Ebury僵尸网络继续扩展，加密货币节点成为目标

Tag：Ebury僵尸网络, OpenSSH后门

事件概述：

尽管Ebury僵尸网络的一名犯罪分子在2014年和2017年被逮捕和定罪，但该网络仍在扩展。Ebury是一种OpenSSH后门和凭证窃取器，我们通过蜜罐系统追踪新样本和网络指标。然而，随着Ebury的演变，运行这样的蜜罐变得越来越困难。例如，当Ebury被安装时，我们的一个蜜罐并未如预期那样反应。Ebury的操作者最终放弃了服务器，并发送了一条消息，显示他们知道我们试图欺骗他们的尝试。受害者中有许多托管提供商。该团伙利用其对托管提供商基础设施的访问权限，在该提供商租赁的所有服务器上安装Ebury。作为实验，我们从一个被妥协的托管提供商那里租赁了一个虚拟服务器：Ebury在七天内就被安装在我们的服务器上。

Ebury操作者利用现有的Ebury妥协服务器在与目标相同的网络段中执行ARP欺骗。根据互联网遥测，2023年有超过200台服务器成为目标。目标中包括比特币和以太坊节点。Ebury会自动窃取托管在目标服务器上的加密货币钱包，一旦受害者输入密码登录，就会立即被窃取。此外，Ebury操作者还采用了一种有趣的方法，即使用中间对手拦截数据中心内感兴趣目标的SSH流量，并将其重定向到用于捕获凭证的服务器。这些操作表明，Ebury僵尸网络的运营者技术娴熟，能够利用各种手段扩大感染范围，窃取更多的凭证信息。这也警示我们，网络安全防护措施必须不断更新，以应对日益复杂的网络攻击。

来源：

https://www.welivesecurity.com/en/eset-research/ebury-alive-unseen-400k-linux-servers-compromised-cryptotheft-financial-gain/

政府威胁情报

朝鲜政府派遣技术人员进行全球网络渗透

Tag：网络攻击, 敏感数据

事件概述：

美国联邦调查局、国务院和财政部最近发出警告，称朝鲜政府已派遣数千名技术精湛的工作人员到中国、俄罗斯和其他东欧、东南亚及非洲国家，潜入自由职业者网络，寻找可以让他们接触到敏感数据和系统的工作机会。这些朝鲜信息技术工作者在非制裁国家生活，伪装成非朝鲜工作人员，利用伪造的文件或通过购买自由职业服务账户寻找远程工作机会，有时还利用他们的特权访问权限插入漏洞、导致配置错误或发动网络攻击。2021年5月16日，美国司法部公布了对五人的起诉，其中包括一名帮助朝鲜IT工作人员验证他们偷窃身份以冒充美国公民的亚利桑那州女子。

朝鲜政府的这种行动模式颠覆了传统的网络攻击模式，他们通过派遣信息技术工作者到全球各地，寻找可以让他们接触到敏感数据和系统的工作机会，然后利用这些机会插入漏洞、导致配置错误或发动网络攻击。这种行动模式的目标是让朝鲜的IT工作人员通过与富裕国家的公司签订自由职业合同来创造收入。他们通过移民到其他国家，可以代表其他国家的公民，或者通过合作者，冒充其他国家，如南韩或中国，甚至是东欧或美国的远程工作者。这种行动模式的成功在很大程度上取决于朝鲜政府对其工作人员的严格控制，他们通常没有太多的选择，工作时间长，行动受到严格限制。这种行动模式的成功也取决于他们在长期的时间内建立起对代理人和最终的受害者——美国和欧洲的公司的信任。

来源：

https://www.darkreading.com/vulnerabilities-threats/doj-targets-north-koreas-widespread-it-freelance-scam-operation

