Tag：网络攻击, CERT-UA

事件概述：

乌克兰政府报告称，与俄罗斯有关的以前未知的黑客进行的金融动机的网络攻击增加。这些组织在2023年下半年在乌克兰网络中变得更加活跃，导致了之前由著名的克里姆林宫支持的黑客组织如Sandworm和Armageddon主导的网络战争的转变。乌克兰的计算机应急响应队(CERT-UA)的首席表示，“新参与者的出现表明俄罗斯有意多元化其网络战武器库。”据CERT-UA分析的期间，近40%的报告事件与金融盗窃有关。例如，从8月到9月，被追踪为UAC-0006的组织试图从乌克兰的金融机构和政府组织中窃取数千万格里夫纳。

这些新的黑客组织通过使用精心设计的网络钓鱼攻击来区分自己。他们的主要目标是分发恶意的远程访问软件，如RemcosRAT和RemoteUtilities，或数据窃取程序，包括LummaStealer和MeduzaStealer。CERT-UA报告涵盖了2023年下半年所有与俄罗斯有关的网络活动。总的来说，针对乌克兰的事件数量在过去两年中稳步增长，黑客们在定位方面也变得更加精确。他们利用最新的漏洞，并将他们的攻击与热门事件和新闻相结合，以“增加目标的注意力和可能的自满”。例如，战争开始时，黑客们发送了伪装成工作邀请的恶意电子邮件，特别是针对乌克兰军事人员的以色列国防军(IDF)的咨询角色。

来源：

https://therecord.media/ukraine-russia-increase-financially-motivated-cyberattacks?&web_view=true

政府威胁情报

波兰政府遭APT28黑客组织复杂网络攻击

Tag：CERT.pl, APT28

事件概述：

波兰 计算机应急响应小组CERT.pl发布警告，称臭名昭著的APT28黑客组织（又名Fancy Bear或Sofacy）正在对多个波兰政府机构发动网络攻击，使用新型恶意软件。 攻击以含有恶意附件或链接的鱼叉式网络钓鱼邮件开始，一旦受害者打开附件或点击链接，恶意软件就会在目标网络中建立立足点。 攻击者越来越多地使用免费、常用的服务，如run.mocky.io和webhook.site来传递恶意软件，同时规避检测。 APT28是一个高度复杂的网络间谍组织，被认为与俄罗斯军事情报局GRU有关。

来源：

https://gbhackers.com/polish-government-under-sophisticated-cyber-attack/

能源威胁情报

美、英、加政府警告俄罗斯黑客威胁北美和欧洲的关键基础设施

Tag：Android恶意软件, 网银账户

事件概述：

黑客活动主要利用如虚拟网络计算机（VNC）远程访问软件和默认密码等方法。这些黑客组织通过利用公开暴露的面向互联网的连接和过时的VNC软件，以及使用HMIs的出厂默认密码和没有多因素认证的弱密码，获得远程访问权限。尽管这些黑客活动主要使用的技术相对简单，但调查发现，这些行动者有能力对不安全和配置错误的OT环境构成物理威胁。自2022年以来，他们在社交平台上宣称已经进行了包括分布式拒绝服务和数据擦除在内的破坏性网络操作，然而，受害者的报告却淡化了这些攻击的影响。在2024年初，一些美国的水和废水系统（WWS）受害者在攻击者入侵他们的人机界面（HMIs）后，面临有限的物理中断。黑客改变了设置，超过了水泵和鼓风设备的正常运行参数，禁用了报警机制，并更改了管理员密码以锁定操作员。

来源：

https://securityaffairs.com/162672/hacking/pro-russia-hackers-target-critical-infrastructure.html

流行威胁情报

新型Android恶意软件盗取银行信息

Tag：Android恶意软件, 网银账户

事件概述：

这种新型Android恶意软件的传播方式是通过发送短信，诱导用户拨打一个服务号码，然后在电话中引导用户在Android设备上安装恶意软件。恶意软件的目标是窃取用户的网银账户资金。这种恶意软件的传播方式和目标显示出网络犯罪分子的狡猾和专业。用户应提高警惕，不要轻易拨打陌生的服务号码，更不要在设备上安装来自非官方应用商店的应用。如果不幸安装了恶意软件，应立即联系银行以限制可能的经济损失，并向警方报告。同时，应将设备恢复到出厂设置，并更改在该设备上使用过的所有服务的密码，以防止恶意软件进一步窃取个人信息。

