美国马萨诸塞州发展金融机构遭遇勒索软件攻击

  Tag：多因素认证, 威胁情报共享

事件概述：

美国马萨诸塞州的发展金融机构MassDevelopment最近遭受了一场严重的网络攻击。攻击者使用勒索软件窃取了大量的个人身份信息，实际的数据库备份，公司和员工的个人数据，各种机密文件，通信，客户数据合同，保密协议，财务文件，项目等。在2017财年，MassDevelopment资助或管理了377个项目，这些项目预计将在马萨诸塞州经济中产生超过40亿美元的投资。这些项目预计将创造约9488个工作岗位，并建设或翻新约1863个住宅单位。

此次攻击突显了多因素认证、威胁情报共享和自动化安全措施的重要性。首先，多因素认证可以在一定程度上防止未经授权的访问。其次，威胁情报共享可以帮助机构了解最新的攻击手段和威胁，从而提前采取防范措施。最后，自动化的安全措施可以在攻击发生时立即启动，减少损失。在这种情况下，机构需要采取紧急措施，包括关闭受影响的系统，隔离受影响的网络，并进行深度的安全审计。同时，机构也需要提高员工的安全意识，防止类似的攻击再次发生。

来源：

津巴布韦基础设施开发公司遭龙型勒索软件攻击

  Tag：Dragon Ransomware, 网络安全政策

事件概述：

津巴布韦的Plan Infrastructure Development公司，专注于道路、住房和公共设施的基础设施开发，近日遭到了名为Dragon Ransomware的勒索软件攻击。该公司正在负责将“Sakuba”地区转变为2030年的智能城市的重大项目。此次网络攻击不仅突显了津巴布韦在公共和私营部门日益频繁的网络攻击事件，也反映出该国在网络安全意识和资源方面的不足。津巴布韦国家网络机构正在努力通过制定国家网络安全政策和框架，以及与国际伙伴合作加强能力，来提升国家的网络安全姿态。

Dragon Ransomware是一个以金融利益为动机，通过勒索要求来实现利益的网络犯罪组织，该组织以其针对各种行业的组织，包括关键基础设施的高级技术渗透网络和加密数据而闻名。此次攻击凸显了对基础设施项目的网络攻击趋势，这些项目对国家发展至关重要。津巴布韦国家网络机构的成立和其聚焦于发展国家网络安全政策的努力，以及公共意识提升活动的开展，是提升整体网络安全防护的关键步骤。此外，与国际伙伴的合作也是加强网络安全能力的重要方面。

来源：

https://www.hendryadrian.com/ransom-pid-co-zw/

Lazarus黑客组织瞄准核工业

  Tag：Operation DreamJob, CookiePlus

事件概述：

Securelist最新威胁情报报告揭示，Lazarus黑客组织近期将攻击目标转向核工业。该组织以“Operation DreamJob”行动为掩护，通过伪装的工作机会引诱受害者，进而植入恶意软件。此次攻击中使用了名为CookiePlus的新型插件式恶意软件，主要在内存中动态加载恶意负载，逃避传统安全检测。Lazarus持续改进其攻击工具，显示出其在网络中保持持久存在的决心。值得注意的是，Lazarus近期还开发了RustyAttr木马，并利用Chrome零日漏洞攻击加密货币投资者，显示出其攻击活动的频繁性和多样性。

Lazarus黑客组织的最新攻击活动显示出其技术手段的不断进化和复杂化。报告指出，该组织通过伪装的招聘信息引诱受害者，使用包含恶意执行文件的ZIP档案进行初始攻击。攻击者通过社交软件传递IP地址，获取受害者机器的未授权访问权限。关键创新在于CookiePlus恶意软件的引入，该软件通过内存中动态加载恶意负载，增加了检测和防御的难度。此外，攻击过程中使用了多种恶意负载，如MISTPEN、RollMid等，显示出其工具的模块化和多样化。Lazarus还在不断探索新的攻击路径，如利用Chrome零日漏洞和RustyAttr木马，显示出其在网络攻击领域的持续活跃和威胁性。

