国际刑警组织(也称为国际刑警组织)宣布逮捕 75 人,作为针对名为Black Axe的有组织网络犯罪集团的全球协调行动的一部分。
“‘黑斧’和其他西非有组织犯罪集团已经发展了跨国网络,欺骗数百万受害者,同时将他们的利润用于奢侈的生活方式和其他犯罪活动,从贩毒到性剥削,”该机构表示。
代号为“豺狼行动”的执法行动有阿根廷、澳大利亚、科特迪瓦、法国、德国、爱尔兰、意大利、马来西亚、尼日利亚、西班牙、南非、阿联酋、英国和美国参与上个月底在南非被捕的两名涉嫌在线诈骗者被认为策划了各种欺诈计划,从受害者那里获得了 180 万美元。
调查进一步导致了 49 次财产搜查,查获了 12,000 张 SIM 卡和其他豪华资产,包括一处住宅物业、三辆汽车和数万现金。它还在嫌疑人的银行账户中截获了 120 万欧元。
国际刑警组织的斯蒂芬卡瓦纳说: “非法金融资金是跨国有组织犯罪的命脉,我们目睹了像 Black Axe 这样的团体如何将从在线金融诈骗中获得的资金转移到其他犯罪领域,例如毒品和人口贩运。”
德国报纸“Heilbronn Stimme”在周五的勒索软件攻击导致其打印系统瘫痪后,以电子纸形式发布了今天的 28 页问题。
周六,该报发布了“紧急”六页版,所有计划中的讣告都在网站上发布。周末期间,电话和电子邮件通信仍处于离线状态。
该地区出版物的发行量约为 75,000 份,但由于印刷问题已暂时取消其网站的付费墙,该网站每月访问量约为 200 万。
主编 Uwe Ralf Heer 表示,这次攻击影响了整个 Stimme Mediengruppe 媒体集团,其中包括“Pressedruck”、“Echo”和“RegioMail”公司。
发行了 254,000 份的 Echo 也受到了网络攻击的影响,并且在访问其网站上的电子纸时出现了问题。然而,在线新闻门户 Echo24.de 继续正常运行。
Heer 表示,这次攻击是由一个著名的网络犯罪组织实施的,该组织在周五晚上对他们的系统进行了加密,并留下了赎金记录。然而,截至周六下午,尚未提出具体的赎金要求。
BleepingComputer 已联系 Stimme Mediengruppe 以获取有关该攻击的更多信息,我们将在了解更多信息后立即更新此帖子。
该报的编辑被告知在家中使用个人电脑工作,并为他们分配了新的电子邮件地址。
媒体集团正在与警方合作,尽快找到解决技术问题的方法,并努力查明肇事者。
应内政部长 Thomas Strobl 的要求,来自巴登-符腾堡州的网络安全专家也正在协助修复工作。
“我们与警方、数据保护和外部专家正式合作,以便能够以通常的质量尽快执行,”通知中写道。
“但是,我们目前无法预测未来一周我们是否会每天送报纸。”
在印刷系统恢复正常运行状态之前,Heilbronn Stimme 将继续通过卡尔斯鲁厄的第三方印刷紧急版本。
由于该媒体集团也是发行商,因此海尔布隆地区的《南德意志报》和《斯图加特报》(流行人数 350,000)也将停止发行,直至另行通知。
新的“黑莲花”UEFI Rootkit为网络犯罪分子提供APT级功能
网络安全资深人士 Scott Scheferman 警告说,威胁行为者正在地下犯罪论坛上推广独立于供应商的 UEFI rootkit,它可以禁用安全软件和控制。
Windows rootkit 被称为“Black Lotus”,是一种功能强大、持久的工具,售价为 5,000 美元,每个新版本支付 200 美元,其功能类似于国家资助的威胁参与者所使用的功能。
Black Lotus 用 Assembly 和 C 编写,大小为 80 KB,具有地理围栏,以避免感染独联体地区的国家。
根据 Scheferman 的说法,该威胁包包含反虚拟化、反调试和代码混淆等规避功能,并且可以禁用目标机器上的安全应用程序和防御机制,包括 Hypervisor 保护的代码完整性 (HVCI)、BitLocker 和 Windows Defender .
