Turla APT 黑客利用后门攻击欧洲的组织
发布时间 2024-04-124月11日,网络安全专家发现,俄罗斯Turla高级持续威胁 (APT) 组织渗透到阿尔巴尼亚的一次失败尝试。此事件是针对欧洲国家的更广泛网络间谍活动的一部分,波兰也成为这些复杂攻击的受害者。这一发现与持续的地缘政治紧张局势相一致,并凸显了国家联盟行为者不断升级的网络战策略。Turla APT 组织以其复杂的网络间谍活动而闻名,历来以与波罗的海和东欧国家政府部门有联系的组织为目标。最近在阿尔巴尼亚和波兰的活动突显了该组织在乌克兰战争的更广泛背景下不断努力收集情报并施加影响。
https://gbhackers.com/cyber-espionage-turla-apt-hackers-attack-european-organization-with-backdoor/
2. TA547 利用疑似 AI 生成的 Rhadamanthys 瞄准德国
4月10日,在Proofpoint最近曝光的一次黑客活动中之后,德国组织面临多方面的攻击。出于经济动机的组织 TA547 首次部署了 Rhadamanthys 信息窃取工具,这标志着他们惯用策略的转变。有趣的是,黑客可能从一个意想不到的来源——人工智能——那里得到了帮助。该活动的基石是部署Rhadamanthys,这是一种在 TA547 的武器库中以前未曾见过的信息窃取恶意软件。这种恶意软件以其效力和在网络犯罪圈子中的广泛使用而闻名,标志着 TA547 运营策略的战略支点。攻击者伪装成来自德国著名零售巨头 Metro 的通信,据称与发票有关。
https://securityonline.info/ta547-targets-germany-with-rhadamanthys-suspected-ai-generated-code/
3. Raspberry Robin 使用 Windows 脚本文件进行传播
4月10日,Raspberry Robin 是一种适应性强、规避性强的蠕虫和恶意软件加载程序,于 2021 年首次出现在网络威胁场景中,现在正在使用一种新方法来传播其恶意代码。根据 HP Wolf Security 威胁研究人员本周发布的一份报告,上个月检测到的一项新活动表明 Raspberry Robin 背后的运营商正在使用恶意 Windows 脚本文件(WSF) 来传播其恶意软件,这与他们更普遍的使用方法不同。最近,该恶意软件还通过使用 Discord 消息服务以附件形式发送的存档文件下载(将自身伪装成合法且已签名的 Windows 可执行文件)以及通过目标 Web 浏览器下载的 7-Zip 存档进行传播。
https://securityboulevard.com/2024/04/raspberry-robin-malware-now-using-windows-script-files-to-spread/
4. Spectre v2 攻击影响 Intel CPU 上的 Linux 系统
4月10日,Spectre V2 是阿姆斯特丹自由大学 VUSec 小组的一组研究人员发现的原始 Spectre 攻击的新变体。研究人员还发布了一个工具,该工具使用符号执行来识别 Linux 内核中可利用的代码段,以帮助缓解问题。这一新发现强调了平衡性能优化与安全性的挑战,这使得解决基本的 CPU 缺陷变得复杂,即使是在 Spectre 发现六年后 。英特尔还更新了针对 Spectre v2 的缓解建议,现在建议禁用非特权扩展伯克利数据包过滤器 (eBPF) 功能,启用增强型间接分支限制推测 (eIBRS),并启用管理员模式执行保护 (SMEP)。
https://www.bleepingcomputer.com/news/security/new-spectre-v2-attack-impacts-linux-systems-on-intel-cpus/
5. RUBYCARP SSH 暴力僵尸网络通过新工具回归
4月10日,由于以 SSH 暴力攻击而闻名的臭名昭著的僵尸网络组织 RUBYCARP 凭借新的工具和策略重新出现,网络安全社区再次处于高度戒备状态。Sysdig 威胁研究团队 (Sysdig TRT) 一直在密切监视这个罗马尼亚威胁组织的活动,该组织已经活跃了十多年,最近发现其行动出现了重大进展。RUBYCARP 复兴的核心是利用 Laravel 应用程序中的一个关键漏洞 CVE-2021-3129。此漏洞一直是该组织的目标和利用工作的焦点,使他们能够获得对系统的未经授权的访问并扩大其僵尸网络。除了利用 CVE-2021-3129 之外,RUBYCARP 还使用SSH 暴力攻击进入目标网络。该组织的坚持和策略的演变强调了修补已知漏洞和加强 SSH 安全措施以阻止此类攻击的重要性。Sysdig TRT 的最新发现表明,RUBYCARP 不仅继续其传统的暴力破解和利用活动,而且还添加了新技术。
https://gbhackers.com/rubycarp-ssh-brute-botnet/
6. 新的 SharePoint 技术可让黑客绕过安全措施
4月10日,SharePoint 中发现的两种新技术使恶意行为者能够绕过传统安全措施并在不触发标准检测机制的情况下泄露敏感数据。非法文件下载可能会伪装成无害的活动,使网络安全防御措施难以检测到它们。第一种技术被称为“在应用程序中打开方法”,它利用了 SharePoint 功能,该功能允许用户直接在关联的应用程序中打开文档。虽然这个功能是为了方便用户而设计的,但却无意中造成了数据泄露的漏洞。攻击者可以使用此功能的底层代码来访问和下载文件,只在文件的审核日志中留下访问事件。第二种技术涉及对 Microsoft SkyDriveSync(现在称为 OneDrive)的用户代理字符串的操作。通过伪装成同步客户端,攻击者可以下载文件甚至整个SharePoint网站。这些下载被错误地标记为文件同步事件而不是实际下载,从而绕过了旨在检测和记录文件下载的安全措施。这种方法特别阴险,因为它可用于大规模窃取数据,并且同步伪装使安全工具更难以区分合法活动和恶意活动。
https://gbhackers.com/sharepoint-technique-bypas/
京公网安备11010802024551号