安全简讯（2024.10.09）

1. 微软警告合法文件托管服务成网络钓鱼新渠道

10月8日，Microsoft Threat Intelligence报告指出，利用SharePoint、OneDrive和Dropbox等合法文件托管服务发起的商业电子邮件入侵（BEC）攻击网络钓鱼活动正在上升。这些活动自2024年4月中旬开始，采用复杂防御规避技术绕过安全措施，导致身份盗用、设备失窃，甚至引发财务欺诈、数据泄露及组织内部横向移动。文件托管服务虽为企业数据存储和共享提供了便利，但也因广泛使用而成为攻击者的目标。攻击者通过社交工程获取受信任账户权限，滥用平台发送看似来自可信来源的恶意文件或链接，避开传统检测。微软发现，限制访问和只读文件策略被广泛应用以逃避安全系统检测，使安全扫描和分析恶意链接变得困难。攻击通常始于入侵受信任供应商账户，上传恶意文件并与目标组织共享，利用信任关系绕过安全过滤器。攻击者还会冒充IT支持或管理员，使用紧迫或熟悉感强的文件名诱导用户打开文件。一旦用户通过一次性密码验证身份，就会被重定向到恶意中间人网络钓鱼页面，要求提供密码和完成多因素身份验证，攻击者从而捕获会话令牌进行进一步利用。

https://securityonline.info/microsoft-warns-of-sophisticated-identity-phishing-campaigns-misusing-file-hosting-services/

2. GoldenJackal APT组织突破欧洲政府隔离系统窃取敏感数据

10月8日，名为GoldenJackal的APT黑客组织利用两套自定义工具成功渗透了欧洲政府的隔离系统，窃取了包括电子邮件、加密密钥、图像、档案和文档等在内的多种敏感数据。据ESET报告，该组织至少两次实施此类攻击，一次针对南亚国家驻白俄罗斯大使馆，另一次则针对某欧洲政府组织。攻击始于感染互联网连接系统，利用木马软件或恶意文档以及名为GoldenDealer的恶意软件监控USB驱动器的使用，并在驱动器插入隔离系统时复制恶意组件。随后，GoldenRobo扫描并窃取隔离系统上的有价值信息，并通过USB驱动器将数据传输回原始互联网连接系统，最终发送给攻击者的命令和控制服务器。GoldenHowl作为多功能Python后门，在连接互联网的机器上运行，实现文件窃取、持久性保持、漏洞扫描和C2通信。

https://www.bleepingcomputer.com/news/security/european-govt-air-gapped-systems-breached-using-custom-malware/

3. Red Barrels遭重大网络攻击，游戏开发受影响

10月4日，广受好评的恐怖游戏系列《Outlast》的制作公司Red Barrels宣布，其遭受了一次重大网络攻击，导致敏感数据泄露，开发时间表被打乱。尽管公司未透露入侵的具体细节，但有消息称攻击者获取了游戏源代码、内部版本、员工记录及公司信用卡详细信息等大量有价值的信息。Red Barrels迅速采取行动，聘请网络安全专家调查事件并通知相关利益方和当局，同时采取措施确保系统安全。然而，此次攻击对工作室的运营产生了巨大影响，导致制作时间表受到重大影响，部分项目不得不推迟。这对期待《逃生试炼》发布的粉丝来说是一个打击。Red Barrels已确认其对网络安全的承诺，并表示将继续实施最佳实践措施，确保为员工提供安全环境。据报道，调查已完成，事件已得到控制，但网络攻击的影响可能还会持续一段时间。

https://securityonline.info/red-barrels-hit-by-cyberattack-outlast-game-data-compromised/

4. FBCS数据泄露波及Comcast与Truist Bank，数百万客户受影响

10月6日，康卡斯特有线通信公司 (Comcast) 和 Truist Bank 近日披露，他们受到 FBCS 数据泄露事件的影响，正在通知各自客户数据已被泄露。FBCS 是一家债务催收机构，今年4月通报了一起发生在2月至2月期间的数据泄露事件，威胁行为者入侵其网络并窃取了大量个人信息，包括姓名、社会安全号码、出生日期、帐户信息、驾驶执照号码或身份证等。最初受影响人数约为190万人，后逐步上升至420万人。康卡斯特和Truist是最新被通知受影响的实体之一，康卡斯特有273,703名客户受影响，而Truist的具体受影响人数尚未公布。FBCS的财务状况恶化，受事件间接影响的实体需自行进行通知和补救程序。受影响的人将获得12个月的免费身份盗窃保护服务。去年6月，Truist Bank也曾证实一起单独的违规行为，当时一名威胁行为者在一个黑客论坛上泄露了被盗数据。

https://www.bleepingcomputer.com/news/security/comcast-and-truist-bank-customers-caught-up-in-fbcs-data-breach/

5. 环球音乐集团680名个人信息遭泄露，提供24个月信用监控服务

10月7日，环球音乐集团7月15日遭遇了数据泄露事件，导致680名个人的敏感信息，包括社会安全号码等，被非法获取。该事件直到8月30日才被公司发现。据悉，环球音乐集团最初在7月初的某个内部应用程序中监测到未经授权的活动，随即启动紧急响应机制，聘请第三方专家展开全面调查与补救措施。经过一系列审查，公司确认个人信息已被未经授权的第三方获取，并在8月30日获得审查结果后，依据法律要求，向受影响的个人发出了数据泄露通知。缅因州总检察长办公室的通知信中提及，泄露信息包括姓名及社会安全号码等。目前，环球音乐集团尚未发现数据被盗用的情况，但为确保受影响个体的财务安全，公司提供了由Experian提供的为期24个月的免费信用监控和身份盗窃保护服务。至于此次安全漏洞的具体技术细节，环球音乐集团未予透露，同时，尚未有任何勒索软件组织宣称对此次攻击负责。该公司提醒所有受影响用户保持高度警惕，密切关注任何异常金融活动迹象。

https://securityaffairs.com/169502/data-breach/universal-music-group-data-breach.html

6. 乐高网站遭加密货币骗子短暂入侵，推广假乐高代币

10月7日，乐高网站遭遇了加密货币骗子的短暂入侵。黑客将网站主横幅替换为宣传假乐高代币的图片，声称可用以太坊购买并解锁秘密奖励。此次入侵发生在美国东部时间10月5日晚上9点，持续约75分钟，直到晚上10点15分网站才恢复。与常见的加密货币骗局不同，该骗局并未引导用户至恶意网站窃取资产，而是将访问者带到Uniswap平台购买骗局代币。乐高证实了此次事件，但未透露入侵细节，表示没有用户账户被盗，客户可正常购物，并已采取措施防止再次发生。此次攻击总体失败，仅少数人购买了乐高代币。令人惊讶的是，威胁行为者竟将乐高网站用于加密骗局，而非更常见的窃取客户信息方式。通常，网站入侵会注入恶意JavaScript，以窃取客户信息和信用卡数据，用于勒索、出售或在线欺诈。

https://www.bleepingcomputer.com/news/security/legos-website-hacked-to-push-cryptocurrency-scam/