HackerNews 编译，转载请注明出处： 韩国最大的教育及生活用品企业之一教元集团宣布，本周末在发现疑似勒索软件攻击后，已关闭其内部计算机网络的关键部分。 在该公司的一份声明中，教元集团表示周六早上发现了异常活动，随即启动了应急响应计划，隔离受影响的服务器以防止黑客入侵更多系统。 这家由韩国首富之一张平淳所有的企业集团表示，”已确认有迹象表明，由于勒索软件攻击，部分数据可能已外泄。受影响的数据是否包含客户信息，目前正在调查中。” 自系统关闭以来，其多家附属企业的网站（包括教育和旅游子公司）已无法访问，该公司称正在努力安全地恢复系统。 教元集团表示，在与其所谓的”专业安全人员”和相关政府机构合作调查”入侵原因、影响范围以及是否有数据受影响”的同时，已将网络下线以”稳定服务并优先保护客户”。 据《亚洲商业日报》报道，此次攻击背后的黑客已向教元集团发出勒索要求。据《朝鲜日报》报道，人们担心该公司的数据泄露可能影响数百万人，数据包括使用其教育服务的儿童的姓名和地址。 该公司表示，在发现问题后不久，已向韩国互联网振兴院及其他调查机构报告了此次安全漏洞。 该集团网站上的一条横幅声明写道：”如果进一步调查确认客户信息已泄露，我们将及时、透明地通知受影响的客户。” 此前，首尔近期发生了一起涉及该国最大在线零售商Coupang的数据泄露丑闻，据报道是由一名已逃往中国的前员工造成。 这是影响韩国公司的最新一起高调数据泄露事件，去年有SK电信的2700万客户和乐天信用卡的300万客户收到了相关事件通知。韩国官员已承诺加强该国的数据保护法，并对未能保护客户数据的公司实施更严厉的处罚。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国最大加密货币交易所 Upbit 周三晚间遭黑客盗取价值 3000 万美元的加密货币，韩国政府官员正介入调查。 周五，韩国官员向该媒体透露，根据黑客入侵加密货币平台的攻击手段及被盗资金的洗钱方式，朝鲜 Lazarus 黑客组织大概率与此次盗窃事件有关。 调查人员认为，黑客先是冒充 Upbit 管理员身份，随后转移了约 3000 万美元的加密资产。 Upbit 公司在声明中将此次盗窃称为 “异常提现”，并表示正针对该起攻击事件展开调查。 其母公司 Dunamu 首席执行官吴京锡（音译）补充称，平台已暂停充值和提现服务。 所有损失将由 Upbit 承担。值得注意的是，此次攻击发生在前一日 —— 韩国互联网巨头 Naver 以 100 亿美元收购 Dunamu 之后。 “发现异常提现后，Upbit 立即对相关网络及钱包系统进行了紧急安全审查，” 该首席执行官表示，“为防止进一步的异常转账，所有资产已转移至安全的冷钱包中。” 周四，Upbit 已追踪到部分被盗资金流入另一个钱包，并正尝试冻结相关资产，阻止其被进一步转移。 调查人员指出，此次攻击具备 2019 年 Upbit 被盗事件的典型特征 —— 当时该平台约 4000 万美元资产遭窃，而那起事件同样被归咎于 Lazarus 组织。该组织是全球最为活跃的国家支持黑客组织之一。 据称，Lazarus 组织隶属于朝鲜侦察总局。过去九年间，该组织已盗取价值数十亿美元的加密货币。区块链监测公司 Chainalysis 数据显示，2024 年与朝鲜政府相关的黑客组织在 47 起事件中，共窃取价值 13 亿美元的加密资产。 今年 2 月，该组织被指控从迪拜加密货币平台 Bybit 盗取 15 亿美元。联合国去年表示，其正在追踪过去五年间的数十起相关事件，这些事件已为朝鲜带来 30 亿美元的非法收入。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周日，韩国最大在线零售商 Coupang（常被称为 “韩国版亚马逊”）证实，3370 万个客户账户信息遭泄露，公司就此公开致歉。