导 读
据观察,与朝鲜有关的黑客组织利用 LinkedIn 来针对开发人员进行虚假招聘行动。
谷歌旗下的 Mandiant 在一份有关 Web3 领域面临威胁的新报告中表示,这些攻击采用编码测试作为常见的初始感染媒介。
研究人员 Robert Wallace、Blas Kojusner 和 Joseph Dobson表示:“在最初的聊天对话之后,攻击者发送了一个 ZIP 文件,其中包含伪装成 Python 编码的 COVERTCATCH 恶意软件。”
该恶意软件充当启动器,通过下载第二阶段有效负载(该负载通过启动代理和启动守护进程建立持久性)来危害目标的 macOS 系统。
值得指出的是,这是朝鲜黑客组织开展的众多活动集群之一,这些攻击活动利用与工作相关的诱饵来感染目标恶意软件。
招募主题的诱饵也是传播RustBucket 和 KANDYKORN等恶意软件家族的常用手段。目前尚不清楚 COVERTCATCH 是否与这些病毒株或新发现的 TodoSwift 有任何联系。
Mandiant 表示,它观察到一项社会工程活动,该活动发送了一份恶意 PDF,伪装成一家著名加密货币交易所的“财务和运营副总裁”的职位描述。
“恶意 PDF 释放了名为 RustBucket 的第二阶段恶意软件,这是一个用 Rust 编写的支持文件执行的后门。”
RustBucket 植入物可以收集基本系统信息、与通过命令行提供的 URL 进行通信,并使用伪装成“Safari 更新”的启动代理设置持久性,以便联系硬编码的命令和控制 (C2) 域。
朝鲜针对 Web3 组织的攻击不仅仅限于社会工程学,还包括软件供应链攻击,正如近年来针对3CX和JumpCloud的事件所观察到的那样。
Mandiant 表示:“一旦通过恶意软件建立立足点,攻击者就会转向密码管理器窃取凭证,通过代码库和文档进行内部侦察,并进入云托管环境以泄露热钱包密钥并最终耗尽资金。”
此事披露之际,美国联邦调查局 (FBI) 警告称,朝鲜黑客利用“高度定制化、难以察觉的社会工程活动”瞄准加密货币行业。
这些正在进行的活动冒充受害者可能亲自或间接认识的招聘公司或个人,向其提供就业或投资,这被视为明目张胆的加密货币盗窃的渠道。
值得注意的是,他们采用的策略包括确定感兴趣的加密货币相关业务、在联系目标之前进行广泛的术前研究,以及编造个性化的虚假场景,试图吸引潜在受害者并增加攻击成功的可能性。
联邦调查局表示:“犯罪分子可能会提及个人信息、兴趣、从属关系、事件、个人关系、专业联系或受害者认为很少有人知道的细节”,并强调他们试图建立融洽关系并最终传播恶意软件。
“如果成功建立双向联系,最初的攻击者或攻击者团队的另一名成员可能会花费大量时间与受害者接触,以增加合法性、产生熟悉感和信任度。”
技术报告:https://cloud.google.com/blog/topics/threat-intelligence/examining-web3-heists/
新闻链接:
https://thehackernews.com/2024/09/north-korean-threat-actors-deploy.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
与伊朗有关的黑客组织加大对美国关键基础设施的网络攻击
https://www.cybersecuritydive.com/news/iran-cyberattacks-us-critical-infrastructure/725877/
朝鲜黑客通过 LinkedIn 求职诈骗部署 COVERTCATCH 恶意软件
https://thehackernews.com/2024/09/north-korean-threat-actors-deploy.html
伦敦交通局遭受网络攻击后面临系统中断
https://www.bleepingcomputer.com/news/security/transport-for-london-staff-faces-systems-disruptions-after-cyberattack/
Stately Taurus APT组织滥用 VSCode 攻击亚洲目标
https://unit42.paloaltonetworks.com/stately-taurus-abuses-vscode-southeast-asian-espionage/
乌克兰士兵遭恶意软件攻击,黑客窃取 GPS 坐标
https://cybernews.com/cyber-war/ukrainian-soldiers-targeted-with-data-stealing-malware/
美国政府及其盟友警告:俄罗斯军事黑客与关键基础设施攻击有关
https://www.bleepingcomputer.com/news/security/us-and-allies-link-russian-military-hackers-behind-critical-infrastructure-attacks-to-gru-unit-29155/
黑客组织Earth Lusca 使用新的后门 KTLVdoor 对中国一家贸易公司进行攻击
https://securityaffairs.com/168078/malware/earth-lusca-malware-ktlvdoor.html
一般威胁事件
General Threat Incidents
黑客利用 GeoServer 漏洞传播后门和僵尸网络恶意软件
https://thehackernews.com/2024/09/geoserver-vulnerability-targeted-by.html
适应性强的 Cicada3301 勒索软件攻击 Windows 和 Linux PC
https://hi-tech.ua/en/the-adaptable-cicada3301-ransomware-attacks-windows-and-linux-pcs/
美国及其盟友指责俄罗斯军方发动破坏性网络攻击
https://www.infosecurity-magazine.com/news/us-allies-russian-military-cyber/
Stately Taurus APT组织滥用 VSCode 攻击亚洲目标
https://unit42.paloaltonetworks.com/stately-taurus-abuses-vscode-southeast-asian-espionage/
乌克兰士兵遭恶意软件攻击,黑客窃取 GPS 坐标
https://cybernews.com/cyber-war/ukrainian-soldiers-targeted-with-data-stealing-malware/
漏洞事件
Vulnerability Incidents
CISA 将 Draytek VigorConnect 和金山 WPS Office 漏洞添加到其已知利用漏洞目录中
https://securityaffairs.com/168153/security/cisa-draytek-vigorconnect-kingsoft-wps-office-bugs-known-exploited-vulnerabilities-catalog.html
CISA 打破沉默,揭露备受争议的“机场安检绕过”漏洞
https://www.securityweek.com/cisa-responds-after-disclosure-of-controversial-airport-security-bypass-vulnerability/
SonicWall 警告客户,最近修补的严重漏洞 CVE-2024-40766 可能会被利用
https://www.securityweek.com/recent-sonicwall-firewall-vulnerability-potentially-exploited-in-the-wild/
LiteSpeed Cache 插件漏洞导致数百万 WordPress 网站遭受攻击
https://www.securityweek.com/litespeed-cache-plugin-vulnerability-exposes-millions-of-wordpress-sites-to-attacks/
WordPress 的 LiteSpeed Cache 插件中发现严重安全漏洞
https://thehackernews.com/2024/09/critical-security-flaw-found-in.html
Apache OFBiz 更新修复了导致远程代码执行的高危漏洞
https://thehackernews.com/2024/09/apache-ofbiz-update-fixes-high-severity.html
Microsoft Office 2024 将默认禁用 ActiveX 控件
https://www.bleepingcomputer.com/news/microsoft/microsoft-office-2024-to-disable-activex-controls-by-default/
Veeam 修补企业产品中的严重漏洞,包括 5 个严重级别RCE漏洞
https://www.securityweek.com/veeam-patches-critical-vulnerabilities-in-enterprise-products/
严重 Progress LoadMaster 漏洞使攻击者可执行任意代码
https://cybersecuritynews.com/critical-progress-loadmaster-vulnerability/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):朝鲜黑客通过 LinkedIn 求职诈骗部署 COVERTCATCH 恶意软件
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论