网络安全周报第31期:FBI缴获比特币、CISA发布Thorium平台与APT组织新动向

本周网络安全动态包括FBI成功缴获Chaos勒索软件价值17亿美元的比特币,CISA推出开源恶意软件分析平台Thorium,SentinelLABS揭露中国 Hafnium组织关联专利,以及俄罗斯Secret Blizzard利用ISP级访问进行外交间谍活动。

网络安全中的好、坏、丑 – 第31周

好的一面 | FBI缴获Chaos勒索软件比特币,CISA推出Thorium实现可扩展恶意软件分析

FBI目前已掌控超过20枚比特币,价值超过17亿美元,这些资金是通过查封一名名为“Hors”的Chaos勒索软件附属成员的加密货币钱包所得。这些资金已被追踪到勒索软件支付,美国司法部已提交民事没收申诉以永久没收这些资产。

Chaos勒索软件被认为是BlackSuit组织的重命名版本,也是已解散的Conti团伙的部分继承者,但与任何较早的低层级Chaos变种无关。安全研究人员基于其工具、加密和勒索笔记将新的Chaos操作与BlackSuit联系起来。FBI的比特币没收行动紧随执法部门拆除BlackSuit的暗网基础设施之后,这可能暴露了与Hors相关的钱包。

本周,CISA公开发布了一个名为“Thorium”的开源平台,旨在帮助政府、私营部门和研究团队自动化恶意软件和取证调查。Thorium是与Sandia国家实验室合作开发的,每小时可以处理超过1000万个文件,此外每个权限组每秒可处理1700个任务。这简化了复杂的事件响应和恶意软件分析工作流程。

Thorium通过将商业、开源和自定义工具集成为Docker镜像来工作,支持安全的基于组的权限,并使用Kubernetes和ScyllaDB进行扩展以满足工作负载需求。安全团队可以使用它来标记和搜索结果、共享工具以及自动化大规模二进制和数字工件分析。

该平台可在CISA的GitHub上获取,加入了最近的公共工具,如驱逐策略工具和Malware Next-Gen,所有这些都进一步推动了CISA加强集体网络防御能力的使命。

坏的一面 | SentinelLABS发现专利揭露Hafnium与MSS相关的广泛能力

SentinelLABS已识别出十多项与与中国国家关联的威胁行为者Hafnium相关的高级取证和数据收集工具专利,突显了中国网络承包生态系统的复杂性。Hafnium的许多能力此前未被报告,包括获取加密端点数据、移动取证、路由器和网络流量收集以及专门用于解密硬盘的软件。

这些发现建立在司法部对两名黑客徐泽伟和张宇的起诉以及美国财政部对尹克成和周帅的制裁之上。徐和张据称通过上海Powerock和上海Firetech在上海国家安全局(SSSB)下工作,而尹和周通过上海黑鹰和经纪公司安洵操作。这种分层承包商模型显示了国家安全部(MSS)如何利用私营公司进行进攻性网络操作,有时跨越上海以外的多个地区。

Hafnium(又名Silk Typhoon)在2021年因利用Microsoft Exchange Server(MES)零日漏洞而首次崭露头角,这导致了其他中国团体的机会主义攻击以及美国、英国和欧盟的首次联合声明。随后的研究和泄露的安洵聊天记录揭示了一个分层生态系统,包括低层承包商如安洵、中层公司如成都404以及精英团队如Firetech,这些团队被信任执行直接的MSS任务。

上海Firetech提交的10多项专利表明,该公司拥有比公开归因于Hafnium的更广泛能力。这些工具可能支持人力情报(HUMINT)式的近距离访问操作,并可能已提供给其他MSS地区办公室,使归因复杂化。整体而言,这些发现表明,威胁行为者标签跟踪活动集群,而真正的归因需要将操作追溯至执行它们的人员和公司。

丑的一面 | Secret Blizzard利用ISP级访问和SORM监视莫斯科外交使团

Secret Blizzard(又名Turla或Waterbug)正在对莫斯科的外交使团进行网络间谍活动。研究人员指出,与俄罗斯联邦安全局(FSB)关联的组织正在利用互联网服务提供商(ISP)级别的中间人(AiTM)位置,以利用俄罗斯的SORM监视系统拦截流量并部署自定义的ApolloShadow恶意软件。

攻击者被观察到将受害者重定向到捕获门户,在那里他们被提示下载带有恶意软件的防病毒安装程序。一旦执行,ApolloShadow安装一个伪造的可信根证书,伪装成卡巴斯基防病毒软件,从而能够破坏加密连接并长期监视外交网络。这使得Secret Blizzard能够欺骗合法站点、解密流量并保持对外交和政府网络的持久访问。研究人员发现这是首次观察到Secret Blizzard进行ISP级间谍活动,特别专注于针对依赖本地提供商的外国使馆、外交实体和莫斯科的敏感组织。

尽管在2025年2月被发现,该活动自2024年以来一直活跃。它还对莫斯科的使馆和敏感组织构成高风险威胁。通过结合网络级拦截、证书伪造和自定义恶意软件交付,Secret Blizzard实现了长期监视和情报收集,而不依赖于传统的鱼叉式网络钓鱼或直接网络入侵。

Secret Blizzard与俄罗斯FSB中心16相关联,是运营时间最长的高级持久威胁(APT)之一,自1990年代以来一直活跃,并负责针对使馆、国防组织和研究机构的全球活动。这一最新活动展示了该组织的适应性和复杂性,利用本地ISP级访问和俄罗斯国内监视生态系统保持对高调外交目标的隐蔽、长期访问以进行情报收集。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次