HackerNews 编译，转载请注明出处： 一个此前未被记录的威胁活动集群，被关联到一场至少从 2025 年 12 月开始、针对美国教育和医疗行业的持续恶意攻击活动。 Cisco Talos 正在以代号 UAT-10027 追踪该攻击活动。攻击的最终目的是投放一款此前从未出现过、代号为 Dohdoor 的后门。 “Dohdoor 利用基于 HTTPS 的 DNS（DoH）技术进行命令与控制（C2）通信，并能够以反射式方式下载并执行其他二进制载荷，” 安全研究人员 Alex Karkins 和 Chetan Raghuprasad 在一份分享给《The Hacker News》的技术报告中表示。 尽管目前尚不清楚该攻击活动使用的初始入口向量，但据推测涉及社会工程钓鱼手段，最终会执行一段 PowerShell 脚本。 该脚本随后会从远程中转服务器下载并运行一个 Windows 批处理脚本，而该脚本会进一步协助下载一个名为 propsys.dll 或 batmeter.dll 的恶意 Windows 动态链接库（DLL）。 该 DLL 载荷，即 Dohdoor，通过合法 Windows 可执行文件（如 Fondue.exe、mblctr.exe 和 ScreenClippingHost.exe），使用一种被称为 DLL 侧加载的技术启动。该植入程序创建的后门访问权限被用于将下一阶段载荷直接加载到受害者内存并执行。该载荷被判定为 Cobalt Strike Beacon。 “威胁行为者将 C2 服务器隐藏在 Cloudflare 基础设施之后，确保从受害者机器发出的所有出站通信，在外观上都与发往可信全球 IP 地址的合法 HTTPS 流量一致，”Talos 表示。 “该技术绕过了基于 DNS 的检测系统、DNS 黑洞以及监控可疑域名查询的网络流量分析工具，确保恶意软件的 C2 通信能够躲避传统网络安全基础设施的检测。” 研究人员还发现，Dohdoor 会对系统调用进行脱钩，以绕过那些通过 NTDLL.dll 中的用户态钩子监控 Windows API 调用的终端检测与响应（EDR）方案。 Raghuprasad 向 The Hacker News 表示：“攻击者已入侵多家教育机构，其中包括一所与其他多家机构相连的大学，这表明其潜在攻击面可能更广。此外，受影响实体中还有一家医疗设施，专门提供老年护理服务。” 对该攻击活动的分析显示，截至目前尚未发现数据窃取的证据。研究人员补充称，除了看似用于在受害者环境中植入后门的 Cobalt Strike Beacon 之外，尚未观察到其他最终载荷，但根据受害者类型模式判断，UAT-10027 的行动很可能受金融利益驱动。 目前尚不清楚 UAT-10027 背后的组织身份，但 Cisco Talos 表示，其发现 Dohdoor 与 LazarLoader 在战术上存在一些相似之处。LazarLoader 是一款此前被发现由朝鲜黑客组织 Lazarus 在针对韩国的攻击中使用的下载器。 “尽管 UAT-10027 的恶意软件与 Lazarus 组织存在技术重合，但该攻击活动对教育和医疗行业的聚焦，与 Lazarus 通常针对加密货币和国防领域的特征并不一致，”Talos 总结道。 “不过…… 朝鲜 APT 行为者曾使用 Maui 勒索软件攻击医疗行业，而另一个朝鲜 APT 组织 Kimsuky 也曾针对教育行业，这表明 UAT-10027 的受害者特征与其他朝鲜 APT 存在重合之处。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁情报公司 Unit 221B 宣布完成 500 万美元种子轮融资，本轮融资由 J2 Ventures 领投，Pipeline Capital 及其他投资者跟投。 这家总部位于纽约的公司由资深威胁情报与技术专家于十年前创立，专注于提供可执行的威胁情报，其中包括能够促成黑客被逮捕的相关情报。 Unit 221B 开发了一款名为 eWitness 的专有威胁情报平台，该平台依托一个由调查员、分析师和研究人员组成的精心筛选的网络，用于追踪英语国家的网络犯罪分子并揭露攻击活动。