疑似伊朗APT33组织部署新型 Tickler 后门软件进行情报收集活动——每周威胁情报动态第190期（08.23-08.29）

疑似伊朗APT33组织部署新型 Tickler 后门软件进行情报收集活动

在2024年4月至7月期间，微软观察到由伊朗国家赞助的网络威胁行动者 Peach Sandstorm（又称APT33）部署了一种新的自定义多阶段后门软件，该软件被命名为Tickler。Tickler被用于针对美国和阿拉伯联合酋长国的卫星、通信设备、石油和天然气以及联邦和州政府部门的目标进行攻击。这些活动与该威胁行动者持续的情报收集目标一致，代表了他们长期网络操作的最新演变。

Peach Sandstorm还继续对教育部门进行密码喷洒攻击，以获取基础设施采购，并将卫星、政府和国防部门作为主要的情报收集目标。此外，微软观察到通过专业网络平台LinkedIn对高等教育、卫星和国防部门的组织进行情报收集和可能的社会工程学攻击。微软评估Peach Sandstorm是代表伊朗伊斯兰革命卫队 (IRGC) 运作的，这是基于该组织的受害者和运营重点。微软进一步评估认为，Peach Sandstorm的行动旨在促进情报收集，以支持伊朗的国家利益。微软追踪Peach Sandstorm活动，并向他们观察到已成为目标或被入侵的客户提供直接通知，提供必要的信息以帮助保护他们的环境。作为他们对威胁景观持续监测、分析和报告的一部分，他们正在分享他们对Peach Sandstorm使用Tickler的研究，以提高对这个威胁行动者不断演变的技巧的认识，并对组织如何加强其攻击面以防范此类及类似活动的意识。微软在最新的 Microsoft Threat Analysis Center (MTAC) 报告中发布了与伊朗相关的不相关选举干预信息。

在过去的活动中，观察到Peach Sandstorm使用密码喷洒攻击以高成功率获得对感兴趣目标的访问。该威胁行动者还通过LinkedIn进行情报收集，研究高等教育、卫星和国防部门的组织和个人。在该组织的最新行动中，微软观察到了新的战术、技术和程序 (TTPs)，这些是在通过密码喷洒攻击或社会工程学获得初始访问后采取的。在2024年4月至7月期间，Peach Sandstorm部署了新的自定义多阶段后门Tickler，并利用Azure基础设施托管在欺诈性的、由攻击者控制的Azure订阅中进行命令和控制(C2)。微软持续监控Azure以及所有微软产品服务，以确保符合我们的服务条款。微软已通知受影响的组织，并破坏了与此活动相关的欺诈性Azure基础设施和账户。

图1Peach Sandstorm攻击链示意图

APT-Q-12组织利用0day漏洞对东亚地区展开网络间谍活动

奇安信威胁情报中心最新披露，APT-Q-12（伪猎者）组织针对东亚地区国家和实体发起了一系列复杂的网络攻击活动。APT-Q-12被认为与2017年披露的Darkhotel组织有关，其攻击活动从2019年开始逐渐增多，且与多个具有朝鲜半岛背景的攻击集合存在重叠。

APT-Q-12组织在攻击过程中，首先通过精心设计的邮件探针收集受害者的邮件平台和Office软件使用习惯，然后利用Win和Android平台邮件客户端的0day漏洞，通过XSS等手段执行恶意代码，实现木马的植入。这些木马具备键盘记录、浏览器窃密、屏幕截图等高级间谍功能，反映了APT-Q-12对目标的长期监控和数据窃取意图。攻击者利用基于CEF框架开发的软件脆弱性，针对不同邮件客户端和Office软件版本，设计了多套差异化的探测和攻击手段。例如，在探测WPS和Microsoft Word时，APT-Q-12通过内嵌OLE对象的Web控件或模板注入等方式，收集User-agent信息，判断受害者使用的软件类型。在Win平台，攻击者通过XSS漏洞执行带有CVE-2017-5070利用代码的JS脚本，实现木马落地；而在Android平台，APT-Q-14（旺刺）通过邮件结构中的XSS漏洞调用内部接口，执行恶意代码。

APT-Q-12的攻击目标主要集中在半导体竞争和政治宣传导向等领域，符合东北亚国家的利益。其攻击手法的复杂性和隐蔽性，对东亚地区的网络安全构成了严重威胁。

图2APT-Q-12组织攻击链示意图

参考链接：

https://ti.qianxin.com/blog/articles/operation-deviltiger-0day-vulnerability-techniques-and-tactics-used-by-apt-q-12-disclosed-cn/

