近日，美国财政部海外资产控制办公室 (OFAC) 今天批准了加密货币混合器 Tornado Cash一种去中心化加密货币混合服务，据悉，自 2019 年创建以来用于洗钱超过 70 亿美元。 朝鲜支持的 APT Lazarus Group 还使用加密货币混合器恶意洗钱大约 4.55 亿美元，这是有史以来最大的已知加密货币抢劫案。据悉，这是自 Lazarus 在 4 月入侵 Axie Infinity 的 Ronin 网桥后窃取价值 6.2 亿美元的以太坊以来，攻击后收集的总赏金的一部分。 Tornado Cash 还被用于在 6 月 Harmony Bridge 黑客攻击事件中洗钱超过 9600 万美元 （其中 1 亿美元被盗），以及至少 780 万美元来自 8 月 Nomad Heist  （被盗 1.5 亿美元）。 在入侵区块链音乐平台Audius、Beanstalk DeFi 平台和去中心化加密货币交易所Uniswap以及 Arbix Finance退出骗局之后，这种加密混合器还被用来使追踪被盗资金变得更加困难。 “今天，财政部正在制裁 Tornado Cash，这是一种虚拟货币混合器，可以清洗网络犯罪的收益，包括针对美国受害者的犯罪，”负责恐怖主义和金融情报的财政部副部长 Brian E. Nelson 说。“尽管公众另有保证，但 Tornado Cash 一再未能实施旨在阻止其定期为恶意网络行为者洗钱的有效控制措施，并且没有采取基本措施来解决其风险。” 财政部对加密货币混合器实施制裁绝非第一次 此前，美国财政部官员今年发起了一波制裁，以防止加密货币被用于逃避制裁和洗钱。今年4月，在首次制裁虚拟货币混币器之前不久，美国财政部也首次点名了一家加密货币挖矿公司——总部设在瑞士的Bitriver AG，因为它在俄罗斯科技领域运营。同样在那个月，美国财政部还指控总部位于莫斯科的Garantex加密货币交易所“故意无视”反洗钱义务，并“允许(其)系统被非法行为者滥用”。 金融犯罪执法网络 (FinCEN) 还于 2020 年 10 月对 Helix 和 Coin Ninja 混合器服务的创始人和运营商拉里·迪恩·哈蒙 (Larry Dean Harmon) 发出了有史以来第一次民事罚款，罪名 是违反了《银行保密法》(BSA) 及其实施条例。 FinCEN 当时透露，使用 Helix 不倒翁洗钱的最大数量的加密货币来自暗网非法市场，包括 AlphaBay、Dream Mark、Agora Market、Nucleus 等。 “协助犯罪分子的虚拟货币混合器对美国国家安全构成威胁。财政部将继续调查混合器用于非法目的的情况，并利用其权力应对虚拟货币生态系统中的非法融资风险，”OFAC 今天补充道。 “正如今天的行动所表明的那样，虚拟货币公司通常应将混合器视为高风险，只有当它们有适当的控制措施以防止混合器被用于洗钱非法收益时，它们才应处理交易。” 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/oh4s1eF0dT415wf-WNe9YA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国国务院将任何与朝鲜有关的黑客的信息奖励增加到1000万美元。 2020年4月，美国国务院、财政部、国土安全部和联邦调查局发布了一份联合咨询意见，警告世界各地的组织注意朝鲜民族国家黑客对全球银行和金融机构构成的“重大网络威胁”。 当时，美国政府还向任何能够提供“与朝鲜有联系的APT组织所开展活动的信息”的人提供高达500万美元的奖金，当局还将为过去黑客活动的信息付费。 现在，美国国务院将奖励增加到1000万美元。 掌握与朝鲜有联系的APT组织（如Andariel，APT38，Bluenoroff，Guardians of Peace，Kimsuky或Lazarus Group）相关的任何个人信息，并且违反《计算机欺诈和滥用法案》参与针对美国关键基础设施的人，都可以获得奖励。 正义奖励组织建立了一个黑暗网站，允许任何人通过安全渠道，提供有关针对美国的外国恶意网络活动的信息。 消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Securonix 威胁研究 (STR) 团队的研究人员发现了一个新的攻击活动，被跟踪为 STIFF#BIZON，针对多个国家的高价值组织，包括捷克共和国和波兰。研究人员将此活动归因于与朝鲜有关的APT37组织，即 Ricochet Chollima。 