GoldenJackal组织利用定制工具针对外交和物理隔离网络展开攻击——每周威胁情报动态第195期（10.04-10.10）

GoldenJackal组织利用定制工具针对外交和物理隔离网络展开攻击

近期网络安全公司ESET发布了一份报告，揭露了一个名为GoldenJackal的神秘网络组织，该组织针对南亚大使馆、欧盟政府机构等目标进行了一系列网络攻击，目的是渗透隔离系统并窃取机密信息。GoldenJackal的攻击活动自2019年以来一直活跃，其攻击活动首次在2023年5月被卡巴斯基揭露。该组织使用了两种不同的定制恶意软件工具集，这些工具集专门设计用于破坏与互联网隔离的系统。

攻击过程涉及多个阶段，首先通过未知机制将恶意软件GoldenDealer植入已连接互联网的计算机中。当USB驱动器插入时，GoldenDealer激活，将自己和一个未知的蠕虫组件复制到可移动设备中。当受感染的USB驱动器连接到隔离系统时，未知组件被执行，GoldenDealer将计算机信息保存到USB驱动器中。随后，当USB设备再次插入互联网连接的计算机时，GoldenDealer将驱动器中存储的信息传递到外部服务器，服务器响应适当的有效载荷以在隔离系统上运行。同时，GoldenRobo在互联网连接的PC上执行，能够从USB驱动器获取文件并将其传输到攻击者控制的服务器。此外，攻击者还使用了其他几种恶意软件工具，包括GoldenHowl（一个模块化后门）、GoldenDealer（用于通过受感染的USB驱动器传递可执行文件）、GoldenRobo（一个文件收集器和数据泄露工具）等。

ESET 的安全研究人员指出，GoldenJackal 在五年内成功构建并部署了两个不同的工具集，这表明该组织是一个技术娴熟、资源充足的威胁者，对目标网络的分段有着深刻的了解。

Awaken Likho APT 组织采用新技术发起新一波攻击

网络安全研究团队近期揭露了名为Awaken Likho的APT组织的新攻击活动。自2021年7月以来，该组织主要针对俄罗斯政府机构和工业企业发起攻击。最新的活动始于2024年6月，并至少持续到8月。在本次攻击活动中，研究团队发现Awaken Likho组织显著改变了其使用的攻击武器。该组织现在更倾向于使用合法的MeshCentral平台代理（MeshAgent），而不是之前用于远程访问系统的UltraVNC模块。攻击者通过恶意URL将新型植入物投递给受害者设备，很可能是通过钓鱼邮件获得。新型植入物使用UPX打包，并以自解压归档（SFX）的形式分发。归档包含五个文件，其中四个伪装成合法的系统服务和命令文件。攻击流程包括执行一个AutoIt脚本，该脚本启动了NetworkDrivers.exe（MeshAgent）和nKka9a82kjn8KJHA9.cmd，确保在系统中持久存在。NetworkDrivers.exe是MeshCentral平台的代理，攻击者用它代替UltraVNC。nKka9a82kjn8KJHA9.cmd是一个用大量填充文本混淆的命令文件，用于创建计划任务和删除恶意文件以减少被检测的可能性。攻击者还使用了EdgeBrowser.cmd脚本，通过PowerShell启动MeshAgent，与C2服务器建立连接。此外，攻击中还涉及一个配置文件NetworkDrivers.msh，指定了MeshAgent与MeshCentral服务器建立连接的参数。

