0908-5th域微讯晨报-曼迪昂特曝光APT42-亲俄黑客向日本宣战-新恶意软件正在Linux上进行测试-出售汽车远程访问权限

Fifth域

微讯

2022年9月08日

星期四

第5域微讯晨报

Cyber-Intelligence

Morning Brief

Vol-2022-204

虎

网络空间对抗资讯快报

年

虎啸龙吟静观网域风云刀光剑影搏击数字空间

今

日

摘

要

1、美国三家联邦机构警告勒索软件团伙Vice Society正在攻击教育部门

2、美国执法部门查封了一个在线市场的域名

3、谷歌称前Conti网络犯罪团伙成员现在专门攻击乌克兰

4、研究人员发现一种新恶意软件正在Linux上进行测试

5、Go编程语言将加强漏洞管理并通报项目中的漏洞

6、诈骗者出售汽车共享公司管理汽车的远程访问权限

7、亲俄黑客KillNet组织向日本宣战

8、Mandiant曝光伊朗黑客组织APT42

9、乌克兰拆除了更多传播俄罗斯虚假信息的机器人农场

10、美NSA设定2035年为国家安全系统中采用后量子密码的最后期限

***************************************

1、美国三家联邦机构警告勒索软件团伙Vice Society正在攻击教育部门

FBI、CISA 和多州信息共享与分析中心(MS-ISAC)就勒索软件团伙Vice Society越来越多地针对教育部门的攻击活动发出警报。针对教育部门尤其是K-12的勒索软件攻击并不少见，美国政府机构预计随着2022/2023学年的开始，攻击会增加。该公告发布的同一天，洛杉矶一个巨大的学区遭到勒索软件攻击，导致其计算机系统史无前例地关闭。勒索软件攻击对K-12机构的影响可能包括取消上课日、限制访问数据、延迟考试以及盗窃学生和教职员工的个人信息。FBI、CISA和MS-ISAC表示：“由于可以通过学校系统或其托管服务提供商访问大量敏感的学生数据，K-12 机构可能被视为特别有利可图的目标。”联合公告称，Vice Society自2021年夏天开始活跃，是一个从事入侵、数据泄露和勒索的黑客组织，它使用各种勒索软件系列，包括Hello Kitty/Five Hands和Zeppelin勒索软件的版本。Vice Society可能通过利用面向互联网的应用程序通过受损的凭据访问目标网络。接下来，使用SystemBC、PowerShell Empire和Cobalt Strike等工具进行横向移动。威胁行为者利用PrintNightmare漏洞（CVE-2021-1675 和CVE-2021-34527）进行权限提升，并使用计划任务和自动启动注册表项来实现持久性。该黑客组织还使用 DLL侧载，并尝试使用进程注入和将其恶意软件伪装成合法文件来逃避检测。美国机构表示：“已经观察到，Vice Society的参与者提升了权限，然后获得了域管理员帐户的访问权限，并运行脚本来更改受害者网络帐户的口令，以防止受害者进行补救。”建议组织保持数据的离线备份、加密备份、监控外部远程连接、限制未知程序的执行、实施多因素身份验证、审核用户帐户、实施网络分段、监控异常活动、禁用未使用的端口、保留系统和应用程序更新，并实施恢复计划。

https://www.securityweek.com/us-agencies-warns-vice-society-ransomware-gang-targeting-education-sector

2、美国执法部门查封了一个在线市场的域名

当地时间9月6日，葡萄牙当局查获了一个销售超过585万条PII 录的网站，而美国执法机构查获了与该在线商店相关的四个域，即“wt1shop.net”、“wt1store.cc”、“wt1store.com”、和'wt1store.net'。6日公布的一项联邦投诉指控摩尔多瓦共和国36岁的Nicolai Colesnicov经营wt1shop以帮助出售被盗的凭证和PII。在在线市场上，供应商提供了大约25,000个扫描的驾驶执照/护照、170万个被盗的在线零售商登录凭证、108,000个银行账户的详细信息以及大约21,800张信用卡。根据联邦投诉随附的宣誓书，非法市场的访问者可以使用比特币购买被盗数据。在线市场也有一个用户可以访问的论坛。荷兰执法官员于2020年6月获得的wt1shop数据库图像显示，该市场约有 60,823名注册用户，其中91名是卖家，2名是管理员。据称，截至2020年6月，在wt1shop上已售出大约240万张凭证，总收益为400万美元。出售的凭证适用于在线零售商、金融机构、PayPal 账户和电子邮件账户。其他凭据用于远程访问计算机、服务器和其他设备。2021年12月，该网站拥有超过106,000名用户和94名卖家，总共提供了大约 585万份待售凭证。当局已经追踪到在非法市场上进行的Colesnicov比特币销售、向wt1shop的虚拟主机支付的款项、与商店相关的电子邮件地址以及相关的登录信息，并确定Colesnicov是wt1shop的运营商。Colesnicov被指控阴谋和贩卖未经授权的访问设备，并面临长达10年的联邦监狱监禁。

https://www.securityweek.com/authorities-seize-online-marketplace-stolen-credentials

