APT29组织利用红队攻击工具包进行复杂网络攻击

在网络安全领域，APT（高级持续性威胁）组织Earth Koshchei（也称为APT29和Midnight Blizzard）的最新活动引起了全球安全专家的关注。Trend Micro的最新研究报告详细分析了该组织如何利用远程桌面协议（RDP）攻击工具进行复杂的网络攻击，这些攻击可能导致数据泄露和恶意软件安装。

Earth Koshchei的RDP攻击活动涉及RDP中继、恶意RDP服务器和恶意RDP配置文件，这是一种被称为“恶意RDP”的技术。受害者的机器可能会部分控制权交给攻击者，从而导致数据泄露和恶意软件安装。该攻击活动在2024年10月22日达到高峰，当时针对政府、武装力量、智库、学术研究人员和乌克兰目标发送了鱼叉式钓鱼邮件，这些邮件设计用来欺骗收件人使用附件中的恶意RDP配置文件，导致目标计算机尝试通过Earth Koshchei设置的193个RDP中继之一连接到外国RDP服务器。

Earth Koshchei的攻击准备工作始于2024年8月7日至8日，攻击者开始注册域名，这些域名暗示将用于针对与澳大利亚和乌克兰政府有关联的目标。在8月至10月之间，攻击者注册了超过200个域名，其中许多域名暗示了攻击者的目标。此外，Earth Koshchei广泛使用商业VPN服务、TOR和住宅代理服务等匿名化层，以掩盖其操作，增强隐蔽性，并使归因工作复杂化。

从全球的威胁情报显示，恶意RDP鱼叉式钓鱼邮件被发送给了许多目标，包括军事、外交部门、乌克兰目标和学术研究人员。这次RDP攻击活动的规模巨大：在一天内看到的约200个高调目标与另一个APT组织Pawn Storm在几周内的目标数量相当。这并非Earth Koshchei首次与大规模鱼叉式钓鱼活动相关联：在2021年5月，他们也向数千个个人账户发送了鱼叉式钓鱼邮件。

Earth Koshchei对目标的兴趣持续多年，包括政府、军事、国防工业、电信公司、智库、网络安全公司、学术研究人员和IT公司。Earth Koshchei随着时间的推移使用新的攻击方法进行间谍活动。他们不仅密切关注有助于他们获得初始访问权限的旧的和新的漏洞，而且还关注红队开发的方法和工具。网络安全专家建议，尚未阻止对非信任服务器的出站RDP连接的公司应尽快采取行动。同时，还应该阻止通过电子邮件发送RDP配置文件。 

图 1  Earth Koshchei 如何控制其基础设施的架构

参考链接：

https://www.trendmicro.com/en_us/research/24/l/earth-koshchei.html

APT组织Bitter针对土耳其国防部门展开攻击

Proofpoint安全研究团队近日揭露了一起由高级持续性威胁（APT）组织TA397（又称BITTER）发起的针对土耳其国防部门的网络攻击活动。该组织以马达加斯加公共基础设施项目为诱饵，通过精心设计的网络钓鱼邮件和利用RAR压缩包中的交替数据流（ADS）技术，投递恶意快捷方式（LNK）文件，进而在目标机器上创建计划任务，以下载更多的恶意载荷。

此次攻击的关键发现包括：TA397组织利用关于马达加斯加公共基础设施项目的诱饵，通过RAR压缩包中的ADS技术，投递LNK文件，创建计划任务以下载更多载荷。在攻击链的最后阶段，TA397手动投递了WmRAT和MiyaRAT两种恶意软件家族，均旨在支持情报收集和数据外泄。Proofpoint评估认为，TA397的活动几乎可以肯定是支持南亚某国政府利益的情报收集工作。

