趋势科技在一篇分析报告中表示： “Earth Minotaur 使用 MOONSHINE 将 DarkNimbus 后门传送到 Android 和 Windows 设备，使其成为跨平台威胁。” “MOONSHINE 利用基于 Chromium 的浏览器和应用程序中的多个已知漏洞，要求用户定期更新软件以防止攻击。” Earth Minotaur 攻击的目标分布在澳大利亚、比利时、加拿大、法国、德国、印度、意大利、日本、尼泊尔、荷兰、挪威、俄罗斯、西班牙、瑞士、土耳其和美国。 MOONSHINE于 2019 年 9 月首次曝光，公民实验室将其使用归咎于其追踪的名为POISON CARP 的运营商，该运营商与威胁组织Earth Empusa 和 Evil Eye有重叠。 这是一种基于 Android 的漏洞利用工具包，已知利用各种 Chrome 浏览器漏洞来部署有效载荷，从而窃取受感染设备的敏感数据。 具体来说，包含针对各种应用程序的代码，例如 Google Chrome、Naver 以及嵌入应用内浏览器的即时通讯应用程序（例如 LINE、QQ、微信和 Zalo）。 根据趋势科技的说法，Earth Minotaur 与 Earth Empusa 没有直接联系。威胁组织使用升级版的 MOONSHINE 渗透受害者设备，随后用 DarkNimbus 感染它们。 新变种增加了漏洞库CVE-2020-6418，这是 V8 JavaScript 引擎中的类型混淆漏洞，在有报道称该漏洞已被用作0day漏洞武器后，谷歌于 2020 年 2 月对其进行了修补。 Earth Minotaur的攻击链 研究人员表示：“Earth Minotaur 通过即时通讯应用发送精心设计的消息，诱使受害者点击嵌入的恶意链接。他们在聊天中伪装成不同的角色，以提高社交工程攻击的成功率。” 这些虚假链接指向至少 55 个 MOONSHINE 漏洞工具包服务器之一，这些服务器负责在目标设备上安装 DarkNimbus 后门。 为了巧妙欺骗，这些 URL 伪装成看似无害的链接。 趋势科技表示：“当受害者点击攻击链接并被重定向到漏洞攻击包服务器时，它会根据嵌入的设置做出反应。攻击结束后，服务器会将受害者重定向到伪装的合法链接，以防止受害者注意到任何异常活动。” MOONSHINE 漏洞利用工具包的验证流程 当基于 Chromium 的浏览器不易受到 MOONSHINE 支持的任何漏洞攻击时，该工具包服务器被配置为返回一个钓鱼页面，警告用户应用内浏览器（名为XWalk的 Android WebView 的定制版本）已过期，需要点击提供的下载链接进行更新。 这会导致浏览器引擎降级攻击，从而允许威胁组织利用未修补的安全漏洞来利用 MOONSHINE 框架。 成功的攻击会导致 XWalk 的木马版本植入 Android 设备并取代应用程序中的合法版本，最终为 DarkNimbus 的执行铺平道路。 该后门据信自 2018 年以来就已开发并积极更新，它使用 XMPP 协议与攻击者控制的服务器进行通信，并支持详尽的命令列表来获取有价值的信息，包括设备元数据、屏幕截图、浏览器书签、电话通话记录、联系人、短信、地理位置、文件、剪贴板内容和已安装应用程序的列表。 它还能够执行 shell 命令、录制电话、拍照，并滥用 Android 的辅助服务权限来收集来自 DingTalk、MOMO、QQ、Skype、TalkBox、Voxer、微信和 WhatsApp 的消息。 最后但同样重要的是，它可以从受感染的手机上自行卸载。 MOONSHINE 漏洞攻击包所针对的漏洞和浏览器版本 趋势科技表示，它还检测到了 Windows 版本的 DarkNimbus，该版本可能是在 2019 年 7 月至 10 月期间制作的，但直到一年多后的 2020 年 12 月才开始使用。 它缺少 Android 版本的许多功能，但包含各种命令来收集系统信息、已安装应用程序的列表、击键、剪贴板数据、已保存的凭据和来自网络浏览器的历史记录，以及读取和上传文件内容。 尽管目前尚不清楚Earth Minotaur的具体起源，但观察到的感染链的多样性，加上功能强大的恶意软件工具，表明这是一个复杂的威胁。 趋势科技推测： “MOONSHINE 是一个仍在开发中的工具包，并已与多个威胁行为者共享，包括 Earth Minotaur、POISON CARP、UNC5221等。”       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/CpvqeklX_SUGfSDV2pbWlw 封面来源于网络，如有侵权请联系删除