eWitness 依赖 人力情报（HUMINT） —— 一个由经过审查的可信成员组成的社区，共同收集高价值的威胁情报，用于数据的捕获、管理和存储。此外，Unit 221B 还为执法机构和跨国企业提供量身定制的调查工具与威胁狩猎服务。 多年来，该公司曾参与多项调查，推动威胁行动的瓦解，并协助对多名网络罪犯提起诉讼和实施逮捕，其中包括上个月 RapperBot DDoS 僵尸网络管理员 Ethan Foltz 的落网。 Unit 221B 表示，将利用这笔新资金提升 eWitness 平台的新功能，并加速调查合作与市场拓展。 Unit 221B 首席执行官 May Chen-Contino 表示：“集体行动有能力改变结果。我们正在联合企业、执法机构和政府的调查人员，共同打造一个更安全的线上与线下世界。打击这些犯罪网络的唯一方法就是携手合作。”     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

VMware 为 ESXi 虚拟机管理程序中的一个严重漏洞发布补丁后不到一周，微软威胁情报团队表示，勒索软件团体正在利用该漏洞获取加入域的系统的完全管理访问权限。 根据微软威胁情报团队的最新警告，该漏洞编号为 CVE-2024-37085，CVSS 严重性评分为 6.8，已被多个已知勒索软件组织滥用，在企业网络上部署数据勒索恶意软件。 VMware 上周发布补丁和解决方法时并未提及野外攻击，同时警告黑客可能利用该漏洞获取对 ESXi 主机未经授权的访问和控制。 VMware 表示：“VMware ESXi 包含身份验证绕过漏洞。VMware 已评估此问题的严重性，将其评为中等严重性范围。”“具有足够 Active Directory (AD) 权限的攻击者可以通过在从 AD 中删除配置的 AD 组（默认情况下为“ESXi 管理员”）后重新创建该组，获得对之前配置为使用 AD 进行用户管理的 ESXi 主机的完全访问权限。” 该公司推出了针对 ESXi 8.0 和 VMware Cloud Foundation 5.x 的补丁，但没有计划推出针对 ESXi 7.0 和 VMware Cloud Foundation 4.x 的补丁。 微软报告称，Storm-0506、Storm-1175 和 Octo Tempest 等知名网络犯罪集团已经利用此 VMware ESXi 漏洞部署勒索软件。 微软表示：“过去三年中，针对并影响 ESXi 虚拟机管理程序的微软事件响应 (Microsoft IR) 活动的数量增加了一倍以上。” 在一个记录在案的案例中，微软表示北美一家工程公司受到了 Black Basta 勒索软件部署的影响，其中包括使用 CVE-2024-37085 漏洞来获取组织内 ESXi 虚拟机管理程序的提升权限。 该公司警告称：“微软发现威胁行为者在域中创建了‘ESX Admins’组并向其中添加了一个新用户帐户……此攻击导致 ESXi 文件系统被加密，并导致 ESXi 管理程序上托管的虚拟机失去功能。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/g_dRPBhX0HQeAPYRH-Dz-g 封面来源于网络，如有侵权请联系删除

本周，Mandiant 公司发布的一份新报告记录了 APT45 作为一个针对医疗保健提供商、金融机构和能源公司的激进勒索软件组织的出现，有朝鲜官方背景的黑客行动的内部运作变得更加清晰。 这个被命名为 APT45 的组织多年来一直被追踪为Andariel或Silent Chollima，以支持朝鲜战略利益的网络间谍活动而闻名，但最近其业务范围扩大到包括针对非常敏感目标的勒索软件攻击。 APT45针对的目标 Mandiant 的新报告发布之际，美国政府及其盟友发布了一项大规模通报，揭露了朝鲜这个危险黑客组织使用的工具和策略。Mandiant 的一位发言人表示，该公司与包括联邦调查局在内的多个美国政府机构密切合作，追踪该组织获取国防和研发情报的行动。 