乌克兰 IT 军疑似瞄准俄罗斯第二大银行 VTB 发动大规模 DDoS 攻击
事件概述:
近日,俄罗斯第二大金融机构 VTB 银行被曝遭到持续的大规模 DDoS 攻击,其网站和移动应用程序被迫关闭,在线门户网站处于离线状态,但所有核心银行服务均可以正常运行。客户数据由于存储在其内部基础架构中也没有遭到破坏。VTB 表示此次持续的 DDoS 攻击是该国今年以来的最大规模的网络攻击,也是该银行有史以来遭受到最严重的网络攻击。此次攻击幕后黑手疑似是亲乌克兰的黑客组织“乌克兰 IT 军队”,该组织曾于今年 11 月异常活跃,目标是 900 多家俄罗斯实体,包括销售军事装备和无人机的商店、俄罗斯中央银行、国家人工智能发展中心和阿尔法银行。11 月底还在 Telegram 上公开宣布针对 VTB 的大规模 DDoS 活动。
截至目前, VTB 表示此次 DDoS 攻击是幕后黑手精心策划的活动,其特定目的是通过中断银行服务给客户带来不便,但尚未透露具体的幕后黑手及更多的细节。
来源:
https://www.bleepingcomputer.com/news/security/massive-ddos-attack-takes-russia-s-second-largest-bank-vtb-offline/
俄罗斯法院和市长办公室遭到新型擦除器 CryWiper 攻击
事件概述:
继臭名昭著的 DoubleZero、IsaacWiper、HermeticWiper、CaddyWiper、WhisperGate、AcidRain、Industroyer2 和 RuRansom 擦除器后,卡巴斯基研究人员于近日监测到一款以前未披露具有擦除功能的新型恶意软件 CryWiper。CryWiper 是一个名为“browserupdate.exe”的 64 位 Windows 可执行文件,用 C++ 编写,配置为滥用许多 WinAPI 函数调用,旨在破坏目标数据。CryWiper 已伪装成装成勒索软件瞄准俄罗斯市长办公室和法院展开攻击,打着勒索的幌子销毁机密数据。
技术手法:
CryWiper 执行后,首先会创建计划任务实现维持,再使用受害者机器的名称与命令和控制服务器进行联系,获取下一步命令,确定 wiper 是激活还是保持休眠状态。激活命令运行后,CryWiper 将停止与数据库交互的关键进程,销毁数据,并删除受感染机器上的卷影副本,防止恢复已删除的文件。此外,CryWiper 还通过修改 Windows 注册表以阻止 RDP 连接,阻碍远程 IT 专家的事件响应。最后,擦除器将破坏除“.exe”、“.dll”、“lnk”、“.sys”、“.msi”和它自己的“.CRY”之外的所有枚举文件,同时还会跳过系统、Windows 引导目录,以防止使计算机完全无法使用。最后生成名为“README.txt”的赎金票据,要求 0.5 比特币(约 8,000 美元)以换取解密器。据研究人员称,勒索只是一个幌子,主要目的是销毁数据。
https://www.bleepingcomputer.com/news/security/new-crywiper-data-wiper-targets-russian-courts-mayor-s-offices/
三菱电机的PLC工程软件被曝存在多个严重安全漏洞
事件概述:
GX Works3 是三菱电机为其 MELSEC iQ-F 和 iQ-R 可编程逻辑控制器 (PLC) 提供的编程配置软件。近日,工业网络安全公司 Nozomi Networks 研究人员在三菱电机的 GX Works3 工程工作站软件中发现了三个漏洞CVE-2022-29831、CVE-2022-29832 和 CVE-2022-29833。攻击者可以利用这些漏洞从 GX Works3 项目文件中获取包括凭证在内的敏感信息,进而破坏连接的安全 CPU 模块,也可以通过错误配置的文件服务器、访问共享计算机或窃听未受保护的通信,获取项目文件中包含的有关项目本身的机密信息,以及有关在相关安全 CPU 模块上注册的帐户的用户名的信息。
截至目前,三菱电机尚未发布补丁,仅提供了缓解措施。为了防止恶意行为者的潜在利用,Nozomi 没有公开任何技术信息。
https://www.nozominetworks.com/blog/flaws-in-gx-works3-threaten-mitsubishi-electric-safety-plc-security/
暗网惊现最大的移动端恶意软件市场 INTHEBOX
事件概述:
近日,研究人员在暗网发现一个新的移动端恶意软件市场 INTHEBOX,该市场主要面向恶意软件开发商和运营商,提供出售的独特工具和所谓的 WEB 注入漏洞。至少从 2020 年 5 月开始,TOR 网络中的网络犯罪分子就可以使用该市场,以此利用攻击 43 个国家或地区的 300 多家金融机构、支付系统、社交媒体和在线零售商,用于网上银行盗窃和金融诈骗。但还不止于此,这些恶意工具还收集其他敏感信息,如信用卡信息、地址详细信息、电话和其他 PII。
每年面向移动设备的恶意软件数量呈指数增长。根据独立研究,几乎每 5 个移动设备用户中就有 1 个可能受到移动恶意软件的威胁。不良行为者利用巧妙的策略绕过反欺诈过滤器并进行银行盗窃,以确认所有验证码可疑性较低 ,使用超过限制的金额并将其分批发送。再加上其他类型的欺诈,例如商业电子邮件泄露、洗钱和投资诈骗,创造了一个巨大的影子经济。
https://securityaffairs.co/wordpress/139310/cyber-crime/dark-web-mobile-malware-marketplace.html
伊朗组织 APT42 针对活动家、政客等展开网络钓鱼活动
近日,外媒报道称伊朗背景的 APT42 使用复杂的社会工程和凭证收集策略瞄准人权观察工作人员、知名活动家、记者、研究人员、学者、外交官和政治家,进行网络钓鱼活动,至少有18名的受害者,电子邮件和其他敏感数据遭到泄露。
