解密疑似伊朗APT42组织攻击行动过程——每周威胁情报动态第174期(05.03-05.09)
APT攻击
解密疑似伊朗APT42组织攻击行动过程
疑似巴基斯坦APT组织针对印度国防人员使用Android恶意软件展开攻击
挖掘疑似俄罗斯APT44组织的攻击活动
攻击活动
黑客声称对阿联酋进行了历史上最大的攻击活动
白俄罗斯激进组织声称已经渗透到该国主要克格勃安全机构的网络中
数据泄露
Resesecurity发现了一起大规模数据泄露事件
恶意软件
CUTTLEFISH恶意软件以企业级SOHO路由器为攻击目标
勒索软件
LockBit勒索软件组织成员被美国发起起诉
BLACKBASTA勒索组织声称对SYNLAB ITALIA袭击事件负责
APT攻击
解密疑似伊朗APT42组织攻击行动过程
APT42组织疑似是伊朗国家支持的网络间谍行为者,他们正在使用社会工程计划来攻击受害者网络,包括云系统环境。该攻击者的目标是西方和中东的非政府组织、媒体组织、学术界、法律服务和活动家。Mandiant评估APT42组织代表伊斯兰革命卫队情报组织(IRGC-IO)运作。据研究人员观察,APT42组织冒充记者和各类社会活动组织者,通过持续的通信与受害者建立信任,并发送会议邀请或合法文件。这些社会工程攻击方案使APT42组织能够收集网络凭据并使用它们来获得对云环境的初始访问权限。随后,攻击者会秘密获取对伊朗具有战略利益的数据,同时依靠内置功能和开源工具来避免被检测系统发现。除了云操作系统之外,研究人员还发现了APT42组织,最近使用基于恶意软件NICECURL和TAMECAT自定义后门的攻击行为。这些后门程序会在鱼叉式网络钓鱼攻击过程中被使用,为攻击者提供初始访问权限,这些访问权限可能用作命令执行或部署其他恶意软件的跳转节点。另外,APT42组织的目标和任务疑似与IRGC-IO的隶属关系一致,IRGC-IO是伊朗情报机构的一部分,负责监测和防止外国对伊斯兰共和国的威胁和国内骚乱。
图 1 APT42鱼叉式攻击示意图
参考链接:
https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations
疑似巴基斯坦APT组织针对印度国防人员使用Android恶意软件展开攻击
网络安全公司CYFIRMA的研究团队最近拦截了疑似由巴基斯坦APT组织针对印度国防人员提供的Android恶意软件。令人惊讶的是,该活动已经活跃了一年多。身份不明的网络攻击者可能利用了Spynote或Craxs Rat已知的修改版本,以高度的复杂性混淆了应用程序,使其难以被发现。研究人员收集了一个Android样本,该样本通过WhatsApp Messenger传播,以针对印度国防人员。恶意有效负载可能是由Spynote Android远程管理工具或名为“Craxs Rat”的修改版本生成的。根据网络攻击社会工程学和技术溯源方法论,研究人员观察到的攻击目标地区、行业和通信方法等内容,将该攻击行为者归因于巴基斯坦地区,置信度为中等。研究人员的进一步调查显示,获取的有效载荷是已经运行了一年的攻击活动的一部分,与VirusTotal上与同一C2服务器通信的有效载荷特征高度相似。攻击者试图通过冒充高级官员并尝试直接在WhatsApp上发送恶意应用程序来进行社会工程攻击。发送的应用程序被命名为“MNS NH Contact.apk”和“Posted out off.apk”,攻击者试图使文件看起来与防御相关。但是,在安装时,应用名称与单击执行时的名称是不同。攻击者使用Craxs Rat构建的默认应用程序会根据攻击者的目标进行了修改,这些目标似乎可以访问受害者的联系人列表、通话记录和短信。研究人员还观察到了屏幕监控功能,但只有当受害者打开已安装的恶意应用程序的辅助访问权限时才会激活该功能:该应用程序没有强迫受害者这样做,表明他们打算收集信息并遵循最大程度的安全规避策略。
图 2 攻击模型
参考链接:
挖掘疑似俄罗斯APT44组织的攻击活动
疑似俄罗斯APT44组织,又称Sandworm和FROZENBARENTS。由俄罗斯军事情报部门赞助支持,是一个充满活力且技术操作成熟的网络攻击组织,他们积极参与全方位的间谍活动和具有社会影响力的网络攻击行动。虽然大多数国家支持的网络攻击组织都往往专注于特定任务,例如收集情报数据、破坏网络或进行信息干预行动。但APT44组织的独特之处在于他们通过磨练这些攻击能力,并以寻求随着时间的推移将其整合到一个可以统一的网络攻击战术手册中。这些各自的组成部分中的每一个技战术环节,APT44组织都会努力将它们融合在一起,以达到综合效果,这也是俄罗斯指导网络战“信息对抗”概念的基础。APT44组织积极努力开展多管齐下的攻击活动,以帮助俄罗斯军队获得战场优势,并在过去十年中对乌克兰的几乎所有破坏性网络攻击行动负责。在整个俄罗斯战争期间,APT44组织在乌克兰境内通过使用破坏性网络攻击工具,例如旨在破坏系统的擦除恶意软件,APT44 试图影响广泛的关键基础设施部门。有时,这些网络攻击行动与常规军事活动相协调,以期实现共同的军事目标。
