近日，美国财政部外国资产控制办公室 (OFAC) 宣布对四个实体和一个个人实施制裁，因为他们参与非法 IT 员工计划和网络攻击，为朝鲜的武器开发计划提供资金。 OFAC 在周二发布的一份新闻稿中表示，朝鲜的非法创收战略在很大程度上依赖于由数千名 IT 工作者组成的庞大“军队”，他们隐藏自己的身份以便被海外公司雇用。 为了确保在目标公司就业，这些人采用各种欺骗手段，包括使用被盗身份、假角色以及伪造或伪造文件。 虽然位于中国和俄罗斯，但他们将产生的收入汇集到通过这些努力赚取的资金，以推动平壤政权的武器计划。 每年，一些以欺诈手段雇用的朝鲜 IT 员工可以赚取超过 300,000 美元的薪水，同时故意隐瞒他们的真实身份、行踪和国籍。 美国国务卿安东尼·J·布林肯 (Antony J. Blinken) 表示：“朝鲜开展恶意网络活动，并在国外部署信息技术 (IT) 人员，他们以欺诈手段获得就业机会，以创造收入来支持政权。” 他补充说：“朝鲜广泛的非法网络和 IT 工作者行动通过资助朝鲜政权及其危险活动，包括其非法的大规模杀伤性武器 (WMD) 和弹道导弹计划，威胁国际安全。” 周三因参与网络攻击和非法 IT 工作创收计划而受到制裁的朝鲜民主主义人民共和国 (DPRK) 实体名单包括： 平壤自动化大学 负责培训“恶意网络行为者”，其中许多人为侦察总局 (RGB)（负责协调该国网络攻击的朝鲜主要情报局）工作； RGB 的技术侦察局和第 110 研究中心网络部门 参与恶意工具的开发，协调与臭名昭著的拉撒路集团等朝鲜威胁行为者有关的部门，以及针对美国和韩国组织的网络攻击； 金庸信息技术合作公司 与朝鲜人民武装部有联系，协调在俄罗斯和老挝开展业务的 IT 工作者，为该国政权创收； 朝鲜国民金相万 涉及向金庸海外IT工作者代表团家属支付工资。 一年前，OFAC还制裁了朝鲜 Lazarus Group 黑客使用的 Tornado Cash 和 Blender.io加密货币混合器，以清洗价值 6.2 亿美元的以太坊中的大部分，这是在黑客攻击 Axie Infinity 的 Ronin 网桥之后发生的已知最大的加密货币抢劫案2022年4月。 朝鲜黑客组织 Lazarus、Bluenoroff 和 Andariel 也于2019年9月受到制裁，原因是该组织将在网络攻击中窃取的金融资产输送给该国政府。 根据联合国专家小组最近发布的一份机密报告，朝鲜威胁行为者去年参与了创纪录的加密货币盗窃活动。 据估计，他们在 2022 年窃取了 6.3 亿美元至超过 10 亿美元，超过了往年的数字，并有效地使平壤在 2021 年从网络盗窃中获得的非法收益翻了一番。 财政部负责恐怖主义和金融情报的副部长布赖恩·尼尔森说：“本次行动继续凸显了朝鲜广泛的非法网络和 IT 工作者行动，这些行动为该政权的非法大规模杀伤性武器和弹道导弹计划提供资金。” 他表示，美国和合作伙伴继续致力于打击朝鲜的非法创收活动，并继续努力打击从世界各地的金融机构、虚拟货币交易所、公司和个人那里窃取资金的犯罪活动。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/kWcjCOtHM1l_UfT4db6ufw 封面来源于网络，如有侵权请联系删除

据观察，朝鲜 Kimsuky 黑客组织在全球范围的网络间谍活动中使用了新版本的侦察恶意软件，现在称为“ReconShark”。 Sentinel Labs 报告称，威胁行为者扩大了目标范围，现在瞄准美国、欧洲和亚洲的政府组织、研究中心、大学和智库。 2023年3月，韩国和德国当局警告说，Kimsuky（也称为 Thallium 和 Velvet Chollima）开始传播针对 Gmail 帐户的恶意 Chrome 扩展程序和充当远程访问木马的 Android 间谍软件。 此前，在 2022 年 8 月，卡巴斯基披露了另一项针对韩国政治家、外交官、大学教授和记者的 Kimsuky 活动，该活动使用多阶段目标验证方案，确保只有有效目标才会感染恶意负载。 