善 | 机场遭攻击后执法部门迅速逮捕嫌疑人

英国当局迅速逮捕了一名与上周五柯林斯航空航天公司网络攻击有关的个人，此次攻击导致柏林、布鲁塞尔、都柏林和希思罗等多个欧洲机场运营中断。

对柯林斯MUSE（多用户系统环境）软件的攻击——负责处理乘客值机、登机和行李托运等活动——导致整个周末航班中断，布鲁塞尔机场的航空公司被告知取消下周一首日276个计划航班中的约140个。

同时，希思罗机场据称有超过一千台计算机被"损坏"，表明很可能是一次勒索软件攻击。

在柏林，机场当局表示截至周三早上，值机和登机仍在手动处理，乘客应预计延误和取消。都柏林机场发言人表示，截至周三，值机和行李托运的手动解决方案仍在实施，尚未确定恢复正常的时间表。

一名未透露姓名的40多岁男性于周二晚上在英国西萨塞克斯郡因涉嫌违反《计算机滥用法》而被捕。英国国家犯罪局（NCA）表示调查仍处于早期阶段且正在进行中。该男子已获保释等待进一步调查。

恶 | 朝鲜威胁组织合作武器化开发者身份

ESET研究人员本周提供了进一步证据，表明负责"传染性面试"活动和朝鲜欺诈IT工作者活动的不同朝鲜威胁组织很可能协同工作，使用从前者的身份信息来支持后者的招募活动。

研究人员详细介绍了他们称为"欺骗性开发"的威胁组织活动（与传染性面试活动广泛重叠），并表示他们发现了这两个活动之间的新联系。欺骗性开发操作员使用LinkedIn和其他社交媒体平台冒充招聘人员，使用欺诈性工作机会引诱求职者并入侵他们的计算机。

同时，运行IT工作者骗局的操作员使用欺骗性开发操作员窃取的信息冒充求职者，潜入他们希望渗透的公司。研究人员表示，这些虚假IT工作者最初针对美国的工作机会，但现在已转向法国、波兰和乌克兰等欧洲国家。

通过分析OSINT数据和其他研究，ESET表示这些虚假IT工作者被组织成团队，成员每天工作10-16小时，寻求工作机会、完成任务并学习网络编程、区块链、人工智能和英语等主题。成员还使用准备好的脚本来尝试招募目标国家的代理人，这些代理人愿意参加面试或运行笔记本电脑农场。

朝鲜感染求职者及其潜在或当前雇主以及使用被盗数据作为欺诈工作者潜入公司的活动规模令安全研究人员感到惊讶。这种威胁与简单地检测和预防孤立活动相比提出了不同的挑战，并强调安全团队和招聘团队需要开发能够识别欺诈申请的工作流程。同时，敦促企业确保使用可信的安全平台锁定内部资源，该平台可以防止入侵和内部威胁。

丑 | 中国关联威胁组织在边缘设备上投放潜伏超一年的恶意软件

谷歌威胁情报小组（GTIG）本周表示，与中国关联的威胁组织一直在针对美国科技和法律行业公司使用名为BRICKSTORM的隐蔽后门，很可能旨在感染更广泛的下游受害者并为新的零日漏洞开发提供信息。

GTIG将此活动归因于UNC5221，表示该威胁集群与广泛报道的Silk Typhoon活动不同，后者被指名为今年早些时候对美国利益进行多次攻击的负责组织。UNC5221的活动特别侧重于通过设备和网络边缘设备上的后门获取和维持长期访问，这些设备通常由于处理器能力、内存和存储空间有限而无法支持端点安全软件。

研究人员表示，由于感染和攻击之间的平均停留时间长达393天，通常超过日志保留期，因此初始访问难以确定。然而，在一个案例中，确定入侵利用了Ivanti Connect Secure设备中的安全漏洞来获得初始访问。

获得立足点后，UNC5221将基于Go的后门Linux/BSD恶意软件BRICKSTORM部署到网络设备上，然后使用从网络设备捕获的有效凭证转向VMware vCenter和ESXi主机。

GTIG表示，所有事件的共同主题是威胁行为者对受害组织内关键个人（特别是开发人员和系统管理员）电子邮件的兴趣。攻击者使用微软的Entra ID企业应用程序，具有mail.read和full_access_as_app范围，以访问每个邮箱。

搜索BRICKSTORM为防御者创造了挑战，因为恶意软件通常驻留在缺乏EDR遥测的设备上。谷歌发布了一个扫描工具来帮助搜索已知样本，以及用于威胁搜寻和设备加固的全面建议。