一个俄罗斯黑客组织Romcom利用两个此前未知的漏洞攻击 Windows PC 上的 Firefox 和 Tor 浏览器用户。 防病毒提供商 ESET 将该攻击描述为潜在的“大规模活动”，其目标是欧洲和北美的用户。 俄罗斯黑客通过一个恶意网页传播黑客攻击，这些网页似乎伪装成虚假新闻机构。如果易受攻击的浏览器访问该页面，它可以秘密触发软件漏洞，在受害者的电脑上安装后门。 ESET 警告称，用户无需与该网页进行任何交互。 目前尚不清楚黑客如何传播恶意网页链接。但第一个漏洞（称为CVE-2024-9680）可导致 Firefox 和 Tor 浏览器在正常受限制的进程中运行恶意代码。 黑客利用 Windows 10 和 11 中的第二个漏洞（称为CVE-2024-49039）发动攻击，以便在浏览器之外和操作系统上执行更多恶意代码。秘密下载并安装一个能够监视 PC 的后门，包括收集文件、截屏以及窃取浏览器 cookie 和保存的密码。   Mozilla、Tor 和 Microsoft 都已修补了漏洞。Tor 浏览器基于 Firefox。Mozilla 于 10 月 8 日私下报告了此问题，这两款浏览器都在第二天修补了此漏洞。与此同时，Microsoft于 11 月 12 日修补了另一个漏洞。 如果用户未能及时打补丁，黑客仍可继续利用该攻击。ESET 提供的遥测数据显示，某些国家可能有多达 250 名用户遭遇过该攻击，攻击始于 10 月，甚至可能更早。 ESET将这些攻击与一个名为“RomCom”的俄罗斯黑客组织联系起来，该组织一直专注于网络犯罪和间谍活动。 ESET追踪了该组织一系列的攻击活动： 将两个0day漏洞串联起来，RomCom 便可以利用无需用户交互的漏洞进行攻击。这种复杂程度表明威胁组织有意愿并有手段获得或开发隐身能力。 详细技术报告： https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild/ Mzoilla官方漏洞公告： https://blog.mozilla.org/security/2024/10/11/behind-the-scenes-fixing-an-in-the-wild-firefox-exploit/     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/kutWJlxhfVnDaq3Qtd_QGw 封面来源于网络，如有侵权请联系删除

近日，星巴克的关键供应链管理软件提供商 Blue Yonder 遭遇勒索软件攻击，虽此次事件并未影响客户服务或商店运营，但却迫使星巴克恢复使用手动流程来管理员工日程安排和工资系统。商店经理现在使用笔和纸来跟踪员工的时间，因为攻击扰乱了公司的后端调度和时间管理流程。 这次事件给星巴克的新任首席执行官Brian Niccol带来了额外的挑战，他已经在应对连续三个季度的销售额下降。虽然公司努力解决这种情况，但还应优先考虑维持正常的客户服务运营并确保支付适当的员工薪酬。 在多个行业产生的连锁反应 对于英国零售影响：英国主要连锁超市 Morrisons 和 Sainsbury’s 报告称，尽管他们已经实施了备份系统，但他们的仓库管理系统受到了干扰。 Blue Yonder 回应：Blue Yonder 已招募外部网络安全公司协助恢复工作并实施防御协议。该公司尚未提供恢复服务的具体时间表。“我们正在夜以继日地应对这一事件，并继续取得进展。目前没有关于我们的恢复时间表的其他更新可以分享，“Blue Yonder 在相关报告中写道。 该事件凸显了假日期间供应链系统的脆弱性，Blue Yonder 为广泛的客户群提供服务包括： 前 100 家制造商中的 46 家 100 大消费品制造商中的 64 家 全球 100 大零售商中的 76 家 此次攻击增加了影响主要食品服务公司的越来越多的网络安全事件。不由地让人想起今年早些时候，麦当劳和 Panera 都经历了技术中断，Panera 的事件在员工数据泄露后导致了集体诉讼。 相关研究表明攻击的时机特别重要，86%的勒索软件攻击在节假日或周末以组织为目标。尽管政府努力遏制此类活动，但以2023年为例，网络犯罪分子在全球范围内提取了超11亿美元的勒索赎金。     转自Freebuf，原文链接：https://www.freebuf.com/news/416249.html 封面来源于网络，如有侵权请联系删除