钓鱼攻击 在Microsoft默认禁用下载的Office文档的宏后，大多数威胁参与者在网络钓鱼攻击中切换到新的文件类型，例如ISO文件和最近的OneNote文档。 Sentinel Labs 的高级威胁研究员Tom Hegel说：“攻击者可能希望轻松战胜过时版本的Office，或者只是希望用户启用宏。Kimsuky在这里并没有太多创新——特别是因为他们仍在发展 BabyShark 恶意软件系列。”   Kimsuky 攻击中使用的恶意文档(Sentinel Labs) Microsoft在默认情况下对下载的 Office 文档禁用宏后，大多数威胁参与者转而使用新的文件类型进行网络钓鱼攻击，例如ISO文件，以及最近的OneNote文档。 Sentinel Labs 的高级威胁研究员 Tom Hegel 说：“攻击者可能希望轻松战胜过时版本的 Office，或者只是希望用户启用宏。Kimsuky 在这里并没有太多创新——特别是因为他们仍在发展 BabyShark 恶意软件系列。” 侦察鲨鱼 ReconShark 被 Sentinel Labs 分析师认为是 Kimsuky 的“BabyShark”恶意软件的演变，APT43也部署了该恶意软件，APT43是一个针对美国组织的重叠朝鲜网络间谍组织。 ReconShark 滥用 WMI 收集有关受感染系统的信息，如正在运行的进程、电池数据等。 它还检查机器上是否运行安全软件，Sentinel Labs 提到了针对 Kaspersky、Malwarebytes、Trend Micro 和 Norton Security 产品的特定检查。 检查安全工具进程（Sentinel Labs） 侦察数据的泄露是直接的，恶意软件通过 HTTP POST 请求将所有内容发送到 C2 服务器，而不在本地存储任何内容。 “ReconShark泄露有价值信息的能力，例如已部署的检测机制和硬件信息，表明 ReconShark 是 Kimsuky 精心策划的侦察行动的一部分，该行动可实现后续精确攻击，可能涉及专门为逃避防御和利用平台弱点而定制的恶意软件。”Sentinel One 警告说。 ReconShark 的另一个功能是从 C2 获取额外的有效载荷，这可以让 Kimsuky 在受感染的系统上更好地立足。 Sentinel Labs 报告中写道，“除了窃取信息外，ReconShark 还以多阶段方式部署更多有效载荷，这些有效载荷以脚本（VBS、HTA 和 Windows Batch）、启用宏的 Microsoft Office 模板或 Windows DLL 文件的形式实现。ReconShark 根据在受感染机器上运行的检测机制进程来决定部署哪些有效负载。” 有效载荷部署阶段涉及编辑与 Chrome、Outlook、Firefox 或 Edge 等流行应用程序关联的 Windows 快捷方式文件 (LNK)，以便在用户启动这些应用程序之一时执行恶意软件。 ReconShark 编辑快捷方式文件(Sentinel Labs) 另一种方法是将默认的 Microsoft Office 模板 Normal.dotm 替换为托管在 C2 服务器上的恶意版本，以便在用户启动 Microsoft Word 时加载恶意代码。 加载恶意 Office 模板(Sentinel Labs) 这两种技术都提供了一种隐蔽的方式来更深入地渗透到目标系统中，保持持久性，并作为威胁参与者多阶段攻击的一部分执行额外的有效负载或命令。 Kimsuky的复杂程度和变形策略要求提高警惕，并模糊其行动与开展更广泛活动的其他朝鲜团体的界限。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/06SDfqaEBb-iuok473eoKQ 封面来源于网络，如有侵权请联系删除

