导 读
2024 年 8 月,有朝鲜背景的威胁组织 Andariel 针对美国的三个不同组织发起攻击,这可能是一次出于经济动机的攻击。
赛门铁克的一份报告表示:“虽然攻击者未能成功在任何受影响组织的网络上部署勒索软件,但这些攻击很可能是出于经济动机。”
Andariel 威胁组织据评估是臭名昭著的 Lazarus Group 的一个子集群。它还被称为 APT45、DarkSeoul、Nickel Hyatt、Onyx Sleet(以前称为 Plutonium)、Operation Troy、Silent Chollima 和 Stonefly。它至少从 2009 年开始就活跃起来。
该黑客团队是朝鲜侦察总局 (RGB) 的一个分支,曾部署过 SHATTEREDGLASS 和Maui等勒索软件,同时还开发了一系列定制后门,例如 Dtrack(又名 Valefor 和 Preft)、TigerRAT、Black RAT(又名 ValidAlpha)、Dora RAT 和 LightHand。
该威胁组织使用的其他一些鲜为人知的工具包括代号为Jokra 的数据擦除器和名为Prioxer 的高级植入物,允许与命令和控制 (C2) 服务器通信。
2024 年 7 月,Andariel集团的一名朝鲜军事情报人员被美国司法部 (DoJ)起诉,罪名是涉嫌对该国医疗机构发动勒索软件攻击,并利用不义之财对世界各地的国防、技术和政府实体进行进一步入侵。
最新的一系列攻击的特点是部署了 Dtrack,以及另一个名为 Nukebot 的后门,它具有执行命令、下载和上传文件以及截屏的功能。
赛门铁克表示:“Nukebot 之前并未与 Stonefly 有过关联,然而其源代码被泄露,Stonefly 很可能就是通过这种方式获得该工具的。”
虽然 Andariel 习惯于利用面向互联网的应用程序中已知的 N-day 安全漏洞来侵入目标网络,但最初放弃访问权限的具体方法尚不清楚。
入侵中使用的其他程序包括 Mimikatz、Sliver、Chisel、PuTTY、Plink、Snap2HTML 和 FastReverseProxy (FRP),所有这些程序都是开源的或可公开获得的。
据观察,攻击者还使用冒充 Tableau 软件的无效证书对某些工具进行签名,这是微软此前披露的一种策略。
尽管 Andariel 自 2019 年以来已将重点转向间谍活动,但赛门铁克表示,其转向以经济为动机的攻击是相对较新的发展,尽管美国政府采取了行动,但这一趋势仍在继续。
报告还补充道:“该组织可能会继续试图对美国的组织发起勒索攻击。”
技术报告:https://symantec-enterprise-blogs.security.com/threat-intelligence/stonefly-north-korea-extortion
新闻链接:
https://thehackernews.com/2024/10/andariel-hacker-group-shifts-focus-to.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
CeranaKeeper 威胁组织与一系列针对东南亚的数据泄露攻击有关
https://thehackernews.com/2024/10/china-linked-ceranakeeper-targeting.html
FIN7 黑客组织推出深度伪造裸体“生成器”网站来传播恶意软件
https://www.bleepingcomputer.com/news/security/fin7-hackers-launch-deepfake-nude-generator-sites-to-spread-malware/
朝鲜黑客组织将重点转向对美国组织进行经济动机的攻击
https://thehackernews.com/2024/10/andariel-hacker-group-shifts-focus-to.html
一般威胁事件
General Threat Incidents
投资消费杀猪盘应用程序通过 Apple App Store 和 Google Play 瞄准全球受害者
https://thehackernews.com/2024/10/fake-trading-apps-target-victims.html
PyPI 存储库被发现托管用于窃取用户数据的虚假加密钱包恢复工具
https://thehackernews.com/2024/10/pypi-repository-found-hosting-fake.html
人工智能驱动的 Rhadamanthys 窃取者利用图像识别技术瞄准加密钱包
https://thehackernews.com/2024/10/ai-powered-rhadamanthys-stealer-targets.html
虚假浏览器更新传播更新的 WarmCookie 恶意软件
https://www.bleepingcomputer.com/news/security/fake-browser-updates-spread-updated-warmcookie-malware/
创纪录的 DDoS 攻击峰值达到 3.8 Tbps,21.4 亿 Pps
https://www.securityweek.com/record-breaking-ddos-attack-peaked-at-3-8-tbps-2-14-billion-pps/
漏洞事件
Vulnerability Incidents
研究人员展示如何利用 CUPS 进行 DDoS 攻击
https://www.securityweek.com/after-code-execution-researchers-show-how-cups-can-be-abused-for-ddos-attacks/
CISA:网络交换机 RCE 漏洞影响关键基础设施
https://www.bleepingcomputer.com/news/security/cisa-network-switch-rce-flaw-impacts-critical-infrastructure/
PoC 发布一天后,Zimbra 关键漏洞遭利用
https://www.securityweek.com/critical-zimbra-vulnerability-exploited-one-day-after-poc-release/
黑客正在利用 SolarWinds Serv-U 关键漏洞
https://cybersecuritynews.com/solarwinds-serv-u-vulnerability-exploited/
NVIDIA 工具包中的严重漏洞威胁云 AI 环境
https://www.jdsupra.com/legalnews/critical-vulnerability-in-nvidia-5645108/
超过 700,000 台 DrayTek 路由器因 14 个新漏洞而遭受黑客攻击
https://thehackernews.com/2024/10/alert-over-700000-draytek-routers.html
Adobe Commerce 和 Magento 商店遭受 CosmicSting 漏洞攻击
https://thehackernews.com/2024/10/alert-adobe-commerce-and-magento-stores.html
研究人员警告利用 Zimbra Postjournal 关键漏洞发起的攻击正在持续发生
https://thehackernews.com/2024/10/researchers-sound-alarm-on-active.html
Ivanti RCE 严重漏洞已被公开利用,现已被用于攻击
https://www.bleepingcomputer.com/news/security/critical-ivanti-rce-flaw-with-public-exploit-now-used-in-attacks/
黑客积极利用 Zimbra RCE 漏洞,只须向SMTP服务器发送特制邮件
https://www.bleepingcomputer.com/news/security/critical-zimbra-rce-flaw-exploited-to-backdoor-servers-using-emails/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):朝鲜黑客组织将重点转向对美国组织进行经济动机的攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论