Unicoin的Google Workspace账户遭黑客攻击

  Tag：多因素认证, 威胁情报共享

事件概述：

加密货币项目Unicoin的Google Workspace账户遭到黑客攻击，所有公司员工的密码都被更改，使他们无法访问公司账户数日。Unicoin在向美国证券交易委员会（SEC）的一份文件中表示，威胁行为者在获得其Google账户访问权限后，修改了密码，从而使员工无法访问环境中的所有服务，包括Gmail和Drive。Unicoin表示，它在四天后，即8月13日，设法恢复了员工对G-Suite的访问权限。在此期间，威胁行为者可以自由访问内部通信中的机密信息。公司仍在评估事件的影响范围和影响，但已经发现了以下数据访问、操纵和欺诈尝试的证据：在会计部门的员工或承包商的个人数据中发现了差异；发现了被破坏的通信证据，特别是某些公司经理的被黑的消息和电子邮件账户；检测到一名承包商的身份伪造，导致他们被解雇。

来源：

https://www.bleepingcomputer.com/news/security/hacker-locks-unicoin-staff-out-of-google-accounts-for-4-days/

政府威胁情报

俄罗斯库尔斯克地区遭受大规模DDoS攻击

  Tag：分布式拒绝服务（DDoS）攻击, NetBlocks

事件概述：

据报道，8月15日，俄罗斯库尔斯克地区在乌克兰突然越境入侵的同时，遭受了一场“大规模”的分布式拒绝服务（DDoS）攻击。此次未具名的黑客针对政府和商业网站以及关键基础设施服务进行攻击，使其中一些服务暂时无法使用。据互联网监控服务NetBlocks分享的数据显示，库尔斯克及周边地区的互联网连接出现“零星中断”，可能与针对当地基础设施的DDoS攻击有关。据俄罗斯数字部门称，库尔斯克在线服务在攻击高峰期每秒接收超过100,000个垃圾请求。涉及此次事件的互联网协议（IP）地址主要在德国和英国注册。

此次DDoS攻击的目标是破坏社会重要服务的提供，但黑客们未能破坏电子政府基础设施并获取用户数据。所有信息都得到了可靠的保护，攻击很快就被击退。这说明，尽管DDoS攻击的流量可能来自多个源，但并不能准确指示攻击的确切来源。这次事件再次强调了多因素认证、威胁情报共享和自动化安全措施的重要性。尽管此次攻击的背后黑客团队尚不清楚，但无论是知名的乌克兰黑客活动家团体还是军事情报服务都尚未对此次事件负责。此次对库尔斯克的攻击是乌克兰在近三年的全面战争开始以来对邻近的俄罗斯地区的最大攻击之一。

来源：

https://redskyalliance.org/xindustry/ru-kursk-region-suffers-massive-ddos-attack?context=tag-russia

能源威胁情报

美国石油巨头哈里伯顿遭受网络攻击

  Tag：网络攻击, 勒索软件

事件概述：

美国石油巨头哈里伯顿公司在周四确认其计算机系统遭受了一次网络攻击，该攻击仍在影响其位于德克萨斯州休斯顿的办公室的运营。哈里伯顿公司已经与外部专家一起调查并减轻这一威胁。尽管关于此次安全漏洞的技术细节尚不清楚，但这次妥协具有典型的勒索软件攻击的特点，其中敏感数据被加密并用于数百万美元的勒索要求。据路透社报道，哈里伯顿的网络攻击影响了公司的北休斯顿校区以及一些全球连接网络。

来源：

https://www.securityweek.com/oil-giant-halliburton-confirms-cyberattack-details-scarce/

工业威胁情报

丰田和Microchip遭遇网络攻击

  Tag：网络攻击, 供应链安全

事件概述：

近日，汽车制造商丰田和集成电路制造商Microchip均遭遇了网络攻击。据犯罪组织ZeroSevenGroup在地下论坛中声称，他们入侵了丰田并窃取了约240GB的数据，包括联系人、财务、客户、员工、照片、数据库、网络基础设施、电子邮件等信息。然而，丰田否认其系统被入侵，称数据似乎是从被错误地标识为丰田的第三方那里窃取的。另一方面，Microchip在一份K8表格中报告了其IT系统中的潜在可疑活动。公司发现未经授权的第三方中断了某些服务器和业务运行，导致一些生产设施的产量低于正常水平，影响了公司的订单履行能力。

