HackerNews 编译，转载请注明出处： Symantec 和 Carbon Black 威胁猎人团队的最新报告显示，与朝鲜相关的 Lazarus Group（又称 Diamond Sleet、Pompilus）在针对中东一家未具名机构的攻击中使用了 Medusa 勒索软件。 Broadcom 威胁情报部门表示，其还发现同一威胁行为者对美国一家医疗机构发起了攻击，但未成功。Medusa 是由网络犯罪组织 Spearwing 于 2023 年推出的勒索软件即服务（RaaS）项目。该组织迄今已宣称实施超过 366 起攻击。 该公司在提交给 The Hacker News 的报告中称：“对 Medusa 数据泄露站点的分析显示，自 2025 年 11 月初以来，美国有四家医疗和非营利机构遭到攻击。” “受害者包括一家心理健康领域非营利机构和一家自闭症儿童教育机构。”目前尚不清楚这些受害者是否全部由朝鲜相关人员攻击，还是部分攻击由其他 Medusa 合作方实施。该期间的平均勒索金额为 260,000 美元。 朝鲜黑客组织使用勒索软件并非没有先例。早在 2021 年，Lazarus 旗下名为 Andariel（又称 Stonefly）的分支就被发现使用 SHATTEREDGLASS、Maui、H0lyGh0st 等定制勒索软件攻击韩国、日本和美国的机构。 随后在 2024 年 10 月，该黑客组织还与 Play 勒索软件攻击相关联，标志着其转向使用现成的加密工具加密受害者系统并索要赎金。 不过，并非只有 Andariel 从定制勒索软件转向使用现成版本。去年，Bitdefender 披露，另一个被追踪为 Moonstone Sleet 的朝鲜威胁行为者此前曾使用名为 FakePenny 的定制勒索软件，而现在可能使用 Qilin 勒索软件攻击了多家韩国金融公司。 该公司向 The Hacker News 表示，这些变化可能标志着朝鲜黑客组织的战术转变：他们开始作为成熟 RaaS 组织的合作方运作，而非自行开发工具。 Symantec 和 Carbon Black 威胁猎人团队首席情报分析师 Dick O’Brien 表示：“其动机很可能是实用主义。”“既然可以使用 Medusa 或 Qilin 这类经过验证的威胁，何必费力开发自己的勒索软件有效载荷？”“他们可能认为，扣除合作方费用后，收益仍大于成本。” Lazarus Group 的 Medusa 勒索软件行动中使用了多种工具： ·     RP_Proxy，一款定制代理工具 ·     Mimikatz，一款公开可用的凭证窃取程序 ·     Comebacker，该威胁行为者专用的定制后门 ·     InfoHook，一款此前被发现与 Comebacker 配合使用的信息窃取工具 ·     BLINDINGCAN（又称 AIRDRY、ZetaNile），一款远程访问木马 ·     ChromeStealer，一款用于从 Chrome 浏览器提取存储密码的工具 尽管此类勒索攻击与 Andariel 以往的攻击模式相似，但该活动尚未与 Lazarus 旗下任何具体分支关联。 该公司表示：“转向使用 Medusa 表明，朝鲜在网络犯罪中的疯狂参与丝毫未减。”“朝鲜相关行为者在攻击美国机构时似乎毫无顾忌。”尽管部分网络犯罪组织因可能引发声誉风险而声称避开医疗机构，但 Lazarus 似乎不受任何此类约束。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

臭名昭著的朝鲜网络间谍组织 “拉扎罗斯集团”（Lazarus Group）的武器库中又多了一项隐蔽技术：在基于 Unix 的系统（如 macOS 和 Linux）中滥用 xattr（即扩展文件属性）。根据安全研究员 Tonmoy Jitu 的分析，这种被称为 RustyAttr 的方法利用 macOS 元数据隐藏恶意有效载荷，躲避传统检测工具和杀毒软件的攻击。 xattr 命令通常用于存储 Finder 标记或隔离标志等元数据，它还可以在不改变文件可见内容的情况下将二进制数据嵌入文件。虽然对合法目的有用，但它也为攻击者提供了隐藏恶意脚本的途径。正如 Jitu 解释的那样： “xattr 与 Windows 备用数据流（ADS）非常相似，它提供了一种在不改变文件可见内容的情况下将元数据嵌入文件的机制。” 