朝鲜Lazarus Group使用虚伪招聘与恶意软件肆虐区块链领域

首页 > 清静研究 > 清静转达 > 清静简讯

朝鲜Lazarus Group使用虚伪招聘与恶意软件肆虐区块链领域

宣布时间 2024-09-11

1. 朝鲜Lazarus Group使用虚伪招聘与恶意软件肆虐区块链领域

9月9日，，，，，，Group-IB 的最新报告展现了朝鲜政府支持的 Lazarus Group 正在举行的“Eager Crypto Beavers”活动，，，，，，该活动显著升级了其网络攻击战略，，，，，，专注于区块链及加密钱币领域。。。Lazarus 集团使用重大手段，，，，，，如虚伪事情时机、恶意视频聚会应用程序（如FCCCall）以及GitHub上的游戏和加密钱币项目，，，，，，诱导受害者下载并执行名为BeaverTail的恶意软件。。。该软件不但窃取浏览器凭证和加密钱币钱包数据，，，，，，还安排名为InvisibleFerret的Python后门以扩大攻击规模。。。别的，，，，，，攻击还扩展至macOS装备，，，，，，并通过混淆代码和远程会见工具（如AnyDesk）在多个操作系统上实现长期性。。。更令人担心的是，，，，，，Lazarus已将目的扩大至浏览器扩展、密码治理器及Microsoft Sticky Notes，，，，，，并通过FTP和Telegram等渠道窃取数据。。。此活动显示了Lazarus在数据窃取手艺上的高度专业化与无邪性，，，，，，增添了清静检测和提防的难度。。。

https://hackread.com/lazarus-group-blockchain-fake-video-conferencing-job-scam/?web_view=true

2. RansomHub团伙滥用TDSSKiller禁用EDR软件

9月10日，，，，，，RansomHub 勒索软件团伙巧妙使用卡巴斯基的正当工具 TDSSKiller，，，，，，规避了目的系统的端点检测和响应（EDR）防护。。。TDSSKiller 原本设计用于检测难以察觉的 rootkit 和 bootkit 恶意软件，，，，，，但其功效被 RansomHub 恶意使用，，，，，，通过禁用 Malwarebytes Anti-Malware 等清静效劳，，，，，，削弱了系统防御。。。这一滥用手法使用了 TDSSKiller 的正当性和有用证书署名，，，，，，使其能逃避清静软件的阻挡。。。随后，，，，，，RansomHub 安排 LaZagne 凭证网络工具，，，，，，从多种应用数据库中窃取登录信息，，，，，，助力其在网络中横向扩散。。。LaZagne 的活动虽易被发明，，，，，，但 TDSSKiller 的介入使其越发隐藏。。。Malwarebytes 报告指出，，，，，，TDSSKiller 执行时接纳动态文件名，，，，，，隐藏于暂时目录中，，，，，，增添了检测难度。。。面临此威胁，，，，，，清静公司建议增强 EDR 解决计划的防改动功效，，，，，，避免类似 TDSSKiller 的工具禁用防护。。。同时，，，，，，监控特定命令行参数和执行行为也是有用防御步伐。。。

https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-abuses-kaspersky-tdsskiller-to-disable-edr-software/

3. Konni黑客组织：针对俄韩的网络特工攻击战略

9月10日，，，，，，研究职员近期发明，，，，，，与朝鲜国家支持的黑客组织Kimsuky有关联的威胁行为者Konni，，，，，，正加大对韩国和俄罗斯的网络攻击力度。。。Konni在对这两个国家的攻击中，，，，，，展现了高度的战略、手艺和程序相似性，，，，，，主要目的是举行网络特工活动。。。自2021年起，，，，，，Konni已针对俄罗斯外交部、俄罗斯驻印尼大使馆及多家韩国企业提倡攻击，，，，，，包括在2022年1月使用新年祝福邮件向俄罗斯大使馆外交官撒播恶意软件。。。其活动可追溯至2014年，，，，，，恒久且一连。。。Konni接纳垂纶邮件作为入侵手段，，，，，，使用税收、奖学金等诱饵获取系统会见权限，，，，，，并通过自界说的远程会见木马完全控制受害系统。。。在攻击历程中，，，，，，该组织使用相似手艺将受熏染装备接入黑客控制的下令效劳器，，，，，，通过内手下令实现毗连。。。只管攻击模式多年未变，，，，，，但Konni也连系新颖战略以提升乐成率。。。研究职员强调，，，，，，关注Konni在差别国家间攻击的相似性，，，，，，关于清静专家制订更有用的防御战略和精准归因具有主要意义，，，，，，有助于更好地�；；；；；；つ康氖堤迕馐艽死嗤缤驳乃鸷�。。。

https://therecord.media/kimsuky-north-korea-hackers-targeting-russia-south-korea?&web_view=true

