2024年4月，全球网络安全领域经历了多起重大的攻击事件，这些事件不仅影响了关键基础设施、大型企业和政府机构，还波及到软件开发、游戏产业和普通消费者，显示出网络威胁的复杂性和多样性。

一、2024年4月攻击事件的总结分析  

1.关键基础设施与政府机构成为重点目标：国家支持的黑客针对思科ASA防火墙的“ArcaneDoor”零日漏洞发起攻击，威胁到电信和能源部门的安全。同时，APT组织APT28利用Windows Print Spooler漏洞对乌克兰、西欧和北美关键部门进行攻击。俄罗斯黑客组织Sandworm对乌克兰20个关键基础设施进行了攻击，显示了针对国家基础设施的持续威胁。

2.针对大型企业数据的窃取活动：R00TK1T组织声称窃取了雀巢公司的机密数据，而联合国开发计划署(UNDP)也遭受了勒索软件攻击，虽然具体损失未明，但表明国际组织同样面临严重网络威胁。此外，攻击者还声称窃取了印度电信公司BSNL和新加坡在线招聘平台Glints的数据，显示出数据泄露无处不在。    

3.技术公司与研发机构成为攻击焦点：BlackTech组织针对亚太地区的科技、研究和政府部门发起了攻击，而Acuity公司则被曝出数据泄露，虽然公司称仅非敏感数据被窃取。这些攻击显示出对高科技行业知识产权和敏感信息的觊觎。

4.供应链攻击和恶意软件传播：MuddyWater组织利用合法RMM软件进行网络攻击，而CrushFTP服务器的漏洞被积极利用，超过1400台服务器存在被远程代码执行的风险。此外，WordPress的WP-Automatic插件漏洞导致数百万次SQL注入攻击，强调了供应链安全的重要性。

5.社会工程学与钓鱼攻击的进化：FIN7组织针对美国汽车行业发起的钓鱼攻击显示，攻击者利用精心设计的钓鱼邮件和社交工程技术，以及利用人工智能生成的长篇邮件内容，提高攻击的成功率。Quishing攻击（一种新型网络钓鱼攻击）数量增长十倍，表明攻击者在持续创新社会工程学策略。

6.新兴技术与安全挑战：研究人员发现R编程语言中的漏洞，GPT-4被证明能自行发起漏洞攻击，显示了人工智能技术在恶意用途中的潜在风险。同时，Magento漏洞被利用部署持久后门，显示电商网站安全防护的薄弱点。

综上所述，2024年4月的网络攻击事件涉及广泛，从关键基础设施到企业数据，再到个人用户，无一幸免。这些事件不仅展示了攻击者技术的不断演进，如利用零日漏洞、人工智能，还突出了供应链安全、社会工程学以及对新兴技术安全性的关注。面对这些挑战，各组织和个体需加强安全防护，提升对新威胁的认知，并及时修补已知漏洞，以降低遭受攻击的风险。    

二、2024年4月攻击事件相关信息  

1、攻击者声称窃取印度电信公司BSNL的数据

https://thecyberexpress.com/bsnl-data-breach-2

2024年4月24日，一个名为“Perell”攻击者发布了一个据称属于BSNL的数据库。该数据库包含超过290万条记录。去年12月，Perell就曾在黑客论坛中声称窃取了BSNL的敏感数据。由于涉及的数据库数量庞大且具有敏感性，因此无法证实该事件的真实性。目前BSNL官方尚未发表任何官方声明或回应。

2、攻击者声称窃取新加坡在线招聘平台Glints的数据

https://thecyberexpress.com/glints-data-breach

2024年4月22日，一个攻击者在黑客论坛中声称窃取了一个数据库，其中包含与新加坡在线招聘平台Glints相关的员工记录。据称数据泄露包含大约1000条记录，其中包含Glint员工的个人身份信息（PII）。暴露的数据包括敏感详细信息，例如姓名、员工ID、职务、电子邮件地址、出生日期、实际地址、身份证号码，甚至银行账户信息。

3、新的 R 编程漏洞使项目面临供应链攻击

https://thehackernews.com/2024/04/new-r-programming-vulnerability-exposes.html

R 编程语言中发现了一个安全漏洞，威胁参与者可能会利用该漏洞创建恶意 RDS（R 数据序列化）文件，从而在加载和引用时导致代码执行。    

4、OKTA 警告在线服务面临前所未有的撞库攻击

https://securityaffairs.com/162464/hacking/okta-warned-spike-credential-stuffing-attacks.html

