HackerNews 编译，转载请注明出处： 美国司法部近期提交民事没收诉讼，要求没收与朝鲜伪造IT员工计划相关的774万美元加密货币资产。该计划涉及此前被起诉的朝鲜外贸银行（FTB）代表沈贤燮（Sim Hyon Sop）。冻结资产涵盖加密货币、NFT及其他数字资产。 司法部在声明中指出：“朝鲜IT工作者通过非法就业积累数百万美元加密货币资产，目的是规避美国对朝制裁。这些资金最初因2023年4月对沈贤燮的起诉而被冻结，其涉嫌与IT工作者共谋。当朝鲜试图清洗这些非法所得时，美国政府成功冻结并扣押了774万美元涉案资金。” 诉状揭示朝鲜通过加密资产非法融资的核心手段：派遣IT工作者秘密潜入中国、俄罗斯等国，利用伪造身份骗取区块链公司远程职位。雇主在不知情下以USDC、USDT等稳定币支付薪酬，变相资助朝鲜政权。这些工作者通过虚假身份、小额转账、链跳转（chain hopping）、NFT购买等方式洗钱，并利用美国账户掩盖资金来源。清洗后的资金通过沈贤燮及朝鲜国防部关联企业Chinyong CEO金尚曼（Kim Sang Man）等人回流朝鲜——该企业自2017年起受美制裁。 司法部国家安全司司长Sue J. Bai强调：“朝鲜长期利用全球远程IT雇佣及加密生态系统规避制裁，为其武器计划提供资金。此次百万美元级没收行动彰显我们切断非法融资渠道的决心，将持续运用法律工具遏制朝鲜破坏稳定计划。” 2024年5月，司法部起诉涉嫌协助朝鲜IT工作者冒用美籍身份渗透数百家企业的亚利桑那州女子、乌克兰男子及三名外籍人士。该计划派遣数千名技术人员使用盗取的美籍身份渗透企业，通过美国支付平台、招聘网站及代理电脑欺诈超300家美企，成为美当局起诉的最大规模同类案件。行动时间跨度为2020年10月至2023年10月，情报专家推测其旨在为朝鲜核计划融资。 主要被告克里斯蒂娜·查普曼（Christina Marie Chapman）5月在亚利桑那州被捕，乌克兰籍奥列克桑德·迪登科（Oleksandr Didenko）同期于波兰落网，美方正寻求引渡。查普曼面临共谋欺诈、电汇欺诈、银行欺诈、加重身份盗窃等12项指控。FBI同步发布警报，警示私营领域防范朝鲜IT工作者威胁。 同年8月，田纳西州居民马修·努特（Matthew Isaac Knoot）因运营“笔记本农场”协助朝鲜IT工作者获取美企远程职位被捕。诉状显示，努特帮助朝鲜工作者使用窃取身份冒充美国公民，在其住所托管公司笔记本电脑，安装未授权软件提供访问权限，并通过朝中关联账户清洗薪酬。朝鲜IT工作者主要潜伏中俄两国，以虚假身份骗取远程工作，每人年收入可达30万美元。 执法部门估算受害企业审计修复损失超50万美元。努特被控共谋破坏受保护计算机、洗钱、电汇欺诈等六项罪名，若成立将面临最高20年监禁（其中身份盗窃罪强制最低刑期2年）。       消息来源：  securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的威胁组织Konni APT被指与针对乌克兰政府机构的钓鱼活动有关，这表明该组织的攻击目标已扩展到俄罗斯以外的地区。企业安全公司Proofpoint表示，此次活动的最终目标是收集有关“俄罗斯入侵轨迹”的情报。 安全研究人员Greg Lesnewich、Saher Naumaan和Mark Kelly在分享给《黑客新闻》的报告中表示：“该组织对乌克兰的关注延续了其历史上针对俄罗斯政府机构进行战略情报收集的模式。” Konni APT（又称Opal Sleet、Osmium、TA406和Vedalia）是一个长期针对韩国、美国和俄罗斯实体的网络间谍组织，其活动至少可追溯至2014年。该组织通常通过钓鱼邮件分发Konni RAT（又名UpDog）恶意软件，并将收件人重定向至凭证窃取页面。