首頁 > 安全研究 > 安全通報 > 安全簡訊

黑客針對 FCC 和加密貨幣公司發起高級 Okta 網絡釣魚攻擊

發布時間 2024-03-04
1. 黑客針對 FCC 和加密貨幣公司發起高級 Okta 網絡釣魚攻擊


3月2日,一種名為 CryptoChameleon 的新網絡釣魚工具包被用于針對聯邦通信委員會 (FCC) 員工,該工具包使用專門為 Okta 制作的單點登錄 (SSO) 頁面,這些頁面與原始頁面非常相似。該活動還針對 Binance、Coinbase、Kraken 和 Gemini 等加密貨幣平臺的用戶和員工,使用冒充 Okta、Gmail、iCloud、Outlook、Twitter、Yahoo 和 AOL 的網絡釣魚頁面。攻擊者精心策劃了復雜的網絡釣魚和社會工程攻擊,包括電子郵件、短信和語音網絡釣魚,以欺騙受害者在網絡釣魚頁面上輸入敏感信息,例如用戶名、密碼,在某些情況下甚至包括帶照片的身份證件。Lookout研究人員發現的網絡釣魚操作 與Scattered Spider黑客組織在 2022 年 進行的 Oktapus 活動 類似  ,但沒有足夠的證據證明其歸屬。


https://www.bleepingcomputer.com/news/security/hackers-target-fcc-crypto-firms-in-advanced-okta-phishing-attacks/


2. 美國網絡和執法機構對 PHOBOS 勒索軟件攻擊發出警告


3月2日,美國 CISA、FBI 和 MS-ISAC 發布聯合網絡安全公告 (CSA),警告涉及Backmydata、Devos、Eight、Elking 和 Faust 等Phobos 勒索軟件變種的攻擊。這些攻擊最近發生在 2024 年 2 月,目標是政府、教育、緊急服務、醫療保健和其他關鍵基礎設施部門。Phobos 操作采用勒索軟件即服務 (RaaS) 模式,自 2019 年 5 月以來一直活躍。根據公開來源的信息,由于觀察到戰術、技術和程序 (TTP) 方面的相似性,政府專家將多個 Phobos 勒索軟件變體與 Phobos 入侵聯系起來。Phobos 入侵還涉及使用各種開源工具,包括 Smokeloader、Cobalt Strike和 Bloodhound。這些工具在不同的操作環境中廣泛可用且用戶友好,有助于 Phobos 及其相關變體在各種威脅參與者中的流行。據觀察,Phobos 攻擊背后的威脅參與者通過利用網絡釣魚活動獲得了對易受攻擊網絡的初始訪問權限。他們丟棄隱藏的有效負載或使用互聯網協議 (IP) 掃描工具(例如 Angry IP Scanner)來搜索易受攻擊的遠程桌面協議 (RDP) 端口或在 Microsoft Windows 環境中利用 RDP。Phobos 使用 Windows 啟動文件夾和運行注冊表項在受感染的環境中保持持久性。威脅參與者使用 Bloodhound、Sharphound、Mimikatz、NirSoft 和 Remote Desktop Passview 等開源工具來枚舉活動目錄并收集憑據。Phobos 運營商使用 WinSCP 和 Mega.io 將數據泄露到 FTP 服務器或云存儲。


https://securityaffairs.com/159822/cyber-crime/cisa-phobos-ransomware-attacks.html


3. CutOut.Pro AI工具數據泄露,黑客泄露2000萬用戶信息


3月2日,CutOut.Pro 是一個專門從事圖像和視頻編輯的人工智能平臺,于 2024 年 2 月 27 日面臨黑客聲稱的數據泄露。一名自稱 KryptonZambie 的人挺身而出,聲稱他們已經成功攻破了 CutOut.Pro,這是一家總部位于新加坡的平臺,以其人工智能驅動的工具而聞名,適合視覺設計和內容創作,特別是在圖像和視頻編輯領域。從此次泄露中提取的數據已在臭名昭著的網絡犯罪和黑客論壇(包括Breach Forums )上泄露,目前正在俄語論壇中傳播。對于泄露數據的內容,Hackread.com深入分析發現,記錄包含以下信息:全名、IP地址、電子郵件地址、密碼哈希值、和帳戶注冊數據。與黑客在列表中的說法相反,Hackread 進行的分析表明,泄露的數據不包括電話號碼、API 訪問權限或應用程序密鑰。這并不是 CutOut.Pro 第一次因為錯誤的原因成為頭條新聞。2023 年 2 月,他們的一臺 Elasticsearch 服務器泄露了高達 9 GB 的客戶數據。這些數據中有超過 2200 萬條日志條目,其中提到了個人用戶和企業帳戶的用戶名。


