导 读
本周,Mandiant 公司发布的一份新报告(https://cloud.google.com/blog/topics/threat-intelligence/apt45-north-korea-digital-military-machine)记录了 APT45 作为一个针对医疗保健提供商、金融机构和能源公司的激进勒索软件组织的出现,有朝鲜官方背景的黑客行动的内部运作变得更加清晰。
这个被命名为 APT45 的组织多年来一直被追踪为Andariel或Silent Chollima,以支持朝鲜战略利益的网络间谍活动而闻名,但最近其业务范围扩大到包括针对非常敏感目标的勒索软件攻击。
APT45针对的目标
Mandiant 的新报告发布之际,美国政府及其盟友发布了一项大规模通报,揭露了朝鲜这个危险黑客组织使用的工具和策略。Mandiant 的一位发言人表示,该公司与包括联邦调查局在内的多个美国政府机构密切合作,追踪该组织获取国防和研发情报的行动。
Mandiant 表示,专家和政府机构对 APT45 窃取一系列武器和工具敏感计划的能力感到震惊,其中包括:
-
重型和轻型坦克和自行榴弹炮
-
轻型攻击车和弹药补给车
-
濒海战斗舰和战斗艇
-
潜艇、鱼雷、无人水下航行器 (UUV) 和自主水下航行器 (AUV)
-
建模和仿真服务
-
战斗机和无人机(UAV)
-
导弹和导弹防御系统
-
卫星、卫星通信和纳米卫星技术
-
监视雷达、相控阵雷达和其他雷达系统
-
铀加工和浓缩
-
材料浪费和储存
-
核电厂
-
政府核设施和研究机构
-
船舶制造和海洋工程
-
机器人机械和机械臂
-
增材制造和 3D 打印组件和技术
-
铸造、制造、高温金属成型、橡胶和塑料成型
-
加工工艺和技术
Mandiant 朝鲜威胁搜寻团队负责人迈克尔·巴恩哈特 (Michael Barnhart) 表示。“APT45 不受道德考量约束,并已证明他们愿意并足够灵活地针对任何实体来实现其目标,包括医院。”
Mandiant 表示,该组织的间谍活动可以追溯到 2009 年,并逐渐扩展为以经济为目的的攻击——其使用勒索软件的特点使其有别于其他朝鲜组织。该组织使用的一些恶意软件与该国其他组织使用的工具集截然不同。
Mandiant 表示,2019 年,该组织瞄准了印度的库丹库拉姆核电站,并补充说,其他核设施和发电厂也成为攻击目标。该组织还于 2020 年攻击了一家跨国公司的作物科学部门,并在过去四年中攻击了多个医疗保健和制药垂直行业。
“我们还相当确信 APT45 参与了勒索软件的开发。”该事件响应公司表示。“该组织针对核相关实体开展了行动,凸显了其在支持朝鲜优先事项方面的作用。”
尽管 Mandiant 谨慎地否认 APT45 是勒索软件攻击的起因,但该公司指出,公开报道称该组织一直在进行金融犯罪。
虽然 Mandiant 无法确认勒索软件是 APT45 武器库的一部分,但它指出,美国政府网络安全机构CISA 警告(https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-187a)称,朝鲜背景的攻击者使用MAUI勒索软件针对医疗保健和公共卫生部门。
Mandiant 表示,与朝鲜的大多数黑客团队一样,APT45 恶意软件随着时间的推移表现出明显的共同特征,包括代码的重复使用、独特的自定义编码和密码。
Mandiant 发布了 VirusTotal Collection,其中包含与APT45 相关的攻击指标,以帮助防御者寻找感染迹象。
新闻链接:
https://www.securityweek.com/mandiant-shines-spotlight-on-apt45-behind-north-koreas-digital-military-machine/
今日安全资讯速递
APT事件
Advanced Persistent Threat
Mandiant 报告:朝鲜黑客组织 APT45瞄准武器设计、核设施,并针对医疗机构进行勒索软件攻击
https://www.securityweek.com/mandiant-shines-spotlight-on-apt45-behind-north-koreas-digital-military-machine/
一名朝鲜黑客因对美国医院发动勒索软件攻击被指控
https://www.securityweek.com/north-korean-charged-in-ransomware-attacks-on-american-hospitals/
与白俄罗斯有关的黑客利用 PicassoLoader 恶意软件攻击乌克兰组织
https://therecord.media/belarus-ukraine-picasso-malware-ghostwriter
一般威胁事件
General Threat Incidents
勒索软件攻击导致加州多个法院电话线路中断
https://www.securityweek.com/phone-lines-down-in-multiple-courts-across-california-after-ransomware-attack/
3000 个 GitHub 账户网络被用于传播恶意软件
https://www.securityweek.com/network-of-3000-github-accounts-used-for-malware-distribution/
