2023 年 12 月，名为 ScarCruft 的黑客组织精心策划了一场新的攻击活动，媒体组织和朝鲜事务的知名专家成为了这场活动的目标。 SentinelOne 研究人员 Aleksandar Milenkoski 和 Tom Hegel 在一份报告中表示：“ScarCruft 黑客组织一直在试验新的感染链，包括使用技术威胁研究报告作为诱饵，目标可能是网络安全专业人员等威胁情报的消费者。” 网络钓鱼电子邮件（韩语） 这个与朝鲜有联系的黑客组织，也被称为 APT37、InkySquid、RedEyes、Ricochet Chollima 和 Ruby Sleet，被评估为国家安全部 (MSS) 的一部分，与 Lazarus Group 和 Kimsuky 不同，后者是国家安全部 (MSS) 的一部分。 ScarCruft 黑客组织以政府和叛逃者为目标而闻名，利用鱼叉式网络钓鱼诱饵提供 RokRAT 和其他后门，最终目标是秘密收集情报以实现朝鲜的战略利益。 2023 年 8 月，ScarCruft 与 Lazarus 集团一起对俄罗斯导弹工程公司 NPO Mashinostroyeniya 进行的攻击有关，这被认为是一次“非常理想的战略间谍任务”，旨在使其有争议的导弹计划受益。 感染链 本周早些时候，朝鲜官方媒体报道称，该国已对其“水下核武器系统”进行了测试，以回应美国、韩国和日本的演习，并称这些演习对其国家安全构成威胁。 SentinelOne 观察到的最新攻击链针对朝鲜事务专家，冒充朝鲜研究所成员，敦促收件人打开包含演示材料的 ZIP 存档文件。 虽然存档中的 9 个文件中有 7 个是良性的，但其中两个是恶意 Windows 快捷方式 (LNK) 文件，反映了 Check Point 先前于 2023 年 5 月披露的用于分发 RokRAT 后门的多阶段感染序列。 诱饵文件 有证据表明，一些在 2023 年 12 月 13 日左右成为攻击目标的个人此前也曾在一个月前的 2023 年 11 月 16 日被挑选出来。 SentinelOne 表示，其调查还发现了恶意软件——两个 LNK 文件（“inteligence.lnk”和“news.lnk”）以及提供 RokRAT 的 shellcode 变体——据说这是黑客行动计划和测试过程的一部分。 虽然前一个快捷方式文件只是打开合法的记事本应用程序，但通过 news.lnk 执行的 shellcode 为 RokRAT 的部署铺平了道路，尽管这种感染过程尚未在野外观察到，这表明它可能用于未来的活动。 这一事态发展表明，国家背景的黑客组织正在积极调整其作案方式，可能是为了规避对其策略和技术公开披露的检测。 研究人员表示：“ScarCruft 仍然致力于获取战略情报，并可能打算深入了解非公开网络威胁情报和防御策略。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zlbizmZlCEeZMOTxH05OJw 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 由国家资助的朝鲜黑客 Andariel 从韩国公司窃取了超过 1.2TB 的国防技术相关文件，并勒索了 35.6 万美元的赎金。 首尔警察厅发布的一份声明称，来自平壤的网络攻击者成功地从韩国的十几家公司窃取了大约 250 份与国防技术相关的文件，其中包括防空激光武器。一些受害者没有意识到这一漏洞，而另一些人则试图隐瞒这一漏洞。 韩国警方与联邦调查局(FBI)合作，揭露了 Andariel 的黑客行为。在调查过程中，办案人员追踪到了赎金通过洗钱流入朝鲜。 黑客从三名受害者那里勒索了价值约 4.7 亿韩元(约合 35.6 万美元)的比特币，以换取系统的恢复。在把钱转移到朝鲜之前，Andariel 黑客利用海外加密货币交易所和一位 A 女士的银行账户洗钱。超过四分之一的被盗比特币被送到了靠近朝鲜边境的一家银行。 韩国警方没收了 Andariel 在韩国使用的服务器，并搜查了嫌疑人的住所和设备。A女士是香港一家货币交易所的前雇员，她否认参与洗钱活动，称她提供账户只是“为了方便”。 朝鲜黑客利用一个本地 IP 地址进行攻击，导致一家国内服务器租赁公司向身份不明的客户提供服务。