能源威胁情报

华盛顿州小镇加油站遭黑客攻击，损失超过$10,000

Tag：网络攻击, 蓝牙代理设备

事件概述：

近期，华盛顿州Moses Lake小镇的一家小型加油站遭受了一次不同寻常的网络攻击。据当地新闻机构Source One报道，本月早些时候，网络犯罪分子成功入侵One Stop Mart加油站的油泵，盗取了价值超过$10,000的数千加仑汽油。黑客通过破解油泵的蓝牙代理设备实施攻击，但并未侵入加油站的内部系统，也没有报告银行和信用卡信息被盗的情况。业主Kamaljit Singh在检查柴油油箱后发现了这个问题，并确认油箱已被切换到手动模式。他目前正在与警方合作，寻找犯罪者。

这起事件表明，网络攻击的形式多样，不仅仅局限于数据泄露或勒索软件攻击。在这起事件中，黑客通过破解油泵的蓝牙代理设备实施攻击，这种攻击方式相对较新，但却能造成实质性的经济损失。这也提醒我们，任何连接到网络的设备都可能成为攻击目标，因此必须采取有效的安全措施进行防护。尽管在这次事件中，黑客并未侵入加油站的内部系统，也没有盗取银行和信用卡信息，但这并不意味着这些信息不会在未来的攻击中被盗取。因此，加强多因素身份验证、威胁情报共享和自动化安全措施的重要性不言而喻。同时，对于此类攻击，我们也需要提高警惕，及时发现并处理问题，以减少损失。

来源：

https://www.pandasecurity.com/en/mediacenter/hackers-run-away-with-fuel-stolen-washington/

罗克韦尔发出紧急通知：断开所有未设计用于连接互联网的工控系统

Tag：工业控制系统(ICS), 美国网络安全和基础设施安全局(CISA)

事件概述：

近日，工业自动化巨头罗克韦尔向全球客户发出紧急通知，要求切断所有未设计用于连接互联网的工业控制系统(ICS)与互联网的连接，以应对网络攻击活动的增加。罗克韦尔建议，网络安全人员不应将此类工控系统设备配置为允许来自本地网络以外的系统远程连接。此举可以大幅减少遭受攻击的风险，阻止攻击者获取内部网络的访问权限。罗克韦尔还提醒客户采取必要的缓解措施，以保护其设备免受安全漏洞的攻击。美国网络安全和基础设施安全局(CISA)也发布了警报，强调了罗克韦尔的新指南。

罗克韦尔的紧急通知突显了网络安全在工业控制系统中的重要性。随着地缘政治局势的紧张和网络攻击活动的增加，罗克韦尔提醒全球客户，不应将工控系统设备配置为允许来自本地网络以外的系统远程连接。这一行动可以大幅降低遭受攻击的风险，尤其是针对尚未修复安全漏洞的工控系统。此外，罗克韦尔还提醒客户采取必要的缓解措施，以保护其设备免受安全漏洞的攻击。美国网络安全和基础设施安全局(CISA)的警报也进一步强调了罗克韦尔新指南的重要性，以减少工控系统设备遭受网络攻击的风险。这些事件再次提醒我们，网络安全不仅仅是一个技术问题，更是一个涉及到全球安全、政治和经济的重大问题。

来源：

https://www.secrss.com/articles/66350

流行威胁情报

新型Android银行木马“Antidot”伪装成Google Play更新应用

Tag：Antidot, 命令和控制（C&C）服务器

事件概述：

安全研究人员发现了一种名为“Antidot”的新型Android银行木马，该木马伪装成Google Play更新应用，以覆盖攻击和键盘记录为主要手段，窃取用户敏感信息。该木马能够实时与其命令和控制（C&C）服务器进行双向交互，执行从服务器接收的各种命令，包括收集短信、发起USSD请求，甚至远程控制设备功能，如摄像头和屏幕锁定。此外，Antidot还利用MediaProjection实现了VNC，可以远程控制被感染的设备。

“Antidot”木马在安装后显示假的Google Play更新页面，我们发现这个假更新页面有多种语言版本，包括德语、法语、西班牙语、俄语、葡萄牙语、罗马尼亚语和英语，这表明该木马的目标是这些语言区域的Android用户。在技术细节方面，像其他Android银行木马一样，Antidot也依赖于辅助功能服务来执行其恶意活动。在后台，该木马启动与其C&C服务器的通信，除了HTTP连接外，Antidot银行木马还使用socket.io库建立WebSocket通信，实现服务器和客户端之间的实时、双向通信。一旦用户授予辅助功能服务权限，该木马就会向服务器发送第一个“ping消息”，并附带Base64编码的数据。在执行过程中，我们观察到该木马接收到了多个命令，包括“sos”、“setSettings”、“getApps”和“getSMS”。此外，Antidot木马还利用MediaProjection功能捕获被感染设备的显示内容，然后将这些内容编码并传输到C&C服务器。

