多个俄罗斯网络攻击组织针对法国巴黎展开攻击，可能跟随后的奥运会有关——每周威胁情报动态第185期（07.19-07.25）

多个俄罗斯网络攻击组织针对法国巴黎展开攻击，可能跟随后的奥运会有关

Cyble Research & Intelligence Labs (CRIL) 最近的研究报告揭露了两个俄罗斯网络激进组织，“People’s Cyber Army”（俄语：Народная Cyber Армия）和“HackNeT”，它们在2024年6月23日对法国的多个网站进行了一系列的试验性分布式拒绝服务（DDoS）攻击。这些攻击被视为即将到来的巴黎奥运会期间可能发生的更大规模网络攻击的预演。

“People’s Cyber Army”是一个与APT44（也称为Sandworm, FROZENBARENTS, 和 Seashell Blizzard）有联系的组织，APT44是一个知名的网络攻击团体，历史上曾发动过多次针对关键基础设施和政府机构的攻击。此次，他们通过Telegram频道公开宣布了对法国网站的DDoS攻击，声称这是一次“训练DDoS攻击”，暗示着他们对即将到来的巴黎奥运会有着更大的攻击计划。在攻击中，这些网络激进分子利用了先进的DDoS工具，这些工具能够执行第4层和第7层的网络攻击，通过多线程和多进程技术同时发送大量请求，以压倒目标服务器。此外，这些工具还具备代理支持功能，使得攻击源头难以追踪。CRIL的研究人员注意到，“People’s Cyber Army”和“HackNeT”在Telegram上分享了攻击的截图，并提供了监控网站停机时间的‘check-host.net’的链接，以此来证明他们的攻击是成功的。这些攻击不仅展示了这些组织的技术能力，也反映了他们的政治动机和对特定目标的专注。“People’s Cyber Army”自2022年3月首次出现在公众视野以来，已经与其他几个亲俄黑客团体如NoName057(16), CyberDragon, 和 UserSec Collective等进行了多次联合攻击。而“HackNeT”则是从2023年2月开始活跃，它们通常针对乌克兰、北约成员国和其他目标进行政治动机的攻击。

参考链接：

https://cyble.com/blog/hacktivist-groups-peoples-cyber-army-and-hacknet-launch-trial-ddos-attacks-on-french-websites-prior-to-the-onslaught-during-paris-olympics/

摩诃草APT组织针对不丹的网络攻击活动采用新型恶意软件工具

知道创宇404高级威胁情报团队最新研究报告揭露了APT组织Patchwork（亦称摩诃草、Dropping Elephant）的最新网络攻击活动。该组织近期针对不丹疑似目标的攻击行动中，首次采用了两种新型恶意软件工具：Brute Ratel C4和PGoShell的增强版，显示出其攻击手段的进一步演进。

摩诃草APT组织自2014年起活跃，专注于东亚及南亚地区的政府、国防、外交机构和教育科研组织。此次攻击活动的技术细节如下：

攻击初始阶段，Patchwork组织使用了一个伪装成PDF文档的Lnk文件，该文件名为“Large_Innovation_Project_for_Bhutan.pdf.lnk”。该Lnk文件设计巧妙，能够在用户双击时自动执行，而无需用户意识到其实际为链接文件。运行后，该文件会执行以下操作：

• 下载并执行伪装为项目提案的诱饵文档，内容涉及不丹的适应基金董事会，针对性强。

• 利用看似合法的域名下载恶意DLL文件（edputil.dll），并重命名以隐藏其真实性质。

• 通过系统文件resmon.exe加载恶意DLL，利用Windows的默认加载原则，实现隐蔽执行。

• 利用自定义的hash算法获取API地址，进行反调试和解除挂钩操作，规避安全检测。

Brute Ratel C4作为攻击载荷之一，是一个功能强大的红队框架，能够实现文件管理、端口扫描、屏幕截图等多种攻击功能。该框架的加载过程完全在内存中进行，有效对抗终端检测，且在执行周期上进行了限制，表明Patchwork组织在规避追踪方面下了一番功夫。PGoShell增强版则由Go语言开发，具备丰富的功能，包括但不限于远程shell操作、屏幕截图、文件下载执行等。此次发现的PGoShell样本在功能上进行了扩展，显示出该组织对这一自研后门工具的重视。

