疑似新APT组织针对巴基斯坦海军的网络间谍活动——每周威胁情报动态第201期（11.15-11.21）

疑似新APT组织针对巴基斯坦海军的网络间谍活动

BlackBerry研究人员近日发现一个针对巴基斯坦海军的复杂网络间谍活动。此次活动涉及精心设计的诱饵和多个文件类型的网络攻击，目的是传递一个隐蔽的信息窃取器给目标受害者。攻击活动始于一个设计成巴基斯坦海军内部IT备忘录的PDF文件，该文件包含一个嵌入式URL，用于获取所需文件，并引导目标用户下载和安装它们。该PDF文件看似合法，但实际上是一个恶意链接，使用了“typo-squatting”技术来模仿巴基斯坦海军的官方域名。攻击者利用了巴基斯坦海军使用Axigen邮件服务器和Thunderbird作为电子邮件客户端的先验知识，制作了一个定制的Axigen用户手册，用于安装恶意的Thunderbird扩展。一旦用户按照假冒手册安装了恶意扩展，该扩展会显示一个登录表单，专门针对“@paknavy.gov.pk”的电子邮件地址，误导受害者认为输入凭据后可以访问和下载他们的电子邮件。用户输入合法凭据并提交后，这些凭据通过HTTP POST请求发送到攻击者的服务器。服务器响应包括“Credentials Received”后，会触发下载函数，根据用户代理字符串确定受害者的操作系统，并返回相应的ZIP文件。

最终的恶意软件载荷是一个名为Sync-Scheduler的信息窃取器，它首次记录于2024年3月，但研究人员发现的样本似乎至少可以追溯到2023年中。Sync-Scheduler是用C++编写的，具有强大的逃避和反分析能力，其核心功能似乎自之前的版本以来基本未变。它通过Windows管理工具（WMI）收集机器元数据，如UUID，并将这些信息发送到攻击者的C2服务器。Sync-Scheduler的主要目的是寻找特定类型的文档，将它们收集到同一位置，并为外泄做好准备。它使用Tiny Encryption Algorithm (TEA)加密文件内容，然后外泄到C2服务器。

在分析针对攻击活动归因溯源时，研究人员发现攻击者采用了多种手段来隐藏自己的身份和位置，包括使用“假旗”行动来模仿其他已知威胁组织的战术、技术和程序（TTPs），这使得确定攻击来源变得非常困难。尽管攻击的复杂性和目标都指向了一个可能以间谍活动为目的的高技术水平新攻击组织，但研究人员还是注意到，攻击活动使用的这些TTPs与SideWinder和Bitter两个已知APT组织的活动有相似之处。SideWinder和Bitter组织都是疑似印度支持的APT组织，历史上曾针对南亚地区，包括中国、巴基斯坦和孟加拉国等展开网络间谍攻击活动。尽管存在这些相似性，但研究人员认为目前没有足够的证据明确将此次攻击活动归因于这两个组织中的任何一个。因此，暂时将此次攻击活动归类为由一个未知的组织所为，并将继续监控这一攻击者的攻击活动，以便在发现更多证据时更新针对他们的溯源评估。

参考链接：

https://blogs.blackberry.com/en/2024/11/suspected-nation-state-adversary-targets-pakistan-navy-in-cyber-espionage-campaign

匈牙利国防采购机构遭外国黑客入侵

匈牙利国防军事采购政府机构最近遭到外国黑客的网络攻击。根据匈牙利总理欧尔班的幕僚长格利·古里亚斯（Gergely Gulyas）的说法，此次入侵并未泄露任何与匈牙利国家安全或军事结构相关的敏感军事数据。在一次新闻发布会上，古里亚斯确认，尽管攻击者可能访问了一些计划和采购数据，但没有公开任何可能严重损害匈牙利安全的信息。攻击者被描述为一个“敌对的外国非国家黑客组织”，目前尚未被官方命名。但匈牙利新闻媒体Magyar Hang报道称，一个名为INC Ransomware的组织声称对此次入侵负责。据该媒体报道，该组织访问、加密并在网上发布了一些文件和截图以证明他们的访问。匈牙利政府尚未证实这些细节，并表示正在进行调查以评估此次入侵的范围和潜在影响。