最近几周，Okta 观察到，在住宅代理服务、先前泄露的凭据列表（“组合列表”）和自动化工具的广泛普及的帮助下，针对在线服务的撞库攻击激增。

5、攻击者针对Okta进行撞库攻击

https://www.bleepingcomputer.com/news/security/okta-warns-of-unprecedented-credential-stuffing-attacks-on-customers

Okta警告说，针对其身份和访问管理解决方案的撞库攻击激增，一些客户帐户在攻击中遭到破坏。攻击者使用凭据填充来破坏用户帐户，方法是以自动方式尝试从网络犯罪分子那里购买的用户名和密码列表。Okta表示，这些攻击中似乎使用了与Cisco Talos此前报道的暴力破解和密码喷射攻击中相同的基础设施。在Okta观察到的所有攻击中，请求都来自 TOR匿名化网络以及多种代理（例如 NSOCKS、Luminati和DataImpulse）。

6、朝鲜黑客组织攻击数十家韩国国防公司

https://therecord.media/south-korean-defense-companies-cyber-espionage-north-korea

韩国安全部门确定了三个平壤支持的组织对这些攻击负责，这些组织被全球执法和网络安全研究人员称为Lazarus、Kimsuky和Andariel。

7、英国莱斯特市遭遇网络攻击后城市路灯无法关闭    

https://www.darkreading.com/cyberattacks-data-breaches/lights-on-in-leicester-city-streetlights-in-disarray-after-cyberattack

网络攻击后果的最新发展引起了当地人的关注，因为灯光使用的能源量很大，这可能会推高电力成本。埃文斯在一封电子邮件中被告知，灯光问题应在五月第一周结束前得到解决。

8、研究人员称超过1400台CrushFTP服务器易受攻击

https://www.bleepingcomputer.com/news/security/over-1-400-crushftp-servers-vulnerable-to-actively-exploited-bug

研究人员发现，超过1400台在线暴露的CrushFTP服务器容易受到漏洞利用攻击，该漏洞曾被作为零日漏洞进行利用。CrushFTP在其托管文件传输软件中将CVE-2024-4040描述为VFS沙盒逃逸，攻击者能够利用该漏洞实现任意文件读取，未经身份验证的攻击者可以使用它在受影响的系统上进行远程代码执行（RCE）。安全研究人员发现了1401个存在该安全漏洞的在线CrushFTP服务器，其中大多数位于美国（725）、德国（115）和加拿大（108）。

9、WP-Automatic插件因漏洞遭遇数百万次 SQL 注入攻击

https://www.freebuf.com/news/399427.html

黑客目前正积极利用 WordPress 的 WP Automatic 插件中的一个严重漏洞来创建具有管理权限的用户账户，并植入后门以实现长期访问。WP Automatic 现已被安装在 30000 多个网站上，让管理员自动从各种在线资源导入内容（如文本、图片、视频），并在WordPress 网站上发布。该漏洞被认定为 CVE-2024-27956，严重程度为9.9/10。    

10、思科针对“ArcaneDoor”零日攻击 ASA 防火墙平台发出警报

https://www.securityweek.com/cisco-raises-alarm-for-arcanedoor-zero-days-hitting-asa-firewall-platforms/

思科警告称，国家支持的黑客正在利用其 ASA 防火墙平台中的至少两个零日漏洞在电信和能源部门网络上植入恶意软件。

11、APT28组织利用Windows Print Spooler漏洞进行攻击

https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials

研究人员称，APT28组织利用Windows Print Spooler漏洞进行攻击活动，并使用以前未知的黑客工具GooseEgg升级权限并窃取凭据和数据。APT28组织至少从2020年6月开始，最早可能在2019年4月，一直在使用此工具利用CVE-2022-38028漏洞。研究人员发现，该组织使用GooseEgg针对乌克兰、西欧和北美政府、非政府、教育和交通部门组织等目标进行攻击。攻击者能够利用GooseEgg进行后续攻击活动，例如远程代码执行、安装后门以及针对受感染的网络进行横向移动。