Proofpoint在2021年11月发布的分析报告中评估称，TA406是被公开追踪为Kimsuky、Thallium和Konni集团活动的多个关联组织之一。 网络安全公司记录的最新攻击使用伪装成虚构智库“皇家战略研究院”高级研究员的钓鱼邮件，该智库本身也是不存在的机构。邮件包含托管在MEGA云服务的密码保护RAR压缩包链接。使用邮件正文中提供的密码打开压缩包后，会启动旨在对受感染设备进行广泛侦察的感染链。 具体而言，RAR压缩包内的CHM文件会显示与乌克兰前军事领导人瓦列里·扎卢日内相关的诱饵内容。如果受害者点击页面任意位置，嵌入HTML的PowerShell命令就会连接外部服务器下载第二阶段PowerShell载荷。 新启动的PowerShell脚本可执行多种命令收集系统信息，使用Base64编码后发送至同一服务器。研究人员指出：“当目标未点击链接时，攻击者连续多日发送多封钓鱼邮件，询问目标是否收到先前邮件并催促下载文件。” Proofpoint还观察到钓鱼邮件直接附加HTML文件的情况。在此攻击变种中，受害者被诱导点击HTML文件内的链接，下载包含良性PDF和Windows快捷方式（LNK）文件的ZIP压缩包。执行LNK文件时会运行Base64编码的PowerShell，通过Visual Basic脚本投放名为“Themes.jse”的JavaScript编码文件。该恶意软件随后联系攻击者控制的URL，并通过PowerShell执行服务器响应。当前有效载荷的具体性质尚不明确。 此外，TA406被曝通过ProtonMail账户向乌克兰政府机构发送伪造的微软安全警报邮件，警告存在来自美国IP地址的可疑登录活动，诱骗受害者访问链接验证登录信息。虽然凭证窃取页面尚未恢复，但据悉该域名此前曾被用于窃取Naver登录信息。Proofpoint表示：“这些凭证窃取活动发生在恶意软件部署尝试之前，部分目标用户后来也成为HTML投递活动的攻击对象。TA406极可能正在收集情报，帮助朝鲜领导人评估其已在战区部队的当前风险，以及俄罗斯请求更多部队或武器的可能性。” 此次披露正值Konni集团被指参与针对韩国实体的复杂多阶段恶意软件活动，攻击者使用包含LNK文件的ZIP压缩包，通过PowerShell脚本提取CAB压缩包，最终投放能够收集敏感数据并外泄至远程服务器的批处理脚本恶意软件。 这些发现与Kimsuky针对韩国政府机构的鱼叉式钓鱼活动相吻合，该活动通过投放能够建立命令与控制（C2）通信、窃取文件、浏览器数据和加密货币钱包信息的窃取程序实施攻击。 韩国网络安全公司AhnLab表示，Kimsuky还被观察到传播PEBBLEDASH恶意软件，该木马通过鱼叉式钓鱼启动多阶段感染链。美国政府于2020年5月将PEBBLEDASH归因于Lazarus集团。 该公司称：“虽然Kimsuky集团使用多种恶意软件，但在PEBBLEDASH案例中，他们通过初始访问阶段的鱼叉式钓鱼执行基于LNK文件的恶意软件发动攻击，随后利用PowerShell脚本创建任务计划程序实现自动执行，通过与Dropbox和基于TCP套接字的C2服务器通信，安装包括PEBBLEDASH在内的多种恶意软件和工具。” 专注于朝鲜问题的活动人士近期成为APT37（又称ScarCruft）攻击目标。据Genians安全中心（GSC）披露，这项名为“Operation ToyBox Story”的鱼叉式钓鱼攻击首次发现于2025年3月8日。 该韩国公司表示：“邮件中的Dropbox链接指向包含恶意LNK文件的压缩包，提取执行后会激活包含‘toy’关键词的附加恶意软件。”