HackerNews 编译，转载请注明出处： 又名 Bronze Highland、Daggerfly、StormBamboo 的 Evasive Panda APT 组织自 2022 年 11 月起持续发动定向攻击，通过“中间人（AitM）+ DNS 投毒”组合手法，向土耳其、中国、印度等多国目标植入 MgBot 后门，行动至少延续至 2024 年 11 月。 攻击者将恶意程序伪装成搜狐影音、爱奇艺、IObit Smart Defrag、腾讯 QQ 等主流应用的“升级包”。当用户点击更新时，DNS 响应被篡改，域名解析指向攻击者服务器，例如 p2p.hd.sohu.com[.]cn 被解析为恶意 IP，下载到的 sohuva_update_10.2.29.1-lup-s-tp.exe 实为木马。 Securelist 分析指出，黑客先通过 DNS 投毒劫持合法更新请求，再把加密后的恶意组件存放在自己服务器，并借特定域名解析返回，加大溯源难度。 初始加载器使用单字节 XOR 解密配置，若当前用户为 SYSTEM，则复制自身并追加 ext.exe 后缀。随后解密 9556 字节 shellcode，因 .data 段默认不可执行，调用 VirtualProtect 改权限以隐蔽运行。 多阶段感染与混合加密 1. 第一段 shellcode 在安装目录寻找指定 DAT 文件，存在则调用 CryptUnprotectData 本地解密，用完即删； 2. 若无 DAT，则通过被 DNS 投毒的 dictionary[.]com（按受害者地理位置返回不同恶意 IP）下载加密数据； 3. 第二段载荷伪装成 PNG，采用 DPAPI+RC5 混合加密：RC5 密钥先被 DPAPI 加密并存放于 perf.dat 前 16 字节，剩余部分为 RC5 加密内容； 4. 次级加载器 libpython2.4.dll 借助合法签名程序 evteng.exe 进行 DLL 侧载，进一步隐蔽； 5. 最终解密出的 MgBot 被注入 svchost.exe，实现长期驻留。配置内含战役名、硬编码 C2 地址及加密密钥，部分服务器已活跃多年。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究发现，知名威胁行为者 ToddyCat 团伙正采用新型攻击手段获取目标企业的邮件数据，包括使用一款名为 TCSectorCopy 的定制化工具。 “该攻击可通过用户浏览器获取 OAuth 2.0 授权协议令牌，攻击者可在受攻陷基础设施边界之外利用这些令牌访问企业邮件，” 卡巴斯基（Kaspersky）在技术分析报告中指出。 ToddyCat 团伙自 2020 年起活跃，长期针对欧洲及亚洲多国组织发动攻击，曾使用 Samurai、TomBerBil 等多款工具维持控制权，并窃取谷歌 Chrome、微软 Edge 等浏览器的 Cookie 与凭据信息。 历史攻击与工具迭代 今年 4 月，该团伙被证实利用 ESET 命令行扫描器的安全漏洞（CVE-2024-11859，CVSS 评分 6.8），投递了一款此前未被记录的恶意软件（代号 TCESB）。 卡巴斯基表示，在 2024 年 5 月至 6 月期间的攻击事件中，发现了 TomBerBil 的 PowerShell 变体（此前已监测到 C++ 和 C# 版本），该变体新增了从 Mozilla Firefox 浏览器提取数据的功能。值得注意的是，此版本可由特权用户在域控制器上运行，并通过 SMB 协议借助网络共享资源访问浏览器文件。 该恶意软件通过计划任务执行 PowerShell 命令启动，具体功能为通过 SMB 协议搜索远程主机中的浏览器历史记录、Cookie 及保存的凭据。尽管包含敏感信息的复制文件通过 Windows 数据保护 API（DPAPI）加密，但 TomBerBil 具备捕获解密所需密钥的能力。 “早期版本的 TomBerBil 在目标主机上运行并复制用户令牌，通过 DPAPI 解密当前用户会话中的主密钥，进而解密文件本身，” 研究人员解释道，“而新版服务器端版本会复制 DPAPI 使用的用户加密密钥文件，攻击者借助这些密钥、用户 SID（安全标识符）及密码，可在本地解密所有复制文件。” 核心攻击手段解析 1. TCSectorCopy 窃取 Outlook OST 文件 ToddyCat 团伙通过定制化工具 TCSectorCopy（文件名为 “xCopy.exe”），窃取本地 Microsoft Outlook 存储的企业邮件（以 OST 文件，即离线存储表格式保存），该工具可绕过 Outlook 运行时对文件的访问限制。 TCSectorCopy 采用 C++ 开发，输入目标文件（此处为 OST 文件）后，会以只读模式挂载磁盘，按扇区顺序复制文件内容。