Lazarus Group 在中东和美国医疗领域攻击中使用 Medusa 勒索软件
HackerNews 编译,转载请注明出处: Symantec 和 Carbon Black 威胁猎人团队的最新报告显示,与朝鲜相关的 Lazarus Group(又称 Diamond Sleet、Pompilus)在针对中东一家未具名机构的攻击中使用了 Medusa 勒索软件。 Broadcom 威胁情报部门表示,其还发现同一威胁行为者对美国一家医疗机构发起了攻击,但未成功。Medusa 是由网络犯罪组织 Spearwing 于 2023 年推出的勒索软件即服务(RaaS)项目。该组织迄今已宣称实施超过 366 起攻击。 该公司在提交给 The Hacker News 的报告中称:“对 Medusa 数据泄露站点的分析显示,自 2025 年 11 月初以来,美国有四家医疗和非营利机构遭到攻击。” “受害者包括一家心理健康领域非营利机构和一家自闭症儿童教育机构。”目前尚不清楚这些受害者是否全部由朝鲜相关人员攻击,还是部分攻击由其他 Medusa 合作方实施。该期间的平均勒索金额为 260,000 美元。 朝鲜黑客组织使用勒索软件并非没有先例。早在 2021 年,Lazarus 旗下名为 Andariel(又称 Stonefly)的分支就被发现使用 SHATTEREDGLASS、Maui、H0lyGh0st 等定制勒索软件攻击韩国、日本和美国的机构。 随后在 2024 年 10 月,该黑客组织还与 Play 勒索软件攻击相关联,标志着其转向使用现成的加密工具加密受害者系统并索要赎金。 不过,并非只有 Andariel 从定制勒索软件转向使用现成版本。去年,Bitdefender 披露,另一个被追踪为 Moonstone Sleet 的朝鲜威胁行为者此前曾使用名为 FakePenny 的定制勒索软件,而现在可能使用 Qilin 勒索软件攻击了多家韩国金融公司。 该公司向 The Hacker News 表示,这些变化可能标志着朝鲜黑客组织的战术转变:他们开始作为成熟 RaaS 组织的合作方运作,而非自行开发工具。 Symantec 和 Carbon Black 威胁猎人团队首席情报分析师 Dick O’Brien 表示:“其动机很可能是实用主义。”“既然可以使用 Medusa 或 Qilin 这类经过验证的威胁,何必费力开发自己的勒索软件有效载荷?”“他们可能认为,扣除合作方费用后,收益仍大于成本。” Lazarus Group 的 Medusa 勒索软件行动中使用了多种工具: · RP_Proxy,一款定制代理工具 · Mimikatz,一款公开可用的凭证窃取程序 · Comebacker,该威胁行为者专用的定制后门 · InfoHook,一款此前被发现与 Comebacker 配合使用的信息窃取工具 · BLINDINGCAN(又称 AIRDRY、ZetaNile),一款远程访问木马 · ChromeStealer,一款用于从 Chrome 浏览器提取存储密码的工具 尽管此类勒索攻击与 Andariel 以往的攻击模式相似,但该活动尚未与 Lazarus 旗下任何具体分支关联。 该公司表示:“转向使用 Medusa 表明,朝鲜在网络犯罪中的疯狂参与丝毫未减。”“朝鲜相关行为者在攻击美国机构时似乎毫无顾忌。”尽管部分网络犯罪组织因可能引发声誉风险而声称避开医疗机构,但 Lazarus 似乎不受任何此类约束。 消息来源:thehackernews.com; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
黑客利用 Charon 勒索软件,攻击中东公共部门和航空业
