黑客组织APT28利用与以色列和哈马斯冲突相关的蜜罐分发定制的HeadLace后门来获取情报信息。这 是由监视该组织活动的 IBM X-Force 专家报告的。 新的攻击活动针对至少 12 个国家，包括匈牙利、土耳其、澳大利亚、波兰、比利时、德国、阿塞拜疆、沙特阿拉伯、哈萨克斯坦、意大利、拉脱维亚和罗马尼亚。在袭击过程中，袭击者使用虚假文件，主要针对影响人道主义援助分配的欧洲组织。诱饵包括与联合国、以色列银行、美国国会公共政策研究所、欧洲议会和智库有关的文件。 一些攻击使用 RAR 存档，利用 WinRAR中的CVE-2023-38831 (CVSS: 7.8) 漏洞来分发 HeadLace 后门。当用户尝试查看存档中的安全文件时，该错误允许网络犯罪分子执行任意代码。如果受害者安装了存在漏洞的 WinRAR 应用程序并打开了存档，则当Headlace dropper在后台运行时，就会显示诱饵文档。 在其他情况下，感染会使用 DLL 劫持方法，该方法将易受 DLL 劫持的合法 Microsoft Calc.exe 二进制文件传递到目标设备。当受害者单击 Calc.exe 时，就会下载恶意 DLL 并将其与 Calc 一起打包在恶意存档中。此时 DLL 启动 Headlace。为了诱骗受害者运行可执行文件，Calc.exe 被重命名并在扩展名前包含空格，这可能会阻止用户检测 .EXE 扩展名。 另一个 Headlace 选项伪装成 Windows 更新。当执行脚本时，在其恶意组件被传递和执行后，Headlace 会立即定期显示虚假的更新状态消息。 值得注意的是，在建立对系统的控制后，APT28 使用额外的方法来拦截帐户数据NTLM或SMB哈希值，并试图通过 TOR 渗透网络。 X-Force 充满信心地表示，该组织将继续攻击外交和学术中心，以获取有关新政治决策的信息。APT28 可以通过利用公开的 CVE 和商用基础设施来适应网络威胁能力的变化。   转自安全客，原文链接：https://www.anquanke.com/post/id/291890 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软周一表示，与俄罗斯军事情报部门有关的黑客仍在积极利用微软软件的一个漏洞，获取受害者的电子邮件。 研究人员在3月份的一份报告的更新中表示，被微软追踪为 Forest Blizzard，同时也被称为 Fancy Bear 及 APT28 的黑客，早在2022年4月就试图利用该漏洞未经授权访问微软 Exchange 服务器内的电子邮件帐户。 该漏洞被追踪为 CVE-2023-23397，它影响 Windows 设备上所有版本的 Microsoft Outlook 软件。 今年春天，俄罗斯黑客利用该漏洞攻击了“欧洲政府、交通、能源和军事部门的部分组织”，微软对此进行了修补。 研究人员说:“用户应该确保微软的 Outlook 安装了补丁，并保持更新，以减轻这种威胁。” 波兰网络司令部与微软合作调查了这些攻击，该司令部表示，成功的攻击可以让黑客访问受害者的电子邮件通信。在波兰网络安全机构调查的案件中，黑客利用 Outlook 的漏洞进入了包含“高价值信息”的邮箱。 根据微软的说法，当攻击者向用户发送特制的消息时，攻击就开始了。如果 Windows 设备上的 Outlook 打开，用户甚至不需要与此消息交互。利用该漏洞几乎不会留下痕迹，因此很难检测到黑客活动。 Fancy Bear 被网络安全研究人员称为高级持续威胁(APT)组织，主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。该组织与俄罗斯军事情报机构(GRU)有关。 去年10月，法国指责该组织以大学、企业、智库和政府机构为目标。今年9月，该组织曾试图袭击乌克兰的一个重要能源设施。 黑客通常利用公开可用的漏洞。除了微软的 Outlook 漏洞，他们还瞄准了 WinRAR 的工具，以进行鱼叉式网络钓鱼操作，主要针对乌克兰政府目标。 微软表示，该组织“资源充足，训练有素”，这对“归因和追踪其活动构成了长期挑战”。波兰网络司令部表示，该组织对微软 Exchange 邮件系统的架构和机制有着高度的复杂性和深入的了解。     Hackernews 编译，转载请注明出处 消息来源：therecord，译者：Serene

