疑似朝鲜黑客利用Chromium零日漏洞针对加密货币行业

  Tag：Citrine Sleet, CVE-2024-7971

事件概述：

据微软公布，疑似与朝鲜政府有关的黑客通过影响Chromium浏览器的零日漏洞，针对加密货币行业发起攻击。该黑客组织被微软称为“Citrine Sleet”，此前已被认为是朝鲜侦查总局的一个单位。他们利用的漏洞CVE-2024-7971已于上周由Google修复。美国顶级网络安全机构已将CVE-2024-7971添加到已知被利用的漏洞目录中，联邦民用机构需在9月16日前修补政府系统上的漏洞。

“Citrine Sleet”主要针对金融机构和加密货币公司发动攻击，创建假网站网络，用于发送虚假的求职申请。一些事件中，黑客试图让受害者下载恶意的加密钱包或伪装成合法平台的交易应用。黑客使用他们控制的假域名voyagorclub[.]space，从那里利用CVE-2024-7971。然后部署名为“FudModule”的恶意软件。微软指出，该恶意软件自2021年起就被其他朝鲜组织使用。朝鲜政府已将黑客攻击加密货币平台作为其收入策略的关键支柱，据联合国调查员称，从2017年到2023年，朝鲜通过攻击获得了30亿美元的收入。

来源：

https://therecord.media/suspected-north-korean-hackers-crypto-chromium-zero-day

政府威胁情报

西雅图港口及机场系统可能遭受网络攻击导致瘫痪

  Tag：网络攻击, 网络安全

事件概述：

西雅图港口及西雅图-塔科马国际机场（SEA Airport）在过去三天中一直在努力应对可能由网络攻击引起的系统故障。影响了互联网和内部系统，故障始于8月24日，影响了各种服务。西雅图港口在早些时候表示，他们经历了一些系统故障，这可能表明遭受了网络攻击。目前，西雅图港口已经隔离了关键系统，并正在努力恢复全面服务，但尚未给出恢复的预计时间。除了SEA机场外，故障还影响了海上设施，旅客被建议通过电话联系他们。尽管出现了这种状况，但机场的旅客仍能通过办理登机手续和检查点，尽管由于操作已经手动进行，所以会有很长的延迟。    

这次事件主要影响了Frontier、Spirit、Sun Country、JetBlue和国际航空公司。机场建议旅客在家中打印登机牌，或使用手机登机牌，并尽可能只携带手提行李出行。机场的WiFi无法工作，机场的网站已经关闭，SEA访客通行证和机场失物招领等服务也无法使用。机场内的航班显示板也无法工作。机场表示，他们一直在与当局合作，以解决这个问题，并已在恢复受影响系统的全面服务方面取得了进展。机场没有提供关于其成为网络攻击受害者的类型的详细信息，SecurityWeek也没有看到任何已知的勒索软件团体对此负责。这次事件再次提醒我们，网络安全对于维持正常的社会运行至关重要，任何组织都应该重视并投入足够的资源来保护自己的网络安全。

来源：

https://www.securityweek.com/seattle-airport-blames-outages-on-potential-cyberattack/

能源威胁情报

美国油田服务公司哈利伯顿遭受网络攻击

  Tag：网络攻击, DarkSide

事件概述：

2024年8月21日，美国油田服务公司哈利伯顿报告称其遭受了一次网络攻击。哈利伯顿表示，他们已经注意到公司某些系统存在问题，正在努力确定问题的原因和影响。该公司还与“领先的外部专家”合作解决问题。这次攻击似乎影响了该公司位于休斯顿北部的业务运营和一些全球连通网络。哈利伯顿是全球最大的油田服务公司之一，为全球主要能源生产商提供钻探服务和设备。截至去年年底，该公司拥有近48,000名员工，并在70多个国家开展业务。

来源：

https://redskyalliance.org/xindustry/halliburton-suffers-a-cyber-attack

工业威胁情报

Play勒索软件黑客声称攻击了美国制造商Microchip Technology

  Tag：Play勒索软件团伙, 美国网络安全和基础设施安全局（CISA）

事件概述：

Play勒索软件团伙声称对美国半导体制造商Microchip Technology进行了上周的攻击。该网络犯罪组织以使用定制工具和执行双重勒索攻击而闻名，不仅加密受害者的文件，还威胁要释放被盗数据。Microchip Technology上周表示，入侵者已经破坏了“某些服务器和一些业务操作”。在检测到事件后，该公司隔离了受影响的系统，关闭了一些服务，并启动了调查。Microchip Technology未对Play团伙参与攻击的请求发表评论。Play团伙最初表示，会给受害者72小时支付赎金，否则将公布被盗数据。

Play勒索软件团伙的操作在过去一年中显著增长，这可能归因于其转向联盟模式，这可能使得攻击的归因变得复杂。Play勒索软件首次在2022年6月被检测到。根据美国网络安全和基础设施安全局（CISA）的一份通告，该组织在窃取数据后加密系统，并已对北美、南美、欧洲和澳大利亚的各种商业和关键基础设施组织产生了影响。根据网络安全公司Trend Micro今年7月发布的一项研究，该团伙今年的大部分攻击都集中在美国。

