明朝万达2024年网络安全月报（2月）

网络安全前沿新闻

最近开源的一个名为SSH-Snake 的网络映射工具已被威胁行为者重新利用来进行恶意活动。SSH-Snake 是一种自我修改蠕虫，它利用在受感染系统上发现的 SSH 凭据开始在整个网络中传播。

该蠕虫会自动搜索已知的凭据位置和 shell 历史文件，以确定其下一步行动。SSH-Snake 于 2024 年 1 月上旬首次在 GitHub 上发布，其开发者将其描述为使用系统上发现的 SSH 私钥进行自动网络遍历的“强大工具”。

美国国务院已宣布对能够识别 LockBit 勒索软件组织内主要领导人身份并逮捕任何参与该行动的个人的信息提供高达 1500 万美元的奖金。美国国务院表示：“自 2020 年 1 月以来，LockBit 攻击者已对美国和世界各地的受害者实施了 2000 多次攻击，造成了代价高昂的运营中断以及敏感信息的破坏或泄露。”

“已支付超过 1.44 亿美元的赎金，从 LockBit 勒索软件事件中恢复过来。”这一进展正值英国国家犯罪局 (NCA) 领导的大规模执法行动瓦解了LockBit，这是一个与俄罗斯有关的勒索软件团伙，该团伙已经活跃了四年多，对世界各地的企业和关键基础设施实体造成了严重破坏。

据调查人员称，阿巴耶夫和莱曼至少在 2019 年 9 月至 2021 年 9 月期间与两名俄罗斯公民 Aleksandr Derebenetc 和 Kirill Shipulin 合作。俄罗斯公民侵入了肯尼迪机场的出租车调度系统，并将司机付费的出租车转移到了阿巴耶夫和莱曼走在队伍的最前面。在肯尼迪机场，出租车必须在等候区等候，然后按照到达的顺序被派往航站楼。出租车可能需要等待几个小时才能被调度，但该计划使一些司机可以插队。

当局表示，通过这一计划，每天有多达 1000 辆出租车被排在队伍前面，司机每次越线需支付 10 美元。

该活动与斯洛伐克网络安全公司 ESET 与俄罗斯结盟的威胁行为者有关，该公司还发现了 2023 年 10 月针对一家乌克兰国防公司和 2023 年 11 月针对欧盟机构的鱼叉式网络钓鱼活动，旨在获取 Microsoft 登录凭据使用虚假登陆页面。

Texonto 行动（整个活动的代号）并未归因于特定的威胁行为者，尽管其中的某些要素（尤其是鱼叉式网络钓鱼攻击）与COLDRIVER重叠，后者有通过虚假登录获取凭据的历史页。

虚假信息操作在 2023 年 11 月和 12 月发生了两波，电子邮件中包含 PDF 附件以及与供暖中断、药品短缺和食品短缺相关的内容。

伊朗和真主党支持的黑客发动网络攻击，旨在削弱公众对 2023 年 10 月后以色列-哈马斯战争的支持。这包括针对以色列主要组织的破坏性攻击、针对以色列和美国实体的黑客泄露行动、旨在窃取情报的网络钓鱼活动以及旨在扭转公众舆论反对以色列的信息行动。

谷歌在一份新报告中表示，在 10 月 7 日袭击发生前的六个月内，伊朗占所有政府支持的针对以色列的网络钓鱼活动的近 80%。

美国司法部 (DoJ)将 Penchukov描述为“两个多产恶意软件组织的领导者”，该组织用恶意软件感染了数千台计算机，导致勒索软件和数百万美元被盗。

其中包括 Zeus 银行木马，该木马有助于窃取银行账户信息、密码、个人识别码以及登录网上银行账户所需的其他详细信息。

彭丘科夫和他的同谋，作为被称为“贾伯宙斯”团伙的“广泛敲诈勒索企业”的一部分，然后伪装成受害者的雇员，发起未经授权的资金转移。

一种名为SNS Sender 的恶意 Python 脚本被宣传为威胁行为者通过滥用 Amazon Web Services (AWS) 简单通知服务 ( SNS ) 发送批量短信的一种方式。

SentinelOne 在一份新报告中表示，短信网络钓鱼消息旨在传播恶意链接，这些链接旨在捕获受害者的个人身份信息 (PII) 和支付卡详细信息，并将其归因于名为 ARDUINO_DAS 的威胁行为者。

安全研究员表示：“网络诈骗通常以美国邮政服务 (USPS) 发送的关于丢失包裹的消息为幌子。”

