据Cybernews消息，法国公民经历了一次大规模数据暴露事件，超过9500万条公民数据记录被直接公开在互联网上，涉及数据类型包括姓名、电话号码、电子邮件地址和部分支付信息等，这可能导致他们更易遭受针对性的网络攻击。 目前尚不清楚该黑客的具体信息，不过可以肯定的是，他正在持续囤积法国公民泄露的个人信息，并将其编译在一个数据库中。更糟糕的是，这些数据现在已经被公开了。 该数据泄露事件由Cybernews研究团队与网络安全研究员Bob Dyachenko共同发现，这是一个开放的Elasticsearch服务器（实时数据分析和搜索的工具），无需授权即可访问，并且被命名为“vip-v3”。目前该数据库至少包含了9500万条数据，且已经发现来自于17起数据泄露事件，大小超过30GB。 有意思的是，根据公开信息法国总人口也才6779万。安全研究人员表示，这些数据库致力于编译来自多个与法国相关的数据泄露事件，涵盖了电信、电子商务、社交媒体和其他行业，反映了数据泄露十分广泛。数据类型包括已知和未知的数据泄露，涉及全名、电话号码、地址、电子邮件、IP地址、部分支付信息以及其他的数据。 Cybernews研究人员表示，如此庞大的数据量且集中在一个国家，这大大增加了数据泄露的危害性，很有可能会影响数百万个人和公司，并可能导致身份盗窃、欺诈和其他恶意活动的风险增加。 从泄露的数据库中可以发现一共包含17个部分，每个部分可能对应的是一个独立的安全事件，暴露的文件名暗示泄露可能涉及的公司。 Lyca scrappe.txt Lycamobile是一家移动网络运营商，该文档中的数据可能来源于此； Pandabuy-Email.txt 与Pandabuy有关，可能是涉及客户电子邮件数据的泄露； darty.com.txt Darty是一家法国电子产品零售商，数据泄露可能与该公司有关； discord_1_2024.txt Discord是一个流行的网络社交平台，涉及的数据可能是从该平台窃取； dvm.txt 可能与缩写为DVM的服务或实体有关； electro-depot.fr.txt Electro Depot是一家法国电子产品和家电零售商，可能涉及相应的数据泄露； db_vandb.txt 可能与V和B（Vins＆Bières，一家法国葡萄酒和啤酒零售商）有关； Snapchat SQL.txt 表明该部分数据涉及Snapchat泄露，特别是通过SQL查询提取的数据； frsfr.txt 可能与缩写为“FRS”的法国服务有关； go-sport.com-export.txt 指的是Go Sport，一家法国体育用品零售商； intersport-scrapped.fr.txt Intersport是法国另一家体育用品零售商，可能是从这里窃取的数据 ldlc.txt 指向涉及法国在线电子产品零售商LDLC的数据泄露； corsegsm.com.txt Corse GSM是一家科西嘉移动运营商，数据泄露可能与此有关； pinterest.txt 指的是Pinterest，社交媒体平台； minecraft.fr-forum.txt 表明涉及法国Minecraft论坛的泄露 sfr.fr.txt： SFR是一家主要的法国电信公司，可能与此有关； shadow.tech.txt 指的是Shadow，一种云计算服务。 安全研究人员表示，鉴于欧盟的规定，在没有用户同意的情况下，无法合法收集、获取和组合如此大量的数据。而且数据暴露在外，没有任何安全措施。这表明数据库的所有者明显无视GDPR，可能有恶意意图。 由于数据库已经公开可访问了很长一段时间，很可能其他恶意行为者已经复制了数据，并可能正在将其用于犯罪活动。同时也让暴露的公民面临诸多安全风险，例如身份盗窃、欺诈、钓鱼攻击，或使用数据进行帐户劫持或在社会工程攻击中冒充个人。       转自安全客，原文链接：https://www.freebuf.com/news/411820.html 封面来源于网络，如有侵权请联系删除

