近年来，与朝鲜黑客有关的网络犯罪活动不断升级，其独创的“IT就业计划”成为国际社会关注的焦点。 根据网络安全公司SentinelOne和Palo Alto Networks Unit 42的研究，朝鲜黑客利用虚假身份和前线（空壳）公司，大规模渗透全球技术行业以获取资金，支持朝鲜的武器研发及核导弹项目。这种活动不仅涉及伪造身份获取工作，还通过复杂的技术攻击扩大其威胁范围。 朝鲜“IT就业计划”的全貌 朝鲜黑客组织通过全球范围的“笔记本农场”（由目标企业所在国家的公民运营的远程办公环境）计划，组织大量IT人员以个体身份或通过伪装的公司获取技术行业的远程办公就业机会。这些人员通过在线支付平台或第三国银行账户，将绝大部分收入返回朝鲜，为其核武器和导弹项目提供资金支持。其主要运作模式如下： 1.虚假前线公司：朝鲜黑客利用俄罗斯、东南亚等地的公司掩盖其身份，伪装成“外包开发”或“技术咨询”公司。 2.伪造网站：研究发现，这些前线公司的网站通常直接复制合法公司的内容和设计。 Independent Lab LLC仿制美国公司Kitrum Shenyang Tonywang Technology LTD仿制Urolime Tony WKJ LLC仿制印度的ArohaTech IT Services HopanaTech仿制ITechArt 这些前线公司通过知名域名注册商NameCheap注册，并冒充技术服务商获取合同。（这些虚假网站已在2024年10月被美国政府查封） 渗透美国企业的案例 打入KnowBe4 朝鲜黑客出海最知名的案例莫过于成功打入了知名美国网络安全公司KnowBe4。朝鲜黑客利用“笔记本农场”计划成功通过了KnowBe4的多轮面试。此类出海黑客不仅通过伪造的身份获取该公司的外包工作，还窃取了内部凭证以申请更多高价值职位。这也标志着朝鲜威胁组织的战略转变：从单纯的收入获取，逐步转向更具破坏性的内鬼威胁和恶意软件攻击。 Wagemole计划与Contagious Interview Unit 42的报告显示，朝鲜的一组活动集群（代号CL-STA-0237）结合钓鱼攻击和恶意视频会议应用程序传播BeaverTail恶意软件。这一行为表明，朝鲜威胁组织正在将伪装的IT工作者转变为更激进的攻击角色，其主要攻击方式如下： 攻击路径：通过冒充IT公司发送求职邮件，使用被感染的面试工具部署恶意软件。 混入企业：研究发现，该集群通过伪装成为一家美国中小型IT服务公司的员工，进而成功申请大型技术企业的职位，扩大其影响力。 朝鲜“黑客出海”攻击特点 Sentinal在报告中指出，朝鲜的这一战略不仅为其武器研发项目提供了稳定的资金来源，还对全球网络安全构成重大威胁。以下是朝鲜网络攻击行为的几大特点： 1高度组织化 伪造身份：通过制作虚假的护照和学历证明，伪装成受过高等教育的IT专业人士。 利用全球化漏洞：从中国到东南亚，这些黑客通过复杂的前线网络隐藏其实际来源。 2逐步扩展的攻击目标 初期目标：以低门槛的外包工作获取收入。 扩展目标：通过窃取内部凭证，参与数据窃取、恶意软件分发和供应链攻击。 3协同发展 跨国合作：利用他国公司掩护，规避国际制裁。 与其他威胁集群联动：如Contagious Interview集群，扩展了传统钓鱼攻击的深度。 如何防御“黑客出海”？ 鉴于黑客出海务工行为的复杂性和隐蔽性，企业需加强以下防御措施： 1严格的身份验证 在招聘流程中对候选人的背景和身份进行更严格的审查，验证其身份真实性。 引入先进的自动化工具以交叉检查简历信息的可信度。 2强化供应链安全 对所有外包合作伙伴进行风险评估，确保其合规性。 监控供应链中的异常行为，避免被恶意行为者利用。 3多层次威胁检测 实施先进的威胁情报系统，实时检测可疑的网络活动。 对内部凭证和访问权限进行定期审查，防止被滥用。 4提高员工意识 针对潜在钓鱼攻击和伪造身份行为，对员工开展培训。 