朝鲜Lazarus Group利用虚假招聘与恶意软件肆虐区块链领域

首页 > 宁静研究 > 宁静通报 > 宁静简讯

朝鲜Lazarus Group利用虚假招聘与恶意软件肆虐区块链领域

宣布时间 2024-09-11

1. 朝鲜Lazarus Group利用虚假招聘与恶意软件肆虐区块链领域

9月9日，Group-IB 的最新陈诉揭示了朝鲜政府支持的 Lazarus Group 正在进行的“Eager Crypto Beavers”活动，该活动显著升级了其网络攻击计谋，专注于区块链及加密货币领域。Lazarus 集团利用庞大手段，如虚假事情机会、恶意视频会议应用法式（如FCCCall）以及GitHub上的游戏和加密货币项目，诱导受害者下载并执行名为BeaverTail的恶意软件。该软件不仅窃取浏览器凭据和加密货币钱包数据，还部署名为InvisibleFerret的Python后门以扩大攻击范围。此外，攻击还扩展至macOS设备，并通过混淆代码和远程访问工具（如AnyDesk）在多个操作系统上实现持久性。更令人担忧的是，Lazarus已将目标扩大至浏览器扩展、密码管理器及Microsoft Sticky Notes，并通过FTP和Telegram等渠道窃取数据。此活动显示了Lazarus在数据窃取技术上的高度专业化与灵活性，增加了宁静检测和防范的难度。

https://hackread.com/lazarus-group-blockchain-fake-video-conferencing-job-scam/?web_view=true

2. RansomHub团伙滥用TDSSKiller禁用EDR软件

9月10日，RansomHub 勒索软件团伙巧妙利用卡巴斯基的合法工具 TDSSKiller，规避了目标系统的端点检测和响应（EDR）防护。TDSSKiller 原本设计用于检测难以察觉的 rootkit 和 bootkit 恶意软件，但其功效被 RansomHub 恶意利用，通过禁用 Malwarebytes Anti-Malware 等宁静服务，削弱了系统防御。这一滥用手法利用了 TDSSKiller 的合法性和有效证书签名，使其能逃避宁静软件的拦截。随后，RansomHub 部署 LaZagne 凭证收集工具，从多种应用数据库中窃取登录信息，助力其在网络中横向扩散。LaZagne 的活动虽易被发现，但 TDSSKiller 的介入使其越发隐蔽。Malwarebytes 陈诉指出，TDSSKiller 执行时接纳动态文件名，隐藏于临时目录中，增加了检测难度。面对此威胁，宁静公司建议加强 EDR 解决方案的防改动功效，防止类似 TDSSKiller 的工具禁用防护。同时，监控特定数令行参数和执行行为也是有效防御措施。

https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-abuses-kaspersky-tdsskiller-to-disable-edr-software/

3. Konni黑客组织：针对俄韩的网络间谍攻击计谋

9月10日，研究人员近期发现，与朝鲜国家支持的黑客组织Kimsuky有关联的威胁行为者Konni，正加大对韩国和俄罗斯的网络攻击力度。Konni在对这两个国家的攻击中，展现了高度的计谋、技术和法式相似性，主要目的是进行网络间谍活动。自2021年起，Konni已针对俄罗斯外交部、俄罗斯驻印尼大使馆及多家韩国企业提倡攻击，包罗在2022年1月利用新年祝福邮件向俄罗斯大使馆外交官流传恶意软件。其活动可追溯至2014年，恒久且连续。Konni接纳钓鱼邮件作为入侵手段，利用税收、奖学金等诱饵获取系统访问权限，并通过自界说的远程访问木马完全控制受害系统。在攻击过程中，该组织利用相似技术将受熏染设备接入黑客控制的命令服务器，通过内部命令实现连接。尽管攻击模式多年未变，但Konni也结合新颖计谋以提升乐成率。研究人员强调，关注Konni在差异国家间攻击的相似性，对于宁静专家制定更有效的防御计谋和精准归因具有重要意义，有助于更好地�；つ勘晔堤迕馐艽死嗤缤驳那趾�。

https://therecord.media/kimsuky-north-korea-hackers-targeting-russia-south-korea?&web_view=true