Mandiant 表示，专家和政府机构对 APT45 窃取一系列武器和工具敏感计划的能力感到震惊，其中包括： 重型和轻型坦克和自行榴弹炮 轻型攻击车和弹药补给车 濒海战斗舰和战斗艇 潜艇、鱼雷、无人水下航行器 (UUV)     和自主水下航行器 (AUV) 建模和仿真服务 战斗机和无人机（UAV） 导弹和导弹防御系统 卫星、卫星通信和纳米卫星技术 监视雷达、相控阵雷达和其他雷达系统 铀加工和浓缩 材料浪费和储存 核电厂 政府核设施和研究机构 船舶制造和海洋工程 机器人机械和机械臂 增材制造和 3D 打印组件和技术 铸造、制造、高温金属成型、橡胶和塑料成型 加工工艺和技术 Mandiant 朝鲜威胁搜寻团队负责人迈克尔·巴恩哈特 (Michael Barnhart) 表示。“APT45 不受道德考量约束，并已证明他们愿意并足够灵活地针对任何实体来实现其目标，包括医院。” Mandiant 表示，该组织的间谍活动可以追溯到 2009 年，并逐渐扩展为以经济为目的的攻击——其使用勒索软件的特点使其有别于其他朝鲜组织。该组织使用的一些恶意软件与该国其他组织使用的工具集截然不同。 Mandiant 表示，2019 年，该组织瞄准了印度的库丹库拉姆核电站，并补充说，其他核设施和发电厂也成为攻击目标。该组织还于 2020 年攻击了一家跨国公司的作物科学部门，并在过去四年中攻击了多个医疗保健和制药垂直行业。 “我们还相当确信 APT45 参与了勒索软件的开发。”该事件响应公司表示。“该组织针对核相关实体开展了行动，凸显了其在支持朝鲜优先事项方面的作用。” 尽管 Mandiant 谨慎地否认 APT45 是勒索软件攻击的起因，但该公司指出，公开报道称该组织一直在进行金融犯罪。 虽然 Mandiant 无法确认勒索软件是 APT45 武器库的一部分，但它指出，美国政府网络安全机构CISA 警告称，朝鲜背景的攻击者使用MAUI勒索软件针对医疗保健和公共卫生部门。 Mandiant 表示，与朝鲜的大多数黑客团队一样，APT45 恶意软件随着时间的推移表现出明显的共同特征，包括代码的重复使用、独特的自定义编码和密码。 Mandiant 发布了 VirusTotal Collection，其中包含与APT45 相关的攻击指标，以帮助防御者寻找感染迹象。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/vsqgskqG5cFtthe–oUA4A 封面来源于网络，如有侵权请联系删除

德国当局查封了暗网市场 Nemesis Market，并没收了价值 94,000 欧元的数字资产。 德国当局采取行动，成功打击了位于德国和立陶宛的非法暗网市场 Nemesis Market，并查获了其服务器和基础设施。 Nemesis Market是一个非法暗网市场，专门用于进行欺诈获取数据交易和其他网络犯罪服务（包括DDoS攻击、网络钓鱼和勒索软件等）。 该平台在全球范围内拥有超过150000名用户和1100个注册卖家账户，其成立于2021年，约20%的卖家来自德国。 Nemesis Market可通过Tor网络访问，其运营商以涉嫌在互联网上进行犯罪交易并且违反麻醉品法的犯行被关闭。在扣押过程中，价值94000欧元的加密货币数字资产被没收。 根据新闻稿，查获Nemesis Market是德国、美国和立陶宛执法当局进行的联合调查的一部分。 “被查获的市场数据将用于进一步调查该平台的犯罪卖家和用户。这一行动是对在暗网上运作的地下经济参与者的打击，展示了国际执法在数字空间中的有效性。”新闻稿说到。 同时，这并非当局首次查封类似Nemesis Market的暗网平台。 据 ALPHV（又称 BlackCat）暗网博客上发布的通知，称当局于 2023 年 12 月查封了该网站。据称，此举是联邦调查局在针对 ALPHV/BlackCat 勒索软件采取的协调执法行动的一部分。 虽然网站在 2023 年 12 月关闭引发了平台被关闭或更名的传言，但后来证实，该勒索软件团伙的网站确认是被执法部门关闭，但在后续过程中，据称该勒索团伙已通过更换网络域名方式重新上线。 消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

