导 读
最新研究表明,黑客对北约国家政府机构进行间谍活动的最新尝试包括与俄罗斯相关的 Duke 恶意软件变种。
根据荷兰网络安全公司 EclecticIQ 的一份报告(https://blog.eclecticiq.com/german-embassy-lure-likely-part-of-campaign-against-nato-aligned-ministries-of-foreign-affairs),最近的一次攻击活动利用两个恶意 PDF 文件针对北约联盟政府的外交部。
其中一份 PDF 提供了 Duke 的一种变体,该恶意软件与俄罗斯官方背景的 APT29 网络间谍活动(也称为 Nobelium、Cozy Bear 和 The Dukes)有关。
另一个文件可能用于测试或侦察,因为它不包含有效负载,但如果受害者打开电子邮件附件,则会通知攻击者。
研究人员表示,这些 PDF 伪装成德国大使馆的外交邀请,似乎是针对全球外交使团的更广泛活动的一部分。该报告并未直接将德国大使馆的诱饵归因于 APT29,但确实指出了其他研究人员在该组织的活动中发现的一些操作细节。
恶意 PDF 中的电子邮件地址引用了真实的 Web 域 bahamas.gov.bs。在 7 月中旬的一份报告中,网络安全公司 Lab52 注意到,黑客利用同一域名冒充挪威大使馆,通过邀请诱饵攻击外交实体。
EclecticIQ 研究人员“高度确信”冒充德国大使馆的 PDF 文件很可能是由同一攻击者制作的。
自俄乌战争爆发以来,欧洲的网络间谍活动不断升级。距离基辅最近的国家,如波兰、立陶宛和拉脱维亚,受到的影响最大。
APT29 以利用 Microsoft OneDrive 和 Notion 等合法 Web 服务进行恶意软件命令和控制 (C2) 而闻名。据 EclecticIQ 称,在最近的这次活动中,攻击者使用 Zulip 应用程序进行 C2。
Zulip 是一款开源聊天应用程序,它使用 Amazon Web Services 接收和发送聊天消息。黑客利用其 API 功能来逃避并将其活动隐藏在合法的网络流量背后。
APT29 被认为是由俄罗斯对外情报局 (SVR) 指挥的,该局负责收集其他国家的政治和经济信息。
该黑客组织的主要目标是美国和欧洲的政府、政治组织、研究公司以及能源、医疗保健、教育、金融和技术等关键行业。
乌克兰战争期间,APT29对乌克兰军队及其政党、外交机构、智库和非营利组织进行了网络攻击。
参考链接:https://therecord.media/pdf-germany-embassy-lures-russia-linked-malware-duke
今日安全资讯速递
APT事件
Advanced Persistent Threat
针对北约国家的 PDF 诱饵包含与俄罗斯相关的 Duke 恶意软件变种
https://therecord.media/pdf-germany-embassy-lures-russia-linked-malware-duke
朝鲜黑客涉嫌参与新一波恶意 npm 软件包攻击
https://thehackernews.com/2023/08/north-korean-hackers-suspected-in-new.html
一般威胁事件
General Threat Incidents
黑莓全球威胁情报报告显示,针对政府和公共服务组织的网络攻击比上一季度增加了 40%
https://thehackernews.com/2023/08/malware-unleashed-public-sector-hit-in.html
专家警告网络犯罪分子滥用 Cloudflare R2 托管网络钓鱼页面
https://thehackernews.com/2023/08/cybercriminals-abusing-cloudflare-r2.html
新的 CVE-2023-3519 扫描器可检测被黑的 Citrix ADC、网关设备
https://www.bleepingcomputer.com/news/security/new-cve-2023-3519-scanner-detects-hacked-citrix-adc-gateway-devices/
Monti 勒索软件带着新的 Linux 变体和增强的规避策略卷土重来
https://thehackernews.com/2023/08/monti-ransomware-returns-with-new-linux.html
LinkedIn 帐户在广泛的劫持活动中遭到黑客攻击
https://www.bleepingcomputer.com/news/security/linkedin-accounts-hacked-in-widespread-hijacking-campaign/
FBI 和检察官表示,大多数 DDoS 攻击与游戏、商业纠纷有关
https://therecord.media/ddos-attacks-tied-to-gaming-business-disputes-fbi-says
福特表示 Wi-Fi 漏洞不会对车辆构成安全风险
https://www.securityweek.com/ford-says-wi-fi-vulnerability-not-a-safety-risk-to-vehicles/
2,000 个 Citrix NetScaler 实例通过近期漏洞感染后门
https://www.securityweek.com/2000-citrix-netscaler-instances-backdoored-via-recent-vulnerability/
研究人员在 120,000 台感染信息窃取木马的电脑上发现黑客论坛凭据
https://www.securityweek.com/hacker-forum-credentials-found-on-120000-pcs-infected-with-info-stealer-malware/
加拿大牙科服务机构 150 万人个人信息因勒索软件攻击泄露
https://www.securityweek.com/1-5-million-impacted-by-ransomware-attack-at-canadian-dental-service/
科罗拉多州卫生局称 400 万人个人信息因 MOVEit 黑客攻击泄露
https://www.securityweek.com/colorado-health-agency-says-4-million-impacted-by-moveit-hack/
纽约人寿保险数据因第三方供应商遭遇黑客攻击而泄露
https://cybernews.com/news/new-york-life-insurance-company-data-breach/
新的 QwixxRAT 特洛伊木马通过消息应用程序传播
https://www.infosecurity-magazine.com/news/qwixxrat-spreads-messaging-apps/
Gigabud RAT Android 银行恶意软件针对各国机构
https://thehackernews.com/2023/08/gigabud-rat-android-banking-malware.html
漏洞事件
Vulnerability Incidents
Ivanti Avalanche 受到关键预身份验证堆栈缓冲区溢出漏洞(CVE-2023-32560)的影响
https://www.bleepingcomputer.com/news/security/ivanti-avalanche-impacted-by-critical-pre-auth-stack-buffer-overflows/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(会杀毒的单反狗):针对北约国家的 PDF 诱饵包含与俄罗斯相关的 Duke 恶意软件变种
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论