近日，明朝万达安元实验室发布了2024年第四期《安全通告》。该份报告收录了2024 年4月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

网络安全前沿新闻

黑客在恶意软件活动中劫持了eScan防病毒更新机制

安全研究人员发现并分析了一个恶意软件活动，该活动利用eScan防病毒的更新机制分发后门和挖矿病毒。威胁行为者使用了两种不同类型的后门，并以大型企业网络为目标。

研究人员认为，这场运动可能归因于与朝鲜有关的APKimsuky，GuptiMiner分发的最后一个有效载荷也是。XMRigAvast发布的分析中写道：“GuptiMiner是一种高度复杂的威胁，它使用了一个有趣的感染链以及一些技术，包括对攻击者的DNS服务器执行DNS请求、执行侧加载、从看起来无辜的图像中提取有效载荷、用自定义的可信证书颁发机构对其有效载荷进行签名等”。eScan承认了这个缺陷，并对其进行了解决。

美国悬赏1000万美元通缉四名伊朗国民

美国财政部海外资产控制办公室（OFAC）对四名伊朗国民实施制裁，因为他们参与了针对美国政府、国防承包商和私营公司的网络攻击。OFAC还制裁了两家幌子公司，Mehrsam Andisheh Saz Nik（MASN）和Dadeh Afzar Arman（DAA），这两家公司与伊朗伊斯兰革命卫队开伯尔电子司令部（IRGC-CEC）有关联。

伊朗伊斯兰革命卫队网络电子司令部（IRGC-CEC）是伊朗政府内负责网络安全和网络战的组织。由于它参与了各种恶意网络活动，包括美国在内的许多国家都认为它是一个主要威胁。

司法部逮捕了加密货币混合机Samourai的创始人，罪名是为20亿美元的非法交易提供便利

美国司法部逮捕了加密货币混合机Samourai的两名联合创始人，并没收了该服务器。这些指控包括为20多亿美元的非法交易提供便利和洗钱1亿多美元的犯罪所得。

Keonne Rodriguez（35岁）和William Lonergan Hill（65岁）被控经营Samourai钱包，司法部称其为未经许可的汇款业务，Rodriguez是Samourai钱包（“Samourai”）的首席执行官，William Lonergan Hill是该公司的首席技术官，司法部发布的新闻稿中写道：“这些指控源于被告开发、营销和运营一个加密货币混合器，该混合器执行了超过20亿美元的非法交易，并为丝绸之路和九头蛇市场等非法暗网市场的1亿多美元洗钱交易提供了便利。

一次网络攻击使意大利Synlab的运营陷入瘫痪

自4月18日以来，主要的医疗诊断服务提供商意大利Synlab一直因网络攻击而中断。“Synlab通知所有患者和客户，它是计算机系统在全国范围内遭到黑客攻击的受害者。

作为预防措施，在发现攻击后，根据公司的计算机安全程序，意大利的所有公司计算机系统立即被禁用。”Synlab目前无法确定何时可以恢复操作，这些声明强调了该公司隔离系统的必要性，以防止威胁的传播并减轻其影响这种严厉的遏制措施通常与恶意软件感染有关，而受影响系统的不可用性往往表明存在勒索软件感染因此，遭受勒索软件攻击的公司无法预测何时恢复运营，因为他们需要消除受影响系统的威胁并恢复所有备份。

由于网络攻击，莱斯特城的路灯无法关闭

莱斯特市议会在3月份遭受了一次网络攻击，严重影响了当局的服务，并导致机密文件泄露。此次袭击背后的勒索软件集团泄露了多份文件，包括租金声明和购买议会住房的申请。袭击发生在3月7日，使市议会的IT系统瘫痪。由于网络攻击，一些灯被卡了一整天，市议会无法关闭。

”65岁的博蒙特-莱斯居民罗杰·尤恩斯（Roger Ewens）注意到他路上的路灯一直亮着，并问市议会为什么。当他收到回复，指责网络攻击影响了“中央管理系统”，导致路灯“行为不端”时，他感到惊讶。”据莱斯特直播网站报道路灯的问题应该在下周末之前完全解决。

