重磅！网络安全警钟再次敲响！

日前，一名自称 "888" 的黑客声称已从第三方渠道获取了32828名现任和前任埃森哲员工的个人联系信息，并将其发布在了违规论坛上。据报道，泄露的信息包括员工的全名和电子邮件地址等个人详细信息，黑客声称这些数据来自今年6月发生的一起第三方数据泄露事件。尽管密码并未泄露，但员工仍需提高警惕，防范网络钓鱼和身份盗窃等诈骗行为。

作为一家全球性的IT服务和咨询公司，埃森哲在120多个国家/地区开展业务，本次事件无疑对公司声誉和安全构成了重大打击。近年来，第三方数据泄露问题愈发严峻，著名案例包括Ticketmaster、American Express、Tech in Asia和Santander Bank 等公司遭受的网络安全事件。这种通过供应链或第三方渠道传播的安全缺陷，给企业带来了巨大的风险和挑战。

近期，一种名为"Fickle Stealer"的新型基于Rust的信息窃取程序，引起了安全研究人员的关注。这种恶意软件通过多种攻击媒介传播，利用复杂的代码和分发策略来窃取受害者的敏感信息。

Fortinet FortiGuard Labs的研究人员发现，该恶意软件通过VBA滴管、VBA下载器、链接下载器和可执行下载器等多种方式进行传播。攻击者通常会下载PowerShell脚本来执行初始设置任务，其主要目标是绕过用户帐户控制（UAC）并执行Fickle Stealer恶意软件。这些�本还会设置定时任务，在15分钟后运行另一个脚本，利用模拟受信任目录技术以提升权限执行，而不会触发UAC提示。

据悉，Fickle Stealer使用伪装成合法可执行文件的打包程序，通过用打包程序的代码替换合法可执行文件的某些代码来开发，这种技术可以帮助恶意代码避免静态分析。该恶意软件还执行一系列反分析检查，以确定是否在沙盒或虚拟机环境中运行。一旦通过检查，它就会将受害者信息发送到服务器，并根据服务器返回的应用程序和关键字列表，窃取相应的文件数据。这些被盗数据以特定的JSON格式存储，涉及加密钱包、浏览器信息等敏感内容。研究人员指出，Fickle Stealer的攻击链正在不断更新，表明其仍在开发中。

据悉，RansomHub是2024 年2月推出的勒索软件即服务（RaaS）行动，具有代码重叠以及与 ALPHV/BlackCat 和 Knight 勒索软件的成员关联，已在18个国家/地区声称有超过 45 名受害者。自5月初以来，已确认存在Windows和Linux RansomHub 加密器。据Recorded Future 报道，于2024 年 4 月，该威胁组织在其武器库中还有一个专门的ESXi变体，这款针对ESXi的版本是用C++编写的独立程序，可能源自之前的Knight勒索软件。

RansomHub ESXi加密器支持多项命令行选项，可用于设置执行延迟、排除特定虚拟机以及目标目录路径等。该加密器还具有针对ESXi的特定命令，如删除快照、关闭虚拟机等。为了防止检测和分析，加密器还会禁用系统日志记录并可配置为自我删除。加密方案采用ChaCha20和Curve25519算法，仅部分加密ESXi相关文件以提高效率。

虽然RansomHub的这款ESXi加密器看起来功能强大，但Recorded Future的分析人员发现了一个简单的错误，可以利用该错误将其置于无限循环，从而避免文件被加密。这个错误出现在加密器使用的"/tmp/app.pid"文件中，如果该文件包含"-1"，加密器就会陷入一个试图杀死不存在进程的循环中，从而中和了自身。这意味着组织可以简单地创建一个包含"-1"的"/tmp/app.pid"文件，来防止RansomHub ESXi加密器的运行，至少在RaaS运营商修复错误并推出更新版本之前。

近日，美国陆军航空兵和导弹司令部（AMCOM）因一名暗网黑客声称造成数据泄露而备受关注。黑客于2024年6月16日宣布发生 AMCOM 数据泄露事件，但该事件实际发生于 2023 年 8 月，由一名自称“IntelBroker”的黑客在暗网论坛“BreachForums”上披露，涉及未经授权发布与主要军用飞机有关的关键文件。AMCOM通过管理航空和导弹系统的开发、采购和维护，在支持美国陆军方面发挥着关键作用。它确保这些系统的作战准备就绪，提供后勤支持并维护对国防行动至关重要的供应链。

据悉，IntelBroker是一名臭名昭著的威胁参与者，声称最近入侵了苹果的安全基础设施。这一声明是继他们此前声称侵入AMD等组织，泄露客户数据库和源代码之后。这名网络罪犯瞄准了诸如欧洲刑警组织、美国国务院等政府机构，以及巴克莱银行、Facebook Marketplace和家得宝等大型公司，留下了多起高调数据泄露的记录。The Cyber Express联系了美国陆军航空和导弹司令部，了解AMCOM数据泄露事件的真实性，目前尚未收到官方声明或回应。此外，AMCOM网站似乎运作正常，这表明此次泄露可能针对特定的后端系统，而不是影响公开的服务，如DDoS攻击或网站篡改。