安全事件周报 (09.13(5)

详情

伪猎者APT组织对韩定向攻击：瞄准基金会代表和平昌和平论坛政界人士日期: 2022-09-15 标签: 中国, 韩国, 信息技术, 涉我舆情, APT舆情,

伪猎者APT组织于2021年由国内安全厂商披露，据悉，其最早攻击时间可以追溯到2018年，历史攻击目标为包含中国在内的人力资源和贸易相关机构。近期微步情报局监控发现，该组织从2021年12月份至今依然活跃，在今年6月，该组织对韩国境内目标发起定向攻击活动。通过分析攻击事件，有如下发现：

- 本批次攻击活动目标人员包括汉斯赛德尔基金会韩国代表Bernhard Seliger博士、以及可能与2022平昌和平论坛相关的政界人士。

- 攻击事件时间节点包括两个：2022年2月上旬针对2022平昌和平论坛相关人士的攻击；2022年6月中旬对Bernhard Seliger博士的定向攻击。均为鱼叉邮件类型的攻击。

- 攻击者用于攻击载荷托管、C&C通信的网络资产包括公开免费的云端存储站点（如bitbucket.org、statcounter.com）和攻击者私有C&C资产。木马回连地址会涉及这两类的多个url地址。

详情

来自Kimsuky组织的突刺：多种攻击武器针对韩国的定向猎杀日期: 2022-09-15 标签: 韩国, 信息技术, Kimsuky, APT舆情,

近日，奇安信红雨滴团队在日常高价值样本狩猎过程中，捕获到多例Kimsuky组织针对韩国地区的攻击样本。此次的攻击活动有如下特点：

- 使用PIF可执行文件格式伪装成PDF文件，后续载荷为PebbleDash木马；

- 部分样本诱饵被韩国DRM软件加密，疑似由Kimsuky组织在其他攻击活动中所窃取，用于实施定向攻击；

- 样本擅用加解密算法来躲避相关杀软的静态查杀；

详情

UNC4034的新网络钓鱼活动日期: 2022-09-15 标签: 朝鲜, 信息技术, UNC4034, APT舆情,

2022年7月，在对一家媒体行业的公司进行主动威胁搜寻活动期间，Mandiant发现了一种新颖的鱼叉式网络钓鱼方法，被跟踪为UNC4034的威胁集群采用，其疑似与朝鲜有关的威胁集群有重叠。UNC4034通过WhatsApp与受害者建立联系，并引诱他们下载伪装成虚假工作机会的恶意ISO软件包，最终将通过木马化的PuTTY实用程序安装AIRDRY.V2后门。该攻击活动可能是“Operation Dream Job”活动的延伸，这些活动利用了不同的攻击链，其中包含ISO文件和木马化的二进制文件，而不是武器化的文档。

详情

Akamai 在欧洲阻止了新的破纪录 DDoS 攻击日期: 2022-09-15 标签: 欧洲, 信息技术, DDoS, 网络犯罪,

2022年9 月 12 日发生的新分布式拒绝服务 (DDoS) 攻击打破了 Akamai 最近在 7 月份记录的先前记录。DDoS 攻击是一种网络攻击，会用虚假请求和垃圾流量淹没服务器，使合法访问者和客户无法访问它们。网络安全和云服务公司 Akamai 报告称，最近的攻击似乎来自同一威胁参与者，这意味着运营商正在进一步增强他们的集群能力。9 月 12 日，当发送到目标网络的“垃圾”流量达到 704.8 Mpps 的峰值时，这些攻击达到了前所未有的水平，比 7 月份的攻击高出大约 7%。除了攻击量之外，攻击者还扩大了他们的攻击目标，之前的攻击范围相当狭窄，主要集中在公司的主要数据中心。这一次，威胁参与者将火力分散到欧洲和北美的六个数据中心位置。此外，Akamai 检测并阻止了 201 次累积攻击，而 7 月份为 75 次，并记录了来自 1813 个 IP 的流量来源，而此前为 512 次。这些持续的大规模攻击背后的动机仍然未知，但自今年年初以来，东欧地区一直处于黑客活动的中心。

详情

攻击者在凭证获取活动中滥用Facebook广告管理器日期: 2022-09-15 标签: 文化传播, 商务服务, 信息技术, Meta（原Facebook）, 网络钓鱼,

攻击者通过发送看似来自 Facebook Ads Manager 的电子邮件来利用 Facebook 品牌的力量。该计划是诱骗受害者在 Facebook 潜在客户生成表格上提供他们的凭据和信用卡信息。 根据 Avanan 的安全研究团队发布的一份报告，攻击者正在发送网络钓鱼消息，这似乎是 Meta 的“Facebook AdManager”团队发出的紧急警告。这些消息声称受害者没有遵守公司的广告政策，如果目标不就虚构的违规行为提出上诉，广告帐户将被终止。“申诉表”链接将访问者带到一个凭证收集站点，该站点使用真正的 Facebook 潜在客户生成表单收集密码和信用卡信息。该活动的一个有趣方面是，攻击者不是使用托管在某处可疑 IP 上的收获网站，而是利用 Facebook 广告系统创建恶意的潜在客户生成表单。这种方法用一块石头杀死两只鸟：对于初学者来说，它欺骗了许多电子邮件平台使用的恶意链接的自动检查。Avanan 团队将使用合法站点称为静态高速公路。

详情

TA453组织的新攻击活动分析日期: 2022-09-14 标签: TA453, 网络钓鱼, 社会工程, APT舆情,