3、谷歌称前Conti网络犯罪团伙成员现在专门攻击乌克兰

谷歌表示，一些前Conti勒索软件团伙成员现在是被追踪为UAC-0098的威胁组织的一部分，他们的目标是乌克兰组织和欧洲非政府组织(NGO)。UAC-0098是一个初始访问代理，以使用IcedID银行木马为勒索软件组织提供对企业网络内受感染系统的访问而闻名。谷歌的威胁分析小组(TAG)是一个专门的安全专家团队，充当谷歌用户免受国家支持的攻击的防御力量，在检测到推动Conti-linked AnchorMail后门的网络钓鱼活动后，于4月开始跟踪该威胁组。“在与UAC-0098的初次对抗中，第一次观察到‘lackeyBuilder’。这是一个以前未公开的AnchorMail构建器，是 Conti组织使用的私人后门之一，”Google TAG说。“从那时起，攻击者一直使用网络犯罪分子传统上使用的工具和服务来获取初始访问权限：IcedID特洛伊木马、EtterSilent恶意文档构建器和‘Stolen Image Evidence’社会工程恶意软件分发服务。”在4月中旬至6月中旬期间观察到该组织的攻击，其战术、技术和程序 (TTP)、工具和诱饵频繁变化，同时针对乌克兰组织（如连锁酒店）并冒充国家网络警察乌克兰或埃隆马斯克和StarLink的代表。在随后的活动中，发现UAC-0098在针对乌克兰组织和欧洲非政府组织的网络钓鱼攻击中投递了IcedID和Cobalt Strike恶意负载。虽然该组织已经关闭了“Conti”品牌，但网络犯罪集团在分裂成更小的单元并渗透或接管其他勒索软件或网络犯罪活动后继续运作。Conti成员渗透的一些勒索软件团伙包括BlackCat、Hive、AvosLocker、Hello Kitty以及最近恢复的Quantum操作。其他Conti成员现在正在运行他们自己的不加密数据的数据勒索操作，例如 BlackByte、Karakurt和Bazarcall。

https://www.bleepingcomputer.com/news/security/google-former-conti-cybercrime-gang-members-now-targeting-ukraine/

4、研究人员发现一种新恶意软件正在Linux上进行测试

AT&T研究人员发现了一种名为Shikitega的新型隐形Linux恶意软件，该恶意软件以计算机和物联网设备为目标，并利用权限提升漏洞在受感染的设备上运行门罗币加密货币矿工。Shikitega可以使用多态编码器绕过防病毒软件，这使得基于签名的静态检测成为不可能。根据AT&T的报告，该恶意软件使用多阶段感染链，其中每个级别仅传递几百字节，激活一个简单的模块，然后进入下一个。也就是说，Shikitega逐步投送其有效载荷，每一步仅显示总有效载荷的一小部分。感染始于一个包含编码shellcode的370字节ELF文件。编码是使用Shikata Ga Nai有效载荷编码方案完成的。使用编码器，恶意软件会经历多个解码周期，其中一个周期解码下一层，直到最终的shellcode有效负载被解码并执行。解密完成后，执行shellcode，它与C&C服务器通信，接收直接从内存中存储和执行的附加命令。一个命令下载并执行Mettle ，这是一种小型便携式Metasploit Meterpreter有效载荷，它使攻击者能够远程控制和执行主机上的代码。Mettle提取了一个更小的ELF文件，该文件使用CVE-2021-4034(PwnKit)和CVE-2021-3493 将权限提升为root并加载加密矿工。加密矿工的持久性是通过删除所有下载的文件以减少检测机会来实现的。此外，为了避免被发现，Shikitega运营商使用合法的云托管服务来托管他们的C&C基础设施。这使操作员面临被执法部门发现的风险，但在受损系统中提供了更好的隐身性。AT&T团队建议管理员应用可用的安全更新，在所有端点上使用EDR，并定期备份关键数据。

https://www.securitylab.ru/news/533792.php

5、Go编程语言将加强漏洞管理并通报项目中的漏洞

谷歌开发的Golang语言增加了对漏洞管理的支持，以保证开发者项目的安全。Go开发团队创建了vuln.go.dev网站来托管可以从公共Go模块导入的包中的已知漏洞。Go安全团队根据CVE、GitHub安全公告和维护人员的报告选择并验证了这些漏洞。实施这一计划后将会生成一个高质量的漏洞数据库，因为非必要的问题已被过滤掉。Go实现了govulncheck命令包，它与vuln.go.dev结合使用，作为“Go用户了解可能影响其项目的已知漏洞的可靠方式”。

