5月11日（上周六），CISA 和FBI表示，Black Basta 勒索软件的附属组织在 2022 年 4 月至 2024 年 5 月期间入侵了 500 多个组织。 美国卫生与公众服务部（HHS）和多州信息共享与分析中心（MS-ISAC）合作发布的联合报告中提到，该团伙还加密并窃取了16个关键基础设施部门中至少12个部门的数据。 CISA 表示：Black Basta 的附属组织已将目标锁定在北美、欧洲和澳大利亚的 500 多家私营企业和关键基础设施实体，其中包括医疗保健组织。 Black Basta 最早于 2022 年 4 月以勒索软件即服务（RaaS）的形式出现。近几年来其附属公司入侵了多家知名企业、机构，包括德国国防承包商莱茵金属、现代汽车欧洲分部、英国技术外包公司 Capita、工业自动化公司和政府承包商 ABB、多伦多公共图书馆、美国牙医协会、索比斯、可耐福和加拿大黄页等。 2022 年 6 月，Conti 网络犯罪集团在历经了一系列数据泄露事件发生后正式关闭，然后分裂成多个集团， Black Basta就是其中之一。 2023 年 3 月，卫生与公众服务部的安全团队在一份报告中提到：该威胁组织在最初运作的两周内就大量攻击了至少 20 名受害者，这表明它在勒索软件方面经验丰富，并拥有稳定的初始访问来源。 不少人怀疑该组织与俄罗斯网络威胁组织有所关联。主要是因为其精通勒索软件的复杂程度，同时该组织也很少会在暗网论坛上招募或做广告，不少人认为该组织可能是RaaS 威胁组织 Conti 的再版。 根据 Elliptic 和 Corvus Insurance 的研究，在 2023 年 11 月之前，这个与俄罗斯有关联的勒索软件团伙还从 90 多名受害者那里收取了至少 1 亿美元的赎金。 截至 2023 年 6 月的攻击次数和赎金支付情况 联合咨询还为防御者提供了 Black Basta 关联公司使用的战术、技术和程序 (TTP) 以及在联邦调查局调查中发现的破坏指标 (IOC)。 防御者应及时更新操作系统、软件和固件，要求尽可能多的服务采用防网络钓鱼的多因素身份验证（MFA），并培训用户识别和报告网络钓鱼企图，以降低 Black Basta 勒索软件的攻击风险。 他们还应该通过应用 CISA 推荐的缓解措施来确保远程访问软件的安全，尽可能频繁地备份设备配置和关键系统，以便更快地进行修复和恢复，并实施《StopRansomware 指南》中分享的缓解措施。 这些机构特别强调了医疗保健机构在此次勒索软件行动中面临的更大风险，并敦促它们确保采用这些建议的缓解措施来阻止潜在的攻击。 CISA 和 FBI 警告称：医疗机构由于其规模、对技术的依赖性、以及对个人健康信息的访问权限以及病人护理中断所造成的独特影响，成为网络犯罪分子的诱人目标。 编写组织敦促 HPH 部门和所有关键基础设施组织应用本 CSA 中 “缓解 “部分的建议，以降低遭受 Black Basta 和其他勒索软件攻击的可能性。 虽然联邦机构没有透露发布此警告的背后原因，但或许与上周发生的一起疑似 Black Basta 勒索软件攻击事件有关。据称有黑客入侵了医疗保健巨头 Ascension 的系统，迫使美国医疗保健网络将救护车转向未受影响的设施。 5月10日（上周五），Health-ISAC（信息共享与分析中心）也发布了一份威胁公告，警告Black Basta勒索软件团伙最近加强对医疗保健行业的攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/400733.html 封面来源于网络，如有侵权请联系删除 