微软和OpenAI通过监测大模型使用记录，找出全球APT组织的使用痕迹，并对相关帐号和资产进行封禁。 安全内参消息称，过去几年来，网络威胁生态系统的发展揭示了一个共同主题，即威胁行为者与企业防守方同步跟随技术趋势。和企业防守方一样，威胁行为者正在关注大语言模型等人工智能技术，希望借以提高生产力，并利用可访问的平台来推进目标实现、提升攻击技术。 微软与OpenAI合作对网络威胁生态进行研究，尚未发现大家密切关注的大语言模型被用于重大攻击。不过，微软认为这项重要研究成果需要公开发布，因为它揭示了目前观察到的知名威胁行为者正在尝试的早期、渐进性举措，并给出应该如何阻止和应对这些行为者的措施。 攻击者会持续对人工智能保持兴趣，并探索当前技术的功能和安全控制措施。重要的是，我们需要将这些风险置于具体情境中加以理解。像多因素身份验证和零信任防御等网络卫生实践一样重要，因为攻击者可能利用基于人工智能的工具，来改进其现有的网络攻击模式，比如通过社会工程学试图找到未受保护的设备和帐号。 本文列举了一些威胁行为者的活动示例。网络安全行业迫切需要使用MITRE的ATT&CK框架或ATLAS知识库更新，更好地跟踪它们的战术、技术和程序（TTPs）。 森林暴雪 森林暴雪（STRONTIUM）是俄罗斯军事情报机构GRU第26165单位相关的俄罗斯军事情报行为者，其主要目标是对俄罗斯政府具有战术和战略利益的受害者。他们的活动覆盖了多个行业，包括国防、交通/物流、政府、能源、非政府组织和信息技术等。 俄乌战争期间，森林暴雪一直积极攻击与冲突有关的组织。微软认为，无论是在乌克兰还是在更广泛的国际社会，森林暴雪的行动都有力地支持了俄罗斯的外交政策和军事目标。森林暴雪与其他研究人员跟踪的威胁行为者（如APT28和Fancy Bear）有所重叠。 森林暴雪主要使用大语言模型对各种卫星和雷达技术进行研究，这些技术可能与在乌克兰进行的常规军事行动或支持网络攻击的通用研究有关。根据这些观察，相关TTPs分类描述如下： 大语言模型指导的侦察：与大语言模型交互以了解卫星通信协议、雷达成像技术和特定技术参数。这些交互行为表明威胁行为者试图更为深入地了解卫星的能力。 大语言模型增强的脚本技术：寻求在基本脚本任务中提供支持，包括文件操作、数据选择、正则表达式和多处理，以期自动化或优化技术操作。 据微软观察，森林暴雪的大语言模型互动与鲑鱼台风（Salmon Typhoon）类似，说明对手在探索如何使用新技术。与其他对手一样，与森林暴雪相关的所有帐号和资产已被禁用。 翡翠雨 翡翠雨（THALLIUM）是归属朝鲜的威胁行为者，在2023年一直保持高度活跃。最近，他们依靠钓鱼邮件来窃取和收集对朝鲜问题具有专业知识的知名人士的情报。据微软观察，翡翠雨冒充声望良好的学术机构和非政府组织，诱使受害者回复有关与朝鲜有关的外交政策的专家见解和评论。翡翠雨与其他研究人员跟踪的威胁行为者（如Kimsuky、Velvet Chollima）有所重叠。 翡翠雨使用大语言模型支持上述活动，涉及对朝鲜问题智库和专家的研究，以及生成可能用于钓鱼攻击的内容。翡翠雨还与大语言模型互动，以了解公开已知的漏洞、排除技术问题、帮助使用各种网络技术。根据这些观察，相关TTPs分类描述如下： 大语言模型辅助的漏洞研究：与大语言模型交互，以更好地了解公开报道的漏洞，例如CVE-2022-30190微软支持诊断工具（MSDT）漏洞（称为Follina）。 大语言模型增强的脚本技术：利用大预言模型进行基本的脚本编写任务，例如对系统中的某些用户事件进行程序化识别，并寻求帮助排除故障、理解各种Web技术。 大语言模型支持的社会工程学：利用大语言模型协助起草和生成可能用于针对具有区域专业知识的个人的钓鱼攻击的内容。 大语言模型指导的侦察：与大语言模型交互，以识别重点关注国防问题或朝鲜核计划的朝鲜问题智库、政府组织或专家。 与翡翠雨相关的所有帐号和资产均已被禁用。 深红沙尘暴 深红沙尘暴（CURIUM）是归属伊朗的威胁行为者，被认为与伊斯兰革命卫队（IRGC）有联系。至少自2017年以来保持活跃。