虽然网络安全行业裁员降薪一片哀嚎，但是网络犯罪组织却“求贤若渴”。 根据Cato Networks发布的《2024年第三季度SASE威胁报告》，网络犯罪趋于“专业化”，开始积极招募渗透测试员来优化勒索软件性能。同时，未授权的人工智能（影子AI）的流行正威胁企业数据安全和合规性。 报告总结了2024年网络安全领域的四大新趋势，如下： 1 勒索软件“研发升级”：积极招募渗透测试员 Cato Networks的报告揭示，勒索软件团伙正在积极招募渗透测试员，以测试和提高其勒索软件的可靠性。通过模拟攻击，渗透测试员可以大大提高勒索软件在企业环境中部署的成功率。 “勒索软件是当今网络安全领域最普遍的威胁之一，几乎所有企业和消费者都可能受到影响，”Cato Networks首席安全策略师Etay Maor指出，“我们观察到这些团伙正在努力通过招募渗透测试员来优化他们的攻击手段，为未来的攻击做好准备。” 这一趋势反映出勒索软件正在走向“企业化”和“专业化”，试图通过技术手段提升攻击成功率，这对企业网络安全防御提出了更高的要求。 2 数据隐私的头号威胁：影子AI 所谓影子AI，是指未经IT部门或安全团队批准的AI工具和应用程序在企业内部的私自使用。这种行为通常绕过正式的审查流程，给企业的安全合规性带来隐患。 Cato Networks监控的数百种AI应用中，有10款被企业用户广泛采用（如Bodygram、Craiyon、Otter.ai、Writesonic等）存在数据泄漏风险。报告指出，这些应用最主要的风险在于数据隐私问题。员工通过影子AI工具处理敏感信息，可能无意间导致信息泄露。 “影子AI是2024年浮现的一大安全威胁，”Maor表示，“企业必须警惕未授权AI工具的使用，并教育员工避免无意中暴露敏感数据。” 3 打击隐蔽威胁的关键：TLS流量检视 传输层安全（TLS）流量的加密使得恶意活动更难被检测到，但许多企业由于担心影响正常业务，选择不启用TLS流量的检视或只对部分流量进行检查。据Cato Networks的研究，只有45%的企业启用了TLS检视，其中仅有3%的企业对所有TLS加密会话进行全面检测。 报告显示，在启用TLS检视的企业中，阻止的恶意流量比未启用TLS检视的企业高出52%。此外，企业在TLS流量中成功拦截了60%的已知漏洞利用行为（包括Log4j、SolarWinds和ConnectWise相关的CVE漏洞）。 4 网络犯罪分子的首选策略：品牌滥用 网络犯罪分子也在积极利用知名品牌的影响力实施网络攻击。通过域名抢注（Cybersquatting），他们冒用知名品牌的域名，进行网络钓鱼、传播恶意软件、托管盗版软件，甚至实施欺诈。 攻击者冒充知名品牌不仅能增强攻击的可信度，还能绕过许多传统的安全检测手段，给企业和消费者带来巨大风险。企业需要加强品牌保护策略，同时通过安全教育提高用户对域名和网络钓鱼攻击的警惕性。       转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/_pNLKfPKFQDvWFfUzYePPg 封面来源于网络，如有侵权请联系删除