亲俄罗斯黑客针对科索沃政府网站，包括总统和总理的网站，进行了 DDoS 攻击。这些攻击是对科索沃向乌克兰提供军事装备支持的报复。国防部长埃尤普·马克东奇声称，俄罗斯黑客对科索沃发动了网络攻击，以报复他在波兰举行的国防 24 小时会议上支持乌克兰的言论。 这些攻击造成了暂时的中断，但政府信息社会局恢复了网站。总理阿尔宾·库尔蒂告诉当地媒体，这次袭击是一场混合战争的一部分，旨在破坏科索沃的安全、稳定和福利机构。 “我们从相关机构获悉，部分政府网站已成为DDoS攻击的目标。在短时间内，这些网站无法运行。”政府发言人告诉《巴尔干洞察》报。 “这次攻击是俄罗斯黑客发起的，目的是为了报复我们向乌克兰提供军事装备的支持。” 继科索沃宣布支持乌克兰防御俄罗斯侵略后，外交部长多尼卡·热瓦拉·施瓦茨周二宣布，科索沃正遭受俄罗斯的混合攻击。 俄罗斯和亲俄罗斯团体过去曾针对多个表示支持乌克兰的欧洲政府。 北约和欧盟本月初谴责与俄罗斯有关的威胁组织 APT28  （又名“森林暴雪”、“ Fancybear ”或“ Strontium ”）针对欧洲国家开展的网络间谍活动。 德国联邦政府以最强烈的措辞谴责APT28组织针对德国社会民主党执行委员会进行的长期间谍活动。 2024 年 3 月，摩尔多瓦国家情报机构在即将举行的选举之前警告称，俄罗斯可能会发动混合攻击。自俄乌战争爆发以来，亲俄罗斯黑客组织由于摩尔多瓦对基辅的支持而袭击了该国。 亲俄罗斯组织Killnet组织对表示支持乌克兰的政府发起了多次 DDoS 攻击，其中包括摩尔多瓦、意大利、罗马尼亚、捷克、 立陶宛、挪威和拉脱维亚。 2022 年 10 月，另一波攻击针对摩尔多瓦数十家机构，进行了分布式拒绝服务 (DDoS) 攻击。 2023 年 10 月，法国国家信息系统安全局 ANSSI  （国家信息系统安全局） 警告称 ，与俄罗斯有关的 APT28 组织一直针对多个法国组织，包括政府实体、企业、大学、以及研究机构和智库。 该法国机构注意到，攻击者使用不同的技术来逃避检测，包括破坏位于目标网络边缘的受监控和低风险设备。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/dfPY5YA5GYjthaK3yE2g8Q 封面来源于网络，如有侵权请联系删除 

据观察，朝鲜黑客Kimsuky部署了一种全新的Golang恶意软件“Durian”，针对两家韩国加密货币公司进行高度定向网络攻击。 “Durian具有全面的后门功能，可以执行传送的命令、下载额外文件并泄露文件。”Kaspersky在2024年第一季度APT趋势报告中指出。 2023年8月和11月的网络攻击使用韩国独有的合法软件作为感染途径，操纵该程序的确切机制尚且未知。 已知的是，该软件与攻击者服务器相连，从而导致恶意有效载荷检索并启动感染序列。 第一阶段充当了额外恶意软件的安装程序，同时也是一种在主机上建立持久性的手段。它还为最终执行Durian的加载程序铺平了道路。 Durian被用于引入更多的恶意软件。包括AppleSeed、Kimsuky的主要后门选择，一个自定义代理工具LazyLoad，还有其他如ngrok和Chrome远程桌面的合法工具。 “攻击者最终通过植入恶意软件窃取了浏览器中存储的数据，包括Cookie和登录凭据。”Kaspersky表示。 此次攻击的一个显著特点是使用了LazyLoad，这个工具之前已经被Lazarus组织的一个子集Andariel使用过，这也引发了两个黑客间存在潜在合作或战术重叠的可能性。 Kimsuky团队自2012年以来一直非常活跃，其恶意网络活动涉及APT43、Black Banshee、Emerald Sleet（前身为Thallium）、Springtail、TA427和Velvet Chollima。 据评估，Kimsuky团队是63号研究中心的下属部门，该中心隶属于朝鲜的总参谋部，是该国家的主要军事情报组织。 美国联邦调查局（FBI）和国家安全局（NSA）本月早些时候在一份警报中表示，Kimsuky行动人员的主要任务是通过渗透政策分析人员和其他专家来窃取数据和有价值的地缘政治洞察，然后将其提供给朝鲜政权。 “成功的渗透让Kimsuky行动人员能进一步制作更有信服力、更有效的鱼叉式网络钓鱼邮件，并且能够利用更敏感、价值更高的目标。” Broadcom旗下的Symantec表示，该国家级黑客还与传递基于C#的远程访问木马和TutorialRAT信息窃取程序的攻击活动有关，该木马利用Dropbox作为“躲避威胁监控的基地。 “此次活动似乎是APT43的BabyShark威胁活动的延伸，采用了典型的鱼叉式网络钓鱼技术，如使用快捷方式（LNK）文件，”报告补充道。 安全智能中心（ASEC）详细描述了另一个朝鲜国家赞助的黑客组织ScarCruft策划的活动，该活动以部署RokRAT为目标，针对韩国用户使用Windows快捷方式（LNK）文件。 这个对抗性集体，也被称为APT37、InkySquid、RedEyes、Ricochet Chollima和Ruby Sleet，据说与朝鲜的国家安全部（MSS）对齐，负责秘密情报收集并支持该国的战略军事、政治和经济利益。 “最近我们确认了快捷方式文件（* .LNK）针对的是韩国用户，特别是那些与朝鲜相关的用户，”ASEC说。   消息来源：thehackernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国主要医疗卫生系统Ascension警告称，由于遭受网络攻击关闭部分系统，各地医院等设施可能出现临床服务中断的情况。 安全内参5月9日消息，美国最大的天主教医疗卫生系统之一Ascension在昨天检测到网络攻击，目前正在处理临床运营中断情况。 Ascension是一家非营利组织，在19个州经营140所医院。该组织表示，2023年为生活在贫困中的人们提供了价值22亿美元的护理服务，并拥有超过35000家附属服务提供商。此外，还经营了40所养老设施。 该组织发布通知称，发现网络系统异常活动后，立即聘请了Mandiant公司展开调查，并在不久之后通知了执法部门。 该组织声明：“随着事态发展，部分系统访问已中断。我们的护理团队接受过此类中断的培训，并已启动程序以确保患者护理服务安全，并尽可能降低事件影响。”该组织指出，仍在评估事件影响以及中断可能持续的时间。 声明补充道，该组织正在努力确认是否有数据被攻击者窃取。 Ascension敦促业务伙伴暂时中断与其技术环境的连接，等待后续通知。 该组织声明：“我们会在合适时通知伙伴们重新连接到我们的环境。事件正在持续发展，我们将在了解更多信息后提供更新。” 美国医疗业网络风险严峻 这次攻击是又一次对美国医疗卫生系统造成重大影响的事件。 去年8月，美国另一家天主教卫生组织Prospect Medical Holdings遭受勒索软件攻击，影响了数十家医院，引发了FBI和其他联邦机构的介入。这一事件还影响了全球数百家医院和医疗机构。 自从美国联合健康集团旗下机构Change Healthcare遭受勒索软件攻击，导致全美大多数医院和药房使用的系统严重受损后，医疗卫生行业的网络安全审查就一直备受关注。 美国医院协会两周前发布公开信，呼吁国会“要求联邦机构保护医院和卫生系统，以及他们所照料的患者，通过部署强大且持续的主动网络战略，以应对这个长期存在但尚未解决的国家安全威胁。”   转自安全内参，原文链接：https://www.secrss.com/articles/65960 封面来源于网络，如有侵权请联系删除

