朝鲜黑客组织Andariel试图攻击美国金融机构

Tag：Andariel, Dtrack

事件概述：

据报道，2024年8月，朝鲜政府支持的黑客组织Andariel针对美国的三个不同组织进行了可能出于金融动机的攻击。尽管攻击者未能在受影响组织的网络上部署勒索软件，但赛门铁克公司（Symantec）在报告中指出，这些攻击可能出于金融动机。Andariel被认为是臭名昭著的Lazarus Group的一个子集群，自2009年以来一直活跃。Andariel有过部署SHATTEREDGLASS和Maui等勒索软件的记录，同时也开发了一系列自定义后门，如Dtrack，TigerRAT，Black RAT，Dora RAT和LightHand等。此外，该黑客组织还使用了一些较少为人知的工具，如名为Jokra的数据擦除器和名为Prioxer的高级植入物。

Andariel的最新一轮攻击特点是部署了Dtrack和另一个名为Nukebot的后门。Nukebot具有执行命令、下载和上传文件以及截图的功能。虽然目前尚不清楚安达瑞尔是如何获得初始访问权限的，但他们有利用面向互联网的应用程序中已知的N-day安全漏洞来侵入目标网络的习惯。在入侵过程中使用的其他程序包括Mimikatz，Sliver，Chisel，PuTTY，Plink，Snap2HTML和FastReverseProxy（FRP），所有这些程序都是开源或公开可用的。攻击者还被观察到使用伪造的Tableau软件证书对一些工具进行签名，这是一种以前由微软披露过的策略。尽管美国政府已采取行动，但赛门铁克表示，Andariel从2019年以来将重点转向间谍行动，最近又转向以金融为动机的攻击，这是一个相对较新的发展。

来源：

https:// thehackernews.com/2024/10/andariel-hacker-group-shifts-focus-to.html

政府威胁情报

俄黑客组织“恶魔集团”向美德克萨斯州大学健康系统发起勒索软件攻击

Tag：恶魔集团, 勒索软件攻击

事件概述：

俄罗斯资助的黑客组织“恶魔集团”（Evil Corp）近期因对北约国家有针对性的网络攻击而备受关注。据英国国家犯罪局（NCA）的揭示，该集团利用这些国家的漏洞，利用关系规避了美国当局的制裁。另一方面，今年9月26日，德克萨斯州的大学医疗中心健康系统（UMC）遭受了一次重大的勒索软件攻击。此次攻击导致关键的医疗系统暂时关闭，幸运的是，UMC有一个健全的数据连续性计划，使得在攻击后能够迅速恢复。

“恶魔集团”首次引起关注是在2019年，当时执法机构发现他们对北约国家进行了间谍活动。同年，他们扩大了业务范围，包括对北美各公司网络的勒索软件攻击。这些攻击经常利用公共Wi-Fi网络，如机场和咖啡馆，使恶意软件迅速传播，暴露出即使是成熟组织的漏洞。NCA的调查揭示，“恶魔集团”的领导人雅库贝茨巧妙地应对了国际法的复杂性，有效地将被起诉的“恶魔集团”成员转移到莫斯科，使他们免受美国的审查。另一方面，UMC在危机期间，将紧急救护车服务转移到其他医院，以确保病人的护理不会受到影响。然而，由于安全专家的努力和有效的缓解策略的实施，UMC能够迅速恢复数字病人记录。因此，预计该设施将在下周初恢复全面运营。

来源：

https:// www.cybersecurity-insiders.com/russia-cyber-attack-on-nato-countries-and-ransomware-attack-on-umc-health-system/

能源威胁情报

自动油罐仪表(ATG)系统存在严重0day漏洞，可能导致实质性威胁

Tag：0day漏洞, 网络安全和基础设施安全局(CISA)

