Larva-24005黑客组织针对日本与韩国发动钓鱼邮件攻击活动

近日，AhnLab安全情报中心（ASEC）发现一个名为Larva-24005的黑客组织针对韩国和日本发动了一系列钓鱼邮件攻击。该组织利用攻陷的韩国服务器作为攻击基地，通过伪装成Zoom会议链接或网页登录页面的钓鱼邮件，诱骗用户点击并窃取其敏感信息。此次攻击主要针对研究朝鲜政权的日本大学教授以及与朝鲜相关的非营利组织。

Larva-24005是疑似朝鲜支持的Kimsuky威胁组织的分支，其攻击手段包括利用远程桌面协议（RDP）漏洞和BlueKeep漏洞（CVE-2019-0708）攻陷目标系统。攻击者通过RDP漏洞获取初始访问权限后，安装开源工具RDPWrap以激活Windows系统中的RDP连接，并部署自开发的键盘记录器以收集受害者信息。在建立攻击基础设施后，该组织安装了XAMPP集成包（包括Apache、MariaDB、PHP和Perl），用于管理C2环境，并存储钓鱼邮件中窃取的受害者信息。此外，攻击者还安装了PHPMailer库，用于通过PHP代码发送钓鱼邮件。攻击者使用的钓鱼邮件发送账户包括多个伪装成合法服务的邮箱地址，如“[email protected]”和“[email protected]”。攻击者通过攻击基础设施中的浏览器（如Chrome和Edge）进行谷歌搜索，收集与朝鲜相关的关键词和新闻信息，以确定攻击目标。其主要目标包括研究朝鲜政权的日本大学教授和非营利组织，以及涉及朝鲜问题的日本政治人物和新闻媒体。攻击者还利用通过钓鱼邮件获取的受害者账户，登录其邮箱以收集更多潜在目标信息。

Larva-24005组织发送的钓鱼邮件主要分为两类：一是伪装成Zoom会议邀请的邮件，二是伪装成微软登录页面的邮件。这些邮件的主题内容通常与目标的兴趣相关，或伪装成来自熟人的消息，以增加欺骗性。例如，攻击者曾向一位研究朝鲜问题的日本大学教授发送伪装成Zoom会议邀请的钓鱼邮件，邮件内容包含安全与外交政策研究小组的议程和Zoom链接，但该链接实际指向攻击者的C2服务器。此外，攻击者还通过Google翻译将韩文内容翻译成日文，以提高邮件的可信度。钓鱼邮件中插入的恶意链接会将用户重定向至伪装成iCloud、OneDrive、Outlook、Naver和Google等合法服务的钓鱼页面，以窃取用户凭据。

攻击过程技术细节分析

• BlueKeep漏洞利用：攻击者利用BlueKeep漏洞（CVE-2019-0708）攻陷未打补丁的Windows系统（低于Windows 2008 R2版本），并获取初始访问权限。
• XAMPP与C2环境：攻击者通过XAMPP建立C2服务器，存储键盘记录器的结果文件和受害者信息，并使用PHPMailer发送钓鱼邮件。
• 钓鱼页面伪装：钓鱼页面伪装成合法服务的登录页面，诱骗用户输入凭据，随后将信息传输至攻击者的C2服务器。
• 目标信息收集：攻击者通过谷歌搜索和受害者邮箱中的信息，持续收集与朝鲜相关的政治人物、学术研究和新闻报道，以确定攻击目标。

Larva-24005组织的攻击活动表明，网络钓鱼仍然是攻击者获取敏感信息的有效手段。攻击者通过伪装成合法服务和利用目标的兴趣点，诱骗用户点击恶意链接，从而窃取其凭据。此次攻击事件提醒我们，用户和组织必须提高安全意识，加强技术防护措施，以应对日益复杂的网络威胁。

参考链接：

https://asec.ahnlab.com/en/86535/

Lotus Blossom组织使用Sagerunex木马变种发动多行业攻击活动

Cisco Talos安全研究团队发现了一个名为Lotus Blossom（亦称Spring Dragon、Billbug、Thrip）的网络攻击组织针对全球多个行业发动了一系列网络攻击活动。这些攻击主要针对政府、制造业、电信和媒体等行业，攻击者利用Sagerunex木马及其多种变种，以及多种黑客工具进行后渗透活动，以获取敏感信息并长期潜伏于目标网络中。Lotus Blossom自2012年起便活跃于网络攻击领域，其攻击目标广泛分布于菲律宾、越南等地区。此次攻击活动中，该组织通过精心策划的多阶段攻击链，利用Sagerunex木马及其变种，成功入侵多个行业的关键组织，并在目标系统中建立了长期的持久化存在。

