开源前哨 · 热点情报速览（2024.08.19-2024.08.25）

Blind Eagle" 网络间谍活动：拉丁美洲关键行业持续面临威胁

摘要：自2018年起，名为“Blind Eagle”（APT-C-36）的网络威胁组织一直针对拉丁美洲的政府机构、金融机构、能源和石油天然气公司进行网络攻击。该组织以高适应性著称，能根据需要在财务攻击和间谍行动之间切换。通过使用鱼叉式网络钓鱼和社会工程学手段，该组织散布了多种远程访问木马，如AsyncRAT、BitRAT、Lime RAT等，以实现对目标网络的控制和信息窃取。此外，Blind Eagle展示了通过修改开源RATs来适应不同攻击需求的能力，包括键盘记录和屏幕截图功能，以及通过服务器发送的插件增强功能。尽管Blind Eagle的技术手段可能看起来简单，但其有效性使其在该地区保持了高度活跃状态，对关键行业构成了重大威胁。

链接：https://thehackernews.com/2024/08/blind-eagle-hackers-exploit-spear.html

伊朗组织“Storm-2035”利用ChatGPT干预美国总统选举

摘要：美国人工智能研究机构OpenAI发现并关闭了一批与伊朗有关的ChatGPT账户，这些账户被一个名为Storm-2035的组织使用来生成旨在影响美国总统选举的内容。该组织制作了长篇文章和社交媒体短评，涉及美国总统候选人、加沙冲突等议题，并试图通过五个伪装成新闻网站和社交媒体平台的渠道来散布这些内容。尽管这些尝试并未获得实质性的受众互动，但OpenAI已采取行动禁止这些账户使用其服务，并继续监控潜在的违规行为。同时，微软的威胁情报报告也指出了Storm-2035组织的活动，该组织通过伪装网站对美国选民施加影响。

链接：https://seekingalpha.com/news/4141250-openai-bans-iranian-groups-chatgpt-accounts-for-trying-to-influence-us-elections?utm_source=feed_news_all&utm_medium=referral&feed_item_type=news

研究发现与FIN7有关的新基础设施

摘要：网络安全研究人员发现了与财务驱动的威胁行为者FIN7有关的新基础设施。Team Cymru在联合调查中发现，两个潜在的FIN7活动集群与Post Ltd（俄罗斯）和SmartApe（爱沙尼亚）的IP地址有通信往来。这些主机很可能是通过Stark的转售商购买的。Team Cymru还识别出与FIN7活动相关的额外基础设施，包括Post Ltd的四个IP地址和SmartApe的三个IP地址。这些服务在经过负责任的披露后已被Stark暂停。这些发现表明FIN7可能正在利用新的基础设施来支持其网络犯罪活动35

链接：https://thehackernews.com/2024/08/researchers-uncover-new-infrastructure.html?source=post_page-----78fb270ad70a--------------------------------

Halliburton 遭受网络攻击：全球能源行业网络安全风险加剧

摘要：全球第二大油田服务公司Halliburton近日确认其计算机系统遭受网络攻击，该事件影响了其位于德克萨斯州休斯顿的办公室运营6。此次攻击具有典型的勒索软件攻击特征，其中敏感数据被加密，以此作为数百万美元敲诈要求的筹码1。值得注意的是，能源和天然气行业一直是勒索软件行为者的有利目标，他们利用泄露网站迫使受害组织支付赎金。此前，Colonial Pipeline在2021年确认支付了440万美元购买解密密钥，以从破坏性的勒索软件攻击中恢复，该攻击曾导致美国部分地区出现汽油短缺。这起事件再次凸显了能源行业在网络安全方面面临的严峻挑战，并强调了加强网络安全措施的紧迫性。

链接：https://www.securityweek.com/oil-giant-halliburton-confirms-cyberattack-details-scarce/

利用谷歌广告传播恶意软件的Slack恶意广告活动

摘要：一项针对Slack用户的复杂恶意广告活动被发现，该活动通过谷歌搜索广告传播恶意软件。攻击者利用广告“烹饪”、点击跟踪滥用、内容伪装和多层重定向等手段规避检测，最终导致用户下载SecTopRAT远程访问木马，窃取数据。这凸显了网络犯罪分子策略的演变和提高互联网用户警惕性的必要性。

