假冒Meta Pixel跟踪脚本的信用卡信息窃取器

  Tag：信用卡信息窃取器, Sucuri公司

事件概述：

这种信用卡信息窃取器利用了网站的脚本编辑器，通过伪装成像Google Analytics或JQuery这样的流行脚本，以逃避检测。它将真实的域名替换为恶意的域名，加载额外的恶意脚本，监视用户是否在结账页面，如果是，就提供一个欺诈性的覆盖层来窃取他们的信用卡信息。此外，输入的信息会被窃取并发送到另一个被攻击的网站。为了降低这种风险，建议定期更新网站，定期检查管理员账户以确定所有账户都是有效的，并定期更新密码。这尤其重要，因为威胁行为者会利用弱密码和WordPress插件的漏洞来获取目标站点的高级访问权限并添加恶意管理员用户，然后进行各种其他活动，包括添加额外的插件和后门。这些脚本在后台默默运行，只有在检查页面源代码或监视网络流量时，才能发现恶意软件。

来源：

https://thehackernews.com/2024/04/sneaky-credit-card-skimmer-disguised-as.html

政府威胁情报

微软公司邮件系统被黑客攻击，威胁联邦机构：CISA发出警告

  Tag：网络安全和基础设施安全局（CISA）, Midnight Blizzard

事件概述：

美国网络安全和基础设施安全局（CISA）发布了一项紧急指令，关于微软公司邮件系统的安全漏洞。该指令，ED 24-02，概述了应对由国家资助的网络攻击者Midnight Blizzard带来的风险所需的紧急步骤。这个组织已成功窃取了联邦公务员行政部门（FCEB）与微软之间的敏感邮件通信，引发了对国家安全可能影响的警报。据报道，2024年2月，Midnight Blizzard的入侵尝试，如密码喷射，增加了十倍。微软和CISA已通知所有受影响的联邦机构。

微软首次在2024年1月公开了这次安全漏洞。科技巨头透露，Midnight Blizzard已经访问了包括微软和其客户之间共享的认证细节在内的电子邮件通信。这些信息已被用于，或正在被用于，尝试进一步未经授权的访问客户系统。据CISA最近发布的一篇文章，可以采取措施来减轻国家对微软公司邮件系统的重大风险。这次安全漏洞的影响深远。被窃取的数据可能会让Midnight Blizzard有机会破坏更多的系统，破坏政府运作，并获取机密信息。2月份观察到的攻击量增加表明，威胁行为者正在加大他们的努力，如果不及时应对，可能会导致更严重和更广泛的影响。CISA在对安全漏洞的回应中，已经采取了以下步骤：通知：CISA与微软合作，已通知所有通信被破坏的联邦机构。必要的行动：机构必须遵循特定的指南来保护他们的系统，包括提高网络流量监控，审计外部系统连接，并实施多因素认证。公众意识：CISA已经公开了这个指令，以确保透明度，并鼓励所有组织在面对持续的威胁时加强他们的网络安全防御。

来源：

https://gbhackers.com/microsoft-corporate-email-hack/

能源威胁情报

俄罗斯军事威胁组织Sandworm被指责对德州水设施发起网络攻击

  Tag：网络安全和基础设施安全局（CISA）, Midnight Blizzard

事件概述：

根据Mandiant的研究，Sandworm是俄罗斯总参谋部主要指挥部的关键实体，积极参与全方位的间谍活动、攻击和影响行动。由于其威胁的“活跃和扩散”性质，研究人员决定将该组织“升级”为高级持久威胁（APT）状态，并将其命名为APT44。APT前缀通常被研究人员用来追踪一些复杂、隐蔽的威胁组织。研究人员表示，“APT44几乎肯定会继续构成全球最广泛和最严重的网络威胁之一。我们预计乌克兰将继续成为APT44行动的主要焦点。然而，历史表明，该组织在进一步推动克里姆林宫的全球战略目标方面进行网络行动的准备性已经深深根植在其任务中。我们因此评估，西方的政治动态变化、即将到来的选举和俄罗斯近邻的新兴问题也将继续影响APT44的行动。

僵尸网络继续利用未修复的TP-Link路由器中一年前的漏洞

  Tag：僵尸网络, CVE-2023-1389

事件概述：

攻击者持续利用未修复的TP-Link互联网路由器中的漏洞，将其加入到各种可以用来通过伪造流量破坏网站的僵尸网络中。这个漏洞（CVE-2023-1389）于去年12月被发现，并在3月得到修复。它影响的是香港公司生产的一种受欢迎型号Archer AX21，这款产品长期以来一直是僵尸网络操作者的目标。网络安全公司Fortinet的研究人员在周二表示，他们观察到多次针对这个一年前的漏洞的攻击，包括Moobot、Mirai、Condi和Gafgyt等僵尸网络恶意软件。恶意代码允许攻击者控制设备进行分布式拒绝服务（DDoS）攻击。

