软件与去年11月国外Unit 42团队披露的“Contagious Interview”攻击活动一致。经过进一步调查发现,攻击者在去年底被披露后仍频繁展开攻击行动,受害者主要是区块链行业的开发者。攻击者在工作平台(比如LinkedIn、Upwork、Braintrust等)上创建虚假的身份,伪装为雇主、独立开发者或初创公司创始人,发布具有丰厚报酬或者紧急任务的工作信息,工作内容通常是软件开发或者问题修复。这些工作信息会吸引到主动搜索而来的开发者,或者借助平台的推送机制呈现在目标人群面前。在讨论具体工作内容时,攻击者试图说服应聘人员在自己设备上运行由他们提供的代码。一旦应聘者不加怀疑地运行程序,其中插入的恶意JS代码将会窃取感染设备上与虚拟货币相关的敏感信息,并植入其他恶意软件。这批攻击样本与”Contagious Interview”行动所用的网络基础设施重叠,且攻击者发起网络钓鱼的手法特点和受害者所属行业与Lazarus组织之前的活动相似,因此这次持续进行的攻击行动可能和Lazarus组织有关。
图 3 Lazarus组织攻击流程
参考链接:
https://mp.weixin.qq.com/s/84lUaNSGo4lhQlpnCVUHfQ
攻击活动
黑客声称攻击入侵了全球顶级网络安全公司,出售访问权限
IntelBroker黑客声称攻击入侵了一家全球知名的网络安全公司(收入:18亿美元)。黑客以2万美元的加密货币出售对被盗数据的访问,包括敏感凭据和关键日志。黑客在网络犯罪论坛Breach Forums上发布了一则广告,提出以2万美元的XMR(Monero)加密货币出售对受损公司敏感数据和系统的访问权。根据该帖子,这家未具名的网络安全公司拥有18亿美元的年收入,这使得这一漏洞成为该行业及其客户的一大担忧。IntelBroker声称,他们提供的访问权限包括机密和高度关键的访问权限,包括以下内容:
SSL密钥和SSL证书
SMTP访问(简单邮件传输协议)
包含凭据的机密和关键日志
PAuth指针身份验证访问(可能指ARM指针身份验证)
虽然目前尚不清楚哪家网络安全公司是攻击目标,但总部位于加利福尼亚州圣何塞的云安全公司Zscaler是第一家对IntelBroker的说法展开调查的组织,以确定黑客是否入侵了他们的系统。
自2022年10月IntelBroker出现以来,黑客组织非常活跃,制造了多次备受瞩目的数据泄露。但是黑客组织的来源和背景尚不清楚,不过疑似是T-Mobile数据泄露事件的幕后黑手。
图 4 IntelBroker 在违规论坛上的截图
参考链接:
https://www.hackread.com/intelbroker-hacker-cybersecurity-firm-breach/
俄罗斯黑客劫持乌克兰电视台转播胜利日阅兵
在2024年5月9日,一个与俄罗斯有关的黑客组织发起了一场针对乌克兰电视频道的网络攻击,目的是劫持信号并播放在莫斯科举行的纪念第二次世界大战中击败纳粹德国的胜利日阅兵仪式。这次网络攻击影响了至少15个由Starlight Media拥有的电视频道,这些频道的播放被黑客替换。乌克兰电视和广播机构Nacrada表示,黑客干扰了由卢森堡公司SES拥有和运营的Astra通信卫星的运作。Nacrada机构称这是“针对乌克兰的信息战的又一个阶段”,在这场战争中,乌克兰媒体和信息消费者成为了直接的攻击对象。作为回应,乌克兰建议广播商使用“替代方法”接收信号,并迅速应对干预。同一天,拉脱维亚电视网络Balticom也被黑客控制,播放了莫斯科的阅兵式。拉脱维亚国家电子媒体委员会(NEPLP)主席Ivars Abolins表示,Balticom的基础设施并未受到破坏,但黑客攻击了位于保加利亚的Balticom交互式电视服务器。
这些事件凸显了乌克兰和俄罗斯之间持续的网络战,以及在当前地缘政治紧张局势下,媒体和信息基础设施如何成为攻击的目标。通过这些网络攻击,黑客不仅干扰了正常的信息传播,还可能在公众中散布混乱和误导信息,从而破坏了公众对媒体信任的根基。同时,这种信息操作行为不仅会影响了信息的准确性和完整性,还可能在两国关系中制造了更多的猜疑和敌意。
参考链接:
https://therecord.media/russian-hackers-hijack-ukraine-tv
数据泄露
戴尔数据泄露暴露4900万个人信息
近期,全球知名的IT巨头戴尔公司(Dell)遭遇了一起严重的数据泄露事件,该事件导致数千万客户的个人信息被曝光。根据戴尔公司向受影响客户发送的数据泄露通知,泄露的数据包括客户的姓名、实际邮寄地址以及与戴尔IT公司购买相关的硬件和订单信息,如服务标签、商品描述、订单日期和相关保修信息。泄露的信息虽然不包括财务或支付信息、电子邮件地址、电话号码或任何高度敏感的客户信息,但客户的姓名和物理地址等个人信息的泄露仍然可能导致一系列安全问题,比如垃圾邮件、诈骗和身份盗窃等。戴尔公司已经启动了对此次数据泄露事件的调查,调查涉及一个包含有限类型的客户信息的戴尔门户网站。目前,戴尔尚未公开更多关于此次安全漏洞的细节,但已经采取措施通知了受影响的个体,并可能在内部进行风险评估和安全加固。在网络犯罪日益猖獗的今天,戴尔数据泄露事件再次提醒我们,即使是全球最大的公司也不能对网络安全掉以轻心。这不仅对公司的声誉和客户信任造成了损害,也可能给受影响的客户带来长期的安全风险。
图 5 戴尔客户数据在违规论坛上出售截图