这使得在2022年12月至2023年3月期间，黑客使用该服务器至少83次得以躲避检测。 警方在查获服务器后，确认了国防企业、金融企业、研究机构、制药企业等被黑客攻击的事实，其中约 1.2TB 的文件被盗，其中可能包含重要的技术和资料，包括证书。 警方的报告中写道：“一些公司没有意识到损失，一些公司由于担心企业信任度下降而没有向警方报告损失。” 据《韩国时报》报道，一些被盗的关键数据包括防空激光技术。 Andariel 被认为是朝鲜最臭名昭著的网络犯罪组织 Lazarus 的一个分支。Andariel 至少从2009年开始活跃，主要针对韩国政府机构、军事组织和各种公司进行破坏性攻击。Andariel 参与了针对银行和加密货币交易所的网络金融行动。该团伙由朝鲜的主要情报机构侦察总局控制。 网络新闻已经报道，朝鲜支持的黑客在六年内窃取了 30 亿美元的加密货币。加密货币盗窃和赎金一直是该政权的主要收入来源，特别是为军事和武器计划提供资金。 美国联邦调查局今年早些时候表示，朝鲜据称拥有 6000 名黑客，并利用他们获取经济利益和情报。     Hackernews 编译，转载请注明出处 消息来源：cybernews，译者：Serene

Hackernews 编译，转载请注明出处： 一个被追踪为 Diamond Sleet 的朝鲜政府支持的黑客，正在分发一款由中国台湾多媒体软件开发商 CyberLink 开发的合法应用程序的木马版本，通过供应链攻击来瞄准下游客户。 微软威胁情报团队在周三的一份分析报告中表示：“这个恶意文件是一个合法的 CyberLink 应用程序安装程序，已被修改为包含下载、解密和加载第二阶段有效载荷的恶意代码。” 这家科技巨头表示，病毒文件托管在该公司拥有的更新基础设施上，同时还包括限制执行时间窗口和绕过安全产品检测的检查。 据估计，此次攻击活动影响了日本、中国台湾、加拿大和美国的100多台设备。早在10月20日，就发现了与修改后的 CyberLink 安装文件相关的可疑活动。 与朝鲜的联系源于这样一个事实，即第二级有效载荷与之前被黑客入侵的 C2 服务器建立了连接。 微软进一步表示，他们已经观察到攻击者利用木马化的开源和专有软件来攻击信息技术、国防和媒体部门的组织。 Diamond Sleet与被称为“TEMP.Hermit”和“Labyrinth Chollima”的集群相吻合，这是一个来自朝鲜的伞状组织，也被称为“Lazarus集团”。至少从2013年就开始活跃。 “他们从那时起的行动代表了平壤收集战略情报以造福朝鲜利益的努力，”谷歌旗下的Mandiant上个月指出。“这个黑客的目标是全世界的政府、国防、电信和金融机构。” 有趣的是，微软表示，在发布代号为 LambLoad 的被篡改的安装程序后，它没有在目标环境中检测到任何操作键盘的活动。 武器化的下载和加载器首先检查目标系统中是否存在来自 CrowdStrike、FireEye 和 Tanium 的安全软件，如果不存在，则从伪装成 PNG 文件的远程服务器获取另一个有效载荷。 微软表示：“PNG 文件包含一个嵌入的有效载荷，在一个假的外部PNG标头中进行切断、解密，并在内存中启动。”在执行时，恶意软件进一步尝试联系合法但受损的域，以检索额外的有效载荷。 此前一天，Palo Alto Networks Unit 42团队披露了由朝鲜黑客设计的两项活动，这些活动旨在传播恶意软件，作为虚构工作面试的一部分，并在美国和世界其他地区的组织获得未经授权的就业机会。 上个月，微软还暗示 Diamond Sleet 利用 JetBrains TeamCity的一个关键安全漏洞(CVE-2023-42793)，伺机破坏易受攻击的服务器，并部署一个名为 ForestTiger 的后门。 朝鲜黑客组织(3CX、MagicLine4NX、JumpCloud和CyberLink)发起的软件供应链攻击激增，也促使韩国和英国发布了一份新的咨询报告，警告称此类攻击的复杂性和频率越来越高，敦促各组织采取安全措施，以减少被攻击的可能性。 这些机构表示：“我们观察到，这些行为者利用第三方软件中的零日漏洞，通过供应链进入特定目标或任意组织。这些供应链攻击极大地帮助朝鲜实现创收、间谍活动和窃取先进技术。”     Hackernews 编译，转载请注明出处 消息来源：TheHackerNews，译者：Serene