据观察，与俄罗斯有关的网络间谍组织 APT29 在最近的攻击中利用了 WinRAR 中的 CVE-2023-38831 漏洞。 乌克兰国家安全与国防委员会 (NDSC) 报告称，APT29（又名 SVR 组织、  Cozy Bear、  Nobelium、  Midnight Blizzard和 The Dukes）在最近的攻击中一直在利用WinRAR 中的CVE-2023-38831漏洞。 APT29和 APT28 网络间谍组织参与了 民主党全国委员会黑客攻击以及针对2016年美国总统选举 的攻击浪潮 。 据观察，与俄罗斯相关的 APT 组织使用了特制的 ZIP 存档，该存档在后台运行脚本以显示 PDF 诱饵，同时下载 PowerShell 代码以获取并执行有效负载。 APT 组织针对多个欧洲国家，包括阿塞拜疆、希腊、罗马尼亚和意大利，主要目标是渗透大使馆实体。 威胁行为者使用了一份诱饵文件（“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”），其中包含可供出售给外交实体的宝马汽车的图像。武器化文档嵌入了利用 WinRAR 漏洞的恶意内容。 “在这次特定攻击的背景下，会执行一个脚本，生成一个以待售宝马汽车为主题的 PDF 文件。同时，在后台，从下一阶段有效负载服务器下载并执行 PowerShell 脚本。” 阅读NDSC 发布的报告。“值得注意的是，攻击者引入了一种与恶意服务器通信的新技术，使用 Ngrok 免费静态域来访问托管在 Ngrok 实例上的服务器。” 在这个攻击方案中，Ngrok 被用来托管他们的下一代 PowerShell 有效负载并建立隐蔽的通信通道。 威胁行为者使用该工具来混淆与受感染系统的通信并逃避检测。 “这次活动特别值得注意的是新旧技术的结合。APT29继续采用宝马汽车待售的诱惑主题，这种策略在过去就已经出现过。然而，CVE-2023-38831 WinRAR 漏洞的部署是一种新颖的方法，揭示了它们对不断变化的威胁形势的适应性。此外，他们使用 Ngrok 服务建立秘密通信强调了他们保持隐蔽的决心。” NDSC 得出结论，还发布了这些攻击的危害指标 (IoC)。 今年 4 月，谷歌观察到与俄罗斯相关的 FROZENBARENTS  APT（又名 SANDWORM）冒充乌克兰无人机培训学校来运送 Rhadamanthys 信息窃取者。 威胁行为者使用诱饵主题作为加入学校的邀请，该电子邮件包含指向匿名文件共享服务 fex[.]net 的链接。文件共享服务被用来提供良性诱饵 PDF 文档，其中包含无人机操作员培训课程和特制的 ZIP 存档（“Навчальна-програма-Оператори.zip”（培训计划操作员）），该文档利用了缺陷 CVE-2023-38831 。 9 月，CERT-UA 观察到 FROZENLAKE 组织利用 WinRAR 缺陷在针对能源基础设施的攻击中部署恶意软件。 Google TAG 专家还观察到与俄罗斯有关的 ATP28 组织利用该漏洞攻击乌克兰用户。国家资助的黑客利用恶意 PowerShell 脚本 (IRONJAW) 窃取浏览器登录数据和本地状态目录。     转自安全客，原文链接：https://www.anquanke.com/post/id/291429 封面来源于网络，如有侵权请联系删除

Patchwork也被称为“Operation Hangover”和“Zinc Emerson”，被怀疑是来自印度的APT组织。该组织发起的攻击链至少自 2015 年 12 月起就开始活跃，其关注点很窄，专门针对中国和巴基斯坦进行鱼叉式网络钓鱼和水坑攻击并植入特定程序。 EyeShell 是一个基于 .NET 的模块化后门，具有与远程命令和控制 (C2) 服务器建立联系，可以枚举文件和目录、向主机下载和上传文件、执行指定文件、删除文件和捕获屏幕截图。 研究还发现，该组织其他与印度相关的网络间谍组织（包括SideWinder和DoNot Team）在战术上均存在重叠。 近两年来，Knownsec 404高级威胁情报团队多次实时、提前发现该组织针对国内重点高校、科研院所、科研院所等相关研究组织和机构的攻击行为，并多次成功预警这些行为。     更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2091/ 封面来自网络，作者：K&Nan@知道创宇 404高级威胁情报团队。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