参考链接：

https://mp.weixin.qq.com/s?__biz=MzAxNDY2MTQ2OQ==&mid=2650979510&idx=1&sn=15bbbb3f6dcd4ffac9a1ac00ed1de042&chksm=8079fe84b70e7792ec592efa376522b6c235ecd3985cfba7914ea044fb867529bf0a97e5c7d5#rd

UAC-0063组织针对乌克兰科研机构展开攻击

乌克兰国家计算机应急响应团队（CERT-UA）最新调查显示，一个名为UAC-0063的黑客组织于2024年7月8日对乌克兰一家科研机构发起了网络攻击。该攻击利用了多种恶意软件，包括HATVIBE和CHERRYSPY，以及一个编号为CVE-2024-23692的安全漏洞。攻击者初步侵入的手法是获取该科研机构一名员工的电子邮件账户访问权限，随后发送了一份经过篡改的电子邮件副本给包括发件人在内的数十位收件人。该邮件中的原始文档被替换为一个嵌入恶意宏的新文档。若收件人打开该DOCX格式的文档并启用宏，将触发创建一个新的DOC格式文档，并进一步创建一个加密的HTA文件，该文件包含恶意软件HATVIBE的"RecordsService"组件，以及一个计划任务文件，旨在启动上述恶意程序。利用这种隐蔽的远程控制技术，攻击者在受感染的计算机上下载并安装了Python解释器和CHERRYSPY恶意软件。与之前的版本相比，此次CHERRYSPY被编译为.pyd（DLL）文件，且通过pyArmor进行了混淆。

值得注意的是，CERT-UA的调查还发现，UAC-0063的活动与APT28（也称为Sofacy或Pawn Storm、UAC-0001）有关联，APT28是一个与俄罗斯联邦安全局的主要情报部门有直接联系的高级持续性威胁（APT）组织。APT28历史上曾针对多个国家的政府和军事机构发起攻击。此外，在Virustotal上还发现了一个包含类似宏的DOCX文档，该文档于2024年7月16日从亚美尼亚下载，内容包含针对亚美尼亚国防部管理国防政策部门的文本。还有，2024年6月，观察到多起通过利用HFS HTTP File Server软件中的CVE-2024-23692漏洞来植入HATVIBE后门的案例，表明UAC-0063组织使用了多种初始感染手段。

此次网络攻击得以实施的原因之一是该组织忽视了当前网络安全威胁格局中的典型建议，包括：

电子邮件账户缺乏双因素认证；

用户账户是“Administrators”组的成员；

缺乏阻止宏、mshta.exe以及其他程序（特别是Python解释器）运行的政策。

参考链接：

https://cert.gov.ua/article/6280129

黑客利用CrowdStrike系统更新故障事件发起恶意软件攻击

在全球范围内，一场由CrowdStrike软件更新引发的Windows主机崩溃事件不仅给众多企业带来了前所未有的运营中断，还意外地为网络犯罪分子打开了攻击的大门。这场故障不仅影响了航空公司、金融机构、医院和紧急服务等关键行业，还导致了数千次航班取消、金融服务中断、医院系统瘫痪，甚至影响了紧急服务的正常运作。据微软估计，约有850万台Windows设备受到影响，尽管这一数字仅占所有Windows机器的不到1%，但其影响却是深远的。在这场混乱中，网络犯罪分子迅速行动，利用企业急于寻求解决方案的心理，通过发送伪装成CrowdStrike修复程序的电子邮件和链接，传播数据擦除器和远程访问工具。这些攻击手段包括假冒的CrowdStrike热修复更新，以及伪装成系统更新的数据擦除恶意软件。安全研究人员和政府机构已监测到钓鱼邮件数量激增，这些邮件试图利用CrowdStrike故障事件误导用户下载恶意软件。CrowdStrike CEO George Kurtz在更新中强调，公司正在积极协助受影响的客户，并警告用户通过官方渠道与公司代表沟通，以避免被不法分子利用。英国国家网络安全中心（NCSC）也发出警告，指出监测到利用此次故障事件的钓鱼信息有所增加。自动化恶意软件分析平台AnyRun注意到了冒充CrowdStrike的尝试，并发现恶意软件通过假冒的CrowdStrike修复程序传播，这些程序在执行后会在系统中提取并启动数据擦除器。

