HackerNews 编译，转载请注明出处：

据Fortinet FortiGuard Labs观察，疑似与朝鲜民主主义人民共和国（DPRK）关联的威胁行为体正在利用GitHub作为命令控制（C2）基础设施，对韩国组织实施多阶段攻击。

...

HackerNews 编译，转载请注明出处：

韩国最大的教育及生活用品企业之一教元集团宣布，本周末在发现疑似勒索软件攻击后，已关闭其内部计算机网络的关键部分。

在该公司的一份声明中，教元集团表示周六早上发现了异常活动，随即启动了应急响应计划，隔离受影响的服务器以防止黑客入侵更多系统。

这家由韩国首富之一张平淳所有的企业集团表示，"已确认有迹象表明，由于勒索软件攻击，部分数据可能已外泄。受影响的数据是否包含客户信息，目前正在调查中。"

自系统关闭以来，其多家附属企业的网站（包括教育和旅游子公司）已无法访问，该公司称正在努力安全地恢复系统。

教元集团表示，在与其所谓的"专业安全人员"和相关政府机构合作调查"入侵原因、影响范围以及是否有数据受影响"的同时，已将网络下线以"稳定服务并优先保护客户"。

据《亚洲商业日报》报道，此次攻击背后的黑客已向教元集团发出勒索要求。据《朝鲜日报》报道，人们担心该公司的数据泄露可能影响数百万人，数据包括使用其教育服务的儿童的姓名和地址。

该公司表示，在发现问题后不久，已向韩国互联网振兴院及其他调查机构报告了此次安全漏洞。

该集团网站上的一条横幅声明写道："如果进一步调查确认客户信息已泄露，我们将及时、透明地通知受影响的客户。"

此前，首尔近期发生了一起涉及该国最大在线零售商Coupang的数据泄露丑闻，据报道是由一名已逃往中国的前员工造成。

这是影响韩国公司的最新一起高调数据泄露事件，去年有SK电信的2700万客户和乐天信用卡的300万客户收到了相关事件通知。韩国官员已承诺加强该国的数据保护法，并对未能保护客户数据的公司实施更严厉的处罚。

...

HackerNews 编译，转载请注明出处：

韩国最大加密货币交易所 Upbit 周三晚间遭黑客盗取价值 3000 万美元的加密货币，韩国政府官员正介入调查。

周五，韩国官员向该媒体透露，根据黑客入侵加密货币平台的攻击手段及被盗资金的洗钱方式，朝鲜 Lazarus 黑客组织大概率与此次盗窃事件有关。

调查人员认为，黑客先是冒充 Upbit 管理员身份，随后转移了约 3000 万美元的加密资产。

Upbit 公司在声明中将此次盗窃称为 “异常提现”，并表示正针对该起攻击事件展开调查。

其母公司 Dunamu 首席执行官吴京锡（音译）补充称，平台已暂停充值和提现服务。

所有损失将由 Upbit 承担。值得注意的是，此次攻击发生在前一日 —— 韩国互联网巨头 Naver 以 100 亿美元收购 Dunamu 之后。

“发现异常提现后，Upbit 立即对相关网络及钱包系统进行了紧急安全审查，” 该首席执行官表示，“为防止进一步的异常转账，所有资产已转移至安全的冷钱包中。”

周四，Upbit 已追踪到部分被盗资金流入另一个钱包，并正尝试冻结相关资产，阻止其被进一步转移。

调查人员指出，此次攻击具备 2019 年 Upbit 被盗事件的典型特征 —— 当时该平台约 4000 万美元资产遭窃，而那起事件同样被归咎于 Lazarus 组织。该组织是全球最为活跃的国家支持黑客组织之一。

据称，Lazarus 组织隶属于朝鲜侦察总局。过去九年间，该组织已盗取价值数十亿美元的加密货币。区块链监测公司 Chainalysis 数据显示，2024 年与朝鲜政府相关的黑客组织在 47 起事件中，共窃取价值 13 亿美元的加密资产。

