每日安全简讯(20240319)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT28针对多地区开展广泛网络钓鱼攻击

根据研究人员发布的最新报告，与俄罗斯有关联的网络威胁行为者APT28，被发现正在进行多起精心策划的网络钓鱼攻击。这次攻击针对的是欧洲、南高加索地区、中亚以及北美和南美的政府及非政府组织(NGOs)。APT28利用看似官方的诱饵文档进行欺骗，这些文档既包括内部文件也包括公开可获得的文档，涵盖了金融、重要基础设施、行政会议、网络安全、海洋安全、卫生保健、商务和国防产业等多个领域。研究人员观察到的最新活动是在2023年11月末至2024年2月间，APT28利用Microsoft Windows的"search-ms:" URI协议处理器欺骗受害者下载恶意软件，这些软件托管在行为者控制的WebDAV服务器上。还有迹象显示，这些WebDAV服务器以及MASEPIE的C2服务器可能托管在遭到破坏的Ubiquiti路由器上。美国政府上月关闭了包含这些路由器的僵尸网络。APT28通过伪装成来自阿根廷、乌克兰、格鲁吉亚、白俄罗斯、哈萨克斯坦、波兰、亚美尼亚、阿塞拜疆和美国等国家的实体，使用一系列真实的公共政府和非政府诱饵文档，启动感染链。APT28的这些复杂策略最终导致执行了MASEPIE、OCEANMAP和STEELHOOK等后门程序，这些程序设计用于窃取文件、执行任意命令以及窃取浏览器数据。OCEANMAP被视为CredoMap后门的升级版，CredoMap是APT28之前使用的一个后门程序。研究人员总结说，APT28具备适应不断变化的环境及机会的能力，他们不仅提供新的感染方法，还利用商业化基础设施服务，并不断提升恶意软件的能力。

https://securityintelligence.com/x-force/itg05-leverages-malware-arsenal/

---

2 朝鲜APT组织利用Tornado Cash洗钱2300万美元

据研究人员报道，与朝鲜有关的网络黑客组织Lazarus再次恢复使用加密货币混合器平台Tornado Cash洗钱2300万美元。2023年11月发生的HTX交易所1125万美元的盗窃案被追踪到Lazarus APT组织，如今，Elliptic通报称Lazarus组织通过Tornado Cash清洗了来自该次攻击的逾2300万美元资金。2022年8月，美国财政部外国资产控制办公室(OFAC)因北朝鲜相关的Lazarus APT组织使用而对Tornado Cash实施了制裁。混合器是网络犯罪分子们重要的洗钱工具，此前已经被用来洗掘受害者资金。OFAC宣布制裁时，Tornado Cash自2019年以来用于洗钱的虚拟货币价值超过70亿美元。Lazarus APT组织通过Tornado Cash洗掘了至今为止已知的最大规模虚拟货币盗窃案中超过4.55亿美元的资金。此外，Tornado Cash还用于清洗2022年6月24日Harmony Bridge盗窃案中9600万美元的资金，以及Nomad加密货币盗窃案中至少780万美元的资金，即便如此，Tornado Cash依然没有中断其操作。作为对制裁的回应，Lazarus转而使用混合器Sinbad.io，但该服务于2023年11月被美国当局查封。研究人员指出，这些混合器通过去中心化区块链上的智能合约运行，使其免受查封和关闭的影响，如中心化混合器Sinbad.io那样被关闭。

https://www.elliptic.co/blog/north-korean-hackers-return-to-tornado-cash-despite-sanctions

---

3 英国国防大臣专机在波兰遭电子战攻击

英国国防大臣格兰特·沙普斯的RAF Dassault Falcon 900喷气式飞机最近在飞往英国途中，据称遭到了俄罗斯黑客发起的电子战攻击，导致飞机的全球定位系统(GPS)和通信设备短暂失效。沙普斯此行前往波兰访问英国在"坚定捍卫者"军事演习中的军队，并确认了英国对乌克兰的全力支持。《太阳报》的国防编辑在起飞时搭乘了RAF Dassault Falcon 900喷气式飞机，并报告说飞机在靠近俄罗斯飞地加里宁格勒的区域附近时，GPS和通信被干扰大约30分钟。如果确认是电子战攻击导致了这次事故，但并未影响飞机的安全。英国官员表示，沙普斯的飞机并非外科手术式袭击的目标，而是受到了大规模俄罗斯对卫星通讯和信号的干扰，这可能影响所有飞机和GPS设备。

https://www.thesun.co.uk/news/26691317/russia-putin-grant-shapps-plane-hacked-gps-communications-ww3/

