1、Lazarus利用已知漏洞多次攻击某软件供应商
Kaspersky在10月27日发布报告,披露了Lazarus利用已知漏洞多次攻击软件供应商的活动。研究人员称,Lazarus多次攻击同一目标表明,其目的可能是窃取源代码或尝试供应链攻击。此次攻击于7月中旬被发现,针对的是用于加密网络通信的合法安全软件,但是攻击者所采用的具体利用方法仍然未知。攻击活动采用了复杂的技术来提高其隐蔽性并绕过检测,最终安装了SIGNBT和LPEClient等恶意软件。
/unveiling-lazarus-new-campaign/110888/
2、Lockbit声称已入侵波音公司并威胁将泄露被盗数据
据媒体10月27日报道,Lockbit声称入侵了航空航天制造商和国防承包商波音公司。波音公司在2022年的销售额为666.1亿美元。Lockbit已将波音添加到其Tor网站中,表示已从该公司窃取了大量数据,并威胁如果不在截止日期(11月2日13:25:39)内与他们联系,将公布这些数据。截至目前,该团伙尚未公开任何样本。赎金要求尚未披露,研究人员称,如果LockBit采用新的收入模式,那么赎金可能会高达18亿美元左右。
/153149/cyber-crime/lockbit-ransomware-gang-boeing.html
3、ANSSI披露APT28攻击法国企业和大学等的TTP
据10月27日报道,法国国家信息系统安全局ANSSI称,APT28自2021年下半年以来一直攻击其政府机构、企业、大学、研究机构和智库等。大多数APT28活动都利用了鱼叉式钓鱼攻击和基于恶意软件的攻击,并使用至少了3种攻击方式:搜索零日漏洞、攻击路由器和个人电子邮件帐户以及使用开源工具和在线服务。ANSSI调查确认,APT28利用了Outlook漏洞(CVE-2023-23397)和漏洞“Follina”(CVE-2022-30190)等,使用了Mimikatz和reGeorg等工具,还使用了一系列VPN客户端。
/153131/apt/france-anssi-apt28.html
4、Tortoiseshell新一轮水坑攻击旨在分发IMAPLoader
媒体10月26日称,PwC检测到伊朗攻击团伙Tortoiseshell的新一轮水坑攻击,旨在分发IMAPLoader。该团伙自2018年以来一直活跃,2022年至2023年的最新活动在目标网站中嵌入恶意JavaScript,来收集用户的位置、设备信息和访问时间等信息,主要针对地中海的海事、航运和物流领域。攻击活动分发的IMAPLoader是一种.NET恶意软件,能够使用本机Windows程序对目标系统进行指纹识别,并充当下一步payload的下载程序。
/2023/10/iranian-group-tortoiseshell-launches.html
5、微软公开关于Octo Tempest攻击活动的技术细节
10月25日,微软公开了关于Octo Tempest团伙攻击活动的技术细节。自2022年初以来,Octo Tempest的攻击稳步发展,将攻击范围扩大到提供有线电信、电子邮件和技术服务的公司,并与勒索团伙ALPHV/BlackCat合作。今年早些时候,该团伙攻击了游戏、酒店、零售、制造、技术和金融领域的公司以及托管服务提供商(MSP)。Octo Tempest还利用了大多团伙不常用的攻击方式,例如短信钓鱼、SIM交换攻击和复杂社工攻击。
/en-us/security/blog/2023/10/25/octo-tempest-crosses-boundaries-to-facilitate-extortion-encryption-and-destruction/
6、ESET发布2023年Q2至Q3的APT活动的分析报告
10月26日,ESET发布了2023年第二季度至第三季度APT活动的分析报告。在4月至9月,检测到APT团伙利用已知漏洞从政府机构或相关实体窃取数据的策略。Sednit、Sandworm、Konni、Winter Vivern和SturgeonPhisher,抓住机会利用了WinRAR、Roundcube、Zimbra和Outlook中漏洞,针对乌克兰、欧洲和中亚等地区。GALLIUM可能利用了Microsoft Exchange服务器或IIS服务器的漏洞,MirrorFace利用了Proself在线存储服务中的漏洞,TA410利用了Adobe ColdFusion应用服务器中的漏洞。
/en/eset-research/eset-apt-activity-report-q2-q3-2023/