Sagerunex是一款由Lotus Blossom组织开发的远程访问工具（RAT），其核心功能是通过动态链接库（DLL）注入技术在受感染的终端中执行，并直接在内存中运行。研究人员在调查中发现了Sagerunex的多个变种，这些变种在功能和配置上有所不同，但核心结构和功能保持一致，使其能够被归类为Sagerunex家族。传统变种的Sagerunex主要依赖于虚拟专用服务器（VPS）作为其命令与控制（C2）服务器。这些变种在攻击过程中会通过系统注册表和服务配置实现持久化，确保在目标系统中长期运行。新型变种的Sagerunex则更加隐蔽，它们不再依赖传统的VPS作为C2服务器，而是利用第三方云服务（如Dropbox、Twitter和Zimbra开源网络邮件服务）作为C2隧道，以逃避检测。这些变种通过加密和伪装技术，将恶意数据伪装成合法的云服务流量，从而绕过传统的安全检测机制。

• Dropbox & Twitter变种：该变种通过Dropbox和Twitter的API与攻击者通信。它会从配置文件中获取必要的令牌，将收集到的主机信息加密后上传至Dropbox或通过Twitter状态更新发送给攻击者。此外，该变种还会从Dropbox文件或Twitter状态更新中检索数据，以确认后门服务的状态。
• Zimbra变种：该变种利用Zimbra开源网络邮件服务作为C2通道。它通过Zimbra API登录合法的Zimbra邮箱，同步账户文件夹和文档，并利用搜索功能API验证连接。攻击者可以通过邮箱中的命令内容控制受感染的机器，并将收集到的信息以加密的RAR文件形式保存至用户邮箱的草稿箱或垃圾箱中。

Lotus Blossom组织在攻击过程中使用了多种工具和技术，以实现信息收集、横向移动和持久化。以下是其攻击链的主要环节：

• 初始信息收集：攻击者通过执行系统命令（如“net”、“tasklist”、“quser”、“ipconfig”等）收集目标系统中的用户账户、目录结构、进程活动和网络配置信息。
• 代理与中继工具：攻击者利用Venom代理工具和Port relay工具（如“mtrain V1.01”）将受感染机器的连接中继至互联网，或通过目标的代理设置建立连接。
• 持久化与后门安装：攻击者通过特定命令将Sagerunex后门安装至系统注册表，并配置为服务运行。例如，通过修改注册表项“HKLMSYSTEMCurrentControlSetServicestapisrvParameters”等，确保后门在系统启动时自动运行。
• 信息窃取与上传：攻击者使用Cookie stealer工具窃取浏览器凭据，并通过定制的归档工具将窃取的信息加密打包后上传至攻击者控制的服务器或云服务中。

参考链接：

https://blog.talosintelligence.com/lotus-blossom-espionage-group/

俄罗斯电信巨头Beeline遭DDoS攻击，数百万用户面临网络中断

2025年3月，俄罗斯电信巨头Beeline遭遇了一场大规模分布式拒绝服务（DDoS）攻击，导致数百万用户面临网络中断和服务故障。此次攻击是Beeline在近期遭遇的第二次重大网络攻击事件，进一步凸显了俄罗斯关键基础设施面临的网络威胁正在加剧。Beeline是俄罗斯最大的电信运营商之一，拥有超过4400万用户。此次攻击导致大量用户无法访问Beeline的移动应用程序，部分用户还报告了网站中断、通知失败以及互联网连接问题。据互联网监测服务Downdetector的数据，几乎所有俄罗斯Beeline用户都受到了此次攻击的影响。Beeline在其Telegram频道上确认了此次攻击事件，并强调攻击者并未获得未经授权的用户数据访问权限。目前，该公司正在积极恢复受影响的系统，并加强其网络安全策略，以防止未来类似攻击的发生。

此次对Beeline的攻击是一起典型的多向量DDoS攻击，攻击者通过大量恶意流量冲击Beeline的网络基础设施，导致其服务瘫痪。据网络安全专家分析，此次攻击的恶意流量规模与2025年1月俄罗斯电信巨头Megafon遭遇的DDoS攻击相当，但攻击流量的来源和分布有所不同。