供应链管理公司 Blue Yonder 警告称，勒索软件攻击对其服务造成了严重破坏，并影响了英国的杂货店连锁店。 Blue Yonder（前身为 JDA Software）是松下的子公司，年收入超过 10 亿美元，全球拥有 6,000 名员工。 该公司为零售商、制造商和物流供应商提供人工智能驱动的供应链解决方案，包括需求预测、库存优化和运输管理。 其 3,000 名客户中包括 DHL、雷诺、拜耳、莫里森、雀巢、3M、特易购、星巴克、Ace Hardware、宝洁、桑斯伯里和 7-Eleven 等知名组织。 勒索软件攻击破坏供应链 周五，该公司警告称，由于前一天（11 月 21 日）发生的勒索软件事件，其托管服务托管环境正在遭遇中断。 公告中写道：“2024 年 11 月 21 日，Blue Yonder 的托管服务托管环境出现中断，经确定是勒索软件事件导致的。” “自从得知这一事件以来，Blue Yonder 团队一直在与外部网络安全公司密切合作，以在恢复过程中取得进展。我们已经实施了多项防御和取证。” lue Yonder 声称在其公共云环境中未检测到任何可疑活动，并且仍在处理多种恢复策略。 托管服务环境是指 Blue Yonder 代表其客户运营的基础设施和系统，通常包括 SaaS 平台和用于供应链运营的云托管解决方案。 正如预期的那样，这直接影响到了客户，英国连锁杂货店 Morrisons 的一位发言人向媒体证实，他们已经恢复了较慢的备份流程。 Sainsbury 告诉 CNN，他们已经制定了应急计划来克服这一中断。 周六的更新通知客户，受影响的服务仍在继续恢复，但目前还不能透露全面恢复的具体时间表。 周日发布的另一条更新消息重申了同样的观点，敦促客户在未来几天内关注 Blue Yonder 网站上的客户更新页面。 截至发稿时，该公司尚未发布有关情况的最新消息，因此推测托管服务环境仍然受到影响。 尚未看到任何勒索软件团伙宣布对 Blue Yonder 攻击事件负责。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/wfhGm_pYJ1EjyddcmPJAiA 封面来源于网络，如有侵权请联系删除

臭名昭著的朝鲜网络间谍组织 “拉扎罗斯集团”（Lazarus Group）的武器库中又多了一项隐蔽技术：在基于 Unix 的系统（如 macOS 和 Linux）中滥用 xattr（即扩展文件属性）。根据安全研究员 Tonmoy Jitu 的分析，这种被称为 RustyAttr 的方法利用 macOS 元数据隐藏恶意有效载荷，躲避传统检测工具和杀毒软件的攻击。 xattr 命令通常用于存储 Finder 标记或隔离标志等元数据，它还可以在不改变文件可见内容的情况下将二进制数据嵌入文件。虽然对合法目的有用，但它也为攻击者提供了隐藏恶意脚本的途径。正如 Jitu 解释的那样： “xattr 与 Windows 备用数据流（ADS）非常相似，它提供了一种在不改变文件可见内容的情况下将元数据嵌入文件的机制。” 据报道，由 Lazarus Group 开发的 RustyAttr 木马利用这种元数据在被入侵系统中持续存在。由于嵌入了扩展属性，它的恶意有效载荷可以绕过 macOS Gatekeeper 等传统文件扫描工具。Jitu 的分析强调了该木马的能力： “RustyAttr木马能够绕过文件系统的传统监控工具，直接从扩展属性中获取并执行恶意脚本。” Jitu 对恶意文件 DD Form Questionnaire.zip 的调查揭示了 RustyAttr 的感染链。该木马隐藏在与应用程序文件（如 .app 捆绑程序）链接的元数据中。一个突出的发现是测试属性，它包含一个恶意 shell 命令，用于下载和执行其他有效载荷。 该过程包括： 在元数据中嵌入命令： 恶意 shell 命令存储在 com.example.hidden_data 等属性中。 执行隐藏有效载荷： 这些命令会下载诱饵文件（如 PDF），并通过 AppleScript 执行 shell 脚本。该命令将 PDF 文件下载到特定位置……然后从 URL 获取 shell 脚本并通过 AppleScript 执行。 通过泄漏的证书持久化： 该木马最初使用泄露的证书签名，可绕过安全检查，直到证书被吊销。 与 RustyAttr 相关联的恶意基础架构进一步将其与 Lazarus Group 联系起来。Jitu 指出 “恶意 curl 命令中使用的域被标记为恶意域……与已知威胁行为者基础设施相关的 IP 地址相连。” 