据安全公司SentinelOne的调查分析，一个由印度雇佣的黑客组织十多年来一直以美国、中国、缅甸、巴基斯坦、科威特等国家为目标，进行广泛的间谍、监视和破坏行动。 根据分析，该组织名为Appin Software Security（又名 Appin Security Group，以下简称Appin），最初是一家提供攻击性安全培训计划的教育初创公司，但至少从 2009 年起就开展秘密黑客行动。SentinelOne 安全人员汤姆·黑格尔 (Tom Hegel)在近期发布的综合分析中表示：“该组织针对高价值个人、政府组织和其他涉及特定法律纠纷的企业进行了黑客行动。” 该调查结果基于路透社获得的非公开数据，路透社指责 Appin 策划针对政治领导人、国际高管、体育人物的数据盗窃。作为回应，该公司否认了其与雇佣黑客业务的联系。 Appin 被指提供的一个核心服务是名为“MyCommando”（又名 GoldenEye 或 Commando）的工具，该工具允许客户登录查看和下载活动特定数据和状态更新、安全通信，并提供从开源研究到社会工程再到特洛伊木马活动的多种任务选项。 在早期活动中，Appin被指参与了针对中国和巴基斯坦的攻击，2013 年， Appin 还被确定为macOS 间谍软件 KitM 的幕后黑手。此外，SentinelOne 表示还发现了针对印度国内目标的实例，其目的是窃取印度和美国锡克教徒的电子邮件帐户。 黑格尔指出，在一次不相关的活动中，该组织还使用域名 speedaccelator[.]com 作为 FTP 服务器，托管在其恶意网络钓鱼电子邮件中使用的恶意软件，其中一个恶意软件后来被用于ModifiedElephant APT以针对印度国内的目标。 除了利用来自第三方的大型基础设施进行数据泄露、命令与控制 (C2)、网络钓鱼和设置诱饵站点外，据说这个神秘的组织还依赖 Vervata、Vupen 和 Core Security 等私营供应商提供的间谍软件和漏洞利用服务。 在另一个值得注意的策略中，Appin 被发现利用位于美国加利福尼亚州的自由职业者平台 Elance（现名 Upwork），从外部软件开发商那里购买恶意软件，同时还利用内部员工开发定制的黑客工具集。 黑格表示：“研究结果体现了该组织具有非凡的韧性，在代表不同客户成功实施攻击方面有着良好记录。”   转自Freebuf，原文链接：https://www.freebuf.com/news/384405.html 封面来源于网络，如有侵权请联系删除

近半年来，一个未知的威胁行为者一直在向Python包索引（PyPI）资源库发布typosquat包，其目的是发布能够获得持久性、窃取敏感数据和访问加密货币钱包以获取经济利益的恶意软件。 Checkmarx 在一份新报告中说，这 27 个软件包伪装成流行的合法 Python 库，吸引了数千次下载。大部分下载来自美国、中国、法国、香港、德国、俄罗斯、爱尔兰、新加坡、英国和日本。 该软件供应链安全公司说：这次攻击的一个显著特点是利用隐写术将恶意有效载荷隐藏在一个图像文件中，增加了攻击的隐蔽性。 这些软件包包括 pyefflorer、pyminor、pyowler、pystallerer、pystob 和 pywool，其中最后一个软件包于 2023 年 5 月 13 日被植入。 这些软件包的一个共同点是使用 setup.py 脚本包含对其他恶意软件包（即 pystob 和 pywool）的引用，这些软件包部署了一个 Visual Basic 脚本（VBScript），以便下载和执行一个名为 “Runtime.exe “的文件，从而实现在主机上的持久化。 二进制文件中嵌入了一个编译文件，能够从网络浏览器、加密货币钱包和其他应用程序中收集信息。 Checkmarx 观察到的另一种攻击链将可执行代码隐藏在 PNG 图像（”uwu.png”）中，随后解码并运行该图像，以提取受影响系统的公共 IP 地址和通用唯一标识符（UUID）。 