首頁 > 安全研究 > 安全通報 > 安全簡訊

偽裝成工資單的網絡釣魚郵件 Qshing

發布時間 2024-02-04

1. 偽裝成工資單的網絡釣魚郵件 Qshing 


2月2日,AhnLab 安全情報中心 (ASEC) 最近發現了關于的 Qshing 電子郵件的傳播情況。Qshing 是“QR 碼”和“網絡釣魚”兩個詞的復合名詞,掃描 QR 碼時會導致安裝惡意應用程序或將用戶引導至網絡釣魚網站。正在分發的電子郵件如圖1所示,偽裝成2024年第一季度的工資收據確認函,內容包括提示用戶使用手機掃描二維碼領取工資補貼的消息。威脅行為者使用“ahnlab.com”偽裝發件人電子郵件地址,但實際的發件人電子郵件地址可以在電子郵件標頭中看到。然而,由于用戶通常不會檢查電子郵件標頭,因此他們很難意識到發件人電子郵件地址已被偽造。


https://asec.ahnlab.com/en/61104/


2. SeedProd 插件中的漏洞影響 90 多萬個 WordPress 網站


2月1日,一個流行的 WordPress 插件中發現了一個高嚴重性缺陷。受影響的插件,SeedProd 的 Website Builder,安裝量超過 900,000 次。SeedProd 的 Website Builder 是一款功能強大且用戶友好的 WordPress 插件,旨在簡化創建和自定義網站的過程。SeedProd 因其拖放功能而成為 WordPress 用戶中非常受歡迎的選擇,使用戶無需編寫代碼即可輕松設計和構建自定義網站。該缺陷被稱為 CVE-2024-1072,嚴重程度為 8.2 級(滿分 10 級)。這種高評級強調了它可能造成的潛在破壞,允許未經授權的人員篡改 WordPress 網站的結構。CVE-2024-1072 的根本原因在于“seedprod_lite_new_lpage”函數中缺少功能檢查。這種缺失意味著即使未經身份驗證的用戶也可能會按照自己的意愿扭曲和轉換網頁內容,將即將推出或維護的頁面操縱為無法識別的以前版本。


https://securityonline.info/cve-2024-1072-critical-flaw-in-seedprod-plugin-exposes-900k-wordpress-sites/


3. FTC 就大規模數據泄露事件與 Blackbaud 達成和解


2月2日,數據和軟件服務公司 Blackbaud 將被要求刪除不需要的個人數據,作為聯邦貿易委員會和解協議的一部分,該和解協議要求該公司對不良數據做法負責,導致黑客竊取屬于數百萬客戶的敏感信息該機構周四宣布。這家總部位于南卡羅來納州的公司薄弱的安全措施與其在隱私政策中向客戶做出的承諾相矛盾,導致 2020 年 2 月違規事件背后的黑客能夠訪問包含數百萬消費者未加密個人數據的文件,包括社會安全號碼、財務和醫療信息、聯邦貿易委員會表示,就業信息和賬戶憑證以及大量其他高度個人化的數據。根據 FTC 的投訴,Blackbaud 的客戶——大約 45,000 家公司、學校、非營利組織、醫療保健組織和個人消費者——使用其財務、籌款和管理軟件服務。Blackbaud 在 2022 年賺取了約 11 億美元,但在數據泄露后僅向有限數量的受影響消費者提供信用監控服務。該公司網站上沒有列出發言人,總部也沒有接線員。發送給該公司多個部門(例如銷售辦公室)的電子郵件沒有立即得到回復。聯邦貿易委員會表示,該公司在發現違規行為后等待了近兩個月才告知客戶,然后欺騙他們告知其嚴重性,并稱該公司的調查“極其不充分”。


https://therecord.media/ftc-settles-with-blackbaud-over-data-handling-breach


4. 烏克蘭軍方遭受俄羅斯 APT PowerShell 攻擊


2月2日,這次攻擊很可能是由與 Shuckworm 相關的惡意威脅行為者實施的,該組織歷史上曾出于地緣政治、間諜和破壞利益的動機針對烏克蘭發起過攻擊活動。Securonix 以 STEADY#URSA 的名稱跟蹤的惡意活動采用了新發現的基于 SUBTLE-PAWS PowerShell 的后門來滲透和危害目標系統。這種類型的后門允許威脅行為者獲得未經授權的訪問、執行命令并在受感染的系統中保持持久性。攻擊方法涉及通過網絡釣魚電子郵件傳送的壓縮文件來分發惡意負載。惡意軟件的分發和橫向移動是通過 USB 驅動器進行的,因此無需直接訪問網絡。該報告指出,由于烏克蘭的星鏈等氣隙通信,這種方法將會變得困難。該活動與 Shuckworm 惡意軟件有相似之處,并且融合了之前針對烏克蘭軍方的網絡活動中觀察到的不同策略、技術和程序 (TTP)。Securonix 威脅研究和數據科學/人工智能副總裁 Oleg Kolesnikov 解釋說,SUBTLE-PAWS 的獨特之處在于其“相當獨特”地依賴磁盤外/PowerShell stager 執行,避免了傳統的二進制有效負載。它還采用了額外的混淆和規避技術層。


https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack


5. 五角大樓正在調查勒索軟件組織盜竊敏感文件的情況


1月31日,五角大樓發言人告訴 CyberScoop,負責背景調查的國防部辦公室正在與執法部門合作,調查一個多產勒索軟件組織的指控,該組織聲稱他們竊取了包含與美國軍方有關的敏感數據的文件。名為ALPHV或BlackCat的勒索軟件組織周二早些時候表示,他們從 Technica 竊取并威脅泄露 300 GB 的數據。Technica 是一家總部位于弗吉尼亞州的 IT 服務公司,該公司自稱與聯邦政府合作,“他們的使命是支持、保衛和保護美國公民?!痹摴緵]有回復多封尋求置評的電子郵件,也無法通過電話聯系到該公司。ALPHV 聲稱通過涉嫌破壞 Technica,獲得了與國防反情報和安全局相關的數據,該機構負責進行背景調查和內部威脅分析。為了支持其說法,ALPHV 發布了二十多張據稱被盜文件的屏幕截圖,其中包含數十人的姓名、社會安全號碼、許可級別以及角色和工作地點。這些屏幕截圖包括賬單發票、從聯邦調查局到美國空軍等實體的合同,以及與美國政府簽訂合同的私人實體和設施的相關信息。


https://cyberscoop.com/technica-pentagon-alphv-ransomware/?&web_view=true


6. 南非鐵路公司因網絡釣魚詐騙損失超過 100 萬美元


2月3日,南非客運鐵路局 (PRASA)在其年度報告中表示,遭遇網絡釣魚詐騙,損失約 3060 萬蘭特(160 萬美元)。已追回襲擊背后的犯罪分子所盜資金的一半多一點。根據鐵路部門的報告,此次攻擊可能是一名員工所為,他為員工創建了幽靈賬戶,以盜取資金。鐵路網絡和運輸系統面臨多種網絡威脅,威脅其運營完整性和數據安全。鐵路系統網絡中逐漸采用物聯網 (IoT) 設備也帶來了漏洞,攻擊者可能會利用這些漏洞來獲得未經授權的訪問或操縱數據。為了應對這一挑戰,鐵路運營商與技術專家建立了合作伙伴關系,以增強其網絡安全彈性。


https://www.darkreading.com/endpoint-security/south-african-railways-reports-1m-phishing?&web_view=true

上一篇 下一篇