攻击始于一封网络钓鱼邮件，邮件附件为一个RAR压缩文件，内含一个诱饵PDF文件和一个伪装成PDF的LNK文件，以及一个包含PowerShell代码的ADS文件。邮件主题与LNK文件名紧密相关，显示了攻击的针对性。RAR压缩文件的使用是TA397交付有效载荷的常用手段。Proofpoint观察到，TA397在2024年上半年利用RAR压缩包中的Microsoft Compiled Help Files（CHM）文件在目标机器上创建计划任务。此次攻击链中，RAR v5格式被用来存储NTFS ADS流。攻击者利用ADS流隐藏恶意代码，通过LNK文件触发PowerShell命令，创建名为“DsSvcCleanup”的计划任务，该任务每17分钟向攻击者控制的域名发送目标主机信息。

Proofpoint观察到，TA397操作者在首次计划任务请求后约12小时响应这些请求，手动部署两种不同的有效载荷，并发出第三个命令，对目标机器进行枚举并发出包含该信息的POST请求。WmRAT和MiyaRAT是TA397使用的两种远程访问木马（RAT），均使用C++编写，具备标准的RAT功能，如收集主机信息、上传下载文件、截屏、获取目标机器的地理位置等。Proofpoint的详细分析显示，这两种RAT在TA397的攻击活动中发挥了关键作用。TA397在此次行动中使用的基础设施分为植入域和暂存域。jacknwoods[.]com作为暂存域，用于分发WmRAT和MiyaRAT，而academymusica[.]com和samsnewlooker[.]com作为C2域，分别对应每种植入。Proofpoint根据观察到的活动特征、历史目标、UTC+5:30时区的工作小时分析，以及行业对与Bitter相关活动的报道，评估这些活动几乎可以肯定是支持南亚某国政府利益的情报收集工作。

TA397组织是一个以南亚为中心，专注于间谍活动的APT组织，频繁且持续地针对EMEA和APAC地区的政府、能源、电信、国防和工程组织。他们利用计划任务与暂存域通信，将恶意后门植入目标组织，以获取特权信息和知识产权。 

图 2  TA397 感染链图示

参考链接：

https://www.proofpoint.com/us/blog/threat-insight/hidden-plain-sight-ta397s-new-attack-chain-delivers-espionage-rats

针对DrayTek路由器展开的大规模勒索软件攻击活动

近期，网络安全研究机构Forescout Research – Vedere Labs与PRODAFT合作，揭露了一起针对DrayTek Vigor路由器的大规模勒索软件攻击活动。这一活动不仅揭示了网络周边设备成为新的攻击目标，而且展现了网络犯罪生态系统中日益增长的专业化和复杂性。

DrayTek Vigor系列路由器，尤其是旧型号如Vigor300B、Vigor2960和Vigor3900，因其多功能性和易用性而受到用户青睐，但也成为攻击者的首选目标。这些路由器的WebUI中的“mainfunction.cgi”端点存在漏洞，成为此次攻击的切入点。据“Dray:Break”报告显示，全球超过20,000台设备受到影响，攻击活动涉及疑似零日漏洞利用、凭证窃取和VPN隧道滥用。

此次攻击活动涉及至少三个不同的攻击组织，它们之间的结构化合作突显了网络犯罪生态系统中日益增长的专业化：

• Monstrous Mantis (Ragnar Locker): 该组织负责识别和利用漏洞、提取并解密凭证，然后与信任的合作伙伴共享这些凭证，以进一步攻击同时最小化暴露。
• Ruthless Mantis (PTI-288): 该勒索软件组织使用共享的凭证部署Nokoyawa和Qilin等变种，专注于英国和荷兰的企业，至少影响了337个组织。
• LARVA-15 (Wazawaka): 作为初始访问经纪人，LARVA-15组织通过出售被妥协的访问权限给其他组织来获利，其行动针对欧洲、澳大利亚和亚洲的广泛受害者。

在2023年8月至9月期间，攻击者利用疑似零日漏洞渗透DrayTek路由器，窃取凭证并部署勒索软件。其中，曼彻斯特警察供应链攻击成为关键事件，强调了这些漏洞利用的实际影响。攻击者结合了网络钓鱼、密码破解和零日漏洞在他们有条不紊的渗透过程中。PRODAFT确定攻击者可能利用了一系列以前未记录的漏洞。支持这一说法的是，2024年底发布了22个与“mainfunction.cgi”端点相关的新CVE，针对先前问题修补的固件版本仍然易受攻击。