近日，与朝鲜有关的被追踪为APT37的威胁行为者与一种名为M2RAT的新恶意软件有关，该恶意软件针对其“南部”对手发起攻击，表明该组织的特征和策略在不断演变。 APT37 也以 Reaper、RedEyes、Ricochet Chollima 和 ScarCruft 的绰号进行跟踪，与朝鲜国家安全部 (MSS) 有关联，这与隶属于侦察总局 (RGB) 的 Lazarus 和 Kimsuky 威胁集群不同。 据谷歌旗下的 Mandiant 称，MSS 的任务是“国内反间谍和海外反情报活动”，APT37 的攻击活动反映了该机构的优先事项。历史上，这些行动专门针对叛逃者和人权活动家等个人。 “APT37 评估的主要任务是秘密收集情报，以支持朝鲜的战略军事、政治和经济利益，”这家威胁情报公司表示。 众所周知，威胁行为者依靠定制工具（如 Chinotto、RokRat、BLUELIGHT、GOLDBACKDOOR 和 Dolphin）从受感染主机收集敏感信息。 “这次 RedEyes Group 攻击案例的主要特征是它利用了 Hangul EPS 漏洞并使用隐写技术来分发恶意代码，”AhnLab 安全应急响应中心 (ASEC) 在周二发布的一份报告中表示。 2023 年 1 月观察到的感染链以一个诱饵韩文文件开始，该文件利用文字处理软件中现已修补的漏洞 ( CVE-2017-8291 ) 触发从远程服务器下载图像的 shellcode。 JPEG 文件使用隐写技术来隐藏可移植的可执行文件，该可执行文件在启动时会下载 M2RAT 植入程序并将其注入合法的 explorer.exe 进程。 虽然持久性是通过修改 Windows 注册表实现的，但 M2RAT 充当后门，能够进行键盘记录、屏幕捕获、进程执行和信息窃取。与 Dolphin 一样，它也被设计为从可移动磁盘和连接的智能手机中吸取数据。 ASEC 表示：“这些 APT 攻击很难防御，尤其是 RedEyes 组织以主要针对个人而闻名，因此非企业个人甚至很难识别这种损害。” 这不是 CVE-2017-8291 第一次被朝鲜威胁者武器化。据Recorded Future报道，2017 年末，有人观察到 Lazarus Group 以韩国加密货币交易所和用户为目标部署 Destover 恶意软件。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/UFFbkYPoMZZ0t_CC3q1bVQ 封面来源于网络，如有侵权请联系删除

美国和韩国机构警告说，朝鲜政府利用与朝鲜有联系的黑客组织对关键基础设施进行的勒索软件攻击为其恶意网络行动提供资金。 美国 CISA 发布了一份网络安全公告 (CSA)，向网络防御者提供有关威胁行为者的信息。关于针对医疗保健和公共卫生部门，组织以及其他关键基础设施部门实体的持续勒索软件活动的联合 CSA 是美国国家安全局 (NSA)、美国联邦调查局 (FBI)、美国网络安全局之间合作的结果和基础设施安全局 (CISA)、美国卫生与公众服务部 (HHS)、韩国 (ROK) 国家情报局 (NIS) 和韩国国防安全局 (DSA)（以下简称“创作机构”）。 “该通报重点介绍了朝鲜网络攻击者用来访问医疗保健和公共卫生 (HPH) 部门组织和其他关键基础设施部门实体并对其进行勒索软件攻击的 TTP 和 IOC，以及朝鲜网络攻击者使用加密货币索要赎金的行为。” 阅读联合资讯。 据报道，这些朝鲜威胁行为者购买了虚拟专用网络 (VPN) 和虚拟专用服务器 (VPS) 或第三国 IP 地址以隐藏其位置。他们利用各种常见漏洞来获取访问权限并提升网络权限政府机构详细说明了与朝鲜 APT 组织相关的 TTP，例如： 获取基础设施 “ T1583 ”。威胁行为者生成域、角色和账户；并识别加密货币服务以执行其勒索软件操作。 混淆身份。威胁行为者通过使用第三方外国附属机构身份或以第三方外国附属机构身份开展业务来故意混淆他们的参与，并使用第三方外国中介机构接收赎金。 购买 VPN 和 VPS “T1583.003 ”。威胁行为者使用虚拟专用网络 (VPN) 和虚拟专用服务器 (VPS) 或第三国 IP 地址来隐藏攻击源。 获得访问权限 “TA0001 ”。威胁参与者利用各种常见漏洞，包括CVE 2021-44228、CVE-2021-20038和CVE-2022-24990。该公告还指出，攻击者在攻击中使用了“X-Popup”的特洛伊木马化文件，这是韩国中小型医院员工常用的开源信使。 