最新版本的Hive有效载荷是用Rust编写的,之前是用Go编写的。它通常会在攻击者通过利用钓鱼邮件、暴露的RDP、利用未打补丁的软件(FortiOS漏洞CVE-2020-12812和微软Exchange的ProxyShell漏洞已经受到青睐;还会有其他漏洞)或泄露的VPN信条(即所有许多常见的机器和网络被破坏的方式)访问网络后进行投放。

像大多数复杂的勒索软件的有效载荷一样,Hive勒索软件运行的进程会杀死一系列的防病毒/EDR工具,删除备份并阻止恢复。正如美国网络安全机构CISA 11月17日所说,它禁用了 "系统注册表中的Windows Defender和其他常见的防病毒程序的所有部分"。 

(微软在夏天的分析显示,它终止了以下进程,其中包括常见的备份和安全工具。Windefend, msmpsvc, kavsvc, antivirservice, vmm, vmwp, sql, sap, oracle, mepocs, veeam, backup, vss, msexchange, mysql, sophos, pdfservice, backupexec, gxblr, gxvss, gxclmgrs, gxcimgr, gxmmm, gxvsshwprov, gxfwd, sap, qbcfmonitorservice, acronisagent, veeam, mvarmor, acrsch2svc等进程 )

攻击者青睐于域内的攻击 

SentinelOne在早前的分析中指出,目前已经发现Hive使用了开源工具ADRecon来映射、穿越和列举AD环境。趋势科技最近对另一种新出现的勒索软件类型Play的调查也强调,在信息搜集阶段,勒索软件攻击者会收集更多关于AD域环境的细节。我们观察到,不同的工具对远程系统进行了AD查询,如ADFind、Microsoft Nltest和Bloodhound会列举系统信息,如主机名、共享和域信息。

这样的工具也可以免费提供给安全方面的IT专业研究人士,也非常值得那些从未部署过这些工具的人探索。

正如Bloodhound的联合创建者Andy Robbins去年所说的,该工具旨在帮助映射和利用AD(现在也在Azure AD)中的攻击路径。正如他所指出的。蓝队方面的很多人都是在该工具被专业人士或攻击者用来对付他们自己时才知道的。

但实际情况是,BloodHound能够为蓝队提供的价值远远超过它对红队的价值,因为它向蓝队展示了他们的环境中存在哪些攻击路径,这样他们就可以在对手发现和利用这些攻击路径之前将其清理掉。

同时,CISA最近的Hive勒索软件指南可能已经被那些注重安全的人看到过很多次了,但它也只是针对一些核心网络的一个检查清单。

美国网络安全机构说,组织应该在操作系统、软件和固件发布后,立即安装更新。 优先修补VPN服务器、远程访问软件、虚拟机软件和已知被利用的漏洞。并且还应该考虑利用一个集中的补丁管理系统来自动化管理和加速这一过程。 

他们还应该使用尽可能多的服务比如采用抗网络钓鱼的MFA,特别是网络邮件、VPN、访问关键系统的账户以及管理备份的特权账户。

如果使用RDP,应确保其安全性并对其进行监控,限制访问的源地址,并要求使用MFA减少凭证盗窃和重复使用。如果RDP必须在外部使用,在允许RDP连接到内部设备之前,使用VPN、虚拟桌面基础设施或其他方式来验证和保护连接。

维护数据的离线备份,并定期维护备份和恢复。通过使用这种做法,组织确保他们不会被严重干扰。

确保所有的备份数据是加密的,不可改变的(即不能被改变或删除),并覆盖整个组织的数据基础设施。确保你的备份数据还没有被感染。

禁用命令行和脚本的活动权限。特权升级和横向移动往往依赖于从命令行运行的软件工具。如果威胁者不能运行这些工具,他们将很难升级权限和/或横向移动。

确保设备的正确配置,并确保安全功能已经被启用。

在网络内限制服务器信息块(SMB)协议,只访问必要的服务器,并删除或禁用过期的SMB版本(即SMB版本1)。

组织还应该识别并优先恢复关键系统,确认受影响系统中存放的数据的性质,并根据预先确定的关键资产清单确定恢复的优先次序,包括对健康和安全、创收或其他关键服务至关重要的信息系统,以及它们所依赖的系统。

最新版本的Hive有效载荷是用Rust编写的,之前是用Go编写的。它通常会在攻击者通过利用钓鱼邮件、暴露的RDP、利用未打补丁的软件(FortiOS漏洞CVE-2020-12812和微软Exchange的ProxyShell漏洞已经受到青睐;还会有其他漏洞)或泄露的VPN信条(即所有许多常见的机器和网络被破坏的方式)访问网络后进行投放。

像大多数复杂的勒索软件的有效载荷一样,Hive勒索软件运行的进程会杀死一系列的防病毒/EDR工具,删除备份并阻止恢复。正如美国网络安全机构CISA 11月17日所说,它禁用了 "系统注册表中的Windows Defender和其他常见的防病毒程序的所有部分"。 