近日，波兰政府宣布，疑似与俄罗斯军事情报局（GRU）有关的黑客一直在“袭击”波兰政府机构。 CSIRT MON（波兰国防部长领导的计算机安全事件响应小组）和 CERT Polska（波兰计算机应急响应小组）近期发现很多资料，证实了疑似具有俄罗斯背景的黑客组织 APT28 在一次大规模网络钓鱼活动中，攻击了多个波兰政府机构。 黑客通过发布一些网络钓鱼邮件，试图诱使收件人点击显示为”获得更多有关一名神秘的乌克兰妇女向波兰和乌克兰高级当局 “出售 “二手内衣信息的链接。一旦点击链接，收件人就会被重定向到多个网站，然后进入一个下载 ZIP 压缩包的页面。 据悉，该压缩包包含了一个伪装成 JPG 图像文件的恶意可执行文件以及名为 DLL 和 .BAT 脚本的隐藏文件。 在受害目标打开伪装的可执行文件后，隐藏的脚本就会立刻自动运行，脚本会在 Microsoft Edge 浏览器中显示一张泳装女子的照片，分散受害者的注意力，同时”偷偷“下载 CMD 文件并将其扩展名更改为 JPG。 值得一提的是，此次网络攻击活动中使用的策略和基础工具与另一起网络攻击运动中使用的策略和基础工具非常相似，APT28 组织成员使用“以色列-哈马斯冲突”作为诱饵，给 13 个国家（包括联合国人权理事会成员）的官员“提供”带有 Headlace 恶意软件的后门设备。 APT28 黑客组织自 2000 年代中期浮出水面以来，组织发动了许多备受瞩目的网络攻击时间。2018 年，业内很多从业者将其与 GRU 的军事单位 26165 联系在一起。 据悉，APT28 组织不仅可能是 2016 年美国总统大选前入侵民主党全国委员会（DNC）和民主党国会竞选委员会（DCCC）的幕后黑手，也有可能是 2015 年入侵德国联邦议会（Deutscher Bundestag）的幕后真凶。 2018 年 7 月，美国当局曾指控 APT28 多名成员参与到 DNC 和 DCCC 网络攻击事件中，欧盟理事会在 2020 年 10 月因联邦议院网络攻击事件，宣布制裁 APT28 组织。 一周前，北约、欧盟以及一些国际合作伙伴正式谴责了针对包括德国和捷克在内的多个欧洲国家的长期 APT28 网络间谍活动。德国表示，APT28 组织入侵了社会民主党执行委员会成员的多个电子邮件账户。捷克外交部也透露，APT28 在 2023 年袭击了捷克境内的一些机构。 美国国务院曾发布声明，呼吁 APT28 组织背后的运营商立刻停止一恶意网络攻击活动，遵守国际承诺和义务，并一再强调，美国将与欧盟和北约盟国一道，继续采取更加严厉的措施，打击 APT28 组织的网络攻击活动，保护其公民的信息资产，追究黑客的责任。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400468.html 封面来源于网络，如有侵权请联系删除

据供应链网络安全公司Eclypsium 5月8日发布的一份报告，研究人员在 F5 的 Next Central Manager 中发现了重大安全漏洞，可使攻击者长期且隐蔽地存在于任何F5资产相关的组织网络基础设施中。 这些漏洞被追踪为CVE-2024-21793 和 CVE-2024-26026，可能允许攻击者执行危及网络安全的未经身份验证的攻击。F5 在 4 月份发布了针对这些缺陷的补丁，但Eclypsium的研究人员称披露給F5的漏洞一共有5个，尚未确认另外3个漏洞是否已经修复。 F5 的 Next Central Manager 是 BIG-IP Next 机群所有生命周期任务的集中控制点，该工具为企业提供了一个统一的管理用户界面，用于管理应用程序可用性、访问控制和安全解决方案。Eclypsium研究人员表示，攻击者可以利用这些漏洞在该公司的Central Manager系统管理的任何BIG-IP Next资产上开设不可见的板载帐户，即使在管理员密码被重置和系统打补丁后，黑客仍能通过这种规避方法留在网络中。 Eclypsium敦促F5客户尽快升级到最新的20.2.0软件版本，并已向该公司问询另外3个漏洞的修复情况，目前还未得到回复。 网络边缘设备通常具有不完善的端点保护和专有软件，使漏洞检测变得复杂，日益成为了国家支持的黑客和全球网络犯罪分子的攻击目标。 Mandiant 在 4 月份发布了一份报告，警告攻击者正在将重点转向规避策略，同时利用离地攻击、零日漏洞等技术或方式瞄准边缘设备。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400364.html 封面来源于网络，如有侵权请联系删除