英国国家犯罪局 (NCA) 宣布，一项名为“Destabilize”的联合执法行动摧毁了俄罗斯非法洗钱和现金运送网络以及与勒索软件、毒品和间谍活动有关的地下加密货币交易所。 NCA 领导的行动揭露了 Smart 集团和 TGR 集团这两个非法金融网络，这两个网络帮助俄罗斯精英规避国际制裁，并支持俄罗斯网络犯罪分子洗白非法利润。Smart 网络还被用来资助俄罗斯的间谍活动。 美国财政部外国资产控制办公室 (OFAC) 还制裁了与 TGR 集团有关的五名个人和四家实体。NCA 的国际合作伙伴还逮捕了第七名嫌疑人，是一名全球洗钱协助者。 NCA 表示：“NCA 协调的活动迄今已逮捕 84 人，其中许多人已服刑，并缴获了超过 2000 万英镑（3500 万美元）的现金和加密货币。” 复杂的犯罪网络在一个国家收集资金，然后在另一个国家提供等值资金，通常是通过将加密货币兑换成现金。这简化了西方犯罪集团产生的现金流动，并帮助寡头绕过制裁。 英国是这项活动的主要中心。数十亿美元的洗钱网络以一种此前不为当局或监管机构所知的方式运作，并隐藏在社区中。 调查人员发现全国各地大规模的货币兑换。街头现金交易之后，几乎立即出现了等值加密货币的转移。Smart 和 TGR 与俄罗斯金融业联系紧密，其全球影响力遍及 30 多个国家。 “我们首次能够找出俄罗斯精英、加密货币富豪网络犯罪分子和英国街头贩毒团伙之间的联系。将他们联系在一起的线索——Smart 和 TGR 的联合力量——直到现在才被发现。”NCA 运营总监 Rob Jones 表示。 “NCA及其合作伙伴已经从各个层面打击了这一犯罪活动。” Smart 集团由俄罗斯洗钱者 Ekaterina Zhdanova 领导。她指挥一家位于伦敦的现金快递公司，洗钱金额超过 1900 万美元。她还帮助勒索软件受害者以加密货币形式向 Ryuk 勒索软件集团支付超过 230 万美元疑似赎金，并与 TGR 成员合作转移了超过 200 万美元。 TGR 由乌克兰人乔治·罗西经营。该集团涉嫌隐瞒将受制裁的俄罗斯国有媒体组织今日俄罗斯（RT）的资金转移出境，以支持一家俄语媒体组织在英国的活动。 TGR 帮助将非法金融计划纳入全球金融体系，包括洗钱、未注册的现金和加密货币交易以及预付信用卡服务。其目的是掩盖资金来源。 NCA 表示：“Smart 和 TGR 的加密地址显示，他们经常接触 Garantex，这是一项加密货币交易服务，于 2022 年受到英国和美国的制裁。Garantex 与武器零部件交易有关。 ” OFAC 还制裁了拉脱维亚国民 Andrejs Bradens，他与多家 TGR 集团公司有联系，以及 Zhdanova 的两家关联公司：Khadzi-Murat Dalgatovich Magomedov 和 Nikita Vladimirovich Krasnov。 在其中一起案件中，NCA 和国际合作伙伴逮捕了一系列与谢缅·库克索夫及其同伙有关的信使，据信他们经营着一家地下加密货币交易所。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/2MEWWskREW-4GldVb0tRNg 封面来源于网络，如有侵权请联系删除

根据Black Lotus 实验室周三发布的研究，在一次非同寻常的数字间谍案中，俄罗斯黑客组织花了近两年的时间秘密控制巴基斯坦网络间谍的计算机系统，从而进入南亚各地敏感的政府网络。 俄罗斯黑客组织被称为 Turla 或 Secret Blizzard，征用了 33 个由巴基斯坦黑客操作的C2服务器，这些黑客自己也曾入侵过阿富汗和印度政府的目标，有时还使用市售的 Hak5 渗透测试硬件设备。 据Black Lotus 称，俄罗斯黑客闯入了巴基斯坦 APT组织（被追踪为 Storm-0156）使用的C2服务器，并利用该访问权限启动自己的恶意软件并劫持敏感数据。 研究人员表示：“最近一次活动持续了两年，是自 2019 年首次发现 [Turla] 重新利用伊朗威胁组织的 C2 以来，第四次有记录的 [Turla] 嵌入其他组织行动的案例。” 去年，Turla 还被发现使用其他黑客可能部署的旧版 Andromeda 恶意软件来针对乌克兰组织。 Turla 是一种攻击性较强的俄罗斯 APT，其目标是世界各地的大使馆和政府办公室。