近日,明朝萬達安元實驗室發布了2024年第四期《安全通告》。該份報告收錄了2024 年4月最新的網絡安全前沿新聞和最新漏洞追蹤,其中重點內容包括:
網絡安全前沿新聞
黑客在惡意軟件活動中劫持了eScan防病毒更新機制
安全研究人員發現并分析了一個惡意軟件活動,該活動利用eScan防病毒的更新機制分發后門和挖礦病毒。威脅行為者使用了兩種不同類型的后門,并以大型企業網絡為目標。
研究人員認為,這場運動可能歸因于與朝鮮有關的APKimsuky,GuptiMiner分發的最后一個有效載荷也是。XMRigAvast發布的分析中寫道:“GuptiMiner是一種高度復雜的威脅,它使用了一個有趣的感染鏈以及一些技術,包括對攻擊者的DNS服務器執行DNS請求、執行側加載、從看起來無辜的圖像中提取有效載荷、用自定義的可信證書頒發機構對其有效載荷進行簽名等”。eScan承認了這個缺陷,并對其進行了解決。
美國懸賞1000萬美元通緝四名伊朗國民
美國財政部海外資產控制辦公室(OFAC)對四名伊朗國民實施制裁,因為他們參與了針對美國政府、國防承包商和私營公司的網絡攻擊。OFAC還制裁了兩家幌子公司,Mehrsam Andisheh Saz Nik(MASN)和Dadeh Afzar Arman(DAA),這兩家公司與伊朗伊斯蘭革命衛隊開伯爾電子司令部(IRGC-CEC)有關聯。
伊朗伊斯蘭革命衛隊網絡電子司令部(IRGC-CEC)是伊朗政府內負責網絡安全和網絡戰的組織。由于它參與了各種惡意網絡活動,包括美國在內的許多國家都認為它是一個主要威脅。
司法部逮捕了加密貨幣混合機Samourai的創始人,罪名是為20億美元的非法交易提供便利
美國司法部逮捕了加密貨幣混合機Samourai的兩名聯合創始人,并沒收了該服務器。這些指控包括為20多億美元的非法交易提供便利和洗錢1億多美元的犯罪所得。
Keonne Rodriguez(35歲)和William Lonergan Hill(65歲)被控經營Samourai錢包,司法部稱其為未經許可的匯款業務,Rodriguez是Samourai錢包(“Samourai”)的首席執行官,William Lonergan Hill是該公司的首席技術官,司法部發布的新聞稿中寫道:“這些指控源于被告開發、營銷和運營一個加密貨幣混合器,該混合器執行了超過20億美元的非法交易,并為絲綢之路和九頭蛇市場等非法暗網市場的1億多美元洗錢交易提供了便利。
一次網絡攻擊使意大利Synlab的運營陷入癱瘓
自4月18日以來,主要的醫療診斷服務提供商意大利Synlab一直因網絡攻擊而中斷。“Synlab通知所有患者和客戶,它是計算機系統在全國范圍內遭到黑客攻擊的受害者。
作為預防措施,在發現攻擊后,根據公司的計算機安全程序,意大利的所有公司計算機系統立即被禁用。”Synlab目前無法確定何時可以恢復操作,這些聲明強調了該公司隔離系統的必要性,以防止威脅的傳播并減輕其影響這種嚴厲的遏制措施通常與惡意軟件感染有關,而受影響系統的不可用性往往表明存在勒索軟件感染因此,遭受勒索軟件攻擊的公司無法預測何時恢復運營,因為他們需要消除受影響系統的威脅并恢復所有備份。
由于網絡攻擊,萊斯特城的路燈無法關閉
萊斯特市議會在3月份遭受了一次網絡攻擊,嚴重影響了當局的服務,并導致機密文件泄露。此次襲擊背后的勒索軟件集團泄露了多份文件,包括租金聲明和購買議會住房的申請。襲擊發生在3月7日,使市議會的IT系統癱瘓。由于網絡攻擊,一些燈被卡了一整天,市議會無法關閉。
”65歲的博蒙特-萊斯居民羅杰·尤恩斯(Roger Ewens)注意到他路上的路燈一直亮著,并問市議會為什么。當他收到回復,指責網絡攻擊影響了“中央管理系統”,導致路燈“行為不端”時,他感到驚訝。”據萊斯特直播網站報道路燈的問題應該在下周末之前完全解決。