朝鲜黑客组织 Lazarus 最近似乎加大了行动力度，自 6 月 3 日以来已确认对加密货币实体发动了四次攻击。现在，他们被怀疑实施了第五次攻击，这次是在 9 月 12 日针对 CoinEx 实施的。 对此，CoinEx 发布了几条推文，表示可疑的钱包地址仍在确认中，因此被盗资金的总价值尚不清楚，但目前相信约为 5400 万美元。 在过去的 104 天里，Lazarus 已被确认从 Atomic Wallet（1 亿美元）、CoinsPaid（3730 万美元）、Alphapo（6000 万美元）和 Stake.com（4100 万美元）窃取了近 2.4 亿美元的加密资产。 最近的拉扎罗斯攻击 如上图所示，安全机构依利浦（Elliptic）分析证实，从 CoinEx 盗取的部分资金被发送到一个地址，该地址被 Lazarus 集团用来清洗从 Stake.com 盗取的资金，尽管是在不同的区块链上。之后，这些资金被桥接到以太坊上，使用的是 Lazarus 以前使用过的桥接器，然后又被发送回一个已知由 CoinEx 黑客控制的地址。依利浦曾观察到 Lazarus 将来自不同黑客的资金混合在一起的情况，最近一次是从 Stake.com 盗取的资金与从 Atomic Wallet 盗取的资金重叠。这些来自不同黑客的资金被合并的情况在下图中以橙色表示。 鉴于这种区块链活动，并且没有信息表明 CoinEx 黑客攻击是由任何其他威胁组织进行的，依利浦同意 Lazarus 集团应被怀疑盗窃了 CoinEx 的资金。 104 天内的五次 Lazarus 攻击 2022 年，几起备受瞩目的黑客攻击事件被认为是 Lazarus 所为，其中包括 Harmony 的 Horizon 桥接器和 Axie Infinity 的 Ronin 桥接器，这两起事件都发生在去年上半年。从那时起到今年 6 月，没有任何重大的加密劫案被公开归咎于 Lazarus。因此，过去 104 天内发生的各种黑客事件表明，朝鲜威胁组织的活动有所加强。 2023 年 6 月 3 日，非托管去中心化加密货币钱包 Atomic Wallet 的用户损失超过 1 亿美元。2023 年 6 月 6 日，依利浦在确定了表明朝鲜威胁组织应对此负责的多种因素后，将此次黑客攻击归咎于 Lazarus。这一归因后来得到了联邦调查局的证实。 2023 年 7 月 22 日，Lazarus 通过一次成功的社交工程攻击，获得了属于加密货币支付平台 CoinsPaid 的热钱包的访问权限。这次访问允许攻击者创建授权请求，从该平台的热钱包中提取约 3730 万美元的加密资产。7 月 26 日，CoinsPaid 发布了一份报告，声称 Lazarus 应对此次攻击负责。联邦调查局随后证实了这一归因。 同一天，即 7 月 22 日，Lazarus 发起了另一次备受瞩目的攻击，这次是针对集中式加密支付提供商 Alphapo，窃取了 6000 万美元的加密资产。攻击者可能是通过之前泄露的私钥获得了访问权限。如上所述，联邦调查局后来将这次攻击归咎于 Lazarus。 2023 年 9 月 4 日，在线加密货币赌场 Stake.com 遭到攻击，约 4100 万美元的虚拟货币被盗，这可能是私钥被盗的结果。联邦调查局于 9 月 6 日发布新闻稿，证实拉扎罗斯组织是这次攻击的幕后黑手。 最后，2023 年 9 月 12 日，中心化加密货币交易所 CoinEx 遭黑客攻击，5400 万美元被盗。如上文详述，许多因素表明，Lazarus 应对此次攻击负责。 改变策略 对 Lazarus 最新活动的分析表明，自去年以来，他们已将重点从去中心化服务转向中心化服务。在之前讨论过的最近五次黑客攻击中，有四次是针对集中式虚拟资产服务提供商的。在去中心化金融（DeFi）生态系统迅速崛起之前，中心化交易所曾是 Lazarus 在 2020 年之前的首选目标。 Lazarus 的注意力再次转移到中心化服务上可能有多种原因。 更加注重安全性： 依利浦之前对 2022 年 DeFi 黑客事件的研究发现，每四天就会发生一起漏洞利用事件，每次平均窃取 3260 万美元。