• 攻击规模：Beeline攻击事件中，攻击者通过约1600个IP地址发起攻击，而Megafon攻击中则涉及3300个IP地址。尽管IP地址数量较少，但Beeline攻击的流量负载更高，导致其网络基础设施面临更大的压力。
• 攻击手段：此次攻击显示出攻击者利用了多种攻击向量，包括但不限于流量洪泛攻击和应用层攻击，旨在从多个层面瘫痪Beeline的网络服务。

此次Beeline攻击事件是俄罗斯关键基础设施近期遭遇的一系列网络攻击中的最新一例。2024年9月，俄罗斯第二大银行VTB也曾因网络攻击导致服务中断。这些事件表明，俄罗斯的关键基础设施正在成为网络攻击的重点目标，攻击者通过攻击电信和金融行业，对俄罗斯的经济和社会运行造成重大影响。网络安全专家警告称，网络攻击的强度和技术复杂性正在不断增加，攻击者不仅针对商业机构，还对支持数百万俄罗斯公民生活的基础设施发动攻击。此类攻击不仅对企业的正常运营构成威胁，还可能对社会的稳定和安全产生深远影响。

俄罗斯电信巨头Beeline遭遇的DDoS攻击事件再次凸显了网络攻击对关键基础设施的严重威胁。随着网络攻击技术的不断发展，攻击者对电信、金融等关键行业的攻击频率和强度正在增加。Beeline的应对措施将为整个行业提供重要的参考，同时也提醒全球各国必须加强关键基础设施的网络安全防护，以应对未来可能发生的类似攻击事件。

参考链接：

https://www.cysecurity.news/2025/03/russian-telecom-company-beeline-hit.html

法国7000万账户信息在暗网出售

2025年3月4日，网络安全研究机构ZATAZ披露了一起震惊全球的网络安全事件：约7000万法国用户的电子邮件地址和密码被泄露，并在暗网中出售。这一事件不仅凸显了数据泄露的严重性，也暴露了当前网络安全面临的巨大挑战。

此次数据泄露事件涉及的用户信息包括电子邮件地址、密码以及部分敏感域名信息。据ZATAZ的研究，这些数据大多来源于2024年至2025年期间的多次安全事件，攻击者通过钓鱼攻击、数据收集和恶意软件等手段，将这些信息汇总成一个庞大的数据库，并在暗网中出售。统计数据显示，超过66%的密码为简单的字母数字组合，仅有1.54%的密码为复杂密码，这使得攻击者能够轻易破解并利用这些信息进行进一步的攻击。

此次大规模数据泄露并非单一事件，而是网络犯罪分子长期活动的结果。攻击者通过多种手段收集用户信息，包括钓鱼攻击（伪装成可信机构诱骗用户输入信息）、利用已泄露的数据库进行信息整合，以及通过恶意软件直接从用户设备中窃取数据。这些信息被编译成一个2TB的文件，最终在暗网中出售，给用户和企业带来了巨大的安全风险。一旦这些信息落入攻击者手中，用户可能面临账户被接管、身份被盗用、财务损失以及精准钓鱼攻击等风险。此外，攻击者还可能利用这些数据对企业进行敲诈勒索，或将其出售给其他网络犯罪团伙，进一步扩大其影响力和危害性。

参考链接：

https://www.zataz.com/une-fuite-massive-70-millions-de-comptes-francais-en-vente-sur-le-dark-web/

GrassCall恶意软件攻击求职者并窃取登录凭据

近日，网络安全厂商发现一种名为“GrassCall”的复杂恶意软件攻击活动，其目标直指全球范围内的求职者。该攻击活动由一个名为“Crazy Evil”的网络犯罪组织发起，通过在LinkedIn和CryptoJobsList等知名求职平台上发布虚假工作机会，利用求职者对就业机会的渴望，诱使其下载伪装成视频面试软件的恶意程序，进而窃取其敏感信息，包括登录凭据、浏览器数据和加密货币钱包信息等。这一攻击活动自2025年初开始活跃，并在2月至3月期间达到高峰，给众多求职者带来了严重的安全威胁。

