安全周报(8.28-9.3)2023

好消息

美国联邦调查局已经成功阻止了另一个臭名昭著的恶意软件网络的活动。本周，该机构宣布拆除用于感染全球70多万台计算机的QakBot基础设施，其中仅在美国就有20多万台。除此之外，对于受Key Group勒索软件影响的受害者来说，还有一个好消息。他们现在可以使用免费的解密工具解密加密文件，该工具是基于勒索软件加密过程中发现的缺陷而构建的。

• 联邦调查局与欧洲执法机构合作，查获了52台由QakBot运营商运营的服务器。这些机构从黑客组织那里缴获了860万美元，这是非法利润，而荷兰警方从服务器上获得了76亿张凭证。该木马感染了全球70多万人，其中20多万人位于美国。相关链接
• CERT-NZ正式与NCSC合作，加强国家网络防御。这一进展是在政府宣布承诺加强网络安全准备和响应一个月后发生的。此次整合标志着在新西兰建立统一运营网络安全机构的第一步，澳大利亚、英国和加拿大等国家也在采取类似的行动。相关链接
• 网络安全公司eclectiq宣布发布了一款免费的解密工具，以破解“密钥组”勒索软件，从而使受害者不必支付赎金来恢复被加密的文件。研究人员通过发现勒索软件加密程序中的一个漏洞，成功地创建了这个工具。相关链接

坏消息

接下来是本周披露的数据泄露事件，三个加密货币平台成为了sim卡交换攻击的目标，攻击者能够未经授权访问其索赔人的敏感细节。另外，知名服装零售商Forever 21和外卖服务公司PurFoods也收到了数据泄露的通知，影响了数百万客户的个人信息。

• 美国娱乐巨头派拉蒙披露了一起涉及约100人个人身份信息的数据泄露事件。漏洞通知称，攻击者在5月至6月期间访问了该公司的系统。该公司尚未证实受影响的人群是否包括其客户和员工。相关链接
• 伦敦警察厅正在调查一起数据泄露事件，由于第三方供应商的攻击，4.7万名员工的个人信息可能被泄露。这些数据包括人员的姓名、级别和照片。相关链接
• 外卖服务公司PurFoods披露，超过120万人的个人信息在今年2月的一次勒索软件攻击中被盗。调查确定，攻击者窃取了存储在系统中的姓名、出生日期、社会安全号码、驾驶执照号码、支付卡数据、财务账户信息以及医疗和健康信息。相关链接
• 西班牙国家警察警告说，正在进行的LockBit Locker勒索软件活动通过网络钓鱼电子邮件针对该国的建筑公司。这些邮件来自一个不存在的域名fotoprix[.]eu，要求建筑公司提供一份开发计划和工作成本估算。相关链接
• 加密货币公司FTX、BlockFi和Genesis因Kroll的sim卡交换攻击而遭受数据泄露。通过将受害者的电话号码转移到新的SIM卡上，攻击者成功地访问了存储在Kroll系统中的信息，特别是包含破产索赔人个人信息的文件。相关链接
• Rapid7安全研究人员在一份新报告中表示，威胁分子正在针对思科的ASA SSL vpn进行持续的凭证填充和暴力破解攻击，以获得对网络的初始访问权限。这些攻击自3月份以来一直很活跃。此前，哔哔电脑(Bleeping Computer)上周报道称，Akira团伙破坏了思科的vpn，用于初始网络访问。相关链接
• 网络犯罪分子使用各种方法未经授权访问Airbnb账户，窃取他们的个人信息、cookie和账户检查器。被盗的数据可以进一步用于预订房产、进行欺诈性购买或进行身份盗窃。其中一种方法涉及使用使用社会工程策略的信息窃取者。相关链接
• 俄亥俄历史连接(OHC)分享了有关勒索软件攻击的最新消息，该攻击成功加密了其内部数据服务器。在攻击期间，攻击者访问了2009年至2023年OHC现任和前任员工的姓名、地址和ssn。相关链接
• 密歇根大学关闭了所有系统和服务，以应对网络安全事件，该事件中断了对重要在线服务的访问，包括Google, Canvas, Wolverine access和电子邮件。该大学与IT团队合作恢复受影响的系统。相关链接
• 服装品牌Forever 21提交的数据泄露通知显示，在今年早些时候发生的数据泄露事件中，超过50万人的个人数据受到影响。攻击者可以访问其系统三个月，并窃取了客户和员工的数据。相关链接
• Group-IB有一份关于Classiscam操作的报告，该操作使网络犯罪集团通过针对79个国家的个人，诱骗他们为网上销售的不存在的商品汇款，赚取了近6500万美元。该活动于2019年首次被观察到，现在已经高度自动化，可以在在线市场和拼车网站等许多其他服务上运行。相关链接
• Topgolf Callaway的数据泄露事件暴露了110万客户的个人和账户详细信息，其中包括与Callaway的子品牌奥德赛(Odyssey)、Ogio和Callaway Gold Preowned网站相关的客户。该事件发生在8月1日，受影响的数据包括全名、电子邮件地址、电话号码和订单历史记录。相关链接