事件概述：

Bitsight TRACE的最新调查发现，五家不同供应商的六种自动油罐仪表(ATG)系统存在多个关键的0day漏洞。这些漏洞可能被恶意行为者利用，导致物理损坏、环境破坏和财务损失等严重后果。尽管已多次发出警告，但仍有数千台ATG在线并直接通过互联网访问，使其极易受到网络攻击，特别是在破坏或网络战争环境中。ATG系统在现代关键基础设施中起着关键作用，负责管理各种行业的燃油储存。这些系统对于从加油站到医院、机场、军事基地和发电厂等设施至关重要。

Bitsight的研究发现，黑客可以完全控制ATG系统，使他们能够操纵燃油水平，禁用报警，甚至关闭燃油分配系统。这种对物理过程的控制对关键基础设施构成了严重风险，可能导致燃油泄漏、设备损坏或在医院或紧急服务等基本设施中引起广泛的服务中断。攻击者还能够窃取敏感的运营数据或禁用关键系统，可能导致严重的罚款和监管处罚。Bitsight强调，即使是最基本的网络安全措施，如断开ATG与互联网的连接，也经常被忽视。在对这些发现做出回应后，Bitsight表示，它已与美国国土安全部的网络安全和基础设施安全局(CISA)合作，协调负责任的漏洞披露过程。然而，尽管进行了这些努力，但暴露度仍然很高。Bitsight的持续监控显示，仍有超过6500个ATG系统连接到互联网，没有任何安全保护，使关键基础设施容易受到网络攻击。

来源：

https://informationsecuritybuzz.com/vulns-discoverd-automatic-tank-gauging/

工业威胁情报

有史以来最大的DDoS对OT关键基础设施构成威胁

Tag：DDoS攻击, OT关键基础设施

事件概述：

2024年10月4日，一篇名为《有史以来最大的DDoS对OT关键基础设施构成威胁》的文章引起了广泛关注。文章主要讨论了分布式拒绝服务（DDoS）攻击的威胁，尤其是对运营技术（OT）关键基础设施的影响。DDoS攻击通过使目标系统的网络或服务器超负荷运行，从而导致服务中断。这种攻击方式对OT关键基础设施构成了巨大威胁，因为这些基础设施的运行直接关系到社会的正常运转。文章强调，对抗DDoS攻击需要采取多因素认证、威胁情报共享和自动化安全措施等技术手段。

该文从技术角度对DDoS攻击进行了深入分析。DDoS攻击的实施往往利用了目标系统的漏洞，通过大量的请求使系统超负荷运行，从而达到瘫痪系统的目的。对于OT关键基础设施来说，这种攻击方式的威胁尤其严重，因为一旦这些基础设施出现问题，可能会对社会的正常运转产生重大影响。因此，对抗DDoS攻击需要采取一系列技术手段，包括多因素认证、威胁情报共享和自动化安全措施等。多因素认证可以提高系统的安全性，使攻击者难以通过单一的方式攻破系统。威胁情报共享可以帮助各个系统及时了解到新的威胁，从而提前做好防范。自动化安全措施则可以在系统受到攻击时，及时启动防御机制，减少损失。

来源：

https://securityboulevard.com/2024/10/microsoft-alert-new-inc-ransomware-targets-us-healthcare/

流行威胁情报

BBTok木马新技巧：.NET加载器和隐蔽的持久性

Tag：G DATA CyberDefense, BBTok

事件概述：

G DATA CyberDefense最近的分析揭示了一个针对巴西实体的复杂恶意软件感染链，利用混淆的.NET加载器和先进的持久性技术。这种恶意软件与BBTok银行木马有关，采用多阶段方法，从通过电子邮件发送的ISO图像开始，伪装成巴西常用的数字发票。感染链从钓鱼电子邮件附带的恶意ISO图像开始，伪装成合法的数字发票。一旦受害者打开ISO，感染通过伪装成PDF图标的Windows快捷方式文件（LNK）开始，引诱用户执行恶意有效载荷。该恶意软件还利用了一种称为AppDomain Manager Injection的技术，其中Trammy.dll被注册为AppDomain Manager。这使得它能够在新AppDomain的初始化期间执行恶意代码，使攻击者对感染环境有更大的控制。

