Tag：CryptoChameleon, LabHost

事件概述：

CryptoChameleon和LabHost的出现，体现了网络威胁的复杂性和多样性。CryptoChameleon模仿成功的方法，通过模仿Okta和使用熟悉的域名进行欺诈。这种模仿行为是威胁行动者常用的策略，通过复制成功的方法来提高其攻击的成功率。LabHost则通过实时活动管理工具LabRat和SMS垃圾邮件工具LabSend进行大规模的网络钓鱼攻击。这些工具使得威胁行动者能够实时捕获凭证和2FA代码，自动化地发送钓鱼链接，大大提高了攻击的效率。这些威胁行动者的行为，突显了网络安全措施的重要性，特别是多因素认证、威胁情报共享和自动化安全措施的重要性。

来源：

https://securityboulevard.com/2024/03/crypto-phishing-kit-impersonating-login-pages-stay-informed/

国际货币基金组织公开邮件账户遭黑客攻击事件

  Tag：多因素认证, 网络攻击

事件概述：

该事件再次凸显了多因素认证、威胁情报共享和自动化安全措施的重要性。IMF在检测到这起事件后，立即进行了调查，并采取了补救措施。这显示了IMF对网络安全的重视，并证明了其在应对网络攻击方面的能力。此外，IMF还确认其使用的是Microsoft 365云端电子邮件平台。这也表明，即使是使用最新的云端电子邮件平台，也不能完全防止网络攻击。因此，企业和组织在选择电子邮件平台时，应考虑到安全性，并采取适当的安全措施。总的来说，这起事件提醒我们，无论是个人还是企业，都应提高对网络安全的重视，并采取有效的防护措施。

来源：

https://www.bleepingcomputer.com/news/security/international-monetary-fund-email-accounts-hacked-in-cyberattack/

政府威胁情报

美国网络安全和基础设施安全局遭黑客攻击

  Tag：CISA, Ivanti产品的漏洞

来源：

https://securityintelligence.com/news/cisa-hackers-key-systems-offline/

网络钓鱼攻击：冒充美国税务局的新骗局

近期，网络安全研究人员发现了一种新的与税务相关的网络钓鱼骗局。骗子可能会通过电子邮件告诉目标，让他们迅速访问某个网站，申请美国国税局（IRS）的雇主识别号（EIN）。EIN 是美国税务局用来识别需要提交各种商业纳税申报的纳税人的编号。骗子的目标很可能是自雇者和/或小型企业（SMB）的所有者。骗子只需要少量信息就可以开始这个操作，例如在暗网的地下论坛上，一个自雇美国居民的有效电子邮件地址可能只需要几分钱。骗子寻求的信息非常广泛，包括个人的社会安全号码（SSN）。一旦社会安全号码被泄露，就会带来重大问题，因为SSN与银行和信用历史密切相关。此外，骗子还会向受害者收取申请税务编号的费用，尽管IRS提供的EIN申请服务是免费的。如果你收到了包含链接至irs-ein-gov.us域名的邮件或其他邀请，请告诉我们。

在这次钓鱼攻击中，攻击者利用电子邮件作为诱饵，引导目标用户访问他们设置的虚假网站，申请雇主识别号（EIN）。攻击者可能已经从数据经纪人那里获得或购买了一些符合特定条件（例如，自雇的美国居民）的电子邮件地址。攻击者在暗网的地下论坛上，只需花费几分钱就可以购买到一个自雇美国居民的有效电子邮件地址。攻击者寻求的信息非常广泛，包括个人的社会安全号码（SSN）。一旦社会安全号码被泄露，就会带来重大问题，因为SSN与银行和信用历史密切相关。此外，攻击者还会向受害者收取申请税务编号的费用，尽管IRS提供的EIN申请服务是免费的。攻击者在设置假网站时犯了一个错误，他们在复制隐私政策时忘记了做一处小修改，没有编辑原始域名。如果你收到了包含链接至irs-ein-gov.us域名的邮件或其他邀请，请告诉我们。