据报道，由 Lazarus Group 开发的 RustyAttr 木马利用这种元数据在被入侵系统中持续存在。由于嵌入了扩展属性，它的恶意有效载荷可以绕过 macOS Gatekeeper 等传统文件扫描工具。Jitu 的分析强调了该木马的能力： “RustyAttr木马能够绕过文件系统的传统监控工具，直接从扩展属性中获取并执行恶意脚本。” Jitu 对恶意文件 DD Form Questionnaire.zip 的调查揭示了 RustyAttr 的感染链。该木马隐藏在与应用程序文件（如 .app 捆绑程序）链接的元数据中。一个突出的发现是测试属性，它包含一个恶意 shell 命令，用于下载和执行其他有效载荷。 该过程包括： 在元数据中嵌入命令： 恶意 shell 命令存储在 com.example.hidden_data 等属性中。 执行隐藏有效载荷： 这些命令会下载诱饵文件（如 PDF），并通过 AppleScript 执行 shell 脚本。该命令将 PDF 文件下载到特定位置……然后从 URL 获取 shell 脚本并通过 AppleScript 执行。 通过泄漏的证书持久化： 该木马最初使用泄露的证书签名，可绕过安全检查，直到证书被吊销。 与 RustyAttr 相关联的恶意基础架构进一步将其与 Lazarus Group 联系起来。Jitu 指出 “恶意 curl 命令中使用的域被标记为恶意域……与已知威胁行为者基础设施相关的 IP 地址相连。” 此外，该组织还采用了社会工程学策略，将 RustyAttr 伪装成合法的 PDF 文件或系统实用程序，诱骗用户执行。 尽管功能强大，但 RustyAttr 的技术仍未列入 MITRE ATT&CK Framework，这让防御者对这种微妙的攻击毫无准备。吉图强调了其中的风险： “通过将关键数据和有效载荷隐藏在文件元数据中，RustyAttr 可以躲避检测……允许攻击者长时间保持对被入侵系统的控制。”       转自安全客，原文链接：https://www.anquanke.com/post/id/302179 封面来源于网络，如有侵权请联系删除

在周一发布的联合公告中，美国网络与基础设施安全局（CISA）、联邦调查局（FBI）和财政部指出 —— 被称作 Lazarus Group 的黑客组织，正在使用被植入木马的加密货币应用程序，向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币（NFT）的公司，以及参与其中的个人。 CryptAIS 网站截图 几天前，美官员刚刚将疑似与朝鲜方面有关联的 Lazarus Group 黑客组织，与最近从 Ronin 窃取的价值 6.25 亿美元的加密货币事件联系起来。 作为一个基于 ETH 的侧链，它有被用于盈利类游戏 Axie Infinity 。然而攻击者们正在通过各种通信平台和社会工程手段，将黑手伸向了加密货币企业的员工。 公告提醒道：攻击者会发送具有高度针对性的欺诈（钓鱼）邮件，声称提供高薪工作机会、以试图引诱受害者下载被植入木马的加密货币应用程序。 UpdateCheckSync() 与 DAFOM 捆绑功能描述 美政府机构将这类操作称作“叛变交易”（TraderTraitor），似乎是所谓的“梦想工作”（Dream Job）攻击事件的一个延续。 后者在 2020 年被首次观察到，可知黑客将目光瞄向了国防、航空航天和化工行业的工作者，此类恶意应用程序会在受害者网络环境中传播。 而为了开展欺诈性区块链交易等后续活动，黑客不仅会试图窃取私钥、还会积极利用其它安全漏洞。 Esilet 中的 UpdateCheckSync() 函数截图 CISA 披露的部分 TraderTraitor 恶意应用程序，包括了 Dafom、CryptAIS、AlticGO、Esilet 和 CreAI deck，声称提供各种投资组合、以及实时的加密货币预测等服务。 此外该公告还详细描述了攻击指标（IOC）和应对策略、技术与程序（TTP）细节，以敦促区块链和加密货币行业组织加强防御措施。 最后，美方去年还通报过被注入了 AppleJeus 恶意软件的加密货币交易应用程序，可知 Lazarus 利用此类手段从全球企业和个人手中劫掠了不少加密资产。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1260241.htm 封面来源于网络，如有侵权请联系删除