这是近期韩国企业遭遇的又一起重大数据泄露事件。此前通讯软件Kakao的2700万用户和电商平台TMON的300万用户信息相继遭泄露。 Coupang 近年来年收入达数百亿美元，其推出的 “火箭配送” 服务可实现当日达和清晨配送，使其成为许多韩国人日常购物的首选平台。 Coupang 于 11 月曾披露，约 4500 个客户账户遭未授权访问。但经内部调查后，这一数字大幅上调。最新泄露规模相当于韩国5170万人口的65%，实际受影响人数可能略低。 事件详情 据悉，泄露信息包括姓名、电子邮箱、邮寄地址、电话号码及订单历史记录。Coupang 强调，支付信息和登录凭证未受影响。 该公司表示，已 “立即向韩国警察厅、个人信息保护委员会、韩国互联网安全振兴院等相关部门报告了此次数据泄露事件”。 针对Coupang数据泄露事件，韩国政府周日召开紧急会议，副总理兼企划财政部长官秋庆镐、科学技术信息通信部长官李宗昊、警察厅国家侦查本部长俞承镐等高级官员出席。 韩国科技部声明称：“由于此次泄露涉及大量民众的联系方式和住址信息，个人信息保护委员会计划迅速展开调查，若发现违反《个人信息保护法》安全措施义务的情况将实施严厉制裁。” 韩国媒体报道称未在Coupang内部系统发现恶意代码，调查重点转向一名前员工。 韩联社援引消息称警方已锁定嫌疑人，疑似为一名已出境的前员工，但未获警方证实。 首尔地方警察厅官员向记者表示：“我们正在分析Coupang提交的服务器日志，已掌握嫌疑人作案IP地址并展开追踪。” 韩联社还报道，警方正核实该嫌疑人是否与此前向 Coupang 发送邮件、威胁披露数据泄露事件的为同一人。据警方透露，该邮件并未索要钱财。 惩罚制度亟待整改 此前，韩国最大移动运营商 SK 电信曾因数据泄露被处以 1340 亿韩元（约合 9100 万美元）的创纪录罚款。该公司承认，其系统近三年来未检测出近 25 种恶意软件。 韩国总统办公室官员近期指出，韩国对未能保护客户数据企业的惩罚制度收效甚微。总统府政务首席秘书姜勋植表示：“惩罚性赔偿制度实际上形同虚设，导致预防大规模数据泄露的效果有限。”他补充称近期事件凸显韩国个人信息保护法律体系存在“结构性缺陷”，科技部和个人信息保护委员会已被要求提交整改方案。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关联的威胁行为体 “金 Suky”（Kimsuky），已分发一款此前未被记录的后门程序，其代号为 “HttpTroy”。此次攻击很可能是针对性钓鱼攻击，目标为韩国的一名单独受害者。 披露该活动细节的 Gen Digital 公司，未透露事件发生的具体时间，但指出钓鱼邮件中包含一个 ZIP 压缩文件（文件名：“250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip”）。该文件伪装成 VPN 账单，用于分发恶意软件，此恶意软件可实现文件传输、截屏以及执行任意命令的功能。 安全研究员亚历山德鲁 – 克里斯蒂安・巴尔达什（Alexandru-Cristian Bardaș）表示：“该攻击链包含三个步骤：一个小型投放程序、一个名为 MemLoad 的加载程序，以及最终的后门程序‘HttpTroy’。” ZIP 压缩包内包含一个与压缩包同名的 SCR 文件（屏幕保护程序文件）。打开该文件会触发执行链，首先运行的是一个 Go 语言（Golang）二进制文件，该文件包含三个嵌入文件，其中包括一个伪装 PDF 文档。此文档会向受害者展示，以避免引起任何怀疑。 与此同时，后台会同步启动 MemLoad 程序。该程序负责在受感染主机上建立持久化机制，具体方式是创建一个名为 “AhnlabUpdate” 的计划任务。