据观察，一个名为 “Twelve ”的黑客组织使用大量公开工具对俄罗斯目标实施破坏性网络攻击。 卡巴斯基在周五的分析中表示：与要求赎金解密数据不同，该组织更倾向于加密受害者的数据，然后使用擦除器破坏他们的基础设施，以防止恢复。 这表明，他们希望对目标组织造成最大程度的损害，而不是直接获得经济利益。 据悉，该黑客组织是在2023年4月俄乌战争爆发后成立的，曾发起过多次网络攻击事件、窃取敏感信息，然后通过其Telegram频道分享这些信息。 卡巴斯基称，Twelve 与一个名为 DARKSTAR（又名 COMET 或 Shadow）的勒索软件组织在基础架构和战术上有重合之处，因此这两个黑客组织很可能相互关联，或者是同一活动集群的一部分。 俄罗斯网络安全厂商说：Twelve 的行动明显具有黑客活动的性质，而 DARKSTAR 则坚持典型的双重勒索模式。集团内部目标的这种变化凸显了现代网络威胁的复杂性和多样性。 攻击链首先通过滥用有效的本地或域账户获得初始访问权限，然后使用远程桌面协议（RDP）进行横向移动。其中一些攻击还通过受害者的承包商实施。 卡巴斯基指出：为此，他们获得了承包商基础设施的访问权限，然后使用其证书连接到客户的 VPN。在获得访问权限后，对手可以通过远程桌面协议（RDP）连接到客户的系统，然后侵入客户的基础设施。 Twelve 使用的其他工具包括 Cobalt Strike、Mimikatz、Chisel、BloodHound、PowerView、adPEAS、CrackMapExec、Advanced IP Scanner 和 PsExec，用于窃取凭证、发现、网络映射和权限升级。与系统的恶意 RDP 连接通过 ngrok 传输。 此外，还部署了具有执行任意命令、移动文件或发送电子邮件功能的 PHP web shell。这些程序（如 WSO web shell）在 GitHub 上随时可用。 在此前的一起事件中，卡巴斯基称威胁分子利用了VMware vCenter中的已知安全漏洞（如CVE-2021-21972和CVE-2021-22005），提供了一个web shell，然后利用这个web shell投放了一个名为FaceFish的后门。 攻击者使用 PowerShell 添加域用户和组，并修改 Active Directory 对象的 ACL（访问控制列表）。而为了避免被发现，攻击者将恶意软件和任务伪装成现有产品或服务的名称。攻击者通过使用包括 “Update Microsoft”、“Yandex”、“YandexUpdate ”和 “intel.exe”等名称伪装成英特尔、微软和 Yandex 的程序来逃避检测。 这些攻击的另一个特点是使用 PowerShell 脚本（“Sophos_kill_local.ps1”）来终止受攻击主机上与 Sophos 安全软件相关的进程。 最后阶段需要使用 Windows 任务调度程序来启动勒索软件和清除器有效载荷，但在此之前要通过名为 DropMeFiles 的文件共享服务以 ZIP 压缩文件的形式收集和渗出受害者的敏感信息。 卡巴斯基研究人员说：攻击者使用了一个流行的 LockBit 3.0 勒索软件版本，该版本由公开源代码编译而成，用于加密数据。在开始工作之前，勒索软件会终止可能干扰单个文件加密的进程。 与Shamoon恶意软件相同的擦除器会重写所连接驱动器上的主引导记录（MBR），并用随机生成的字节覆盖所有文件内容，从而有效防止系统恢复。 卡巴斯基研究人员指出：该组织坚持使用公开的、人们熟悉的恶意软件工具，这也表明它没有自制的工具，那么大家就还是有机会能及时发现并阻止 Twelve 的攻击。     转自Freebuf，原文链接：https://www.freebuf.com/news/411472.html 封面来源于网络，如有侵权请联系删除

