朝鲜黑客组织Andariel试图攻击美国金融机构

  Tag：Andariel, Dtrack

事件概述：

据报道，2024年8月，朝鲜政府支持的黑客组织Andariel针对美国的三个不同组织进行了可能出于金融动机的攻击。尽管攻击者未能在受影响组织的网络上部署勒索软件，但赛门铁克公司（Symantec）在报告中指出，这些攻击可能出于金融动机。Andariel被认为是臭名昭著的Lazarus Group的一个子集群，自2009年以来一直活跃。Andariel有过部署SHATTEREDGLASS和Maui等勒索软件的记录，同时也开发了一系列自定义后门，如Dtrack，TigerRAT，Black RAT，Dora RAT和LightHand等。此外，该黑客组织还使用了一些较少为人知的工具，如名为Jokra的数据擦除器和名为Prioxer的高级植入物。

Andariel的最新一轮攻击特点是部署了Dtrack和另一个名为Nukebot的后门。Nukebot具有执行命令、下载和上传文件以及截图的功能。虽然目前尚不清楚安达瑞尔是如何获得初始访问权限的，但他们有利用面向互联网的应用程序中已知的N-day安全漏洞来侵入目标网络的习惯。在入侵过程中使用的其他程序包括Mimikatz，Sliver，Chisel，PuTTY，Plink，Snap2HTML和FastReverseProxy（FRP），所有这些程序都是开源或公开可用的。攻击者还被观察到使用伪造的Tableau软件证书对一些工具进行签名，这是一种以前由微软披露过的策略。尽管美国政府已采取行动，但赛门铁克表示，Andariel从2019年以来将重点转向间谍行动，最近又转向以金融为动机的攻击，这是一个相对较新的发展。

来源：

https://thehackernews.com/2024/10/andariel-hacker-group-shifts-focus-to.html

政府威胁情报

俄黑客组织“恶魔集团”向美德克萨斯州大学健康系统发起勒索软件攻击

  Tag：恶魔集团, 勒索软件攻击

事件概述：

俄罗斯资助的黑客组织“恶魔集团”（Evil Corp）近期因对北约国家有针对性的网络攻击而备受关注。据英国国家犯罪局（NCA）的揭示，该集团利用这些国家的漏洞，利用关系规避了美国当局的制裁。另一方面，今年9月26日，德克萨斯州的大学医疗中心健康系统（UMC）遭受了一次重大的勒索软件攻击。此次攻击导致关键的医疗系统暂时关闭，幸运的是，UMC有一个健全的数据连续性计划，使得在攻击后能够迅速恢复。

“恶魔集团”首次引起关注是在2019年，当时执法机构发现他们对北约国家进行了间谍活动。同年，他们扩大了业务范围，包括对北美各公司网络的勒索软件攻击。这些攻击经常利用公共Wi-Fi网络，如机场和咖啡馆，使恶意软件迅速传播，暴露出即使是成熟组织的漏洞。NCA的调查揭示，“恶魔集团”的领导人雅库贝茨巧妙地应对了国际法的复杂性，有效地将被起诉的“恶魔集团”成员转移到莫斯科，使他们免受美国的审查。另一方面，UMC在危机期间，将紧急救护车服务转移到其他医院，以确保病人的护理不会受到影响。然而，由于安全专家的努力和有效的缓解策略的实施，UMC能够迅速恢复数字病人记录。因此，预计该设施将在下周初恢复全面运营。

来源：

https://www.cybersecurity-insiders.com/russia-cyber-attack-on-nato-countries-and-ransomware-attack-on-umc-health-system/

能源威胁情报

自动油罐仪表(ATG)系统存在严重0day漏洞，可能导致实质性威胁

  Tag：0day漏洞, 网络安全和基础设施安全局(CISA)