OST 文件被写入攻击者指定路径后，通过开源工具 XstReader（支持 Outlook OST/PST 文件的查看器）提取邮件内容。 2. 内存中提取 Microsoft 365 访问令牌 针对使用 Microsoft 365 云服务的受害组织，该团伙还通过开源 C# 工具 SharpTokenFinder 直接从内存中获取访问令牌。该工具会枚举 Microsoft 365 应用程序，查找明文认证令牌（JSON Web 令牌 JWT）。 但在至少一起调查案例中，系统安装的安全软件阻止了 SharpTokenFinder 对 Outlook.exe 进程的内存 dump 操作，导致攻击受阻。为规避此限制，攻击者使用 Sysinternals 工具包中的 ProcDump 工具，通过特定参数对 Outlook 进程进行内存 dump。 “ToddyCat 高级持续性威胁（APT）团伙持续迭代攻击技术，不断探索可隐藏自身活动的手段，以获取受攻陷基础设施内的企业邮件数据，” 卡巴斯基总结道。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本国家警察厅（NPA）和国家网络安全战略中心（NISC）发布安全通告，警告针对日本组织的高级持续性威胁（APT）攻击活动。 此次攻击由“MirrorFace”组织实施，该组织是 APT10 旗下的一个分支。他们利用 Windows Sandbox 和 Visual Studio Code 执行恶意操作，同时规避宿主系统上的安全检测。 攻击者使用了经过修改的开源远程访问木马（RAT）Lilith RAT，命名为 “LilimRAT”，该恶意软件专门针对 Windows Sandbox 运行环境进行优化。 Windows Sandbox 作为独立的虚拟环境，与宿主系统隔离。MirrorFace 组织正是利用这一特性，在受感染系统上保持持久性，同时减少攻击痕迹，降低被发现的可能性。 据 ITOCHU Cyber & Intelligence 研究人员分析，该恶意软件包含专门的代码，用于检测其是否运行在 Windows Sandbox 中。它会检查 WDAGUtilityAccount 用户文件夹的存在，这是 Windows Sandbox 默认的用户配置。 如果 WDAGUtilityAccount 文件夹未被检测到，恶意软件会立即终止运行。代码示例如下：   FileAttributesA = GetFileAttributesA(“C:\\Users\\WDAGUtilityAccount”); if (FileAttributesA != -1 && (FileAttributesA & 0x10) != 0) {     c_GetModuleFileNameA();     c_WSAStartup();     v29 = 1;     // 其他初始化代码 } 攻击者首先在目标系统上启用 Windows Sandbox（默认情况下该功能是禁用的），并创建自定义的 Windows Sandbox 配置文件（WSB）。然后，在这个隔离环境中执行恶意软件，以避免安全工具的检测。 完整的攻击流程包括： 在受感染主机上放置三个关键文件： 批处理脚本（.bat） 压缩工具 包含恶意软件的存档文件 创建 Windows Sandbox 配置文件（WSB），其中包含： 启用网络连接 在宿主系统和沙箱之间共享文件夹 设定在 Windows Sandbox 启动时自动执行命令 WSB 配置示例如下：   <Configuration>     <Networking>Enable</Networking>     <MappedFolders>         <MappedFolder>             <HostFolder>C:\{Host-side folder}</HostFolder>             <SandboxFolder>C:\{Sandbox-side folder}</SandboxFolder>             <ReadOnly>false</ReadOnly>         </MappedFolder>     </MappedFolders>     <LogonCommand>         <Command>C:\{Sandbox-side folder}\{random}.bat</Command>     </LogonCommand>     <MemoryInMB>1024</MemoryInMB> </Configuration>   通过此配置，恶意软件可在 Windows Sandbox 内部运行，同时仍可访问宿主系统的文件。 攻击流程启动后，批处理文件会提取档案并安排任务来执行恶意软件。 然后，恶意软件通过 Tor 网络与命令和控制服务器建立通信，以掩盖其活动。 这次攻击之所以特别隐蔽，是因为 Windows Sandbox 默认禁用了 Windows Defender，这就为攻击者提供了一个无安全威胁的操作环境。 此外，当 Windows Sandbox 以 SYSTEM 权限通过任务调度程序启动时，它会在后台运行而不显示窗口，这使得检测更具挑战性。 安全专家建议，除非特别需要，否则应禁用 Windows Sandbox，监控相关进程，限制管理权限，并实施 AppLocker 策略，以防止在企业环境中未经授权执行 Windows Sandbox。 消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

