勒索软件攻击泄露了超过23万名康卡斯特客户的社会安全号码

  Tag：勒索软件攻击, 数据泄露

事件概述：

美国有线电视运营商康卡斯特公司近日公布，其237,703名客户的敏感个人信息在一次勒索软件攻击中被泄露。这次攻击的目标是康卡斯特曾经使用过的债务收集机构FBCS。2024年2月，FBCS遭受勒索软件攻击，名字、地址、社会安全号码、出生日期和康卡斯特账户详情等信息被暴露。FBCS最初在2024年3月告知康卡斯特，没有客户数据在攻击中被访问。然而，FBCS在7月承认，恶意黑客在攻击中成功下载了客户数据，影响了超过四百万人。

此次攻击再次提醒了组织，保护自己的系统安全并不仅仅是关注自身的安全，也需要关注供应商和合作伙伴如何防御网络攻击。康卡斯特在2020年终止了与FBCS的关系，而被暴露的信息可以追溯到2021年左右。如同此类数据泄露事件的常见做法，受影响的个人将被提供身份盗窃保护和信用监控服务。然而，那些敏感个人信息落入网络犯罪分子手中的用户，无论是康卡斯特还是其过去的供应商FBCS，都会对他们留下不好的印象。

来源：

https://www.bitdefender.com/en-us/blog/hotforsecurity/ransomware-attack-leaks-social-security-numbers-of-over-230-000-comcast-customers/

政府威胁情报

美国政府试图追回朝鲜 Lazarus Group 窃取的超过267万美元加密货币

  Tag：Lazarus Group, Deribit

事件概述：

美国政府正在尝试追回由朝鲜 Lazarus Group 窃取的超过267万美元的加密货币，为此已经提起两起诉讼，以强制没收数百万美元的 Tether 和比特币。第一起诉讼源于2022年 Deribit 被黑客攻击，朝鲜罪犯从该加密货币交易所的热钱包中窃取了约2800万美元。然后，他们通过虚拟货币交易所、Tornado Cash 混合器和虚拟货币桥进行洗钱，试图掩盖他们的行踪。尽管混合服务被用来混淆资金流向，但执法部门有时可以追踪到资金的流入和流出。联邦政府最终在五个冻结的钱包中找回了价值约170万美元的 Tether。    

朝鲜 Lazarus Group 在进行这些攻击时，采用了一些技术手段来掩盖他们的行踪。他们通过虚拟货币交易所、Tornado Cash 混合器和虚拟货币桥进行洗钱。这些技术手段的使用，使得他们的行踪变得难以追踪。然而，执法部门还是通过一些技术手段，追踪到了资金的流入和流出。这一事件再次强调了加密货币的安全性问题。尽管加密货币的匿名性和去中心化的特性使其成为了犯罪分子的首选，但这并不意味着它们就完全安全。加密货币交易所和用户都需要采取更严格的安全措施，包括多因素认证、威胁情报共享和自动化安全措施，以防止类似的攻击。

来源：

https://www.theregister.com/2024/10/08/us_lazarus_group_crypto_seizure/

能源威胁情报

美国最大公共水务公司遭网络攻击，部分系统关闭

  Tag：网络安全威胁, 工业控制系统

事件概述：

美国最大的上市水务和废水处理公司American Water近日遭受网络攻击，不得不关闭某些系统。攻击影响了公司的在线客户门户MyWater，并暂停了计费服务。American Water在其8-K监管文件中表示：“在了解到这种活动后，公司立即启动了应急响应流程，并请第三方网络安全专家协助进行遏制和缓解活动，并调查事件的性质和范围。”该公司已及时通知了执法部门，并与他们协调。它还表示已经“采取并将继续采取措施保护其系统和数据，包括断开或停用某些系统。”尽管目前无法预测事件的全部影响，但它认为其水务或废水设施或运营没有受到此事件的负面影响。