此次攻击活动被亲伊朗的黑客活动组织Handala声称负责。该组织通过Twitter表示，他们通过发送假冒CrowdStrike的电子邮件，向以色列公司分发数据擦除器。这些攻击者利用了CrowdStrike的故障事件，通过假冒的电子邮件和网站，误导用户下载并执行恶意软件。尽管CrowdStrike在事后的博客文章中解释了导致系统崩溃的原因，并提供了恢复受影响系统的指导，但这场故障的影响仍在持续，许多企业仍在努力恢复正常运营。他们强调，已经识别并解决了导致崩溃的配置文件问题，并继续通过官方博客和技术支持渠道提供最新更新。

参考链接：

https://www.bleepingcomputer.com/news/security/fake-crowdstrike-fixes-target-companies-with-malware-data-wipers/

俄罗斯银行系统遭受网络攻击，乌克兰声称行动成功

随着俄乌军事战役的持续深入，双方的网络战也不断升级，双方金融机构和关键基础设施的安全正面临前所未有的挑战。本周三俄罗斯数家大型银行于确认遭受了分布式拒绝服务（DDoS）攻击，导致其移动应用程序和网站暂时中断服务。据当地媒体报道，此次网络攻击影响了包括VTB、俄罗斯农业银行、Gazprombank、Alfa Bank、Rosbank和Post Bank在内的多家银行。VTB银行，作为俄罗斯国有银行之一，向国家新闻社TASS表示，由于这次“从国外策划”的攻击，客户在使用银行在线服务时遇到了问题。俄罗斯农业银行也向俄罗斯媒体Izvestia透露，该行在周二遭受了DDoS攻击，但由于实施了“新的增强型防攻击系统”，其后果“最小化”。俄罗斯第三大私人银行Gazprombank表示，客户在使用其应用程序进行交易时遇到了一些困难，但问题很快得到解决。

乌克兰军事情报机构（HUR）在周三声称对这次针对俄罗斯银行业的DDoS攻击负责。HUR的一位匿名消息人士在接受乌克兰媒体采访时表示，攻击还中断了俄罗斯几家支付系统和大型电信运营商的运营，包括Beeline、Megafon、Tele2和Rostelecom。目前，这些信息尚未得到独立验证。HUR官员声称，攻击“仍在进行中，远未结束”。这并非乌克兰情报机构首次声称侵入俄罗斯企业，包括银行和互联网服务提供商。去年10月，两组亲乌克兰黑客和乌克兰安全局（SBU）声称侵入了俄罗斯最大的私人银行Alfa-Bank。今年1月，参与Alfa-Bank黑客攻击的攻击者发布了他们声称属于3000万银行客户的数据。今年早些时候的另一次攻击中，亲乌克兰黑客组织Blackjack与SBU合作，声称侵入了莫斯科的一家互联网服务提供商，以报复俄罗斯对乌克兰最大的电信公司Kyivstar的网络攻击。乌克兰黑客或情报官员的报告并非都能得到独立验证——俄罗斯通常要么忽视要么否认这些报告，而且DDoS攻击通常很容易解决。然而，这次针对银行的最新DDoS攻击是少数几个攻击有不可否认后果的案例之一，尽管俄罗斯表示攻击的影响是最小的。

