导 读
根据 SentinelOne 的调查结果, 朝鲜 APT 组织“ BlueNoroff ”正在针对加密相关企业发起代号为“Hidden Risk(隐藏风险)”的攻击活动。
该活动使用网络钓鱼电子邮件、伪造的 PDF 应用程序和新颖的技术来逃避 Apple 的安全措施。
朝鲜Lazarus APT组织的一个分支 BlueNoroff在 2024 年 7 月开始的一场活动中,通过电子邮件和 PDF 诱饵以虚假新闻标题/加密相关故事为目标,攻击加密货币和 DeFi 企业。
根据 SentinelOne 的最新研究,攻击者采用了独特的策略来逃避检测并入侵受害者系统。
攻击始于一封精心制作的网络钓鱼电子邮件,诱使毫无戒心的受害者点击一个恶意链接,该链接指向一个看似合法的 PDF 文档,而该文档实际上隐藏了一个基于 Swift 语言的恶意 Mac 应用程序,该应用程序巧妙地伪装成 PDF 阅读器。
在这些电子邮件中,朝鲜黑客嵌入了一个恶意的 macOS 应用程序,该应用程序伪装成一份 PDF 文档的链接,该文档与加密货币主题有关,例如“比特币价格新一轮飙升背后的隐藏风险”、“山寨币季节 2.0——值得关注的隐藏宝石”和“稳定币和 DeFi、CeFi 的新时代”。
SentinelOne 表示,这项名为“Hidden Risk”的攻击活动还滥用“zshenv”配置文件来保持持久性,而不会触发 macOS Ventura 的后台项目修改通知。
macOS 通知旨在提醒用户注意 LaunchAgents 和 LaunchDaemons 等常见持久性方法的变化。
根据SentinelOne 文档,第一阶段恶意软件是一个用 Swift 编写的 macOS 应用程序,其名称与嵌入的 PDF 文档相同。该应用程序使用合法的 Apple Developer ID(现已撤销)进行签名,并在执行时从 Google Drive 链接下载诱饵 PDF,并使用默认的 macOS PDF 查看器打开它,以避免引起怀疑。
研究人员发现该恶意软件会从硬编码 URL 下载并执行恶意的 x86-64 二进制文件。该应用程序通过在其 Info.plist 文件中指定例外来允许不安全的 HTTP 连接,从而绕过 macOS 安全功能。
该公司还记录了使用第二阶段后门的情况,该后门收集系统信息、生成唯一标识符并与命令和控制 (C2) 服务器建立通信。
SentinelOne 表示,该后门被编程为将操作系统版本、硬件型号和进程列表发送到 C2 服务器,并等待进一步的指示。
技术报告:https://www.sentinelone.com/labs/bluenoroff-hidden-risk-threat-actor-targets-macs-with-fake-crypto-news-and-novel-persistence/
新闻链接:
https://hackread.com/north-korean-hackers-crypto-fake-news-hidden-risk-malware/
https://securityweek.com/north-korean-hackers-target-macos-users-with-fake-crypto-pdfs/
今日安全资讯速递
APT事件
Advanced Persistent Threat
乌克兰人遭遇 GPS 欺骗:手机显示错误的位置和时间
https://cybernews.com/tech/how-does-gps-spoofing-work/
VEILDrive 攻击利用 Microsoft 服务逃避检测并传播恶意软件
https://thehackernews.com/2024/11/veildrive-attack-exploits-microsoft.html
疑似乌克兰网络攻击导致俄罗斯城市停车执法瘫痪
https://therecord.media/ukraine-cyberattack-russia-parking-tver
微软警告俄罗斯鱼叉式网络钓鱼攻击针对 100 多个组织
https://www.securityweek.com/microsoft-warns-of-russian-spear-phishing-attacks-targeting-over-100-organizations/
新的 LightSpy 间谍软件以增强功能瞄准 iOS
https://www.infosecurity-magazine.com/news/lightspy-spyware-targets-ios/
MirrorFace 黑客利用 2025 年世博会诱饵攻击欧盟外交官
https://thehackernews.com/2024/11/china-aligned-mirrorface-hackers-target.html
朝鲜黑客利用假新闻传播名为“Hidden Risk(隐藏风险)”的复杂恶意软件
https://securityweek.com/north-korean-hackers-target-macos-users-with-fake-crypto-pdfs/
https://hackread.com/north-korean-hackers-crypto-fake-news-hidden-risk-malware/
一般威胁事件
General Threat Incidents
SteelFox 恶意软件包冒充 Foxit PDF Editor 和 AutoCAD 等合法软件,窃取用户信息
https://www.securityweek.com/steelfox-miner-and-information-stealer-bundle-emerges/
PyPI 上的 Fabrice 恶意软件已窃取 AWS 凭证 3 年
https://hackread.com/fabrice-malware-pypi-steal-aws-credentials-3-years/
Androxgh0st 僵尸网络整合 Mozi,扩大对物联网漏洞的攻击
https://hackread.com/androxgh0st-botnet-integrate-mozi-iot-vulnerabilities/
国际刑警组织在全球打击网络犯罪行动中捣毁超过 22,000 台恶意服务器
https://thehackernews.com/2024/11/interpols-operation-synergia-ii.html
微芯片技术公司报告称勒索软件攻击造成 2140 万美元损失
https://www.securityweek.com/microchip-technology-reports-21-4-million-cost-from-ransomware-attack/
勒索软件攻击破坏了佐治亚州医院对健康记录的访问
https://www.securityweek.com/ransomware-attack-disrupts-georgia-hospitals-access-to-health-records/
Winos 4.0 恶意软件通过游戏优化应用程序感染游戏玩家
https://thehackernews.com/2024/11/new-winos-40-malware-infects-gamers.html
网络攻击后华盛顿法院系统瘫痪
https://www.bleepingcomputer.com/news/security/washington-courts-systems-offline-following-weekend-cyberattack/
SelectBlinds 称黑客在网站上植入恶意软件,20 万客户信用卡信息被盗
https://therecord.media/selectblinds-customers-credit-card-info-data-breach-website-malware
Microlise 遭受网络攻击,导致 DHL 和 Serco 跟踪服务中断
https://www.infosecurity-magazine.com/news/cyberattack-microlise-disrupts-dhl/
漏洞事件
Vulnerability Incidents
思科发布针对工业无线系统中严重 URWB 漏洞的补丁
https://thehackernews.com/2024/11/cisco-releases-patch-for-critical-urwb.html
CISA 警告称 Palo Alto Networks 存在严重漏洞,可能被用于攻击
https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-palo-alto-networks-bug-exploited-in-attacks/
惠普企业(HPE)警告 Aruba Networking 接入点存在严重 RCE 漏洞
https://www.bleepingcomputer.com/news/security/hpe-warns-of-critical-rce-flaws-in-aruba-networking-access-points/
CISA 将 Palo Alto Expedition、Android、CyberPanel 和 Nostromo nhttpd 漏洞添加到已知利用漏洞目录
https://securityaffairs.com/170673/security/u-s-cisa-adds-palo-alto-expedition-android-cyberpanel-and-nostromo-nhttpd-bugs-to-its-known-exploited-vulnerabilities-catalog.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):朝鲜黑客“BlueNoroff”针对加密货币行业发起“Hidden Risk”攻击活动
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论