每日安全简讯(20230525)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 针对中东和南亚政府的新APT组织GoldenJackal

根据卡巴斯基的报告，一个名为GoldenJackal的APT团伙正以中东和南亚的政府、外交等实体组织为目标，开展大规模网络攻击活动。该团伙自2020年中期以来就被卡巴斯基持续监测，其具有较高的能力和隐蔽性。该团伙的攻击范围主要集中在阿富汗、阿塞拜疆、伊朗、伊拉克、巴基斯坦和土耳其，使用定制的恶意软件窃取数据、通过可移动驱动器在系统间传播和进行监控。GoldenJackal疑似活跃了至少四年，但其起源或与已知威胁行为者的关联尚不清楚，但其作案手法表明其具有间谍动机。此外，该威胁行为者试图保持低调并消失在阴影中，这也是国家支持的黑客组织的特征之一。值得注意的是，该威胁行为者与俄罗斯的精英国家黑客组织Turla在某些战术上有所重叠。

https://thehackernews.com/2023/05/goldenjackal-new-threat-group-targeting.html

---

2 Kimsuky组织再次使用高级侦察恶意软件

据报道，朝鲜的APT组织Kimsuky最近被发现使用一款名为RandomQuery的定制恶意软件，作为一项侦察和信息窃取行动的一部分。“最近，Kimsuky一直在持续地分发定制恶意软件，作为侦察活动的一部分，以便进行后续攻击”。据网络安全公司表示，这场正在进行的定向攻击主要针对信息服务以及支持人权活动家和北韩叛逃者的组织。Kimsuky自2012年以来一直活跃，其目标模式与北韩的运营指令和优先事项相一致。其情报收集任务涉及了多种恶意软件的使用，包括另一种侦察程序ReconShark。该团伙最新的活动集于2023年5月5日开始，并利用了一个专门设计用于枚举文件和窃取敏感数据的RandomQuery变体。RandomQuery与FlowerPower和AppleSeed一起，是Kimsuky武器库中最常分发的工具之一，前者既是一个信息窃取者，也是一个用于分发远程访问木马(如TutRAT和xRAT)的渠道。这些攻击以钓鱼邮件开始，这些邮件声称来自Daily NK，这是一个总部位于首尔、涵盖北韩事务的知名在线出版物，以诱使潜在目标打开一个Microsoft Compiled HTML Help(CHM)文件。

https://thehackernews.com/2023/05/north-korean-kimsuky-hackers-strike.html

---

3 针对中东的多阶段攻击恶意软件WinTapix.sys

据报道，一名未知的威胁行为者自2020年5月以来一直在利用一个恶意的Windows内核驱动程序，针对中东地区发起攻击。研究人员将这个恶意软件命名为WINTAPIX(WinTapix.sys)，并将其归因于一个伊朗威胁行为者。WinTapix.sys本质上是一个加载器，因此，它的主要目的是产生并执行攻击的下一阶段。这是通过使用一个shellcode来完成的。根据分析的样本和遥测数据显示，该活动的主要关注点是沙特阿拉伯、约旦、卡塔尔和阿联酋。该活动尚未与已知的威胁行为者或团伙联系起来。通过使用恶意内核模式驱动程序，其想法是绕过或禁用安全机制，并获得对目标主机的深入访问。这样的驱动程序在内核内存中运行，因此可以执行任何操作，包括修改关键的安全机制和以最高权限运行任意代码。

https://thehackernews.com/2023/05/new-wintapixsys-malware-engages-in.html

---

4 BlackCat勒索软件利用恶意Windows内核驱动绕过安全软件

BlackCat(又称ALPHV)勒索软件团伙在攻击中使用了经过签名的恶意Windows内核驱动，以绕过安全软件的检测。这个驱动是去年微软、Mandiant、Sophos和SentinelOne在勒索软件攻击中发现的恶意软件“POORTRY”的改进版本。POORTRY恶意软件是一个Windows内核驱动程序，使用属于Microsoft Windows硬件开发人员计划中合法帐户的被盗密钥进行签名。这个恶意驱动被UNC3944黑客组织(又称0ktapus或Scattered Spider)用来终止Windows设备上运行的安全软件进程，以避免被发现。由于安全软件通常受到保护，不容易被终止或篡改，但Windows内核驱动在操作系统中具有最高的权限，可以用来终止几乎任何进程。研究人员表示，勒索软件攻击者曾试图使用微软签名的POORTRY驱动，但由于它受到了公众的关注，并且代码签名密钥被吊销，所以它的检测率很高。因此，攻击者部署了一个更新版本的POORTRY内核驱动，使用一个被盗或泄露的交叉签名证书进行签名。

https://www.bleepingcomputer.com/news/security/malicious-windows-kernel-drivers-used-in-blackcat-ransomware-attacks/

---

5 新的勒索软件浪潮席卷200多家企业

自2023年5月以来，一波新的勒索软件攻击已经影响了200多家企业，其中包括Rhysida、8Base和MalasLocker等新的勒索软件家族。这些勒索软件利用了多种传播方式，如钓鱼邮件、RDP漏洞、WebShell和恶意软件下载器等，以便感染目标系统，并使用双重勒索策略来威胁受害者。这种策略不仅加密受害者的数据，还威胁要在其泄露网站上公开被盗的数据，迫使受害者支付赎金。新勒索软件变种的迅速出现和新勒索软件集团的形成凸显了这些犯罪活动的可扩展性和盈利能力。随着犯罪分子不断改进他们的技术并利用漏洞，他们找到了最大化经济收益的新方法。研究人员对这些勒索软件进行了详细的技术分析，并提供了一些防御建议。

https://blog.cyble.com/2023/05/23/new-ransomware-wave-engulfs-over-200-corporate-victims/

---

6 Rheinmetall遭遇Black Basta勒索软件攻击

据报道，德国军工巨头Rheinmetall AG最近遭遇了Black Basta勒索软件攻击，导致其部分业务受到影响。该公司在其官方网站上发布了一份声明，称其位于巴西、墨西哥和美国的子公司受到了网络攻击，导致其IT系统部分或全部停止运行。该公司表示，目前正在与当地网络安全局合作，以尽快恢复正常运营，并评估攻击造成的损失。该公司没有透露攻击者的身份或赎金要求。Black Basta是一个勒索软件即服务(RaaS)，于2022年4月首次出现。该勒索软件使用双重勒索策略，即不仅加密受害者的数据，还威胁要在其暗网泄露网站上公开被盗的数据。该勒索软件是用C++编写的，可以影响Windows和Linux操作系统。它使用ChaCha20和RSA-4096组合加密算法来加密文件，并将文件扩展名更改为“.basta”。该勒索软件在每个加密的文件夹中放置一个名为“HOW_TO_DECRYPT.txt”的赎金说明文件，并指示受害者访问一个Tor网站来支付赎金。

https://securityaffairs.com/146571/cyber-crime/rheinmetall-black-basta-ransomware-attack.html

---