技术手法:
威胁组织通过社交媒体 WhatsApp 利用社会工程发送会议邀请链接,诱使目标点击伪造的合法链接,将目标重定向到包含虚假 Microsoft 登录页面的网页。攻击者在目标点击网络钓鱼链接与目标进行反复互动。待目标在网络钓鱼页面上输入凭据后,系统会提示目标在 2FA 绕过页面上输入代码,攻击者以此窃取密钥并使用该代码来访问其电子邮件帐户。此外,威胁组织在针对个别目标的攻击活动中, 使用 Google Takeout 服务,导出所有帐户活动和信息,包括网络搜索、支付、旅行和位置、点击的广告、YouTube 和其他帐户信息。
来源:
https://www.hrw.org/news/2022/12/05/iran-state-backed-hacking-activists-journalists-politicians
互联汽车服务 SiriusXM 被曝存在漏洞,允许黑客远程入侵
事件概述:
近日,网络安全研究人员在 SiriusXM 提供的联网车辆服务中发现了一个安全漏洞,该漏洞可能允许威胁行为者远程攻击多家汽车制造商的车辆,包括本田、日产、英菲尼迪和讴歌等。远程攻击者只需知道车辆的车辆识别码 (VIN) 即可利用服务中的漏洞来解锁、启动、定位和鸣笛。此外,研究人员还发现了一个影响 Hyundai 和 Genesis 车辆的漏洞,可以利用该漏洞远程控制 2012 年之后生产的车辆的锁、发动机、喇叭、前灯和后备箱。
研究人员在向 SiriusXM 报告漏洞后,SiriusXM 立即修复了相关漏洞。
https://securityaffairs.co/wordpress/139345/hacking/vehicle-service-siriusxm-flaw.html
2022年11月30日
哥伦比亚跨国医疗组织 Keralty 遭受 RansomHouse 勒索软件攻击
哥伦比亚的一家医疗保健提供商
Keralty 遭到 RansomHouse 勒索软件攻击,导致该公司及其子公司的网站停止运营, 623,774
名患者的个人数据遭到泄露,其中包括全名、地址、电话号码、出生日期以及仅供组织内部使用的唯一 ID信息。Keralty IT 的系统的故障影响了哥伦比亚的医疗保健系统,据患者反映需要通过十小时以上的排队等待才能接受医院治疗,给医疗服务带来了严重的影响。 来源:
https://www.bleepingcomputer.com/news/security/keralty-ransomware-attack-impacts-colombias-health-care-system/?&web_view=true
哥伦比亚跨国医疗组织 Keralty 遭受 RansomHouse 勒索软件攻击
哥伦比亚的一家医疗保健提供商
Keralty 遭到 RansomHouse 勒索软件攻击,导致该公司及其子公司的网站停止运营, 623,774
名患者的个人数据遭到泄露,其中包括全名、地址、电话号码、出生日期以及仅供组织内部使用的唯一 ID信息。Keralty IT 的系统的故障影响了哥伦比亚的医疗保健系统,据患者反映需要通过十小时以上的排队等待才能接受医院治疗,给医疗服务带来了严重的影响。 来源:
https://www.bleepingcomputer.com/news/security/keralty-ransomware-attack-impacts-colombias-health-care-system/?&web_view=true
哥伦比亚跨国医疗组织 Keralty 遭受 RansomHouse 勒索软件攻击
https://www.bleepingcomputer.com/news/security/keralty-ransomware-attack-impacts-colombias-health-care-system/?&web_view=true
2022年12月5日
俄罗斯黑客组织TAG-53瞄准美国军事武器与硬件供应商发动钓鱼攻击
研究人员发现俄罗斯国家背景的黑客组织 TAG-53 针对美国军事武器与硬件供应商 Global Ordnance 展开攻击。黑客组织通过创建钓鱼网站形成的规模性网络基础设施用于伪装成合法实体,利用伪装成 Global Ordnance 公司的 Microsoft 账号登录页面,对政府、情报和军事行业的目标展开凭据收集的网络钓鱼活动。 来源:
https://www.recordedfuture.com/exposing-tag-53-credential-harvesting-infrastructure-for-russia-aligned-espionage-operations
俄罗斯黑客组织TAG-53瞄准美国军事武器与硬件供应商发动钓鱼攻击
研究人员发现俄罗斯国家背景的黑客组织 TAG-53 针对美国军事武器与硬件供应商 Global Ordnance 展开攻击。黑客组织通过创建钓鱼网站形成的规模性网络基础设施用于伪装成合法实体,利用伪装成 Global Ordnance 公司的 Microsoft 账号登录页面,对政府、情报和军事行业的目标展开凭据收集的网络钓鱼活动。 来源:
https://www.recordedfuture.com/exposing-tag-53-credential-harvesting-infrastructure-for-russia-aligned-espionage-operations
俄罗斯黑客组织TAG-53瞄准美国军事武器与硬件供应商发动钓鱼攻击
https://www.recordedfuture.com/exposing-tag-53-credential-harvesting-infrastructure-for-russia-aligned-espionage-operations