据观察，它还控制了 Hak5 Cloud C2 节点，这是一个为合法渗透测试而设计的平台，但在这里被用于间谍活动。 在俄罗斯黑客组织控制其行动之前， Storm-0156巴基斯坦黑客组织一直在部署物理黑客工具——市售的 Hak5 设备——来入侵印度政府机构，包括其外交部。 2022 年底，Black Lotus 实验室的研究人员表示，俄罗斯组织利用 Storm-0156 在阿富汗政府网络和巴基斯坦运营商工作站中现有的立足点。从这个有利位置，Turla 部署了专有恶意软件（标记为 TwoDash 和 Statuezy），窃取了巴基斯坦运营商收集的从凭证到文件等各种数据。 Turla 渗透 Storm-0156 和阿富汗政府网络 “通过这个渠道，他们可能获得了大量数据。这些收获包括对 Storm-0156 工具的洞察、C2 和目标网络的凭证，以及从之前的行动中收集到的泄露数据。”研究人员指出。 Black Lotus 实验室表示，Storm-0156 历史上曾以印度和阿富汗政府网络为目标，并指出 Turla 进入巴基斯坦运营商工作站证明了 APT 运营商如何隐藏其踪迹并试图进行模糊的归因分析。 Black Lotus 实验室表示，到 2024 年中期，Turla 已将重点扩大到使用从巴基斯坦工作站窃取的另外两种恶意软件（Wasicot 和 CrimsonRAT）。此前发现 CrimsonRAT 被用于针对印度的政府和军事目标，研究人员发现 Turla 后来利用他们的访问权限收集了该恶意软件先前部署的数据。 Black Lotus 实验室警告称： “该组织有一个显著特点：他们大胆利用其他黑客组织的 C2 服务器来达到自己的目的。”并指出，该策略允许 Turla 运营者远程获取先前从受感染网络窃取的敏感文件，而无需使用（并可能暴露）他们自己的工具。 Storm-0156 的 Hak5 Cloud C2 与已知 C2 之间的逻辑连接 该公司补充道：“在其他威胁组织尚未获取其目标的所有感兴趣数据的情况下，他们可以在 C2 节点上收集的数据中搜索被盗的身份验证材料以获取访问权限，或使用现有访问权限来扩大收集范围并将其代理部署到网络中。” Black Lotus 实验室表示，在监控 Turla 与被征用的 Storm-0156 C2 节点的互动时，它发现了 Storm-0156 威胁组织先前曾入侵过的阿富汗政府各个网络的信标活动。 研究人员与微软的威胁猎手一起观察了 Turla 与 CrimsonRAT C2 节点子集的交互，这些节点之前曾被用来攻击印度政府和军队。 值得注意的是，Black Lotus 实验室表示，尽管还有更多可用节点，但 Turla 仅与七个 CrimsonRAT C2 进行了接触。“这种选择性接触意味着，虽然他们有能力访问所有节点，但他们的工具部署在战略上仅限于与印度最高优先级目标相关的节点。” 2024 年 12 月 4 日，微软公司的另一份报告记录了俄罗斯 FSB 黑客组织 Turla（被追踪为 Secret Blizzard）自 2017 年以来如何系统地渗透和劫持至少六个不同国家高级黑客组织的基础设施。 Turla（Secret Blizzard） 和 Storm-0156 攻击链 微软解释说，这符合 Turla 既定的模式，此前它曾接管过伊朗（Hazel Sandstorm）、哈萨克斯坦（Storm-0473）和其他威胁组织的基础设施。微软的分析表明，这种“间谍对间谍”的方法是 FSB 的一种蓄意策略，目的是进行间谍活动，同时将其活动隐藏在其他黑客的行动背后。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Iyhpu2urTa-lpYa4vI_FuQ 封面来源于网络，如有侵权请联系删除

ThreatBook研究与响应团队揭露了APT35的复杂网络攻击活动。活动针对美国、泰国、阿联酋等多个国家的航空航天和半导体行业。 APT35也称为Magic Hound或Charming Kitten，这个由伊朗支持、与伊斯兰革命卫队（IRGC）有关联的组织，自2014年以来就有着一系列高调的网络攻击历史。 在其一个活动中，APT35推出一个虚假招聘网站，针对泰国航空航天领域的无人机设计专家。网站发布高薪职位，增加了骗局的合法性。 