Lifting Zmiy组织利用0day漏洞对俄罗斯公司发起攻击

在2023年10月至2024年间，一个名为Lifting Zmiy的网络攻击组织对俄罗斯的多家公司和政府机构发起了一系列复杂的网络攻击。这些攻击活动利用了先进的持续性威胁（APT）手段，包括0day漏洞、社会工程学、以及对公开源代码工具的巧妙运用。

攻击者首先通过密码喷射攻击和弱密码猜测来获取初始访问权限。随后，他们部署了Reverse SSH工具来确保在受感染网络中的持久性。通过使用各种公开的SSH工具，如ssh-snake和kerbrute，攻击者在内部网络中进行横向移动，寻找高价值目标。Lifting Zmiy组织在攻击过程中表现出了高度的耐心和隐蔽性。他们在成功入侵后，花费了数月时间进行内部侦察，收集敏感信息，并在必要时进行破坏活动，如数据删除。攻击者使用了键盘记录器、浏览器窃密插件和屏幕截图工具来收集敏感信息，并将这些信息上传到C2服务器。

特别值得注意的是，Lifting Zmiy组织在攻击中使用了Starlink提供的卫星互联网服务，这为他们的行动提供了额外的匿名性和灵活性。此外，他们还攻陷了可编程逻辑控制器（PLC），这些控制器是SCADA系统的一部分，被用于控制电梯设备等关键基础设施。

参考链接

https://rt-solar.ru/solar-4rays/blog/4506/

全球能源服务巨头哈里伯顿确认遭受网络攻击导致系统关闭

2024年8月21日，全球最大的能源行业服务提供商之一哈里伯顿公司（Halliburton Company）确认，其部分系统因遭受网络攻击而被迫关闭。该公司在向美国证券交易委员会（SEC）提交的文件中披露了此次事件。

哈里伯顿公司声明，2024年8月21日，公司意识到有未经授权的第三方非法访问了其部分系统。在发现问题后，公司立即启动了网络安全响应计划，并在外部顾问的支持下内部启动了调查，以评估和补救未授权的活动。此次事件首次由路透社在8月24日基于匿名消息源提供的信息报道。哈里伯顿公司为了控制安全漏洞，主动关闭了部分系统。同时，公司还向相关执法机构报告了此次安全事件，其IT专家正在努力恢复受影响的设备并评估攻击的影响。

哈里伯顿成立于1919年，拥有超过40,000名员工，为全球能源公司提供石油技术、产品及服务。2024年第二季度，哈里伯顿报告了58亿美元的收入和18%的营业利润率。值得注意的是，在2021年，DarkSide勒索软件团伙攻击了美国最大的燃料管道公司Colonial Pipeline的系统，该公司负责供应美国东海岸大约一半的燃料，迫使其关闭部分系统以控制攻击，并暂时停止所有管道运营。Colonial Pipeline支付了价值440万美元的加密货币以换取解密器，大部分后来被FBI追回。DarkSide勒索软件团伙在受到执法部门、美国政府和媒体的增加关注后突然关闭。

参考链接：

https://www.bleepingcomputer.com/news/security/us-oil-giant-halliburton-confirms-cyberattack-behind-systems-shutdown/

西雅图机场及海港系统遭网络攻击影响运营

西雅图-塔科马国际机场及其海港系统在最近的一次网络攻击中遭受重创，导致关键的互联网和网络系统服务中断。此次攻击迫使机场关闭了部分系统以隔离影响，目前尚未完全恢复正常运作。西雅图港务局在一份声明中指出，他们在周六下午检测到系统故障，初步迹象表明可能是网络攻击所致。作为预防措施，港口方面迅速隔离了关键系统，并与相关当局和合作伙伴紧密合作，以评估攻击的影响并着手恢复服务。然而，直至周一早上，港口的官方网站依然无法访问，且没有给出服务完全恢复的具体时间表。

由于系统中断，机场呼吁旅客在家中通过航空公司的应用程序完成移动登机牌和托运行李的办理，并预留额外时间到达机场及登机口。一些航空公司不得不采取手工操作，如手动分类超过8000个行李并手写登机牌，这无疑增加了机场运营的复杂性和旅客的等待时间。西雅图-塔科马国际机场是太平洋西北地区最繁忙的机场，每年服务超过5000万旅客。此次网络攻击不仅对旅客出行造成了影响，也暴露了关键基础设施在网络安全方面的脆弱性。