今年 2 月，该组织被指控从迪拜加密货币平台 Bybit 盗取 15 亿美元。联合国去年表示，其正在追踪过去五年间的数十起相关事件，这些事件已为朝鲜带来 30 亿美元的非法收入。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

与朝鲜有关联的威胁行为体 “金 Suky”（Kimsuky），已分发一款此前未被记录的后门程序，其代号为 “HttpTroy”。此次攻击很可能是针对性钓鱼攻击，目标为韩国的一名单独受害者。

披露该活动细节的 Gen Digital 公司，未透露事件发生的具体时间，但指出钓鱼邮件中包含一个 ZIP 压缩文件（文件名：“250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip”）。该文件伪装成 VPN 账单，用于分发恶意软件，此恶意软件可实现文件传输、截屏以及执行任意命令的功能。

安全研究员亚历山德鲁 - 克里斯蒂安・巴尔达什（Alexandru-Cristian Bardaș）表示：“该攻击链包含三个步骤：一个小型投放程序、一个名为 MemLoad 的加载程序，以及最终的后门程序‘HttpTroy’。”

ZIP 压缩包内包含一个与压缩包同名的 SCR 文件（屏幕保护程序文件）。打开该文件会触发执行链，首先运行的是一个 Go 语言（Golang）二进制文件，该文件包含三个嵌入文件，其中包括一个伪装 PDF 文档。此文档会向受害者展示，以避免引起任何怀疑。

与此同时，后台会同步启动 MemLoad 程序。该程序负责在受感染主机上建立持久化机制，具体方式是创建一个名为 “AhnlabUpdate” 的计划任务。这一命名是为了伪装成韩国网络安全公司安博士（AhnLab）的程序，进而解密并执行 DLL 格式的后门程序 “HttpTroy”。

该植入程序能让攻击者完全控制受感染系统，支持的操作包括文件上传 / 下载、截屏、以高权限执行命令、在内存中加载可执行文件、建立反向 shell、终止进程以及清除痕迹。它通过 HTTP POST 请求与命令控制（C2）服务器（域名：“load.auraria [.] org”）进行通信。

巴尔达什解释道：“HttpTroy 采用多层混淆技术，以阻碍对其的分析和检测。API 调用通过自定义哈希技术隐藏，字符串则通过异或（XOR）运算与单指令多数据（SIMD）指令相结合的方式进行混淆。值得注意的是，该后门程序不会重复使用 API 哈希值和字符串，而是在运行时通过各种算术运算和逻辑运算的组合动态重构它们，这进一步增加了静态分析的难度。”

除上述发现外，这家网络安全厂商还详细介绍了 “拉撒路集团”（Lazarus Group）的一起攻击事件。该攻击导致 “Comebacker” 恶意程序以及其 “BLINDINGCAN” 远程访问木马（又称 AIRDRY 或 ZetaNile）的升级版被部署。厂商补充称，此次攻击针对加拿大的两名受害者，且在 “攻击链中段” 被检测到。

目前尚不清楚该攻击所使用的具体初始访问途径，但基于未发现可被利用以获取立足点的已知安全漏洞，研究人员判断初始途径应为钓鱼邮件。

攻击中使用了 “Comebacker” 的两个不同变体，一个是 DLL 格式，另一个是 EXE 格式。前者通过 Windows 服务启动，后者通过 “cmd.exe” 命令行启动。无论采用何种执行方式，该恶意软件的最终目标一致：解密嵌入的有效载荷（即 BLINDINGCAN），并将其作为服务部署。

BLINDINGCAN 的设计目的是与远程 C2 服务器（域名：“tronracing [.] com”）建立连接，并等待进一步指令。这些指令支持的操作包括：

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

一场针对韩国政府及情报工作人员的大规模鱼叉式网络钓鱼活动，利用了一份国家情报通讯刊物来诱骗受害者。

...

HackerNews 编译，转载请注明出处：

韩国最大票务及在线图书零售商Yes24表示，在勒索攻击导致其网站和移动应用中断数小时后，服务已恢复。这是该公司不到两个月内第二次遭遇此类事件。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

...