https://www.hackread.com/hacker-cutout-pro-ai-tool-data-breach/


4. 折扣零售巨頭 Pepco 因網絡犯罪分子損失 1500 萬歐元


2月29日,這家總部位于英國的公司報告稱,由于“復雜的欺詐性網絡釣魚攻擊”,損失了 1550 萬歐元(約合 1680 萬美元)的現金。調查已經啟動,Pepco 正在與銀行和警方合作追回這筆資金,但該公司表示,目前尚不清楚是否可以追回資金。Pepco 集團表示:“現階段,該事件似乎并未涉及任何客戶、供應商或同事的信息或數據?!盤epco 集團擁有 Pepco、Dealz 和 Poundland 品牌。Pepco 的 3,600 家門店遍布 19 個歐洲國家,每月擁有超過 3000 萬顧客。根據該公司對事件的簡要描述和損失金額,該公司可能是商業電子郵件泄露 (BEC) 計劃的目標,在該計劃中,網絡犯罪分子使用被黑客入侵的電子郵件帳戶來誘騙目標組織的員工將資金轉入他們的銀行賬戶控制。


https://www.securityweek.com/discount-retail-giant-pepco-loses-e15-million-to-cybercriminals/


5. 新的 Silver SAML 攻擊可規避身份系統中的 Golden SAML 防御


2月29日,網絡安全研究人員披露了一種名為Silver SAML的新攻擊技術,即使在針對 Golden SAML 攻擊采取緩解措施的情況下,該技術也能成功。Semperis 研究人員 Tomer Nahum 和 Eric Woodruff 在與 The Hacker News 分享的一份報告中表示,Silver SAML“使得 Entra ID 等身份提供商能夠利用 SAML 對配置為使用 SAML 進行身份驗證的應用程序(例如 Salesforce)發起攻擊” 。Golden SAML(安全斷言標記語言的縮寫)由 Cyber Ark 于 2017 年首次記錄。簡而言之,該攻擊媒介需要濫用可互操作的身份驗證標準來冒充組織中的幾乎任何身份。它也類似于金票攻擊,因為它使攻擊者能夠以任何權限未經授權地訪問聯合中的任何服務,并以隱秘的方式在該環境中保持持久性。利用該方法的現實攻擊很少見,第一個 有記錄的攻擊是通過使用受損的 SAML 令牌簽名證書偽造 SAML 令牌來損害 SolarWinds 基礎設施,從而獲得管理訪問權限 。微軟在 2023 年 9 月透露,Golden SAML 還被代號為Peach Sandstorm的伊朗威脅行為者在 2023 年 3 月的一次入侵中武器化,無需任何密碼即可訪問未命名目標的云資源。


https://thehackernews.com/2024/02/new-silver-saml-attack-evades-golden.html


6. 律師事務所Houser LLP報告數據泄露影響超過 325000 人


2月29日,專門為知名金融機構提供服務的美國律師事務所 Houser LLP 表示,2023 年 5 月發現的一次系統漏洞暴露了超過 325,000 人的個人數據,可能包括信用卡號等敏感信息。在緬因州總檢察長周三發布的一份監管文件中,該公司表示,某些文件在事件期間被加密,并“從網絡中復制和獲取”。豪瑟說,這些數據包括姓名“以及社會安全號碼、駕駛執照號碼、個人納稅識別號碼、金融賬戶信息和醫療信息中的一項或多項”。該公司還向加州總檢察長提交了通知。該公司表示,一家未具體說明的第三方公司后來確定,5 月 7 日至 9 日期間,Houser 的網絡存在“未經授權的訪問”。監管文件稱,豪瑟很快就與攻擊者取得了聯系,但沒有解釋通信的性質。Recorded Future News 已聯系該公司以獲取更多信息。該公司表示,在 2023 年 6 月的某個時候,“未經授權的行為者通知 Houser,他們刪除了任何被盜數據的副本,并且不會分發任何被盜文件”。文件稱,第三方供應商于今年 1 月 18 日完成了審查。


https://therecord.media/houser-law-firm-reports-data-breach

上一篇 下一篇