定期更新安全策略，以应对不断变化的威胁。 总结：“黑客出海”不是朝鲜的专利 通过“笔记本农场”计划，朝鲜黑客组织将网络攻击与经济渗透相结合，展现出高度的适应性和创新性。从冒充IT工作者到恶意软件攻击，其目标从简单的资金获取扩大到企业供应链安全和国家基础设施。 最后，“黑客出海”的威胁绝不仅仅是朝鲜的“专利”，任何黑客组织都可能模仿朝鲜黑客渗透对手国家的重要企业和项目，企业和政府需要重视并加强对该威胁的防御措施。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/6UuOfmnkt3mX6sgNJtr9RA 封面来源于网络，如有侵权请联系删除

美国网络安全公司 KnowBe4 表示，其最近聘请的一名首席软件工程师原来是朝鲜黑客，他试图在其设备上安装信息窃取软件。 该公司及时发现并阻止了恶意行为，因此没有发生数据泄露。这起案件凸显了朝鲜黑客冒充 IT 人员的持续威胁，这是FBI 自 2023 年以来多次警告的事情 。 朝鲜拥有一支组织严密的IT 工作者大军，他们隐瞒自己的真实身份，可能受雇于数百家美国公司。 朝鲜黑客利用AI骗过背景调查 在雇用这名“员工”之前，KnowBe4 进行了背景调查，核实了所提供的推荐信，并进行了四次视频面试，以确保他们是真实的人，并且他的脸与简历上的相符。 但后来确定，该人提交了一名被盗的美国人的身份，以逃避初步检查，并且在视频会议中利用人工智能工具创建个人资料图片并进行面部匹配。 KnowBe4 是一家专门从事安全意识培训和网络钓鱼模拟的公司，2024 年 7 月 15 日，其 EDR 产品报告有人试图从刚刚发送给新员工的 Mac 工作站加载恶意软件，因此怀疑出现了问题。 KnowBe4 的一位发言人表示，该恶意软件是一个针对存储在网络浏览器数据的信息窃取程序，而这名恶意员工很可能希望提取在委托给他之前留在计算机上的信息。 攻击者可能为了查找 IT 部门初始配置过程中先前浏览器会话遗留的凭据，或者提取先前发给其他员工的未完成或未正确擦除的笔记本电脑中遗留的信息。 当该公司 IT 人员质问该活动时，这名“员工”最初辩解，但很快就停止了所有通信。 当这些警报到达 KnowBe4 的 SOC 团队时，他们联系了用户，询问异常活动和可能的原因。XXXX回复 SOC 说，他正在按照路由器指南上的步骤排除速度问题，这可能造成了损害。 攻击者执行了各种操作来操纵会话历史文件、传输潜在有害文件并执行未经授权的软件。他使用 Raspberry Pi 下载了恶意软件。SOC 试图从 XXXX 获取更多详细信息，包括给他打电话。XXXX 表示他无法接听电话，后来没有回应。 KnowBe4 首席执行官 Stu Sjouwerman 在一篇帖子中解释说，该计划涉及诱骗雇主将工作站发送到“IT 电脑农场”，该农场位于诈骗者在其申请表上申报的家庭住址附近。 然后，他们在夜间使用 VPN 连接到该设备，这样看起来就像他们在美国时间工作一样，并正常执行分配给他们的任务。 为了降低这种风险，KnowBe4 建议公司为新员工维护一个与最关键的网络部分隔离的沙盒。 该公司还表示，要确保新员工的外部设备不会被远程使用，并将送货地址不一致视为危险信号。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NqYAPiPcdk4OsVgAG_LkLQ 封面来源于网络，如有侵权请联系删除

