网络安全中的善恶丑:第27周全球行动与macOS恶意软件分析

本周网络安全动态涵盖全球执法行动打击朝鲜IT欺诈、加密货币洗钱及俄罗斯网络犯罪生态,美国机构警告伊朗网络威胁,以及朝鲜黑客使用Nim语言针对macOS的Web3企业攻击链分析。

网络安全中的善恶丑 – 第27周

2025年7月4日
作者:SentinelOne

善 | 全球打击行动针对朝鲜欺诈、加密货币投资圈及俄罗斯网络犯罪生态

对16个州的29个笔记本电脑农场进行突袭,打击了朝鲜的一项行动,该行动使用虚假身份将IT工作者安置在100多家美国公司的远程职位中。在“DPRK RevGen: Domestic Enabler Initiative”的推动下,执法机构逮捕了Zhenxing “Danny” Wang及其他八名参与者,该计划为朝鲜创造了超过500万美元的收入,并暴露了敏感数据,包括军事技术。调查还查获了数百个金融账户、21个虚假网站和200台计算机。目前,四名朝鲜国民仍在逃,悬赏500万美元征集其行踪信息。

另外五人在马德里和加那利群岛被捕,涉嫌从加密货币投资诈骗中洗钱5.4亿美元,诈骗了超过5,000名受害者。在欧洲刑警组织和国际合作伙伴的支持下,该行动揭露了一个依赖亚洲混淆渠道的全球网络,通过取现、银行转账和加密货币账户路由非法资金。

美国财政部OFAC对俄罗斯关联的Aeza Group及其附属公司实施制裁,因其向网络犯罪分子和勒索软件团伙提供防弹托管(BPH)服务。Aeza的基础设施支持恶意软件活动、暗网毒品市场和亲俄影响力行动。其成员中多人最近被捕,据称协助了对美国科技和国防公司的全球攻击。至今,Aeza已收到超过35万美元与非法活动相关的加密货币。这些制裁与国际合作伙伴协调,旨在通过针对抗滥用基础设施及其运营商来破坏勒索软件生态。

恶 | 美国机构警告关键基础设施公司防范伊朗网络威胁

本周美国网络机构发布的新联合咨询警告称,伊朗关联的威胁行为者可能对美国关键基础设施发动网络攻击。虽然尚未检测到活跃活动,但鉴于中东持续紧张局势和过去与伊朗相关的网络活动实例,机构呼吁提高警惕。特别是国防工业基地(DIB)、能源、水和医疗保健行业的组织被列为潜在目标。

伊朗关联的威胁行为者以利用未修补漏洞和默认凭据而闻名。2023年,IRGC关联的行为者通过针对互联网暴露的Unitronics可编程逻辑控制器(PLC)入侵了宾夕法尼亚州的水设施。这些行为者通常还进行DDoS攻击、网站篡改和勒索软件活动,常针对以色列关联实体,并已知与NoEscape、RansomHouse和BlackCat等勒索软件团伙合作。

伊朗行为者通常从使用Shodan等侦察工具定位易受攻击的ICS设备开始,然后利用弱网络分段横向移动。他们还使用RAT、键盘记录器、PsExec、Mimikatz和诊断工具来提升访问权限并逃避检测。该咨询紧随DHS公告,警告在地缘政治冲突加剧背景下,亲伊朗黑客活动分子可能发动“低级别”网络攻击。

CISA及合作伙伴机构敦促目标行业通过将操作技术(OT)和工业控制系统(ICS)与公共网络隔离、替换所有默认值后强制执行强唯一密码、启用MFA、应用关键软件补丁、监控网络异常活动以及建立具有测试备份和恢复系统的事件响应计划来加强网络防御。更多指导,组织可咨询CISA和FBI覆盖伊朗网络威胁的网页。

丑 | 朝鲜威胁行为者使用macOS恶意软件针对Web3公司

SentinelLABS的新研究报告称,Web3和加密货币相关企业正成为朝鲜国家资助威胁行为者的目标。攻击者使用诱饵和虚假Zoom更新请求,提供多个有效负载,包括用C++编写的二进制文件,以及不寻常的Nim语言。

被称为“NimDoor”的攻击链始于目标通过Telegram被诱骗接受商务会议邀请。会议邀请触发恶意脚本,警告受害者需要“Zoom SDK更新”。运行脚本启动复杂感染链。

研究人员详细说明NimDoor如何部署两个关键二进制文件:一个名为GoogIe LLC(使用大写“I”而非小写“L”)的加载器和一个名为CoreKitAgent的特洛伊木马。GoogIe LLC收集系统详细信息并写入配置文件,通过LaunchAgent帮助建立持久性。

特洛伊木马使用新颖的基于信号的持久性机制。CoreKitAgent不在其活动生命周期中写入持久性组件,而是等待系统重启或用户终止。恶意软件捕获通常用于告诉程序在终止前清理的信号中断。CoreKitAgent使用这些信号写入自身、加载器和LaunchAgent的副本,这些在系统重启或用户登录帐户时激活。

持久性逻辑在代理、特洛伊木马和加载器二进制文件上写入并设置执行权限

此外,恶意软件执行十六进制编码的AppleScript,每30秒向两个硬编码命令和控制(C2)服务器之一发送信标。信标发布受害者机器上运行程序列表,并执行从C2接收的任何脚本,有效作为后门操作。

同时,攻击链的第二部分启动另一个基于Nim的特洛伊木马,通过WebSockets(WSS)通信并下载两个bash脚本。脚本窃取浏览器数据、shell历史、Keychains和Telegram数据库,将数据外泄到其他攻击者控制的基础设施。

朝鲜关联行为者越来越多地利用macOS的内置脚本功能增强隐身和逃避检测。同时,采用较不知名的语言如Nim和Crystal(今年初所见)允许攻击者制作分析师不太熟悉的多阶段有效负载。这些选择反映了与原生系统行为混合的趋势,同时利用新颖工具使安全分析师的工作复杂化。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次