首頁 > 安全研究 > 安全通報 > 安全簡訊

朝鮮Lazarus Group利用虛假招聘與惡意軟件肆虐區塊鏈領域

發布時間 2024-09-11
1. 朝鮮Lazarus Group利用虛假招聘與惡意軟件肆虐區塊鏈領域


9月9日,Group-IB 的最新報告揭示了朝鮮政府支持的 Lazarus Group 正在進行的“Eager Crypto Beavers”活動,該活動顯著升級了其網絡攻擊策略,專注于區塊鏈及加密貨幣領域。Lazarus 集團利用復雜手段,如虛假工作機會、惡意視頻會議應用程序(如FCCCall)以及GitHub上的游戲和加密貨幣項目,誘導受害者下載并執行名為BeaverTail的惡意軟件。該軟件不僅竊取瀏覽器憑據和加密貨幣錢包數據,還部署名為InvisibleFerret的Python后門以擴大攻擊范圍。此外,攻擊還擴展至macOS設備,并通過混淆代碼和遠程訪問工具(如AnyDesk)在多個操作系統上實現持久性。更令人擔憂的是,Lazarus已將目標擴大至瀏覽器擴展、密碼管理器及Microsoft Sticky Notes,并通過FTP和Telegram等渠道竊取數據。此活動顯示了Lazarus在數據竊取技術上的高度專業化與靈活性,增加了安全檢測和防范的難度。


https://hackread.com/lazarus-group-blockchain-fake-video-conferencing-job-scam/?web_view=true


2. RansomHub團伙濫用TDSSKiller禁用EDR軟件


9月10日,RansomHub 勒索軟件團伙巧妙利用卡巴斯基的合法工具 TDSSKiller,規避了目標系統的端點檢測和響應(EDR)防護。TDSSKiller 原本設計用于檢測難以察覺的 rootkit 和 bootkit 惡意軟件,但其功能被 RansomHub 惡意利用,通過禁用 Malwarebytes Anti-Malware 等安全服務,削弱了系統防御。這一濫用手法利用了 TDSSKiller 的合法性和有效證書簽名,使其能逃避安全軟件的攔截。隨后,RansomHub 部署 LaZagne 憑證收集工具,從多種應用數據庫中竊取登錄信息,助力其在網絡中橫向擴散。LaZagne 的活動雖易被發現,但 TDSSKiller 的介入使其更加隱蔽。Malwarebytes 報告指出,TDSSKiller 執行時采用動態文件名,隱藏于臨時目錄中,增加了檢測難度。面對此威脅,安全公司建議加強 EDR 解決方案的防篡改功能,防止類似 TDSSKiller 的工具禁用防護。同時,監控特定命令行參數和執行行為也是有效防御措施。


https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-abuses-kaspersky-tdsskiller-to-disable-edr-software/


3. Konni黑客組織:針對俄韓的網絡間諜攻擊策略


9月10日,研究人員近期發現,與朝鮮國家支持的黑客組織Kimsuky有關聯的威脅行為者Konni,正加大對韓國和俄羅斯的網絡攻擊力度。Konni在對這兩個國家的攻擊中,展現了高度的策略、技術和程序相似性,主要目的是進行網絡間諜活動。自2021年起,Konni已針對俄羅斯外交部、俄羅斯駐印尼大使館及多家韓國企業發起攻擊,包括在2022年1月利用新年祝福郵件向俄羅斯大使館外交官傳播惡意軟件。其活動可追溯至2014年,長期且持續。Konni采用釣魚郵件作為入侵手段,利用稅收、獎學金等誘餌獲取系統訪問權限,并通過自定義的遠程訪問木馬完全控制受害系統。在攻擊過程中,該組織利用相似技術將受感染設備接入黑客控制的命令服務器,通過內部命令實現連接。盡管攻擊模式多年未變,但Konni也結合新穎策略以提升成功率。研究人員強調,關注Konni在不同國家間攻擊的相似性,對于安全專家制定更有效的防御策略和精準歸因具有重要意義,有助于更好地保護目標實體免受此類網絡威脅的侵害。


https://therecord.media/kimsuky-north-korea-hackers-targeting-russia-south-korea?&web_view=true