LNK文件被配置为启动诱饵HWP文件并运行PowerShell命令，依次执行toy03.bat、toy02.bat和toy01.bat文件，最终释放与APT37关联的RoKRAT木马。 RoKRAT能够收集系统信息、截取屏幕截图，并利用pCloud、Yandex和Dropbox三种云服务进行C2通信。Genians指出：“威胁分子利用合法云服务作为C2基础设施，持续修改LNK文件，同时专注于无文件攻击技术以规避目标终端杀毒软件的检测。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与朝鲜有关的国家级威胁行为者被指与一场针对韩国商业、政府和加密货币部门的持续活动有关。 这场被 Securonix 命名为 DEEP#DRIVE 的攻击活动，被归因于一个名为 Kimsuky 的黑客组织，该组织也被追踪为 APT43、Black Banshee、Emerald Sleet、Sparkling Pisces、Springtail、TA427 和 Velvet Chollima。 “攻击者利用用韩语编写的定制网络钓鱼诱饵，伪装成合法文件，成功渗透到目标环境。” 安全研究人员丹・尤兹维克（Den Iuzvyk）和蒂姆・佩克（Tim Peck）在一份与《黑客新闻》共享的报告中表示，并将此活动描述为“复杂且多阶段的操作”。 通过网络钓鱼电子邮件发送的诱饵文件，格式为 .HWP、.XLSX 和 .PPTX，伪装成工作日志、保险文件和与加密货币相关的文件，诱使收件人打开它们，从而触发感染过程。 攻击链值得注意的是其在各个阶段大量依赖 PowerShell 脚本，包括有效载荷传递、侦察和执行。其特点还在于使用 Dropbox 进行有效载荷分发和数据窃取。 这一切都始于一个包含单个 Windows 快捷方式（.LNK）文件的 ZIP 压缩包，该文件伪装成合法文件。当提取并运行时，会触发 PowerShell 代码的执行，以从 Dropbox 获取并显示诱饵文件，同时通过名为“ChromeUpdateTaskMachine”的计划任务在 Windows 主机上秘密建立持久性。 其中一个用韩语编写的诱饵文件涉及物流设施叉车操作的安全工作计划，深入探讨了重型货物的安全处理，并概述了确保遵守工作场所安全标准的方法。 PowerShell 脚本还设计为联系同一个 Dropbox 位置以获取另一个 PowerShell 脚本，该脚本负责收集和窃取系统信息。此外，它还会投放第三个 PowerShell 脚本，最终负责执行一个未知的 .NET 程序集。 “使用基于 OAuth 令牌的身份验证进行 Dropbox API 交互，使得侦察数据（如系统信息和活动进程）能够无缝窃取到预定文件夹。” 研究人员表示。 “这种基于云的基础设施展示了一种有效且隐蔽的方法来托管和检索有效载荷，绕过了传统的 IP 或域名阻止列表。此外，该基础设施似乎具有动态性和短寿命，正如攻击初期阶段后关键链接的迅速移除所证明的那样，这不仅使分析复杂化，还表明攻击者积极监控其活动以确保操作安全。” Securonix 表示，他们能够利用 OAuth 令牌获得更多关于威胁行为者基础设施的洞察，发现证据表明这场活动可能从去年 9 月就开始了。 “尽管缺少最后阶段，但分析突显了攻击者采用的复杂技术，包括混淆、隐蔽执行和动态文件处理，这些技术表明攻击者意图规避检测并使事件响应复杂化。” 研究人员总结道。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的黑客组织Kimsuky近日被发现使用一种新策略，通过欺骗目标以管理员身份运行PowerShell，随后指示受害者粘贴并执行其提供的恶意代码。 微软威胁情报团队在X平台上发布的一系列帖子中表示：“为了执行这一战术，黑客伪装成韩国政府官员，并与目标建立信任关系，之后通过钓鱼邮件发送带有PDF附件的邮件。” 