APT组织UNC2970利用木马化PDF阅读器进行复杂网络攻击——每周威胁情报动态第193期（09.13-09.19）

APT组织UNC2970利用木马化PDF阅读器进行复杂网络攻击

Google Cloud的安全研究团队近期揭露了一起由APT组织UNC2970发起的复杂网络攻击活动。该组织通过精心设计的网络钓鱼邮件，诱导目标用户下载并安装一个伪装成合法PDF阅读器的后门程序，从而实现对目标网络的渗透和数据窃取。

攻击过程始于攻击者向目标组织的关键成员发送带有恶意PDF附件的邮件。这些PDF文件被设计为包含一个利用PDF阅读器软件漏洞的恶意脚本。当用户打开这些文件时，脚本会被执行，从而在用户的设备上悄无声息地安装一个后门程序。这个后门程序不仅能够绕过现有的安全检测措施，还能在受害者毫不知情的情况下，为攻击者提供一个远程控制受感染设备的通道。通过这个后门，攻击者能够执行一系列操作，包括但不限于文件上传、下载、执行任意代码，以及与攻击者的命令与控制（C2）服务器建立连接。这种连接使得攻击者能够远程发送指令，接收来自受感染设备的信息，并最终实现对敏感数据的窃取。

此次攻击的目标主要集中在涉及关键基础设施的组织，包括政府机构、国防承包商以及其他涉及国家安全的实体。

参考链接：

https://cloud.google.com/blog/topics/threat-intelligence/unc2970-backdoor-trojanized-pdf-reader

APT组织Lazarus假借招聘者利用恶意Python软件包针对开发者的钓鱼攻击

ReversingLabs的安全研究人员最近发现了一起精心策划的网络钓鱼攻击活动，攻击者利用伪装成招聘者的策略，针对开发者进行攻击。这些攻击者疑似与朝鲜APT组织Lazarus Group有关联，他们通过GitHub上的恶意Python软件包进行攻击，这些软件包被设计成看似正常的工作面试编程测试，但实际上包含了用于间谍活动的恶意代码。

攻击者首先在LinkedIn等社交媒体平台上创建假账户，冒充招聘人员，以此接触目标开发者。他们通过发送带有恶意Python软件包的链接，诱使受害者下载并执行。这些软件包中的Python PYC文件被编译，使得恶意代码更难以被发现和分析。一旦开发者执行了这些文件，恶意代码就会在后台下载并执行，窃取敏感信息并建立与攻击者控制服务器的连接。

研究人员通过监控和分析这些恶意软件包，发现了攻击者的一些关键技术特征。他们使用了一种名为TRANSLATEXT的恶意Google Chrome扩展，以及一种名为Gomir的新Linux后门。这些恶意软件能够窃取敏感信息，如电子邮件地址、用户名、密码和cookie，同时还能捕获浏览器屏幕截图。在这次活动中，攻击者利用了开发者寻找工作机会的心理，通过提供编程技能测试的假象，诱使受害者执行包含恶意代码的软件包。这些软件包通常包含README文件，指导求职者在密码管理器应用程序中找到并修复错误，并将修复结果重新发布，同时截屏记录他们的编码工作。这些README文件告诉潜在的候选人确保项目在他们的系统上成功运行，然后进行修改。这种指示的目的是确保无论求职者（即“目标”）是否完成了分配的编码任务，恶意软件的执行都会被触发。

参考链接：

https://www.reversinglabs.com/blog/fake-recruiter-coding-tests-target-devs-with-malicious-python-packages

伊朗遭受了一场大规模的网络攻击活动

近日，伊朗遭受了一场大规模的网络攻击，导致全国范围内45%的计算机系统受到影响。此次攻击的具体源头尚未查明，但已经引起了国际社会的广泛关注。据伊朗当地媒体报道，这次网络攻击可能与国际政治紧张局势有关，但目前没有组织或个人声称对此次事件负责。伊朗政府已经启动了紧急应对措施，以评估攻击的影响并尽快恢复受影响的系统。