通过在启动过程完成之前加载代码,rootkit 可以绕过用户访问控制 (UAC) 和安全启动,它可以加载未签名的驱动程序,并且可以在目标设备的 UEFI 固件中不被检测到,据说是无限期的。
Scheferman 说,Black Lotus 为攻击者提供了全套功能,包括文件传输和任务支持,并且可能成为跨 IT 和 OT 环境的主要威胁。
“考虑到这种贸易技术曾经被归入俄罗斯 GRU 和 APT 41(中国关系)等 APT,并考虑到我们之前的犯罪发现(例如 Trickbot 的#Trickboot 模块),这代表了一个‘飞跃’前进,在易用性、可扩展性、可访问性方面,最重要的是,以持久性、逃避和/或破坏的形式产生更大影响的潜力,”Scheferman 说。
根据 Scheferman 的说法,Black Lotus 据称能够针对广泛的设备类型可能表明其开发人员正在针对影响许多供应商的未记录引导加载程序漏洞。
卡巴斯基也听说了 Black Lotus,指出 rootkit 的高级功能以前是典型的民族国家恶意软件,但现在越来越多地被网络犯罪分子使用。
据欧洲刑警组织称,西班牙警方已经查获了一个据信每年洗钱数亿美元的有组织犯罪团伙。
欧洲警务组织声称,它与西班牙国家警察 (Policía Nacional) 和税务局 (Agencia Tributaria) 以及司法合作机构Eurojust合作,以遏制该团伙。
据称,有问题的地下“毒品银行”主要由叙利亚国民经营,自 2020 年以来,每年帮助毒贩和其他犯罪组织洗钱约 3 亿欧元(2.92 亿美元)。
大萧条发生在 9 月 27 日,当时 200 多名警察突袭了西班牙马拉加和托莱多省的 21 个地点,逮捕了 32 人并没收了近 300 万欧元的犯罪资产。其中包括 428,000 欧元的现金、150 万欧元的各种加密货币账户、11 辆豪华汽车和许多公斤的大麻。
欧洲刑警组织声称在调查过程中已经没收了 290 万欧元现金。
该企业显然位于马德里附近的富恩拉夫拉达市的一家餐馆,并利用地下哈瓦拉网络非法转移资金,同时逃避执法部门的审查。
据认为,全球每年有数万亿美元被洗钱,支持各种犯罪活动,如人口贩运、浪漫欺诈和敲诈勒索。
虽然大部分此类活动仍未被发现,但警方偶尔会取得胜利。6 月,欧洲刑警组织披露了一项重大反洗钱行动的细节,该行动破坏了一个 4400 万欧元的犯罪网络。
犯罪分子为此类行为付出的代价也在增加:今年早些时候,两名外国公民因洗钱被定罪后,在英国金斯敦刑事法庭被判处 33 年监禁。
赛门铁克的研究人员发现了与中国有关的间谍行为者 APT41(又名 Winnti)的网络攻击,该攻击侵入了香港的政府机构,并且在某些情况下一年都未被发现。
威胁参与者一直在使用名为 Spyder Loader 的自定义恶意软件,该恶意软件之前已归咎于该组织。
2022 年 5 月,Cybereason 的研究人员发现了“CuckooBees行动”,该行动自 2019 年以来一直在进行,重点关注北美、东亚和西欧的高科技和制造公司。
赛门铁克的报告指出,有迹象表明新发现的香港活动是同一行动的一部分,而 Winnti 的目标是特别行政区的政府机构。
蜘蛛装载机
在 CuckooBees 行动中,Winnti 使用了新版本的 Spyder Loader 后门。赛门铁克的报告表明,黑客继续发展恶意软件,在目标上部署了多个变体,所有变体都具有相同的功能。
与Cybereason 分析的版本相比,赛门铁克发现的一些相似之处包括:
使用 CryptoPP C++ 库
滥用 rundll32.exe 来执行恶意软件加载程序
编译为 SQLite3 DLL 的 64 位 DLL 修改副本,用于管理 SQLite 数据库 sqlite3.dll,带有恶意导出 (sqlite3_extension_init)
在初始感染阶段使用,Spyder Loader 加载 AES 加密的 blob,创建下一阶段的有效负载“wlbsctrl.dll”。
活动和目标
赛门铁克分析师还观察到 Mimikatz 密码提取器在最新活动中的部署,使威胁行为者能够更深入地钻入受害者网络。
此外,研究人员发现“一个木马化的 ZLib DLL 具有多个恶意导出,其中一个似乎正在等待来自命令和控制服务器的通信,而另一个将从命令行中提供的文件名加载有效负载。”
尽管赛门铁克无法检索最终的有效载荷,但 APT41 最新活动的目标似乎是从香港的关键实体收集情报。
赛门铁克希望 Winnti 继续改进其恶意软件工具包并引入新的有效负载,并尽可能增加更多的混淆层。
----------------------------------------------------------------------------
往期回顾:
【福利放送】19个省市公布数据相关条例
【Hacker news weekly】亲俄组织 KillNet 声称对 14 起美国机场 DDoS 攻击负责
【网安职场】跨职能协作对于网络安全专业人员来说变得至关重要
【KK原创】健康医疗行业下的安全剖析
【福利放送】医疗网络安全标准集锦
原文始发于微信公众号(KK安全说):【Hacker news weekly】国际刑警组织领导的行动摧毁了“黑斧”网络犯罪组织
评论