美国证券交易委员会账户遭黑客攻击导致比特币价格波动

  Tag：SIM卡置换攻击, 网络安全实践

事件概述：

2024年1月，美国证券交易委员会（SEC）的X（原Twitter）账户被黑客攻击，导致比特币价格出现剧烈波动。黑客以SEC主席Gary Gensler的名义发布虚假信息，造成比特币价格短时间内上涨超过1000美元。随后，SEC重新控制了其X账户并确认该帖子是未经授权的安全漏洞造成的，比特币价格随后下跌超过2000美元。美国司法部表示，25岁的阿拉巴马州居民Eric Council Jr涉嫌与他人共谋，未经授权地控制SEC的X账户，并发布了SEC批准比特币交易所交易基金的虚假公告。Council因涉嫌共谋实施严重身份盗窃和访问设备欺诈而被起诉，如果罪名成立，他将面临最高五年的监禁。

黑客通过SIM卡置换攻击劫持了与@SECGov账户关联的电话号码，SEC后来证实这是黑客攻击的源头。法庭文件指控Council和共犯制造了受害者名字的虚假身份证件，冒充受害者。然后他们接管了受害者的手机账户，并访问了与受害者手机号码关联的在线社交媒体账户，以便访问SEC的X账户。这使得黑客能够以SEC主席Gensler的名义发布虚假帖子。在黑客攻击时，SEC的X账户并未启用两步验证（2FA），这导致美国立法者呼吁调查该机构的网络安全实践。美国执法机构强调了试图操纵金融市场的黑客攻击的严重性，这可能导致全球范围内的不稳定。

来源：

https://www.infosecurity-magazine.com/news/us-arrest-sec-x-account-hack/

俄罗斯RomCom攻击针对乌克兰政府并使用新的SingleCamper RAT变体

  Tag：RomCom RAT, UAT-5647

事件概述：

俄罗斯威胁行为者RomCom被发现与新一轮针对乌克兰政府机构和未知波兰实体的网络攻击有关，这些攻击自2023年底以来一直在进行。这些入侵行为的特点是使用了RomCom RAT的一个变体，被称为SingleCamper（又名SnipBot或RomCom 5.0）。据Cisco Talos监测，该活动群集的代号为UAT-5647。研究人员指出，这个版本直接从注册表加载到内存中，并使用回环地址与其加载器进行通信。RomCom自2022年出现以来，一直从事多种动机的操作，如勒索软件、敲诈和目标凭证收集。最近几个月，他们的攻击行动节奏似乎有所加快，目的是在受损网络上建立长期持久性并窃取数据，这表明了明确的间谍活动议程。    

RomCom的攻击链起始于一条鱼叉式网络钓鱼信息，该信息传递一个下载器，该下载器以C++（MeltingClaw）或Rust（RustyClaw）编码，用于分别部署ShadyHammock和DustyHammock后门。同时，一个诱骗文档被显示给接收者，以维持诡计。尽管ShadyHammock具有额外的功能，但人们认为它是DustyHammock的前身，因为后者最近在2024年9月的攻击中被观察到。SingleCamper，RomCom RAT的最新版本，负责一系列的后入侵活动，包括下载PuTTY的Plink工具以与对手控制的基础设施建立远程隧道、网络侦查、横向移动、用户和系统发现以及数据窃取。研究人员表示，这一系列针对乌克兰高级实体的攻击，可能是为了服务于UAT-5647的两步策略，即以阶段性的方式建立长期访问权限，并尽可能长时间地窃取数据以支持间谍活动，然后可能转向部署勒索软件以干扰并可能从中获得经济利益。

来源：

https://thehackernews.com/2024/10/russian-romcom-attacks-target-ukrainian.html

全球石油天然气设施遭网络攻击增加

  Tag：工业控制系统（ICS）安全威胁, Hexane

事件概述：

根据Dragos公司的最新研究，全球石油和天然气设施遭受的网络攻击正在增加，这些威胁可能会产生灾难性的结果。在上周发布的名为《全球石油和天然气网络威胁视角》的报告中，Dragos详细描述了石油和天然气公司的工业控制系统（ICS）安全威胁正在增加。Dragos在2019年黑帽会议上讨论了这项研究，也发现了一个新的威胁组织，该组织能够对ICS进行攻击，目前正在针对石油和天然气设施。这个被称为“Hexane”的组织自2018年以来一直活跃，也在针对中东、中亚和非洲的电信公司。    

Dragos的报告指出，随着全球各国之间的政治冲突激增，针对石油和天然气公司的ICS安全威胁也在增加。例如，Dragos称之为Magnallium的伊朗威胁组织已经对美国目标发动了攻击。报告中详细说明，由于石油和天然气设施的炼油过程涉及易燃物质，可能导致爆炸，因此网络攻击导致生命损失的可能性比电力设施更高。然而，Caltagirone强调，到目前为止，没有迹象表明最近的ICS安全威胁试图导致生命损失。相反，Dragos认为，针对石油和天然气公司的黑客活动旨在破坏运营或“进一步的政治、经济和国家安全目标”。

