法国内政部长称黑客入侵其电子邮件服务器
HackerNews 编译,转载请注明出处: 法国内政部长洛朗·努涅斯周五宣布,威胁行为者入侵了内政部的电子邮件服务器。 此次攻击是在12月11日至12日夜间被发现的。根据法国内政部长的说法,攻击者访问了一些文档文件,但数据是否被盗尚未得到证实。 努涅斯对RTL电台表示:”发生了一起网络攻击。攻击者能够访问一些文件……但没有证据表明这些文件被严重泄露。” 努涅斯补充说,政府已对此事件展开调查,目前调查仍在进行中。 他补充道:”我们没有发现严重泄露的证据。我们正在进行调查,包括司法调查,最重要的是,我们提高了安全级别。我们所有人员访问信息系统的程序都已收紧。” 法国内政部长没有分享有关此次攻击的技术细节。 针对此次安全漏洞,内政部加强了安全措施,并强化了其所有信息系统的访问控制。 当局正在探讨此次网络攻击的所有可能性,包括外国干涉、黑客活动主义或网络犯罪,调查正在进行以确定其来源。 今年4月,法国政府将一项针对十几个法国实体的、长达四年的黑客攻击活动归咎于与俄罗斯有关的APT28组织。法国政府透露,这个与俄罗斯有关的APT28组织攻击或入侵了十几个政府组织和其他法国实体。2024年,据观察该组织攻击了OT组织,并与针对亚洲和欧洲60个实体的网络攻击有关联。 自2021年以来,APT28一直针对或入侵法国的部级机构、地方政府、国防科技工业基础部门、航空航天、研究机构、智库和金融实体。2024年,其攻击主要针对政府、外交和研究部门,其中一些攻击活动专门针对法国政府组织。 消息来源:securityaffairs; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
17岁荷兰少年因替俄罗斯刺探欧盟警察局而被捕
HackerNews 编译,转载请注明出处: 两名17岁的荷兰少年因涉嫌使用黑客设备替俄罗斯从事间谍活动,于本周一被荷兰警方逮捕。 根据荷兰《电讯报》(DeTelegraaf)消息,这两名少年曾在欧盟刑警组织、欧洲司法组织,以及位于海牙的加拿大驻荷兰大使馆周边,使用WiFi嗅探设备开展间谍活动。 欧盟刑警组织工作人员称,目前没有迹象表明机构系统遭到入侵。“我们正就此事与荷兰当局保持密切联系。欧盟刑警组织拥有完善的安全基础设施,目前没有任何证据显示我们的系统受到损害。我们对业务运营和工作人员的安全极为重视,将继续与合作伙伴紧密合作,应对各类潜在风险。” 荷兰国家安全情报局提供的线索,最终促成了警方的抓捕行动。据悉,这两名青少年是通过Telegram平台被招募的。 《电讯报》提到:其中一名青少年是在家里写作业的时候被逮捕的,其父母对儿子参与间谍活动一事完全不知情。一位青少年的父亲在接受采访时无奈表示:“我们教育孩子时,会提醒他们防范生活中的危险,比如吸烟、电子烟、酒精和毒品。但从没想过会有这样的风险,谁能料到这种事会发生在自己孩子身上?” 由于涉案情节严重,在调查持续期间,两名少年将被拘留至少两周。 这起案件并非个例,欧洲多地出现的“低级别招募”活动正在升级。此前在德国就已发生类似事件:俄罗斯特工曾收买当地青少年,让他们对关键基础设施实施破坏和sabotage行为。 值得注意的是,两名少年使用的“WiFi嗅探设备”,本质是通过监听WiFi频道上的无线电信号,识别无线网络并拦截数据流量的工具,通常用于攻击行动的“侦察阶段”。 事实上,俄罗斯黑客利用WiFi网络发起远程攻击的能力早有先例。网络安全公司Volexity在2024年的一份报告中就曾披露,俄罗斯APT28(代号“FancyBear”)黑客组织曾采用“近邻攻击”(nearestneighborattack)手段:利用一家与美国某公司WiFi信号覆盖范围重叠的邻近机构,突破了该美国公司的企业WiFi网络。 消息来源:bleepingcomputer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
OilRig 利用 Windows 内核漏洞开展针对阿联酋和海湾地区的间谍活动