图 3 APT44组织攻击范围
参考链接:
https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm
攻击活动
黑客声称对阿联酋进行了历史上最大的攻击活动
据用户名为“UAE”的黑客声称,他们针对阿联酋多个政府部门进行了网络攻击,并获取大量的关键数据。受影响政府组织包括:迪拜执行委员会、联邦核监管局、电信和数字政府监管局、阿联酋航天局、财政部和卫生与预防部等。该攻击者发布了阿拉伯联合酋长国多个著名政府机构的内部数据截图,展示了获取到个人身份信息 (PII) 样本,包括姓名、角色和联系数据。该攻击者还声称已获得高级政府人员的PII访问权限。攻击者声称除非支付150比特币(约900万美元)的赎金,否则攻击者在BreachForums上披露攻击获取到的数据。这次攻击事件可能会对阿联酋公共安全、国家安全和经济稳定产生严重影响。全球网络安全界都正在密切关注这次事件。
参考链接:
https://www.cysecurity.news/2024/05/hackers-claim-biggest-attack-on-uae-in.html
白俄罗斯****激进组织声称已经渗透到该国主要克格勃安全机构的网络中
白俄罗斯黑客组织声称已经渗透到该国主要克格勃安全机构的网络,黑客组织可以访问8,600多名员工的人事档案信息。上周白俄罗斯克格勃的网站显示了一个空白页面,其中显示了“正在开发过程中”的消息。Cyber-Partisans黑客组织在其Telegram频道上发布了一系列文件作为他们攻击的证据,包括网站管理员列表,底层数据库和服务器日志。该组织是白俄罗斯一个自2020年以来一直活跃的黑客组织。他们是在有争议的2020年选举和随后镇压抗议活动后成立的,其目标是白俄罗斯政府机构。过去四年来,该组织对白俄罗斯官方媒体进行了多次攻击。2022年,他们多次针对白俄罗斯铁路,夺取了其交通信号灯和控制系统的控制权。这一行动扰乱了俄罗斯军事装备经白俄罗斯进入乌克兰的运输。
图 4 攻击数据展示
参考链接
https://securityaffairs.com/162504/hacktivism/cyber-partisans-breached-belarus-kgb.html
数据泄露
Resesecurity发现了一起大规模数据泄露事件
Resesecurity发现了一起大规模泄露事件,涉及500多万萨尔瓦多公民的个人身份信息(PII)在暗网上的曝光,影响了该国80%以上的人口。化名为“CiberientelligenciaSV”的黑客向Breach Forums发布了144GB的数据转储,并写道此次泄露包括5129518张高清照片,每张照片上都标有相应的萨尔瓦多文件识别号。数据转储包括以下字段:
–ID
–身份证明文件
–姓名
–出生日期
–电话
–电子邮件
–地址
–受害者照片
最终,这次数据泄露意义重大,因为它标志着网络犯罪史上第一次几乎整个国家的人口都受到生物特征数据泄露的影响。除了萨尔瓦多的大规模PII记录之外,攻击者还获得了每个受害者的头像,这代表了一个重要的生物识别数据标记——尤其是在生成人工智能的黄金时代。值得注意的是,大规模的生物识别和 PII数据泄露使萨尔瓦多大部分人口面临身份盗窃和欺诈的巨大风险。借助现代深度造假技术,威胁行为者可以利用受害者头像和相关PII,在数字优先的金融、商业和政府门户网站等广泛领域实施更具说服力的欺诈行为。
参考链接:
https://securityaffairs.com/162790/data-breach/el-salvador-massive-leak-biometric-data.html
恶意软件
CUTTLEFISH恶意软件以企业级SOHO路由器为攻击目标