Akira勒索軟件從250多名受害者那里收到了4200萬美元的贖金
CISA、聯邦調查局、歐洲刑警組織和荷蘭國家網絡安全中心(NCSC-NL)發布的一份聯合公告顯示,自2023年初以來,Akira勒索軟件運營商從全球250多名受害者那里收到了4200萬美元的贖金。
Akira勒索軟件自2023年3月以來一直活躍,惡意軟件背后的黑客聲稱已經入侵了教育、金融和房地產等多個行業的多個組織。與其他勒索軟件團伙一樣,該組織開發了一款針對VMware ESXi服務器的Linux加密機。Akira勒索軟件運營商通過在加密之前過濾受害者的數據來實現雙重勒索模式。
與朝鮮有關的APT集團針對韓國國防承包商
韓國國家警察局警告稱,與朝鮮有關的黑客正以國防工業實體為目標,竊取國防技術信息據韓國國家警察局報道,與朝鮮有關聯的APT集團Lazarus、Andariel和Kimsukyhack在韓國擁有多家國防公司的后門。國家資助的黑客利用目標系統中的漏洞入侵國防公司的分包商,并部署了惡意軟件。
警方表示,襲擊是以全面戰爭的形式進行的,多個APT團體參與了這場戰爭。政府專家警告說,攻擊者使用了復雜的黑客技術。韓國國家警察廳提供了不同APT組織實施的多起襲擊的細節。
網絡攻擊后,法國一家醫院被迫重新安排手術
近日,戛納Simone Veil醫院(CHC-SV)遭到網絡攻擊,醫療程序受到影響,工作人員不得不回到紙筆上。醫院的網站上寫道:“網絡攻擊正在進行中!所有非緊急會診都應重新考慮。”原定于本周進行的非緊急手術和會診已被推遲,法國醫院被迫將所有電腦離線,而電話線沒有受到影響。
醫院正在ANSSI、Cert Santé、Orange CyberDéfense和GHT06的幫助下調查這起事件,該組織沒有收到任何贖金要求,也沒有發現數據泄露。
“沙丘吉訶德”運動以中東為目標,包含一個復雜的后門
卡巴斯基的研究人員于2024年2月發現了“沙丘吉訶德”運動,但他們認為該活動可能自2023年以來一直活躍。卡巴斯基發現了該運動中使用的30多個“沙丘吉柯德”植入程序樣本。專家們確定了植入程序的兩個版本,常規植入程序(以可執行文件或DLL文件的形式)和被篡改的名為“Total Commander”的合法工具的安裝程序文件。
威脅參與者在這些功能中使用的字符串包括西班牙詩歌的摘錄。字符串因樣本而異,從而改變了每個樣本的特征以避免通過傳統方法進行檢測。然后,在執行誘餌函數之后,惡意軟件為所需的API調用構建框架。這個框架充滿了Windows API函數的偏移,通過各種技術解決植入程序計算組合字符串的MD5散列,并將其用作解碼C2服務器地址的密鑰。然后植入程序與C2服務器連接,并下載下一階段的有效載荷。
聯合國開發計劃署(開發署)調查數據泄露
聯合國開發計劃署(UNDP)正在調查一起涉嫌導致數據盜竊的勒索軟件攻擊事件,聯合國開發計劃署(UNDP)是一個聯合國機構,其任務是幫助各國消除貧困,實現可持續經濟增長和人類發展網絡攻擊最近針對的是位于哥本哈根聯合國城的原子能機構的信息技術基礎設施。
3月27日,開發署意識到一名數據勒索黑客竊取了包括人力資源和采購信息在內的數據。
聯合國開發計劃署正在調查這起安全事件,以確定網絡攻擊的范圍。該機構正在不斷更新受違規影響的個人,并與其他利益相關者分享信息,包括其在聯合國系統的合作伙伴。聲明繼續說道:“聯合國開發計劃署極其嚴肅地對待這一事件,我們重申我們致力于數據安全。我們致力于繼續努力,檢測并將網絡攻擊的風險降至最低。”
MITRE透露,黑客通過Ivanti零日進行破壞
2024年4月,MITRE披露了其一個研究和原型網絡的安全漏洞。該組織的安全團隊立即展開調查,注銷黑客,并聘請第三方取證事件響應團隊與內部專家合作進行獨立分析
據MITRE公司稱,2024年1月,一個國家行為者通過鏈接兩個Ivanti Connect Secure零日漏洞,破壞了其系統。
