保险公司Geico和Travelers因未能保护客户数据被处以巨额罚款

  Tag：凭证窃取，API漏洞

事件概述：

纽约州当局对汽车保险巨头Geico处以975万美元罚款，因其在2021年初未能保护客户的驾驶执照号码。同样，Travelers也将支付155万美元罚款，因黑客在2021年中期利用被盗凭证窃取执照号码。调查发现，黑客通过触发内部系统发送未加密数据，利用这些被盗信息在新冠疫情期间提交虚假失业申请。Geico和Travelers均承诺加强其网络安全计划，以防止未来的数据泄露。

来源：

https://www.bankinfosecurity.com/new-york-fines-geico-travelers-113m-for-data-breaches-a-26899

政府威胁情报

APT集团DONOT针对巴基斯坦关键行业发起网络攻击

  Tag：APT集团DONOT, 命令和控制（C&C）服务器通信

事件概述：

据Cyble Research and Intelligence Labs（CRIL）报告，自2016年以来，APT集团DONOT（又名APT-C-35）一直活跃在网络间谍活动中。这个黑客团队主要针对政府机构、军事实体和外交使团，特别是南亚国家。近期，他们将目标转向了巴基斯坦的关键制造业，这些行业支持该国的海事和国防工业。攻击的初步感染向量是一个恶意LNK（快捷方式）文件，该文件通过垃圾邮件伪装成合法的富文本格式（RTF）文档发送。一旦点击，该文件触发了几个PowerShell命令，下载了包括一个充当“阶段”用于进一步攻击的DLL文件在内的额外恶意软件。

DONOT黑客团队在这次攻击中使用的恶意软件高度先进，利用多种加密技术避免被传统安全系统检测到。该团队引入了一种新的命令和控制（C&C）服务器通信方法。恶意软件使用AES加密和Base64编码来混淆其通信，使安全软件更难识别恶意活动。一旦恶意软件建立了其存在，它就会向主C&C服务器发起POST请求，传输唯一的设备ID以验证被妨害的机器。如果C&C服务器回应积极，恶意软件将下载更多的有效载荷，配置系统以持久化，并准备进行攻击的其他阶段。此外，DONOT黑客团队还采用了随机域生成备用C&C服务器的策略。这种策略确保了即使主服务器被关闭，恶意软件也可以通过次要的、动态生成的域继续运行。

来源：

https://thecyberexpress.com/apt-group-donot-targets-pakistan/

能源威胁情报

Tibber电力公司遭遇网络攻击，5万客户数据被盗

  Tag：Tibber, 多因素认证

事件概述：

挪威电力公司Tibber的德国分部近期遭遇黑客攻击，约5万名用户的数据被盗。被盗数据包括电子邮件地址和用户名，但不涉及密码、支付信息、出生日期、用电量数据或具体地址。黑客在暗网出售这些数据，声称共获取了243,000条信息。Tibber已经向柏林警方报案，并与内外部专家合作进行调查和改进措施。

此次事件凸显了多因素认证和威胁情报共享的重要性。尽管Tibber的敏感信息未被泄露，但用户的基本信息已在暗网出售，显示出黑客攻击的复杂性和潜在风险。自动化安全措施和及时的事件响应对防止此类攻击至关重要。Tibber的快速反应和与警方的合作表明了在面对网络威胁时，跨部门协作和及时报告的重要性。

来源：

https://efahrer.chip.de/news/stromanbieter-gehackt-was-betroffene-tibber-kunden-jetzt-tun-muessen_1023769

工业威胁情报

水妖（Water Barghest）的自动化IoT设备代理僵尸网络

  Tag：水妖（Water Barghest）, Ngioweb恶意软件

事件概述：

水妖（Water Barghest）是一个由超过20,000个物联网（IoT）设备组成的僵尸网络，通过利用漏洞并将其快速列入住宅代理市场进行变现。其僵尸网络使用自动化脚本寻找并威胁来自公共互联网扫描数据库（如Shodan）的易受攻击的IoT设备。一旦IoT设备受到威胁，Ngioweb恶意软件就会被部署，该软件在内存中运行并连接到指挥和控制服务器，将受威胁的设备注册为代理。从初始感染到设备在住宅代理市场上可用作代理的过程，可能只需要10分钟，这表明其操作高度有效且自动化。