来源：

https://therecord.media/microchip-technology-hack-play-ransomware

流行威胁情报

黑客破解黑客：研究人员发现Mirai僵尸网络中的重大漏洞（CVE-2024-45163）

  Tag：Mirai僵尸网络, CVE-2024-45163

事件概述：

安全研究员Jacob Masse揭示了Mirai僵尸网络中的一个重大漏洞，这是一种自2016年以来困扰物联网（IoT）和服务器环境的臭名昭著的恶意软件。该漏洞被标记为CVE-2024-45163（CVSS 9.1），允许对僵尸网络的命令和控制（CNC）服务器进行远程拒绝服务（DoS）攻击，可能使僵尸网络的操作瘫痪。这个漏洞来自于服务器对并发连接请求的管理不当。当攻击者向CNC服务器打开大量连接并发送一个简单的身份验证请求时，服务器未能正确管理这些连接。这会使服务器的会话缓冲区超载，导致资源耗尽，最终导致服务器崩溃。值得注意的是，这种利用不需要身份验证，因此很容易远程执行。

Jacob Masse的研究旅程开始于个人挑战，但很快演变成了一个专注于僵尸网络内部工作的详细研究项目。他的调查引导他到达CNC服务器，这是任何僵尸网络的心脏。通过源代码分析、逆向工程和持续的实验，Masse确定了Mirai CNC服务器处理传入连接的方式中的一个漏洞，特别是在预认证阶段。Masse通过概念验证（PoC）场景证明了这种利用的效果。在他的演示中，一个资源有限的服务器（单个CPU核心，1GB RAM和25GB存储）被用来在受控环境中关闭Mirai CNC服务器。只需要打开几个连接并发送身份验证请求。一旦利用开始，CNC服务器实际上就离线了，攻击者的系统资源恢复正常，允许攻击在后台持续。对于对技术细节感兴趣的人，Masse在Pastebin上分享了利用代码，使得网络安全研究人员和道德黑客都可以访问。

来源：

https://securityonline.info/hacking-the-hacker-researcher-found-critical-flaw-cve-2024-45163-in-mirai-botnet/

高级威胁情报

越南人权非营利组织遭受APT32多年网络攻击

  Tag：APT32, Cobalt Strike Beacons

事件概述：

一家支持越南人权的非营利组织成为一场旨在在受损主机上传播各种恶意软件的多年活动的目标。网络安全公司Huntress将此活动归因于被追踪为APT32的威胁集群，这是一支与越南有关的黑客团队，也被称为APT-C-00，Canvas Cyclone (前身为Bismuth)，Cobalt Kitty和OceanLotus。据信这次入侵至少已经进行了四年。OceanLotus自2012年以来一直活跃，有针对东亚国家的公司和政府网络的历史，特别是越南，菲律宾，老挝和柬埔寨，最终目标是网络间谍和知识产权盗窃。

来源：

https://thehackernews.com/2024/08/vietnamese-human-rights-group-targeted.html

漏洞情报

微软Windows IPv6 CVE-2024-38063检查器/拒绝服务漏洞

  Tag：CVE-2024-38063, 拒绝服务攻击

事件概述：

2024年8月29日，网络安全网站packetstormsecurity.com发布了一篇关于微软Windows IPv6的CVE-2024-38063漏洞的文章。文章中提供了一个Python脚本，该脚本可以检查并执行拒绝服务攻击（DoS）针对受此漏洞影响的Windows系统。该漏洞影响的版本包括Windows 10, 11 <10.0.26100.1457和Server 2016-2019-2022 <10.0.17763.6189。该Python脚本首先通过IPv6邻居嗅探获取目标MAC地址，然后构造并发送一系列恶意IPv6分片包，以引发目标系统崩溃。这个脚本的主要步骤包括：选择网络接口，获取目标MAC地址，构造并发送恶意IPv6分片包，等待目标系统崩溃。这个漏洞的存在，再次强调了在网络安全中，多因素认证、威胁情报共享和自动化安全措施的重要性。

