赛欧思一周资讯分类汇总(2023-11-20 ~ 2023-11-25)

一周资讯分类汇总：

1、勒索事件：

堪萨斯州法院确认数据被盗，网络攻击后提出赎金要求
堪萨斯州司法部门公布了上个月发生的网络安全事件的最新情况，确认黑客从其系统中窃取了包含机密信息的敏感文件。

来源: BleepingComputer

被 Phobos 勒索软件陷害的 VX-Underground 恶意软件集体
一个新的 Phobos 勒索软件变种诬陷了流行的 VX-Underground 恶意软件共享组织，表明该组织是使用该加密程序发动攻击的幕后黑手。

来源: BleepingComputer

Rhysida 勒索软件团伙声称大英图书馆遭到网络攻击
Rhysida 勒索软件团伙声称对 10 月份大英图书馆遭受的网络攻击负责，这次攻击造成了持续的重大 IT 故障。

来源: BleepingComputer

2、攻击事件：

年度最大安全事件：MOVEit黑客攻击波及2600多家企业
根据新西兰网络安全公司Emsisoft的最新报告，今年5月以来，文件传输服务MOVEit遭黑客攻击后波及了约2620家企业用户和7720万人。俄罗斯勒索软件团伙Cl0p于6月6日声称对此次攻击负责。攻击背景及影响美国组织受到的冲击最大，受影响组织中有78.1%来自美国。加拿大受影响比例为14%，德国占1.4%，英国占0.8%。

来源: 安全内参

随着对哈马斯的战争愈演愈烈，针对以色列的网络攻击也愈演愈烈
Check Point 软件公司称，以色列与哈马斯之间的持续冲突导致以色列的网络攻击大幅增加，而且随着战事的延长，网络攻击还在不断加剧。我们发现在战争期间，以色列的网络攻击增加了约 20%，其中针对政府部门的攻击增加了 50%以上。

来源: CSOonline

网络安全公司高管承认黑客攻击医院
一家网络安全公司的前首席运营官承认在 2021 年 6 月入侵了格威内特医疗中心（GMC）旗下的两家医院，以促进其公司的业务。

来源: FreeBuf

开源 Blender 项目自上周六起遭遇 DDoS 攻击
Blender 已确认，最近的网站中断是由周六开始的持续 DDoS（分布式拒绝服务）攻击造成的。

来源: BleepingComputer

美杜莎勒索软件攻击了丰田子公司
丰田金融服务公司（TFS）证实，在 Medusa（美杜莎）勒索软件声称对其欧洲和非洲一些网络系统进行攻击后，公司内部安全人员检测到了未经授权的恶意访问。

来源: FreeBuf

美国联邦通信委员会（FCC）通过新规保护消费者免受 SIM 卡交换攻击
美国联邦通信委员会（FCC）公布了新的规则，以保护消费者免受在 SIM 卡交换攻击和端口输出欺诈中劫持电话号码的犯罪分子的侵害。

来源: BleepingComputer

3、漏洞情报：

俄罗斯黑客利用WinRAR漏洞针对大使馆进行网络间谍行动
乌克兰国家安全与国防委员会(NSDC)报告称，其网络安全研究人员发现，俄罗斯背景的黑客最近在利用WinRAR的一个漏洞针对大使馆和国际组织进行网络间谍活动。这些攻击被归咎于一个知名黑客组织APT29（别名UNC3524、NOBELIUM、Cozy Bear、SolarStorm等）。

来源: CN-SEC 中文网

LockBit 勒索软件利用关键的 Citrix Bleed 漏洞闯入
包括 LockBit 勒索软件关联公司在内的多个威胁参与者正在积极利用 Citrix NetScaler 应用程序交付控制（ADC）和网关设备中最近披露的关键安全漏洞来获取对目标环境的初始访问权限。

来源: FreeBuf

微软、戴尔和联想笔记本电脑上的 Windows Hello 验证被绕过
安全研究人员利用嵌入式指纹传感器中的安全漏洞，绕过了戴尔 Inspiron、联想 ThinkPad 和微软 Surface Pro X 笔记本电脑上的 Windows Hello 指纹验证。

来源: BleepingComputer

微软推出 Defender 赏金计划，奖励 20000 美元
微软发布了一项针对微软卫士安全平台的新漏洞悬赏计划，奖励金额在 500 美元到 20000 美元之间。

来源: BleepingComputer

CISA 命令联邦机构修补 Looney Tunables Linux 漏洞
今天，CISA 命令美国联邦机构确保其系统安全，防范一个被主动利用的漏洞，该漏洞可让攻击者在许多主要 Linux 发行版上获得 root 权限。

来源: BleepingComputer

Kinsing 恶意软件利用 Apache ActiveMQ RCE 植入 rootkit
Kinsing 恶意软件操作员正积极利用 Apache ActiveMQ 开源消息代理中的 CVE-2023-46604 关键漏洞来入侵 Linux 系统。