4. WPS曝95万用户信息遭MOVEit黑客攻击泄露

9月10日，，，，，，威斯康星州医师效劳包管公司（WPS）近期确认，，，，，，约950,000名小我私家的小我私家信息在2023年的一起MOVEit黑客攻击事务中遭泄露。。。该事务源于Progress Software旗下的MOVEit Transfer软件被俄语Cl0p勒索软件组织使用零日误差侵入，，，，，，导致全球近2,800个组织受创，，，，，，累计小我私家信息泄露量高达9600万条。。。WPS作为受害者之一，，，，，，于9月6日宣布，，，，，，其946,801名医疗包管受益人可能受到波及，，，，，，包括部分CMS（医疗包管和医疗津贴效劳中心）受益人。。。只管初程序查显示无直接证据批注数据被复制，，，，，，但随后的深入视察确认，，，，，，部分包括姓名、地点、出生日期、社保号等敏感信息的文件已从WPS的MOVEit系统中被盗。。。只管现在未收到因信息泄露导致的诓骗报告，，，，，，WPS仍接纳起劲步伐，，，，，，为受影响的医疗包管受益人替换新号码的医疗包管卡，，，，，，并提供为期一年的信用监控和身份�；；；；；；ばЮ�，，，，，，同时提醒公众坚持小心，，，，，，提防潜在危害。。。

https://www.securityweek.com/wisconsin-insurer-discloses-data-breach-impacting-950000-individuals/

5. Confidant Health 5.3TB心理康健纪录遭泄露

9月6日，，，，，，美国人工智能医疗公司Confidant Health因效劳器设置过失，，，，，，意外泄露了高达5.3TB的敏感心理康健纪录，，，，，，内容涉及小我私家信息、心理评估及详尽医疗数据，，，，，，直接威胁到凌驾12.6万名患者的隐私清静。。。该事务由网络清静专家Jeremiah Fowler揭破，，，，，，他发明了未设密码�；；；；；；さ男Ю推�，，，，，，内含来自五州患者的私密信息，，，，，，包括姓名、地点、联系方法等小我私家身份信息，，，，，，以及详细的心理康健评估、处方药清单、医疗津贴卡信息等。。。尤为严重的是，，，，，，泄露数据还涉及音频视频纪录，，，，，，讨论了极为私密的家庭问题。。。Confidant Health迅速认可并限制了会见，，，，，，但泄露的一连时间及潜在影响规模尚不清朗。。。只管部分文件受限制会见，，，，，，但已泄露的文件路径和存储位置仍可能成为黑客攻击的跳板，，，，，，加剧患者面临的危害。。。此类数据泄露不但可能引发身份偷窃、医疗诓骗等严重效果，，，，，，还可能对患者造成精神压力和心理危险。。。

https://hackread.com/ai-firm-misconfigured-server-exposed-mental-health-data/

6. NoName勒索软件团伙最近安排了RansomHub恶意软件

9月10日，，，，，，NoName勒索软件团伙近年来致力于在全球规模内针对中小型企业实验攻击，，，，，，以树立其在勒索软件界的声誉。。。该团伙使用包括EternalBlue和ZeroLogon在内的多种旧误差，，，，，，通过暴力破解获取网络会见权限，，，，，，并安排其定制工具Spacecolon恶意软件家族。。。近期，，，，，，NoName转向使用ScRansom勒索软件，，，，，，替换了之前的Scarab加密器，，，，，，并试图通过模拟LockBit 3.0等着名勒索软件来提高其着名度。。。ScRansom虽然不如其他勒索软件重大，，，，，，但具备部分加密、文件内容替换等能力，，，，，，并能加密多种驱动器上的文件。。。ESET指出，，，，，，该团伙在解密历程中体现不可熟，，，，，，影响了其声誉和受害者付款的意愿。。。别的，，，，，，NoName还使用多个SMB情形中的误差，，，，，，包括EternalBlue和Zerologon等，，，，，，以及通过禁用Windows Defender等手段提升攻击效果。。。最近，，，，，，有迹象批注NoName可能已成为RansomHub的隶属机构，，，，，，通过安排RansomHub的EDR杀手和勒索软件来扩展其活动规模。。。只管与RansomHub的正式关联尚待确认，，，，，，但NoName显然并未放弃其勒索软件营业，，，，，，ScRansom加密器仍在起劲开发中。。。

https://www.bleepingcomputer.com/news/security/noname-ransomware-gang-deploying-ransomhub-malware-in-recent-attacks/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究