网络安全中的好、坏、丑——第27周

好 | 全球打击行动针对朝鲜诈骗、加密投资圈与俄罗斯网络犯罪生态

对16个州的29个笔记本电脑农场进行突击检查，打击了朝鲜的一项行动，该行动利用虚假身份将IT工作者安置在100多家美国公司的远程职位中。

在“DPRK RevGen：国内促成者倡议”的推动下，执法机构逮捕了王振兴（“Danny” Wang）和其他八名参与者，他们的一项计划为朝鲜产生了超过500万美元的收入，并暴露了敏感数据，包括军事技术。调查还查获了数百个金融账户、21个虚假网站和200台计算机。

目前，四名朝鲜国民仍在逃，悬赏500万美元以获取他们的行踪信息。

今天，FBI和@TheJusticeDept宣布全国性行动，以破坏朝鲜通过远程IT工作欺诈美国公司的计划，其中包括逮捕一名美国国民，据称他为朝鲜行为者托管了一个笔记本电脑农场。
— FBI (@FBI) 2025年6月30日

另外五名个人在马德里和加那利群岛被捕，他们从加密投资骗局中洗钱5.4亿美元，诈骗了超过5000名受害者。在欧洲刑警组织和国际合作伙伴的支持下，该行动揭露了一个全球网络，依赖遍布亚洲的混淆通道，通过现金提取、银行转账和加密账户路由非法资金。

美国财政部OFAC对与俄罗斯相关的Aeza Group及其附属公司实施制裁，因其向网络犯罪分子和勒索软件团伙提供防弹托管（BPH）服务。

Aeza的基础设施支持恶意软件活动、暗网毒品市场和亲俄影响力行动。其成员中多人最近被捕，据称他们促成了对美国科技和国防公司的全球攻击。迄今为止，Aeza已收到超过35万美元与非法活动相关的加密资金。

这些与国际合作伙伴协调的制裁，是通过针对抗滥用基础设施及其运营商来破坏勒索软件生态系统的更广泛努力的一部分。

坏 | 美国机构警告关键基础设施公司防范伊朗网络威胁

本周美国网络机构发布的新联合咨询警告称，伊朗附属威胁行为者可能对美国关键基础设施发动网络攻击。

虽然尚未检测到活跃活动，但鉴于中东持续紧张局势以及过去与伊朗相关的网络活动实例，机构呼吁提高警惕。特别是，国防工业基地（DIB）、能源、水和医疗保健行业的组织被列为潜在目标。

参谋长联席会议主席空军将军Dan Caine在五角大楼新闻发布会上讨论对伊朗的打击（来源：USA Today）

伊朗附属威胁行为者以利用未修补漏洞和默认凭据而闻名。2023年，IRGC附属行为者通过针对互联网暴露的Unitronics可编程逻辑控制器（PLC）入侵了宾夕法尼亚州的一家水设施。这些行为者还通常对以色列相关实体进行DDoS攻击、网站篡改和勒索软件活动，并已知与NoEscape、RansomHouse和BlackCat等勒索软件团伙合作。

伊朗行为者通常从使用Shodan等侦察工具定位易受攻击的ICS设备开始，然后利用弱网络分段横向移动。他们还使用RAT、键盘记录器、PsExec、Mimikatz和诊断工具来升级访问权限并逃避检测。该咨询是在DHS公告警告地缘政治冲突升级中亲伊朗黑客活动分子可能发动“低级别”网络攻击之后发布的。

CISA和合作伙伴机构敦促目标行业通过将操作技术（OT）和工业控制系统（ICS）与公共网络隔离、替换所有默认值后强制执行强唯一密码、启用MFA、应用关键软件补丁、监控网络异常活动以及建立具有测试备份和恢复系统的事件响应计划来加强网络防御。有关进一步指导，组织可以咨询CISA和FBI涵盖伊朗网络威胁的网页。

丑 | 朝鲜威胁行为者使用macOS恶意软件针对Web3公司

SentinelLABS的新研究报告称，Web3和加密相关企业正成为朝鲜国家资助威胁行为者的目标。使用诱饵和虚假Zoom更新请求，攻击者提供多个有效载荷，包括用C++编写的二进制文件，以及不寻常地使用Nim。

被称为“NimDoor”的攻击链始于目标通过Telegram被诱骗接受商务会议邀请。会议邀请触发恶意脚本，警告受害者需要“Zoom SDK更新”。运行该脚本启动复杂的感染链。

研究人员详细描述了NimDoor如何部署两个关键二进制文件：一个名为GoogIe LLC（使用大写“I”而非小写“L”）的加载器和一个名为CoreKitAgent的特洛伊木马。GoogIe LLC收集系统详细信息并编写配置文件，通过LaunchAgent帮助建立持久性。

该特洛伊木马使用一种新颖的基于信号的持久性机制。CoreKitAgent不是在活动生命周期中写出持久性组件，而是等待系统重启或用户终止。恶意软件捕获通常用于告诉程序在终止前清理的信号中断。CoreKitAgent使用这些信号写出自身、加载器和在系统重启或用户登录帐户时激活的LaunchAgent的副本。

持久性逻辑在代理、特洛伊木马和加载器二进制文件上设置执行权限

此外，恶意软件执行一个十六进制编码的AppleScript，每30秒向两个硬编码命令和控制（C2）服务器之一发出信标。信标发布受害者机器上运行程序的列表，并执行从C2接收的任何脚本，有效地作为后门操作。

同时，攻击链的第二部分启动另一个基于Nim的特洛伊木马，该木马通过WebSockets（WSS）通信并下载两个bash脚本。这些脚本窃取浏览器数据、shell历史、Keychains和Telegram数据库，将数据外泄到其他攻击者控制的基础设施。

朝鲜附属行为者越来越多地利用macOS的内置脚本功能来增强隐蔽性和逃避检测。同时，采用不太知名的语言如Nim和Crystal（今年早些时候刚刚出现）使攻击者能够制作分析师不太熟悉的多阶段有效载荷。这些选择反映了与本地系统行为融合的趋势，同时利用新颖工具使安全分析师的工作复杂化。