Okta透露其支持管理系统遭到入侵部分信息泄露
发布时间 2023-10-231、Okta透露其支持管理系统遭到入侵部分信息泄露
据媒体10月20日报道,攻击者利用窃取的凭据入侵了Okta的支持管理系统,导致cookie和会话令牌等数据泄露。该公司尚未提供哪些客户信息受到影响的详情,但攻击者可能访问了用于复制浏览器活动来排除问题的HTTP存档(HAR)文件,以及Okta客户上传的部分文件。BeyondTrust表示它是受影响的客户之一,于10月2日发现并阻止了使用从Okta系统窃取的cookie登录内部Okta管理员帐户的尝试。Cloudflare于10月18日在其服务器上发现了与Okta漏洞相关的恶意活动。
https://securityaffairs.com/152803/data-breach/okta-support-system-breached.html
2、执法机构捣毁Ragnar Locker基础设施并逮捕其开发者
据10月21日报道,执法机构在一次联合行动中捣毁了勒索软件Ragnar Locker的基础设施,并逮捕了相关的开发人员。自2020年以来,Ragnar Locker已攻击了全球168家公司。欧洲刑警组织表示,该团伙的“主要目标”于10月16日在法国巴黎被捕,他在捷克的家也被搜查。随后几天,执法机构在西班牙和拉脱维亚审问了5名嫌疑人。这是针对该团伙的第三次行动,在此次协调行动中,扣押了加密资产,捣毁了Ragnar Locker的Tor网站,还关闭了9台服务器。
https://thehackernews.com/2023/10/europol-dismantles-ragnar-locker.html
3、Cisco披露已被利用的新IOS XE漏洞CVE-2023-20273
10月20日报道称,Cisco披露了一个新漏洞(CVE-2023-20273),可用于部署恶意植入程序。攻击者自9月18日起就利用身份验证绕过漏洞(CVE-2023-20198)入侵IOS XE设备。随后,他们会利用提权漏洞(CVE-2023-20273)来获得root访问权限并完全控制Cisco IOS XE设备,以安装恶意植入程序。据估计,有超过40000台IOS XE设备已遭到利用这两个漏洞的攻击。Cisco计划于10月22日发布这两个漏洞的修复程序。
https://www.bleepingcomputer.com/news/security/cisco-discloses-new-ios-xe-zero-day-exploited-to-deploy-malware-implant/
4、美国保险公司AmFam遭到攻击导致服务中断长达一周
媒体10月21日报道,美国家庭保险公司(American Family Insurance)遭到攻击,部分IT系统关闭。AmFam拥有13000名员工,2022年收入为144亿美元。自上周末以来,该公司的系统发生中断,影响了电话服务、楼宇连接和在线服务等。据悉,遭到攻击后,AmFam中断了互联网连接,这也影响了同一栋大楼的其他租户。客户报告称无法在线支付账单或提出索赔,只能收到提示信息称在线网站已瘫痪,请改用电话联系。目前尚不清攻击类型,但这些迹象与勒索攻击类似。
https://www.bleepingcomputer.com/news/security/american-family-insurance-confirms-cyberattack-is-behind-it-outages/
5、微软披露多个黑客团伙利用TeamCity漏洞的攻击活动
10月18日,微软披露了Lazarus和Andariel团伙利用TeamCity服务器中漏洞(CVE-2023-42793)的攻击活动。该漏洞可被未经身份验证的攻击者用来远程执行代码,已于9月份修复。Lazarus在一个攻击链中安装了ForestTiger,在另一个攻击链中通过DLL搜索顺序劫持攻击来启动恶意软件加载程序FeedLoad,然后安装远程访问木马。Andariel会在目标系统中创建管理员账户“krtbgt”,运行命令收集系统信息,最后下载一个安装代理工具HazyLoad的payload。
https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/
6、Symantec发布关于APT34攻击中东地区机构的分析报告
10月19日,Symantec发布了关于APT34攻击中东地区机构的分析报告。APT34(又名OilRig)在今年2月至9月对中东的机构进行了长达8个月的攻击。在攻击过程中,该团伙窃取了文件和密码,并在一个案例中安装了PowerShell后门(名为PowerExchange),该后门监控从Exchange发送的邮件,来执行以邮件形式发送的命令。目前,至少有12台计算机遭到攻击,有证据表明攻击者在另外数十台计算机上安装了后门和键盘记录程序。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/crambus-middle-east-government
京公网安备11010802024551号