与朝鲜有关的APT组织 Kimsuky 涉嫌使用新的恶意 Google Chrome 扩展程序，该扩展程序旨在窃取敏感信息，作为正在进行的情报收集工作的一部分。 Zscaler ThreatLabz于 2024 年 3 月初观察到了该活动，并将该扩展程序命名为 TRANSLATEXT，突出显示其收集电子邮件地址、用户名、密码、cookie 和浏览器屏幕截图的能力。 据称，此次攻击活动是针对韩国学术界，特别是关注朝鲜政治事务的学术界。 Kimsuky 是朝鲜一个臭名昭著的黑客组织，据了解，该组织至少自 2012 年以来一直活跃，策划针对韩国实体的网络间谍活动和出于经济动机的攻击。 Kimsuky 是 Lazarus 集群的组织之一，也是侦察总局 (RGB) 的一部分，也被称为APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima。 最近几周，该组织利用Microsoft Office 中已知的安全漏洞 (CVE-2017-11882) 来分发键盘记录器，并在针对航空航天和国防部门的攻击中使用以工作为主题的诱饵，目的是投放具有数据收集和二次有效载荷执行功能的间谍工具。 网络安全公司 CyberArmor表示：“这个后门似乎之前没有公开记录过，它允许攻击者执行基本的侦察并投放额外的有效载荷来接管或远程控制机器。”该公司将这次活动命名为 Niki。 虽然已知该组织利用鱼叉式网络钓鱼和社会工程攻击来激活感染链，但目前尚不清楚与新发现的活动相关的初始访问的具体模式。 攻击的起点是一个据称涉及韩国军事历史的 ZIP 档案，其中包含两个文件：一个 Hangul 文字处理器文档和一个可执行文件。 感染链示例 启动可执行文件会导致从攻击者控制的服务器检索 PowerShell 脚本，进而将有关受感染受害者的信息导出到 GitHub 存储库，并通过 Windows 快捷方式 (LNK) 文件下载其他 PowerShell 代码。 Zscaler 表示，它发现了一个于 2024 年 2 月 13 日创建的GitHub 帐户，该帐户短暂地以“GoogleTranslate.crx”的名义托管了 TRANSLATEXT 扩展程序，尽管目前尚不清楚其交付方式。 安全研究员 Seongsu Park 表示：“这些文件于 2024 年 3 月 7 日出现在GitHub存储库中，并于第二天删除，这意味着 Kimsuky 打算尽量减少暴露，并在短时间内使用该恶意软件来针对特定个人。” TRANSLATEXT 伪装成 Google 翻译，它整合了 JavaScript 代码以绕过 Google、Kakao 和 Naver 等服务的安全措施；窃取电子邮件地址、凭证和 cookie；捕获浏览器截图；并窃取被盗数据。 它还可以从 Blogger Blogspot URL 获取命令，以便截取新打开的标签的屏幕截图以及从浏览器中删除所有 cookie 等。 Kimsuky TRANSLATEXT架构 Park 说：“Kimsuky 集团的主要目标之一是监视学术人员和政府人员，以收集有价值的情报。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/mpOHUGObQ2mdolrKIb6yWQ 封面来源于网络，如有侵权请联系删除

微软已将此前追踪的朝鲜黑客组织Moonstone Sleet与勒索软件FakePenny的网络攻击联系起来，该组织提出了数百万美元的勒索要求。 尽管该威胁组织的战术、技术和程序（TTPs）在很大程度上与其他朝鲜攻击者重叠，但他们也在持续采用新颖的攻击方法，使用自主开发的基础设施和工具。 此前追踪的Moonstone Sleet组织Storm-17已被观察到使用木马化软件（例如PuTTY）、恶意游戏和npm软件包、自定义恶意软件加载器，以及虚假的软件开发公司（如StarGlow Ventures和C.C. Waterfall）对金融和网络间谍目标进行攻击。他们通过LinkedIn、Telegram、自由职业网络或电子邮件与潜在受害者互动。 微软表示：“在首次检测到Moonstone Sleet活动时，我们发现该组织与Diamond Sleet表现出很大的重叠性。