The Hacker News 网站披露，一个名为 GoldenJackal 的 APT 团伙正以中东和南亚的政府、外交等实体组织为目标，开展大规模网络攻击活动。 俄罗斯网络安全公司卡巴斯基表示自 2020 年年中以来一直在密切关注 Golden Jackal 组织的活动，其目标范围主要集中在阿富汗、阿塞拜疆、伊朗、伊拉克、巴基斯坦和土耳其等国，团伙成员除了使用定制的恶意软件感染受害者窃取数据，还通过可移动驱动器在系统中传播，并进行持续监视。 GoldenJackal 疑似与 APT 组织 Turla 有联系 尽管业内人士对 GoldenJackal 团伙知之甚少，但不少人都怀疑其已经活跃了至少四年时间，卡巴斯基指出目前尚无法确定其来源以及与知名黑客组织者的关系，但从其作案手法来看，带有强烈的间谍动机。更重要的是，GoldenJackal 团伙还一直试图保持低调，这样的举动符合具有国家背景黑客团体的所有特征。 研究人员在 GoldenJackal 和疑似俄罗斯背景的 APT 组织 Turla 之间已经观察到了一些战术上的重叠。在一个案例中，一台受害者的机器被 Turla 和 GoldenJackal 感染的时间仅仅相差两个月。目前，虽然不知道用于入侵目标计算机的确切初始路径尚不清楚，但迄今为止收集的证据表明攻击者使用了被黑客入侵的 Skype 安装程序和恶意 Microsoft Word 文档。 安装程序充当了传递名为 JackalControl 的基于.NET 的特洛伊木马的渠道。此外，有人观察到 Word 文件将Follina漏洞（CVE-2022-30190）武器化，以删除相同的恶意软件。 顾名思义，JackalControl 使攻击者能够远程征用机器，执行任意命令，以及从系统上传和下载到系统。 受害目标的地理位置分布 GoldenJackal 部署的其它一些恶意软件如下： JackalSteal： 一种植入物，用于寻找感兴趣的文件，包括位于可移动 USB 驱动器中的文件，并将它们传输到远程服务器。 JackalWorm：一种蠕虫病毒，被设计用来感染使用可移动 USB 驱动器的系统，并安装 JackalControl 木马。 JackalPerInfo：一种恶意软件，具有收集系统元数据、文件夹内容、已安装的应用程序和正在运行的进程，以及存储在网络浏览器数据库中凭证的功能。 JackalScreenWatcher ：一个根据预设时间间隔抓取屏幕截图并将其发送到攻击者控制的服务器的实用程序。 GoldenJackal 团伙另一个值得注意的是它依靠被黑的 WordPress 网站作为中转站，通过注入网站的流氓PHP 文件，将网络请求转发到实际的命令和控制（C2）服务器上。 最后，卡巴斯基研究员 Giampaolo Dedola 强调：GoldenJackal 团伙的工具包似乎还在持续开发中，变种的数量增加表明他们仍在追加“投资”，但该组织可能正试图通过限制受害者的数量来降低其知名度。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367393.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于巴基斯坦和中国境内的实体组织。 APT 组织 SideWinder 至少从 2012 年起就开始活跃，其攻击链主要利用鱼叉式网络钓鱼作为入侵机制，在受害目标的网络环境中“站稳脚跟”，从其以往的攻击目标来看， 受攻击最频繁的国家包括巴基斯坦、中国、斯里兰卡、阿富汗、孟加拉国、缅甸、菲律宾、卡塔尔和新加坡等。 SideWinder 频频攻击中国和巴基斯坦的实体组织 网络安全公司 Group IB 和 Bridewell 在与 TheHackerNews 分享的一份联合报告中指出，SideWinder 团伙在攻击过程中利用由 55 个域名和 IP 地址组成的虚假网络。研究人员 Nikita Rostovtsev、Joshua Penny和Yashraj Solaki 进一步表示已确定的钓鱼网域模仿了新闻、政府、电信和金融部门等各种组织。 2023 年 2 月初，Group-IB 揭示了 SideWinder 在 2021 年 6 月至 11 月期间可能针对亚洲各地的 61 个政府、军队、执法部门和其它组织的证据。 