Tag：多因素认证, 威胁情报共享

事件概述：

保诚保险公司，美国最大的保险公司之一，于2024年2月的一次网络攻击中，有超过36000的敏感信息被黑客窃取。公司在周五向缅因州的监管机构提交的文件中表示，他们在2月5日检测到未经授权的访问，这促使他们进行了调查。调查发现，未经授权的第三方在2024年2月4日进入了他们的网络，并从他们的系统中移除了一小部分个人信息。被访问的信息包括36545人的姓名、地址、驾驶执照号码或身份证件。保诚保险公司已通知执法部门，并聘请了一家外部网络安全公司协助应对。受害者将获得两年的身份保护服务。

此次网络攻击事件再次强调了多因素认证、威胁情报共享和自动化安全措施的重要性。在此次事件中，黑客能够窃取大量用户的敏感信息，显示出保诚保险公司在网络安全防护方面存在的问题。尽管公司已经采取了一些措施，如通知执法部门和聘请外部网络安全公司，但这些措施都是在事后进行的，无法阻止数据的泄露。这就需要公司在未来加强网络安全防护，通过实施多因素认证、威胁情报共享和自动化安全措施等技术，来防止类似的网络攻击事件再次发生。此外，公司还需要提高对员工和合同工的网络安全意识，防止他们成为黑客的攻击目标。

来源：

https://therecord.media/prudential-discloses-new-information-from-february-incident

政府威胁情报

INC Ransom声称对莱斯特城市议会的网络安全事件负责

  Tag：网络犯罪团伙INC Ransom, 网络钓鱼攻击

来源：

https://www.theregister.com/2024/04/02/inc_ransom_leicester_council

能源威胁情报

Rhadamanthys恶意软件更新版本针对石油天然气行业

  Tag：Rhadamanthys, 黑暗影子（Black Shadow）组织

事件概述：

名为Rhadamanthys的信息窃取恶意软件的更新版本正在用于针对石油和天然气行业的网络钓鱼活动。该恶意软件通过网络钓鱼电子邮件传播，利用开放重定向缺陷将收件人带到托管所谓PDF文档的链接，该链接实际上是一个图像，点击后会下载带有窃取者有效负载的ZIP存档。Rhadamanthys与命令和控制（C2）服务器建立连接，从受感染的主机获取敏感数据。此外，还出现了针对印度尼西亚的恶意垃圾邮件活动，该活动利用与银行相关的诱饵来传播Agent Tesla恶意软件，以掠夺登录凭据、财务数据和个人文档等敏感信息。

Rhadamanthys恶意软件使用C++编写，其主要目标是与命令和控制（C2）服务器建立连接，以便从受感染的主机获取敏感数据。这种恶意软件的传播方式主要是通过网络钓鱼电子邮件，利用开放重定向缺陷将收件人带到托管所谓PDF文档的链接，该链接实际上是一个图像，点击后会下载带有窃取者有效负载的ZIP存档。此外，还有一种名为Agent Tesla的恶意软件，它主要通过与银行相关的诱饵来传播，目标是掠夺登录凭据、财务数据和个人文档等敏感信息。这两种恶意软件的出现都表明，网络安全威胁日益严重，需要采取更有效的安全措施来防范。

来源：

https://thehackernews.com/2024/04/new-phishing-campaign-targets-oil-gas.html

苹果硅芯片中的GoFetch安全漏洞分析

  Tag：GoFetch安全漏洞, 数据内存预取器

事件概述：

苹果硅芯片中的GoFetch安全漏洞引发了业界对现代处理器设计的关注。GoFetch是一种已知存在多年的漏洞类别，但在苹果硅芯片的设计中被忽视。该漏洞源于处理器设计中的基本规则：数据离处理器越近，获取速度越快。为了提高效率，处理器会将频繁使用的数据存储在离处理器近的高速缓存中。然而，这种设计与加密软件的基本原则相冲突。加密软件需要在私密环境中使用秘密数据进行编码和解码，而处理器的缓存设计可能会导致信息泄露。GoFetch漏洞是由于苹果处理器中的数据内存预取器（DMP）监控缓存，并试图检测内存访问请求，从而导致信息泄露。

GoFetch漏洞突显了处理器设计中速度与安全的冲突。处理器设计者追求的是速度，而这恰恰是高端芯片制造商的设计理念。然而，这种追求速度的理念可能会导致安全问题被忽视。在GoFetch漏洞的例子中，苹果的DMP功能虽然可以提高操作速度，但却可能导致信息泄露。这是因为DMP会监控缓存，并尝试检测内存访问请求，这个过程对代码是不可见和不可控的。因此，攻击者可以通过构造输入，迫使DMP泄露加密组件的操作信息。这种情况下，计算机在提高速度的同时，却违反了现代加密信息隐藏的基本原则。在处理器设计中，如何平衡速度与安全的关系，将是一个持续的挑战。

来源：

https://go.theregister.com/feed/www.theregister.com/2024/04/02/apple_gofetch_opinion/

