揭示APT组织Turla攻击新技术细节及完整的杀伤链——每周威胁情报动态第170期(03.22-03.28)
APT攻击
APT29使用WINELOADER 瞄准德国展开攻击
揭示APT组织Turla攻击新技术细节及完整的杀伤链
APT组织Kimsuky更新后的行动手册
攻击活动
印度国家调查局(NIA)调查对航空航天研究公司的网络攻击
越南证券公司遭受严重的网络攻击
数据泄露
匿名黑客声称出售法国足球联合会(FFF)的1000万数据资料
错误配置的Firebase泄漏了1900万个纯文本密码
恶意软件
数以千计的 WordPress 网站被新的Sign1恶意软件入侵
勒索软件
苏格兰国家卫生服务局遭受勒索软件攻击,可能会泄露3TB的患者数据
APT攻击
APT29使用WINELOADER 瞄准德国展开攻击
2024年2月下旬,Mandiant发现APT29(一个由俄罗斯对外情报局 (SVR)支持的网络攻击组织),正在进行针对德国政党的网络钓鱼活动。与可追溯到2021年的APT29行动一致,该行动利用了APT29的主要第一阶段有效负载ROOTSAW(又名 EnvyScout)来提供一个公开跟踪为WINELOADER的新后门变体。值得注意的是,这一活动偏离了APT29初始访问集中针对政府、外国大使馆和其他外交使团的目标范围,也是Mandiant首次从APT29攻击目标子集中看到政党组织。此外,虽然APT29之前使用过带有德国政府组织标志的引诱文件,但这是我们第一次看到该组织使用德语引诱内容——这可能是两次行动之间目标差异(即国内与国外)的产物。网络钓鱼电子邮件被发送给受害者,声称是邀请他们参加3月1日的晚宴,晚宴上有德国主要政党基督教民主联盟(CDU)的标志(见图1)。德语诱饵文档包含一个网络钓鱼链接,将受害者引导到一个恶意ZIP文件,该文件包含一个由攻击者控制的受损网站上托管的ROOTSAW滴管。ROOTSAW提供了第二阶段CDU主题的诱饵文档和获取到的下一阶段WINELOADER有效载荷。WINELOADER于2024年1月下旬首次在针对捷克、德国、印度、意大利、拉脱维亚和秘鲁可能的外交实体的行动中投入使用。后门包含几个与已知APT29恶意软件系列重叠的功能,包括BURNTBATTER、MUSKYBAT和BEATDROP,这表明它们可能是由一个共同的开发人员创建的。
图 1 攻击诱饵示意文件
参考来源:
https://www.mandiant.com/resources/blog/apt29-wineloader-german-political-parties
揭示APT组织Turla攻击新技术细节及完整的杀伤链
思科Talos实验室最近提供了两份最新分析报告,是关于俄罗斯APT组织Turla部署TinyTurla NG(TTNG)植入木马程序进行攻击活动的最新报告。我们现在掌握了该攻击者使用的整个杀伤链的新信息,包括用于从受害者那里窃取有价值信息并通过受感染企业传播的策略、技术和程序 (TTP)。随后,Talos与CERT.NGO合作进行的分析表明,Turla 攻击了欧洲非政府组织 (NGO)网络中的多个系统。Talos发现,Turla在这次攻击活动中确认入侵成功后并不局限于他们后门的唯一部署。在部署TinyTurla NG之前,Turla将尝试配置防病毒软件排除,以逃避对其后门的检测。一旦设置了排除,TTNG就会被写入磁盘,并通过创建恶意服务来建立持久性。Turla还通过Chisel打开了额外的通信渠道,用于数据泄露并转向网络中其他可访问的系统。
图 2 Turla攻击过程
参考来源:
https://blog.talosintelligence.com/tinyturla-full-kill-chain/
APT组织Kimsuky更新后的行动手册