根据ThreatBook的说法，攻击者在他们的“授权访问”服务中混合了合法程序和恶意模块，“该网站提供的授权访问程序混合了两个白色和黑色的恶意样本，其中SignedConnection.exe是合法的OneDrive程序，secur32.dll，Qt5Core.dll分别是第一阶段和第二阶段的恶意程序。” 用C#编写的恶意模块secur32.dll，悄无声息地加载了恶意软件的后续阶段，采用了字符串重构等混淆技术来逃避检测。 APT35的方法包括通过重命名文件和注册表键操作来部署复杂的多阶段有效载荷，以实现持久性。该组织还利用Google Cloud、GitHub和OneDrive等合法平台进行命令与控制（C&C）通信。 “通过对相关样本、IP和域名的分析，提取了多个相关的IOC，用于威胁情报检测。”ThreatBook报告称。 恶意软件还利用GitHub存储库和预配置的备份C&C域名，以确保在主要地址被封锁时保持连通性。这种适应性表明APT35致力于保持运营的弹性。 另一个值得注意的策略是针对半导体公司的假冒VPN程序。VPN安装程序被设置为加载一个名为msvcp.dll的恶意DLL模块，该模块充当下载器，攻击者能够从合法云平台上的C&C服务器获取额外的有效载荷。 “利用VPN访问程序加载恶意DLL模块msvcp.dll，它与Qt5Core.dll是同类型的下载器。”ThreatBook指出。 APT35的行动展示了其利用知名品牌和工具（如OneDrive和GitHub）的信任，渗透到高价值行业的能力。该组织广泛使用社会工程学策略，加上技术复杂性，这凸显了处理敏感技术的行业需要提高警惕。       转自E安全，原文链接：https://mp.weixin.qq.com/s/RX8gQ8UqXv_lTZTcskX69g 封面来源于网络，如有侵权请联系删除

Aqua Nautilus 研究人员发现了一个由 Matrix 发起的一系列大规模 DDoS 攻击活动，该活动可能是俄罗斯威胁组织发起。 Aqua Nautilus 的网络安全研究人员发现了一个名为 Matrix 的威胁组织发起的新型分布式拒绝服务 ( DDoS ) 活动，利用现成的工具和最低限度的技术专长。 根据 Aqua Nautilus 的调查结果，Matrix（研究人员将其称为脚本小子）的目标是庞大的互联网IoT设备，包括物联网设备、摄像头、路由器、DVR 和企业系统。 攻击者使用不同的技术，主要依靠暴力攻击，利用弱密码和错误配置来获取初始访问权限。 一旦被入侵，设备就会被纳入更大的僵尸网络。攻击者还利用各种公开脚本和工具来扫描易受攻击的系统、部署恶意软件并执行攻击。 根据 Aqua Nautilus 的博客文章，尽管最初有迹象表明该攻击与俄罗斯有关，但乌克兰目标的缺失表明该攻击主要关注的是经济利益，而非政治目的。 Matrix 创建了一个 Telegram 机器人 Kraken Autobuy，以销售针对第 4 层（传输层）和第 7 层（应用层）攻击的 DDoS 攻击服务，进一步强调了该攻击活动的商业化。 该活动利用了近期和之前的一系列漏洞，其中包括： CVE-2014-8361 CVE-2017-17215 CVE-2018-10562 CVE-2022-30525 CVE-2024-27348 CVE-2018-10561 CVE-2018-9995 CVE-2018-9995 CVE-2017-18368 CVE-2017-17106 这些漏洞与广泛存在的弱凭证相结合，为恶意攻击者创造了巨大的攻击面。大多数活动（约 95%）发生在工作日。 Matrix 使用 GitHub 帐户来存储和管理恶意工具和脚本，主要用 Python、Shell 和 Golang 编写。 研究人员指出：“我们重点关注了scanner、gggggsgdfhgrehgregswegwe、musersponsukahaxuidfdffdf和DHJIF等存储库。这些存储库包含各种用于在物联网设备和服务器上扫描、利用和部署恶意软件（主要是 Mirai 和其他 DDoS 相关工具）的工具。” 截图显示使用弱凭证成功登录摄像头面板（通过 Aqua Nautilus） 另一方面，Virus Total 发现用于发起 DDoS 攻击的各种工具，包括 DDoS Agent、SSH Scan Hacktool、PyBot、PYnet、DiscordGo Botnet、HTTP/HTTPS Flood Attack 和 Homo Network。 这些工具可用于控制受感染的设备、针对选定目标发起大规模 DDoS 攻击，以及利用 Discord 进行通信和远程控制。 