研究人员发现一种名为TunnelVision的攻击方法，可以窃取几乎所有VPN应用的流量。 VPN的主要功能是将互联网流量封装在一个加密隧道中，并隐藏用户的IP地址。但是近日，研究人员发现一种名为TunnelVision的攻击方法，可以窃取几乎所有VPN应用的流量。 研究人员表示除了安卓系统之外，几乎所有其他操作系统中的VPN应用目前都没有办法防御此类攻击。 研究人员还指出，这种攻击技术可能从2002年就已存在，并且可能已经被发现并用于实战。 攻击方法详解 研究者发布的攻击演示视频（链接在文末）解释了TunnelVision的技术细节，“受害者的流量将被解密并直接路由到攻击者那里。攻击者可以读取、丢弃或修改泄漏的流量，而受害者仍然保持与VPN和互联网的连接。” 该攻击通过操纵分配IP地址给本地网络连接设备的DHCP服务器来实现。DHCP服务器中有一个名为“选项121”的设置，它允许服务器覆盖默认路由规则，这些规则会将VPN流量通过启动加密隧道的本地IP地址发送出去。通过使用选项121将VPN流量路由到DHCP服务器，攻击会将数据转移到DHCP服务器本身。来自Leviathan Security Group的研究人员解释道： “攻击者在与目标VPN用户相同网络上运行一个DHCP服务器，并将攻击端配置为网关。当流量到达攻击者的网关时，攻击者可使用DHCP服务器上的流量转发规则将流量传递到合法网关，同时进行窥探。” “攻击者使用DHCP选项121在VPN用户的路由表中设置路由，可以根据需要设置任意路由，也可以设置多个路由。通过推送比大多数VPN使用的/0CIDR范围更具体的路由，攻击者可以创建优先级高于VPN创建的虚拟接口路由的路由规则。攻击者可以设置多个/1路由来重建大多数VPN设置的0.0.0.0/0全部流量规则。” “推送路由还意味着网络流量将通过与DHCP服务器相同的接口发送，而不是虚拟网络接口。这是一个未在RFC中清楚说明的预期功能。因此，攻击者推送的路由永远不会被VPN的虚拟接口加密，而是由与DHCP服务器通信的网络接口传输。攻击者可以选择哪些IP地址通过隧道传输，哪些地址通过与DHCP服务器通信的网络接口传输。” 研究者表示，这种技术也可以用于已经建立的VPN连接（当VPN用户的主机需要从攻击者的DHCP服务器续订租约时）。攻击者可以通过在DHCP租约中设置较短的租约时间来人为地创建这种场景，这样用户会更频繁地更新其路由表。此外，VPN控制通道仍然完好，因为它已经使用物理接口进行通信。在研究者的测试中，VPN一直显示已连接，从未断开。 研究者指出，这种攻击最有效的方式是由控制目标用户所连网络的人实施。在这种情况下，攻击者可将DHCP服务器配置为使用选项121。网络上的非特权用户也可以通过设置他们自己的恶意DHCP服务器来发动此类攻击。 攻击后果与缓解方法 攻击可以让部分或全部流量通过未加密的隧道路由。在这种情况下，VPN应用程序仍会报告所有数据都通过受保护的连接发送。任何偏离隧道的流量都将不会被VPN加密，并且远程用户可看到VPN用户的真实IP，而不是VPN应用指定的IP。 值得注意的是，由于未实现选项121，安卓是唯一可以完全保护VPN应用免受攻击的操作系统。对于所有其他操作系统，目前没有彻底的修复方法。当应用程序运行在Linux上时，有一个设置可以最小化影响，但即使这样，TunnelVision也可以用于利用侧信道来取消对目标流量的匿名化并执行拒绝服务攻击。网络防火墙也可以配置为拒绝进出物理接口的入站和出站流量。这种补救措施存在两个问题： （1）连接到不受信任网络的VPN用户无法控制防火墙 （2）它会打开与Linux缓解措施相同的侧信道 目前最有效的缓解方法是在网络适配器未设置为桥接模式的虚拟机内运行VPN，或者通过手机的Wi-Fi网络将VPN连接到互联网。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Wvp9UOYbu1i4ofBQggUwYQ 封面来源于网络，如有侵权请联系删除