此外，该组织还采用了社会工程学策略，将 RustyAttr 伪装成合法的 PDF 文件或系统实用程序，诱骗用户执行。 尽管功能强大，但 RustyAttr 的技术仍未列入 MITRE ATT&CK Framework，这让防御者对这种微妙的攻击毫无准备。吉图强调了其中的风险： “通过将关键数据和有效载荷隐藏在文件元数据中，RustyAttr 可以躲避检测……允许攻击者长时间保持对被入侵系统的控制。”       转自安全客，原文链接：https://www.anquanke.com/post/id/302179 封面来源于网络，如有侵权请联系删除

Python 软件包索引（PyPI）软件仓库的管理员已经隔离了 “aiocpa ”软件包，因为该软件包在新的更新中包含了通过 Telegram 外泄私钥的恶意代码。 该软件包被描述为同步和异步 Crypto Pay API 客户端。该软件包最初于 2024 年 9 月发布，迄今已被下载 12100 次。 将 Python 库隔离后，客户端就无法继续安装，其维护者也无法对其进行修改。 网络安全机构Phylum上周分享了软件供应链攻击的细节，该机构称，软件包的作者在PyPI上发布了恶意更新，同时在GitHub的库中保持清洁，试图逃避检测。 目前还不清楚最初的开发者是恶意更新的幕后黑手，还是他们的证书被其他威胁行为者泄露。 恶意活动的迹象首次出现在 0.1.13 版本的库中，其中包括对 Python 脚本 “sync.py ”的修改，该脚本的目的是在安装软件包后立即解码并运行一段混淆代码。 Phylum说：“这个特殊的blob被递归编码并压缩了50次，”Phylum补充说，它被用来使用Telegram机器人捕获并传输受害者的Crypto Pay API令牌。 值得注意的是，Crypto Pay 被宣传为基于 Crypto Bot（@CryptoBot）的支付系统，允许用户接受加密货币支付，并使用 API 向用户转账。 这一事件意义重大，尤其是因为它凸显了在下载软件包之前扫描其源代码的重要性，而不仅仅是检查其相关的软件仓库。 “正如这里所证明的那样，攻击者可以在向生态系统分发恶意软件包的同时，故意维护干净的源代码库，”该公司表示，并补充说，“这次攻击提醒我们，软件包之前的安全记录并不能保证其持续的安全性。” 软件包 aiocpa 已正式从 PyPI 软件源中删除。     转自安全客，原文链接：https://www.anquanke.com/post/id/302189 封面来源于网络，如有侵权请联系删除

威胁组织利用过时的 Avast Anti-Rootkit 驱动程序来逃避检测、禁用安全工具并破坏目标系统。 Trellix 研究人员发现了一个恶意软件活动，该活动滥用易受攻击的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys) 来获取对目标系统的更深入访问权限、禁用安全解决方案并获得系统控制权。 这种策略会破坏受信任的内核模式驱动程序，将其转变为终止保护进程和破坏受感染系统的工具。 威胁组织针对多种安全产品，包括 Avast、ESET、McAfee、Microsoft Defender、SentinelOne、Sophos 和 Trend Micro。 Trellix 发布的报告指出：“恶意软件 (kill-floor.exe) 的感染链始于释放合法的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys)。 恶意软件将合法的内核驱动程序作为‘ntfs.bin’释放到‘ C:\Users\Default\AppData\Local\Microsoft\Windows ’目录中。” “一旦合法的内核驱动程序被删除，恶意软件就会使用服务控制 (sc.exe) 创建服务“aswArPot.sys”，该服务会注册驱动程序以执行进一步的操作。安装并运行驱动程序后，恶意软件将获得内核级系统访问权限，从而能够终止关键安全进程并控制系统。” Avast Anti-Rootkit 驱动程序 aswArPot.sys 在内核级别运行，允许恶意软件获得对操作系统的不受限制的访问权限。 