Akira勒索软件从250多名受害者那里收到了4200万美元的赎金

CISA、联邦调查局、欧洲刑警组织和荷兰国家网络安全中心（NCSC-NL）发布的一份联合公告显示，自2023年初以来，Akira勒索软件运营商从全球250多名受害者那里收到了4200万美元的赎金。

Akira勒索软件自2023年3月以来一直活跃，恶意软件背后的黑客声称已经入侵了教育、金融和房地产等多个行业的多个组织。与其他勒索软件团伙一样，该组织开发了一款针对VMware ESXi服务器的Linux加密机。Akira勒索软件运营商通过在加密之前过滤受害者的数据来实现双重勒索模式。

与朝鲜有关的APT集团针对韩国国防承包商

韩国国家警察局警告称，与朝鲜有关的黑客正以国防工业实体为目标，窃取国防技术信息据韩国国家警察局报道，与朝鲜有关联的APT集团Lazarus、Andariel和Kimsukyhack在韩国拥有多家国防公司的后门。国家资助的黑客利用目标系统中的漏洞入侵国防公司的分包商，并部署了恶意软件。

警方表示，袭击是以全面战争的形式进行的，多个APT团体参与了这场战争。政府专家警告说，攻击者使用了复杂的黑客技术。韩国国家警察厅提供了不同APT组织实施的多起袭击的细节。

网络攻击后，法国一家医院被迫重新安排手术

近日，戛纳Simone Veil医院（CHC-SV）遭到网络攻击，医疗程序受到影响，工作人员不得不回到纸笔上。医院的网站上写道：“网络攻击正在进行中！所有非紧急会诊都应重新考虑。”原定于本周进行的非紧急手术和会诊已被推迟，法国医院被迫将所有电脑离线，而电话线没有受到影响。

医院正在ANSSI、Cert Santé、Orange CyberDéfense和GHT06的帮助下调查这起事件，该组织没有收到任何赎金要求，也没有发现数据泄露。

“沙丘吉诃德”运动以中东为目标，包含一个复杂的后门

卡巴斯基的研究人员于2024年2月发现了“沙丘吉诃德”运动，但他们认为该活动可能自2023年以来一直活跃。卡巴斯基发现了该运动中使用的30多个“沙丘吉柯德”植入程序样本。专家们确定了植入程序的两个版本，常规植入程序（以可执行文件或DLL文件的形式）和被篡改的名为“Total Commander”的合法工具的安装程序文件。

威胁参与者在这些功能中使用的字符串包括西班牙诗歌的摘录。字符串因样本而异，从而改变了每个样本的特征以避免通过传统方法进行检测。然后，在执行诱饵函数之后，恶意软件为所需的API调用构建框架。这个框架充满了Windows API函数的偏移，通过各种技术解决植入程序计算组合字符串的MD5散列，并将其用作解码C2服务器地址的密钥。然后植入程序与C2服务器连接，并下载下一阶段的有效载荷。

联合国开发计划署（开发署）调查数据泄露

联合国开发计划署（UNDP）正在调查一起涉嫌导致数据盗窃的勒索软件攻击事件，联合国开发计划署（UNDP）是一个联合国机构，其任务是帮助各国消除贫困，实现可持续经济增长和人类发展网络攻击最近针对的是位于哥本哈根联合国城的原子能机构的信息技术基础设施。

3月27日，开发署意识到一名数据勒索黑客窃取了包括人力资源和采购信息在内的数据。

联合国开发计划署正在调查这起安全事件，以确定网络攻击的范围。该机构正在不断更新受违规影响的个人，并与其他利益相关者分享信息，包括其在联合国系统的合作伙伴。声明继续说道：“联合国开发计划署极其严肃地对待这一事件，我们重申我们致力于数据安全。我们致力于继续努力，检测并将网络攻击的风险降至最低。”

