Xenomorph恶意软件针对30多家美国银行发起攻击

  Tag：Xenomorph恶意软件，ThreatFabric

事件概述：

在数字化攻击不断演进的今天，威胁分析师发现了Xenomorph恶意软件的最新攻击活动，近期扩大攻击范围直指30多家美国银行，还对葡萄牙和多个加密货币钱包发动攻击。活跃的攻击活动导致Xenomorph大量下载，尤其在西班牙和美国。威胁组织采用强大的分发策略，利用钓鱼网页引诱受害者下载恶意APK文件，与跨大西洋的恶意软件趋势相呼应，Xenomorph的传播模式与其他恶意软件家族相似，包括主导的恶意软件即服务（MaaS）名称如Octo、Hydra和Hook，以及Anatsa。

来源：https://www.threatfabric.com/blogs/xenomorph-malware-strikes-again-over-30-us-banks-now-targeted

加拿大政府遭LockBit勒索软件攻击，工作人员数据受影响

  Tag：LockBit勒索软件，多因素认证

事件概述：

2023年9月底，加拿大政府遭受了一场重大的网络攻击，影响了数千名公共部门工作人员的个人数据，包括世界著名的皇家加拿大骑警（RCMP）的警官。此次攻击主要针对两家为加拿大政府提供人员搬迁服务的专业供应商，即Brookfield Global Relocation Services (BGRS)和SIRVA Worldwide Relocation & Moving Services。据悉，攻击者通过LockBit勒索软件窃取了1.5TB的文件，并透露与SIRVA的谈判失败。随后，加拿大政府开始调查此次数据泄露事件，并采取积极的预防措施支持可能受影响的人员。政府还敦促现在或曾经可能面临风险的员工更新可能与BGRS或SIRVA使用相似的登录凭据，并在用于在线交易的任何账户上启用多因素认证，并监控在线账户的异常活动。

此外，对于可能受到影响的公务员，政府还提供了信用监控等服务，并可能重新发放可能已经被泄露的有效护照。这种积极的应对措施显示出政府对于网络安全的重视，也为其他机构提供了应对类似攻击的参考。

来源：https://www.computerweekly.com/news/366560552/Canadas-Mounties-among-government-employees-hit-by-LockBit

美国北德克萨斯州市政水务局遭受勒索软件攻击

  Tag：NTMWD，勒索

事件概述：

美国北德克萨斯市政水务局（NTMWD）近日遭到Daixin Team团队的勒索软件攻击。勒索软件组织声称已成功侵入系统并威胁泄露窃取的数据。NTMWD作为北德克萨斯地区的水务局，负责为成员城市和客户提供批发水务、废水处理和固体废物服务，是该地区关键的政府实体。Daixin Team将NTMWD列为其Tor泄漏站点上的受害者之一，并宣称已窃取大量敏感数据，包括董事会会议记录、内部项目文档、人员详细信息和审计报告等。公司面临数据泄露可能导致未来数月内发生欺诈的威胁。此外，公司宣布目前仅遭受“电话服务中断”。

该勒索软件团伙已发布一份.txt文件，其中包含据称被窃取的33844个文件清单。值得注意的是，早在2022年10月，CISA、FBI和HHS曾发出警告，指出Daixin Team网络犯罪团队正积极以勒索软件攻击为主要手段，主要针对美国的医疗保健和公共卫生领域。Daixin Team是一支自2022年6月活跃至今的勒索软件和数据勒索团队，专注于HPH领域。该团队通过VPN服务器获得初始访问权限，而攻击手法涉及利用未打补丁漏洞、窃取凭据以及通过钓鱼攻击获取VPN凭据。联邦机构发布的警报提供了威胁追踪指标（IOCs）和MITRE ATT&CK的战术和技术信息，显示攻击者在获得访问权限后通过SSH和RDP进行横向移动，并利用各种手段升级权限，最终交付勒索软件。

来源：https://securityaffairs.com/154881/cyber-crime/daixin-team-north-texas-municipal-water-district.html?web_view=true

通用电气（GE）遭网络攻击，军事信息发生泄露

  Tag：通用电气，数据泄露

事件概述：

通用电气（GE），一家涉足电力、可再生能源和航空航天等领域的美国跨国公司，近期成为网络攻击目标。据称，威胁组织IntelBroker在黑客论坛上以500美元的价格试图出售对通用电气“开发和软件管道”的访问权限，未成功后又宣称整体出售网络访问权限和据称被窃取的数据。

作为入侵证据，IntelBroker分享了所谓窃取的通用电气数据的截图，其中包括通用电气航空部门数据库，涉及军事项目的信息。通用电气已确认对这些指控展开调查，并表示将采取适当措施以确保系统完整性。

值得注意的是，IntelBroker是曾成功进行高调网络攻击的黑客，此前曾涉及Weee！杂货服务和哥伦比亚特区DC Health Link计划的个人信息盗窃。这次入侵尚未得到证实，但引发了社会广泛关注，回顾了此前DC Health Link事件，揭示了服务器配置错误导致数据在线上可访问的问题。通用电气正面临潜在的敏感信息泄露风险，这引发了对网络安全的关切，并需要密切关注后续调查进展。

来源：https://www.bleepingcomputer.com/news/security/general-electric-investigates-claims-of-cyber-attack-data-theft/

朝鲜组织Lazarus利用MagicLine4NX 0day漏洞进行供应链攻击

  Tag：APT，Lazarus黑客组织

事件概述：

英国国家网络安全中心（NCSC）和韩国国家情报院（NIS）发布联合告警，指出与朝鲜有关的APT 组织 Lazarus 正在利用MagicLine4NX软件的0day漏洞进行供应链攻击。MagicLine4NX是由韩国公司Dream Security开发的联合证书程序，用户可以使用它进行联合证书登录并数字签名交易。据微软称，此次供应链攻击影响了日本、台湾、加拿大和美国等多个国家的 100 多台设备。

来源：https://securityaffairs.com/154765/apt/lazarus-magicline4nx-supply-chain-attack.html

漏洞通告 | Apache ActiveMQ 远程代码执行漏洞

  Tag：远程代码执行漏洞

事件概述：

Apache ActiveMQ 是美国阿帕奇（Apache）基金会的一套开源的消息中间件，它实现了 Java Message Service (JMS) 规范。作为一个消息中间件，它充当了应用程序之间的通信桥梁，允许不同的应用程序在分布式环境中进行可靠的异步通信。

微步漏洞团队于2022年7月通过“X 漏洞奖励计划”获取到Apache ActiveMQ jolokia 远程代码执行漏洞情报。经过身份认证后的攻击者可通过发送HTTP请求，修改配置文件后写入恶意文件，进而完全控制主机。

微步漏洞团队在获取该漏洞情报后联系官方修复，并获得官方致谢（CVE-2022-41678）。该漏洞需要以下利用条件：1）Web控制台可访问（默认端口8161）；2）需要登录（通常结合弱口令/密码泄露），建议受影响的用户，根据以上利用条件，酌情处置。

来源：https://mp.weixin.qq.com/s/vmYt5jhbMVYf3lfUPU6buA

---End---