来源：

https://hackread.com/lazarus-group-nuclear-industry-cookieplus-malware/

欧洲公司遭遇网络钓鱼攻击，旨在窃取Microsoft Azure凭证

  Tag：网络钓鱼攻击, Microsoft Azure凭证

事件概述：

Unit 42研究人员发现了一个针对欧洲公司的网络钓鱼活动，主要目标是汽车和化学行业，旨在窃取Microsoft Azure凭证。该活动在2024年6月达到高峰，通过恶意链接和文档影响了大约20,000名用户。这是一次重大的网络安全事件，涉及到大量的凭证收割行为。

本次网络钓鱼攻击活动主要针对欧洲的汽车和化学行业公司，攻击者通过发送带有恶意链接和文档的电子邮件，诱导用户点击，从而窃取其Microsoft Azure凭证。这种攻击方式简单而有效，且往往能够在用户不知情的情况下完成攻击。此次攻击活动在2024年6月达到高峰，影响了大约20,000名用户。这一数字表明，攻击者对目标用户的选择十分精准，且攻击行为持续时间较长。为了防止此类攻击，用户需要提高警惕，不轻易点击来源不明的链接和文档，同时，企业也需要加强对员工的网络安全教育和培训，提高其识别和防范网络钓鱼攻击的能力。此外，企业还需要采取多因素认证、威胁情报共享、自动化安全措施等技术手段，以提高网络安全防护能力，防止凭证收割等恶意行为的发生。

来源：

https://www.hendryadrian.com/tag/sso/

BADBOX僵尸网络再次崛起：超过192,000个安卓设备被感染

  Tag：BADBOX僵尸网络, Bitsight安全研究

事件概述：

BADBOX僵尸网络再次出现，并比以往更加危险。这个网络犯罪行动不仅重新浮出水面，而且扩大了规模，全球已有超过192,000个基于安卓的设备被感染。Bitsight安全研究的最新报告揭示了该僵尸网络复苏和其日益增长的复杂性的令人震惊的细节。BADBOX是一项大规模的恶意软件行动，感染包括电视盒、智能手机和现在的高端智能电视在内的安卓设备，直接在供应链层面进行。这意味着设备在到达消费者手中之前就被恶意软件感染，通常是通过篡改的固件或预装的应用程序。    

从最高峰时的大约74,000个设备，该僵尸网络已扩大到全球超过192,000个感染设备，遥测显示这个数字正在稳步增加。与之前主要针对低成本、非品牌设备的活动不同，BADBOX已将其覆盖范围扩大到包括Yandex 4K QLED智能电视和Hisense Instawall T963智能手机等高端设备。感染设备的最高集中度观察到在俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰，美国和法国等国家也有残余活动。BADBOX恶意软件利用其在设备固件中的存在进行恶意活动，包括：使用感染设备作为代理端点；允许威胁行动者在未经用户同意的情况下部署新的恶意软件模块；利用感染设备进行欺诈活动。恶意软件在启动时立即连接到命令和控制（C2）服务器，使其能够下载并执行新的有效载荷。报告揭示了Yandex 4K QLED智能电视与BADBOX C2域（coslogdydy[.]in）之间的通信。研究人员写道：“这是第一次看到一个主要品牌的智能电视与BADBOX命令和控制（C2）域进行如此大量的直接通信。” 在一天之内，检测到来自Yandex设备的超过100,000个唯一IP。虽然一些国家，如德国，已在破坏僵尸网络方面取得了进展，最近影响了30,000个设备，但BADBOX的全球传播仍然是一个重大挑战。Bitsight研究人员能够在短短24小时内捕获超过160,000个唯一IP地址的BADBOX域，突显了该僵尸网络的巨大规模。Bitsight警告：“你的数据不仅面临风险，你也可能被用于盈利和掩盖恶意行动。”

来源：

https://securityonline.info/badbox-botnet-rises-again-192000-android-devices-compromised/