参考链接：

https://therecord.media/major-russian-banks-ddos-attack-ukraine

澳大利亚医疗保健巨头MediSecure遭受网络攻击，1290万患者数据泄露

澳大利亚医疗保健提供商MediSecure近日遭受严重的网络攻击，导致约1290万患者的个人和医疗数据泄露。此次数据泄露事件波及了自2019年3月至2023年11月期间使用MediSecure电子处方服务的大量用户。MediSecure公司在4月13日首次发现其服务器受到疑似勒索软件的感染，并于5月公开确认了此次黑客攻击。经过全面调查，MediSecure发现攻击者访问了患者的元数据，涉及的个人信息包括姓名、头衔、出生日期、性别、电子邮件地址、家庭住址和电话号码。此外，泄露的数据还包括患者的医疗保健标识符、医疗保险卡号、退伍军人事务部(DVA)卡号等敏感信息，以及处方药物的详细信息。澳大利亚内政部已发布声明，提供了系统漏洞的某些细节，并提供了链接，以帮助受害者识别诈骗者并保护个人信息。同时，为受影响的个人提供了支持计划，包括心理健康护理服务。尽管如此，MediSecure强调，此次数据泄露并未影响处方的正常开具和分发，医疗保健提供者仍能按照正常流程进行处方和药品的分发。不幸的是，这并非孤立事件。在美国，另一家主要的医疗保健提供商Change Healthcare也遭受了勒索软件攻击，影响了约1.1亿美国人。根据HIPAA杂志的估计，仅Change Healthcare因网络攻击造成的损失可能在23亿至24.5亿美元之间，这还不包括通知所有受影响客户的费用。

参考链接：

https://www.cysecurity.news/2024/07/sensitive-health-data-of-129-million.html

新加坡借贷记录局数据遭泄露，黑客组织GhostR宣称负责

近日，一个名为GhostR的黑客组织宣称成功窃取了新加坡借贷记录局（MLCB）超过50GB的贷款借款人文件。这些数据包含了大量敏感信息，包括借款人的个人信息、贷款详情、还款状态以及担保人信息等。GhostR已在7月24日将部分数据泄露在一个流行的黑客论坛上，并提供了完成的贷款申请副本作为证据。据GhostR称，他们在2024年6月14日窃取了54.6GB的数据，涉及324,362份MLCB报告。每份报告包含以下信息：

借款人的个人信息，包括姓名、身份证号码或唯一实体编号（UEN）；

贷款信息，如贷款类型、期限、本金金额及应付总额；

付款和还款状态，包括所有未偿还贷款的清单和每笔贷款的还款历史；

贷款担保人的状态或担保，反映担保人/担保人的法律责任。

GhostR在6月28日通知了MLCB和CREDIT Bureau (Singapore) Pte Ltd，但双方均未对数据安全问题进行回应。作为回应，GhostR威胁将公开首批10,000份MLCB报告。尽管尝试通过谷歌搜索验证数据的真实性存在一定难度，但数据看起来很可能是真实的。在与GhostR的后续沟通中，DataBreaches得知此次并非直接攻击MLCB，而是第三方服务器被入侵导致数据泄露。GhostR声称第三方是Ezynetic Pte. Ltd，这是一家IT软件公司，创建了放贷公司和MLCB之间的API，允许放贷公司通过MLCB系统程序化下载借款人的MLCB报告。GhostR还表示，如果MLCB或CBS不回应他们的要求，他们将泄露所有324,362名新加坡人的信用局报告。他们还提到，此次黑客攻击涉及多家公司，并且他们正在与一些公司进行谈判，而有些公司则拒绝回应。对于不回应的公司，GhostR威胁将泄露他们的数据。据GhostR透露，这些文件没有进行加密处理。

参考链接：

https://databreaches.net/2024/07/24/third-party-breach-resulted-in-singapore-moneylenders-credit-bureau-being-leaked-by-ghostr/

Telegram安卓应用漏洞“EvilVideo”被利用传播恶意软件

近期，Telegram安卓应用的一个名为“EvilVideo”的零日安全漏洞被曝光，该漏洞允许攻击者将恶意APK文件伪装成无害的视频文件进行传播。这一发现由安全公司ESET的研究人员揭露，并在6月26日向Telegram进行了负责任的通告。该漏洞首次出现在6月6日的一个地下论坛上，由一名为“Ancryno”的威胁行为者出售，价格未明。Telegram在7月11日发布的版本10.14.5中修复了此问题。据ESET研究员Lukáš Štefanko的报告，攻击者通过Telegram的API上传恶意负载，使其在聊天中显示为30秒的视频。用户在点击视频后会收到一个警告消息，提示视频无法播放，并建议使用外部播放器尝试播放。如果用户选择继续，他们将被引导允许安装通过Telegram分发的APK文件，该应用被命名为“xHamster Premium Mod”。Telegram默认设置下，通过该应用接收的媒体文件会自动下载，这意味着一旦用户打开包含恶意负载的对话，文件就会自动下载到设备上。尽管用户可以手动禁用自动下载选项，但点击下载按钮仍然可以下载负载。值得注意的是，这种攻击方式不适用于Telegram的网页客户端或Windows应用。目前尚不清楚是谁在背后利用这一漏洞，以及它在现实世界攻击中的使用范围。然而，同一行为者在2024年1月宣传了一种完全无法检测的Android加密工具（crypter），据说可以绕过Google Play Protect。