(微软在夏天的分析显示,它终止了以下进程,其中包括常见的备份和安全工具。Windefend, msmpsvc, kavsvc, antivirservice, vmm, vmwp, sql, sap, oracle, mepocs, veeam, backup, vss, msexchange, mysql, sophos, pdfservice, backupexec, gxblr, gxvss, gxclmgrs, gxcimgr, gxmmm, gxvsshwprov, gxfwd, sap, qbcfmonitorservice, acronisagent, veeam, mvarmor, acrsch2svc等进程 )

攻击者青睐于域内的攻击 

SentinelOne在早前的分析中指出,目前已经发现Hive使用了开源工具ADRecon来映射、穿越和列举AD环境。趋势科技最近对另一种新出现的勒索软件类型Play的调查也强调,在信息搜集阶段,勒索软件攻击者会收集更多关于AD域环境的细节。我们观察到,不同的工具对远程系统进行了AD查询,如ADFind、Microsoft Nltest和Bloodhound会列举系统信息,如主机名、共享和域信息。

这样的工具也可以免费提供给安全方面的IT专业研究人士,也非常值得那些从未部署过这些工具的人探索。

正如Bloodhound的联合创建者Andy Robbins去年所说的,该工具旨在帮助映射和利用AD(现在也在Azure AD)中的攻击路径。正如他所指出的。蓝队方面的很多人都是在该工具被专业人士或攻击者用来对付他们自己时才知道的。

但实际情况是,BloodHound能够为蓝队提供的价值远远超过它对红队的价值,因为它向蓝队展示了他们的环境中存在哪些攻击路径,这样他们就可以在对手发现和利用这些攻击路径之前将其清理掉。

同时,CISA最近的Hive勒索软件指南可能已经被那些注重安全的人看到过很多次了,但它也只是针对一些核心网络的一个检查清单。

美国网络安全机构说,组织应该在操作系统、软件和固件发布后,立即安装更新。 优先修补VPN服务器、远程访问软件、虚拟机软件和已知被利用的漏洞。并且还应该考虑利用一个集中的补丁管理系统来自动化管理和加速这一过程。 

他们还应该使用尽可能多的服务比如采用抗网络钓鱼的MFA,特别是网络邮件、VPN、访问关键系统的账户以及管理备份的特权账户。

如果使用RDP,应确保其安全性并对其进行监控,限制访问的源地址,并要求使用MFA减少凭证盗窃和重复使用。如果RDP必须在外部使用,在允许RDP连接到内部设备之前,使用VPN、虚拟桌面基础设施或其他方式来验证和保护连接。

维护数据的离线备份,并定期维护备份和恢复。通过使用这种做法,组织确保他们不会被严重干扰。

确保所有的备份数据是加密的,不可改变的(即不能被改变或删除),并覆盖整个组织的数据基础设施。确保你的备份数据还没有被感染。

禁用命令行和脚本的活动权限。特权升级和横向移动往往依赖于从命令行运行的软件工具。如果威胁者不能运行这些工具,他们将很难升级权限和/或横向移动。

确保设备的正确配置,并确保安全功能已经被启用。

在网络内限制服务器信息块(SMB)协议,只访问必要的服务器,并删除或禁用过期的SMB版本(即SMB版本1)。

组织还应该识别并优先恢复关键系统,确认受影响系统中存放的数据的性质,并根据预先确定的关键资产清单确定恢复的优先次序,包括对健康和安全、创收或其他关键服务至关重要的信息系统,以及它们所依赖的系统。

强大的Chaos恶意软件已经再次升级,演变成了一个新的基于Go的多平台威胁软件,并且与之前迭代的勒索软件没有任何相似之处。它现在以已知的安全漏洞为目标,发起分布式拒绝服务(DDoS)攻击,并对文件进行加密攻击。

黑莲花实验室(Lumen Technologies的威胁情报部门)的研究人员最近观察到了一个用中文编写的恶意软件。他们在9月28日发表的一篇博文中说,该软件利用中国的基础设施,并且此次表现出了与该勒索软件制造商最后一次攻击方式大不相同的行为。

事实上,研究人员早期观察到的Chaos变体与最近的100个不同的Chaos样本之间的区别还是非常大的,以至于他们说它现在已经形成了一种全新的威胁。事实上,研究人员认为最新的变体实际上是DDoS僵尸网络Kaiji的新版本,而且此次勒索软件可能并不是以往在野外观察到的Chaos勒索软件构建者。

2020年发现的Kaiji,它最初是针对基于Linux的AMD和i386服务器,利用SSH暴力攻击来进行控制,然后发动DDoS攻击的僵尸网络。研究人员说,Chaos现在已经发展了Kaiji原始版本的攻击能力,比如使用新架构的模块,包括通过CVE利用和SSH密钥采集等新增加的传播模块。

Chaos 最近的攻击活动

在最近的攻击活动中,Chaos成功侵入了一个GitLab服务器,并展开了一系列针对游戏、金融服务和技术、媒体和娱乐行业以及DDoS即服务提供商和加密货币交易所的DDoS攻击。