跨链桥接器在 2022 年初还是一种相对较新的服务形式，但现在已成为 DeFi 协议中最常被黑的几种类型。这些趋势很可能促使智能合约审计和开发标准得到改进，从而缩小了黑客识别和利用漏洞的范围。 易受社交工程影响： 在许多黑客攻击中，Lazarus 集团选择的攻击方法是社会工程学。例如，Ronin Bridge 价值 5.4 亿美元的黑客攻击事件就是由于 LinkedIn 上的虚假招聘信息造成的。尽管如此，去中心化服务通常拥有较小的员工队伍，而且顾名思义，在不同程度上是去中心化的。因此，获得开发人员的恶意访问权限并不一定等同于获得智能合约的管理访问权限。 与此同时，集中式交易所的员工人数可能会更多，从而扩大了可能的目标范围。它们还可能使用集中的内部信息技术系统进行操作，从而使 Lazarus 恶意软件有更大的机会渗透到其业务的预期功能中。 转自cnBeta，原文链接：https://www.toutiao.com/article/7279614873636487714/?log_from=61ee17c088e3e_1695000055869 封面来源于网络，如有侵权请联系删除

一场正在进行的网络攻击活动将目光投向了韩国人，利用美国军方主题的文件诱饵诱骗他们在受损系统上运行恶意软件。网络安全公司Securix正在以STARK#MULE的名义追踪这一活动。目前尚不清楚袭击的规模，也不清楚这些袭击企图是否成功。 安全研究人员报告中表示：“根据来源和可能的目标，这些类型的袭击与APT37等典型的朝鲜黑客团体过去的袭击不相上下，因为韩国历来是该团体的主要目标，尤其是其政府官员。” APT37，也被称为Nickel Foxcroft、Reaper、Ricochet Chollima和ScarCruft，是一个朝鲜民族国家行为者，以专门关注南部目标而闻名，特别是那些参与报道朝鲜和支持脱北者的目标。 该组织建立的攻击链历来依赖社会工程来欺骗受害者，并将RokRat等有效载荷传递到目标网络上。也就是说，近几个月来，这个对抗性团体通过各种恶意软件扩大了其攻击性武器库，包括一个名为AblyGo的基于Go的后门。新攻击一个显著特点是，利用受损的韩国电子商务网站来部署有效载荷和指挥控制（C2），试图在系统上安装的安全解决方案的雷达下飞行。 作为前身的网络钓鱼电子邮件利用美国陆军征兵信息说服收件人打开ZIP档案文件，其中包含一个伪装成PDF文档的快捷方式文件。启动快捷方式文件时，会显示一个诱饵PDF，但也会暗中激活存档文件中存在的“Thumbs.db”文件的执行。这个文件执行几个功能，包括下载更多的stager和利用schtasks.exe建立持久性。 下一阶段的两个模块——“lsasetup.tmp”和“winrar.exe”——是从一个名为“www.jkmusic.co[.]kr”的受损电子商务网站中检索的，后者用于提取和运行“lsastup.tmp“的内容，这是一个模糊的二进制文件，可以访问名为”www.notebooksell[.]kr“的电子商务网站。 研究人员表示：“一旦建立了连接，攻击者就能够获取系统详细信息，如系统MAC、Windows版本和IP地址，这两个网站都在韩国注册，并且只使用HTTP协议。” 据安实验室安全应急中心（ASEC）称，APT37还被观察到在网络钓鱼电子邮件中使用CHM文件冒充金融机构和保险公司的安全电子邮件，部署窃取信息的恶意软件和其他二进制文件。特别是针对韩国特定用户的恶意软件可能包含用户感兴趣的主题内容，以鼓励他们执行恶意软件，因此用户应避免打开来源不明的电子邮件，也不应执行其附件。 APT37是朝鲜国家支持的众多组织之一，这些组织因实施旨在实施金融盗窃的袭击，并收集情报以追求朝鲜政权的政治和国家安全目标而备受关注。 这还包括臭名昭著的Lazarus Group及其子集群Andariel和BlueNoroff，他们在2022年9月针对东欧国防承包商的入侵中利用了一个名为ScoutEngine的新后门和一个名称为MATA（MATAv5）的恶意软件框架的全面改进版本。 卡巴斯基在2023年第二季度的APT趋势报告中表示：“这种复杂的恶意软件完全从头开始重写，展现了一种先进而复杂的架构，该恶意软件在内部利用进程间通信（IPC）通道，并使用各种命令，使其能够跨各种协议建立代理链，包括在受害者的环境中。”     转自E安全，原文链接：https://mp.weixin.qq.com/s/Dj_fwcAGLhuvtvoasbX4EA 封面来源于网络，如有侵权请联系删除