近期，研究人员观察到 SideWinder 在针对巴基斯坦政府组织的规避攻击中，使用了一种名为基于服务器的多态性技术。 新发现的域名模仿了巴基斯坦、中国和印度的政府组织，其特点是在 WHOIS 记录中使用相同的值和类似的注册信息。 在这些域名中，有些是以政府为主题的诱饵文件，这些文件中大部分于 2023 年 3 月从巴基斯坦上传到VirusTotal。其中一个是据称来自巴基斯坦海军战争学院（PNWC）的 Word 文件，最近几个月被 QiAnXin 和 BlackBerry 分析过。 值得一提的是，研究人员还发现了一个 Windows 快捷方式（LNK）文件，该文件于 2022 年 11 月下旬从北京上传到 VirusTotal。就 LNK 文件而言，它被设计成运行一个从远程服务器上检索到的 HTML 应用程序（HTA）文件，该服务器欺骗了清华大学的电子邮件系统（mailtsinghua.sinacn[.]co）。另一个大约在同一时间从加德满都上传到 VirusTotal 的 LNK 文件，从伪装成尼泊尔政府网站的域（mailv.mofs gov[.]org）中获取了 HTA 文件。 研究人员在对 SideWinder 进一步调查后，发现了一个恶意的 Android APK 文件（226617），该文件于2023 年 3 月从斯里兰卡上传到 VirusTotal。 这个流氓安卓应用程序冒充“Ludo Game”，并提示用户授予其访问联系人、位置、电话日志、短信和日历的权限，有效地发挥了间谍软件的功能，获取用户的敏感信息。Group-IB 表示，流氓安卓应用程序还与其在 2022 年 6 月披露的假冒安全 VPN 应用程序有相似之处，后者是通过一个名为 AntiBot 的流量指示系统（TDS）向巴基斯坦的受害目标分发。 总的来说，这些域名表明 SideWinder 已经将目光投向了巴基斯坦和中国的金融、政府和执法机构，以及专门从事电子商务和大众传媒的公司。 最后，研究人员强调像许多其它 APT 组织一样，SideWinder 依靠有针对性的鱼叉式网络钓鱼作为初始载体。因此对于实体组织来说，部署能够引爆恶意内容的商业电子邮件保护解决方案至关重要。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366828.html 封面来源于网络，如有侵权请联系删除

自2021年以来，被称为Winter Vivern的高级持续威胁与针对印度、立陶宛、斯洛伐克和梵蒂冈政府官员的活动有关。 SentinelOne 在与黑客新闻分享的一份报告中称，该活动针对波兰政府机构、乌克兰外交部、意大利外交部以及印度政府内部的个人。 “特别令人感兴趣的是APT以私营企业为目标，包括在正在进行的战争中支持乌克兰的电信组织。”高级威胁研究员汤姆黑格尔说。 Winter Vivern，也被追踪为UAC-0114，上个月在乌克兰计算机应急响应小组(CERT-UA)详细介绍了针对乌克兰和波兰国家当局的新恶意软件活动后引起了人们的注意，该活动旨在传播一种名为 Aperetif 的恶意软件。 此前记录该组织的公开报告显示，它利用包含XLM宏的武器化Microsoft Excel文档在受感染主机上部署PowerShell植入程序。 虽然威胁行为者的来源尚不清楚，但攻击模式表明该集群符合支持白俄罗斯和俄罗斯政府利益的目标。 UAC-0114 采用了多种方法，从网络钓鱼网站到恶意文档，这些方法都是为目标组织量身定制的，以分发其自定义有效负载并获得对敏感系统的未授权访问。 在2022年，年中观察到的一批攻击中，Winter Vivern 设置了凭据网络钓鱼网页，以引诱印度政府合法电子邮件服务email.gov.in的用户。 典型的攻击链涉及使用伪装成病毒扫描程序的批处理脚本来触发 Aperetif 木马从参与者控制的基础设施（例如受感染的WordPress站点）的部署。 Aperetif 是一种基于 Visual C++ 的恶意软件，具有收集受害者数据、维护后门访问以及从命令和控制 (C2) 服务器检索额外有效载荷的功能。 “Winter Vivern APT 是一个资源有限但极富创造力的组织，他们在攻击范围内表现出克制，”黑格尔说，“他们引诱目标参与攻击的能力，以及他们以政府和高价值私营企业为目标，都表明了他们行动的复杂程度和战略意图。” 