网络盾牌 | 0811-美国对朝鲜黑客关联加密货币实施制裁-拜登签署芯片和科学法案-PyPI中发现新恶意Python库

美国对朝鲜黑客关联加密货币Tornado Cash实施制裁；

标签：美国，朝鲜，黑客，加密货币

近日，美国财政部海外资产控制办公室 (OFAC) 今天批准了加密货币混合器 Tornado Cash一种去中心化加密货币混合服务，据悉，自 2019 年创建以来用于洗钱超过 70 亿美元。

朝鲜支持的 APT Lazarus Group 还使用加密货币混合器恶意洗钱大约 4.55 亿美元，这是有史以来最大的已知加密货币抢劫案。据悉，这是自 Lazarus 在 4 月入侵 Axie Infinity 的 Ronin 网桥后窃取价值 6.2 亿美元的以太坊以来，攻击后收集的总赏金的一部分。

Tornado Cash 还被用于在 6 月 Harmony Bridge 黑客攻击事件中洗钱超过 9600 万美元 （其中 1 亿美元被盗），以及至少 780 万美元来自 8 月 Nomad Heist （被盗 1.5 亿美元）。

在入侵区块链音乐平台Audius、Beanstalk DeFi 平台和去中心化加密货币交易所Uniswap以及 Arbix Finance退出骗局之后，这种加密混合器还被用来使追踪被盗资金变得更加困难。

“今天，财政部正在制裁 Tornado Cash，这是一种虚拟货币混合器，可以清洗网络犯罪的收益，包括针对美国受害者的犯罪，”负责恐怖主义和金融情报的财政部副部长 Brian E. Nelson 说。“尽管公众另有保证，但 Tornado Cash 一再未能实施旨在阻止其定期为恶意网络行为者洗钱的有效控制措施，并且没有采取基本措施来解决其风险。”

此前，美国财政部官员今年发起了一波制裁，以防止加密货币被用于逃避制裁和洗钱。今年4月，在首次制裁虚拟货币混币器之前不久，美国财政部也首次点名了一家加密货币挖矿公司——总部设在瑞士的Bitriver AG，因为它在俄罗斯科技领域运营。同样在那个月，美国财政部还指控总部位于莫斯科的Garantex加密货币交易所“故意无视”反洗钱义务，并“允许(其)系统被非法行为者滥用”。

金融犯罪执法网络 (FinCEN) 还于 2020 年 10 月对 Helix 和 Coin Ninja 混合器服务的创始人和运营商拉里·迪恩·哈蒙 (Larry Dean Harmon) 发出了有史以来第一次民事罚款，罪名 是违反了《银行保密法》(BSA) 及其实施条例。

FinCEN 当时透露，使用 Helix 不倒翁洗钱的最大数量的加密货币来自暗网非法市场，包括 AlphaBay、Dream Mark、Agora Market、Nucleus 等。

“协助犯罪分子的虚拟货币混合器对美国国家安全构成威胁。财政部将继续调查混合器用于非法目的的情况，并利用其权力应对虚拟货币生态系统中的非法融资风险，”OFAC 今天补充道。

“正如今天的行动所表明的那样，虚拟货币公司通常应将混合器视为高风险，只有当它们有适当的控制措施以防止混合器被用于洗钱非法收益时，它们才应处理交易。”

信源：E安全

拜登签署芯片和科学法案以刺激美国制造的国家安全技术；

标签：拜登，芯片和科学法案，国家安全技术

拜登总统当地时间8月9日签署了CHIPS和科学法案，授权新政策和数十亿资金用于推进研发并帮助加强美国的技术制造和供应链。半导体或芯片有助于为武器系统、计算机、电话、电器、汽车和许多其他现代技术提供动力。尽管它们最初是在美国发明的，但该国现在只生产世界上大约10%的芯片供应——而且没有最复杂的变体。

CHIPS和科学法案标志着美国政府雄心勃勃的改变这一状况的计划。经过漫长的立法谈判，这项长达 1,000 多页的立法中的规定对多个联邦机构提出了新要求，以帮助大幅提高美国制造的半导体的生产，并最终加速纳米技术、量子计算、人工智能和其他新兴能力的创新关系到国家安全。

据白宫称，该立法提供了大约 527亿美元用于明确推动美国的半导体研究、开发、制造和劳动力发展。其中，390亿美元用于制造激励措施，132亿美元用于研发和劳动力发展。与半导体和相关设备制造相关的资本支出的25%投资税收抵免也是新法律的要求。除了对半导体的许多财政激励措施和要求外，该法案还旨在推动其他科学和技术追求——包括将直接影响国防部的几项规定。

信源：https://www.fedscoop.com/biden-signs-chips-and-science-act-to-spur-us-made-national-security-technologies/

员工被钓鱼，云通讯巨头Twilio客户数据遭泄露；

标签：云通讯，巨头Twilio，数据泄露，网络攻击

据Bleeping Computer网站8月8日消息，云通讯巨头Twilio表示，有攻击者利用短信网络钓鱼攻击窃取了员工凭证，并潜入内部系统泄露了部分客户数据。

根据Twilio在上周末的公开披露，8月4日，Twilio首次注意到了这些旨在窃取员工凭证的复杂社会工程学攻击。这些攻击者冒充公司内部的IT部门人员，向公司员工发送短信，警告他们的系统密码已经过期，需要通过点击短信附带的URL进行修改。该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段，受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面。

