首頁 > 安全研究 > 安全通報 > 安全簡訊

意大利企業受到武器化的 USB 傳播加密劫持惡意軟件的攻擊

發布時間 2024-02-02
1. 意大利企業受到武器化的 USB 傳播加密劫持惡意軟件的攻擊


1月31日,一個名為UNC4990的出于經濟動機的威脅行為者正在利用武器化 USB 設備作為初始感染媒介,以意大利的組織為目標。UNC4990 操作通常涉及廣泛的 USB 感染,然后部署 EMPTYSPACE 下載程序。在這些操作過程中,集群依賴 GitHub、Vimeo 和 Ars Technica 等第三方網站來托管編碼的附加階段,并在執行鏈的早期通過 PowerShell 下載和解碼。UNC4990 自 2020 年底開始活躍,根據意大利基礎設施廣泛用于指揮與控制 (C2) 目的,據評估在意大利境外運營。目前尚不清楚 UNC4990 是否僅充當其他參與者的初始訪問促進者。威脅行為者的最終目標也不清楚,盡管在一個例子中,據說在經過數月的信標活動后部署了開源加密貨幣挖礦程序。


https://thehackernews.com/2024/01/italian-businesses-hit-by-weaponized.html?&web_view=true


2. CISA 警告 iOS、iPadOS 和 macOS 中的嚴重漏洞被主動利用


2月1日,美國網絡安全和基礎設施安全局 (CISA)根據活躍利用的證據,將影響 iOS、iPadOS、macOS、tvOS 和 watchOS 的高嚴重性缺陷添加到其已知可利用漏洞 ( KEV ) 目錄中。該漏洞編號為CVE-2022-48618(CVSS 評分:7.8),涉及內核組件中的錯誤。蘋果在一份公告中表示, “具有任意讀寫能力的攻擊者可能能夠繞過指針身份驗證”,并補充說該問題“可能已被針對 iOS 15.7.1 之前發布的 iOS 版本所利用”。這家 iPhone 制造商表示,該問題已通過改進檢查得到解決。目前尚不清楚該漏洞如何在現實世界的攻擊中被武器化。有趣的是,該漏洞的補丁于 2022 年 12 月 13 日隨iOS 16.2、iPadOS 16.2、macOS Ventura 13.1、tvOS 16.2和watchOS 9.2的發布而發布,盡管一年多后的 2024 年 1 月 9 日才公開披露。值得注意的是,蘋果確實在 2022 年 7 月 20 日發布的 iOS 15.6 和 iPadOS 15.6 中解決了內核中的類似缺陷( CVE-2022-32844 ,CVSS 評分:6.3)。


https://thehackernews.com/2024/02/cisa-warns-of-active-exploitation-of.html


3. 卡巴斯基2024年預測:勒索軟件橫行


2月1日,卡巴斯基發布了工業控制系統網絡應急響應小組 (ICS CERT) 2024 年的預測,概述了工業企業在未來一年面臨的主要網絡安全挑戰。這些預測強調了勒索軟件威脅的持續存在、世界政治黑客行動主義的興起、對“進攻性網絡安全”狀況的展望,以及物流和運輸威脅的變革性轉變?;仡?2023 年,卡巴斯基預測工業網絡安全格局將繼續發展,并出現幾個關鍵趨勢。IIoT 和 SmartXXX 系統對效率的追求推動了攻擊面的擴大,而能源運營商價格的飆升導致硬件成本上升,促使戰略轉向云服務。政府對工業流程的越來越多的參與也帶來了新的風險,包括由于員工資格不足和負責任的披露實踐不足而導致數據泄露的擔憂。2024 年工業企業面臨的網絡安全形勢包括:針對高價值實體的勒索軟件、世界政治抗議黑客行動主義和更微妙的威脅和檢測挑戰等。


https://www.darkreading.com/vulnerabilities-threats/kasperskys-ics-cert-predictions-for-2024-ransomware-rampage-cosmopolitical-hacktivism-and-beyond