初步技术分析显示，攻击者可能使用了一种“勒索软件”的恶意软件，通过加密受害者的文件和数据，要求支付赎金以解锁。此外，攻击者可能还利用了一些软件系统的“零日漏洞”（zero-day vulnerability），以绕过常规的安全防护措施。这种攻击手段的复杂性和隐蔽性表明，攻击者具有高超的技术水平和充分的预谋。

此次网络攻击的影响范围广泛，攻击的目标主要集中在伊朗的关键基础设施和公共服务领域，意图造成最大程度的混乱和破坏。受影响的系统包括但不限于政府机构、教育机构、医疗系统、国家电网、水利管理系统、交通信号控制和紧急服务通信网络以及私营企业的计算机系统都受到了不同程度的影响。。这些关键领域的网络瘫痪不仅对伊朗的国家安全构成了威胁，也对民众的日常生活造成了极大的不便。

伊朗的信息通信技术部长在一份声明中表示，政府已经采取了必要的技术措施来对抗这次攻击，并正在与国际合作伙伴密切合作，以确保网络安全并防止未来的攻击。

参考链接

https://www.zataz.com/une-cyber-attaque-perturbe-45-de-linformatique-en-iran/

亲乌克兰黑客声称对俄罗斯数字签名认证机构发起网络攻击

俄罗斯一家负责认证数字签名的联邦机构——Osnovanie（俄文意为“基础”）上周遭受网络攻击，导致其服务中断，目前仍在恢复中。该机构的数字签名系统被俄罗斯当地企业和个人用于商业文件、税务申报等任务。据称，一群自称为亲乌克兰的黑客攻击了Osnovanie的基础设施，并在其网站上留下了一条信息，声称：“您的证书安全无忧。您数据销售所得将用于支持乌克兰武装力量的需求。”

尽管攻击者未明确身份，但乌克兰军事情报机构HUR在周末声称对此次攻击负责。HUR表示，他们与自称为“BO团队”的黑客合作进行了此次行动。此前，HUR也曾与该团队合作，攻击了俄罗斯的一个科学研究中心和俄罗斯执政党的在线服务。

Osnovanie在上周的一份声明中表示，攻击仅影响了其网站运营，数字签名验证系统并未受到破坏。该机构在俄罗斯60个地区运营，并获得当地数字管理机构和安全服务的认证，管理着企业和个人用于各种业务的数字签名系统。黑客展示的页面显示了可能用作签名认证过程的护照照片。Osnovanie表示，已暂停运营，以便对攻击进行调查，并承诺在“更改安全策略、访问权限和账户设置”后，于9月12日恢复工作。然而，截至周二，该机构的网站仍无法访问，俄罗斯用户抱怨无法使用Osnovanie的服务。该机构在其Telegram频道上表示，计划在“近期”提供更多信息，但没有提供进一步细节。

HUR声称，黑客破坏了“服务器上数TB的重要数据，以及包含150万电子数字签名的数据库”，并“打算将获得的数据出售”。然而，黑客的说法无法得到验证。Osnovanie表示，“关于关键漏洞的报告是不真实的”，因为用于创建电子签名的密钥隔离在外部和内部网络之外。

参考链接

https://therecord.media/russia-osnavanie-digital-signatures-cyberattack-ukraine?__cf_chl_rt_tk=BLQmA0P5QCu1BR3LXtXpTwvOQnb2xgn2CPDt4IKurr8-1726708249-0.0.1.1-4713

美国电信巨头AT&T因未能保护好客户数据被FCC处罚了1300万美元后达成和解协议

美国电信巨头AT&T与联邦通信委员会（FCC）就2023年一起数据泄露事件达成了1300万美元的和解协议。该事件涉及AT&T一家供应商的云环境被非法入侵，导致约900万个无线账户的客户数据暴露。据FCC的调查，此次泄露事件发生在2023年1月，当时未授权的网络攻击者访问了由供应商存储的客户数据。这些数据包括客户的名、无线账户号码、电话号码和电子邮件地址。尽管泄露的数据不包括信用卡信息、社会安全号码、账户密码或其他敏感个人信息，但该事件仍引发了对AT&T隐私和网络安全实践的严重质疑。

