点击上方蓝色文字关注我们

今日全球网安资讯摘要

特别关注

乌克兰又下“一城”，俄罗斯国防部服务器被攻破

Monogon 组织从台湾窃取了 1.7 TB 机密数据

ScreenConnect 漏洞正被广泛应用于 ToddleShark 恶意软件传播

特别关注

乌克兰又下“一城”，俄罗斯国防部服务器被攻破

标签：俄乌战争

近日，乌克兰国防部情报总局（GUR）声称入侵了俄罗斯国防部（Minoborony）的内部服务器，并成功窃取大量敏感文件。

乌克兰某政府网站上发布了一份新闻稿，将此次网络攻击事件定性为 GUR 网络专家实施的“特别行动”。GUR 表示，通过本次网络入侵行动，乌方获取了包含俄罗斯特工详细信息在内的大量敏感文件。主要包括如下内容：

1. 俄罗斯国防部用于保护和加密数据的软件；
2. 俄罗斯国防部的一系列特勤文件，包括命令、报告、指令和各种其他文件，在国防部 2000 多个结构单位中分发；
3. 允许建立 Minoborony 系统及其链接的完整结构的信息；
4. 属于俄罗斯国防部副部长蒂穆尔·瓦迪莫维奇·伊万诺夫的文件；

此外，GUR 还发布了四张显示数据库查询结果、日志文件和概述官方程序/指南的文件的截图，作为其成功发动网络入侵的证据。

乌克兰网军多次攻击俄罗斯政府部门

2023 年 11 月，乌克兰国防部下属情报部门团队成员成功侵入了俄罗斯联邦航空运输署（Rosaviatsia），揭露了所谓的俄罗斯航空业“崩溃”事件。据悉，Rosaviatsia 主要职责是监督俄罗斯民航业，负责记录飞行或紧急事件。

从乌克兰方面发布的公告来看，乌国防部下属情报部的工作人员侵入了俄罗斯 Rosaviatsia  机构，窃取了大量文件，可以确定俄罗斯航空部门因为西方国家对备件和软件更新的制裁，导致无法正常修理飞机而遭受损失。

值得注意的是，此次网络攻击事件是首次有国家公开承认的国家级黑客攻击行为，乌克兰政府将其描述为 “网络空间的复杂特殊行动”。乌克兰方面在本次网络攻击相关的公告中表示，通过黑客攻击和渗透敌方（俄罗斯）信息系统，获得了大量的数据，其中主要包括俄罗斯联邦国家航空安全局一年半多以来的报告清单。

一个月后，乌克兰政府军事情报部门又宣称成功入侵了俄罗斯联邦税务局（FNS），并清除了该机构的数据库和备份副本。

从后续乌克兰方面透露的信息来看，本次网络入侵行动由乌克兰国防情报局的网络军事部门策划实施，入侵了俄罗斯联邦税务局的中央服务器以及乌克兰被占领土上的 2300 个地区服务器，导致所有受损的 FTS 服务器都感染了恶意软件，俄罗斯税收系统中重要的配置文件被完全删除，主数据库及其备份文件被清除，一家为 FNS 提供数据中心服务的俄罗斯 IT 公司也遭到疯狂的网络攻击。

乌克兰情报总局（GUR）指出，此次网络攻击活动造成了严重影响，导致莫斯科中央办公室与 2300 个领土部门之间的通信中断，这些部门也在此次攻击中遭到重创，与税收相关的数据大量丢失，俄罗斯各地与税收数据相关的互联网流量落入乌克兰军事情报人员之手。

尽管俄罗斯正在努力尝试恢复 FNS（联邦税务局）服务，但目前仍未成功，GUR 方面估计俄罗斯税务系统瘫痪将持续至少一个月，完全恢复几乎不可能。GUR 还指出此次网络攻击的成功进行意味着俄罗斯主要国家机构之一的基础设施和大量相关税收数据将在很长一段时间内遭到彻底破坏。

信源：https://www.freebuf.com/news/393297.html

安全资讯

ScreenConnect 漏洞正被广泛应用于 ToddleShark 恶意软件传播

标签：APT,恶意软件

Kimsuky（又名 Thallium 和 Velvet Chollima）是一个朝鲜黑客组织，以对全球组织和政府进行网络间谍攻击而闻名。

近日，有安全人员发现该黑客组织正利用 ScreenConnect 漏洞投递ToddleShark 的新型恶意软件，尤其是 CVE-2024-1708 和 CVE-2024-1709。