Mandiant 称，被追踪为 UNC2970 的朝鲜黑客组织一直使用以工作为主题的诱饵，试图向在关键基础设施部门工作的个人传播新的恶意软件。 Mandiant 首次详细描述UNC2970 的活动及其与朝鲜的联系是在 2023 年 3 月，当时有人发现该网络间谍组织试图向安全研究人员发送恶意软件。 该组织至少自 2022 年 6 月就已存在，最初被发现以招聘工作为主题的电子邮件为目标，针对美国和欧洲的媒体和技术组织。 Mandiant 在周三发布的一篇博客文章中报告称，在美国、英国、荷兰、塞浦路斯、德国、瑞典、新加坡、香港和澳大利亚均发现了 UNC2970 目标。 Mandiant 公司称，近期的攻击主要针对美国航空航天和能源行业的个人。黑客继续利用以工作为主题的信息向受害者发送恶意软件。 UNC2970 一直通过电子邮件和 WhatsApp 与潜在受害者接触，自称是大型公司的招聘人员。 受害者会收到一个受密码保护的存档文件，其中似乎包含一份带有职位描述的 PDF 文档。然而，该 PDF 已加密，只能使用 Sumatra PDF 免费开源文档查看器的木马版本打开，该查看器也随文档一起提供。 Mandiant 指出，此次攻击并未利用任何 Sumatra PDF 漏洞，应用程序也未受到攻击。黑客只是修改了应用程序的开源代码，使其在执行时运行 Mandiant 追踪的 BurnBook 植入程序。 BurnBook 反过来部署了一个被跟踪为 TearPage 的加载程序，该加载程序部署了一个名为 MistPen 的新后门。这是一个轻量级后门，旨在在受感染的系统上下载和执行 PE 文件。 至于用作诱饵的职位描述，朝鲜网络间谍获取了真实的招聘信息文本，并对其进行了修改，以使其更符合受害者的个人资料。 Mandiant 表示：“所选职位描述针对的是高级/经理级员工。这表明攻击者旨在获取通常仅限于高级员工的敏感和机密信息。” Mandiant 尚未透露被冒充的公司的名称，但一份虚假职位描述的截图显示，BAE Systems 的招聘启事被用来针对航空航天业。另一份虚假职位描述是一家未具名的跨国能源公司。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/a8mYTcU6TLvUfLiOD_UkWg 封面来源于网络，如有侵权请联系删除  

一名此前未被记录的黑客组织自 2024 年开始的网络攻击活动中主要针对敏感地区的无人机制造商。 趋势科技以TIDRONE为名追踪该对手，并表示由于其专注于军事相关产业链，评估该活动与间谍活动相关。 目前尚不清楚用于入侵目标的确切初始访问载体，但趋势科技的分析发现，攻击者使用 UltraVNC 等远程桌面工具部署了 CXCLNT 和 CLNTEND 等自定义恶意软件。 攻击链 在不同的受害者中观察到的共同点是存在相同的企业资源规划（ERP）软件，这增加了供应链攻击的可能性。 攻击链随后经历三个不同的阶段，旨在通过绕过用户帐户控制 ( UAC )、凭据转储和通过禁用主机上安装的防病毒产品来逃避防御，从而促进特权提升。 这两个后门都是通过 Microsoft Word 应用程序侧载恶意 DLL 来启动的，从而允许攻击者收集各种敏感信息。 CXCLNT 配备了基本的上传和下载文件功能，以及清除痕迹、收集受害者信息（如文件列表和计算机名称）以及下载下一阶段可移植可执行文件 (PE) 和 DLL 文件以供执行的功能。 CLNTEND 于 2024 年 4 月首次被发现，是一种发现的远程访问工具 (RAT)，支持更广泛的网络通信协议，包括 TCP、HTTP、HTTPS、TLS 和 SMB（端口 445）。 安全研究人员 Pierre Lee 和 Vickie Su 表示：“此次活动很可能是由一个尚未确定的高级威胁组织进行的。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/q7rbKkDMsNVkIVQFUq9hkg 封面来源于网络，如有侵权请联系删除。