该组织重复使用已知的Diamond Sleet恶意软件（如Comebacker）的代码，并使用成熟的Diamond Sleet技术获取对组织的访问权限，例如通过社交媒体传递木马化软件。” “然而，Moonstone Sleet很快转变为使用自主开发的基础设施和攻击方式。随后，微软观察到Moonstone Sleet和Diamond Sleet同时行动，其中Diamond Sleet仍在大量使用此前已知的成熟技术手段。” Moonstone Sleet PuTTY 攻击流程 朝鲜黑客与勒索软件相关 在黑客入侵受害者网络的两个月后，即今年四月，我们首次发现黑客部署了新的定制 FakePenny 勒索软件变种。 然而，与之前朝鲜国家黑客协调的勒索软件攻击不同，此前受害者被朝鲜黑客要求支付10万美元的赎金，而Moonstone Sleet攻击者要求支付660万美元的比特币。 微软对此次攻击的评估结论为：Moonstone Sleet部署勒索软件的主要动机是获取经济利益。而此前该组织参与的网络间谍攻击也表明，他们的攻击旨在创收和收集情报。 自首次观察到该组织的行动以来，Moonstone Sleet已针对多个行业发起攻击，包括软件和信息技术、教育以及国防工业基地部门的个人和组织。 FakePenny 勒索软件的留言截图 Moonstone Sleet并不是近年来第一个与勒索软件攻击有关联的朝鲜黑客组织。此前，美国和英国政府正式将 2017 年 5 月勒索软件 WannaCry 危害全球数十万台电脑这一事件归咎于 Lazarus Group。 2022年7月，微软和FBI也分别将朝鲜黑客与勒索软件Holy Ghost的行动、勒索软件Maui针对医疗机构的攻击联系起来。 微软补充道：“Moonstone Sleet 的各种战术之所以引人注目，不仅是因为它们十分有效，还因为它们是从其他朝鲜黑客多年来为实现朝鲜网络目标而开展的活动中演变而来的。” “此外，Moonstone Sleet 效仿另一朝鲜黑客 Onyx Sleet 将勒索软件加入其战术库，这表明该组织可能正在加强自己的能力来实现一些破坏性行动。”   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

therecord网站消息，美国悬赏500万美元，以获取被控代表朝鲜诈骗公司近 700 万美元的 IT 员工信息。 美国国务院称，从 2020 年 10 月到 2023 年 10 月，一位名叫克里斯蒂娜-查普曼（Christina Chapman）的美国公民帮助化名为 Jiho Han、Chunji Jin 和 Haoran Xu 的工作者以软件和应用程序开发员的身份在多个行业和领域的公司实施欺诈，获得远程工作。 查普曼、以上三名工作者以及一名27岁的乌克兰人奥列克桑德尔·迪登科（Oleksandr Didenko）已被联邦检察官指控参与该计划。三名工作者的经理（化名 Zhonghua 和 Venechor S ）被列为未被起诉的同谋。 本周三，查普曼在她的家乡亚利桑那州利奇菲尔德公园被捕，迪登科于 5 月 7 日在波兰被捕，美国正在寻求对他的引渡。 国务院表示，该诈骗计划帮助 Jiho Han、Chunji Jin 和 Haoran Xu 使用属于 60 多名真实美国人的虚假身份在美国公司获得非法远程工作，为朝鲜创造了至少 680 万美元的收入。 司法部表示，该计划影响了 300 多家美国公司，导致 100 多次向国土安全部传递了虚假信息，为超过 35 名美国人制造了虚假纳税义务。 据美国国务院介绍，这三名工作者与朝鲜军火工业部（该部门负责监督朝鲜弹道导弹的开发、武器生产和研发项目）有关联，他们曾尝试在两家未具名的美国政府机构找到工作，但均以失败告终。不过，他们成功在多家财富 500 强公司获得工作，其中包括排名前五的大型电视网络、一家硅谷科技公司、一家航空航天和国防公司、一家美国汽车制造商、一家奢侈品零售店和一家美国标志性媒体和娱乐公司。 