本周安全事件速览

02月06日-02月12日

俄罗斯黑客针对乌克兰政府和私营机构的7-Zip程序持续发起0day漏洞攻击

简要介绍

俄罗斯黑客近期开发了一个可以有效使用7-Zip程序发起零日漏洞的攻击手段。安全公司Trend Micro的研究人员此前于2024年9月在开源7-Zip软件中发现了mark-of-the-Zip绕过漏洞。“此漏洞允许远程攻击者绕过7-Zip受影响安装上的Mark-of-the-Web保护机制。”根据Trend Micro的Zero Day Initiative漏洞赏金计划在1月19日发布的安全公告。“利用此漏洞需要用户交互，因为目标必须访问恶意页面或打开恶意文件。”发现该漏洞的研究员表示，俄罗斯威胁组织已经使用它来攻击乌克兰的政府和私营部门组织，很可能是进行网络间谍活动。据悉，许多不同的民族国家团体和犯罪分子都使用了SmokeLoader系列特洛伊木马，该木马于2011年首次亮相。

文章来源：Bank Info Security

CISA警告称黑客正在利用美国Cityworks基础设施管理系统关键漏洞执行恶意攻击破坏政府服务

简要介绍

黑客正在利用美国政府机构广泛使用的基础设施管理系统中的一个关键漏洞，该漏洞支持在Microsoft IIS Web服务器上远程执行代码。网络安全和基础设施安全局命令联邦民事机构在2月28 日之前修补Trimble的Cityworks平台中的关键漏洞，该漏洞被跟踪为CVE-2025-0994。根据该公司的网站，Cityworks Server Asset Management System面向地方政府、公用事业、机场和公共工程机构提供以GIS为中心的解决方案，用于在整个生命周期内管理和维护基础设施。Trimble公司披露了该漏洞，并警告用户注意远程代码执行漏洞。该漏洞源于反序列化漏洞，允许威胁组织获得未经授权的访问并部署恶意负载。CISA将该漏洞添加到其已知利用漏洞目录中，Trimble的调查证实了未经授权的尝试，以破坏特定的Cityworks部署。

文章来源：Bank Info Security

新亲俄黑客组织入侵美国石油和天然气基础设施控制面板并篡改参数设置

简要介绍

Cyble暗网研究人员发现了一个新的亲俄黑客组织，该组织一直在入侵美国的石油和天然气设施控制面板。Cyble详细介绍了新的Sector 16组织的两项指控，这些组织的成员入侵了能源设施的控制面板并篡改了系统控制设置。该黑客组织一直在与另一个亲俄组织Z-Pentest合作，该组织自去年以来一直在入侵关键的水和能源基础设施。与Z-Pentest一样，Sector 16一直在地下论坛和频道上发布其漏洞利用的屏幕录像，延续了俄罗斯黑客发布其成员篡改关键基础设施控制面板的视频的趋势。Sector 16曾与Z-Pentest合作入侵了德克萨斯州管理油泵和储罐的监控和数据采集（SCADA）系统。Cyble称Sector 16后来声称对黑客入侵美国石油和天然气生产设施的控制系统负有全部责任，并发布了一段视频，据称展示了他们访问该设施的运营数据和系统。

文章来源：The Cyber Express

乌克兰最大国有银行PrivatBank电子邮件系统成为黑客组织网络钓鱼攻击目标

简要介绍

一场以乌克兰最大国有银行PrivatBank客户为目标的网络钓鱼活动正在进行中，CloudSEK的网络安全研究人员已将此活动与出于经济动机的黑客组织UAC-0006联系起来。该活动至少自2024年11月以来一直活跃，利用包含受密码保护的档案（例如与发票相关的PDF）的欺骗性电子邮件，这些档案伪装成合法文件，如付款说明或个人身份证明的扫描件。例如，一个网络钓鱼诱饵包含一个名为JavaScript（翻译为“Payment instruction No.187-FY dated 19.12.2024p.pdf.js”），显示为合法的付款文件。他们的目的是提供旨在破坏受害者系统的恶意有效载荷。根据CloudSEK与Hackread.com分享的文章，在这次活动中，攻击者采用了多种技术来逃避检测，包括对档案进行密码保护和在感染链中使用合法的系统二进制文件。