该恶意软件包含与各个供应商的产品相关的 142 个硬编码安全进程名称列表。 安全专家建议组织实施 BYOVD （自带易受攻击的驱动程序）保护，以保护系统免受使用易受攻击的驱动程序的攻击。 这些攻击利用合法但有缺陷的驱动程序来获得内核级访问权限，从而绕过安全性。部署专家规则以根据其独特签名或哈希值检测和阻止此类驱动程序至关重要。       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/eWCIXhbkY91DxibBwbauXQ 封面来源于网络，如有侵权请联系删除

昨天（11月25日），微软的多项核心服务（包括 365、Exchange Online、Teams 和 Outlook）再次遭遇全球性的大规模中断，用户随后在社交媒体上报告了一系列问题，如无法发送邮件、网站崩溃及出现错误页面。在事故发生的6小时内，Downdetector已经收到了数千份报告，受影响的用户表示他们还遇到了连接其他服务的问题，包括OneDrive、Purview、Copilot以及Outlook Web和Desktop。 微软承认确实存在该问题，并在 X 平台发布声明称，正在回滚相关变更并调查其他可能的缓解措施。微软同时指出，部分用户在访问 Exchange Online 和 Microsoft Teams 日历功能时遇到障碍，并已在状态页面上列出受影响的服务和使用场景。 这不禁让很多用户再次回忆起“微软全球蓝屏”事件，虽然此次服务中断事件影响远小于“蓝屏事件”，但涉及的服务依然对用户的日常工作和通信产生重大干扰。微软表示，将继续努力解决问题，并确保服务尽快恢复正常。 微软表示，“虽然我们继续努力缓解问题，但已经在更多信息部分添加了受影响的服务和场景的综合列表。” 在管理中心的事件报告中，微软确认该中断阻止客户通过网页版Outlook、Outlook桌面客户端、具象状态传输（REST）和Exchange ActiveSync（EAS）访问Exchange Online。该公司还表示，一些客户可能在Microsoft Fabric、Microsoft Bookings和Microsoft Defender for Office 365中执行操作时遇到问题。 虽然Remond只分享了中断是由“最近的更改”引起的，但微软在故障11个小时后，选择在受影响的基础设施上部署了修复程序，重新启动了受影响的系统。 微软称，“我们已经开始部署修复程序，目前正在受影响的环境中推进。在此过程中，我们开始对一部分处于不健康状态的机器进行手动重启。我们正在监控修复程序的进展，该修复程序已部署到大约60%的受影响环境中。我们正在继续对剩余受影响的机器进行手动重启。” 截止到25日12点33分（ EST ），根据微软的说法，部署的修复程序尚未导致完全的服务恢复。“修复程序已部署90%，根据遥测数据，服务可用性正在恢复。完成修复的预计时间尚不清楚。正在进行目标服务器重启，以解决路由服务问题，优先考虑当前处于工作时间或开始工作日的客户。 ” 18点25分（ EST ），微软分享了此次事件的更多信息，称事故是由“一个导致通过服务器路由的重试请求数量激增的更改引起的，影响了服务可用性。我们的团队正在积极执行后续行动，并将根据需要启动额外的工作流，以完全解决问题。感谢您的耐心，我们将努力恢复全部功能。 ”     转自Freebuf，原文链接：https://www.freebuf.com/news/416161.html 封面来源于网络，如有侵权请联系删除