横向移动和发现 “TA0007，  TA0008 “。攻击者使用带有定制恶意软件的分阶段有效载荷来执行侦察活动、上传和下载其他文件和可执行文件，以及执行 shell 命令 “T1083、  T1021 “。该恶意软件还用于收集受害者信息并将其发送到远程主机 “TA0010″。 使用各种勒索软件工具 “TA0040″。攻击者使用私人开发的勒索软件，例如 Maui 和 H0lyGh0st，以及其他勒索软件系列，包括 BitLocker、Deadbolt、ech0raix、GonnaCry、Hidden Tear、Jigsaw、LockBit 2.0、My Little Ransomware、NxRansomware、Ryuk和 YourRansom “T1486″。 以加密货币索要赎金。民族国家行为者要求用比特币支付赎金 “T1486 “。他们通过 Proton Mail 电子邮件账户与受害者沟通。 在获得初始访问权限后，观察到这些朝鲜网络参与者使用带有定制恶意软件的分阶段有效载荷来执行侦察活动和执行 shell 命令等技术。在这些活动中，一直部署私人开发的勒索软件，并以比特币为赎金要求。 为了抵御这些威胁，CISA 咨询提倡几种缓解措施，例如通过验证和加密连接来限制对数据的访问，在账户中使用最小权限的概念以及为网络和资产创建多层防御。 根据Xage Security联合创始人兼产品高级副总裁 Roman Arutyunov的说法，关键基础设施提供商应该接受这些变化，尽管与此类实施相关的技术困难。 Arutyunov在一封电子邮件中告诉Infosecurity：“我确实认识到，当涉及到进行安全架构更改的困难时，存在恐惧，但有可用的工具来平滑过渡并同时增强安全性和操作。” “最终，会有更多的威胁到来，所以现在就开始这个过程是明智的。”在 Proofpoint 研究人员揭露了一个名为 TA444 的新朝鲜网络攻击者后数周，CISA 发布了咨询报告。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/opM9s-w5AE408JZjAsySHw 封面来源于网络，如有侵权请联系删除  

Hackernews 编译，转载请注明出处： 卡巴斯基的网络安全研究人员将Maui勒索软件与朝鲜支持的Andariel APT组织联系起来，后者被认为是Lazarus APT集团的一个部门。 朝鲜民族国家黑客使用Maui勒索软件对提供医疗服务的服务器进行加密，包括电子健康记录服务、诊断服务、成像服务和内联网服务。 卡巴斯基专家注意到，在将Maui勒索软件部署到初始目标系统前约10小时，黑客在3个月前向目标部署了一种著名的DTrack恶意软件变体。这两种恶意代码都被认为是Andariel武器库的一部分。并且，用于攻击日本、俄罗斯、印度和越南公司的DTrack变体与Andariel APT网络间谍活动中使用的样本代码相似度为84%。 Andariel APT（又名Stonefly）自2015年来一直很活跃，它参与了几次朝鲜政府发起的攻击事件。 根据这次攻击的操作方式，我们得出结论，Maui勒索软件事件背后的黑客TTP与过去Andariel/Stonefly/Silent Chollima的活动非常相似: 在初始感染后使用合法的代理和隧道工具或部署它们以保持访问，并使用Powershell脚本和Bitsadmin下载其他恶意软件; 利用漏洞来攻击已知但未修补的脆弱公共服务，如WebLogic和HFS; 专门部署DTrack，也称为Preft; 在活动之前，目标网络内的停留时间可以持续数月； 在全球范围内部署勒索软件，显示持续的经济动机和利益规模。 2020年4月，美国国务院、财政部、国土安全部和联邦调查局发布了一份联合咨询意见，警告世界各地的组织注意朝鲜民族国家黑客对全球银行和金融机构构成的“重大网络威胁”。 当时，美国政府还向任何能够提供“与朝鲜有关的APT组织所开展活动的信息”的人提供高达500万美元的奖金，当局还将为过去黑客活动的信息付费。 