当被问及有多少员工的帐户在网络钓鱼攻击中“失陷”，以及有多少客户数据受到泄露影响时，Twilio 的 EMEA 通讯总监 Katherine James 拒绝透露相关信息。Twilio 对外表示，已经与美国的短信供应商取得联系，封闭了发送钓鱼短信的账户。

Twilio尚未确定攻击者的身份，但已联系执法部门对攻击者展开调查。为此，Twilio已经封禁了在攻击期间遭到破坏的员工账户，以阻止攻击者访问其系统，并已开始通知受此事件影响的客户。

Twillio在 17 个国家和地区拥有26 个办事处，共计 5000 多名员工，提供可编程语音、文本、聊天、视频和电子邮件 API，被超过 1000 万开发人员和 150000 家企业用于构建客户参与平台。

Twilio还在2015年2月收购了Authy，这是一家面向终端用户、开发者和企业的流行双因素认证（2FA）供应商，在全球拥有数百万用户。

信源：https://www.bleepingcomputer.com/news/security/twilio-discloses-data-breach-after-sms-phishing-attack-on-employees/

PyPI中发现新恶意Python库；

标签：PyPI，恶意Python库，软件供应链

信源：https://www.infosecurity-magazine.com/news/malicious-python-libraries-found/

Meta打击南亚滥用Facebook的网络攻击活动；

 标签：Meta，南亚，滥用，Facebook，网络攻击

Bitter APT

第一组组织的行动在Meta的描述中是呈现持续和资源丰富的特征，是由一个以Bitter APT（又名APT-C-08或T-APT-17）为名追踪的黑客组织进行，目标是新西兰、印度、巴基斯坦和英国的个人。

Meta公司在其《季度对抗性威胁报告》中称Bitter使用各种恶意战术在网上攻击人们，用恶意软件感染他们的设备。该组织混合使用链接缩短服务、恶意域名、被破坏的网站和第三方托管提供商等诸多方式来分发他们的恶意软件。

这些攻击者会在平台上创建虚构的角色，伪装成有吸引力的年轻女性，以期与目标建立信任，引诱目标点击带有恶意软件的假链接，攻击者说服受害者通过苹果TestFlight下载一个iOS聊天应用程序，TestFlight是一个合法的在线服务，可用于测试应用程序并向应用程序开发人员提供反馈。

研究人员表示该行为意味着黑客不需要依靠漏洞来向目标提供定制的恶意软件，只要攻击者说服人们下载苹果Testflight并欺骗他们安装他们的聊天应用程序，就可以利用苹果的官方服务来分发该恶意应用程序，使得该欺诈行为变得合法化。

虽然该应用程序的功能尚不明确，但它被怀疑是作为一种社会工程上的欺诈手段，通过专门为此目的策划的聊天媒介对活动的受害者进行监控。

此外，Bitter APT运营商使用了一个全新的安卓恶意软件，称为Dracarys，它滥用操作系统的可访问性权限，安装任意应用程序，录制音频，捕捉照片，并从受感染的手机中获取敏感数据，如通话记录、联系人、文件、文本信息、地理位置和设备信息。

Dracarys是通过冒充YouTube、Signal、Telegram和WhatsApp的木马程序传递的，延续了攻击者倾向于部署伪装成合法软件的恶意软件来侵入移动设备的趋势。

此外，作为对抗性适应的一个标志，Meta注意到该组织通过在聊天线程中发布破碎的链接或恶意链接的图片来反击其检测和阻止工作，要求接收者在他们的浏览器中输入链接。

Bitter的起源是一个谜，其行为特征难将其与任何一个特定的国家联系起来，该组织被认为是在南亚运作的，最近扩大了重点，打击孟加拉国的军事实体。

Transparent Tribe

第二个被Meta反制的集体是Transparent Tribe（又名APT36），这是一个据称以巴基斯坦为基地的APT组织，该组织使用定制的恶意工具攻击印度和阿富汗的政府机构的记录。

最新的一系列入侵事件表明该组织是一个综合体，专门针对阿富汗、印度、巴基斯坦、沙特阿拉伯和阿联酋的军事人员、政府官员、人权和其他非营利组织的雇员以及学生。

这些攻击者通过冒充公司的招聘人员、军事人员或希望建立浪漫关系的年轻女性，使用这些虚假身份进行社交骗局，最终诱使受害者打开承载恶意软件的链接。

下载的文件包含LazaSpy，这是一款名为XploitSPY的开源安卓监控软件的修改版，同时还利用非官方的WhatsApp、微信和YouTube克隆应用来传递另一款名为Mobzsar（又名CapraSpy）的商品恶意软件。

这两款恶意软件都带有收集通话记录、联系人、文件、短信、地理位置、设备信息和照片的功能，并启用了设备的麦克风，使它们成为有效的监视工具。

研究人员表示这个组织的行动体现了在全球APT攻击中的一种趋势，即低级别的团体更多地选择依靠公开的恶意工具，而不是投资开发或购买复杂的进攻能力。这些 低成本工具基本不需要多少专业技术即可使用，这就使得攻击门槛大幅度降低，黑客攻击与监视也会变得更加普遍。

信源：https://thehackernews.com/2022/08/meta-cracks-down-on-cyber-espionage.html