特别是 Pystob 和 Pywool，它们打着 API 管理工具的幌子发布，只是为了将数据外泄到 Discord webhook，并试图通过将 VBS 文件放置在 Windows 启动文件夹中来保持持久性。 Checkmarx表示：这一活动再次提醒我们，当今的数字环境中存在着无处不在的威胁，尤其是在以协作和开放代码交换为基础的领域。 针对软件供应链的持续攻击浪潮也促使美国政府在本月发布了新的指南，要求软件开发商和供应商维护软件安全并提高安全意识。 网络安全和基础设施安全局（CISA）、国家安全局（NSA）和国家情报局局长办公室（ODNI）表示：鉴于近期备受关注的软件供应链事件，建议采购组织在其采购决策中指定供应链风险评估。 软件开发商和供应商应改进其软件开发流程，不仅要降低对员工和股东的伤害风险，还要降低对用户的伤害风险。   转自Freebuf，原文链接：https://www.freebuf.com/articles/384308.html 封面来源于网络，如有侵权请联系删除

据观察，隶属于联邦安全局 (FSB) 的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为LitterDrifter的 USB 蠕虫。 以色列安全公司Check Point详细介绍了Gamaredon（又名 Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm 和 Winterflounder）的最新战术，称该组织从事大规模活动，随后“针对特定目标进行数据收集工作，其选择很可能是出于间谍目的。” 技术报告URL:https://research.checkpoint.com/2023/malware-spotlight-into-the-trash-analyzing-litterdrifter/ LitterDrifter 蠕虫病毒包具有两个主要功能：通过连接的 USB 驱动器自动传播恶意软件以及与攻击者的命令和控制 (C&C) 服务器进行通信。它还被怀疑是赛门铁克于 2023 年 6 月披露的基于 PowerShell 的 USB 蠕虫的演变。 传播器模块用 VBS 编写，负责将蠕虫作为 USB 驱动器中的隐藏文件以及分配了随机名称的诱饵 LNK 进行分发。该恶意软件因其初始编排组件名为“trash.dll”而得名 LitterDrifter。 Check Point 解释说：“Gamaredon 的 C&C 方法相当独特，因为它利用域名作为实际用作 C2 服务器的循环 IP 地址的占位符。” LitterDrifter 还能够连接到从 Telegram 频道提取的 C&C 服务器，这是至少从今年年初以来它反复使用的策略。 该网络安全公司表示，根据来自美国、越南、智利、波兰、德国和香港的 VirusTotal 提交的信息，它还发现了乌克兰境外可能受到感染的迹象。   Gamaredon 今年表现活跃，同时不断改进其攻击方法。2023 年 7 月，对手的快速数据泄露能力曝光，威胁行为者在最初入侵后一小时内传输敏感信息。 “很明显，LitterDrifter 的设计目的是支持大规模情报收集业务。”该公司总结道。“它利用简单而有效的技术来确保它能够实现该地区最广泛的目标。” 这一事态发展正值乌克兰国家网络安全协调中心（NCSCC）透露俄罗斯国家支持的黑客针对欧洲各地大使馆（包括意大利、希腊、罗马尼亚和阿塞拜疆）策划的攻击。 这些入侵归因于APT29（又名 BlueBravo、Cloaked Ursa、Cozy Bear、Iron Hemlock、Midnight Blizzard 和 The Dukes），涉及通过看似良性的诱饵来利用最近披露的 WinRAR 漏洞 ( CVE-2023-38831 )出售宝马汽车，这是它过去采用的主题。 