作为北约成员国的匈牙利自2017年以来一直在增加军事投资，启动了现代化和重新武装计划。该计划包括购买坦克、直升机、防空系统，并建立了国内军事制造业。其中值得注意的项目是德国莱茵金属公司在匈牙利西部扎拉埃格塞格地区生产的Lynx步兵战车。自俄罗斯2022年入侵乌克兰以来，乌克兰的持续冲突进一步推动了匈牙利增加国防开支。匈牙利政府最近宣布计划在2024年至少将其GDP的2%用于军事开支。古里亚斯向记者保证，匈牙利最关键的军事数据仍然安全。国防采购机构本身并不处理与军事行动或结构细节相关的敏感信息，这限制了此次入侵的潜在影响。调查旨在澄清被泄露的文件中是否包含可能对国家防御战略构成更广泛风险的材料。

参考链接：

https://www.cysecurity.news/2024/11/hungarian-defence-agency-hacked-foreign.html

DocuSign网络钓鱼攻击活动激增

网络安全公司SlashNext警告称，攻击者正在增加针对DocuSign的网络钓鱼攻击，这些攻击看起来非常真实。DocuSign是一家提供电子签名和数字协议管理服务的公司，在11月8日至14日的一周内，观察到的针对DocuSign网络钓鱼链接数量比9月和10月的总和高出98%，研究人员表示每天看到数百个实例。攻击者正忙于冒充政府机构、商业承包商和市政项目，以针对企业的假文件为目标，例如许可证续签、合规要求、合同修改等。这些攻击对承包商和供应商构成双重威胁——立即的财务损失和潜在的业务中断。SlashNext的报告指出，当一份欺诈性文件被签署时，可能会触发未经授权的付款，同时对实际的许可证状态造成混乱。

典型的攻击场景围绕一个看似官方的DocuSign请求展开，该请求看起来是真实的。恶意行为者使用合法的DocuSign账户和API创建模板。例如，一位总承包商可能会收到来自其州执照委员会的请求。这些复杂的攻击活动特别危险，因为它们试图利用信任关系。攻击者使用合法的DocuSign基础设施，并绕过传统的电子邮件安全工具。此前，攻击者还被观察到使用DocuSign链接进行网络钓鱼或发送逼真的欺诈性发票，冒充Norton、PayPal和其他著名品牌。

参考链接：

https://cybernews.com/security/significant-surge-in-docusign-impersonation-attacks/

泰国5百万会员卡数据在黑客论坛上出售

据DataBreaches.net报道，泰国跨国企业中央集团（Central Group）的子公司中央零售公司（Central Retail Corporation）遭受数据泄露，涉及超过510万条会员卡会员的个人信息。自称为“0mid16B”的黑客声称对此负责，并已将数据发布在黑客论坛上出售。中央集团是泰国最大的商业集团之一，拥有超过50家子公司和六大业务线。2021年10月，中央餐饮集团曾遭受名为DESORDEN的威胁行为者的攻击。此次泄露事件涉及中央集团的会员卡系统The1 Card，该系统覆盖中央集团旗下所有零售和消费品牌，拥有超过1700万会员，约占泰国人口的25%。

黑客0mid16B声称，他们从2024年8月至11月期间，通过中央零售网络暴露的受损API端点访问并窃取了5,108,826条The1 Card会员的个人信息记录。泄露的信息包括姓名、会员编号、国民卡ID号码、国家、手机和电子邮件等，总数据量达582MB。0mid16B向DataBreaches提供了数据样本以验证其真实性，并在论坛上提供了一个中间人托管服务，这通常是合法卖家的标志。提供的数据样本测试和视频可能会说服潜在买家。不过 0mid16B表示，由于与中央集团的谈判失败，他们决定出售这些数据。他们还指出，泰国公司不重视数据保护，因为不会受到任何罚款、赔偿或承担任何责任。

DataBreaches尝试联系中央集团的联系邮箱和数据保护办公室，但截至发稿时未收到回复。此外，DataBreaches还向中央集团的投资者关系和公关邮箱发送了查询，但邮件被退回，显示“收件人地址被拒绝：无法送达”。

参考链接：

https://databreaches.net/2024/11/20/thai-loyalty-membership-card-data-of-5-million-customers-put-up-for-sale-on-hacking-forum/