还开发了一个相关的包vulncheck ，它将govulncheck功能导出为Go API，以便与安全工具集成。Govulncheck 的关键特性是它分析您的代码库，并且仅根据代码中的哪些功能导致错误来检测实际影响项目的漏洞。这意味着更少的误报。Go文档指出，代码对调用函数指针和接口的保守方法“在某些情况下可能会导致误报或调用堆栈不准确”，以及其他限制。

https://www.securitylab.ru/news/533794.php

6、诈骗者出售汽车共享公司管理汽车的远程访问权限

卡巴斯基实验室告诉《消息报》，在暗网上，他们开始提供购买其中一家汽车共享公司控制面板的访问权限。黑客提供购买服务管理管理面板的口令-通过它您可以跟踪汽车的位置，打开和关闭它，打开和关闭引擎。然而，接近汽车共享公司的消息人士表示，远程访问控制面板是不可能的。然而，信息安全专家则持不同意见。“任何汽车共享都有一个所谓的管理面板——服务部门会在紧急情况下使用它，”卡巴斯基实验室运输部门安全威胁分析师Oleg Yagodin解释说。专家称，技术支持可以远程打开或关闭汽车、鸣喇叭、闪烁大灯、启动汽车预热或关闭发动机。R-Vision领先的信息安全顾问Evgeny Gryaznov表示：“现代汽车共享汽车不仅仅是一辆汽车，还是一个隐藏的附加车载计算机，带有许多传感器，不断向运营商公司传输有关其状况的信息，”向《消息报》解释。专家补充说，这种额外计算机的功能、内置的传感器组及其位置属于商业机密，不会被披露。多年来，在共享汽车配备的先进安全系统中，一直存在安全远程发动机熄火的可能性。在移动中远程关闭汽车共享汽车发动机的一种可能选择是通过切断燃料供应来实现：汽车逐渐熄火，但仍然可控，”Evgeny Gryaznov解释说。RTK-Solar的 Solar appScreener中心主任Daniil Chernov认为，如果汽车具有通过燃油泵进行的发动机启动控制技术，情况将最为危险。专家指出，重要的是要考虑到访问控制和管理功能使攻击者有机会在速度和地理位置方面选择最危险的时刻来关闭燃料供应。

https://iz.ru/1391162/ivan-chernousov-olga-kolentcova/pravo-rulit-moshenniki-prodaiut-udalennyi-dostup-k-mashinam-karsheringa

7、亲俄黑客KillNet组织向日本宣战

亲俄黑客KillNet已向日本宣战。Gazeta.ru参考该组织的新闻稿对此进行了报道。前一天，黑客袭击了该国的几家公共和私人电子服务。网络犯罪分子禁用了当地的Gosuslug服务、流行的日本社交网络Mixi和JCB支付系统。“对日本金融体系的打击，作为世界上的关键金融体系之一，也是西方政权集团的主要金融体系之一，是一个很好的动力去思考他们将与谁作战。俄罗斯是一个充满机遇和伟大人民的国家。如果你决定成为我们的敌人，那么不要指望你会得到怜悯。KillNet在一份声明中说，我们将在“午餐”之前摧毁你。值得注意的是，黑客入侵日本的动机是该国支持乌克兰作为军事特别行动的一部分，以及它对目前在俄罗斯联邦管辖下的千岛群岛的主张。早些时候，Gazeta.Ru报道了诈骗者如何攻击俄罗斯学童的父母，使用纪念9月1日的奖金作为诱饵。