研究人员称,Chaos现在不仅瞄准了企业和其他的大型组织,还瞄准了那些企业安全模型中没有被常规监控的设备和系统,如SOHO路由器和FreeBSD OS。

研究人员表示,尽管上次Chaos在野外被发现时,它的攻击行为更像是典型的勒索软件,进入到网络后,其最终目的是进行文件加密,但最新的软件变体背后的黑客却有其他不同的动机。

据研究人员称,其跨平台和跨设备的特性以及最新Chaos攻击活动背后的网络基础设施的隐身配置似乎表明,该攻击活动的目的是感染大面积的网络,便于进行初始化访问、DDoS攻击和文件加密。

关键的不同点和一个相似之处

研究人员说,以前的Chaos样本是用 .net 编写的,而最新的恶意软件是用Go编写的,由于其跨平台的灵活性、低杀毒检测率和逆向分析的难度,Go正迅速成为威胁行为者的首选语言。

事实上,最新版本的Chaos如此强大的原因之一是它可以在多个平台上进行运行,不仅包括Windows和Linux操作系统,还包括ARM、英特尔(i386)、MIPS和PowerPC。

它的传播方式也与之前的恶意软件大不相同。研究人员指出,虽然研究人员无法确定其使用的初始访问向量,但一旦它控制了这个系统,最新的Chaos变种就会利用已知的漏洞,进行更大范围的攻击。

他们在帖子中写到,在我们分析的样本中,所发现利用的华为(CVE-2017-17215)和Zyxel (CVE-2022-30525) 防火墙的cve,都属于未经认证的远程命令行注入漏洞。然而,对于攻击者来说,仅仅使用这些CVE漏洞作用似乎是很小的,我们估计,攻击者很可能还利用了其他CVE漏洞。

研究人员表示,自其2021年6月首次出现以来,chaos确实经历了多次演变,同时,这次发现的最新版本也不大可能是最后一次更新。它的第一个迭代版本,chaos 1.0-3.0,据称是一个 .net 版本的Ryuk勒索软件的构建器,但研究人员很快发现它与Ryuk几乎没有任何相似之处, 实际上是一个文件擦除装置。

该恶意软件进化出了多个版本,直到2021年底发布的chaos构建器的第四个版本,在一个名为Onyx的威胁组织创建自己的勒索软件时攻击能力上得到了很大的提升。这个版本的工具很快成为最常见的chaos版本,其主要功能在于加密主机的敏感文件。

今年5月早些时候,Chaos的构建者将其文件擦除功能换成了加密功能,并且出现了一个名为Yashma的重新命名的二进制文件,其中就包含了功能完全成熟的勒索软件。

研究人员说,尽管黑莲花实验室所观察到的Chaos的最新发展趋势与之前的发展趋势有很大的不同,但它确实有一个非常显著的相似之处——增长迅速,而且不太可能在短时间内放缓。

最新版本的chaos证书是在4月16日生成的。随后,研究人员认为,有威胁的攻击者在野外发布了新的变种病毒。

研究人员表示,自那以后,Chaos自签名证书的数量出现了“明显的增长”,5月份增加了一倍多,达到39个,8月份则跃升至93个。他们说,截至9月20日,当月生成的94张证书已经超过了上月的总数。

全面降低风险

由于Chaos现在的攻击对象从最小的家庭办公室到最大的企业,研究人员对每种类型的目标都提出了具体的修复建议。

对于那些企业网络,他们建议网络管理员及时对新发现的漏洞进行补丁管理,因为这是chaos进行传播的主要方式。

研究人员建议,使用这份报告中概述的IoCs来监控Chaos的感染,防止其与任何可疑基础设施的连接。

使用小型办公室和家庭办公室路由器的用户应该遵循定期重新启动路由器和安装安全更新的原则,并在主机上进行正确的配置以及更新EDR 。这些用户还应该定期通过应用供应商的更新来给软件打补丁。

研究人员建议,在过去两年的大流行疾病中,远程工作人员受到攻击的可能性显著增加,应该通过及时更改默认密码和禁用不需要远程root访问的机器来减少风险。这些工作人员还应该安全地存储SSH密钥,并且只在需要使用它们的设备上进行存储。

对于所有企业,黑莲花实验室建议考虑使用综合安全访问服务优势(SASE)和DDoS缓解保护,增强其整体安全态势,并及时对网络通信的健壮性检测。

强大的Chaos恶意软件已经再次升级,演变成了一个新的基于Go的多平台威胁软件,并且与之前迭代的勒索软件没有任何相似之处。它现在以已知的安全漏洞为目标,发起分布式拒绝服务(DDoS)攻击,并对文件进行加密攻击。

黑莲花实验室(Lumen Technologies的威胁情报部门)的研究人员最近观察到了一个用中文编写的恶意软件。他们在9月28日发表的一篇博文中说,该软件利用中国的基础设施,并且此次表现出了与该勒索软件制造商最后一次攻击方式大不相同的行为。

事实上,研究人员早期观察到的Chaos变体与最近的100个不同的Chaos样本之间的区别还是非常大的,以至于他们说它现在已经形成了一种全新的威胁。事实上,研究人员认为最新的变体实际上是DDoS僵尸网络Kaiji的新版本,而且此次勒索软件可能并不是以往在野外观察到的Chaos勒索软件构建者。

