谷歌推出加密貨幣挖礦保險計劃

1、針對在攻擊中利用的 Windows Win32k 漏洞發布的 PoC

近日，研究人員發布了一個概念驗證 (PoC) 漏洞利用程序。該漏洞被跟蹤為CVE-2023-29336，嚴重性等級為 7.8，是一個Windows 本地特權升級漏洞，涉及 Win32k 組件中的特權提升錯誤。

Win32k.sys 是內核模式驅動程序，是 Windows 體系結構的組成部分，負責圖形設備界面 (GUI) 和窗口管理。

成功利用此漏洞的攻擊者可以獲得 SYSTEM 權限，威脅參與者可能會利用該漏洞在受影響的系統上獲得更高的權限。

雖然目前尚不清楚圍繞該漏洞在野外濫用的確切細節，但Numen Cyber 已經解構了微軟發布的補丁，為 Windows Server 2016 制作了一個概念驗證 ( PoC ) 漏洞。

這家總部位于新加坡的網絡安全公司表示，該漏洞依賴于堆內存中泄露的內核句柄地址，最終獲得讀寫原語。

2、Kimsuky 通過社會工程攻擊瞄準智庫和新聞媒體

據國外媒體報道，被稱為Kimsuky的朝鮮民族國家威脅演員與針對朝鮮事務專家的社會工程活動有關，其目標是竊取谷歌憑據并提供偵察惡意軟件。

“此外，Kimsuky 的目標還包括竊取 NK News 的訂閱憑據，”網絡安全公司 SentinelOne在與黑客新聞分享的一份報告中表示。

“為實現這一目標，該組織分發電子郵件，引誘目標個人登錄惡意網站 nknews[.]pro，該網站偽裝成真實的 NK 新聞網站。提供給目標的登錄表單旨在捕獲輸入的憑據”

NK News成立于 2011 年，是一家美國訂閱式新聞網站，提供有關朝鮮的報道和分析。

幾天前，美國和韓國情報機構就Kimsuky 使用社會工程手段攻擊智庫、學術界和新聞媒體部門發出了警告。上周，該威脅組織受到韓國外交部的制裁。

Kimsuky 至少從 2012 年開始活躍，以其魚叉式網絡釣魚策略以及在交付惡意軟件（一種名為 ReconShark 的偵察工具）之前嘗試與預期目標建立信任和融洽關系而聞名。

這些活動的最終目標是收集戰略情報、地緣政治見解，并獲取對朝鮮有價值的敏感信息。

安全研究員亞歷山大·米倫科斯基 (Aleksandar Milenkoski) 表示：“他們的做法凸顯了該組織致力于與他們所針對的個人建立融洽關系，從而有可能提高其后續惡意活動的成功率。”

調查結果還緊隨韓國政府的新披露，即 130 多名朝鮮觀察員被挑出作為由政府支持的黑客組織策劃的網絡釣魚活動的一部分。

更重要的是，隨著朝鮮從網絡攻擊和加密貨幣搶劫中獲得很大一部分外匯收入，有人觀察到代表該政權利益的威脅行為者欺騙日本、美國和越南的金融機構和風險投資公司.

網絡安全公司 Recorded Future 將該活動與一個被追蹤為TAG-71的組織聯系起來，該組織是 Lazarus 的一個子組織，也被稱為 APT38、BlueNoroff、Nickel Gladstone、Sapphire Sleet、Stardust Chollima 和 TA444。

這個敵對集體在發起針對全球加密貨幣交易所、商業銀行和電子商務支付系統的出于經濟動機的入侵活動方面有著既定的記錄，以便為受制裁國家非法提取資金。

該公司指出：“金融和投資公司及其客戶的妥協可能會暴露敏感或機密信息，這可能會導致法律或監管行動，危及未決的商業談判或協議，或暴露對公司戰略投資組合有害的信息。”

到目前為止的證據鏈表明，Lazarus Group 的動機既有間諜活動又有經濟驅動，威脅行為者被指責為最近的Atomic Wallet 黑客攻擊導致價值 3500 萬美元的加密資產被盜，使其成為一長串名單中的最新成員的加密貨幣公司在過去幾年中被黑客攻擊。