来源：

https://www.techtarget.com/searchsecurity/news/252468175/ICS-security-threats-rising-targeting-oil-and-gas-facilities

俄罗斯关联团队APT29大规模攻击Zimbra和JetBrains TeamCity服务器

  Tag：APT29, CVE-2022-27924

事件概述：

美国和英国的网络安全机构警告，与俄罗斯关联的网络间谍团队APT29（又名SVR集团，BlueBravo，Cozy Bear，Nobelium，Midnight Blizzard和The Dukes）正在大规模攻击Zimbra和JetBrains TeamCity的脆弱服务器。自2021年4月以来，俄罗斯的国家赞助的黑客已经利用了包括Zimbra的CVE-2022-27924和JetBrains TeamCity的CVE-2023-42793在内的漏洞，通过注入命令访问凭证和电子邮件，以及通过身份验证绕过执行任意代码。这些威胁行为者在全球范围内的各种行业组织中使用了上述问题的漏洞攻击，使APT组能够访问敏感数据并部署进行持续数据收集的基础设施。    

联邦调查局（FBI），国家安全局（NSA），网络国家任务部队（CNMF）和英国国家网络安全中心（NCSC-UK）发布了联合网络安全咨询（CSA），警告俄罗斯联邦外国情报局（SVR）在最近的网络操作中使用的战术，技术和程序（TTPs）。政府机构警告说，俄罗斯的APT29组具有利用更多CVE进行初始访问，远程代码执行和权限升级的能力和意图。网络机构建议组织应用这些公开披露的漏洞的供应商发布的补丁。

来源：

https://securityaffairs.com/169708/apt/apt29-target-zimbra-and-jetbrains-teamcity.html

Pegasus恶意软件：功能、使用和历史

  Tag：Pegasus恶意软件, NSO集团

事件概述：

Pegasus恶意软件是由以色列网络安全公司NSO集团开发的间谍软件，能够入侵iOS和Android设备并窃取包括文本消息、电子邮件、键盘记录、音频和已安装应用程序信息等数据。该软件还能记录对话和视频，以及通过设备的摄像头拍摄照片。攻击者可以通过Pegasus悄悄收集高价值目标的信息，包括拥有战略公司信息的高管和能接触到国家或国际秘密的政府官员。Pegasus恶意软件的价格据说非常昂贵，因此并未用于对普通公众进行间谍活动。

Pegasus恶意软件的攻击开始于一个简单的网络钓鱼计划：攻击者确定目标，然后通过电子邮件、社交媒体、短信或其他消息将网站URL发送给目标。在Pegasus iOS恶意软件的情况下，用户点击链接后，恶意软件会秘密地对受害者的iPhone进行三次零日攻击，远程越狱以便安装间谍软件。安装Pegasus后，它开始联系操作员的命令和控制服务器以接收和执行操作员的命令。该间谍软件包含恶意代码、进程和应用程序，监视用户在设备上的操作，收集数据并报告用户的行为。恶意软件可以访问和外泄来自应用程序的呼叫、电子邮件、消息和日志，包括Facebook、X、Instagram、Facetime、Gmail和WhatsApp。间谍软件越狱用户的设备后，它会破坏设备上已经安装的原始应用程序以捕获数据，而不是下载这些应用程序的恶意版本。越狱使得恶意软件对目标手机有更广泛的控制。Pegasus for Android不需要零日漏洞就可以根植目标设备并安装恶意软件。相反，恶意软件使用一种众所周知的根植技术，称为Framaroot。

来源：

https://www.techtarget.com/searchsecurity/definition/Pegasus-malware

印度APT组织SideWinder针对亚非高级机构进行扩大入侵

  Tag：SideWinder, StealerBot

事件概述：

据《黑客新闻》报道，包括政府和军事实体在内的许多亚非高级机构，以及金融公司和电信公司，都受到了被怀疑的印度国家支持的APT组织SideWinder（也被称为APT-C-17、Rattlesnake和T-APT-04）的扩大入侵。SideWinder的攻击从发送带有恶意LNK文件的ZIP文件或Office文档的鱼叉式网络钓鱼邮件开始，这触发了一个多阶段的感染链，包括JavaScript恶意软件和后门加载模块，最终导致部署复杂的.NET-based StealerBot有效载荷。

Kaspersky的一份报告显示，StealerBot除了允许截图捕获、键盘记录、浏览器密码窃取和文件盗窃外，还可以实现远程桌面凭证窃取、Windows凭证网络钓鱼和进一步的恶意软件注入。Kaspersky表示：“SideWinder可能会因为使用公开的漏洞、恶意LNK文件和脚本作为感染向量，以及使用公开的RATs，而被认为是技术水平较低的行动者，但当你仔细检查他们的操作细节时，他们的真正能力才会显现出来。”这强调了多因素认证、威胁情报共享和自动化安全措施的重要性。