来源: BleepingComputer

Fortinet 警告 FortiSIEM 中存在关键命令注入漏洞
Fortinet 提醒客户注意 FortiSIEM 报表服务器中存在一个关键操作系统命令注入漏洞，未经身份验证的远程攻击者可利用该漏洞通过特制的 API 请求执行命令。

来源: FreeBuf

俄罗斯黑客利用 Ngrok 功能和 WinRAR 漏洞攻击大使馆
继沙虫和 APT28（又名 "花式熊"）之后，另一个由国家支持的俄罗斯黑客组织 APT29 正在利用 WinRAR 中的 CVE-2023-38831 漏洞进行网络攻击。

来源: BleepingComputer

CrushFTP RCE 链漏洞已发布，立即修补
针对 CrushFTP 企业套件中的一个关键远程代码执行漏洞公开发布了一个概念验证漏洞利用程序，允许未经认证的攻击者访问服务器上的文件、执行代码并获取明文密码。

来源: BleepingComputer

4、信息泄露：

NSC 技术公司泄密事件将超过 48.5K 个姓名和 SSN 暴露于网络深渊
2023 年 11 月 21 日，该公司向缅因州总检察长通报了数据泄露事件。该公司在通知中指出，由于 NSC 技术公司的数据泄露事件，包括姓名和社会保障号码在内的敏感消费者数据被未经授权的实体获取。

来源: The Cyber Express

Welltok 数据泄露事件暴露了 850 万美国患者的数据
医疗 SaaS 提供商 Welltok 警告称，该公司使用的文件传输程序在一次数据盗窃攻击中被黑客入侵，导致美国近 850 万患者的个人数据泄露。

来源: BleepingComputer

黑客入侵美国核研究实验室，窃取员工数据
爱达荷国家实验室（INL）证实，在 "SiegedSec"黑客分子将窃取的人力资源数据泄露到网上后，他们遭受了网络攻击。

来源: BleepingComputer

汽车零部件巨头 AutoZone 就 MOVEit 数据泄露事件发出警告
AutoZone 警告其数以万计的客户，该公司因 Clop MOVEit 文件传输攻击而遭受数据泄露。

来源: BleepingComputer

三星证实黑客在长达一年时间内窃取了英国客户的个人数据
三星证实黑客在长达一年时间内窃取了英国客户的个人数据。三星向受影响客户发送邮件称，攻击者利用了未披露名字的第三方应用的漏洞，在 2019 年 7 月 1 日到 2020 年 6 月 30 日之间访问了在三星英国商店购物的客户个人信息。

来源: FreeBuf

承包商遭黑客攻击，加拿大政府披露数据泄露事件
加拿大政府称，其两家承包商遭到黑客攻击，暴露了属于数量不详的政府雇员的敏感信息。

来源: BleepingComputer

黑客声称已入侵 Plume 公司并收集超过 1500 万行数据
据外媒报道，有攻击者声称已经窃取了智能 Wi-Fi 服务提供商 Plume 超过 20GB 的 Wi-Fi 数据库，其中包含超过 1500 万行信息。

来源: FreeBuf

5、诈骗事件：

Telekopye 工具包被用作 Telegram 机器人，欺诈市场用户
Telekopye 工具包曾于 2023 年 8 月被发现被俄罗斯网络犯罪分子利用进行网络钓鱼诈骗。该骗局主要针对 YULA 或 OLX 等流行的俄罗斯在线市场，但 ESET 研究人员也发现了一些非俄罗斯目标，包括 eBay、Sbazar、Jófogás 和 BlaBlaCar。

来源: HackRead

FTC 发起语音克隆挑战以打击人工智能欺诈
美国联邦贸易委员会（FTC）首次发起了 "语音克隆挑战赛"（Voice Cloning Challenge），大奖奖金高达 2.5 万美元，旨在打击日益严重的人工智能语音克隆诈骗威胁。

来源: FreeBuf

6、僵尸网络：

新型僵尸网络恶意软件利用两个 0day漏洞感染 NVR 和路由器
一个名为 "InfectedSlurs"的基于 Mirai 的新型恶意软件僵尸网络利用两个 0day远程代码执行（RCE）漏洞感染路由器和录像机（NVR）设备。

来源: BleepingComputer

7、恶意软件：

据称，Lumma 恶意软件可以恢复过期的 Google 身份验证 Cookie
Lumma 信息窃取恶意软件（又名“LummaC2”）正在推广一项新功能，据称该功能允许网络犯罪分子恢复过期的 Google cookie，该 cookie 可用于劫持 Google 帐户。

来源: FreeBuf

Lazarus黑客在供应链攻击中入侵讯连科技
微软称，一个朝鲜黑客组织入侵了台湾多媒体软件公司讯连科技，并对该公司的一个安装程序进行了木马化处理，以在供应链攻击中推送恶意软件，目标是全球的潜在受害者。

