疑似朝鲜黑客利用Chromium零日漏洞针对加密货币行业

Tag：Citrine Sleet, CVE-2024-7971

事件概述：

据微软公布，疑似与朝鲜政府有关的黑客通过影响Chromium浏览器的零日漏洞，针对加密货币行业发起攻击。该黑客组织被微软称为“Citrine Sleet”，此前已被认为是朝鲜侦查总局的一个单位。他们利用的漏洞CVE-2024-7971已于上周由Google修复。美国顶级网络安全机构已将CVE-2024-7971添加到已知被利用的漏洞目录中，联邦民用机构需在9月16日前修补政府系统上的漏洞。

“Citrine Sleet”主要针对金融机构和加密货币公司发动攻击，创建假网站网络，用于发送虚假的求职申请。一些事件中，黑客试图让受害者下载恶意的加密钱包或伪装成合法平台的交易应用。黑客使用他们控制的假域名voyagorclub[.]space，从那里利用CVE-2024-7971。然后部署名为“FudModule”的恶意软件。微软指出，该恶意软件自2021年起就被其他朝鲜组织使用。朝鲜政府已将黑客攻击加密货币平台作为其收入策略的关键支柱，据联合国调查员称，从2017年到2023年，朝鲜通过攻击获得了30亿美元的收入。

来源：

https://therecord.media/suspected-north-korean-hackers-crypto-chromium-zero-day

政府威胁情报

西雅图港口及机场系统可能遭受网络攻击导致瘫痪

Tag：网络攻击, 网络安全

事件概述：

西雅图港口及西雅图-塔科马国际机场（SEA Airport）在过去三天中一直在努力应对可能由网络攻击引起的系统故障。影响了互联网和内部系统，故障始于8月24日，影响了各种服务。西雅图港口在早些时候表示，他们经历了一些系统故障，这可能表明遭受了网络攻击。目前，西雅图港口已经隔离了关键系统，并正在努力恢复全面服务，但尚未给出恢复的预计时间。除了SEA机场外，故障还影响了海上设施，旅客被建议通过电话联系他们。尽管出现了这种状况，但机场的旅客仍能通过办理登机手续和检查点，尽管由于操作已经手动进行，所以会有很长的延迟。

这次事件主要影响了Frontier、Spirit、Sun Country、JetBlue和国际航空公司。机场建议旅客在家中打印登机牌，或使用手机登机牌，并尽可能只携带手提行李出行。机场的WiFi无法工作，机场的网站已经关闭，SEA访客通行证和机场失物招领等服务也无法使用。机场内的航班显示板也无法工作。机场表示，他们一直在与当局合作，以解决这个问题，并已在恢复受影响系统的全面服务方面取得了进展。机场没有提供关于其成为网络攻击受害者的类型的详细信息，SecurityWeek也没有看到任何已知的勒索软件团体对此负责。这次事件再次提醒我们，网络安全对于维持正常的社会运行至关重要，任何组织都应该重视并投入足够的资源来保护自己的网络安全。

来源：

https:// www.securityweek.com/seattle-airport-blames-outages-on-potential-cyberattack/

能源威胁情报

美国油田服务公司哈利伯顿遭受网络攻击

Tag：网络攻击, DarkSide

事件概述：

2024年8月21日，美国油田服务公司哈利伯顿报告称其遭受了一次网络攻击。哈利伯顿表示，他们已经注意到公司某些系统存在问题，正在努力确定问题的原因和影响。该公司还与“领先的外部专家”合作解决问题。这次攻击似乎影响了该公司位于休斯顿北部的业务运营和一些全球连通网络。哈利伯顿是全球最大的油田服务公司之一，为全球主要能源生产商提供钻探服务和设备。截至去年年底，该公司拥有近48,000名员工，并在70多个国家开展业务。

来源：

https: //redskyalliance.org/xindustry/halliburton-suffers-a-cyber-attack

工业威胁情报

Play勒索软件黑客声称攻击了美国制造商Microchip Technology

Tag：Play勒索软件团伙, 美国网络安全和基础设施安全局（CISA）

事件概述：

Play勒索软件团伙声称对美国半导体制造商Microchip Technology进行了上周的攻击。该网络犯罪组织以使用定制工具和执行双重勒索攻击而闻名，不仅加密受害者的文件，还威胁要释放被盗数据。Microchip Technology上周表示，入侵者已经破坏了“某些服务器和一些业务操作”。在检测到事件后，该公司隔离了受影响的系统，关闭了一些服务，并启动了调查。Microchip Technology未对Play团伙参与攻击的请求发表评论。Play团伙最初表示，会给受害者72小时支付赎金，否则将公布被盗数据。