GrassCall攻击活动的核心在于其精心设计的多阶段攻击流程。攻击者首先通过虚假的工作机会与求职者建立联系，随后以“视频面试”为幌子，引导受害者下载名为“GrassCall”的恶意软件。该软件伪装成一款专为面试设计的视频会议工具，但实际上是一种功能强大的信息窃取器。一旦安装，恶意软件会根据受害者使用的操作系统部署不同的有效载荷：Windows用户会收到定制的信息窃取器，专门用于提取敏感信息；而macOS用户则会受到AMOS Stealer变种的攻击。这些恶意软件能够窃取浏览器中的身份验证Cookie、保存的凭据、加密货币钱包信息以及其他可能导致身份盗窃和经济损失的敏感数据。

GrassCall恶意软件的复杂性不仅体现在其攻击手段的欺骗性上，还在于其高度隐蔽的技术特性。该恶意软件通过创建注册表项确保在系统启动时自动运行，从而在系统重启后仍能保持持久化访问权限。对于Windows系统，它利用PowerShell脚本禁用安全功能，并从Chrome、Firefox和Edge等主流浏览器中提取凭据信息；而对于macOS系统，则利用AppleScript绕过Gatekeeper保护，获取操作系统的敏感区域访问权限。此外，GrassCall还通过复杂的规避技术将窃取的数据传输至攻击者控制的C2服务器，同时保持不被检测。

据情报报告显示，GrassCall攻击活动仍在持续演变。攻击者最近将其恶意软件重新命名为“VibeCall”，但攻击手段保持不变。这种适应性表明，该攻击活动对犯罪分子而言仍然具有盈利性，求职者需要保持高度警惕。网络安全公司Symantec已通过其Carbon Black基础保护措施应对GrassCall威胁，其保护机制包括阻止恶意软件执行、通过云扫描功能和VMware Carbon Black Cloud信誉服务识别并阻止恶意组件、以及通过WebPulse启用的产品阻止恶意域名和IP地址的通信，防止初始感染。

参考链接：

https://cybersecuritynews.com/grasscall-malware-attacking-job-seekers/

Vo1d僵尸网络新变种，全球160万台智能电视被感染

2025年2月24日，美国住房和城市发展部（HUD）总部的电视突然播放未经授权的AI生成视频，内容显示美国总统特朗普亲吻埃隆·马斯克的脚趾，并配有“LONG LIVE THE REAL KING”的字样。这一事件引发了广泛关注，并促使网络安全社区重新审视智能电视和机顶盒等设备被黑客攻击的风险。而这一事件背后，是一个名为Vo1d的僵尸网络新变种正在悄然蔓延。

2024年11月28日，XLab的研究人员检测到来自IP地址38.46.218.36的异常活动，该地址分发了一个名为jddx的ELF文件。尽管该文件在VirusTotal上未被检测到，但研究人员发现其包含“Bigpanzi僵尸网络DNA”，这引起了研究人员的注意。经过分析，研究人员发现jddx实际上属于Vo1d僵尸网络的一个新变种，这标志着Vo1d僵尸网络新活动的开始。

据XLab的统计，Vo1d僵尸网络已经感染了全球200多个国家和地区的160万台Android TV设备。这一规模远超2024年Cloudflare报告的5.6 Tbps DDoS攻击（仅使用了1.5万台设备）和2016年导致美国东海岸互联网瘫痪的Mirai僵尸网络（仅使用了数十万台设备）。Vo1d僵尸网络的规模之大，使其具备了发动大规模网络攻击的潜力，足以对银行、医疗和航空等关键系统造成严重破坏。

此外，被感染的智能电视和机顶盒作为家庭娱乐的核心设备，其被黑客控制后可能带来的风险尤为独特。例如，2023年12月11日，阿联酋的机顶盒被黑客攻击，播放了以色列-巴勒斯坦冲突的视频；2025年2月24日，美国HUD总部的电视播放了AI生成的虚假视频。如果Vo1d僵尸网络被用于传播暴力、恐怖或色情内容，或利用深度伪造技术进行政治宣传，其对社会的影响将是灾难性的。

Vo1d僵尸网络的新变种在技术上进行了多项升级，以增强其隐蔽性、弹性和反检测能力。例如，它采用了RSA加密技术来保护网络通信，即使研究人员注册了其域名生成算法（DGA）生成的域名，也无法接管其C2服务器。此外，Vo1d还升级了其基础设施，使用硬编码和基于DGA的重定向C2服务器，提高了网络的灵活性和弹性。

