安全威胁情报周报(11.27~12.3)
2023-12-3 22:18:46 Author: 微步在线研究响应中心(查看原文) 阅读量:5 收藏

Xenomorph恶意软件针对30多家美国银行发起攻击

  TagXenomorph恶意软件,ThreatFabric

事件概述:

在数字化攻击不断演进的今天,威胁分析师发现了Xenomorph恶意软件的最新攻击活动,近期扩大攻击范围直指30多家美国银行对葡萄牙和多个加密货币钱包发动攻击活跃的攻击活动导致Xenomorph大量下载,尤其在西班牙和美国。威胁组织采用强大的分发策略,利用钓鱼网页引诱受害者下载恶意APK文件与跨大西洋的恶意软件趋势相呼应,Xenomorph的传播模式与其他恶意软件家族相似,包括主导的恶意软件即服务(MaaS)名称如Octo、Hydra和Hook,以及Anatsa。

来源:https://www.threatfabric.com/blogs/xenomorph-malware-strikes-again-over-30-us-banks-now-targeted


加拿大政府遭LockBit勒索软件攻击,工作人员数据受影响

  TagLockBit勒索软件,多因素认证

事件概述:

2023年9月底,加拿大政府遭受了一场重大的网络攻击,影响了数千名公共部门工作人员的个人数据,包括世界著名的皇家加拿大骑警(RCMP)的警官。此次攻击主要针对两家为加拿大政府提供人员搬迁服务的专业供应商,即Brookfield Global Relocation Services (BGRS)和SIRVA Worldwide Relocation & Moving Services。据悉,攻击者通过LockBit勒索软件窃取了1.5TB的文件,并透露与SIRVA的谈判失败。随后,加拿大政府开始调查此次数据泄露事件,并采取积极的预防措施支持可能受影响的人员。政府还敦促现在或曾经可能面临风险的员工更新可能与BGRS或SIRVA使用相似的登录凭据,并在用于在线交易的任何账户上启用多因素认证,并监控在线账户的异常活动。

此外,对于可能受到影响的公务员,政府还提供了信用监控等服务,并可能重新发放可能已经被泄露的有效护照。这种积极的应对措施显示出政府对于网络安全的重视,也为其他机构提供了应对类似攻击的参考。

来源:https://www.computerweekly.com/news/366560552/Canadas-Mounties-among-government-employees-hit-by-LockBit

美国北德克萨斯州市政水务局遭受勒索软件攻击

  TagNTMWD,勒索

事件概述:

美国北德克萨斯市政水务局(NTMWD)近日遭到Daixin Team团队的勒索软件攻击勒索软件组织声称已成功侵入系统并威胁泄露窃取的数据。NTMWD作为北德克萨斯地区的水务局,负责为成员城市和客户提供批发水务、废水处理和固体废物服务,是该地区关键的政府实体。Daixin Team将NTMWD列为其Tor泄漏站点上的受害者之一,并宣称已窃取大量敏感数据,包括董事会会议记录、内部项目文档、人员详细信息和审计报告等。公司面临数据泄露可能导致未来数月内发生欺诈的威胁。此外,公司宣布目前仅遭受“电话服务中断”。

该勒索软件团伙已发布一份.txt文件,其中包含据称被窃取的33844个文件清单。值得注意的是,早在2022年10月,CISA、FBI和HHS曾发出警告,指出Daixin Team网络犯罪团队正积极以勒索软件攻击为主要手段,主要针对美国的医疗保健和公共卫生领域。Daixin Team是一支自2022年6月活跃至今的勒索软件和数据勒索团队,专注于HPH领域。该团队通过VPN服务器获得初始访问权限,而攻击手法涉及利用未打补丁漏洞、窃取凭据以及通过钓鱼攻击获取VPN凭据。联邦机构发布的警报提供了威胁追踪指标(IOCs)和MITRE ATT&CK的战术和技术信息,显示攻击者在获得访问权限后通过SSH和RDP进行横向移动,并利用各种手段升级权限,最终交付勒索软件。

来源:https://securityaffairs.com/154881/cyber-crime/daixin-team-north-texas-municipal-water-district.html?web_view=true

通用电气(GE)遭网络攻击,军事信息发生泄露

  Tag通用电气,数据泄露

事件概述:

通用电气(GE),一家涉足电力、可再生能源和航空航天等领域的美国跨国公司,近期成为网络攻击目标。据称,威胁组织IntelBroker在黑客论坛上以500美元的价格试图出售对通用电气“开发和软件管道”的访问权限,未成功后又宣称整体出售网络访问权限和据称被窃取的数据。

作为入侵证据,IntelBroker分享了所谓窃取的通用电气数据的截图,其中包括通用电气航空部门数据库,涉及军事项目的信息。通用电气已确认对这些指控展开调查,并表示将采取适当措施以确保系统完整性。

