导 读
据观察,未知黑客组织利用开源工具开展了针对全球政府和私营部门组织的疑似网络间谍活动。
Recorded Future 的 Insikt Group 正在以临时代号 TAG-100 跟踪该活动,并指出攻击者可能攻击了非洲、亚洲、北美洲、南美洲和大洋洲至少十个国家的组织,其中包括两个未具名的亚太政府间组织。
自 2024 年 2 月以来,柬埔寨、吉布提、多米尼加共和国、斐济、印度尼西亚、荷兰、英国、美国和越南的外交、政府、半导体供应链、非营利组织和宗教实体也被列入名单。
该网络安全公司表示:“TAG-100 采用开源远程访问功能,并利用各种面向互联网的设备获取初始访问权限。” “该组织使用了开源 Go 后门Pantegana和Spark RAT进行后利用。”
攻击链涉及利用影响各种面向互联网的产品已知安全漏洞,包括 Citrix NetScaler、F5 BIG-IP、Zimbra、Microsoft Exchange Server、SonicWall、Cisco Adaptive Security Appliances (ASA)、Palo Alto Networks GlobalProtect 和 Fortinet FortiGate。
据观察,该组织还针对至少 15 个国家/地区的组织机构的互联网设备开展了广泛的侦察活动,其中包括法国、意大利、日本和马来西亚等,其中还包括位于玻利维亚、法国和美国的几个古巴大使馆。
该公司表示:“从 2024 年 4 月 16 日开始,TAG-100 针对教育、金融、法律、地方政府和公用事业领域的 Palo Alto Networks GlobalProtect 设备进行了可能的侦察和利用活动。”
据称,攻击活动与CVE-2024-3400 (CVSS 评分:10.0)的概念验证(PoC)漏洞的公开发布同时进行,CVE-2024-3400 是一个影响 Palo Alto Networks GlobalProtect 防火墙的严重远程代码执行漏洞。
成功进行初始访问后,将在受感染主机上部署 Pantegana、Spark RAT 和 Cobalt Strike Beacon。
研究结果表明,PoC 漏洞可以与开源程序相结合,从而策划攻击,有效降低不太熟练的攻击者的进入门槛。此外,此类伎俩还能让对手的归因工作变得复杂,并逃避检测。
Recorded Future 表示:“广泛瞄准面向互联网的设备尤其具有吸引力,因为它可以通过通常具有有限可视性、日志记录功能和对传统安全解决方案的支持的产品在目标网络中提供立足点,从而降低利用后检测的风险。”
详细技术报告:https://www.recordedfuture.com/research/tag-100-uses-open-source-tools-in-suspected-global-espionage-campaign
新闻链接:
https://thehackernews.com/2024/07/tag-100-new-threat-actor-uses-open.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
伊朗APT组织 MuddyWater 近期攻击活动中部署了新的 BugSleep 后门
https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/
网络研究人员称,自去年 10 月 7 日以来,针对以色列组织的攻击“增加了一倍以上”
https://therecord.media/attacks-israeli-orgs-double
朝鲜黑客更新 BeaverTail 恶意软件,以 MacOS 用户为目标
https://thehackernews.com/2024/07/north-korean-hackers-update-beavertail.html
TAG-100:未知黑客组织利用开源工具进行疑似网络间谍攻击活动
https://thehackernews.com/2024/07/tag-100-new-threat-actor-uses-open.html
一般威胁事件
General Threat Incidents
官员称田纳西州孟菲斯市因网络钓鱼诈骗损失 77.3 万美元
https://www.fox13memphis.com/news/city-of-memphis-lost-773k-in-phishing-scam-officials-say/article_c9836196-4449-11ef-a184-e7ec757b5bc6.html
警报:伪装成广告拦截器的 HotPage 广告软件会安装恶意内核驱动程序
https://thehackernews.com/2024/07/alert-hotpage-adware-disguised-as-ad.html
伊拉克的网络犯罪分子部署恶意 Python 包来窃取数据
https://therecord.media/iraq-cybercriminals-python-based-infostealer-pypi
Revolver Rabbit 团伙注册了 500,000 个域名用于恶意软件活动
https://www.bleepingcomputer.com/news/security/revolver-rabbit-gang-registers-500-000-domains-for-malware-campaigns/
攻击者滥用 URL 保护服务来隐藏电子邮件中的钓鱼链接
https://www.csoonline.com/article/2519035/attackers-abuse-url-protection-services-to-hide-phishing-links-in-emails.html
苹果就 iPhone 网络钓鱼和间谍软件攻击发出新警告
https://etedge-insights.com/technology/cyber-security/apple-issues-new-warning-on-iphone-phishing-and-spyware-attacks/
90% 的网络攻击都是由于人类的弱点而发生的
https://telecomreseller.com/2024/07/17/9-out-of-10-cyberattacks/
Drive-by Download攻击成为 FakeBat 恶意软件的传播媒介
https://securityboulevard.com/2024/07/drive-by-download-attacks-become-distribution-medium-for-fakebat-malware/
船舶经销商 MarineMax 表示,最近勒索软件攻击造成的数据泄露影响了超过 123,000 人
https://www.securityweek.com/marinemax-notifying-123000-of-data-breach-following-ransomware-attack/
专家揭秘“麒麟”勒索软件的复杂攻击手段
https://www.infosecurity-magazine.com/news/qilin-ransomwares-tactics-unveiled/
漏洞事件
Vulnerability Incidents
Ivanti 发布针对高危端点管理器漏洞的修补程序
https://www.securityweek.com/ivanti-issues-hotfix-for-high-severity-endpoint-manager-vulnerability/
SolarWinds 修复了访问权限审计软件中的 8 个严重漏洞
https://www.bleepingcomputer.com/news/security/solarwinds-fixes-8-critical-bugs-in-access-rights-audit-software/
Adobe Commerce 漏洞(CVE-2024-34102,CVSS 评分为 9.8)近期遭野外利用
https://www.securityweek.com/recent-adobe-commerce-vulnerability-exploited-in-wild/
SAP AI Core 漏洞允许服务接管、客户数据访问
https://www.securityweek.com/sap-ai-core-vulnerabilities-allowed-service-takeover-customer-data-access/
思科修补安全电子邮件网关 SSM 中的多个严重漏洞
https://www.securityweek.com/cisco-patches-critical-vulnerabilities-in-secure-email-gateway-ssm/
SAP AI Core 漏洞导致客户数据遭受网络攻击
https://thehackernews.com/2024/07/sap-ai-core-vulnerabilities-expose.html
Port Shadow攻击允许 VPN 流量拦截和重定向
https://www.securityweek.com/port-shadow-attack-allows-vpn-traffic-interception-redirection/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):TAG-100:未知黑客组织利用开源工具进行疑似网络间谍攻击活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论