将机要系统与任何联网系统完全隔离通常被认为是最安全的防御措施，但随着黑客技术的发展，这道坚不可摧的安全屏障已不再牢固，甚至有一家专门针对政府设施下手的APT组织已研发出了两套工具集，对已隔离系统展开了全方位攻势。 ESET 的研究人员近期详细披露了一个名为“GoldenJackal”的网络APT 组织，能够利用多种恶意工具组合对政府和外交实体进行攻击，包括使用特定工具成功针对气隙系统（即已隔离系统）的攻击。 GoldenJackal 简介 GoldenJackal于2023年5月被卡巴斯基首次披露，但该组织最早的活动可追溯至2019年8月至9月间针对白俄罗斯南亚大使馆的攻击，期间使用的恶意工具于2021年7月再度被检测到。 据称，GoldenJackal长期以欧洲、中东和南亚的政府实体为目标，但根据卡巴斯基的报告，2020年之后，针对中东和南亚政府和外交实体的攻击数量有所缓和。根据ESET近期的监测数据，从 2022 年 5 月到 2024 年 3 月，欧盟政府组织多次成为了该组织的目标。 目前，ESET和卡巴斯基都未明确将该组织与任何国家联系起来，但其中一款名为GoldenHowl 恶意软件的C&C 协议被称为 transport_http，与已知的 Turla和 MoustachedBouncer 通常使用的表达方式相同，可能表明 其背后的开发者是俄语使用者。 针对已隔离系统的攻击 为了最大限度地降低泄露风险，高度敏感的网络通常采用了完全隔离的系统，以保护那些最有价值的系统（如投票系统和运行电网的工业控制系统），这些网络通常正是攻击者最感兴趣的目标。相应的，破坏隔离系统比破坏一般互联网连接的系统要耗费更多资源，迄今为止此类攻击都是由 APT 组织专门开发的间谍活动。 而GoldenJackal在5年时间内构建和部署了两套独立的工具集来破坏已隔离系统，显示出该组织出色的技术实力。 针对白俄罗斯的攻击 在2019年针对白俄罗斯南亚大使馆的攻击中，研究人员观察到3个自定义工具集： GoldenDealer：通过 USB 监控将可执行文件植入到已隔离系统，可从 C&C 服务器下载可执行文件并将其隐藏在U盘中，或者从这些U盘中检索可执行文件并在没有连接的系统上执行 ； GoldenHowl：具有各种功能的模块化后门，包括从 JSON 文件解密并加载恶意软件的配置 、创建恶意软件使用的目录以及为每个模块启动一个线程 ； GoldenRobo：执行文件收集和渗透功能，执行 Robocopy 实用程序来暂存文件并将其发送到其 C&C 服务器。 在攻击链中，具体的初始攻击媒介未知，研究人员假设 GoldenDealer 和未知蠕虫组件已经存在于可以访问互联网的受感染 PC 上，每当插入U盘时，未知组件都会将自身和 GoldenDealer 组件复制到驱动器中。 研究人员将这个未知组件暂称为 JackalWorm，该组件很可能在U盘上找到最后修改的目录，将其隐藏，并使用该目录的名称将自身重命名。此外，该组件使用了文件夹图标，以诱使用户在将 U 盘插入已隔离系统时点击运行。 当驱动器再次插入连接到互联网的PC时，GoldenDealer会从U盘中获取关于已隔离系统的信息，并将其发送到C&C服务器。服务器回复一个或多个要在已隔离系统上运行的可执行文件。最后，当U盘再次插入已隔离系统时，GoldenDealer会从驱动器中获取可执行文件并运行。 针对已隔离系统的攻击链 针对欧洲政府的攻击 在近期针对欧洲政府机构的攻击中，GoldenJackal 转向了高度模块化的新工具集，这种模块化方法不仅适用于恶意工具的设计，还包括其具体的功能，如收集和处理信息，将文件、配置和命令分发到其他系统以及外泄文件。 2022 年 5 月，研究人员观察到GoldenJackal 在针对欧洲的一家政府组织时使用了新工具集，这些工具中的大多数都是用 Go 编写的，并提供了多种功能，例如从U盘收集文件、通过U盘 在网络中传播有效载荷、泄露文件以及使用网络中的一些 PC 作为服务器将各种文件传送到其他系统。此外，研究人员还看到攻击者使用 Impacket 在网络中横向移动。 GoldenJackal 最新工具集中的组件 在观察到的攻击中，GoldenJackal 通过高度模块化的工具，使用各种组件来执行不同的任务。一些主机被滥用以泄露文件，另一些主机被用作本地服务器来接收和分发暂存文件或配置文件，而另一些主机则被认为用于间谍目的。一些典型工具包括： GoldenUsbCopy：监视U盘的插入，并将目标文件复制到存储在磁盘上的加密容器中，以供其他组件泄露； GoldenAce：属分发工具，用于传播其他恶意可执行文件并通过U盘检索暂存文件； GoldenBlacklist：从本地服务器下载加密存档，并处理其中包含的电子邮件，以仅保留目标内容。并为其他组件生成一个新的存档以进行外泄； GoldenMailer：通过向攻击者控制的帐户发送带有附件的电子邮件来泄露文件； GoldenDrive：与 GoldenMailer 相反，此组件通过将文件上传到 Google Drive 来泄露文件。 目前尚不清楚 GoldenJackal 如何设法获得初始妥协以破坏目标环境。但是，卡巴斯基此前曾暗示过木马化 Skype 安装程序和恶意 Microsoft Word 文档作为入口点的可能性。 上述两起典型攻击表明，即便是安全保障严格的隔离系统，仍然存在被一些有实力的黑客组织通过研发复杂工具来成功实施攻击。但研究人员强调，这些工具并非没有缺陷，仍可通过观察其战术来更好地准备应对未来的攻击。研究人员已在 GitHub 上分享了一份公开的 IOC 列表，供防御者进行监控。 参考来源：Mind the (air) gap: GoldenJackal gooses government guardrails     转自Freebuf，原文链接：https://www.freebuf.com/news/412316.html 封面来源于网络，如有侵权请联系删除