能源威胁情报

美国水系统遭受严重网络攻击，白宫发出警告

  Tag：网络威胁, 网络安全实践

事件概述：

尽管饮用水和废水系统是生命线关键基础设施部门，但这些系统通常缺乏实施强大网络安全措施所需的必要资源和技术能力。美国环保署（EPA）作为总统政策指令21下的主导联邦机构，负责确保美国水部门对所有威胁和危险具有恢复力。白宫正在寻求州政府的支持，以确保他们管辖区内的水系统进行全面评估他们的网络安全实践。目标是识别漏洞，实施控制以降低风险，并制定强大的事件响应计划。白宫和EPA希望信中概述的倡议和未来的合作努力能够加强水系统对网络威胁的防御。

来源：

https://gbhackers.com/hackers-attacking-us-water-systems/

日产汽车澳新地区遭网络攻击，约10万个人信息泄露

  Tag：网络攻击, 国家网络安全中心

事件概述：

2023年12月5日，日产汽车公司和日产金融服务在澳大利亚和新西兰地区的业务遭到网络攻击，黑客非法获取了本地IT服务器的访问权限。日产公司及时采取行动，遏制了数据泄露，并立即通知了相关政府部门，包括澳大利亚和新西兰的国家网络安全中心和隐私监管机构。攻击影响了一些日产的客户（包括我们的三菱、雷诺、天际线、英菲尼迪、LDV和RAM品牌的金融业务的客户）、经销商和一些现任和前任员工。日产预计将在未来几周内正式通知约10万个人关于网络攻击的情况。

此次网络攻击中，大约有10%的个人的某种形式的政府身份证明被泄露，包括大约4000张医疗卡、7500张驾驶执照、220本护照和1300个税务档案号。其余90%的被通知者的其他形式的个人信息也受到了影响，包括贷款账户的交易声明副本、就业或薪资信息或一般信息如出生日期等。日产已与IDCARE合作，为受影响的个人提供支持，包括免费的信用监控服务和身份证明替换等。此外，日产还建议受影响的个人采取一些措施来保护自己，如定期更新密码，使用强密码，不在多个账户中重复使用密码，启用多因素身份验证等。

来源：

https://www.nissan.com.au/website-update.html

流行威胁情报

PixPirate恶意软件的新隐藏技术

  Tag：PixPirate, 金融远程访问木马

事件概述：

PixPirate是一种复杂的金融远程访问木马(RAT)恶意软件，主要利用反研究技术。它的感染路径基于两个恶意应用：下载器和下降器。这两个应用协同运作，执行欺诈行为。IBM Trusteer研究人员发现，该恶意软件主要攻击巴西的银行。PixPirate利用辅助功能服务获取RAT能力，监视受害者的活动，窃取受害者的在线银行凭证、信用卡详情和所有目标账户的登录信息。如果需要两因素身份验证(2FA)来完成欺诈交易，恶意软件还可以访问、编辑和删除受害者的SMS消息，包括银行发送的任何消息。

PixPirate恶意软件的感染流程主要包括一个下载器APK和下降器APK两个组件。下载器不仅负责下载和安装下降器，还负责运行和执行它。下载器在下降器的恶意活动中起着积极的作用，因为它们相互通信并发送命令执行。受害者通常通过WhatsApp或SMS钓鱼信息中的恶意链接下载PixPirate下载器。下载器模仿与银行相关的合法认证应用，诱使受害者下载。下载器请求受害者安装其更新版本，实际上就是PixPirate恶意软件（下降器）。PixPirate恶意软件利用了一种新的隐藏技术，该技术在所有Android版本中都能有效工作。为了隐藏恶意软件，PixPirate下降器没有主要活动，也就是说，它没有带有 “android.intent.action.MAIN”和“android.intent.category.LANUCHER”的活动。这种行为的改变意味着应用的图标在受害者设备的主屏幕上根本不存在。然而，这也带来了一个新的问题。如果下降器的图标在受害者的主屏幕上不存在，那么受害者如何首次启动应用呢？这种新技术需要恶意软件有两个应用：在这种情况下，下载器和下降器一起运行。下载器是运行的应用。然后，下载器运行下降器，否则由于其图标不存在，下降器将无法执行。

