正文

乌克兰称:俄黑客在最近的网络间谍活动中以大使馆和国际组织为目标

admin
admin V管理员 /0 评论 /129 阅读
1116
此篇文章发布距今已超过308天,您需要注意文章的内容或图片是否可用!


导 



乌克兰政府网络安全研究人员发现,俄罗斯国家支持的黑客在最近的一次网络间谍活动中以大使馆和国际组织为目标。


这些攻击归因于臭名昭著的黑客组织 APT29,也称为 Cozy Bear 或 Blue Bravo。分析人士此前将其与俄罗斯对外情报局(SVR)联系起来,该机构负责收集其他国家的政治和经济情报。


乌克兰国家网络安全协调中心 (NCSCC)分析了今年 9 月发生的这次活动。该组织在之前的活动中使用了类似的工具和策略,特别是在四月份针对基辅大使馆的行动中。


NCSCC 表示,最近的行动“主要目标是渗透使馆实体”,其中包括阿塞拜疆、希腊、罗马尼亚和意大利的目标。NCSCC 表示,另一个受害者是希腊主要互联网提供商 Otenet。


研究人员表示,外交账户,尤其是与阿塞拜疆和意大利外交部相关的账户,受到的影响最大。一个可能的原因是俄罗斯情报部门试图收集有关阿塞拜疆战略活动的信息,特别是导致阿塞拜疆入侵纳戈尔诺-卡拉巴赫地区的信息。


APT29 的攻击活动总共针对 200 多个电子邮件地址,但尚不清楚有多少次攻击成功。


战术和技术


APT29 利用了Windows 文件归档工具 WinRAR 中最近发现的漏洞。该漏洞被识别为 CVE-2023-3883,在 2023 年初被国家背景的黑客组织利用,然后才得到修补。该工具的未修补版本仍然容易受到攻击。


NCSCC 表示,该漏洞仍然“构成重大威胁”,因为它允许攻击者通过利用特制的 ZIP 存档来执行任意代码。


在最近的活动中,Cozy Bear 向受害者发送了包含 PDF 文档链接和利用该漏洞的恶意 ZIP 文件的网络钓鱼电子邮件,可能会授予攻击者访问受感染系统的权限。


为了说服目标打开恶意文件,黑客创建了电子邮件,声称拥有有关外交宝马汽车销售的信息。今年春天,该组织在袭击基辅大使馆时也使用了同样的诱饵。


研究人员表示,在这次活动中,攻击者引入了一种与恶意服务器通信的新技术。特别是,他们使用了一种名为 Ngrok 的合法工具,该工具允许用户将其本地服务器公开到互联网。


Ngrok 通常在 Web 开发和测试过程中用于为本地 Web 服务器提供临时公共 URL,但网络犯罪分子部署它是为了混淆他们的活动并与受感染的系统进行通信,同时逃避检测。


NCSCC 表示,通过以这种方式利用 Ngrok 的功能,攻击者可以使网络安全分析进一步复杂化,并保持在雷达之下,从而使防御和归因更具挑战性。


Cozy Bear 之前的攻击


乌克兰战争期间,APT29对乌克兰军队及其政党、外交机构、智库和非营利组织进行了网络攻击。


例如,四月份,该组织针对北约国家、欧盟以及“在较小程度上”非洲的外交部和外交实体发起了一场间谍活动。


黑客的策略与 9 月份的攻击活动中使用的策略类似。特别是,他们向特定人员发送冒充欧洲国家大使馆的网络钓鱼电子邮件,通常在邮件正文或附件 PDF 中包含恶意链接,邀请目标外交官访问大使的日历。