HackerNews 编译,转载请注明出处: 网络安全研究人员发现一种名为Charon的新型勒索软件家族正被用于攻击中东公共部门和航空业。据趋势科技分析,攻击者展现出与高级持续性威胁(APT)组织相似的技术特征,包括DLL侧载、进程注入以及逃避端点检测与响应(EDR)软件的能力。 此次攻击使用的DLL侧载技术与涉中APT组织Earth Baxia的历史手法高度相似——该组织曾利用OSGeo GeoServer GeoTools漏洞(现已修复)针对台湾及亚太地区政府目标投递后门程序EAGLEDOOR。具体攻击链以合法浏览器文件Edge.exe(原名cookie_exporter.exe)为入口,通过侧载恶意msedge.dll(代号SWORDLDR)最终部署Charon勒索软件有效载荷。 与其他勒索软件类似,Charon具备破坏性功能:终止安全相关服务及运行进程,删除卷影副本和备份以降低恢复可能性;采用多线程与部分加密技术提升文件锁定效率;并内置基于开源Dark-Kill项目的驱动程序,可通过“自带易受攻击驱动程序(BYOVD)”攻击禁用EDR方案——但该功能在此次攻击中未被触发,表明其可能处于开发阶段。 区别于传统勒索活动,攻击者使用定制化勒索信明确提及受害组织名称,证实此为针对性攻击。目前初始入侵途径尚未明确。尽管存在技术重叠(特别是通过相同二进制文件配合DLL部署加密shellcode的工具链),趋势科技强调三种可能:Earth Baxia直接参与、蓄意模仿的假旗行动,或独立开发类似技术的新威胁组织。由于缺乏共享基础设施或一致攻击模式等确凿证据,当前仅能认定此次攻击与Earth Baxia存在“有限但显著的技术趋同”。 该事件印证勒索软件运营商正积极采用APT级技术,将复杂规避手段与勒索加密的直接业务影响结合,形成更高风险。研究人员警告:“这种APT战术与勒索软件操作的融合,通过结合精密规避技术和即时业务中断的加密手段,显著提升了组织风险”。同期曝光的Interlock勒索软件活动同样采用多阶段攻击链(涉及PowerShell脚本、PHP/NodeJS/C后门),凸显监测可疑进程活动的重要性。 行业现状数据显示:过去12个月内57%的组织遭遇过勒索软件攻击,其中71%的邮件系统被入侵组织最终遭勒索;32%的受害者支付赎金,但仅41%成功恢复全部数据。 消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
伊朗背景黑客组织瞄准中东多国政府
HackerNews 编译,转载请注明出处: 网络安全研究人员披露与伊朗存在关联的威胁组织“BladedFeline”正长期针对伊拉克政府及库尔德地区政府(KRG)实施网络间谍活动。 ESET研究证实,该组织自2017年首次入侵库尔德政府系统以来,持续升级其攻击工具库,展现出显著的技术演进。最新攻击活动中,攻击者部署了专为隐蔽驻留设计的恶意软件套件,其中包含通过受损微软Exchange邮箱账户收发指令的“Whisper”后门——该后门将操作命令隐藏于邮件附件,规避传统安全检测机制。同时发现的恶意IIS模块“PrimeCache”以前所未有的被动潜伏模式运行:监控所有传入HTTP请求,仅在检测到预设Cookie结构时激活攻击功能,其余时间完全隐匿于正常服务器进程。 攻击工具链还包括两款反向隧道工具Laret与Pinar,以及多阶段渗透工具集。 该套件使攻击者具备四项核心能力: ① 长期维持高价值目标系统访问权限 ② 通过加密通信躲避安全监测 ③ 利用合法Webmail账户远程执行指令 ④ 将恶意活动嵌入可信服务器进程实现深度隐匿 技术溯源显示,BladedFeline与伊朗国家级黑客组织OilRig存在强关联性:恶意软件功能设计与OilRig标志性后门RDAT高度相似,攻击基础设施存在重叠,战术目标均聚焦中东地缘政治情报收集。据此评估,BladedFeline极可能为OilRig组织的战术子单元。 该组织活动呈现持续进化态势: ① 时间跨度:最早攻击痕迹可追溯至2017年对库尔德外交系统的渗透 ② 目标扩展:从库尔德政府延伸至伊拉克中央机构及乌兹别克斯坦电信服务商 ③ 技术迭代:从基础后门发展为模块化、高隐蔽性攻击框架 ④ 最新动态:2024年初仍检测到新版恶意工具活跃 ESET警告称:“从简单后门到模块化潜伏工具的技术转型,印证该组织意图长期掌控政治敏感领域访问权限。我们预判BladedFeline将持续开发新型植入程序,以维持并扩大其网络间谍行动范围。”这进一步揭示伊朗背景攻击者正通过技术升级,在区域情报收集中构建更隐蔽的作战能力。 消息来源: infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
研究报告称中东石油和天然气行业的网络安全发展滞后