深红沙尘暴已针对多个行业进行了攻击，包括国防、海运、交通运输、医疗保健和技术。这些行动经常依赖于诱饵攻击和社会工程，以传递定制的.NET恶意软件。此前研究发现，其使用基于电子邮件C2通道的定制恶意软件。深红沙尘暴与其他研究人员跟踪的威胁行为者（如Tortoiseshell、Imperial Kitten和Yellow Liderc）有所重叠。 深红沙尘暴对大语言模型的使用，与安全社区观察到的其更广泛行为特征相符。该威胁行为者与大语言模型的交互包括寻求社会工程方面的支持、帮助排除故障、.NET开发以及攻击者在受损计算机上如何避免检测的方式。根据这些观察，相关TTPs分类描述如下： 大语言模型支持的社会工程学：与大语言模型交互以生成各种钓鱼邮件，包括假冒来自国际发展机构的邮件和试图诱使著名女权主义者访问攻击者构建的女权主义网站的邮件。 大语言模型增强的脚本技术：使用大语言模型生成支持应用程序和Web开发的代码片段，与远程服务器交互，Web抓取，在用户登录时执行任务，以及通过电子邮件发送系统信息等。 大语言模型增强的异常检测规避：试图利用大语言模型辅助开发代码以规避检测，学习如何通过注册表或Windows策略禁用防病毒软件，并在应用程序关闭后删除目录中的文件。 所有与深红沙尘暴相关的帐号和资产均已禁用。 大语言模型领域的TTPs 基于以上分析的见解，以及人工智能的其他潜在滥用行为，微软梳理了大语言模型主题的TTPs清单，并将其映射并分类到MITRE ATT＆CK框架或ATLAS知识库中，为社区提供一种共同的分类方法，便于联手跟踪大语言模型的恶意使用并创建对策： 大语言模型指导的侦察：利用大语言模型收集关于技术和潜在漏洞的可行情报。 大语言模型增强的脚本技术：利用大语言模型生成或完善可用于网络攻击的脚本，或用于基本的脚本编写任务，如在系统上编程识别特定用户事件并协助故障排除和理解各种网络技术。 大语言模型辅助开发：在工具和程序的开发生命周期中利用大语言模型，开发包括恶意软件在内的恶意工具。 大语言模型支持的社会工程学：利用大语言模型辅助翻译和沟通，可能用于建立联系或操纵目标。 大语言模型辅助漏洞研究：利用大语言模型了解并识别软件和系统中的潜在漏洞，这些漏洞可能成为攻击目标。 大语言模型优化的载荷制作：利用大语言模型协助创建并完善用于部署网络攻击的载荷。 大语言模型增强的异常检测规避：利用大语言模型开发方法，使恶意活动与正常行为或流量混为一体，以规避检测系统。 大语言模型指导的安全功能绕过：利用大语言模型寻找绕过安全功能的方法，如双因素身份验证、CAPTCHA或其他访问控制。 大语言模型建议的资源开发：在工具开发、工具修改和战略运营规划中利用大语言模型。 总之，人工智能技术将继续发展，并受到各种威胁行为者的研究。微软将继续跟踪威胁行为者和滥用大型语言模型的恶意活动，并与OpenAI等合作伙伴携手分享情报，提高客户保护水平，为更广泛的安全社区提供帮助。   转自安全内参，原文链接：https://www.secrss.com/articles/64624 封面来源于网络，如有侵权请联系删除

与俄罗斯有关的APT28黑客组织与多个正在进行的网络钓鱼活动有关，这些活动使用模仿欧洲、南高加索、中亚以及北美和南美政府和非政府组织 (NGO) 的诱饵文件。 研究人员表示：“发现的诱饵包括内部和公开可用的文件，以及可能由参与者生成的与金融、关键基础设施、高管参与、网络安全、海事安全、医疗保健、商业和国防工业生产相关的文件。”IBMX-Force研究人员在上周发布的一份报告中写道。 IBM X-Force正在追踪名为ITG05的活动，该组织别名包括：Blue Athena、BlueDelta、Fancy Bear、Fighting Ursa、Forest Blizzard（以前称为 Strontium）、FROZENLAKE、Iron Twilight、Pawn Storm、Sednit、Sofacy、TA422 和UAC-028。 ITG05 是一个有俄罗斯官方背景的黑客组织，由多个活动集群组成，与 APT28、UAC-028、Fancy Bear 和 Forest Blizzard 的活动重叠。 