攻击者使用了Konni RAT（远程访问木马），该木马于 2017 年由 Cisco Talos 研究人员首次发现，自 2014 年以来一直未被发现，同时被用于高度针对性的攻击。RAT由于不断进化而能够避免检测，它能够在目标系统上执行任意代码并窃取数据。 Konni RAT 被归咎于与朝鲜有关的威胁行为者，被追踪为APT37。攻击链从试图诱骗受害者打开恶意附件的网络钓鱼邮件开始。 此活动中使用的附件是一个包含 Word 文档 (missile.docx) 和 Windows 快捷方式文件 (_weapons.doc.lnk.lnk) 的档案。 一旦打开 LNK 文件，感染链就会启动。 “代码执行首先将一小段代码嵌入到快捷方式文件中，当用户双击它时，该快捷方式文件将与预期的二进制文件一起运行和执行。” 阅读专家发表的分析。“此代码运行并执行附加到 missile.docx 文件末尾的 Base64 编码文本。” Base64 有效负载与联系 C2 以下载和执行“weapons.doc”和“wp.vbs”文件的 PowerShell 脚本一起执行。 Weapons.doc 是一个诱饵文件，而 wp.vbs 在后台静默运行，并在名为“Office Update”的主机上创建一个计划任务，该任务执行以 Base64 编码的 PowerShell 脚本。 此时，C2 通信再次建立，允许攻击者访问系统。 一旦 Konni RAT 被加载到受感染的系统上，威胁参与者就可以使用特定模块实现以下功能： Capture.net.exe – 使用 Win32 GDI API 捕获屏幕截图并将 gzip 压缩的结果上传到 C2 服务器。 chkey.net.exe – 提取存储在本地状态文件中的状态密钥，使用 DPAPI 加密。状态密钥允许攻击者解密 cookie 数据库解密，这在绕过 MFA 时很有用。 pull.net.exe – 从受害者的网络浏览器中提取保存的凭据。 shell.net.exe – 建立一个可以每 10 秒运行一次命令的远程交互式 shell。 为了进一步保持持久性，威胁参与者使用 Konni 恶意软件的修改版本，他们能够下载一个 .cab 文件，其中包含与恶意软件相关的多个文件（bat、dll、dat、ini、dll）。 专家们还讨论了在俄罗斯境内的 APT28 组织可能伪装成 APT37 的假旗行动的可能性。 “此外，在这次攻击和我们之前从 FancyBear/APT28 [3]中看到的历史数据之间，IP 地址、托管服务提供商和主机名之间似乎存在直接关联。最后，这个特殊案例的有趣之处在于，它使用了 Konni 恶意软件以及与 APT28 的相似之处。” 转自 E安全，原文链接：https://mp.weixin.qq.com/s/4inyisUnYXp2wHEpiKKgdA 封面来源于网络，如有侵权请联系删除

导  读 作为朝鲜最著名的黑客组织之一，Lazarus 利用称为“NukeSped”的 Log4J RCE 漏洞在 VMware Horizon 服务器上注入后门，以检索信息窃取有效载荷。CVE-2021-44228 (log4Shell) 是已被跟踪并识别此漏洞的 CVE ID，它影响了包括 VMware Horizon 在内的多种产品。 自今年1月份以来，多个威胁参与者都在利用此漏洞，1 月份 VMware 敦促客户修补关键的 Log4j 安全漏洞，这些漏洞会影响以持续攻击为目标的暴露于Internet的VMware Horizon 服务器 。 Ahnlab的 ASEC 的网络安全分析师声称，自 2022 年 4 月以来，Lazarus 组织背后的威胁行为者一直通过 Log4Shell 攻击易受攻击的 VMware 产品。   VMware Horizon 服务器是目标 通过运行这个 PowerShell 命令，很可能会安装服务器上的 NukeSped 后门。 NukeSped 等后门恶意软件能够从 C&C 服务器接收命令并代表攻击者执行这些命令。2018 年夏天，NukeSped 与隶属于朝鲜的黑客有关联，然后与 Lazarus 发起的 2020 年活动有关。 在最新的变体中，C++ 语言是首选语言，并且使用 RC4 加密确保与 C2 的安全通信。在之前的版本中，使用了 XOR 加密。   运营 在妥协的条件下，NukeSped 执行各种间谍活动，我们在下面提到： 截图 记录按键操作 访问文件 支持命令行命令 目前，有两个模块是当前 NukeSped 变体的一部分，一个用于从 USB 设备转储内容，另一个允许您访问网络摄像头。   