美国国务院称，查普曼帮助他们获取了 60 名美国公民的身份信息，并 “接收和托管 ”了雇主发送的笔记本电脑，目的是让这些朝鲜人看起来像是在美国工作。另外，他还帮助这些工作者远程连接到美国公司的电脑网络、处理工资支票，把钱洗白。 FBI 纽约分局助理局长吉姆-史密斯（Jim Smith）说，迪登科涉嫌在该计划中搭建了一些网站，用于欺诈和盗用美国人的身份。 美国国务院呼吁知道查普曼、 Jiho Han、Chunji Jin 和 Haoran Xu 信息的人提供线索，FBI 也发布了关于朝鲜 IT 人员的警报。 逃避制裁 去年，美国财政部宣布对四个实体实施制裁，这些实体雇用了数千名朝鲜 IT 员工，帮助非法资助朝鲜政权的导弹和大规模杀伤性武器项目。 财政部称，朝鲜在全球各地拥有大批 “高技能 ”IT 员工，这些年薪高达 30 万美元的人“故意混淆自己的身份、地点和国籍，通常使用假冒的角色、代理账户、盗用的身份以及伪造或假冒的文件”来申请工作。 财政部负责恐怖主义和金融情报的副部长布莱恩-纳尔逊（Brian Nelson）指出，朝鲜“广泛的非法网络和 IT 工人活动”有助于“为该政权的非法大规模杀伤性武器和弹道导弹计划提供资金”。 近年来，一些美国执法机构和国际组织对朝鲜 IT 工作者冒充其他国家公民获得工作的情况发出了警告。他们的职位要么用于为朝鲜政权筹集资金，要么用来渗透具有资金和信息获取权限的机构。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401209.html 封面来源于网络，如有侵权请联系删除

据观察，朝鲜黑客Kimsuky部署了一种全新的Golang恶意软件“Durian”，针对两家韩国加密货币公司进行高度定向网络攻击。 “Durian具有全面的后门功能，可以执行传送的命令、下载额外文件并泄露文件。”Kaspersky在2024年第一季度APT趋势报告中指出。 2023年8月和11月的网络攻击使用韩国独有的合法软件作为感染途径，操纵该程序的确切机制尚且未知。 已知的是，该软件与攻击者服务器相连，从而导致恶意有效载荷检索并启动感染序列。 第一阶段充当了额外恶意软件的安装程序，同时也是一种在主机上建立持久性的手段。它还为最终执行Durian的加载程序铺平了道路。 Durian被用于引入更多的恶意软件。包括AppleSeed、Kimsuky的主要后门选择，一个自定义代理工具LazyLoad，还有其他如ngrok和Chrome远程桌面的合法工具。 “攻击者最终通过植入恶意软件窃取了浏览器中存储的数据，包括Cookie和登录凭据。”Kaspersky表示。 此次攻击的一个显著特点是使用了LazyLoad，这个工具之前已经被Lazarus组织的一个子集Andariel使用过，这也引发了两个黑客间存在潜在合作或战术重叠的可能性。 Kimsuky团队自2012年以来一直非常活跃，其恶意网络活动涉及APT43、Black Banshee、Emerald Sleet（前身为Thallium）、Springtail、TA427和Velvet Chollima。 据评估，Kimsuky团队是63号研究中心的下属部门，该中心隶属于朝鲜的总参谋部，是该国家的主要军事情报组织。 美国联邦调查局（FBI）和国家安全局（NSA）本月早些时候在一份警报中表示，Kimsuky行动人员的主要任务是通过渗透政策分析人员和其他专家来窃取数据和有价值的地缘政治洞察，然后将其提供给朝鲜政权。 “成功的渗透让Kimsuky行动人员能进一步制作更有信服力、更有效的鱼叉式网络钓鱼邮件，并且能够利用更敏感、价值更高的目标。” Broadcom旗下的Symantec表示，该国家级黑客还与传递基于C#的远程访问木马和TutorialRAT信息窃取程序的攻击活动有关，该木马利用Dropbox作为“躲避威胁监控的基地。 “此次活动似乎是APT43的BabyShark威胁活动的延伸，采用了典型的鱼叉式网络钓鱼技术，如使用快捷方式（LNK）文件，”报告补充道。 安全智能中心（ASEC）详细描述了另一个朝鲜国家赞助的黑客组织ScarCruft策划的活动，该活动以部署RokRAT为目标，针对韩国用户使用Windows快捷方式（LNK）文件。 这个对抗性集体，也被称为APT37、InkySquid、RedEyes、Ricochet Chollima和Ruby Sleet，据说与朝鲜的国家安全部（MSS）对齐，负责秘密情报收集并支持该国的战略军事、政治和经济利益。 “最近我们确认了快捷方式文件（* .LNK）针对的是韩国用户，特别是那些与朝鲜相关的用户，”ASEC说。   消息来源：thehackernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

与朝鲜政府有联系的黑客正在利用电子邮件安全系统的漏洞发送看似合法的欺骗性消息，使他们能够冒充记者或学者。 包括联邦调查局 (FBI)、国家安全局 (NSA) 和国务院在内的多个联邦机构本周发布了一份公告，警告Kimsuky 行动中的黑客正在瞄准配置不当的基于 DNS 域的消息身份验证、报告和一致性 (DMARC) 记录策略。 DMARC 已有十多年的历史，是一种安全工具，电子邮件平台使用它来验证邮件并使其流行的域无法被欺骗。成功的 DMARC 实施可以阻止试图伪装成来自经过验证的组织的恶意电子邮件。根据配置，未通过合法性测试的电子邮件可能会被标记为垃圾邮件或被阻止。 据这些机构称，朝鲜黑客的目标是配置不当的 DMARC 设置，使他们的电子邮件看起来像是来自合法域的电子邮件，从而使他们能够伪装成与朝鲜政策圈有可靠联系的专家或学者。这些机构跟踪的活动从 2023 年底到 2024 年初。 在咨询报告的一个示例中，攻击者向受害者提供演讲费，作为让他们打开电子邮件的一种方式。一些电子邮件显示，有证据表明朝鲜黑客能够访问大学的合法电子邮件客户端来发送电子邮件。 大多数其他电子邮件都欺骗了合法记者的姓名和真实的电子邮件域，由于组织没有任何 DMARC 政策，因此仍然能够进入收件箱。 这些机构表示：“朝鲜利用这些鱼叉式网络钓鱼活动来收集有关地缘政治事件、对手外交政策战略的情报，以及通过非法获取目标私人文件、研究和通信来影响朝鲜利益的任何信息。” Kimsuky 是一个黑客组织，执法机构认为该组织由朝鲜侦察总局 (RGB) 内的第 63 研究中心运营。该组织的目标是“通过损害政策分析师和其他专家的利益，向朝鲜政权提供被盗数据和宝贵的地缘政治见解。” 黑客花时间研究受害者并定制鱼叉式网络钓鱼电子邮件，以“显得更加真实，对目标更有吸引力”。据美国机构称，他们经常使用以前被入侵的电子邮件帐户的邮件内容来增强其欺骗性电子邮件的真实性。 “除了令人信服的电子邮件信息外，Kimsuky 黑客组织还被发现创建虚假用户名并使用合法域名冒充受信任组织（包括智囊团和高等教育机构）的个人，以获取信任并与电子邮件收件人建立融洽关系。”该咨询报告说。 如果有人对一封电子邮件产生怀疑并检查了“回复”部分，它仍然看起来来自合法域。 在美国或韩国从事朝鲜、亚洲、中国和/或东南亚事务的任何人都应该留意这些电子邮件，尤其是政府官员和军人。 该建议警告人们警惕那些最初通信无害、随后来自不同电子邮件地址的奇怪链接或附加文档的电子邮件。 长期以来，朝鲜黑客一直被指控冒充记者和研究人员，试图闯入组织系统。SentinelLabs 表示， SentinelLabs一月份发布了一份报告，重点介绍了一项针对韩国学术界朝鲜事务专家以及一家专注于朝鲜问题的新闻机构的攻击活动。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/M87Aby-1TykR1z97N0ig4Q 封面来源于网络，如有侵权请联系删除