今年7月，美国国务院将奖励增加到1000万美元。 掌握与朝鲜相关的APT团体（如Andariel、APT38、Bluenoroff、Guardians of Peace，Kimsuky或Lazarus集团）相关的任何个人信息，以及违反计算机欺诈和滥用法并参与针对美国关键基础设施的人，可以获得奖励。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近日，美国财政部海外资产控制办公室 (OFAC) 今天批准了加密货币混合器 Tornado Cash一种去中心化加密货币混合服务，据悉，自 2019 年创建以来用于洗钱超过 70 亿美元。 朝鲜支持的 APT Lazarus Group 还使用加密货币混合器恶意洗钱大约 4.55 亿美元，这是有史以来最大的已知加密货币抢劫案。据悉，这是自 Lazarus 在 4 月入侵 Axie Infinity 的 Ronin 网桥后窃取价值 6.2 亿美元的以太坊以来，攻击后收集的总赏金的一部分。 Tornado Cash 还被用于在 6 月 Harmony Bridge 黑客攻击事件中洗钱超过 9600 万美元 （其中 1 亿美元被盗），以及至少 780 万美元来自 8 月 Nomad Heist  （被盗 1.5 亿美元）。 在入侵区块链音乐平台Audius、Beanstalk DeFi 平台和去中心化加密货币交易所Uniswap以及 Arbix Finance退出骗局之后，这种加密混合器还被用来使追踪被盗资金变得更加困难。 “今天，财政部正在制裁 Tornado Cash，这是一种虚拟货币混合器，可以清洗网络犯罪的收益，包括针对美国受害者的犯罪，”负责恐怖主义和金融情报的财政部副部长 Brian E. Nelson 说。“尽管公众另有保证，但 Tornado Cash 一再未能实施旨在阻止其定期为恶意网络行为者洗钱的有效控制措施，并且没有采取基本措施来解决其风险。” 财政部对加密货币混合器实施制裁绝非第一次 此前，美国财政部官员今年发起了一波制裁，以防止加密货币被用于逃避制裁和洗钱。今年4月，在首次制裁虚拟货币混币器之前不久，美国财政部也首次点名了一家加密货币挖矿公司——总部设在瑞士的Bitriver AG，因为它在俄罗斯科技领域运营。同样在那个月，美国财政部还指控总部位于莫斯科的Garantex加密货币交易所“故意无视”反洗钱义务，并“允许(其)系统被非法行为者滥用”。 金融犯罪执法网络 (FinCEN) 还于 2020 年 10 月对 Helix 和 Coin Ninja 混合器服务的创始人和运营商拉里·迪恩·哈蒙 (Larry Dean Harmon) 发出了有史以来第一次民事罚款，罪名 是违反了《银行保密法》(BSA) 及其实施条例。 FinCEN 当时透露，使用 Helix 不倒翁洗钱的最大数量的加密货币来自暗网非法市场，包括 AlphaBay、Dream Mark、Agora Market、Nucleus 等。 “协助犯罪分子的虚拟货币混合器对美国国家安全构成威胁。财政部将继续调查混合器用于非法目的的情况，并利用其权力应对虚拟货币生态系统中的非法融资风险，”OFAC 今天补充道。 “正如今天的行动所表明的那样，虚拟货币公司通常应将混合器视为高风险，只有当它们有适当的控制措施以防止混合器被用于洗钱非法收益时，它们才应处理交易。” 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/oh4s1eF0dT415wf-WNe9YA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国国务院将任何与朝鲜有关的黑客的信息奖励增加到1000万美元。 2020年4月，美国国务院、财政部、国土安全部和联邦调查局发布了一份联合咨询意见，警告世界各地的组织注意朝鲜民族国家黑客对全球银行和金融机构构成的“重大网络威胁”。 当时，美国政府还向任何能够提供“与朝鲜有联系的APT组织所开展活动的信息”的人提供高达500万美元的奖金，当局还将为过去黑客活动的信息付费。 