参考链接:
俄亥俄州彩票数据泄露影响了超过 538,000 人
在2023年圣诞节前夕,俄亥俄州彩票(Ohio Lottery)遭受了一次网络攻击,导致超过538,959名用户的个人信息被窃取。这次攻击不仅暴露了彩票系统在数据保护方面的薄弱环节,也引起了公众对于个人隐私和网络安全的广泛关注。攻击发生在12月24日,俄亥俄州彩票在其内部办公网络中检测到了未经授权的访问行为。攻击者通过这次攻击获取了用户的姓名、社会安全号码(SSN)以及其他个人识别信息。幸运的是,攻击并未影响到彩票的游戏网络,但仍然对大量用户的个人信息安全构成了威胁。泄露的信息包括敏感的个人身份数据,这些信息的泄露可能导致身份盗窃、金融诈骗和其他形式的犯罪活动。DragonForce勒索软件组织声称对此次攻击负责,并声称窃取了94GB的数据。该组织在其泄露网站上发布消息,声称拥有约150万条记录,占俄亥俄州人口的12%,并提供了数据库的CSV格式导出和完整副本下载。这一声明进一步证实了攻击的严重性。
图 6 数据泄露截图
参考链接:
https://securityaffairs.com/163012/data-breach/ohio-lottery-data-breach.html
恶意软件
新型Android银行恶意木马软件--Brokewell
ThreatFabric的研究人员发现了一种名为“Brokewell”的新型Android恶意软件,该软件具备数据窃取和远程控制功能,能够绕过Android 13+的安全限制,并通过各种手段进行传播。研究人员还发现该木马似乎正在积极开发更新,几乎每天都会添加新命令。在分析研究的过程中,他们发现了另一个可以绕过Android13+ 限制的下载器。该下载器由同一行为者开发,并已公开发布。攻击者并不是试图隐藏其源代码存储库,其中一台用于命令和控制的服务器还托管了一个名为“Brokewell Cyber Labs”的存储库,由“Baron Samedi”创建。它包含旨在绕过Android 13+限制的Android加载器的源代码。研究人员指出,该款木马会对银行业用户构成了重大威胁,因为它允许攻击者远程访问通过银行应用程序提供的所有资产。研究人员还调查发现,这些攻击者并没有试图隐瞒他们的身份:在其中一台用作Brokewell的命令和控制(C2)点的服务器也被用来托管一个名为“Brokewell Cyber Labs”的存储库,该存储库由“Baron Samedit”创建。此存储库包含“Brokewell Android Loader”的源代码,这是同一开发人员的另一个工具,旨在绕过Android 13+对旁加载应用程序的辅助功能服务的限制。
参考链接:
https://cybernews.com/security/android-banking-malware-remote-control/
勒索软件
INC 勒索软件源代码在黑客论坛上售价 30 万美元
近期,一名自称为"salfetka"的网络犯罪分子声称正在出售名为INC Ransom的勒索软件即服务(RaaS)操作的源代码。INC Ransom是一种在2023年8月推出的恶意软件,它之前曾针对施乐商业解决方案(Xerox Business Solutions,XBS)的美国分部、雅马哈菲律宾摩托车公司,以及最近苏格兰国家卫生服务(NHS)发起攻击。据威胁情报分析专家KELA提供给BleepingComputer的信息,"salfetka"在Exploit和XSS黑客论坛上宣布出售INC Ransom的Windows和Linux/ESXi版本,要价30万美元,并将潜在买家的数量限制为三人。在论坛帖子中提到的技术细节,如使用AES-128 CTR模式和Curve25519 Donna算法,与公开分析的INC Ransom样本相符,增加了出售信息的可信度。
图 7 源代码销售截图
参考链接:
Black Basta 勒索软件袭击了北美、欧洲和澳大利亚的 500 多个实体
Black Basta,一种勒索软件即服务(RaaS)操作,自2022年4月出现以来,已经针对北美、欧洲和澳大利亚超过500家私营行业和关键基础设施实体。美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、卫生及公众服务部(HHS)以及多州信息共享与分析中心(MS-ISAC)联合发布的公告中指出,这些威胁行为者从至少12个关键基础设施领域加密并窃取了数据。Black Basta组织使用常见的初始访问技术,如钓鱼和利用已知漏洞,然后采用双重勒索模型,既加密系统又外泄数据。与其他勒索软件组织不同,攻击结束时留下的勒索信不包含初始赎金要求或支付说明。相反,这些信件为受害者提供了一个独特的代码,并指示他们通过.onion URL联系该团伙。根据卡巴斯基的数据,它是2023年第十二大活跃家族。Black Basta在2024年第一季度的活动也有所增加,环比增长了41%。有证据表明,Black Basta操作员与另一个被追踪为FIN7的网络犯罪组织有联系,该组织自2020年以来已转向进行勒索软件攻击。
参考链接:
https://thehackernews.com/2024/05/black-basta-ransomware-strikes-500.html
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