据观察，与朝鲜有关的黑客组织利用 LinkedIn 来针对开发人员进行虚假招聘行动。 谷歌旗下的 Mandiant 在一份有关 Web3 领域面临威胁的新报告中表示，这些攻击采用编码测试作为常见的初始感染媒介。 研究人员 Robert Wallace、Blas Kojusner 和 Joseph Dobson表示：“在最初的聊天对话之后，攻击者发送了一个 ZIP 文件，其中包含伪装成 Python 编码的 COVERTCATCH 恶意软件。” 该恶意软件充当启动器，通过下载第二阶段有效负载（该负载通过启动代理和启动守护进程建立持久性）来危害目标的 macOS 系统。 值得指出的是，这是朝鲜黑客组织开展的众多活动集群之一，这些攻击活动利用与工作相关的诱饵来感染目标恶意软件。 招募主题的诱饵也是传播RustBucket 和 KANDYKORN等恶意软件家族的常用手段。目前尚不清楚 COVERTCATCH 是否与这些病毒株或新发现的 TodoSwift 有任何联系。 Mandiant 表示，它观察到一项社会工程活动，该活动发送了一份恶意 PDF，伪装成一家著名加密货币交易所的“财务和运营副总裁”的职位描述。 “恶意 PDF 释放了名为 RustBucket 的第二阶段恶意软件，这是一个用 Rust 编写的支持文件执行的后门。”Mandiant 表示。 RustBucket 植入物可以收集基本系统信息、与通过命令行提供的 URL 进行通信，并使用伪装成“Safari 更新”的启动代理设置持久性，以便联系硬编码的命令和控制 (C2) 域。 朝鲜针对 Web3 组织的攻击不仅仅限于社会工程学，还包括软件供应链攻击，正如近年来针对3CX和JumpCloud的事件所观察到的那样。 Mandiant 表示：“一旦通过恶意软件建立立足点，攻击者就会转向密码管理器窃取凭证，通过代码库和文档进行内部侦察，并进入云托管环境以泄露热钱包密钥并最终耗尽资金。” 此事披露之际，美国联邦调查局 (FBI) 警告称，朝鲜黑客利用“高度定制化、难以察觉的社会工程活动”瞄准加密货币行业。 这些正在进行的活动冒充受害者可能亲自或间接认识的招聘公司或个人，向其提供就业或投资，这被视为明目张胆的加密货币盗窃的渠道。 值得注意的是，他们采用的策略包括确定感兴趣的加密货币相关业务、在联系目标之前进行广泛的术前研究，以及编造个性化的虚假场景，试图吸引潜在受害者并增加攻击成功的可能性。 联邦调查局表示：“犯罪分子可能会提及个人信息、兴趣、从属关系、事件、个人关系、专业联系或受害者认为很少有人知道的细节。如果成功建立双向联系，最初的攻击者或攻击者团队的另一名成员可能会花费大量时间与受害者接触，以增加合法性、产生熟悉感和信任度。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NfCLcauOW03sMMPV3GuC_w 封面来源于网络，如有侵权请联系删除。

随着战争的持续，乌克兰军事人员不仅在战场上面临威胁，而且在其设备上也面临威胁。 乌克兰机构发现两起针对乌克兰军事人员设备的网络攻击。 黑客通过 Signal 信使向这些人发送消息，其中包含看起来像乌克兰 Griselda 和“Eyes”军事系统的移动应用程序的链接。 根据其网站，Griselda 是一个使用人工智能（AI）自动输入、处理和传输信息的系统，“Eyes”是指军事追踪系统。 军人被要求下载的这些移动应用程序实际上并非来自这两个实体。相反，它们是包含恶意软件和潜在恶意代码的假冒应用程序。 乌克兰计算机应急响应小组 (CERT-UA) 和乌克兰国防部及武装部队 (MILCERT) 发现，这是一次试图窃取身份验证数据以访问敏感军事系统的攻击。此次攻击还经过精心策划，旨在识别并提取设备的 GPS 坐标。 欺诈性的 Griselda 链接会将受害者引导至一个冒充该项目官方网页的傀儡网站。该网站提示受害者下载 Griselda 应用程序的移动版本。 