攻击链首先向受害者发送网络钓鱼电子邮件，其中包含指向特制 ZIP 文件的链接，该文件启动后会利用该缺陷从 Ngrok 上托管的远程服务器检索 PowerShell 脚本。 NCSCC 表示：“俄罗斯黑客组织利用 CVE-2023-38831 漏洞的趋势令人担忧，这表明该漏洞日益流行且复杂。” 本周早些时候，乌克兰计算机紧急响应小组 (CERT-UA)发现了一场网络钓鱼活动，该活动传播恶意 RAR 档案，这些档案伪装成来自乌克兰安全局 (SBU) 的 PDF 文档，但实际上是一个可执行文件，可导致部署 Remcos RAT。 CERT-UA 正在追踪名为 UAC-0050 的活动，该活动也与 2023 年 2 月针对该国国家当局交付 Remcos RAT 的另一轮网络攻击有关。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zU-9AFRM0lhJrh9ea46GSw 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，丰田金融服务公司（TFS）证实，在 Medusa（美杜莎）勒索软件声称对其欧洲和非洲一些网络系统进行攻击后，公司内部安全人员检测到了未经授权的恶意访问。 丰田金融服务公司作为一家丰田汽车公司的子公司，是一个全球性实体，在丰田汽车 90% 的销售市场开展业务，主要为客户提供汽车融资服务。 美杜莎袭击丰田子公司 早些时候，Medusa 勒索软件团伙将丰田金融服务公司列入了其在暗网上的数据泄露网站，要求其支付 800 万美元以换取删除被盗数据。此外，威胁攻击者还要求丰田公司在 10 天内做出“回应”。 美杜莎要求丰田公司支付 800 万美元 目前，虽然丰田金融服务公司尚未确认是否有数据被盗，但威胁攻击者者已经表示外泄了被盗文件，并威胁说如果不支付赎金，就会泄露更多数据。 为了证明成功发动了网络攻击，威胁攻击者公布了包括财务文件、电子表格、采购发票、散列账户密码、明文用户 ID 和密码、协议、护照扫描、内部组织结构图、财务业绩报告、员工电子邮件地址等在内的样本文件。 此外，Medusa 还提供了一个 .TXT 文件，其中包含声称从丰田系统中窃取的所有数据的文件树结构，其中大部分文件都是德文，这就表明黑客可能真的“访问”了丰田在中欧的业务系统。 安全事件发生后，Bleeping Computer 联系了丰田汽车，希望其就泄露数据发表评论，该公司发言人发表了如下声明： 丰田欧洲和非洲金融服务公司最近在其少数几个地点的系统中发现了未经授权的活动，目前已经将某些系统下线。同时，内部安全人员已开始与执法部门合作。截至目前，此次安全事件仅限于丰田金融服务欧洲和非洲地区。 关于受影响系统的状态及其预计恢复正常运行的时间，丰田汽车方面的发言人表示，大多数国家的系统恢复已经开始进行了。 安全事件或由 Citrix Bleed 漏洞引发 在美杜莎披露 TFS 为受害者后，安全分析师 Kevin Beaumont 强调，该公司德国办事处有一个暴露在互联网上的 Citrix Gateway 端点，该端点自 2023 年 8 月以来一直没有更新，这表明它容易受到关键的 Citrix Bleed（CVE-2023-4966）安全问题的影响。 几天前，据安全专家证实，Lockbit 勒索软件团伙正在利用 Citrix Bleed 的公开漏洞，对中国工商银行（ICBC）、DP World、Allen&Overy 和波音公司进行网络攻击， 其他勒索软件集团也可能已经开始利用Citrix Bleed。   转自Freebuf，原文链接：https://www.freebuf.com/news/384123.html 封面来源于网络，如有侵权请联系删除