这一命名是为了伪装成韩国网络安全公司安博士（AhnLab）的程序，进而解密并执行 DLL 格式的后门程序 “HttpTroy”。 该植入程序能让攻击者完全控制受感染系统，支持的操作包括文件上传 / 下载、截屏、以高权限执行命令、在内存中加载可执行文件、建立反向 shell、终止进程以及清除痕迹。它通过 HTTP POST 请求与命令控制（C2）服务器（域名：“load.auraria [.] org”）进行通信。 巴尔达什解释道：“HttpTroy 采用多层混淆技术，以阻碍对其的分析和检测。API 调用通过自定义哈希技术隐藏，字符串则通过异或（XOR）运算与单指令多数据（SIMD）指令相结合的方式进行混淆。值得注意的是，该后门程序不会重复使用 API 哈希值和字符串，而是在运行时通过各种算术运算和逻辑运算的组合动态重构它们，这进一步增加了静态分析的难度。” 除上述发现外，这家网络安全厂商还详细介绍了 “拉撒路集团”（Lazarus Group）的一起攻击事件。该攻击导致 “Comebacker” 恶意程序以及其 “BLINDINGCAN” 远程访问木马（又称 AIRDRY 或 ZetaNile）的升级版被部署。厂商补充称，此次攻击针对加拿大的两名受害者，且在 “攻击链中段” 被检测到。 目前尚不清楚该攻击所使用的具体初始访问途径，但基于未发现可被利用以获取立足点的已知安全漏洞，研究人员判断初始途径应为钓鱼邮件。 攻击中使用了 “Comebacker” 的两个不同变体，一个是 DLL 格式，另一个是 EXE 格式。前者通过 Windows 服务启动，后者通过 “cmd.exe” 命令行启动。无论采用何种执行方式，该恶意软件的最终目标一致：解密嵌入的有效载荷（即 BLINDINGCAN），并将其作为服务部署。 BLINDINGCAN 的设计目的是与远程 C2 服务器（域名：“tronracing [.] com”）建立连接，并等待进一步指令。这些指令支持的操作包括： 上传 / 下载文件 删除文件 修改文件属性以伪装成其他文件 递归枚举指定路径下的所有文件和子目录 收集整个文件系统中的文件相关数据 收集系统元数据 列出正在运行的进程 通过 CreateProcessW 函数运行命令行 在内存中直接执行二进制文件 通过 “cmd.exe” 执行命令 传入进程 ID 以终止特定进程 截屏 通过可用的视频捕获设备拍照 更新配置 更改当前工作目录 自行删除并清除所有恶意活动痕迹 Gen Digital 公司表示：“金 Suky（Kimsuky）和拉撒路集团（Lazarus）持续改进其工具，这表明与朝鲜（DPRK）有关联的行为体不仅在维护其攻击武器库，还在对其进行革新。这些攻击活动展现出结构完善的多阶段感染链，并利用了经过混淆处理的有效载荷和隐蔽的持久化机制。” “从攻击初始阶段到最终部署的后门程序，每个组件的设计目的都是规避检测、维持访问权限，并实现对受感染系统的全面控制。自定义加密、动态 API 解析以及基于组件对象模型（COM）的任务注册 / 服务利用等技术的应用，凸显出这些组织在技术上的持续演进和成熟。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，韩国数据保护监管机构对本国第五大信用卡发行机构 —— 乐天信用卡（Lotte Card）遭遇的网络攻击展开调查。韩国个人信息保护委员会（Personal Information Protection Commission，PIPC）于周一表示，正与金融监管机构合作，以确定此次数据泄露的完整范围（约 300 万客户的个人信息已泄露），并核查乐天信用卡是否违反了韩国的数据保护相关法律。 乐天信用卡上周证实，黑客在 8 月中旬获取了大量用户数据，包括身份证号、内部用户标识及联系方式。