该报告是在发现使用以色列-哈马斯战争相关的诱饵来提供名为HeadLace的定制后门三个多月后发布的。 APT28 还向乌克兰政府实体和波兰组织发送网络钓鱼消息，这些消息旨在部署定制植入程序和信息窃取程序，例如MASEPIE、OCEANMAP 和 STEELHOOK。 其他活动需要利用Microsoft Outlook 中的安全漏洞（ CVE-2023-23397，CVSS 评分：9.8）来获取 NT LAN Manager (NTLM) v2 哈希值，从而增加了攻击者可能利用其他漏洞窃取 NTLMv2 哈希值的可能性用于中继攻击。 ITG05 活动的感染链示例 IBM X-Force 在 2023 年 11 月下旬至 2024 年 2 月期间观察到的最新活动中，攻击者利用Microsoft Windows 中的“search-ms:”URI 协议处理程序来诱骗受害者下载托管在攻击者控制的 WebDAV 服务器上的恶意软件。 有证据表明，WebDAV 服务器以及 MASEPIE C2 服务器可能托管在受感染的 Ubiquiti 路由器上，该路由器是一个僵尸网络，上个月已被美国政府捣毁。 网络钓鱼攻击冒充来自阿根廷、乌克兰、格鲁吉亚、白俄罗斯、哈萨克斯坦、波兰、亚美尼亚、阿塞拜疆和美国等多个国家的实体，利用真实的公开政府和非政府诱饵文件来激活感染链。 安全研究人员 Joe Fasulo、Claire Zaboeva 和 Golo Mühr 表示：“在对其方法的更新中，ITG05 正在利用免费的托管提供商 firstcloudit[.]com 来暂存有效负载，以实现持续的操作。” APT28 精心策划的计划以 MASEPIE、OCEANMAP 和 STEELHOOK 的执行而告终，这些软件旨在窃取文件、运行任意命令和窃取浏览器数据。OCEANMAP 被认为是 CredoMap 的功能更强大的版本，CredoMap 是该组织先前确定使用的另一个后门。 研究人员总结道：“ITG05 通过提供新的感染方法和利用商用基础设施，同时不断发展恶意软件功能，始终能够适应机会的变化。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ewzUZU83mFfvp407SbJuzQ 封面来源于网络，如有侵权请联系删除

分析人士周四表示，一个伊朗国家支持的黑客组织最近渗透了一家以色列学术管理软件公司，并利用窃取的访问权限恐吓其他以色列组织。 据调查该事件的以色列公司 OP Innovate 发布报告称，此次行动的总体目标似乎是黑客行动，而不一定是经济利益。 OP Innovate 表示，去年 11 月，攻击者入侵了Rashim Software，然后似乎使用在该事件中获得的凭据“渗透到该公司的多个客户，包括众多学术机构”。 Rashim 客户 Rashim 公司是以色列知名企业，为大学和学院提供广泛的软件解决方案。他们的主要产品之一是名为 Michlol 的学生 CRM，该产品被全国各地的学术机构广泛使用。 自 2023 年 10 月伊朗加沙战争爆发以来，以色列网络安全公司一直在密切监视伊朗国家支持的黑客。伊朗是巴勒斯坦组织哈马斯的支持者。 鉴于其一些图形设计选择，OP Innovate 将该团体称为“Lord Nemesis（复仇女神）”。 “从他们的引人注目的网站（其中有一个看起来险恶的黑魔王）到他们的作案手法（包括悄悄渗透网络、窃取数据并逐渐将他们的发现发布到全球网络），该组织的行动经过深思熟虑，旨在最大程度地对受害者施加心理影响。”OP Innovate 说。 OP Innovate 表示，Lord Nemesis 与之前被其他网络安全公司追踪为 Nemesis Kitten 的组织有重叠。这是伊朗支持的几个黑客组织之一，包括Cobalt Mirage、APT35和Charming Kitten。美国政府在宣布2022 年针对与伊朗伊斯兰革命卫队有关的行动实施制裁和采取法律行动时引用了这些内容。 OP Innovate 的报告没有具体说明攻击者最初是如何入侵 Rashim Software 的。