疑似朝鲜APT组织Andariel正在对韩国公司进行持续攻击——每周威胁情报动态第168期(03.08-03.14)
APT攻击
疑似朝鲜APT组织Andariel正在对韩国公司进行持续攻击
揭秘APT组织Earth Kapre的攻击技术策略
攻击活动
英国莱斯特市议会的 IT 系统和电话系统黑客网络攻击
亲俄黑客行动主义者花费不超过 500 美元攻击了数百个法国网站
数据泄露
2023年,超过1200万个身份验证机密和密钥在GitHub上泄露
美国电动汽车行业服务公司Qmerit大规模泄露客户信息数据(585.81GB)
恶意软件
新的银行木马 CHAVECLOAK 通过网络钓鱼策略针对巴西用户
勒索软件
LockBit勒索软件成员被判入狱四年
APT攻击
疑似朝鲜APT组织Andariel正在对韩国公司进行持续攻击
据AhnLab安全情报中心(ASEC)近日证实,APT组织Andariel正在对韩国国内企业进行持续攻击。此次确认的攻击的一个特点是,确认了攻击过程中安装了MeshAgent的恶意软件。MeshAgent是一款远程管理工具,提供多种远程控制功能,因此与其他远程管理工具一样,被攻击者滥用的案例也时有发生。与之前的案例一样,攻击者利用目标单位资产管理系统安装恶意代码,最明显的是AndarLoader和ModeLoader。作为参考,Andariel攻击组织一直在不断滥用目标单位的资产管理系统,从过去的Innorix Agent开始,在横向移动过程中传播恶意软件。
来源:
https://asec.ahnlab.com/ko/62771/
揭秘APT组织Earth Kapre的攻击技术策略
APT攻击组织Earth Kapre(又名 RedCurl 和 Red Wolf)一直在积极针对俄罗斯、德国、乌克兰、英国、斯洛文尼亚、加拿大、澳大利亚和美国的组织开展网络钓鱼活动。他们在攻击中使用包含恶意附件(.iso和.img)的网络钓鱼电子邮件,打开后就会成功感染。这会触发创建持久性计划任务,同时未经授权收集敏感数据并将其传输到命令和控制(C&C) 服务器。研究人员分析观察到该恶意软件与其C&C服务器建立连接,这表明存在潜在的数据盗窃情况。有趣的是,在这种情况下,Earth Kapre组织又重新使用了一种与其最近的活动不同的先前已知技术:他们使用合法工具Powershell.exe和curl.exe来获取后续阶段的下载程序。为了混入网络并逃避检测,Earth Kapre被发现使用程序兼容性助手 ( pcalua.exe ) 来执行恶意命令行。
来源:
攻击活动
英国莱斯特市议会的 IT 系统和电话系统黑客网络攻击
英国莱斯特市议会在上周四(2024.03.07)遭受网络攻击后,被迫关闭并中断IT 系统和电话系统。虽然攻击的性质仍未披露,但当地官员们正在与网络安全专家和执法部门合作,评估损害并恢复功能。这一事件凸显了地方当局对网络威胁的脆弱性,本次网络攻击造成该市政税支付和许可证更新等基本服务目前不可用,长时间的停电停工也给当地居民带来了极大的不便。当地政府预计将会分阶段恢复,优先考虑恢复基本服务能力。网络安全专家称,鉴于对地方议会进行网络攻击的历史,这可能是一次代价高昂且具有破坏性的勒索软件攻击。
来源:
https://www.hackread.com/leicester-council-cyber-attack-system-phone-down/
亲俄黑客行动主义者花费不超过 500 美元攻击了数百个法国网站
ZATAZ透露,自2024年03月06日以来,包括 Anonymous Sudan、Noname057(16)、Usersec、CyberArmy of Russia 和 22C 在内的多个黑客团体,针对法国政府在线平台发起了攻击。此举估计是为了抗议法国政府对乌克兰的支持。针对这次法国的DDoS网络攻击是由Anonymous Sudan黑客组织在DDoS服务提供商InfraShutDown的支持下精心策划的,网络攻击者总花费不超过 500 美元。InfraShutDown 还将自己描述为“坚定不移的网络主导地位的巅峰之作”,提供定制的 DDoS 网络攻击活动服务,以满足其“全球客户群”的特定需求,包括政府机构、私营公司和个人等。
