目录
全球
动态
俄罗斯报道揭露了黑客组织 Killnet 头目身份
俄罗斯APT29针对乌大使馆利用Ngrok和WinRAR漏洞进行攻击
安全
事件
朝鲜黑客发动供应链攻击,散布木马软件
LockBit 勒索软件利用关键的 Citrix Bleed 漏洞入侵
ClearFake 活动扩展到针对具有 Atomic Stealer 的 Mac 系统
基于 Mirai 的僵尸网络利用路由器和 NVR 中的零日漏洞进行大规模 DDoS 攻击
运营商DP World遭到攻击导致澳大利亚多个港口关闭
Outpost24发布关于信息窃取软件Lumma的分析报告
VMware披露NetSupport RAT针对教育等行业的攻击
数据
泄露
News
全球动态
俄罗斯报道揭露了黑客组织 Killnet 头目身份
亲俄黑客组织Killnet本周受到越来越严格的审查,此前一家新闻网站似乎披露了该组织领导人的身份。他在网上被称为基尔米尔克(Killmilk),在俄乌战争期间,他因代表一群出于政治动机的黑客而出名。据俄媒体 Gazeta.ru 周二发布的一篇报道,他实际上是一名30岁的俄罗斯公民,名叫尼古拉·塞拉菲莫夫(Nikolai Serafimov)。根据 Gazeta.ru 从其他黑客活动人士和执法机构的消息来源获得的数据,塞拉菲莫夫已婚,拥有保时捷和宝马汽车,之前曾因分销毒品而被定罪。
原文链接:
https://cybernews.com/news/killmilk-identity-revealed-killnet/
俄罗斯APT29针对乌大使馆利用Ngrok和WinRAR
漏洞进行攻击
据11月20日报道,乌克兰安全研究人员揭露了一起重大的俄罗斯网络间谍活动,他们称这可能旨在收集有关阿塞拜疆军事战略的信息。APT29(又名Cozy Bear、Nobelium等多个别名)是这次攻击的幕后黑手,乌克兰国家安全与防务委员会(NDSC)的一份新报告这样称。该组织的攻击目标包括阿塞拜疆、希腊、罗马尼亚和意大利的大使馆,以及世界银行、欧洲委员会、欧洲理事会、世界卫生组织、联合国等国际机构。NDSC表示:“这一事件的地缘政治影响深远。在若干可能的动机中,最明显的目的之一可能是俄罗斯外情局(SVR)收集有关阿塞拜疆战略活动的情报,特别是在阿塞拜疆入侵纳戈尔诺-卡拉巴赫之前。
新加坡电信驳斥了其主干系统升级导致子公司
网络中断的言论
原文链接:
https://www.bleepingcomputer.com/news/security/pj-and-a-says-cyberattack-exposed-data-of-nearly-9-million-patients/
安全事件
朝鲜黑客发动供应链攻击,散布木马软件
据11月22日外媒报道,一个被追踪为 Diamond Sleet 的朝鲜政府支持的黑客,正在分发一款由中国台湾多媒体软件开发商 CyberLink 开发的合法应用程序的木马版本,通过供应链攻击来瞄准下游客户。微软威胁情报团队在周三的一份分析报告中表示:“这个恶意文件是一个合法的 CyberLink 应用程序安装程序,已被修改为包含下载、解密和加载第二阶段有效载荷的恶意代码。”这家科技巨头表示,病毒文件托管在该公司拥有的更新基础设施上,同时还包括限制执行时间窗口和绕过安全产品检测的检查。据估计,此次攻击活动影响了日本、中国台湾、加拿大和美国的100多台设备。
原文链接:
https://www.bleepingcomputer.com/news/security/microsoft-lazarus-hackers-breach-cyberlink-in-supply-chain-attack/
LockBit 勒索软件利用关键的 Citrix Bleed 漏洞
入侵
11月22日报道,包括LockBit勒索软件分支机构在内的多个威胁参与者,利用最近披露的Citrix NetScaler应用交付控制(ADC)和网关设备的漏洞,以获得对目标环境的初始访问权限。该资讯由美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、多州信息共享和分析中心(MS-ISAC)和澳大利亚信号局的澳大利亚网络安全中心(ASD的ACSC)联合发布发布者表示“Citrix Bleed以被LockBit 3.0分支机构利用而知名,它允许威胁参与者绕过密码要求和多因素身份验证(MFA),从而使威胁者获取Citrix NetScaler web应用交付控制(ADC)和网关设备上的用户会话记录”。