瑞典唯一的酒类零售商 Systembolaget 警告称，勒索软件的攻击导致其主要饮料供应商之一瘫痪，饮料可能很快就会售空。 据当地媒体报道，瑞典饮料供应商 Skanlog 最近遭受朝鲜勒索软件攻击。这次攻击破坏了该公司的 IT 系统，这意味着三个大型饮料仓库无法将货物运送到 Systembolaget 的零售店。 Systembolaget 是一家国有连锁酒类商店，是瑞典唯一一家获准销售酒精含量超过 3.5% 的酒精饮料的商店。根据 Systembolaget 的声明，Skanlog 的供应中断影响了该零售商四分之一的销量。 虽然目前不存在饮料短缺，但总体情况将取决于 Skanlog 恢复运营的速度。与此同时，供应商无法透露何时恢复运送酒精，导致瑞典人需要提前备货。 Skanlog 首席执行官 Mona Zuko 表示，该公司成为了携带 Lockbit 3.0 勒索软件的朝鲜黑客的攻击目标。攻击者于 4 月 21 日晚对该公司的文件进行了加密。   转自安全客，原文链接：https://www.anquanke.com/post/id/295995 封面来源于网络，如有侵权请联系删除

最新微软报告显示，与朝鲜有关的黑客组织开始应用人工智能技术，提高其网络行动的效率和效果。 报告指出，这些黑客正在学习利用基于大语言模型（LLM）的 AI 工具，增强网络攻击活动的成效。 “他们利用这些工具来加强针对朝鲜半岛问题专家的鱼叉式网络钓鱼活动，这一手法不断明智且高效。” 微软在报告中指出。微软特别提到了一个名为 Emerald Sleet（亦称为Kimusky或TA427）的黑客组织，观察到其使用 LLM 技术帮助提升针对朝鲜半岛专家的网络钓鱼攻击力度。 该报告还提到，这些黑客利用 AI 技术的最新进展来研究安全漏洞，并对专注于研究朝鲜问题的组织和专家进行侦查。 此外，微软表示它们还运用了 LLMs 来解决技术难题、执行基础脚本任务和撰写网络钓鱼邮件内容，并和 OpenAI 合作封禁了相关的威胁账户和资产。 根据研究人员发布的报告显示，Kimusky 利用看似友好的对话开始方式，与目标展开长期的沟通，以获取重要信息。 Kimusky 的常见手法是使用与智库和非政府组织相关的身份来使其恶意邮件看起来更加合法，提高了攻击的成功率。 近月来，这个国家支持的黑客组织还开始滥用宽松的基于域的消息认证体系（DMARC），通过伪装各种身份和植入网页信标（即追踪像素），以便绘制目标人物的概况，显示出它们对策略调整具有的敏捷性。 “这些网页信标主要用于最初的侦察工作，验证目标邮箱是否有效，同时收集关于收件人网络环境的一些基本信息，比如外部可见的 IP 地址、用户的浏览器类型，以及他们打开邮件的时间。”报告中说。 这一事态发展正值朝鲜黑客组织继续从事加密货币抢劫和供应链攻击之际，一名被称为 Jade Sleet 的威胁者与2023 年 6 月从爱沙尼亚一家加密公司盗窃至少 3500 万美元以及从一家加密货币公司盗窃超过 1.25 亿美元有关。一个月后，新加坡的加密货币平台出现了。 Jade Sleet，与其他被跟踪的黑客团伙 TraderTraitor 和 UNC4899 有重叠，也在 2023 年 8 月对在线加密货币赌场发动攻击，并使用假冒的 GitHub 仓库和恶意 npm 包来选择性攻击加密货币和科技企业的员工。 在 2023 年 8 月，一个位于德国的 IT 公司遭到了名为 Diamond Sleet（别名Lazarus Group）的黑客组织的侵害，然后在 11 月通过对台湾一家 IT 公司的软件进行供应链攻击。 微软威胁分析中心（MTAC）的负责人Clint Watts表示：“这样做主要是为了为该国的武器计划筹集资金，同时也为了收集有关美国、韩国和日本的情报。”