近日，美国财政部外国资产控制办公室 (OFAC) 宣布对四个实体和一个个人实施制裁，因为他们参与非法 IT 员工计划和网络攻击，为朝鲜的武器开发计划提供资金。 OFAC 在周二发布的一份新闻稿中表示，朝鲜的非法创收战略在很大程度上依赖于由数千名 IT 工作者组成的庞大“军队”，他们隐藏自己的身份以便被海外公司雇用。 为了确保在目标公司就业，这些人采用各种欺骗手段，包括使用被盗身份、假角色以及伪造或伪造文件。 虽然位于中国和俄罗斯，但他们将产生的收入汇集到通过这些努力赚取的资金，以推动平壤政权的武器计划。 每年，一些以欺诈手段雇用的朝鲜 IT 员工可以赚取超过 300,000 美元的薪水，同时故意隐瞒他们的真实身份、行踪和国籍。 美国国务卿安东尼·J·布林肯 (Antony J. Blinken) 表示：“朝鲜开展恶意网络活动，并在国外部署信息技术 (IT) 人员，他们以欺诈手段获得就业机会，以创造收入来支持政权。” 他补充说：“朝鲜广泛的非法网络和 IT 工作者行动通过资助朝鲜政权及其危险活动，包括其非法的大规模杀伤性武器 (WMD) 和弹道导弹计划，威胁国际安全。” 周三因参与网络攻击和非法 IT 工作创收计划而受到制裁的朝鲜民主主义人民共和国 (DPRK) 实体名单包括： 平壤自动化大学 负责培训“恶意网络行为者”，其中许多人为侦察总局 (RGB)（负责协调该国网络攻击的朝鲜主要情报局）工作； RGB 的技术侦察局和第 110 研究中心网络部门 参与恶意工具的开发，协调与臭名昭著的拉撒路集团等朝鲜威胁行为者有关的部门，以及针对美国和韩国组织的网络攻击； 金庸信息技术合作公司 与朝鲜人民武装部有联系，协调在俄罗斯和老挝开展业务的 IT 工作者，为该国政权创收； 朝鲜国民金相万 涉及向金庸海外IT工作者代表团家属支付工资。 一年前，OFAC还制裁了朝鲜 Lazarus Group 黑客使用的 Tornado Cash 和 Blender.io加密货币混合器，以清洗价值 6.2 亿美元的以太坊中的大部分，这是在黑客攻击 Axie Infinity 的 Ronin 网桥之后发生的已知最大的加密货币抢劫案2022年4月。 朝鲜黑客组织 Lazarus、Bluenoroff 和 Andariel 也于2019年9月受到制裁，原因是该组织将在网络攻击中窃取的金融资产输送给该国政府。 根据联合国专家小组最近发布的一份机密报告，朝鲜威胁行为者去年参与了创纪录的加密货币盗窃活动。 据估计，他们在 2022 年窃取了 6.3 亿美元至超过 10 亿美元，超过了往年的数字，并有效地使平壤在 2021 年从网络盗窃中获得的非法收益翻了一番。 财政部负责恐怖主义和金融情报的副部长布赖恩·尼尔森说：“本次行动继续凸显了朝鲜广泛的非法网络和 IT 工作者行动，这些行动为该政权的非法大规模杀伤性武器和弹道导弹计划提供资金。” 他表示，美国和合作伙伴继续致力于打击朝鲜的非法创收活动，并继续努力打击从世界各地的金融机构、虚拟货币交易所、公司和个人那里窃取资金的犯罪活动。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/kWcjCOtHM1l_UfT4db6ufw 封面来源于网络，如有侵权请联系删除

据观察，朝鲜 Kimsuky 黑客组织在全球范围的网络间谍活动中使用了新版本的侦察恶意软件，现在称为“ReconShark”。 Sentinel Labs 报告称，威胁行为者扩大了目标范围，现在瞄准美国、欧洲和亚洲的政府组织、研究中心、大学和智库。 2023年3月，韩国和德国当局警告说，Kimsuky（也称为 Thallium 和 Velvet Chollima）开始传播针对 Gmail 帐户的恶意 Chrome 扩展程序和充当远程访问木马的 Android 间谍软件。 此前，在 2022 年 8 月，卡巴斯基披露了另一项针对韩国政治家、外交官、大学教授和记者的 Kimsuky 活动，该活动使用多阶段目标验证方案，确保只有有效目标才会感染恶意负载。 