来源：

https://www.scworld.com/brief/expanded-attacks-deployed-by-sidewinder-apt

微软警告多个勒索软件团伙利用VMware ESXi漏洞

  Tag：CVE-2024-37085, ESXi hypervisor

事件概述：

微软警告称，包括Black Basta在内的多个勒索软件团伙正在利用一个VMware ESXi漏洞，这可能使攻击者获得受影响机器的完全管理权限。这个被标记为CVE-2024-37085的中等严重性的身份验证绕过漏洞目前正在被勒索软件团伙积极利用。利用此漏洞，拥有Windows Active Directory权限的攻击者可以完全访问ESXi hypervisor主机，可能影响关键网络服务器。微软的研究人员观察到了几个勒索软件操作者，包括Storm-0506、Storm-1175和Octo Tempes，利用这个漏洞部署Black Basta和Akira勒索软件。微软强调，过去三年中，涉及ESXi hypervisors的事件响应任务已经增加了一倍以上，尤其是涉及勒索软件的情况更为危险。

CVE-2024-37085漏洞的出现，使得攻击者可以利用Windows Active Directory权限完全访问ESXi hypervisor主机。微软研究人员发现，攻击者可以利用这个漏洞提升其在ESXi hypervisor上的权限至完全管理权限。研究人员还发现了攻击者可以利用CVE-2024-37085的三种方式，其中第一种方式，即添加ESX管理员组和用户到域中，目前是被勒索软件团伙积极利用的唯一方式。微软建议企业实施多因素认证（MFA），将特权账户与生产力账户隔离，并改善关键资产的姿态。微软还指出，ESXi是攻击者的热门目标，因为hypervisors的安全产品选项有限，对安全操作中心团队构成了可见性挑战。

来源：

https://www.techtarget.com/searchsecurity/news/366599377/Microsoft-Ransomware-gangs-exploiting-VMware-ESXi-flaw

卡西欧遭受勒索软件攻击，部分系统受损，个人信息泄露

  Tag：勒索软件攻击, 网络安全防护

事件概述：

日本电子巨头卡西欧公司在一周前遭受了一次勒索软件攻击，导致其部分企业系统和服务仍然受损，个人信息被泄露。卡西欧在周五的一份通知中声称，10月5日的系统故障使得多个系统无法使用，此后他们被告知发生了未经授权的入侵。经调查后，他们确认服务器显示出未经授权的访问迹象。为此，他们请求了一位外部安全专家进行取证调查，并在同一天采取措施关闭了从互联网和内部网络遭受未经授权访问的服务器，因为他们怀疑是使用勒索软件的网络攻击。目前，公司及其附属公司的一些重要系统已经无法使用，一些服务也受到影响。损害的全貌仍在调查中，但公司已经成立了一个专门小组，正在努力快速恢复内部系统并恢复运营。据X（前推特）上发布的截图显示，地下勒索软件组织可能对此次入侵负责，声称拥有卡西欧205GB的被盗数据。

卡西欧公司的这次网络攻击事件再次提醒我们，无论企业规模大小，都必须重视网络安全防护。在这次攻击中，卡西欧在发现异常后，迅速采取了关闭服务器、请求外部安全专家进行取证调查等措施，显示了其对网络安全的高度重视。然而，这次攻击的影响仍然严重，不仅使得公司的一些重要系统无法使用，影响了正常的业务运营，还导致大量个人信息被泄露。这表明，企业在防范网络攻击时，不仅要重视防护措施的实施，还要注重数据的安全存储和备份，以减少数据泄露的风险。同时，企业还需要建立完善的应急响应机制，一旦发生网络攻击，能够迅速采取措施，最大限度地减少损失。此外，对于网络攻击的预防，企业还需要注重员工的网络安全意识培养，通过定期的培训和教育，提高员工对网络安全的认识，增强其防范意识，防止因为员工的疏忽导致的网络安全事件。

来源：

https://www.infosecurity-magazine.com/news/casio-confirms-ransomware-outage/

电邮钓鱼安全：各类攻击手法与防御策略

  Tag：电邮钓鱼, 威胁检测系统

事件概述：

来源：

https://www.techtarget.com/searchsecurity/feature/Words-to-go-Email-phishing-security

Strar Health保险公司数据泄露事件分析

  Tag：直接对象引用（IDOR）, 多因素认证

事件概述：

本次事件中，威胁行为者似乎使用了不安全的直接对象引用（IDOR）在API中进行身份验证，然后访问数据，并编造故事诬陷CISO和他的团队。这种技术手段在网络安全领域并不少见，但在此次事件中的使用引起了人们的注意。此外，据称，这次攻击中使用的用户名和密码实际上源自于之前的一次公开的暗网事件中的凭证泄露。这再次强调了多因素认证在防止此类攻击中的重要性。此外，事件还揭示了威胁情报共享的重要性。据报道，威胁行为者Xenzen在过去已经针对印度公民显示出恶意行为，并有类似行为的历史。如果企业能够共享威胁情报，可能会提前发现此类威胁行为者的恶意行为，从而提前做好防范。最后，事件也强调了自动化安全措施的重要性。如实时监控、对交易量的报告以及对个人身份信息（PII）数据的管理等，都是防止此类事件发生的关键措施。

来源：

https://ciso.economictimes.indiatimes.com/news/cybercrime-fraud/star-health-data-breach-evidence-shows-ciso-is-being-wrongly-implicated/114127544?utm_source=top_story&utm_medium=latestNews

- END -