据观察,未知黑客组织利用开源工具开展了针对全球政府和私营部门组织的疑似网络间谍活动。
Recorded
Future 的 Insikt Group 正在以临时代号 TAG-100
跟踪该活动,并指出攻击者可能攻击了非洲、亚洲、北美洲、南美洲和大洋洲至少十个国家的组织,其中包括两个未具名的亚太政府间组织。
自 2024 年 2
”
id=”js_content” style=”visibility: hidden; opacity: 0; “>
据观察,未知黑客组织利用开源工具开展了针对全球政府和私营部门组织的疑似网络间谍活动。
Recorded
Future 的 Insikt Group 正在以临时代号 TAG-100
跟踪该活动,并指出攻击者可能攻击了非洲、亚洲、北美洲、南美洲和大洋洲至少十个国家的组织,其中包括两个未具名的亚太政府间组织。
自 2024 年 2
月以来,柬埔寨、吉布提、多米尼加共和国、斐济、印度尼西亚、荷兰、英国、美国和越南的外交、政府、半导体供应链、非营利组织和宗教实体也被列入名单。
该网络安全公司表示:“TAG-100
采用开源远程访问功能,并利用各种面向互联网的设备获取初始访问权限。” “该组织使用了开源 Go 后门Pantegana和Spark RAT进行后利用。”
攻击链涉及利用影响各种面向互联网的产品已知安全漏洞,包括
Citrix NetScaler、F5 BIG-IP、Zimbra、Microsoft Exchange Server、SonicWall、Cisco
Adaptive Security Appliances (ASA)、Palo Alto Networks GlobalProtect 和 Fortinet
FortiGate。
据观察,该组织还针对至少
15 个国家/地区的组织机构的互联网设备开展了广泛的侦察活动,其中包括法国、意大利、日本和马来西亚等,其中还包括位于玻利维亚、法国和美国的几个古巴大使馆。
该公司表示:“从
2024 年 4 月 16 日开始,TAG-100 针对教育、金融、法律、地方政府和公用事业领域的 Palo Alto Networks
GlobalProtect 设备进行了可能的侦察和利用活动。”
据称,攻击活动与CVE-2024-3400
(CVSS 评分:10.0)的概念验证(PoC)漏洞的公开发布同时进行,CVE-2024-3400 是一个影响 Palo Alto Networks
GlobalProtect 防火墙的严重远程代码执行漏洞。
成功进行初始访问后,将在受感染主机上部署
Pantegana、Spark RAT 和 Cobalt Strike Beacon。
研究结果表明,PoC
漏洞可以与开源程序相结合,从而策划攻击,有效降低不太熟练的攻击者的进入门槛。此外,此类伎俩还能让对手的归因工作变得复杂,并逃避检测。
Recorded
Future
表示:“广泛瞄准面向互联网的设备尤其具有吸引力,因为它可以通过通常具有有限可视性、日志记录功能和对传统安全解决方案的支持的产品在目标网络中提供立足点,从而降低利用后检测的风险。”
详细技术报告:https://www.recordedfuture.com/research/tag-100-uses-open-source-tools-in-suspected-global-espionage-campaign
新闻链接:
https://thehackernews.com/2024/07/tag-100-new-threat-actor-uses-open.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
伊朗APT组织 MuddyWater 近期攻击活动中部署了新的
BugSleep 后门
https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/
网络研究人员称,自去年 10 月 7
日以来,针对以色列组织的攻击“增加了一倍以上”
https://therecord.media/attacks-israeli-orgs-double
朝鲜黑客更新
BeaverTail 恶意软件,以 MacOS 用户为目标
https://thehackernews.com/2024/07/north-korean-hackers-update-beavertail.html
TAG-100:未知黑客组织利用开源工具进行疑似网络间谍攻击活动
https://thehackernews.com/2024/07/tag-100-new-threat-actor-uses-open.html
一般威胁事件
General Threat Incidents
官员称田纳西州孟菲斯市因网络钓鱼诈骗损失
77.3 万美元
https://www.fox13memphis.com/news/city-of-memphis-lost-773k-in-phishing-scam-officials-say/article_c9836196-4449-11ef-a184-e7ec757b5bc6.html
警报:伪装成广告拦截器的
HotPage 广告软件会安装恶意内核驱动程序
https://thehackernews.com/2024/07/alert-hotpage-adware-disguised-as-ad.html
伊拉克的网络犯罪分子部署恶意
Python 包来窃取数据
https://therecord.media/iraq-cybercriminals-python-based-infostealer-pypi
Revolver
Rabbit 团伙注册了 500,000 个域名用于恶意软件活动
https://www.bleepingcomputer.com/news/security/revolver-rabbit-gang-registers-500-000-domains-for-malware-campaigns/
攻击者滥用 URL
保护服务来隐藏电子邮件中的钓鱼链接
https://www.csoonline.com/article/2519035/attackers-abuse-url-protection-services-to-hide-phishing-links-in-emails.html
苹果就 iPhone
网络钓鱼和间谍软件攻击发出新警告
Apple issues new warning on iPhone phishing and spyware attacks
90%
的网络攻击都是由于人类的弱点而发生的
https://telec
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/93612.html
