朝鲜黑客利用首尔情报文件对韩国民众发动攻击
HackerNews 编译,转载请注明出处: 一场针对韩国政府及情报工作人员的大规模鱼叉式网络钓鱼活动,利用了一份国家情报通讯刊物来诱骗受害者。 网络安全公司Seqrite在8月29日发布的新报告中披露,APT37——一个被认为有朝鲜背景的国家级黑客组织——是此次大规模鱼叉式网络钓鱼活动的幕后黑手。 这项被称为“韩国幻影行动”(Operation HanKook Phantom)的行动包含两波活动,期间APT37武器化了一些能引起韩国政府官员和情报人员兴趣的文档。 以首尔情报为诱饵的鱼叉式钓鱼 第一波活动利用名为“国家情报研究学会通讯-第52期”(韩语:국가정보연구회 소식지 (52호))的文档作为诱饵。 《国家情报研究学会通讯》是由韩国研究团体“国家情报研究协会”发布的月度或定期内部通讯刊物。它为会员提供最新及即将举办的研讨会、研究计划和组织发展的概述,并重点介绍有关国家安全、劳动力动态、当前地缘政治变化、技术进步(如人工智能)和韩朝关系的 ongoing 讨论。 根据Seqrite研究人员的说法,攻击者分发这份看起来合法的PDF文件的同时,还附带了一个恶意的LNK(Windows快捷方式)文件,该文件被命名为“国家情报研究学会通讯(52期).pdf.LNK”。 一旦LNK文件被执行,便会触发载荷下载或命令执行,使得攻击者能够入侵系统。其入侵链包含多种混淆恶意载荷和逃避检测的方法,包括内存执行、伪装诱饵和隐藏的数据渗出例程。 通过分析攻击链,Seqrite研究人员发现其最终载荷是RokRAT,这是一个通常作为编码后的二进制文件分发的后门程序,在利用武器化文档后由shellcode下载并解密。APT37在过去的攻击活动中也被观察到分发RokRAT。 此鱼叉式钓鱼活动的主要目标包括该通讯刊物的接收者,他们通常是以下一个或多个韩国机构的成员: 国家情报研究协会 光云大学 高丽大学 国家安全战略研究院 中央劳动经济研究所 能源安全与环境协会 救国精神振兴会 养志会(纪念会议主办方) 韩国整合战略 以朝鲜官方通讯为诱饵的鱼叉式钓鱼 第二波活动使用了朝鲜劳动党中央委员会副部长、朝鲜最高领导人金正恩的妹妹金与正于7月28日发表的声明作为诱饵。 Seqrite报告指出,根据平壤的朝鲜中央通讯社(KCNA)报道,该声明表明了朝鲜拒绝韩国任何和解努力的立场。研究人员称:“它强烈批评韩国改善朝韩关系的尝试,称其毫无意义或虚伪。”文件还提到,朝鲜断然拒绝未来与韩国的任何对话或合作,宣布结束和解努力,并将在未来采取敌对、基于对抗的立场。 此攻击链与第一波活动相似,从一个恶意的LNK文件开始,该文件在部署混淆组件(tony33.bat, tony32.dat, tony31.dat)到%TEMP%目录的同时,会释放一个诱饵文档。LNK文件会自行删除,随后批处理脚本触发无文件攻击:tony32.dat在内存中解码,用XOR解密(密钥0x37)tony31.dat,并通过API调用(VirtualAlloc+CreateThread)将其注入。 投放器通过伪造的HTTP请求从命令与控制(C2)服务器获取次要载荷(abs.tmp),通过PowerShell(-EncodedCommand)执行它并删除痕迹。同时,它通过在删除前通过伪装的POST请求(模仿PDF上传)来渗出%TEMP%文件,并使用合法系统工具(LOLBins)、内存执行和流量混合来逃避检测。 第二波活动的目标包括: 李在明政府(韩国政府内阁) 统一部 美韩军事同盟 亚太经合组织(APEC) APT37使用高度定制的鱼叉式钓鱼攻击 Seqrite将这两波结合的活动命名为“韩国幻影行动”(Operation HanKook Phantom),“HanKook”是一个通常用于指代韩国的韩语词,而“Phantom”(幻影)则代表了在整个感染链中使用的隐蔽且规避的技术。 APT37是一个网络间谍组织,拥有许多别名,包括InkySquid、ScarCruft、Reaper、Group123、RedEyes和Ricochet Chollima。该组织至少自2012年以来一直活跃,并被认为与朝鲜政权有关联。