2020年发现的Kaiji,它最初是针对基于Linux的AMD和i386服务器,利用SSH暴力攻击来进行控制,然后发动DDoS攻击的僵尸网络。研究人员说,Chaos现在已经发展了Kaiji原始版本的攻击能力,比如使用新架构的模块,包括通过CVE利用和SSH密钥采集等新增加的传播模块。

Chaos 最近的攻击活动

在最近的攻击活动中,Chaos成功侵入了一个GitLab服务器,并展开了一系列针对游戏、金融服务和技术、媒体和娱乐行业以及DDoS即服务提供商和加密货币交易所的DDoS攻击。

研究人员称,Chaos现在不仅瞄准了企业和其他的大型组织,还瞄准了那些企业安全模型中没有被常规监控的设备和系统,如SOHO路由器和FreeBSD OS。

研究人员表示,尽管上次Chaos在野外被发现时,它的攻击行为更像是典型的勒索软件,进入到网络后,其最终目的是进行文件加密,但最新的软件变体背后的黑客却有其他不同的动机。

据研究人员称,其跨平台和跨设备的特性以及最新Chaos攻击活动背后的网络基础设施的隐身配置似乎表明,该攻击活动的目的是感染大面积的网络,便于进行初始化访问、DDoS攻击和文件加密。

关键的不同点和一个相似之处

研究人员说,以前的Chaos样本是用 .net 编写的,而最新的恶意软件是用Go编写的,由于其跨平台的灵活性、低杀毒检测率和逆向分析的难度,Go正迅速成为威胁行为者的首选语言。

事实上,最新版本的Chaos如此强大的原因之一是它可以在多个平台上进行运行,不仅包括Windows和Linux操作系统,还包括ARM、英特尔(i386)、MIPS和PowerPC。

它的传播方式也与之前的恶意软件大不相同。研究人员指出,虽然研究人员无法确定其使用的初始访问向量,但一旦它控制了这个系统,最新的Chaos变种就会利用已知的漏洞,进行更大范围的攻击。

他们在帖子中写到,在我们分析的样本中,所发现利用的华为(CVE-2017-17215)和Zyxel (CVE-2022-30525) 防火墙的cve,都属于未经认证的远程命令行注入漏洞。然而,对于攻击者来说,仅仅使用这些CVE漏洞作用似乎是很小的,我们估计,攻击者很可能还利用了其他CVE漏洞。

研究人员表示,自其2021年6月首次出现以来,chaos确实经历了多次演变,同时,这次发现的最新版本也不大可能是最后一次更新。它的第一个迭代版本,chaos 1.0-3.0,据称是一个 .net 版本的Ryuk勒索软件的构建器,但研究人员很快发现它与Ryuk几乎没有任何相似之处, 实际上是一个文件擦除装置。

该恶意软件进化出了多个版本,直到2021年底发布的chaos构建器的第四个版本,在一个名为Onyx的威胁组织创建自己的勒索软件时攻击能力上得到了很大的提升。这个版本的工具很快成为最常见的chaos版本,其主要功能在于加密主机的敏感文件。

今年5月早些时候,Chaos的构建者将其文件擦除功能换成了加密功能,并且出现了一个名为Yashma的重新命名的二进制文件,其中就包含了功能完全成熟的勒索软件。

研究人员说,尽管黑莲花实验室所观察到的Chaos的最新发展趋势与之前的发展趋势有很大的不同,但它确实有一个非常显著的相似之处——增长迅速,而且不太可能在短时间内放缓。

最新版本的chaos证书是在4月16日生成的。随后,研究人员认为,有威胁的攻击者在野外发布了新的变种病毒。

研究人员表示,自那以后,Chaos自签名证书的数量出现了“明显的增长”,5月份增加了一倍多,达到39个,8月份则跃升至93个。他们说,截至9月20日,当月生成的94张证书已经超过了上月的总数。

全面降低风险

由于Chaos现在的攻击对象从最小的家庭办公室到最大的企业,研究人员对每种类型的目标都提出了具体的修复建议。

对于那些企业网络,他们建议网络管理员及时对新发现的漏洞进行补丁管理,因为这是chaos进行传播的主要方式。

研究人员建议,使用这份报告中概述的IoCs来监控Chaos的感染,防止其与任何可疑基础设施的连接。

使用小型办公室和家庭办公室路由器的用户应该遵循定期重新启动路由器和安装安全更新的原则,并在主机上进行正确的配置以及更新EDR 。这些用户还应该定期通过应用供应商的更新来给软件打补丁。

研究人员建议,在过去两年的大流行疾病中,远程工作人员受到攻击的可能性显著增加,应该通过及时更改默认密码和禁用不需要远程root访问的机器来减少风险。这些工作人员还应该安全地存储SSH密钥,并且只在需要使用它们的设备上进行存储。