钓鱼攻击 在Microsoft默认禁用下载的Office文档的宏后，大多数威胁参与者在网络钓鱼攻击中切换到新的文件类型，例如ISO文件和最近的OneNote文档。 Sentinel Labs 的高级威胁研究员Tom Hegel说：“攻击者可能希望轻松战胜过时版本的Office，或者只是希望用户启用宏。Kimsuky在这里并没有太多创新——特别是因为他们仍在发展 BabyShark 恶意软件系列。”   Kimsuky 攻击中使用的恶意文档(Sentinel Labs) Microsoft在默认情况下对下载的 Office 文档禁用宏后，大多数威胁参与者转而使用新的文件类型进行网络钓鱼攻击，例如ISO文件，以及最近的OneNote文档。 Sentinel Labs 的高级威胁研究员 Tom Hegel 说：“攻击者可能希望轻松战胜过时版本的 Office，或者只是希望用户启用宏。Kimsuky 在这里并没有太多创新——特别是因为他们仍在发展 BabyShark 恶意软件系列。” 侦察鲨鱼 ReconShark 被 Sentinel Labs 分析师认为是 Kimsuky 的“BabyShark”恶意软件的演变，APT43也部署了该恶意软件，APT43是一个针对美国组织的重叠朝鲜网络间谍组织。 ReconShark 滥用 WMI 收集有关受感染系统的信息，如正在运行的进程、电池数据等。 它还检查机器上是否运行安全软件，Sentinel Labs 提到了针对 Kaspersky、Malwarebytes、Trend Micro 和 Norton Security 产品的特定检查。 检查安全工具进程（Sentinel Labs） 侦察数据的泄露是直接的，恶意软件通过 HTTP POST 请求将所有内容发送到 C2 服务器，而不在本地存储任何内容。 “ReconShark泄露有价值信息的能力，例如已部署的检测机制和硬件信息，表明 ReconShark 是 Kimsuky 精心策划的侦察行动的一部分，该行动可实现后续精确攻击，可能涉及专门为逃避防御和利用平台弱点而定制的恶意软件。”Sentinel One 警告说。 ReconShark 的另一个功能是从 C2 获取额外的有效载荷，这可以让 Kimsuky 在受感染的系统上更好地立足。 Sentinel Labs 报告中写道，“除了窃取信息外，ReconShark 还以多阶段方式部署更多有效载荷，这些有效载荷以脚本（VBS、HTA 和 Windows Batch）、启用宏的 Microsoft Office 模板或 Windows DLL 文件的形式实现。ReconShark 根据在受感染机器上运行的检测机制进程来决定部署哪些有效负载。” 有效载荷部署阶段涉及编辑与 Chrome、Outlook、Firefox 或 Edge 等流行应用程序关联的 Windows 快捷方式文件 (LNK)，以便在用户启动这些应用程序之一时执行恶意软件。 ReconShark 编辑快捷方式文件(Sentinel Labs) 另一种方法是将默认的 Microsoft Office 模板 Normal.dotm 替换为托管在 C2 服务器上的恶意版本，以便在用户启动 Microsoft Word 时加载恶意代码。 加载恶意 Office 模板(Sentinel Labs) 这两种技术都提供了一种隐蔽的方式来更深入地渗透到目标系统中，保持持久性，并作为威胁参与者多阶段攻击的一部分执行额外的有效负载或命令。 Kimsuky的复杂程度和变形策略要求提高警惕，并模糊其行动与开展更广泛活动的其他朝鲜团体的界限。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/06SDfqaEBb-iuok473eoKQ 封面来源于网络，如有侵权请联系删除