来源：

https://securityintelligence.com/posts/pixpirate-brazilian-financial-malware/

印度Android用户面临有组织的网络犯罪团伙的无情攻击

  Tag：恶意软件即服务, ELVIA INFOTECH

事件概述：

据McAfee移动研究团队的新报告，印度的Android用户正面临一个高度有组织的网络犯罪团伙的无情攻击。这个利用“恶意软件即服务”模型的诈骗活动，在过去的一年中迅速发展，部署了数百个旨在模仿合法服务并欺骗用户的恶意应用。McAfee的研究人员精心追踪了恶意软件的发展，发现其活动和复杂性都有令人担忧的升级。这个活动，以其在开发、扩展和活动阶段的有条不紊的进展为特征，已经创建了超过800个恶意应用，感染了超过3700台设备，对无数个人的财务安全构成了重大威胁。

这个诈骗活动的运作方式是：恶意软件伪装成必要的服务，如假的客户支持应用、送货追踪、医院预约，甚至电费支付门户。受害者下载这些应用，然后登陆看起来逼真但是欺诈的网站，被欺骗输入他们的个人信息，包括银行账户详情和密码。恶意软件秘密地窃取短信，使攻击者能够截取银行发送的用于验证的一次性密码（OTP），绕过了一个重要的安全层。McAfee的报告揭示了这个活动背后的犯罪团伙ELVIA INFOTECH。他们运营一个“恶意软件即服务”（MaaS）模型，基本上通过Telegram群组为犯罪分子提供现成的网络钓鱼诈骗和恶意软件。这种方法使网络犯罪更容易，也加剧了威胁。保护自己的方法包括：对要求你下载应用的未经请求的消息保持怀疑，即使它们看起来是来自熟悉的公司；总是从官方的Google Play商店下载应用，并检查开发者的资质；仔细审查应用请求的权限，比如，一个送货应用是否需要访问你的短信？投资可信赖的移动安全软件，并保持更新，以获得实时保护。

来源：

https://securityonline.info/cybercriminals-target-indian-android-users-with-sophisticated-malware-as-a-service-scam/

高级威胁情报

朝鲜Lazarus APT组织再次利用Tornado Cash洗钱

  Tag：Lazarus APT组织, Tornado Cash

事件概述：

Lazarus APT组织现在似乎已经回归使用Tornado Cash作为大规模洗钱和掩盖交易轨迹的方式。自2024年3月13日以来，从HTX/HECO盗窃中得到的超过2300万美元的ETH已经被发送到Tornado Cash，超过60笔交易。这种行为的改变和回归使用Tornado Cash可能反映了现在运营的大规模混合器数量有限，这要归功于执法部门对Sinbad.io和Blender.io等服务的打击。建议加密货币交易所和金融机构使用诸如钱包筛选解决方案等工具，防止与Tornado Cash和Lazarus Group等受制裁实体进行交易。

来源：

https://securityaffairs.com/160525/breaking-news/lazarus-apt-returned-tornado-cash.html

俄罗斯APT28威胁行动者针对全球多地进行网络钓鱼攻击

  Tag：APT28, 网络安全防护

事件概述：

据IBM X-Force最近的报告，与俄罗斯有关的威胁行动者APT28，正在进行多起钓鱼攻击活动，目标包括欧洲、南高加索、中亚以及北美和南美的政府和非政府组织。这些钓鱼诱饵包括内部文件、公开可获取的文件，以及与财务、关键基础设施、高级管理人员参与、网络安全、海洋安全、医疗保健、商业和国防工业生产相关的可能由行动者生成的文件。APT28还曾针对乌克兰政府实体和波兰组织发起钓鱼攻击，以部署定制植入物和信息窃取者，如MASEPIE、OCEANMAP和STEELHOOK。此外，APT28还利用Microsoft Outlook的安全漏洞（CVE-2023-23397，CVSS评分：9.8）窃取NT LAN Manager（NTLM）v2散列，可能会利用其他弱点窃取NTLMv2散列以进行中继攻击。

