APT组织Kimsuky展开新一轮的网络攻击——每周威胁情报动态第169期(03.15-03.21)
APT攻击
APT组织Kimsuky展开新一轮的网络攻击
APT组织Midnight Blizzard针对微软攻击的技战术分析
APT组织Blind Eagle针对制造业行业展开攻击
攻击活动
黑客声称已经破坏了以色列核设施的计算机网络
国际货币基金组织电子邮件账户被黑客攻击
数据泄露
富士通遭受网络攻击可能造成数据泄露
法国 Travail 数据泄露可能影响 4300 万工人
恶意软件
黑客使用Smokeloader 恶意软件从乌克兰企业窃取资金
勒索软件
TeamCity 漏洞导致勒索软件、加密挖矿和 RAT 攻击激增
揭示利用 IP-Guard 漏洞的LIVE勒索软件的策略
APT攻击
APT组织Kimsuky展开新一轮的网络攻击
AhnLab 安全情报中心(ASEC)最近证实,APT组织Kimsuky 通过向韩国国内公共机构分发了伪装成安装程序的恶意软件。本次攻击所涉及的恶意软件是一个植入程序,它会创建 Endoor后门,这是在过去Kimsuky 组织在相同场景攻击中使用的后门恶意软件。虽然在过去历史的实际攻击中,使用的植入式恶意软件尚未得到证实,但攻击所使用植入式恶意软件生成的后门攻击案例在与植入式恶意软件的收集日期相似的时间得到了确认。 攻击者使用后门下载额外的恶意软件或安装窃取屏幕截图的恶意软件。此外,Endoor还在不断被用于攻击,过去还曾与通过鱼叉式网络钓鱼攻击传播的 Nikidoor 一起使用。
图 1 攻击伪装案例图示
参考来源:
https://asec.ahnlab.com/ko/62771/
APT组织Midnight Blizzard针对微软攻击的技战术分析
2024年1月25日,微软报告俄罗斯APT组织Midnight Blizzard(也称为APT29 和Cozy Bear)对其系统造成了破坏。攻击者执行了密码喷雾,破坏了未启用多重身份验证(MFA)的Microsoft 365测试租户帐户,并利用该帐户对旧版OAuth 应用程序的访问权限来升级权限并从Microsoft企业Exchange Online中窃取电子邮件环境。后来,在 2024 年 3 月 8 日,微软发布了一条更新消息说:“与我们在2024年1月看到的规模相比,Midnight Blizzard在2月份增加了某些方面的攻击数量(例如密码喷射)多达10倍”。据观察,攻击者还试图利用最初泄露的信息来破坏客户环境,这表明他们持续不断地致力于收集更多数据。本文概述了Trellix Helix针对Midnight Blizzard攻击中观察到的技战术提供深度分析。
图 2 针对Microsoft Exchange Online环境的Midnight Blizzard攻击图
参考来源:
https://www.trellix.com/blogs/research/midnight-blizzard-attack-detection-in-trellix-helix/
APT组织Blind Eagle针对制造业行业展开攻击
Blind Eagle,也被追踪为APT-C-36,首次出现于2018年左右。据称的攻击行为者来自南美洲,已知攻击目标是哥伦比亚和该地区的其他国家。威胁行为者利用网络钓鱼电子邮件建立初始立足点。2021年,趋势科技发表了一篇博文,提到了Blind Eagle攻击者部署的各种RAT变种,例如njRAT、Remcos、Imminent Monitor、AsyncRAT、LimeRAT、BitRAT和Warzone RAT。最近,eSentire (TRU)观察到Blind Eagle威胁行为者针对的是制造业。用户收到了钓鱼电子邮件,其中包含下载RAR和BZ2存档的链接,其中包含恶意VBS文件。RAR存档受密码保护,并包含恶意VBS文件。VBS文件包含负责使用File.Copy方法将VBS文件复制到Startup文件夹以实现持久性 (\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup) 的代码。
图 3 恶意软件感染链
参考来源:
https://www.esentire.com/blog/blind-eagles-north-american-journey
攻击活动
黑客声称已经破坏了以色列核设施的计算机网络
一个与伊朗有关的黑客组织宣布的一起事件中破坏了以色列敏感核设施的计算机网络,以抗议加沙战争。黑客声称从Shimon Peres Negev核研究中心窃取并发布了数千份文件,包括PDF、电子邮件和PowerPoint幻灯片。这个秘密设施内有一个与以色列未宣布的核武器计划有关的核反应堆,历史上一直是哈马斯火箭弹的目标。该组织在社交媒体消息中解释了他们的意图,声称“我们不像嗜血的内塔尼亚胡和他的恐怖军队那样,我们以没有平民受到伤害的方式进行这次行动。” 尽管有这一声明,该组织在另一条社交媒体消息中表示,“不打算进行核爆炸,但这次行动很危险,任何事情都可能发生”,同时还有一段描述核爆炸的动画视频,并呼吁疏散附近的迪莫纳市和耶鲁哈姆镇。虽然在已发布的文件可能表明黑客能够破坏与该设施相连的IT网络,但没有证据表明他们能够破坏其运营技术网络。
参考来源:
https://therecord.media/hackers-claim-attack-on-israeli-nuclear-research-facility