参考链接：

https://securityonline.info/massive-ransomware-campaign-targets-draytek-routers/

美国德克萨斯理工大学数据泄露影响140万个人

美国德克萨斯理工大学最近披露了一起影响超过140万个人的网络安全事件。这起数据泄露暴露了该大学健康科学中心和健康科学中心埃尔帕索的个人、健康和财务数据。具体而言，埃尔帕索健康科学中心有815,000人受影响，而健康科学中心则有650,000人受影响。

该事件发生在2024年9月，并暂时影响了计算机系统和应用程序。事件发生后，德克萨斯理工大学立即采取措施保护其基础设施，并启动了对事件的调查。调查发现，未经授权的访问导致德克萨斯理工大学网络中的某些文件和文件夹被访问或移除。泄露的信息因个人而异，但可能包括姓名、出生日期、地址、社会安全号码、驾照号码、政府颁发的身份证号码、财务账户信息、健康保险信息和医疗信息，包括医疗记录号码、账单/索赔数据和诊断治疗信息。德克萨斯理工大学正在通知可能涉及此事件的个人，并出于谨慎考虑，为他们提供免费的信用监控服务。

虽然大学没有分享有关攻击的详细信息，但Interlock勒索软件团伙声称对这起安全泄露负责，并声称窃取了2.6TB的数据，包括患者数据、医学研究和大量SQL数据库。

参考链接：

https://securityaffairs.com/172085/data-breach/texas-tech-university-data-breach.html

黑客在Breach Forums上泄露了2.9GB思科数据

在2024年12月16日，一个名为IntelBroker的知名黑客在Breach Forums上泄露了2.9GB属于思科（Cisco）的数据，这部分数据是此前声称在2024年10月未受保护的4.5TB数据集的一部分。此前，IntelBroker曾试图出售包括Verizon、AT&T和微软等全球公司敏感信息在内的数据。

泄露的数据包括思科的身份服务引擎（ISE）、安全访问服务边缘（SASE）、Webex协作平台、Umbrella云安全解决方案、IOS XE & XR网络操作系统以及C9800-SW-iosxe-wlc.16.11.01无线局域网控制器（WLC）软件。这些数据涉及网络安全、身份管理、视频会议、云计算和网络通信等多个领域。思科此前否认其核心系统受到任何影响，并将问题归咎于一个公共面向的DevHub资源配置错误。然而，IntelBroker坚称他们直到10月18日都能访问数据，并提供了证据，显示他们利用了软件供应链平台JFrog的一个暴露的令牌来访问这些数据。

IntelBroker此次泄露部分数据，意在向潜在买家证明其数据的真实性。泄露的2.9GB数据据称包含以下内容：

• 思科ISE：提供安全网络访问控制和身份管理的安全策略平台。
• 思科SASE：结合网络和安全功能的云交付解决方案，用于从任何位置安全访问。
• 思科Webex：提供视频会议、消息传递和呼叫解决方案的协作平台。
• 思科Umbrella：基于云的DNS安全解决方案，通过保护互联网访问和阻止恶意域来保护用户免受威胁。
• 思科IOS XE & XR：在思科路由器和交换机中使用的网络操作系统，支持高级网络、自动化和可编程性。
• 思科C9800-SW-iosxe-wlc.16.11.01：基于软件的无线局域网控制器（WLC）映像，管理和控制运行在思科Catalyst 9800系列平台上的无线网络。

黑客IntelBroker因多起高调数据泄露事件而闻名。2024年6月，该黑客声称入侵了苹果公司，窃取了内部工具的源代码。同年5月，IntelBroker声称入侵了欧洲刑警组织（Europol），该机构后来确认了这一事件。IntelBroker的其他历史数据泄露事件包括：

• 亚洲科技
• Space-Eyes
• 家得宝
• Facebook Marketplace
• 人力资源巨头Robert Half
• 美国承包商Acuity Inc.
• 洛杉矶国际机场
• 据称入侵了汇丰银行和巴克莱银行