来源：

https://www.heise.de/news/IT-Sicherheitsvorfaelle-bei-Microchip-und-Toyota-9842425.html

流行威胁情报

朝鲜黑客部署新的MoonPeak木马进行网络攻击

  Tag：MoonPeak, UAT-5394

事件概述：

MoonPeak的关键特性包括能够加载额外的插件，启动和终止进程，并与命令和控制（C2）服务器进行通信。Talos表示，这两个入侵集的共性表明UAT-5394实际上是Kimsuky（或其子组）或者是借用Kimsuky工具箱的朝鲜网络设备中的另一个黑客组织。实现这次活动的关键是使用新的基础设施，包括C2服务器，有效载荷托管站点和测试虚拟机，这些都被用来生成MoonPeak的新迭代。另一个重要的方面是，MoonPeak的持续演变与威胁行动者设置的新基础设施相辅相成，每个新版本的恶意软件都引入了更多的混淆技术来阻止分析，并改变了整体的通信机制以防止未经授权的连接。研究人员指出，威胁行动者确保MoonPeak的特定变体只能与C2服务器的特定变体一起工作。UAT-5394不断采用新的恶意软件并进行演变，例如MoonPeak的情况表明，该组织继续向其武器库中添加和增强更多的工具。

来源：

https://unsafe.sh/go-257437.html

高级威胁情报

朝鲜相关Lazarus APT组织利用微软零日漏洞CVE-2024-38193

  Tag：Lazarus APT组织, CVE-2024-38193

事件概述：

CVE-2024-38193漏洞是一个权限升级问题，存在于Windows附属功能驱动程序（AFD.sys）中。攻击者可以利用这个漏洞获得系统权限。Lazarus APT组织利用这个漏洞，使用名为Fudmodule的“特殊类型的恶意软件”来避免检测，获取对敏感系统区域的未授权访问。这种攻击既复杂又富有资源，可能在黑市上花费数十万美元。此外，Lazarus还利用了另一个漏洞CVE-2024-21338，以执行他们FudModule rootkit的更新版本中的直接内核对象操作。这个漏洞存在于驱动程序appid.sys的IOCTL（输入和输出控制）调度器中。Lazarus通过操纵IOCTL调度器来利用appid.sys驱动程序中的零日漏洞，从而在目标系统上执行任意代码，绕过安全措施。

来源：

https://securityaffairs.com/167246/apt/microsoft-zero-day-cve-2024-38193-lazarus.html

漏洞情报

微软发布关于严重TCP/IP远程代码执行漏洞CVE 2024-38063的警告

  Tag：CVE 2024-38063, TCP/IP远程代码执行漏洞

事件概述：

微软近期发布了关于一个被称为CVE 2024-38063的严重TCP/IP远程代码执行漏洞的警告。这是一个在Windows TCP/IP堆栈内的严重未经认证的远程代码执行（RCE）漏洞，攻击者可以在没有任何用户交互的情况下，通过IPv6（默认启用）在系统上远程执行任意代码。该漏洞已被赋予9.8的CVSS评分。CVE 2024-38063影响Windows 10、Windows 11和Windows Server 2008至2022。所有启用IPv6的Windows版本都存在风险，几乎包括所有现代Windows部署。由于可能发生广泛的攻击，需要立即采取行动。

来源：

https://orca.security/resources/blog/mitigate-cve-2024-38063-critical-rce-vulnerability-windows-ipv6/

勒索专题

麒麟勒索软件组织窃取Chrome浏览器中的凭据

  Tag：麒麟勒索软件组织, Sophos X-Ops团队

事件概述：

通过修改默认域策略，他们引入了一个基于登录的组策略对象（GPO），该对象包含一个PowerShell脚本，设计用于窃取Chrome浏览器中保存的凭据。GPO在连接到网络的每台机器上执行，每次用户登录时触发凭据收集脚本。攻击开始于被破坏的凭据，这是勒索软件团伙的常见入口点。初始入侵是通过缺乏多因素认证（MFA）的VPN门户进行的，这使攻击者能够在网络中横向移动18天。最后，他们到达了一个域控制器，在那里他们部署了窃取凭据的脚本。PowerShell脚本，名为IPScanner.ps1，收集了Chrome存储的凭据，并将它们保存在一个SQLite数据库文件中。然后，攻击者将这些凭据窃取出来，随后删除证据并清除事件日志。最后，攻击者部署了勒索软件，对网络中的文件进行加密，并在每个受影响的目录中留下赎金通知。

