网络安全资讯周报（09/18 - 09/22） - 新鲜讯息

目录/contents

全球动态

美国机构发布关于Deepfake威胁的网络安全报告
LAZARUS APT 三个月内窃取近 2.4 亿美元的加密资产
研究人员披露Turla组织最近活跃的十种恶意软件

安全事件

伊朗黑客组织PEACH SANDSTORM 发起密码喷洒攻击
国际刑事法院（ICC）系统遭到黑客入侵
黑客组织NONAME 对加拿大机场发起 DDOS 攻击
APT36组织利用伪造的YouTube应用程序分发CapraRAT
匿名苏丹组织针对Telegram应用发起DDoS攻击
基于Rust的恶意软件针对阿塞拜疆发起攻击活动

数据泄露

微软AI部门研究人员意外泄露38TB敏感数据
黑客USDoD泄露美国信用机构TransUnion超过3 GB的数据
Retool的员工遭到钓鱼攻击导致部分客户的账户泄露
Nuance公司被Clop攻击导致北卡罗来纳州多家医院数据泄露

NEWS

Part 1

全球动态

LAZARUS APT 三个月内窃取近 2.4 亿美元

的加密资产

根据区块链网络安全公司 Elliptic 发布的一份报告，在过去 104 天里，与朝鲜有关的 APT 组织 Lazarus 窃取了多家企业的 2.4 亿美元加密资产中的大部分，包括 Atomic Wallet（1 亿美元）、CoinsPaid （ 37.3美元） M）、Alphapo（6000 万美元）和Stake.com（4100 万美元）。该团伙最近还涉嫌从专业的全球加密货币交易所 CoinEx 窃取了 3100 万美元。对近期攻击的分析表明，自去年以来，Lazarus APT 组织已将其重点从去中心化服务转向中心化服务。最近的五次攻击中有四次针对中心化虚拟资产服务提供商。研究人员还指出，中心化交易所是该组织在 2020 年之前选择的目标。策略的改变可能是由于 DeFi 平台网络安全水平的提高。

原文链接：

https://securityaffairs.com/150957/apt/lazarus-stole-240m-crypto-assets.html

美国机构发布关于Deepfake威胁的网络

安全报告

CISA、FBI 和 NSA 发布了一份关于 Deepfake 的网络安全报告以及识别和应对此类威胁的建议。美国几个政府机构周二发布了一份网络安全信息表，重点关注深度造假带来的威胁以及组织如何识别和应对深度造假。Deepfake 是一个用于描述合成媒体的术语——通常是虚假图像和视频。Deepfakes已经存在很长时间了，但人工智能 (AI) 和机器学习 (ML) 的进步使得创建高度逼真的 Deepfakes 变得更加容易且成本更低。Deepfakes 对于宣传和错误信息操作很有用。例如，自战争开始以来，俄罗斯总统弗拉基米尔·普京和乌克兰总统弗拉基米尔·泽伦斯基的深度伪造品就已经出现。然而，FBI、NSA 和 CISA 在他们的新报告中警告说，深度造假也可能对政府、国家安全、国防和关键基础设施组织等组织构成重大威胁。具体来说，恶意行为者可能会创建冒充高管的视频和音频内容，以进行品牌操纵或影响股价。

原文链接：https://media.defense.gov/2023/Sep/12/2003298925/-1/-1/0/CSI-DEEPFAKE-THREATS.PDF

美国机构发布关于Deepfake威胁的网络

安全报告

Turla（又名 Peptic Ursa、Uroburos、Snake）是一个总部位于俄罗斯的威胁组织，至少自 2004 年起就开始活动，与俄罗斯联邦安全局 (FSB) 有联系。其武器库中最近活跃的 10 种恶意软件类型包括：Capibar、Kazuar、Snake、Kopiluwak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack 和 TinyTurla。Turla组织的目标受害者遍布超过 45 个国家以及广泛的部门，包括政府实体、大使馆和军事组织，以及教育、研究和制药公司。此外，该威胁组织还积极参与了 2022 年 2 月开始的俄罗斯-乌克兰冲突。

原文链接：https://securityaffairs.com/149372/security/us-govt-artificial-intelligence-cyber-challenge.html