Lazarus Group 还以使用复杂方法而著称，比如在 Windows 系统中利用 Phantom DLL 劫持技巧以及在 macOS 系统中操纵透明度、许可和控制（TCC）数据库，这些手法进一步展示了其狡猾和难以捉摸的特性，据安全公司Interpres Security的分析。 这些发现发生在 Konni（又名Vedalia）组织使用 Windows 快捷方式（LNK）文件传播恶意软件的背景下。赛门铁克公司提到：“该黑客组织利用双重扩展名技巧隐藏真正的.lnk扩展名，并且在 LNK 文件中填充了大量的空白字符，以掩盖恶意指令行。在攻击过程中，这些命令行脚本会努力检测 PowerShell 以逃避侦测，并寻找潜藏在文件中的恶意载荷。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/BCr2neSRqn6JIXJAcT72KA 封面来源于网络，如有侵权请联系删除

据观察，与朝鲜有关的APT组织Kimsuky（又名 Black Banshee、Emerald Sleet 或 Springtail）改变了策略，利用编译的 HTML 帮助 (CHM) 文件作为载体来传播恶意软件以收集敏感数据。 Kimsuky 至少自 2012 年以来一直活跃，其目标是位于韩国以及北美、亚洲和欧洲的实体。 据 Rapid7 称，攻击链利用了武器化的 Microsoft Office 文档、ISO 文件和 Windows 快捷方式 (LNK) 文件，该组织还利用 CHM 文件在受感染的主机上部署恶意软件。 该网络安全公司以过去观察到的类似间谍活动为由，以适度的信心将这一活动归咎于 Kimsuky。 该公司表示：“虽然 CHM 文件最初是为帮助文档而设计的，但它也被用于恶意目的，例如分发恶意软件，因为它们在打开时可以执行 JavaScript。” CHM 文件在 ISO、VHD、ZIP 或 RAR 文件中传播，打开后执行 Visual Basic 脚本 (VBScript) 以设置持久性并连接到远程服务器释放下一阶段有效负载，以获取敏感数据。 Rapid7 称这些攻击持续且不断演变，针对的是韩国的组织。它还确定了一种替代感染序列，该序列采用 CHM 文件作为起点，删除负责收集信息的批处理文件和连接到 C2 服务器并传输数据的 PowerShell 脚本。 报告称：“作案手法以及代码和工具的重用表明，攻击者正在积极使用和完善/重塑其技术和策略，以从受害者那里收集情报。” 博通旗下的赛门铁克透露，Kimsuky 攻击者正在传播冒充韩国合法公共实体应用程序的恶意软件。 赛门铁克表示：“一旦受到威胁，植入程序就会安装 Endor 后门恶意软件。” “这种威胁使攻击者能够从受害者那里收集敏感信息或安装其他恶意软件。” 值得注意的是，基于 Golang 的 Endor 与 Troll Stealer（又名 TrollAgent）最近被部署用于针对从韩国建筑相关协会网站下载程序的用户。 联合国对朝鲜在 2017 年至 2023 年间实施的 58 起疑似网络攻击进行了调查，这些攻击为朝鲜带来 30 亿美元的非法收入。 报告称：“据报道，侦察总局下属的黑客组织仍在继续发动大量网络攻击。”“趋势包括针对国防公司和供应链，以及越来越多地共享基础设施和工具。” 侦察总局 (RGB) 是朝鲜主要的对外情报机构，由被广泛追踪的Lazarus集团及其下属组织Andariel 、 BlueNoroff以及Kimsuky组成的APT集群组成。 报告进一步补充说：“Kimsuky 对使用生成人工智能（包括大型语言模型）表现出了兴趣，可能用于编码或编写网络钓鱼电子邮件。” “据观察 Kimsuky 使用 ChatGPT。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IgmPU_q726SP5tcqg6WZWw 封面来源于网络，如有侵权请联系删除