ALPHV/BlackCat 勒索软件团伙将敲诈勒索提升到了一个新高度，该组织向美国证券交易委员会提交了一份投诉，指控其一名受害者未遵守“一旦遭遇网络攻击，需要在四天内披露”的有关规定。 早些时候，ALPHV/BlackCat 勒索软件团伙将软件公司 MeridianLink 列入了数据泄露名单，并威胁称在 24 小时内未收到赎金，将泄露被盗数据。（MeridianLink 是一家上市公司，主要为银行、信用社和抵押贷款机构等金融组织提供数字解决方案） 勒索软件团伙向美国证券交易委员会“告密” 根据 DataBreaches.net 报道，ALPHV 勒索软件团伙在 11月 7 日成功入侵了 MeridianLink 的网络系统，并在未加密系统的情况下窃取了该公司数据。 值得一提的是，安全事件发生后，MeridianLink 曾表现出希望通过协商付款来“换取”不泄露被盗数据。然而随着事态发展，MeridianLink 公司不愿意尽快支付赎金，这个举动“迫使” ALPHV  组织不得不施加更大压力，于是乎就向美国证券交易委员会（SEC）投诉 MeridianLink 没有披露影响 “客户数据和运营信息 “的网络安全事件。 ALPHV 勒索软件“恼羞成怒” 为了证明投诉真实性，ALPHV 在其网站上公布 SEC 的提示、投诉和转介页面上填写的表格截图，显示攻击者向 SEC “告密”，MeridianLink 在遭受了 “重大违规”安全事件后，并没有按照 8-K 表格 1.05 项的要求披露。 ALPHV 勒索软件向 SEC 投诉 MeridianLInk （注：根据美国证券交易委员会规定，美国机构发生安全事件后要在四个工作日内通报。值得一提的是，路透社在 10 月初曾指出美国证券交易委员会的网络安全新规 2023 年 12 月 15 日才生效。） ALPHV 勒索软件还在其网站上提供了从美国证券交易委员会收到的针对 MeridianLink 投诉的回复。 SEC 回复 ALPHV 对 MeridianLInk 的投诉 MeridianLink 确认遭到网络攻击 MeridianLink 在给 BleepingComputer 的一份声明中表示，发现遭受网络攻击后，公司立即采取行动控制威胁，并聘请第三方专家团队进行调查。该公司还补充到目前仍在努力确定是否有任何消费者个人信息受到网络攻击的影响，如果有，一定会通知受影响的各方。 根据迄今为止掌握的资料，没有发现任何证据表明生产平台受到了未经授权的访问，此次事件造成的业务中断也微乎其微。——MeridianLink 此前，成功发动网络袭击后，勒索软件组织会通知受害目标，并向其施加压力。虽然也有一些勒索团伙曾威胁要向美国证券交易委员会报告漏洞和数据盗窃事件，但是从来没有一个组织真正实施过，ALPHV 可能开了一个先河！   转自Freebuf，原文链接：https://www.freebuf.com/news/384006.html 封面来源于网络，如有侵权请联系删除

Ducktail 窃取恶意软件背后的越南威胁行为者与 2023 年 3 月至 10 月初开展的一项新活动有关，该活动针对印度的营销专业人士，旨在劫持 Facebook 企业帐户。 卡巴斯基在上周发布的一份报告中表示，“它与众不同的一个重要特点是，与之前依赖 .NET 应用程序的活动不同，这次活动使用 Delphi 作为编程语言。” Ducktail与Duckport和NodeStealer一样，都是在越南运营的网络犯罪生态系统的一部分，攻击者主要使用 Facebook 上的赞助广告来传播恶意广告并部署能够掠夺受害者登录 cookie 并最终控制其帐户的恶意软件。 此类攻击主要针对可能有权访问 Facebook Business 帐户的用户。然后，欺诈者利用未经授权的访问来投放广告以获取经济利益，从而进一步加剧感染。 在俄罗斯网络安全公司记录的活动中，寻求职业转变的潜在目标会收到包含恶意可执行文件的存档文件，该恶意可执行文件伪装成 PDF 图标，以诱骗他们启动二进制文件。 