巴拿马经济和财政部遭INC勒索软件攻击
发布时间 2025-09-151. 巴拿马经济和财政部遭INC勒索软件攻击
9月11日,巴拿马经济和财政部(MEF)近日披露,其一台工作站计算机可能遭遇恶意软件攻击,政府已启动安全程序并强调事件已得到控制,未影响核心系统运营。MEF在官方声明中指出,检测到异常后立即激活既定安全协议,加强整个IT系统的预防措施,并明确中央系统及平台均未受损,目前正常运行。作为巴拿马核心财政管理机构,MEF负责财政政策制定、公共支出调控、债务管理及巴拿马运河收入管理。该部强调,个人与机构数据安全,并已实施所有行业标准防护措施以防范后续风险。然而,勒索软件组织INC Ransom上周在暗网数据泄露网站发布声明,宣称对MEF发起攻击并窃取超过1.5TB数据,包括电子邮件、财务文件、预算明细等敏感信息。该组织于9月5日将MEF列入受害者名单,并泄露内部文件样本作为违规证据。INC Ransom成立于2023年中期,以勒索软件即服务(RaaS)模式运作,曾攻击多家知名企业。
https://www.bleepingcomputer.com/news/security/panama-ministry-of-economy-discloses-breach-claimed-by-inc-ransomware/
2. Farmer Bros.遭网络攻击致1.4万人数据泄露
9月10日,总部位于德克萨斯州的咖啡及食品服务公司Farmer Bros.近日披露,今年3月初发生的一起网络攻击导致超过1.4万人数据泄露。据该公司提交给缅因州总检察长办公室的通知,攻击者在系统内“徘徊”近12天后被察觉,公司随即启动调查并通报执法部门协助追查。数据泄露通知显示,攻击者获取了部分个人信息,但具体泄露字段被涂黑未公开。作为补救措施,Farmer Bros.为受影响个体提供免费身份盗窃及信用监控服务,此类服务通常针对可能包含姓名、邮箱、社保号等敏感标识符的泄露场景,以防范欺诈风险。公司提醒用户定期检查账户及信用报告,警惕异常活动。值得关注的是,Chaos勒索软件团伙曾于今年4月初宣称掌握该公司数据,并声称窃取了650GB信息。目前尚无法确认该声明与本次泄露事件的直接关联,但时间线的高度重合引发外界对勒索团伙参与的推测。
https://cybernews.com/security/farmer-bros-data-breach-victims/
3. CISA将达索系统高危漏洞纳入KEV目录
9月12日,美国网络安全和基础设施安全局(CISA)近日将达索系统DELMIA Apriso软件的高危漏洞(CVE-2025-5086,CVSS评分9.0)列入已知被利用漏洞(KEV)目录。该漏洞为不受信任数据反序列化问题,影响DELMIA Apriso从2020版至2025版的多个版本,攻击者可利用此漏洞远程执行任意代码,对工业制造运营构成严重威胁。根据具有约束力的运营指令(BOD)22-01要求,联邦民事行政部门(FCEB)机构必须在2025年10月2日前完成漏洞修复,以降低重大风险。CISA同时建议私人组织审查KEV目录,主动排查并修复自身基础设施中的同类漏洞。达索系统DELMIA Apriso作为制造运营管理(MOM)平台,广泛应用于全球工业企业的生产监控与优化,其安全性直接关系到关键基础设施稳定。本次漏洞由Hacktron AI报告,CISA通过KEV目录机制推动快速响应,体现“发现-通报-修复”的闭环管理逻辑。
https://securityaffairs.com/182120/hacking/u-s-cisa-adds-dassault-systemes-delmia-apriso-flaw-to-its-known-exploited-vulnerabilities-catalog.html
4. FBI警告UNC6040、UNC6395黑客窃取Salesforce数据