深入分析Raspberry Robin恶意软件的多层结构和混淆技术

Zscaler的安全研究团队对Raspberry Robin恶意软件进行了全面分析，详细阐述了其复杂的多层执行结构和高级混淆技术。这项研究深入探讨了Raspberry Robin如何通过一系列精心设计的执行层和混淆方法来隐藏其恶意行为，从而在受害者的系统中悄无声息地执行其网络攻击活动。

Raspberry Robin恶意软件通过多个阶段的执行层来逐步揭露其核心功能，每个阶段都设计有特定的反分析技术，以确保在被安全环境检测到时能够及时部署诱饵负载，迷惑分析人员。这些执行层包括代码仿真检测、CPU性能测量、以及使用RC4和Rabbit流密码算法等多种加密技术来解密后续层。此外，Raspberry Robin还采用了控制流平坦化、虚假控制流、字符串混淆等高级混淆技术，使得对其行为的分析变得异常困难。在核心层，Raspberry Robin展示了其逃避和反分析的能力，包括隐藏线程、检测虚拟化环境、修改Windows API以防止调试器附加等。它还通过修改注册表和使用Windows Encrypted File System (EFS)来实现持久性，以及通过网络传播，利用RDP和SMB协议在内网中扩散。Raspberry Robin的网络通信能力同样不容忽视。它通过TOR网络与C2服务器通信，下载并执行有效负载。在执行网络攻击之前，Raspberry Robin会进行一系列的检查和数据收集，包括获取受感染主机的外部IP地址、系统信息、用户名、主机名等，并将这些信息用于加密通信。

Zscaler的研究强调了Raspberry Robin的复杂性和其对网络安全构成的严重威胁。这种恶意软件的高级反分析技术和多层执行策略使其能够有效规避传统的安全检测和防护措施，给个人和企业用户带来了巨大的安全挑战。

参考链接：

https://www.zscaler.com/blogs/security-research/unraveling-raspberry-robin-s-layers-analyzing-obfuscation-techniques-and

通过邮寄恶意二维码传播恶意软件的新威胁

瑞士国家网络安全中心（NCSC）近日向公众发出警告，提醒公众注意一种新型的网络攻击方式：通过邮寄实体信件发送含有恶意二维码的信件，诱使收件人扫描以感染其设备。这些信件伪装成来自瑞士联邦气象和气候办公室（MeteoSwiss）的官方通信，声称扫描信中的二维码将安装一个新的恶劣天气应用程序到他们的Android智能手机上。然而，NCSC表示，这些二维码实际上链接到一个名为Coper（也称为Octo2）的恶意应用，该应用试图从超过380个应用中窃取敏感凭证，包括银行应用。

此外，Coper允许黑客远程访问受感染的设备，为攻击者提供了窃取更多信息和监视受影响用户的机会。信件中推广的应用模仿了瑞士使用的正版“Alertswiss”天气应用——在假冒版本中拼写为“AlertSwiss”。Coper恶意软件可以轻松定制以使用不同的名称，因此很可能其他名称也可能被用于恶意应用，甚至可能根本不以天气相关应用的形式出现。虽然通过网络钓鱼邮件、短信等数字渠道传播恶意软件和危险链接的成本较低，但通过网络邮寄系统进行大规模分发并不常见。然而，这种罕见性也可能成为犯罪分子的优势，因为许多人对通过实体信件收到的指令不如对电子邮件或短信那样警惕。

此外，许多用户已经习惯了在餐厅和停车场等现实场景中扫描二维码，而没有验证他们是否被带到了一个合法的网页。NCSC要求收到这些信件的人在线上报，并明确建议不要访问恶意链接。已经被骗下载并安装了该应用的用户，建议将受影响的智能手机恢复到出厂设置，并更改可能已被泄露的任何登录凭证。智能手机用户应保持警惕，确保其设备安装了最新的安全补丁，运行防病毒保护，并仅从官方应用商店安装应用。

参考链接：

https://www.bitdefender.com/en-us/blog/hotforsecurity/malware-malicious-qr-codes-the-post

“ELPACO-team”勒索软件——MIMIC勒索软件家族新变种

CYFIRMA的研究团队最近识别了一个复杂的下载器二进制文件，该文件设计用于部署“ELPACO-team”勒索软件，这是“MIMIC”勒索软件家族的一个新变种。这一研究报告显示，“ELPACO-team”勒索软件在执行时会部署一系列恶意工具和合法实用程序，使其能够禁用系统防御机制，加密广泛的文件类型，并执行确保持久性的操作。它还加密本地和网络驱动器上的关键文件，留下勒索信给受害者，并针对特定的文件扩展名进行加密，同时排除其他文件以避免破坏关键系统文件。这种勒索软件对个人和企业都构成重大威胁，能够逃避检测并阻碍恢复工作。

