A bunch of high profile cryptocurrency Twitter accounts have been hijacked to tweet bitcoin scams. Likely a 3rd party App compromise rather that Twitter itself. Wallet has received ~$6000. pic.twitter.com/D8MiXrz9ml
So far I've seen tweets from the accounts of Elon Musk, Jeff Bezos, Bill Gates, and Kanye West. Hackers are putting back tweets as soon as account owners delete them. They've already made $103,000 in two hours.
北韓 Lazarus Group 又名 Hidden Cobra,為了使側錄攻擊業務獲利,開展了全球滲透網路,劫持並利用了合法的網站進行成犯罪活動。網路罪犯使用網路惡意腳本,從結帳頁面複製敏感的信用卡數據。在調查信用卡盜竊案時,Sansec 的研究人員發現竊取者進行了網路魚叉式釣魚攻擊,而將他們共享的基礎架構以及程式碼中各種特徵關聯起來,最後將這個對信用卡的側錄攻擊歸咎於北韓的 Lazarus Group。
受害者包括飾品巨頭 Claire’s, 黃氏珠寶商(Wongs Jewellers), Focus Camera, Paper Source, Jit Truck, CBD Armour, Microbattery and Realchems 等數十家商店。
Lazarus Group 以已滲透的網路用來匯集被盜資產,以便在暗網上出售。為了掩蓋自己的踪跡,他們破壞了合法企業的網站,並轉存被盜的信用卡資料。根據 Sansec 的調查結果,Lazarus Group 劫持了位於意大利模特經紀公司(Lux Model Agency)的網站,位於新澤西州的一家書店,以及位於德黑蘭的一家老式音樂商店。
註冊與受害者商店相似的域名這個策略似乎為 Lazarus Group 帶來成果。已經確定最近的側錄活動與先前記錄的北韓駭客活動之間存在多個獨立的聯繫。下圖顯示綠色為受害者的存儲區,紅色表示受 Lazarus Group 控制的滲透節點。黃色表示其操作方式(或TTP)。
研究人員將滲透網域與北韓的網路攻擊聯繫在一起, 並稱 Lazarus Group 在網路釣魚事件發生後分發惡意軟體進行攻擊:
斯洛伐克的網路安全公司 ESET 說,在去年年底時, 網路間諜透過提供美國公司的工作機會來接觸受害者,從而破壞了中東和歐洲至少兩家國防和航空公司的系統。
ESET 威脅研究負責人 Jean-Ian Boutin 說,攻擊者利用 LinkedIn 的私人訊息功能,發送能誘騙受害者打開惡意代碼的文件。
ESET 以客戶機密為由,拒絕透露受害者的名字,也不透露是否有任何資料被盜。雷神科技公司 Raytheon Technologies Corporation 所擁有的 General Dynamics 和 Collins Aerospace 也拒絕評論。
ESET 無法 100% 確定駭客的身份,但表示此次攻擊與一個名為北韓駭客集團 Lazarus Group 有一定關聯,該組織被美國檢察官指控策劃了一系列針對性的網路攻擊,其中包括 Sony Pictures 和孟加拉中央銀行的搶案。
研究人員說,一旦進入目標網路,犯罪者將試圖強行使用他們可以找到的任何 Active Directory 管理員帳戶,通過將數據捆綁到 RAR 壓縮檔中,並試圖將其上傳到 Dropbox 帳戶中以竊取數據。
在受害者被捲入後,Lazarus 會試圖誘使他們下載受密碼保護的 RAR 存檔,其中包含“ LNK 文件”。一旦點擊該 LNK 文件包含工作資料的 PDF 就會出現在受害者面前。受害者其實是下載了一個惡意執行檔 (.EXE),這個執行檔會建立許多文件夾,並在 Windows 工作排程器設定為每隔一段時間執行一次遠端腳本。
圖片來源: ESET , 這使攻擊者可以在目標公司內部獲得最初的立足點,並在受到感染的電腦上獲得持久性,圖片說明了導致入侵的步驟。
攻擊者要求受害者在使用 Internet Explorer 的 Windows 電腦上回應他們的工作機會。駭入後進到 Powershell,並利用了預設公開可用的 PowerShdll 執行 PowerShell 命令,這也間接證明 Lazarus Group 在嘗試進行暴力破解之前,會先透過連接的 domain 來列舉所有 Active Directory 帳戶,接下來就是暴力破解取得管理員權限。
V 怪客組織是網路犯罪領域中一個相對較新的參與者,僅在最近兩個月才出現, 該組織活動的最初跡象於今年 4 月間發現。研究人員說,他們擅長以多種語言冒充機構官員, V 怪客是一個多產的組織,主要以 Covid-19 相關的惡意釣魚電子郵件活動作為攻擊手段。在澳洲,墨西哥,埃及,羅馬尼亞,奧地利和中國已經觀察到該組織的攻擊,目標是盜取商業和政府部門組織的敏感資料與情報。
研究人員說 V 怪客組織的武器庫包括特制工具以及商業軟體, 其中包括 Nanocore RAT,AgentTesla,Remcos 和 Formbook,ReZer0,Azolurt,Warzone RAT (Ave Maria) 或Hawkeye。V 怪客還使用不同的手動打包器例如 ConfuserEx,Eazfuscator,IntelliLock 或 iLProtector。