其主要焦点是韩国的公共和私营部门,近期的鱼叉式钓鱼活动涉及利用有关朝鲜士兵在乌克兰战争中帮助俄罗斯的文档作为诱饵。 2017年,APT37将其目标范围扩展到朝鲜半岛以外,包括日本、越南和中东,并瞄准了更广泛的行业领域,包括化工、电子、制造、航空航天、汽车和医疗保健组织。 Seqrite研究人员总结道:“对此次行动的分析凸显了APT37如何持续采用高度定制的鱼叉式钓鱼攻击,利用恶意的LNK加载器、无文件的PowerShell执行和隐蔽的渗出机制。” 消息来源:infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
研究显示,滥用 SaaS 平台的网络钓鱼攻击大幅增长 1100%
Bleeping Computer网站8月23日消息,根据Palo Alto Networks Unit 42的一份调查报告,研究人员发现,攻击者滥用合法软件即服务 (SaaS) 平台创建钓鱼网站的行为正在激增,数据显示,从 2021 年 6 月到 2022 年 6 月,这种滥用行为大幅增加了 1100%。 SssS为网络钓鱼行为提供了一些便利,包括规避电子邮件安全系统的检测、享受高可用性以及无需学习编写代码来创建看似合法的网站。此外,由于 SaaS 平台简化了创建新站点的过程,攻击者可以轻松切换到不同的主题、扩大或多样化其运营。 Unit 42 将被滥用的平台分为六类:文件共享、调查表单器、网站生成器、笔记和文档编写平台以及个人档案。Palo Alto Networks 记录了所有类别的滥用增长。 按类别分类的 SaaS 平台滥用增长情况 Unit 42 报告解释说,多数情况下,攻击者直接在被滥用的服务上托管他们的凭证窃取页面,而在一些特定情况下,托管在被滥用服务上的登录页面本身并不包含凭证窃取表单,相反,攻击者通过一个重定向步骤将受害者带到另一个站点。 钓鱼网站可以托管在一个不回应删除请求的防弹主机服务提供商(BPH)上,因此,钓鱼行为者遵循这种做法,在牺牲转化率的同时增加活动的正常运行时间。如果最终的凭证窃取页面被删除,攻击者可以简单地更改链接并指向新的凭证窃取页面,保证钓鱼行为的持续性。 研究认为,阻止对合法 SaaS 平台的滥用非常困难,这也是 SaaS如此适合网络钓鱼活动的原因所在。对于用户而言,还是要牢记在被要求输入账户凭证时确保网站 URL 的正规性。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/342743.html 封面来源于网络,如有侵权请联系删除
微软 365 网络钓鱼攻击中滥用 Snapchat 和 Amex 网站
Bleeping Computer 网站披露,攻击者在一系列网络钓鱼攻击中滥用 Snapchat 和美国运通网站上的开放重定向,以期窃取受害者 Microsoft 365 凭证。 据悉,开放式重定向作为 Web 应用程序的弱点,允许威胁者使用受信任网站的域名作为临时登陆页面,以简化网络钓鱼攻击。 在以往的网络攻击案例中,重定向一般被用来将目标重定向到恶意网站,使其感染恶意软件或诱使其交出敏感信息(如登录凭证、财务信息、个人信息等)。 发现此次网络攻击的电子邮件安全公司 Inky 表示,被“操纵”的链接中第一个域名实际上是原网站的域名,受信任的域名(如美国运通,Snapchat)在浏览者被转到恶意网站之前,充当了一个临时登陆页面。 冒充 Microsoft (Inky) 的网络钓鱼电子邮件 恶意重定向锁定了成千上万的潜在受害者 据 Inky 研究人员称,在两个半月内,从谷歌和微软 365 劫持的 6812 封钓鱼邮件中使用了 Snapchat 的开放重定向,这些电子邮件冒充 Microsoft、DocuSign 和 FedEx,并将收件人重定向到旨在获取 Microsoft 凭据的登录页面。 值得一提的是,一年前(2021 年 8 月 4 日),研究人员已经通过开放平台 Bug Bounty 将 Snapchat 漏洞报告给了其所属公司,但目前开放的重定向还没有修补。美国运通的开放式重定向在 7 月下旬被利用了几天后,很快就打上了补丁,新的尝试攻击目前会链接到美国运通的一个错误页面上。 