网络安全周报第47期 | 朝鲜IT诈骗、勒索软件宿主与加密货币混币器内幕

本期网络安全周报揭露朝鲜IT工人欺诈计划、俄罗斯防弹托管服务助长勒索软件,以及加密货币混币器洗钱案。同时分析朝鲜黑客伪造招聘平台渗透AI人才的新手段,及伊朗黑客将网络侦察用于实体攻击的混合战争模式。

正面进展 | 法院起诉朝鲜欺诈、勒索软件托管与加密货币混币器运营

五名嫌疑人已承认协助朝鲜运营非法收入计划,涉及远程IT工作者欺诈和加密货币盗窃。该团伙帮助朝鲜操作人员使用虚假或盗用身份获取美国工作岗位,在影响136家公司的同时产生超过220万美元收入。美国司法部还寻求没收与APT38网络盗窃相关的1500万美元。被告Oleksandr Didenko、Erick Prince、Audricus Phagnasay、Jason Salazar和Alexander Travis承认盗用美国身份供海外工作者使用并清洗赃款。

在美国、英国和澳大利亚,当局对俄罗斯防弹托管(BPH)提供商实施了协同制裁,这些提供商通过租赁服务器支持恶意软件分发、网络钓鱼攻击和非法内容托管,从而助长勒索软件团伙。为帮助网络犯罪分子逃避抓捕,BPH服务会忽略滥用报告和执法部门的关停要求。OFAC已制裁了Media Land及其关联公司,以及三名与LockBit、BlackSuit、Play等威胁组织相关的高管。五眼联盟机构还发布了指南,帮助ISP检测和阻断BPH服务使用的恶意基础设施。

加密货币混币服务Samourai Wallet的创始人因洗钱超过2.37亿美元被判入狱。自2015年运营以来,Samourai使用其"Whirlpool"混币系统和"Ricochet"多跳交易来混淆比特币流向。这些功能增加了追踪难度,使涉及暗网市场、毒品贩运和网络犯罪的犯罪分子能够清洗超过20亿美元。当局查封了该平台,包括其服务器、域名和移动应用,而创始人同意没收所有可追踪的收益。CEO Keonne Rodriguez被判五年监禁,CTO William Lonergan Hill被判四年并接受监督释放。两人各被判处25万美元罚款。

负面威胁 | 朝鲜攻击者构建虚假招聘平台诱捕AI人才并推送恶意软件

作为持续演变的"传染性面试"行动的一部分,朝鲜威胁参与者创建了一个虚假招聘平台,旨在攻击合法求职者,特别是在AI研究、软件开发和加密货币领域。虽然早期的欺诈性IT工作者计划依赖通过社交媒体平台进行网络钓鱼 targeting 个人,但最新策略 weaponize 了一个功能完整的招聘流程。

研究人员发现了最新的诱饵——一个基于Next.js的招聘门户网站,托管在lenvny[.]com,包含数十个伪造的AI和加密行业职位列表。这些列表模仿大型科技公司的品牌,具有精美的用户界面和完整的招聘流程,与现代招聘系统相似,鼓励申请者提交简历和专业链接,然后提示他们录制视频介绍。

这最后一步触发了朝鲜偏爱的ClickFix技术:当申请者复制虚假面试说明时,隐藏的剪贴板劫持程序将其文本替换为多阶段恶意软件命令。当粘贴到终端时,它会以"驱动程序更新"的名义下载并执行分阶段payload,最终启动基于VBScript的加载程序。这种设计无缝融入典型的远程工作面试流程,显著增加了意外执行的可能性。

该平台还执行战略性筛选,专门吸引AI和加密专业人士,因为他们的技能、网络访问权限和工作站设备往往符合朝鲜的情报和财务优先事项,包括从模型训练基础设施到加密货币交易所系统。该行动反映了朝鲜社会工程技术的显著成熟,将高保真UI设计与隐蔽的恶意软件分发相结合。建议求职者验证域名,避免平台外招聘系统,并在沙盒环境中执行任何请求的代码。

严峻现实 | 伊朗支持的行动者将网络侦察武器化以支持实体攻击

与伊朗相关的威胁参与者正在使用网络行动支持实体军事活动,研究人员将这种模式描述为"网络赋能动能 targeting"。

过去,传统安全模型将网络和物理领域分开——这些划分在当今的社会经济和政治气候中被证明是人为的。现在,这些不仅仅是造成物理影响的网络事件,而是数字行动 built 以推进军事目标的协调行动。

一个例子涉及Crimson Sandstorm(又名Tortoiseshell和TA456),这是一个与伊朗伊斯兰革命卫队(IRGC)有关的组织。在2021年12月至2024年1月期间,该组织探测了一艘船的自动识别系统(AIS),随后将行动扩展到其他海事平台。2024年1月27日,该组织搜索了一艘特定货船的AIS位置数据。几天后,同一艘船成为伊朗支持的胡塞武装导弹袭击的目标,但未成功。在以色列-哈马斯冲突期间,胡塞武装对红海的商业航运发动了多次导弹袭击。

第二个案例重点介绍了Mango Sandstorm(又名Seedworm和TA450),这是一个与伊朗情报与安全部(MOIS)有关的组织。5月,该组织建立了网络行动基础设施,并获取了耶路撒冷受损的闭路电视监控录像,以收集实时视觉情报。仅仅一个月后,以色列国家网络理事会确认伊朗在大规模袭击期间试图访问摄像头,据称是为了获取导弹命中位置的反馈并提高精确度。两个突出案例都显示攻击者依赖通过匿名VPN路由流量以防止归因。

数字入侵与实体战争之间的界限继续模糊。随着国家行为体利用网络侦察作为实体攻击的前奏,我们很可能继续看到这种混合战争的重大发展。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次