原文链接:
https://thehackernews.com/2023/11/lockbit-ransomware-exploiting-critical.html
ClearFake 活动扩展到针对具有 Atomic Stealer
的 Mac 系统
据11月22日报道,Atomic的macOS信息窃取程序现正通过一个名为ClearFake的虚假网络浏览器更新链传递给目标。Malwarebytes的Jérôme Segura在周二(21日)的分析中表示:“这很可能是我们第一次看到主要的社会工程活动之一,以前只针对Windows,现在它不仅涉及地理位置,还涉及操作系统。”Atomic Stealer(又名 AMOS)于 2023 年 4 月首次记录,是一个商业窃取恶意软件系列,以每月 1,000 美元的订阅价格出售,它具有从网络浏览器和加密货币钱包中提取数据的功能。在 2023 年 9 月,Malwarebytes详细介绍了 Atomic Stealer 活动,该活动利用恶意 Google 广告,欺骗搜索名为 TradingView 的金融图表平台的 MacOS 用户下载恶意软件。
原文链接:
https://thehackernews.com/2023/11/clearfake-campaign-expands-to-deliver.html
基于 Mirai 的僵尸网络利用路由器和 NVR 中的
零日漏洞进行大规模 DDoS 攻击
据11月22日报道,一个活跃的恶意软件活动正在利用两个具有远程代码执行 (RCE) 功能的零日漏洞,将路由器和录像机连接到基于 Mirai 的分布式拒绝服务 (DDoS) 僵尸网络中。Akamai在本周发布的一份公告中说:有效载荷以路由器和网络录像机(NVR)设备为目标,使用默认管理员凭据,一旦成功就会安装Mirai变种。有关这些漏洞的详细信息目前还处于保密状态,以便这两家厂商发布补丁,防止其他威胁行为者滥用这些漏洞。其中一个漏洞的修补程序预计将于下月发布。
原文链接:
https://www.bleepingcomputer.com/news/security/new-botnet-malware-exploits-two-zero-days-to-infect-nvrs-and-routers/
美国最大的产权保险公司富达国民金融遭黑客攻击
据媒体11月22日报道,美国最大的产权保险公司富达国民金融(Fidelity National Financial)遭黑客攻击,导致原定交易无法进行。经纪人和购房者被迫匆忙寻找解决方案。11月21日,富达国民金融向美国证券交易委员会(SEC)提交报告,表示正在阻止访问部分系统。这些系统与下列项目相关:“公司提供的产权相关服务,包括房地产保险服务、第三方资金托管服务;抵押交易服务;向房地产和抵押行业提供的技术。该公司表示已展开调查,聘请外部网络安全专家,并通知执法部门。另一位知情人士表示,他们听闻富达国民金融“已经全面封锁”。他声称在一家使用富达国民金融服务的公司从事IT工作。
原文链接:
https://www.housingwire.com/articles/fidelity-national-financial-is-latest-victim-of-a-cybersecurity-attack/
Outpost24发布关于信息窃取软件Lumma的分析
报告
11月20日,Outpost24发布了关于信息窃取软件Lumma的分析报告。Lumma(又名LummaC2)由C语言开发,自2022年12月起在地下论坛上出售。该恶意软件在绕过检测和阻止自动分析方面进行了重大更新,包括控制流扁平化混淆、human-mouse活动检测、XOR加密字符串、支持动态配置文件以及在所有构建中强制使用加密技术。其中最有趣的是使用三角法检测human-mouse活动,这项技术考虑了光标在短时间内的不同位置,以检测人类活动,从而有效地绕过了大多数无法真实模拟鼠标移动的分析系统的检测。
原文链接:
https://outpost24.com/blog/lummac2-anti-sandbox-technique-trigonometry-human-detection/
VMware披露NetSupport RAT针对教育等行业的
攻击