AI 安全公司 HiddenLayer 警告称，当加载和引用恶意 RDS 文件时，R 编程语言实现中的漏洞可被利用来执行任意代码，并且可能被用作供应链攻击的一部分。 该漏洞编号为CVE-2024-27322（CVSS 评分为 8.8），是在 R 的序列化和反序列化过程中发现的，该过程用于创建和加载 RDS（R 数据序列化）文件。 R 是一种开源编程语言，支持数据可视化、机器学习和统计计算，广泛用于金融、政府和医疗保健等行业的统计分析，在人工智能和机器学习应用中也很受欢迎。 R 有自己的序列化格式，在保存和加载包时使用。编译包时，将创建一个包含要序列化对象的 .rdb 文件和一个包含与这些对象及其偏移量关联元数据的 .rdx 文件。 “加载包时，.rdx 文件中以 RDS 格式存储的元数据用于定位 .rdb 文件中的对象。然后这些对象被解压缩和反序列化，本质上是将它们加载为 RDS 文件。” HiddenLayer 解释道。 因为 R 支持创建 Promise 对象的指令（该对象具有符号（变量）和附加的表达式，表达式仅在访问符号后运行）和惰性求值（仅在需要时才求值符号的策略）。 攻击者可以使用将变量设置为未绑定值的指令和包含任意代码的表达式来创建 Promise 对象。由于惰性求值，仅当访问与 RDF 文件关联的符号时才求值并运行表达式，并且当用户引用该符号时将执行代码。 “一旦 R 创建并加载恶意文件，无论如何引用变量，漏洞都会运行。”HiddenLayer 继续说道。 漏洞可用于软件供应链攻击 该安全公司还警告说，由于 RDS 包允许用户与其他人共享编译后的 R 代码，并且由于有大量专用于 R 的 GitHub 存储库，攻击者可能会在针对 R 用户的供应链攻击中滥用此漏洞。 readRDS 是可用于利用该漏洞的 R 函数之一，在超过 135,000 个 R 源文件中被引用，而CRAN的存储库声称拥有超过 20,000 个包并允许任何人上传代码，但不会检查新包这个漏洞。 “通过查看存储库，我们发现大量使用是在不受信任的用户提供的数据上，这可能会导致运行该程序的系统完全受到损害。一些包含潜在易受攻击代码的源文件包括来自 R Studio、Facebook、Google、Microsoft、AWS 和其他主要软件供应商的项目。”HiddenLayer 解释道。 要接管 R 包，攻击者只需用恶意文件覆盖 .rdx 文件，确保包加载后立即自动执行代码。通过修改可能的系统包，例如编译器，恶意代码将在R初始化时执行。 CVE-2024-27322 的补丁包含在 R Core 版本 4.4.0 中，该版本于 4 月 24 日作为源代码发布，随后很快发布了 Windows 和 Mac 二进制文件。更新后的版本也将包含在各种 Linux 发行版中。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/MfPWbg3-fbEUJXsUbzPUXw 封面来源于网络，如有侵权请联系删除

与朝鲜政府有联系的黑客正在利用电子邮件安全系统的漏洞发送看似合法的欺骗性消息，使他们能够冒充记者或学者。 包括联邦调查局 (FBI)、国家安全局 (NSA) 和国务院在内的多个联邦机构本周发布了一份公告，警告Kimsuky 行动中的黑客正在瞄准配置不当的基于 DNS 域的消息身份验证、报告和一致性 (DMARC) 记录策略。 DMARC 已有十多年的历史，是一种安全工具，电子邮件平台使用它来验证邮件并使其流行的域无法被欺骗。成功的 DMARC 实施可以阻止试图伪装成来自经过验证的组织的恶意电子邮件。根据配置，未通过合法性测试的电子邮件可能会被标记为垃圾邮件或被阻止。 