印度国家金融教育中心遭受勒索软件攻击

  Tag：勒索软件组织funksec, 印度国家计算机应急响应小组(CERT-In)

事件概述：

印度国家金融教育中心(NCFE)近日遭受了勒索软件组织funksec的攻击。NCFE是一个致力于提升个人金融素养和教育的机构，其目标是通过提供必要的金融知识和技能，使个人能够做出明智的金融决策。funksec是一个以教育和金融机构为目标的勒索软件组织，常常要求高额赎金以恢复数据。这次对NCFE的攻击再次突显了针对金融教育和包容性机构的网络威胁正在增长的趋势。印度国家计算机应急响应小组(CERT-In)作为负责应对此类网络安全事件的国家机构，正在提供指导并提升国家的整体网络安全水平。

这次对印度国家金融教育中心的勒索软件攻击再次揭示了网络安全威胁的严重性。勒索软件组织funksec利用了NCFE的某些安全漏洞进行攻击，这再次强调了机构需要持续加强网络安全防护的重要性。对于这种攻击，多因素认证、威胁情报共享和自动化安全措施等技术手段可以有效防范。多因素认证可以增加攻击者非法访问系统的难度；威胁情报共享可以帮助机构了解最新的威胁趋势，并采取相应的防护措施；自动化安全措施可以实时监控系统状态，及时发现并应对安全威胁。此事件也突显了国家级网络安全机构在应对网络安全事件中的重要作用，他们不仅提供应对指导，还通过各种手段提升国家的整体网络安全水平。

来源：

SideWinder APT组织对亚洲军事和政府实体的网络攻击分析

  Tag：SideWinder APT, MITRE技术

事件概述：

自2012年以来，SideWinder APT（也被称为T-APT-04或RattleSnake）一直活跃，主要针对亚洲的军事和政府实体。最近的分析发现了大量的妥协指标（IoCs），包括与恶意活动相关的域名和IP地址。这些发现突显了该组织广泛的行动足迹，以及持续警惕此类威胁的必要性。在100个被识别为IoCs的域名中，83个具有当前的WHOIS记录详情。大多数域名IoCs在美国和冰岛注册。有22个IP地址与IoCs相关，其中20个被识别为恶意的。55个域名IoCs没有活跃的解析。历史分析显示，81个域名IoCs随着时间解析为563个IP地址。研究揭示了与IoCs连接的45个电子邮件地址。

SideWinder APT组织使用多种MITRE技术进行攻击，包括命令和控制（T1071）：利用多个命令和控制域来维持与被妥协系统的通信。凭证转储（T1003）：从操作系统和软件中提取帐户登录和凭证信息。数据加密影响（T1486）：加密数据以破坏对信息和服务的访问。远程服务的利用（T1210）：利用远程服务的漏洞以获取未经授权的访问。网络钓鱼（T1566）：使用欺骗性电子邮件诱使用户泄露敏感信息或下载恶意软件。威胁情报API指出了与识别的IP地址相关的各种威胁。这些发现强调了对此类威胁保持警惕的必要性，并提供了防御策略和技术的重要信息。

来源：

https://www.hendryadrian.com/exploring-the-sidewinder-apt-groups-dns-footprint/

罗马尼亚能源服务提供商Electrica集团确认遭受勒索软件攻击

  Tag：勒索软件攻击, SCADA系统

事件概述：

罗马尼亚知名能源服务提供商Electrica集团证实，正在应对一场勒索软件攻击。该公司已启动应急响应机制，并与国家网络安全部门紧密合作，以减轻攻击影响。Electrica集团在罗马尼亚拥有约400万用户，其关键系统，包括用于监控和控制电力分配的SCADA（监控控制和数据采集）系统，尚未受到影响。然而，由于实施保护内部基础设施的措施，客户交互暂时出现了中断。罗马尼亚能源部确认，这次攻击是勒索软件攻击。初步调查显示，尽管攻击者试图加密敏感数据，但网络设备和关键系统未受影响。    

Electrica集团在公开声明中强调，攻击并未影响电力分配或供应的连续性。公司首席执行官Alexandru Aurelian Chirita表示：“我们的首要任务仍然是保持电力服务的不间断，保护集团内部管理的个人和运营数据。”能源部长Sebastian Burduja表示，“SCADA系统功能完好无损，且已被隔离。”他向公众保证，能源服务没有立即的风险，并赞扬了技术团队的快速响应。Electrica集团已部署专业团队，与国家网络安全专家一起，确定攻击源并防止进一步损害。公司还敦促消费者对冒充Electrica的网络钓鱼尝试或可疑通信保持警惕。罗马尼亚能源部强调了在能源领域加强网络安全措施的紧迫性，包括建立专门的网络安全事件响应中心。Electrica集团向客户和利益相关者保证，将定期更新情况。同时，正在进行恢复全功能的工作，同时确保对未来威胁的强大保护。

