安全威胁情报周报（2022/8/17-2022/8/23）

8月16日，有消息称，南美洲阿根廷科尔多瓦司法机构因勒索软件攻击而被迫关闭IT系统，据爆料此次攻击是新近出现的Play勒索软件所为。

这次攻击发生在8月13日，攻击迫使当地司法机构关闭了其IT系统及在线门户。服务中断期间，只能依靠传统纸面形式提交官方文件。

据悉，本次事件是以“.Play”为扩展名实施文件加密的勒索软件攻击，该扩展名与2022年6月新出现的“Play”勒索软件有关。目前还不清楚Play团伙是如何入侵司法机构网络的，且暂时没有发现该勒索软件团伙实施数据泄露，或数据在攻击期间被盗的迹象。

英国南斯塔福德郡水务公司上周发布声明，确认IT系统已经因网络攻击而宕机，敏感数据或泄露。

该公司的安全和供水系统仍在正常运行，南斯塔福德郡水务公司还向客户做出保证，称所有服务团队都在照常运营，并不存在因网络攻击而导致长期停水的风险。

据悉，此次攻击疑似为Clop勒索软件团伙所为。在赎金谈判破裂之后，Clop 团伙决定发布首批被盗数据样本，其中包含护照、水处理SCADA系统截屏以及驾照等内容。

近日有消息称，疑似伊朗威胁组织UNC3890，一直针对以色列实体，主要目标是政府、航运、能源、航空和医疗保健部门。

攻击活动于 2020 年底首次被注意到，并在 2022 年年中进行。UNC3890使用了两种独特的工具：SUGARUSH后门以及SUGARDUMP浏览器凭据窃取程序。此外，该组织还使用了公开可用的工具，如METASPLOIT 框架和 NorthStar C2。

研究人员以适度的信心评估，UNC3890组织与伊朗有关。

近日，微软威胁情报中心 (MSTIC) 破坏了一项黑客活动，此次活动由被追踪为 SEABORGIUM 的黑客发起，针对北约国家的个人和组织。

SEABORGIUM（又名ColdRiver、TA446）是来自俄罗斯的黑客组织，主要针对北约国家，以及波罗的海、北欧和东欧地区。

SEABORGIUM 通过电子邮件、社交媒体和 LinkedIn 帐户创建在线角色，以展开社会工程活动。软表示已采取行动，禁用了用于监视、钓鱼和窃取电子邮件的帐户，并公开了69个与攻击活动相关的域。

8月18日，LockBit声称对6月份针对数字安全巨头 Entrust 的网络攻击负责，并在其网站上创建了一个专门的Entrust数据泄露页面。

据悉，Entrust 在 2022 年 6 月 18 日遭受勒索软件攻击，内部系统的数据被盗。

近日，LockBit 在他们的网站上为 Entrust 创建了一个专门的数据泄露页面，并表示将发布所有Entrust公司的数据。，这表明Entrust未与勒索团伙进行谈判，或拒绝了该团伙的赎金要求。

最大的CS:GO皮肤交易平台之一CS.MONEY近日被黑客攻击，大约600万美元的皮肤失窃，资产直接缩水了1/3以上。

在8月13日察觉到攻击后至今，CS.MONEY网站处于关闭状态，并且暂时无法给出恢复服务的预计时间。

据调查，事件的源头是黑客以某种方式获取了用于Steam授权的Mobile Authenticator文件的访问权限，使得黑客能够直接控制托管皮肤的机器人。在攻击的第一天，黑客 共操纵约100个帐户完成了约1000笔交易。目前不清楚游戏开发商Valve是否会进行干预追回失窃物品。

美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)已发布联合公告，警告Zeppelin勒索软件攻击。

Zeppelin 勒索软件于2019 年11月首次出现在威胁领域。该勒索软件涉及针对欧洲、美国和加拿大的技术和医疗保健、国防承包商、教育机构、制造商、公司的攻击。

Zeppelin威胁行为者要求受害者以比特币支付赎金，金额从几千美元到超过一百万美元不等。该组织使用多种攻击媒介来访问受害者网络，包括 RDP 攻击、SonicWall 防火墙漏洞利用和网络钓鱼攻击。威胁行为者还实施双重勒索模型，威胁要泄露被盗文件，以防受害者拒绝支付赎金。

对此，美国机构建议不要支付赎金，因为无法保证加密文件能够恢复，支付勒索软件会鼓励非法勒索行为。FBI还鼓励组织报告与 Zeppelin 运营商的任何互动，包括日志、比特币钱包信息、加密文件 样本和解密文件。

近日，研究人员通过调查发现了至少9000个暴露的VNC（虚拟网络计算）端点，这些端点能在没有认证的情况下进行访问，从而使攻击者能够轻松进入内部网络。

根据安全扫描结果，发现网络上有超过9000个没有密码防护且面向互联网的VNC实例，其中大多数被暴露的实例位于中国和瑞典，美国、西班牙和巴西则紧随其后。一些暴露的VNC实例位于本不应该暴露在互联网上的工业控制系统。

为了解攻击者针对VNC服务器的频率，使用其网络情报工具监测VNC的默认端口5900端口的攻击，发现在一个月内有超过600万个请求，其中多数访问来自来自荷兰、俄罗斯和美国。

最近的数据报告显示，自 2020 年以来，近 700 万用户尝试安装恶意浏览器扩展程序，其中 70% 的扩展程序用作广告软件，以向用户投放广告。

数据报告称，在 22 年上半年，用户尝试安装恶意扩展程序的次数超过 1,300,000 次，与去年的数字相比有所增加。

从 2020 年 1 月到 2022 年 6 月，安全软件记录了针对 430 万用户的广告软件扩展程序，约占该期间所有恶意扩展程序的 70%。

数据显示，2022 年上半年恶意 Web 浏览器扩展携带的最常见有效载荷属于广告软件系列，用于窥探浏览活动并推广附属链接。