流行威胁情报

警惕新型“强大窃取者”恶意软件：可窃取网络摄像头图片和Cookies

  Tag：强大窃取者, ThreatMon

事件概述：

“强大窃取者”恶意软件的风险重大。该恶意软件可以通过捕获cookies绕过登录程序，访问在线账户。窃取密码和钱包信息可能导致财务损失和身份盗窃。未经授权访问网络摄像头的行为构成严重的隐私侵犯，可能导致敲诈勒索和其他形式的剥削。为防范“强大窃取者”等威胁，维护最新的杀毒软件并在下载和安装新程序时保持警惕至关重要。用户还应定期更改密码，并在可能的情况下启用双因素身份验证，以增加额外的安全层。强大窃取者恶意软件的出现，再次提醒我们网络安全警惕的重要性。

来源：

https://gbhackers.com/beware-of-new-mighty-stealer/

漏洞情报

关于XZ Utils库的严重漏洞CVE-2024-3094的报告

  Tag：CVE-2024-3094, CISA

事件概述：

CVE-2024-3094是一个严重的供应链漏洞，影响了数据压缩软件XZ Utils的5.6.0和5.6.1版本。这个漏洞是由于在liblzma构建过程中，从源代码中的一个伪装的测试文件中提取了一个预构建的对象文件，然后用这个对象文件修改了liblzma代码中的特定函数，导致了被修改的liblzma库可以被任何链接到这个库的软件使用，从而拦截并修改与这个库的数据交互。对于这个漏洞，Palo Alto Networks的Cortex XDR和XSIAM可以帮助防止后期利用活动，Prisma Cloud可以防止启动包含CVE-2024-3094的镜像。此外，Palo Alto Networks还提供了一些XQL查询，可以帮助Cortex XDR的用户搜索受影响的XZ Utils版本。

来源：

https://unit42.paloaltonetworks.com/threat-brief-xz-utils-cve-2024-3094/

Linux系统存在严重漏洞，黑客可获得root权限

  Tag：CVE-2024-1086, Dirty Pagedirectory

事件概述：

Linux系统存在一项严重漏洞，黑客只需以普通用户身份在易受攻击的机器上运行漏洞利用程序，就可获得root权限，对机器进行任何操作。这种情况可能被内部恶意用户或已在计算机上的恶意软件用来造成更大的破坏和问题。漏洞影响的系统包括Debian，Ubuntu，Red Hat，Fedora等Linux发行版。漏洞发现者Notselwyn在本周的技术报告中详细介绍了这个漏洞，他表示，他的漏洞利用程序在内核6.4.16上的成功率高达99.4%。

在他的分析中，Notselwyn详细介绍了如何使用CVE-2024-1086在几乎所有受影响的Linux内核上获得通用root shell的步骤。这包括一种特别有趣的方法，该方法基于早期的Linux内核通用漏洞利用技术，被称为Dirty Pagetable，该技术涉及滥用基于堆的漏洞来操纵页面表，以便未经授权地控制系统的内存和操作。最新的方法被称为Dirty Pagedirectory，Notselwyn表示，它允许对Linux系统中的所有内存页面进行无限制、稳定的读/写访问，这将使攻击者完全控制该机器。

来源：

https://www.theregister.com/2024/03/29/linux_kernel_flaw

勒索专题

执法部门打击LockBit勒索软件的胜利与挑战

  Tag：LockBit勒索软件, AlphaV勒索软件组织

事件概述：

尽管执法部门成功打击了LockBit勒索软件，但勒索软件仍然是一个重大威胁。LockBit在全球反勒索软件战争中被视为执法部门的一次重要胜利。然而，执法部门打击勒索软件团伙后，他们通常会重新出现，尽管其犯罪活动的能力有所减弱。AlphaV勒索软件组织就在被警方打击几小时后在暗网上重新出现。过去十年，勒索软件在全球范围内成为一个日益严重的问题。现代勒索软件团伙运行着复杂的业务，政府和私营公司正在共同努力阻止这些团伙。

在打击勒索软件的战斗中，网络安全社区需要反思一些教训以改进反勒索软件的战斗。有些情况下，受害者支付了LockBit的赎金，但尚未收到他们承诺从服务器中删除的数据。这是支付赎金的最大风险之一。如果一个勒索软件团伙看起来值得信任，它的受害者就不愿意支付赎金。组织需要为这样的可能性做好准备，并在发生这样的事件时有应对计划。当公司的数据受到威胁时，它需要优先考虑制定详尽的灾难恢复计划和程序，以防数据丢失或损坏，而不是依赖解密来恢复。执法部门可以利用合作和信息共享来获得对最强大的攻击者团伙的关键优势，正如LockBit的打击所示。

来源：

钓鱼专题

“darcula”网络钓鱼服务平台针对全球100多个国家的组织

  Tag：darcula, 网络钓鱼服务

事件概述：

“darcula”平台声称支持约200个钓鱼模板，覆盖了100多个不同国家的大量品牌。这些模板主要针对邮政服务，但也包括其他依赖大量消费者信任的机构，如公共和私人公用事业、金融机构、政府机构（税务部门等）、航空公司和电信组织。在技术层面，设置对于欺诈者来说非常简单：“darcula”使用开源容器注册表Harbor来托管用React编写的钓鱼网站的Docker镜像。欺诈者选择一个要攻击的品牌，然后运行一个安装脚本，该脚本将安装特定于该品牌的钓鱼网站和相关的管理面板在Docker中。

来源：

https://www.netcraft.com/blog/darcula-smishing-attacks-target-usps-and-global-postal-services/

数据泄露专题

- END -