来源：

https://informationsecuritybuzz.com/qilin-target-chrome-stored-credentials/

钓鱼专题

ESET揭示针对捷克等地移动银行用户的高级网络钓鱼活动

  Tag：网络钓鱼活动, C&C服务器

事件概述：

ESET近期报告揭示了一系列针对捷克及其他地区移动银行用户的复杂网络钓鱼活动。这些活动利用PWA（Progressive Web Applications）和WebAPK技术的跨平台能力，欺骗受害者在智能手机上安装恶意应用，绕过传统的安全警告。研究发现，网络钓鱼活动主要采用了三种方式向潜在受害者传送恶意URL：自动语音呼叫、短信和社交媒体平台上的恶意广告。一旦受害者点击钓鱼链接，他们会被重定向到Google Play商店页面或被针对的银行应用的仿冒网站。安装后，这些恶意应用会显示一个钓鱼登录页面，捕获用户的网络银行凭证，然后将这些敏感信息传输到攻击者的C&C服务器。

ESET的分析揭示了这些钓鱼活动的复杂性。首先，攻击者利用自动语音呼叫、短信和社交媒体平台上的恶意广告三种方式，精心设计出看似合法的方式，诱使用户下载假冒的银行应用。一旦用户点击了钓鱼链接，他们就会被重定向到Google Play商店页面或被针对的银行应用的仿冒网站。Android用户被提示安装WebAPK，这是一种由Chrome生成的应用，与原生应用非常相似，不会触发来自不受信任来源的安装警告。iOS用户则被通过一个假的弹出窗口指导，将PWA添加到他们的主屏幕，同样绕过了典型的安全提示。这些恶意应用一旦被安装，就会显示一个钓鱼登录页面，捕获用户的互联网银行凭证，然后将这些敏感信息传输到攻击者的C&C服务器。这些活动背后有两个不同的团体，他们使用不同的C&C基础设施。一个团体依赖于Telegram机器人将偷来的凭证记录到一个私人Telegram群聊中，而另一个则通过传统的C&C服务器和管理面板进行操作。尽管已经进行了多次打击，但后者仍在继续活动，快速设置新的域名并准备额外的钓鱼活动。

来源：

https://securityonline.info/new-phishing-campaigns-exploit-pwas-and-webapks-to-target-mobile-banking-users/

数据泄露专题

全球最大数据泄露：国家公共数据公司泄露29亿美国公民信息

  Tag：大规模数据泄露, USDoD

事件概述：

2024年4月8日左右，国家公共数据公司（National Public Data）遭受一次大规模数据泄露，29亿人的数据在暗网上公开，但许多受害者仍未意识到他们的信息已经被泄露，因为他们尚未收到该公司的通知或声明。据受害者克里斯托弗·霍夫曼提起的诉讼显示，一个名为USDoD的网络犯罪团伙在暗网上发布了一个包含29亿美国公民私人数据的数据库，包括全名、社会保障号和地址等信息。这些数据还包括个人亲属的信息，其中一些地址涵盖了几十年的居住历史，一些亲属甚至已经去世二十年。该数据库被标价350万美元出售。

国家公共数据公司是佛罗里达州的一家背景调查公司，其所收集的消费者数据并未经过消费者的同意。尽管此次数据泄露规模巨大，但由于该公司并未受到CIRCIA要求，因此并未在72小时内报告此次泄露。霍夫曼在诉讼中要求该公司采取一系列行动，包括提供经济赔偿，清除所有泄露的个人身份信息，对所有数据进行加密，使用数据分段，扫描其数据库并启动威胁管理程序。此外，他还希望每年进行一次网络安全框架评估，直到2034年。尽管此次泄露的细节仍在不断发展，但这可能是有史以来最大的数据泄露之一。

来源：

https://securityintelligence.com/news/national-public-data-breach-publishes-private-data-billions-us-citizens/

- END -