卡巴斯基研究人员观察到，与朝鲜有关的Lazarus Group在一个月的时间里至少针对了两名与同一核相关组织有关的员工。 专家们认为，这些攻击是网络间谍活动“梦想工作行动”（Operation Dream Job，又称NukeSped）的一部分，该行动自至少2020年以来一直在进行。 攻击者使用了复杂的感染链，包括多种类型的恶意软件，如下载器、加载器和后门。这个国家级行为者向两名员工发送了包含恶意文件的压缩文件。 Lazarus Group利用恶意ISO文件来逃避检测，部署了木马化的VNC软件，以传递如Ranid Downloader、MISTPEN、RollMid和LPEClient等恶意软件。 研究人员还在受感染的主机上发现了CookieTime恶意软件，该恶意代码在LPEClient安装后以SQLExplorer服务激活，最初执行C2命令，但现在主要用于下载有效载荷。 攻击者使用CookieTime下载了多种恶意软件，包括LPEClient、Charamel Loader、ServiceChanger和更新版的CookiePlus。Charamel Loader使用ChaCha20算法解密并加载如CookieTime、CookiePlus和ForestTiger等恶意软件。 攻击者使用ServiceChanger恶意软件停止了一个合法服务，在磁盘上存储恶意文件，并重启服务以通过侧加载加载恶意DLL。Lazarus Group针对ssh-agent服务使用了libcrypto.dll，与Kimsuky APT组织利用现有服务而不是注册新服务的方法不同。在某些情况下，CookieTime也通过DLL侧加载被加载，并且支持多种加载方法和不同的入口点。 “由于CookiePlus充当下载器，它的功能有限，并且只从受感染的主机向C2服务器传输最少的信息。在其与C2的初始通信中，CookiePlus生成了一个32字节的数据数组，其中包括其配置文件中的ID、特定偏移量和计算步骤标志数据。”报告中写道。 研究人员认为CookiePlus可能是MISTPEN的继任者。尽管两者没有代码重叠，但都伪装成Notepad++插件，并使用类似的策略，如利用TBaseInfo.dll和hiber.dll等插件。CookiePlus在2024年6月被编译和使用，看起来更为先进，与2024年初已知的MISTPEN样本相比，支持额外的执行选项。 Lazarus Group APT组织在大部分活动中使用了被破坏的WordPress网络服务器作为C2。这些服务器被MISTPEN、LPEClient、CookiePlus和RollMid恶意软件用作C2。然而，CookieTime只使用了一个基于WordPress的C2。所有已识别的C2托管了分布在不同国家的基于PHP的网络服务。 “在其历史上，Lazarus Group只使用了少量的模块化恶意软件框架，如Mata和Gopuram Loader。引入这种类型的恶意软件对他们来说是一种不寻常的策略。他们确实引入了新的模块化恶意软件，如CookiePlus，这表明该组织正在不断努力改进他们的武器库和感染链，以逃避安全产品的检测。”报告总结道。“对于防御者来说，问题是CookiePlus可以表现得像一个下载器。这使得调查CookiePlus是否只下载了一个小插件或下一个有意义的有效载荷变得困难。从我们的分析来看，它似乎仍在积极开发中，这意味着Lazarus Group未来可能会添加更多插件。”       消息来源：securityaffairs；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

趋势科技公布了威胁组织 Earth Koshchei 开展的大规模流氓远程桌面协议 (RDP) 活动。Earth Koshchei 以间谍活动而闻名，他们利用鱼叉式网络钓鱼电子邮件和恶意 RDP 配置文件来入侵包括政府、军事组织和智囊团在内的高知名度目标。 据描述，该攻击方法涉及 “RDP 中继、恶意 RDP 服务器和恶意 RDP 配置文件”，利用红队技术达到恶意目的。报告称，这种方法使攻击者能够获得受害者机器的部分控制权，导致 “数据泄露和恶意软件安装”。 该活动在 2024 年 10 月 22 日达到顶峰，当时向包括外交和军事实体在内的各种目标发送了数百封鱼叉式网络钓鱼电子邮件。这些电子邮件诱骗收件人打开恶意 RDP 配置文件，将他们的机器连接到地球 Koshchei 的 193 个 RDP 中继站之一。 地球 Koshchei 在 2024 年 8 月至 10 月间注册了 200 多个域名，展示了精心策划的活动。这些域名通常模仿合法的服务或组织，如云提供商和政府实体。此外，该组织还使用 TOR、VPN 和住宅代理等匿名层来掩盖其行动，并使归因复杂化。 该基础设施包括 193 个代理服务器和 34 个流氓 RDP 后端服务器，它们是数据外泄和间谍活动的入口点。 地球 Koshchei 展示了重新利用合法红队工具的敏锐能力。通过采用 2022 年 Black Hills 信息安全博客中描述的技术，攻击者使用 PyRDP 等工具拦截和操纵 RDP 连接。这使他们能够浏览受害者的文件系统、渗出数据，甚至打着 “AWS 安全存储连接稳定性测试 ”等合法程序的幌子运行恶意应用程序。 趋势科技解释说：“PyRDP代理可确保窃取的任何数据或执行的任何命令都会被导回攻击者，而不会引起受害者的警觉。” 该组织的目标受害者多种多样，包括政府、军队、云提供商和学术研究人员。Earth Koshchei（又称 APT29 或 Midnight Blizzard）的典型战术、技术和程序（TTPs）以及受害者研究都支持将此次活动归咎于该组织。 报告指出：“Earth Koshchei 的特点是持续针对外交、军事、能源、电信和 IT 公司。据信，该组织与俄罗斯对外情报局（SVR）有关联。” 为抵御此类攻击，企业应该： 阻止出站 RDP 连接： 将 RDP 流量限制在受信任的服务器上。 检测恶意 RDP 文件： 使用能够识别恶意 RDP 配置文件的工具，如趋势科技的 Trojan.Win32.HUSTLECON.A 检测系统。 加强电子邮件安全： 实施过滤器，防止发送可疑附件，尤其是 RDP 配置文件。   转自安全客，原文链接：https://www.anquanke.com/post/id/302885 封面来源于网络，如有侵权请联系删除

Hunting Shadow Lab网络安全研究人员发现新一轮针对中国科研机构的网络攻击 。活动被归咎于Patchwork APT，利用复杂的恶意软件和隐蔽技术来入侵工作站并窃取敏感数据。 据悉，Patchwork组织（也称为Hangover和Dropping Elephant）被认为得到了印度当局的支持，自2009年以来一直从事网络间谍活动。 他们之前的活动主要集中在亚洲各国政府机构和科研机构，然而这次最新的行动显示了他们方法的精细化以及对获取科学研究相关的知识产权的持续兴趣。 攻击链从一封鱼叉式钓鱼邮件开始，其中包含恶意LNK文件，该文件伪装成与正在进行的中国研究项目相关的文件。 执行后，LNK文件将启动多阶段恶意软件传送过程。为避免引起怀疑，会显示良性PDF文档，同时在后台秘密下载和执行恶意EXE和DLL文件。 一份诱饵文件 资料来源：Hunting Shadow Lab 此活动中提供的主要有效载荷是BadNews恶意软件，这是一种专为隐身和持久性而设计的复杂后门。为了逃避检测，该恶意软件采用了多层混淆技术，包括加密和使用以前观察到的数字证书。 一旦激活，BadNews就会与命令和控制（C2）服务器建立安全的通信通道，使攻击者能够泄露敏感数据并发出进一步的命令。 此次行动的复杂性还体现在使用了模仿合法网站的假冒域名。 研究人员发现了属于巴基斯坦国际航空公司、Zong（巴基斯坦电信提供商）、Global News和Scandinavian Airlines网站的欺诈版本。 这些域名被用来托管其他恶意软件并促进数据泄露，利用这些实体已建立的信任。 对于组织来说，主动更新安全框架，集成当前的入侵指标（IoC），并利用高级威胁分析工具。此外，利用基于云的服务来分析可疑文件可以显着增强对此类攻击的防御。       转自E安全，原文链接：https://mp.weixin.qq.com/s/laBfNeNRX6FXMNo0zTxIKw 封面来源于网络，如有侵权请联系删除  

根据Black Lotus 实验室周三发布的研究，在一次非同寻常的数字间谍案中，俄罗斯黑客组织花了近两年的时间秘密控制巴基斯坦网络间谍的计算机系统，从而进入南亚各地敏感的政府网络。 俄罗斯黑客组织被称为 Turla 或 Secret Blizzard，征用了 33 个由巴基斯坦黑客操作的C2服务器，这些黑客自己也曾入侵过阿富汗和印度政府的目标，有时还使用市售的 Hak5 渗透测试硬件设备。 据Black Lotus 称，俄罗斯黑客闯入了巴基斯坦 APT组织（被追踪为 Storm-0156）使用的C2服务器，并利用该访问权限启动自己的恶意软件并劫持敏感数据。 研究人员表示：“最近一次活动持续了两年，是自 2019 年首次发现 [Turla] 重新利用伊朗威胁组织的 C2 以来，第四次有记录的 [Turla] 嵌入其他组织行动的案例。” 去年，Turla 还被发现使用其他黑客可能部署的旧版 Andromeda 恶意软件来针对乌克兰组织。 Turla 是一种攻击性较强的俄罗斯 APT，其目标是世界各地的大使馆和政府办公室。据观察，它还控制了 Hak5 Cloud C2 节点，这是一个为合法渗透测试而设计的平台，但在这里被用于间谍活动。 在俄罗斯黑客组织控制其行动之前， Storm-0156巴基斯坦黑客组织一直在部署物理黑客工具——市售的 Hak5 设备——来入侵印度政府机构，包括其外交部。 2022 年底，Black Lotus 实验室的研究人员表示，俄罗斯组织利用 Storm-0156 在阿富汗政府网络和巴基斯坦运营商工作站中现有的立足点。从这个有利位置，Turla 部署了专有恶意软件（标记为 TwoDash 和 Statuezy），窃取了巴基斯坦运营商收集的从凭证到文件等各种数据。 Turla 渗透 Storm-0156 和阿富汗政府网络 “通过这个渠道，他们可能获得了大量数据。这些收获包括对 Storm-0156 工具的洞察、C2 和目标网络的凭证，以及从之前的行动中收集到的泄露数据。”研究人员指出。 Black Lotus 实验室表示，Storm-0156 历史上曾以印度和阿富汗政府网络为目标，并指出 Turla 进入巴基斯坦运营商工作站证明了 APT 运营商如何隐藏其踪迹并试图进行模糊的归因分析。 Black Lotus 实验室表示，到 2024 年中期，Turla 已将重点扩大到使用从巴基斯坦工作站窃取的另外两种恶意软件（Wasicot 和 CrimsonRAT）。此前发现 CrimsonRAT 被用于针对印度的政府和军事目标，研究人员发现 Turla 后来利用他们的访问权限收集了该恶意软件先前部署的数据。 Black Lotus 实验室警告称： “该组织有一个显著特点：他们大胆利用其他黑客组织的 C2 服务器来达到自己的目的。”并指出，该策略允许 Turla 运营者远程获取先前从受感染网络窃取的敏感文件，而无需使用（并可能暴露）他们自己的工具。 Storm-0156 的 Hak5 Cloud C2 与已知 C2 之间的逻辑连接 该公司补充道：“在其他威胁组织尚未获取其目标的所有感兴趣数据的情况下，他们可以在 C2 节点上收集的数据中搜索被盗的身份验证材料以获取访问权限，或使用现有访问权限来扩大收集范围并将其代理部署到网络中。” Black Lotus 实验室表示，在监控 Turla 与被征用的 Storm-0156 C2 节点的互动时，它发现了 Storm-0156 威胁组织先前曾入侵过的阿富汗政府各个网络的信标活动。 研究人员与微软的威胁猎手一起观察了 Turla 与 CrimsonRAT C2 节点子集的交互，这些节点之前曾被用来攻击印度政府和军队。 值得注意的是，Black Lotus 实验室表示，尽管还有更多可用节点，但 Turla 仅与七个 CrimsonRAT C2 进行了接触。“这种选择性接触意味着，虽然他们有能力访问所有节点，但他们的工具部署在战略上仅限于与印度最高优先级目标相关的节点。” 2024 年 12 月 4 日，微软公司的另一份报告记录了俄罗斯 FSB 黑客组织 Turla（被追踪为 Secret Blizzard）自 2017 年以来如何系统地渗透和劫持至少六个不同国家高级黑客组织的基础设施。 Turla（Secret Blizzard） 和 Storm-0156 攻击链 微软解释说，这符合 Turla 既定的模式，此前它曾接管过伊朗（Hazel Sandstorm）、哈萨克斯坦（Storm-0473）和其他威胁组织的基础设施。微软的分析表明，这种“间谍对间谍”的方法是 FSB 的一种蓄意策略，目的是进行间谍活动，同时将其活动隐藏在其他黑客的行动背后。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Iyhpu2urTa-lpYa4vI_FuQ 封面来源于网络，如有侵权请联系删除

赛门铁克研究人员观察到与朝鲜有关的APT组织Kimsuky使用名为 Gomir 的新 Linux 后门。该恶意软件是 GoBear 后门的一个新版本，Kimsuky 在最近的一次活动中通过特洛伊木马软件安装包传播该后门。 Kimsuky 网络间谍组织 （又名 Springtail、ARCHIPELAGO、Black Banshee、  Thallium、Velvet Chollima、  APT43）于 2013 年首次被卡巴斯基研究人员发现。该 APT 组织主要针对韩国的智库和组织，其他受害者分布在美国、欧洲和俄罗斯。 Gomir 和 GoBear 共享很大一部分代码。 韩国安全公司 S2W 的研究人员于 2024 年 2 月首次发现了该活动，观察到攻击者使用特洛伊木马软件安装包传播名为 Troll Stealer 的新恶意软件系列。 Troll Stealer 支持多种窃取功能，它允许操作员收集文件、屏幕截图、浏览器数据和系统信息。 恶意代码是用 Go 编写的，研究人员注意到 Troll Stealer 包含与早期 Kimsuky 恶意软件大量代码重叠的内容。 Troll Stealer 还可以复制受感染计算机上的 GPKI（政府公钥基础设施）文件夹。 GPKI 是韩国政府人员和国家组织的公钥基础设施架构，这表明政府机构是国家资助的黑客的攻击目标之一。 该恶意软件分布在 TrustPKI 和 NX_PRNMAN（由 SGA Solutions 开发的软件）的安装包中。受害者从特定网站重定向的页面下载了软件包。 赛门铁克还发现 Troll Stealer 也在Wizvera VeraPort的特洛伊木马安装包中提供。 WIZVERA VeraPort 集成安装程序用于管理访问特定政府和银行域所需的附加安全软件（例如，浏览器插件、安全软件、身份验证软件等）。WIZVERA VeraPort 用于对下载进行数字签名和验证。 该恶意软件分布在 TrustPKI 和 NX_PRNMAN（由 SGA Solutions 开发的软件）的安装包中。受害者从特定网站重定向的页面下载了软件包。 赛门铁克还发现 Troll Stealer 也在Wizvera VeraPort的特洛伊木马安装包中提供。 WIZVERA VeraPort 集成安装程序用于管理访问特定政府和银行域所需的附加安全软件（例如，浏览器插件、安全软件、身份验证软件等）。WIZVERA VeraPort 用于对下载进行数字签名和验证。 此前有报道称，Wizvera VeraPort 受到了 与朝鲜有联系的组织Lazarus发起的供应链攻击。 “Troll Stealer 似乎与最近发现的另一个名为 GoBear 的基于 Go 语言编写的后门有关。这两种威胁均使用颁发给“D2innovation Co.,LTD”的合法证书进行签名。GoBear 还包含与旧版 Springtail 后门（称为 BetaSeed）类似的函数名称，后者是用 C++ 编写的，这表明这两种威胁具有共同的起源。”赛门铁克发布的报告中写道。 执行时，恶意软件会检查组 ID 值以确定其是否在 Linux 计算机上作为组 0（组与超级用户或管理权限关联）运行。 恶意代码汇集了要执行的命令，研究人员观察到它支持多个命令。包括 Gomir和GoBear Windows后门支持几乎相同的命令。 最新的 Kimsuky 活动强调，朝鲜间谍活动越来越青睐软件安装包和更新作为感染媒介。专家们注意到，木马软件安装程序和虚假软件安装程序已转向软件供应链攻击。一个突出的例子是3CX 供应链攻击，源于早期的 X_Trader 攻击。 “最新的 Springtail 活动提供了进一步的证据，表明软件安装包和更新现在是朝鲜间谍活动者最喜欢的感染媒介之一。”报告总结道。“与此同时，Springtail 专注于第三方网站上托管的木马软件安装程序，需要安装或伪装成官方应用程序。目标软件似乎是经过精心挑选的，以最大限度地提高感染韩国目标的机会。” 该报告还提供了最新活动中使用工件的威胁检测指标（IOCs） ，包括 Troll Stealer、Gomir 和 GoBear dropper。 完整技术报告：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/springtail-kimsuky-backdoor-espionage   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/fnnn4iP3RtT1zWTgr4GnXQ 封面来源于网络，如有侵权请联系删除

微软和OpenAI通过监测大模型使用记录，找出全球APT组织的使用痕迹，并对相关帐号和资产进行封禁。 安全内参消息称，过去几年来，网络威胁生态系统的发展揭示了一个共同主题，即威胁行为者与企业防守方同步跟随技术趋势。和企业防守方一样，威胁行为者正在关注大语言模型等人工智能技术，希望借以提高生产力，并利用可访问的平台来推进目标实现、提升攻击技术。 微软与OpenAI合作对网络威胁生态进行研究，尚未发现大家密切关注的大语言模型被用于重大攻击。不过，微软认为这项重要研究成果需要公开发布，因为它揭示了目前观察到的知名威胁行为者正在尝试的早期、渐进性举措，并给出应该如何阻止和应对这些行为者的措施。 攻击者会持续对人工智能保持兴趣，并探索当前技术的功能和安全控制措施。重要的是，我们需要将这些风险置于具体情境中加以理解。像多因素身份验证和零信任防御等网络卫生实践一样重要，因为攻击者可能利用基于人工智能的工具，来改进其现有的网络攻击模式，比如通过社会工程学试图找到未受保护的设备和帐号。 本文列举了一些威胁行为者的活动示例。网络安全行业迫切需要使用MITRE的ATT&CK框架或ATLAS知识库更新，更好地跟踪它们的战术、技术和程序（TTPs）。 森林暴雪 森林暴雪（STRONTIUM）是俄罗斯军事情报机构GRU第26165单位相关的俄罗斯军事情报行为者，其主要目标是对俄罗斯政府具有战术和战略利益的受害者。他们的活动覆盖了多个行业，包括国防、交通/物流、政府、能源、非政府组织和信息技术等。 俄乌战争期间，森林暴雪一直积极攻击与冲突有关的组织。微软认为，无论是在乌克兰还是在更广泛的国际社会，森林暴雪的行动都有力地支持了俄罗斯的外交政策和军事目标。森林暴雪与其他研究人员跟踪的威胁行为者（如APT28和Fancy Bear）有所重叠。 森林暴雪主要使用大语言模型对各种卫星和雷达技术进行研究，这些技术可能与在乌克兰进行的常规军事行动或支持网络攻击的通用研究有关。根据这些观察，相关TTPs分类描述如下： 大语言模型指导的侦察：与大语言模型交互以了解卫星通信协议、雷达成像技术和特定技术参数。这些交互行为表明威胁行为者试图更为深入地了解卫星的能力。 大语言模型增强的脚本技术：寻求在基本脚本任务中提供支持，包括文件操作、数据选择、正则表达式和多处理，以期自动化或优化技术操作。 据微软观察，森林暴雪的大语言模型互动与鲑鱼台风（Salmon Typhoon）类似，说明对手在探索如何使用新技术。与其他对手一样，与森林暴雪相关的所有帐号和资产已被禁用。 翡翠雨 翡翠雨（THALLIUM）是归属朝鲜的威胁行为者，在2023年一直保持高度活跃。最近，他们依靠钓鱼邮件来窃取和收集对朝鲜问题具有专业知识的知名人士的情报。据微软观察，翡翠雨冒充声望良好的学术机构和非政府组织，诱使受害者回复有关与朝鲜有关的外交政策的专家见解和评论。翡翠雨与其他研究人员跟踪的威胁行为者（如Kimsuky、Velvet Chollima）有所重叠。 翡翠雨使用大语言模型支持上述活动，涉及对朝鲜问题智库和专家的研究，以及生成可能用于钓鱼攻击的内容。翡翠雨还与大语言模型互动，以了解公开已知的漏洞、排除技术问题、帮助使用各种网络技术。根据这些观察，相关TTPs分类描述如下： 大语言模型辅助的漏洞研究：与大语言模型交互，以更好地了解公开报道的漏洞，例如CVE-2022-30190微软支持诊断工具（MSDT）漏洞（称为Follina）。 大语言模型增强的脚本技术：利用大预言模型进行基本的脚本编写任务，例如对系统中的某些用户事件进行程序化识别，并寻求帮助排除故障、理解各种Web技术。 大语言模型支持的社会工程学：利用大语言模型协助起草和生成可能用于针对具有区域专业知识的个人的钓鱼攻击的内容。 大语言模型指导的侦察：与大语言模型交互，以识别重点关注国防问题或朝鲜核计划的朝鲜问题智库、政府组织或专家。 与翡翠雨相关的所有帐号和资产均已被禁用。 深红沙尘暴 深红沙尘暴（CURIUM）是归属伊朗的威胁行为者，被认为与伊斯兰革命卫队（IRGC）有联系。至少自2017年以来保持活跃。深红沙尘暴已针对多个行业进行了攻击，包括国防、海运、交通运输、医疗保健和技术。这些行动经常依赖于诱饵攻击和社会工程，以传递定制的.NET恶意软件。此前研究发现，其使用基于电子邮件C2通道的定制恶意软件。深红沙尘暴与其他研究人员跟踪的威胁行为者（如Tortoiseshell、Imperial Kitten和Yellow Liderc）有所重叠。 深红沙尘暴对大语言模型的使用，与安全社区观察到的其更广泛行为特征相符。该威胁行为者与大语言模型的交互包括寻求社会工程方面的支持、帮助排除故障、.NET开发以及攻击者在受损计算机上如何避免检测的方式。根据这些观察，相关TTPs分类描述如下： 大语言模型支持的社会工程学：与大语言模型交互以生成各种钓鱼邮件，包括假冒来自国际发展机构的邮件和试图诱使著名女权主义者访问攻击者构建的女权主义网站的邮件。 大语言模型增强的脚本技术：使用大语言模型生成支持应用程序和Web开发的代码片段，与远程服务器交互，Web抓取，在用户登录时执行任务，以及通过电子邮件发送系统信息等。 大语言模型增强的异常检测规避：试图利用大语言模型辅助开发代码以规避检测，学习如何通过注册表或Windows策略禁用防病毒软件，并在应用程序关闭后删除目录中的文件。 所有与深红沙尘暴相关的帐号和资产均已禁用。 大语言模型领域的TTPs 基于以上分析的见解，以及人工智能的其他潜在滥用行为，微软梳理了大语言模型主题的TTPs清单，并将其映射并分类到MITRE ATT＆CK框架或ATLAS知识库中，为社区提供一种共同的分类方法，便于联手跟踪大语言模型的恶意使用并创建对策： 大语言模型指导的侦察：利用大语言模型收集关于技术和潜在漏洞的可行情报。 大语言模型增强的脚本技术：利用大语言模型生成或完善可用于网络攻击的脚本，或用于基本的脚本编写任务，如在系统上编程识别特定用户事件并协助故障排除和理解各种网络技术。 大语言模型辅助开发：在工具和程序的开发生命周期中利用大语言模型，开发包括恶意软件在内的恶意工具。 大语言模型支持的社会工程学：利用大语言模型辅助翻译和沟通，可能用于建立联系或操纵目标。 大语言模型辅助漏洞研究：利用大语言模型了解并识别软件和系统中的潜在漏洞，这些漏洞可能成为攻击目标。 大语言模型优化的载荷制作：利用大语言模型协助创建并完善用于部署网络攻击的载荷。 大语言模型增强的异常检测规避：利用大语言模型开发方法，使恶意活动与正常行为或流量混为一体，以规避检测系统。 大语言模型指导的安全功能绕过：利用大语言模型寻找绕过安全功能的方法，如双因素身份验证、CAPTCHA或其他访问控制。 大语言模型建议的资源开发：在工具开发、工具修改和战略运营规划中利用大语言模型。 总之，人工智能技术将继续发展，并受到各种威胁行为者的研究。微软将继续跟踪威胁行为者和滥用大型语言模型的恶意活动，并与OpenAI等合作伙伴携手分享情报，提高客户保护水平，为更广泛的安全社区提供帮助。   转自安全内参，原文链接：https://www.secrss.com/articles/64624 封面来源于网络，如有侵权请联系删除

自 12月初以来，黑客一直在利用本周披露的 Ivanti Connect Secure 中的两个零日漏洞来部署多个定制恶意软件系列以用于间谍目的。 这些安全问题被标识为CVE-2023-46805 和 CVE-2024-21887，允许绕过身份验证并向易受攻击的系统注入任意命令。Ivanti 表示，攻击者针对的是少数客户。 与 Ivanti 合作调查该事件的Mandiant的一份报告指出，攻击背后的攻击者从事间谍活动，目前在内部追踪为 UNC5221。 Shadowserver扫描仪在公共网络上检测到 17,100 台 Invanti CS 设备，其中大部分位于美国。 攻击面的影响范围 部署的恶意软件 Mandiant 发现 UNC5221 在攻击后阶段使用了一组工具，其中包括五种自定义恶意软件，用于植入 Webshell、执行命令、删除有效负载和窃取凭据。 以下是攻击中使用的工具的摘要： Zipline     Passive Backdoor：自定义恶意软件，可以拦截网络流量，支持上传/下载操作，创建反向 shell、代理服务器、服务器隧道 Thinspool     Dropper：自定义     shell 脚本 dropper，将 Lightwire Web shell 写入 Ivanti CS，确保持久性 Wirefire     Web shell：基于 Python 的自定义 Web shell，支持未经身份验证的任意命令执行和负载删除 Lightwire     Web shell：嵌入合法文件中的自定义 Perl Web shell，可实现任意命令执行 Warpwire     harverster：基于 JavaScript 的自定义工具，用于在登录时收集凭据，并将其发送到命令和控制（C2）服务器 PySoxy     隧道器：促进网络流量隧道的隐蔽性 BusyBox：多调用二进制文件，结合了各种系统任务中使用的许多     Unix 实用程序 Thinspool     实用程序 (sessionserver.pl)：用于将文件系统重新挂载为“读/写”以启用恶意软件部署 “ZIPLINE 是这些家族中最著名的一个，它是一个被动后门，可以劫持 libsecure\.so 中的导出函数accept()。ZIPLINE 拦截传入的网络流量并支持文件传输、反向 shell、隧道和代理。 ”Mandiant 安全研究员表示。 Zipline (Mandiant)支持的命令 Mandiant 还发现，攻击者使用受损的报废 Cyberoam VPN 设备作为 C2 服务器，并将其位置设置在与目标相同的区域，以逃避检测。 Volexity 此前曾报道称，有迹象表明这些攻击是由某国背景的黑客组织发起。Mandiant 的报告没有明确任何归属，也没有提供有关该黑客组织的潜在来源或从属关系的信息。 谷歌公司表示，没有足够的数据来自信地评估 UNC5221 的来源，并指出其活动与任何先前已知的威胁组织无关。 Mandiant 怀疑 UNC5221 是一种针对高优先级目标的高级持续威胁 (APT)。 安全专家提醒系统管理员，目前没有解决这两个0day漏洞的安全更新，Ivanti 提供了应立即实施的缓解措施。     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/MLzP72_NsdOZnGE8iFO0gg 封面来源于网络，如有侵权请联系删除