此外，数千名用户的敏感财务信息（如卡号、有效期及验证码）也遭到泄露。 据韩国当地媒体报道，不明身份的攻击者利用了一台支付服务器上的未修复漏洞。该漏洞自 2017 年起便存在，尽管 2017 年就已发布相关安全补丁，但乐天信用卡承认，一台用于 “使用频率较低的海外支付服务” 的服务器并未安装该补丁。 另有报道称，在被认为已泄露的 2700 个文件中，仅约 56% 进行了加密处理。黑客入侵近两周后，该公司才在一次服务器例行检查中发现数据泄露事件。 这家总部位于首尔的信用卡机构，服务着约 960 万客户，处理的交易金额约占韩国每日信用卡消费总额的 10%。目前，该公司已开始通知受影响用户暂停使用信用卡或办理换卡手续，并表示尚未发现未经授权的交易记录。 在周四举行的新闻发布会上，乐天信用卡首席执行官赵和珍（Cho Jwa-jin）公开致歉，并承诺对用户遭受的损失进行全额赔偿。他表示：“我们将以此为契机，从根本上改革安全体系，完善公司整体管理架构。” 此次事件引发了公众对乐天信用卡的控股股东MBK Partners的争议，外界质疑其忽视了网络安全方面的投资。韩国当地媒体称，自 MBK Partners 收购乐天信用卡后，后者的安全预算有所缩减。 MBK Partners 否认了上述批评，称过去六年已向乐天信用卡的信息技术（包括网络安全）领域投入约 6000 亿韩元（折合 4.3 亿美元）。该公司一名官员表示：“我们将信息技术、网络安全及公司治理视为维护企业价值和客户信任的核心资产。” 尽管如此，据报道，韩国执政党国民力量党（People Power Party）计划在议会听证会上传唤 MBK Partners 董事长金秉柱（Kim Byung-ju），认为该公司应对此次数据泄露的严重程度承担责任。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场针对韩国政府及情报工作人员的大规模鱼叉式网络钓鱼活动，利用了一份国家情报通讯刊物来诱骗受害者。 网络安全公司Seqrite在8月29日发布的新报告中披露，APT37——一个被认为有朝鲜背景的国家级黑客组织——是此次大规模鱼叉式网络钓鱼活动的幕后黑手。 这项被称为“韩国幻影行动”（Operation HanKook Phantom）的行动包含两波活动，期间APT37武器化了一些能引起韩国政府官员和情报人员兴趣的文档。 以首尔情报为诱饵的鱼叉式钓鱼 第一波活动利用名为“国家情报研究学会通讯-第52期”（韩语：국가정보연구회 소식지 (52호)）的文档作为诱饵。 《国家情报研究学会通讯》是由韩国研究团体“国家情报研究协会”发布的月度或定期内部通讯刊物。它为会员提供最新及即将举办的研讨会、研究计划和组织发展的概述，并重点介绍有关国家安全、劳动力动态、当前地缘政治变化、技术进步（如人工智能）和韩朝关系的 ongoing 讨论。 根据Seqrite研究人员的说法，攻击者分发这份看起来合法的PDF文件的同时，还附带了一个恶意的LNK（Windows快捷方式）文件，该文件被命名为“国家情报研究学会通讯(52期).pdf.LNK”。 一旦LNK文件被执行，便会触发载荷下载或命令执行，使得攻击者能够入侵系统。其入侵链包含多种混淆恶意载荷和逃避检测的方法，包括内存执行、伪装诱饵和隐藏的数据渗出例程。 通过分析攻击链，Seqrite研究人员发现其最终载荷是RokRAT，这是一个通常作为编码后的二进制文件分发的后门程序，在利用武器化文档后由shellcode下载并解密。APT37在过去的攻击活动中也被观察到分发RokRAT。 