对于所有企业,黑莲花实验室建议考虑使用综合安全访问服务优势(SASE)和DDoS缓解保护,增强其整体安全态势,并及时对网络通信的健壮性检测。

威胁者目前正在加紧向受害者分发ScanBox侦察框架,其中包括澳大利亚的政府组织。该高级威胁集团(APT)使用的诱饵据称是链接到了澳大利亚新闻网站的目标信息。

根据Proofpoint的威胁研究团队和普华永道的威胁情报团队周二的报告,这些网络间谍活动据信是在2022年4月至2022年6月中旬发起的。

据研究人员称,该威胁攻击据调查是APT TA423发起的,该组织也被称为Red Ladon。根据该报告,Proofpoint评估认为,这一活动可能归因于威胁者TA423/Red Ladon。

SCANBOX是什么

该攻击活动利用了ScanBox框架。ScanBox是一个可定制的、基于Javascript的多功能框架,主要是被攻击者用来进行秘密侦查信息。

ScanBox已被攻击者使用了近十年,值得注意的是,攻击者不必在目标系统内植入恶意软件,就可以使用该工具获得情报。

普华永道的研究人员在提到以前的一个活动时说,ScanBox特别危险,因为它不需要将恶意软件部署到磁盘上就能窃取信息,只需要网络浏览器执行JavaScript代码就可以触发键盘记录功能。

为了更好的代替恶意软件,攻击者可以将ScanBox与水坑攻击结合起来使用。攻击者将恶意的JavaScript加载到一个被破坏的网站上,ScanBox可以作为一个键盘记录器,记录用户在被攻击的网站上的所有输入的信息。

TA423的攻击是从钓鱼邮件开始的,标题是 "病假"、"用户研究 "和 "请求合作"。通常情况下,这些电子邮件声称是来自"澳大利亚晨报"的雇员,这其实是一个虚构的组织。该员工希望目标能够访问他们的新闻网站 Australianmorningnews[.com]。

研究人员写道,在点击该链接并重定向到该网站后,访问者就会被ScanBox框架攻击。

该链接会将目标指向一个网页,其中的内容是从真实的新闻网站,如英国广播公司和天空新闻网站复制的。在此过程中,它也会加载ScanBox恶意软件框架。

从水坑攻击中提取到的ScanBox键盘记录器数据只是多个阶段攻击中的一部分,它可以让攻击者更深入了解潜在的目标,这将有助于他们未来对这些目标发动攻击。这种技术通常被称为浏览器指纹识别技术。

最初的脚本功能是关于目标计算机的信息列表,包括操作系统、语言和安装的Adobe Flash版本的信息收集。ScanBox还对浏览器扩展、插件和WebRTC等组件进行了检查。

该模块还实现了WebRTC,这是一项免费的开源技术,所有的主流浏览器都支持,它允许网络浏览器和移动应用程序通过应用程序编程接口(API)进行实时通信(RTC)。研究人员解释说,这使得ScanBox能够连接到预先配置好的一组目标。

然后,攻击者也可以利用一种叫做STUN(用于NAT的会话穿越工具)的技术。研究人员解释说,这是一套标准化的方法,其中包括一个网络协议,该协议允许互动通信(包括实时语音、视频和消息应用)穿越网络地址转换器(NAT)网关。

STUN是由WebRTC协议支持的。通过位于互联网上的第三方STUN服务器,它允许主机发现NAT的存在,并发现NAT为应用程序的用户数据报协议(UDP)流向远程主机分配的映射的IP地址和端口号。研究人员称,ScanBox使用STUN服务器实现了NAT穿透,作为交互式连接建立(ICE)的一部分,这是一种能够使客户端尽可能直接通信的点对点通信方法,避免了必须通过NAT、防火墙或其他解决方案进行通信。

他们解释说,这意味着ScanBox模块可以建立与STUN服务器的ICE通信,并与受害者机器进行通信,即使它们处于NAT后面。

威胁的行为者

过去,该组织的活动范围已经远远超出了大洋洲。根据司法部2021年7月的一份起诉书,该集团从 "美国、奥地利、柬埔寨、加拿大、德国、印度尼西亚、马来西亚、挪威、沙特阿拉伯、南非、瑞士和英国 "的受害者那里窃取商业秘密和机密商业信息。目标行业包括了航空、国防、教育、政府、医疗保健、生物制药和海事。

尽管有司法部的起诉,分析家们也并没有观察到TA423的行动节奏有明显的减缓。

威胁者目前正在加紧向受害者分发ScanBox侦察框架,其中包括澳大利亚的政府组织。该高级威胁集团(APT)使用的诱饵据称是链接到了澳大利亚新闻网站的目标信息。

根据Proofpoint的威胁研究团队和普华永道的威胁情报团队周二的报告,这些网络间谍活动据信是在2022年4月至2022年6月中旬发起的。

据研究人员称,该威胁攻击据调查是APT TA423发起的,该组织也被称为Red Ladon。根据该报告,Proofpoint评估认为,这一活动可能归因于威胁者TA423/Red Ladon。

SCANBOX是什么

该攻击活动利用了ScanBox框架。ScanBox是一个可定制的、基于Javascript的多功能框架,主要是被攻击者用来进行秘密侦查信息。

ScanBox已被攻击者使用了近十年,值得注意的是,攻击者不必在目标系统内植入恶意软件,就可以使用该工具获得情报。

普华永道的研究人员在提到以前的一个活动时说,ScanBox特别危险,因为它不需要将恶意软件部署到磁盘上就能窃取信息,只需要网络浏览器执行JavaScript代码就可以触发键盘记录功能。

