网络安全中的善、恶与丑闻——第23周技术深度解析

本周网络安全事件涵盖执法部门打击暗网金融犯罪、伊朗APT组织BladedFeline的新型恶意软件工具链,以及针对开源软件库的AI驱动供应链攻击,涉及远程代码执行、加密货币窃取和机器学习模型武器化等技术细节。

网络安全中的善、恶与丑闻——第23周

善 | 执法部门打击暗网欺诈、政府门户漏洞和加密货币盗窃

美国和国际执法部门查封了BidenCash——一个主要从事窃取信用卡数据和个人身份信息(PII)交易的大型暗网市场。此次联合行动取缔了超过一百个域名,并没收了与该市场相关的加密货币。自2022年3月以来,BidenCash促进了超过1700万美元的非法交易,并泄露了数百万张支付卡以提升其在生态系统中的可见性。尽管此类平台经常重新出现,但此次取缔显著破坏了犯罪运营,并凸显了打击金融网络犯罪的持续努力。 来源:BleepingComputer

网络犯罪组织ViLE的两名成员因入侵联邦执法门户网站而被判刑。ViLE专门从事人肉搜索,使用窃取的个人详细信息骚扰或勒索个人,通常通过冒充执法人员和利用内部访问权限。Sagar Steven Singh和Nicholas Ceraolo均对访问DEA门户网站并利用受害者数据发出支付威胁表示认罪。当局继续调查该勒索计划中的其他ViLE成员,而Ceraolo和Singh将分别服刑25个月和27个月。

乌克兰警方逮捕了一名嫌疑人,据称其通过一家国际托管公司入侵了5000多个账户以挖掘加密货币,导致450万美元的损失。自2018年以来活跃,他使用开源情报寻找易受攻击的系统,并在受感染的账户上部署虚拟机。在乌克兰多个城市流动以逃避检测后,该嫌疑人在黑客论坛上维护了多个个人资料,但最终被与窃取凭证、加密钱包和挖矿工具等证据联系起来。他面临最高15年监禁,随着调查的继续,可能面临更多指控。

恶 | BladedFeline APT针对伊拉克和库尔德官员的战略间谍活动

针对库尔德和伊拉克政府官员的一系列新网络攻击被归因于BladedFeline,这是一个与伊朗结盟的威胁行为者,被认为是OilRig APT组织的一个子集群。自2017年开始运作以来,BladedFeline主要针对库尔德地区政府(KRG)、伊拉克各种实体以及阿塞拜疆政府组织进行长期间谍活动。

BladedFeline以使用多样化的恶意软件工具包而闻名,包括后门如Shahmaran、Whisper、Spearal和Optimizer,每个都提供远程代码执行(RCE)和数据外泄能力。该威胁组织还部署了较新的植入程序,如Slippery Snakelet和Hawking Listener,以及用于持久性的隧道工具Laret和Pinar。除了使用后门,BladedFeline还经常使用PrimeCache,一个恶意的IIS模块,用于监控HTTP请求以获取攻击者命令,凸显了该组织保持隐蔽和持久性的策略。

他们最近活动的地理范围和技术深度是BladedFeline操作的典型特征,因为他们同时保持了对库尔德外交官员的访问权限,渗透了伊拉克政府网络,并入侵了乌兹别克斯坦的一家区域电信提供商。在最近的攻击中,操作表明其目标是获取外交和金融情报,以服务于伊朗的战略利益,特别是在对抗西方影响力方面。尽管到达库尔德地区政府(KRG)的初始访问方法尚不清楚,但跟踪该活动的安全研究人员怀疑是利用面向互联网的应用程序。

BladedFeline的目标反映了以间谍为中心的客观,专注于从KRG和伊拉克中央政府的高级官员那里收集情报。KRG与西方国家的强大外交关系以及对宝贵石油储备的控制,使其成为与伊朗结盟的行为者寻求监控、影响或破坏该地区外国伙伴关系的战略目标。

丑 | 攻击者用恶意软件淹没开源仓库以针对加密货币、CI/CD和开发者

一系列供应链攻击正在外泄Telegram API数据,因为威胁行为者武器化了包括npm、PyPI和Ruby在内的开源软件包仓库。在劫持受信任的开发人员基础设施并植入持久性恶意软件后,攻击者正在耗尽受害者的加密货币钱包,然后擦除整个代码库。

在RubyGems上,攻击者上传了合法Fastlane插件的克隆以窃取Telegram API。这些软件包通过将通信重路由通过命令和控制(C2)服务器来工作,伪装成在越南全国Telegram禁令后的代理。安全研究人员将该活动与使用多个别名操作的用户联系起来,同时警告由于其缺乏地理围栏而具有广泛影响。

两个恶意的Ruby gem,作为Telegram代理助手销售(来源:Socket)

还观察到恶意的npm包,如xlsx-to-json-lh,触发了能够擦除整个项目目录的破坏性有效载荷。其他与@crypto-exploit账户相关的包,使用混淆的JavaScript耗尽了以太坊和BSC钱包,有些在移除前已存在多年。在PyPI上,攻击者以“cappership”等别名发布了Solana主题的包,其有效载荷通过运行时函数修补 silently窃取私钥。一些恶意软件将窃取的密钥嵌入Solana Devnet交易中以供后续检索。

该活动最值得注意的是使用AI工具毒化软件供应链,将恶意的PyPI包伪装成Python软件开发工具包(SDK)。这些包将信息窃取有效载荷嵌入PyTorch模型中——一种新颖的交付方法,滥用机器学习(ML)格式的不安全反序列化行为。通过将恶意软件隐藏在ML资产中并检索与恶意应用程序相关的元数据,攻击者可以结合社会工程、typosquatting和定向遥测来逃避检测并精确瞄准潜在受害者。

这种方法标志着供应链攻击的新边缘,即机器学习模型本身正在成为妥协的载体。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次