每日安全简讯(20240109)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Sea Turtle组织针对荷兰IT和电信公司发起间谍活动
荷兰的电信、媒体、互联网服务提供商 (ISP)、信息技术 (IT) 服务提供商和库尔德网站已成为土耳其关系威胁组织 Sea Turtle 发起的新网络间谍活动的一部分。目标的基础设施很容易受到供应链和跳岛攻击,攻击组织利用这些攻击来收集出于政治动机的信息,例如少数群体的个人信息和潜在的政治异议。被盗信息可能会被用于对特定群体和/或个人进行监视或情报收集。Sea Turtle,也称为 Cosmic Wolf、Marbled Dust(以前称为 Silicon)、Teal Kurma 和 UNC1326,最初由研究人员于 2019 年 4 月记录,详细描述了国家支持的针对中东和北部地区公共和私人实体的攻击非洲。
https://www.huntandhackett.com/blog/turkish-espionage-campaigns
2 研究人员披露朝鲜攻击者在2023年窃取了6亿美元的加密货币
2023 年,隶属于朝鲜民主主义人民共和国(也称为朝鲜)的威胁行为者已经掠夺了至少 6 亿美元的加密货币。尽管比 2022 年的 8.5 亿美元减少了 30%,但朝鲜“在去年加密货币攻击中被盗的资金中几乎占到了三分之一”。朝鲜实施的黑客攻击造成的平均破坏性是与朝鲜无关的黑客攻击的十倍。有迹象表明,到 2023 年底,针对加密货币行业的更多违规行为可能会将这一数字推高至 7 亿美元左右。对于朝鲜国家支持的行为者来说,针对加密货币公司的攻击并不新鲜,自 2017 年以来,他们已经窃取了约 30 亿美元。
https://www.trmlabs.com/post/north-korean-hackers-stole-600-million-in-crypto-in-2023
3 亲伊朗黑客组织利用Wiper恶意软件针对阿尔巴尼亚发起网络攻击
最近一波针对阿尔巴尼亚组织的网络攻击涉及使用名为No-Justice的擦除器。基于 Windows 的恶意软件“以无法重新启动的方式使操作系统崩溃”。这些入侵归因于一个名为“国土正义”的伊朗“心理行动组织”,该组织自 2022 年 7 月以来一直活跃,专门策划针对阿尔巴尼亚的破坏性攻击。2023 年 12 月 24 日,该攻击者在中断一段时间后重新露面,声称它“回来消灭恐怖分子的支持者”,并将其最新的活动描述为#DestroyDurresMilitaryCamp。阿尔巴尼亚都拉斯市目前是持不同政见组织伊朗人民圣战者组织(MEK)的所在地。攻击目标包括 ONE Albania、Eagle Mobile Albania、Air Albania 和阿尔巴尼亚议会。活动期间部署的两个主要工具包括一个可执行擦除器和一个 PowerShell 脚本,该脚本旨在在启用 Windows 远程管理 ( WinRM ) 后将前者传播到目标网络中的其他计算机。
https://www.clearskysec.com/no-justice-wiper/
4 研究人员披露AsyncRAT恶意软件针对美国基础设施攻击持续11个月
向选定目标传送 AsyncRAT 恶意软件的活动至少在过去 11 个月内一直活跃,使用了数百个独特的加载程序样本和 100 多个域。AsyncRAT 是一款适用于 Windows 的开源远程访问工具 (RAT),自 2019 年起公开发布,具有远程命令执行、键盘记录、数据泄露和删除额外负载的功能。多年来,该工具已被网络攻击者大量使用,无论是原样还是修改后的形式,用于在目标上建立立足点、窃取文件和数据以及部署其他恶意软件。今年 9 月,研究人员团队注意到“针对某些公司的特定个人的网络钓鱼电子邮件激增”并开始调查。这些攻击首先是一封带有 GIF 附件的恶意电子邮件,该附件会生成一个 SVG 文件,该文件会下载经过混淆的 JavaScript 和 PowerShell 脚本。通过一些反沙箱检查后,加载程序与命令和控制 (C2) 服务器进行通信,并确定受害者是否有资格感染 AsyncRAT。
https://cybersecurity.att.com/blogs/labs-research/asyncrat-loader-obfuscation-dgas-decoys-and-govno
5 量子安全算法CRYSTALS-Kyber存在KyberSlash安全缺陷
用于量子安全加密的 Kyber 密钥封装机制的多种实现很容易受到一组统称为 KyberSlash 的漏洞的影响,这些缺陷可能允许恢复秘密密钥。CRYSTALS-Kyber 是量子安全算法 (QSA) 的 Kyber 密钥封装机制 (KEM) 的官方实现,也是 CRYSTALS(代数格密码学套件)算法套件的一部分。它专为通用加密而设计,是美国国家标准与技术研究所 (NIST) 选择旨在抵御量子计算机攻击的算法的一部分。使用 Kyber 实现的一些流行项目包括 Mulvad VPN 和 SignalMessenger。后者去年宣布采用 CRYSTALS-Kyber KEM 作为附加层,攻击者必须破解该层才能计算保护用户通信的密钥。KyberSlash 漏洞是基于时间的攻击,源于 Kyber 在解封装过程中执行某些除法运算的方式,允许攻击者分析执行时间并导出可能危及加密的秘密。
https://github.com/pq-crystals/kyber
6 攻击者利用新型BandookRAT恶意软件发起网络钓鱼攻击
据观察,一种名为Bandook的远程访问木马新变种通过网络钓鱼攻击进行传播,其目的是渗透到 Windows 计算机,这凸显了该恶意软件的不断演变。研究人员于 2023 年 10 月发现了该活动,并表示该恶意软件是通过 PDF 文件分发的,该文件嵌入了受密码保护的 .7z 存档的链接。受害者使用 PDF 文件中的密码提取恶意软件后,恶意软件会将其有效负载注入到 msinfo32.exe 中。Bandook 于 2007 年首次被发现,是一种现成的恶意软件,具有多种功能,可以远程控制受感染的系统。
https://www.fortinet.com/blog/threat-research/bandook-persistent-threat-that-keeps-evolving
页:
[1]