为了更好的代替恶意软件,攻击者可以将ScanBox与水坑攻击结合起来使用。攻击者将恶意的JavaScript加载到一个被破坏的网站上,ScanBox可以作为一个键盘记录器,记录用户在被攻击的网站上的所有输入的信息。

TA423的攻击是从钓鱼邮件开始的,标题是 "病假"、"用户研究 "和 "请求合作"。通常情况下,这些电子邮件声称是来自"澳大利亚晨报"的雇员,这其实是一个虚构的组织。该员工希望目标能够访问他们的新闻网站 Australianmorningnews[.com]。

研究人员写道,在点击该链接并重定向到该网站后,访问者就会被ScanBox框架攻击。

该链接会将目标指向一个网页,其中的内容是从真实的新闻网站,如英国广播公司和天空新闻网站复制的。在此过程中,它也会加载ScanBox恶意软件框架。

从水坑攻击中提取到的ScanBox键盘记录器数据只是多个阶段攻击中的一部分,它可以让攻击者更深入了解潜在的目标,这将有助于他们未来对这些目标发动攻击。这种技术通常被称为浏览器指纹识别技术。

最初的脚本功能是关于目标计算机的信息列表,包括操作系统、语言和安装的Adobe Flash版本的信息收集。ScanBox还对浏览器扩展、插件和WebRTC等组件进行了检查。

该模块还实现了WebRTC,这是一项免费的开源技术,所有的主流浏览器都支持,它允许网络浏览器和移动应用程序通过应用程序编程接口(API)进行实时通信(RTC)。研究人员解释说,这使得ScanBox能够连接到预先配置好的一组目标。

然后,攻击者也可以利用一种叫做STUN(用于NAT的会话穿越工具)的技术。研究人员解释说,这是一套标准化的方法,其中包括一个网络协议,该协议允许互动通信(包括实时语音、视频和消息应用)穿越网络地址转换器(NAT)网关。

STUN是由WebRTC协议支持的。通过位于互联网上的第三方STUN服务器,它允许主机发现NAT的存在,并发现NAT为应用程序的用户数据报协议(UDP)流向远程主机分配的映射的IP地址和端口号。研究人员称,ScanBox使用STUN服务器实现了NAT穿透,作为交互式连接建立(ICE)的一部分,这是一种能够使客户端尽可能直接通信的点对点通信方法,避免了必须通过NAT、防火墙或其他解决方案进行通信。

他们解释说,这意味着ScanBox模块可以建立与STUN服务器的ICE通信,并与受害者机器进行通信,即使它们处于NAT后面。

威胁的行为者

过去,该组织的活动范围已经远远超出了大洋洲。根据司法部2021年7月的一份起诉书,该集团从 "美国、奥地利、柬埔寨、加拿大、德国、印度尼西亚、马来西亚、挪威、沙特阿拉伯、南非、瑞士和英国 "的受害者那里窃取商业秘密和机密商业信息。目标行业包括了航空、国防、教育、政府、医疗保健、生物制药和海事。

尽管有司法部的起诉,分析家们也并没有观察到TA423的行动节奏有明显的减缓。

最近,Twitter前安全主管Peiter Mudge Zatko上个月向美国政府提交了一份84页的举报报告,指责他的前雇主在信息安全方面做的并不到位,不遵守联邦贸易委员会保护用户数据的命令。

Twitter回应称,Zatko是一名对公司心怀不满的员工,因其表现不佳和领导不力而被解雇。在一封致员工的信中,Twitter的首席执行官Parag Agrawal声称,Zatko的说法是错误的,其中有大量的和事实不一致、不准确的地方,而且也没有提及具体的事件背景。

以下是对这些指控和Twitter的反应的简要概述。

Zatko是一位受人尊敬的白帽黑客,他在2020年至2022年期间担任了大约15个月的Twitter安全主管,他现在指责Twitter有一连串的不利于安全和隐私的做法,这些做法严重危害了国家安全。

被指控的事项

· Twitter是一家对信息管理不善的公司,它允许太多的员工接触到敏感的隐私数据,而并没有对其进行足够的监督。

· 一名或多名推特的员工可能在为那些未被披露的外国情报机构工作。扎特科认为,这使他的担忧上升到了国家安全层面上。

· 近一半的推特服务器缺乏基本的安全功能,例如数据加密,因为在这些服务器上运行的软件要么已经过时了,要么没有打补丁。

· 推特的高管们将规模的增长置于安全之上,因为他们个人只是追求巨额奖金,高达1000万美元,这些奖金会作为对公司快速扩张的员工奖励。

· 该公司没有遵守2010年联邦贸易委员会关于保护用户个人信息的命令。此外,该公司还向独立审计师谎报了与2010年命令相关的联邦贸易委员会授权的 "全面信息安全计划"。

