朝鲜Lazarus Group使用虚伪招聘与恶意软件肆虐区块链领域

首页 > 清静研究 > 清静转达 > 清静简讯

朝鲜Lazarus Group使用虚伪招聘与恶意软件肆虐区块链领域

宣布时间 2024-09-11

1. 朝鲜Lazarus Group使用虚伪招聘与恶意软件肆虐区块链领域

9月9日，Group-IB 的最新报告展现了朝鲜政府支持的 Lazarus Group 正在举行的“Eager Crypto Beavers”运动，该运动显著升级了其网络攻击战略，专注于区块链及加密钱币领域。Lazarus 集团使用重大手段，如虚伪事情时机、恶意视频聚会应用程序（如FCCCall）以及GitHub上的游戏和加密钱币项目，诱导受害者下载并执行名为BeaverTail的恶意软件。该软件不但窃取浏览器凭证和加密钱币钱包数据，还安排名为InvisibleFerret的Python后门以扩大攻击规模。别的，攻击还扩展至macOS装备，并通过混淆代码和远程会见工具（如AnyDesk）在多个操作系统上实现长期性。更令人担心的是，Lazarus已将目的扩大至浏览器扩展、密码治理器及Microsoft Sticky Notes，并通过FTP和Telegram等渠道窃取数据。此运动显示了Lazarus在数据窃取手艺上的高度专业化与无邪性，增添了清静检测和提防的难度。

https://hackread.com/lazarus-group-blockchain-fake-video-conferencing-job-scam/?web_view=true

2. RansomHub团伙滥用TDSSKiller禁用EDR软件

9月10日，RansomHub 勒索软件团伙巧妙使用卡巴斯基的正当工具 TDSSKiller，规避了目的系统的端点检测和响应（EDR）防护。TDSSKiller 原本设计用于检测难以察觉的 rootkit 和 bootkit 恶意软件，但其功效被 RansomHub 恶意使用，通过禁用 Malwarebytes Anti-Malware 等清静服务，削弱了系统防御。这一滥用手法使用了 TDSSKiller 的正当性和有用证书署名，使其能逃避清静软件的阻挡。随后，RansomHub 安排 LaZagne 凭证网络工具，从多种应用数据库中窃取登录信息，助力其在网络中横向扩散。LaZagne 的运动虽易被发明，但 TDSSKiller 的介入使其越发隐藏。Malwarebytes 报告指出，TDSSKiller 执行时接纳动态文件名，隐藏于暂时目录中，增添了检测难度。面临此威胁，清静公司建议增强 EDR 解决计划的防改动功效，避免类似 TDSSKiller 的工具禁用防护。同时，监控特定命令行参数和执行行为也是有用防御步伐。

https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-abuses-kaspersky-tdsskiller-to-disable-edr-software/

3. Konni黑客组织：针对俄韩的网络特工攻击战略

9月10日，研究职员近期发明，与朝鲜国家支持的黑客组织Kimsuky有关联的威胁行为者Konni，正加大对韩国和俄罗斯的网络攻击力度。Konni在对这两个国家的攻击中，展现了高度的战略、手艺和程序相似性，主要目的是举行网络特工运动。自2021年起，Konni已针对俄罗斯外交部、俄罗斯驻印尼大使馆及多家韩国企业提倡攻击，包括在2022年1月使用新年祝福邮件向俄罗斯大使馆外交官撒播恶意软件。其运动可追溯至2014年，恒久且一连。Konni接纳垂纶邮件作为入侵手段，使用税收、奖学金等诱饵获取系统会见权限，并通过自界说的远程会见木马完全控制受害系统。在攻击历程中，该组织使用相似手艺将受熏染装备接入黑客控制的下令服务器，通过内手下令实现毗连。只管攻击模式多年未变，但Konni也团结新颖战略以提升乐成率。研究职员强调，关注Konni在差别国家间攻击的相似性，关于清静专家制订更有用的防御战略和精准归因具有主要意义，有助于更好地�；つ康氖堤迕馐艽死嗤缤驳乃鸷Α�

https://therecord.media/kimsuky-north-korea-hackers-targeting-russia-south-korea?&web_view=true