来源：

https://cybersecuritynews.com/electrica-group-confirms-ransomware-attack/

CO-VER Power Technology SpA遭受勒索软件攻击，大约800GB敏感数据被盗

  Tag：Everest勒索软件团队, 多因素认证

事件概述：

意大利公司CO-VER Power Technology SpA最近遭受了Everest勒索软件团队的攻击，据报道，大约800GB的敏感数据被盗。意大利国家网络安全局（ACN）正在调查此次针对IT基础设施的勒索软件攻击。目前，受害者被建议在时间耗尽前联系行为者进行可能的谈判。

本次攻击再次凸显了勒索软件的威胁。Everest勒索软件团队利用了未知的漏洞或技术，成功窃取了大量的敏感数据。这标志着网络攻击者的技术能力在不断提高，而企业的网络防护措施却往往跟不上这种发展速度。对于企业来说，加强多因素认证、威胁情报共享和自动化安全措施的重要性不言而喻。首先，多因素认证可以有效防止未经授权的访问，大大降低数据被盗的风险。其次，通过威胁情报共享，企业可以了解到最新的网络攻击手段和防护方法，提前做好防护准备。最后，自动化的安全措施可以在攻击发生时快速响应，减少损失。总的来说，企业需要不断提升自身的网络安全防护能力，以应对日益严重的网络威胁。

来源：

https://www.hendryadrian.com/ransom-co-ver-power-technology-spa/

假冒人力资源通信的网络钓鱼邮件散播FormBook恶意软件

  Tag：网络钓鱼邮件, FormBook恶意软件

事件概述：

FormBook恶意软件是一种能够进行凭证收集和键盘记录的恶意软件，它被伪装在一个包含可执行文件的.zip文件中。这种恶意软件在技术上使用了AutoIt进行进程注入，这是一种将恶意代码注入到受信任的进程中的技术。此外，该恶意软件还使用了MITRE技术，包括滥用现有账户的凭证（T1078）、使用AutoIt进行执行（T1106）、通过侧载DLL来执行恶意负载（T1574.002）、将恶意代码注入到受信任的进程中（T1055）以及尝试从操作系统中转储凭证（T1003）。为了防止此类攻击，建议员工接受培训，验证电子邮件来源，确保发件人域与官方渠道匹配，鼓励用户在点击链接之前检查链接，通过悬停在上面确认其合法性。对于紧急请求，建议谨慎对待，对于推动立即行动的电子邮件，应暂停并评估。

来源：

https://www.hendryadrian.com/days-off-and-data-exfiltration-with-formbook/

Gamaredon APT组织继续对政府和关键组织发动复杂的网络攻击

  Tag：Gamaredon, 网络钓鱼

事件概述：

自2013年以来，一直存在的威胁行为者Gamaredon，主要通过网络攻击，针对其受害者的政府、防务、外交和媒体部门，以获取敏感信息并破坏运营。Gamaredon继续使用复杂的策略，利用恶意LNK和XHTML文件，结合复杂的网络钓鱼计划进行网络攻击。网络钓鱼邮件带有四种不同的攻击有效载荷，旨在诱骗用户执行恶意附件或压缩文件，从而使攻击者能够渗透目标系统并部署恶意软件进行进一步的邪恶行动。

Gamaredon APT通过使用带有恶意LNK附件的鱼叉式网络钓鱼邮件，目标是政府和关键组织，当这些邮件被执行时，会滥用mshta.exe远程下载并运行恶意代码。恶意行为者使用带有陷阱的XHTML附件下载包含武器化LNK快捷方式的压缩文件，这些快捷方式利用mshta.exe传递额外的恶意软件有效载荷，通过IP地址和trycloudflare.com进行通信。下载的脚本，通常是PowerShell，与C2服务器通信，发送系统信息，并可能根据响应执行进一步的命令。Gamaredon APT的恶意软件扫描可移动磁盘，创建快捷方式以执行PowerShell脚本，在注册表中编码PowerShell脚本，并修改注册表以持续启动，从而实现自动执行并维持持续感染。

来源：

https://gbhackers.com/apt-c-53-lnk-malware/

新的Cleo零日远程代码执行漏洞被用于数据盗窃攻击

  Tag：零日漏洞, Cleo数据盗窃攻击

事件概述：

黑客正在积极利用Cleo托管文件传输软件中的一个零日漏洞，侵入企业网络并进行数据盗窃攻击。该漏洞位于Cleo LexiCom、VLTrader和Harmony等公司的安全文件传输产品中，被追踪为CVE-2023-34362。这个漏洞影响了5.8.0.21及更早版本，是之前修复的漏洞CVE-2024-50623的绕过方法，Cleo在2024年10月解决了这个问题。然而，修复并不完整，使得威胁行为者能够绕过它并继续在攻击中利用它。据Cleo称，其软件被全球4000家公司使用，包括Target、Walmart、Lowes、CVS、The Home Depot、FedEx、Kroger、Wayfair、Dollar General、Victrola和Duraflame等。

