Turla APT 黑客利用后门攻击欧洲的组织

首页 > 安全钻研 > 安全传递 > 安全简讯

Turla APT 黑客利用后门攻击欧洲的组织

颁布功夫 2024-04-12

1. Turla APT 黑客利用后门攻击欧洲的组织

4月11日，网络安全专家发现，俄罗斯Turla高级持续威胁 (APT) 组织渗入到阿尔巴尼亚的一次失败尝试。此事务是针对欧洲国度的更宽泛网络间谍活动的一部门，波兰也成为这些复杂攻击的受害者。这一发现与持续的地缘政治严重大势相一致，并凸显了国度同盟行为者不休升级的网络战战术。Turla APT 组织以其复杂的网络间谍活动而闻名，从来以与波罗的海和东欧国度当部门门有联系的组织为指标。最近在阿尔巴尼亚和波兰的活动突显了该组织在乌克兰战争的更宽泛布景下不休致力网络谍报并施加影响。

https://gbhackers.com/cyber-espionage-turla-apt-hackers-attack-european-organization-with-backdoor/

2. TA547 利用疑似 AI 天生的 Rhadamanthys 对准德国

4月10日，在Proofpoint最近曝光的一次黑客活动中之后，德国组织面对多方面的攻击。出于经济动机的组织 TA547 初次部署了 Rhadamanthys 信息窃取工具，这标志取他们惯用战术的转变。有趣的是，黑客可能从一个意想不到的起源——人为智能——那里得到了援手。该活动的基石是部署Rhadamanthys，这是一种在 TA547 的兵器库中以前未曾见过的信息窃取恶意软件。这种恶意软件以其效力和在网络犯罪圈子中的宽泛使用而闻名，标志取 TA547 运营战术的战术支点。攻击者假装成来自德国驰名零售巨头 Metro 的通讯，据称与发票有关。

https://securityonline.info/ta547-targets-germany-with-rhadamanthys-suspected-ai-generated-code/

3. Raspberry Robin 使用 Windows 剧本文件进行传布

4月10日，Raspberry Robin 是一种适应性强、躲避性强的蠕虫和恶意软件加载法式，于 2021 年初次呈此刻网络威胁场景中，此刻在使用一种新步骤来传布其恶意代码。凭据 HP Wolf Security 威胁钻研人员本周颁布的一份汇报，上个月检测到的一项新活动批注 Raspberry Robin 背后的运营商在使用恶意 Windows 剧本文件(WSF) 来传布其恶意软件，这与他们更普遍的使用步骤分歧。最近，该恶意软件还通过使用 Discord 新闻服务以附件大局发送的存档文件下载（将自身假装成合法且已署名的 Windows 可执行文件）以及通过指标 Web 浏览器下载的 7-Zip 存档进行传布。

https://securityboulevard.com/2024/04/raspberry-robin-malware-now-using-windows-script-files-to-spread/

4. Spectre v2 攻击影响 Intel CPU 上的 Linux 系统

4月10日，Spectre V2 是阿姆斯特丹自由大学 VUSec 幼组的一组钻研人员发现的原始 Spectre 攻击的新变体。钻研人员还颁布了一个工具，该工具使用符号执行来鉴别 Linux 内核中可利用的代码段，以援手缓解问题。这一新发现强调了平衡机能优化与安全性的挑战，这使得解决根基的 CPU 缺点变得复杂，即便是在 Spectre 发现六年后。英特尔还更新了针对 Spectre v2 的缓解建议，此刻建议禁用非特权扩大伯克利数据包过滤器 (eBPF) 职能，启用加强型间接分支限度揣摩 (eIBRS)，并启用治理员模式执行�；� (SMEP)。

https://www.bleepingcomputer.com/news/security/new-spectre-v2-attack-impacts-linux-systems-on-intel-cpus/

5. RUBYCARP SSH 暴力僵尸网络通过新工具回归

4月10日，由于以 SSH 暴力攻击而闻名的臭名远扬的僵尸网络组织 RUBYCARP 凭借新的工具和战术沉新出现，网络安全社区再次处于高度警惕状态。Sysdig 威胁钻研团队 (Sysdig TRT) 一向在亲昵监督这个罗马尼亚威胁组织的活动，该组织已经活跃了十多年，最近发显熹行动出现了沉猛进展。RUBYCARP 回复的主题是利用 Laravel 利用法式中的一个关键缝隙 CVE-2021-3129。此缝隙一向是该组织的指标和利用工作的焦点，使他们可能获得对系统的未经授权的接见并扩大其僵尸网络。除了利用 CVE-2021-3129 之表，RUBYCARP 还使用SSH 暴力攻击进入指标网络。该组织的对峙和战术的演变强调了建补已知缝隙和加强 SSH 安全措施以阻止此类攻击的沉要性。Sysdig TRT 的最新发现批注，RUBYCARP 不仅持续其传统的暴力破解和利用活动，并且还增长了新技术。

https://gbhackers.com/rubycarp-ssh-brute-botnet/

6. 新的 SharePoint 技术可让黑客绕过安全措施

4月10日，SharePoint 中发现的两种新技术使恶意行为者可能绕过传统安全措施并在不触发尺度检测机造的情况下泄录感数据。犯法文件下载可能会假装成无害的活动，使网络安全防御措施难以检测到它们。第一种技术被称为“在利用法式中打开步骤”，它利用了 SharePoint 职能，该职能允许用户直接在关联的利用法式中打开文档。固然这个职能是为了方便用户而设计的，但却无意中造成了数据泄露的缝隙。攻击者能够使用此职能的底层代码来接见和下载文件，只在文件的审核日志中留下接见事务。第二种技术涉及对 Microsoft SkyDriveSync（此刻称为 OneDrive）的用户代理字符串的操作。通过假装成同步客户端，攻击者能够下载文件甚至整个SharePoint网站。这些下载被谬误地象征为文件同步事务而不是现实下载，从而绕过了旨在检测和纪录文件下载的安全措施。这种步骤出格阴险，由于它可用于大规模窃取数据，并且同步假装使安全工具更难以分辨合法活动和恶意活动。

https://gbhackers.com/sharepoint-technique-bypas/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研