链接：https://thecyberexpress.com/slack-malvertising-campaign-targets-google/

Android设备上的PWA钓鱼技术：金融欺诈新威胁

摘要：近期网络安全研究揭示了一种针对捷克、匈牙利和格鲁吉亚的银行的新型移动钓鱼攻击，该攻击利用了渐进式网络应用（PWA）和WebAPK技术。攻击者通过精心设计的语音电话、短信和社交媒体广告诱导用户安装看似合法的恶意应用，这些应用在iOS和Android设备上均能运行，且安装过程中绕过了传统的安全警告。ESET的研究发现，这些攻击由至少两个不同的团伙操作，他们使用不同的命令与控制（C&C）服务器来接收被盗的银行凭证。这一钓鱼技术的发展突显了网络安全领域中用户教育和意识提升的紧迫性，同时也提醒开发者在构建PWAs时需加强安全措施，防止应用被恶意利用。

链接：https://www.infosecurity-magazine.com/news/novel-phishing-android-ios-pwa/?&web_view=true

日本内阁网络安全中心（NISC）签署《事件日志和威胁检测最佳实践》文件

摘要：日本内阁网络安全中心（NISC）与澳大利亚、美国、英国等九国联合签署了由澳大利亚通信信息局（ASD）和澳大利亚网络安全中心（ACSC）制定的《事件日志和威胁检测最佳实践》文件。该文件针对中大型组织，特别是IT和OT领域的高层管理者、操作员、网络管理员及关键基础设施提供者，提供了一套国际认可的事件日志记录和威胁检测最佳实践。文件强调了对系统内寄生（Living Off The Land）战术等技术性对策的重要性，并提出了包括事件日志政策、日志收集与相关性一元化、安全存储与事件日志完整性、以及针对威胁的检测策略等方面的建议。

链接:https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-monitoring/best-practices-event-logging-threat-detection?utm_source=int-partner&utm_campaign=&utm_medium=social&utm_content=publication-1

FAA提出针对未来飞机及关键设备的网络安全标准更新提议

摘要：美国联邦航空管理局(FAA)正寻求公众对其提出的飞机和关键设备网络安全标准的更新进行意见反馈，此更新旨在应对针对飞机、引擎和航空系统网络的威胁。FAA在联邦登记册上发布的提议规定，将对运输类别飞机、引擎和螺旋桨施加新的设计标准72。新规定将引入型号认证和持续适航要求，要求未来的设计批准申请者采取措施保护飞机及相关设备免受网络威胁，包括进行安全风险分析以识别所有与系统、架构和内外接口相关的威胁条件，并要求申请者减轻任何已识别的漏洞。

链接：https://www.nextgov.com/cybersecurity/2024/08/faa-proposes-new-cyber-rules-airplanes-and-aviation-equipment/398964/

西班牙最大银行桑坦德（santander）大资金客户数据遭遇泄露

账号:  B***8

内容:  西班牙最大银行桑坦德银行大资金客户数据遭遇泄露，本次泄露数据达到49万条，涉及到的数据有客户名字，客户邮箱，客户地址，客户城市等。

 美国人寿保险数据遭遇泄露

账号:  w*****8

内容:  美国人寿保险数据遭遇泄露达到200万，本次泄露数据包括名字、姓氏、地址、城市、州、邮政编码、电话、电子邮件、出生日期、婚姻状况、性别、职业、保险金额、IP 地址等。

沙特阿拉伯facebook脸书数据遭遇泄露

账号:  w*****8

内容: 沙特阿拉伯facebook脸书数据遭遇泄露达到2600万，本次泄露的数据涉及电话、uid、电子邮件、名字、姓氏、性别、注册日期、关系状况等。

注：本文仅挑选展示当周重点值得关注的情报，获取更多信息欢迎咨询当地绿盟科技销售代表

绿盟威胁情报中心（NSFOCUS Threat Intelligence center, NTI）是绿盟科技为落实智慧安全3.0战略，促进网络空间安全生态建设和威胁情报应用，增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力，对全球网络安全威胁和态势进行持续观察和分析，以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容，推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品，为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力，帮助用户更好地了解和应对各类网络威胁。

绿盟威胁情报中心官网：https://nti.nsfocus.com/

绿盟威胁情报云：https://ti.nsfocus.com/