导 读
据《明镜周刊》报道(https://www.spiegel.de/netzwelt/web/diehl-defence-hacker-aus-nordkorea-zielen-auf-mitarbeiter-des-ruestungskonzerns-a-8735f440-670c-40df-9e46-06c620fe9be6),一个与朝鲜政府有关联的专业黑客组织利用巧妙的网络钓鱼活动,利用虚假工作机会和先进社会工程手段,侵入了生产 Iris-T 防空系统的德国公司 Diehl Defence 。
此次攻击被归咎于Kimsuky APT组织,它结合使用带有陷阱的 PDF 文件和鱼叉式网络钓鱼诱饵,为 Diehl Defence 员工提供美国国防承包商的工作机会。
针对 Diehl Defence 的攻击意义重大,因为该公司专门生产导弹和弹药。去年 10 月,Diehl Defence 签署了一项协议,向韩国供应其 Iris-T 短程空对空导弹。
据《明镜周刊》报道,Mandiant 的研究人员对此次入侵事件进行了调查,发现攻击者在发动鱼叉式网络钓鱼攻击之前对 Diehl Defense 进行了详细的侦察。
据《明镜周刊》报道,Kimsuky 黑客将他们的攻击服务器隐藏在一个包含“Uberlingen”的地址后面,“Uberlingen”指的是 Diehl Defence 位于德国南部Uberlingen的所在地。
攻击服务器还托管了看似真实的德语登录页面,类似于电信提供商 Telekom 和电子邮件服务 GMX 的登录页面,这表明攻击者正在批量收集德国用户的登录凭证。
Kimsuky 网络间谍组织 (又名 Springtail、ARCHIPELAGO、Black Banshee、Thallium、Velvet Chollima、APT43)于 2013 年首次被卡巴斯基研究人员发现 。该 APT 组织主要针对韩国的智库和组织,其他受害者位于美国、欧洲和俄罗斯。
2024 年 5 月,赛门铁克研究人员发现与朝鲜有关的组织 Kimsuky 使用了一种名为 Gomir 的新 Linux 后门。该恶意软件是 GoBear 后门的一个版本,在 Kimsuky 最近的一次活动中通过木马化的软件安装包传播。
新闻链接:
https://www.securityweek.com/north-korea-hackers-linked-to-breach-of-german-missile-manufacturer/
今日安全资讯速递
APT事件
Advanced Persistent Threat
与伊朗有关的威胁组织 Handala 积极攻击以色列
https://thecyberexpress.com/iran-threat-group-handala-targets-israel/
朝鲜黑客涉嫌入侵德国导弹制造商
https://www.securityweek.com/north-korea-hackers-linked-to-breach-of-german-missile-manufacturer/
以色列军队入侵贝鲁特机场控制塔的通讯网络
https://securityaffairs.com/169080/cyber-warfare-2/idf-hacked-beirut-airport-control-tower.html
美国指控三名伊朗公民干预选举和犯下网络犯罪
https://thehackernews.com/2024/09/us-charges-three-iranian-nationals-for.html
俄罗斯支持的 Gamaredon 仍然是乌克兰“最活跃”的黑客组织
https://therecord.media/russia-gamaredon-eset-engaged-hackers
Patchwork APT 组织使用新的“Nexe”后门瞄准中国实体并逃避侦查
https://thecyberexpress.com/patchwork-apt-group/
25个与库尔德人有关的网站遭遇水坑攻击,传播恶意 APK 和间谍软件
https://thehackernews.com/2024/09/watering-hole-attack-on-kurdish-sites.html
Cloudflare 警告与印度有关的黑客正在针对南亚和东亚实体
https://thehackernews.com/2024/09/cloudflare-warns-of-india-linked.html
朝鲜黑客在针对性攻击中部署新型 KLogEXE 和 FPSpy 恶意软件
https://thehackernews.com/2024/09/n-korean-hackers-deploy-new-klogexe-and.html
一般威胁事件
General Threat Incidents
新的加密劫持攻击针对 Docker API 来创建恶意 Swarm 僵尸网络
https://thehackernews.com/2024/10/new-cryptojacking-attack-targets-docker.html
人工智能驱动的 Rhadamanthys 窃取者利用图像识别技术瞄准加密钱包
https://thehackernews.com/2024/10/ai-powered-rhadamanthys-stealer-targets.html
云托管商 Rackspace 的监控数据在 ScienceLogic 0day攻击中被盗
https://www.bleepingcomputer.com/news/security/rackspace-monitoring-data-stolen-in-sciencelogic-zero-day-attack/
加州Patelco 信用社数据泄露影响超过 100 万人
https://www.securityweek.com/patelco-credit-union-data-breach-impacts-over-1-million-people/
UMC 卫生系统因勒索软件攻击被迫转移患者
https://www.securityweek.com/umc-health-system-diverts-patients-following-ransomware-attack/
美国、英国和澳大利亚对 Evil Corp 网络犯罪集团实施新的制裁
https://www.bleepingcomputer.com/news/security/evil-corp-hit-with-new-sanctions-bitpaymer-ransomware-charges/
欧洲刑警组织逮捕四名 LockBit 勒索团伙成员并查封其服务器
https://cybernews.com/news/europol-lockbit-ransomware-arrest-servers-seized-operation-cronos/
FIN6黑客组织冒充求职者攻击招聘人员来植入 More_Eggs 后门
https://www.darkreading.com/cyberattacks-data-breaches/attackers-targeting-recruiters-more_eggs-backdoor
法新社称网络攻击针对其 IT 系统
https://therecord.media/afp-cyberattack-targeted-it-systems
微软:美国组织的云环境成为勒索软件攻击的目标
https://www.securityweek.com/microsoft-cloud-environments-of-us-organizations-targeted-in-ransomware-attacks/
漏洞事件
Vulnerability Incidents
(CISA) 将 D-Link DIR-820 路由器、DrayTek Multiple Vigor 路由器、Motion Spell GPAC、SAP Commerce Cloud 漏洞添加到其已知被利用漏洞目录
https://securityaffairs.com/169189/hacking/u-s-cisa-adds-d-link-dir-820-router-draytek-multiple-vigor-router-motion-spell-gpac-sap-commerce-cloud-bugs-to-its-known-exploited-vulnerabilities-catalog.html
Progress Software 发布针对 WhatsUp Gold 中 6 个缺陷的补丁
https://thehackernews.com/2024/09/progress-software-releases-patches-for.html
Chrome 向 30 亿 Windows、Mac、Linux 和 Android 用户发布新安全警告
https://www.forbes.com/sites/daveywinder/2024/09/28/new-chrome-security-warning-for-3-billion-windows-mac-linux-android-users/
NVIDIA Container Toolkit 中存在严重缺陷,可导致完全主机接管
https://www.bleepingcomputer.com/news/security/critical-flaw-in-nvidia-container-toolkit-allows-full-host-takeover/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):朝鲜黑客涉嫌入侵德国导弹制造商
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论