美国运通打开重定向的错误页面 (Inky) 在漏洞问题解决之前,美国运通的开放重定向被用于 2029 封使用微软 Office 365 诱饵的钓鱼邮件中,这些邮件从刚注册的域名发出,旨在将潜在的受害者引向微软凭证采集网站。 另外,Inky 表示,攻击者在利用 Snapchat 和美国运通的漏洞过程中,将个人身份信息 (PII) 插入到 URL 中,以便可以为个别受害者即时定制恶意登录页面。以上两种情况,插入都是通过将其转换为 Base 64 编码来伪装的,使其看起来像一堆随机字符。 为防范此类网络攻击,Inky 建议用户在收到电子邮件后,仔细检查“url=”、“redirect=”、“xternal-link”或“proxy”字符串或电子邮件中嵌入的 URL 中,是否多次出现“HTTP”可能显示指示的重定向。 另外,强烈建议网站所有者实施外部重定向免责声明。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341287.html 封面来源于网络,如有侵权请联系删除
针对微软企业电子邮件服务,大规模网络钓鱼攻击来袭
近期,来自ThreatLabz的安全研究人员发现了一批大规模的网络钓鱼活动,该活动使用中间人攻击 (AiTM) 技术以及多种规避策略。据该公司本周二发布的一份公告,上个月微软遭遇的一次网络钓鱼攻击中似乎也使用了这种中间人攻击技术。ThreatLabz还透露,从Zscaler 云收集的情报分析,6月的大规模网络攻击中使用高级网络钓鱼工具包的情况有所增加,而使用这项新攻击技术的钓鱼活动也在增加。 据分析,这些网络钓鱼活动和微软发现的活动如出一辙,它们不但使用AiTM绕过多因素身份验证 (MFA),还在攻击的各个阶段使用了多种规避技术,旨在绕过典型的电子邮件安全和网络安全解决方案。ThreatLabz认为该活动是专门为使用微软电子邮件服务的企业而设计的。 “商业电子邮件泄露 (BEC) 对企业来说仍是一个威胁,此次活动进一步强调了防范此类攻击的必要性。” ThreatLabz表示,这些网络钓鱼攻击第一步就是向受害者发送带有恶意链接的电子邮件,威胁参与者几乎每天都在注册新的网络钓鱼域名,并且大多数目标企业是金融科技、贷款、金融、保险、会计、能源和联邦信用合作社行业等行业。而且多数目标企业位于美国、英国、新西兰和澳大利亚。 虽然多因素身份认证在大部分的时间可以保障安全,但也不能完全信任其带来的安全性。毕竟通过使用中间人攻击(AiTM)和巧妙的规避技术,威胁参与者还是可以绕过传统和高级安全解决方案。作为额外的预防措施,ThreatLabz 表示用户不应打开附件或单击来自不受信任或未知来源的电子邮件中的链接。作为最佳实践,用户应在输入任何凭据之前验证浏览器地址栏中的 URL。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341011.html 封面来源于网络,如有侵权请联系删除
企业员工在家工作增加了全球范围内的网络钓鱼攻击强度
在2019年9月至2021年4月期间,Palo Alto Network的Unit 42监测了防火墙流量和由URL过滤器检测到的钓鱼网站。当人们纷纷开始在家工作时,每周新的网络钓鱼页面的数量明显增加。 威胁者通过利用员工不受企业防火墙保护的远程工作环境,改进并加强了他们的网络钓鱼攻击。网络安全专家注意到,在2020年3月至4月期间,流量突然大幅下降,当时COVID-19开始在美国蔓延,迫使企业员工转向远程工作。 教育和高科技行业在此期间流量大幅下降,后者的下降幅度最大:教育(下降46%),很可能是由于学校关闭;高科技(下降35%),可能是因为更多的员工开始在家工作,而他们对网络安全的最佳做法了解有限。 总的来说,几乎每一个被研究的行业都看到了URL过滤流量的大幅下降,大约30%或更多。据研究人员称,观察到新的钓鱼网站的早期上升趋势,大约在2020年2月开始,在2020年6月达到高峰。 对钓鱼网站行业的检查显示,以下行业受在家办公的影响最大:电信和高科技产业、农业、教育、政府、地方政府、运输、物流、教育、媒体和娱乐、专业和法律、批发和零售。 Unit 42提供了以下建议,以更好地保护自己免受网络钓鱼攻击: 在点击可疑来源发送的电子邮件中的链接或附件时要小心,特别是那些与个人信息或账户设置有关的链接或附件 当电子邮件内容传达出一种紧迫感时,要提高警惕,拒绝立即按其要求行事的冲动 对于你收件箱中的可疑邮件,详细检查发件人的地址 在输入你的凭证之前,仔细检查任何网站的URL和安全证书 向IT部门或你的组织的信息安全部门报告可疑的网络钓鱼企图 (消息及封面来源:cnBeta)