来源：

https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-182024

漏洞情报

CVE-2024-2887：Google Chrome中的Pwn2Own获胜漏洞

Tag：CVE-2024-2887漏洞, V8 JavaScript和WebAssembly引擎

事件概述：

安全专家Manfred Paul在一篇博客中详细介绍了CVE-2024-2887漏洞，这是一个类型混淆漏洞，存在于Google Chrome和Microsoft Edge（Chromium）中。他利用这个漏洞进行了一次成功的攻击，导致这两款浏览器的渲染器中执行了代码。这个漏洞已经被Google和Microsoft快速修复。Paul在博客中详细描述了这个漏洞以及他在比赛中是如何利用它的。

这个漏洞是由于在V8 JavaScript和WebAssembly引擎中存在的一个类型混淆问题，可以在渲染进程中执行任意shellcode，包括绕过V8内存沙箱（Ubercage）。然而，代码执行仍然受到基于进程隔离的浏览器沙箱的限制。在WebAssembly模块中，可能包含一个类型部分，定义了一系列自定义的“堆类型”。在基本规范中，这只用于声明函数类型，但是随着垃圾收集（GC）提案的采纳，这个部分还可以定义结构类型，允许在WebAssembly中使用复合的、堆分配的类型。这个漏洞的根本原因是在解析二进制WebAssembly格式中的类型部分时，没有足够的检查。虽然这个代码只允许读取最多kV8MaxWasmTypes个类型部分的条目，但是每个条目可能都是一个包含多个单独类型定义的递归类型组。这个漏洞的影响是，由于V8如何处理WebAssembly堆类型的一些内部细节，它直接允许构造一些非常强大的利用原语。特别是，这直接包含了几乎所有常见的JavaScript引擎利用原语的特殊情况：将int转换为int*然后解引用结果在任意读取；将int转换为int*然后写入该引用结果在任意写入；将externref转换为int是addrOf()原语，获取JavaScript对象的地址；将int转换为externref是fakeObj()原语，强制引擎将任意值视为指向JavaScript对象的指针。

来源：

https://unsafe.sh/go-237675.html

勒索专题

执法部门再次查封Lockbit集团的网站

Tag：Lockbit集团, 克洛诺斯行动

事件概述：

执法部门再次查封了Lockbit集团的Tor网站，并宣布将揭示更多其运营者的身份。据查封网站上的倒计时显示，目前控制网站的执法部门将于2024年5月7日14:00:00 UTC揭示LockBitSupps和其他团伙成员的身份。然而，VX-underground的研究人员与Lockbit勒索软件集团的管理人员就旧域名的返回进行了交谈，该团伙声称执法部门在撒谎。Lockbit确认他们的操作仍在进行，并将继续“带来”新的受害者。然而，几天后，LockBit团伙重新启动了其RaaS操作，该团伙建立了新的基础设施，并威胁要对政府部门进行网络攻击。

2024年2月，由11个国家的执法机构进行的联合执法行动，代号为“克洛诺斯行动”，破坏了LockBit勒索软件的操作。这次行动导致了在波兰和乌克兰的两名勒索软件团伙成员的逮捕，以及该团伙使用的数百个加密钱包的查封。英国NCA控制了LockBit的中央管理环境，该环境被RaaS附属公司用于进行网络攻击。当局还查封了该团伙使用的暗网Tor泄漏网站。NCA还获得了LockBit平台的源代码和大量关于该团伙操作的信息，包括关于附属公司和支持者的信息。执法部门还可以访问从勒索软件操作的受害者那里窃取的数据，这突显出即使支付了赎金，勒索软件团伙也常常未能删除被盗信息。NCA及其全球合作伙伴已经获得了超过1000个解密密钥，这将使团伙的受害者能够免费恢复他们的文件。NCA将在未来的几天和几周内联系在英国的受害者，提供支持帮助他们恢复加密的数据。

来源：

https://unsafe.sh/go-238058.html

钓鱼专题