来源:
https://www.zataz.com/les-cyberattaques-contre-les-ministeres-francais-un-cout-inferieur-a-500/
数据泄露
2023年,超过1200万个身份验证机密和密钥在GitHub上泄露
2023年,GitHub用户意外暴露了300多万个公共存储库中的1280万个身份验证和敏感机密,其中绝大多数在五天后仍然有效。根据GitGuardian的网络安全专家的说法,他们向那些暴露秘密的人发送了180万封免费电子邮件警报,只有1.8%的联系人迅速采取行动纠正错误。暴露的秘密包括帐户密码、API密钥、TLS/SSL证书、加密密钥、云服务凭据、OAuth令牌和其他敏感数据,这些数据可能会使外部行为者无限制地访问各种私人资源和服务,从而导致数据泄露和财务损失。
来源:
美国电动汽车行业服务公司Qmerit大规模泄露客户信息数据(585.81GB)
近期网络安全研究人员发现一起令人不安的数据泄露事件,再次引起了人们对数据安全的广泛关注。研究人员发现了一个自美国著名电动汽车服务提供商不受密码保护的数据库,其中包含超过五十万条记录,也包括敏感的客户信息和大量文档,例如工作发票、价格建议、电气许可证和调查,以及客户提交的信息,还包括他们的房屋图像和充电器位置详细信息,暴露的数据库总大小为585.81 GB。在该信息被披露后,Qmerit迅速采取行动保护暴露的数据并启动内部调查。针对这一事件,Qmerit 强调了其优先考虑安全和保护个人身份信息 (PII) 的承诺。然而,数据泄露的持续时间和潜在的未经授权的访问仍然不确定,需要通过内部取证审计进行进一步审查。
来源:
https://www.hackread.com/ev-charging-firm-spills-trove-of-customer-info/
恶意软件
新的银行木马 CHAVECLOAK 通过网络钓鱼策略针对巴西用户
最近研究人员发现一种新的银行木马CHAVECLOAK针对巴西用户展开攻击。该木马通过带有PDF附件的网络钓鱼电子邮件进行传播。这种复杂的攻击涉及PDF下载ZIP文件,然后利用DLL侧载技术来执行最终的恶意软件。攻击链涉及使用以合同为主题的DocuSign诱饵来诱骗用户打开包含阅读和签署文档按钮的 PDF 文件。实际上,单击该按钮会导致从使用Goo.su URL远程链接中检索安装程序文件。然后安装程序中存在一个名为“Lightshot.exe”的可执行文件,它利用DLL旁加载来加载“Lightshot.dll”,这是一种有助于窃取敏感信息的 CHAVECLOAK 恶意软件。该恶意软件会主动监控受害者对特定金融门户的访问,包括几家银行和 Mercado Bitcoin,其中包括传统银行和加密货币平台。
来源:
https://thehackernews.com/2024/03/new-banking-trojan-chavecloak-targets.html
勒索软件
LockBit勒索软件成员被判入狱四年
俄裔加拿大网络犯罪分子米哈伊尔·瓦西里耶夫 (Mikhail Vasiliev) 因参与 LockBit 勒索软件行动而被加拿大安大略省法院判处四年徒刑。瓦西里耶夫于2022年11月被捕,并于2024年2月承认八项指控,包括网络勒索、恶作剧和武器犯罪。他就是臭名昭著的LockBit勒索软件团伙的关键成员,参与了该行动的许多备受瞩目的攻击。据了解瓦西里耶夫参与了该勒索软件团伙进行的多达1000次的网络攻击,导致赎金支付要求超过1亿美元。LockBit勒索组织目前还是全球最活跃的勒索软件组织之一,从事数据盗窃和加密等攻击,在专用暗网门户上进行被勒索交易和数据泄露等。
来源
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
