朝鲜Lazarus Group利用虚伪招聘与恶意软件肆虐区块链领域

首页 > 安全钻研 > 安全传递 > 安全简讯

朝鲜Lazarus Group利用虚伪招聘与恶意软件肆虐区块链领域

颁布功夫 2024-09-11

1. 朝鲜Lazarus Group利用虚伪招聘与恶意软件肆虐区块链领域

9月9日，Group-IB 的最新汇报揭示了朝鲜当局支持的 Lazarus Group 在进行的“Eager Crypto Beavers”活动，该活动显著升级了其网络攻击战术，专一于区块链及加密钱币领域。Lazarus 集团利用复杂伎俩，如虚伪工作机遇、恶意视频会议利用法式（如FCCCall）以及GitHub上的游戏和加密钱币项目，诱导受害者下载并执行名为BeaverTail的恶意软件。该软件不仅窃取浏览器痛处和加密钱币钱包数据，还部署名为InvisibleFerret的Python后门以扩大攻击领域。此表，攻击还扩大至macOS设备，并通过混合代码和远程接见工具（如AnyDesk）在多个操作系统上实现悠久性。更令人忧郁的是，Lazarus已将指标扩大至浏览器扩大、密码治理器及Microsoft Sticky Notes，并通过FTP和Telegram等渠路窃取数据。此活动显示了Lazarus在数据窃取技术上的高度专业化与矫捷性，增长了安全检测和防备的难度。

https://hackread.com/lazarus-group-blockchain-fake-video-conferencing-job-scam/?web_view=true

2. RansomHub团伙滥用TDSSKiller禁用EDR软件

9月10日，RansomHub 勒索软件团伙奇妙利用卡巴斯基的合法工具 TDSSKiller，躲避了指标系统的端点检测和响应（EDR）防护。TDSSKiller 正本设计用于检测难以觉察的 rootkit 和 bootkit 恶意软件，但其职能被 RansomHub 恶意利用，通过禁用 Malwarebytes Anti-Malware 等安全服务，减弱了系统防御。这一滥用手法利用了 TDSSKiller 的合法性和有效证书署名，使其能逃避安全软件的拦截。随后，RansomHub 部署 LaZagne 凭证网络工具，从多种利用数据库中窃取登录信息，助力其在网络中横向扩散。LaZagne 的活动虽易被发现，但 TDSSKiller 的染支使其越发荫蔽。Malwarebytes 汇报指出，TDSSKiller 执行时选取动态文件名，暗藏于一时目录中，增长了检测难度。面对此威胁，安全公司建议加强 EDR 解决规划的防篡改职能，预防类似 TDSSKiller 的工具禁用防护。同时，监控特定数令行参数和执行行为也是有效防御措施。

https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-abuses-kaspersky-tdsskiller-to-disable-edr-software/

3. Konni黑客组织：针对俄韩的网络间谍攻击战术

9月10日，钻研人员近期发现，与朝鲜国度支持的黑客组织Kimsuky有关联的威胁行为者Konni，正加大对韩国和俄罗斯的网络攻击力度。Konni在对这两个国度的攻击中，展示了高度的战术、技术和法式类似性，重要主张是进行网络间谍活动。自2021年起，Konni已针对俄罗斯表交部、俄罗斯驻印尼大使馆及多家韩国企业提议攻击，蕴含在2022年1月利用新年祝福邮件向俄罗斯大使馆表交官传布恶意软件。其活动可追忆至2014年，持久且持续。Konni选取垂钓邮件作为入侵伎俩，利用税收、奖学金蹬渍饵获取系统接见权限，并通过自界说的远程接见木马齐全节造受害系统。在攻击过程中，该组织利用类似技术将受习染设备接入黑客节造的号令服务器，通过内部号令实现衔接。只管攻击模式多年未变，但Konni也结合新鲜战术以提升成功率。钻研人员强调，关注Konni在分歧国度间攻击的类似性，对于安全专家造订更有效的防御战术和精准归因拥有沉要意思，有助于更好地�；ぶ副晔堤迕馐艽死嗤缤驳那趾�。

https://therecord.media/kimsuky-north-korea-hackers-targeting-russia-south-korea?&web_view=true

