网络安全周报第28期:恶意软件演进与国家黑客活动激增

本周网络安全事件频发,包括中国公民因涉嫌与Silk Typhoon黑客组织有关在米兰被捕,macOS.ZuRu恶意软件通过伪造Termius应用传播,以及DoNot Team组织使用LoptikMod RAT针对欧洲外交部进行间谍活动。这些事件突显了网络安全威胁的多样性和持续性。

网络安全中的好、坏与丑 – 第28周

好的一面 | 当局针对两个国家支持的黑客组织及与DragonForce攻击有关的网络犯罪分子采取行动

一名中国公民徐泽伟(Xu Zewei)在米兰根据逮捕令被捕,涉嫌与被称为Silk Typhoon或Hafnium的中国支持的黑客组织有关。多年来,该组织被指控在2020年针对美国机构、COVID-19研究人员和医疗组织,窃取与疫苗相关的数据。意大利媒体将徐与这些网络间谍攻击以及最近针对美国外国投资委员会(OFAC)的 campaigns 联系起来。目前,徐仍被拘留,美国正在寻求引渡他。

来源:InSicurezzaDigitale

美国财政部对一名朝鲜公民Song Kum Hyok实施了制裁,因其运行与APT45(又名Andariel)威胁组织有关的IT worker计划。Song使用被盗的美国身份帮助朝鲜国民在美国公司获得远程工作,将收入汇回政权以支持其武器计划。其中一些工人还协助网络攻击并在雇主系统上部署恶意软件。制裁还扩展到五个相关的个人和实体,紧随美国最近针对朝鲜笔记本电脑农场采取的行动,该行动导致多项起诉、扣押以及本月早些时候的一次逮捕。

英国国家犯罪局拘留了四名嫌疑人 – 三名英国人和一名拉脱维亚人 – 据称与针对包括玛莎百货(Marks & Spencer)和哈罗德(Harrods)在内的英国主要零售商的网络攻击有关。该组织被认为与DragonForce勒索软件组织有关,面临敲诈和洗钱指控。攻击后果导致重大中断,玛莎百货在勒索软件部署和数据盗窃后遭受了4.02亿美元的利润损失。当局能够查获多台设备作为证据,调查仍在继续,而更广泛的集体在零售、保险和运输部门仍然活跃。

坏的一面 | ZuRu恶意软件使用木马化的Termius.app和修改的Khepri C2后门macOS系统

SentinelOne研究人员的一份新报告详细介绍了名为macOS.ZuRu的恶意软件的新变种,该后门通过百度搜索引擎上的 poisoned web 结果分发。在其最新迭代中,ZuRu继续通过木马化开发人员和IT专业人员使用的合法应用进行传播。

在新的活动中,ZuRu伪装成Termius SSH客户端,通过恶意的.dmg磁盘映像交付。假应用包含一个修改版的Termius Helper,嵌入了一个名为.localized的加载器,该加载器从download.termius[.]info获取基于Khepri的命令和控制(C2)信标,并将其写入/tmp/.fseventsd。

合法Termius(上)和木马(下)带有两个额外的二进制文件

这个最新版本标志着战术的转变。虽然旧样本依赖动态库(Dylib)注入来加载Khepri后门,但这个变体将加载器直接嵌入到应用包中。一旦部署,恶意软件会检查现有安装,比较MD5哈希,并在需要时更新自身,指向内置的自我更新机制。ZuRu使用开源的Khepri工具包给攻击者远程控制, enabling 文件传输、系统侦察、进程控制和命令执行。SentinelOne指出C2信标与ctl01.termius[.]fun通信。

恶意软件安装了一个持久性模块,试图通过使用假标签com.apple.xssooxxagent伪装成系统组件。恶意的LaunchDaemon每小时从/Users/Shared/com.apple.xssooxxagent执行一次.localized二进制文件的副本。

SentinelOne警告说,ZuRu不断演变的战术表明它在缺乏强大macOS端点保护的环境中仍然有效。Singularity客户受到保护,免受macOS.ZuRu的侵害。

丑的一面 | DoNot Team通过欧洲间谍活动使用LoptikMod RAT扩展目标

一个名为DoNot Team(又名APT-C-35、SectorE02、Mint Tempest、Viceroy Tiger或Origami Elephant)的与印度有关的威胁行为者被发现在一次网络间谍活动中针对欧洲外交部。该组织至少自2016年以来活跃,以其使用自定义恶意软件(如YTY和GEdit后门)而闻名。

最近,DoNot Team向其武器库添加了一种名为LoptikMod的恶意软件,通过鱼叉式网络钓鱼电子邮件交付。在这个新活动中,攻击者通过冒充国防官员使用Gmail,并以引用意大利国防武官访问孟加拉国达卡的电子邮件诱骗受害者。电子邮件链接到一个托管在Google Drive上的RAR档案,其中包含一个伪装成PDF的恶意可执行文件。一旦打开,该文件部署LoptikMod,一个能够建立持久性、窃取数据、执行命令和下载额外有效载荷的远程访问木马(RAT)。

DoNot APT的远程访问木马中的可执行字符串中的Loptik(来源:Trellix)

恶意软件通过反虚拟机检查、ASCII混淆和确保系统上只运行一个活动实例来逃避检测。跟踪该活动的安全研究人员指出,活动中使用的命令和控制(C2)服务器目前不活动,其全部功能的细节未知。DoNot Team通常针对南亚的政府和国防部门、非政府组织和外交部,但这是首次记录使用LoptikMod针对欧洲的南亚大使馆。

虽然之前有DoNot Team攻击英国和挪威的欧洲组织的事件,但研究人员认为这次活动是该组织的战略转变,标志着增强的能力和更广泛的情报收集优先级。这次攻击反映出对欧洲外交数据的日益增长的兴趣,可能是为了监视西方与南亚的关系,并为该组织可能的国家对齐赞助者收集有关区域政策的敏感信息。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次