受害者被说服点击包含Windows系统注册步骤链接的URL，以查看所谓的PDF文档。该注册链接要求受害者以管理员身份启动PowerShell并将显示的代码片段复制并粘贴到终端中执行。 如果受害者照做，恶意代码将下载并安装基于浏览器的远程桌面工具，并从远程服务器下载包含硬编码PIN的证书文件。 微软表示：“该代码随后向远程服务器发送网页请求，使用下载的证书和PIN注册受害者的设备。这使得黑客能够访问该设备并进行数据外泄。” 微软还表示，自2025年1月以来，该攻击方法在少数攻击中得到了应用，并称其与Kimsuky黑客组织以往的攻击手法有所不同。 值得注意的是，Kimsuky并非唯一采用这种攻击策略的朝鲜黑客组织。2024年12月，调查显示，与“传染性面试”活动相关的黑客组织也通过类似方式欺骗用户，在Apple macOS系统的终端应用中复制并执行恶意命令，声称是为了解决浏览器无法访问摄像头和麦克风的问题。 此类攻击在近几个月内迅速增加，部分原因在于它们依赖目标自行感染机器，从而绕过了安全防护。 亚利桑那州女子承认为朝鲜IT工人运营“笔记本电脑农场” 与此同时，美国司法部（DoJ）宣布，亚利桑那州一名48岁女子因参与诈骗IT工人计划认罪，该计划使朝鲜黑客能够冒充美国公民和居民，在超过300家美国公司获得远程工作机会。 司法部表示，从2020年10月到2023年10月，这一活动为Christina Marie Chapman和朝鲜非法获利超过1710万美元，违反了国际制裁。 司法部称：“作为美国公民，Chapman与海外IT工人合作，从2020年10月到2023年10月，盗取美国国民的身份，并利用这些身份申请远程IT工作，进一步实施计划时，向国土安全部传递虚假文件。” “Chapman和她的同谋在数百家美国公司获得了工作机会，包括财富500强公司，通常是通过临时工作人员公司或其他承包机构。” 被告于2024年5月被捕，她还被指控通过在家中设置多个笔记本电脑，运营一个“笔记本电脑农场”，制造出朝鲜工人正在国内工作的假象，实际上这些工人位于中国和俄罗斯，通过远程连接到公司的内部系统。 司法部补充道：“由于Chapman及其同谋的行为，超过300家美国公司受影响，超过70个美国公民身份被泄露，超过100次向DHS传递虚假信息，超过70名美国人被错误地创建了税务责任。” 随着执法部门加大对这一IT工人计划的审查，相关的数据外泄和勒索行为不断升级。 美国联邦调查局（FBI）在上个月发布的通报中表示：“在被发现连接到公司网络后，朝鲜IT工人通过扣押窃取的专有数据和代码进行勒索，直到公司满足赎金要求。”FBI还表示：“在某些情况下，朝鲜IT工人已公开发布受害公司专有代码。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Radiant Capital 表示，朝鲜APT组织是 10 月 16 日通过网络攻击侵入其系统并导致 5000 万美元加密货币被盗的幕后黑手。 在 Mandiant 网络安全专家的协助下，对该事件进行了调查，并最终确定了攻击原因，他们表示，此次攻击是由朝鲜黑客组织 Citrine Sleet（又名“UNC4736”和“AppleJeus”）发起的。 Radiant 是一个去中心化金融 (DeFi) 平台，允许用户跨多个区块链网络存入、借入和管理加密货币。 该平台通过 Arbitrum Layer 2 扩展系统利用以太坊区块链安全性，并在社区驱动的系统下运行，使用户能够通过 RDNT 储物柜参与治理、提交提案并对积极举措进行投票。 2024 年 10 月 16 日，Radiant宣布其遭受入侵，事件导致5000万美元加密货币被盗。