来源：

https://packetstormsecurity.com/files/180458/CVE-2024-38063-dos.py.txt

勒索专题

伊朗威胁行动者针对美国及外国组织的勒索软件攻击

  Tag：勒索软件攻击, 网络安全和基础设施安全局（CISA）

事件概述：

威胁行动者主要依赖于利用面向互联网资产的远程外部服务的漏洞来获得对受害者网络的初始访问权限。他们通常使用Shodan搜索引擎来识别和枚举托管这些易受上述CVE攻击的设备的IP地址。一旦获得对受害者网络的访问权限，他们通常使用以下技术来保持持久性并窃取凭证：使用网页壳在受损的Netscaler设备上捕获登录凭证并将其附加到同一目录下名为netscaler.1的文件中；在Citrix Netscaler决定部署网页壳并在目录中添加多个恶意文件的/var/vpn/themes/imgs/目录中创建一个目录；在目标IP地址上创建/xui/common/images/目录；在受害者网络上创建账户，观察到的名称包括“sqladmin$”，“adfsservice”，“IIS_Admin”，“iis-admin”和“John McCain”；为他们打算在受害者网络上部署的工具请求免除零信任应用和安全策略的豁免；在Windows/Spaceport/任务文件夹中创建恶意计划任务SpaceAgentTaskMgrSHR；在C:WindowsADFS目录中放置恶意后门版本.dll；使用计划任务通过已安装的后门加载恶意软件；部署Meshcentral以与受损服务器进行远程访问。在成功窃取敏感受害者数据后，这些威胁行动者通过为勒索软件附属机构提供对受害者网络的访问权限、锁定受害者网络，甚至设计策略来敲诈受害者，以换取勒索款项的一部分。窃取的数据也被用来进一步实现伊朗政府的恶意目标。

来源：

https://www.safebreach.com/blog/fox-kitten-us-cert-alert-aa24-241a/

钓鱼专题

新型QR码钓鱼活动利用Microsoft Sway窃取M365凭证

  Tag：QR码窃取Microsoft 365凭证, 网络犯罪分子

事件概述：

根据Netskope威胁实验室的安全研究人员，网络犯罪分子正在利用QR码窃取Microsoft 365凭证。在这个新型活动中，网络犯罪分子滥用了名为Microsoft Sway的Microsoft 365产品来托管伪造的网页。由于Microsoft Sway是Microsoft的合法云工具，因此链接到Sway演示的链接不太可能被安全解决方案识别为恶意的。这个演示包含一个编码了冒充合法Microsoft站点的网站URL的QR码。如果被扫描，用户将被引导到一个网页，要求他们输入他们的Microsoft 365凭证。输入凭证将使用户登录到合法网站，同时凭证和任何MFA验证码都将被捕获并传递给攻击者。TitanHQ提供了几种防御高级钓鱼尝试的层次化保护解决方案，包括对QR码钓鱼（也称为quishing）的防御。

QR码的使用已经大幅度增长，根据QR Tiger在2024年的报告，QR码的使用量已经年复一年地增长了47%。网络犯罪分子利用QR码将不知情的用户引导到托管恶意软件或用于钓鱼凭证的恶意网站。许多传统的安全解决方案无法评估QR码中的URL，无法阻止访问恶意网站。TitanHQ的SafeTitan平台提供了丰富的培训内容，包括提高对QR码钓鱼的认识。它还包括一个带有QR码钓鱼模板的钓鱼模拟器，用于测试员工是否扫描QR码并访问它们编码的网站。TitanHQ的DNS过滤器，WebTitan，可以阻止访问所有已知的恶意网站，并且不断用全球用户的最新威胁情报进行更新。一旦检测到恶意URL，解决方案就会更新，所有WebTitan用户都会得到保护。此外，SpamTitan是一种先进的垃圾邮件过滤服务，使用先进的检测技术，包括AI和自然语言处理来识别和阻止这些威胁，甚至是零分钟的钓鱼尝试。最后，企业可以通过PhishTitan，TitanHQ的针对Microsoft 365的先进反钓鱼解决方案，增加另一层保护，该解决方案阻止访问钓鱼网站，并允许安全团队在整个电子邮件系统中轻松补救钓鱼尝试。

来源：

https://www.spamtitan.com/blog/qr-code-phishing-m365-microsoft-sway/

数据泄露专题

Young Consulting遭数据泄露，近100万人信息受影响

  Tag：数据泄露, 网络安全防护

事件概述：

软件解决方案提供商Young Consulting近日公告，今年早些时候他们遭受数据泄露，导致超过950,000个个人信息被泄露。该公司于4月13日发现此次事件，当时他们“意识到其环境中存在技术困难”。该公司立即将某些系统下线以控制事件，并启动了调查，以确定事件的性质和范围。他们发现攻击者在4月10日至4月13日期间访问了其网络，并复制了包含个人信息的文件，包括姓名、出生日期、社会保障号、保险政策/索赔信息、处方和提供者名称等。据该软件制造商称，泄露的数据属于健康保险商Blue Shield of California和“其他被覆盖实体”。

Young Consulting在事件发生后立即采取了一系列应对措施，包括将部分系统下线，以及启动调查以确定事件的性质和范围。然而，这并未阻止攻击者在短短的三天时间内获取并复制了包含大量个人信息的文件。这一事件强调了网络安全防护的重要性，尤其是对于处理大量敏感个人信息的公司。对于这类公司来说，应采取更为严格的安全措施，例如多因素认证、威胁情报共享和自动化安全措施等，以防止类似的安全事件发生。此外，对于受影响的个人来说，他们应当尽快更改个人信息，以防止信息被用于诈骗等不法行为。总的来说，这一事件再次提醒我们，无论是公司还是个人，都应当重视网络安全，采取有效的预防措施，以保护自己的信息安全。

来源：

https://www.securityweek.com/950000-impacted-by-young-consulting-data-breach/

- END -