APT28的攻击手法多样，包括利用钓鱼邮件和伪装成各国实体的诱饵文件进行攻击，以及利用Microsoft Outlook的安全漏洞窃取敏感信息。其攻击目标广泛，包括政府和非政府组织，且涵盖多个领域，如财务、关键基础设施、高级管理人员参与、网络安全、海洋安全、医疗保健、商业和国防工业生产等。APT28还部署了定制植入物和信息窃取者，如MASEPIE、OCEANMAP和STEELHOOK，这些工具被设计用来窃取文件、运行任意命令和窃取浏览器数据。其中，OCEANMAP被视为CredoMap的更强大版本，CredoMap是该组织之前使用的另一种后门。APT28的攻击手法和工具的多样性和强大性，再次提醒我们，网络安全防护需要全方位、多层次的策略，包括多因素认证、威胁情报共享和自动化安全措施等。

来源：

https://thehackernews.com/2024/03/apt28-hacker-group-targeting-europe.html

漏洞情报

ChatGPT插件存在严重漏洞，攻击者可通过此获得组织账户控制权

  Tag：网络安全分析师, OAuth漏洞

事件概述：

研究人员揭示了一个OAuth漏洞，允许攻击者操纵受害者安装恶意的ChatGPT插件。这种攻击模仿了传统的OAuth重定向操纵，攻击者在身份验证流程中替换自己的凭据。当用户批准一个新的ChatGPT插件时，批准码会通过重定向URL返回给OpenAI。攻击者可以用自己的代码替换这个代码，欺骗ChatGPT代替受害者安装插件，并获取消息和数据的访问权限。此外，研究人员还揭示了一个账户接管漏洞，这个漏洞出现在许多使用PluginLab.AI构建的ChatGPT插件中，包括AskTheCode。当用户安装这些插件并授予像GitHub这样的服务访问权限时，插件会创建存储用户凭据的认证账户。攻击者可以利用身份验证绕过来获取PluginLab的“成员ID”，然后使用这个ID发出未经授权的请求，生成有效的授权码。有了这些代码，攻击者就可以在ChatGPT中劫持插件会话，并获得对连接的私人数据的完全访问权限，比如GitHub仓库。根本原因是PluginLab在身份验证流程中未能正确验证请求。

来源：

Apache CXF框架存在重要的服务器端请求伪造漏洞

  Tag：服务器端请求伪造（SSRF）, CVE-2024-28752

事件概述：

Apache CXF，一款流行的开源web服务框架，发现存在一个服务器端请求伪造（SSRF）漏洞，已被追踪为CVE-2024-28752。该漏洞存在于4.0.4、3.6.3和3.5.8之前的版本中，被评为“重要”级别，如果不予处理，可能会产生重大后果。SSRF漏洞产生的原因是web服务未能正确验证用户提供的URL。攻击者可以利用这一点，制造恶意请求，迫使服务与内部或外部系统建立连接。这可能导致敏感数据泄露、恶意重定向，甚至在严重情况下，SSRF可以成为攻击者获取服务器远程代码执行的途径。此漏洞主要影响使用Aegis DataBinding处理传入请求的Apache CXF web服务。

Apache CXF框架的这次漏洞揭示了服务器端请求伪造（SSRF）的危害。SSRF漏洞产生的原因是web服务未能正确验证用户提供的URL。攻击者可以通过制造恶意请求，迫使服务与内部或外部系统建立连接，从而实现对系统的攻击。这种攻击方式可能导致敏感数据泄露，攻击者可以通过探测内部网络，可能揭示出机密信息。同时，服务可能被欺骗，将用户发送到有害的网站，从而促成网络钓鱼或恶意软件的分发。在严重的情况下，SSRF可以成为攻击者获取服务器远程代码执行的途径。这次的漏洞主要影响使用Aegis DataBinding处理传入请求的Apache CXF web服务，如果你的web服务使用不同的数据绑定，那么你就不会受到这个特定漏洞的影响。因此，对于使用Apache CXF框架的开发者来说，应立即进行版本更新，以防止被攻击。