事件概述：

Bitsight TRACE的最新调查发现，五家不同供应商的六种自动油罐仪表(ATG)系统存在多个关键的0day漏洞。这些漏洞可能被恶意行为者利用，导致物理损坏、环境破坏和财务损失等严重后果。尽管已多次发出警告，但仍有数千台ATG在线并直接通过互联网访问，使其极易受到网络攻击，特别是在破坏或网络战争环境中。ATG系统在现代关键基础设施中起着关键作用，负责管理各种行业的燃油储存。这些系统对于从加油站到医院、机场、军事基地和发电厂等设施至关重要。

Bitsight的研究发现，黑客可以完全控制ATG系统，使他们能够操纵燃油水平，禁用报警，甚至关闭燃油分配系统。这种对物理过程的控制对关键基础设施构成了严重风险，可能导致燃油泄漏、设备损坏或在医院或紧急服务等基本设施中引起广泛的服务中断。攻击者还能够窃取敏感的运营数据或禁用关键系统，可能导致严重的罚款和监管处罚。Bitsight强调，即使是最基本的网络安全措施，如断开ATG与互联网的连接，也经常被忽视。在对这些发现做出回应后，Bitsight表示，它已与美国国土安全部的网络安全和基础设施安全局(CISA)合作，协调负责任的漏洞披露过程。然而，尽管进行了这些努力，但暴露度仍然很高。Bitsight的持续监控显示，仍有超过6500个ATG系统连接到互联网，没有任何安全保护，使关键基础设施容易受到网络攻击。

来源：

https://informationsecuritybuzz.com/vulns-discoverd-automatic-tank-gauging/

工业威胁情报

有史以来最大的DDoS对OT关键基础设施构成威胁

  Tag：DDoS攻击, OT关键基础设施

事件概述：

2024年10月4日，一篇名为《有史以来最大的DDoS对OT关键基础设施构成威胁》的文章引起了广泛关注。文章主要讨论了分布式拒绝服务（DDoS）攻击的威胁，尤其是对运营技术（OT）关键基础设施的影响。DDoS攻击通过使目标系统的网络或服务器超负荷运行，从而导致服务中断。这种攻击方式对OT关键基础设施构成了巨大威胁，因为这些基础设施的运行直接关系到社会的正常运转。文章强调，对抗DDoS攻击需要采取多因素认证、威胁情报共享和自动化安全措施等技术手段。

该文从技术角度对DDoS攻击进行了深入分析。DDoS攻击的实施往往利用了目标系统的漏洞，通过大量的请求使系统超负荷运行，从而达到瘫痪系统的目的。对于OT关键基础设施来说，这种攻击方式的威胁尤其严重，因为一旦这些基础设施出现问题，可能会对社会的正常运转产生重大影响。因此，对抗DDoS攻击需要采取一系列技术手段，包括多因素认证、威胁情报共享和自动化安全措施等。多因素认证可以提高系统的安全性，使攻击者难以通过单一的方式攻破系统。威胁情报共享可以帮助各个系统及时了解到新的威胁，从而提前做好防范。自动化安全措施则可以在系统受到攻击时，及时启动防御机制，减少损失。

来源：

https://securityboulevard.com/2024/10/microsoft-alert-new-inc-ransomware-targets-us-healthcare/

流行威胁情报

BBTok木马新技巧：.NET加载器和隐蔽的持久性

  Tag：G DATA CyberDefense, BBTok

事件概述：

G DATA CyberDefense最近的分析揭示了一个针对巴西实体的复杂恶意软件感染链，利用混淆的.NET加载器和先进的持久性技术。这种恶意软件与BBTok银行木马有关，采用多阶段方法，从通过电子邮件发送的ISO图像开始，伪装成巴西常用的数字发票。感染链从钓鱼电子邮件附带的恶意ISO图像开始，伪装成合法的数字发票。一旦受害者打开ISO，感染通过伪装成PDF图标的Windows快捷方式文件（LNK）开始，引诱用户执行恶意有效载荷。该恶意软件还利用了一种称为AppDomain Manager Injection的技术，其中Trammy.dll被注册为AppDomain Manager。这使得它能够在新AppDomain的初始化期间执行恶意代码，使攻击者对感染环境有更大的控制。