美国水务行业面临的网络安全威胁正在升级。近期的攻击包括今年9月底针对阿肯色州城市的水处理设施的事件。中国网络间谍团队Volt Typhoon渗透美国关键基础设施网络，包括水务和废水系统部门，有些环境中的活动至少五年未被发现。CISA还警告说，与伊朗有关的威胁行动者Cyber Av3ngers针对并破坏了水务部门用于控制化学水平、流量和其他与水和废水供应和处理相关的过程的可编程逻辑控制器（PLCs）。美国环保署（EPA）积极应对这些漏洞，为水务和废水系统运营商提供了评估他们网络安全措施的指导。随着网络攻击继续威胁关键基础设施，水务公用事业的强大网络安全实践变得比以往任何时候都更为重要。CISA继续警告关于对关键基础设施部门的运营技术（OT）和工业控制系统（ICS）的攻击，并敦促关键基础设施实体部门遵循其报告中概述的最佳实践，以防御持续的俄罗斯黑客活动。建议包括通过更改默认凭证、修补漏洞和在防火墙后面分割关键设备来保护OT/ICS系统。

来源：

https://informationsecuritybuzz.com/american-water-hit-by-cyberattack/

工业威胁情报

俄罗斯政府机构及工业实体遭受Awaken Likho活动群体持续攻击

  Tag：Awaken Likho, 鱼叉式网络钓鱼攻击

事件概述：

俄罗斯网络安全公司Kaspersky近日发布报告，揭示了名为Awaken Likho的活动群体对俄罗斯政府机构、承包商和工业企业的持续攻击。Awaken Likho，也被追踪为Core Werewolf和PseudoGamaredon，自2021年8月以来一直活跃。该组织以鱼叉式网络钓鱼攻击为主，通过将恶意可执行文件伪装为Microsoft Word或PDF文档，并赋予它们“doc.exe”、“.docx.exe”或“.pdf.exe”等双重扩展名进行分发。打开这些文件会触发UltraVNC的安装，从而让威胁行为者完全控制受损主机。此外，Core Werewolf还针对位于亚美尼亚的俄罗斯军事基地以及一家从事武器开发的俄罗斯研究所发动攻击。    

Kaspersky的报告详细描述了Awaken Likho活动群体的攻击策略。他们通过分发伪装为Microsoft Word或PDF文档的恶意可执行文件进行鱼叉式网络钓鱼攻击，这些文件具有“doc.exe”、“.docx.exe”或“.pdf.exe”等双重扩展名，用户只能看到.docx和.pdf部分的扩展名。一旦用户打开这些文件，就会触发UltraVNC的安装，从而使威胁行为者获得对受损主机的完全控制。此外，该活动群体还利用自解压归档（SFX）文件在显示无害的诱饵文档的同时进行UltraVNC的隐蔽安装。最新的攻击链还依赖于使用7-Zip创建的SFX归档文件，该文件在打开时会触发名为“MicrosoftStores.exe”的文件的执行，然后解包AutoIt脚本，最终运行开源的MeshAgent远程管理工具。这些行动使APT能够在系统中持续存在：攻击者创建一个定时任务，运行一个命令文件，该文件反过来启动MeshAgent，与MeshCentral服务器建立连接。

来源：

https://thehackernews.com/2024/10/cyberattack-group-awaken-likho-targets.html

流行威胁情报

Pronsis Loader, Latrodectus恶意软件

  Tag：Pronsis Loader, Latrodectus恶意软件

事件概述：

Trustwave的威胁情报团队近期发现了一种名为Pronsis Loader的新型恶意软件，该软件自2023年11月首次出现，与早期的D3F@ck Loader相似，但采用了JPHP（一种Java实现的PHP）作为其编程语言，与常见的恶意软件开发语言不同。Pronsis Loader通过Nullsoft Scriptable Install System（NSIS）部署，使其在安装技术上具有独特优势。该恶意软件通过隐藏在%Temp%目录中的FailWorker-Install.exe执行文件，部署Lumma Stealer和Latrodectus等恶意软件，对受害者构成重大威胁。Pronsis Loader还具备逃避检测的能力，例如通过PowerShell脚本禁用Windows Defender扫描。此外，Latrodectus恶意软件通过定时任务确保持久性，每10分钟执行一次，以维持其恶意组件的运行。    

Pronsis Loader的技术特点在于其对JPHP的使用，这是一种不常见于恶意软件开发中的编程语言。通过JPHP，Pronsis Loader能够创建难以用常规Java工具反编译的.phb文件，但CAFEBABE头的存在使得威胁分析师可以在提取后对其进行反编译。Pronsis Loader采用NSIS作为其安装系统，与使用Inno Setup Installer的D3F@ck Loader相比，提供了更为定制化的Windows安装器。此外，Pronsis Loader利用PowerShell脚本实施逃避检测技巧，通过禁用Windows Defender扫描，降低被发现的风险。该恶意软件的结构使其能够从指定URL下载有效载荷，进而传递Latrodectus恶意软件，该软件主要通过钓鱼邮件传播。Pronsis Loader的出现标志着JPHP作为恶意软件平台的重要转变，通过利用NSIS安装程序和规避典型的安全协议，为网络安全防御者带来了新的挑战。