美国网络安全和基础设施安全局 (CISA) 透露，一个未透露姓名的州政府组织的网络环境因一名前雇员的管理员账户而遭到破坏。

该机构在周四与多州信息共享和分析中心（MS-ISAC）联合发布的一份联合公告中表示：“这使得威胁行为者能够成功通过内部虚拟专用网络（VPN）接入点的身份验证。”

“威胁行为者通过受害者的 VPN 连接到[虚拟机]，意图与合法流量混合以逃避检测。”

      61 家银行机构（全部来自巴西）是名为Coyote的新银行木马的目标。

     俄罗斯网络安全公司卡巴斯基在周四的报告中表示：“该恶意软件利用 Squirrel 安装程序进行分发，利用 Node.js 和一种名为 Nim 的相对较新的多平台编程语言作为加载程序来完成感染。”

      Coyote 与其他同类银行木马的不同之处在于它使用开源Squirrel 框架来安装和更新 Windows 应用程序。另一个值得注意的变化是从 Delphi（在针对拉丁美洲的银行恶意软件家族中普遍存在）转向 Nim 等不常见的编程语言。

作为 2024 年 2 月观察到的新网络钓鱼活动的一部分，臭名昭著的恶意软件加载程序和初始访问代理Bumblebee在消失四个月后重新出现。

网络安全研究员表示，该活动针对美国的组织，利用包含 OneDrive URL 链接的语音邮件主题诱饵。

周二的一份报告中表示，“这些 URL 指向一个名为“ReleaseEvans#96.docm”（文件扩展名前的数字有所不同）的 Word 文件。” “该 Word 文档欺骗了消费电子公司 Humane。”

PikaBot 恶意软件背后的威胁行为者对恶意软件进行了重大更改，这被称为“权力下放”。

网络安全研究员表示：“虽然它似乎处于新的开发周期和测试阶段，但开发人员通过删除先进的混淆技术和改变网络通信来降低了代码的复杂性。”

PikaBot于 2023 年 5 月首次由网络安全公司记录，它是一个恶意软件加载程序和后门，可以执行命令并从命令和控制 (C2) 服务器注入有效负载，并允许攻击者控制受感染的主机。

美国司法部 (DoJ) 周五宣布查封用于销售名为Warzone RAT 的远程访问木马 (RAT) 的在线基础设施。

美国司法部表示，这些域名（www.warzone[.]ws和其他三个域名）“被网络犯罪分子用来销售计算机恶意软件，以秘密访问和窃取受害者计算机中的数据” 。

除了此次行动之外，国际执法机构还逮捕并起诉了马耳他和尼日利亚的两名个人，因为他们参与销售和支持该恶意软件，并帮助其他网络犯罪分子将 RAT 用于恶意目的。

俄罗斯外交部领事司 (MID) 可能使用的工具安装程序已被植入后门，可传播名为Konni RAT（又名UpDog）的远程访问木马。调查结果来自德国网络安全公司 DCSO，该公司将此次活动与源自朝鲜民主主义人民共和国 (DPRK) 的针对俄罗斯的关联行为者联系起来。

Konni（又名 Opal Sleet、Osmium 或TA406）活动集群有针对俄罗斯实体部署 Konni RAT 的既定模式，至少自 2021 年 10 月以来，威胁行为者还与针对 MID 的攻击有关。

在 Android、Linux 和 ChromeOS 设备中发现的开源 Wi-Fi 软件中发现了两个身份验证绕过缺陷，这些缺陷可能会诱骗用户加入合法网络的恶意克隆，或允许攻击者无需密码即可加入受信任的网络。

这些漏洞分别编号为 CVE-2023-52160 和 CVE-2023-52161，是在对wpa_supplicant和英特尔 iNet Wireless Daemon ( IWD ) 进行安全评估后发现的。

美国网络安全和基础设施安全局 (CISA) 周四在其已知利用漏洞 ( KEV ) 目录中添加了一个现已修补的安全漏洞，该漏洞影响思科自适应安全设备 (ASA) 和 Firepower 威胁防御 (FTD) 软件，有报道称该漏洞正在被修复。可能在 Akira 勒索软件攻击中被利用。

该漏洞为CVE-2020-3259（CVSS 评分：7.5），这是一个高严重性的信息泄露问题，可能允许攻击者检索受影响设备上的内存内容。作为 2020 年 5 月发布的更新的一部分，思科对其进行了修补。

网络安全最新漏洞追踪