此次攻击活动的潜在影响十分巨大，数千万台联网设备可能面临风险。 研究人员指出：“近 3500 万台设备存在风险。如果 1% 的设备受到攻击，僵尸网络可能覆盖 35 万台设备；如果 5% 的设备受到攻击，僵尸网络可能覆盖 170 万台设备，与过去发生的重大攻击不相上下。” 主要影响是服务器拒绝服务，扰乱企业和在线运营。服务器被入侵可能导致服务提供商停用，影响依赖它们的企业。观察到针对 ZEPHYR 的有限加密货币挖掘操作，但产生的经济收益微乎其微。 为了保证安全，组织应该优先考虑强有力的安全实践，如定期修补、强密码策略、网络分段、入侵检测系统、Web 应用程序防火墙和定期安全审核，以减少遭受DDoS 攻击和其他网络威胁的风险。 技术报告：https://www.aquasec.com/blog/matrix-unleashes-a-new-widespread-ddos-campaign/       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/xx3FkgaS4rGsEhZwmMHvCQ 封面来源于网络，如有侵权请联系删除

一个俄罗斯黑客组织Romcom利用两个此前未知的漏洞攻击 Windows PC 上的 Firefox 和 Tor 浏览器用户。 防病毒提供商 ESET 将该攻击描述为潜在的“大规模活动”，其目标是欧洲和北美的用户。 俄罗斯黑客通过一个恶意网页传播黑客攻击，这些网页似乎伪装成虚假新闻机构。如果易受攻击的浏览器访问该页面，它可以秘密触发软件漏洞，在受害者的电脑上安装后门。 ESET 警告称，用户无需与该网页进行任何交互。 目前尚不清楚黑客如何传播恶意网页链接。但第一个漏洞（称为CVE-2024-9680）可导致 Firefox 和 Tor 浏览器在正常受限制的进程中运行恶意代码。 黑客利用 Windows 10 和 11 中的第二个漏洞（称为CVE-2024-49039）发动攻击，以便在浏览器之外和操作系统上执行更多恶意代码。秘密下载并安装一个能够监视 PC 的后门，包括收集文件、截屏以及窃取浏览器 cookie 和保存的密码。   Mozilla、Tor 和 Microsoft 都已修补了漏洞。Tor 浏览器基于 Firefox。Mozilla 于 10 月 8 日私下报告了此问题，这两款浏览器都在第二天修补了此漏洞。与此同时，Microsoft于 11 月 12 日修补了另一个漏洞。 如果用户未能及时打补丁，黑客仍可继续利用该攻击。ESET 提供的遥测数据显示，某些国家可能有多达 250 名用户遭遇过该攻击，攻击始于 10 月，甚至可能更早。 ESET将这些攻击与一个名为“RomCom”的俄罗斯黑客组织联系起来，该组织一直专注于网络犯罪和间谍活动。 ESET追踪了该组织一系列的攻击活动： 将两个0day漏洞串联起来，RomCom 便可以利用无需用户交互的漏洞进行攻击。这种复杂程度表明威胁组织有意愿并有手段获得或开发隐身能力。 详细技术报告： https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild/ Mzoilla官方漏洞公告： https://blog.mozilla.org/security/2024/10/11/behind-the-scenes-fixing-an-in-the-wild-firefox-exploit/     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/kutWJlxhfVnDaq3Qtd_QGw 封面来源于网络，如有侵权请联系删除

臭名昭著的朝鲜网络间谍组织 “拉扎罗斯集团”（Lazarus Group）的武器库中又多了一项隐蔽技术：在基于 Unix 的系统（如 macOS 和 Linux）中滥用 xattr（即扩展文件属性）。根据安全研究员 Tonmoy Jitu 的分析，这种被称为 RustyAttr 的方法利用 macOS 元数据隐藏恶意有效载荷，躲避传统检测工具和杀毒软件的攻击。 xattr 命令通常用于存储 Finder 标记或隔离标志等元数据，它还可以在不改变文件可见内容的情况下将二进制数据嵌入文件。虽然对合法目的有用，但它也为攻击者提供了隐藏恶意脚本的途径。正如 Jitu 解释的那样： “xattr 与 Windows 备用数据流（ADS）非常相似，它提供了一种在不改变文件可见内容的情况下将元数据嵌入文件的机制。” 