Instagram 引入新工具 帮助抵御网络钓鱼攻击
外媒报道称,Instagram 刚刚为自家 App 引入了一项新功能,以帮助用户确定所谓的“官方邮件”是来自 Facebook、还是网络钓鱼攻击者。现在,用户可在接收到一封自称来自 Instagram 的邮件时,转到 App 内的“安全性”设置,并启用真实性检查选项,以甄别平台在过去 14 天内向用户发生的每一封邮件。 安全设置(题图 via TheVerge) 目前这项更新已经推出,但可能需要一段时间才能显示在现有用户的设置菜单中。新菜单将 Instagram 官方邮件分成了“安全”和“其它”两个类别,前者属于官方认证、后者则可能潜藏风险。 (安全邮件) ‘安全邮件’中的链接可以放心点击,但‘其它邮件’就要多长个心眼了 —— 因为它很可能是网络钓鱼者设下的全套,旨在忽悠用户交出真实的用户名和密码。 (其它邮件) 若担心后一种情况,我们建议您删除存在疑问的邮件。如果最糟糕的情况已经发生、且账户遭到了入侵,还请参考 Instagram 帮助页面列出的官方指南,以开展相应的补救操作。 据悉,随着网络钓鱼攻击的日渐升级,许多诈骗网站也都‘与时俱进’地拿出了针对双因素身份认证账户的攻击手段,甚至随后可跳转到真实的站点。 (稿源:cnBeta,封面源自网络。)
安全研究:谷歌揭示网络钓鱼威胁要比数据泄露严重得多
谷歌近期公布了一份长达一年的 Gmail 账户劫持调查的结果,发现网络钓鱼对用户的风险要比数据泄露的风险要大得多,因为他们收集了更多的信息。现在,几乎每周都有新数据泄露事件被发现,如果说受害者在多个网上账户上使用相同的用户名和密码,那么他们的账户很容易就被劫持。 虽然说数据泄露对互联网用户来说是个坏消息,但谷歌的研究发现,网络钓鱼对其用户来说,要比用户劫持事件的威胁要大得多。为此,谷歌还专门访问了几个私人黑客论坛。而结果显示,目前全球有 19 亿人受到了数据泄露的影响。像一些交友网站的用户,他们的绝大部分的资料都会在一些私人论坛上被交易。尽管数量巨大,但在数据泄露事件中,只有 7% 的凭据与其目前正在被使用的,数十亿 Gmail 用户使用的密码相匹配,而钓鱼攻击中暴露的凭证中,有四分之一与当前的谷歌密码相匹配。 研究还发现,网络钓鱼的受害者比随机的谷歌用户更有可能被劫持的机率高 400 倍,而这一数字对于数据泄露的受害者来说是 10 倍。这样的数据都证明了网络钓鱼网站的威胁到底有多大。就拿 Phishing 工具包来说,它包含了用于流行和有价值站点的预先打包的虚假登录页面,如Gmail、Yahoo、Hotmail 和在线银行。他们经常被上载到受损的网站,并自动将捕获的凭证发送到攻击者的帐户中。网络钓鱼套件会产生更高的帐户劫持率,因为它们捕获了谷歌在用户登录时用于风险评估的详细信息,例如受害者的地理位置,秘密问题,电话号码和设备标识符等等。 研究人员发现,10000 个网络钓鱼工具中有 83% 会收集受害者的地理位置,18% 会收集电话号码。相比之下,只有不到 0.1% 的键盘记录器会收集手机细节和秘密问题。基于最后一次登录的地理位置,有 41% 的网络钓鱼工具包用户来自尼日利亚,这些工具包用于接收被dao qu 了凭证的 Gmail 帐户。而美国的网络钓鱼攻击工具用户排名第二,占 11% 。 劫持受害者的电子邮件提供商和地理位置 有趣的是,研究人员发现,72% 的钓鱼工具都使用 Gmail 帐户向攻击者发送捕获的证书。相比之下,只有 6.8% 使用雅虎。Gmail 用户也是最大的网络钓鱼受害者群体,占研究总数的 27% ,而雅虎用户受害者的比例为 12% 。但是,雅虎和Hotmail 用户是最大的泄露凭据受害者,他们占 19% ,其次是 Gmail ,占 12% 。 此外,他们还发现大多数网络钓鱼受害者来自美国,而大多数键盘记录器的受害者来自巴西。最后研究人员指出,双重因素身份验证可以减轻网络钓鱼的威胁,但是很多人都嫌这样太麻烦,所以他们都不太愿意使用双重验证。 稿源:cnBeta、威锋网,封面源自网络;
