网络安全周报第29期:勒索攻击、恶意软件与供应链威胁

本周网络安全动态包括美国士兵认罪电信勒索、Katz Stealer恶意软件即服务分析,以及朝鲜威胁行为者通过npm包传播恶意软件的最新活动。重点关注多阶段感染链、数据窃取技术和防御策略。

网络安全周报第29期:勒索攻击、恶意软件与供应链威胁

好消息 | 网络犯罪分子在勒索、DDoS和敲诈活动中遭遇打击

21岁的前美国陆军士兵Cameron John Wagenius已对攻击和敲诈至少十家美国电信和科技公司(包括AT&T和Verizon)的罪行认罪。他使用别名如“kiberphant0m”和“cyb3rph4nt0m”,利用SSH暴力破解和SIM交换技术窃取凭证,并向受害公司索要高达100万美元的赎金。

活跃于BreachForums和XSS等论坛的Wagenius在2023年至2024年间与其他行为者共谋,包括参与Snowflake网络攻击,甚至在服役期间也进行犯罪活动。在一次事件中,他威胁泄露超过358GB的被盗数据,在另一次中向受害公司索要50万美元的加密货币。Wagenius于2024年12月被捕,本周被起诉,面临最高27年监禁,量刑定于10月6日进行。

由Europol领导的“Operation Elicius”行动摧毁了一个名为“Diskstation”的罗马尼亚勒索软件团伙,该团伙最近针对Synology网络附加存储(NAS)设备,加密数据并破坏业务,包括意大利伦巴第地区的非政府组织和媒体公司。该组织自2021年以来以多个别名活跃,要求赎金从1万美元到数十万美元加密货币不等。一名涉嫌为主要操作者的男子也在布加勒斯特的国际突袭中被捕。

在另一项名为“Eastwood”的全球行动中,执法部门联合针对亲俄罗斯黑客组织“NoName057(16)”,该组织对欧洲、以色列和乌克兰发动了广泛的DDoS攻击。作为合作努力的一部分,当局查获了100多台服务器,发出了七份逮捕令,并拘留了两名嫌疑人。行动成功破坏了该组织的基础设施,但关键成员仍在俄罗斯,预计该团伙未来对欧洲实体的攻击仍将持续。

坏消息 | Katz Stealer MaaS获得关注,通过多阶段感染链窃取敏感信息

SentinelLABS本周发布的一份新报告详细分析了Katz Stealer,这是一种复杂的恶意软件即服务(MaaS)信息窃取器,于2025年初推出,因其易用性、可定制功能和强大能力而被网络犯罪分子广泛采用。它在Telegram、Discord和网络论坛上营销,为附属机构提供基于Web的面板,以创建自定义有效负载、管理被盗数据和配置攻击。

Katz采用隐蔽的多阶段感染链,从网络钓鱼电子邮件或特洛伊木马化下载开始。JavaScript投放器启动PowerShell命令,从诱饵图像中检索隐写嵌入的有效负载。它使用UAC绕过、进程空心化和计划任务来实现持久性并以提升的权限执行,通常隐藏在合法进程如MSBuild.exe中。

一旦激活,Katz Stealer专注于从浏览器、消息平台、游戏服务、电子邮件客户端、VPN和加密货币钱包中收集数据。它通过提取主解密密钥并在内存中解密敏感数据,绕过现代浏览器保护,如Google的应用绑定加密(ABE)。

该恶意软件还针对钱包扩展、剪贴板数据和系统文件,通过HTTP将窃取的信息发送回硬编码的命令和控制(C2)服务器。C2基础设施基于IP,Katz保持持久性以进行持续的数据外泄。攻击者还可以在数据盗窃完成后远程清除痕迹。

尽管具有先进功能,Katz Stealer仍然严重依赖用户交互,使得对社会工程和检测的培训和意识对预防至关重要。SentinelOne Singularity通过实时分析恶意行为、进程注入和网络活动来检测和阻止Katz Stealer,确保系统免受这种不断发展的信息窃取器威胁。

丑陋消息 | 朝鲜行为者扩展Contagious Interview npm恶意软件活动

持续进行Contagious Interview活动的朝鲜威胁行为者已向npm注册表发布了67个新的恶意包,继续努力破坏软件供应链。网络研究人员观察到这些包——下载量超过17,000次——采用了一种名为“XORIndex”的新恶意软件加载器,该加载器基于早期分发另一种名为HexEval的加载器的活动。

Contagious Interview以通过虚假编码任务或中毒的开源包针对软件开发人员而闻名。目标是感染机器并提取敏感数据,特别是来自感兴趣组织的开发人员。该活动与朝鲜利用远程IT角色非法访问全球网络的更广泛战略一致。

这些npm包作为BeaverTail的初始访问向量,这是一种基于JavaScript的信息窃取器,针对Web浏览器和加密货币钱包,并可能部署Python后门InvisibleFerret。XORIndex与HexEval类似,分析受害者机器并与硬编码C2服务器通信以泄露系统信息并启动后续有效负载。

研究人员观察到XORIndex已从简单的加载器演变为具有基本系统侦察能力的更高级工具。同时,攻击者轮换别名和包名称以逃避检测,为防御者创造了“打地鼠”场景。

该活动继续轮换npm维护者别名并重用核心恶意软件组件,使得检测困难。自2025年6月以来,仅XORIndex的下载量就超过9,000次。尽管持续进行清除努力,攻击者仍能快速适应新变种。恶意软件使用一致的剧本和小变化进行部署,使威胁行为者能够在持续清除努力中保持持久性,突显了开发者生态系统日益需要警惕的需求。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次