据报道，由 Lazarus Group 开发的 RustyAttr 木马利用这种元数据在被入侵系统中持续存在。由于嵌入了扩展属性，它的恶意有效载荷可以绕过 macOS Gatekeeper 等传统文件扫描工具。Jitu 的分析强调了该木马的能力： “RustyAttr木马能够绕过文件系统的传统监控工具，直接从扩展属性中获取并执行恶意脚本。” Jitu 对恶意文件 DD Form Questionnaire.zip 的调查揭示了 RustyAttr 的感染链。该木马隐藏在与应用程序文件（如 .app 捆绑程序）链接的元数据中。一个突出的发现是测试属性，它包含一个恶意 shell 命令，用于下载和执行其他有效载荷。 该过程包括： 在元数据中嵌入命令： 恶意 shell 命令存储在 com.example.hidden_data 等属性中。 执行隐藏有效载荷： 这些命令会下载诱饵文件（如 PDF），并通过 AppleScript 执行 shell 脚本。该命令将 PDF 文件下载到特定位置……然后从 URL 获取 shell 脚本并通过 AppleScript 执行。 通过泄漏的证书持久化： 该木马最初使用泄露的证书签名，可绕过安全检查，直到证书被吊销。 与 RustyAttr 相关联的恶意基础架构进一步将其与 Lazarus Group 联系起来。Jitu 指出 “恶意 curl 命令中使用的域被标记为恶意域……与已知威胁行为者基础设施相关的 IP 地址相连。” 此外，该组织还采用了社会工程学策略，将 RustyAttr 伪装成合法的 PDF 文件或系统实用程序，诱骗用户执行。 尽管功能强大，但 RustyAttr 的技术仍未列入 MITRE ATT&CK Framework，这让防御者对这种微妙的攻击毫无准备。吉图强调了其中的风险： “通过将关键数据和有效载荷隐藏在文件元数据中，RustyAttr 可以躲避检测……允许攻击者长时间保持对被入侵系统的控制。”       转自安全客，原文链接：https://www.anquanke.com/post/id/302179 封面来源于网络，如有侵权请联系删除

近年来，与朝鲜黑客有关的网络犯罪活动不断升级，其独创的“IT就业计划”成为国际社会关注的焦点。 根据网络安全公司SentinelOne和Palo Alto Networks Unit 42的研究，朝鲜黑客利用虚假身份和前线（空壳）公司，大规模渗透全球技术行业以获取资金，支持朝鲜的武器研发及核导弹项目。这种活动不仅涉及伪造身份获取工作，还通过复杂的技术攻击扩大其威胁范围。 朝鲜“IT就业计划”的全貌 朝鲜黑客组织通过全球范围的“笔记本农场”（由目标企业所在国家的公民运营的远程办公环境）计划，组织大量IT人员以个体身份或通过伪装的公司获取技术行业的远程办公就业机会。这些人员通过在线支付平台或第三国银行账户，将绝大部分收入返回朝鲜，为其核武器和导弹项目提供资金支持。其主要运作模式如下： 1.虚假前线公司：朝鲜黑客利用俄罗斯、东南亚等地的公司掩盖其身份，伪装成“外包开发”或“技术咨询”公司。 2.伪造网站：研究发现，这些前线公司的网站通常直接复制合法公司的内容和设计。 Independent Lab LLC仿制美国公司Kitrum Shenyang Tonywang Technology LTD仿制Urolime Tony WKJ LLC仿制印度的ArohaTech IT Services HopanaTech仿制ITechArt 这些前线公司通过知名域名注册商NameCheap注册，并冒充技术服务商获取合同。（这些虚假网站已在2024年10月被美国政府查封） 渗透美国企业的案例 打入KnowBe4 朝鲜黑客出海最知名的案例莫过于成功打入了知名美国网络安全公司KnowBe4。朝鲜黑客利用“笔记本农场”计划成功通过了KnowBe4的多轮面试。此类出海黑客不仅通过伪造的身份获取该公司的外包工作，还窃取了内部凭证以申请更多高价值职位。这也标志着朝鲜威胁组织的战略转变：从单纯的收入获取，逐步转向更具破坏性的内鬼威胁和恶意软件攻击。 Wagemole计划与Contagious Interview Unit 42的报告显示，朝鲜的一组活动集群（代号CL-STA-0237）结合钓鱼攻击和恶意视频会议应用程序传播BeaverTail恶意软件。