Part 2

安全事件

伊朗黑客组织PEACH SANDSTORM 发起

密码喷洒攻击

微软研究人员观察到一个名为Peach Sandstorm的伊朗黑客组织针对美国和世界各地的数千个组织发起了密码喷洒攻击。Peach Sandstorm又名Holmium、APT33、Elfin和 Magic Hound，自 2013 年以来一直活跃，自 2016 年中期以来，该组织的目标是与石化生产有关的航空业和能源公司。大多数目标位于中东，其他目标位于美国、韩国和欧洲。在 2023 年 2 月至 7 月期间，该组织发起了一波密码喷射攻击，试图对数千个环境进行身份验证，以可能促进情报收集，支持伊朗的国家利益。

原文链接：https://securityaffairs.com/150868/intelligence/iranian-peach-sandstorm-password-spray.html

国际刑事法院（ICC）系统遭到黑客入侵

国际刑事法院（ICC）上周发现其系统遭到破坏后，于周二披露了一起网络攻击事件。国际刑事法院表示，其国际刑事法院的服务部门于上周末检测到影响其信息系统的异常活动，并立即采取措施应对这一网络安全事件并减轻其影响。目前，还没有关于网络攻击的性质和对国际刑事法院系统的影响程度的信息，也没有关于犯罪者是否设法从其网络访问或窃取任何数据或文件的信息。法院仅透露，它“继续分析和减轻这一事件的影响”，重点是“确保法院的核心工作继续进行”。

原文链接：https://www.bleepingcomputer.com/news/security/hackers-breached-international-criminal-courts-systems-last-week/

黑客组织NONAME 对加拿大机场发起

DDOS攻击

加拿大的自助值机终端遭到攻击，全国各地多个机场边境检查站的值机亭和电子登机口出现故障，导致入境旅客办理手续的延误了一个多小时。加拿大边境服务局（CBSA）本周二表示，影响机场自助服务终端和电子登机口的连接问题是DDoS攻击导致的。亲俄黑客组织NoName057在Telegram上宣布对此次攻击负责。加拿大当局正在调查这起安全事件，目前没有数据泄露的证据。

原文链接：

https://securityaffairs.com/151149/hacking/noname-ddos-attack-canadian-airports.html

APT36组织利用伪造的YouTube应用程序

分发CapraRAT

APT36 黑客组织（又名“透明部落”）使用至少三个伪造的 YouTube 的 Android 应用程序来分发 CapraRAT 。CapraRAT 是一种高度侵入性的工具，使攻击者能够控制其感染的 Android 设备上的大部分数据。在安装过程中，应用程序会要求有风险的权限。该恶意软件可以提取数据、记录音频/视频、充当有效的间谍软件以及访问敏感通信数据。它还可以拨打电话、拦截/阻止短信以及覆盖 GPS 和网络设置。提取的信息被上传到攻击者控制的服务器。该恶意软件被推广为名为 MeetsApp 和 MeetUp 的木马安全消息/通话应用程序，并通过社会工程诱饵进行分发。在此活动中，恶意 YouTube 应用程序是通过第三方平台分发的，而不是通过 Google Play 或 Android Play 商店分发的。

原文链接：https://www.hackread.com/fake-youtube-android-apps-caprarat/

匿名苏丹组织针对Telegram应用发起DDoS

攻击

匿名苏丹组织（Anonymous Sudan）对 Telegram 发起DDoS攻击，以报复其在该平台上的主要帐户被暂停。匿名苏丹自称是一个出于政治和宗教原因的黑客组织，针对澳大利亚、丹麦、法国、德国、印度、以色列、瑞典和英国的组织策划了 DDoS 攻击。该组织自今年年初以来一直活跃，并于 1 月 18 日建立了 Telegram 频道，宣布打算对任何反对匿名苏丹的实体发动网络攻击。6月，匿名苏丹发起了一系列针对Microsoft 365 的破坏性DDoS攻击，影响了 Outlook、Microsoft Teams、OneDrive for Business 和 SharePoint Online 后声名鹊起。8 月下旬，该组织对 X（前称 Twitter）进行了DDoS 攻击。其账户被Telegram暂停的原因尚不清楚，可能与其使用了机器人帐户或最近对 X 的攻击有关。

