好消息 | 机场遭攻击后执法部门迅速逮捕嫌疑人

英国当局迅速逮捕了一名与上周五柯林斯航空航天公司网络攻击有关的嫌疑人，该事件导致柏林、布鲁塞尔、都柏林和希思罗等多个欧洲机场运营中断。对柯林斯MUSE（多用户系统环境）软件的攻击——负责处理旅客值机、登机和行李托运等活动——在整个周末扰乱了航班，布鲁塞尔机场的航空公司被告知取消下周一共276个计划航班中的约140个。

与此同时，据称希思罗机场有超过一千台计算机被"损坏"，表明很可能是一次勒索软件攻击。

在柏林，机场当局表示截至周三早上，值机和登机仍在手动处理，乘客应预计延误和取消。都柏林机场发言人表示，截至周三，值机和行李托运的手动解决方案仍在实施，尚未有恢复正常的时间表。

一名未透露姓名的40多岁男性于周二晚上在英国西萨塞克斯郡因涉嫌违反《计算机滥用法》而被捕。英国国家犯罪局（NCA）表示调查仍处于早期阶段且正在进行中。该男子已获保释等待进一步调查。

坏消息 | 朝鲜威胁行为者组织协作武器化开发者身份

ESET研究人员本周提供了进一步证据，表明负责"传染性面试"活动和朝鲜欺诈IT工作者活动的不同朝鲜威胁行为者组织很可能协同工作，使用从前者的身份信息来推动后者的招募活动。

研究人员详细介绍了他们称为"欺骗性开发"的威胁行为者活动，这些活动与"传染性面试"广泛重叠，并表示他们发现了这两个活动之间的新联系。“欺骗性开发"操作者使用LinkedIn和其他社交媒体平台冒充招聘人员，利用欺诈性工作机会引诱求职者并入侵他们的计算机。

同时，运行IT工作者诈骗的操作者使用"欺骗性开发"操作者窃取的信息，冒充求职者渗透他们希望入侵的公司。研究人员表示，假IT工作者最初针对美国的工作机会，但现在已转向法国、波兰和乌克兰等欧洲国家。

通过对开源情报数据和其他研究的分析，ESET表示这些假IT工作者被组织成团队，成员每天工作10-16小时，寻找工作机会、完成任务并学习网络编程、区块链、人工智能和英语等主题。成员还使用准备好的脚本来尝试招募目标国家愿意参加面试或运行笔记本电脑农场的代理人。

朝鲜感染求职者及其潜在或当前雇主以及使用被盗数据作为欺诈工作者渗透公司的活动规模令安全研究人员感到惊讶。这种威胁与简单地检测和预防孤立活动提出了不同的挑战，并强调安全团队和招聘团队需要开发能够识别欺诈申请的工作流程。同时，敦促企业确保使用可信安全平台锁定内部资源，该平台可以防止入侵和内部威胁。

丑闻 | 中国关联威胁行为者在边缘设备上投放潜伏超一年的恶意软件

谷歌威胁情报组（GTIG）本周表示，与中国关联的威胁行为者一直在针对美国科技和法律行业的公司，使用一种名为BRICKSTORM的隐蔽后门，目的可能是感染更广泛的下游受害者并为新的零日漏洞开发提供信息。

将该活动归因于UNC5221，GTIG表示该威胁集群与广泛报道的"丝绸台风"活动不同，后者被指名为今年早些时候对美国利益进行多次攻击的负责者。UNC5221的活动特别侧重于通过设备和网络边缘设备上的后门获取和维持长期访问，这些设备通常由于处理器能力、内存和存储空间有限而无法支持端点安全软件。

研究人员表示，由于感染和攻击之间的平均停留时间长达393天，通常超过日志保留期，因此初始访问难以确定。然而，在一个案例中，确定入侵利用了Ivanti Connect Secure设备中的安全漏洞来获得初始访问。

获得立足点后，UNC5221将一种名为BRICKSTORM的Linux/BSD恶意软件（基于Go的后门）部署到网络设备上，然后使用从网络设备捕获的有效凭据转向VMware vCenter和ESXi主机。

GTIG表示，事件中的一个共同主题是威胁行为者对受害组织内关键人物电子邮件的兴趣，特别是开发人员和系统管理员的电子邮件。攻击者使用微软的Entra ID企业应用程序，具有mail.read和full_access_as_app范围，以访问每个邮箱。

搜寻BRICKSTORM为防御者创造了挑战，因为恶意软件通常驻留在缺乏EDR遥测的设备上。谷歌发布了一个扫描工具来帮助搜索已知样本，以及用于威胁搜寻和设备加固的全面建议。