来源：

勒索专题

LockBit勒索软件团伙管理员在认罪后被判处近四年监禁

  Tag： LockBit勒索软件团伙, 网络安全防护

事件概述：

LockBit勒索软件团伙的一名管理员，Mikhail Vasiliev，因在加拿大法庭上对八项指控表示认罪，被判处四年监禁。这位34岁的加拿大-俄罗斯双重国籍人士自2022年10月在其位于安大略省布拉德福德的家中被捕以来，一直处于法律困境之中。他因涉嫌对2021年和2022年的三家加拿大公司发动勒索软件攻击而面临八项指控，包括网络敲诈和持有武器等。除了监禁，他还被命令向受害者赔偿86万美元。此外，Vasiliev还同意被引渡到美国，面临在新泽西州法庭上公开的多项指控，其中包括阴谋故意破坏受保护的计算机和发送勒索要求。如果被定罪，他将面临最高五年的监禁。

LockBit是全球最活跃的勒索软件操作之一，自2019年以来，该团伙以服务的形式提供其勒索软件，向客户收取费用。据Recorded Future的研究人员统计，该威胁行动者发动了近2300次攻击。该团伙自开展运营以来，已收到超过1.2亿美元的赎金支付。然而，上个月，一项国际执法行动摧毁了该勒索软件团伙的基础设施，并确定了参与该团伙的数百名附属成员。尽管该团伙试图给人一种它仍在运营的假象，但在执法部门的打击下，其活动已大大受到限制。这起案件再次提醒我们，网络安全防护的重要性，以及对付网络犯罪的决心和能力。

来源：

https://unsafe.sh/go-227936.html

美国医疗行业遭受勒索软件攻击的严重性及防范措施

  Tag：勒索软件, 美国网络安全和基础设施安全局（CISA）

事件概述：

自2023年2月21日Change Healthcare受到攻击以来，美国的许多人已经开始亲身体验到勒索软件带来的残酷影响。这次被美国医院协会（AHA）总裁兼CEO Rick Pollack称为“对美国医疗体系史上最重大、最具影响力的事件”的攻击，已经阻止了数十亿美元的付款流动，导致药店账单飙升，一些医疗提供商面临破产边缘，一些提供化疗的小型医疗机构警告说他们可能只有几周的时间就要拒绝患者。据美国网络安全和基础设施安全局（CISA）警告，自2023年12月中旬以来，近70个受害者中，医疗行业是最常见的受害者。在过去的12个月里，美国已知的勒索软件攻击增加了101%，但对医疗行业的攻击增加了137%。美国医疗行业遭受的所有已知攻击中有70%。

在过去的一年中，已知有36个不同的勒索软件团伙攻击了美国的医疗目标，而且，不同寻常的是，那些只进行了少数几次攻击的团伙的总贡献远远超过了像LockBit和ALPHV这样的大团伙。医疗行业是人们最私人数据的保管人，是他们健康的守护者，也是价值数万亿美元的市场的一部分。换句话说，医疗行业不仅仅是另一个行业部门，无论是对于使用它的人，还是对于猎捕它的人，它都是一个特殊的案例。因此，对Change Healthcare等组织的攻击应被视为对关键基础设施的攻击。为了避免勒索软件，我们需要阻止常见的入侵方式，创建一个快速修补互联网面向系统漏洞的计划，并禁用或加固远程访问，如RDP和VPN。我们需要防止入侵，使用可以防止用于传播勒索软件的漏洞和恶意软件的端点安全软件。我们需要检测入侵，通过分割网络和谨慎分配访问权限，使入侵者更难在组织内部操作。我们需要使用EDR或MDR来检测不寻常的活动，以防止攻击发生。我们需要停止恶意加密，部署像ThreatDown EDR这样的端点检测和响应软件，使用多种不同的检测技术来识别勒索软件，并使用勒索软件回滚来恢复受损的系统文件。我们需要创建离线、离线的备份，使备份远离攻击者的触及范围，并定期测试以确保能够迅速恢复关键业务功能。我们需要避免被二次攻击，一旦我们隔离了疫情并阻止了第一次攻击，就必须消除攻击者、他们的恶意软件、他们的工具和他们的入侵方式的所有痕迹，以避免再次被攻击。