虽然 Winter Vivern 可能已经成功地在很长一段时间内避开了公众的视线，但一个不太担心保持低调的组织是 Nobelium，它与 APT29（又名 BlueBravo、Cozy Bear 或 The Dukes）有重叠。 因2020年12月的SolarWinds供应链妥协而臭名昭著的克里姆林宫支持的民族国家组织继续发展其工具集，开发新的自定义恶意软件，如MagicWeb和GraphicalNeutrino。 这也归因于另一场针对欧盟外交实体的网络钓鱼活动，特别强调“帮助乌克兰公民逃离该国并向乌克兰政府提供帮助”的机构。 “Nobelium 积极收集有关在俄乌战争中支持乌克兰的国家的情报信息，”黑莓表示。“威胁行为者会仔细跟踪地缘政治事件，并利用它们来增加成功感染的可能性。” 该公司的研究和情报团队发现的网络钓鱼电子邮件包含一个武器化文档，其中包含一个指向HTML文件的链接。 这些武器化的URL托管在位于萨尔瓦多的合法在线图书馆网站上，具有与LegisWrite和eTrustEx相关的诱饵，欧盟国家使用这两者进行安全文件交换。 活动中提供的HTML投放程序（称为ROOTSAW或EnvyScout）嵌入了一个ISO映像，而该映像又旨在启动一个恶意动态链接库 (DLL)，该库有助于通过Notion的API传送下一阶段的恶意软件。 Recorded Future 曾于2023年1月披露了流行的笔记应用程序 Notion 用于C2通信的情况。值得注意的是，APT29使用了Dropbox、Google Drive、Firebase和Trello等各种在线服务，试图逃避检测。 “Nobelium 仍然非常活跃，同时针对美国、欧洲和中亚的政府组织、非政府组织(NGO)、政府间组织(IGO)和智库开展多项活动.”微软上个月表示。 调查结果发布之际，企业安全公司 Proofpoint 披露了自2021年初以来与俄罗斯结盟的威胁行为者TA499（又名Lexus和Vovan）策划的攻击性电子邮件活动，以诱骗目标参与录制的电话或视频聊天并提取有价值的信息。 该公司表示：“威胁行为者一直在从事稳定的活动，并将其目标扩大到包括为乌克兰人道主义工作提供大笔捐款或公开声明俄罗斯虚假信息和宣传的知名商人和知名人士。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/6YqWUKXS_bKSSkJR7xBIJA 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，德国检察官对名为 Nikolaj Kozachek 的俄罗斯黑客发出了逮捕令，该名黑客被指控对位于德国的北约智库联合空中力量能力中心进行了网络间谍攻击。 据悉，网络攻击事件发生在 2017 年 4 月，Kozachek 在成功入侵北约智库的计算机系统后，安装了一个键盘记录器以监视该组织。 德国调查人员认为，Kozachek 是与俄罗斯有关的 APT 28 黑客组织（又名 Fancy Bear）的成员，该组织曾在 2015 年网络入侵了德国联邦议院。 据 Spiegel 称，联邦检察官已从联邦法院获得了对 Kozachek 的逮捕令。 APT 28 组织已成功袭击 1000 个目标 从德国调查人员发布的信息来看，2017 年春天，Kozachek 成功渗透了位于 Kalkar 的北约智库的 IT 系统。据 Tagesschau 网站透漏，Kozachek 在智库中安装了具有所谓 “键盘记录器 “功能的恶意软件，即记录每一次击键，还秘密创建和发送计算机屏幕的截图。 值得一提的是，网络攻击者至少入侵了两个系统，并获得了部分北约的内部信息，但目前尚不清楚此次网络攻击的危害程度。 调查人员认为，作为网络间谍活动的一部分，这个与俄罗斯有关的 APT 28 组织已经袭击了大约 1000 个目标，其中涉及使用了 “X-Agent “植入物。 德国调查人员掌握了该组织部分成员的电子邮件账户内容，这使调查人员能够访问各种私人文件和照片，其中据说包含了俄罗斯军事情报部门 GRU 的奖项和制服的照片。 目前，德国警方正在积极寻找 Kozachek 和另一名俄罗斯黑客 Dimitri Badin，据说后者曾发动了对德国联邦议院的黑客攻击。   转自 Freebuf，原文链接：https://www.freebuf.com/news/336745.html 封面来源于网络，如有侵权请联系删除