据悉，这些黑客利用的是今年 2 月 20 日披露的身份验证绕过和远程代码执行漏洞，当时 ConnectWise 敦促 ScreenConnect 客户立即将其服务器升级到 23.9.8 或更高版本。2 月 21 日，针对这两个漏洞的公开漏洞被发布，包括勒索软件行为者在内的黑客们很快开始在实际攻击中利用这些漏洞。

根据 Kroll 网络情报团队发布的报告，新的 Kimsuky 恶意软件具有多态性特征，似乎是为长期间谍活动和情报搜集而设计的。

ToddleShark使用合法的微软二进制文件来最小化其痕迹，执行注册表修改以降低安全防御，并通过计划任务建立持久访问，随后是持续的数据窃取和外渗阶段。

ToddleShark 的详细信息

克罗尔公司的分析师表示，ToddleShark 是 Kimsuky 的 BabyShark 和 ReconShark 后门的新变种，以前曾以美国、欧洲和亚洲的政府组织、研究中心、大学和智库为目标。

黑客通过利用漏洞获得 ScreenConnect 端点的初始访问权限，从而获得身份验证绕过和代码执行能力。随后 Kimsuky 会使用合法的微软二进制文件（如 mshta.exe）来执行恶意脚本，如严重混淆的 VBS，将其活动与正常的系统进程混合。

该恶意软件会更改 Windows 注册表中的 VBAWarnings 键，允许在各种 Microsoft Word 和 Excel 版本上运行宏。同时创建计划任务，通过定期（每分钟）执行恶意代码来建立持久性。

注册表修改

ToddleShark 会定期从受感染设备中收集系统信息，包括以下内容：

1. 主机名
2. 系统配置详情
3. 用户账户
4. 活动用户会话
5. 网络配置
6. 已安装的安全软件
7. 所有当前网络连接
8. 枚举正在运行的进程
9. 通过解析常用安装路径和 Windows 开始菜单列出已安装的软件

用于窃取数据的 16 个 cmd.exe 实例

最后，ToddleShark 会将收集到的信息编码成隐私增强邮件 (PEM) 证书，并外泄到攻击者的指挥和控制 (C2) 基础设施，这是一种先进的已知 Kimsuky 策略。

多态恶意软件

新恶意软件的一个显著特征是多态性，这使其在许多情况下都能逃避检测，并使分析更具挑战性。ToddleShark 通过几种技术实现了这一点。

首先，它在初始感染步骤中使用的被严重混淆的 VBScript 中使用随机生成的函数和变量名，从而增加了静态检测的难度。大量十六进制编码代码与垃圾代码穿插在一起，可能会使恶意软件有效载荷看起来是良性或不可执行的。

隐藏在垃圾代码中的功能代码

此外，ToddleShark 还采用了随机字符串和[功能]代码定位，这足以改变其结构模式，使基于签名的检测对其无效。

最后，用于下载附加阶段的 URL 是动态生成的，从 C2 获取的初始有效载荷的哈希值始终是唯一的，因此标准的拦截列表方法几乎是无效的。

信源：https://www.freebuf.com/news/393309.html

Monogon 组织从台湾窃取了 1.7 TB 机密数据

标签：数据泄露

台湾最大的电信公司中华电信最近遭受了黑客攻击。此次黑客攻击导致 1.7 TB 数据被盗，其中包括与该岛政府相关的信息。

2024 年 2 月 23 日，一名昵称“303”、头像上带有“Monogon”签名的用户将泄露的数据在暗网上出售。台湾有关部门于 3 月 1 日正式确认了此次黑客攻击事件。根据内部调查的初步数据，黑客成功获取了中华电信的机密信息。

据报道，被盗数据包含台湾军方、外交、海岸警卫队和其他政府部门的机密文件。

针对这一事件，台湾有关部门敦促中华电信加强网络安全措施，防止今后发生类似事件。

信源：https://www.anquanke.com/post/id/293617

‍‍

原文始发于微信公众号（网络盾牌）：0305-俄罗斯国防部服务器被攻破-台湾机密数据被窃取了-ScreenConnect 漏洞正被恶意软件传播