CVE-2023-1389是一个命令注入漏洞，意味着攻击者可以在目标系统或应用上执行任意指令。它的CVSS严重性得分为10分中的8.8分。如同平常一样，僵尸网络无情地针对物联网（IoT）的漏洞，不断尝试利用它们。尽管去年发现并提供了针对CVE-2023-1389漏洞的补救措施，但仍有许多活动在利用它，导致我们的IPS遥测中出现了显著的峰值。研究人员呼吁用户对DDoS僵尸网络保持警惕，及时应用补丁以保护他们的网络环境免受感染，并防止他们成为恶意威胁行为者的僵尸网络。

来源：

https://unsafe.sh/go-234648.html

流行威胁情报

YouTube频道链接成为恶意软件新的传播途径

  Tag：恶意软件, YouTube

事件概述：

恶意软件的传播方式随着时间的推移已经发生了变化，犯罪分子现在针对特定的受众。最初是通过弹出广告传播，现在的重点已经转移到在内容相关的评论中嵌入恶意链接，涵盖了游戏、电影，现在是YouTube。作为应对，Google正在积极对抗这些威胁，通过从频道中删除恶意链接并暂停发现参与此类活动的账户。此外，YouTube频道所有者和内容创作者应确保他们的描述标签中没有任何促销链接。警惕是关键：仔细监控评论以清除垃圾邮件，并只批准来自真实用户的评论。通过保持警惕和了解信息，我们都可以为更安全的在线环境做出贡献。

来源：

https://www.cybersecurity-insiders.com/youtube-being-used-by-hackers-to-spread-malware/?utm_source=rss&utm_medium=rss&utm_campaign=youtube-being-used-by-hackers-to-spread-malware

高级威胁情报

朝鲜支持的威胁组织TA427的网络钓鱼攻击活动

  Tag：TA427, 网络信标

事件概述：

TA427是一名熟练的社交工程专家，其活动可能支持朝鲜对美国和韩国外交政策倡议的战略情报收集工作。TA427通过一系列无害的对话，与目标建立长期的关系，这可能需要几周到几个月的时间。TA427通过不断更换用于与目标交流的别名，以及使用定制的诱饵内容，经常冒充受害者熟悉的朝鲜研究领域的人员，鼓励目标参与，从而达到这个目标。TA427从2023年12月开始滥用DMARC政策，冒充各种人物，TA427会修改邮件头，显示发件人来自被冒充的组织。2024年2月，TA427开始使用网络信标，这是一种新的策略。网络信标是一种常见的跟踪像素、跟踪信标和网络错误，它们嵌入在电子邮件的正文中，当启用时，试图从攻击者控制的服务器检索一个无害的图像文件。网络信标可能用于初步侦察，验证目标电子邮件是否活动，并获取关于接收者网络环境的基本信息，包括外部可见的IP地址、主机的用户代理和用户打开电子邮件的时间。

来源：

https://www.proofpoint.com/us/blog/threat-insight/social-engineering-dmarc-abuse-ta427s-art-information-gathering?&web_view=true

漏洞情报

  Tag：PAN-OS, Operation MidnightEclipse

事件概述：

网络安全公司Palo Alto Networks于周五发布了一份关于其防火墙/VPN产品中使用的PAN-OS软件中正在被攻击的漏洞的紧急警告。这个命令注入漏洞的CVSS严重性评分为10/10，可能让未经认证的攻击者在受影响的网关上以root权限执行远程代码，这显然是极其危险的。攻击者可以利用这个漏洞完全控制设备并深入受害者的网络。Palo Alto Networks计划于4月14日（周日）发布完全修复这个严重漏洞的更新。

据网络安全管理公司Volexity在博客文章中表示，威胁行动者UTA0218能够远程利用防火墙设备，创建反向shell，并在设备上下载进一步的工具。攻击者主要是从设备中导出配置数据，然后利用它作为在受害者组织内部横向移动的入口点。这次入侵似乎至少可以追溯到2024年3月26日，开始时是试图在防火墙上安装一个自定义的Python后门。Palo Alto Networks将这次漏洞利用行为称为“Operation MidnightEclipse”。尽管这个漏洞正在被积极利用，但目前看来只有一个人在进行这样的行为。Palo Alto Networks表示，他们的首要任务是保护客户的安全。在得知漏洞存在后，他们立即提供了缓解措施，并将很快提供永久性的修复方案。他们正在积极通知客户，并强烈建议他们尽快实施缓解措施和热修复。

来源：

https://go.theregister.com/feed/www.theregister.com/2024/04/12/palo_alto_pan_flaw/