来源：

https://unsafe.sh/go-228430.html

数据泄露专题

  Tag：数据泄露, 网络攻击

事件概述：

全球知名的加密消息和语音服务提供商Viber，近日遭到了大规模的数据泄露，黑客声称窃取了高达740GB的数据。这可能是近期历史上最大的一次数据泄露，可能暴露了大量的个人信息。Viber已经对此事做出回应，表示正在对这一指控进行调查。黑客通过Twitter账号@H4ckManac发布了这一声明，并附带了一个据称是被盗数据的目录列表的图片。尽管这一图片和声明的真实性尚未得到验证，但如果真实，那么这将对Viber及其用户群体产生严重影响。

Viber是一款全球知名的加密消息和语音服务，拥有数百万的用户，他们依赖Viber的平台进行安全通信。据黑客@H4ckManac在推特上的声明，他们声称窃取了Viber平台上高达740GB的数据，并打算以8个比特币（约合583,000美元）的价格出售这些数据和Viber的源代码。这可能是近期历史上最大的一次数据泄露，可能暴露了大量的个人信息。对于这一指控，Viber已经发表声明表示正在进行调查。虽然这一声明的真实性尚未得到验证，但如果黑客的声明是真实的，那么这将是今年最重大的一次数据泄露，不仅会泄露个人信息，还可能泄露敏感的通信内容。这一事件再次强调了网络攻击的威胁以及强大的安全措施的重要性。随着事件的发展，监控发展情况并评估其对数字通信和数据隐私的影响将至关重要。

来源：

https://gbhackers.com/hackers-claim-of-data-stolen/

  Tag：网络安全, 数据泄露

事件概述：

网络安全研究员Jeremiah Fowler发现并向WebsitePlanet报告了一份未经密码保护的数据库，该数据库包含了来自美国电动汽车服务供应商的573,309条记录，包括发票和客户信息。这些公开暴露的数据库包含573,309份文件，总大小为585.81 GB。这些文件包括工作发票、价格提案、电气许可证和由客户提交的带有他们家庭照片和充电器位置详细信息的调查。经过进一步审查，我确定这些数据属于德克萨斯州的Qmerit，这是一家提供一系列电动汽车相关服务的公司，如为住宅、商业和车队应用安装和维护电动汽车充电基础设施。我立即向他们发送了我发现的负责任的披露通知，不久之后，对这些文件的访问就被限制了。

这起数据泄露事件再次强调了网络安全在当今连接世界中的重要性，即使是销售实物产品的离线服务也可能导致在线数据暴露。这些被暴露的个人信息，如姓名、地址、电话号码和电子邮件，可能被用于尝试身份盗窃或更复杂形式的欺诈。网络犯罪分子可能冒充客户、承包商或Qmerit代表，并使用内部信息进行针对承包商和客户的欺诈活动。根据联邦调查局(FBI)的数据，社会工程学占所有网络攻击的98%。攻击者可能使用泄露的信息进行定向的网络钓鱼活动；他们可以引用发票中的详细信息来欺骗客户分享更敏感的信息。这可能是离线的（以电话呼叫的形式）或在线的（以电子邮件或短信的形式）。因此，加强网络安全防护，尤其是对于涉及大量用户敏感信息的公司，显得尤为重要。

来源：

https://www.websiteplanet.com/news/qmerit-breach-report/

- END -