研究人员发现了一个名为Cuttlefish的新恶意软件家族,它以企业级和小型办公室/家庭办公室(SOHO)路由器为目标,从互联网流量中收集公共云身份验证数据。该恶意软件在受感染的路由器上创建代理或VPN隧道以泄露数据,然后使用被盗的凭据访问目标资源。Cuttlefish恶意软件采用模块化结构,主要用于从局域网(LAN)通过路由器的网络请求中窃取身份验证数据。该恶意代码还可以在私有IP空间内执行DNS和HTTP劫持。此外,它还可以与局域网上的其他设备进行交互,传输数据或部署新的代理。研究人员观察到,代码和构建路径与之前报道的一种名为HiatusRat的恶意软件有相似之处。尽管存在代码重叠,但没有观察到共享的受害者,这表明这些恶意软件家族同时运行。研究人员表示:“Cuttlefish恶意软件提供了一种零点击方法,来捕获目标网络边缘背后的用户和设备的数据。通过被该恶意软件渗透的网络设备发送的任何数据都可能会暴露”。“这个恶意软件家族之所以如此厉害,是因为它能够对私有IP地址的连接执行HTTP和DNS劫持。Cuttlefish处于等待状态,被动地嗅探数据包,仅在被预定义的规则集触发时才采取行动”。 该恶意软件至少自2023年7月27日起就一直活跃,有迹象表明存在早期版本。最近的攻击活动从2023年10月持续到2024年4月。专家们注意到,感染链截然不同,99%的感染源自土耳其,主要来自两大电信提供商。这些提供商构成了大约93%的感染,总共600个唯一的IP地址。其他非土耳其受害者包括可能属于全球卫星电话提供商客户和潜在美国数据中心的IP地址。
图 5 攻击示意图
参考链接:
https://securityaffairs.com/162603/malware/cuttlefish-malware-targets-routers.html
勒索软件
LockBit勒索软件组织成员被美国发起起诉
本周二,在美国、英国和澳大利亚对LockBit勒索软件集团的化名领导人LockbitSupp实施金融制裁之际,他被确认为俄罗斯公民德米特里·霍罗舍夫。美国公布了一项26项计数指数,指控31岁的Khoroshev开发和运营LockBit勒索软件服务。他被指控将LockBit发展成为“一个大规模犯罪组织,有时被列为世界上最多产、最具破坏性的勒索软件集团”。Khoroshev身份的披露在这家勒索软件集团自己的暗网勒索网站上遭到了嘲笑,该网站于今年早些时候被英国国家犯罪局(NCA)查封。该网站现在发布了一张通缉海报,悬赏1000万美元,以获取导致他被捕和/或被传唤的信息。据NCA称,霍罗舍夫“靠匿名组织而发家”,并“悬赏1000万美元给任何能透露其身份的人”。在接受播客采访时,他声称调查人员夸大了他们对他的了解。周二,警方在网站上上传了一张通缉海报,上面有两张霍罗舍夫的照片,旁边的帖子详细介绍了他们迄今为止的调查结果。这名俄罗斯公民是第六位被指控参与LockBit勒索的LockBit成员。今年2初,俄罗斯国民Artur Sungatov和Ivan Kondratyev(又名 Bassterlord)被指控对众多受害者部署勒索软件。另一名嫌疑人鲁斯兰·马戈梅多维奇·阿斯塔米罗夫(Ruslan Magomedovich Astamirov )也是俄罗斯公民,去年6月提出刑事申诉后,他因涉嫌参与网络敲诈勒索服务而被拘留,等待审判。一个月前,两份针对Mikhail Matveev(又名“Wazawaka”)的起诉书被揭晓,他使用LockBit攻击大量受害者。早在2022年11月,一位名叫Mikhail Vasiliev的俄罗斯和加拿大双重国籍人士也被指控为LockBit附属机构。瓦西里耶夫目前被加拿大拘留,等待引渡到美国。
参考链接:
https://therecord.media/lockbitsupp-suspect-accused-lockbit-ransomware-gang
BLACKBASTA勒索组织声称对SYNLAB ITALIA袭击事件负责
自4月18日以来,医疗诊断服务提供商Synlab Italia一直因网络攻击而遭受中断。Ransomfeed.it平台的研究人员透露,勒索组织Blackbasta声称对 Synlab的勒索软件攻击负责。该组织声称盗窃了1.5TB数据,包括SYNLAB ITALIA公司数据、员工个人文档、客户个人数据、医学分析(精子图、毒理学、解剖学……)等等。作为数据泄露的证据,该组织公布了护照、身份证和医学分析的图像。该组织发布的其中一张图像列出了被窃取的文件夹,其中一些包含医疗检查的名称。BlackBasta勒索软件组织将于2024年5月11日公布被盗数据。Black Basta自2022年4月以来一直活跃,与其他勒索软件操作一样,它实施了双重勒索攻击模型。2022年11月,Sentinel Labs研究人员报告称,他们发现了Black Basta勒索软件团伙与出于经济动机的黑客组织FIN7之间的联系的证据。
参考链接:
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