4. WPS曝95萬用戶信息遭MOVEit黑客攻擊泄露


9月10日,威斯康星州醫師服務保險公司(WPS)近期確認,約950,000名個人的個人信息在2023年的一起MOVEit黑客攻擊事件中遭泄露。該事件源于Progress Software旗下的MOVEit Transfer軟件被俄語Cl0p勒索軟件組織利用零日漏洞侵入,導致全球近2,800個組織受創,累計個人信息泄露量高達9600萬條。WPS作為受害者之一,于9月6日公布,其946,801名醫療保險受益人可能受到波及,包括部分CMS(醫療保險和醫療補助服務中心)受益人。盡管初步調查顯示無直接證據表明數據被復制,但隨后的深入調查確認,部分包含姓名、地址、出生日期、社保號等敏感信息的文件已從WPS的MOVEit系統中被盜。盡管目前未收到因信息泄露導致的欺詐報告,WPS仍采取積極措施,為受影響的醫療保險受益人更換新號碼的醫療保險卡,并提供為期一年的信用監控和身份保護服務,同時提醒公眾保持警惕,防范潛在風險。


https://www.securityweek.com/wisconsin-insurer-discloses-data-breach-impacting-950000-individuals/


5. Confidant Health 5.3TB心理健康記錄遭泄露


9月6日,美國人工智能醫療公司Confidant Health因服務器配置錯誤,意外泄露了高達5.3TB的敏感心理健康記錄,內容涉及個人信息、心理評估及詳盡醫療數據,直接威脅到超過12.6萬名患者的隱私安全。該事件由網絡安全專家Jeremiah Fowler揭露,他發現了未設密碼保護的服務器,內含來自五州患者的私密信息,包括姓名、地址、聯系方式等個人身份信息,以及詳細的心理健康評估、處方藥清單、醫療補助卡信息等。尤為嚴重的是,泄露數據還涉及音頻視頻記錄,討論了極為私密的家庭問題。Confidant Health迅速承認并限制了訪問,但泄露的持續時間及潛在影響范圍尚不明朗。盡管部分文件受限制訪問,但已泄露的文件路徑和存儲位置仍可能成為黑客攻擊的跳板,加劇患者面臨的風險。此類數據泄露不僅可能引發身份盜竊、醫療欺詐等嚴重后果,還可能對患者造成精神壓力和心理傷害。


https://hackread.com/ai-firm-misconfigured-server-exposed-mental-health-data/


6. NoName勒索軟件團伙最近部署了RansomHub惡意軟件


9月10日,NoName勒索軟件團伙近年來致力于在全球范圍內針對中小型企業實施攻擊,以樹立其在勒索軟件界的聲譽。該團伙利用包括EternalBlue和ZeroLogon在內的多種舊漏洞,通過暴力破解獲取網絡訪問權限,并部署其定制工具Spacecolon惡意軟件家族。近期,NoName轉向使用ScRansom勒索軟件,替代了之前的Scarab加密器,并試圖通過模仿LockBit 3.0等知名勒索軟件來提高其知名度。ScRansom雖然不如其他勒索軟件復雜,但具備部分加密、文件內容替換等能力,并能加密多種驅動器上的文件。ESET指出,該團伙在解密過程中表現不成熟,影響了其聲譽和受害者付款的意愿。此外,NoName還利用多個SMB環境中的漏洞,包括EternalBlue和Zerologon等,以及通過禁用Windows Defender等手段提升攻擊效果。最近,有跡象表明NoName可能已成為RansomHub的附屬機構,通過部署RansomHub的EDR殺手和勒索軟件來擴展其活動范圍。盡管與RansomHub的正式關聯尚待確認,但NoName顯然并未放棄其勒索軟件業務,ScRansom加密器仍在積極開發中。


https://www.bleepingcomputer.com/news/security/noname-ransomware-gang-deploying-ransomhub-malware-in-recent-attacks/

上一篇 下一篇