现在，美国国务院将奖励增加到1000万美元。 掌握与朝鲜有联系的APT组织（如Andariel，APT38，Bluenoroff，Guardians of Peace，Kimsuky或Lazarus Group）相关的任何个人信息，并且违反《计算机欺诈和滥用法案》参与针对美国关键基础设施的人，都可以获得奖励。 正义奖励组织建立了一个黑暗网站，允许任何人通过安全渠道，提供有关针对美国的外国恶意网络活动的信息。 消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Securonix 威胁研究 (STR) 团队的研究人员发现了一个新的攻击活动，被跟踪为 STIFF#BIZON，针对多个国家的高价值组织，包括捷克共和国和波兰。研究人员将此活动归因于与朝鲜有关的APT37组织，即 Ricochet Chollima。 攻击者使用了Konni RAT（远程访问木马），该木马于 2017 年由 Cisco Talos 研究人员首次发现，自 2014 年以来一直未被发现，同时被用于高度针对性的攻击。RAT由于不断进化而能够避免检测，它能够在目标系统上执行任意代码并窃取数据。 Konni RAT 被归咎于与朝鲜有关的威胁行为者，被追踪为APT37。攻击链从试图诱骗受害者打开恶意附件的网络钓鱼邮件开始。 此活动中使用的附件是一个包含 Word 文档 (missile.docx) 和 Windows 快捷方式文件 (_weapons.doc.lnk.lnk) 的档案。 一旦打开 LNK 文件，感染链就会启动。 “代码执行首先将一小段代码嵌入到快捷方式文件中，当用户双击它时，该快捷方式文件将与预期的二进制文件一起运行和执行。” 阅读专家发表的分析。“此代码运行并执行附加到 missile.docx 文件末尾的 Base64 编码文本。” Base64 有效负载与联系 C2 以下载和执行“weapons.doc”和“wp.vbs”文件的 PowerShell 脚本一起执行。 Weapons.doc 是一个诱饵文件，而 wp.vbs 在后台静默运行，并在名为“Office Update”的主机上创建一个计划任务，该任务执行以 Base64 编码的 PowerShell 脚本。 此时，C2 通信再次建立，允许攻击者访问系统。 一旦 Konni RAT 被加载到受感染的系统上，威胁参与者就可以使用特定模块实现以下功能： Capture.net.exe – 使用 Win32 GDI API 捕获屏幕截图并将 gzip 压缩的结果上传到 C2 服务器。 chkey.net.exe – 提取存储在本地状态文件中的状态密钥，使用 DPAPI 加密。状态密钥允许攻击者解密 cookie 数据库解密，这在绕过 MFA 时很有用。 pull.net.exe – 从受害者的网络浏览器中提取保存的凭据。 shell.net.exe – 建立一个可以每 10 秒运行一次命令的远程交互式 shell。 为了进一步保持持久性，威胁参与者使用 Konni 恶意软件的修改版本，他们能够下载一个 .cab 文件，其中包含与恶意软件相关的多个文件（bat、dll、dat、ini、dll）。 专家们还讨论了在俄罗斯境内的 APT28 组织可能伪装成 APT37 的假旗行动的可能性。 “此外，在这次攻击和我们之前从 FancyBear/APT28 [3]中看到的历史数据之间，IP 地址、托管服务提供商和主机名之间似乎存在直接关联。最后，这个特殊案例的有趣之处在于，它使用了 Konni 恶意软件以及与 APT28 的相似之处。” 转自 E安全，原文链接：https://mp.weixin.qq.com/s/4inyisUnYXp2wHEpiKKgdA 封面来源于网络，如有侵权请联系删除

