首頁 > 安全研究 > 安全通報 > 安全簡訊

微軟高管的電子郵件賬號遭俄羅斯黑客Nobelium的入侵

發布時間 2024-01-22

1. 微軟高管的電子郵件賬號遭俄羅斯黑客Nobelium的入侵


1月20日,,微軟披露一個與俄羅斯有關的名為Nobelium 的黑客組織獲得了幾位高管的電子郵件帳戶的訪問權限,其中包括該公司高級領導團隊的成員。Nobelium,也稱為Midnight Blizzard,是一個網絡犯罪組織,因參與 2020 年 12 月SolarWinds 供應鏈攻擊而臭名昭著,該攻擊損害了眾多政府機構和私營公司的利益。在最新的事件中,黑客利用“遺留”測試帳戶在微軟的公司網絡中獲得立足點。然后,他們利用帳戶的權限訪問一小部分員工電子郵件帳戶,包括屬于高級管理人員、網絡安全人員、法律人員和其他人員的電子郵件帳戶。雖然此次泄露的全部范圍仍在調查中,但微軟堅稱此次攻擊并未涉及其核心產品或服務中的漏洞。此外,他們向客戶保證,客戶數據不會受到損害。


2. 研究團隊稱3AM、Royal和Conti網絡犯罪集團存在關聯


1月20日,安全研究人員分析了最近出現的 3AM 勒索軟件操作的活動,發現其與 Conti 集團和 Royal 勒索軟件團伙等臭名昭著的組織有密切聯系。3AM(也拼寫為 ThreeAM)也一直在嘗試一種新的勒索策略:與受害者的社交媒體關注者分享數據泄露的消息,并使用機器人回復 X(以前稱為 Twitter)上的高級帳戶,發送指向數據泄露的消息。法國網絡安全公司Intrinsec的研究人員表示,ThreeAM 很可能與 Royal 勒索軟件組織有關,該組織現已 更名為 Blacksuit,該團伙由 Conti 集團內 Team 2 的前成員組成。隨著 Intrinsec 對該組織的策略、攻擊中使用的基礎設施和通信渠道的調查取得進展,3AM 勒索軟件與 Conti 集團之間的聯系變得更加緊密。查看 Tor 網絡中的 3AM 數據泄露站點,可以看到 19 名受害者的名單,他們沒有支付贖金,但威脅者泄露了他們的數據。令人驚訝的是,3AM 的網站看起來與 LockBit 勒索軟件操作所使用的網站非常相似。


3. TA866卷土重來并部署WasabiSeed和Screenshotter


1月20日,TA866 的威脅行為者在中斷九個月后再次出現,發起了一場新的大規模網絡釣魚活動,以傳播 WasabiSeed 和 Screenshotter 等已知惡意軟件系列。該活動于本月早些時候觀察到,并于 2024 年 1 月 11 日被 Proofpoint 阻止,其中涉及向北美發送數千封帶有誘餌 PDF 文件的發票主題電子郵件。這些 PDF 包含 OneDrive URL,如果點擊這些 URL,就會啟動多步驟感染鏈,即 WasabiSeed 和 Screenshotter 自定義工具集的變體。該公司于 2023 年 2 月首次記錄TA866 ,將其歸因于名為 Screentime 的活動,該活動分發了 WasabiSeed,這是一種用于下載 Screenshotter 的 Visual Basic 腳本投放程序,能夠定期截取受害者桌面的屏幕截圖并竊取數據將該數據發送到參與者控制的域。有證據表明,有組織的行為者可能是出于經濟動機,因為 Screenshotter 充當偵察工具來識別后利用的高價值目標,并部署基于 AutoHotKey (AHK) 的機器人。


4. VF Corp去年12月份的數據泄露事件影響至少3550萬客戶


1月20日,VF Corporation 是一家美國全球服裝和鞋類公司,擁有 13 個品牌。2015年,該公司憑借JanSport、Dickies、Eastpak、Timberland、Smartwool、Vans和The North Face品牌控制了美國背包市場55%的份額。2023 年 12 月,VF Corp 宣布成為勒索軟件攻擊的受害者,被迫關閉部分系統以遏制威脅?,F在,該公司確認攻擊者竊取了影響 3550 萬客戶的公司和個人信息。2023 年 12 月 13 日,VF Corp 檢測到對其部分基礎設施進行未經授權的訪問。VF 立即開始采取措施修復此次攻擊,并對安全漏洞展開調查。該公司指出,它的系統中沒有存儲社會安全號碼和財務信息。VF Corp 還補充說,沒有發現客戶密碼被盜的證據。某些系統關閉后,VF 的運營遇到了中斷。該事件中斷了零售商店的庫存補充并延遲了訂單履行。這些問題導致客戶和消費者取消產品訂單、某些品牌電子商務網站的需求減少以及一些批發發貨的延遲。


5. Outlook漏洞CVE-2023-35636可導致NTLM v2密碼泄露


1月18日,在最近的一項發現中,Varonis 威脅實驗室公布了網絡攻擊者可利用的三種新方法來訪問 NTLM v2 哈希密碼,從而使無數系統和用戶數據面臨風險。在這些漏洞中,有一個特別嚴重:CVE-2023-35636,這是一種泄露敏感信息的 Outlook 漏洞。CVE-2023-35636 是 Microsoft Outlook 中發現的一個安全漏洞,特別是在日歷共享功能中。此漏洞使攻擊者能夠攔截 NTLM v2 哈希值,該哈希值用于 Microsoft Windows 系統中的身份驗證。NTLM v2 雖然比其前身更安全,但仍然容易受到離線暴力和身份驗證中繼攻擊。除了Outlook之外,攻擊者還可以利用 Windows 性能分析器 (WPA) 和 Windows 文件資源管理器來訪問 NTLM v2 哈希。通過利用 URI 處理程序和特定參數,攻擊者可以誘騙這些應用程序泄露敏感信息。


6. CISA和FBI聯合發布WWS部門的事件響應指南


1月19日,過去幾年,勒索軟件和未經授權的訪問等惡意網絡事件已經影響了供水和廢水處理部門 (WWS)。特別是,勒索軟件是網絡犯罪分子針對 WWS 實用程序使用的常見策略。網絡威脅攻擊者瞄準 WWS 是因為它是能源、醫療保健和公共衛生等眾多美國關鍵基礎設施部門的重要組成部分。CISA、環境保護局 (EPA) 和聯邦調查局 (FBI) 共同制定了WWS 部門的協作事件響應指南 (IRG) ,以應對 WWS 部門的網絡安全挑戰。本指南為 WWS 部門的所有者和運營商詳細介紹了網絡事件響應 (IR) 生命周期每個階段的聯邦角色、資源和責任。

上一篇 下一篇