网络安全已成为全球关注的焦点，特别是在关键基础设施领域。美国交通安全管理局（TSA）在2023年发布了紧急法规，要求机场和飞机运营商制定并实施加强安全措施的计划。此外，全球多个港口和机场在过去三年中都遭受了网络攻击和勒索软件事件，凸显了加强网络安全措施的迫切性。美国总统乔·拜登在2月发布了行政命令，增强美国海岸警卫队在应对网络事件中的权威，以应对网络攻击这一港口面临的最紧迫威胁。西雅图市本身也在从5月份遭受的勒索软件攻击中恢复，那次攻击影响了城市的图书馆系统，以及其他几个政府机构和一家主要癌症中心。

参考链接：

https://therecord.media/seatac-airport-port-of-seattle-cyberattack

美国Patelco信用合作社726,000客户数据因勒索软件攻击泄露

美国Patelco信用合作社遭受了一次严重的数据泄露事件，该事件由RansomHub勒索软件攻击引起。该信用合作社为非营利性金融机构，提供包括支票和储蓄账户、贷款、信用卡、保险和投资等金融服务，资产管理规模超过90亿美元。2024年6月29日，Patelco遭受了勒索软件攻击，导致其不得不关闭客户面向的银行系统，以控制损害并保护客户数据。系统中断持续了约两周，期间Patelco努力恢复了大部分IT系统功能。尽管最初Patelco未能确定数据是否在攻击中被泄露，但随后的调查确认，攻击者在5月23日非法访问了其网络，并在6月29日进一步访问了数据库。8月14日，Patelco确认，被非法访问的数据库中包含了客户的个人信息。8月15日，RansomHub团伙在他们的勒索网站上公布了被盗数据，声称与Patelco在两周的谈判后未能达成协议。泄露的信息包括客户的全名、社会安全号码、驾驶执照号码、出生日期和电子邮件地址。此次事件影响了726,000名Patelco客户。Patelco已向受影响的客户发送了数据泄露通知，并提供了通过Experian进行的两年免费身份保护和信用监控服务的注册说明，注册截止日期为2024年11月19日。Patelco还在其网站首页发布了警告，提醒会员警惕任何直接联系他们请求卡片详情的尝试，包括密码、有效期或CVV代码，因为这是网络钓鱼和社会工程攻击的常见手段。

参考链接：

https://www.bleepingcomputer.com/news/security/patelco-notifies-726-000-customers-of-ransomware-data-breach/

配置不当的访问控制导致NetSuite商店重大数据泄露

近期，一系列安全事件暴露了流行应用程序和企业资源规划（ERP）系统的脆弱性。研究人员发现，黑客利用了Microsoft for MacOS应用程序的漏洞以及NetSuite商店的配置错误，对用户隐私和数据安全构成了严重威胁。在MacOS平台上，Microsoft的应用程序，包括Outlook和Teams，被发现存在一个严重的安全漏洞。Cisco Talos的安全研究人员揭示了攻击者如何利用这些漏洞，在未经用户同意或知晓的情况下，通过Mac的麦克风和摄像头进行监视。这一漏洞与MacOS的透明度、同意和控制框架（TCC）有关，该框架原本旨在控制应用程序的权限，以符合法律规定。与此同时，Oracle NetSuite的研究人员发现了另一个问题：数千名NetSuite客户因配置不当的访问控制，在公共面向的商店中无意中暴露了敏感的公司信息。这些商店使用NetSuite SuiteCommerce或NetSuite Site Builder构建，由于对这些类型的记录类型（Custom Record Types, CRTs）的访问控制理解不足，可能导致客户信息泄露。

NetSuite是一个广泛使用的SaaS平台，用于开发和部署在线零售平台。然而，问题不在于NetSuite解决方案本身，而在于一些自定义记录类型（CRTs）的访问控制配置不当，可能导致敏感客户信息泄露。最易受攻击的数据是个人身份信息（PII），包括注册客户的完整地址和手机号码。攻击者针对的通常是使用“无需权限”访问控制的CRTs。

为了缓解这一风险，建议站点管理员立即采取行动，加强对CRTs的访问控制。这包括将敏感字段设置为“无”公共访问权限，以限制未经授权的访问。此外，管理员应考虑暂时下线受影响的站点，以防止进一步的数据泄露，同时实施纠正措施。安全专家建议，从安全角度来看，一种简单有效的解决方案是更改记录类型定义的访问类型。可以通过将其设置为“需要自定义记录条目权限”或“使用权限列表”，这些更改将显著降低未经授权访问敏感数据的可能性。