12、Sandworm组织针对乌克兰20个关键基础设施进行攻击

https://cert.gov.ua/article/6278706

根据乌克兰计算机应急响应小组（CERT-UA）的一份报告，俄罗斯黑客组织Sandworm针对乌克兰20个关键基础设施进行攻击。该组织也被称为BlackEnergy、Seashell Blizzard、Voodoo Bear和APT44。CERT-UA的报告称，2024年3月，Sandworm开展了针对乌克兰10个地区能源、水和供暖供应商的信息通信系统的攻击活动。Sandworm还将先前记录的恶意软件与新的恶意工具（适用于Linux的BIASBOAT和LOADGRIP）相结合，以获得访问权限并在网络中进行横向移动。    

13、BlackTech 瞄准亚太的科技、研究和政府部门

https://thehackernews.com/2024/04/blacktech-targets-tech-research-and-gov.html

作为最近网络攻击浪潮的一部分，亚太地区的技术、研究和政府部门已成为一个名为 BlackTech 的威胁攻击者的目标。

14、纽约州立法机构遭受网络攻击

https://uk.news.yahoo.com/cyberattack-hits-ny-capitol-amid-012534971.html

纽约州立法机构的计算机基础设施遭到了网络攻击，该事件减缓了已经逾期数周的州预算谈判的进展，并迫使该州转向使用20世纪的备份系统。为了应对此次事件，法案起草办公室使用1994年过时的计算机归档系统，该系统在20多年前被替换。此次事件的确切原因或动机尚不清楚。

15、攻击者声称窃取World-Check数据库中的数据

https://www.databreachtoday.com/hacker-threatens-to-expose-sensitive-world-check-database-a-24909

攻击者声称窃取了伦敦证券交易所维护的关键数据库World-Check中的数据。World-Check是银行和其他机构用来打击金融犯罪数据库。名称为“GhostR”的攻击者表示窃取了该数据库中的530万条记录，并很快将公开其中的一部分。攻击者称其通过一家具有World-Check访问权限的新加坡公司访问了该数据库，该公司有一个持续集成服务器，默认情况下具有管理访问权限。伦敦证券交易所集团向证实了第三方数据集的泄露，并表示攻击者没有访问其系统。    

16、GPT-4 会自己发起漏洞攻击，成功率高达87%

https://www.freebuf.com/news/398651.html

近日，伊利诺伊大学香槟分校的研究团队揭示了一项关于人工智能模型进行黑客攻击的新研究：只需要阅读CVE漏洞描述，GPT-4就可以瞬间化身黑客，成功实施漏洞攻击，综合成功率达到了惊人的87%。

17、Quishing 网络钓鱼攻击猛增十倍，附件有效载荷减半

https://www.infosecurity-magazine.com/news/quishing-attacks-tenfold/

Egress发布的报告显示，冒充攻击仍然普遍存在，其中77%冒充知名品牌，尤其是DocuSign和Microsoft。社会工程学策略有所加强，占网络钓鱼攻击的 16.8%，而网络钓鱼电子邮件的长度自 2021 年以来增长了三倍，这可能归因于生成式人工智能的使用。

18、《严阵以待》遭黑客攻击，数据库被洗劫一空

https://news.zol.com.cn/866/8665548.html

据了解，这次数据泄露事件的主要内容包括《严阵以待》游戏的所有源代码，其中涉及到该游戏在PlayStation 4测试工具上运行的图片以及构建数据，还有Xbox One、Xbox Series X|S和PlayStation 5上的构建数据。

19、R00TK1T组织声称窃取了雀巢公司的机密数据

https://cybersecuritynews.com/r00tk1t-claims/    

名为R00TK1T的黑客组织称，他们成功进入雀巢公司的系统，并获得了机密数据，但该组织尚未公布有关该事件的更多细节。雀巢公司尚未就该事件发表正式声明。然而，公司内部消息人士表示，内部调查正在进行中。

20、联合国开发计划署遭受网络攻击

https://www.bleepingcomputer.com/news/security/united-nations-agency-investigates-ransomware-attack-claimed-by-8Base-gang/

联合国开发计划署（UNDP）正在调查一起网络攻击事件。该组织透露，攻击者于3月下旬入侵了哥本哈根的IT基础设施。3月27日，联合国开发计划署收到威胁情报，称有攻击者窃取了数据，其中包括某些人力资源和采购信息。虽然UNDP尚未将这次攻击事件与特定的攻击组织联系起来，但8Base勒索组织于3月27日在其暗网数据泄露网站上将UNDP列为受害者。UNDP目前正在调查事件的性质和范围，并评估该事件造成的影响。