4. WPS曝95万用户信息遭MOVEit黑客攻击泄露

9月10日，威斯康星州医师服务包管公司（WPS）近期确认，约950,000名小我私家的小我私家信息在2023年的一起MOVEit黑客攻击事务中遭泄露。该事务源于Progress Software旗下的MOVEit Transfer软件被俄语Cl0p勒索软件组织使用零日误差侵入，导致全球近2,800个组织受创，累计小我私家信息泄露量高达9600万条。WPS作为受害者之一，于9月6日宣布，其946,801名医疗包管受益人可能受到波及，包括部分CMS（医疗包管和医疗津贴服务中心）受益人。只管初程序查显示无直接证据批注数据被复制，但随后的深入视察确认，部分包括姓名、地点、出生日期、社保号等敏感信息的文件已从WPS的MOVEit系统中被盗。只管现在未收到因信息泄露导致的诓骗报告，WPS仍接纳起劲步伐，为受影响的医疗包管受益人替换新号码的医疗包管卡，并提供为期一年的信用监控和身份�；し�，同时提醒公众坚持小心，提防潜在危害。

https://www.securityweek.com/wisconsin-insurer-discloses-data-breach-impacting-950000-individuals/

5. Confidant Health 5.3TB心理康健纪录遭泄露

9月6日，美国人工智能医疗公司Confidant Health因服务器设置过失，意外泄露了高达5.3TB的敏感心理康健纪录，内容涉及小我私家信息、心理评估及详尽医疗数据，直接威胁到凌驾12.6万名患者的隐私清静。该事务由网络清静专家Jeremiah Fowler揭破，他发明了未设密码�；さ姆衿�，内含来自五州患者的私密信息，包括姓名、地点、联系方法等小我私家身份信息，以及详细的心理康健评估、处方药清单、医疗津贴卡信息等。尤为严重的是，泄露数据还涉及音频视频纪录，讨论了极为私密的家庭问题。Confidant Health迅速认可并限制了会见，但泄露的一连时间及潜在影响规模尚不清朗。只管部分文件受限制会见，但已泄露的文件路径和存储位置仍可能成为黑客攻击的跳板，加剧患者面临的危害。此类数据泄露不但可能引发身份偷窃、医疗诓骗等严重效果，还可能对患者造成精神压力和心理危险。

https://hackread.com/ai-firm-misconfigured-server-exposed-mental-health-data/

6. NoName勒索软件团伙最近安排了RansomHub恶意软件

9月10日，NoName勒索软件团伙近年来致力于在全球规模内针对中小型企业实验攻击，以树立其在勒索软件界的声誉。该团伙使用包括EternalBlue和ZeroLogon在内的多种旧误差，通过暴力破解获取网络会见权限，并安排其定制工具Spacecolon恶意软件家族。近期，NoName转向使用ScRansom勒索软件，替换了之前的Scarab加密器，并试图通过模拟LockBit 3.0等着名勒索软件来提高其着名度。ScRansom虽然不如其他勒索软件重大，但具备部分加密、文件内容替换等能力，并能加密多种驱动器上的文件。ESET指出，该团伙在解密历程中体现不可熟，影响了其声誉和受害者付款的意愿。别的，NoName还使用多个SMB情形中的误差，包括EternalBlue和Zerologon等，以及通过禁用Windows Defender等手段提升攻击效果。最近，有迹象批注NoName可能已成为RansomHub的隶属机构，通过安排RansomHub的EDR杀手和勒索软件来扩展其运动规模。只管与RansomHub的正式关联尚待确认，但NoName显然并未放弃其勒索软件营业，ScRansom加密器仍在起劲开发中。

https://www.bleepingcomputer.com/news/security/noname-ransomware-gang-deploying-ransomhub-malware-in-recent-attacks/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究