FCC的调查重点在于AT&T是否未能充分保护好客户数据，以及其供应链管理是否存在缺陷。调查发现，尽管供应商在合同结束后有义务销毁或归还数据，但实际上并未这样做。AT&T在监控供应商遵守合同义务方面存在不足。作为和解协议的一部分，AT&T同意采取一系列措施来加强其数据治理实践，以保护消费者免受未来类似事件的影响。这些措施包括实施全面的信息系统安全计划、改进数据库存管理流程、确保供应商遵守客户信息的保留和处置规则，以及进行年度合规性审计。

虽然，AT&T在事件发生后的声明中承认了供应商的安全事件，并承诺将加强内部客户信息管理，并对其供应商的数据管理实践实施新的要求。尽管AT&T的系统在此次事件中未被直接泄露，公司已开始采取措施，以提高数据保护标准。但是，AT&T在2024年7月预警了另一起大规模数据泄露事件，影响了约1.09亿客户的通话记录。在今年4月，AT&T还通知了5100万现任和前任客户，他们的数据可能在之前的泄露事件中受到影响。

参考链接：

https://www.bleepingcomputer.com/news/security/atandt-pays-13-million-fcc-settlement-over-2023-data-breach/

Fortinet公司确认了黑客窃取并泄露440GB数据的事件

近期，全球领先的网络安全公司Fortinet遭遇了一起严重的数据泄露事件。一名黑客利用Azure SharePoint的漏洞，声称从Fortinet窃取了440 GB的敏感数据，并将此次事件命名为“Fortileak”。该黑客在地下论坛Breach Forum上公布了访问凭据，提供了被盗数据的下载链接。据该黑客透露，泄露的数据包括Fortinet客户的个人信息，但Fortinet方面表示，泄露的数据仅限于存储在第三方云服务上的一小部分文件，且不包含信用卡信息、社会安全号码、账户密码或其他敏感个人资料。尽管如此，此次事件仍对Fortinet的声誉造成了影响。

在事件曝光后，Fortinet的首席执行官Ken Xie被指未能参与黑客提出的勒索谈判，黑客在论坛上对Xie的态度表示不满，并质疑Fortinet为何没有按照规定向美国证券交易委员会（SEC）提交8-K表格，以披露此次重大事件。Fortinet对此事进行了官方回应，确认了数据泄露的事实，并表示已经采取了必要措施，包括与受影响的客户进行了沟通，以及加强了内部安全措施，以防止未来类似事件的发生。Fortinet还强调，目前没有迹象显示此次事件导致了对客户的任何恶意活动，公司的运营、产品和服务也未受到影响。

Fortinet在随后的博客文章中进一步说明了此次事件的影响范围，指出受影响的客户数量不到其总客户基数的0.3%。公司还表示，已经迅速采取行动，调查了事件，终止了未经授权的访问，并通知了执法和网络安全机构。此外，Fortinet已经加强了内部安全措施，包括改进账户监控和威胁检测，以防止未来发生类似事件。

参考链接：

https://www.cysecurity.news/2024/09/fortinet-confirms-data-breach-involving.html

新型Linux恶意软件Hadooken针对Oracle WebLogic服务器

网络安全研究人员近日发现了一种名为Hadooken的新型Linux恶意软件，该软件专门针对Oracle WebLogic服务器。Hadooken这个名字来源于《街头霸王》系列游戏中的“波动拳”攻击。该恶意软件一旦执行，会释放Tsunami恶意软件并部署加密货币挖矿程序。WebLogic Server是Oracle开发的一款企业级Java EE应用服务器，用于构建、部署和管理大规模分布式应用程序。在针对Weblogic蜜罐的攻击中，攻击者利用了弱密码，通过该漏洞获得了服务器的初始访问权限，并实现了远程代码执行。

