新网络钓鱼工具包“Xiū gǒu”引发全球安全警报
发布时间 2024-11-041. 新网络钓鱼工具包“Xiū gǒu”引发全球安全警报
11月1日,网络安全领域近期出现了一种名为Xiū gǒu的新型网络钓鱼工具包,自2024年9月起已针对澳大利亚、日本、西班牙、英国和美国等多个国家发起攻击。该工具包已感染超过2000个钓鱼网站,主要攻击公共部门、邮政、数字服务和银行服务等垂直行业。Netcraft指出,这些攻击者常利用Cloudflare的反机器人和托管混淆功能来规避检测。Xiū gǒu提供管理面板,使用Golang和Vue.js等技术,通过Telegram从虚假钓鱼页面窃取信息。这些网络钓鱼攻击主要通过富通信服务(RCS)消息传播,诱导受害者点击缩短的链接以提供个人信息或付款。谷歌等科技巨头已采取措施打击此类诈骗,包括推出增强型诈骗检测功能和安全警告,并计划在全球范围内推广新保护措施。此外,思科Talos团队发现,台湾的Facebook商业和广告帐户用户正成为网络钓鱼活动的目标,旨在传播窃取恶意软件。这些活动还冒充OpenAI等知名企业,诱导全球企业更新付款信息。
https://thehackernews.com/2024/11/new-phishing-kit-xiu-gou-targets-users.html
2. Interlock勒索软件:针对FreeBSD服务器的新型攻击行动
11月3日,Interlock是一个新兴的勒索软件操作,自2024年9月底启动以来,已对全球多个组织发起攻击。它采用一种不常见的方法,即创建专门针对FreeBSD服务器的加密器。这种加密器在FreeBSD 10.4上编译,尽管BleepingComputer等安全机构在虚拟机上测试时未能使其正确执行。Interlock在攻击成功后,会在未支付赎金的情况下,在其数据泄露网站上发布被盗数据。据网络安全公司趋势科技称,Interlock的目标是FreeBSD,因为它广泛应用于服务器和关键基础设施,攻击者可以破坏重要服务,索要巨额赎金。此外,趋势科技还发现了该操作的Windows加密器样本。在加密文件时,Interlock会将.interlock扩展名附加到所有加密文件名后,并在每个文件夹中创建勒索记录。被盗数据被用于双重勒索攻击,威胁行为者威胁称,如果不支付赎金,他们就会公开泄露数据。据称,Interlock勒索软件操作要求的赎金从数十万美元到数百万美元不等,具体取决于组织的规模。
https://www.bleepingcomputer.com/news/security/meet-interlock-the-new-ransomware-targeting-freebsd-servers/
3. SharePoint RCE漏洞CVE-2024-38094正被黑客利用进行网络攻击
11月2日,Microsoft SharePoint的一个远程代码执行漏洞(CVE-2024-38094)被披露并正在被黑客利用,以获取对公司网络的初始访问权限。该漏洞是一个高严重性(CVSS v3.1 评分:7.2)的RCE漏洞,影响广泛使用的基于Web的SharePoint平台。微软已于2024年7月9日发布了补丁修复该漏洞,并将其标记为“重要”。然而,CISA上周将该漏洞添加到已知利用漏洞目录时,并未透露具体的利用方式。Rapid7发布的新报告揭示了攻击者如何利用该漏洞,指出攻击者通过未经授权访问易受攻击的SharePoint服务器并植入Webshell,进而在网络中横向移动,危及整个域。攻击者还破坏了具有域管理员权限的Microsoft Exchange服务帐户,获得提升的访问权限,并安装了Horoung Antivirus软件,造成安全防御冲突,禁用安全服务,削弱检测能力。他们使用多种工具进行凭证收集、远程访问、持久性设置等操作,并禁用了Windows Defender、更改了事件日志,以避免被发现。尽管攻击者试图删除备份,但并未成功加密数据,因此攻击类型尚不清楚。
https://www.bleepingcomputer.com/news/security/microsoft-sharepoint-rce-bug-exploited-to-breach-corporate-network/
4. 洛杉矶市住房管理局遭Cactus勒索软件团伙攻击
11月1日,洛杉矶市住房管理局(HACLA)是美国最大的公共住房管理局之一,负责管理超过32,000套公共住房,年度预算超过10亿美元,为低收入家庭、儿童和老年人提供经济适用房和援助计划。最近,Cactus勒索软件团伙声称对HACLA的IT网络进行了入侵攻击。HACLA证实了这一网络攻击,并表示已聘请外部取证IT专家进行调查和应对。尽管HACLA未透露攻击的具体时间和性质,但Cactus勒索软件团伙声称已从受感染的网络中窃取了891 GB的文件,包括个人身份信息、财务文件、高管和员工个人数据、客户个人信息、公司机密数据和通信等,并在其泄密网站上发布了一些敏感文件的截图作为证据。此外,HACLA在2022年也曾遭到LockBit勒索软件团伙的攻击,攻击者在长达一年的时间里访问了HACLA的系统,并可以访问会员的敏感个人信息。政府机构在拒绝支付网络犯罪分子要求的赎金后,LockBit勒索软件组织泄露了所有被盗文件。
https://www.bleepingcomputer.com/news/security/la-housing-authority-confirms-breach-claimed-by-cactus-ransomware/
5. LastPass用户警惕虚假支持电话实施远程访问诈骗
11月1日,LastPass 是一款流行的密码管理器,它利用 LastPass Chrome 扩展程序来生成、保存、管理和自动填充网站密码。LastPass发出警告,诈骗者正在通过在其Chrome扩展程序上发布虚假5星评论,推广一个假冒的客户支持电话号码805-206-2892,以诱骗LastPass用户。一旦用户拨打该电话,骗子会冒充LastPass,引导他们访问“dghelp[.]top”网站,并要求输入代码下载远程支持程序,该程序实际上是ConnectWise ScreenConnect代理,允许诈骗者完全访问用户的计算机。BleepingComputer发现,该电话号码与一场更大规模的诈骗活动有关,该号码还被用作许多其他公司(如亚马逊、Adobe、Facebook等)的假冒支持电话号码,并在各种网站上发布。LastPass用户被提醒不要与任何人分享他们的主密码,以避免私下访问其密码库中存储的所有密码和数据。
https://www.bleepingcomputer.com/news/security/lastpass-warns-of-fake-support-centers-trying-to-steal-customer-data/
6. 法国劳工部遭网络攻击,就业帮扶年轻人数据疑遭泄露
11月1日,法国劳工部宣布,其“地方使团”网络使用的一家服务提供商疑似近期遭受网络攻击,该网络主要为16至25岁的年轻人提供就业和培训建议与支持。此次攻击可能泄露了已在该系统中登记的年轻人的个人数据,包括全名、出生日期、国籍、电子邮件和邮政地址以及电话号码,但银行详细信息、社会保障号和身份证件未受影响。尽管技术调查尚未完成,该部已采取多项措施解决漏洞问题,并已向法国隐私监管机构CNIL和网络安全机构ANSSI报告此事,同时向司法当局提起投诉。受影响的年轻人正在被通报情况,并提醒他们警惕网络钓鱼和身份盗窃的风险,切勿通过电话、短信或电子邮件透露密码或银行详细信息。
https://therecord.media/france-data-breach-government-contractor-local-missions
京公网安备11010802024551号