新威胁

一个不太知名的威胁组织Earth Estries因参与针对政府和IT公司的网络间谍活动而受到研究人员的关注。在不同的活动中发现了新的Android恶意软件家族——mmrat和Infamous chisel的更新。虽然MMRat被用来瞄准东南亚的移动用户，但Infamous Chisel感染了乌克兰军方的安卓设备。

• 沉寂了两年之后，DreamBus僵尸网络在一场新的活动中重新出现，旨在传播门罗币挖矿恶意软件。该活动利用了Apache RocketMQ最近修补的漏洞(CVE-2023-33246)，允许攻击者执行远程代码执行攻击。相关链接
• Mandiant的研究人员强调，在5月份针对易受攻击的Barracuda电子邮件安全网关设备的攻击中，部署了三个定制后门程序——skipjack、Depthcharge和foxtrot。该活动是由一个名为UNC4841的威胁组织发起的。相关链接
• 据怀推测，自2021年以来，一场正在进行的活动正在利用npm包窃取软件开发人员的源代码和机密。这些软件包与加密货币域名相关联，表明攻击者背后的经济动机。相关链接
• 趋势科技分析了由Earth Estries黑客组织发起的一项新的网络间谍活动，目标是菲律宾、台湾、马来西亚、南非、德国和美国的政府和IT公司。该组织利用多个后门、黑客工具和PowerShell降级攻击从受损系统中窃取数据。相关链接
• JPCERT警告说，一种名为MalDoc in PDF的新攻击技术可以通过在PDF中嵌入恶意Word文件来绕过检测。该策略利用多语言来混淆传统的PDF分析工具并逃避检测。该PDF包含一个嵌入了VBS宏的Word文档，如果以。doc文件打开，该VBS宏会下载并安装恶意软件。相关链接
• Sophos透露，一个与FIN8黑客组织有关的威胁行为者正在利用思杰NetScaler系统的一个关键漏洞发动全域攻击。在Citrix NetScaler ADC和NetScaler网关中被滥用的漏洞被跟踪为CVE-2023-3519，可以允许攻击者发起远程代码执行攻击。相关链接
• 自6月以来，一种名为MMRat的新型安卓恶意软件被发现针对东南亚的手机用户。它在很大程度上依赖于Android无障碍服务和MediaProjection API来正常工作。它能够执行银行欺诈，在屏幕上记录用户输入和内容，并远程控制受害者的设备。
• 在针对韩国民间团体的网络钓鱼攻击中，发现了一种名为“超级熊”的新木马。据悉，此次攻击是由北韩的“Kimsuky APT”组织发起的，该组织利用了在LNK文件中插入恶意代码的“进程空心化”技术。
• 一种名为“Infamous Chisel”的新型移动恶意软件感染了乌克兰军方的安卓设备，这是俄罗斯“沙虫”威胁组织发起的一场活动。该恶意软件由一些组件组成，这些组件为攻击者提供了访问受感染设备的后门，以进行网络监控和文件传输操作。
• 研究人员指出，SapphireStealer自2022年12月发布以来，其攻击频率有所增加。在某些情况下，信息窃取是通过恶意软件下载器，如fudloader提供。该恶意软件能够窃取敏感信息，包括公司凭证。