来源：

https://unsafe.sh/go-239868.html

高级威胁情报

Turla APT利用两个新的后门入侵欧洲外交部

Tag：Turla APT组织, Zabbix网络和应用程序监控软件

事件概述：

据ESET研究人员发现，与俄罗斯有关的Turla APT组织使用两个名为LunarWeb和LunarMail的新后门，成功入侵了欧洲外交部及其海外使团。这两个后门的设计目的是在目标网络中进行长期威胁，数据窃取，并保持对被侵害系统的控制。尽管入侵的初始访问方式仍不清楚，但证据显示可能存在网络钓鱼和利用配置错误的Zabbix网络和应用程序监控软件的情况。研究人员注意到一个LunarWeb组件模仿Zabbix日志，以及一个后门命令检索Zabbix代理配置。专家还发现了包括一个武器化Word文档安装LunarMail后门的网络钓鱼消息。

LunarWeb和LunarMail两个后门的技术特性各有不同。LunarWeb部署在服务器上，使用HTTP(S)进行其C&C通信，并模仿合法请求。LunarMail部署在工作站上，作为Outlook插件持久存在，并使用电子邮件消息进行其C&C通信。LunarWeb使用多种持久化方法，包括创建组策略扩展，替换系统DLL，并作为合法软件的一部分进行部署。执行链以ESET追踪的LunarLoader作为加载器开始。它使用RC4对称密钥密码来解密有效载荷。一旦Lunar后门侵入了一个系统，它就会等待来自C2服务器的命令。网络间谍还使用了被盗的凭证进行横向移动。LunarWeb还可以执行shell和PowerShell命令，收集系统信息，运行Lua代码，并以AES-256加密形式泄露数据。LunarMail部署在带有Microsoft Outlook的工作站上，使用基于电子邮件的通信系统（Outlook消息API（MAPI））来规避在HTTPS流量被监控的环境中的检测。后门通过电子邮件附件与C2服务器进行通信，通常隐藏在.PNG图像中。LunarMail可以创建进程，截屏，写入文件，并执行Lua脚本，从而间接运行shell和PowerShell命令。

来源：

https://unsafe.sh/go-240151.html

漏洞情报

暗网广告宣传Sonicwall SSL-VPN漏洞利用

Tag：SonicWALL SSL-VPN设备, 网络安全措施

事件概述：

近日，一种针对SonicWALL SSL-VPN设备的新漏洞在暗网上发布，该漏洞允许人们未经许可进入私人网络，这一消息首次由知名黑客新闻网站Daily Dark Web在其官方Twitter账户上分享。若此漏洞被利用，网络犯罪分子可以绕过安全措施，进入私人数据和系统。专家们正在迅速确定这个漏洞对SonicWALL（一家知名网络安全产品制造商）意味着什么。由于该漏洞在暗网上，人们非常担忧网络攻击的广泛性，尤其是针对使用SonicWALL的SSL-VPN技术的企业和机构。

在这种情况下，黑客专家迅速做出反应，告诉公司他们需要立即保护自己的网络。一些建议包括使用最新的固件，设置多因素认证，并进行全面的安全审计以找到并修复任何可能的弱点。尽管SonicWALL尚未公开评论这个漏洞，但该公司可能很快会提供建议和补丁来解决问题。与此同时，网络安全公司和独立专家正在努力弄清楚如何阻止这个漏洞并降低其发生的可能性。这个事件表明，网络威胁总是在变化，维护强大的安全措施是多么重要。随着事态的变化，企业被告知要保持警惕，采取行动保护他们的数字资产。

来源：

https://gbhackers.com/sonicwall-ssl-vpn-exploit/

勒索专题