近日，与朝鲜有关的被追踪为APT37的威胁行为者与一种名为M2RAT的新恶意软件有关，该恶意软件针对其“南部”对手发起攻击，表明该组织的特征和策略在不断演变。 APT37 也以 Reaper、RedEyes、Ricochet Chollima 和 ScarCruft 的绰号进行跟踪，与朝鲜国家安全部 (MSS) 有关联，这与隶属于侦察总局 (RGB) 的 Lazarus 和 Kimsuky 威胁集群不同。 据谷歌旗下的 Mandiant 称，MSS 的任务是“国内反间谍和海外反情报活动”，APT37 的攻击活动反映了该机构的优先事项。历史上，这些行动专门针对叛逃者和人权活动家等个人。 “APT37 评估的主要任务是秘密收集情报，以支持朝鲜的战略军事、政治和经济利益，”这家威胁情报公司表示。 众所周知，威胁行为者依靠定制工具（如 Chinotto、RokRat、BLUELIGHT、GOLDBACKDOOR 和 Dolphin）从受感染主机收集敏感信息。 “这次 RedEyes Group 攻击案例的主要特征是它利用了 Hangul EPS 漏洞并使用隐写技术来分发恶意代码，”AhnLab 安全应急响应中心 (ASEC) 在周二发布的一份报告中表示。 2023 年 1 月观察到的感染链以一个诱饵韩文文件开始，该文件利用文字处理软件中现已修补的漏洞 ( CVE-2017-8291 ) 触发从远程服务器下载图像的 shellcode。 JPEG 文件使用隐写技术来隐藏可移植的可执行文件，该可执行文件在启动时会下载 M2RAT 植入程序并将其注入合法的 explorer.exe 进程。 虽然持久性是通过修改 Windows 注册表实现的，但 M2RAT 充当后门，能够进行键盘记录、屏幕捕获、进程执行和信息窃取。与 Dolphin 一样，它也被设计为从可移动磁盘和连接的智能手机中吸取数据。 ASEC 表示：“这些 APT 攻击很难防御，尤其是 RedEyes 组织以主要针对个人而闻名，因此非企业个人甚至很难识别这种损害。” 这不是 CVE-2017-8291 第一次被朝鲜威胁者武器化。据Recorded Future报道，2017 年末，有人观察到 Lazarus Group 以韩国加密货币交易所和用户为目标部署 Destover 恶意软件。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/UFFbkYPoMZZ0t_CC3q1bVQ 封面来源于网络，如有侵权请联系删除

美国和韩国机构警告说，朝鲜政府利用与朝鲜有联系的黑客组织对关键基础设施进行的勒索软件攻击为其恶意网络行动提供资金。 美国 CISA 发布了一份网络安全公告 (CSA)，向网络防御者提供有关威胁行为者的信息。关于针对医疗保健和公共卫生部门，组织以及其他关键基础设施部门实体的持续勒索软件活动的联合 CSA 是美国国家安全局 (NSA)、美国联邦调查局 (FBI)、美国网络安全局之间合作的结果和基础设施安全局 (CISA)、美国卫生与公众服务部 (HHS)、韩国 (ROK) 国家情报局 (NIS) 和韩国国防安全局 (DSA)（以下简称“创作机构”）。 “该通报重点介绍了朝鲜网络攻击者用来访问医疗保健和公共卫生 (HPH) 部门组织和其他关键基础设施部门实体并对其进行勒索软件攻击的 TTP 和 IOC，以及朝鲜网络攻击者使用加密货币索要赎金的行为。” 阅读联合资讯。 据报道，这些朝鲜威胁行为者购买了虚拟专用网络 (VPN) 和虚拟专用服务器 (VPS) 或第三国 IP 地址以隐藏其位置。他们利用各种常见漏洞来获取访问权限并提升网络权限政府机构详细说明了与朝鲜 APT 组织相关的 TTP，例如： 获取基础设施 “ T1583 ”。威胁行为者生成域、角色和账户；并识别加密货币服务以执行其勒索软件操作。 混淆身份。威胁行为者通过使用第三方外国附属机构身份或以第三方外国附属机构身份开展业务来故意混淆他们的参与，并使用第三方外国中介机构接收赎金。 购买 VPN 和 VPS “T1583.003 ”。威胁行为者使用虚拟专用网络 (VPN) 和虚拟专用服务器 (VPS) 或第三国 IP 地址来隐藏攻击源。 获得访问权限 “TA0001 ”。威胁参与者利用各种常见漏洞，包括CVE 2021-44228、CVE-2021-20038和CVE-2022-24990。该公告还指出，攻击者在攻击中使用了“X-Popup”的特洛伊木马化文件，这是韩国中小型医院员工常用的开源信使。 横向移动和发现 “TA0007，  TA0008 “。攻击者使用带有定制恶意软件的分阶段有效载荷来执行侦察活动、上传和下载其他文件和可执行文件，以及执行 shell 命令 “T1083、  T1021 “。