安全公司LogicMonitor透露其部分客户遭到网络攻击
发布时间 2023-09-051、安全公司LogicMonitor透露其部分客户遭到网络攻击
据媒体8月31日报道,网络安全公司LogicMonitor透露,其SaaS平台的部分用户遭到攻击。LogicMonitor在更新中称其发现us-west-2、us-east-1和eu-west-1的部分客户的门户访问权限丢失,目前该问题已得到解决。公司没有说明是勒索攻击,但据消息人士称,攻击者入侵了客户帐户,能够创建本地帐户并安装勒索软件。勒索软件是使用该平台的本地LogicMonitor Collector传感器部署的,此传感器监控用户基础设施,但也具有脚本功能。据悉,受影响客户使用了LogicMonitor分配给新用户的默认弱密码,因而遭到了攻击。
https://www.bleepingcomputer.com/news/security/logicmonitor-customers-hacked-in-reported-ransomware-attacks/
2、保险公司Trygg-Hansa泄露65万客户数据被罚款300万美元
9月4日媒体称,保险公司Trygg-Hansa因泄露65万客户的数据,被瑞典隐私保护局(IMY)罚款300万美元。Moderna Försäkringar(现为Trygg-Hansa的一部分)的客户发现可通过发送给客户的报价页面上的链接进入保险公司的后台,并向IMY举报了此事。IMY调查确认,无需身份验证即可访问后端数据库,并且可以通过修改URL中的连续客户端ID来浏览其他个人的文档。该事件影响约了650000名客户,泄露时间长达两年多,从2018年10月至2021年2月。IMY表示,在收到有关漏洞的报告后该公司始终未能解决问题,决定对此处以300万美元行政处罚。
https://www.bleepingcomputer.com/news/security/insurer-fined-3m-for-exposing-data-of-650k-clients-for-two-years/
3、Interlab发现利用木马SuperBear针对韩国的攻击活动
Interlab在9月1日称其发现了针对韩国民间团体的钓鱼攻击,利用了新型RAT SuperBear。据悉,一名新闻工作者收到有针对性的钓鱼邮件,其中包含恶意LNK文件。LNK文件会启动PowerShell命令来执行VB脚本,该脚本又会从WordPress网站获取下一阶段payload,包括一个Autoit3.exe二进制文件和一个AutoIt脚本。AutoIt脚本使用进程空洞技术执行进程注入,在这种情况下,会生成一个Explorer.exe实例来注入SuperBear。该RAT可窃取数据,下载并运行其它shell命令和动态链接库(DDL)。
https://interlab.or.kr/archives/19416
4、Labyrinth Chollima是近期VMConnect攻击的幕后黑手
据8月31日报道,ReversingLabs将VMConnect活动与Lazarus的子团伙Labyrinth Chollima联系起来。8月初,研究人员发现了一个恶意供应链活动“VMConnect”,向PyPI存储库上传了两打恶意Python包。现在又发现了另外三个恶意包,tablediter、request-plus和requestspro,它们被认为是VMConnect活动的继续。研究人员将其归因于Labyrinth Chollima是基于这些活动中使用的恶意代码的相似性。
https://securityaffairs.com/150197/apt/labyrinth-chollima-pypi-supply-chain-attacks.html
5、Group-IB发布关于Classiscam攻击活动的分析报告
8月31日,Group-IB发布了关于Classiscam在全球范围内攻击活动的分析报告。报告称,Classiscam通过欺骗分类广告网站用户并窃取他们的资金和支付卡详细信息,已赚取了6450万美元。目标品牌的数量也从去年的169个增加到251个,目前有393个攻击团伙针对79个国家的用户,有1366个Telegram频道进行协调。欧洲遭到的攻击最多,其中德国被攻击用户最多,其次是波兰、西班牙、意大利和罗马尼亚。英国用户的平均损失金额最高,为865美元,而全球平均水平为353美元。
https://www.group-ib.com/blog/classiscam-2023/
6、FortiGuard发布关于勒索软件Rhysida的综述报告
8月31日,FortiGuard发布了关于勒索软件Rhysida的综述报告。Rhysida是一个新的勒索团伙,它使用RaaS模型,第一个样本于5月提交到公共文件扫描服务。Rhysida依赖钓鱼攻击作为感染载体,攻击者还使用Cobalt Strike在目标网络内横向移动并传递payload。该团伙已列出41个被攻击目标,其中超过一半位于欧洲,其次是北美。攻击主要针对教育行业(占比30%以上),其次是制造业、政府机构和IT行业。
https://www.fortinet.com/blog/threat-research/ransomware-roundup-rhysida
京公网安备11010802024551号