Turla APT 黑客利用后门攻击欧洲的组织

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Turla APT 黑客利用后门攻击欧洲的组织

宣布时间 2024-04-12

1. Turla APT 黑客利用后门攻击欧洲的组织

4月11日，网络宁静专家发现，俄罗斯Turla高级连续威胁 (APT) 组织渗透到阿尔巴尼亚的一次失败实验。此事件是针对欧洲国家的更广泛网络间谍活动的一部门，波兰也成为这些庞大攻击的受害者。这一发现与连续的地缘政治紧张局势相一致，并凸显了国家联盟行为者不停升级的网络战计谋。Turla APT 组织以其庞大的网络间谍活动而闻名，历来以与波罗的海和东欧国家政府部门有联系的组织为目标。最近在阿尔巴尼亚和波兰的活动突显了该组织在乌克兰战争的更广泛配景下不停努力收集情报并施加影响。

https://gbhackers.com/cyber-espionage-turla-apt-hackers-attack-european-organization-with-backdoor/

2. TA547 利用疑似 AI 生成的 Rhadamanthys 瞄准德国

4月10日，在Proofpoint最近曝光的一次黑客活动中之后，德国组织面临多方面的攻击。出于经济动机的组织 TA547 首次部署了 Rhadamanthys 信息窃取工具，这标志着他们惯用计谋的转变。有趣的是，黑客可能从一个意想不到的来源——人工智能——那里得到了资助。该活动的基石是部署Rhadamanthys，这是一种在 TA547 的武器库中以前未曾见过的信息窃取恶意软件。这种恶意软件以其效力和在网络犯罪圈子中的广泛使用而闻名，标志着 TA547 运营计谋的战略支点。攻击者伪装成来自德国著名零售巨头 Metro 的通信，据称与发票有关。

https://securityonline.info/ta547-targets-germany-with-rhadamanthys-suspected-ai-generated-code/

3. Raspberry Robin 使用 Windows 脚本文件进行流传

4月10日，Raspberry Robin 是一种适应性强、规避性强的蠕虫和恶意软件加载法式，于 2021 年首次泛起在网络威胁场景中，现在正在使用一种新要领来流传其恶意代码。凭据 HP Wolf Security 威胁研究人员本周宣布的一份陈诉，上个月检测到的一项新活动表明 Raspberry Robin 背后的运营商正在使用恶意 Windows 脚本文件(WSF) 来流传其恶意软件，这与他们更普遍的使用要领差异。最近，该恶意软件还通过使用 Discord 消息服务以附件形式发送的存档文件下载（将自身伪装成合法且已签名的 Windows 可执行文件）以及通过目标 Web 浏览器下载的 7-Zip 存档进行流传。

https://securityboulevard.com/2024/04/raspberry-robin-malware-now-using-windows-script-files-to-spread/

4. Spectre v2 攻击影响 Intel CPU 上的 Linux 系统

4月10日，Spectre V2 是阿姆斯特丹自由大学 VUSec 小组的一组研究人员发现的原始 Spectre 攻击的新变体。研究人员还宣布了一个工具，该工具使用符号执行来识别 Linux 内核中可利用的代码段，以资助缓解问题。这一新发现强调了平衡性能优化与宁静性的挑战，这使得解决基本的 CPU 缺陷变得庞大，即使是在 Spectre 发现六年后。英特尔还更新了针对 Spectre v2 的缓解建议，现在建议禁用非特权扩展伯克利数据包过滤器 (eBPF) 功效，启用增强型间接分支限制推测 (eIBRS)，并启用管理员模式执行�；� (SMEP)。

https://www.bleepingcomputer.com/news/security/new-spectre-v2-attack-impacts-linux-systems-on-intel-cpus/

5. RUBYCARP SSH 暴力僵尸网络通过新工具回归

4月10日，由于以 SSH 暴力攻击而闻名的污名昭著的僵尸网络组织 RUBYCARP 凭借新的工具和计谋重新泛起，网络宁静社区再次处于高度戒备状态。Sysdig 威胁研究团队 (Sysdig TRT) 一直在密切监视这个罗马尼亚威胁组织的活动，该组织已经活跃了十多年，最近发现其行动泛起了重大进展。RUBYCARP 再起的核心是利用 Laravel 应用法式中的一个要害漏洞 CVE-2021-3129。此漏洞一直是该组织的目标和利用事情的焦点，使他们能够获得对系统的未经授权的访问并扩大其僵尸网络。除了利用 CVE-2021-3129 之外，RUBYCARP 还使用SSH 暴力攻击进入目标网络。该组织的坚持和计谋的演变强调了修补已知漏洞和加强 SSH 宁静措施以阻止此类攻击的重要性。Sysdig TRT 的最新发现表明，RUBYCARP 不仅继续其传统的暴力破解和利用活动，而且还添加了新技术。

https://gbhackers.com/rubycarp-ssh-brute-botnet/

6. 新的 SharePoint 技术可让黑客绕过宁静措施

4月10日，SharePoint 中发现的两种新技术使恶意行为者能够绕过传统宁静措施并在不触发尺度检测机制的情况下泄露敏感数据。非法文件下载可能会伪装成无害的活动，使网络宁静防御措施难以检测到它们。第一种技术被称为“在应用法式中打开要领”，它利用了 SharePoint 功效，该功效允许用户直接在关联的应用法式中打开文档。虽然这个功效是为了方便用户而设计的，但却无意中造成了数据泄露的漏洞。攻击者可以使用此功效的底层代码来访问和下载文件，只在文件的审核日志中留下访问事件。第二种技术涉及对 Microsoft SkyDriveSync（现在称为 OneDrive）的用户署理字符串的操作。通过伪装成同步客户端，攻击者可以下载文件甚至整个SharePoint网站。这些下载被错误地标志为文件同步事件而不是实际下载，从而绕过了旨在检测和记录文件下载的宁静措施。这种要领特别阴险，因为它可用于大规模窃取数据，而且同步伪装使宁静工具更难以区分合法活动和恶意活动。

https://gbhackers.com/sharepoint-technique-bypas/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究