参考链接：

https://securelist.com/awaken-likho-apt-new-implant-campaign/114101/

疑似伊朗IRGC针对2024年美国总统选举的网络行动

网络安全公司Resecurity最新报告指出，伊朗网络攻击行为者，特别是伊斯兰革命卫队（IRGC），正在积极针对2024年美国总统选举进行网络间谍活动。Resecurity的研究团队在对相关网络活动进行深入分析后，揭露了一系列复杂的网络攻击策略，这些策略旨在收集有关美国政治目标的敏感信息。攻击者通过精心设计的钓鱼邮件和社交媒体工程技巧，成功诱使目标下载恶意软件，从而建立了对目标网络的持久访问。这些恶意软件包括远程访问木马（RATs）、数据泄露工具和键盘记录器，使得攻击者能够长期监控通信、窃取文件和收集情报。攻击活动的目标包括美国政治人物、政策制定者、竞选团队成员以及与选举相关的智库和非政府组织。通过社交媒体监控、公开记录搜索和网络侦察，攻击者收集了目标的个人信息和通信方式。利用这些信息，攻击者制作了极具说服力的钓鱼邮件，诱导目标泄露登录凭据或下载恶意软件。一旦目标被诱导执行恶意附件或链接，攻击者就会部署各种恶意软件，通过这些软件，攻击者不仅能够监控目标的在线活动，还能窃取敏感数据。收集到的信息随后被传输到攻击者控制的服务器，用于进一步的情报分析或作为未来影响行动的一部分。

此次攻击活动的技术复杂性和目标选择表明，攻击者具有国家级别的资源和能力。Resecurity研究团队将此次攻击活动归因于伊朗的网络攻击行为者，特别是伊斯兰革命卫队（IRGC）。

参考链接：

https://www.resecurity.com/blog/article/iranian-cyber-actors-irgc-targeting-the-2024-us-presidential-election

亲乌克兰黑客组织宣称对Dr.Web安全公司数据泄露事件负责

近日，俄罗斯知名的网络安全公司大蜘蛛（Dr.Web）遭遇了数据泄露事件，而一个自称为“DumpForums”的亲乌克兰黑客组织宣称对此事件负责。该组织以其在网络战中的活跃表现而闻名，此次事件再次引发了对网络安全和数据保护的关注。据DumpForums组织称，他们成功入侵了Dr.Web的服务器，并获取了包括客户信息、内部文件和源代码在内的敏感数据。此次泄露的数据量庞大，涉及多个方面，对Dr.Web及其客户都可能造成严重影响。Dr.Web作为一家在业界享有盛誉的安全软件开发商，此次事件无疑是对其声誉的一次重大打击。公司方面已经确认了数据泄露的事实，并表示正在采取一切必要措施来评估和控制此次事件的影响。Dr.Web公司在一份声明中表示，他们对此次事件深感遗憾，并承诺将与所有受影响的客户保持沟通，提供必要的支持和解决方案。同时，公司也正在与执法部门合作，对此次事件进行彻底的调查。

参考链接：

https://www.bleepingcomputer.com/news/security/recent-drweb-breach-claimed-by-dumpforums-pro-ukrainian-hacktivists/

乌克兰国防部启动军事CERT以抵御俄罗斯网络攻击

为了加强国防网络安全，乌克兰国防部宣布成立了一个新的军事计算机紧急响应团队（milCERT），以应对包括俄罗斯在内的网络攻击。乌克兰国防部此前已有一支专业的网络安全团队负责维护系统安全，但新成立的milCERT将扩大其在网络防御领域的职责。乌克兰国防部在周一的声明中提到，此举是为了提高对网络攻击的响应能力和防御效率。

乌克兰负责数字发展的国防部副部长卡捷琳娜·切尔尼霍伦科（Kateryna Chernohorenko）表示，自2023年上任以来，组建这个团队一直是她的首要任务之一。她在接受Recorded Future News采访时强调，该团队正在积极招募新的专家，并为已经加入的专家提供面对严峻挑战的机会。新的milCERT将与其他国家的军事CERT类似，负责监控、识别和响应网络安全事件。拉脱维亚CERT的副经理瓦里斯·泰瓦恩斯（Varis Teivans）在早先的采访中提到，隶属于国防部为CERT提供了立法和资金支持，这是一个显著的优势。

切尔尼霍伦科副部长强调，她的团队一直在努力开发更安全的系统，并确保不会因为时间或政治压力而牺牲系统安全。她表示，军事数据是敏感的，保护这些数据是他们的首要任务。新的乌克兰milCERT还将与北约国家合作，共同应对网络威胁，提高整体的网络安全防御能力。