这些攻击让人想起之前的Clop数据盗窃攻击，该攻击利用了托管文件传输产品中的零日漏洞，包括2023年对MOVEit Transfer的大规模利用，使用GoAnywhere MFT零日的攻击，以及2020年12月对Accellion FTA服务器的零日利用。然而，网络安全专家Kevin Beaumont声称，这些Cleo数据盗窃攻击与新的Termite勒索软件团伙有关，该团伙最近侵入了Blue Yonder，这是一家供应链软件提供商，被全球许多公司使用。Huntress安全研究员首次发现了对Cleo MFT软件的活动利用，并在新的写作警告用户采取紧急行动的同时，发布了一个概念验证（PoC）利用。Huntress建议将任何互联网暴露的Cleo系统移到防火墙后面，直到新的补丁发布。

来源：

https://unsafe.sh/go-281115.html

领先的心脏手术设备制造商遭受勒索软件攻击

  Tag：勒索软件攻击, 网络安全

事件概述：

心脏手术医疗设备的领先制造商Artivion在11月21日遭受了一次勒索软件攻击，导致其运营中断并被迫将部分系统下线。这家位于亚特兰大的公司在全球拥有超过1,250名员工，并在100多个国家设有销售代表。它在亚特兰大、乔治亚州、奥斯汀、德克萨斯州和德国黑钦根设有制造设施。尽管Artivion在其SEC文件中并未直接提到勒索软件，但它透露攻击者对其部分系统进行了加密，并从受损系统中窃取了数据。目前，尚无任何勒索软件操作声称对此次攻击负责，但如果在未来的几天或几周内未能满足威胁行为者的勒索要求，这种情况可能会发生。

Artivion在遭受勒索软件攻击后，采取了一系列应对措施，包括将部分系统下线，启动调查，并聘请外部顾问，包括法律、网络安全和取证专业人员，以评估、控制和修复事件。这种攻击涉及到文件的获取和加密。Artivion正在尽快安全地恢复其系统，并评估任何通知义务。公司补充说，对其企业运营、订单处理和发货的中断已基本得到解决，保险将覆盖与事件响应相关的费用。然而，Artivion认为，它将产生保险未能覆盖的额外费用。这次事件再次提醒我们，即使是全球领先的医疗设备制造商，也可能成为网络攻击的目标。因此，企业需要采取更严格的网络安全措施，包括多因素身份验证、威胁情报共享和自动化安全措施，以防止类似的网络攻击。

来源：

https://unsafe.sh/go-280834.html

网络安全研究人员发现针对DocuSign用户的网络钓鱼攻击增加

  Tag：网络钓鱼攻击, DocuSign

事件概述：

网络安全研究人员最近发现了针对DocuSign用户的网络钓鱼攻击趋势。这些攻击通常模仿合法的DocuSign通信，使用官方的品牌和格式，声称有文件等待接收者签名，并敦促他们点击链接访问。然而，这个链接会将用户重定向到设计用来窃取他们凭证的恶意网站。报告指出，DocuSign网络钓鱼活动经常使用合法的被入侵的电子邮件账户发送钓鱼邮件，以通过域名消息认证记录和一致性（DMARC）检查。一个令人担忧的趋势是使用被入侵的日本商业电子邮件，这些电子邮件不太可能触发垃圾邮件过滤器。恶意脚本使用base64编码执行各种检查和比较，最终将用户重定向到一个假的登录页面，该页面设计用来窃取凭证。这些被盗的凭证可以用于商业电子邮件欺诈（BEC）或在地下市场上出售。为了防止这种钓鱼尝试，接收到未经请求的DocuSign电子邮件时，尤其是那些要求紧急行动的邮件，必须保持警惕。

来源：

https://www.hendryadrian.com/fake-docusign-emails-dont-get-hooked-by-phishing-scams/

阿曼石油化工服务交易公司遭遇赛尔科马勒索软件攻击，数据泄露近500GB

  Tag：多因素认证, 威胁情报共享

事件概述：

阿曼石油化工服务交易有限公司（GPS）遭受的这次网络攻击，再次凸显了多因素认证、威胁情报共享和自动化安全措施的重要性。首先，多因素认证可以提供额外的安全层，使攻击者更难突破防线。其次，威胁情报共享可以帮助组织了解最新的威胁和攻击手法，以便采取预防措施。最后，自动化安全措施可以实时监控网络活动，及时发现并阻止潜在的威胁。此外，应对此类大规模数据泄露，企业还需要建立健全的应急响应机制，包括数据备份、恢复计划和应急响应团队等。这次事件提醒我们，任何组织都可能成为网络攻击的目标，因此必须始终保持警惕，不断升级和完善安全防护措施。

来源：

https://www.hendryadrian.com/ransom-gulf-petrochemical-services-trading/

- END -