水妖的僵尸网络具有高度的自动化特性，这使得其能够快速有效地威胁和利用IoT设备。Ngioweb恶意软件在内存中运行，可以连接到指挥和控制服务器，将受威胁的设备注册为代理。这种自动化的攻击和注册过程使得设备在受到感染后的10分钟内就可以在住宅代理市场上出售。此外，水妖还利用了加密货币进行匿名支付，以避免金融追踪。然而，由于一次操作失误，他们的行为引起了安全行业的关注。他们利用了Cisco IOS XE设备的零日漏洞，影响了数万台Cisco路由器，这引发了安全行业的兴趣。最终，研究人员发现，被用来威胁数千台Cisco IOS XE路由器的攻击者基础设施属于水妖的入侵集，这使得水妖在2023年10月使用Cisco IOS XE设备零日漏洞的可能性非常大。

来源：

https://www.trendmicro.com/en_ph/research/24/k/water-barghest.html

流行威胁情报

新型恶意软件加载器BabbleLoader活跃，用于传播信息窃取软件

  Tag：BabbleLoader，规避技术

事件概述：

自2023年初以来，地球卡夏（Earth Kasha）的攻击目标已扩展到日本，台湾和印度。虽然日本仍然是地球卡夏的主要目标，但我们观察到台湾和印度的一些高知名度组织也受到了攻击。受攻击的行业包括与先进技术和政府机构相关的组织。地球卡夏在初始访问阶段也采用了不同的战术、技术和程序（TTPs），现在利用公开面向的应用程序，如SSL-VPN和文件存储服务。我们观察到，诸如Array AG（CVE-2023-28461）、Proself（CVE-2023-45727）和FortiOS/FortiProxy（CVE-2023-27997）等企业产品的漏洞被野外滥用。

在后期利用阶段，我们的全面分析揭示了攻击背后的主要动机是盗取受害者的信息和数据。地球卡夏首先使用诸如csvde.exe、nltest.exe和quser.exe等合法的Microsoft工具发现Active Directory配置和域用户信息以实现这一目标。然后，他们访问文件服务器并试图找到与客户网络系统信息相关的文档。地球卡夏然后采用了几种技术来获取凭据。一种方法使用他们的定制恶意软件，MirrorStealer，来倾倒存储在应用程序中的凭据。MirrorStealer是一个凭据倾倒器，针对多个应用程序，如浏览器（Chrome，Firefox，Edge和Internet Explorer）、电子邮件客户端（Outlook，Thunderbird，Becky和Live Mail）、组策略偏好和SQL Server管理工作室。地球卡夏使用另一种方法倾倒操作系统凭据。我们观察到，对手滥用vssadmin复制注册表配置单元和Active Directory服务器中的ntds.dit。SAM注册表配置单元包含本地机器用户的NTLM哈希，而ntds.dit包含所有域用户的NTLM哈希。

来源：

https://www.trendmicro.com/en_in/research/24/k/lodeinfo-campaign-of-earth-kasha.html

高级威胁情报

APT28通过“邻近攻击”远程入侵美国公司

  Tag：APT28， 命令邻近攻击

事件概述：

俄罗斯国家黑客组织APT28（又名Fancy Bear）利用一种新颖的“邻近攻击”技术，远程入侵了一家美国公司的企业WiFi网络。APT28首先通过密码喷洒攻击获取目标企业WiFi网络的凭证，但由于多因素身份验证（MFA）的保护，无法通过公共网络使用这些凭证。黑客通过入侵附近建筑中的组织，寻找双宿设备（如笔记本电脑、路由器），利用其无线适配器连接到目标企业WiFi。Volexity发现APT28在此次攻击中入侵了多个组织，并通过有效的访问凭证进行连接链式传播。APT28利用远程桌面连接（RDP）从非特权账户横向移动，搜索感兴趣的系统并窃取数据。黑客运行servtask.bat转储Windows注册表配置单元（SAM、安全性和系统），并将其压缩成ZIP档案进行外传。微软的报告指出APT28可能利用CVE-2022-38028漏洞在Windows打印后台处理程序服务中提升权限。APT28的“邻近攻击”表明，通常需要靠近目标的近距离访问操作也可以远程进行，降低了被物理识别或抓获的风险。