参考链接：

https://therecord.media/ukraine-creates-military-cert

Patelco Credit Union数据泄露影响超过100万人

Patelco Credit Union是一家服务于北加州特别是旧金山湾区的成员所有、非营利性信用合作社，近日透露，今年夏季的一起勒索软件攻击导致了超过100万人的数据泄露。Patelco Credit Union成立于1936年，是美国最古老、最大的信用合作社之一，拥有超过90亿美元的资产，位居美国信用合作社第22位。6月底，该信用合作社关闭了其多个银行系统以遏制勒索软件攻击。在对安全漏洞进行调查后，Patelco发现攻击者于2024年5月23日首次访问其系统，并窃取了包含个人信息的数据库。最初，该公司向缅因州司法部长办公室报告称，安全漏洞影响了726,000名客户和员工，并为受影响的个人提供了两年的免费身份保护服务。现在，Patelco更新了这一事件的调查结果，并披露了7月勒索软件攻击后数据泄露影响了1,009,472人。在发送给受影响个人的违规通知中，Patelco尚未透露侵入其系统的勒索软件集团，但RansomHub集团在8月份将其添加到了其Tor泄露站点。勒索软件团伙在其泄露站点上写道：“我们进行了长达两周的谈判，但不幸的是我们未能达成协议。公司的管理层根本不关心客户的隐私。我们将拍卖从他们的网络中提取的敏感数据，我们将在接下来的几天内更新数据样本。”

参考链接：

https://securityaffairs.com/169139/cyber-crime/patelco-credit-union-data-breach.html

深入分析“Joker”恶意软件新变种

“Joker”恶意软件是一种臭名昭著的移动恶意软件，以其隐蔽的订阅欺诈行为而知名。近期，波兰计算机应急响应团队（CERT Polska）观察到“Joker”的新变种样本，这些样本伪装成手机应用程序，通过Google Play Store传播，针对包括波兰用户在内的全球用户。该恶意软件的新变种在用户不知情的情况下订阅付费服务，导致用户产生额外费用。“Joker”恶意软件新变种展示了多阶段攻击过程，包括应用伪装、权限滥用、动态代码加载和加密通信。恶意软件使用XOR操作对网络通信进行加密，隐藏其与C&C服务器的通信内容。此外，恶意软件利用WebView组件和JavaScript代码自动化订阅服务的过程，绕过用户的监控。恶意软件还能够收集用户的MCC和MNC，以及其他敏感信息，这些信息可能被用于进一步的恶意活动。“Joker”恶意软件新变种的分析揭示了其高度复杂性和隐蔽性。该软件不仅能够绕过Google Play Store的安全检查，还能够在用户不知情的情况下执行恶意操作。这一发现强调了用户在下载和安装应用程序时需要保持警惕，同时也提醒了开发者和安全专家对此类威胁保持高度关注。

参考链接：

https://cert.pl/posts/2024/10/analiza-joker/

Lua恶意软件的新变种深入分析

网络安全公司Morphisec近日在其博客上发布了一份深入的技术分析报告，揭示了一种专门针对教育行业和学生游戏引擎的Lua恶意软件。这种恶意软件通过精心设计的攻击链，对教育机构和学生用户的数据安全构成了严重威胁。研究人员发现，这些恶意软件变种利用了学生游戏社区中流行的Lua游戏引擎补充的流行度。攻击者通过搜索引擎优化中毒等技术，诱导用户从GitHub等平台下载恶意文件。这些文件通常包含一个Lua编译器、一个Lua DLL文件、一个混淆的Lua脚本和一个批处理文件，用于执行Lua脚本。在执行过程中，恶意软件的加载器会与远程命令与控制（C2）服务器建立通信，发送受感染机器的详细信息。C2服务器响应后，提供的任务分为两类：一类是Lua加载器任务，涉及维持持久性或隐藏进程等操作；另一类是任务有效载荷，专注于下载新有效载荷并应用配置。