网络安全市场中的AI价值正在经历前所未有的增长。根据Allied的一份市场研究报告，2022年市场价值为192亿美元，预计到 2032 年将达到惊人的1548 亿美元，复合年增长率（ CAGR ）为23.6%。 人工智能（AI）正在改变网络安全，使企业能够更有效地检测、应对和减轻威胁。网络安全中的人工智能结合了机器学习（ML）和深度学习等先进技术，以提供实时的威胁检测、数据保护和系统监控。人工智能处理和分析大量数据的能力使其能够快速识别可能潜在的安全漏洞。随着网络攻击的复杂性和频率继续上升，人工智能已成为各大企业的关键工具。 推动AI 在网安市场中增长的因素 在金融、医疗等领域，人工智能的能力延伸到了分析用户行为和交易数据，以识别欺诈活动。金融机构正在利用人工智能实时检测欺诈行为，为组织及其客户提供更好的保护。医疗行业也正在采用人工智能来保护患者数据，确保患者的隐私性。 几个因素正在推动人工智能在网络安全市场中的加速增长。 网络攻击的数量和复杂性的增加是最重要的驱动因素之一。网络罪犯越来越频繁破坏系统，针对包括银行、医疗和政府在内的各个部门组织，迫切需要更有效和先进的网络安全解决方案。网络安全中的AI可以减少响应安全事件所需的时间，提高安全团队的工作效率。 此外，对物联网IoT和云技术的日益依赖为网络犯罪分子利用漏洞创造了新的机会。物联网设备产生的数据量不断增加，以及正在向云基础架构转移，为网络安全解决方案带来了挑战和机遇。人工智能在保护这些新技术方面别有成效，为企业提供了跨多个平台保护数据的能力。 AI在网络安全领域的全球性影响 网络安全市场的人工智能分为各种安全类型，包括网络安全、端点安全、应用安全和云安全。以2022年为例，网络安全部门占据了市场主导地位，占全球收入的近40%。 由于企业优先保护其网络免受外部和内部威胁，预计这一细分市场将继续处于领先地位。机器学习是人工智能的一个关键组成部分，它通过不断分析数据来识别恶意软件和检测内部风险，特别是在加密通信中。与此同时，云安全部门预计将经历更高增长，2023年至2032年的复合年增长率为27.4%。由于对可扩展性和灵活性的需要，对基于云的运营的日益转变预计将推动这一需求。 全球网络安全领域的人工智能市场在多个地区都在增长， 北美在2022年的市场份额最大。美国尤其关注网络安全，政府倡议如网络安全和基础设施安全局（CISA）推动加强数字安全措施。金融和医疗行业是该地区增长的主要驱动力，人工智能技术越来越多地用于检测和预防网络威胁。欧洲也是 AI 网络安全市场的重要参与者，特别是由于其严格的数据隐私法规，如通用数据与法规（ GDPR ）。而德国、英国和法国这样的国家同样处于人工智能应用的领先地位，公共和私营部门都优先考虑先进的安全解决方案。欧盟的《网络安全法》进一步推动了对于人工智能网络安全解决方案的需求，特别是对于实时威胁检测的需求。 在预测期内，亚太地区预计将成为增长最快的地区。中国、日本和印度等国家网络攻击的激增促使对基于人工智能的安全解决方案的投资增加。此外，5G网络的快速扩张和数字转型推动了对于由人工智能驱动的网络安全工具的需求，大大保护了关键基础设施。 面临的市场挑战与未来展望 虽然人工智能在网络安全市场的增长前景强劲，但存在可能阻碍其扩张的挑战。一个显著的障碍是基于人工智能的网络安全解决方案的高实施成本。特别是中小型企业，可能会发现难以投资于此类技术。此外，还缺少能够部署和管理这些先进系统的网络安全专业人员。 尽管存在这些挑战，网安市场前景仍然乐观。 网络攻击频率增加、监管要求日益严格以及数字化转型的持续推动预计将推动对人工智能网络安全解决方案的需求。人工智能技术的创新，如自然语言处理（NLP）和深度学习的集成，可能会提高网络安全系统的效率，从而进一步加速市场增长。       转自Freebuf，原文链接：https://www.freebuf.com/news/416163.html 封面来源于网络，如有侵权请联系删除

