安全新聞周報20240824~ 0830
1.黑客反複使用相同的iOS和Chrome漏洞攻擊政府網站
黑客一直在利用 iOS 和 Google Chrome 中的漏洞來攻擊政府網站,尤其是在蒙古。
谷歌的威脅分析小組 (TAG) 觀察到這些攻擊,這些攻擊與俄羅斯政府支持的行為者 APT29 有關。
黑客一再使用最初由商業監控供應商開發的相同漏洞來突破安全防禦。
本文深入探討了這些網絡活動的細節、利用的漏洞以及對全球網絡安全的影響。
網絡攻擊是通過一種稱為「水坑攻擊」的方法執行的,在這種方法中,合法網站受到威脅,向毫無戒心的訪問者提供惡意負載。
在此期間,攻擊者使用 iOS WebKit 漏洞CVE-2023-41993以運行 16.6.1 之前版本的 iOS 設備為目標。
該漏洞通過受感染的政府網站提供,影響了未更新設備的用戶。
攻擊者根據自己的目的調整了這些漏洞,這引發了關於這些複雜工具如何最終落入 APT 參與者手中的問題。
谷歌的 TAG 以中等可信度評估這些活動與 APT29 有關,該組織以其先進的網絡能力和與俄羅斯政府的聯繫而聞名。
APT29 使用的漏洞與商業供應商開發的漏洞之間的相似性表明這些工具可能存在洩漏或銷售。
這些活動還強調了與商業監控工具擴散相關的風險,惡意行為者可以重新利用這些工具。
鏈接:
https://gbhackers.com/ios-chrome-exploits-government-websites/
2.研究人員表示,自 2021 年以來,柬埔寨詐騙巨頭處理了 490 億美元的加密貨幣交易
根據一份新報告,一個臭名昭著的在線市場據稱與網路詐騙活動有關,並與柬埔寨家族統治有關,自 2021 年以來已處理超過 490 億美元的加密貨幣交易。
區塊鏈分析公司 Chainalysis 周四發表其年中加密犯罪更新,並重點介紹了與柬埔寨企業集團 Huione Group 相關的在線市場 Huione Guarantee。
7月,區塊鏈安全公司Elliptic揭露該平台是如今已成工業規模的「殺豬盤」經濟的關鍵參與者,為所有交易「提供擔保或託管服務」。 Chainalysis 以該研究為基礎,發現該平台的參與者比以前理解的要大得多。 Huione Guarantee 是一個通過提供 Telegram 句柄作為聯繫點來連接買家和賣家的市場。 該平台表示,它是一個中立方,不會驗證廣告商品的合法性。
研究人員表示,有數千個 Telegram 群組在 Huione Guarantee 上做廣告,其中許多「可能與在該地區運營的犯罪企業有聯繫」。
「鍊上分析顯示,Huione Pay 在以太坊上很活躍,總流入量超過 19 億美元,在 TRON 上,流入量超過 470 億美元,」他們說。
「Huione Guarantee 上的許多商家很少努力掩蓋他們的活動,使用不加掩飾的暗語來宣傳他們正在尋找的服務類型。」
Chainalysis 發現 Huione Pay 與被認為非法或存在風險的各方之間進行了數百次轉賬。 他們表示,huione 接收並發送資金至先前被研究人員與詐騙、被盜資金、受制裁的俄羅斯交易所 Garantex、欺詐商店、兒童性虐待材料、賭場等相關的賬戶。 Chainalysis 發現,錢包與緬甸知名的騙局夥以及數十個已知參與東南亞非法活動有關。
「這些網絡對 Huione Guarantee 的使用表明,該服務不僅為詐騙者和欺詐者本身的活動提供了便利,而且為他們背後的犯罪附屬網絡提供了便利,」他們說。
母公司 Huione Group 提供合法服務,但區塊鏈數據一再表明,該公司的子公司深度參與了繼續在東南亞運營的「殺豬盤」經濟。
Elliptic 指出,Huione Pay 的董事之一是 Hun To,他是柬埔寨首相 Hun Manet 的堂兄,因長期與海洛因販運、洗錢、中國有組織犯罪和詐騙複合體有聯繫而臭名昭著。
Chainalysis 報告還跟蹤了與網路詐騙相關的一系列其他加密貨幣趨勢,並指出犯罪分子不斷演變並適應執法工作。
犯罪集團現在能夠在更短的時間內重新生成詐騙工具,並繼續保持同時進行的較小規模的活動。
該國持續的內戰使犯罪團夥在不受管制的邊境地區猖獗--以至於中國政府不得不介入並迫使軍政府採取行動。
與 KK Park 相關的錢包於 2022 年首次被發現,截至 2024 年,已向其發送了超過 1 億美元。 Chainalysis 表示,這些資金「可能來自詐騙受害者,也可能來自試圖拯救被拐賣家庭成員的家庭提交的贖金。
