安全简讯（2024.06.06）

1. FRONTIER COMMUNICATIONS遭到黑客团伙RANSOMHUB的攻击

6月4日，RansomHub 勒索软件组织声称窃取了美国电信公司 Frontier Communications 超过 200 万客户的信息。RansomHub 组织声称窃取了这家电信巨头的 5GB 数据。被盗数据包括姓名、电子邮件地址、社会保险号、信用、分数、出生日期和电话号码。今年 4 月，Frontier Communications通知美国证券交易委员会 (SEC)，该公司在遭遇网络攻击后必须关闭某些系统。该事件于 4 月 14 日被发现，原因是一名未经授权的威胁行为者未经授权访问了该公司的部分 IT 环境。该公司对该安全漏洞展开了调查，并采取行动控制事件。该公司没有提供有关此次攻击的详细信息，也尚未透露受影响人数。RansomHub 发布了被盗记录的图片作为数据泄露的证据，并威胁说，如果受害者在九天内不支付赎金，他们将公布被盗数据。

https://securityaffairs.com/164126/data-breach/ransomhub-gang-hacked-frontier-communications.html

2. 研究团队发现通过恶意Excel攻击乌克兰的Windows用户

6月5日，一名威胁行为者正试图在乌克兰用户的 Windows 系统上部署 Cobalt Strike 后漏洞利用工具包。Fortinet 的研究人员在本周的一篇博客文章中表示，该活动的重点似乎是完全远程控制目标系统，以便将来部署有效载荷并可能用于其他恶意目的。安全供应商称，威胁者使用带有嵌入式 Visual Basic 应用程序 (VBA) 宏的乌克兰主题 Excel 文件作为初始诱饵。如果不谨慎的用户启用该宏，它会在受害者系统上部署动态链接库 (DLL) 下载程序（通过 ConfuserEX 开源工具进行混淆）。DLL 下载程序首先要做的一件事就是查找受感染系统上是否存在防病毒和其他恶意软件检测工具。如果下载程序检测到存在，它会立即终止进一步的活动。否则，它会使用 Web 请求从远程位置提取下一阶段的有效负载。DLL 下载程序的设计使其只能在位于乌克兰的设备上下载第二阶段的有效负载。然后，下载程序会执行一系列步骤，导致 Cobalt Strike 部署到受害者设备上。

https://news.hitb.org/content/ukrainian-systems-hit-cobalt-strike-malicious-excel-file

3. SYNNOVIS 遭勒索软件攻击，影响伦敦的多家医院

6月5日，Synnovis 是盖伊和圣托马斯 NHS 基金会信托、伦敦国王学院医院 NHS 信托以及欧洲最大的医疗检测和诊断提供商 SYNLAB 之间的病理学合作伙伴关系。Synnovis 在其网站上发布的一篇文章中披露，其是勒索软件攻击的受害者。这家病理学和诊断服务提供商在 NHS 专家的帮助下对安全漏洞展开了调查。专家们正在努力全面评估攻击的影响，并采取适当措施遏制事件。该公司还宣布，他们正在与 NHS Trust 合作伙伴密切合作，以尽量减少对患者和其他服务用户的影响。目前，该公司尚未提供有关此次攻击的详细信息，例如感染其系统的恶意软件家族以及是否遭受数据泄露。4月，SYNLAB集团意大利分公司Synlab Italia因遭受Blackbasta网络攻击而陷入停顿。该公司暂停了意大利采样点、医疗中心和实验室的所有活动。

https://securityaffairs.com/164142/cyber-crime/ransomware-attack-synnovis-london-hospitals.html

4. BianLian 泄露数据后，澳大利亚矿业公司披露违规行为

6月5日，北方矿业公司早些时候发布公告警告称，该公司遭遇网络攻击事件，导致部分被盗数据被发布在暗网上。Northern Minerals 是一家澳大利亚公司，专注于勘探和开发重稀土元素 (HRE)，特别是镝和铽，用于电子、电池和飞机。该公司对澳大利亚政府来说具有至关重要的战略意义，最近澳大利亚政府呼吁中国股东出售其在该稀土矿公司的股份就证明了这一点。该公司在澳大利亚证券交易所 (ASX) 公开交易，股票代码为“NTU”，因此有法律义务及时披露任何数据泄露事件。该公司今天披露，其系统中的数据于 2024 年 3 月下旬被窃取，随后发布在暗网上，但没有透露肇事者的名字。该公司表示，已将此事告知澳大利亚网络安全中心和澳大利亚信息专员办公室，同时还将通过个性化通知告知受影响的个人。

https://www.bleepingcomputer.com/news/security/australian-mining-company-discloses-breach-after-bianlian-leaks-data/

5. 新型 V3B 网络钓鱼工具包瞄准 54 家欧洲银行的客户

6月4日，网络犯罪分子正在 Telegram 上推广一种名为“V3B”的新型网络钓鱼工具包，目前该工具包的目标是爱尔兰、荷兰、芬兰、奥地利、德国、法国、比利时、希腊、卢森堡和意大利的 54 家主要金融机构的客户。该网络钓鱼工具包的价格在每月 130 至 450 美元之间，具体取决于购买的内容，具有高级混淆、本地化选项、OTP/TAN/2FA 支持、与受害者的实时聊天以及各种逃避机制。据发现 V3B 的 Resecurity 研究人员称，其 Telegram 频道已经拥有超过 1,250 名成员，这表明新的网络钓鱼即服务 (PhaaS) 平台正在网络犯罪领域迅速获得关注。V3B 在自定义 CMS 上使用高度混淆的 JavaScript 代码来逃避反网络钓鱼和搜索引擎机器人的检测并防止研究人员的攻击。它包含芬兰语、法语、意大利语、波兰语和德语等多种语言的专业翻译页面，以增强网络钓鱼攻击的有效性，使威胁行为者能够开展多国活动。

https://www.bleepingcomputer.com/news/security/new-v3b-phishing-kit-targets-customers-of-54-european-banks/

6. 黑客团伙通过 DM 攻击高知名度的 TikTok 用户

6月5日，TikTok 表示，目前正在采取措施防范网络攻击，该攻击通过直接消息针对一些知名用户，试图劫持他们的账户。TikTok 隐私和安全团队发言人 Jason Grosse 表示：“我们已采取措施阻止此次攻击，并防止将来再次发生。我们正在与受影响的账户所有者直接合作，以在必要时恢复访问权限。”Grosse 表示，TikTok 仍在调查此次攻击，目前无法就其规模或复杂程度发表评论，称该威胁仅仅是“潜在的漏洞”。TikTok 承认此事之前，周二有报道称，CNN 的账号上周曾被暂时入侵。Semafor 援引该新闻机构一位匿名消息人士的话称，此次入侵“似乎不是有人从 CNN 那里获得访问权限的结果”。CNN 没有立即回应《连线》杂志的置评请求。鉴于今年秋天即将举行的总统大选，人们对美国新闻机构遭到黑客攻击的担忧尤其高涨。

https://news.hitb.org/content/tiktok-hack-targets-high-profile-users-dms