导  读 作为朝鲜最著名的黑客组织之一，Lazarus 利用称为“NukeSped”的 Log4J RCE 漏洞在 VMware Horizon 服务器上注入后门，以检索信息窃取有效载荷。CVE-2021-44228 (log4Shell) 是已被跟踪并识别此漏洞的 CVE ID，它影响了包括 VMware Horizon 在内的多种产品。 自今年1月份以来，多个威胁参与者都在利用此漏洞，1 月份 VMware 敦促客户修补关键的 Log4j 安全漏洞，这些漏洞会影响以持续攻击为目标的暴露于Internet的VMware Horizon 服务器 。 Ahnlab的 ASEC 的网络安全分析师声称，自 2022 年 4 月以来，Lazarus 组织背后的威胁行为者一直通过 Log4Shell 攻击易受攻击的 VMware 产品。   VMware Horizon 服务器是目标 通过运行这个 PowerShell 命令，很可能会安装服务器上的 NukeSped 后门。 NukeSped 等后门恶意软件能够从 C&C 服务器接收命令并代表攻击者执行这些命令。2018 年夏天，NukeSped 与隶属于朝鲜的黑客有关联，然后与 Lazarus 发起的 2020 年活动有关。 在最新的变体中，C++ 语言是首选语言，并且使用 RC4 加密确保与 C2 的安全通信。在之前的版本中，使用了 XOR 加密。   运营 在妥协的条件下，NukeSped 执行各种间谍活动，我们在下面提到： 截图 记录按键操作 访问文件 支持命令行命令 目前，有两个模块是当前 NukeSped 变体的一部分，一个用于从 USB 设备转储内容，另一个允许您访问网络摄像头。   数据目标 有几种类型的数据可以被恶意软件窃取，下面将提到它们：   账户凭证 浏览记录 电子邮件帐户信息 MS Office 中最近使用的文件的名称 在某些攻击中，通过 Log4Shell 可以看到 Lazarus 使用 Jin Miner 而不是 NukeSped。   最近的 Lazarus 事件是第二个已知的恶意软件活动示例，该恶意软件活动在针对 Windows 的活动中使用 LoLBins。另一个是在 macOS 和 Windows 计算机上使用加密挖掘恶意软件。 为了突出黑客组织用于攻击的各种策略，除此之外还有对 Log4Shell 的利用。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/EQzzlRDUkoSv5wTAhu8E8w 封面来源于网络，如有侵权请联系删除

据Vice的报道，美财政部将Ronin网络6.25亿美元加密货币被盗事件归咎于朝鲜黑客组织。据悉，该网络是支持Axie Infinity游戏的区块链。当地时间周四，财政部更新了制裁措施，其中包括收到资金的钱包地址并将其归于Lazarus集团。 开发商集团Sky Mavis拥有的Ronin网络在关于该事件的更新帖子中披露称，美财政部和联邦调查局已经将攻击归咎于Lazarus。帖子写道：“在重新部署Ronin Bridge之前，我们仍在增加额外的安全措施以减轻未来的风险。我们预计将在本月底前提供一份完整的事后报告，其中将详细说明所采取的安全措施和下一步措施。”Ronin指出，它将在本月底使其桥梁重新上线。该桥允许用户在其他区块链和Axie Infinity之间转移资金，它在攻击发生后被封锁。 Vice指出，被标记的钱包地址目前包含超4.45亿美元（14.8万以太坊）并在不到一天前向另一个地址发送了近1000万美元（3302.6以太坊）。加密货币交易追踪器Etherscan将该地址标记为“据说参与了针对Ronin bridge的黑客攻击”。 当地时间3月29日，黑客在迄今为止最大的加密货币抢劫案之一中盗走了价值6.25亿美元的以太坊。据加密货币调查组织Chainanalysis称，Lazarus组织跟朝鲜情报机构存在联系并对去年的七次攻击负责。该组织因在2014年入侵索尼影业，泄露由塞斯·罗根执导的以朝鲜为背景的喜剧《Interview》而声名鹊起。后来，它在2018年使用木马恶意软件从亚洲和非洲各地的自动取款机中窃取了数百万美元并跟WannaCry勒索软件存在关联。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1258433.htm 封面来源于网络，如有侵权请联系删除