该设备并没有下载所谓的 Griselda 应用程序，而是安装了数据窃取恶意软件 Hydra。 与此同时，“Eyes” 也遭到了攻击。军方人员被告知有文件可供下载。然而，这不是普通文件，而是已被修改并感染了第三方代码，安装会导致数据被窃取，进而识别设备的 GPS 坐标。 黑客试图窃取极其敏感的数据，这些数据可能会泄露军人的位置，从而危及生命。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/gghbWBydUYoI_kcSI4XENw 封面来源于网络，如有侵权请联系删除。

自 2023 年 6 月以来，中东和马来西亚的未具名政府实体成为名为 Tropic Trooper 的黑客组织精心策划的持续网络攻击的目标。 卡巴斯基安全研究员谢里夫·马格迪表示：“在中东重要政府机构，特别是与人权研究相关的机构中发现该组织的（战术、技术和程序），标志着他们的新战略举措。” 卡巴斯基研究人员表示，它在 2024 年 6 月发现了新版本的Web Shell，它在托管名为 Umbraco 的开源内容管理系统 (CMS) 的公共网络服务器上检测到了这一活动，该 Shell 是许多黑客共享的工具，用于远程访问受感染的服务器。 该攻击链旨在传递一个名为Crowdoor的恶意软件植入程序，这是 ESET 早在 2021 年 9 月记录的SparrowDoor后门的变种。 Tropic Trooper 又名 APT23、Earth Centaur、KeyBoy 和 Pirate Panda，据评估，该组织自 2011 年以来一直活跃，与另一个被追踪为 FamousSparrow 的入侵组织有着密切的联系。 人们怀疑这些 Web Shell 是通过利用可公开访问的 Web 应用程序中的已知安全漏洞来传递的，例如 Adobe ColdFusion（CVE-2023-26360）和 Microsoft Exchange Server（CVE-2021-34473、CVE-2021-34523和CVE-2021-31207）。 Crowdoor 于 2023 年 6 月首次被发现，它还可充当加载器来释放 Cobalt Strike 并在受感染的主机上保持持久性，同时还可充当后门来收集敏感信息、启动反向 shell、擦除其他恶意软件文件并终止自身。 “当攻击者意识到他们的后门被检测到时，他们会尝试上传更新的样本来逃避检测，从而增加了他们的新样本在不久的将来被发现的风险。”卡巴斯基研究人员指出，“此次入侵的重要意义在于，我们发现一名攻击者针对一个内容管理平台进行攻击，该平台发布有关中东人权的研究，特别关注以色列与哈马斯冲突的局势。我们对此次入侵的分析表明，整个系统是攻击的唯一目标，表明攻击是故意针对这一特定内容。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qK_sGGP8JgGTTN5WiJ64Rg 封面来源于网络，如有侵权请联系删除。

美国及其盟友已将发动全球关键基础设施攻击的幕后黑手确定为俄罗斯黑客组织（被追踪为Cadet Blizzard和Ember Bear），其幕后黑手是俄罗斯武装部队总参谋部第 29155 部队（又称 GRU）。 在今天发布的联合咨询报告中，俄罗斯 GRU 军事情报黑客被描述为 GRU 第 161 专科训练中心的“初级现役 GRU 军官”，由经验丰富的29155部队领导层协调，他们因于 2022 年 1 月在乌克兰部署 WhisperGate 数据擦除恶意软件而闻名。 该组织自 2020 年以来一直在策划针对整个欧洲的破坏和暗杀行动以及针对北约成员国以及北美、欧洲、拉丁美洲和中亚国家关键基础设施部门的网络攻击，并从 2022 年初开始转而破坏对乌克兰的援助努力。 今年 4 月，《内部人》与《60 分钟》和《明镜周刊》联合发表了 一项调查报告，报告将 GRU 的 29155 部队与哈瓦那综合症事件联系起来。 “自 2020 年以来，29155 部队扩大了他们的间谍技术，包括攻击性网络行动。29155 部队网络行动者的目标似乎包括为间谍目的收集信息、因窃取和泄露敏感信息造成的声誉损害、以及因销毁数据造成的系统性破坏。”今天发布的联合咨询报告称，“这些人似乎通过进行网络行动和入侵获得了网络经验并提高了他们的技术技能。此外，FBI 评估称，29155 部队的网络参与者依赖非 GRU 参与者，包括已知的网络犯罪分子和推动者来开展他们的行动。” 美国联邦调查局称，它检测到了超过 14,000 次针对至少 26 个北约成员国和几个欧盟 (EU) 国家的域名扫描实例。与俄罗斯 29155 部队有关的黑客破坏了网站并使用公共域名泄露被盗数据。 美国国务院宣布通过“正义奖励”计划悬赏高达 1000 万美元，奖励提供有关弗拉基米尔·博罗夫科夫、丹尼斯·伊戈列维奇·丹尼先科、尤里·丹尼索夫、德米特里·尤里耶维奇·戈洛舒博夫和尼古拉·亚历山德罗维奇·柯察金的信息，这五名俄罗斯军事情报官员据信是 GRU 29155 部队的成员。 美国国务院表示：“这些人是俄罗斯总参谋部情报总局（GRU）第 29155 部队的成员，该部队针对美国关键基础设施，特别是能源、政府和航空航天领域进行了恶意网络活动。这些 29155 部队 GRU 军官负责袭击乌克兰和数十个西方盟国的关键基础设施。” 五名 GRU 军官和平民阿明·蒂莫维奇（Amin Timovich，因 WhisperGate 攻击于 6 月被起诉）今天还因参与俄罗斯 2022 年 2 月入侵之前针对乌克兰和 26 个北约成员国的网络攻击而被指控。 美国政府敦促关键基础设施组织立即采取行动，包括优先进行系统更新和修补已知漏洞，以防御这些与 GRU 相关的网络攻击。 其他建议包括网络分段以遏制恶意活动，并对所有外部服务（特别是网络邮件、虚拟专用网络（VPN）和有权访问关键系统的帐户）实施防网络钓鱼的多因素身份验证（MFA）。 2022 年 2 月，在使用WhisperGate 擦除恶意软件、HermeticWiper 恶意软件和勒索软件诱饵对乌克兰进行攻击后，CISA 和 FBI 警告称，破坏性的恶意软件网络攻击可能会蔓延到其他国家的目标。 本周三，美国政府查封了与俄罗斯有关的 Doppelgänger 影响力行动使用的 32 个网络域名，这些域名用于针对美国公众传播虚假信息和亲俄宣传。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/8cdbsI4EQexbQD7ulMkpjg 封面来源于网络，如有侵权请联系删除。

美国联邦调查局警告称，朝鲜黑客正积极瞄准加密货币行业，并利用复杂的社会工程学来实现其目标。 FBI 的咨询报告显示，这些攻击的目的是部署恶意软件并窃取去中心化金融 (DeFi)、加密货币和类似实体的虚拟资产。 美国联邦调查局表示：“朝鲜的社会工程计划复杂而精巧，受害者往往掌握着复杂的技术。鉴于这种恶意活动的规模和持续性，即使是那些精通网络安全实践的人也可能受到攻击。” 据该机构称，朝鲜黑客组织正在针对与 DeFi 或加密货币相关业务有关的潜在受害者进行广泛的研究，然后以个性化的虚假场景为目标，通常涉及新的就业或企业投资。 攻击者还会与目标受害者进行长时间的对话，以建立信任，然后在“看似自然且不会引起警报的情况下”传播恶意软件。 此外，攻击者经常冒充各种个人，包括受害者可能认识的联系人，使用逼真的图像，例如从社交媒体帐户窃取的照片，以及时间敏感事件的虚假图像。 与加密行业相关的个人应该注意在设备上运行代码或应用程序的请求、进行涉及非标准代码包的测试或练习的请求、提供就业机会或投资机会、将对话转移到其他消息平台的请求以及包含链接或附件的未经请求的联系人。 建议组织开发验证联系人身份的方法，不要共享有关加密货币钱包的信息，避免参加就业前测试或在公司拥有的设备上运行代码，实施多因素身份验证，使用封闭平台进行业务沟通，并限制对敏感网络文档和代码存储库的访问。 