外媒 3 月 27 日消息,根据西门子和 Ponemon 研究发现,在过去的 12 个月中,近 3/4 的中东石油和天然气工业组织经历了安全危害,导致其机密数据或操作技术( OT )中断。研究报告指出,中东所有网络攻击中石油和天然气行业占据了一半的比例。鉴于中东地区经济的重要性,这些行业面临的风险更加紧迫。 OT 研究包括监控以及控制物理设备和工业过程的系统,它与 IT 网络的联系日益紧密。然而,也因如此 IT / OT 融合正在为网络攻击开辟新的途径。 在调查的受访者中,大多数 ( 60% )认为其组织在 OT 中面临的风险比 IT 环境要大。因为研究显示,中东地区 30% 的攻击目标都是针对 OT。而内部人士被发现是 OT 安全威胁的主要来源,例如某种程度上一些粗心大意的人士比恶意行为者更具威胁性。 报告指出,目前这些组织已经开始采取关键措施,以抵御越来越普遍的网络攻击,其中包括建立专门的 OT 安全团队,与 OT 安全专家合作,利用安全分析以及引入尖端的监控工具。 不过有趣的是,他们的 OT 网络防御的预算并没有与“威胁”同步:研究发现中东的石油和天然气组织只花费其网络安全预算的三分之一来强化 OT 环境,他们的网络安全预算总额,包括 IT 和 OT ,都低于全球同行。 以下为中东地区石油和天然气组织遭受的攻击事件: 2012 年,世界上最大的石油公司沙特石油公司在感染了 3.5 万台电脑的病毒之后遭受重大破坏。 阿拉伯海湾石油和天然气部门因袭击事件仅在去年财务损失就达到了 10 亿欧元。 2017 年 8 月,攻击者利用 OT 特定的恶意软件 Trisis 或 Triton 来攻击沙特阿拉伯一家石油和天然气工厂的安全系统,导致其设施停止运营。 消息来源:welivesecurity,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
加沙网络黑帮 Gaza Cybergang 重返江湖,中东与北非地区成为重灾区
据外媒报道,与巴勒斯坦伊斯兰抵抗运动组织哈马斯有关的阿拉伯黑客组织加沙网络黑帮 Gaza Cybergang 近日重返江湖,其攻击目标定位为中东与北非(MENA)地区。 Gaza Cybergang( 又名 “ Gaza 黑客军团 ”或 Molerats )疑似政治黑客,早在 2012 年就处于活跃状态,自 2015 年第二季度起影响不断加剧,主要攻击目标为政府实体/使馆、石油与天然气、媒体/新闻出版机构、政客与外交官等。据推测,该组织可能由巴勒斯坦哈马斯军方组成,欧洲与美国组织机构也受到不同程度影响。调查显示,黑客广泛搜集情报,配合使用高级社工等方式通过含有宏病毒的 Office 附件或恶意链接的鱼叉式网络钓鱼邮件展开攻击。 今年初,网络安全公司 Palo Alto Networks 发现黑客组织 Gaza Cybergang 利用恶意软件 DustySky 开展新兴网络间谍活动。据悉,他们通过 Downeks 下载器与 Quasar 或 Cobaltstrike 远程访问工具(RAT)向政府机构的 Windows 设备发动攻击,以便获取远程访问与数据渗出能力。卡巴斯基表示,该组织主要针对 MENA 地区的石油天然气公司展开攻击活动。其黑客入侵公司系统后,渗出数据已长达一年之久。此外,Gaza Cybergang 武器库还于今年 4 月新增一款安卓木马,最初由卡巴斯基在一台命令与控制服务器上发现,很可能被用于针对以色列士兵。 自 6 月起,Gaza Cybergang 利用攻击链触发微软公司 4 月修复的漏洞 CVE 2017-0199。据称,这种做法更加行知有效,可通过未经修复的 Windows 系统直接实现代码执行能力。Microsoft Access 数据库文件可用于维持低级别检测,是传播恶意软件的常见方法。这些开发有助于黑客继续开展行动,甚至绕过传统防御,持续长时间作业。 专家坦言,由于黑客不断改善工具包、减少曝光率,近期此类攻击活动在数量与质量上都将有增无减。建议组织机构:提高安全防范意识、及时修复漏洞;使用成熟的企业级安全解决方案有针对性地分析、捕捉异常网络攻击事件;向雇员提供最新的威胁情报数据(例如入侵指标与 YARA 规则)以强化威胁防范与查找发现措施。 原文作者:Pierluigi Paganini,译者:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。