文章来源：Hack Read

印度央行储备银行推出独家bank.in域名以打击数字银行欺诈活动

简要介绍

印度央行印度储备银行（RBI）表示，它正在为该国的银行推出一个专属的bank.in互联网域名，以打击数字金融欺诈。印度储备银行在一份声明中表示该计划旨在减少网络安全威胁和网络钓鱼等恶意活动以及简化安全的金融服务，从而增强对数字银行和支付服务的信任。印度储备银行还表示，它计划为金融领域的其他非银行实体推出单独的专属域名“fin.in”。作为增强对在线支付信任的更广泛努力的一部分，印度储备银行表示，它还为跨境无卡（CNP）在线交易推出了所谓的附加身份验证因素（AFA）。AFA也称为多因素身份验证（MFA），是指使用多个因素对用户进行身份验证的过程，在这种情况下，通过卡、预付工具和手机银行渠道完成数字交易。

文章来源：The Hacker News

朝鲜APT组织Kimsuky使用forceCopy恶意软件针对韩国政府部门窃取浏览器存储凭据

简要介绍

根据AhnLab安全情报中心（ASEC）的新调查结果，与朝鲜有联系的民族国家黑客组织Kimsuky使用名为forceCopy信息窃取软件对韩国政府部门进行鱼叉式网络钓鱼攻击。攻击从网络钓鱼电子邮件开始，其中包含伪装成Microsoft Office或PDF文档的Windows快捷方式（LNK）文件。打开此附件会触发PowerShell或mshta.exe的执行，PowerShell或是一个合法的Microsoft二进制文件，旨在运行HTML应用程序（HTA）文件。这家韩国网络安全公司表示，这些攻击最终导致部署了名为PEBBLEDASH的已知木马和名为RDP Wrapper的开源远程桌面实用程序的自定义版本。它提供了代理恶意软件允许威胁组织通过RDP与外部网络建立持久通信。此外，据观察，Kimsuky使用基于PowerShell的键盘记录器来记录击键，并使用代号为forceCopy的新窃取恶意软件来复制存储在Web浏览器相关目录中的文件。

文章来源：The Hacker News

FBI、Europol和NCA等多国网络安全保卫局联手关闭8Base暗网和谈判网站

简要介绍

一项多国联合执法行动已经摧毁了与8Base勒索软件团伙相关的暗网数据泄露和谈判网站。此次活动涉及英国国家犯罪局（NCA）、美国联邦调查局（FBI）、欧洲刑警组织，以及来自巴伐利亚、比利时、捷克、法国、德国、日本、罗马尼亚、西班牙、瑞士和泰国的机构。泰国媒体报道称四名欧洲国民在四个不同的地点被捕。据说当局已经查获了40多件证据，包括手机、笔记本电脑和数字钱包。据称，它们与2023年4月至2024年10月期间针对位于瑞士的17家公司部署Phobos勒索软件有关。此外，该组织被指控通过攻击赚取了1600万美元，这些攻击在全球造成了1,000多名受害者的损失。据悉，8Base和RansomHouse之间有重叠之处，尤其是在赎金记录和暗网基础设施方面。

文章来源：The Hacker News

美国佐治亚州医院疗养院遭黑客入侵导致12万余员工和客户信息泄露

简要介绍

美国佐治亚州一家小型农村医院及其疗养院通知超过120,000名患者，他们的敏感信息在去年秋天的网络安全事件中被黑客访问和获取。勒索软件团伙Embargo在其暗网上声称发布了1.15 TB的被盗数据，导致12万余员工和客户信息泄露。根据Information Security Media Group的评论，除了姓名和社会安全号码等典型类型的被盗数据外，Embargo的Dark网站还包括驾驶执照的图像，包括个人头像照片、驾驶执照号码和身体特征，例如眼睛的颜色和身高。拥有80个床位的社区医院和拥有107个床位的长期护理机构纪念医院和庄园在提交给缅因州总检察长的一份报告和样本违规通知中表示，该信息没有提及驾驶执照，但表示11月的事件可能包括患者姓名、社会安全号码、出生日期、健康保险信息、医疗和病史信息。

文章来源：Bank Info Security

往期回顾：