The Good | 机场遭攻击后执法部门迅速逮捕嫌疑人

英国当局迅速逮捕了一名与上周五柯林斯航空航天公司网络攻击事件相关的嫌疑人，此次攻击导致柏林、布鲁塞尔、都柏林和希思罗等多个欧洲机场运营中断。

对柯林斯MUSE（多用户系统环境）软件的攻击——负责处理乘客值机、登机和行李托运等活动——导致整个周末航班受阻，布鲁塞尔机场的航空公司被告知取消下周一首日276个计划航班中的约140个。

与此同时，希思罗机场据称有超过一千台计算机被"破坏"，表明很可能是一次勒索软件攻击。

在柏林，机场当局表示截至周三早上，值机和登机仍在手动处理，乘客应预计会出现延误和取消。都柏林机场发言人表示，截至周三，值机和行李托运的手动解决方案仍在实施，尚未确定恢复正常运营的时间表。

一名未透露姓名的40多岁男性于周二晚间在英国西萨塞克斯郡因涉嫌违反《计算机滥用法》被捕。英国国家犯罪调查局（NCA）表示调查仍处于早期阶段且正在进行中。该男子已获保释等待进一步调查。

The Bad | 朝鲜威胁组织合作武器化开发者身份

ESET研究人员本周提供了进一步证据，表明负责"传染性面试"活动和朝鲜欺诈IT工作者活动的不同朝鲜威胁组织很可能在协同工作，使用从前者的身份信息来推动后者的招募工作。

研究人员详细介绍了他们称为"欺骗性开发"的威胁活动者活动，该活动与"传染性面试"活动广泛重叠，并表示他们发现了这两个活动之间的新联系。“欺骗性开发"操作者使用LinkedIn和其他社交媒体平台冒充招聘人员，利用虚假工作机会引诱求职者并入侵他们的计算机。

同时，运行IT工作者骗局的操作者使用"欺骗性开发"操作者窃取的信息，冒充求职者进入他们希望渗透的公司。研究人员表示，这些虚假IT工作者最初针对美国的工作机会，但现在已转向法国、波兰和乌克兰等欧洲国家。

通过对开源情报数据和其他研究的分析，ESET表示这些虚假IT工作者被组织成团队，成员每天工作10-16小时，寻找工作机会、完成任务并学习网络编程、区块链、人工智能和英语等主题。成员还使用准备好的脚本来尝试在目标国家招募愿意参加面试或运行笔记本电脑农场的代理人。

朝鲜感染求职者及其潜在或当前雇主，以及使用窃取数据作为欺诈工作者渗透公司的活动规模令安全研究人员感到惊讶。这种威胁与简单地检测和预防孤立活动相比提出了不同的挑战，并强调安全团队和招聘团队需要开发能够识别欺诈申请的工作流程。同时，敦促企业确保使用可信的安全平台锁定内部资源，该平台可以防止入侵和内部威胁。

The Ugly | 中国关联威胁组织在边缘设备上部署潜伏超一年的恶意软件

谷歌威胁情报小组（GTIG）本周表示，与中国关联的威胁行为者一直在针对美国科技和法律行业的公司使用名为BRICKSTORM的隐蔽后门，目的可能是感染更广泛的下游受害者并促进新零日漏洞的开发。

GTIG将此活动归因于UNC5221，表示该威胁集群与广泛报道的Silk Typhoon活动不同，后者被指名为今年早些时候对美国利益进行的一系列攻击的负责方。UNC5221的活动特别侧重于通过设备和网络边缘设备上的后门获取和维护长期访问权限，这些设备通常由于处理器能力、内存和存储空间有限而无法支持端点安全软件。

研究人员表示，由于感染和攻击之间的平均停留时间长达393天，通常超过日志保留期，因此初始访问难以确定。然而，在一个案例中，确定入侵利用了Ivanti Connect Secure设备中的安全漏洞来获得初始访问权限。

获得立足点后，UNC5221将名为BRICKSTORM的Linux/BSD恶意软件（一个基于Go的后门）部署到网络设备上，然后使用从网络设备捕获的有效凭据转向VMware vCenter和ESXi主机。

GTIG表示，跨事件的共同主题是威胁行为者对受害组织内关键人物（特别是开发人员和系统管理员）电子邮件的兴趣。攻击者使用微软的Entra ID企业应用程序，具有mail.read和full_access_as_app范围，以访问每个邮箱。

寻找BRICKSTORM为防御者带来了挑战，因为该恶意软件通常驻留在缺乏EDR遥测的设备上。谷歌发布了一个扫描工具来帮助搜索已知样本，同时提供了威胁搜寻和设备强化的全面建议。