4. Europcar否認5000萬用戶數據泄露,稱數據是假的


1月31日,汽車租賃公司 Europcar 表示,在威脅行為者聲稱出售 5000 萬客戶的個人信息后,該公司并未遭受數據泄露,而且共享的客戶數據是偽造的。有人聲稱在一個流行的黑客論壇上出售 48,606,700 Europcar.com 客戶的數據。該帖子包含 31 名 Europcar 客戶的被盜數據樣本,包括姓名、地址、出生日期、駕駛執照號碼和其他信息。Europcar 告訴 BleepingComputer 他們相信這些數據是使用人工智能創建的,但 Hunt 指出,一些電子郵件地址是真實的,出現在 Have I Been Pwned 監控的之前的數據泄露事件中。正如安全研究人員NexusFuzzy指出的那樣 , 現有的項目 允許任何人創建看起來幾乎與虛假數據泄露樣本中共享的數據一模一樣的數據。雖然 威脅行為者已經使用人工智能 作為其詐騙和攻擊的一部分,并且 未來可能會擴大其使用范圍,但這一事件似乎并不是其中之一。


https://www.bleepingcomputer.com/news/security/europcar-denies-data-breach-of-50-million-users-says-data-is-fake/


5. 數百個被盜的 RIPE 憑證在暗網上出售


2月1日,RIPE 是中東各國以及歐洲和非洲各國的 IP 地址及其所有者數據庫,最近已成為熱門目標,因為攻擊者為了收集信息而破壞了帳戶登錄。不良行為者利用獲得的 RIPE 和其他門戶的泄露憑據來探測受害者可能有特權訪問的其他應用程序和服務。根據我們的評估,此類策略增加了他們成功入侵目標企業和電信運營商網絡的機會。本月早些時候,  Orange Spain 遭受了互聯網中斷,原因是黑客侵入了該公司的 RIPE 帳戶,錯誤配置了 BGP 路由和 RPKI 配置。Resecurity 總共在 RIPE 和其他區域網絡(包括 APNIC、AFRINIC 和 LACNIC)中發現了 1,572 個客戶帳戶,這些帳戶因涉及Redline、Vidar、Lumma、Azorult 和 Taurus 等 知名密碼竊取程序的惡意軟件活動而受到損害。


https://www.darkreading.com/cyberattacks-data-breaches/looted-ripe-credentials-for-sale-on-dark-web


6. 江森自控稱勒索軟件攻擊造成 2700 萬美元損失

1月31日,江森自控國際公司 (Johnson Controls International) 確認,2023 年 9 月的一次勒索軟件攻擊給該公司造成了 2700 萬美元的費用,并導致黑客竊取公司數據后發生數據泄露。江森自控是一家開發和制造工業控制系統、安全設備、空調和消防安全設備的跨國企業集團。正如 BleepingComputer 首次報道的那樣, 江森自控 在其亞洲辦事處最初遭到入侵后,于 9 月份遭受了勒索軟件攻擊,攻擊者遍布整個網絡。此次攻擊迫使該公司關閉了大部分 IT 基礎設施,從而影響了面向客戶的系統。Dark Angels 勒索軟件團伙是此次攻擊的幕后黑手,并聲稱從 Johnson Controls 竊取了超過 27 TB 的機密數據。隨后,威脅行為者索要 5100 萬美元的贖金,以刪除數據并提供文件解密器。Dark Angels 是一個勒索軟件團伙,于 2022 年 5 月發起,使用基于現已解散的 Babuk 和 Ragnar Locker 操作的泄露源代碼的加密器。該公司承認服務中斷,后來將原因歸因于“網絡安全事件”,但沒有提供有關攻擊類型或導致數據泄露的可能性的詳細信息。


https://www.bleepingcomputer.com/news/security/johnson-controls-says-ransomware-attack-cost-27-million-data-stolen/

上一篇 下一篇