他們解釋說,「此外,重要的是要注意,在調整他們的鍊下詐騙存在時,來自 KK Park 和類似化合物的詐騙操作非常多產,經常從中國服務購買經驗豐富的 Facebook、tinder 和 Match.com 個人資料用於他們的活動。」
然後,從這些詐騙活動中賺取的大部分資金通過 Huione Guarantee 等中心化交易所進行洗錢。
鏈接:
https://therecord.media/cambodian-scam-giant-handled-billions-in-transactions
3.Android 惡意軟件用於竊取三家歐洲銀行客戶的 ATM 信息
在過去 9 個月中發現的一次活動中,網路犯罪分子使用一種為 Android 設備構建的惡意軟件來搶劫了三家捷克銀行。
總部位於斯洛伐克的網絡安全公司 ESET 的研究人員將該惡意軟件命名為 NGate,並表示網路犯罪分子將其用作更大的攻擊鍊的一部分,黑客在這些攻擊中設置與合法歐洲應用程序幾乎相同的惡意銀行應用程序,以試圖在精心設計的網絡釣魚計劃中竊取用戶數據。
發現這種新型威脅和技術的 Lukáš Štefanko 解釋說,用於攻擊捷克受害者的惡意軟件脫穎而出,因為它能夠通過安裝在受害者 Android 設備上的惡意應用程序中繼某人的支付卡。
Štefanko 表示,黑客發現了一種方法,可以通過受害者受感染的 Android 智能手機將受害者實體支付卡中的近場通信 (NFC) 數據中繼到攻擊者的設備。
從那裡,黑客使用被盜數據進行 ATM 交易,如果失敗,黑客有一個備份計劃,只需將資金從受害者的銀行賬戶轉移到其他賬戶。
「我們還沒有在以前發現的任何 Android 惡意軟件中看到這種新穎的 NFC 中繼技術,」Štefanko說。
該活動背後的網路犯罪分子在發送聲稱來自該人銀行的網路釣魚消息後,能夠說服受害者下載惡意應用程序。 這些消息聲稱他們的設備已被盜用,受害者需要下載應用程序來解決問題--在此過程中無意中感染了他們的設備。
然後,黑客使用 NFCGate 工具(用於在兩個設備之間中繼 NFC 數據)來竊取卡信息。
ESET 研究人員自 2023 年 11 月以來一直在追蹤該活動背後的參與者的活動,並指出他們在捷克開展業務。 他們發現該小組在 11 月專門針對捷克知名銀行的客戶。
他們指出,該組織在 2024 年 3 月據稱逮捕了一名未透露姓名的成員後停止運營了一段時間。
但 ESET 補充說,這是他們第一次看到具有這種功能的 Android 惡意軟件在野外使用。
Štefanko 敦促人們在採取任何行動之前在網上更加警惕,檢查網站的 URL,確保 PIN 碼的安全,並在不需要時關閉 NFC 功能。 他還建議使用虛擬卡--它為人們提供他們可以在網站上輸入的臨時卡信息。
鏈接:
https://therecord.media/android-malware-atm-stealing-czech-banks
4.Patelco 通知 726,000 名客戶勒索軟件數據洩露
Patelco Credit Union 警告客戶,在今年早些時候個人數據在 RansomHub 勒索軟件攻擊中被盜後,它遭受了數據洩露。
儘管該組織沒有透露攻擊者的名字,但 RansomHub 團伙於 2024 年 8 月 15 日聲稱對此負責,當時他們在勒索門戶網站上發布了所有被盜數據。
Patelco 是一家美國非營利性信用合作社,提供金融服務,包括支票和儲蓄賬戶、貸款、信用卡、保險計劃和投資,資產超過 90 億美元。
上個月,該公司披露,它於 2024 年 6 月 29 日遭受了勒索軟件攻擊,這迫使它關閉了面向客戶的銀行系統,以遏制損害並保護人們的數據。
系統中斷持續了大約兩周,而該組織恢復了其 IT 系統的大部分功能。
在事件披露時,patelco 尚未確定數據是否在攻擊中受到損害,但調查顯示,威脅行為者竊取了客戶數據。
「調查顯示,未經授權的一方於 2024 年 5 月 23 日訪問了我們的網絡,導致於 2024 年 6 月 29 日訪問了數據庫,」Patelco 的數據洩露通知中寫道。
「在對相關數據進行調查和徹底審查後,我們於 2024 年 8 月 14 日確認,訪問的數據庫包含您的個人信息。」
與 RansomHub 在其暗網上的勒索門戶上洩露的內容相匹配,網路犯罪分子聲稱,經過兩周的據稱談判後,他們未能與 Patelco 達成協議。
根據緬因州總檢察長辦公室網站上的一份清單,該事件影響了 726,000名 Patelco 客戶。
