首頁 > 安全研究 > 安全通報 > 安全簡訊

Kaspersky發現APT31針對工業組織的氣隙系統的攻擊

發布時間 2023-08-03

1、Kaspersky發現APT31針對工業組織的氣隙系統的攻擊


Kaspersky在7月31日稱,APT31(又名Zircium)一直在利用新的惡意軟件攻擊工業組織,旨在從氣隙系統中竊取數據。調查發現,攻擊者在主要針對東歐的攻擊中使用了至少15個不同的植入程序,每個植入程序都用于不同的攻擊階段。攻擊始于去年4月份,涉及三個不同的階段:初始階段的植入程序建立對目標系統的持久性和遠程訪問,并收集偵察數據;第二階段,APT31會安裝更專業的惡意軟件,來使用USB傳播從氣隙系統中竊取數據;最后的第三階段,黑客使用植入程序將收集到的數據上傳到C2服務器。


https://ics-cert.kaspersky.com/publications/reports/2023/07/31/common-ttps-of-attacks-against-industrial-organizations-implants-for-gathering-data/


2、美國蒙特克萊爾鎮遭到勒索攻擊同意交45萬美元贖金


據8月1日報道,美國蒙特克萊爾鎮(Montclair)遭到網絡攻擊,該鎮的保險公司與攻擊者協商達成了45萬美元的和解協議。臨時鎮長Hartnett稱,目前攻擊已經得到了解決,對該鎮業務和運營至關重要的數據也已恢復。但是一些屬于個人用戶的數據,和涉及為該鎮服務并存儲過去記錄的外部供應商的數據仍有待恢復。這些丟失的數據影響了該鎮當局響應《公開公共記錄法案》某些要求的能力。


https://www.databreaches.net/cyber-attack-on-montclair-township-led-to-450k-ransom-payment/


3、Cofense稱近期利用Google AMP的釣魚活動數量增多


 Cofense于8月1日透露,利用Google AMP的釣魚活動數量在7月中旬大幅增加。Google AMP是由Google與30個合作伙伴共同開發的開源HTML框架,旨在提高移動設備上網頁內容的加載速度。這種新的釣魚策略將AMP URL嵌入釣魚郵件中,這些惡意URL于5月份開始出現,目前仍在傳播,旨在竊取員工登錄憑據。此類活動中使用網站托管在Google.com(77%)和Google.co.uk(23%)上。此外,攻擊活動非常隱蔽,不僅利用了Google AMP URL,還結合了多種已知TTP來繞過電子郵件安全基礎設施。


https://cofense.com/blog/google-amp-the-newest-of-evasive-phishing-tactic/


4、黑客UsNsA在暗網公開印度PHI-IIIT Delhi的數據庫


據7月31日報道,研究人員發現名為UsNsA的黑客公開了印度PHI-IIIT Delhi的數據庫,以換取論壇積分。泄露的數據庫由82個文件組成,總大小約為1.8 GB,涉及電子郵件、姓名、年份以及內部醫療保健和疫苗開發相關文檔,包括研究論文等。研究人員指出,攻擊者利用了PHI Portal網站上的SQL注入漏洞來獲得未經授權的訪問權限并竊取數據庫,他很可能使用了SQLMap工具。 


https://www.cloudsek.com/threatintelligence/phi-database-portal-for-health-informatics-iiit-delhi-shared-on-cyber-crime-forum


5、新型側信道攻擊方式Collide+Power影響幾乎所有CPU


據媒體8月1日報道,研究團隊發現了一種名為Collide+Power的新型基于軟件的電源側信道攻擊方式,影響了幾乎所有CPU,可能導致數據泄露。其主要概念是,當攻擊者的數據與其它應用程序發送的數據在CPU緩存內存中發生數據“沖突”并覆蓋前者時,可從CPU功耗測量值中泄露數據。該漏洞被追蹤為CVE-2023-20583,影響了Intel、AMD和使用ARM架構的處理器。該漏洞具有研究意義,但利用起來比較困難,因此嚴重程度較低。至于緩解措施,需要重新設計CPU,所以更現實的緩解措施是防止攻擊者觀察到與電源相關的信號。


https://www.securityweek.com/nearly-all-modern-cpus-leak-data-to-new-collidepower-side-channel-attack/


6、Unit 42發布NodeStealer 2.0攻擊活動的分析報告


8月1日,Unit 42稱其發現了一個新的釣魚活動,分發了NodeStealer的Python變體。該活動于2022年12月左右開始,針對Facebook企業賬戶竊取信息。Meta曾在5月份披露了由JavaScript開發的NodeStealer,它與Python變體有許多相似之處。此次發現的活動涉及兩個變體,第一個支持多種功能,例如竊取Facebook企業賬戶信息、下載其它惡意軟件、通過GUI禁用Defender以及竊取加密貨幣資金等;第二個支持額外功能,例如解析Outlook郵件、通過Telegram進行數據泄露、劫持Facebook賬戶和反分析等。


https://unit42.paloaltonetworks.com/nodestealer-2-targets-facebook-business/

上一篇 下一篇