但 OP Innovate 表示，入侵者能够绕过 Rashim 通过 Office365 电子邮件向他们提供的多因素身份验证，从而扩展到 Rashim 的客户。 直到 3 月 4 日，黑客仍在向受害者进行恐吓。 OP Innovate 表示：“Nemesis 在网上帖子中准确描述了这次攻击，这对于黑客活动组织来说是一个不寻常的举动。” “这表明他们的直接参与和公开归因的愿望，使这一事件与网络犯罪分子通常实施的出于经济动机的攻击区分开来。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/QA6wvqATxH_UIRjSrlTDCQ 封面来源于网络，如有侵权请联系删除

研究人员表示，过去一年来，来自世界各地的至少14个国家支持的黑客组织瞄准了俄罗斯以及部分原苏联成员国，如阿塞拜疆、白俄罗斯、吉尔吉斯斯坦和哈萨克斯坦，并进行了破坏或间谍活动。 俄罗斯网络安全公司F.A.C.C.T.的报告指出，其中一些APT组织可能与乌克兰有联系，后者正在与俄罗斯交战；另一些则代表自己的国家利益行事，包括朝鲜等国。F.A.C.C.T.此前是知名网络安全公司Group-IB的子公司，于去年4月独立，Group-IB在去年退出了俄罗斯市场。 F.A.C.C.T.称，这份报告为关于俄罗斯等部分原苏联国家，面临的“网络威胁战略和战术提供了最全面的数据来源”。由于俄乌战争爆发，西方安全公司选择退出俄罗斯市场，这导致它们对这些地区的了解程度有限。 研究发现，在间谍活动方面，那些表面上是伙伴或盟友的国家正在利用网络空间相互监视。 F.A.C.C.T.的报告是用俄语编写的，只有在预定义的国家列表中的用户才能下载，这些国家包括亚美尼亚、格鲁吉亚和乌克兰。 国家级网络威胁 报告显示，2023年俄罗斯面临的出于政治动机的攻击，较前一年增加了116%。研究人员发现，至少有28次针对俄罗斯机构的重大攻击活动，是由外国国家控制的黑客组织发动。 对于这些黑客组织来说，最有利可图的目标是俄罗斯政府和军事机构、工业企业、能源公司和电信提供商。F.A.C.C.T.表示，这些攻击通常是为了完成间谍活动。 一些国家支持的黑客组织，比如跟踪代号XDSpy、Cloud Atlas等组织，过去经常攻击俄罗斯。还有一些组织，比如跟踪代号Tomiris的俄语组织，刚刚开始扩展其在该地区的攻击能力。 过去一年里，针对俄罗斯的主要网络攻击有三角测量行动，俄罗斯将其归咎于美国情报机构；与朝鲜相关的APT37组织对俄罗斯国防企业发起的攻击，导致数据泄露；以及跟踪代号为Hellhounds的新组织发起的间谍活动，针对的是俄罗斯航天、物流、能源和国有企业。 该地区的其他俄语国家也成为了国家级黑客的受害者。例如，与亚洲某国有关的SugarGh0st组织瞄准了乌兹别克斯坦外交部，而Cloud Atlas和Sticky Werewolf组织则针对白俄罗斯政府机构发动了攻击。 要弄清楚国家控制的黑客组织究竟听命于哪个国家并非易事。例如，最活跃的威胁行为者之一XDSpy至少从2011年以来一直在运作，主要针对俄罗斯的关键基础设施，然而世界各地的研究人员都无法确定其代表哪个国家的利益。 激进黑客攻击 对俄罗斯企业的另一种有政治动机的威胁，是志愿者发起的网络攻击，此类攻击者更为人熟知的称呼是激进黑客。 F.A.C.C.T.研究人员表示，从发动DDoS攻击的数量来看，乌克兰IT部队仍然是该地区最活跃激进的黑客组织。过去一年中，该组织引入了新工具，并可能与其他当地激进黑客组织合流。 去年早些时候，与乌克兰IT部队有关的分支团队启动了一项名为Activeness的在线服务，旨在在社交网络上推广某些叙事。研究人员表示，此前乌克兰网络部队已经发动过类似行动，但“可能收效甚微”。 另一个名为“白俄罗斯网络游击队”的激进黑客组织，去年针对白俄罗斯和俄罗斯发动了至少六次攻击。其中至少有两次使用了未知的加密病毒，其他几次则是破坏活动，旨在篡改网站界面或泄露机密数据。 研究人员还发现了追求金融和政治利益的组织。其中一个是犯罪集团Comet Twelve。Comet团队要求受害者支付赎金，否则将拒绝解密并分发被盗数据。