APT28的攻击展示了多因素身份验证（MFA）在公共网络中的重要性，但企业WiFi网络也需要同样的安全重视。APT28通过密码喷洒攻击获取WiFi凭证，但MFA阻止了其通过公共网络的攻击。黑客通过寻找双宿设备作为跳板，展示了对企业WiFi网络的独特攻击手法。此次攻击中，APT28利用了Windows系统的本地工具，保持了最小的攻击痕迹，并通过远程桌面连接（RDP）实现横向移动和数据窃取。微软的报告揭示APT28可能利用了CVE-2022-38028漏洞进行权限提升，强调了及时更新和修补系统漏洞的重要性。APT28的“邻近攻击”技术展示了远程攻击的创新性和复杂性，提醒企业在WiFi网络安全上需加强防护措施，包括部署MFA和监控网络活动。

来源：

https://www.bleepingcomputer.com/news/security/hackers-breach-us-firm-over-wi-fi-from-russia-in-nearest-neighbor-attack/

漏洞情报

Palo Alto Networks确认其防火墙中的零日漏洞已被积极利用

  Tag：PAN-OS防火墙, 零日漏洞

事件概述：

Palo Alto Networks建议审查保护设备管理访问的最佳实践。保护Palo Alto管理界面的指南包括将其隔离在专用的管理VLAN上，使用跳板服务器进行访问，将入站IP地址限制为批准的管理设备，并仅允许安全通信（SSH，HTTPS）和PING进行连通性测试。Palo Alto表示，零日漏洞已被利用在受影响的设备上部署web shell，授予持久的远程访问权限。CVE正在等待分配。将管理界面访问限制为特定IP显著降低了被利用的风险，首先需要特权访问。在这种情况下，CVSS得分降低到7.5（高）。本周，美国网络安全和基础设施安全局（CISA）将以下Palo Alto Expedition漏洞添加到其已知被利用漏洞（KEV）目录中：CVE-2024-9463 Palo Alto Networks Expedition OS命令注入漏洞，CVE-2024-9465 Palo Alto Networks Expedition SQL注入漏洞。

来源：

https://securityaffairs.com/171057/hacking/palo-alto-networks-zero-day-exploitation.html

勒索专题

新兴网络犯罪团伙SafePay的勒索软件攻击活动

  Tag：LockBit, SafePay

事件概述：

根据网络安全公司Huntress的报告，名为SafePay的新兴网络犯罪团伙已经使用基于LockBit的勒索软件攻击了22个受害者。SafePay在2024年10月针对Huntress客户的两次攻击中被发现。由于SafePay网站和威胁行为者的二进制混淆方法存在漏洞，Huntress得以调查该团伙并对其勒索软件二进制进行逆向工程。SafePay的勒索软件策略借鉴了其他团伙，包括INC Ransomware和ALPHV/BlackCat。Huntress指出，SafePay的勒索软件二进制基于2022年末被深度分析的LockBit版本。

SafePay通过远程桌面协议（RDP）访问感染的端点，并成功地加密和提取数据。在Huntress观察到的两起事件中，SafePay针对不同行业和地理位置的公司。在第一起SafePay勒索软件事件中，威胁行为者被Windows Defender阻止运行用于网络侦查的PowerShell脚本ShareFinder.ps1，并随后使用与Huntress今年早些时候观察到的INC Ransomware攻击相同的序列禁用Windows Defender。威胁行为者随后成功运行ShareFinder.ps1，并在40分钟后开始使用WinRAR归档文件以备提取。攻击者还安装了FileZilla，可能是为了通过文件传输协议（FTP）方便地传输被盗文件。在WinRAR和FileZilla被执行后，它们被威胁行为者卸载，然后在第二天再次重复安装、执行和卸载的周期。在通过RDP重新登录后的15分钟内，SafePay威胁行为者开始执行命令以加密网络上的文件、禁用恢复和删除影子副本。虽然这些活动被Huntress的平台检测到，但已经来不及阻止文件的加密。

