乌克兰国防部情报局（GUR）声称它入侵了俄罗斯国防部——每周威胁情报动态第167期（03.01-03.07）

APT组织Kimsuky利用软件公司产品安装程序进行伪装展开攻击

Kimsuky，别名Mystery Baby、Baby Coin、Smoke Screen、Black Banshe等，该APT组织于2013年首次公开披露，疑似具有东北亚国家背景。Kimsuky主要攻击目标为韩国，涉及国防、教育、能源、政府、医疗以及智囊团等领域，以机密信息窃取为主。该组织通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件，攻击手法多样，拥有针对Windows和Android平台的攻击武器。近期，奇安信的研究人员发现一批以韩国软件公司SGA旗下产品安装程序为伪装的窃密攻击样本，样本运行后释放正常的安装包迷惑受害者，并暗中执行经过VMProtect处理的恶意DLL，恶意DLL由Go语言实现，收集感染设备上的各类信息回传给攻击者，然后清除攻击痕迹。根据窃密软件样本携带的数字签名我们关联到另一种用作后门的恶意软件，同样为Go编写，并带有VMProtect保护壳。此后门软件与Kimsuky组织历史攻击样本存在多处特征重叠，因此我们认为这两种恶意软件均和Kimsuky组织存在关联。攻击链图如下图所示。

参考来源

https://blog.sekoia.io/noname05716-ddosia-project-2024-updates-and-behavioural-shifts

TA577组织使用新型攻击链窃取NTLM信息

近期，Proofpoint的安全人员披露了TA577组织使用新型攻击链窃取NTLM数据，攻击者针对全球数百个机构组织发送数万条电子邮件，邮件显示为对之前邮件内容的回复，邮件中携带zip压缩文件，文件中的HTML页面针对收件人进行定制，HTML文件携带特定SMB URI，可自动外联攻击者服务器获取文件。虽然安全人员尚未观察到相关恶意软件的传递，但安全人员高度确信TA577组织的目标是捕获NTLM哈希。窃取的哈希值可用于密码破解或者进行哈希传递攻击。TA577是著名的网络犯罪组织，也是Qbot僵尸网络遭到破坏之前的主要附属机构之一，目前，安全人员已将TA577活动与勒索软件感染(包括Black Basta)相关联，此外，该组织目前正在利用各种攻击链传送Pikabot。

来源：

https://www.proofpoint.com/us/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft

乌克兰国防部情报局（GUR）声称它入侵了俄罗斯国防部

近日，乌克兰国防部主要情报局（GUR）宣布，作为特别行动的一部分，它已经破坏了俄罗斯国防部的服务器，并泄露了机密文件。被盗文件包括：1.机密文件，包括在俄罗斯军队的 2000 多个结构单位之间分发的命令和报告。2.俄罗斯国防部用于加密和保护其数据的软件。3.属于俄罗斯战争部的特勤局文件集。被盗文件使乌克兰GUR的情报分析人员能够描绘俄罗斯国防部系统及其各个单位的综合结构。这些文件揭示了俄罗斯国防部的领导层，包括俄罗斯国防部各部门的其他高级官员。这包括副手、助手和专家，以及使用被称为“官僚”的电子文件管理系统的个人。

来源：

https://securityaffairs.com/159981/cyber-warfare-2/ukraine-gur-hacked-russian-ministry-of-defense.html

黑客针对FCC和加密货币公司发动高级Okta网络钓鱼攻击

近期，Lookout的研究人员披露，一种名为"CryptoChameleon"的先进网络钓鱼工具包被用于针对美国联邦通信委员会(FCC)以及包括Binance、Coinbase、Kraken和Gemini在内的加密货币公司。经分析发现，该工具包使用专门为Okta设计的单点登录(SSO)页面，要求受害者使用hCaptcha完成验证码，以防止自动分析工具抓取和识别网络钓鱼网站。期间，攻击者将首先注册与合法实体的域非常相似的域来为后续活动提供支持，通过结合使用社会工程学技术，利用电子邮件、短信和语音网络钓鱼，以欺骗受害者在网络钓鱼页面上输入敏感信息，如用户名、密码，在某些情况下甚至包括带照片的身份证件。根据所观察到的日志，研究人员表示这些钓鱼网站已成功诱骗了100多名受害者，其中许多网站仍然活跃，并且每小时都会继续进行网络钓鱼以获取更多凭据。此外，研究人员发现该活动涉及的网络钓鱼操作与Scattered Spider黑客组织在2022年进行的Oktapus活动类似，但尚未有足够的证据证明其归属。

来源：

https://www.lookout.com/threat-intelligence/article/cryptochameleon-fcc-phishing-kit

新的 WogRAT 恶意软件滥用在线记事本服务来存储恶意软件

近日，AhnLab的研究人员的发现，一种名为“WogRAT”的新恶意软件针对 Windows和Linux进行攻击，滥用名为“aNotepad”的在线记事本平台作为存储和检索恶意代码的秘密渠道。研究人员从字符串中将该恶意软件命名为“WingOfGod”，其至少从2022年底开始活跃，针对日本、新加坡、中国、香港和其他亚洲国家。恶意软件的分发方法未知，但采样的可执行文件的名称类似于流行的软件。例如：flashsetup_LL3gjJ7.exe、WindowsApp.exe、WindowsTool.exe、BrowserFixup.exe、ChromeFixup.exe、HttpDownload.exe、ToolKit.exe。因此该恶意软件可能是通过恶意广告或类似方案分发的。值得注意的是，攻击者利用aNotepad来托管Windows版本恶意软件的base64编码的.NET二进制文件，伪装成Adobe工具。作为一项合法的在线服务，aNotepad不会被列入黑名单，也不会被安全工具可疑地对待，这有助于使感染链更加隐蔽。

来源：

https://www.bleepingcomputer.com/news/security/new-wograt-malware-abuses-online-notepad-service-to-store-malware/

GhostSec和Stormous在超过15个国家/地区发起联合勒索软件攻击

近日，思科的研究人员发现TheGhostSec和Stormous勒索软件组织正在联合一起，对多个国家/地区的各种业务垂直领域进行双重勒索勒索软件攻击。该组织发动的袭击针对古巴，阿根廷，波兰，中国，黎巴嫩，以色列，乌兹别克斯坦，印度，南非，巴西，摩洛哥，卡塔尔，土耳其，埃及，越南，泰国和印度尼西亚的受害者。一些受影响最大的垂直业务包括技术、教育、制造、政府、交通、能源、法医、房地产和电信等领域。研究人员发现了GhostSec可能用来破坏合法网站的两个新工具。“其中一个是'GhostSec深度扫描工具集'，用于递归扫描合法网站，另一个是用于执行跨站点脚本（XSS）攻击的黑客工具，称为'GhostPresser'。GhostPresser主要旨在闯入WordPress网站，允许攻击者更改网站设置、添加新插件和用户，甚至安装新主题，这表明GhostSec致力于发展其武器库最新调查结果显示。这两个组织联合起来，不仅打击了广泛的行业，而且还在2023年11月发布了GhostLocker的更新版本，并在2024年启动了一个名为STMX_GhostLocker的新 RaaS 计划。

参考来源

https://thehackernews.com/2024/03/alert-ghostsec-and-stormous-launch.html