网络安全中的好、坏与丑——第26周

好消息 | 美国司法部起诉造成2500万美元数据盗窃的“IntelBroker”网络攻击者

一名与一系列全球性高影响数据泄露事件有关的英国公民已被美国当局正式起诉。25岁的Kai West被指控使用化名“IntelBroker”策划网络攻击，导致政府机构、企业和关键基础设施遭受约2500万美元的损失。

根据纽约南区美国检察官办公室解封的起诉书，West从事了多年窃取和出售敏感数据的活动，包括健康记录和专有企业信息。这些数据随后在BreachForums（一个知名的地下市场）上路由和交易，West在该市场还担任管理员。

FBI通过卧底购买、加密货币追踪和相关在线账户的取证分析相结合的方式确认了West的身份。调查人员将交易和电子邮件活动与以West名义注册的Ramp银行账户联系起来，最终确认他就是IntelBroker。

West被指控共谋计算机入侵、共谋电信欺诈、电信欺诈以及未经授权访问受保护系统。其中多项罪名的最高刑罚可达25年监禁。他于2025年2月在法国被捕，美国正在寻求引渡他。

这些行动伴随着在法国逮捕另外四名涉嫌运营BreachForums的人员。West的被捕凸显了执法部门在识别和瓦解网络犯罪网络方面的日益有效性，无论这些网络如何全球分散。

坏消息 | APT28滥用Signal在新恶意软件活动中针对乌克兰

乌克兰计算机应急响应小组（CERT-UA）将一个新的恶意软件活动归因于俄罗斯国家支持的组织APT28（也称为UAC-0001）。该活动滥用消息平台Signal作为可信向量，向乌克兰政府实体分发恶意文档。这一策略标志着APT28网络间谍行动的又一次演变。

最新攻击通过Signal传递一个启用宏的Word文档（Акт.doc），该文档部署了一个多阶段感染链。该链包括使用Covenant（一个内存驻留加载器），获取恶意DLL和包含shellcode的WAV文件。这些最终加载BeardShell，一种以前未记录的C++恶意软件，能够解密和执行PowerShell负载，然后通过Icedrive API外传结果。

BeardShell通过Windows注册表中的COM劫持实现持久性，突显了该活动的规避策略。在去年早期的攻击变体中，APT28还部署了SlimAgent，一种旨在通过Windows API调用（如BitBlt、CreateCompatibleDC、CreateCompatibleBitmap、EnumDisplayMonitors和GdipSaveImageToStream）抓取加密截图的恶意软件工具。

根据CERT-UA，他们还观察到与api.icedrive[.]net和app.koofr[.]net等域相关的网络活动，并建议密切监控它们。攻击者使用Signal作为传递机制，结合先进的恶意软件能力，展示了该组织在针对乌克兰数字基础设施方面的持续创新。尽管乌克兰官员对Signal缺乏合作表示担忧，但该平台坚持不与任何政府共享通信数据。

该活动对依赖加密消息平台（如Signal）进行敏感通信的政府和企业网络构成更广泛的风险。部署隐蔽、模块化恶意软件引发了对长期间谍活动、数据盗窃和对国家安全关键部门运营中断的担忧。

丑闻 | Salt Typhoon将网络间谍活动扩展至加拿大电信公司

与中国有关的国家支持威胁组织Salt Typhoon已将其目标扩展至包括加拿大电信提供商。加拿大网络安全中心和FBI证实，该组织在2025年2月通过利用CVE-2023-20198（一个于2023年底披露的关键Cisco IOS XE漏洞）成功入侵了一家加拿大大型电信公司。

该漏洞允许未经身份验证的远程攻击者获得管理员级访问权限，此前已被用于全球超过10,000台设备的入侵。尽管有充足的时间应用可用补丁，但至少一家加拿大电信提供商仍然易受攻击，使攻击者能够入侵三台网络设备。威胁参与者检索了配置文件并建立了通用路由封装（GRE）隧道，允许他们拦截敏感网络流量。

此次入侵紧随2024年10月Salt Typhoon的早期活动，当时在数十家加拿大组织中观察到网络侦察的迹象。尽管当时没有报告确认的入侵，但当局警告说，不采取行动将使关键基础设施暴露。这一警告现已成真。

除了电信行业，Salt Typhoon还与其他部门的侦察和潜在入侵尝试有关，引发了对未来横向移动和供应链攻击的担忧。他们的策略通常侧重于入侵外围设备——路由器、防火墙和VPN设备——托管服务提供商和云供应商也成为目标，以间接访问下游受害者。

网络中心警告说，Salt Typhoon针对大型组织的活动极有可能持续到2026年。特别是电信提供商，由于它们访问元数据、用户信息和敏感通信，仍然是高价值目标。