谷歌旗下的安全部门 Mandiant 在一份新报告中指出， 社会工程学只是朝鲜黑客在针对加密货币组织的攻击中所采用的技术之一。 攻击者还被发现依赖供应链攻击来部署恶意软件，然后转向其他资源。 Mandiant 公司解释道，他们还可能以智能合约（通过重入攻击或闪电贷攻击）和去中心化自治组织（通过治理攻击）为目标。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/7j3_IDJTzia4vVbdHx2UtQ 封面来源于网络，如有侵权请联系删除。

Securonix 威胁研究团队发现了一项针对中文用户的秘密攻击活动，该活动可能通过钓鱼电子邮件发送 Cobalt Strike 负载。攻击者设法横向移动，建立持久性并在系统内潜伏超过两周而不被发现。 该秘密活动代号为SLOW#TEMPEST，并未归属于任何已知黑客组织，它从恶意 ZIP 文件开始，解压后会激活感染链，从而在受感染系统上部署后利用工具包。 ZIP 存档中包含一个 Windows 快捷方式 (LNK) 文件，该文件伪装成 Microsoft Word 文件“违规远程控制软件人员名单.docx.lnk”，大致翻译为“违反远程控制软件法规的人员列表” 。 研究人员指出：“从诱饵文件中使用的语言来看，特定的中国相关商业或政府部门很可能成为目标，因为他们都会雇用遵守‘远程控制软件规定’的人员。” LNK 文件充当启动合法 Microsoft 二进制文件（“LicensingUI.exe”）的管道，该二进制文件使用DLL 侧载来执行恶意 DLL（“dui70.dll”）。 这两个文件都是 ZIP 存档的一部分，位于名为“\其他信息\.__MACOS__\._MACOS__\__MACOSX\_MACOS_”的目录中。此次攻击标志着首次报告通过 LicensingUI.exe 进行 DLL 侧载的情况。 该 DLL 文件是 Cobalt Strike 植入程序，允许持续、隐秘地访问受感染的主机，同时与远程服务器（“123.207.74[.]22”）建立联系。 据称，远程访问使攻击者能够进行一系列实际活动，包括部署额外的有效载荷进行侦察和建立代理连接。 感染链还因设置计划任务而引人注目，该任务定期执行名为“lld.exe”的恶意可执行文件，该可执行文件可以直接在内存中运行任意 shellcode，从而在磁盘上留下最少的痕迹。 攻击链 研究人员表示：“攻击者通过手动提升内置 Guest 用户帐户的权限，进一步使自己能够隐藏在受感染的系统中。Guest账户通常被禁用且权限极低，但通过将其添加到关键管理组并为其分配新密码，它就变成了一个强大的接入点。这个后门使他们能够在最少的检测下保持对系统的访问，因为 Guest 账户通常不像其他用户账户那样受到密切监控。” 随后，黑客使用远程桌面协议 ( RDP ) 和通过 Mimikatz 密码提取工具获取的凭据在网络中横向移动，然后从每台机器建立到其命令和控制 (C2) 服务器的远程连接。 后利用阶段的另一个特点是执行几个枚举命令并使用 BloodHound 工具进行活动目录 (AD) 侦察，然后以 ZIP 存档的形式泄露其结果。 所有 C2 服务器均在中国托管，这一事实进一步证实了该活动与中国的联系。此外，与该活动相关的大多数工件都来自中国。 “尽管没有确凿的证据将这次攻击与任何已知的 APT 组织联系起来，但它很可能是由经验丰富的黑客组织策划的，这些攻击者有使用 Cobalt Strike 等高级开发框架和各种其他后开发工具的经验。”研究人员总结道，“此次活动的复杂性在其对初始攻击、持久性、权限提升和网络横向移动的系统性方法中显而易见。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/p_7IlpzQiyTpVmmoxHsnkQ 封面来源于网络，如有侵权请联系删除