此次入侵是由“复杂的恶意软件”造成的，该恶意软件针对三名值得信赖的开发人员，他们的设备受到攻击以执行未经授权的交易。 黑客似乎利用了常规的多重签名流程，以交易错误的名义收集有效签名，并从 Arbitrum 和币安智能链 (BSC) 市场窃取资金。 此次攻击绕过了硬件钱包安全和多层验证，交易在手动和模拟检查中看起来都很正常，表明攻击非常复杂。 矛头指向朝鲜黑客组织 在 Mandiant 的协助下对此次攻击进行内部调查后，Radiant 现在可以分享有关所使用的恶意软件及其背后犯罪者的更多信息。 攻击始于 2024 年 9 月 11 日，当时 Radiant 的一名开发人员收到一条冒充前承包商的 Telegram 消息，诱骗他们下载恶意 ZIP 文件。 该档案包含一个用作诱饵的 PDF 文件和一个名为“InletDrift”的 macOS 恶意软件负载，它在受感染的设备上建立了后门。 攻击中使用的诱饵 PDF 文件，来源：Radiant Radiant 表示，此次攻击设计精良，执行完美，绕过了所有现有的安全措施。 Radiant 解释说：“这种欺骗行为进行得如此天衣无缝，即使采用 Radiant 的标准最佳实践，例如在 Tenderly 中模拟交易、验证有效载荷数据以及在每一步遵循行业标准 SOP，攻击者仍然能够入侵多个开发者设备。” “前端界面显示良性交易数据，而恶意交易则在后台签名。传统的检查和模拟没有显示出明显的差异，使得威胁在正常审查阶段几乎不可见。” Mandiant 高度确信，此次攻击是由 UNC4736 发起的，该威胁组织今年早些时候因利用Google Chrome0day漏洞而被曝光。 鉴于其安全措施被成功绕过，Radiant强调需要更强大的设备级解决方案来增强交易安全性。 至于被盗资金，该平台表示正在与美国执法部门和zeroShadow合作，追回尽可能多的资金。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/nuVGbUTwHYT2qE4vywO9ig 封面来源于网络，如有侵权请联系删除  

近日，韩国宣布对朝鲜黑客集团 Kimsuky 实施新制裁。首尔还与华盛顿一起发布了针对该组织的社会工程学努力的联合网络警报警告。 首尔外交部在一份新闻稿中说：“韩国政府在世界上首次将‘Kimsuky’指定为对朝鲜实施独立制裁的对象。” 该部表示，制裁旨在遏制该组织针对韩国的活动。它还列出了 Kimsuky 使用的两个加密钱包地址，这些地址现在根据当地法律是禁止访问的。 新闻稿称，韩国是对朝鲜周三将一颗军事侦察卫星送入轨道的失败尝试作出直接回应。 据该部称，包括 Kimsuky 在内的朝鲜黑客组织“通过窃取世界各地与武器开发、人造卫星和太空相关的尖端技术，直接或间接参与了朝鲜所谓卫星的开发”。 Kimsuky 专门通过开展大规模社会工程活动窃取敏感信息，这是由美国国务院、联邦调查局、国家安全局和韩国外交部、国家警察厅以及国家情报局说。 黑客团体的鱼叉式网络钓鱼活动令人信服地冒充真人，目标是智库、学术机构和专门报道朝鲜半岛局势的新闻媒体的专业人士。 该顾问承认，Kimsuky 擅长社会工程学。“十多年来，Kimsuky 攻击者不断改进他们的社会工程技术，并使他们的鱼叉式网络钓鱼努力越来越难以辨别，”它说。 据称，这些网络参与者通过广泛的研究和准备开始他们的活动，并经常使用开源信息来识别潜在的价值目标。然后，他们调整自己的在线角色，使其看起来更真实，并更彻底地说服受害者。 该咨询称，Kimsuky 演员也非常了解目标的兴趣，并更新他们的介绍性电子邮件的内容，以反映朝鲜观察者社区讨论的时事。 来自 Kimsuky 的电子邮件通信示例。