Turla APT 黑客使用后门攻击欧洲的组织

首页 > 清静研究 > 清静转达 > 清静简讯

Turla APT 黑客使用后门攻击欧洲的组织

宣布时间 2024-04-12

1. Turla APT 黑客使用后门攻击欧洲的组织

4月11日，，，，，，网络清静专家发明，，，，，，俄罗斯Turla高级一连威胁 (APT) 组织渗透到阿尔巴尼亚的一次失败实验。。。。。此事务是针对欧洲国家的更普遍网络特工活动的一部分，，，，，，波兰也成为这些重大攻击的受害者。。。。。这一发明与一连的地缘政治主要时势相一致，，，，，，并凸显了国家同盟行为者一直升级的网络战战略。。。。。Turla APT 组织以其重大的网络特工活动而著名，，，，，，向来以与波罗的海和东欧国家政府部分有联系的组织为目的。。。。。最近在阿尔巴尼亚和波兰的活动突显了该组织在乌克兰战争的更普遍配景下一直起劲网络情报并施加影响。。。。。

https://gbhackers.com/cyber-espionage-turla-apt-hackers-attack-european-organization-with-backdoor/

2. TA547 使用疑似 AI 天生的 Rhadamanthys 瞄准德国

4月10日，，，，，，在Proofpoint最近曝光的一次黑客活动中之后，，，，，，德国组织面临多方面的攻击。。。。。出于经济念头的组织 TA547 首次安排了 Rhadamanthys 信息窃取工具，，，，，，这标记着他们习用战略的转变。。。。。有趣的是，，，，，，黑客可能从一个意想不到的泉源——人工智能——那里获得了资助。。。。。该活动的基石是安排Rhadamanthys，，，，，，这是一种在 TA547 的武器库中以前未曾见过的信息窃取恶意软件。。。。。这种恶意软件以其效力和在网络犯法圈子中的普遍使用而著名，，，，，，标记着 TA547 运营战略的战略支点。。。。。攻击者伪装成来自德国著名零售巨头 Metro 的通讯，，，，，，据称与发票有关。。。。。

https://securityonline.info/ta547-targets-germany-with-rhadamanthys-suspected-ai-generated-code/

3. Raspberry Robin 使用 Windows 剧本文件举行撒播

4月10日，，，，，，Raspberry Robin 是一种顺应性强、规避性强的蠕虫和恶意软件加载程序，，，，，，于 2021 年首次泛起在网络威胁场景中，，，，，，现在正在使用一种新要领来撒播其恶意代码。。。。。凭证 HP Wolf Security 威胁研究职员本周宣布的一份报告，，，，，，上个月检测到的一项新活动批注 Raspberry Robin 背后的运营商正在使用恶意 Windows 剧本文件(WSF) 来撒播其恶意软件，，，，，，这与他们更普遍的使用要领差别。。。。。最近，，，，，，该恶意软件还通过使用 Discord 新闻效劳以附件形式发送的存档文件下载（将自身伪装成正当且已署名的 Windows 可执行文件）以及通过目的 Web 浏览器下载的 7-Zip 存档举行撒播。。。。。

https://securityboulevard.com/2024/04/raspberry-robin-malware-now-using-windows-script-files-to-spread/

4. Spectre v2 攻击影响 Intel CPU 上的 Linux 系统

4月10日，，，，，，Spectre V2 是阿姆斯特丹自由大学 VUSec 小组的一组研究职员发明的原始 Spectre 攻击的新变体。。。。。研究职员还宣布了一个工具，，，，，，该工具使用符号执行来识别 Linux 内核中可使用的代码段，，，，，，以资助缓解问题。。。。。这一新发明强调了平衡性能优化与清静性的挑战，，，，，，这使得解决基本的 CPU 缺陷变得重大，，，，，，纵然是在 Spectre 发明六年后。。。。。英特尔还更新了针对 Spectre v2 的缓解建议，，，，，，现在建议禁用非特权扩展伯克利数据包过滤器 (eBPF) 功效，，，，，，启用增强型间接分支限制推测 (eIBRS)，，，，，，并启用治理员模式执行�；；；� (SMEP)。。。。。

https://www.bleepingcomputer.com/news/security/new-spectre-v2-attack-impacts-linux-systems-on-intel-cpus/

5. RUBYCARP SSH 暴力僵尸网络通过新工具回归

4月10日，，，，，，由于以 SSH 暴力攻击而著名的污名昭著的僵尸网络组织 RUBYCARP 依附新的工具和战略重新泛起，，，，，，网络清静社区再次处于高度警备状态。。。。。Sysdig 威胁研究团队 (Sysdig TRT) 一直在亲近监视这个罗马尼亚威胁组织的活动，，，，，，该组织已经活跃了十多年，，，，，，最近发明其行动泛起了重大希望。。。。。RUBYCARP 再起的焦点是使用 Laravel 应用程序中的一个要害误差 CVE-2021-3129。。。。。此误差一直是该组织的目的和使用事情的焦点，，，，，，使他们能够获得对系统的未经授权的会见并扩大其僵尸网络。。。。。除了使用 CVE-2021-3129 之外，，，，，，RUBYCARP 还使用SSH 暴力攻击进入目的网络。。。。。该组织的坚持和战略的演变强调了修补已知误差和增强 SSH 清静步伐以阻止此类攻击的主要性。。。。。Sysdig TRT 的最新发明批注，，，，，，RUBYCARP 不但继续其古板的暴力破解和使用活动，，，，，，并且还添加了新手艺。。。。。

https://gbhackers.com/rubycarp-ssh-brute-botnet/

6. 新的 SharePoint 手艺可让黑客绕过清静步伐

4月10日，，，，，，SharePoint 中发明的两种新手艺使恶意行为者能够绕过古板清静步伐并在不触发标准检测机制的情形下泄露敏感数据。。。。。不法文件下载可能会伪装成无害的活动，，，，，，使网络清静防御步伐难以检测到它们。。。。。第一种手艺被称为“在应用程序中翻开要领”，，，，，，它使用了 SharePoint 功效，，，，，，该功效允许用户直接在关联的应用程序中翻开文档。。。。。虽然这个功效是为了利便用户而设计的，，，，，，但却无意中造成了数据泄露的误差。。。。。攻击者可以使用此功效的底层代码来会见和下载文件，，，，，，只在文件的审核日志中留下会见事务。。。。。第二种手艺涉及对 Microsoft SkyDriveSync（现在称为 OneDrive）的用户署理字符串的操作。。。。。通过伪装成同步客户端，，，，，，攻击者可以下载文件甚至整个SharePoint网站。。。。。这些下载被过失地标记为文件同步事务而不是现实下载，，，，，，从而绕过了旨在检测和纪录文件下载的清静步伐。。。。。这种要领特殊阴险，，，，，，由于它可用于大规模窃取数据，，，，，，并且同步伪装使清静工具更难以区分正当活动和恶意活动。。。。。

https://gbhackers.com/sharepoint-technique-bypas/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究