· 由于技术上的限制,Twitter不尊重用户删除其个人数据的请求。

· 当扎特科试图将这些和其他许多安全和隐私问题提交给推特的董事会时,公司管理层歪曲了他的发现并试图隐藏报告。

· 根据提交给国会的举报报告,Twitter允许一些外国政府 "渗透、控制、利用、监视和审查公司的平台、员工和业务的数据"。

· 推特没有资源或能力来准确确定其平台上虚假(或机器人)账户的真实数量。这个问题也是埃隆-马斯克试图退出以440亿美元收购该公司的核心问题。

推特的低调回应

Twitter对Zatko的主要回应是,认为他是一个心怀不满的员工,工作做得不好,把Twitter作为他失败的替罪羊。它指出,它已经解决并会继续积极解决Zatko指出的许多IT安全问题。

据称,Twitter的首席执行官Parag Agrawal在内部发给Twitter员工的回应也被张贴在了网上。

新消息:Twitter首席执行官@paraga首次就举报人事件发表看法。

与此同时,国会中的顶级民主党人和共和党人都做出了回应,承诺会对这些指控进行调查。参议院司法委员会主席理查德-德宾(Richard Durbin)确认他正在调查举报人披露的内容。

举报人对推特公司广泛存在的安全问题、高层管理人员对政府机构的故意歪曲以及外国情报部门对该公司的渗透的指控引起了 严重关切。

最近,Twitter前安全主管Peiter Mudge Zatko上个月向美国政府提交了一份84页的举报报告,指责他的前雇主在信息安全方面做的并不到位,不遵守联邦贸易委员会保护用户数据的命令。

Twitter回应称,Zatko是一名对公司心怀不满的员工,因其表现不佳和领导不力而被解雇。在一封致员工的信中,Twitter的首席执行官Parag Agrawal声称,Zatko的说法是错误的,其中有大量的和事实不一致、不准确的地方,而且也没有提及具体的事件背景。

以下是对这些指控和Twitter的反应的简要概述。

Zatko是一位受人尊敬的白帽黑客,他在2020年至2022年期间担任了大约15个月的Twitter安全主管,他现在指责Twitter有一连串的不利于安全和隐私的做法,这些做法严重危害了国家安全。

被指控的事项

· Twitter是一家对信息管理不善的公司,它允许太多的员工接触到敏感的隐私数据,而并没有对其进行足够的监督。

· 一名或多名推特的员工可能在为那些未被披露的外国情报机构工作。扎特科认为,这使他的担忧上升到了国家安全层面上。

· 近一半的推特服务器缺乏基本的安全功能,例如数据加密,因为在这些服务器上运行的软件要么已经过时了,要么没有打补丁。

· 推特的高管们将规模的增长置于安全之上,因为他们个人只是追求巨额奖金,高达1000万美元,这些奖金会作为对公司快速扩张的员工奖励。

· 该公司没有遵守2010年联邦贸易委员会关于保护用户个人信息的命令。此外,该公司还向独立审计师谎报了与2010年命令相关的联邦贸易委员会授权的 "全面信息安全计划"。

· 由于技术上的限制,Twitter不尊重用户删除其个人数据的请求。

· 当扎特科试图将这些和其他许多安全和隐私问题提交给推特的董事会时,公司管理层歪曲了他的发现并试图隐藏报告。

· 根据提交给国会的举报报告,Twitter允许一些外国政府 "渗透、控制、利用、监视和审查公司的平台、员工和业务的数据"。

· 推特没有资源或能力来准确确定其平台上虚假(或机器人)账户的真实数量。这个问题也是埃隆-马斯克试图退出以440亿美元收购该公司的核心问题。

推特的低调回应

Twitter对Zatko的主要回应是,认为他是一个心怀不满的员工,工作做得不好,把Twitter作为他失败的替罪羊。它指出,它已经解决并会继续积极解决Zatko指出的许多IT安全问题。

据称,Twitter的首席执行官Parag Agrawal在内部发给Twitter员工的回应也被张贴在了网上。

新消息:Twitter首席执行官@paraga首次就举报人事件发表看法。

与此同时,国会中的顶级民主党人和共和党人都做出了回应,承诺会对这些指控进行调查。参议院司法委员会主席理查德-德宾(Richard Durbin)确认他正在调查举报人披露的内容。

举报人对推特公司广泛存在的安全问题、高层管理人员对政府机构的故意歪曲以及外国情报部门对该公司的渗透的指控引起了 严重关切。

教育金融公司和俄克拉荷马州的学生贷款管理局(OSLA)正在通知250多万贷款人,他们的个人数据在一次网络攻击事件中被泄露。

根据其中一份漏洞披露信,含有该漏洞的目标系统是Nelnet Servicing,它是内布拉斯加州林肯市的服务系统、OSLA以及EdFinancial的网络门户供应商。

2022年7月21日,Nelnet通过一封信向受影响的贷款人披露了该漏洞。

信中说,事情发生后,我们网络安全团队立即采取了行动,确保信息系统的安全,阻止可疑的网络活动,修复漏洞,并及时与第三方安全专家展开调查,以确定攻击活动的性质和范围。

到8月17日,调查确定大量的个人用户信息被未授权访问。这些被曝光的信息包括姓名、家庭住址、电子邮件地址、电话号码和社会保险号码,总共有2,501,324名学生贷款账户的相关信息。幸运的是,用户的财务信息并没有被暴露。