https://www.securitylab.ru/news/533786.php

8、Mandiant曝光伊朗黑客组织APT42

网络威胁情报公司Mandiant的一份新报告称，自2015年以来一直在运作的一个由伊朗国家赞助的组织依赖于高度针对性的社会工程攻击个人和组织，这些个人和组织被德黑兰视为该政权的敌人。新近被称为 APT42的威胁演员 Mandiant 的目标包括伊朗侨民以及西方智囊团、学术界和媒体组织。威胁行为者代表伊斯兰革命卫队的情报组织运作，似乎受到信任，可以迅速对地缘政治变化做出反应，并适应新的行动目标。Mandiant说，该组织的目标是双重的：它试图窃取个人和公司的电子邮件帐户凭据，并使用它们来窃取与伊朗相关的个人或商业文件和研究。第二个目标是追踪“地点，监控电话和电子邮件通讯，并普遍监视伊朗政府感兴趣的个人的活动，包括伊朗境内的活动家和持不同政见者。”该组织与其目标建立了融洽的关系，并在发送恶意链接之前进行了数天的良性对话。APT42特工使用受感染的电子邮件帐户来冒充受信任的个人。2021年春天，它使用了一个属于美国智囊团的被盗电子邮件帐户。Mandiant说，在3月至6月期间，威胁行为者冒充知名记者，以接近美国政府官员和伊朗反对派成员。该组织已针对至少14个国家的组织，包括澳大利亚、美国以及欧洲和中东国家。到目前为止，该组织已确认有超过30 有针对性的APT42行动，但研究人员估计，基于该组织的高行动节奏，该组织的入侵行动数量要高得多。

https://www.govinfosecurity.com/iranian-threat-group-befriends-victims-a-20006

9、乌克兰拆除了更多传播俄罗斯虚假信息的机器人农场

乌克兰安全局(SSU)网络部门拆除了另外两个通过数千个虚假账户在社交网络和消息传递平台上传播俄罗斯虚假信息的机器人农场。正如SSU发现的那样，这个“拥有近7,000个账户”的机器人军队被用来推送诋毁乌克兰国防军的内容，为俄罗斯的武装侵略辩护，并破坏乌克兰的社会和政治局势。第一个由居住在基辅地区的24岁本地人经营，被“政党公关部门的代表和俄罗斯公民在乌克兰信息空间宣传破坏性和挑衅性材料”使用。为了隐藏自己的身份，他使用了伪造的乌克兰文件、俄罗斯的电子邮件服务以及俄罗斯和白俄罗斯移动运营商的虚拟电话号码进行验证。SSU表示:“组织者将‘现成’机器人出租或出售给感兴趣的各方，并接受银行卡付款。”另一家来自敖德萨，通过在前线推送虚假信息和假新闻，向俄罗斯“客户”出售服务，在该地区传播恐慌。在与国家警察、敖德萨和基辅地区检察官办公室合作对嫌疑人的家中进行搜查时，SSU查获了与用于收取客户款项的银行账户有关的支付卡，以及数百张移动SIM卡和USB调制解调器。此外，警方还查获了具有机器人农场经营者非法活动证据的电脑设备和手机。上个月，乌克兰网络警察拿下了另一个由100多万个机器人组成的大型机器人农场，这些机器人在社交网络上传播虚假信息。

https://www.bleepingcomputer.com/news/security/ukraine-dismantles-more-bot-farms-spreading-russian-disinformation/

10、美NSA设定2035年为国家安全系统中采用后量子密码的最后期限

美国国家安全局9月7日在新指南中表示，预计国家安全系统的所有者和运营商将在2035年之前开始使用后量子算法。在题为《商业国家安全算法套件 2.0”(CNSA 2.0)网络安全咨询(CSA)》说明中，情报机构建议供应商开始为新技术要求做准备，但承认一些抗量子算法尚未获得批准使用。在情报界和美国军方全面采用之前，新的算法标准将得到美国国家标准与技术研究所和国家信息保障合作组织的批准。该备忘录包括商业国家安全算法套件2.0——该机构的一套新的加密标准——在人们越来越担心外国对手可能使用先进的计算技术来破解多年来保护大多数联邦安全的公钥密码系统之际。除了2035年的总体截止日期外，美国国家安全局表示，它预计采用后量子算法的时间框架会因技术而异，并发布了一系列额外的里程碑，预计情报界及其供应商将实现这一目标。根据该公告，NSA预计到2030年，用于国家安全系统的软件和固件签名将专门使用商业国家安全算法套件2.0。该机构还预计，到2030年，虚拟专用网络和路由器等传统网络设备将采用新标准，到2033年，Web浏览器、服务器和云服务将完全使用新算法。

https://www.fedscoop.com/nsa-sets-2035-deadline-for-adoption-of-post-quantum-cryptography-across-natsec-systems/

往期推荐

1. 5th域微讯晨报-Vol-2022-200