来源：

https://securityonline.info/pronsis-loader-the-emerging-threat-behind-jphp-driven-malware/

高级威胁情报

朝鲜黑客积极利用基于PowerShell的恶意软件

  Tag：PowerShell恶意软件, APT37

事件概述：

Securonix威胁研究团队近期发现，朝鲜黑客正在积极利用基于PowerShell的恶意软件，采取了严重的规避技术。这个持续的网络攻击活动被命名为“SHROUDED#SLEEP”，由朝鲜的APT团队“APT37”（又名“Reaper”和“Group123”）指导。该团队主要针对“东南亚国家”，以“柬埔寨”为主要攻击对象。攻击开始于“网络钓鱼邮件”，邮件中含有恶意的“zip文件”，这些文件看起来像是“PDF”或“Excel”文档。这些快捷方式触发了复杂的“基于PowerShell”的攻击链，提取了三个有效载荷。最后的有效载荷是一个名为“VeilShell”的自定义PowerShell后门，它提供了RAT功能，使威胁行为者能够完全控制“受损系统”。

恶意软件采用了多种规避技术，如“延长休眠时间”和“AppDomainManager劫持以实现持久化”，同时使用“.NET框架的dfsvc.exe”作为合法的掩护。恶意软件通过HTTPS与命令和控制服务器通信（特别是在“jumpshare[.]com”），使用“TLS 1.2加密”并执行从服务器检索的JavaScript代码，同时通过“战略性延迟”和“清理程序”保持隐身。这个滴管利用“PowerShell命令”部署多个攻击阶段，如通过AppDomainManager劫持技术部署“一个名为DomainManager.dll的自定义DLL”。这个JavaScript创建了一个“WScript.Shell”对象，与Windows环境交互，并部署了最后的有效载荷。RAT通过修改Windows注册表实现持久性，通过“HTTP GET/POST请求”与“C2服务器”通信，并具有“1MB缓冲区大小的文件操作”。为了规避杀毒软件检测，恶意软件采用了战略性的延迟（“64秒的休眠间隔”）并避免直接命令执行。为了在受损系统上保持长期未被授权的访问，这个多阶段攻击利用了一系列合法的Windows工具和隐蔽技术，如“T1204.001”（‘快捷文件滴管’），“T1574.014”（‘AppDomainManager劫持’），“T1059.007”（‘远程JavaScript’），和“T1059.001”（‘PowerShell后门’）。

来源：

https://cybersecuritynews.com/hackers-employ-powershell-malware/

漏洞情报

Zimbra协作中的最严重远程代码执行漏洞被大规模利用

  Tag：Zimbra协作, CVE-2024-45519

事件概述：

据《安全事务》报道，正在进行的攻击利用了Zimbra协作中的最严重远程代码执行漏洞（追踪为CVE-2024-45519），这引发了该漏洞被纳入网络安全和基础设施安全局已知被利用漏洞目录的情况，联邦机构被敦促在10月24日前修复这个问题。这一发展来自于Proofpoint发现该漏洞自9月28日起就被用于入侵，这是在Project Discovery发布其概念验证漏洞利用代码和技术信息后的事情。Proofpoint表示，攻击涉及冒充Gmail发送包含base64字符串的电子邮件，这些邮件将由Zimbra服务器执行，这些服务器也被用于二阶段载荷托管，但Proofpoint并未将入侵归咎于特定的威胁行为者。    

根据Proofpoint的说法，攻击者冒充Gmail，向CC字段中的虚假地址发送电子邮件，试图让Zimbra服务器解析并执行它们作为命令。这些地址包含了base64字符串，这些字符串会用sh工具执行。这种攻击方式充分利用了Zimbra服务器的漏洞，通过发送包含恶意代码的电子邮件，让服务器解析并执行这些代码，从而实现远程代码执行。这种攻击方式的成功，充分说明了多因素认证、威胁情报共享和自动化安全措施的重要性。在这种情况下，如果能够实现多因素认证，那么即使攻击者获取了服务器的访问权限，也无法执行恶意代码。同时，通过威胁情报共享，可以及时发现并阻止此类攻击。此外，自动化的安全措施可以在攻击发生时立即启动，阻止攻击者的进一步行动。