这次攻击的特殊之处在于使用Microsoft Build Engine（MSBuild.exe），这是一个合法的Windows工具，可以直接在感染的机器上编译恶意的C#代码。恶意软件从嵌入的C#代码中编译一个.NET DLL，名为Trammy.dll，然后执行它以保持持久性并继续感染过程。这种方法使恶意软件能够规避传统安全工具的检测，因为恶意有效载荷是在受害者的系统上动态生成和执行的。BBTok，这个活动背后的恶意软件家族，有针对拉丁美洲国家，特别是巴西的历史。攻击者定制了恶意软件，只有当受害者的IP地址位于巴西时才执行，这进一步复杂化了全球安全系统的检测。这种地理围栏技术确保恶意软件主要在预期的区域内操作，最小化在非目标区域的暴露。恶意软件还包括几种持久性机制，如创建互斥体以防止重新执行，以及设置服务，使恶意软件能够在系统重启后存活。此外，恶意软件试图禁用Windows Defender和其他安全工具，确保它可以无干扰地操作。

来源：

https://securityonline.info/net-loaders-and-stealthy-persistence-bbtok-trojans-new-tricks/

高级威胁情报

朝鲜“隐蔽睡眠”恶意软件活动针对柬埔寨及其他东南亚国家

  Tag：APT37, VeilShell

事件概述：

朝鲜政府黑客在过去一年中针对包括柬埔寨在内的几个东南亚国家发起了名为“隐蔽睡眠”（Shrouded Sleep）的恶意软件活动，旨在在重要组织的系统中创建后门。此次活动由朝鲜国家安全部下的APT37组织实施，该组织是朝鲜最活跃的黑客操作之一。攻击者通过发送包含恶意软件的钓鱼邮件来实施攻击，这些邮件附带的后门程序名为VeilShell，能够让攻击者完全控制被感染的机器。VeilShell具备数据窃取、注册表和计划任务创建或操纵等功能。攻击者在攻击的每个阶段都表现出极大的耐心和方法性，通过设置长时间的休眠期来避免传统启发式检测。   

“隐蔽睡眠”活动利用精心设计的钓鱼邮件和伪装成合法文件的附件来诱导目标用户下载恶意软件。这些附件文件以.pdf.lnk或.xlsx.lnk结尾，并配有与文件扩展名相匹配的假快捷方式图标。此外，攻击者使用的VeilShell后门程序具有高度隐蔽性，其不会在系统重启前执行任何操作，从而进一步逃避检测。此次活动的分析显示，朝鲜在其间谍活动中展现出高度的技术复杂性和隐蔽性，能够在亚洲范围内部署隐秘工具。APT37此前还涉嫌在今年1月针对媒体机构和高级学者进行了一系列攻击，显示了其持续的威胁能力和战术多样性。

来源：

https://unsafe.sh/go-265449.html

漏洞情报

谷歌发布Chrome浏览器关键安全更新

  Tag：Chrome浏览器, 漏洞奖励计划（VRP）

事件概述：

谷歌最近发布了Chrome浏览器的一项关键安全更新，版本号为129.0.6668.89/.90（适用于Windows和Mac）及129.0.6668.89（适用于Linux），以解决多个高危漏洞。这些漏洞可能允许攻击者在用户系统上执行任意代码。更新中包括三项由外部安全研究人员报告的修复，显示出合作在维护浏览器安全中的重要性。其中包括整数溢出、数据验证不足和不当实现等严重问题，可能导致信息泄露或权限提升。谷歌强烈建议用户立即更新浏览器以防范这些潜在威胁。