这一行为表明，朝鲜威胁组织正在将伪装的IT工作者转变为更激进的攻击角色，其主要攻击方式如下： 攻击路径：通过冒充IT公司发送求职邮件，使用被感染的面试工具部署恶意软件。 混入企业：研究发现，该集群通过伪装成为一家美国中小型IT服务公司的员工，进而成功申请大型技术企业的职位，扩大其影响力。 朝鲜“黑客出海”攻击特点 Sentinal在报告中指出，朝鲜的这一战略不仅为其武器研发项目提供了稳定的资金来源，还对全球网络安全构成重大威胁。以下是朝鲜网络攻击行为的几大特点： 1高度组织化 伪造身份：通过制作虚假的护照和学历证明，伪装成受过高等教育的IT专业人士。 利用全球化漏洞：从中国到东南亚，这些黑客通过复杂的前线网络隐藏其实际来源。 2逐步扩展的攻击目标 初期目标：以低门槛的外包工作获取收入。 扩展目标：通过窃取内部凭证，参与数据窃取、恶意软件分发和供应链攻击。 3协同发展 跨国合作：利用他国公司掩护，规避国际制裁。 与其他威胁集群联动：如Contagious Interview集群，扩展了传统钓鱼攻击的深度。 如何防御“黑客出海”？ 鉴于黑客出海务工行为的复杂性和隐蔽性，企业需加强以下防御措施： 1严格的身份验证 在招聘流程中对候选人的背景和身份进行更严格的审查，验证其身份真实性。 引入先进的自动化工具以交叉检查简历信息的可信度。 2强化供应链安全 对所有外包合作伙伴进行风险评估，确保其合规性。 监控供应链中的异常行为，避免被恶意行为者利用。 3多层次威胁检测 实施先进的威胁情报系统，实时检测可疑的网络活动。 对内部凭证和访问权限进行定期审查，防止被滥用。 4提高员工意识 针对潜在钓鱼攻击和伪造身份行为，对员工开展培训。 定期更新安全策略，以应对不断变化的威胁。 总结：“黑客出海”不是朝鲜的专利 通过“笔记本农场”计划，朝鲜黑客组织将网络攻击与经济渗透相结合，展现出高度的适应性和创新性。从冒充IT工作者到恶意软件攻击，其目标从简单的资金获取扩大到企业供应链安全和国家基础设施。 最后，“黑客出海”的威胁绝不仅仅是朝鲜的“专利”，任何黑客组织都可能模仿朝鲜黑客渗透对手国家的重要企业和项目，企业和政府需要重视并加强对该威胁的防御措施。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/6UuOfmnkt3mX6sgNJtr9RA 封面来源于网络，如有侵权请联系删除

研究人员发现，黑客可以通过利用近场通信 (NFC) 大规模套现受害者资金的新技术。  地下论坛上的一篇帖子 该技术由 ThreatFabric 命名为Ghost Tap，可让网络犯罪分子从与 Google Pay 或 Apple Pay 等移动支付服务关联并中继 NFC 流量的被盗信用卡中套现资金。 这家荷兰安全公司称：“犯罪分子现在可以滥用 Google Pay 和 Apple Pay，在几秒钟内将您的点击支付信息传输到全球。”“这意味着即使没有您的实体卡或手机，他们也可以在世界任何地方通过您的账户付款。” 这些攻击通常通过诱骗受害者下载手机银行恶意软件来实施，恶意软件可以使用覆盖攻击或键盘记录器来获取受害者的银行凭证和一次性密码。或者，它可能涉及语音钓鱼组件。 一旦掌握了信用卡详细信息，攻击者就会将信用卡与 Google Pay 或 Apple Pay 关联起来。但为了避免发卡机构封锁信用卡，点击支付信息会被转发给若干名“钱骡”（黑色产业链中负责洗钱或提取现金的人），后者负责在商店进行欺诈性购买。 这是通过一种名为NFCGate的合法研究工具实现的，它可以捕获、分析或修改 NFC 流量。它还可用于通过服务器在两个设备之间传递 NFC 流量。 NFCGate开源项目作者德国达姆施塔特工业大学安全移动网络实验室的研究人员表示：“一台设备作为‘读取器’读取 NFC 标签，另一台设备使用主机卡模拟 (HCE) 模拟 NFC 标签。” 尽管 NFCGate 之前曾被不良行为者使用，将 NFC 信息从受害者的设备传输给攻击者，正如ESET 早在 2024 年 8 月使用 NGate 恶意软件所记录的那样，但最新的进展标志着该工具首次被滥用来传递数据。 ThreatFabric 指出：“网络犯罪分子可以在装有被盗卡的设备和零售商的 PoS [销售点] 终端之间建立中继，保持匿名并进行更大规模的套现。” “持有被盗卡的网络犯罪分子可能远离使用该卡的地点（甚至是不同的国家），也可能在短时间内在多个地点使用同一张卡。” 这种策略的优势在于，它可以用来在线下零售商处购买礼品卡，而网络犯罪分子无需亲自到场。