MITRE透露，黑客通过Ivanti零日进行破坏

2024年4月，MITRE披露了其一个研究和原型网络的安全漏洞。该组织的安全团队立即展开调查，注销黑客，并聘请第三方取证事件响应团队与内部专家合作进行独立分析

据MITRE公司称，2024年1月，一个国家行为者通过链接两个Ivanti Connect Secure零日漏洞，破坏了其系统。

尽管MITRE努力遵循行业最佳实践，实施供应商建议，并遵守政府指导以加强、更新和强化其Ivanti系统，但他们忽视了向VMware基础架构的横向移动。该组织表示，核心企业网络或合作伙伴的系统没有受到此次事件的影响。MITRE总裁兼首席执行官Jason Providakes表示：“没有一个组织能够免受这种类型的网络攻击，即使是一个努力维护最高网络安全的组织也无法幸免。”

FIN7针对一家美国大型汽车制造商进行网络钓鱼攻击

2023年末，黑莓研究人员发现威胁因素FIN7通过鱼叉式网络钓鱼活动瞄准了一家美国大型汽车制造商。FIN7针对的是在公司IT部门工作并拥有更高级别管理权限的员工,攻击者利用免费IP扫描工具的诱惑，用Nunak后门感染系统，并使用陆上二进制文件、脚本和库（lolbas）获得初步立足点。

FIN7是一个俄罗斯犯罪集团（akaCarbanak），自2015年年中以来一直活跃，专注于美国的餐馆、赌博和酒店业，以获取用于攻击或在网络犯罪市场出售的金融信息，在BlackBarry分析的攻击中，威胁参与者使用了一种打字抓取技术，他们使用了一个恶意URL“advanced ip sccanner[.]com”伪装成合法网站““虽然在过去的一年里，这场战役所涉及的战术、技术和程序（TTP）已经有了很好的记录，但攻击者使用的OpenSSH代理服务器并没有被传播。”报告总结道，其中还包括缓解和IoC（妥协指标）的建议。“黑莓认为，让个人和实体也能识别这些主机并保护自己是明智之举。”

执法行动拆除钓鱼即服务平台LabHost

由欧洲刑警组织协调的代号为Nebulae的国际执法行动导致了世界上最大的钓鱼即服务平台之一LabHost的瘫痪，来自19个国家的执法部门参加了这次行动，逮捕了37人。该钓鱼即服务平台可在透明网络上使用，现已被警方关闭。

4月14日至4月17日，执法机构对全球70个地址进行了搜查，最终逮捕了嫌疑人。包括LabHost最初开发者在内的四人在英国被捕网络钓鱼即服务（PaaS）平台向骗子提供网络钓鱼工具和资源，通常需要付费或订阅。这些工具通常包括预先设计的网络钓鱼模板、电子邮件或短信发送功能、网络钓鱼页面的网站托管服务。大多数重要的PhaaS平台也为其客户提供技术支持。

思科警告针对VPN和SSH服务的大规模暴力攻击

Cisco Talos的研究人员警告称，至少自2024年3月18日起，将有针对多个目标的大规模凭据暴力攻击，包括虚拟专用网络（VPN）服务、web应用程序身份验证接口和SSH服务。以下是已知受影响服务的列表：成功的暴力攻击可能导致未经授权的网络访问、帐户锁定或拒绝服务（DoS）情况。

这些攻击源于TOR出口节点、匿名隧道和代理，例如：“暴力强制尝试使用特定组织的通用用户名和有效用户名。这些攻击的目标似乎是不分青红皂白的，并非针对特定地区或行业。”Cisco Talos发布的建议中写道恶意活动缺乏对特定行业或地区的具体关注，这表明它采用了更广泛的随机机会主义攻击策略，Talos发布的咨询包括一份针对这场运动的妥协指示者名单。

勒索软件集团Dark Angels声称芯片制造商Nexperia的1TB数据被盗

黑暗天使（Dunghill）勒索软件集团声称对黑客攻击芯片制造商Nexperia并窃取该公司1 TB的数据负责该组织发布了一组文件作为安全漏洞的证据，并威胁称，如果受害者不支付赎金，将泄露所有被盗数据。

这家芯片制造商证实，它在2024年3月意识到某些Nexperia it服务器被未经授权访问。为了应对这一事件，该公司断开了受影响系统与互联网的连接，以防止威胁传播。Nexperia在第三方网络安全专家的帮助下对安全漏洞展开了调查，该公司发布的新闻声明中写道：“我们已向主管当局报告了这一事件，包括‘个人财产管理局’和警方，并随时向他们通报我们的调查进展。”