图片由 Cybernews 提供 这些电子邮件通常附带恶意文件或链接，在通报中称为“诱饵文件”。它们以报告或新闻文章的形式呈现，但实际上包含恶意软件——如果收件人打开它们，Kimsuky 就可以控制受感染的系统并保持对它的访问。 建议潜在目标注意危险信号，例如笨拙的句子和语法错误、朝鲜短语的使用或真假电子邮件域之间的细微差别。 此外，专家建议采取可能的缓解措施，例如设置强密码、多因素身份验证或使用防病毒软件。一般来说，在确认任何请求时谨慎行事是明智的。 3 月，德国和韩国政府当局就 Kimsuky 发动的网络攻击发出警告，这些攻击需要使用流氓浏览器扩展来窃取用户的 Gmail 收件箱。 2022 年，网络安全公司 Zscaler 的数据显示，一个被认为是朝鲜组织 Lazarus 的威胁行为者一直在以首尔为目标发起复杂的鱼叉式网络钓鱼活动。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/t9oyCIpGQRub0f-PMnNgqw 封面来源于网络，如有侵权请联系删除

韩国国家警察厅 (KNPA) 警告说，朝鲜黑客入侵了该国最大的医院之一首尔国立大学医院 (SNUH) 的网络，以窃取敏感的医疗信息和个人详细信息。该事件发生在 2021年5月至 6 月之间，警方在过去两年中进行了分析调查，以确定肇事者。 根据执法机构的新闻稿，根据以下信息将此次攻击归因于朝鲜黑客： 在攻击中观察到的入侵技术 与朝鲜威胁行为者独立关联的 IP 地址 网站注册详情 特定语言和朝鲜语词汇的使用   韩国当地媒体将这次袭击与 Kimsuky 黑客组织联系起来，但警方的报告并未明确提及具体的威胁组织。 攻击者使用韩国等国的七台服务器对医院内部网络发起攻击。 警方表示，该事件导致831,000人的数据泄露，其中大多数是患者。此外，受影响的人中有17,000人是现任和前任医院员工。 KNPA 新闻警告说，朝鲜黑客可能会试图渗透各个行业的信息和通信网络。它强调需要加强安全措施和程序，例如实施安全补丁、管理系统访问和加密敏感数据。 KNPA警告说：“我们计划调动我们所有的安全能力，积极应对国家政府支持的有组织网络攻击，并通过信息共享和与相关机构的合作来防止进一步的损害，从而坚定地保护韩国的网络安全。 ”   毛伊岛和安达利尔 据悉，朝鲜黑客此前与医院网络入侵有关，旨在窃取敏感数据并向医疗机构勒索赎金。 美国政府曾强调了 Maui 勒索软件威胁本身，警告医疗保健部门他们需要加强对朝鲜行动的防御。 发出此警告后不久，卡巴斯基的安全研究人员将 Maui 勒索软件操作与名为“Andariel”（又名“Stonefly”）的特定活动集群联系起来，该活动被认为是 Lazarus 的一个子组。 自2021年4月以来， Lazarus以使用勒索软件攻击韩国实体而闻名 。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/TfanyqS4SwwPFipd6AtHpg 封面来源于网络，如有侵权请联系删除

Google威胁分析小组（TAG）的一篇新博文显示，2022年10月，朝鲜积极利用了一个Internet Explorer零日漏洞。这次攻击以韩国用户为目标，将恶意软件嵌入参考最近首尔梨泰院人群踩踏惨案的文件中。 Internet Explorer浏览器早在今年6月初就正式退役了，此后被微软Edge取代。然而，正如TAG的技术分析所解释的那样，Office仍在使用IE引擎来执行启用攻击的JavaScript，这就是为什么它在没有安装2022年11月新的安全更新的Windows7至11和Windows Server 2008至2022机器上依然存在漏洞。 