据报道,名为OilRig 的伊朗威胁行为体在针对阿联酋甚至更广泛海湾地区的网络间谍活动中,利用了Windows 的内核缺陷。 趋势科技研究人员 Mohamed Fahmy、Bahaa Yamany、Ahmed Kamal 和 Nick Dai 在周五发布的一份分析报告中指出:“该组织采用了复杂的策略,包括部署后门,利用微软 Exchange 服务器窃取凭证,以及利用 CVE-2024-30088 等漏洞进行权限升级。” 该网络安全公司正在追踪这个名为 Earth Simnavaz 的威胁行为者,它还被称为 APT34、Crambus、Cobalt Gypsy、GreenBug、Hazel Sandstorm(前身为 EUROPIUM)和 Helix Kitten。 该攻击链需要部署一种从未有过记录的植入程序,它具有通过本地微软 Exchange服务器泄露凭据的功能,这是对手过去采用的一种屡试不爽的战术,同时还将最近披露的漏洞纳入其漏洞库。 微软于 2024 年 6 月修补了 CVE-2024-30088,该漏洞涉及 Windows 内核中的权限升级问题,假定攻击者能够赢得竞赛条件,则可利用该漏洞获得 SYSTEM 权限。 最初进入目标网络的方式是通过渗透一个易受攻击的网络服务器,先丢弃一个网络外壳,而后丢弃ngrok远程管理工具,以保持持久性并转移到网络中的其他端点。 这个权限升级漏洞随后被用作传递代号为 “STEALHOOK ”的后门通道,该后门负责通过Exchange服务器以附件的形式,将收集的数据传输到攻击者控制的电子邮件地址。 OilRig 在最新一组攻击中使用了一种值得注意的技术,即利用提升的权限来丢弃密码的过滤策略 DLL (psgfilter.dll),以便通过域控制器或本地计算机上的本地账户从域用户那里提取敏感凭证。 研究人员表示:“恶意行为者在实施密码过滤器导出功能时,非常小心地处理明文密码。”威胁者还利用明文密码远程访问和部署工具。明文密码在通过网络发送时首先被加密,然后才被外泄。 值得注意的是,早在 2022 年 12 月就有人发现 psgfilter.dll 的使用,与针对中东地区组织的活动中一个名为 MrPerfectionManager 的后门有关。 研究人员指出,他们最近的活动表明:“地球Simnavaz专注于政治敏感地区关键基础设施的脆弱性。他们还寻求在被入侵的实体中建立持久的立足点,这样这些实体就可以被武器化,对其他目标发动攻击。” 消息来源:The Hacker News,译者:XX; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
印度 SideWinder(响尾蛇)APT 组织攻击地中海港口和海事设施
据BlackBerry威胁情报团队报道,一个与印度相关联的SideWinder APT组织最近一直针对印度洋和地中海的港口和海上设施发动攻击。 该组织别名包括 SideWinder、Rattlesnake 和 Razor Tiger,自 2012 年以来一直活跃,主要针对巴基斯坦、阿富汗、中国和尼泊尔的政府、军队和企业进行网络间谍活动。 在过去的一年中,该组织不断更新其基础设施,并在新的袭击中采用新的战术和技术,重点针对巴基斯坦、埃及和斯里兰卡实体,同时还瞄准孟加拉国、缅甸、尼泊尔和马尔代夫等其他目标。 此次攻击延续了 SideWinder 对间谍和情报收集的关注,使用通过鱼叉式网络钓鱼电子邮件发送的恶意文档,并依靠 DLL 侧载来植入恶意软件。 这些攻击中使用的恶意文件经过精心定制,看上去好像来自目标已知的组织,例如地中海的亚历山大港和红海港务局。 诱饵文档1 滥用埃及(合法)红海港务局标志的诱饵文档2 针对斯里兰卡使用僧伽罗语书写的诱饵文档3 “在我们的研究中,我们发现攻击者共使用了三种视觉诱饵。视觉诱饵本身可能不是恶意的;它们的主要目的是分散受害者的注意力,使他们无法意识到自己受到了攻击。”BlackBerry 指出。 SideWinder 使用旨在唤起强烈情绪(如恐惧和焦虑)的标题来引诱目标立即打开文档,从而分散他们对后台发生的恶意活动的注意力。 这些恶意文档针对的是Microsoft Office 中被广泛利用的远程代码执行漏洞 (CVE-2017-0199),其中包含指向攻击者控制的网站的纯文本 URL。一旦受害者打开文档,就会访问该 URL 以获取下一阶段。 下一步,富文本格式 (RTF) 文件会获取一份文档,该文档利用 Office 中的另一个已知漏洞 (CVE-2017-11882) 在系统上执行 shellcode。 Shellcode 执行一系列检查以确定它是否在虚拟环境中运行,然后解密并运行用于从远程服务器加载下一阶段的 JavaScript 代码。 BlackBerry 的分析显示,攻击者一直使用旧的 Tor 节点作为第二阶段命令和控制 (C&C) 服务器,同时继续依赖已知的 Sidewinder 域命名结构。 BlackBerry 指出:“我们尚未观察到攻击最后阶段所传递的任何 JavaScript 样本。然而,根据 SideWinder 先前的活动,我们认为此次活动的目标是间谍活动和情报收集。” 转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/bI6nvkaQMjvVir4ZHwvvWg 封面来源于网络,如有侵权请联系删除