据这些机构称，朝鲜黑客的目标是配置不当的 DMARC 设置，使他们的电子邮件看起来像是来自合法域的电子邮件，从而使他们能够伪装成与朝鲜政策圈有可靠联系的专家或学者。这些机构跟踪的活动从 2023 年底到 2024 年初。 在咨询报告的一个示例中，攻击者向受害者提供演讲费，作为让他们打开电子邮件的一种方式。一些电子邮件显示，有证据表明朝鲜黑客能够访问大学的合法电子邮件客户端来发送电子邮件。 大多数其他电子邮件都欺骗了合法记者的姓名和真实的电子邮件域，由于组织没有任何 DMARC 政策，因此仍然能够进入收件箱。 这些机构表示：“朝鲜利用这些鱼叉式网络钓鱼活动来收集有关地缘政治事件、对手外交政策战略的情报，以及通过非法获取目标私人文件、研究和通信来影响朝鲜利益的任何信息。” Kimsuky 是一个黑客组织，执法机构认为该组织由朝鲜侦察总局 (RGB) 内的第 63 研究中心运营。该组织的目标是“通过损害政策分析师和其他专家的利益，向朝鲜政权提供被盗数据和宝贵的地缘政治见解。” 黑客花时间研究受害者并定制鱼叉式网络钓鱼电子邮件，以“显得更加真实，对目标更有吸引力”。据美国机构称，他们经常使用以前被入侵的电子邮件帐户的邮件内容来增强其欺骗性电子邮件的真实性。 “除了令人信服的电子邮件信息外，Kimsuky 黑客组织还被发现创建虚假用户名并使用合法域名冒充受信任组织（包括智囊团和高等教育机构）的个人，以获取信任并与电子邮件收件人建立融洽关系。”该咨询报告说。 如果有人对一封电子邮件产生怀疑并检查了“回复”部分，它仍然看起来来自合法域。 在美国或韩国从事朝鲜、亚洲、中国和/或东南亚事务的任何人都应该留意这些电子邮件，尤其是政府官员和军人。 该建议警告人们警惕那些最初通信无害、随后来自不同电子邮件地址的奇怪链接或附加文档的电子邮件。 长期以来，朝鲜黑客一直被指控冒充记者和研究人员，试图闯入组织系统。SentinelLabs 表示， SentinelLabs一月份发布了一份报告，重点介绍了一项针对韩国学术界朝鲜事务专家以及一家专注于朝鲜问题的新闻机构的攻击活动。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/M87Aby-1TykR1z97N0ig4Q 封面来源于网络，如有侵权请联系删除

北约和欧盟谴责与俄罗斯有关的威胁组织APT28（又名“森林暴雪”、“ Fancybear ”或“ Strontium ”）针对欧洲国家开展的网络间谍活动。 本周，德国联邦政府以最强烈的措辞谴责 APT28 组织针对德国社会民主党执行委员会开展的长期间谍活动。 “联邦政府针对此次活动的国家归因程序得出的结论是，在相对较长的一段时间内，网络攻击者 APT28 利用了 Microsoft Outlook 中当时尚未识别的关键漏洞来危害众多电子邮件帐户。”德国联邦监管局发布的公告中说。 自 2022 年 4 月以来，APT28 利用 0day 漏洞 CVE-2023-23397 对欧洲实体进行攻击。这个与俄罗斯相关的 APT 组织还针对北约实体和乌克兰政府机构。 CVE-2023-23397漏洞是一个 Microsoft Outlook 欺骗漏洞，可导致身份验证绕过。 2023 年 12 月，Palo Alto Networks 的 Unit 42 研究人员报告称，APT28组织 在针对欧洲北约成员国的攻击中利用了 CVE-2023-23397 漏洞。 专家们强调，在过去 20 个月中，APT黑客针对了 14 个国家的至少 30 个机构，这些机构可能对俄罗斯政府及其军队具有战略情报意义。 2023 年 3 月，Microsoft 发布了调查利用已修补的 Outlook 漏洞（跟踪为CVE-2023-23397 ）的攻击指南 。 在微软威胁情报于 2023 年底发现的攻击中，攻击者主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。 