盡管MITRE努力遵循行業最佳實踐,實施供應商建議,并遵守政府指導以加強、更新和強化其Ivanti系統,但他們忽視了向VMware基礎架構的橫向移動。該組織表示,核心企業網絡或合作伙伴的系統沒有受到此次事件的影響。MITRE總裁兼首席執行官Jason Providakes表示:“沒有一個組織能夠免受這種類型的網絡攻擊,即使是一個努力維護最高網絡安全的組織也無法幸免。”
FIN7針對一家美國大型汽車制造商進行網絡釣魚攻擊
2023年末,黑莓研究人員發現威脅因素FIN7通過魚叉式網絡釣魚活動瞄準了一家美國大型汽車制造商。FIN7針對的是在公司IT部門工作并擁有更高級別管理權限的員工,攻擊者利用免費IP掃描工具的誘惑,用Nunak后門感染系統,并使用陸上二進制文件、腳本和庫(lolbas)獲得初步立足點。
FIN7是一個俄羅斯犯罪集團(akaCarbanak),自2015年年中以來一直活躍,專注于美國的餐館、賭博和酒店業,以獲取用于攻擊或在網絡犯罪市場出售的金融信息,在BlackBarry分析的攻擊中,威脅參與者使用了一種打字抓取技術,他們使用了一個惡意URL“advanced ip sccanner[.]com”偽裝成合法網站““雖然在過去的一年里,這場戰役所涉及的戰術、技術和程序(TTP)已經有了很好的記錄,但攻擊者使用的OpenSSH代理服務器并沒有被傳播。”報告總結道,其中還包括緩解和IoC(妥協指標)的建議。“黑莓認為,讓個人和實體也能識別這些主機并保護自己是明智之舉。”
執法行動拆除釣魚即服務平臺LabHost
由歐洲刑警組織協調的代號為Nebulae的國際執法行動導致了世界上最大的釣魚即服務平臺之一LabHost的癱瘓,來自19個國家的執法部門參加了這次行動,逮捕了37人。該釣魚即服務平臺可在透明網絡上使用,現已被警方關閉。
4月14日至4月17日,執法機構對全球70個地址進行了搜查,最終逮捕了嫌疑人。包括LabHost最初開發者在內的四人在英國被捕網絡釣魚即服務(PaaS)平臺向騙子提供網絡釣魚工具和資源,通常需要付費或訂閱。這些工具通常包括預先設計的網絡釣魚模板、電子郵件或短信發送功能、網絡釣魚頁面的網站托管服務。大多數重要的PhaaS平臺也為其客戶提供技術支持。
思科警告針對VPN和SSH服務的大規模暴力攻擊
Cisco Talos的研究人員警告稱,至少自2024年3月18日起,將有針對多個目標的大規模憑據暴力攻擊,包括虛擬專用網絡(VPN)服務、web應用程序身份驗證接口和SSH服務。以下是已知受影響服務的列表:成功的暴力攻擊可能導致未經授權的網絡訪問、帳戶鎖定或拒絕服務(DoS)情況。
這些攻擊源于TOR出口節點、匿名隧道和代理,例如:“暴力強制嘗試使用特定組織的通用用戶名和有效用戶名。這些攻擊的目標似乎是不分青紅皂白的,并非針對特定地區或行業。”Cisco Talos發布的建議中寫道惡意活動缺乏對特定行業或地區的具體關注,這表明它采用了更廣泛的隨機機會主義攻擊策略,Talos發布的咨詢包括一份針對這場運動的妥協指示者名單。
勒索軟件集團Dark Angels聲稱芯片制造商Nexperia的1TB數據被盜
黑暗天使(Dunghill)勒索軟件集團聲稱對黑客攻擊芯片制造商Nexperia并竊取該公司1 TB的數據負責該組織發布了一組文件作為安全漏洞的證據,并威脅稱,如果受害者不支付贖金,將泄露所有被盜數據。
這家芯片制造商證實,它在2024年3月意識到某些Nexperia it服務器被未經授權訪問。為了應對這一事件,該公司斷開了受影響系統與互聯網的連接,以防止威脅傳播。Nexperia在第三方網絡安全專家的幫助下對安全漏洞展開了調查,該公司發布的新聞聲明中寫道:“我們已向主管當局報告了這一事件,包括‘個人財產管理局’和警方,并隨時向他們通報我們的調查進展。”