参考链接：

https://www.cysecurity.news/2024/08/misconfigured-access-controls-in.html

新型内存恶意木马软件PEAKLIGHT

网络安全研究人员揭露了一种新型的仅存于内存中的恶意软件，名为PEAKLIGHT。这种复杂的恶意软件通过精心设计的多阶段感染过程，无声息地传递了包括LUMMAC.V2、SHADOWLADDER和CRYPTBOT在内的多种信息窃取器，对组织和个人的安全构成了重大威胁。

PEAKLIGHT的感染始于一个简单的诱饵——伪装成盗版电影文件的恶意ZIP文件。这些ZIP文件包含一个看似无害的微软快捷方式文件（LNK），但实际上配置为执行一个PowerShell脚本，该脚本负责下载并部署PEAKLIGHT下载器。该LNK文件通过媒体文件图标进行伪装，以欺骗用户执行恶意代码。一旦LNK文件被执行，PEAKLIGHT感染链进入下一阶段，部署一个仅存于内存中的JavaScript投放器。这个投放器利用内容分发网络（CDN）进行托管，设计上能够逃避传统安全措施的检测。投放器使用混淆技术隐藏其真实目的，在内存中解码自身，以执行PEAKLIGHT下载器。PEAKLIGHT的核心功能是作为一个混淆的基于PowerShell的下载器，它检查受感染系统上特定ZIP文件的存在，并在未找到时从CDN下载缺失的压缩包，这些压缩包含有各种恶意负载。Mandiant的分析发现了PEAKLIGHT下载器的多个变体，每个变体在目标目录、执行逻辑和文件名方面都有其独特性，但其核心功能一致：在逃避检测的同时向受害者系统传递恶意软件。

PEAKLIGHT的最终目标是在受感染系统上部署一系列信息窃取器，以窃取受害者的敏感信息。在某些情况下，PEAKLIGHT下载的文件中甚至包含了作为诱饵的合法电影预告片，以使受害者相信下载是无害的。为了确保恶意软件的隐蔽性和难以移除，攻击者采用了包括系统二进制代理执行和滥用CDN在内的多种混淆和逃避技术。

参考链接：

https://securityonline.info/peaklight-malware-a-new-stealthy-memory-only-threat-emerges/

新型安卓恶意软件NGate窃取NFC数据

一种名为NGate的安卓恶意软件，其能力之强，足以从受害者的无接触支付卡中窃取数据，并在攻击者控制的设备上克隆这些卡片，以便进行欺诈操作。斯洛伐克网络安全公司发现并追踪了这一新型犯罪软件，该软件自2023年11月以来一直在针对捷克的三家银行。NGate恶意软件的复杂之处在于其能够利用受害者安卓设备上安装的恶意应用，将支付卡数据转发至攻击者root过的安卓手机。该软件的首次记录使用发生在2024年3月。其最终目标是通过NGate克隆受害者的近场通信（NFC）数据，并传输至攻击者设备，从而在ATM机上提现。

NGate的前身是一个名为NFCGate的合法工具，最初由达姆施塔特工业大学安全移动网络实验室的学生在2015年开发，用于安全研究。然而，现在这一工具被恶意利用，通过社交工程和短信网络钓鱼手段，诱骗用户安装NGate。攻击者通过发送指向伪装成合法银行网站的短命域名链接，或冒充Google Play商店上的官方移动银行应用，来诱导用户上钩。到目前为止，已识别出六种不同的NGate应用，这些应用在2023年11月至2024年3月期间被发现。这些活动可能在捷克当局逮捕一名22岁嫌疑人后停止，该嫌疑人涉嫌与ATM机资金盗窃有关。NGate不仅滥用NFCGate的功能来捕获和转发NFC流量，还诱导用户输入敏感的财务信息，如银行客户ID、出生日期和银行卡PIN码，这些操作都在一个WebView中的网络钓鱼页面上完成。此外，NGate的攻击链还包括在用户安装了通过短信发送链接的PWA或WebAPK应用后，进行凭证网络钓鱼，然后由攻击者冒充银行员工通过电话告知用户其银行账户因安装该应用而受到入侵，进一步诱导用户更改PIN码，并通过发送到手机上的链接安装NGate。

Google已确认其官方Android市场上没有发现含有NGate恶意软件的应用，并且Google Play Protect为Android设备提供了自动保护，即使应用是从第三方来源下载的。研究人员还指出，NGate使用两个不同的服务器来促进其操作：一个用于网络钓鱼的网站，旨在诱使受害者提供敏感信息并启动NFC转发攻击；另一个是NFCGate转发服务器，负责将受害者设备的NFC流量重定向至攻击者。