數據洩露通知的接收者將找到有關通過 Experian 註冊為期兩年的免費身份保護和信用監控服務的說明。 註冊截止日期定為 2024 年 11 月 19 日。
Patelco 還在其網站主頁上放置了警告橫幅,告知會員其團隊絕不會直接聯繫他們索取他們的卡詳細信息,包括他們的 PIN、到期日期或 CVV 代碼。
網絡釣魚、社會工程和詐騙的風險對於暴露的個人來說更高,現在建議他們對未經請求的通信和惡意嘗試保持警惕。
鏈接:
5.審計發現 FBI 的存儲介質管理中存在明顯的安全漏洞
司法部監察長辦公室 (OIG) 的一項審計發現,FBI 在庫存管理和處置包含敏感和機密信息的電子存儲媒體方面存在「重大弱點」。
該報告強調了用於跟蹤從設備中提取的存儲介質的策略和程序或控制措施的多個問題,以及介質銷毀過程中的重大物理安全漏洞。
FBI 已經承認了這些問題,並正在根據 OIG 的建議實施糾正措施。
OIG 的審計凸顯了 FBI 對包含敏感機密國家安全信息 (NSI) 的電子存儲介質的庫存管理和處置程序中的幾個弱點。
一旦電子存儲介質從較大的設備中提取出來,FBI 就無法充分跟蹤或說明它們,這會增加這些介質丟失或被盜的風險。
FBI 未能始終如一地使用適當的保密級別(例如,機密、最高機密)標記電子存儲介質,這可能導致敏感信息處理不當或未經授權的訪問。
OIG 還觀察到發生媒體銷毀的 FBI 設施的物理安全性不足。 這包括內部訪問控制不足、等待銷毀的媒體存儲不安全以及監控攝像頭無法正常工作,所有這些都增加了機密信息泄露的風險。
OIG 已向 FBI 提出了三項具體建議,以解決已發現的問題。
修訂程序以確保所有包含敏感或機密信息的電子存儲介質(包括從預定銷毀的計算機中提取的硬盤驅動器)都得到適當的說明、跟蹤、及時清理和銷毀。
根據適用的政策和指南,實施控制措施,確保其電子存儲介質標有適當的 NSI 分類級別標記。
加強對設施中電子存儲介質的物理安全的控制和實踐,以防止丟失或被盜。
聯邦調查局承認了審計結果,並表示正在製定一項名為「機密和敏感電子設備的物理控制和銷毀以及材料政策指令」的新指令。
這項新政策有望解決在存儲介質追蹤和分類標記中發現的問題。 此外,聯邦調查局表示,它正在安裝保護性「籠子」,用作媒體的存儲點,這些媒體將被視頻監控覆蓋。
OIG 希望 FBI 在 90 天內更新其實施糾正措施的狀態。
鏈接:
6.阿根廷逮捕的 Lazarus 黑客是洗錢數百萬的俄羅斯人
阿根廷聯邦警察 (PFA) 在布宜諾斯艾利斯逮捕了一名 29 歲的俄羅斯國民,罪名是與屬於朝鮮 Lazarus 黑客的加密貨幣收益有關的洗錢。
聖伊西德羅網路犯罪調查專業財政部門 (UFEIC) 與區塊鏈分析公司TRM Labs合作,識別和定位該個人,儘管他使用跨越多個區塊鏈的複雜交易網絡來混淆資產來源。
該男子從包括 Lazarus 集團、虐待兒童內容傳播者、恐怖組織資助者在內的多個團伙那裡接收了大量被盜加密貨幣。 嫌疑人通過加密貨幣交易所和混幣器清洗資金,然後將資產轉換為法定貨幣。 據La Nacion報道,被捕的個人 (V.B.) 在某個時候從朝鮮黑客那裡處理了 1 億美元,指的是 FBI 在 2023 年 1 月將 2022 年 6 月的 Harmony Horizon 黑客攻擊歸咎於 Lazarus。
這是 Lazarus 最大的加密貨幣搶劫案之一,另外兩起是 2022 年 3 月從 Ronin Network 被盜的 6.25 億美元和 2023 年 7 月從 Alphapo 被盜的 6000 萬美元。
La Nacion 報道稱,嫌疑人在他七樓的公寓裡開展了洗錢活動,每天都有人帶著公文包、包和背包來來往往,兌換貨幣和進行加密貨幣轉賬。
對 V.B. 活動的調查顯示,他使用俄羅斯盧布購買了超過 130 萬枚 USDT 穩定幣,並通過 Binance Pay 進行了 2,463 次加密貨幣轉賬,金額超過 450 萬美元。
調查人員利用 Binance 的情報找到了該人的位置。
PFA 特工從公寓中查獲了所有可能使嫌疑人入罪的電子設備,以及指向其他知名網路犯罪分子及其推動者。
此外,還查獲了兩個加密貨幣錢包,每個錢包持有 54,290 美元和 1500 萬美元與嫌疑人有關的加密資產。
與此同時,根據 Chainalysis 的最新可用信息,lazarus 集團已轉向名為YoMix的新加密不倒翁服務來洗錢。
鏈接:
信飛科技有限公司
2024年8月