此外，随着Telegram上基于加密货币的游戏Hamster Kombat的流行，网络犯罪分子正在利用其进行经济利益的获取。ESET发现有假冒应用商店推广该应用，GitHub存储库在游戏自动化工具的幌子下托管Lumma Stealer for Windows，以及一个非官方的Telegram频道，用于分发名为Ratel的Android木马。Ratel木马通过Telegram频道“hamster_easy”提供，旨在冒充游戏（"Hamster.apk"），提示用户授予其通知访问权限，并将其设置为默认短信应用。随后，它与远程服务器建立联系，获取电话号码作为响应，并可能向该号码发送俄语短信，接收额外的指令。Ratel木马滥用其通知访问权限，隐藏至少200个基于硬编码列表的应用程序的通知，这可能是为了订阅受害者到各种高级服务并防止他们收到提醒。ESET还发现假冒应用商店声称提供Hamster Kombat下载，但实际上将用户引导到不想要的广告，以及GitHub存储库提供Hamster Kombat自动化工具，实际上部署的是Lumma Stealer。

参考链接：

https://thehackernews.com/2024/07/telegram-app-flaw-exploited-to-spread.html

新型ICS恶意软件'FrostyGoop'针对关键基础设施发起网络攻击

网络安全研究人员揭露了一种新型工业控制系统（ICS）恶意软件'FrostyGoop'，该软件在1月针对乌克兰利沃夫市一家能源公司的破坏性网络攻击中被发现。网络安全公司Dragos将此恶意软件命名为'FrostyGoop'，它是首个直接使用Modbus TCP通信来破坏运营技术（OT）网络的恶意软件变种，这一发现在4月被公布。

FrostyGoop是用Golang编写的，专门针对Windows系统，能够通过Modbus TCP协议与ICS设备直接交互，特别是通过端口502。它具备读取和写入ICS设备寄存器的能力，这些寄存器包含输入、输出和配置数据。此外，恶意软件还能接受命令行参数，使用JSON格式的配置文件来指定目标IP地址和Modbus命令，并将输出记录到控制台或JSON文件中。这次网络攻击导致600多栋公寓楼的供暖服务中断了将近48小时。攻击者通过发送Modbus命令到ENCO控制器，造成测量不准确和系统故障，从而实现了破坏。研究人员指出，攻击者可能利用了2023年4月一个公开可访问的Mikrotik路由器的未知漏洞来获得初步访问权限。FrostyGoop的发现是继Stuxnet、Havex、Industroyer等之后，被发现的第九种专注于ICS的恶意软件。它对关键基础设施的潜在威胁引起了广泛关注，特别是考虑到Modbus协议在全球ICS设备中的广泛应用。Dragos警告称，关基行业组织必须优先实施全面的网络安全框架，以保护关键基础设施免受未来类似威胁。