勒索专题

日本豪雅株式会社遭受“国际猎手”勒索软件攻击

  Tag：Hunters International, 勒索软件

事件概述：

日本豪雅株式会社（Hoya Corporation）近日遭受“国际猎手”（Hunters International）勒索软件攻击，被索要1000万美元赎金（约合人民币7240万元）。豪雅是一家专注于光学仪器、医疗设备和电子组件的日本公司，拥有全球范围内的160家办事处和子公司以及43个实验室。攻击者威胁如果不支付赎金，将公开他们声称窃取到的1700万份文件，总数据量约为2TB。目前，“国际猎手”的网站上尚未发布任何文件，威胁者也没有公开承认对豪雅的攻击责任。豪雅方面正在调查黑客是否已经访问或窃取了其系统中的敏感信息，但尚未对此事发表评论。

“国际猎手”是一个在2023年中期出现的勒索软件即服务（RaaS）团伙。其加密器与Hive勒索软件团伙共享代码，可能是后者的换壳。然而，“国际猎手”否认与Hive团伙有任何关联，声称他们是从已经停业的勒索软件团伙那里购买的软件和网站。从2023年中期开始，“国际猎手”对各个行业的公司发起了攻击，要求的赎金金额从几十万美元到数百万美元不等。这家勒索软件团伙的攻击目标非常广泛，甚至包括医院，并向患者提出勒索要求。此次豪雅公司的事件再次提醒我们，对于网络安全的防护措施必须时刻保持警惕，尤其是对于重要数据的保护，应采取多重备份和加密措施，以防止重要信息被非法获取。

来源：

https://www.secrss.com/articles/65299

钓鱼专题

英国警方成功摧毁全球最大的网络钓鱼服务平台LabHost

  Tag：网络钓鱼服务（PhaaS）, LabHost

事件概述：

据报道，英国警方成功打击并破坏了一项网络钓鱼服务（PhaaS）操作，该操作使网络犯罪分子通过数万名受害者获利超过100万英镑（约130万美元）。据欧洲刑警组织描述，LabHost是全球最大的PhaaS平台之一，为欺诈者提供了发起复杂的网络钓鱼和短信钓鱼活动所需的所有工具。2021年启动的LabHost到2024年为止，据估计已托管了多达40000个钓鱼站点，有2000名犯罪用户每月支付订阅费使用其服务。据估计，LabHost在此期间收到了这些用户约100万英镑的付款。

根据伦敦警方的说法，LabHost平台在2021年上线后，到2024年已经托管了多达40000个钓鱼站点。据伦敦警方称，有2000名犯罪用户每月支付订阅费使用其服务。在此期间，LabHost从这些用户那里收到了约100万英镑的付款。根据趋势科技的分析，LabHost提供了多因素身份验证（MFA）绕过、高度可定制的钓鱼页面、短信钓鱼组件，以及收集个人识别码、个人信息和安全问题答案的能力。此外，LabHost还支持在包括Spotify、DHL、汽车通行费服务、保险提供商等非银行网站上进行钓鱼活动。此次行动显示，全球执法部门可以并且将与私营部门合作，从源头上拆除国际欺诈网络。

来源：

https://www.infosecurity-magazine.com/news/uk-police-disruption-1m-phaas/

数据泄露专题

Linux内核面临新的Spectre v2漏洞威胁

  Tag：Spectre v2漏洞, 推测执行

事件概述：

研究人员发现Linux内核存在新的Spectre v2漏洞，该漏洞利用了现代处理器的推测执行功能，可能导致敏感数据泄露。此漏洞被追踪为CVE-2024-2201，未经授权的攻击者可通过利用推测执行，绕过现有的安全机制，读取任意内存数据。两种攻击方法包括分支目标注入（BTI）和分支历史注入（BHI），分别被Intel标记为CVE-2022-0001和CVE-2022-0002。Intel已更新了对Spectre v2的缓解建议，包括禁用未授权的扩展伯克利数据包过滤器（eBPF）功能，启用增强的间接分支限制推测（eIBRS），以及启用监督模式执行保护（SMEP）。

推测执行是一种性能优化技术，现代处理器会预测下一步将执行的指令，并在确认需要之前开始实施。这种功能虽然提高了性能，但也引入了安全风险，因为它会在CPU缓存中留下具有特权的数据痕迹，攻击者可能会访问这些数据。这些数据可能包括账户密码、加密密钥、敏感的个人或公司信息、软件代码等。Intel推荐在代码的特定位置添加LFENCE（加载围栏）指令，作为序列化点，并实现清除分支历史缓冲（BHB）的软件序列，以便在不同的安全域之间进行转换。硬件供应商已经表示，未来的处理器将包含对BHI和其他可能的推测执行漏洞的缓解措施。

来源：

https://www.bleepingcomputer.com/news/security/new-spectre-v2-attack-impacts-linux-systems-on-intel-cpus/

- END -