针对亚洲政府的网络间谍活动已长达近两年之久
自 2021 年初以来,一个网络间谍组织以多个亚洲国家的政府和国有组织为目标。 此前与 ShadowPad 远程访问木马 (RAT) 有关联的一组独特的间谍攻击者采用了一种新的、多样化的工具集,在许多亚洲国家发起了针对一系列针对政府和相关组织的持续活动。这些攻击至少从 2021 年初就开始了,它们的主要目标似乎是收集情报。该消息来自赛门铁克的威胁猎手团队,该团队昨天早些时候发布了有关威胁的新公告。 攻击者使用范围广泛的合法工具在针对与金融、航空航天和国防相关的政府机构以及国有媒体、IT 和电信公司的攻击中传递恶意软件。 攻击者使用动态链接库 (DLL) 侧载来传递恶意代码。该技术看到威胁行为者将恶意 DLL 放置在预期可以找到合法 DLL 的目录中。然后攻击者运行一个合法的应用程序来加载和执行恶意负载。针对缺乏针对 DLL 侧载攻击的缓解措施的旧版本和过时版本的安全解决方案、图形软件和 Web 浏览器。 一旦攻击者加载了恶意 DLL,就会执行恶意代码,进而加载 .dat 文件。该文件包含任意 shellcode,用于在内存中执行各种有效负载和相关命令。在某些情况下,任意 shellcode 都会被加密。 此外,攻击者还利用这些合法软件包部署额外的工具(凭证转储工具、网络扫描工具,如 NBTScan、TCPing、FastReverseProxy 和 FScan,以及 Ladon 渗透测试框架),用于执行横向移动。一旦攻击者建立后门访问权限,他们就会使用 Mimikatz 和 ProcDump 来获取凭据并获得对目标网络的更深层次的访问权限。在某些情况下,威胁参与者还通过注册表转储凭据。 专家还观察到攻击者使用 PsExec 运行旧版本的合法软件来加载现成的 RATS。 网络间谍还使用 Ntdsutil 等一些非本地工具来挂载 Active Directory 服务器的快照,以便访问 Active Directory 数据库和日志文件,并使用 Dnscmd 命令行工具来枚举网络区域信息。 专家们还分享了针对亚洲教育部门政府所有组织的攻击的详细信息。入侵从 2022 年 4 月持续到 2022 年 7 月,在此期间,攻击者在访问域控制器之前访问了托管数据库和电子邮件的机器。 攻击者还使用11年前的 Bitdefender Crash Handler(“javac.exe”)版本来运行 Mimikatz 和 Golang 渗透测试框架LadonGo。 在该地区的间谍活动中,使用合法应用程序来促进 DLL 侧载似乎是一种增长趋势。虽然是一种众所周知的技术,但鉴于其目前的流行程度,它一定会为攻击者带来一些成功。鼓励组织彻底审核在其网络上运行的软件并监控异常值的存在,例如组织未正式使用的旧的、过时的软件或软件包。 赛门铁克在文档中包含了危害指标,以帮助公司保护其系统免受这些攻击。它们可在咨询的原始文本中找到。黑客活动并不是近几个月来唯一针对亚洲的活动。6 月,卡巴斯基发现了针对亚洲不同国家未打补丁的 Microsoft Exchange 服务器的攻击活动。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/bEMQUdGoA6XfWRuA4331og 封面来源于网络,如有侵权请联系删除
因从事间谍活动,前 Twitter 员工最高可判 20 年监禁
据彭博社报道,因窃取 Twitter 用户有关的私人信息,并将数据交给沙特阿拉伯政府,美国公民艾哈迈德·阿布阿莫(Ahmad Abouammo)将最高面临 20 年的监禁。 据悉,该案件还涉及到另一位 Twitter 工程师阿尔扎巴拉(Ali Alzabarah),此人目前已逃离美国,正在被当局通缉,阿布阿莫于 2019 年 11 月 5 日被捕。 早在三年前,阿布阿莫与阿尔扎巴拉和艾哈迈德-阿尔穆泰里(Ahmed Aljbreen)三人被美国法院指控是沙特阿拉伯的“非法代理人 ”,遭到了起诉。根据旧金山联邦法院的判决可知,前者还遭到了串谋电信欺诈、伪造记录和洗钱等犯罪指控。 被告人开始从事间谍活动 从法庭文件披露的信息来看,2013 年,阿布阿莫和阿尔扎巴拉在推特工作期间接受了沙特阿拉伯王国官员的招募,在社交媒体平台上揭露其批评者。 这两个人利用他们对内部系统的访问权限,在未经授权的情况下,非法获取了有关批评阿拉伯政权用户的非公开信息(主要包括电子邮件地址、电话号码、IP 地址和出生日期等私人信息)。 