首頁 > 安全研究 > 安全通報 > 安全簡訊

Southern Water遭到Black Basta的勒索攻擊并威脅公開數據

發布時間 2024-01-25

1. Southern Water遭到Black Basta的勒索攻擊并威脅公開數據 


1月23日,Southern Water 是一家私營公用事業公司,負責收集和處理漢普郡、懷特島、西薩塞克斯、東薩塞克斯和肯特郡的廢水,并為該地區約一半的地區提供公共供水。Black Basta勒索軟件組織將 Southern Water 添加到其 Tor 數據泄露網站的受害者名單中,并威脅要于 2024 年 2 月 29 日泄露被盜數據。該組織聲稱竊取了 750 GB 的敏感數據,包括用戶的個人文檔和公司文檔。該團伙公布了一些截圖作為攻擊證據,包括護照、身份證和部分員工的個人信息。目前,尚不清楚該組織向受害者索要多少贖金。Black Basta勒索軟件 組織 自 2022年4月以來一直活躍,與其他勒索軟件操作一樣,它實施了雙重勒索攻擊模型。


2. 研究團隊發現Chae$ 4.1隱藏在驅動程序中并用多態繞過檢測


1月22日,Morphisec 威脅實驗室已記錄其在 Chae$ 4.1 上的發現,Chae$ 4.1 是 Chae 惡意軟件 Infostealer 系列的更新,作為其對新興網絡威脅調查的一部分。該報告探討了新的 Chae$ 變體,強調了其機制、影響和保護措施。早在 2023 年 9 月,Morphisec  就與 Hackread.com 分享了對 Chae$ 惡意軟件新變種(稱為 Chae$4)的分析。該惡意軟件針對電子商務客戶(尤其是巴西客戶)的登錄憑據、財務數據和其它敏感信息。Chae$4 正在迅速發展,Morphisec 在其最新的 研究博客中提供了 Chae$ 4.1 更新的詳細信息,其中包括改進的 Chronod 模塊,令人驚訝的是,在源代碼中向 Morphisec 團隊發送了直接消息。4.1 版本比以前的暴力破解和基本混淆方法有了顯著改進。


3. 供應鏈攻擊MavenGate劫持不更新仍在用的Java和Android程序


1月22日,一些被放棄但仍在 Java 和 Android 應用程序中使用的公共和流行庫被發現容易受到名為 MavenGate 的新軟件供應鏈攻擊方法的影響。Oversecured發布的一份分析報告中表示:“對項目的訪問可以通過域名購買被劫持,并且由于大多數默認構建配置都很容易受到攻擊,因此很難甚至不可能知道是否正在執行攻擊?!背晒眠@些缺陷可能會允許惡意行為者劫持依賴項中的工件并將惡意代碼注入應用程序,更糟糕的是,甚至通過惡意插件危害構建過程。這家安全公司補充說,包括 Gradle 在內的所有基于 Maven 的技術都容易受到攻擊,并且它已向 200 多家公司發送了報告,包括 Google、Facebook、Signal、Amazon 等。Apache Maven主要用于構建和管理基于 Java 的項目,允許用戶下載和管理依賴項(由其 groupId 唯一標識)、創建文檔和發布管理。雖然托管此類依賴項的存儲庫可以是私有的或公共的,但攻擊者可以通過利用添加到已知存儲庫的廢棄庫來針對后者進行供應鏈中毒攻擊。


4. 惡意 NPM 軟件包通過 GitHub 竊取數百個開發人員的SSH密鑰


1月23日,在 npm 包注冊表中發現的兩個惡意包利用 GitHub 來存儲從安裝它們的開發人員系統中竊取的 Base64 加密的 SSH 密鑰。名為warbeast2000和kodiak2k 的模塊于本月初發布,分別吸引了412 次和1,281 次下載,隨后被 npm 維護者刪除。最近一次下載發生在 2024 年 1 月 21 日。發現這一問題的軟件供應鏈安全公司 ReversingLabs 表示,warbeast2000 有 8 個不同版本,kodiak2k 有 30 多個版本。這兩個模塊都設計為在安裝后運行安裝后腳本,每個模塊都能夠檢索和執行不同的 JavaScript 文件。當 warbeast2000 嘗試訪問私有 SSH 密鑰時,kodiak2k 旨在尋找名為“meow”的密鑰,這增加了威脅行為者在開發早期階段使用占位符名稱的可能性。


5. 龐大的網絡犯罪帝國VexTrio擁有60多個附屬組織和7萬多個域


1月23日,VexTrio是一個規模龐大、復雜的惡意TDS(流量引導系統)組織。它擁有一個由 60 多個附屬機構組成的網絡,將流量轉移到 VexTrio,同時它還運營自己的 TDS 網絡。盡管不同的研究人員已經發現并分析了各個方面,但核心網絡仍然很大程度上未知。例如,ClearFake 和SocGholish是其中的兩個附屬機構,兩者都因其惡意軟件而聞名。然而,VexTrio 純粹是一個流量代理,不與任何惡意軟件綁定或識別。附屬公司和 VexTrio 之間似乎存在穩定的關系:SocGholish 與 VexTrio 合作至少近兩年,而 ClearFake 則始終保持著這樣的合作關系。TDS 系統通常用于連接訪問者和基于發現的訪問者特征的定向廣告。惡意 TDS 使用相同的原理連接訪問者和惡意網站或頁面。這通常是通過破壞網站(通常是 WordPress 網站)并向網站注入惡意代碼來實現的。該代碼可以在選擇下一步操作之前發現訪問者的特征。每個附屬公司都有自己的 TDS 網絡。有些只是將詳細信息發送給 VexTrio。其他人將利用一些機會,并將其余的發送到 VexTrio,具體取決于訪問者。


6. 亞馬遜因侵犯員工隱私被法國監管機構罰款 3200 萬歐元


1月23日,亞馬遜法國物流公司是這家電子商務巨頭的子公司,負責管理其在法國的大型倉庫,該公司因侵犯員工隱私而被罰款 3200 萬歐元(合 3500 萬美元)。在對亞馬遜法國物流公司的監控系統進行調查后,法國信息監管機構認為該系統“過度侵入”。法國數據監管機構國家信息與自由委員會 (CNIL) 于 2023 年 12 月 27 日向亞馬遜通報了罰款情況。隨后于 2024 年 1 月 23 日公布。監管機構特別指出了亞馬遜員工用來執行多項任務的掃描設備中嵌入的一些功能,包括存儲物品、拾取物品和發送包裝。這些設備記錄與亞馬遜產品的性質和狀態以及員工活動和績效相關的所有數據。CNIL 表示,其中一些做法違反了歐盟《通用數據保護條例》(GDPR) 第 5.1 條中引入的數據最小化原則,而其他做法則違反了第 6 條中詳述的數據處理合法性。

上一篇 下一篇