据观察，与朝鲜有关的APT组织Kimsuky（又名 Black Banshee、Emerald Sleet 或 Springtail）改变了策略，利用编译的 HTML 帮助 (CHM) 文件作为载体来传播恶意软件以收集敏感数据。 Kimsuky 至少自 2012 年以来一直活跃，其目标是位于韩国以及北美、亚洲和欧洲的实体。 据 Rapid7 称，攻击链利用了武器化的 Microsoft Office 文档、ISO 文件和 Windows 快捷方式 (LNK) 文件，该组织还利用 CHM 文件在受感染的主机上部署恶意软件。 该网络安全公司以过去观察到的类似间谍活动为由，以适度的信心将这一活动归咎于 Kimsuky。 该公司表示：“虽然 CHM 文件最初是为帮助文档而设计的，但它也被用于恶意目的，例如分发恶意软件，因为它们在打开时可以执行 JavaScript。” CHM 文件在 ISO、VHD、ZIP 或 RAR 文件中传播，打开后执行 Visual Basic 脚本 (VBScript) 以设置持久性并连接到远程服务器释放下一阶段有效负载，以获取敏感数据。 Rapid7 称这些攻击持续且不断演变，针对的是韩国的组织。它还确定了一种替代感染序列，该序列采用 CHM 文件作为起点，删除负责收集信息的批处理文件和连接到 C2 服务器并传输数据的 PowerShell 脚本。 报告称：“作案手法以及代码和工具的重用表明，攻击者正在积极使用和完善/重塑其技术和策略，以从受害者那里收集情报。” 博通旗下的赛门铁克透露，Kimsuky 攻击者正在传播冒充韩国合法公共实体应用程序的恶意软件。 赛门铁克表示：“一旦受到威胁，植入程序就会安装 Endor 后门恶意软件。” “这种威胁使攻击者能够从受害者那里收集敏感信息或安装其他恶意软件。” 值得注意的是，基于 Golang 的 Endor 与 Troll Stealer（又名 TrollAgent）最近被部署用于针对从韩国建筑相关协会网站下载程序的用户。 联合国对朝鲜在 2017 年至 2023 年间实施的 58 起疑似网络攻击进行了调查，这些攻击为朝鲜带来 30 亿美元的非法收入。 报告称：“据报道，侦察总局下属的黑客组织仍在继续发动大量网络攻击。”“趋势包括针对国防公司和供应链，以及越来越多地共享基础设施和工具。” 侦察总局 (RGB) 是朝鲜主要的对外情报机构，由被广泛追踪的Lazarus集团及其下属组织Andariel 、 BlueNoroff以及Kimsuky组成的APT集群组成。 报告进一步补充说：“Kimsuky 对使用生成人工智能（包括大型语言模型）表现出了兴趣，可能用于编码或编写网络钓鱼电子邮件。” “据观察 Kimsuky 使用 ChatGPT。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IgmPU_q726SP5tcqg6WZWw 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，日本著名手表制造商Seiko在7月末遭到了网络攻击，8月21日，BlackCat（又名ALPHV）勒索软件组织在其网站上宣布对这起攻击事件负责。 8 月 10 日，Seiko发布了一份数据泄露通知，称在7月末有未经授权的第三方获得了对其部分 IT 基础设施的访问权限，一些数据可能已被窃取，公司已于8月2日委托外部网络安全专家团队对情况进行调查和评估。 伴随着正式承认对Seiko实施了网络攻击，一份窃取的数据样本被挂在了BlackCat网站上，其中包括看生产计划、员工护照扫描件、新品发布计划和实验室测试结果的内容。 最令人担忧的是，BlackCat声称还窃取了机密技术原理图和手表设计的样本，表明 BlackCat 很可能拥有展示精密内部结构的图纸，包括专利技术，这些内容可能会因此被Seiko的竞争厂家获取。 由于调查仍在进行中，Seiko正在努力采取措施防止造成更多损失，并敦促客户和业务合作伙伴警惕可能冒充公司的电子邮件或其他通信，不要盲目打开邮件或者点击其中的任何链接。 ALPHV勒索软件组织一段时间以来一直在成功地实施各种攻击，并不断演变其勒索策略，最近还创建了一个数据泄露API，从而可以更轻松地分发被盗数据。 到目前为止，BlackCat 组织尚未透露其从 Seiko 服务器窃取的数据更具体的详细信息，也没有透露是否已给该公司支付赎金的最后期限。 该事件反映出针对日本实体的攻击有所增加，特别是在制造业。威胁情报公司 Rapid7 在 6 月份表示，日本价值 1 万亿美元的制造业是勒索软件和一些国家支持的APT攻击的主要目标，所有勒索软件受害者中近三分之一属于汽车和一般制造业。     转自Freebuf，原文链接:https://www.freebuf.com/news/375841.html 封面来源于网络，如有侵权请联系删除