当题为”221031首尔龙山梨泰院事故应对情况（06:00）.docx”的恶意微软Office文档于2022年10月31日被上传到VirusTotal时，TAG意识到来自IE的漏洞依然阴魂不散。这些文件利用了10月29日在梨泰院发生的悲剧的广泛宣传，在这场悲剧中，151人在首尔的万圣节庆祝活动中因人群踩踏而丧生。 TAG认为这次攻击是由朝鲜政府支持的一个名为APT37的组织所为，该组织以前曾在针对朝鲜叛逃者、政策制定者、记者、人权活动家和韩国IE用户的攻击中使用类似的IE零日漏洞。 该文件利用了在”jscript9.dll”（Internet Explorer的JavaScript引擎）中发现的Internet Explorer零日漏洞，在渲染攻击者控制的网站时，该漏洞可被用来传递恶意软件或恶意代码。 TAG在博文中说，它”没有获得这次攻击活动的最终载荷”，但指出之前观察到APT37使用类似的漏洞来输送恶意软件，如Rokrat、Bluelight和Dolphin。在这种情况下，该漏洞在10月31日被发现后的几个小时内就被报告给了微软，并在11月8日被修补。   转自 cnbeta，原文链接：https://www.toutiao.com/article/7174457484654936580/ 封面来源于网络，如有侵权请联系删除

美联邦调查局（FBI）、网络与基础设施安全局（CISA）和财政部（DoT）近日警告称，有朝方背景的黑客组织，正在利用勒索软件向美国各地的医疗保健机构和公共卫生部门发起攻击。在周三发布的联合公告中，美政府机构指出，其发现相关黑客活动至少可追溯至 2021 年 5 月开始部署的 Maui 勒索软件。 截图（来自：CISA 网站） 据悉，受害医疗保健机构的服务器资料会被加密，并波及电子健康记录、医学成像和整个内网。 该咨询报告写道： 联邦调查局评估发现有朝方背景的网络攻击者，针对医疗保健机构和公共卫生部门部署了 Maui 勒索软件。 推测黑客认为医疗保健组织愿意支付赎金，毕竟这些组织提供了对人类生命和健康至关重要的服务。基于这一假设，FBI、CIA 和财政部评估有朝方背景的黑客，可能会继续发起针对相关医疗保健组织机构的攻击。 公告还指出，在 FBI 观察到并介入相应的诸多事件中，在毛伊岛爆发的勒索软件攻击对当地医疗保健服务造成了长期的中断困扰。 2022 年 4 月上旬，威胁搜寻初创企业 Stairwell 率先曝光了此事，并努力帮助组织机构确定其是否已被入侵。 分析期间，Stairwell 首席逆向工程师 Silas Cutler 指出 —— 这里缺乏许多常见于勒索软件即服务（RaaS）提供商的工具功能。 这种反常的现象，最终让他们推断 Maui 很可能是在受害者网络中手动部署、然后远程操作者针对其想要的特定文件进行了加密。 此前很长一段时间，我们已经多次听到过类似的报道。Mandiant Intelligence 副总裁 John Hultquist 亦在一封电子邮件中表示，这种情况对他们来说可谓是轻车熟路。 自 COVID-19 大流行以来，针对医疗保健行业的勒索软件攻击也呈现出了一个有趣的发展。 恶意行为者最初可能将网络间谍活动作为一个突破口，但近期有留意到攻击者的重点目标已转向其它传统的外交和军事组织。 不过从业务中断产生的后果来看，医疗保健组织依然非常容易受到此类勒索的影响。 最后，这份 CISA 联合公告提到了相关攻击指标（IOC）、技术策略和程序（TTP）等信息，以帮助相关组织机构有效落实网络安全防护政策。 比如限制对数据的访问、关闭网络设备管理接口，并通过监控工具观察物联网设备是否有被入侵等。 转自 cnBeta，原文链接：https://www.135editor.com/beautify_editor.html 封面来源于网络，如有侵权请联系删除