这样做会导致恶意文件将名为 param.ps1 的 PowerShell 脚本和一个诱饵 PDF 文档本地保存到 Windows 中的“C:\Users\Public”文件夹中。 卡巴斯基表示：“该脚本使用设备上的默认 PDF 查看器打开诱饵，暂停五分钟，然后终止 Chrome 浏览器进程。” 父可执行文件还会下载并启动名为 libEGL.dll 的恶意库，该库会扫描“C:\ProgramData\Microsoft\Windows\Start Menu\Programs”和“C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned” \TaskBar\” 文件夹，用于存放基于 Chromium 的 Web 浏览器的任何快捷方式（即 LNK 文件）。 下一阶段需要通过添加“ –load-extension ”命令行开关后缀来更改浏览器的 LNK 快捷方式文件，以启动一个恶意扩展程序，该扩展程序伪装成合法的Google Docs Offline 附加组件以在雷达下运行。 该扩展程序旨在将所有打开的选项卡的信息发送到在越南注册的由攻击者控制的服务器，并劫持 Facebook 企业帐户。 谷歌起诉诈骗者使用巴德诱饵传播恶意软件 这些发现凸显了 Ducktail 攻击技术的战略转变，与此同时，谷歌对印度和越南的三名身份不明的个人提起诉讼，指控他们利用公众对 Bard 等生成式 AI 工具的兴趣，通过 Facebook 传播恶意软件并窃取社交媒体登录凭据。 该公司在诉状中称，“被告通过社交媒体帖子、广告（即赞助 帖子）和页面分发其恶意软件的链接，每个页面都声称提供 Bard 或其他 Google AI 产品的可下载版本。” “当登录社交媒体帐户的用户点击被告广告或其页面上显示的链接时，这些链接会重定向到外部网站，从该网站将 RAR 存档（一种文件类型）下载到用户的计算机上。” 存档文件包括一个安装程序文件，该文件能够安装擅长窃取受害者社交媒体帐户的浏览器扩展。 今年 5 月初，Meta 表示，它观察到威胁行为者在官方网络商店中创建了欺骗性浏览器扩展，这些扩展声称提供 ChatGPT 相关工具，并且它检测到并阻止了 1,000 多个唯一 URL 在其服务中共享。     转自安全客，原文链接：https://www.anquanke.com/post/id/291370 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员警告称，此前曾在针对以色列的网络攻击中观察到针对 Linux 系统的 Windows 版本擦除恶意软件。 该擦拭器被黑莓称为BiBi-Windows Wiper ，是BiBi-Linux Wiper的 Windows 版本，上个月以色列与哈马斯战争后，亲哈马斯的黑客组织开始使用 BiBi-Linux Wiper。 这家加拿大公司上周五表示：“Windows变体证实创建擦除器的威胁行为者正在继续构建恶意软件，并表明攻击范围已扩大到目标最终用户计算机和应用程序服务器。” 斯洛伐克网络安全公司正在追踪名为 BiBiGun 的雨刷器背后的攻击者，并指出 Windows 变体 (bibi.exe) 旨在用垃圾数据递归地覆盖 C:\Users 目录中的数据，并将 .BiBi 附加到文件名中。 BiBi-Windows Wiper 据说是在2023年10月21日，即战争爆发两周后编译的。目前尚不清楚其分发的确切方法。 除了损坏除 .exe、.dll 和 .sys 扩展名之外的所有文件外，擦除器还会从系统中删除卷影副本，从而有效防止受害者恢复其文件。 与其 Linux 变体的另一个显着相似之处是其多线程功能。 黑莓网络威胁情报高级总监 Dmitry Bestuzhev表示：“为了尽可能最快地采取破坏行动，该恶意软件运行12个线程和8个处理器内核。” 