2023全球十大网络安全演习

标签:全球演练

俄黑客组织“沙虫”发力，乌克兰关基设施被破坏

标签：沙虫黑客组织，APT

根据乌克兰计算机应急响应团队（CERT-UA）的报告，俄罗斯黑客组织 “沙虫 “（Sandworm）旨在破坏乌克兰约 20 家关键基础设施的运行。

该黑客组织也被称为 BlackEnergy、Seashell Blizzard、Voodoo Bear 和 APT44 ，据信与俄罗斯武装部队总参谋部主管部门（GRU）有关，主要针对各种目标进行网络间谍活动和破坏性攻击。

CERT-UA 的报告称，2024 年 3 月，APT44 破坏了乌克兰 10 个地区的能源、水务、供暖供应商的信息和通信系统。

在某些情况下，Sandworm 会通过操纵软件供应链或者利用软件提供商的权限来进入目标网络，也可能部署被篡改的软件或者利用软件漏洞，成功渗透到系统中。

另外，该组织还结合了之前用过的恶意软件和新的恶意工具（比如BIASBOAT和LOADGRIP）来获取系统访问权限，在网络中横向移动。

CERT-UA 专家已确认至少有三条 “供应链 “遭到破坏，这导致最初未经授权的访问。这种访问要么与安装含有后门和漏洞的软件有关，要么是由于供应商员工通常具备访问组织工控系统进行维护和技术支持的权限。

乌克兰机构指出，Sandworm 的入侵行为得以简化，部分原因是目标的网络安全实践较差（例如缺乏网络分段以及软件供应商防御措施不足）。

自 2024 年 3 月 7 日至 3 月 15 日，CERT-UA 进行了大规模的反网络攻击行动，包括通知受影响企业、清除恶意软件和加强安全措施。

对受影响实体的日志进行调查后发现，Sandworm 主要依靠以下恶意软件对乌克兰公共事业供应商进行攻击：

• QUEUESEED/IcyWell/Kapeka：这是一个针对 Windows 的 C++ 后门，用于收集基本系统信息并执行来自远程服务器的命令。它可以处理文件操作、命令执行和配置更新，并能自行删除。通信通过 HTTPS 进行安全传输，数据使用 RSA 和 AES 加密。它通过在 Windows 注册表中加密其配置并设置任务或注册表项以实现自动执行，从而在感染的系统上存储数据并保持持久性。

• BIASBOAT（新）：最近出现的 QUEUESEED Linux 变种。它伪装成加密文件服务器，与 LOADGRIP 同时运行。

• LOADGRIP（新）：也是用 C 语言开发的 QUEUESEED Linux 变种，用于使用 ptrace API 向进程注入有效负载。有效负载通常是加密的，解密密钥来自一个常量和一个特定机器 ID。

• GOSSIPFLOW：在 Windows 上使用基于 Go 的恶意软件，利用 Yamux 多路复用器库建立隧道；它提供 SOCKS5 代理功能，帮助外泄数据并确保与命令和控制服务器的通信安全

CERT-UA 在调查期间发现的其他恶意工具来自开源空间，包括 Weevly webshell、Regeorg.Neo、Pitvotnacci 和 Chisel 隧道程序、LibProcessHider、JuicyPotatoNG 和 RottenPotatoNG。黑客组织利用这些工具来维持攻击持久性、隐藏恶意进程，并提升他们在被入侵系统上的权限。

乌克兰机构认为，这些攻击的目的是增强俄罗斯导弹对目标基础设施的打击效果。

信源：https://www.freebuf.com/news/398980.html

微软警告：朝鲜黑客开始运用 AI 加强网络间谍活动

标签：AI 工具，网络钓鱼，朝鲜黑客

最新微软报告显示，与朝鲜有关的黑客组织开始应用人工智能技术，提高其网络行动的效率和效果。

报告指出，这些黑客正在学习利用基于大语言模型（LLM）的 AI 工具，增强网络攻击活动的成效。

微软在报告中指出。微软特别提到了一个名为 Emerald Sleet（亦称为Kimusky或TA427）的黑客组织，观察到其使用 LLM 技术帮助提升针对朝鲜半岛专家的网络钓鱼攻击力度。

该报告还提到，这些黑客利用 AI 技术的最新进展来研究安全漏洞，并对专注于研究朝鲜问题的组织和专家进行侦查。

此外，微软表示它们还运用了 LLMs 来解决技术难题、执行基础脚本任务和撰写网络钓鱼邮件内容，并和 OpenAI 合作封禁了相关的威胁账户和资产。

根据研究人员发布的报告显示，Kimusky 利用看似友好的对话开始方式，与目标展开长期的沟通，以获取重要信息。

Kimusky 的常见手法是使用与智库和非政府组织相关的身份来使其恶意邮件看起来更加合法，提高了攻击的成功率。

近月来，这个国家支持的黑客组织还开始滥用宽松的基于域的消息认证体系（DMARC），通过伪装各种身份和植入网页信标（即追踪像素），以便绘制目标人物的概况，显示出它们对策略调整具有的敏捷性。

这一事态发展正值朝鲜黑客组织继续从事加密货币抢劫和供应链攻击之际，一名被称为 Jade Sleet 的威胁者与2023 年 6 月从爱沙尼亚一家加密公司盗窃至少 3500 万美元以及从一家加密货币公司盗窃超过 1.25 亿美元有关。一个月后，新加坡的加密货币平台出现了。

Jade Sleet，与其他被跟踪的黑客团伙 TraderTraitor 和 UNC4899 有重叠，也在 2023 年 8 月对在线加密货币赌场发动攻击，并使用假冒的 GitHub 仓库和恶意 npm 包来选择性攻击加密货币和科技企业的员工。

在 2023 年 8 月，一个位于德国的 IT 公司遭到了名为 Diamond Sleet（别名Lazarus Group）的黑客组织的侵害，然后在 11 月通过对台湾一家 IT 公司的软件进行供应链攻击。

微软威胁分析中心（MTAC）的负责人Clint Watts表示：“这样做主要是为了为该国的武器计划筹集资金，同时也为了收集有关美国、韩国和日本的情报。”Lazarus Group 还以使用复杂方法而著称，比如在 Windows 系统中利用 Phantom DLL 劫持技巧以及在 macOS 系统中操纵透明度、许可和控制（TCC）数据库，这些手法进一步展示了其狡猾和难以捉摸的特性，据安全公司Interpres Security的分析。

这些发现发生在 Konni（又名Vedalia）组织使用 Windows 快捷方式（LNK）文件传播恶意软件的背景下。赛门铁克公司提到：“该黑客组织利用双重扩展名技巧隐藏真正的.lnk扩展名，并且在 LNK 文件中填充了大量的空白字符，以掩盖恶意指令行。在攻击过程中，这些命令行脚本会努力检测 PowerShell 以逃避侦测，并寻找潜藏在文件中的恶意载荷。”

信源：黑客资讯 (hackernews.cc)