而Twelve团队不提出赎金要求，直接破坏受害者的网络。这两个团队使用相同的基础设施、战术和攻击工具。 F.A.C.C.T.将Twelve与Muppets和BlackJack等黑客组织联系在一起。今年1月初，BlackJack声称对莫斯科互联网供应商的攻击负责，据信此次攻击系该组织与乌克兰安全部门SBU合作进行。 研究人员说：“在严峻的地缘政治冲突中，激进黑客活动和亲政府黑客组织的活动在近几年不会减少。他们的优先目标将是间谍活动、窃取知识产权、获取公司数据库的访问权限。” 总体而言，去年黑客和激进黑客在暗网上新发布了246个俄罗斯公司数据库。根据报告，网络犯罪分子不会立即发布泄露的数据，而是利用数据对商业和公共领域的主要参与者发动新的攻击。 根据F.A.C.C.T.的预测，今年俄罗斯会受到来自世界各地“敌对”国家和“中立”国家的持续攻击。研究人员表示，攻击还会由内部人员发动，比如已经离开俄罗斯的公司前员工。   转自安全内参，原文链接：https://www.secrss.com/articles/64064 封面来源于网络，如有侵权请联系删除

2023 年 12 月，名为 ScarCruft 的黑客组织精心策划了一场新的攻击活动，媒体组织和朝鲜事务的知名专家成为了这场活动的目标。 SentinelOne 研究人员 Aleksandar Milenkoski 和 Tom Hegel 在一份报告中表示：“ScarCruft 黑客组织一直在试验新的感染链，包括使用技术威胁研究报告作为诱饵，目标可能是网络安全专业人员等威胁情报的消费者。” 网络钓鱼电子邮件（韩语） 这个与朝鲜有联系的黑客组织，也被称为 APT37、InkySquid、RedEyes、Ricochet Chollima 和 Ruby Sleet，被评估为国家安全部 (MSS) 的一部分，与 Lazarus Group 和 Kimsuky 不同，后者是国家安全部 (MSS) 的一部分。 ScarCruft 黑客组织以政府和叛逃者为目标而闻名，利用鱼叉式网络钓鱼诱饵提供 RokRAT 和其他后门，最终目标是秘密收集情报以实现朝鲜的战略利益。 2023 年 8 月，ScarCruft 与 Lazarus 集团一起对俄罗斯导弹工程公司 NPO Mashinostroyeniya 进行的攻击有关，这被认为是一次“非常理想的战略间谍任务”，旨在使其有争议的导弹计划受益。 感染链 本周早些时候，朝鲜官方媒体报道称，该国已对其“水下核武器系统”进行了测试，以回应美国、韩国和日本的演习，并称这些演习对其国家安全构成威胁。 SentinelOne 观察到的最新攻击链针对朝鲜事务专家，冒充朝鲜研究所成员，敦促收件人打开包含演示材料的 ZIP 存档文件。 虽然存档中的 9 个文件中有 7 个是良性的，但其中两个是恶意 Windows 快捷方式 (LNK) 文件，反映了 Check Point 先前于 2023 年 5 月披露的用于分发 RokRAT 后门的多阶段感染序列。 诱饵文件 有证据表明，一些在 2023 年 12 月 13 日左右成为攻击目标的个人此前也曾在一个月前的 2023 年 11 月 16 日被挑选出来。 SentinelOne 表示，其调查还发现了恶意软件——两个 LNK 文件（“inteligence.lnk”和“news.lnk”）以及提供 RokRAT 的 shellcode 变体——据说这是黑客行动计划和测试过程的一部分。 虽然前一个快捷方式文件只是打开合法的记事本应用程序，但通过 news.lnk 执行的 shellcode 为 RokRAT 的部署铺平了道路，尽管这种感染过程尚未在野外观察到，这表明它可能用于未来的活动。 这一事态发展表明，国家背景的黑客组织正在积极调整其作案方式，可能是为了规避对其策略和技术公开披露的检测。 研究人员表示：“ScarCruft 仍然致力于获取战略情报，并可能打算深入了解非公开网络威胁情报和防御策略。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zlbizmZlCEeZMOTxH05OJw 封面来源于网络，如有侵权请联系删除