来源：

https://www.scworld.com/news/safepay-ransomware-obscure-group-uses-lockbit-builder-claims-22-victims

钓鱼专题

新的网络钓鱼活动针对电商购物者

  Tag：网络钓鱼, SilkSpecter

事件概述：

一项新的网络钓鱼活动正在针对欧洲和美国的电商购物者，通过伪造页面模仿合法品牌，目的是在黑色星期五购物季节前窃取他们的个人信息。这项活动首次在2024年10月初被观察到，高度信任地归因于一个被代号为SilkSpecter的中国金融动机威胁行为者。被模仿的品牌包括宜家、L.L.Bean、North Face和Wayfare。这些钓鱼域名使用顶级域名（TLDs）如.top、.shop、.store和.vip，经常通过拼写错误的方式模仿合法电商组织的域名以吸引受害者。这些网站推广不存在的折扣，同时悄悄收集访客信息。

这个钓鱼工具包的灵活性和可信度通过使用一个Google翻译组件得到增强，该组件根据受害者的地理位置标记动态修改网站语言。它还部署了像OpenReplay、TikTok Pixel和Meta Pixel这样的跟踪器来跟踪攻击的效果。活动的最终目标是捕获用户输入的任何敏感财务信息作为虚假订单的一部分，攻击者滥用Stripe处理交易，给他们一种合法性的错觉，而实际上，信用卡数据被窃取到他们控制的服务器。此外，受害者被要求提供他们的电话号码，这可能是因为威胁行为者计划进行后续的短信和语音钓鱼攻击以获取更多的细节，如两因素认证（2FA）代码。目前还不清楚这些URL是如何传播的，但怀疑涉及社交媒体账户和搜索引擎优化（SEO）投毒。

来源：

https://thehackernews.com/2024/11/fake-discount-sites-exploit-black.html

数据泄露专题

全球IT支持服务领导者遭受黑客攻击，泄露620.3GB数据

  Tag：网络钓鱼模拟, 数据泄露监控

事件概述：

2024年11月18日，全球IT支持服务领导者A&O IT Group遭到了名为Hunters的网络攻击者的攻击，泄露了620.3GB的数据。此次事件再次引发了对网络安全漏洞的关注。为防止未来的攻击，我们可以探索如网络钓鱼模拟、安全意识培训、数据泄露监控和网络钓鱼检测等解决方案。同时，我们也可以使用数据泄露检查器来检查自己的数据是否已经被暴露。需要声明的是，HookPhish并未参与任何文件或被盗信息的窃取、下载、获取、托管、查看、重新发布或披露。任何关于内容的法律问题应该直接向攻击者提出，而不是HookPhish。

此次网络攻击事件再次凸显了网络安全漏洞的严重性。在这种情况下，网络钓鱼模拟、安全意识培训、数据泄露监控和网络钓鱼检测等解决方案的重要性不言而喻。网络钓鱼模拟可以帮助我们了解攻击者的攻击手段，从而提高我们的防御能力；安全意识培训可以提高员工的安全意识，防止他们成为攻击者的目标；数据泄露监控可以实时监控数据的安全状态，一旦发现异常，就可以立即采取措施；网络钓鱼检测可以帮助我们及时发现并阻止网络钓鱼攻击。此外，数据泄露检查器也是一个非常有用的工具，它可以帮助我们检查自己的数据是否已经被暴露，从而及时采取措施。

来源：

https://www.hookphish.com/blog/ransomware-group-hunters-hits-aoitgroup-com/