该恶意软件还用于收集受害者信息并将其发送到远程主机 “TA0010″。 使用各种勒索软件工具 “TA0040″。攻击者使用私人开发的勒索软件，例如 Maui 和 H0lyGh0st，以及其他勒索软件系列，包括 BitLocker、Deadbolt、ech0raix、GonnaCry、Hidden Tear、Jigsaw、LockBit 2.0、My Little Ransomware、NxRansomware、Ryuk和 YourRansom “T1486″。 以加密货币索要赎金。民族国家行为者要求用比特币支付赎金 “T1486 “。他们通过 Proton Mail 电子邮件账户与受害者沟通。 在获得初始访问权限后，观察到这些朝鲜网络参与者使用带有定制恶意软件的分阶段有效载荷来执行侦察活动和执行 shell 命令等技术。在这些活动中，一直部署私人开发的勒索软件，并以比特币为赎金要求。 为了抵御这些威胁，CISA 咨询提倡几种缓解措施，例如通过验证和加密连接来限制对数据的访问，在账户中使用最小权限的概念以及为网络和资产创建多层防御。 根据Xage Security联合创始人兼产品高级副总裁 Roman Arutyunov的说法，关键基础设施提供商应该接受这些变化，尽管与此类实施相关的技术困难。 Arutyunov在一封电子邮件中告诉Infosecurity：“我确实认识到，当涉及到进行安全架构更改的困难时，存在恐惧，但有可用的工具来平滑过渡并同时增强安全性和操作。” “最终，会有更多的威胁到来，所以现在就开始这个过程是明智的。”在 Proofpoint 研究人员揭露了一个名为 TA444 的新朝鲜网络攻击者后数周，CISA 发布了咨询报告。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/opM9s-w5AE408JZjAsySHw 封面来源于网络，如有侵权请联系删除  

Hackernews 编译，转载请注明出处： 卡巴斯基的网络安全研究人员将Maui勒索软件与朝鲜支持的Andariel APT组织联系起来，后者被认为是Lazarus APT集团的一个部门。 朝鲜民族国家黑客使用Maui勒索软件对提供医疗服务的服务器进行加密，包括电子健康记录服务、诊断服务、成像服务和内联网服务。 卡巴斯基专家注意到，在将Maui勒索软件部署到初始目标系统前约10小时，黑客在3个月前向目标部署了一种著名的DTrack恶意软件变体。这两种恶意代码都被认为是Andariel武器库的一部分。并且，用于攻击日本、俄罗斯、印度和越南公司的DTrack变体与Andariel APT网络间谍活动中使用的样本代码相似度为84%。 Andariel APT（又名Stonefly）自2015年来一直很活跃，它参与了几次朝鲜政府发起的攻击事件。 根据这次攻击的操作方式，我们得出结论，Maui勒索软件事件背后的黑客TTP与过去Andariel/Stonefly/Silent Chollima的活动非常相似: 在初始感染后使用合法的代理和隧道工具或部署它们以保持访问，并使用Powershell脚本和Bitsadmin下载其他恶意软件; 利用漏洞来攻击已知但未修补的脆弱公共服务，如WebLogic和HFS; 专门部署DTrack，也称为Preft; 在活动之前，目标网络内的停留时间可以持续数月； 在全球范围内部署勒索软件，显示持续的经济动机和利益规模。 2020年4月，美国国务院、财政部、国土安全部和联邦调查局发布了一份联合咨询意见，警告世界各地的组织注意朝鲜民族国家黑客对全球银行和金融机构构成的“重大网络威胁”。 当时，美国政府还向任何能够提供“与朝鲜有关的APT组织所开展活动的信息”的人提供高达500万美元的奖金，当局还将为过去黑客活动的信息付费。 今年7月，美国国务院将奖励增加到1000万美元。 掌握与朝鲜相关的APT团体（如Andariel、APT38、Bluenoroff、Guardians of Peace，Kimsuky或Lazarus集团）相关的任何个人信息，以及违反计算机欺诈和滥用法并参与针对美国关键基础设施的人，可以获得奖励。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文