近年来，与朝鲜黑客有关的网络犯罪活动不断升级，其独创的“IT就业计划”成为国际社会关注的焦点。 根据网络安全公司SentinelOne和Palo Alto Networks Unit 42的研究，朝鲜黑客利用虚假身份和前线（空壳）公司，大规模渗透全球技术行业以获取资金，支持朝鲜的武器研发及核导弹项目。这种活动不仅涉及伪造身份获取工作，还通过复杂的技术攻击扩大其威胁范围。 朝鲜“IT就业计划”的全貌 朝鲜黑客组织通过全球范围的“笔记本农场”（由目标企业所在国家的公民运营的远程办公环境）计划，组织大量IT人员以个体身份或通过伪装的公司获取技术行业的远程办公就业机会。这些人员通过在线支付平台或第三国银行账户，将绝大部分收入返回朝鲜，为其核武器和导弹项目提供资金支持。其主要运作模式如下： 1.虚假前线公司：朝鲜黑客利用俄罗斯、东南亚等地的公司掩盖其身份，伪装成“外包开发”或“技术咨询”公司。 2.伪造网站：研究发现，这些前线公司的网站通常直接复制合法公司的内容和设计。 Independent Lab LLC仿制美国公司Kitrum Shenyang Tonywang Technology LTD仿制Urolime Tony WKJ LLC仿制印度的ArohaTech IT Services HopanaTech仿制ITechArt 这些前线公司通过知名域名注册商NameCheap注册，并冒充技术服务商获取合同。（这些虚假网站已在2024年10月被美国政府查封） 渗透美国企业的案例 打入KnowBe4 朝鲜黑客出海最知名的案例莫过于成功打入了知名美国网络安全公司KnowBe4。朝鲜黑客利用“笔记本农场”计划成功通过了KnowBe4的多轮面试。此类出海黑客不仅通过伪造的身份获取该公司的外包工作，还窃取了内部凭证以申请更多高价值职位。这也标志着朝鲜威胁组织的战略转变：从单纯的收入获取，逐步转向更具破坏性的内鬼威胁和恶意软件攻击。 Wagemole计划与Contagious Interview Unit 42的报告显示，朝鲜的一组活动集群（代号CL-STA-0237）结合钓鱼攻击和恶意视频会议应用程序传播BeaverTail恶意软件。这一行为表明，朝鲜威胁组织正在将伪装的IT工作者转变为更激进的攻击角色，其主要攻击方式如下： 攻击路径：通过冒充IT公司发送求职邮件，使用被感染的面试工具部署恶意软件。 混入企业：研究发现，该集群通过伪装成为一家美国中小型IT服务公司的员工，进而成功申请大型技术企业的职位，扩大其影响力。 朝鲜“黑客出海”攻击特点 Sentinal在报告中指出，朝鲜的这一战略不仅为其武器研发项目提供了稳定的资金来源，还对全球网络安全构成重大威胁。以下是朝鲜网络攻击行为的几大特点： 1高度组织化 伪造身份：通过制作虚假的护照和学历证明，伪装成受过高等教育的IT专业人士。 利用全球化漏洞：从中国到东南亚，这些黑客通过复杂的前线网络隐藏其实际来源。 2逐步扩展的攻击目标 初期目标：以低门槛的外包工作获取收入。 扩展目标：通过窃取内部凭证，参与数据窃取、恶意软件分发和供应链攻击。 3协同发展 跨国合作：利用他国公司掩护，规避国际制裁。 与其他威胁集群联动：如Contagious Interview集群，扩展了传统钓鱼攻击的深度。 如何防御“黑客出海”？ 鉴于黑客出海务工行为的复杂性和隐蔽性，企业需加强以下防御措施： 1严格的身份验证 在招聘流程中对候选人的背景和身份进行更严格的审查，验证其身份真实性。 引入先进的自动化工具以交叉检查简历信息的可信度。 2强化供应链安全 对所有外包合作伙伴进行风险评估，确保其合规性。 监控供应链中的异常行为，避免被恶意行为者利用。 3多层次威胁检测 实施先进的威胁情报系统，实时检测可疑的网络活动。 对内部凭证和访问权限进行定期审查，防止被滥用。 4提高员工意识 针对潜在钓鱼攻击和伪造身份行为，对员工开展培训。 定期更新安全策略，以应对不断变化的威胁。 总结：“黑客出海”不是朝鲜的专利 通过“笔记本农场”计划，朝鲜黑客组织将网络攻击与经济渗透相结合，展现出高度的适应性和创新性。从冒充IT工作者到恶意软件攻击，其目标从简单的资金获取扩大到企业供应链安全和国家基础设施。 最后，“黑客出海”的威胁绝不仅仅是朝鲜的“专利”，任何黑客组织都可能模仿朝鲜黑客渗透对手国家的重要企业和项目，企业和政府需要重视并加强对该威胁的防御措施。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/6UuOfmnkt3mX6sgNJtr9RA 封面来源于网络，如有侵权请联系删除