https://securityintelligence.com/x-force/itg05-leverages-malware-arsenal/
根据研究人员发布的最新报告,与俄罗斯有关联的网络威胁行为者APT28,被发现正在进行多起精心策划的网络钓鱼攻击。这次攻击针对的是欧洲、南高加索地区、中亚以及北美和南美的政府及非政府组织(NGOs)。APT28利用看似官方的诱饵文档进行欺骗,这些文档既包括内部文件也包括公开可获得的文档,涵盖了金融、重要基础设施、行政会议、网络安全、海洋安全、卫生保健、商务和国防产业等多个领域。研究人员观察到的最新活动是在2023年11月末至2024年2月间,APT28利用Microsoft Windows的"search-ms:" URI协议处理器欺骗受害者下载恶意软件,这些软件托管在行为者控制的WebDAV服务器上。还有迹象显示,这些WebDAV服务器以及MASEPIE的C2服务器可能托管在遭到破坏的Ubiquiti路由器上。美国政府上月关闭了包含这些路由器的僵尸网络。APT28通过伪装成来自阿根廷、乌克兰、格鲁吉亚、白俄罗斯、哈萨克斯坦、波兰、亚美尼亚、阿塞拜疆和美国等国家的实体,使用一系列真实的公共政府和非政府诱饵文档,启动感染链。APT28的这些复杂策略最终导致执行了MASEPIE、OCEANMAP和STEELHOOK等后门程序,这些程序设计用于窃取文件、执行任意命令以及窃取浏览器数据。OCEANMAP被视为CredoMap后门的升级版,CredoMap是APT28之前使用的一个后门程序。研究人员总结说,APT28具备适应不断变化的环境及机会的能力,他们不仅提供新的感染方法,还利用商业化基础设施服务,并不断提升恶意软件的能力。
https://www.elliptic.co/blog/north-korean-hackers-return-to-tornado-cash-despite-sanctions
据研究人员报道,与朝鲜有关的网络黑客组织Lazarus再次恢复使用加密货币混合器平台Tornado Cash洗钱2300万美元。2023年11月发生的HTX交易所1125万美元的盗窃案被追踪到Lazarus APT组织,如今,Elliptic通报称Lazarus组织通过Tornado Cash清洗了来自该次攻击的逾2300万美元资金。2022年8月,美国财政部外国资产控制办公室(OFAC)因北朝鲜相关的Lazarus APT组织使用而对Tornado Cash实施了制裁。混合器是网络犯罪分子们重要的洗钱工具,此前已经被用来洗掘受害者资金。OFAC宣布制裁时,Tornado Cash自2019年以来用于洗钱的虚拟货币价值超过70亿美元。Lazarus APT组织通过Tornado Cash洗掘了至今为止已知的最大规模虚拟货币盗窃案中超过4.55亿美元的资金。此外,Tornado Cash还用于清洗2022年6月24日Harmony Bridge盗窃案中9600万美元的资金,以及Nomad加密货币盗窃案中至少780万美元的资金,即便如此,Tornado Cash依然没有中断其操作。作为对制裁的回应,Lazarus转而使用混合器Sinbad.io,但该服务于2023年11月被美国当局查封。研究人员指出,这些混合器通过去中心化区块链上的智能合约运行,使其免受查封和关闭的影响,如中心化混合器Sinbad.io那样被关闭。
英国国防大臣格兰特·沙普斯的RAF Dassault Falcon 900喷气式飞机最近在飞往英国途中,据称遭到了俄罗斯黑客发起的电子战攻击,导致飞机的全球定位系统(GPS)和通信设备短暂失效。沙普斯此行前往波兰访问英国在"坚定捍卫者"军事演习中的军队,并确认了英国对乌克兰的全力支持。《太阳报》的国防编辑在起飞时搭乘了RAF Dassault Falcon 900喷气式飞机,并报告说飞机在靠近俄罗斯飞地加里宁格勒的区域附近时,GPS和通信被干扰大约30分钟。如果确认是电子战攻击导致了这次事故,但并未影响飞机的安全。英国官员表示,沙普斯的飞机并非外科手术式袭击的目标,而是受到了大规模俄罗斯对卫星通讯和信号的干扰,这可能影响所有飞机和GPS设备。
https://arxiv.org/pdf/2403.08740.pdf