21、MITRE表示攻击者通过Ivanti零日漏洞入侵其网络

https://medium.com/mitre-engenuity/advanced-cyber-threats-impact-even-the-most-prepared-56444e980dc8

MITRE Corporation表示，一个攻击组织于2024年1月通过两个Ivanti VPN零日漏洞入侵了其系统。该事件是在MITRE的网络实验、研究和虚拟化环境（NERVE）上检测到可疑活动后发现的。攻击者还通过使用会话劫持来绕过多因素身份验证（MFA）防御，这允许他们使用被劫持的管理员帐户横向移动被破坏网络的VMware基础架构。在整个事件中，攻击者结合使用了复杂的Web Shell和后门来维持持久化访问并收集凭据。到目前为止，在调查期间收集的证据表明，此次事件并未影响该组织的核心企业网络或其合作伙伴的系统。    

22、FIN7组织针对美国汽车行业进行网络钓鱼攻击活动

https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industryfin7-targets-american-automakers-it-staff-in-phishing-attacks/

FIN7组织针对一家美国大型汽车制造商，向其IT部门的员工发送鱼叉式网络钓鱼电子邮件，以投递Anunak后门。电子邮件中的链接将指向“advanced-ip-sccanner[.]com”，该域名对合法域名“advanced-ip-scanner[.]com”进行了模仿。研究人员发现，该虚假网站重定向到“myipscanner[.]com”（现已离线）。接下来，访问者将被带到一个Dropbox页面，该页面提供伪装成Advanced IP Scanner的恶意可执行程序（'WsTaskLoad.exe'）。该程序执行后，会触发一个涉及DLL、WAV文件和shellcode执行的多阶段流程，从而加载和解密一个名为“dmxl.bin”的文件，其中包含Anunak后门。Anunak/Carbanak是FIN7组织常使用的几种恶意软件工具之一。

23、美国最大的医疗服务提供商因网络攻击损失 8.72 亿美元

https://www.freebuf.com/news/398310.html

联合健康集团（UnitedHealth Group）报告称，自 2 月份以来，勒索软件攻击扰乱了美国的医疗系统，并已经给其造成了 8.72 亿美元的损失。勒索软件攻击造成的影响包括 5.93 亿美元的直接网络攻击响应成本和 2.79 亿美元的业务中断成本。

24、新的ZenHammer攻击可绕过AMD CPU的RowHammer防御    

https://comsec.ethz.ch/research/dram/zenhammer/

苏黎世联邦理工学院的网络安全研究人员开发了名为ZenHammer的新型DRAM(动态随机存取存储器)攻击变体，这种攻击可以绕过AMD Zen 2和Zen 3系统上的目标行刷新(TRR)等缓解措施。该攻击首次在DDR5设备上触发RowHammer位翻转，尽管制造商已经采取了针对该问题的缓解措施。研究人员表示，AMD系统与Intel系统一样容易受到Rowhammer攻击，这增加了攻击面。研究人员还提供了最佳的锤击指令序列，以提高行激活率，从而促进更有效的锤击。AMD表示正在评估DDR5设备上的RowHammer位翻转，并将在完成后提供更新。

25、新的Darcula网络钓鱼服务通过iMessage针对iPhone用户

https://www.bleepingcomputer.com/news/security/new-darcula-phishing-service-targets-iphone-users-via-imessage/

Darcula 已被用于各种服务和组织，从邮政、金融、政府、税务部门到电信公司、航空公司、公用事业，为欺诈者提供 200 多种模板供您选择。

26、DinodasRAT Linux植入程序针对全球实体发起攻击

https://securelist.com/dinodasrat-linux-implant/112284/

研究人员的报告揭示了DinodasRAT(也称为XDealer)的Linux版本，这是一个用C++编写的多平台后门，主要针对基于Red Hat和Ubuntu Linux的系统。该后门通过创建隐藏文件确保仅运行一个实例，并利用SystemV或SystemD启动脚本来建立持久性。它收集有关受感染机器的信息来创建唯一标识符，而不会收集任何特定于用户的数据。后门通过与C2服务器的TCP或UDP通信来执行各种命令，如文件操作、服务控制、进程枚举和远程shell执行。Linux版本的DinodasRAT使用Pidgin的libqq库进行通信加密。此恶意软件的基础设施已启动并运行，主要影响中国、土耳其和乌兹别克斯坦等地区。此活动表明，DinodasRAT的主要用途是通过Linux服务器获取和维护访问权限，用于数据泄露和间谍活动。    