目前尚不清楚该擦除器是否已部署在现实世界的攻击中，如果是，目标是谁。 最早记录 BiBi-Linux Wiper 的 Security Joes表示，该恶意软件是“针对以色列公司的更大规模活动的一部分，旨在通过数据破坏来故意扰乱他们的日常运营”。 这家网络安全公司表示，它发现了自称 Karma 的黑客组织与另一名代号为Moses Staff（又名 Cobalt Sapling）的出于地缘政治动机的组织之间的战术重叠，该组织被怀疑源自伊朗。 安全乔斯说：“尽管到目前为止，该活动主要集中在以色列 IT 和政府部门，但一些参与团体，例如 Moses Staff，有同时针对不同业务部门和地理位置的组织的历史。”       转自E安全，原文链接：https://mp.weixin.qq.com/s/G1XQv8MjJwUl_nkQhGhGmg 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，安全研究人员追踪到 Imperial Kitten 黑客组织针对以色列运输、物流和技术公司发起新一轮网络攻击活动。 据悉，Imperial Kitten 又名 Tortoiseshell、TA456、Crimson Sandstorm 和 Yellow Liderc，疑似与伊朗武装部队分支伊斯兰革命卫队（IRGC）关联密切，至少自 2017 年以来持续活跃，多次对国防、技术、电信、海事、能源以及咨询和专业服务等多个领域的实体组织，发动网络攻击。 网络安全公司 CrowdStrike 的研究人员研究了近期的攻击活动，并根据基础设施与过去攻击活动的重叠情况、观察到的战术、技术和程序 (TTP)、IMAPLoader 恶意软件的使用情况以及网络钓鱼诱饵，进行了归因分析。 Imperial Kitten 攻击 近期，研究人员在发布的一份报告中指出，Imperial Kitten 在 10 月份发起了网络钓鱼攻击活动。在邮件中使用了 “招聘 “主题，并附带恶意 Microsoft Excel 附件。一旦受害目标打开文档，其中的恶意宏代码会提取两个批处理文件，通过修改注册表创建持久性，并运行 Python 有效载荷进行反向 shell 访问。 然后，网络攻击者就可以使用 PAExec 等工具在网络上横向移动，远程执行进程，并使用 NetScan 进行网络侦察。 此外，网络攻击这还使用 ProcDump 从系统内存中获取凭证。（指挥和控制（C2）服务器的通信是通过定制的恶意软件 IMAPLoader 和 StandardKeyboard 实现的，两者都依赖电子邮件来交换信息。）研究人员表示，StandardKeyboard 作为 Windows服务键盘服务在受损机器上持续存在，并执行从 C2 接收的base64 编码命令。 CrowdStrike 向 BleepingComputer 证实，2023 年 10 月，主要攻击目标是以色列境内的实体组织。 Imperial Kitten 此多次发起网络攻击活动 值得一提的是，此前的网络攻击活动中，Imperial Kitten 利用 JavaScript 代码入侵了多个以色列网站，非法“收集”访问者的信息（如浏览器数据和 IP 地址），对潜在目标进行剖析。 普华永道的威胁情报团队指出，这些活动发生在 2022 年至 2023 年之间，威胁攻击者的目标是海事、航运和物流行业，其中一些受害者收到了引入额外有效载荷的 IMAPLoader 恶意软件。Crowdstrike 还发现威胁攻击者直接入侵网络，利用公共漏洞代码，使用窃取的 VPN 凭据，执行 SQL 注入，或通过向目标组织发送钓鱼电子邮件。       转自Freebuf，原文链接：https://www.freebuf.com/news/383615.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，研究人员发现，一种新型恶意广告活动正伪装成 Windows 新闻门户网站，传播含有恶意软件的虚假CPU-Z 系统分析工具。 