黑客利用 PC 驾驶模拟程序窃取迪士尼大量数据
https://www.thedrive.com/news/culture/hackers-exploited-a-pc-driving-sim-to-pull-off-massive-disney-data-breach
密歇根医学数据泄露影响了 56953 名患者
https://securityaffairs.com/166138/cyber-crime/michigan-medicine-data-breach.html
利用 Microsoft Defender 漏洞传播 ACR、Lumma 和 Meduza 窃取程序
https://thehackernews.com/2024/07/microsoft-defender-flaw-exploited-to.html
2.5 亿仓鼠快打玩家受到恶意软件攻击的威胁
https://inet.detik.com/security/d-7455945/waspada-250-juta-pemain-hamster-kombat-terancam-serangan-malware
2024 年上半年恶意软件攻击激增 30%
https://www.infosecurity-magazine.com/news/malware-attacks-surge-30-per-cent/
PKfail 安全启动绕过让攻击者安装 UEFI 恶意软件
https://www.bleepingcomputer.com/news/security/pkfail-secure-boot-bypass-lets-attackers-install-uefi-malware/
思科 Talos 报告:勒索软件和商业电子邮件入侵(BEC)占网络事件的 60%
https://www.infosecurity-magazine.com/news/ransomware-bec-cyber-incidents/
卡巴斯基称,巴黎 25% 的公共 Wi-Fi 热点不安全
https://www.globalsecuritymag.fr/d-apres-kaspersky-25-des-points-d-acces-wi-fi-publics-parisiens-ne-sont-pas.html
漏洞事件
Vulnerability Incidents
Nvidia 修补 AI、网络产品中的高危漏洞
https://www.securityweek.com/nvidia-patches-high-severity-vulnerabilities-in-ai-networking-products/
BIND 更新解决高严重性 DoS 漏洞
https://www.securityweek.com/bind-updates-resolve-high-severity-dos-vulnerabilities/
美国 CISA 敦促 BIND 9 用户解决新的 DNS 漏洞
https://www.govinfosecurity.com/us-cisa-urges-bind-9-users-to-address-new-dns-exploits-a-25838
CISA 将 Twilio Authy 和 IE 漏洞添加到利用漏洞列表中
https://thehackernews.com/2024/07/cisa-adds-twilio-authy-and-ie-flaws-to.html
西门子修复电网产品漏洞
https://www.securityweek.com/siemens-patches-power-grid-product-flaw-allowing-backdoor-deployment/
研究人员揭露 Google Cloud Platform 中的 ConfusedFunction 漏洞
https://thehackernews.com/2024/07/experts-expose-confusedfunction.html
Docker Engine 严重漏洞(CVE-2024-41110,CVSS 评分为 10)可使攻击者绕过授权插件
https://thehackernews.com/2024/07/critical-docker-engine-flaw-allows.html
ServiceNow 严重RCE 漏洞被利用来窃取凭证
https://www.bleepingcomputer.com/news/security/critical-servicenow-rce-flaws-actively-exploited-to-steal-credentials/
Progress 警告 Telerik Report Server 中存在严重 RCE 漏洞
https://www.bleepingcomputer.com/news/security/progress-warns-of-critical-rce-bug-in-telerik-report-server/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):Mandiant 报告:朝鲜黑客组织 APT45 瞄准武器设计、核设施,并针对医疗机构进行勒索软件攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论