研究人员的分析显示，这些Lua脚本使用了Prometheus混淆器进行加密，使得代码难以被分析和理解。混淆器采用了高级技术，如代码转换和控制流混淆，以保护恶意代码不被轻易发现。此外，恶意软件还包含了复杂的反逆向工程技术，例如错误检测和代码格式化阻止，以防止安全研究人员分析其行为。攻击者利用FFI库，允许Lua代码直接调用C函数和使用C数据结构，从而提高了恶意操作的性能。恶意软件通过创建任务和修改注册表来实现持久性，同时收集受害者的详细信息，如IP地址、地理位置和操作系统信息。

参考链接：

https://blog.morphisec.com/threat-analysis-lua-malware

深入分析Dark Angels勒索软件组织

Dark Angels勒索软件组织是一个在全球范围内活跃的网络犯罪组织，以其对高价值目标的精准打击和勒索软件的有效利用而著称。该组织不仅在技术上不断进化，而且其攻击策略和加密技术也在不断更新，以适应不断变化的安全环境。Dark Angels组织在对Windows系统的攻击中，最初采用了Babuk勒索软件的原始版本，但随着时间的推移，他们转向了使用RTM Locker的变种，这是基于Babuk的代码但进行了显著改进的版本。RTM Locker在加密过程中引入了ChaCha20算法，取代了之前的HC-128算法，并且取消了加密文件尾部的需求，这使得其加密过程更加隐蔽和难以追踪。在加密技术方面，RTM Locker采用了椭圆曲线密码学（ECC）和Curve25519算法进行非对称加密。攻击者首先为每个文件生成一个随机的32字节值作为Curve25519私钥，然后计算相应的公钥。通过与Dark Angels硬编码的公钥进行ECDH密钥交换，生成一个共享秘密，该秘密随后用作ChaCha20加密文件内容的密钥。这种加密方式的唯一解密密钥由Dark Angels持有，使得受害者在没有攻击者提供的私钥的情况下无法恢复文件。对于Linux和VMware ESXi服务器，Dark Angels则倾向于使用RagnarLocker的变种。这种变种结合了非对称ECC和对称256位AES CBC模式加密，使用secp256k1椭圆曲线。RagnarLocker的加密过程包括生成系统独有的secp256k1私钥和公钥，然后通过ECDH密钥交换创建共享秘密。这个共享秘密用于加密256位AES的主密钥，而主密钥又用于加密文件内容。RagnarLocker的文件加密尾部结构包含了加密过程中使用的所有关键参数，包括主AES IV、secp256k1公钥、加密的主AES密钥、加密文件数据IV、文件数据SHA256校验和、原始文件大小、加密块数量以及跳过的MB数量。这种结构设计使得即使在文件加密过程中断，也能从文件尾部恢复加密参数，从而有可能解密原始文件数据。

图2Dark Angels 重要活动的时间表

参考链接：

https://www.zscaler.com/blogs/security-research/shining-light-dark-angels-ransomware-group

美国UMC卫生系统因勒索软件攻击导致患者转移

2024年9月27日，美国德克萨斯州的UMC卫生系统近日遭受勒索软件攻击，导致其网络系统瘫痪。作为预防措施，UMC不得不将患者转移到附近的医疗机构。随后，UMC卫生系统宣布对其网络攻击事件进行调查，为了控制危害扩散，UMC不得不关闭IT系统。

UMC卫生系统是一家位于德克萨斯州拉伯克的医疗服务提供商，经营着与德克萨斯理工大学健康科学中心有关联的教学医院——大学医学中心。UMC卫生系统提供广泛的医疗服务，包括急诊护理、专业手术和综合治疗项目。作为区域医疗中心，UMC提供住院和门诊服务，以其创伤中心和先进的医疗技术而闻名。

UMC已经启动了对安全漏洞的调查，并得到了第三方网络安全专家的帮助。医院已经将其系统从互联网断开，以控制危害扩散。截至周一，医院已经恢复了一些系统和服务，但仍有一些患者被转移。不过，该公司没有提供关于攻击的详细信息，例如攻击医院的勒索软件家族。目前尚不清楚威胁行为者是否在攻击期间窃取了患者的数据。

参考链接：

https://securityaffairs.com/169198/cyber-crime/umc-health-system-cyberattack.html