此次部分泄露事件再次显示了配置错误的系统和暴露数据的持续风险。Cisco尚未对这一最新发展做出回应，但IntelBroker的行为也表明，此类事件可能升级为敲诈企图。剩余的4.5TB数据集将被出售、泄露还是得到解决，还有待观察，但这提醒所有组织必须维护其安全实践并保护敏感数据。

参考链接：

https://hackread.com/hackers-leak-partial-cisco-data-4-5tb-exposed-records/

泰国警方系统遭“Yokai”后门攻击

近期，网络安全研究人员发现一个名为“Yokai”的新型后门程序正在针对与泰国政府相关的个人进行攻击。这个后门程序可能以视频游戏《Phasmophobia》中的幽灵或日本民间传说中的精灵命名。研究人员在调查中发现了两个伪装成.pdf和.docx文件的快捷方式（LNK）文件，这些文件的命名暗示它们与美国政府和泰国的官方业务有关。

攻击者利用了名为“esentutl”的合法Windows命令行工具，该工具用于管理可扩展存储引擎（ESE）数据库，并滥用其访问和写入备用数据流（ADS）的能力。在Windows的NTFS文件系统中，文件通常包含除主要内容之外的元数据或隐藏数据。攻击者利用这一特性，将恶意负载隐藏在看似无害的文件中，从而绕过仅检查文件主数据流的基本文件扫描器。当用户打开与此活动相关的快捷方式文件时，会触发一个隐藏过程，期间Esentutl被用来从两个备用数据流中提取诱饵政府文件和一个恶意(dropper)。该dropper携带一个合法的iTop数据恢复工具的副本，用作侧加载Yokai后门的入口。一旦进入新系统，Yokai会与其命令和控制（C2）基地建立联系，安排一个加密的通信通道，然后等待指令。它能够运行任何普通的shell命令，以窃取数据、下载额外的恶意软件等。Yokai的C2通信在解密后显示出高度结构化的特点，但在其他方面，它显示出粗糙的边缘。如果使用管理员权限运行，Yokai会创建自己的第二个副本，并且其副本会创建第三个副本，如此无限循环。然而，为了防止在同一台机器上多次运行，它会检查互斥文件（mutex file）的存在——如果文件存在，它将终止自己；如果不存在，它将创建它。这个过程发生在自我复制步骤之后，只有在恶意软件开始不受控制地繁殖之后才会进行检查。这种行为会被EDR（端点检测和响应）系统明显地检测到，从而削弱了后门的隐蔽性。

参考链接：

https://www.darkreading.com/threat-intelligence/thai-police-systems-yokai-backdoor

CoinLurker恶意软件通过假浏览器更新瞄准加密货币用户

Morphisec研究人员最近发现了一款名为CoinLurker的复杂数据窃取恶意软件，该软件通过伪装成浏览器更新的方式，针对加密货币用户发起攻击。CoinLurker恶意软件利用高级混淆技术、内存执行和区块链技术，对用户和企业构成重大威胁。这种恶意软件通过多种途径利用用户信任，包括假软件更新、恶意广告、网络钓鱼邮件、假验证码提示以及在社交媒体和被妥协网站上的欺骗性下载链接。

CoinLurker特别利用了Microsoft Edge Webview2的特性，模仿合法的更新窗口，使得动态和沙箱分析变得复杂，从而逃避自动化检测。该恶意软件的多阶段交付过程涉及使用区块链合约存储编码的有效载荷指令，这些去中心化平台使得移除变得困难。智能合约将恶意软件指向攻击者控制的命令和控制（C2）服务器，该服务器动态获取进一步的有效载荷。此外，CoinLurker还利用了Bitbucket仓库的可信声誉，最初托管干净的可执行文件，后来将它们替换为恶意版本。CoinLurker的文件名如“Updater.exe”和“SecurityPatch.exe”与假更新主题相符，并且这些文件通常使用被盗的扩展验证（EV）证书签名，以显得合法。该恶意软件还采用分层注入器确保隐身，动态地将有效载荷注入到合法的msedge.exe进程中，命令行参数在运行时才被混淆和解码，没有留下传统检测工具可以追踪的静态痕迹。