据Unit 42称，APT28于2022年3月开始利用上述漏洞。 “在此期间，Fighting Ursa 至少进行了两次利用此漏洞进行的活动，并且这些活动已被公开。第一次发生在 2022 年 3 月至 12 月期间，第二次发生在 2023 年 3 月。”Unit 42发布的分析报告这样描述。 “Unit 42 研究人员发现了第三个最近活跃的活动，其中 Fighting Ursa 也利用了此漏洞。该组织在 2023 年 9 月至 10 月期间开展了最近一次活动，目标是七个国家的至少 9 个组织。” 研究人员指出，在第二次和第三次活动中，攻击者继续使用众所周知的 Outlook 漏洞。这意味着这些行动所产生的访问和情报的好处被认为比被发现的潜在后果更重要。 目标清单很长，包括： 除乌克兰外，所有目标欧洲国家均为北约组织 (NATO) 成员 至少一支北约快速反应部队 以下部门内与关键基础设施相关的组织：能源、运输、电信、信息技术、军工基地 微软威胁情报还警告称，与俄罗斯有关的网络间谍组织 APT28 正在积极利用 CVE-2023-23397  Outlook 漏洞劫持 Microsoft Exchange 帐户并窃取敏感信息。 10 月，法国国家信息系统安全局 ANSSI  （国家信息系统安全局） 警告称 ，与俄罗斯有关的 APT28 组织一直针对多个法国机构，包括政府实体、企业、大学、研究机构和智库。 该法国机构注意到，攻击者使用不同的技术来逃避检测，包括破坏位于目标网络边缘的受监控和低风险设备。政府专家指出，在某些情况下，该组织并没有在受感染的系统中部署任何后门。 ANSSI 观察到 APT28 在针对法国组织的攻击中至少使用了三种攻击技术： 零日漏洞； 攻击路由器和个人电子邮件帐户； 使用开源工具和在线服务。 ANSSI 调查确认 APT28 利用了 Outlook 0day 漏洞 CVE-2023-23397。 据其他合作伙伴称，在此期间，还利用了其他漏洞，例如影响 Microsoft Windows 支持诊断工具的漏洞（MSDT、 CVE-2022-30190，也称为 Follina）以及针对 Roundcube 应用程序的漏洞（CVE- 2020-12641、CVE-2020-35730、CVE-2021-44026）。 根据德国政府最近发布的公告，APT28活动针对的是德国、其他欧洲国家和乌克兰的政府当局、物流公司、军火、航空航天工业、IT服务、基金会和协会。该组织还对 2015 年德国联邦议院的网络攻击负责。这些行为违反了国际网络规范，需要特别关注，特别是在许多国家的选举年期间。 捷克外交部也谴责APT28组织的长期网络间谍活动。该部的声明还证实，从 2023 年起，捷克机构已成为与俄罗斯相关的 APT28 的目标，该组织利用 Microsoft Outlook 0day漏洞。 “根据情报部门的信息，自 2023 年起，一些捷克机构成为利用 Microsoft Outlook 中先前未知漏洞进行网络攻击的目标。这些攻击的操作模式和重点与攻击者 APT28 的个人资料相符。” 北约、 欧盟理事会以及美国和英国政府也发表了类似声明。 APT28组织  （又名 Fancy Bear、  Pawn Storm、 Sofacy Group、  Sednit、BlueDelta 和 STRONTIUM）至少自 2007 年以来一直活跃，其目标是世界各地的政府、军队和安全组织。该组织还参与了针对2016 年总统选举的一系列攻击 。该组织隶属于俄罗斯总参谋部主要情报局 (GRU) 。 大多数 APT28 的活动都利用了鱼叉式网络钓鱼和基于恶意软件的攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/BQuLzaxvmlzuPUUsa6xe8Q 封面来源于网络，如有侵权请联系删除