Rapid7实验室最近发现了一些有趣的活动,他们认为这些活动是来自APT组织Kimsuky攻击团体的作品,也被称为Black Banshee或Thallium。APT组织Kimsuky起源于朝鲜,至少自2012年以来一直活跃,主要专注于情报收集。众所周知,该组织的目标是韩国政府实体和朝鲜半岛统一进程有关的个人以及与朝鲜政权利益相关的各个领域的全球专家。近年来,Kimsuky的活动也扩展到了亚太地区,影响了中国、日本、越南、泰国等。通过Rapid7实验室的研究,他们看到了一份更新的剧本,强调了APT组织Kimsuky 如何绕过现代安全防护措施的努力。该组织在战术、技术和程序 (TTP) 方面的演变凸显了网络间谍活动的动态性质以及威胁行为者和防御者之间持续的军备竞赛。
图 3 攻击示意图
参考来源:
攻击活动
印度国家调查局(NIA)调查对航空航天研究公司的网络攻击
印度国家情报调查局(NIA)正在调查去年11月15日发生在印度领先的航空航天研究机构国家航空航天实验室(NAL)的勒索软件攻击事件。国家情报调查局怀疑这是一起网络恐怖袭击,已对该事件展开调查。知情人士匿名透露,联邦反恐机构已就勒索软件攻击提起诉讼,据信该攻击是由臭名昭著的网络犯罪组织LockBit策划的。NAL班加罗尔是政府科学与工业研究委员会的附属机构,是印度民用部门唯一的政府航空航天研发实验室。11月15日,它成为勒索软件攻击的受害者,LockBit威胁称,除非支付未指明的赎金,否则将暴露被盗数据,包括机密文件。国家情报局的一名官员表示:“我们已经立案,从网络恐怖主义的角度调查NAL的勒索软件攻击”。国家情报调查局管辖着一个专门的反网络恐怖主义部门,负责调查国家或非国家行为者针对印度政府和私人实体实施的网络攻击。过去,在2022年11月全印度医学科学研究所的勒索软件攻击中,它曾与包括CERT-In在内的其他机构合作。
参考来源:
https://www.cysecurity.news/2024/03/nia-investigates-cyberattack-on.html
越南证券公司遭受严重的网络攻击
越南第三大证券公司VNDirect在周末遭遇网络攻击后,目前仍在努力全面恢复运营。该公司周三宣布,其部分服务已恢复在线。然而,据当地媒体报道,投资者仍然无法登录该平台。VNDirect表示,他们将分四个阶段恢复对其服务的访问,从客户账户开始,到金融产品结束。该公司在Facebook上的一份声明中表示,由于系统的部分内容刚刚恢复,访客数量很高,访问账户可能会出现问题。截至当地时间周三晚些时候,VNDirect的网站仍处于关闭状态。河内证券交易所(HNX)宣布,将暂时断开VNDirect对衍生证券交易、债务工具交易和个人公司债券交易的远程交易和在线交易,直到问题得到解决。据路透社报道,自本周初以来,VNDirect的股价已下跌近4%。周一,由于使用VNDirect的投资者无法交易,另一个更大的越南市场胡志明市证券交易所(简称HOSE或HSX)的交易量下降了10%。总部位于河内的VNDirect在胡志明市交易所占据第三大市场份额占7%。该公司表示,其“整个系统在周日遭到国际黑客的攻击”,但对客户的资产或数据没有影响。
参考来源:
https://therecord.media/vietnam-securities-broker-cyberattack-vndirect
数据泄露
匿名黑客声称出售法国足球联合会(FFF)的1000万数据资料
一个神秘的黑客声称拥有法国足球联合会(FFF)不少于1000万被许可人的敏感数据。2023-2024赛季许可证总数为2,300,855张,比上一年的221.5万张略有增加,FFF面临着前所未有的威胁。一个化名克里斯的人声称拥有一个数据库,其中包含有关职业和业余球员的大量信息:身份、执照号码、电子邮件地址、电话号码、转会请求和联赛以及每个被许可人所属的俱乐部。官方会员数量与黑客声称的1000万数据之间存在巨大差距,引发了人们对泄露数据的准确性和周期性的质疑。在消息平台Telegram和一个以销售真实和虚假数据而闻名的网络论坛上宣布出售这些信息,增加了局势的复杂性,在大规模信息泄露的威胁和可能的欺骗之间摇摆不定。
