朝鲜Lazarus Group利用虚假招聘与恶意软件肆虐区块链领域
发布时间 2024-09-119月9日,Group-IB 的最新报告揭示了朝鲜政府支持的 Lazarus Group 正在进行的“Eager Crypto Beavers”活动,该活动显著升级了其网络攻击策略,专注于区块链及加密货币领域。Lazarus 集团利用复杂手段,如虚假工作机会、恶意视频会议应用程序(如FCCCall)以及GitHub上的游戏和加密货币项目,诱导受害者下载并执行名为BeaverTail的恶意软件。该软件不仅窃取浏览器凭据和加密货币钱包数据,还部署名为InvisibleFerret的Python后门以扩大攻击范围。此外,攻击还扩展至macOS设备,并通过混淆代码和远程访问工具(如AnyDesk)在多个操作系统上实现持久性。更令人担忧的是,Lazarus已将目标扩大至浏览器扩展、密码管理器及Microsoft Sticky Notes,并通过FTP和Telegram等渠道窃取数据。此活动显示了Lazarus在数据窃取技术上的高度专业化与灵活性,增加了安全检测和防范的难度。
https://hackread.com/lazarus-group-blockchain-fake-video-conferencing-job-scam/?web_view=true
2. RansomHub团伙滥用TDSSKiller禁用EDR软件
9月10日,RansomHub 勒索软件团伙巧妙利用卡巴斯基的合法工具 TDSSKiller,规避了目标系统的端点检测和响应(EDR)防护。TDSSKiller 原本设计用于检测难以察觉的 rootkit 和 bootkit 恶意软件,但其功能被 RansomHub 恶意利用,通过禁用 Malwarebytes Anti-Malware 等安全服务,削弱了系统防御。这一滥用手法利用了 TDSSKiller 的合法性和有效证书签名,使其能逃避安全软件的拦截。随后,RansomHub 部署 LaZagne 凭证收集工具,从多种应用数据库中窃取登录信息,助力其在网络中横向扩散。LaZagne 的活动虽易被发现,但 TDSSKiller 的介入使其更加隐蔽。Malwarebytes 报告指出,TDSSKiller 执行时采用动态文件名,隐藏于临时目录中,增加了检测难度。面对此威胁,安全公司建议加强 EDR 解决方案的防篡改功能,防止类似 TDSSKiller 的工具禁用防护。同时,监控特定命令行参数和执行行为也是有效防御措施。
https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-abuses-kaspersky-tdsskiller-to-disable-edr-software/
3. Konni黑客组织:针对俄韩的网络间谍攻击策略
9月10日,研究人员近期发现,与朝鲜国家支持的黑客组织Kimsuky有关联的威胁行为者Konni,正加大对韩国和俄罗斯的网络攻击力度。Konni在对这两个国家的攻击中,展现了高度的策略、技术和程序相似性,主要目的是进行网络间谍活动。自2021年起,Konni已针对俄罗斯外交部、俄罗斯驻印尼大使馆及多家韩国企业发起攻击,包括在2022年1月利用新年祝福邮件向俄罗斯大使馆外交官传播恶意软件。其活动可追溯至2014年,长期且持续。Konni采用钓鱼邮件作为入侵手段,利用税收、奖学金等诱饵获取系统访问权限,并通过自定义的远程访问木马完全控制受害系统。在攻击过程中,该组织利用相似技术将受感染设备接入黑客控制的命令服务器,通过内部命令实现连接。尽管攻击模式多年未变,但Konni也结合新颖策略以提升成功率。研究人员强调,关注Konni在不同国家间攻击的相似性,对于安全专家制定更有效的防御策略和精准归因具有重要意义,有助于更好地保护目标实体免受此类网络威胁的侵害。
https://therecord.media/kimsuky-north-korea-hackers-targeting-russia-south-korea?&web_view=true
4. WPS曝95万用户信息遭MOVEit黑客攻击泄露
9月10日,威斯康星州医师服务保险公司(WPS)近期确认,约950,000名个人的个人信息在2023年的一起MOVEit黑客攻击事件中遭泄露。该事件源于Progress Software旗下的MOVEit Transfer软件被俄语Cl0p勒索软件组织利用零日漏洞侵入,导致全球近2,800个组织受创,累计个人信息泄露量高达9600万条。WPS作为受害者之一,于9月6日公布,其946,801名医疗保险受益人可能受到波及,包括部分CMS(医疗保险和医疗补助服务中心)受益人。尽管初步调查显示无直接证据表明数据被复制,但随后的深入调查确认,部分包含姓名、地址、出生日期、社保号等敏感信息的文件已从WPS的MOVEit系统中被盗。尽管目前未收到因信息泄露导致的欺诈报告,WPS仍采取积极措施,为受影响的医疗保险受益人更换新号码的医疗保险卡,并提供为期一年的信用监控和身份保护服务,同时提醒公众保持警惕,防范潜在风险。
https://www.securityweek.com/wisconsin-insurer-discloses-data-breach-impacting-950000-individuals/
5. Confidant Health 5.3TB心理健康记录遭泄露
9月6日,美国人工智能医疗公司Confidant Health因服务器配置错误,意外泄露了高达5.3TB的敏感心理健康记录,内容涉及个人信息、心理评估及详尽医疗数据,直接威胁到超过12.6万名患者的隐私安全。该事件由网络安全专家Jeremiah Fowler揭露,他发现了未设密码保护的服务器,内含来自五州患者的私密信息,包括姓名、地址、联系方式等个人身份信息,以及详细的心理健康评估、处方药清单、医疗补助卡信息等。尤为严重的是,泄露数据还涉及音频视频记录,讨论了极为私密的家庭问题。Confidant Health迅速承认并限制了访问,但泄露的持续时间及潜在影响范围尚不明朗。尽管部分文件受限制访问,但已泄露的文件路径和存储位置仍可能成为黑客攻击的跳板,加剧患者面临的风险。此类数据泄露不仅可能引发身份盗窃、医疗欺诈等严重后果,还可能对患者造成精神压力和心理伤害。
https://hackread.com/ai-firm-misconfigured-server-exposed-mental-health-data/
6. NoName勒索软件团伙最近部署了RansomHub恶意软件
9月10日,NoName勒索软件团伙近年来致力于在全球范围内针对中小型企业实施攻击,以树立其在勒索软件界的声誉。该团伙利用包括EternalBlue和ZeroLogon在内的多种旧漏洞,通过暴力破解获取网络访问权限,并部署其定制工具Spacecolon恶意软件家族。近期,NoName转向使用ScRansom勒索软件,替代了之前的Scarab加密器,并试图通过模仿LockBit 3.0等知名勒索软件来提高其知名度。ScRansom虽然不如其他勒索软件复杂,但具备部分加密、文件内容替换等能力,并能加密多种驱动器上的文件。ESET指出,该团伙在解密过程中表现不成熟,影响了其声誉和受害者付款的意愿。此外,NoName还利用多个SMB环境中的漏洞,包括EternalBlue和Zerologon等,以及通过禁用Windows Defender等手段提升攻击效果。最近,有迹象表明NoName可能已成为RansomHub的附属机构,通过部署RansomHub的EDR杀手和勒索软件来扩展其活动范围。尽管与RansomHub的正式关联尚待确认,但NoName显然并未放弃其勒索软件业务,ScRansom加密器仍在积极开发中。
https://www.bleepingcomputer.com/news/security/noname-ransomware-gang-deploying-ransomhub-malware-in-recent-attacks/
京公网安备11010802024551号