此鱼叉式钓鱼活动的主要目标包括该通讯刊物的接收者，他们通常是以下一个或多个韩国机构的成员： 国家情报研究协会 光云大学 高丽大学 国家安全战略研究院 中央劳动经济研究所 能源安全与环境协会 救国精神振兴会 养志会（纪念会议主办方） 韩国整合战略 以朝鲜官方通讯为诱饵的鱼叉式钓鱼 第二波活动使用了朝鲜劳动党中央委员会副部长、朝鲜最高领导人金正恩的妹妹金与正于7月28日发表的声明作为诱饵。 Seqrite报告指出，根据平壤的朝鲜中央通讯社（KCNA）报道，该声明表明了朝鲜拒绝韩国任何和解努力的立场。研究人员称：“它强烈批评韩国改善朝韩关系的尝试，称其毫无意义或虚伪。”文件还提到，朝鲜断然拒绝未来与韩国的任何对话或合作，宣布结束和解努力，并将在未来采取敌对、基于对抗的立场。 此攻击链与第一波活动相似，从一个恶意的LNK文件开始，该文件在部署混淆组件（tony33.bat, tony32.dat, tony31.dat）到%TEMP%目录的同时，会释放一个诱饵文档。LNK文件会自行删除，随后批处理脚本触发无文件攻击：tony32.dat在内存中解码，用XOR解密（密钥0x37）tony31.dat，并通过API调用（VirtualAlloc+CreateThread）将其注入。 投放器通过伪造的HTTP请求从命令与控制（C2）服务器获取次要载荷（abs.tmp），通过PowerShell（-EncodedCommand）执行它并删除痕迹。同时，它通过在删除前通过伪装的POST请求（模仿PDF上传）来渗出%TEMP%文件，并使用合法系统工具（LOLBins）、内存执行和流量混合来逃避检测。 第二波活动的目标包括： 李在明政府（韩国政府内阁） 统一部 美韩军事同盟 亚太经合组织（APEC） APT37使用高度定制的鱼叉式钓鱼攻击 Seqrite将这两波结合的活动命名为“韩国幻影行动”（Operation HanKook Phantom），“HanKook”是一个通常用于指代韩国的韩语词，而“Phantom”（幻影）则代表了在整个感染链中使用的隐蔽且规避的技术。 APT37是一个网络间谍组织，拥有许多别名，包括InkySquid、ScarCruft、Reaper、Group123、RedEyes和Ricochet Chollima。该组织至少自2012年以来一直活跃，并被认为与朝鲜政权有关联。其主要焦点是韩国的公共和私营部门，近期的鱼叉式钓鱼活动涉及利用有关朝鲜士兵在乌克兰战争中帮助俄罗斯的文档作为诱饵。 2017年，APT37将其目标范围扩展到朝鲜半岛以外，包括日本、越南和中东，并瞄准了更广泛的行业领域，包括化工、电子、制造、航空航天、汽车和医疗保健组织。 Seqrite研究人员总结道：“对此次行动的分析凸显了APT37如何持续采用高度定制的鱼叉式钓鱼攻击，利用恶意的LNK加载器、无文件的PowerShell执行和隐蔽的渗出机制。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国最大票务及在线图书零售商Yes24表示，在勒索攻击导致其网站和移动应用中断数小时后，服务已恢复。这是该公司不到两个月内第二次遭遇此类事件。 此次中断始于当地时间凌晨4点30分左右，导致用户无法预订演唱会门票、访问电子书及使用社区论坛。Yes24称已将系统离线以防止进一步破坏，并依靠备份数据在7小时内恢复运营。公司未透露攻击者信息，也未说明是否收到赎金要求。 中断引发韩国乐队DAY6粉丝的恐慌，该乐队“The Decade”巡演门票原定于当晚8点开售。作为演唱会独家票务合作伙伴，Yes24在服务恢复后如期重启售票。 今年初夏该公司已遭勒索软件重创。6月的攻击曾迫使Yes24服务中断约五天，影响了朴宝剑、ENHYPEN、ATEEZ及说唱歌手B.I等高人气演出的票务销售，并导致多场韩国偶像预售及粉丝活动延期。韩国互联网振兴院（KISA）当时指出，该公司缺乏异地备份系统导致恢复进度缓慢。 6月事件后，Yes24承诺将“彻查安全体系”、聘请外部顾问团队、强化网络安全预算并全面升级系统。但当地媒体和用户本周批评其管理层未能阻止二次攻击，且在最新事件中提供的信息更新有限。 Yes24早有安全前科。据当地媒体报道，该公司2016年及2020年曾因违反韩国《个人信息保护法》遭处罚，2022年更有青少年黑客从其系统中窃取143万条电子书解密密钥。 票务平台因存储海量个人数据、处理高额交易，且面临快速恢复运营以避免影响重大活动的压力，成为网络犯罪分子的理想目标。在美国，StubHub和Ticketmaster等平台曾遭类似攻击，包括泰勒·斯威夫特“时代巡演”售票期间；法国巴黎圣日耳曼足球俱乐部的票务系统去年亦遭遇攻击。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 移动安全研究人员发现一场大规模恶意活动，攻击者通过伪造的约会和社交应用窃取用户敏感数据。该行动被命名为“SarangTrap”，同时针对Android和iOS平台，利用超过250个恶意应用和80余个钓鱼域名实施攻击，韩国用户为主要目标。 安全公司Zimperium本周三发布的报告指出，该活动采用情感操纵策略：通过虚假用户资料、专属“邀请码”及仿真的应用界面诱骗受害者。这些应用伪装成合法服务，实则专门用于窃取用户联系人、私人照片、短信内容及设备标识符等数据。 攻击流程： 用户安装应用后，界面显示正常但会索要不必要的权限。输入攻击者提供的邀请码后，隐藏的间谍程序即被激活。获取权限后，应用将静默上传敏感数据至攻击者控制的服务器。 策略升级与跨平台特性 Zimperium实验室的最新分析显示，恶意软件策略持续演变： Android端：新样本已从清单文件中移除短信权限，但保留窃取短信的代码，表明攻击者正尝试规避安全扫描。 iOS端：改用恶意移动配置描述文件替代传统应用安装。用户授权后，攻击者无需应用即可获取联系人、照片及设备信息。 攻击基础设施 攻击者注册了88个独立域名，其中70余个用于分发恶意软件。至少25个域名被谷歌等搜索引擎收录，并通过“约会”“文件共享”等常见关键词提升排名，使钓鱼页面更具欺骗性。目前累计发现250余个Android恶意样本，部分样本甚至完全省略关键权限以躲避检测，但仍持续窃取数据。 技术与社会工程的结合 该活动将技术手段与社会工程深度融合。典型案例中，一名经历分手的男性用户被虚假约会资料诱导，通过钓鱼链接下载应用并输入邀请码后设备遭入侵。攻击者利用窃取的私密视频对其进行敲诈，威胁向家人公开内容。 Zimperium建议用户：警惕索要邀请码或非常规权限的应用，避免使用第三方应用商店，并定期检查设备配置描述文件与安全设置。 SarangTrap行动目前仍处于活跃进化状态，使得用户保持警惕变得尤为重要。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国主要票务平台及在线图书零售商Yes24遭遇勒索软件攻击，导致该国娱乐产业陷入混乱——根据当地媒体报道，此次攻击迫使大量活动取消或延期，主办方正紧急应对持续的服务中断。本次攻击发生于周一（6月9日）凌晨，致使Yes24网站及服务连续四天瘫痪，在线演唱会预订、电子书访问和社区论坛功能均告中断。公司声明目标在6月15日前全面恢复运营。 韩国隐私监管机构“个人信息保护委员会”已启动调查，本次事件可能导致客户数据泄露。当局表示将审查Yes24是否履行了韩国数据隐私法规定的法律义务。 当地媒体报道称，Yes24服务中断引发连锁反应。包括朴宝剑、ENHYPEN、ATEEZ及说唱歌手B.I在内的多位韩流明星预售及粉丝活动已被推迟或取消。《廊桥遗梦》《阿拉丁》等音乐剧制作方要求观众出示纸质门票或邮件确认函入场。