Hadooken恶意软件攻击链如下：一旦WebLogic服务器被入侵，攻击会者使用名为‘c’的shell脚本和名为‘y’的Python脚本，分别下载并执行Hadooken恶意软件。这两个脚本用于通过下载到临时文件夹来部署恶意软件。Python代码会尝试通过迭代多个路径来下载并运行Hadooken恶意软件，然后删除该文件。shell脚本还针对包含SSH数据的目录，以允许在组织内部进行横向移动并入侵其他服务器。随后，恶意代码清除日志以隐藏活动。

Aqua Security的报告指出：“Hadooken恶意软件本身包含加密货币挖矿程序和Tsunami恶意软件。执行Hadooken恶意软件时，它会释放两个elf文件。第一个文件是打包的加密货币挖矿程序，被释放到三个不同路径下的三个不同名称：‘/usr/bin/crondr’、‘/usr/bin/bprofr’和‘/mnt/-java’。” “第二个文件是Tsunami恶意软件，生成随机名称后，被释放到‘/tmp/<<random>>’。我们没有看到攻击者在攻击中使用Tsunami恶意软件的任何迹象。尽管如此，它可能在攻击过程中的后期被使用。”用于下载Hadooken恶意软件的两个IP地址中，第一个89.185.85.102仍在活跃，注册于德国的Aeza International LTD名下，而第二个185.174.136.204已不活跃，注册于俄罗斯的AEZA GROUP Ltd名下。活跃的IP此前曾与TeamTNT和Gang 8220有关，但研究人员指出，没有足够证据将此次攻击归因于任何一个组织。

报告表明，使用Hadooken恶意软件的威胁行为者不仅针对Windows端点进行勒索软件攻击，还针对大型组织常用的Linux服务器，部署后门和加密货币挖矿程序。对Hadooken二进制文件的静态分析显示，它与RHOMBUS和NoEscape勒索软件有关联，尽管动态分析未显示有活跃使用。

参考链接：

https://securityaffairs.com/168364/malware/hadooken-targets-oracle-weblogic-servers.html

新型Android恶意软件Vo1d感染全球197个国家的130万Android设备

近日，研究人员揭露了一种名为Vo1d的新型Android恶意软件，该软件已经感染了全球197个国家的近130万Android设备，其中包括多种型号的Android电视盒。这种恶意代码充当后门程序，允许攻击者秘密下载和安装第三方软件。

2024年8月，多名用户报告称，Dr.Web杀毒软件检测到他们的电视盒系统文件发生了变化。受影响的型号包括R4（Android 7.1.2）、TV BOX（Android 12.1）和KJ-SMART4KVIP（Android 10.1）。所有案例中的妥协指标都相似，系统文件如install-recovery.sh和daemonsu被修改，同时出现了四个新文件：vo1d、wd、debuggerd和debuggerd_real。其中vo1d和wd文件被识别为Vo1d Android木马的组成部分。研究人员的报告指出，install-recovery.sh文件是大多数Android设备上存在的脚本。它在操作系统启动时运行，并包含在其中指定的自动运行元素的数据。如果任何恶意软件具有root权限并且能够写入/system系统目录，它可以通过将自己添加到这个脚本中（或者通过从头开始创建它，如果系统中没有这个脚本的话），在受感染的设备中锚定自己。Android.Vo1d已经在该文件中注册了wd组件的自动启动。

Vo1d Android恶意软件的地理分布几乎涵盖了200个国家。报告的感染数量最多的国家包括巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚。

研究人员观察到，攻击者针对电视盒的原因是这些设备通常运行着带有未修补漏洞的过时Android版本，并且缺乏更新。许多用户报告称他们的设备标记为运行Android 10或12，但实际上使用的是Android 7.1。不幸的是，制造商经常将旧版本的操作系统作为新版本出售。用户也可能错误地认为电视盒比智能手机更安全，并且不太可能安装杀毒软件，这增加了他们在下载第三方应用或非官方固件时的风险。感染源仍然未知，但专家认为可能涉及利用操作系统漏洞的恶意软件或内置root权限的非官方固件。