更糟糕的是，它可以被用来在短时间内招募不同地点的多名钱骡，从而扩大欺诈计划的规模。 Ghost Tap攻击的检测难度在于，交易看起来好像来自同一台设备，从而绕过了反欺诈机制。连接卡的设备也可能处于飞行模式，这会使检测其实际位置变得困难，并且很难发现它实际上并未用于在 PoS 终端进行交易。 ThreatFabric 指出：“我们怀疑，随着网络的不断发展，通信速度越来越快，再加上 ATM/POS 终端缺乏适当的基于时间的检测，使得这些攻击成为可能，因为带有卡的实际设备物理上远离进行交易的地点（设备不在 PoS 或 ATM 上）。” “由于能够迅速扩大规模并在匿名的掩护下运作，这种套现方式对金融机构和零售机构都构成了重大挑战。”     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/334uX_p2THzcfpBuTMjkyA 封面来源于网络，如有侵权请联系删除

近日，美国司法部宣布，涉嫌担任勒索软件组织Phobos软件管理员的俄罗斯男子Evgenii Ptitsyn已被从韩国引渡至美国。他被控利用该勒索软件组织策划和实施了涉及全球逾千名受害者的网络攻击，勒索金额超过1600万美元。 这次引渡行动得到了多个国家的协助，包括韩国、日本和欧洲国家的执法机构。美国司法部副部长丽莎·摩纳哥对此表示：“通过全球执法机构的合作，我们向世界证明，无论网络犯罪分子身在何处，都无法逃避正义。” Ptitsyn目前面临13项指控，包括电信欺诈、电信欺诈共谋、计算机欺诈与滥用共谋，以及与黑客和勒索相关的四项敲诈勒索罪和四项故意损害受保护计算机的罪名。 首创“薄利多销”模式的勒索软件组织 Phobos勒索软件首次被发现于2017年末，其名称来源于希腊神话中的恐惧之神。该勒索软件的运行机制与其他勒索软件家族相似：加密受害者的文件，随后要求支付赎金以换取解密密钥。然而，与一些动辄要求数百万美元的高级勒索软件不同，Phobos的赎金金额相对较小，通常在数千美元至数万美元之间。这种“薄利多销”的商业模式使其对中小型组织尤为具有威胁性。 Phobos的受害者覆盖全球，包括医院、学校、地方政府和企业等关键部门。该勒索软件的攻击通常通过以下方式展开： 远程桌面协议（RDP）漏洞利用：攻击者通过扫描互联网中的RDP端口，利用弱密码或未修复的漏洞获得初始访问权限。 钓鱼攻击：通过精心设计的电子邮件欺骗用户点击恶意链接或附件。 内部人员协助：利用企业内部的安全漏洞或合作人员进行渗透。 一旦攻击成功，Phobos会加密受害者的文件并在每个受感染的目录中放置赎金通知，通常包含攻击者的联系信息和支付比特币的说明。 Ptitsyn被捕对Phobos的影响 Ptitsyn以“derxan”和“zimmermanx”等网名活动，据信是Phobos组织的重要管理员之一。他不仅负责开发和维护Phobos，还向其他犯罪分子提供技术支持和指导。其活动范围广泛，直接参与了多起针对政府和企业的勒索攻击。 根据美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）的警告，Phobos自2020年以来，频繁针对美国的州和地方政府服务发动攻击，对社会基础设施构成了严重威胁。 近年来，Phobos活动频率有所下降。根据网络威胁情报公司Recorded Future的数据显示，与Phobos相关的攻击在最近几个月大幅减少，同时另一个使用Phobos变种的勒索软件组织8Base上个月完全停止了活动。这种变化可能与Ptitsyn的落网直接相关。 然而，网络安全专家警告，不排除Phobos组织在调整策略，或以新身份重返网络犯罪的可能性。勒索软件生态系统的复杂性使得犯罪分子可以迅速更换品牌或加入其他组织，继续其非法活动。 国际合作对抗勒索软件 此次引渡俄罗斯勒索软件组织管理员的行动凸显了国际合作在打击跨国网络犯罪中的重要性。近年来，美国及其盟国通过共享情报和联合执法成功抓捕了多个勒索软件组织的核心成员。例如： 2021年，REvil勒索软件组织的一名主要成员在波兰被捕。 2023年，Hive勒索软件组织的服务器被国际联合行动摧毁。 这表明，全球执法机构正在以更加协同的方式应对勒索软件这一日益增长的威胁，国际合作与技术创新才是打击跨国网络犯罪的关键。       转自Freebuf，原文链接：https://www.freebuf.com/news/415580.html 封面来源于网络，如有侵权请联系删除