APT29 因战前几起备受瞩目的事件而受到指责,其中包括2020 年SolarWinds供应链攻击,该攻击影响了全球数千个组织,并导致了一系列数据泄露。


参考链接:https://therecord.media/cyber-espionage-campaign-embassies-apt29-cozy-bear

今日安全资讯速递




APT事件

Advanced Persistent Threat

亲巴勒斯坦的 APT 组织在新攻击活动中使用 IronWind 新型下载器

https://www.infosecurity-magazine.com/news/propalestine-apt-group-novel/


乌克兰安全研究人员发现,俄黑客在最近的网络间谍活动中以大使馆和国际组织为目标

https://therecord.media/cyber-espionage-campaign-embassies-apt29-cozy-bear




一般威胁事件

General Threat Incidents

OpenSea NFT 用户报告大规模电子邮件网络钓鱼活动

https://cointelegraph.com/news/opensea-nft-email-phishing


OracleIV DDoS 僵尸网络以公共 Docker 引擎 API 为目标来劫持容器

https://thehackernews.com/2023/11/alert-oracleiv-ddos-botnet-targets.html


涉及假记者的网络钓鱼计划在 Friend.tech 攻击中暴露

https://www.tronweekly.com/phishing-scheme-involving-fake-journalists-ex/


加拿大主要金融科技公司 Moneris 遭 Medusa 勒索软件攻击

https://cybernews.com/news/moneris-medusa-data-breach/


FBI 捣毁了 IPStorm 恶意软件僵尸网络

https://therecord.media/fbi-takes-down-ipstorm-malware-botnet


FBI 和 CISA 警告警惕 Rhysida 勒索软件攻击

https://www.bleepingcomputer.com/news/security/fbi-and-cisa-warn-of-opportunistic-rhysida-ransomware-attacks/


美监管机构介入,要求停止向消费者销售已知受到恶意软件攻击的Android 电视机顶盒和移动设备

https://www.eff.org/press/releases/eff-urges-ftc-address-american-resellers-malware-android-tv-set-top-boxes


三星遭遇新数据泄露,影响英国在线商店客户

https://www.bleepingcomputer.com/news/security/samsung-hit-by-new-data-breach-impacting-uk-store-customers/


多伦多公共图书馆确认数据在勒索软件攻击中被盗

https://www.bleepingcomputer.com/news/security/toronto-public-library-confirms-data-stolen-in-ransomware-attack/


美国的医疗保健组织服务商PJ&A 称网络攻击暴露了近 900 万患者的数据

https://www.bleepingcomputer.com/news/security/pj-and-a-says-cyberattack-exposed-data-of-nearly-9-million-patients/


医疗保健分销商 Henry Schein 在黑客攻击事件中泄露了客户银行卡信息

https://cybernews.com/news/henry-schein-confirms-data-breach-customer-info-likely-exposed/


BlackCat勒索软件团伙通过 Google Ads 广告针对企业

https://www.infosecurity-magazine.com/news/alphvblackcat-targets-businesses/




漏洞事件

Vulnerability Incidents

英特尔、AMD 解决了 130 多个漏洞

https://www.securityweek.com/chipmaker-patch-tuesday-intel-amd-address-over-130-vulnerabilities/


新的英特尔 CPU 漏洞“Reptar”可能允许 DoS 攻击和权限提升

https://www.securityweek.com/new-intel-cpu-vulnerability-reptar-can-allow-dos-attacks-privilege-escalation/


Citrix Hypervisor 获得针对新 Reptar Intel CPU 缺陷的修补程序

https://www.bleepingcomputer.com/news/security/citrix-hypervisor-gets-hotfix-for-new-reptar-intel-cpu-flaw/


VMware 警告未修补的关键 Cloud Director 漏洞(CVE-2023-34060)

https://thehackernews.com/2023/11/urgent-vmware-warns-of-unpatched.html


Microsoft 修补 Azure CLI 中的敏感信息泄露漏洞

https://www.securityweek.com/microsoft-patches-sensitive-information-disclosure-vulnerability-in-azure-cli/


企业软件制造商 SAP 修补 Business One 产品中的严重漏洞

https://www.securityweek.com/sap-patches-critical-vulnerability-in-business-one-product/


CISA 新增了三个已知的被利用漏洞

https://www.cisa.gov/news-events/alerts/2023/11/14/cisa-adds-three-known-exploited-vulnerabilities-catalog


针对Apache ActiveMQ 漏洞(CVE-2023-46604)的新 PoC 可能会让攻击者绕过安全系统

https://thehackernews.com/2023/11/new-poc-exploit-for-apache-activemq.html


CacheWarp 攻击:AMD SEV 中的新漏洞暴露加密虚拟机

https://thehackernews.com/2023/11/cachewarp-attack-new-vulnerability-in.html

扫码关注

会杀毒的单反狗

讲述普通人能听懂的安全故事


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com