随后,2 人将这些信息告诉了一名与沙特政府有关联的沙特官员,作为回报,阿布阿莫收到了 30 万美元的现金和一块价值 4 万美元的 Hublot Unico Big Bang King Gold Ceramic 手表。 值得一提的是,据说为了阻碍调查,阿布阿莫在 2018 年 10 月在西雅图的家中面对联邦调查局(FBI)探员时撒了谎,称收到的这块手表是 “垃圾”,仅仅值 500 美元。 联邦调查局特别探员约翰-F-贝内特强调,阿布阿莫几人被指控在沙特阿拉伯政府的指示和控制下,以持不同政见者的批评者为目标,以期获取他们的私人数据信息,这种行为对美国企业和美国国家安全构成了严重威胁。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341604.html 封面来源于网络,如有侵权请联系删除
Mikroceen 后门程序:对中亚地区政府机构和组织进行秘密间谍活动
ESET研究人员剖析了部署在针对亚洲两个重要基础设施领域的多个政府机构和主要组织的攻击中的后门程序。 在这篇与Avast研究员的联合博文中,我们提供了一项技术分析,介绍一种不断发展的RAT技术,自2017年末以来,它被用于各种针对公共和私人目标的间谍活动中。我们观察到该RAT的多起攻击实例,而且都发生在中亚地区。目标对象包括电信和天然气行业中的几家重要公司以及政府机构。 此外,我们把最新的间谍活动与之前发表的三篇报道联系起来:卡巴斯基(Kaspersky)对针对俄罗斯军事人员的Microcin的报道、Palo Alto Networks对针对白俄罗斯政府的BYEBY的报道,以及Checkpoint对针对蒙古公共部门的Vicious Panda的报道。此外,我们还讨论了通常是攻击者工具集中一部分的其他恶意软件。我们选择了“Mikroceen”这个名字来涵盖RAT的所有实例,以感谢卡巴斯基关于这个恶意软件家族的最初报告。这里的拼写错误是我们有意的,为了区别已有的微生物概念,同时也保持发音一致。 …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1206/ 消息来源:welivesecurity, 译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
趋势科技报告:揭露 Lazarus APT 组织针对金融机构使用的恶意软件及工具
外媒 1 月 25 日消息,趋势科技的安全专家于近期发布了有关 Lazarus APT 组织在最近针对金融机构的攻击中使用的恶意软件和工具。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件都有关系。 在 2014 年和 2015 年,Lazarus 组织的活动激增,其成员主要使用定制化的恶意软件进行攻击,相关专家认为该组织的攻击方式非常复杂。 在上一次针对金融公司的活动中,网络间谍利用与 Lazarus 有关的 RATANKBA 木马变种,发起了“水坑攻击”。 据悉,被称为 RATANKBA 的恶意软件只是 Lazarus 军火库中的武器之一。这个恶意软件自 2016 年年底以来一直活跃 ,其最近一次使用是在针对金融机构攻击活动中。 在这些攻击活动中使用的变种(TROJ_RATANKBA.A)提供了多种有效载荷,其中包括针对银行系统的黑客攻击工具和软件。 另一个新的 RATANKBA 变体(BKDR_RATANKBA.ZAEL – A)于 2017 年 6 月发现,主要使用 PowerShell 脚本而不是更传统的 PE 可执行形式。 专家们注意到,RATANKBA 木马是通过武器化的 Office 文档(包含与加密货币和软件开发相关的主题)、CHM 文件和脚本下载程序交付的。攻击者并没有实施与恶意软件的实时通信,一旦目标机器沦陷,攻击者将使用远程控制器工具将作业发送到系统,然后由 RATANKBA 处理作业队列,检索收集的信息。 恶意软件 RATANKBA 感染流程 研究人员称 Lazarus APT 使用的控制器工具实现了一个图形化的 UI 界面,允许黑客将代码推送到服务器并从中下载受害者配置文件。 在这次金融攻击的活动中,研究人员识别和入侵了网络间谍用来暂时存储被盗数据的服务器,随后发现大约 55% 的受害用户位于印度和邻国,这些用户大多数都没有使用微软软件的企业版本。据悉,受害用户的 IP 地址不属于大型银行或金融机构,趋势科技认为可能是印度三家网络软件开发公司或者韩国某家公司的雇员。 根据 Lazarus APT 组织成员的个人资料显示,趋势科技猜测黑客可能会是韩国本地人。目前鉴于 Lazarus 在其运营中善于使用各种各样的工具和技术,因此该组织很可能继续更新优化恶意活动的攻击策略。 报告详细内容可查阅: <Lazarus Campaign Targeting Cryptocurrencies Reveals Remote Controller Tool, an Evolved RATANKBA, and More> 消息来源: Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