---

4 新声学攻击可凭打字模式识别键盘输入

最新研究展示了一种新型声学旁道攻击方法，即使在噪音环境下，也能根据键盘打字模式推断用户输入。该方法的平均成功率虽然只有43%，低于过去提出的其他方法，但它不需要受控的录音条件或特定的打字平台。这一技术更适用于现实攻击，在特定的目标相关参数下，通过收集后的分析产生足够可靠的数据，以解密目标的整体输入。美国奥古斯塔大学的研究人员公布了他们独特的声学旁道方法的技术细节。这种攻击利用通过专用软件捕捉的不同按键的特有声音排放和用户的打字模式来收集数据集。收集目标的一些打字样本至关重要，以便将特定的按键和单词与声波联系起来。虽然论文并未详述捕获文本的可能方法，但它可能是通过恶意软件、恶意网站或浏览器扩展、受损的应用程序、跨站脚本攻击或被篡改的USB键盘获取的。目标的打字可能通过在他们附近隐藏的麦克风记录，或使用周围被篡改的设备远程记录，例如智能手机、笔记本电脑或智能扬声器。捕获的数据集包括在不同条件下的打字样本，因此必须记录多个打字会话，这对攻击的成功至关重要。

https://arxiv.org/pdf/2403.08740.pdf

---

5 阿拉巴马州政府网络受DDoS攻击

阿拉巴马州多家政府机构的网站遭受了网络攻击，导致间歇性“中断”。据了解，受攻击影响范围最初相当广泛，随着与服务提供商的合作抵御服务拒绝攻击，这些影响在一天之内有所减轻。据透露，尽管网络攻击没有导致政府网络或数据被窃，攻击始于周二下午。这一事件为例，说明了黑客即使在世界的另一方，也可以利用基本的技术手段迅速迫使美国州和地方官员采取防御措施，保护他们的计算机系统。同时，阿拉巴马州最大的城市之一伯明翰也在处理一个看似独立的计算机网络问题，这已导致服务问题持续数日。伯明翰市在3月6日的声明中表示，“市政府的计算机网络中断”影响了涉及许可证、税务和许可的交易。一周后，市政府未公开更新任何进展。伯明翰市公共信息办公室周三没有回应多次评论请求。自称为“匿名苏丹”的模糊团体在他们的Telegram社交媒体频道上声称对阿拉巴马州政府网站的DDoS攻击负责。该团体去年出现，自称是众多以政治原因针对组织的“骇客行动主义”团体之一。

https://edition.cnn.com/2024/03/13/tech/alabama-cyber-incidents-hnk-intl/index.html

---

6 AT&T否认泄露的7000万用户数据来自其系统

AT&T公司近日表示，在一家网络犯罪论坛上被黑客泄露并宣称来自2021年对公司系统的攻击的大量数据，并非来自其系统。该数据涉及7100万人。这些数据涉及到声称是2021年攻击AT&T数据泄露案的一部分，由一个名为ShinyHunters的威胁行为者尝试在数据盗窃论坛上以20万美元的起始价格和3万美元的增量报价出售。该黑客表示他们愿意立即以100万美元出售。如今，另一名威胁行为者MajorNelson在黑客论坛上免费泄露了这些所谓的2021年数据泄露信息，声称这是ShinyHunters在2021年试图出售的数据。这些数据包括姓名、地址、移动电话号码、加密的出生日期、加密的社会安全号码以及其他内部信息。然而，威胁行为者解密了出生日期和社会安全号码，并将它们添加到泄漏中的另一个文件中，使这些信息也变得可获取。研究人员审查了这些数据，虽然不能确认全部7300万条数据都是准确的，但确认了其中一些包含正确信息的数据，包括社会安全号码、地址、出生日期和电话号码。

https://www.bleepingcomputer.com/news/security/att-says-leaked-data-of-70-million-people-is-not-from-its-systems/

---