参考链接：

https://thehackernews.com/2024/07/new-ics-malware-frostygoop-targeting.html

BlackSuit勒索组织伪装成杀毒软件展开攻击

KADOKAWA公司近期遭遇了一系列重大服务中断事件，影响了其多个网站。最初被认为是技术故障的问题，很快被证实是BlackSuit勒索软件组织的精心策划的攻击。五周前，该组织宣称对此次攻击负责，并发出了最后通牒：满足他们的赎金要求，否则将在7月1日公开被盗信息。Deep Instinct实验室的深入分析揭示了BlackSuit勒索软件组织在策略和技术上的狡猾演变。其勒索软件现在采用了先进的隐蔽技术，包括将其有效载荷伪装成奇虎360杀毒软件的一部分，从而显著降低了被安全软件检测到的可能性。这种隐蔽方法不仅包括对有效载荷的伪装，还涉及对代码的复杂编码和DLL的精心导入，使得恶意软件分析变得更加困难。BlackSuit勒索软件组织的样本展示了编码字符串和策略性导入的DLL，这些设计巧妙地规避了传统的安全分析。此外，该勒索软件还采用了一种强制性ID参数，使得自动仿真无法触发其恶意行为，从而增强了其隐蔽性。这种伪装文件虽然未经签名，却与奇虎360的QHAccount.exe文件极为相似，有效地规避了安全检测。BlackSuit勒索软件组织还具备了高级功能，如非对称密钥交换加密、删除影子副本以阻止数据恢复、禁用安全模式和系统关闭能力。加密的文件会被附加上.blacksuit扩展名，同时会投放一个名为readme.blacksuit.txt的勒索信。该勒索软件利用了多种初始攻击途径，包括使用被盗凭据的RDP、利用VPN和防火墙的漏洞、Office宏邮件附件、BT种子网站、恶意广告和第三方木马。攻击者还使用了CobaltStrike、WinRAR、PUTTY、Rclone、Advanced IP Scanner、Mimikatz和GMER等工具，这使得黑西装能够针对广泛的受害者群体，危及大量数据。BlackSuit勒索软件组织在暗网上运营着一个新闻和泄露站点，一旦赎金截止日期过去，他们就会在那里发布受害者的外泄数据。这些档案包括有关受影响组织的关键时刻信息，如行业、员工人数、收入和联系信息。

参考链接：

https://securityonline.info/blacksuits-advanced-ransomware-tactics-exposed-masquerades-as-antivirus/

Akira 勒索软件组织攻击拉丁美洲航空公司

近期，一家主要的拉丁美洲航空公司遭受了一起精心策划的网络攻击，攻击者使用了Akira勒索软件，对航空公司的网络安全构成了严重威胁。这次攻击不仅暴露了航空公司的网络安全漏洞，也对整个航空行业的数据保护措施提出了严峻挑战。攻击始于6月，当时一个不明身份的威胁组织通过 Secure Shell (SSH) 协议获得了网络访问权限。该组织不仅成功地从航空公司的系统中窃取了大量敏感数据，而且在第二天进一步部署了Akira勒索软件，对关键系统进行了加密，导致业务运营受到严重影响。

Akira勒索软件是由臭名昭著的Storm-1567组织开发和维护的，该组织自2023年首次出现以来，一直以双重勒索策略对全球各地的企业进行敲诈。攻击者在加密数据之前，会先窃取关键数据，以此作为对受害者施加压力的手段。若受害者未能及时支付赎金，攻击者便威胁将公开泄露这些机密数据。近年来，Akira威胁组织已经攻击了全球多个行业垂直领域。截至2024年1月，该组织已收到超过4200万美元的赎金支付，并针对了超过250个不同的组织。虽然该组织主要针对Windows系统，但它们也有针对Linux的工具变种，包括针对VMware ESXi虚拟机的变种。在这次攻击中，攻击者还滥用了多个合法工具，包括Living off-the-Land Binaries and Scripts (LOLBAS)，以进行网络侦察并在受害者环境中保持持久性。此外，攻击者还利用了开源远程桌面客户端Remmina的DNS查询，这表明攻击者可能偏好使用基于Linux的系统。

通过对航空公司网络的深入分析，发现攻击者在初始登录后仅用133分钟便完成了数据的外泄。攻击者在攻击过程中表现出高度的专业性和效率，从创建管理员用户、安装网络管理工具、扫描子网、压缩上传数据，到最终通过 WinSCP 工具外泄数据，整个操作过程连贯且迅速。攻击者还采取了一系列措施以确保其行动的隐蔽性和持久性，包括禁用防病毒软件、下载并运行远程桌面软件AnyDesk，以及使用Veeam备份服务器作为控制点，将Akira勒索软件部署到整个网络。此外，攻击者还通过PowerShell脚本来删除Windows的影子副本，这一行为旨在阻止受害者从备份中恢复数据，从而增加了受害者支付赎金的压力。

参考链接：

https://blogs.blackberry.com/en/2024/07/akira-ransomware-targets-the-latam-airline-industry