VMware在11月20日透露NetSupport RAT攻击活动激增,研究人员在过去几周内观察到超过15起与之相关的新感染。受影响最严重的是教育和商业服务行业,以及政府机构。最近的攻击中,NetSupport RAT通过伪造的网站和虚假浏览器更新进行分发,这些恶意网站托管着看似是更新的PHP脚本,当目标击下载链接时,会下载额外的Javascript payload。Javascript会从外部域下载并执行Powershell,Powershell用于检索包含NetSupport RAT的ZIP文档。
原文链接:
https://blogs.vmware.com/security/2023/11/netsupport-rat-the-rat-king-returns.html
数据泄露
Welltok 数据泄露:850 万名患者受到影响
11月22日,医疗保健 SaaS 提供商 Welltok 披露了一起数据泄露事件,该事件已导致美国近 850 万患者的个人信息泄露。Welltok 与美国各地的医疗保健提供商合作,提供在线健康计划、维护包含个人患者数据的数据库、生成预测分析并支持医疗保健需求。Welltok 数据泄露事件发生于 2023 年 7 月 26 日,当时 Welltok 使用的文件传输程序遭到黑客攻击。暴露的数据包括姓名、地址、电子邮件地址、电话号码,有些还包括社会安全号码、医疗保险/医疗补助 ID 号码和健康保险信息。Welltok 数据泄露事件据信是由 Clop 勒索软件团伙造成的,该团伙最近几个月还发起了其他备受瞩目的攻击。该团伙利用 MOVEit 软件中的零日漏洞来访问 Welltok 的系统。
原文链接:
https://www.bleepingcomputer.com/news/security/welltok-data-breach-exposes-data-of-85-million-us-patients/#google_vignette
摩根士丹利因泄露客户信息被罚款 650 万美元
11月21日据外媒报道,美国佛罗里达州总检察长办公室表示,由于内部数据安全措施的疏忽,这家跨国投资银行和金融服务公司可能会泄露数百万客户的个人信息。对该公司的调查发现,它没有正确删除存储在即将退役的设备上的未加密的个人信息。调查发现,这家金融服务公司未能实施适当的供应商控制和资产库存,而这本来可以防止数据泄露。作为协议的一部分,除了向佛罗里达州、康涅狄格州、印第安纳州、新泽西州、纽约州和佛蒙特州支付 650 万美元外,摩根士丹利还被要求提高个人信息的安全性。
原文链接:
https://www.scmagazine.com/brief/morgan-stanley-settles-data-breach-for-6-5m
汽车零部件巨头AutoZone数据泄露
据外媒11月21日报道,AutoZone警告其数以万计的客户,作为Clop MOVEit文件传输攻击的一部分,它遭受了数据泄露。AutoZone通知美国当局它在5月28日发生了数据泄露,影响184995人。8月15日左右,AutoZone确定,未经授权的第三方利用MOVEit中的漏洞窃取了AutoZone系统中的某些数据。之后,该公司又花了3个月的时间来确定哪些数据被盗,以及需要通知哪些人。
原文链接:
https://www.bleepingcomputer.com/news/security/auto-parts-giant-autozone-warns-of-moveit-data-breach/
美国爱达荷国家实验室遭遇重大数据泄露
11月20日,爱达荷国家实验室遭受了大规模数据泄露,影响了其人力资源系统。出于政治动机的攻击的网络犯罪组织SiegedSec声称其破坏了爱达荷国家实验室的人力资源应用程序,该组织周日在 Telegram 上发帖称,已获得该核研究实验室员工的详细信息。爱达荷国家实验室 (INL) 负责利用核能发电并开发第一批用于核潜艇和航空母舰的核推进系统。作为美国能源部 17 个国家实验室之一,INL 据称拥有 6000 多名研究人员和支持人员。发言人 Lori McNamara 告诉媒体。“INL 已立即采取行动保护员工数据。INL 已与联邦执法机构保持联系,包括联邦调查局 (FBI) 和国土安全部网络安全和基础设施安全局,以调查此事件影响的数据范围。”
原文链接:
https://cyberscoop.com/idaho-national-laboratory-siegedsec/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...