區塊鏈分析公司表示：“對被盜加密資產的洗錢遵循一系列步驟，這些步驟與洗錢 Lazarus Group 過去實施的黑客攻擊所得所采用的步驟完全一致。”

“被盜資產正在使用特定服務進行清洗，包括 Sinbad 混合器，這些服務也被用來清洗 Lazarus Group 過去實施的黑客攻擊的收益。”

3、隱形士兵：一個新的定制后門以北非為目標進行間諜攻擊

外媒報道，一個名為Stealth Soldier的新定制后門已被部署為北非一系列高度針對性間諜攻擊的一部分。

網絡安全公司 Check Point在一份技術報告中說：“Stealth Soldier 惡意軟件是一個未記錄在案的后門程序，主要運行監視功能，例如文件泄露、屏幕和麥克風錄音、擊鍵記錄和竊取瀏覽器信息。”

正在進行的行動的特點是使用模仿屬于利比亞外交部的網站的命令和控制 (C&C) 服務器。與該活動相關的最早文物可追溯到 2022 年 10 月。

攻擊開始于潛在目標下載偽造的下載器二進制文件，這些二進制文件通過社會工程攻擊傳遞并充當檢索 Stealth Soldier 的渠道，同時顯示誘餌空 PDF 文件。

據信很少使用的自定義模塊化植入程序通過收集目錄列表和瀏覽器憑據、記錄擊鍵、錄制麥克風音頻、截屏、上傳文件和運行 PowerShell 命令來啟用監視功能。

“惡意軟件使用不同類型的命令：一些是從 C&C 下載的插件，一些是惡意軟件內部的模塊，”Check Point 說，并補充說發現了三個版本的 Stealth Soldier，表明它正在由其運營商積極維護。

一些組件不再可供檢索，但屏幕捕獲和瀏覽器憑據竊取插件據說是受到 GitHub 上可用的開源項目的啟發。

此外，Stealth Soldier 基礎設施展示與另一個名為“尼羅河之眼”的網絡釣魚活動相關的基礎設施重疊，該活動在 2019 年針對埃及記者和人權活動家。

這一事態發展標志著“這個威脅行為者第一次可能再次出現”，表明該組織正準備監視埃及和利比亞的目標。

Check Point 表示：“鑒于惡意軟件的模塊化和多階段感染的使用，攻擊者很可能會繼續發展他們的策略和技術，并在不久的將來部署這種惡意軟件的新版本。”

4、谷歌向其平臺上的加密貨幣挖礦受害者支付 100 萬美元

谷歌宣布推出一項旨在保護用戶免受加密攻擊的新計劃。作為該計劃的一部分，谷歌為用戶提供加密貨幣挖礦保護計劃保險 ，如果攻擊者使用谷歌云計算資源非法開采加密貨幣，導致重大運營損失，該計劃將提供高達 100 萬美元的賠償。

要獲得賠償，用戶必須遵守計劃規則中規定的條款和條件，并在攻擊發生后 30 天內申請損害賠償，包括任何未經授權的計算能力成本。賠償金將由谷歌管理層自行決定，并且在 12 個月內最高不超過 100 萬美元。

需要注意的是，如果用戶在同一12 個月內重復遭受加密貨幣挖礦攻擊，則他們將沒有資格獲得賠償。這一限制確保該計劃仍然專注于為受此類攻擊影響的人提供支持。

雖然谷歌強調客戶應對自己的響應和緩解措施負責，但該公司正在積極幫助用戶。它提供自動入侵檢測解決方案和及時通知，讓用戶了解潛在威脅。

該計劃目前涵蓋由 SCC Premium 的虛擬機威脅檢測支持的 Compute Engine 虛擬機和計算環境。該計劃尚未包含其他 Google Cloud 服務。

值得一提的是，闖入像谷歌這樣的國際公司的網絡并在其服務器上進行加密挖礦并非易事。Google 的威脅檢測和響應服務是高度自動化的，可以在檢測到攻擊時迅速啟動。對其安全措施的信心可能促使該公司向受影響的用戶提供如此高額的補償。

隨著 Cryptomining Protection Program Cover 的推出，谷歌旨在為用戶提供額外的安全和財務保護，以應對不斷變化的網絡威脅。