27、思科称攻击者正针对防火墙设备RAVPN服务进行密码喷射攻击

https://www.bleepingcomputer.com/news/security/cisco-warns-of-password-spraying-attacks-targeting-vpn-services/

近期思科为客户提供了一组建议，以缓解针对思科防火墙设备上配置的远程访问VPN（RAVPN）服务的密码喷射攻击。该公司表示，这些攻击还针对其他远程访问VPN服务。攻击者会尝试使用多个帐户使用相同的密码以尝试登录，从而进行密码喷射攻击。思科提供了此活动的入侵指标 （IoC），以帮助用户检测和阻止攻击。

28、研究人员发现100多个针对机器学习库的恶意Python软件包

https://www.mend.io/blog/over-100-malicious-packages-target-popular-ml-pypi-libraries

研究人员近期发现100多个针对流行机器学习 (ML) 库的恶意软件包，其中包括PyTorch、Matplotlib 和Selenium等库。攻击者利用拼写错误的方式，通过故意拼写错误的域名或软件包名称来诱导开发人员下载这些软件包的恶意版本，例如“Matplotltib”、“selennim”和“PyToich”。这些恶意软件包使用Fernet加密机制来解密其恶意脚本。解密后，脚本会根据其指令获取进一步的攻击阶段。研究人员分析恶意代码后发现，该恶意软件会窃取用户的个人信息，例如密码和令牌，并尝试窃取加密货币。此外，该恶意软件还试图将自己添加到启动路径中，实现持久化。

29、英国杂志社THE BIG ISSUE遭受勒索软件攻击    

https://therecord.media/ransomware-gang-attacks-big-issue-street-paper

英国杂志社THE BIG ISSUE近日确认遭遇了网络攻击。该公司的信息出现在了勒索组织Qilin的暗网勒索网站上。该组织声称窃取了550GB的机密数据，其中包括商业和人事运营相关文件。该杂志社证实了此次攻击事件，并表示已经开始恢复系统运行，杂志的出版和发行并未受到此事件影响。

30、英国通信工人工会确认遭受网络攻击

https://www.theregister.com/2024/03/25/cwu_security_incident/

英国通信工人工会（CWU）确认其遭受网络攻击，并且导致电子右键系统停止运行，攻击的全部范围仍在评估中。一些CWU会员数据存储在遭受攻击的IT系统中，目前该工会不确定这些个人数据是否泄露。虽然目前尚不清楚该事件是否泄露了任何数据，但考虑到CWU 18.5万名的会员人数，任何可能的泄露都可能导致严重的后果。

31、攻击者声称窃取了美国联邦雇员的数据信息

https://cybernews.com/news/acuity-allegedly-breached-confidential-data/

攻击者声称已经入侵了与美国国家和公共安全当局合作的技术咨询公司Acuity公司尚未针对此事发布声明，。据称，联邦特工的数据和机密文件被泄露。攻击者在一个数据泄露论坛中发布了相关消息，被盗细节包括大量信息，涉及联邦调查局、国务院、司法部和国土安全部的雇员详细信息，以及美国及其盟国之间的高度机密信息。。研究团队对数据样本进行了调查，并称虽然其中可能包含一些敏感数据，但泄露的规模被夸大了。例如，信息据称被盗取的数据库表明数据可能是测试数据。该团队称，数据转储中的信息似乎已有几年历史，其中的最新数据来自2016年。该数据库包含650个电子邮件地址，其中包括拼写错误的电子邮件地址。Acuity公司尚未针对此事发布声明，由于这些文件的敏感性，因此暂时无法验证信息的准确性。    

32、超过9万个公开的D-Link NAS设备存在漏洞容易被黑客攻击

https://securityaffairs.com/161549/hacking/d-link-nas-flaw.html

一名研究人员披露了多个报废的 D-Link NAS 型号中存在任意命令注入和硬编码后门问题。

33、Magento 漏洞被利用部署持久后门

https://www.securityweek.com/magento-vulnerability-exploited-to-deploy-persistent-backdoor/

攻击者正在利用 Magento 最近的漏洞在电子商务网站上部署持久后门。

34、研究人员披露攻击者利用Agent Tesla进行网络攻击活动

https://research.checkpoint.com/2024/agent-tesla-targeting-united-states-and-australia