参考链接：

https://thehackernews.com/2024/08/new-android-malware-ngate-steals-nfc.html

美国无线电中继联盟（ARRL）被勒索软件攻击后支付百万美元赎金

美国无线电中继联盟（ARRL）是美国业余无线电爱好者的国家级非营利组织，近期遭受了一次勒索软件攻击，迫使其支付了100万美元赎金以恢复加密系统。此次攻击发生在今年5月，由不明身份的网络犯罪分子发起，他们利用暗网上购买的信息侵入了ARRL的网络。

攻击在5月15日清晨被发现，当时员工到岗后迅速意识到遭受了网络攻击。FBI将此次攻击描述为“unique”，因其复杂性超出了常规。危机管理团队迅速成立，包括内部管理层、外部专家、法律顾问和保险公司，以应对此次事件。尽管赎金要求极高，但攻击者未能获取任何敏感数据，且似乎误判了ARRL的财务能力。经过数日的紧张谈判，ARRL同意支付赎金，该费用及恢复成本已由保险公司承担。自事件爆发以来，ARRL董事会持续召开特别会议，监督恢复进展并提供必要支持。ARRL还与经验丰富的专业人士合作，确保恢复工作的顺利进行。

目前，ARRL的大部分系统已经恢复，剩余部分正在等待最终的接口连接。在简化基础设施的同时，预计完全恢复还需一到两个月时间。尽管会员服务Logbook of The World（LoTW）在攻击期间暂时中断，但其数据未受影响，并在攻击后迅速恢复服务，显示出了高效的恢复能力。

参考链接：

https://databreaches.net/2024/08/27/american-radio-relay-league-paid-1-million-ransom-payment/

美国起诉Karakurt勒索软件组织关键成员

美国司法部（DOJ）本周发布声明，指控一名俄罗斯网络犯罪组织成员在美国犯有金融欺诈、敲诈勒索和洗钱罪。33岁的拉脱维亚籍莫斯科居民Deniss Zolotarjovs在2023年12月被格鲁吉亚当局拘留后，已于本月初被引渡至美国。法庭记录显示，Zolotarevs与Karakurt勒索软件组织有关联，该组织盗取受害者数据并以此为要挟，直到支付加密货币赎金。该组织运营着一个拍卖门户网站和泄露站点，在那里他们识别受害者公司并允许用户下载被盗数据。该组织要求的比特币赎金从2.5万美元到1300万美元不等。以前的研究显示，Karakurt与现已解散的Conti勒索软件组织有关。研究人员认为，Karakurt可能是Conti背后组织的一个分支，专注于在组织成功阻止勒索软件加密过程后，通过出售在攻击中窃取的数据获利。Zolotarevs据称使用别名"Sforza_cesarini"，是Karakurt的活跃成员。他被怀疑与其他成员合谋，洗钱加密货币，并利用该组织的受害者。根据DOJ的说法，他是第一个被逮捕并引渡到美国的所谓组织成员。根据法庭记录，Zolotarevs参与了至少六家未公开的美国公司的攻击。在2021年的一次攻击中，Karakurt盗取了“大量私人客户数据”，其中包括实验室结果、医疗信息、与姓名、地址、出生日期和家庭住址相匹配的社会安全号码。该公司谈判了25万美元的赎金支付，低于Karakurt最初的65万美元要求。   

Zolotarevs被指控负责Karakurt勒索软件组织的一项关键活动，即对那些在初次勒索尝试中未支付赎金的受害者进行再次接触。这种策略通常被称为“遗留案件追索”，其中Zolotarevs可能负责重新评估和跟进这些未解决的勒索情况，利用更新的策略或压力手段尝试迫使受害者最终支付赎金。法院文件指出，Zolotarevs可能利用了先进的开源情报技术来搜集和分析受害者信息，以便更有效地进行沟通和施压。这包括但不限于搜集电话号码、电子邮件地址和其他可能的联系渠道，从而对遗留案件中的受害者重新发起接触和谈判。通过这种方法，Zolotarevs涉嫌在组织中扮演了策略性的角色，不仅参与了初次攻击的策划和执行，还负责对那些未立即屈服于勒索要求的受害者进行持续的追索和压力施加。

Karakurt是一个以数据盗窃和勒索为手段的网络犯罪组织，他们通过加密货币索取赎金，并对不特定目标实施攻击。

参考链接：

https://www.cysecurity.news/2024/08/us-authorities-charge-alleged-key.html