卡巴斯基《 2017 年 Q2 垃圾邮件与网络钓鱼分析报告 》新鲜出炉
卡巴斯基实验室( Kaspersky Lab )研究人员于 23 日发布《 2017 年 Q2 垃圾邮件与网络钓鱼分析报告》,指出在全球电子邮件流量中垃圾邮件的平均份额已达到 56.97%,相比上一季度增长 1.07 个百分点。调查显示,其中多数群发的垃圾邮件均以各种研讨会与培训为主题附带恶意软件进行肆意传播。 图一:2017 年第二季度十大最受 “ 欢迎 ” 的恶意软件家族 报告指出,卡巴斯基反钓鱼系统于 2017 年第二季度成功阻止全球用户超过 4650 万次的网络钓鱼页面访问。目前全球有 8.26% 的目标用户受到 “ 钓鱼者 ” 攻击,值得注意的是,“ 钓鱼者 ” 在早期攻击活动中依靠用户的粗心与低水平技术窃取敏感数据,然而,随着用户变得越来越精通网络,钓鱼者不得不想出新颖的花样引诱用户访问钓鱼网站,比如伪造知名组织域名。 图二:攻击者伪造苹果域名页面 研究人员表示,巴西(18.09%)是 2017 年第二季度受到网络钓鱼攻击影响最大的国家,尽管其份额比上季度下降 1.07 个百分点。此外,遭受攻击的中国用户百分比下降 7.24 个百分点(达 12.85%),目前居全球第二。 图三:2017 年第二季度受网络钓鱼攻击最为严重的十大国家 图四:2017 年第二季度反钓鱼系统被触发的用户数量分布 图五:2017 年第二季度垃圾邮件来源国家 研究人员在不同类别的金融组织中发现,银行(23.49%,-2.33 pp)、支付系统(18.40%,+4.8 pp)与在线商店(9.58%,-1.31 pp)是 2017 年第二季度网络钓鱼攻击的主要目标。 图六:2017 年第二季度,不同类别的金融组织受网络钓鱼攻击影响分布 卡巴斯基研究人员提醒用户不要轻易点击非官方域名或打开未知名电子邮件、关闭网络文件共享功能并确保用户安装全方位杀毒软件以避免遭受网络钓鱼攻击。 卡巴斯基详细报告内容请点击右侧链接《 Spam and phishing in Q2 2017 》 原作者:Kaspersky Lab, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
匈牙利三大国有银行连遭黑客网络钓鱼攻击
据外媒报道,匈牙利国民银行( MNB )于 8 月 8 日发表声明,指出黑客自 6 月以来针对匈牙利三大国有银行展开一系列网络钓鱼攻击活动,但并未提及受影响金融机构与可疑黑客组织的名称。 MNB 作为匈牙利共和国中央银行、国家金融市场监管机构以及欧洲中央银行系统( ESCB )成员公开表示,黑客通过网络钓鱼电子邮件与短信方式大规模攻击银行客户,骗取帐户持有者泄露银行帐户详细信息与登录凭据。据悉,黑客此次使用的克隆网站较以往更加令人信服,不依赖任何翻译软件,直接使用匈牙利语误导用户认为站点合法安全。 虽然该起攻击活动并未造成用户资金损失,但受影响金融机构已积极采取安全补救措施,加强自身网络系统防御体系建设。尽管如此,MNB 警示,其他银行仍可能于近期遭受类似攻击。 目前,黑客越来越多地通过精心制作的网络钓鱼工具、恶意软件、银行木马等技术手段攻击全球金融机构。根据安全公司 PhishMe 近期调查结果,91% 定向网络攻击始于网络钓鱼电子邮件。对此,PhishMe 联合创始人兼首席技术官 Aaron Higbee 表示:“ 持续曝光可以有效降低员工遭受网络钓鱼攻击的几率,应鼓励员工积极举报此类行为,哪怕很小的举动也有助于事件响应团队阻止潜在数据泄露。” 原作者:Tom Spring,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。