虽然众所周知，恶意广告活动会建立对应软件的山寨网站来冒充，但此次活动却是模仿了新闻门户网站(WindowsReport.com) ，其目标是针对在 Google 等搜索引擎上搜索 CPU-Z 的用户，通过呈现恶意广告，将这些用户重定向到虚假门户 。 通过谷歌搜索呈现的恶意广告引导用户至虚假Windows新闻门户 恶意网站上托管的已签名 MSI 安装程序包含一个恶意 PowerShell 脚本，即一个名为 FakeBat（又名 EugenLoader）的加载程序，充当在受感染主机上部署 RedLine Stealer 的管道。 这绝非谷歌流行软件的欺骗性广告第一次成为恶意软件的传播媒介。就在不久前，网络安全公司 eSentire 披露了一个被称之为Nitrogen 的恶意活动，该活动被认为是 BlackCat 勒索软件攻击的前奏。 加拿大网络安全公司记录的另外两项活动表明，近几个月来已出现利用将用户引导至可疑网站的偷渡式下载方法来传播NetWire RAT、DarkGate和DanaBot等各种恶意软件系列，表明攻击者正继续越来越多地依赖 NakedPages、Strox 和 DadSec 等 “中间对手”（AiTM）网络钓鱼工具包绕过多因素身份验证并劫持目标账户。、 此外，eSentire 还呼吁人们关注一种被称为 Wiki-Slack 攻击的新方法，这种用户定向攻击手法旨在通过篡改维基百科文章第一段末尾并在 Slack 上共享，将受害者引向攻击者控制的网站。具体来说，当维基百科 URL 在企业消息平台中以预览形式呈现时，利用 Slack 中 “错误处理第一段和第二段之间空白 “的缺陷自动生成链接。 实施这种攻击的一个关键前提在于维基百科文章中第二段的第一个词必须是顶级域（如 in、at、com 或 net），而且这两段应出现在文章的前 100 个字内。 有了这些条件，攻击者就可以将这种行为武器化，使 Slack 格式的共享页面预览结果指向一个恶意链接，一旦受害者点击该链接，就会落入攻击者设好的陷阱当中。   转自Freebuf，原文链接：https://www.freebuf.com/news/383497.html 封面来源于网络，如有侵权请联系删除

俄罗斯国家黑客通过采用陆上技术改进了破坏工业控制系统的方法，这些技术能够以更少的资源更快地达到攻击的最后阶段。 安全研究人员强调，这一变化为更难以检测的攻击打开了大门，而且工业控制系统 (ICS) 不一定需要复杂的恶意软件。 用于发送命令的本机二进制文件 去年，“沙虫”威胁组织在一次攻击中攻破了乌克兰的一个关键基础设施组织，该攻击仅用了不到四个月的时间就达到了最后阶段，由于对全国关键设施的导弹袭击，停电情况加剧了一倍。 Sandworm 是一个至少从 2009 年开始活跃的黑客组织，与俄罗斯总参谋部主要情报局 (GRU) 有联系。它专注于针对工业控制系统（ICS）并从事间谍活动和破坏性网络攻击。 2022 年底，谷歌旗下 Mandiant 的事件响应人员对乌克兰发生的一次破坏性网络攻击（他们将其归因于 Sandworm）做出了响应，并分析了策略、技术和程序。 研究人员确定，Sandworm 至少从 2022 年 6 月开始入侵，并通过托管 MicroSCADA 服务器的管理程序获得了对操作技术 (OT) 环境的访问权限，从而实现了整个配电系统的集中控制和自动化操作。 “根据横向移动的证据，攻击者可能可以访问 SCADA 系统长达三个月”。尽管目前初始攻击媒介仍未知，但研究人员指出，沙虫活动首次在 2022 年 6 月被观察到，当时Neo-REGEORG Webshell 部署在公共互联网上暴露的服务器上。 一个月后，黑客执行了基于 Golang 的 GOGETTER 隧道程序，以使用Yamux开源库代理命令和控制 (C2) 服务器的加密通信。 