参考来源:
https://www.zataz.com/un-pirate-inconnu-affirme-vendre-la-base-de-donnees-de-la-fff/
错误配置的Firebase泄漏了1900万个纯文本密码
三名网络安全研究人员发现,Firebase(一个用于托管数据库、云计算和应用程序开发的谷歌平台)的配置错误的实例在公共互联网上暴露了近1900万个纯文本密码。三人扫描了超过 500 万个域名,发现来自组织的 916 个网站要么没有启用安全规则,要么设置不正确。超过 1.25 亿条敏感用户记录被发现,包括电子邮件、姓名、密码、电话号码以及带有银行详细信息的账单信息,暴露了数百万个纯文本密码。研究人员(Logykk、xyzeva/Eva 和 MrBruh)开始在公共网络上查找通过易受攻击的 Firebase 实例暴露的个人身份信息 (PII)。Eva 告诉 BleepingComputer,他们发现 Firebase 实例根本没有安全规则,或者配置不正确并且允许对数据库进行读取访问。“大多数网站都启用了写入功能,这很糟糕,”伊娃告诉我们除此之外,他们还找到了一家银行的网站。
参考来源:
恶意软件
数以千计的 WordPress 网站被新的Sign1恶意软件入侵
Sucuri的网络安全研究人员发现了一项针对WordPress网站的令人担忧的新恶意软件活动。该恶意软件被称为“Sign1”,将恶意代码注入易受攻击的网站,最终将访问者重定向到诈骗网站或用不需要的弹出广告轰炸他们。在Check Point Software Technologies Ltd.披露了一个名为FakeUpdates的恶意活动后不久,新的恶意软件发现就出现了,该活动专门针对带有恶意软件的WordPress网站。Sign1 恶意软件的隐蔽策略使其成为一个重大威胁。该恶意软件利用基于时间的随机化来生成动态 URL,使安全软件难以识别和阻止它们。此外,代码本身是混淆的,进一步阻碍了检测。也许最令人担忧的是 Sign1 能够定位来自特定网站的访问者,例如流行的搜索引擎和社交媒体平台。这表明一定程度的复杂性,可能允许攻击者专注于他们认为更容易受到诈骗的用户。Sucuri的报告估计,到目前为止,已有超过39,000个WordPress网站感染了Sign1。敦促网站所有者立即采取行动保护其网站和访问者。
参考来源:
https://www.hackread.com/wordpress-websites-hacked-new-sign1-malware/
勒索软件
苏格兰国家卫生服务局遭受勒索软件攻击,可能会泄露3TB的患者数据
据称,INC勒索软件团伙将目标锁定在苏格兰国家医疗服务体系(通常称为NHS Scotland)。在其暗网泄露博客上最近的一份公告中,该勒索软件集团声称成功窃取了高达3TB的敏感数据。他们威胁说,如果他们的要求得不到满足,他们将公布这些数据。正如公示内容所看到的,INC勒索软件运营商提供了一个由14张截图组成的“证明包”。这些截图似乎显示了患者的记录,如关于他们健康的信件和电子邮件交流,涉及全国各地诊所和医院的医生和全科医生等信息资料。INC勒索软件团伙于2023年7月出现,是一个相对较新的勒索攻击组织。他们因加密受害者的数据并要求支付赎金进行解密而臭名昭著。此外,他们还参与数据盗窃,威胁说如果不支付赎金,就会公开泄露被盗信息。最近的报告表明,他们攻击目标重点是针对医疗机构,由于患者记录等被盗数据的敏感性,这加剧了支付的紧迫性。
参考链接
https://www.hackread.com/inc-ransomware-nhs-scotland-3tb-patient-data-leak/
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