参考链接：

https://securityaffairs.com/168342/malware/vo1d-android-malware-tv-boxes.html

美国西雅图港确认Rhysida勒索软件组织对其系统发起网络攻击

西雅图港负责运营西雅图-塔科马国际机场近日宣布，经过调查确认，Rhysida勒索软件组织对港口系统发起了网络攻击，导致旅客出行受到影响。这次攻击发生在2024年8月24日，西雅图港随后宣布了这一事件，并指出某些系统中断可能与网络攻击有关。攻击发生后，西雅图港迅速采取行动，对受影响的系统进行了隔离和恢复。截至9月13日，大部分系统已经恢复正常运行，但港口的外部网站和内部门户仍处于关闭状态。尽管如此，西雅图-塔科马国际机场及其海上设施仍然开放，旅客可以安全出行。

Rhysida组织利用勒索软件攻击了西雅图港的计算机系统，加密了部分数据，并导致了一系列服务中断，包括旅客显示屏、Wi-Fi、自助值机亭、票务、行李处理以及预留停车场等。此外，flySEA应用程序和西雅图港网站也受到了影响。尽管大部分问题已经得到解决，但机场的网站和内部门户在本文撰写时仍然关闭。西雅图港尚未确定攻击者获取了哪些数据，但已经明确表示不会支付赎金。目前没有关于数据泄露的详细信息，但由于西雅图港的业务性质，这些数据可能具有很高的价值。

Rhysida是一个知名的勒索软件组织，专门针对运行关键系统的组织，这些系统的停机时间对组织来说代价高昂。此外，该组织还与其他高调的网络攻击事件有关，包括对教育机构、制造业、智利军队、大学和医院的攻击，以及对Singing River卫生系统的攻击，该系统在2023年8月的一次勒索软件攻击中泄露了近90万人的敏感个人信息。

参考链接

https://www.cysecurity.news/2024/09/rhysida-ransomware-hits-seattle-port-in.html

RansomHub勒索软件组织泄露从日本川崎欧洲公司窃取的487GB数据

日本川崎摩托车欧洲公司（Kawasaki Motors Europe, KME）最近遭受了RansomHub勒索软件组织的网络攻击，该组织声称从KME窃取了487GB的敏感数据。此次泄露事件包括商业文件和财务数据，引发了对全球公司网络安全的严重关切。RansomHub组织在川崎公开披露网络攻击后，公布了据称被盗的数据。尽管川崎公司表示攻击并未成功达到其目的，但作为预防措施，川崎采取了临时隔离服务器和启动彻底的“清理过程”以检测潜在感染。然而，RansomHub组织在2024年9月5日将其声称的被盗信息发布在暗网上。泄露的文件中包括了关键的商业文档，如财务信息、银行记录、经销商详情和内部通信。泄露数据的部分清单显示，目录标题包括“经销商名单”、“川崎融资”、“COVID”、“交易条款”等，时间戳显示的活动直到9月初。川崎在向客户披露了这一数据泄露事件，但似乎并未与勒索软件组织就赎金进行谈判。研究人员推测，川崎可能更倾向于系统恢复而非支付赎金。他认为，川崎的决定可能成为其他公司在面对类似情况时的参考模式，即优先考虑系统恢复和数据清理，而不是与网络犯罪分子谈判。

RansomHub作为一个著名的勒索软件组织，最近因其涉及的其他重大数据泄露事件而频繁出现在新闻中。该组织的活动增加暴露了勒索软件组织对高知名度组织构成的日益增长的威胁，这些组织涵盖了从医疗保健到制造业的多个领域。

参考链接：

https://hackread.com/ransomhub-ransomware-group-kawasaki-europe-data-leak/#google_vignette