CoinLurker专注于加密货币钱包和财务数据，目标关键目录包括比特币钱包、以太坊、Exodus钱包和Ledger Live等。它还扫描像BBQCoin和MemoryCoin这样的小众替代品，以及Telegram Desktop、Discord和FileZilla等应用程序，以窃取额外的凭证。

参考链接：

https://securityonline.info/coinlurker-malware-targets-crypto-users-via-fake-browser-updates/#google_vignette

Cicada3301勒索软件组织声称攻击法国标致经销商并窃取35GB敏感数据

Cicada3301勒索软件组织宣称对法国标致（Peugeot）经销商Concession Peugeot的数据泄露事件负责，声称窃取了35GB的敏感数据。该组织以Ransomware-as-a-Service（RaaS）模式运作，对成功攻击的收益抽取20%的佣金。Cicada3301勒索软件组织在2024年12月15日的周末，通过其官方暗网泄露网站宣布了此次所谓的入侵。Cicada3301这个名字在2010年代初与密码学谜题相关联，后来被该勒索软件团伙采用，并以RaaS模式运作。这种模式允许合作伙伴通过租用勒索软件组织基础设施来执行攻击，并与运营商分享收益。

Cicada3301勒索软件组织最初由网络安全公司Truesec在2024年6月识别并观察到。该勒索软件用Rust编写，能够针对Windows和Linux/ESXi系统，显示出其跨平台能力。Cicada3301与ALPHV/BlackCat勒索软件有显著的相似之处，包括使用ChaCha20加密、相同的命令关闭虚拟机，以及提供图形输出的-ui命令。两个团伙还共享类似的文件命名模式和用于解密勒索信的关键参数。这些重叠表明存在共同的联系或采用了经过验证的技术以最大化效率和影响。对Concession Peugeot的攻击符合Cicada3301针对高价值组织以最大化影响的策略。泄露的35GB数据尤其令人关注，因为Hackread.com审查的泄露文件截图显示了他们官方和内部通信记录、发票、护照副本，甚至还有食谱等内容。

参考链接：

https://hackread.com/cicada3301-ransomware-french-peugeot-dealership/

知名医疗器械公司Artivion遭受勒索软件攻击，运营受影响

知名心脏手术医疗器械领域的领先企业Artivion于2024年11月21日遭受勒索软件攻击，导致部分系统被加密和未经授权的数据访问。总部位于亚特兰大的Artivion公司不得不暂时将其部分运营离线以应对此次攻击。

在美国证券交易委员会（SEC）的8-K文件中，Artivion公司披露了该事件，并迅速启动了调查，聘请了包括法律、网络安全和取证专家在内的外部顾问。文件中指出，该事件涉及文件的获取和加密，公司正努力尽快安全地恢复其系统，并评估任何通知义务。Artivion公司还指出，其企业运营、订单处理和运输的中断已基本得到解决。尽管Artivion公司有保险覆盖事件响应成本，但预计还会有未被覆盖的额外费用。

Artivion公司在全球拥有超过1250名员工，在德国、德克萨斯和乔治亚州设有制造工厂，并在100多个国家拥有销售代表。尽管勒索软件攻击造成的即时中断已得到缓解，但公司可能面临长期影响，包括潜在的声誉损害和增加的网络安全投资。

Artivion公司的勒索软件攻击是针对医疗保健组织更广泛网络攻击的一部分。最近，BianLian网络犯罪组织攻击了波士顿儿童健康医生组织（BCHP），威胁除非支付赎金，否则将泄露被盗文件。同样，UMC卫生系统和安娜·杰奎斯医院也因今年早些时候的勒索软件攻击而遭受重大中断。这些事件都突显了医疗保健行业的日益增长的脆弱性，敏感的患者数据和关键运营等，这些组织成为网络犯罪分子有吸引力的目标。

参考链接：

https://www.cysecurity.news/2024/12/artivion-discloses-ransomware-attack.html

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）