俄罗斯APT29威胁行为体利用恶意远程桌面协议进行网络攻击

  Tag：APT29, PyRDP

事件概述：

与俄罗斯有关联的 APT29 威胁行为体在利用恶意远程桌面协议（RDP）配置文件进行网络攻击时，重新使用了合法的红队攻击方法。这一活动的目标是政府和武装部队、智库、学术研究人员和乌克兰实体。网络安全公司正在追踪这个名为 “Earth Koshchei ”的威胁组织，并称该组织早在 2024 年 8 月 7 日至 8 日就开始了活动的准备工作。鱼叉式网络钓鱼电子邮件旨在欺骗收件人启动附在邮件中的恶意 RDP 配置文件，使他们的机器通过该组织的 193 个 RDP 中继站之一连接到国外的 RDP 服务器。据估计，一天之内就有 200 名知名受害者成为攻击目标，这表明了该活动的规模。

攻击方法需要在实际由对手控制的 RDP 服务器前使用一个名为 PyRDP 的开源项目，以最大限度地降低被发现的风险。当受害者从电子邮件中打开代号为 HUSTLECON 的 RDP 文件时，就会向 PyRDP 中转站发起一个向外的 RDP 连接，然后将会话重定向到恶意服务器。建立连接后，流氓服务器会模仿合法 RDP 服务器的行为，并利用会话开展各种恶意活动。主要的攻击载体包括攻击者在受害者的机器上部署恶意脚本或更改系统设置。PyRDP 代理服务器还能让攻击者访问受害者的系统、执行文件操作和注入恶意有效载荷。攻击的最终结果是，威胁者利用被入侵的 RDP 会话，通过代理服务器外泄敏感数据，包括凭证和其他专有信息。

来源：

https://www.anquanke.com/post/id/302852

Cleo管理文件传输产品受到零日漏洞攻击

  Tag：CVE-2024-50623, Huntress

事件概述：

威胁行为者正在通过两个漏洞（包括一个新的零日漏洞）针对Cleo管理的文件传输产品。Cleo首先在10月底为CVE-2024-50623发布了一份安全咨询和补丁，这是一个影响Cleo的Harmony、VLTrader和LexiCom产品的无限制文件上传和下载漏洞。从上周日开始，管理安全供应商Huntress警告说，威胁行为者正在针对Cleo产品的实例进行与CVE-2024-50623相关的利用活动，即使那些已经打过补丁的实例也在被攻击。然后，Huntress在周一发布了一篇博客文章，建议Cleo的客户“在新补丁发布之前，将任何暴露在互联网上的Cleo系统移到防火墙后面”。

周三晚上，Cleo为Harmony、LexiCom和VLTrader发布了5.8.0.24版本。在补丁说明中，它解决了一个有待CVE的关键漏洞，该漏洞与CVE-2024-50623不同。根据安全咨询，这个漏洞可以“允许未经认证的用户利用Autorun目录的默认设置，在主机系统上导入并执行任意bash或PowerShell命令”。Huntress的首席安全研究员John Hammond在X（前Twitter）上的一篇文章中说，5.8.0.24似乎解决了新的零日漏洞，但没有解决CVE-2024-50623。Informa TechTarget编辑询问Cleo新的漏洞是否与之前报告的威胁活动有关，但公司拒绝回答。目前还不清楚哪些威胁行为者正在针对Cleo实例。但本周，几家网络安全供应商已经观察到攻击数量的增加。

来源：

https://www.techtarget.com/searchsecurity/podcast/Risk-Repeat-Attacks-ramp-up-on-Cleo-MFT-software

加拿大安全公司Phantom Security遭遇DragonRaaS勒索软件攻击

  Tag：网络安全解决方案, DragonRaaS勒索软件集团

事件概述：

加拿大安全公司Phantom Security Group最近遭遇了DragonRaaS勒索软件集团的攻击。Phantom Security Group是一家提供综合安全解决方案的公司，主要在大多伦多地区运营，专注于监控摄像头、报警系统和门禁控制系统。DragonRaaS是一家以其复杂策略和针对关键基础设施的攻击而闻名的勒索软件集团。他们使用先进的加密技术锁定文件，并要求赎金以获取解密密钥。在加密前，他们常常先窃取敏感数据，如果赎金未付，威胁要公开这些数据。