挪威医疗卫生机构计算机系统遭到入侵,超过 290 万居民信息或将泄露
据外媒报道,位于挪威东南部地区的医疗卫生机构 Health South-East RHF 于 1 月 8 日表示其计算机系统遭到不明人士入侵,可能会影响到约 290 万人(占挪威人口的 56% )的医疗数据。目前相关专家认为该起入侵事件或属境外国家发起的网络间谍活动的涉猎范畴,并表示已采取紧急措施来消除威胁。 根据挪威卫生安全部门 HelseCERT 透露,他们检测到来自 Health South-East RHF 的异常流量,从而发现了入侵行为。研究人员认为在地下网络犯罪中,医疗数据是一种有价值的商品,恶意人士可以将这些数据用于进一步的攻击。专家和政府代表认为,Health South-East RHF 遭受的数据泄露可能是由于境外国家发起的网络间谍活动造成的,因为这些发起者对收集与政府、军方、情报人员和政客有关的数据极为感兴趣。 据悉,Health South-East RHF 为全国约 290 万人提供医疗服务,超出挪威全体居民数目的一半。因此,若医疗数据遭到泄露对于挪威居民将会造成巨大影响。目前 Health South-East RHF 方面表示已采取一系列措施来降低数据泄露可能性及消除威胁。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
专供政府情报收集:黑客出售黎巴嫩间谍软件平台 Dark Caracal
外媒 1 月 19 日消息,电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍活动 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据,并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据悉,该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程(如钓鱼邮件或虚假的社交网络信息)来传播含有木马的恶意软件,过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息(短信、通话记录、档案等)。 Lookout 发表的一份报告中详细分析了 Dark Caracal: Dark Caracal 实施的攻击链主要依靠社交工程,比如黑客在虚假应用程序(如 Signal 和 WhatsApp )中包含定制的 Android 恶意软件,从而达到向受害用户发送恶意信息的目的。 Dark Caracal 影响范围 Lookout 透露,其研究人员发现了一个名为 Pallas 的定制型恶意软件,可能是 Dark Caracal 间谍活动工具包中的一个重要组件。Pallas 被用来劫持目标智能手机,并通过出租给政府的 Dark Caracal 平台进行分发和控制。目前获取 Pallas 的主要方法是从非官方软件应用商店安装受感染的应用程序,比如 WhatsApp 和 Signal ripoffs 。不过 Pallas 并没有利用 ” 零日” 来接管设备,而是依靠欺骗用户安装恶意应用程序,授予恶意软件各种权限。一旦 Pallas 到位,就可以秘密地从手机的麦克风中录制音频、 揭露 gizmo 的位置给监视者、并将手机所包含的所有数据泄露给黑客。 此外,Dark Caracal 平台还提供了另一种监视工具 ——FinFisher 样本,它被出售给政府,用于监视公民。而在桌面端,Dark Caracal 提供了一个 delphil 编码的 Bandook 木马,该木马之前在 Manul 操作系统中已被识别,可以有效地征用 Windows 系统。 Lookout 表示目前正在试图寻找 Dark Caracal 背后的黑客组织,并预计今年夏天调查会有进展。 相关阅读: 关于 Dark Caracal 的相关报告 消息来源:TheRegister,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。