国际货币基金组织电子邮件账户被黑****客攻击
前不久,国际货币基金组织(IMF)报告了一起网络攻击事件,本次攻击事件导致11个IMF的电子邮件帐户遭到黑客攻击。虽然国际货币基金组织**“出于安全原因”**没有提供有关攻击的任何进一步细节,但该组织证实国际货币基金组织使用了Microsoft 365云消息传递平台。2024年01月,黑客组织Midnight Blizzard入侵了多个公司电子邮件帐户。然后,恶意黑客在系统中花费了一个多月的时间,并入侵了Microsoft高管,法律员工和网络安全专家的电子邮件。目前看,Microsoft并不是唯一的目标。
参考来源:
https://www.zataz.com/des-comptes-de-messagerie-du-fmi-pirates/
数据泄露
富士通遭受网络攻击可能造成数据泄露
日本最大的IT服务提供商富士通株式会社宣布,该公司的多台计算机已被恶意软件入侵,可能导致数据泄露。富士通是全球第六大IT服务提供商,拥有124,000名员工,年收入为23亿美元。其产品组合包括服务器和存储系统等计算产品、软件、电信设备以及一系列服务,包括云解决方案、系统集成和 IT 咨询服务。该公司透露,多台工作计算机感染了恶意软件,作为对安全人员的入侵的回应,安全人员断开了受影响的系统与网络的连接。该公司对这一事件展开了调查,发现威胁行为者可能已经泄露了包含个人和客户信息的文件。
参考来源:
https://www.helpnetsecurity.com/2024/03/18/fujitsu-data-breach/
法国 Travail 数据泄露可能影响 4300 万工人
法国国家失业机构France Travail(前身为 Pôle emploi)和政府残疾人就业服务机构Cap emploi遭受了数据泄露,可能暴露了43万人的个人数据。这些机构周三宣布,入侵暴露了过去20年注册的求职者的数据,以及那些在网站上有候选人资料的人的数据。
攻击者设法窃取了个人数据,包括:
全名
出生日期和地点
社会安全号码 (NIR)
France Travail 标识符
电子邮件地址
邮寄地址
电话号码
参考来源:
https://www.helpnetsecurity.com/2024/03/18/france-travail-data-breach/
恶意软件
黑客使用Smokeloader 恶意软件从乌克兰企业窃取资金
根据最近的一份报告称,与俄罗斯有联系的网络犯罪分子使用的 Smokeloader 恶意软件仍然是乌克兰金融黑客的主要工具之一。在2023年5 月至11月期间,研究人员确定了174次针对乌克兰各种目标的Smokeloader活动,包括金融机构和政府组织。根据乌克兰主要国家网络机构SSSCIP周二与网络安全公司Palo Alto Networks合作发布的一份报告,黑客在8月和10月最为活跃,分别发起了198起和174起网络钓鱼事件。乌克兰的计算机应急响应小组 CERT-UA将Smokeloader背后的组织追踪为UAC-0006。该组织使用恶意工具下载其他恶意软件,试图从乌克兰企业窃取资金。
参考来源:
https://therecord.media/smokeloader-malware-russia-ukraine-financial-institutions
勒索软件
TeamCity 漏洞导致勒索软件、加密挖矿和 RAT 攻击激增
多个攻击者正在利用JetBrains TeamCity软件中最近披露的安全漏洞来部署勒索软件、加密货币矿工、Cobalt Strike 信标和基于Golang的远程访问木马 Spark RAT。这些攻击需要利用 CVE-2024-27198(CVSS 分数:9.8),使攻击者能够绕过身份验证措施并获得对受影响服务器的管理控制权。然后,攻击者能够安装恶意软件,这些恶意软件可以访问其命令和控制(C&C)服务器,并执行其他命令,例如部署Cobalt Strike信标和远程访问木马RAT。最后,勒索软件可以作为最终有效载荷安装,以加密文件并要求受害者支付赎金。在本月早些时候公开披露该漏洞后,它已被与BianLian和Jasmin勒索软件家族相关的威胁行为者武器化,并放弃了XMRig 加密货币矿工和Spark RAT。
参考来源:
https://thehackernews.com/2024/03/teamcity-flaw-leads-to-surge-in.html
揭示利用 IP-Guard 漏洞的LIVE勒索软件的策略
奇安信威胁情报中心观察到,国内有一个非常活跃的勒索软件运营商,主要活跃在周末,能够物理绕过安全人员对告警的检测。周六,他们利用各种Nday漏洞进行入侵,进行持续的内部信息收集,评估受控机器的数量,周日晚上,他们批量部署勒索软件木马,为第二天返回工作岗位的受害者提供“惊喜”。主要用于横向移动的工具包括Cobalt Strike、fscan、frp 和勒索软件交付包,与国内红队在渗透测试中采用的策略高度相似。攻击者利用 IP-Guard 漏洞上传 Webshell,然后开始收集本地计算机信息。它们通过webshell执行命令,首先收集本地计算机信息,检索帐户密码 (hHash),添加用户,然后尝试 RDP 远程登录。然后,他们植入 Cobalt Strike 特洛伊木马。
参考来源:
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