原文链接：https://www.securityweek.com/after-microsoft-and-x-hackers-launch-ddos-attack-on-telegram/

基于Rust的恶意软件针对阿塞拜疆发起攻击

活动

研究人云发现了针对阿塞拜疆基础设施的新恶意软件活动，旨在在受感染的系统上部署基于Rust 的恶意软件。研究人员将该活动命名为“Operation Rusty Flag ”进行追踪。该活动尚未与任何已知的攻击者或组织相关联。该活动至少有两个不同的初始访问向量。第一个是文件名为“1.KARABAKH.jpg.lnk”的恶意LNK文件。该文件具有双重扩展名，旨在诱骗受害者点击，因为它似乎是与纳戈尔诺-卡拉巴赫最近的军事冲突有关的图像文件。第二个初始访问向量是 Storm-0978 团队之前使用的文档的修改版本。这一行动看起来像是一次故意的虚假标记，试图将此次攻击归咎于 Storm-0978。

原文链接：https://thehackernews.com/2023/09/operation-rusty-flag-azerbaijan.html

Part 3

数据泄露

微软AI部门研究人员意外泄露38TB敏感数据

研究人员在扫描互联网以查找暴露云托管数据的配置错误的存储容器时发现，微软AI研究部门在向公共GitHub存储库贡献开源人工智能学习模型时意外泄露了38 TB的敏感数据。泄露的数据来自两个被暴露的员工工作站的磁盘备份，包括微软服务的密码、密钥以及来自359名微软员工的30000多条内部Teams消息的存档。微软将数据泄露与使用过于宽松的共享访问签名（SAS）令牌联系起来，该令牌可对共享文件进行完全控制。数据自2020年7月开始泄露，于今年6月24日解决。

原文链接：

https://securityaffairs.com/151004/data-breach/microsoft-ai-data-leak.html

黑客USDoD泄露美国信用机构TransUnion

超过3 GB的数据

TransUnion是美国三大征信巨头之一，收集并汇总了30多个国家和地区的超过10亿消费者的信息，其中包括“2 亿份分析了美国几乎所有信用活跃的消费者的文件”。一个绰号为“USDoD”的黑客泄露了据称是从该机构窃取的数据，泄露的数据库超过3 GB，包含约58505人的PII信息，遍布全球，包括美国和欧洲。vx-underground称，该档案包含可追溯到2022年3月2日的数据。泄露的数据包括个人名姓、TransUnion 内部标识符、性别、护照信息、出生地、出生日期、婚姻状况、年龄、现任雇主、雇主信息、金融交易摘要、信用评分、名下贷款、贷款余额、贷款来源以及TransUnion 首次开始监控其信息的时间。

原文链接：

https://securityaffairs.com/150968/data-breach/transunion-data-leak.html

Retool的员工遭到钓鱼攻击导致部分客户的

账户泄露

软件公司Retool在遭到有针对性的多阶段社工攻击后，27名云客户的帐户泄露。Retool 是一个面向企业的低代码开发平台，用户包括亚马逊、梅赛德斯-奔驰、DoorDash、NBC、Stripe 和 Lyft等知名公司。攻击发生在8月27日，攻击者利用钓鱼短信和社工攻击绕过多重安全控制，入侵了一名IT员工的Okta帐户。登录后，攻击者伪造员工的声音并致电目标IT团队成员，诱骗他们提供额外的MFA代码，从而将攻击者的设备添加到目标员工的Okta帐户中。Retool将此次攻击归咎于Google Authenticator中可将2FA代码与其Google帐户同步的新功能。

原文链接：

https://www.bleepingcomputer.com/news/security/retool-blames-breach-on-google-authenticator-mfa-cloud-sync-feature/

Nuance公司被Clop攻击导致北卡罗来纳州

多家医院数据泄露

微软旗下的医疗技术公司Nuance遭到了Clop的攻击，导致北卡罗来纳州多家医院和其他医疗保健提供者的个人数据被泄露。泄露的数据包括人们接受的服务及人口统计信息。该攻击是利用Progress MOVEit Transfer中漏洞的攻击活动的一部分。

原文链接：https://securityaffairs.com/150949/cyber-crime/north-carolina-hospitals-data-breach.html