研究人员发现近期针对美国和澳大利亚组织的Agent Tesla恶意软件攻击活动。2023年11月 7日，攻击者开始针对澳大利亚组织进行攻击活动。攻击者发起网络钓鱼活动以窃取组织的电子邮件凭据，以访问组织并开展后续的攻击活动，并执行恶意软件Agent Tesla。攻击者发送了62000封钓鱼邮件，并随后在11月8日和30日发起2轮钓鱼邮件攻击活动。经过进一步调查，研究人员追踪到两名攻击者，并在报告中列举了相关证据。

35、Acuity公司确认攻击者从其GitHub中窃取了非敏感数据    

https://www.bleepingcomputer.com/news/security/acuity-confirms-hackers-stole-non-sensitive-govt-data-from-github-repos/

与美国政府机构合作的联邦承包商Acuity证实，攻击者入侵了其GitHub存储库并窃取了包含旧数据和非敏感数据的文档。该公司表示，在发现该攻击事件后，Acuity立即应用了供应商的安全更新，并根据供应商的指导执行了缓解措施。在进行内部分析并经过第三方网络安全专家调查后，Acuity没有看到任何对其客户的敏感数据产生影响的证据。

36、Rhadamanthys 针对石油和天然气行业发起网络钓鱼攻击

https://www.freebuf.com/news/397145.html

近日，有黑客利用一种名为 Rhadamanthys 的信息窃取恶意软件发起网络钓鱼活动，专门针对石油和天然气行业。Cofense研究员 Dylan Duncan 表示：这些钓鱼邮件使用了比较独特的车辆事故作为“诱饵”，并在感染链的后期阶段，用一个PDF文件诱骗联邦运输局，其中提到了对事故的巨额罚款。

37、思科披露针对VPN及SSH服务的大规模暴力破解攻击活动

https://blog.talosintelligence.com/large-scale-brute-force-activity-targeting-vpns-ssh-services-with-commonly-used-login-credentials/

思科警告说，攻击者正在针对全球思科、CheckPoint、Fortinet、SonicWall和Ubiquiti设备上的VPN和 SSH服务进行大规模的凭据暴力破解活动。该攻击活动中的暴力破解尝试组合使用通用用户名和特定组织的有效用户名。这些攻击的目标似乎不是针对特定地区或行业的。用于进行攻击的一些服务包括且不限于TOR、VPN Gate、IPIDEA Proxy、BigMama Proxy、Space Proxies、Nexus Proxy和Proxy Rack。    

38、超过9.1万台运行WEBOS的 LG智能电视易受到黑客攻击

https://securityaffairs.com/161651/hacking/lg-smart-tvs-vulnerable.html

研究人员在智能电视上运行的 LG webOS 中发现了多个漏洞，可能允许攻击者获得设备的 root 访问权限。

39、LastPass公司称有攻击者对其进行Deepfake攻击

https://cybernews.com/news/password-manager-lastpass-deepfake-scam/

LastPass称他们经历了一次未遂的深度伪造攻击。该公司的一名员工收到了一系列电话、短信和至少一封语音邮件，其中包含攻击者在WhatsApp上冒充公司首席执行官卡里姆·图巴（Karim Toubba）的音频深度伪造。由于WhatsApp不是该公司常用的沟通渠道，因此此次事件引起了该员工的怀疑，并向安全团队报告了这一事件。该公司的安全团队表示，此次事件未对公司的整体安全造成影响。

40、新的 SteganoAmor 攻击利用隐写术攻击全球 320 个组织

https://www.bleepingcomputer.com/news/security/new-steganoamor-attacks-use-steganography-to-target-320-orgs-globally

TA558 黑客组织开展的一项新活动正在使用隐写术将恶意代码隐藏在图像内，从而将各种恶意软件工具传递到目标系统上。这些攻击从包含看似无害的文档附件（Excel 和 Word 文件）的恶意电子邮件开始，这些附件利用了 CVE-2017-11882 缺陷，这是 2017 年修复的一个常见目标 Microsoft Office 公式编辑器漏洞。

41、研究人员披露名为DarkBeatC2的攻击框架    

https://www.deepinstinct.com/blog/darkbeatc2-the-latest-muddywater-attack-framework