9月14日,美国联邦调查局(FBI)发布FLASH警报,警告两个威胁集群UNC6040和UNC6395正通过攻击组织的Salesforce环境窃取数据并实施勒索。公告指出,这两个集群的恶意活动导致数据盗窃和勒索事件激增,FBI希望通过公布入侵指标(IOC)提升公众防御能力。UNC6040于2024年6月由Google威胁情报团队首次披露,该集群自2024年底起利用社会工程和语音钓鱼攻击,诱骗员工将恶意Salesforce Data Loader OAuth应用连接至企业账户。攻击者常冒充IT支持人员,使用“我的票务门户”等伪装应用,通过OAuth连接大规模窃取Salesforce数据,随后由ShinyHunters勒索组织利用这些数据进行勒索,主要针对存储客户数据的“账户”和“联系人”数据库。8月,另一集群UNC6395通过被盗的Salesloft Drift OAuth和刷新令牌攻击Salesforce实例,窃取支持案例中的机密信息,包括AWS密钥、密码和Snowflake令牌,进而渗透其他云环境。Salesloft已与Salesforce合作撤销所有Drift令牌,并要求客户重新认证。
https://www.bleepingcomputer.com/news/security/fbi-warns-of-unc6040-unc6395-hackers-stealing-salesforce-data/
5. VoidProxy网络钓鱼平台利用中间人攻击窃取微软谷歌账户凭证
9月14日,近日,一个名为VoidProxy的新型网络钓鱼即服务(PhaaS)平台被曝光,其针对Microsoft 365、Google账户及受Okta等第三方单点登录(SSO)保护的账户发起攻击。该平台由Okta威胁情报团队发现,被描述为“可扩展、可规避且复杂”,采用中间人(AitM)策略实时窃取用户凭证、多因素认证(MFA)代码及会话cookie。攻击始于受感染的电子邮件服务账户发送包含缩短链接的钓鱼邮件。收件人点击链接后,会经历多次重定向,最终访问托管在.icu、.sbs、.xyz等低成本域名上的钓鱼网站。这些网站利用Cloudflare保护隐藏真实IP,并通过Cloudflare Worker环境过滤流量、加载页面。访问者需先通过Cloudflare CAPTCHA验证以排除机器人,增加页面可信度。钓鱼页面模仿Microsoft或Google登录界面,部分目标会被引导至无害的“欢迎”页面以混淆检测。当用户输入凭证时,请求会通过VoidProxy代理至Google或Microsoft服务器。对于使用Okta SSO的联合账户,攻击会进入第二阶段,冒充Okta的SSO流程页面,进一步窃取信息。VoidProxy的代理服务器在受害者与合法服务间中继流量,同时捕获传输中的用户名、密码、MFA代码,并拦截合法服务发放的会话cookie,供攻击者在管理面板直接使用。
https://www.bleepingcomputer.com/news/security/new-voidproxy-phishing-service-targets-microsoft-365-google-accounts/
6. 新型HybridPetya勒索软件突破UEFI安全启动实施攻击
9月12日,网络安全公司ESET近日在VirusTotal平台发现名为HybridPetya的新型勒索软件样本,该恶意软件可绕过UEFI安全启动功能,在EFI系统分区部署恶意程序。HybridPetya明显受2016-2017年Petya/NotPetya恶意软件启发,后者曾造成全球大规模系统瘫痪且无恢复选项,而HybridPetya则融合两者特点,既保留视觉风格和攻击链特征,又新增关键技术突破。研究显示,HybridPetya利用CVE-2024-7344漏洞实现安全启动绕过,该漏洞存在于微软签名应用中,即使系统启用安全启动保护仍可被利用。攻击时,恶意软件首先检测主机是否采用UEFI+GPT分区组合,随后将包含config、verify、counter等文件的启动工具包植入EFI系统分区。其中,config文件存储加密标志、密钥、随机数及受害者ID,verify文件用于密钥验证,counter则跟踪加密进度。该软件会替换原始bootmgfw.efi为存在漏洞的reloader.efi,并删除bootx64.efi,同时备份原始引导程序以便赎金支付后恢复系统。攻击流程中,HybridPetya触发蓝屏错误强制系统重启,使恶意bootkit在启动阶段执行。随后使用Salsa20算法加密所有MFT集群,期间显示虚假CHKDSK消息误导用户。加密完成后再次重启,向受害者索要1000美元比特币赎金,换取32字符密钥以恢复引导程序和解密数据。
https://www.bleepingcomputer.com/news/security/new-hybridpetya-ransomware-can-bypass-uefi-secure-boot/
京公网安备11010802024551号