伪装成工资单的网络钓鱼邮件 Qshing
发布时间 2024-02-041. 伪装成工资单的网络钓鱼邮件 Qshing
2月2日,AhnLab 安全情报中心 (ASEC) 最近发现了关于的 Qshing 电子邮件的传播情况。Qshing 是“QR 码”和“网络钓鱼”两个词的复合名词,扫描 QR 码时会导致安装恶意应用程序或将用户引导至网络钓鱼网站。正在分发的电子邮件如图1所示,伪装成2024年第一季度的工资收据确认函,内容包括提示用户使用手机扫描二维码领取工资补贴的消息。威胁行为者使用“ahnlab.com”伪装发件人电子邮件地址,但实际的发件人电子邮件地址可以在电子邮件标头中看到。然而,由于用户通常不会检查电子邮件标头,因此他们很难意识到发件人电子邮件地址已被伪造。
https://asec.ahnlab.com/en/61104/
2. SeedProd 插件中的漏洞影响 90 多万个 WordPress 网站
2月1日,一个流行的 WordPress 插件中发现了一个高严重性缺陷。受影响的插件,SeedProd 的 Website Builder,安装量超过 900,000 次。SeedProd 的 Website Builder 是一款功能强大且用户友好的 WordPress 插件,旨在简化创建和自定义网站的过程。SeedProd 因其拖放功能而成为 WordPress 用户中非常受欢迎的选择,使用户无需编写代码即可轻松设计和构建自定义网站。该缺陷被称为 CVE-2024-1072,严重程度为 8.2 级(满分 10 级)。这种高评级强调了它可能造成的潜在破坏,允许未经授权的人员篡改 WordPress 网站的结构。CVE-2024-1072 的根本原因在于“seedprod_lite_new_lpage”函数中缺少功能检查。这种缺失意味着即使未经身份验证的用户也可能会按照自己的意愿扭曲和转换网页内容,将即将推出或维护的页面操纵为无法识别的以前版本。
https://securityonline.info/cve-2024-1072-critical-flaw-in-seedprod-plugin-exposes-900k-wordpress-sites/
3. FTC 就大规模数据泄露事件与 Blackbaud 达成和解
2月2日,数据和软件服务公司 Blackbaud 将被要求删除不需要的个人数据,作为联邦贸易委员会和解协议的一部分,该和解协议要求该公司对不良数据做法负责,导致黑客窃取属于数百万客户的敏感信息该机构周四宣布。这家总部位于南卡罗来纳州的公司薄弱的安全措施与其在隐私政策中向客户做出的承诺相矛盾,导致 2020 年 2 月违规事件背后的黑客能够访问包含数百万消费者未加密个人数据的文件,包括社会安全号码、财务和医疗信息、联邦贸易委员会表示,就业信息和账户凭证以及大量其他高度个人化的数据。根据 FTC 的投诉,Blackbaud 的客户——大约 45,000 家公司、学校、非营利组织、医疗保健组织和个人消费者——使用其财务、筹款和管理软件服务。Blackbaud 在 2022 年赚取了约 11 亿美元,但在数据泄露后仅向有限数量的受影响消费者提供信用监控服务。该公司网站上没有列出发言人,总部也没有接线员。发送给该公司多个部门(例如销售办公室)的电子邮件没有立即得到回复。联邦贸易委员会表示,该公司在发现违规行为后等待了近两个月才告知客户,然后欺骗他们告知其严重性,并称该公司的调查“极其不充分”。
https://therecord.media/ftc-settles-with-blackbaud-over-data-handling-breach
4. 乌克兰军方遭受俄罗斯 APT PowerShell 攻击
2月2日,这次攻击很可能是由与 Shuckworm 相关的恶意威胁行为者实施的,该组织历史上曾出于地缘政治、间谍和破坏利益的动机针对乌克兰发起过攻击活动。Securonix 以 STEADY#URSA 的名称跟踪的恶意活动采用了新发现的基于 SUBTLE-PAWS PowerShell 的后门来渗透和危害目标系统。这种类型的后门允许威胁行为者获得未经授权的访问、执行命令并在受感染的系统中保持持久性。攻击方法涉及通过网络钓鱼电子邮件传送的压缩文件来分发恶意负载。恶意软件的分发和横向移动是通过 USB 驱动器进行的,因此无需直接访问网络。该报告指出,由于乌克兰的星链等气隙通信,这种方法将会变得困难。该活动与 Shuckworm 恶意软件有相似之处,并且融合了之前针对乌克兰军方的网络活动中观察到的不同策略、技术和程序 (TTP)。Securonix 威胁研究和数据科学/人工智能副总裁 Oleg Kolesnikov 解释说,SUBTLE-PAWS 的独特之处在于其“相当独特”地依赖磁盘外/PowerShell stager 执行,避免了传统的二进制有效负载。它还采用了额外的混淆和规避技术层。
https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack
5. 五角大楼正在调查勒索软件组织盗窃敏感文件的情况
1月31日,五角大楼发言人告诉 CyberScoop,负责背景调查的国防部办公室正在与执法部门合作,调查一个多产勒索软件组织的指控,该组织声称他们窃取了包含与美国军方有关的敏感数据的文件。名为ALPHV或BlackCat的勒索软件组织周二早些时候表示,他们从 Technica 窃取并威胁泄露 300 GB 的数据。Technica 是一家总部位于弗吉尼亚州的 IT 服务公司,该公司自称与联邦政府合作,“他们的使命是支持、保卫和保护美国公民。”该公司没有回复多封寻求置评的电子邮件,也无法通过电话联系到该公司。ALPHV 声称通过涉嫌破坏 Technica,获得了与国防反情报和安全局相关的数据,该机构负责进行背景调查和内部威胁分析。为了支持其说法,ALPHV 发布了二十多张据称被盗文件的屏幕截图,其中包含数十人的姓名、社会安全号码、许可级别以及角色和工作地点。这些屏幕截图包括账单发票、从联邦调查局到美国空军等实体的合同,以及与美国政府签订合同的私人实体和设施的相关信息。
https://cyberscoop.com/technica-pentagon-alphv-ransomware/?&web_view=true
6. 南非铁路公司因网络钓鱼诈骗损失超过 100 万美元
2月3日,南非客运铁路局 (PRASA)在其年度报告中表示,遭遇网络钓鱼诈骗,损失约 3060 万兰特(160 万美元)。已追回袭击背后的犯罪分子所盗资金的一半多一点。根据铁路部门的报告,此次攻击可能是一名员工所为,他为员工创建了幽灵账户,以盗取资金。铁路网络和运输系统面临多种网络威胁,威胁其运营完整性和数据安全。铁路系统网络中逐渐采用物联网 (IoT) 设备也带来了漏洞,攻击者可能会利用这些漏洞来获得未经授权的访问或操纵数据。为了应对这一挑战,铁路运营商与技术专家建立了合作伙伴关系,以增强其网络安全弹性。
https://www.darkreading.com/endpoint-security/south-african-railways-reports-1m-phishing?&web_view=true
京公网安备11010802024551号