数据目标 有几种类型的数据可以被恶意软件窃取，下面将提到它们：   账户凭证 浏览记录 电子邮件帐户信息 MS Office 中最近使用的文件的名称 在某些攻击中，通过 Log4Shell 可以看到 Lazarus 使用 Jin Miner 而不是 NukeSped。   最近的 Lazarus 事件是第二个已知的恶意软件活动示例，该恶意软件活动在针对 Windows 的活动中使用 LoLBins。另一个是在 macOS 和 Windows 计算机上使用加密挖掘恶意软件。 为了突出黑客组织用于攻击的各种策略，除此之外还有对 Log4Shell 的利用。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/EQzzlRDUkoSv5wTAhu8E8w 封面来源于网络，如有侵权请联系删除

据Vice的报道，美财政部将Ronin网络6.25亿美元加密货币被盗事件归咎于朝鲜黑客组织。据悉，该网络是支持Axie Infinity游戏的区块链。当地时间周四，财政部更新了制裁措施，其中包括收到资金的钱包地址并将其归于Lazarus集团。 开发商集团Sky Mavis拥有的Ronin网络在关于该事件的更新帖子中披露称，美财政部和联邦调查局已经将攻击归咎于Lazarus。帖子写道：“在重新部署Ronin Bridge之前，我们仍在增加额外的安全措施以减轻未来的风险。我们预计将在本月底前提供一份完整的事后报告，其中将详细说明所采取的安全措施和下一步措施。”Ronin指出，它将在本月底使其桥梁重新上线。该桥允许用户在其他区块链和Axie Infinity之间转移资金，它在攻击发生后被封锁。 Vice指出，被标记的钱包地址目前包含超4.45亿美元（14.8万以太坊）并在不到一天前向另一个地址发送了近1000万美元（3302.6以太坊）。加密货币交易追踪器Etherscan将该地址标记为“据说参与了针对Ronin bridge的黑客攻击”。 当地时间3月29日，黑客在迄今为止最大的加密货币抢劫案之一中盗走了价值6.25亿美元的以太坊。据加密货币调查组织Chainanalysis称，Lazarus组织跟朝鲜情报机构存在联系并对去年的七次攻击负责。该组织因在2014年入侵索尼影业，泄露由塞斯·罗根执导的以朝鲜为背景的喜剧《Interview》而声名鹊起。后来，它在2018年使用木马恶意软件从亚洲和非洲各地的自动取款机中窃取了数百万美元并跟WannaCry勒索软件存在关联。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1258433.htm 封面来源于网络，如有侵权请联系删除

根据 NK News 获得的日志文件和域名记录显示，在上周五和上周日朝鲜的关键服务器无法访问，从而在互联网上消失了数个小时。网络安全研究员 Junade Ali 说，连接失败的模式表明，朝鲜的 IT 基础设施可能受到了分布式拒绝服务（DDOS）攻击。 图片来自于 Pixabay Ali 表示：“断断续续的连接问题，一波接一波，加上路由器完全失效，表明这可能是一次 DDOS 攻击。朝鲜遭受了全面的互联网中断。该国所有的电子邮件、网络和域名系统（DNS）服务器都受到连接损失的影响”。 根据 Ali 收集并经过 NK News 审查的日志文件，朝鲜的服务器和其上托管的网站在当地时间周五上午 7 点 40 分左右从互联网上消失，并在此后大约四个小时内几乎无法访问。 根据监测记录和 NK News 记者的测试，中断的情况在星期六清晨一直持续到至少 9:30 KST。受中断影响的网络域名包括 airkoryo.com.kp、cooks.org.kp、friend.com.kp、gnu.rep.kp、kass.org.kp 和 kcna.kp。 Ali 解释说：“如果是宕机，那么线路会立即消失，这是因为路由器失去了电源。而现在是连接超时，丢包情况非常严重。这表明某种形式的网络压力导致了这种情况的发生”。而最为常见的就是 DDOS。 经营 dprkinternetwatch.com 网站的网络安全研究员尼古拉斯·罗伊(Nicholas Roy)告诉 NK News，重大技术错误或有针对性的攻击也可以解释这次中断。他说：“要么有人把事情搞得非常糟糕，就像Facebook几周前做的那样，要么可能是某种攻击”。 罗伊解释说，由于朝鲜的IT基础设施相当薄弱，而且带宽有限，因此将该国的服务器关闭并不特别困难。   （消息及封面来源：cnBeta）