网络安全周报第28期:APT攻击、macOS后门与欧洲间谍活动

本周网络安全事件聚焦国家背景威胁组织活动、macOS恶意软件ZuRu新变种及DoNot团队针对欧洲外交部的间谍行动。文章详细分析了攻击手法、技术细节及防护建议。

网络安全中的好、坏、丑 – 第28周

好的一面 | 当局针对与DragonForce攻击相关的两个国家背景威胁行为者和网络犯罪分子采取行动

一名中国公民徐泽伟(Xu Zewei)在米兰根据逮捕令被拘留,涉嫌与被称为“丝绸台风”(Silk Typhoon)或Hafnium的中国支持威胁组织有关联。多年来,该组织被指控在2020年针对美国机构、COVID-19研究人员和医疗保健组织,窃取与疫苗相关的数据。意大利媒体将徐与这些网络间谍攻击以及最近针对美国外国资产控制办公室(OFAC)和美国外国投资委员会的活动联系起来。目前,徐仍被拘留,美国正在寻求引渡他。

来源:InSicurezzaDigitale

美国财政部已对一名朝鲜公民Song Kum Hyok实施制裁,因其运营与APT45(又名Andariel)威胁组织相关的IT工作者计划。Song使用被盗的美国身份帮助朝鲜国民在美国公司获得远程工作,将收入汇回政权以支持其武器计划。其中一些工作者还协助网络攻击并在雇主系统上部署恶意软件。制裁还扩展到五个相关个人和实体,紧随美国最近针对朝鲜笔记本电脑农场的行动,该行动导致多项起诉、扣押以及本月早些时候的一次逮捕。

英国国家犯罪局拘留了四名嫌疑人——三名英国人和一名拉脱维亚人——据称与针对包括玛莎百货(Marks & Spencer)和哈罗德(Harrods)在内的英国主要零售商的网络攻击有关。该组织被认为与DragonForce勒索软件组织有关,面临敲诈和洗钱指控。攻击后果造成重大中断,玛莎百货在勒索软件部署和数据盗窃后遭受4.02亿美元的利润损失。当局能够查获多台设备作为证据,调查仍在继续,而更广泛的集体在零售、保险和运输行业仍然活跃。

坏的一面 | ZuRu恶意软件使用木马化Termius.app和修改版Khepri C2后门macOS系统

SentinelOne研究人员的一份新报告详细介绍了名为macOS.ZuRu的恶意软件的新变种,该后门通过百度搜索引擎上的 poisoned 网页结果分发。在其最新迭代中,ZuRu继续通过木马化开发人员和IT专业人员使用的合法应用程序进行传播。

在一次新活动中,ZuRu伪装成Termius SSH客户端,通过恶意的.dmg磁盘映像交付。假应用程序包含一个修改版的Termius Helper,嵌入了一个名为.localized的加载程序,该程序从download.termius[.]info获取基于Khepri的命令和控制(C2)信标,并将其写入/tmp/.fseventsd。

此最新版本标志着战术的转变。虽然旧样本依赖动态库(Dylib)注入来加载Khepri后门,但此变体将加载程序直接嵌入应用程序包中。一旦部署,恶意软件会检查现有安装,比较MD5哈希,并在需要时更新自身,指向内置的自我更新机制。ZuRu使用开源Khepri工具包为攻击者提供远程控制,支持文件传输、系统侦察、进程控制和命令执行。SentinelOne指出C2信标与ctl01.termius[.]fun通信。

恶意软件安装了一个持久性模块,试图通过使用假标签com.apple.xssooxxagent伪装成系统组件。恶意LaunchDaemon每小时从/Users/Shared/com.apple.xssooxxagent执行一次.localized二进制文件的副本。

SentinelOne警告称,ZuRu不断演变的战术表明它在缺乏强大macOS端点保护的环境中仍然有效。Singularity客户受到保护,免受macOS.ZuRu的侵害。

丑的一面 | DoNot团队通过欧洲间谍活动扩展LoptikMod RAT targeting

一个被称为DoNot团队(又名APT-C-35、SectorE02、Mint Tempest、Viceroy Tiger或Origami Elephant)的与印度相关的威胁行为者被发现在一次网络间谍活动中针对欧洲外交部。该组织至少自2016年以来活跃,以使用自定义恶意软件(如YTY和GEdit后门)而闻名。

最近,DoNot团队在其武器库中添加了一种名为LoptikMod的恶意软件,通过鱼叉式网络钓鱼电子邮件交付。在此次新活动中,攻击者冒充国防官员使用Gmail,并通过引用意大利国防武官访问孟加拉国达卡的电子邮件引诱受害者。电子邮件链接到一个托管在Google Drive上的RAR存档,其中包含一个伪装成PDF的恶意可执行文件。一旦打开,该文件部署LoptikMod,一种能够建立持久性、窃取数据、执行命令和下载额外有效载荷的远程访问木马(RAT)。

恶意软件通过反虚拟机检查、ASCII混淆和确保系统上仅运行一个活动实例来逃避检测。跟踪该活动的安全研究人员指出,活动中使用的命令和控制(C2)服务器当前处于非活动状态,其全部功能的细节未知。DoNot团队通常针对南亚的政府和国防部门、非政府组织和外交部,但这是首次记录使用LoptikMod针对欧洲的南亚大使馆。

尽管之前有DoNot团队攻击英国和挪威的欧洲组织的事件,研究人员认为此活动是该组织的战略转变,标志着增强的能力和更广泛的情报收集优先级。此次攻击反映出对欧洲外交数据的日益增长的兴趣,可能是为了监视西方与南亚的关系并为该组织可能的国家对齐赞助者收集有关区域政策的敏感信息。

喜欢这篇文章?在LinkedInTwitterYouTubeFacebook上关注我们,查看我们发布的内容。

阅读更多关于网络安全的内容:

  • Singularity Cloud Native Security | 消除误报并专注于重要事项
  • 网络安全中的好、坏、丑 – 第29周
  • 掌握端点安全 | CISO的韧性蓝图
  • CrowdStrike全球中断 – 威胁行为者活动和风险缓解策略
  • 战略CISO | 风险管理基础如何引领成功
  • 保护AWS Lambda | 配置错误如何导致横向移动

阅读更多

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次