研究人员称发现了一个以前未报告的C2框架，并认为APT组织MuddyWater使用了该攻击框架。与MuddyWater以前使用的C2框架相似，它是管理所有受感染计算机的中心点。攻击者通常通过以下几种方式建立与C2服务器的连接：1、手动执行PowerShell代码，以便在通过其他方法获得初始访问权限后与C2建立连接；2、以鱼叉式网络钓鱼邮件的形式传播恶意载荷；3、通过伪装合法应用程序来侧加载恶意DLL以执行代码，从而建立C2连接。总的来说，这个框架类似于MuddyWater之前使用的C2框架，并且PowerShell仍然是重要部分。

42、攻击者利用FatalRAT针对加密货币用户进行攻击

https://cyble.com/blog/fatalrats-new-prey-cryptocurrency-users-in-the-crosshairs

研究人员近期发现了一种针对加密货币用户的网络钓鱼活动。该活动传播了FatalRAT以及其他恶意功能模块，例如Clipper和Keylogger，并使用DLL侧加载技术来加载这些恶意软件及恶意功能模块。FatalRAT是一种远控木马，此次攻击活动攻击者传播的远控木马中包含一个Clipper模块，表示攻击者更加侧重于针对加密货币用户进行攻击。

43、法国足球俱乐部巴黎圣日耳曼遭受网络攻击

https://cybersecuritynews.com/french-football-club-cyber-attack/

4月3日，法国足球俱乐部巴黎圣日耳曼（PSG）的信息系统部门检测到了对其俱乐部票务系统的“异常访问”。该俱乐部表示，目前没有证据表明任何数据被攻击者提取或利用。然而，此次事件确实暴露了某些类型的身份数据，包括姓名、电子邮件和邮政地址、手机号码、出生日期、账户状态以及部分模糊的IBAN。俱乐部向支持者保证，他们已采取一切必要措施来解决这种情况并防止此类事件再次发生。    

44、Roku警告576000个账号遭受撞库攻击的影响

https://www.bleepingcomputer.com/news/security/roku-warns-576-000-accounts-hacked-in-new-credential-stuffing-attacks

Roku警告称，在3月初披露了一起入侵15000个账号的事件后，有576000个账号在新的撞库攻击中被黑客入侵。该公司表示，攻击者使用从其他在线平台窃取的登录信息，在撞库攻击中入侵尽可能多的活跃Roku账号。在发现第二波撞库攻击后，Roku已经重置了所有受影响账号的密码，并直接将该事件通知受影响的客户。

45、美国环保署遭黑客攻击，近千万用户数据泄露

https://www.hackread.com/us-environmental-protection-agency-hacked-data-leaked/

美国环境保护署(EPA)发生大规模数据泄露事件，超过 850 万用户数据遭泄露。化名“USDoD”的黑客上周日宣布对该事件负责，并声称泄露了 EPA 的客户和承包商的个人敏感信息。

46、越南黑客瞄准亚洲各地的金融数据

https://www.inforisktoday.com/vietnamese-threat-actor-targeting-financial-data-across-asia-a-24796

思科Talos的研究人员发现了一组黑客活动，黑客攻击印度，中国，韩国，孟加拉国，巴基斯坦，印度尼西亚和国内目标，并带有渗透恶意软件，其目的是收集公司证书和财务数据，以便在在线犯罪市场转售。    

47、遭受网络攻击后，日本公司 Hoya 被迫暂停生产

https://cybernews.com/news/hoya-cyberattack-affects-production/

此次网络攻击的全部范围尚未确定。不过，漏洞已经影响到 Hoya 产品的生产和销售。

48、乌克兰黑客声称已入侵俄罗斯无人机开发商 Albatross

https://therecord.media/russia-albatross-drones-alleged-data-leak-ukraine-cyber-resistance

乌克兰黑客声称入侵了俄罗斯无人机开发商 Albatross，泄露了 100 千兆字节的数据，包括内部文档、技术数据和各种无人机的图纸。

49、从10到1000，“教父”系列银行木马变种近两年内疯狂激增

https://www.freebuf.com/news/399446.html

在全球广泛传播的“教父”（Godfather）系列银行木马已经衍生出超1000个变种样本，针对上百个移动端银行应用程序。“教父”银行木马首次发现于2022年，具备记录屏幕和键盘输入、拦截双因素身份验证（2FA）电话和短信、发起银行转账等功能，已迅速成为网络犯罪（尤其是移动网络犯罪）中最普遍的恶意软件即服务产品之一。