在有效载荷传递方面，Vo1d的每个有效载荷都使用独特的下载器，通过XXTEA加密和RSA保护的密钥进行传输，使得分析变得更加困难。XLab的研究人员通过技术手段，成功解密了Vo1d僵尸网络的部分通信内容，揭示了其核心目标之一是构建匿名代理网络，用于广告欺诈和虚假流量等非法活动。

Vo1d僵尸网络的运营模式显示出其背后的犯罪团伙具有高度的商业意识。通过控制大量设备，Vo1d能够为其他犯罪团伙提供匿名代理服务，满足其对匿名性和隐蔽性的需求。这种服务的商业价值已被证明是非常可观的。例如，美国司法部曾报告称，911S5代理服务的运营者通过出售代理服务非法获利超过9900万美元。

XLab的研究人员通过追踪Vo1d僵尸网络的活动，发现其在全球范围内的感染规模和活跃度呈现出明显的波动。例如，2025年1月14日，Vo1d的活跃设备数量从81万突然增加到152万，而印度的感染数量从1.84万飙升至14.76万。这种波动可能与Vo1d将其僵尸网络基础设施出租给其他犯罪团伙有关，从而导致感染规模的快速变化。

参考链接：

https://blog.xlab.qianxin.com/long-live-the-vo1d_botnet/

FunkSec勒索软件组织利用人工智能技术开发勒索软件

近日，网络安全公司Bitdefender发布报告，揭示了一个名为FunkSec勒索软件组织的攻击活动细节。该勒索组织自2024年11月首次被发现以来，迅速崛起并成为全球网络安全领域的重要威胁。FunkSec勒索组织利用人工智能技术开发勒索软件，并通过联盟网络和勒索软件即服务（RaaS）模式扩大其攻击范围和影响力。

FunkSec组织是一个以人工智能为核心技术的勒索软件团伙，其受害者超过120个组织，涵盖政府、国防、科技、金融和教育等多个行业。该团伙的攻击活动主要集中在美、印、西、蒙等国家，其攻击手段包括数据加密、系统侦察、防御规避以及数据泄露。FunkSec组织通过其数据泄露网站和论坛，展示其攻击成果并与其他网络犯罪团伙合作，进一步扩大其影响力。FunkSec组织的显著特点是其对人工智能（AI）技术的依赖。该组织利用生成式人工智能（GenAI）技术开发勒索软件代码，用于加密受害者系统中的文件，并通过修改系统设置和规避防御机制来增强其攻击能力。然而，尽管AI的使用看似先进，但FunkSec的技术水平仍显不足，其代码中存在大量未经优化的冗余引用，显示出该团伙在代码开发方面的局限性。

FunkSec勒索组织的攻击手段与技术细节：

• 勒索软件开发与部署

FunkSec组织的勒索软件代码最初与名为GhostAlgeria的威胁行为者所使用的恶意软件存在相似性，表明其可能借鉴了其他团伙的技术。其勒索软件经历了多个版本的迭代，从最初的1.0版本到最新的2.0版本，攻击能力不断增强。FunkSec的勒索软件通过加密目标系统中的文件，并将文件扩展名更改为“.funksec”，同时删除原始文件，以增加恢复难度。

• 数据泄露与拍卖

FunkSec组织通过其数据泄露网站（FunkBID）展示受害者信息，并通过拍卖而非传统市场销售的方式出售被盗数据。该组织还利用其论坛（FunkForum）与成员和潜在买家互动，分享黑客技术和黑市活动信息。此外，FunkSec为付费会员提供额外权限，包括文件下载、上传和销售分成等服务。

• 攻击技术与防御规避

FunkSec组织利用多种技术手段进行攻击，包括利用本地API或PowerShell脚本执行勒索软件、通过进程注入提升权限、修改系统和防火墙设置以规避防御机制等。此外，该团伙还通过修改文件和目录权限、篡改NTFS文件属性和时间戳等方式，进一步隐藏其攻击痕迹。

• FunkSec的合作与联盟网络

FunkSec组织通过与其他网络犯罪团伙合作，迅速扩大其影响力。该组织与Kosmos和FSociety等组织建立了合作关系，共同开展攻击活动。FSociety是一个以数据泄露和勒索软件攻击著称的组织，其勒索软件名为Flocker，并通过FunkSec的论坛招募联盟成员。此外，FunkSec还与Bjorka（Babuk 2）等组织存在潜在联系，后者在印尼组织的攻击中表现出与FunkSec相似的攻击模式。