最新研究展示了一种新型声学旁道攻击方法,即使在噪音环境下,也能根据键盘打字模式推断用户输入。该方法的平均成功率虽然只有43%,低于过去提出的其他方法,但它不需要受控的录音条件或特定的打字平台。这一技术更适用于现实攻击,在特定的目标相关参数下,通过收集后的分析产生足够可靠的数据,以解密目标的整体输入。美国奥古斯塔大学的研究人员公布了他们独特的声学旁道方法的技术细节。这种攻击利用通过专用软件捕捉的不同按键的特有声音排放和用户的打字模式来收集数据集。收集目标的一些打字样本至关重要,以便将特定的按键和单词与声波联系起来。虽然论文并未详述捕获文本的可能方法,但它可能是通过恶意软件、恶意网站或浏览器扩展、受损的应用程序、跨站脚本攻击或被篡改的USB键盘获取的。目标的打字可能通过在他们附近隐藏的麦克风记录,或使用周围被篡改的设备远程记录,例如智能手机、笔记本电脑或智能扬声器。捕获的数据集包括在不同条件下的打字样本,因此必须记录多个打字会话,这对攻击的成功至关重要。
AT&T公司近日表示,在一家网络犯罪论坛上被黑客泄露并宣称来自2021年对公司系统的攻击的大量数据,并非来自其系统。该数据涉及7100万人。这些数据涉及到声称是2021年攻击AT&T数据泄露案的一部分,由一个名为ShinyHunters的威胁行为者尝试在数据盗窃论坛上以20万美元的起始价格和3万美元的增量报价出售。该黑客表示他们愿意立即以100万美元出售。如今,另一名威胁行为者MajorNelson在黑客论坛上免费泄露了这些所谓的2021年数据泄露信息,声称这是ShinyHunters在2021年试图出售的数据。这些数据包括姓名、地址、移动电话号码、加密的出生日期、加密的社会安全号码以及其他内部信息。然而,威胁行为者解密了出生日期和社会安全号码,并将它们添加到泄漏中的另一个文件中,使这些信息也变得可获取。研究人员审查了这些数据,虽然不能确认全部7300万条数据都是准确的,但确认了其中一些包含正确信息的数据,包括社会安全号码、地址、出生日期和电话号码。
https://securityaffairs.com/160682/hacking/fujitsu-suffered-cyberattack.html
日本科技巨头富士通周五宣布遭遇恶意软件攻击,威胁行为者可能窃取了个人和客户信息。该公司透露,多台工作计算机感染了恶意软件,为了应对这一威胁,安全人员将受影响的系统与网络断开。该公司对此事件展开调查,发现威胁行为者可能泄露了包含个人和客户信息的文件。
https://securityaffairs.com/160664/uncategorized/aviation-and-aerospace-sectors-cyber-threats.html
随着全球地缘政治紧张局势加剧,民航业和航空航天领域遭受破坏性网络攻击的风险加大。Resecurity 详细介绍了针对这些部门的威胁行为者最近的显着活动。Lockbit 3.0是针对这些行业的最活跃的勒索软件组织之一,已对多家知名公司发起了攻击。它于 2021 年 9 月攻击泰国主要航空公司曼谷航空,于 2021 年 10 月攻击以色列航空航天和国防公司 EMIT Aviation Consulting,于 2022 年 6 月攻击科威特航空,于 2023 年攻击阿尔巴尼亚航空,最近一次更新于 2024 年 3 月。
https://thehackernews.com/2024/03/malicious-ads-targeting-chinese-users.html
在百度等搜索引擎上寻找 Notepad++ 和 VNote 等合法软件的中国用户正成为恶意广告和虚假链接的目标,这些链接会分发该软件的木马版本,并最终部署Geacon(一种基于 Golang 的 Cobalt Strike 实现)。
https://www.darkreading.com/cyber-risk/tiktok-ban-raises-data-security-control-questions
继众议院能源与商务委员会上周通过禁用流行社交媒体平台 TikTok 的法案后,美国国会投票赞成该法案,该法案规定,任何受“外国”控股的企业需在 180 天内撤资。
https://www.ithome.com/0/755/716.htm
据加拿大媒体 CTV News 报道,黑客组织 LockBit 重要成员米哈伊尔・瓦西里耶夫(Mikhail Vasiliev)被加拿大安大略省法院判处 4 年监禁。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
