巴尔的摩市百万美元BEC诈骗案暴露系统性安全漏洞
发布时间 2025-09-021. 巴尔的摩市百万美元BEC诈骗案暴露系统性安全漏洞
9月1日,巴尔的摩市近期披露一起重大商业电子邮件泄露(BEC)攻击事件,诈骗者通过伪造身份、篡改供应商银行信息等手段,从市政部门窃取超150万美元,凸显公共机构在网络安全与财务内控中的严重漏洞。根据监察长办公室调查,2025年2月至3月期间,该市应付账款部门(AP)分两次向诈骗者控制的银行账户转账共计1,524,621.04美元。诈骗者于2024年12月通过虚假邮箱冒充供应商员工,侵入其Workday系统并篡改银行账户信息。尽管诈骗者提交的表格存在信息错误,且多次尝试变更银行细节,但AP部门三名员工均未执行基本核实程序,最终批准了欺诈性请求。事件暴露出多重问题:首先,AP部门缺乏供应商信息核验机制,即便在2019年、2022年先后因虚假银行信息变更损失6.2万及37.6万美元后,仍未建立有效保障措施;其次,内部控制形同虚设,员工多次未核实文件真实性即通过关键操作;此外,市政系统对供应商账户的访问权限管理存在疏漏,导致诈骗者能长期渗透并修改核心数据。
https://securityaffairs.com/181772/cyber-crime/fraudster-stole-over-1-5-million-from-city-of-baltimore.html
2. 网络犯罪分子利用Meta广告平台传播Brokewell恶意软件
8月31日,网络犯罪分子滥用Meta旗下社交平台的广告系统,通过伪造知名金融分析工具TradingView的虚假广告,向Android用户定向传播具备多重窃密功能的Brokewell恶意软件,形成针对加密货币资产的精准攻击链条。据Bitdefender安全团队披露,该活动自7月22日起通过约75个本地化广告展开,广告内容以"免费获取TradingView Premium"为诱饵,仅对Android设备用户展示恶意内容,其他系统访问则显示无害页面。攻击流程设计精密:受害者点击广告后会被重定向至仿冒TradingView官网的钓鱼页面,诱导下载伪装成应用更新的tw-update.apk文件。该恶意软件安装后会立即请求辅助功能权限,通过弹出虚假系统更新提示掩盖后台操作,自动授予设备完全控制权。更值得注意的是,软件会模拟Android系统升级界面,诱骗用户输入锁屏PIN码,为后续持久化控制铺路。作为自2024年初活跃的恶意程序,Brokewell此次展现的"高级版本"功能全面升级。
https://www.bleepingcomputer.com/news/security/brokewell-android-malware-delivered-through-fake-tradingview-ads/
3. 黑客声称入侵了AT&T,窃取2400万用户数据
9月1日,攻击者声称已成功入侵美国电信巨头AT&T的核心基础设施,并在地下论坛宣称通过部署定制恶意软件获得实时读/写权限,可能影响数百万用户。据黑客在暗网发布的帖子描述,其侵入行为已持续数周未被检测到,并声称掌握了一个包含约2400万AT&T用户数据的动态数据库,可实时修改用户信息并执行SIM交换攻击。截至目前,Cybernews研究团队尚未能验证这些说法的真实性,相关数据样本网站也处于无法访问状态。此次事件的核心威胁在于攻击者宣称的三大能力:其一,通过篡改用户电话号码与SIM卡的绑定关系,实施SIM交换攻击;其二,绕过基于短信的双因素认证(2FA),直接读取银行、社交媒体等服务的二次验证代码;其三,访问包含税务ID、姓名、IP地址等敏感信息的用户数据库,若属实将构成重大数据泄露。目前,AT&T尚未对此作出公开回应,Cybernews团队正持续追踪暗网数据样本。
https://cybernews.com/security/att-data-breach-impacted-millions-hackers-say/
