导 读
由 Cisco、DrayTek、Fortinet 和 NETGEAR 的防火墙和路由器组成的新僵尸网络正被用作高级持续性威胁(APT)攻击者的秘密数据传输网络,其中包括与某国有关的名为Volt Typhoon(伏特台风)的黑客组织。
KV-botnet僵尸网络逻辑网络图
该组织被 Lumen Technologies 的 Black Lotus Labs 团队称为 KV-botnet,该恶意网络是两个互补活动集群的合并,这些集群具有至少自 2022 年 2 月以来一直处于活跃状态。
Black Lotus Labs 团队的技术报告中(https://blog.lumen.com/routers-roasting-on-an-open-firewall-the-kv-botnet-investigation/)写道:“该活动感染网络边缘设备,该部分已成为许多企业防御阵列中的软肋,并且由于近年来向远程工作的转变而变得更加复杂。”
这两个集群(代号为 KV 和 JDY)据称各不相同,但同时协同工作,以方便接触知名受害者并建立秘密基础设施。遥测数据表明,该僵尸网络是从某国的 IP 地址中获取的。
虽然 JDY 的机器人部分使用不太复杂的技术进行更广泛的扫描,但 KY 组件主要以过时和报废产品为特色,据评估保留用于针对前者选择的引人注目的目标进行手动操作。
人们怀疑 Volt Typhoon 至少是 KV 僵尸网络的一个用户,并且它包含其运营基础设施的一个子集,2023 年 6 月和 7 月初的运营量明显下降就证明了这一点,这与公开披露的情况一致敌对集体针对美国关键基础设施的攻击。
恶意软件安装流程
揭露攻击者策略的微软公司表示:该组织通过受感染的小型办公室和家庭办公室 (SOHO) 网络设备(包括路由器、防火墙和 VPN 硬件)的流量隐蔽通信,“尝试通过路由融入正常网络活动”。
用于破坏设备的确切初始感染机制过程目前尚不清楚。接下来,第一阶段的恶意软件会采取措施删除安全程序和其他恶意软件,以确保它是“唯一存在”的恶意软件。
它还设计用于从远程服务器检索主要有效负载,该服务器除了向同一服务器发送信标之外,还能够上传和下载文件、运行命令以及执行其他模块。
在过去的一个月里,该僵尸网络的基础设施进行了改造,以安讯士 IP 摄像机为目标,这表明运营商可能正在为新一波的攻击做好准备。
“这次活动的一个相当有趣的方面是,所有工具似乎都完全驻留在内存中。”研究人员说。“这使得检测变得极其困难,代价是长期持续存在。”
由于恶意软件完全驻留在内存中,因此最终用户只需重新启动设备即可停止感染。虽然这消除了迫在眉睫的威胁,但再次感染仍然经常发生。”
调查结果发布之际,《华盛顿邮报》报道称,过去一年中,美国有数十个关键实体遭到Volt Typhoon黑客组织的渗透,其中包括电力和供水设施以及通信和运输系统。
研究人员称,黑客经常通过家庭或办公室路由器等无害设备进行攻击,然后再到达受害者,从而掩盖他们的踪迹。
参考链接:https://thehackernews.com/2023/12/new-kv-botnet-targeting-cisco-draytek.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
与伊朗有关的黑客通过恶意软件下载器来感染以色列目标
https://therecord.media/oilrig-apt34-iran-linked-hackers-new-downloaders-israel
名为Gaza Cyber Gang 的亲哈马斯APT组织使用名为 Pierogi 的后门更新版本瞄准巴勒斯坦实体
https://thehackernews.com/2023/12/new-pierogi-malware-by-gaza-cyber-gang.html
微软挫败了 7.5 亿个欺诈账户背后的越南网络犯罪团伙
https://www.bleepingcomputer.com/news/microsoft/microsoft-disrupts-cybercrime-gang-behind-750-million-fraudulent-accounts/
新的 KV-Botnet 针对 Cisco、DrayTek 和 Fortinet 设备进行隐形攻击
https://thehackernews.com/2023/12/new-kv-botnet-targeting-cisco-draytek.html
俄罗斯 Cosy Bear 黑客在全球活动中针对 JetBrains TeamCity 服务器
https://www.infosecurity-magazine.com/news/cozy-bear-russia-jetbrains-teamcity/
一般威胁事件
General Threat Incidents
PyPI 存储库中发现 116 个恶意软件包感染 Windows 和 Linux 系统
https://thehackernews.com/2023/12/116-malware-packages-found-on-pypi.html
安大略省公共图书馆因网络攻击关闭大部分服务
https://therecord.media/ontario-public-library-shuts-down-services
MongoDB 表示客户数据在网络攻击中暴露
https://www.bleepingcomputer.com/news/security/mongodb-says-customer-data-was-exposed-in-a-cyberattack/
勒索软件团伙对 Fred Hutch 癌症患者构成威胁
https://www.bleepingcomputer.com/news/security/ransomware-gang-behind-threats-to-fred-hutch-cancer-patients/
Microsoft 发出 Storm-0539 警告:节日礼品卡欺诈背后的威胁不断上升
https://thehackernews.com/2023/12/microsoft-warns-of-storm-0539-rising.html
针对加密硬件钱包 Ledger 供应链攻击导致 60 万美元被盗
https://thehackernews.com/2023/12/crypto-hardware-wallet-ledgers-supply.html
Rhadamanthys Stealer 恶意软件不断发展
https://www.bleepingcomputer.com/news/security/rhadamanthys-stealer-malware-evolves-with-more-powerful-features/
Qbot 恶意软件在针对酒店业的活动中卷土重来
https://www.bleepingcomputer.com/news/security/qbot-malware-returns-in-campaign-targeting-hospitality-industry/
漏洞事件
Vulnerability Incidents
QNAP VioStor NVR 漏洞被恶意软件僵尸网络主动利用
https://www.bleepingcomputer.com/news/security/qnap-viostor-nvr-vulnerability-actively-exploited-by-malware-botnet/
pfSense 防火墙软件中发现新的安全漏洞
https://thehackernews.com/2023/12/new-security-vulnerabilities-uncovered.html
讲述普通人能听懂的安全故事