据报道，本周初因无法提供可验证票务信息，部分观众遭拒入场。 Yes24周三声明称已重新掌控管理员账户，正努力恢复其他服务。攻击者身份目前尚未明确。该公司表示尚未确认个人信息外泄，但已向韩国数据隐私机构报告涉及客户数据未授权访问的可疑活动。 “若后续调查证实个人信息泄露，我们将立即通知用户。”Yes24在官网公告中声明。票务平台因存储海量个人数据、处理高额支付流水，且面临避免活动中断与声誉受损的赎金支付压力，成为网络犯罪分子的高价值目标。在美国，黑客曾针对StubHub和Ticketmaster等平台发动攻击，尤其意图干扰泰勒·斯威夫特“时代巡回演唱会”门票销售。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国至少有六家机构已成为黑客组织“Lazarus Group”的攻击目标，此次行动代号为“SyncHole行动”。 根据卡巴斯基今日发布的报告，该活动针对韩国的软件、IT、金融、半导体制造和电信行业。最早的入侵证据于2024年11月首次被发现。 安全研究人员Ryu Sojun和Vasily Berdnikov表示：“此次行动采用了水坑攻击策略与韩国本土软件漏洞利用的复杂组合。攻击者还利用Innorix Agent的一个一日漏洞进行横向移动。” 观察到的攻击为多个已知Lazarus工具变种铺平了道路，包括ThreatNeedle、AGAMEMNON、wAgent、SIGNBT和COPPERHEDGE。这些入侵之所以特别有效，很可能是因为攻击者利用了韩国广泛使用的合法软件Cross EX的安全漏洞。该软件用于在线银行和政府网站支持防键盘记录和基于证书的数字签名。 俄罗斯网络安全厂商表示：“Lazarus Group展现出对这些技术细节的深刻理解，并采用针对韩国的组合策略——将该类软件漏洞与水坑攻击相结合。” 值得注意的是，攻击者利用Innorix Agent的安全漏洞进行横向移动，因为Lazarus Group的Andariel子集群过去曾采用类似手法传播Volgmer和Andardoor等恶意软件。 最新攻击浪潮的起点是水坑攻击，当目标访问多个韩国在线媒体网站后即激活ThreatNeedle的部署。在将访问者重定向到攻击者控制的域名之前，会使用服务器端脚本对访问者进行筛选。 研究人员表示：“我们以中等可信度评估，被重定向的网站可能执行了恶意脚本，针对目标PC上安装的Cross EX的潜在漏洞发起攻击并启动恶意软件。该脚本最终执行了合法的SyncHost.exe，并向该进程注入加载ThreatNeedle变种的shellcode。” 观察到的感染链分为两个阶段：早期使用ThreatNeedle和wAgent，随后通过SIGNBT和COPPERHEDGE建立持久性、进行侦察活动，并在受感染主机上部署凭证转储工具。 攻击中还部署了用于受害者画像和有效载荷投递的LPEClient恶意软件家族，以及名为Agamemnon的下载器——该工具可从命令与控制（C2）服务器下载并执行额外有效载荷，同时采用“地狱之门（Hell’s Gate）”技术在执行期间绕过安全解决方案。 Agamemnon下载的有效载荷之一是通过利用Innorix Agent文件传输工具安全漏洞实现横向移动的专用工具。卡巴斯基称其调查发现了Innorix Agent中另一个未公开的任意文件下载零日漏洞，目前该漏洞已被开发者修复。 卡巴斯基警告称：”预计拉Lazarus Group针对韩国供应链的专业化攻击未来将持续存在。攻击者正通过开发新恶意软件或增强现有恶意软件来尽量减少被检测风险，特别是在改进与C2的通信方式、命令结构及数据收发模式方面投入大量精力。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文