Play勒索软件团伙的操作在过去一年中显著增长，这可能归因于其转向联盟模式，这可能使得攻击的归因变得复杂。Play勒索软件首次在2022年6月被检测到。根据美国网络安全和基础设施安全局（CISA）的一份通告，该组织在窃取数据后加密系统，并已对北美、南美、欧洲和澳大利亚的各种商业和关键基础设施组织产生了影响。根据网络安全公司Trend Micro今年7月发布的一项研究，该团伙今年的大部分攻击都集中在美国。

来源：

https: //therecord.media/microchip-technology-hack-play-ransomware

流行威胁情报

黑客破解黑客：研究人员发现Mirai僵尸网络中的重大漏洞（CVE-2024-45163）

Tag：Mirai僵尸网络, CVE-2024-45163

事件概述：

安全研究员Jacob Masse揭示了Mirai僵尸网络中的一个重大漏洞，这是一种自2016年以来困扰物联网（IoT）和服务器环境的臭名昭著的恶意软件。该漏洞被标记为CVE-2024-45163（CVSS 9.1），允许对僵尸网络的命令和控制（CNC）服务器进行远程拒绝服务（DoS）攻击，可能使僵尸网络的操作瘫痪。这个漏洞来自于服务器对并发连接请求的管理不当。当攻击者向CNC服务器打开大量连接并发送一个简单的身份验证请求时，服务器未能正确管理这些连接。这会使服务器的会话缓冲区超载，导致资源耗尽，最终导致服务器崩溃。值得注意的是，这种利用不需要身份验证，因此很容易远程执行。

Jacob Masse的研究旅程开始于个人 挑战，但很快演变成了一个专注于僵尸网络内部工作的详细研究项目。 他的调查引导他到达CNC服务器，这是任何僵尸网络的心脏。 通过源代码分析、逆向工程和持续的实验，Masse确定了Mirai CNC服务器处理传入连接的方式中的一个漏洞，特别是在预认证阶段。 Masse通过概念验证（PoC）场景证明了这种利用的效果。 在他的演示中，一个资源有限的服务器（单个CPU核心，1GB RAM和25GB存储）被用来在受控环境中关闭Mirai CNC服务器。 只需要打开几个连接并发送身份验证请求。 一旦利用开始，CNC服务器实际上就离线了，攻击者的系统资源恢复正常，允许攻击在后台持续。 对于对技术细节感兴趣的人，Masse在Pastebin上分享了利用代码，使得网络安全研究人员和道德黑客都可以访问。

来源：

https:// securityonline.info/hacking-the-hacker-researcher-found-critical-flaw-cve-2024-45163-in-mirai-botnet/

高级威胁情报

越南人权非营利组织遭受APT32多年网络攻击

Tag：APT32, Cobalt Strike Beacons

事件概述：

一家支持越南人权的非营利组织成为一场旨在在受损主机上传播各种恶意软件的多年活动的目标。网络安全公司Huntress将此活动归因于被追踪为APT32的威胁集群，这是一支与越南有关的黑客团队，也被称为APT-C-00，Canvas Cyclone (前身为Bismuth)，Cobalt Kitty和OceanLotus。据信这次入侵至少已经进行了四年。OceanLotus自2012年以来一直活跃，有针对东亚国家的公司和政府网络的历史，特别是越南，菲律宾，老挝和柬埔寨，最终目标是网络间谍和知识产权盗窃。

来源：

https://thehackernews.com/2024/08/vietnamese-human-rights-group-targeted.html

漏洞情报

微软Windows IPv6 CVE-2024-38063检查器/拒绝服务漏洞

Tag：CVE-2024-38063, 拒绝服务攻击

事件概述：

2024年8月29日，网络安全网站packetstormsecurity.com发布了一篇关于微软Windows IPv6的CVE-2024-38063漏洞的文章。 文章中提供了一个Python脚本，该脚本可以检查并执行拒绝服务攻击（DoS）针对受此漏洞影响的Windows系统。 该漏洞影响的版本包括Windows 10, 11 <10.0.26100.1457和Server 2016-2019-2022 <10.0.17763.6189。 该Python脚本首先通过IPv6邻居嗅探获取目标MAC地址，然后构造并发送一系列恶意IPv6分片包，以引发目标系统崩溃。 这个脚本的主要步骤包括： 选择网络接口，获取目标MAC地址，构造并发送恶意IPv6分片包，等待目标系统崩溃。 这个漏洞的存在，再次强调了在网络安全中，多因素认证、威胁情报共享和自动化安全措施的重要性。

来源：

https://packetstormsecurity.com/files/180458/CVE-2024-38063-dos.py.txt

勒索专题

伊朗威胁行动者针对美国及外国组织的勒索软件攻击

Tag：勒索软件攻击, 网络安全和基础设施安全局（CISA）