来源：

https://cybersecuritynews.com/chrome-security-vulnerabilities/

勒索专题

Storm-0501黑客团伙针对美国混合云发动勒索软件攻击

  Tag：Storm-0501, 勒索软件

事件概述：

自2021年以来，一直存在的威胁团伙Storm-0501正在针对美国政府和商业实体的混合云环境，窃取数据和凭据，建立持久的后门访问，并部署勒索软件。Storm-0501通过利用Zoho的ManageEngine套件、Citrix的NetScaler应用程序交付控制器（ADC）或Adobe的ColdFusion应用服务器等已知漏洞，首次获得对本地系统的访问权限。一旦进入系统，Storm-0501就会从受害者的本地环境横向移动到云端。随着组织将更多的工作负载和数据发送到云端，安全威胁增加。据Thales Group，存储在云中的所有企业数据中有47%是敏感的，而少于10%的企业对80%或更多的云存储敏感数据进行加密。此外，该公司还指出，今年在一项关于云安全的Thales研究中，有31%的受访者将SaaS应用程序列为攻击的主要领域，其次是云存储（30%）和云管理基础设施（26%）。

来源：

https://unsafe.sh/go-264934.html

钓鱼专题

黑客团伙利用Sniper Dz网络钓鱼平台进行大规模凭证盗窃

  Tag：Sniper Dz, Palo Alto Networks Unit 42

事件概述：

Palo Alto Networks Unit 42的分析显示，Sniper Dz网络钓鱼页面将受害者的凭证外泄，并通过集中的基础设施进行追踪。这可能帮助Sniper Dz收集通过其PhaaS平台使用的网络钓鱼者窃取的受害者凭证。Unit 42研究人员表示，这些发现跟随着Cisco Talos报告的细节，该报告详细描述了利用后端SMTP基础设施链接的网页来实现隐蔽的网络钓鱼电子邮件发送的入侵。这些恶意网站的存在，再次强调了多因素认证、威胁情报共享和自动化安全措施的重要性。只有通过这些技术手段，才能更有效地防止此类网络钓鱼攻击的发生。

来源：

https://www.scworld.com/brief/sniper-dz-phaas-platform-extensively-leveraged-in-cyberattacks

数据泄露专题

澳大利亚放射科平台遭黑客入侵，病患信息泄露

  Tag：凭证填充, 多因素认证（2FA）

事件概述：

一名匿名人士透露，他们使用盗取的凭证在线访问了澳大利亚存储病患信息的放射科平台。I-MED Radiology是澳大利亚领先的医疗影像提供商，其诊所提供包括MRI、CT、X射线、超声和核医学在内的各种影像程序。此次泄露的凭证来自另一次数据泄露，这意味着账户持有人可能在多个服务上使用相同的凭证。这种攻击称为凭证填充，黑客会尝试在其他网站和服务上使用泄露的凭证。匿名人士在数据中找到了属于一家医院的三个账户的登录详情，这些凭证让他们能够访问I-MED的放射科病患门户，从而查看患者的全名、出生日期、性别、接受的扫描以及扫描的日期。这些凭证已经在网上向黑客开放了一年多。更糟糕的是，这些账户的密码长度只有三到五个字母，且没有双因素认证（2FA）保护。   

这次事件再次强调了多因素认证（2FA）的重要性。2FA是一种安全措施，要求用户提供两种身份验证方式，以增加账户的安全性。在这次数据泄露中，由于没有启用2FA，黑客可以轻松地利用泄露的凭证访问病患数据。此外，由于账户密码过短，黑客可以更容易地破解密码。这种低水平的身份验证标准在任何情况下都是不可接受的，尤其是在涉及敏感的病患数据时。此次事件也再次强调了密码管理的重要性。用户应避免在多个服务上使用相同的凭证，并定期更改密码。此外，用户还应启用身份监控服务，以便在个人信息被非法交易时得到警告。

来源：

https://www.malwarebytes.com/blog/news/2024/10/radiology-provider-exposes-tens-of-thousands-of-patient-files

- END -