4. WPS曝95万用户信息遭MOVEit黑客攻击泄露

9月10日，威斯康星州医师服务保险公司（WPS）近期确认，约950,000名幼我的幼我信息在2023年的一路MOVEit黑客攻击事务中遭泄露。该事务源于Progress Software旗下的MOVEit Transfer软件被俄语Cl0p勒索软件组织利用零日缝隙侵入，导致全球近2,800个组织受创，累计幼我信息泄露量高达9600万条。WPS作为受害者之一，于9月6日颁布，其946,801名医疗保险受益人可能受到波及，蕴含部门CMS（医疗保险和医疗补助服务中心）受益人。只管初措施查显示无直接证据批注数据被复造，但随后的深刻调查确认，部门蕴含姓名、地址、诞生日期、社保号等敏感信息的文件已从WPS的MOVEit系统中被盗。只管目前未收到因信息泄露导致的诓骗汇报，WPS仍采取积极措施，为受影响的医疗保险受益人更换新号码的医疗保险卡，并提供为期一年的信誉监控和身份�；し�，同时提醒公家维持警惕，防备潜在风险。

https://www.securityweek.com/wisconsin-insurer-discloses-data-breach-impacting-950000-individuals/

5. Confidant Health 5.3TB生理健全纪录遭泄露

9月6日，美国人为智能医疗公司Confidant Health因服务器配置谬误，意表泄露了高达5.3TB的敏感生理健全纪录，内容涉及幼我信息、生理评估及详尽医疗数据，直接威胁到超过12.6万名患者的隐衷安全。该事务由网络安全专家Jeremiah Fowler告发，他发现了未设密码�；さ姆衿�，内含来自五州患者的私密信息，蕴含姓名、地址、联系方式等幼我身份信息，以及具体的生理健全评估、处方药清单、医疗补助卡信息等。尤为严沉的是，泄露数据还涉及音频视频纪录，会商了极为私密的家庭问题。Confidant Health迅快认可并限度了接见，但泄露的持续功夫及潜在影响领域尚不爽朗。只管部门文件受限度接见，但已泄露的文件蹊径和存储地位仍可能成为黑客攻击的跳板，加剧患者面对的风险。此类数据泄露不仅可能引发身份偷窃、医疗诓骗等严沉后果，还可能对患者造有意灵压力和生理中伤。

https://hackread.com/ai-firm-misconfigured-server-exposed-mental-health-data/

6. NoName勒索软件团伙最近部署了RansomHub恶意软件

9月10日，NoName勒索软件团伙近年来致力于在全球领域内针对中幼型企业执行攻击，以设置其在勒索软件界的名誉。该团伙利用蕴含EternalBlue和ZeroLogon在内的多种旧缝隙，通过暴力破解获取网络接见权限，并部署其定造工具Spacecolon恶意软件家族。近期，NoName转向使用ScRansom勒索软件，代替了之前的Scarab加密器，并试图通过仿照LockBit 3.0等驰名勒索软件来提高其驰名度。ScRansom固然不如其他勒索软件复杂，但具备部门加密、文件内容代替等能力，并能加密多种驱动器上的文件。ESET指出，该团伙在解密过程中阐发不成熟，影响了其名誉和受害者付款的意愿。此表，NoName还利用多个SMB环境中的缝隙，蕴含EternalBlue和Zerologon等，以及通过禁用Windows Defender等伎俩提升攻击成效。最近，有迹象批注NoName可能已成为RansomHub的从属机构，通过部署RansomHub的EDR杀手和勒索软件来扩大其活动领域。只管与RansomHub的正式关联尚待确认，但NoName显然并未烧毁其勒索软件业务，ScRansom加密器仍在积极开发中。

https://www.bleepingcomputer.com/news/security/noname-ransomware-gang-deploying-ransomhub-malware-in-recent-attacks/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研