值得注意的是,IntelBroker是曾成功进行高调网络攻击的黑客,此前曾涉及Weee!杂货服务和哥伦比亚特区DC Health Link计划的个人信息盗窃。这次入侵尚未得到证实,但引发了社会广泛关注,回顾了此前DC Health Link事件,揭示了服务器配置错误导致数据在线上可访问的问题。通用电气正面临潜在的敏感信息泄露风险,这引发了对网络安全的关切,并需要密切关注后续调查进展。

来源:https://www.bleepingcomputer.com/news/security/general-electric-investigates-claims-of-cyber-attack-data-theft/

朝鲜组织Lazarus利用MagicLine4NX 0day漏洞进行供应链攻击

  TagAPT,Lazarus黑客组织

事件概述:

英国国家网络安全中心(NCSC)和韩国国家情报院(NIS)发布联合告警,指出与朝鲜有关的APT 组织 Lazarus 正在利用MagicLine4NX软件的0day漏洞进行供应链攻击。MagicLine4NX是由韩国公司Dream Security开发的联合证书程序,用户可以使用它进行联合证书登录并数字签名交易。据微软称,此次供应链攻击影响了日本、台湾、加拿大和美国等多个国家的 100 多台设备。

技术手法: 威胁组织利用MagicLine4NX软件的0day漏洞进行供应链攻击,这是一种新的威胁模式。首先,黑客通过水坑攻击,将恶意脚本部署到媒体网站的文章中,只针对使用特定IP范围的访问者。当使用MagicLine4NX认证软件的用户访问被攻击的网站时,恶意代码会执行,使攻击者完全控制系统。然后,攻击者通过利用系统漏洞,从网络连接的PC非法访问互联网侧服务器。攻击者滥用网络连接系统的数据同步功能,将恶意代码传播到业务侧服务器渗透业务PC,目的是窃取信息。最后阶段的恶意软件连接到两个C2服务器,一个是网络连接系统的业务端服务器,作为中间的网关,另一个位于互联网的外部。这种攻击模式的复杂性和高效性显示了APT Lazarus的高级技术能力,也提醒我们需要提高对供应链攻击的防范意识,强化系统的安全防护措施。


来源:https://securityaffairs.com/154765/apt/lazarus-magicline4nx-supply-chain-attack.html

漏洞通告 | Apache ActiveMQ 远程代码执行漏洞

  Tag远程代码执行漏洞

事件概述

Apache ActiveMQ 是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它实现了 Java Message Service (JMS) 规范。作为一个消息中间件,它充当了应用程序之间的通信桥梁,允许不同的应用程序在分布式环境中进行可靠的异步通信。

微步漏洞团队于2022年7月通过“X 漏洞奖励计划”获取到Apache ActiveMQ jolokia 远程代码执行漏洞情报。经过身份认证后的攻击者可通过发送HTTP请求,修改配置文件后写入恶意文件,进而完全控制主机。

微步漏洞团队在获取该漏洞情报后联系官方修复,并获得官方致谢(CVE-2022-41678)。该漏洞需要以下利用条件:1Web控制台可访问(默认端口8161)2需要登录(通常结合弱口令/密码泄露)建议受影响的用户,根据以上利用条件,酌情处置。


来源:https://mp.weixin.qq.com/s/vmYt5jhbMVYf3lfUPU6buA

2023年11月27日

BlackCat勒索软件团伙再次攻击美国医疗巨头Henry Schein

美国医疗公司Henry Schein本月遭受 BlackCat勒索软件团伙的第二次网络攻击,该团伙还在10月份侵入了他们的网络。Henry Schein是一家财富500强的医疗产品和服务提供商,该公司首次在10月15日披露,由于受到网络攻击的影响,不得不将部分系统下线。一个多月后,也就是11月22日,该公司表示,由于再次受到黑猫勒索软件的攻击,其部分应用和电子商务平台再次被关闭。勒索软件团伙在其暗网泄露站点上添加了Henry Schein,称其侵入了该公司的网络,并据称窃取了35TB的敏感数据。

此外,勒索软件团伙称,他们在10月底的谈判破裂之际,重新加密了Henry Schein的设备,而该公司当时正处于恢复系统的边缘。这使得本月的事件成为自10月15日以来,勒索团伙在侵入Henry Schein的网络后,第三次加密其系统

来源https://www.bleepingcomputer.com/news/security/healthcare-giant-henry-schein-hit-twice-by-blackcat-ransomware/

---End---


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247503976&idx=1&sn=4a34f8e30807e2fb3bd32e9cc4fab465&chksm=cfcab37cf8bd3a6a095553a51d3afc0ed1e04b103937368bd975c5a42b04d2e7fc41b28934dd&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh