Magalenha 行动:巴西黑客组织针对葡萄牙金融机构展开攻击
![]()
Tag:Magalenha,银行,葡萄牙,凭证
事件概述:
近日,外媒报道了巴西黑客组织进行的名为"Magalenha行动"的恶意活动,主要针对30家葡萄牙政府和私人金融机构。这一活动可追溯到2021年,主要目标包括ActivoBank、Caixa Geral de Depósitos、CaixaBank、Citibanamex、Santander、Millennium BCP、ING、Banco BPI和Novobanco等机构。威胁组织通过使用多种手段,如网络钓鱼电子邮件、社交工程和仿冒相关组织的恶意网站,进行初始感染,然后加载后门进行间谍活动,窃取凭据并泄露用户的数据和个人信息。为了确保持续的操作,威胁组织已将其基础设施托管从实施更严格反滥用措施的IaaS提供商转移到Timeweb,这是一家以更宽松政策而闻名的俄罗斯IaaS提供商。
技术手法:
来源:
Dark Pink APT 组织持续活跃,针对亚太地区政府和军队展开攻击
![]()
Tag:Dark Pink,APT,政府,军事
事件概述:
来源:
https://www.bleepingcomputer.com/news/security/dark-pink-hackers-continue-to-target-govt-and-military-organizations/
能源安全危机:俄罗斯工控恶意软件 CosmicEnergy 威胁电力系统
![]()
Tag:能源,俄罗斯,工控,电力
事件概述:
近日,研究人员发现了一种名为 CosmicEnergy 的新型恶意软件,专门瞄准工业控制系统。该恶意软件与IEC 60870-5-104(IEC-104)设备进行交互,目标是破坏广泛采用的电力系统,影响欧洲、中东和亚洲地区。据研究人员称,CosmicEnergy是在2023年1月至4月期间被部署的,采用了名为"Win32/Industroyer"的模块,该模块曾在2016年乌克兰电力中断事件中使用过。这些模块使恶意软件能够与电力系统的通信协议进行交互,从而控制或破坏设备。研究人员认为,俄罗斯APT团伙"TEMP.Veles"与CosmicEnergy背后的黑客组织有关联,而该团伙与2017年乌克兰电力中断事件有牵连。
技术手法:
CosmicEnergy是一种新型的工业控制系统恶意软件,它由两个组件PIEHOP和LIGHTWORK组成。PIEHOP是使用Python编写的工具,通过与远程MSSQL服务器交互,上传文件并向远程终端单元(RTU)发送远程命令。PIEHOP依赖于LIGHTWORK来发送IEC-104命令,以控制RTU的状态,并在发送命令后删除可执行文件。LIGHTWORK是使用C++编写的工具,通过TCP连接实现了IEC-104协议,可以修改RTU的状态。研究人员发现,CosmicEnergy本身不具备侦查功能,因此操作者需要进行内部侦察以获取环境信息。综上所述,CosmicEnergy的出现表明攻击者利用之前攻击的经验开发了新的恶意软件,对受影响的电力系统资产构成潜在威胁,因此需要采取预防措施。
云存储风险曝光:多个大厂中招
![]()
Tag:云存储,网络空间测绘
事件概述:
近年来,伴随着企业上云的步伐不断加快,云上业务与数据随之增多,同时云上风险和安全事件也层出不穷。对象存储作为云原生的一项重要功能,同样面临着一系列安全挑战。在对象存储所导致的安全问题中,绝大部分是由于用户错误的配置导致的。云上服务资产数量巨大、类型众多,不同服务及资产暴露的攻击面均不相同,安全态势复杂,尽管对象存储服务等公有云服务在配置界面已经设置了多种提示和警告措施,云上数据泄露事件依然每年都在发生,而云上数据可能泄露的敏感信息多种多样。近年来的安全事件泄漏信息包括:用户信息, 公司内部信息、数据库等各种配置信息,系统构建源码,git仓库信息、平台账号、密码、密钥、证书、隐私数据等。
来源:
Void Rabisu组织部署RomCom后门展开攻击
![]()
Tag:Void Rabisu,后门,RomCom
事件概述:
https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html
0day通告|大华智慧园区综合管理平台远程代码执行漏洞
![]()
Tag:0day,漏洞
事件概述:
https://mp.weixin.qq.com/s/H_kLv__lCNmdCRZSR9LVDg
2023年5月26日
瑞士大型跨国企业ABB遭勒索软件攻击,数据被盗
瑞士大型跨国企业ABB 确认遭受网络攻击,导致运营中断、项目延期,并对工厂造成重大影响。攻击由Black Basta勒索软件团伙发起,影响了数百个Windows系统。ABB 在发现攻击行为后,立即终止与客户的VPN连接以阻止攻击者进一步访问网络。迄今为止,取证调查未发现客户系统受到直接影响的证据,并且没有客户报告此情况发生。ABB正在恢复所有剩余受影响的服务和系统,并采取额外的安全措施来保护免受未来攻击。调查仍处于早期阶段,ABB正在与执法部门合作以减少勒索软件攻击的影响。 来源:
https://www.bleepingcomputer.com/news/security/us-govt-contractor-abb-confirms-ransomware-attack-data-theft/
瑞士大型跨国企业ABB遭勒索软件攻击,数据被盗
瑞士大型跨国企业ABB 确认遭受网络攻击,导致运营中断、项目延期,并对工厂造成重大影响。攻击由Black Basta勒索软件团伙发起,影响了数百个Windows系统。ABB 在发现攻击行为后,立即终止与客户的VPN连接以阻止攻击者进一步访问网络。迄今为止,取证调查未发现客户系统受到直接影响的证据,并且没有客户报告此情况发生。ABB正在恢复所有剩余受影响的服务和系统,并采取额外的安全措施来保护免受未来攻击。调查仍处于早期阶段,ABB正在与执法部门合作以减少勒索软件攻击的影响。 来源:
https://www.bleepingcomputer.com/news/security/us-govt-contractor-abb-confirms-ransomware-attack-data-theft/
瑞士大型跨国企业ABB遭勒索软件攻击,数据被盗
来源:
https://www.bleepingcomputer.com/news/security/us-govt-contractor-abb-confirms-ransomware-attack-data-theft/
2023年5月26日
新型网络钓鱼攻击利用加密消息窃取Microsoft 365账户凭据
Trustwave研究人员发现,网络钓鱼者正在使用网络钓鱼电子邮件中附加的加密受限权限消息(.rpmsg)来窃取Microsoft 365帐户凭据。这些网络钓鱼电子邮件从受感染的Microsoft 365帐户发送给在收件人公司计费部门工作的个人。电子邮件包含一个带有长URL的“阅读消息”按钮,并附带一个.rpmsg附件。受害者需要使用自己的Microsoft 365账户登录或请求一次性密码才能查看消息。在重定向的过程中,受害者会被要求点击多个按钮,并最终导向一个欺骗性的Microsoft 365登录页面,以获取他们的凭据。这种针对Microsoft 365的网络钓鱼攻击通过使用加密的.rpmsg消息来避开电子邮件扫描网关的检测。 来源:
https://www.helpnetsecurity.com/2023/05/26/phishing-encrypted-emails/
新型网络钓鱼攻击利用加密消息窃取Microsoft 365账户凭据
Trustwave研究人员发现,网络钓鱼者正在使用网络钓鱼电子邮件中附加的加密受限权限消息(.rpmsg)来窃取Microsoft 365帐户凭据。这些网络钓鱼电子邮件从受感染的Microsoft 365帐户发送给在收件人公司计费部门工作的个人。电子邮件包含一个带有长URL的“阅读消息”按钮,并附带一个.rpmsg附件。受害者需要使用自己的Microsoft 365账户登录或请求一次性密码才能查看消息。在重定向的过程中,受害者会被要求点击多个按钮,并最终导向一个欺骗性的Microsoft 365登录页面,以获取他们的凭据。这种针对Microsoft 365的网络钓鱼攻击通过使用加密的.rpmsg消息来避开电子邮件扫描网关的检测。 来源:
https://www.helpnetsecurity.com/2023/05/26/phishing-encrypted-emails/
新型网络钓鱼攻击利用加密消息窃取Microsoft 365账户凭据
https://www.helpnetsecurity.com/2023/05/26/phishing-encrypted-emails/
---End---
CSOP 2023
长按识别下方二维码即可报名:
如有侵权请联系:admin#unsafe.sh