这次袭击导致了两起破坏性事件。其中一次是 2022 年 10 月 10 日的一次停电，当时 Sandworm 使用 ISO CD-ROM 映像文件运行本机 MicroSCADA 实用程序scilc.exe，可能会运行关闭变电站的恶意命令。 加载 ISO 映像是可能的，因为运行 MicroSCADA 的虚拟机启用了自动运行功能，允许物理或虚拟 CD-ROM（例如 ISO 文件）自动运行。 破坏性沙虫攻击的各个阶段 scilc.exe 实用程序是 MicroSCADA 软件套件的一部分，Sandworm 使用它来运行 SCIL（MicroSCADA 的高级编程语言）命令，服务器将这些命令中继到变电站中的远程终端单元（RTU – 现场设备）。 根据研究人员的发现，受感染的 MicroSCADA 服务器运行的是一个已停产的软件版本，该版本允许默认访问 SCIL-API。 在攻击中使用本机二进制文件 (LoLBin) 表明黑客转向依赖更轻量级和通用工具的离地 (LoL/LOTL) 技术，这使得威胁活动更难以检测。 ISO文件里面至少有以下三个文件： “lun.vbs”，运行 n.bat “n.bat”，可能运行本机scilc.exe实用程序 “s1.txt”，可能包含未经授权的 MicroSCADA 命令 研究人员发现lun.vbs脚本的时间戳为9月23日，这表明黑客自初始访问阶段以来有大约两个月的时间来开发他们的OT能力。 破坏性OT事件的执行链 第二次破坏性事件发生在 2022 年 10 月 12 日，当时 Sandworm 部署了新版本的CADDYWIPER数据破坏恶意软件，这可能是为了进一步破坏环境并消除攻击痕迹。 “但是，我们注意到擦除器部署仅限于受害者的 IT 环境，不会影响虚拟机管理程序或 SCADA 虚拟机。” 研究人员指出，这一行为很不寻常，因为威胁行为者已经从 SCADA 系统中删除了其他取证工件。他们认为这可能表明“参与攻击的不同个人或行动小组之间缺乏协调”。 攻击调查过程中发现的线索表明，黑客至少在攻击发生前三周就做好了破坏系统的准备。 没有足够的证据支持这一理论，但研究人员认为，沙虫可能等待了一个特定的时刻来完成任务。 “袭击的最终实施恰逢对乌克兰多个城市的关键基础设施进行为期多天的协调导弹袭击 ，其中包括受害者所在的城市。” Sandworm 不需要定制恶意软件 在今天发布的报告中，Mandiant 强调，攻击中使用的技术“表明俄罗斯进攻性 OT 武器库日益成熟”，这意味着识别新 OT 威胁向量、开发新功能以及利用不同类型 OT 基础设施的能力增强对于他们的攻击。 结合向离地生活技术的转变，研究人员认为 Sandworm 很可能能够对不同供应商的 OT 系统进行攻击。 谷歌云 Mandiant 新兴威胁和分析主管 Nathan Brubaker 告诉 BleepingComputer，Sandworm 在乌克兰境外的威胁活动不会受到其能力的限制，而是受到攻击动机的引导。 研究人员表示，这种攻击的新颖之处在于其敏捷性，这将使 Sandworm 能够“比某些复杂的 ICS 恶意软件更容易地攻击其他环境”。 Brubaker 强调，Sandworm 并未使用自定义恶意软件进行攻击的 OT 部分，而是采用了 LoL 二进制文件，这需要 OT 专业知识并了解目标工业流程，而攻击中使用的技术（本例中为 MicroSCADA）不太引人注目。 “沙虫没有理由不能在另一个环境中使用不同的技术复制类似类型的攻击，”布鲁贝克总结道。 Mandiant 的报告包括妥协指标、YARA 规则、强化 SCADA 管理主机的指南以及可帮助防御者检测 Sandworm 在 ICS 环境中的活动并减轻威胁的建议。   转自安全客，原文链接：https://www.anquanke.com/post/id/291329 封面来源于网络，如有侵权请联系删除