来源: BleepingComputer

NetSupport RAT 感染呈上升趋势 - 针对政府和商业部门
威胁行为者使用名为 NetSupport RAT 的远程访问木马瞄准教育、政府和商业服务部门。NetSupport RAT 的传播机制包括欺诈性更新、偷渡式下载、利用恶意软件加载器（如 GHOSTPULSE）以及各种形式的网络钓鱼活动。

来源: FreeBuf

伪装成银行和政府机构的恶意应用程序针对印度 Android 用户
印度的 Android 智能手机用户是新的恶意软件活动的目标，该活动采用社会工程诱饵来安装能够收集敏感数据的欺诈性应用程序。

来源: FreeBuf

Gamaredon's LittleDrifter USB 恶意软件扩散到乌克兰以外地区
研究人员最近发现了一种被称为 LittleDrifter 的蠕虫病毒，它通过 USB 驱动器感染了多个国家的系统，这是 Gamaredon 国家间谍组织活动的一部分。

来源: BleepingComputer

Lumma Stealer 恶意软件现在使用三角法逃避检测
Lumma 信息窃取恶意软件现在正在使用一种有趣的策略来逃避安全软件的检测--使用三角法测量鼠标的移动，以确定恶意软件是在真实机器上运行还是在防病毒沙箱中运行。

来源: BleepingComputer

8、钓鱼事件：

黑暗之门和 Pikabot 恶意软件成为 Qakbot 的后继者
最近，一个推送 DarkGate 恶意软件感染的复杂网络钓鱼活动又加入了 PikaBot 恶意软件，使其成为 Qakbot 行动被瓦解后最先进的网络钓鱼活动。

来源: BleepingComputer

9、国际安全情报：

美国最大产权保险商被黑后关机断网，全美大量购房交易被迫暂停
富达国民金融表示，产权相关服务的系统已经隔离。有知情者称，该公司内网已经全面封锁，决定关机断网以清理服务器，防止出现任何问题。

来源: 安全内参

ClearFake 活动扩展到针对具有 Atomic Stealer 的 Mac 系统
被称为 Atomic 的 macOS 信息窃取程序现在正在通过跟踪为 ClearFake 的虚假 Web 浏览器更新链传递给目标。

来源: FreeBuf

CISA 发布医疗保健网络安全指南
美国网络安全和基础设施安全局（CISA）发布了专为医疗保健和公共卫生（HPH）部门量身定制的缓解指南。

来源: FreeBuf

NCSC 宣布妥协指标的新标准
英国国家网络安全中心（NCSC）公布了其第一个标准机构互联网工程任务组（IETF）RFC的细节，涵盖了妥协指标（IoC）。

来源: FreeBuf

印度雇佣黑客组织十多年来一直瞄准美国、中国等国家
根据 SentinelOne 的深入分析，一个印度由雇佣的黑客组织以美国、中国、缅甸、巴基斯坦、科威特和其他国家为目标，十多年来一直在进行广泛的间谍、监视和破坏行动。

来源: FreeBuf

Tor 项目因营利性风险活动而移除中继器
Tor 项目解释了其最近做出的移除对所有 Tor 网络用户的安全构成威胁的多个网络中继器的决定。

来源: BleepingComputer

研究人员从 SSH 服务器签名错误中提取 RSA 密钥
来自加利福尼亚州和马萨诸塞州两所大学的一组学术研究人员证明，在某些条件下，被动网络攻击者有可能从导致 SSH（安全外壳）连接尝试失败的自然错误中获取 RSA 密钥。

来源: BleepingComputer

10、国内安全情报：

多地出现“电话手表兑换卡”新型诈骗，警方提醒若捡到要直接销毁
据“平安北京”公众号，近日全国多地有不少人捡到一张“电话手表兑换卡”，印有 300 元面值，还有“安全守护”“防走失儿童定位智能电话手表”等字样。经多地警方向中国移动公司求证核实，近期中国移动并未推出此类活动。

来源: FreeBuf

中国工商银行美国子行遭 LockBit 黑客团队攻击，因未及时封堵 Citrix Bleed 漏洞导
IT之家 11 月 20 日消息，中国工商银行（ICBC）美国分行 ICBCFS 在本月初遭到黑客组织 LockBit 攻击，使得部分系统中断，但工商银行强调此一意外并未波及总行以及其它境内外的附近机构。据悉，黑客组织 LockBit 之所以能够攻入工商银行美国分行，这是因为美国分行未修补 Citrix NetScaler 设备的漏洞 Citrix Bleed（CVE-2023-4966，CVSS 风险评分为 9.4），截至 11 月 14 日，仍有大约 5000 个企业组织尚未修复 Citrix Bleed 漏洞。

来源: FreeBuf