4. WPS曝95万用户信息遭MOVEit黑客攻击泄露

9月10日，威斯康星州医师服务保险公司（WPS）近期确认，约950,000名个人的个人信息在2023年的一起MOVEit黑客攻击事件中遭泄露。该事件源于Progress Software旗下的MOVEit Transfer软件被俄语Cl0p勒索软件组织利用零日漏洞侵入，导致全球近2,800个组织受创，累计个人信息泄露量高达9600万条。WPS作为受害者之一，于9月6日宣布，其946,801名医疗保险受益人可能受到波及，包罗部门CMS（医疗保险和医疗补助服务中心）受益人。尽管初法式查显示无直接证据表明数据被复制，但随后的深入视察确认，部门包罗姓名、地址、出生日期、社保号等敏感信息的文件已从WPS的MOVEit系统中被盗。尽管目前未收到因信息泄露导致的欺诈陈诉，WPS仍接纳积极措施，为受影响的医疗保险受益人更换新号码的医疗保险卡，并提供为期一年的信用监控和身份�；し瘢碧嵝压诒３志瑁婪肚痹诜缦�。

https://www.securityweek.com/wisconsin-insurer-discloses-data-breach-impacting-950000-individuals/

5. Confidant Health 5.3TB心理健康记录遭泄露

9月6日，美国人工智能医疗公司Confidant Health因服务器配置错误，意外泄露了高达5.3TB的敏感心理健康记录，内容涉及个人信息、心理评估及详尽医疗数据，直接威胁到凌驾12.6万名患者的隐私宁静。该事件由网络宁静专家Jeremiah Fowler揭露，他发现了未设密码�；さ姆衿鳎诤醋晕逯莼颊叩乃矫苄畔ⅲ扌彰⒌刂贰⒘捣绞降雀鋈松矸菪畔ⅲ约跋晗傅男睦斫】灯拦馈⒋Ψ揭┣宓ァ⒁搅撇怪ㄐ畔⒌�。尤为严重的是，泄露数据还涉及音频视频记录，讨论了极为私密的家庭问题。Confidant Health迅速认可并限制了访问，但泄露的连续时间及潜在影响范围尚不明朗。尽管部门文件受限制访问，但已泄露的文件路径和存储位置仍可能成为黑客攻击的跳板，加剧患者面临的风险。此类数据泄露不仅可能引发身份偷窃、医疗欺诈等严重后果，还可能对患者造成精神压力和心理伤害。

https://hackread.com/ai-firm-misconfigured-server-exposed-mental-health-data/

6. NoName勒索软件团伙最近部署了RansomHub恶意软件

9月10日，NoName勒索软件团伙近年来致力于在全球范围内针对中小型企业实施攻击，以树立其在勒索软件界的声誉。该团伙利用包罗EternalBlue和ZeroLogon在内的多种旧漏洞，通过暴力破解获取网络访问权限，并部署其定制工具Spacecolon恶意软件家族。近期，NoName转向使用ScRansom勒索软件，替代了之前的Scarab加密器，并试图通过模仿LockBit 3.0等知名勒索软件来提高其知名度。ScRansom虽然不如其他勒索软件庞大，但具备部门加密、文件内容替换等能力，并能加密多种驱动器上的文件。ESET指出，该团伙在解密过程中体现不成熟，影响了其声誉和受害者付款的意愿。此外，NoName还利用多个SMB环境中的漏洞，包罗EternalBlue和Zerologon等，以及通过禁用Windows Defender等手段提升攻击效果。最近，有迹象表明NoName可能已成为RansomHub的隶属机构，通过部署RansomHub的EDR杀手和勒索软件来扩展其活动范围。尽管与RansomHub的正式关联尚待确认，但NoName显然并未放弃其勒索软件业务，ScRansom加密器仍在积极开发中。

https://www.bleepingcomputer.com/news/security/noname-ransomware-gang-deploying-ransomhub-malware-in-recent-attacks/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究