4. 宾夕法尼亚州总检察长办公室遭勒索软件攻击
9月1日,美国宾夕法尼亚州总检察长办公室(OAG)近日确认遭遇勒索软件攻击,导致其服务器于8月初被迫下线,刑事与民事案件审理出现延误。该州总检察长戴夫·森迪(Dave Sunday)在8月29日的通报中证实,此次中断由外部人员通过加密文件实施,攻击者要求支付赎金以恢复运营,但截至目前OAG尚未支付任何赎金。尽管未明确数据是否被盗,森迪表示正与其他机构开展联合调查,并强调“若调查显示有必要,将向相关个人发送通知”,但未进一步透露调查细节或应对措施。作为宾州最高执法机构,OAG负责提起刑事诉讼、执行消费者保护法等核心职能。此次网络事件导致全州多家法院被迫延长案件审理期限。事件首次披露于8月18日,当时OAG网站、办公邮箱及固定电话全面瘫痪,直接影响其与公众及利益相关者的沟通。截至最新通报,OAG大部分工作人员已恢复邮箱访问权限,主电话线和官方网站亦重新上线,但全部功能的恢复仍在进行中。森迪指出,全州17个办公地点的约1200名员工仍在通过替代渠道维持日常工作。
https://www.infosecurity-magazine.com/news/ransomware-pennsylvania-ag/
5. Silver Fox利用签名驱动程序部署ValleyRAT后门
9月1日,Check Point Research(CPR)近日披露,与朝鲜关联的Silver Fox APT组织正利用微软签名的合法驱动程序实施新型网络攻击,通过"自带漏洞驱动程序(BYOVD)"技术绕过安全防护,部署模块化后门ValleyRAT。该组织滥用WatchDog Antimalware驱动程序(amsdk.sys)和Zemana驱动(ZAM.exe),利用其任意进程终止功能,强行终止防病毒及EDR工具进程,为恶意软件铺路。尽管上述驱动均通过微软数字签名认证,且未被列入已知漏洞列表,但攻击者通过修改时间戳字段生成新文件哈希,在保持签名有效性的同时规避检测。此次攻击呈现显著技术演进特征:Silver Fox将反分析模块、持久化机制、嵌入式驱动及目标进程列表封装至单一加载器,并快速迭代驱动版本以避免查杀。研究显示,其恶意软件配置专门针对东亚地区流行的安全产品,且基础设施指向中国服务器。ValleyRAT后门具备屏幕监控、命令执行、数据外泄等能力,可通过Tor网络接收远程指令,进一步强化攻击隐蔽性。
https://www.infosecurity-magazine.com/news/silver-fox-deploy-valleyrat/
6. 亚马逊阻止俄罗斯APT29黑客攻击Microsoft 365
9月1日,亚马逊威胁情报团队近日联合Cloudflare与微软,成功破坏俄罗斯政府背景黑客组织Midnight Blizzard(APT29)针对Microsoft 365账户的复杂攻击行动。该组织通过水坑攻击技术入侵合法网站,利用base64编码混淆恶意代码,将约10%的访问者随机重定向至仿冒Cloudflare验证页面的域名,诱导受害者进入恶意设备代码认证流程,试图授权攻击者控制的设备访问其微软账户。作为俄罗斯对外情报局(SVR)关联的APT29组织,此次行动延续了其惯用的网络钓鱼策略,但技术手法显著升级:通过基于cookie的系统避免同一用户多次重定向,降低暴露风险;不再依赖冒充AWS域名或社会工程绕过MFA,转而利用微软设备代码验证机制的漏洞。研究显示,该组织近期攻击目标涵盖欧洲大使馆、惠普企业及TeamViewer,凸显其情报收集意图。亚马逊研究人员在发现恶意EC2实例后迅速隔离,并协同合作伙伴阻断域名解析。尽管APT29试图转移基础设施至其他云服务商并注册新域名,但行动已遭破坏。
https://www.bleepingcomputer.com/news/security/amazon-disrupts-russian-apt29-hackers-targeting-microsoft-365/
京公网安备11010802024551号