近年来，加拿大的勒索软件攻击呈显著上升趋势，包括医疗保健、金融和安全等各个部门都遭受了攻击。勒索软件团伙经常利用组织的网络安全措施中的漏洞，导致数据泄露和财务损失。DragonRaaS勒索软件集团就是以其复杂的策略和针对关键基础设施的攻击而闻名的勒索软件集团。他们使用先进的加密技术锁定文件，并要求赎金以获取解密密钥。在加密前，他们常常先窃取敏感数据，如果赎金未付，威胁要公开这些数据。为了应对勒索软件的威胁，加拿大的企业正在越来越多地投资于网络安全解决方案。加拿大的网络安全战略旨在提高国家对网络威胁，包括勒索软件攻击的抵御能力。

来源：

https://www.hendryadrian.com/ransom-phantomsecurity-ca/

新型网络钓鱼活动HubPhish针对欧洲公司

  Tag：HubPhish, Microsoft Azure云基础设施

事件概述：

网络安全研究人员近日揭露了一个名为HubPhish的新型网络钓鱼活动，该活动滥用HubSpot工具，针对欧洲公司获取账户凭证并控制受害者的微软Azure云基础设施。据悉，此次活动的目标包括欧洲至少2万名汽车、化工和工业化合物制造用户。攻击者通过发送带有Docusign主题诱饵的钓鱼电子邮件，诱使收件人查看文档，然后将用户重定向到恶意的HubSpot Free Form Builder链接，从那里将用户引导到伪造的Office 365 Outlook Web App登录页面，以窃取他们的凭据。此外，攻击者还被发现在钓鱼邮件中冒充SharePoint，旨在发送名为XLoader的信息窃取恶意软件系列。

HubPhish活动使用HubSpot Free Form Builder服务创建虚假表单，通过发送带有诱饵的钓鱼电子邮件，将用户重定向到恶意链接，进而将用户引导到伪造的登录页面窃取凭据。这种攻击方式充分利用了用户对常用工具和服务的信任，以及用户在网络安全意识上的不足。此外，攻击者还利用了各种服务托管钓鱼活动，包括Bulletproof VPS主机，并在账户接管行动中访问被入侵的Microsoft Azure租户。一旦成功访问一个账户，威胁者会向该账户添加一个由其控制的新设备，以建立持久性。此外，攻击者还会通过对网络钓鱼受害者的端点计算机进行凭证收集攻击，将网络钓鱼活动指向受害者的Microsoft Azure云基础设施，然后进行横向移动操作。这种攻击方式的复杂性和隐蔽性，对企业和个人用户的数据安全构成了严重威胁。

来源：

https://www.anquanke.com/post/id/302840

美国大平原银行遭遇Akira勒索软件攻击

  Tag：Akira勒索软件团伙, 多因素认证

事件概述：

美国大平原国家银行（Great Plains National Bank）近日遭受Akira勒索软件团伙攻击，该团伙以金融机构为主要攻击目标。据报道，该银行的内部企业文件，包括保密协议（NDA）、员工和客户的驾驶执照、联系电话和电子邮件地址等超过18GB的数据被泄露。Akira团伙主要利用钓鱼、利用漏洞和利用盗取的凭证等手段进行攻击，加密数据并要求赎金以换取解密密钥。在美国，勒索软件攻击的频率正在增加，尤其是针对金融和医疗保健等行业，勒索软件团伙的手段也越来越复杂，采用双重勒索策略（加密数据并威胁泄露）。美国企业面临巨大的财务损失，赎金支付和恢复成本往往超过数百万美元。

美国大平原国家银行的事件再次凸显了多因素认证、威胁情报共享和自动化安全措施的重要性。对于此类攻击，企业应加强网络安全防御，提高员工的网络安全意识，防止点击来自不明来源的链接或附件。同时，企业还应定期备份重要数据，以防数据丢失。美国国家网络安全局和其他执法机构正在联合打击勒索软件威胁，提供指南和最佳实践以帮助组织提高其网络安全防御能力，并定期发布关于新兴勒索软件威胁和漏洞的警报和建议。此外，企业还应与网络安全公司合作，定期进行网络安全评估和渗透测试，以发现并修复潜在的安全漏洞，防止类似的网络攻击。

来源：

https://www.hendryadrian.com/ransom-great-plains-bank/

- END -