这次攻击的特殊之处在于使用Microsoft Build Engine（MSBuild.exe），这是一个合法的Windows工具，可以直接在感染的机器上编译恶意的C#代码。恶意软件从嵌入的C#代码中编译一个.NET DLL，名为Trammy.dll，然后执行它以保持持久性并继续感染过程。这种方法使恶意软件能够规避传统安全工具的检测，因为恶意有效载荷是在受害者的系统上动态生成和执行的。BBTok，这个活动背后的恶意软件家族，有针对拉丁美洲国家，特别是巴西的历史。攻击者定制了恶意软件，只有当受害者的IP地址位于巴西时才执行，这进一步复杂化了全球安全系统的检测。这种地理围栏技术确保恶意软件主要在预期的区域内操作，最小化在非目标区域的暴露。恶意软件还包括几种持久性机制，如创建互斥体以防止重新执行，以及设置服务，使恶意软件能够在系统重启后存活。此外，恶意软件试图禁用Windows Defender和其他安全工具，确保它可以无干扰地操作。

来源：

https:// securityonline.info/net-loaders-and-stealthy-persistence-bbtok-trojans-new-tricks/

高级威胁情报

朝鲜“隐蔽睡眠”恶意软件活动针对柬埔寨及其他东南亚国家

Tag：APT37, VeilShell

事件概述：

朝鲜政府黑客在过去一年中针对包括柬埔寨在内的几个东南亚国家发起了名为“隐蔽睡眠”（Shrouded Sleep）的恶意软件活动，旨在在重要组织的系统中创建后门。此次活动由朝鲜国家安全部下的APT37组织实施，该组织是朝鲜最活跃的黑客操作之一。攻击者通过发送包含恶意软件的钓鱼邮件来实施攻击，这些邮件附带的后门程序名为VeilShell，能够让攻击者完全控制被感染的机器。VeilShell具备数据窃取、注册表和计划任务创建或操纵等功能。攻击者在攻击的每个阶段都表现出极大的耐心和方法性，通过设置长时间的休眠期来避免传统启发式检测。

“隐蔽睡眠”活动利用精心设计的钓鱼邮件和伪装成合法文件的附件来诱导目标用户下载恶意软件。这些附件文件以.pdf.lnk或.xlsx.lnk结尾，并配有与文件扩展名相匹配的假快捷方式图标。此外，攻击者使用的VeilShell后门程序具有高度隐蔽性，其不会在系统重启前执行任何操作，从而进一步逃避检测。此次活动的分析显示，朝鲜在其间谍活动中展现出高度的技术复杂性和隐蔽性，能够在亚洲范围内部署隐秘工具。APT37此前还涉嫌在今年1月针对媒体机构和高级学者进行了一系列攻击，显示了其持续的威胁能力和战术多样性。

来源：

https://unsafe.sh/go-265449.html

漏洞情报

谷歌发布Chrome浏览器关键安全更新

Tag：Chrome浏览器, 漏洞奖励计划（VRP）

事件概述：

谷歌最近发布了Chrome浏览器的一项关键安全更新，版本号为129.0.6668.89/.90（适用于Windows和Mac）及129.0.6668.89（适用于Linux），以解决多个高危漏洞。 这些漏洞可能允许攻击者在用户系统上执行任意代码。 更新中包括三项由外部安全研究人员报告的修复，显示出合作在维护浏览器安全中的重要性。 其中包括整数溢出、数据验证不足和不当实现等严重问题，可能导致信息泄露或权限提升。 谷歌强烈建议用户立即更新浏览器以防范这些潜在威胁。

来源：

https:// cybersecuritynews.com/chrome-security-vulnerabilities/

勒索专题

Storm-0501黑客团伙针对美国混合云发动勒索软件攻击

Tag：Storm-0501, 勒索软件