意大利企业受到武器化的 USB 传播加密劫持恶意软件的攻击
发布时间 2024-02-021月31日,一个名为UNC4990的出于经济动机的威胁行为者正在利用武器化 USB 设备作为初始感染媒介,以意大利的组织为目标。UNC4990 操作通常涉及广泛的 USB 感染,然后部署 EMPTYSPACE 下载程序。在这些操作过程中,集群依赖 GitHub、Vimeo 和 Ars Technica 等第三方网站来托管编码的附加阶段,并在执行链的早期通过 PowerShell 下载和解码。UNC4990 自 2020 年底开始活跃,根据意大利基础设施广泛用于指挥与控制 (C2) 目的,据评估在意大利境外运营。目前尚不清楚 UNC4990 是否仅充当其他参与者的初始访问促进者。威胁行为者的最终目标也不清楚,尽管在一个例子中,据说在经过数月的信标活动后部署了开源加密货币挖矿程序。
https://thehackernews.com/2024/01/italian-businesses-hit-by-weaponized.html?&web_view=true
2. CISA 警告 iOS、iPadOS 和 macOS 中的严重漏洞被主动利用
2月1日,美国网络安全和基础设施安全局 (CISA)根据活跃利用的证据,将影响 iOS、iPadOS、macOS、tvOS 和 watchOS 的高严重性缺陷添加到其已知可利用漏洞 ( KEV ) 目录中。该漏洞编号为CVE-2022-48618(CVSS 评分:7.8),涉及内核组件中的错误。苹果在一份公告中表示, “具有任意读写能力的攻击者可能能够绕过指针身份验证”,并补充说该问题“可能已被针对 iOS 15.7.1 之前发布的 iOS 版本所利用”。这家 iPhone 制造商表示,该问题已通过改进检查得到解决。目前尚不清楚该漏洞如何在现实世界的攻击中被武器化。有趣的是,该漏洞的补丁于 2022 年 12 月 13 日随iOS 16.2、iPadOS 16.2、macOS Ventura 13.1、tvOS 16.2和watchOS 9.2的发布而发布,尽管一年多后的 2024 年 1 月 9 日才公开披露。值得注意的是,苹果确实在 2022 年 7 月 20 日发布的 iOS 15.6 和 iPadOS 15.6 中解决了内核中的类似缺陷( CVE-2022-32844 ,CVSS 评分:6.3)。
https://thehackernews.com/2024/02/cisa-warns-of-active-exploitation-of.html
3. 卡巴斯基2024年预测:勒索软件横行
2月1日,卡巴斯基发布了工业控制系统网络应急响应小组 (ICS CERT) 2024 年的预测,概述了工业企业在未来一年面临的主要网络安全挑战。这些预测强调了勒索软件威胁的持续存在、世界政治黑客行动主义的兴起、对“进攻性网络安全”状况的展望,以及物流和运输威胁的变革性转变。回顾 2023 年,卡巴斯基预测工业网络安全格局将继续发展,并出现几个关键趋势。IIoT 和 SmartXXX 系统对效率的追求推动了攻击面的扩大,而能源运营商价格的飙升导致硬件成本上升,促使战略转向云服务。政府对工业流程的越来越多的参与也带来了新的风险,包括由于员工资格不足和负责任的披露实践不足而导致数据泄露的担忧。2024 年工业企业面临的网络安全形势包括:针对高价值实体的勒索软件、世界政治抗议黑客行动主义和更微妙的威胁和检测挑战等。
https://www.darkreading.com/vulnerabilities-threats/kasperskys-ics-cert-predictions-for-2024-ransomware-rampage-cosmopolitical-hacktivism-and-beyond
4. Europcar否认5000万用户数据泄露,称数据是假的
1月31日,汽车租赁公司 Europcar 表示,在威胁行为者声称出售 5000 万客户的个人信息后,该公司并未遭受数据泄露,而且共享的客户数据是伪造的。有人声称在一个流行的黑客论坛上出售 48,606,700 Europcar.com 客户的数据。该帖子包含 31 名 Europcar 客户的被盗数据样本,包括姓名、地址、出生日期、驾驶执照号码和其他信息。Europcar 告诉 BleepingComputer 他们相信这些数据是使用人工智能创建的,但 Hunt 指出,一些电子邮件地址是真实的,出现在 Have I Been Pwned 监控的之前的数据泄露事件中。正如安全研究人员NexusFuzzy指出的那样 , 现有的项目 允许任何人创建看起来几乎与虚假数据泄露样本中共享的数据一模一样的数据。虽然 威胁行为者已经使用人工智能 作为其诈骗和攻击的一部分,并且 未来可能会扩大其使用范围,但这一事件似乎并不是其中之一。
https://www.bleepingcomputer.com/news/security/europcar-denies-data-breach-of-50-million-users-says-data-is-fake/
5. 数百个被盗的 RIPE 凭证在暗网上出售
2月1日,RIPE 是中东各国以及欧洲和非洲各国的 IP 地址及其所有者数据库,最近已成为热门目标,因为攻击者为了收集信息而破坏了帐户登录。不良行为者利用获得的 RIPE 和其他门户的泄露凭据来探测受害者可能有特权访问的其他应用程序和服务。根据我们的评估,此类策略增加了他们成功入侵目标企业和电信运营商网络的机会。本月早些时候, Orange Spain 遭受了互联网中断,原因是黑客侵入了该公司的 RIPE 帐户,错误配置了 BGP 路由和 RPKI 配置。Resecurity 总共在 RIPE 和其他区域网络(包括 APNIC、AFRINIC 和 LACNIC)中发现了 1,572 个客户帐户,这些帐户因涉及Redline、Vidar、Lumma、Azorult 和 Taurus 等 知名密码窃取程序的恶意软件活动而受到损害。
https://www.darkreading.com/cyberattacks-data-breaches/looted-ripe-credentials-for-sale-on-dark-web
6. 江森自控称勒索软件攻击造成 2700 万美元损失
1月31日,江森自控国际公司 (Johnson Controls International) 确认,2023 年 9 月的一次勒索软件攻击给该公司造成了 2700 万美元的费用,并导致黑客窃取公司数据后发生数据泄露。江森自控是一家开发和制造工业控制系统、安全设备、空调和消防安全设备的跨国企业集团。正如 BleepingComputer 首次报道的那样, 江森自控 在其亚洲办事处最初遭到入侵后,于 9 月份遭受了勒索软件攻击,攻击者遍布整个网络。此次攻击迫使该公司关闭了大部分 IT 基础设施,从而影响了面向客户的系统。Dark Angels 勒索软件团伙是此次攻击的幕后黑手,并声称从 Johnson Controls 窃取了超过 27 TB 的机密数据。随后,威胁行为者索要 5100 万美元的赎金,以删除数据并提供文件解密器。Dark Angels 是一个勒索软件团伙,于 2022 年 5 月发起,使用基于现已解散的 Babuk 和 Ragnar Locker 操作的泄露源代码的加密器。该公司承认服务中断,后来将原因归因于“网络安全事件”,但没有提供有关攻击类型或导致数据泄露的可能性的详细信息。
https://www.bleepingcomputer.com/news/security/johnson-controls-says-ransomware-attack-cost-27-million-data-stolen/
京公网安备11010802024551号