根据Nelnet的总法律顾问Bill Munn向缅因州提交的漏洞披露文件,该漏洞发生在2022年6月1日至7月22日的某个时间。同时,一封给受影响客户的信则将漏洞被利用的时间锁定在7月21日。然而该漏洞一直到2022年8月17日才被发现。

根据Nelnet的说法,2022年7月21日,我们的服务系统和客户网站供应商Nelnet通知我们说他们发现了一个漏洞,我们认为是该漏洞导致了这一系列的攻击事件。

目前还不清楚这个漏洞是什么。

2022年8月17日,根据调查确定,从2022年6月开始到2022年7月22日结束,某些学生贷款账户注册信息一直被攻击者未授权访问。

未来攻击者的目标

Tanium公司的终端安全研究专家Melissa Bischoping在一份通过电子邮件发表的声明中解释道,尽管目前用户最敏感的财务数据得到了保护,但在Nelnet漏洞中被泄露的个人信息则有可能在未来的社会工程和网络钓鱼活动中被利用。

Bischoping说,随着最近关于学生贷款优惠政策的出台,我们有理由认为骗子会利用这一机会进行一系列的犯罪攻击活动。

上周,拜登政府宣布了一项计划,政府会为中低收入的借款人取消1万美元的学生贷款债务。他说,贷款优惠计划很可能会被用来引诱受害者打开网络钓鱼邮件。

他警告说,最近被泄露的数据将会被用来冒充受影响的品牌,进行一波又一波的针对学生和最近大学毕业生的网络钓鱼活动。

他写道,因为他们可以利用现有商业关系中的信任关系,他们可能特别具有欺骗性。

根据漏洞披露的信息,Nelnet Servicing告知Edfinancial、OSLA以及Nelnet Servicing的网络安全团队要立即采取行动,确保信息系统的安全,阻止可疑活动,修复漏洞,并与第三方取证专家展开调查,及时确定攻击活动的性质和范围。

关于此次事件的补救措施还包括两年的免费信用监测、信用报告和高达100万美元的身份盗窃保险。

教育金融公司和俄克拉荷马州的学生贷款管理局(OSLA)正在通知250多万贷款人,他们的个人数据在一次网络攻击事件中被泄露。

根据其中一份漏洞披露信,含有该漏洞的目标系统是Nelnet Servicing,它是内布拉斯加州林肯市的服务系统、OSLA以及EdFinancial的网络门户供应商。

2022年7月21日,Nelnet通过一封信向受影响的贷款人披露了该漏洞。

信中说,事情发生后,我们网络安全团队立即采取了行动,确保信息系统的安全,阻止可疑的网络活动,修复漏洞,并及时与第三方安全专家展开调查,以确定攻击活动的性质和范围。

到8月17日,调查确定大量的个人用户信息被未授权访问。这些被曝光的信息包括姓名、家庭住址、电子邮件地址、电话号码和社会保险号码,总共有2,501,324名学生贷款账户的相关信息。幸运的是,用户的财务信息并没有被暴露。

根据Nelnet的总法律顾问Bill Munn向缅因州提交的漏洞披露文件,该漏洞发生在2022年6月1日至7月22日的某个时间。同时,一封给受影响客户的信则将漏洞被利用的时间锁定在7月21日。然而该漏洞一直到2022年8月17日才被发现。

根据Nelnet的说法,2022年7月21日,我们的服务系统和客户网站供应商Nelnet通知我们说他们发现了一个漏洞,我们认为是该漏洞导致了这一系列的攻击事件。

目前还不清楚这个漏洞是什么。

2022年8月17日,根据调查确定,从2022年6月开始到2022年7月22日结束,某些学生贷款账户注册信息一直被攻击者未授权访问。

未来攻击者的目标

Tanium公司的终端安全研究专家Melissa Bischoping在一份通过电子邮件发表的声明中解释道,尽管目前用户最敏感的财务数据得到了保护,但在Nelnet漏洞中被泄露的个人信息则有可能在未来的社会工程和网络钓鱼活动中被利用。

Bischoping说,随着最近关于学生贷款优惠政策的出台,我们有理由认为骗子会利用这一机会进行一系列的犯罪攻击活动。

上周,拜登政府宣布了一项计划,政府会为中低收入的借款人取消1万美元的学生贷款债务。他说,贷款优惠计划很可能会被用来引诱受害者打开网络钓鱼邮件。

他警告说,最近被泄露的数据将会被用来冒充受影响的品牌,进行一波又一波的针对学生和最近大学毕业生的网络钓鱼活动。

他写道,因为他们可以利用现有商业关系中的信任关系,他们可能特别具有欺骗性。

根据漏洞披露的信息,Nelnet Servicing告知Edfinancial、OSLA以及Nelnet Servicing的网络安全团队要立即采取行动,确保信息系统的安全,阻止可疑活动,修复漏洞,并与第三方取证专家展开调查,及时确定攻击活动的性质和范围。

关于此次事件的补救措施还包括两年的免费信用监测、信用报告和高达100万美元的身份盗窃保险。