来源：

https://www.scworld.com/brief/maximum-severity-zimbra-bug-added-to-known-exploited-vulnerabilities-catalog

勒索专题

新发现的Trinity勒索软件引发美国联邦对医疗行业的警告

  Tag：Trinity勒索软件, 网络安全协调中心

事件概述：

Trinity勒索软件与其他大多数操作具有相同的特征，利用常见的漏洞窃取数据并勒索受害者。一旦安装，勒索软件会将关于系统的操作信息发送出去，告知有多少处理器和连接的驱动器可供攻击。操作员扫描网络寻找可以被利用来横向移动和进一步传播勒索软件的额外漏洞。加密的文件带有“trinitylock”文件扩展名。加密过程完成后，会生成一份勒索信并放在桌面或加密文件的目录中。该勒索信包含了指示和一个黑客可以被联系的电子邮件地址。受害者有24小时的时间回应并支付加密货币的赎金，否则他们的数据将被泄露。HHS表示，目前没有解密方法，“使受害者的选择变得很少”。运营商运行两个不同的网站，一个用于解密帮助，帮助那些已经支付赎金的人，另一个用于显示被盗数据以勒索受害者。

来源：

https://unsafe.sh/go-265951.html

钓鱼专题

Zoom Docs链接被用于发动针对微软账户的精密网络钓鱼攻击

  Tag：网络钓鱼活动, Cofense Phishing Defense Center

事件概述：

这次网络钓鱼活动的一个最令人警惕的方面是其对Windows用户的精确打击。钓鱼链接首先验证受害者是否在使用Windows环境。如果不是，显示的钓鱼页面是无害的，将非Windows用户重定向到另一个不会导致凭证盗窃的页面。然而，如果用户在Windows上，他们会被带到一个假的微软登录页面，这个页面被设计得和真实的页面一模一样。一旦受害者输入他们的凭证，他们就会被威胁。假的微软登录页面几乎完美地复制了原版，使得普通用户很难在事情太晚之前发现有什么不对劲。Revesencio的报告强调了这种策略变得越来越普遍。“这展示了威胁行为者在试图捕获毫无戒心的用户时可以有多么创新，”报告警告，敦促组织加强他们的防钓鱼防御。

来源：

https://securityonline.info/zoom-phishing-alert-researcher-identifies-new-threat-targeting-microsoft-accounts/

数据泄露专题

全球最大的数字图书馆遭受网络攻击，3100万用户数据泄露

  Tag：分布式拒绝服务（DDoS）攻击, BlackMeta

事件概述：

2024年10月8日，全球最大的数字图书馆Internet Archive遭受了一系列网络攻击，导致其网站（包括其Wayback Machine）暂时无法使用，3100万用户的数据被暴露。网站创始人Brewster Kahle确认，archive.org遭受了分布式拒绝服务（DDoS）攻击。然而，网站后来出现了一个JavaScript警告，表示Internet Archive刚刚遭受了一次灾难性的安全漏洞。10月9日，黑客活动家团体BlackMeta声称他们是第一次DDoS攻击的幕后黑手，并宣布他们将发起第二次攻击。Kahle后来确认了第二次攻击。    

在这次攻击中，黑客活动家团体BlackMeta声称他们是第一次DDoS攻击的幕后黑手，并宣布他们将发起第二次攻击。Kahle后来确认了第二次攻击。这次攻击暴露了3108万179个唯一记录，包括电子邮件地址、屏幕名称和bcrypt密码哈希。Kahle确认，网站还通过“JavaScript库”遭受了篡改，并遭受了泄露用户名、电子邮件地址和盐值加密密码的违规行为。他补充说：“我们已经做了：禁用JS库，清理系统，升级安全。我们将根据了解的情况分享更多信息。”DDoS攻击和数据泄露之间的任何联系仍然未知。这不是2024年Internet Archive首次成为DDoS攻击的目标，该数字图书馆在5月份也被迫离线。

来源：

https://www.infosecurity-magazine.com/news/internet-archive-breach-31m/

- END -