“ELPACO-team”是一个高度复杂的32位Windows可执行文件，被识别为Mimic勒索软件家族的成员。该恶意软件采用多方面的方法进行攻击，利用恶意和合法工具破坏受害者的系统。该二进制文件包括一个嵌入式的7zSFX自解压档案，其中包含用于控制和操纵受害者系统的多个有效载荷和实用程序。它首先从嵌入式7zSFX档案中提取组件，包括Everything.exe，一个合法的文件搜索实用程序，以及其他有效载荷。然后，恶意软件使用这些组件禁用安全功能，包括Windows Defender，并开始在本地和网络驱动器上加密广泛的文件类型。

该勒索软件具有高级功能，例如停止虚拟机操作、删除备份数据和修改系统配置以确保持续执行。每个受害者都被分配了一个独特的解密ID，并且显示勒索信以勒索付款。勒索软件还包括确保持久性的机制，例如修改系统设置和阻止访问恢复选项。其加密配置针对关键数据文件，同时排除关键系统文件，这使得恢复系统和恢复丢失数据的努力变得复杂。

对“ELPACO-team”勒索软件的分析揭示了其复杂的性质，特点是使用合法工具和自定义有效载荷进行有效且隐蔽的网络攻击。恶意软件能够禁用Windows Defender、修改系统配置、加密广泛的文件类型，并防止系统恢复，展示了高水平的技术熟练度。ELPACO-team勒索软件通过持久性机制、注册表修改和反关闭策略确保其持续运行。其针对性的加密关键用户数据同时排除系统关键文件，确保受害者的设备保持运行，便于勒索付款。鉴于恶意软件全面使用内置Windows实用程序和外部工具，组织必须采取强大的防御策略，包括端点检测、高级行为监控和定期数据备份，以减轻此类勒索软件攻击的影响。积极的措施，如用户意识培训和增强系统加固，对于防御像ELPACO-team勒索软件这样的不断发展的威胁至关重要。ELPACO-team勒索软件强调了现代勒索软件操作的演变复杂性以及采取多层次网络安全方法以检测、预防和响应此类复杂威胁的必要性。

参考链接：

https://www.cyfirma.com/research/elpaco-team-ransomware-a-new-variant-of-the-mimic-ransomware-family/

俄罗斯黑客因Phobos勒索软件指控被引渡至美国

俄罗斯国民Evgenii Ptitsyn，别名“derxan”和“zimmermanx”，因涉嫌参与Phobos勒索软件的出售、分发和运营，在美国面临敲诈勒索和黑客攻击的指控。Ptitsyn于11月4日在韩国被引渡至美国后，在马里兰州的美国地区法院出庭。Phobos勒索软件据称由Ptitsyn及其同伙管理，全球范围内超过1000个公共和私营实体成为其目标，包括大型公司、政府、学校、医院和非营利组织。该勒索软件运营从受害者处勒索了超过1600万美元的赎金。

根据起诉书，Ptitsyn及其共犯开发了Phobos勒索软件，并提供给其他被称为“affiliates”的犯罪分子使用，这些犯罪分子利用勒索软件加密受害者数据并索要赎金。管理员通过一个暗网网站协调Phobos勒索软件的销售和分发，并使用在线别名在犯罪论坛上宣传他们的服务。美国司法部副部长Lisa Monaco强调了司法部门利用国际合作打击勒索软件威胁的决心。她在新闻发布会上表示，Evgenii Ptitsyn据称从数千名受害者那里勒索了数百万美元，现在得益于全球执法机构的合作，他将在美国面临正义的审判。Ptitsyn被控多项罪名，包括电汇诈骗阴谋、电汇诈骗、共谋计算机欺诈、故意破坏受保护的计算机以及敲诈勒索。如果被定罪，他将面临重大的监禁时间，电汇诈骗罪名最高可判20年，计算机黑客指控最高可判10年。

参考链接：

https://hackread.com/russian-hacker-extradite-us-phobos-ransomware-charges/