首頁 > 安全研究 > 安全通報 > 安全簡訊

新網絡釣魚工具包“Xiū gǒu”引發全球安全警報

發布時間 2024-11-04

1. 新網絡釣魚工具包“Xiū gǒu”引發全球安全警報


11月1日,網絡安全領域近期出現了一種名為Xiū gǒu的新型網絡釣魚工具包,自2024年9月起已針對澳大利亞、日本、西班牙、英國和美國等多個國家發起攻擊。該工具包已感染超過2000個釣魚網站,主要攻擊公共部門、郵政、數字服務和銀行服務等垂直行業。Netcraft指出,這些攻擊者常利用Cloudflare的反機器人和托管混淆功能來規避檢測。Xiū gǒu提供管理面板,使用Golang和Vue.js等技術,通過Telegram從虛假釣魚頁面竊取信息。這些網絡釣魚攻擊主要通過富通信服務(RCS)消息傳播,誘導受害者點擊縮短的鏈接以提供個人信息或付款。谷歌等科技巨頭已采取措施打擊此類詐騙,包括推出增強型詐騙檢測功能和安全警告,并計劃在全球范圍內推廣新保護措施。此外,思科Talos團隊發現,臺灣的Facebook商業和廣告帳戶用戶正成為網絡釣魚活動的目標,旨在傳播竊取惡意軟件。這些活動還冒充OpenAI等知名企業,誘導全球企業更新付款信息。


https://thehackernews.com/2024/11/new-phishing-kit-xiu-gou-targets-users.html


2. Interlock勒索軟件:針對FreeBSD服務器的新型攻擊行動


11月3日,Interlock是一個新興的勒索軟件操作,自2024年9月底啟動以來,已對全球多個組織發起攻擊。它采用一種不常見的方法,即創建專門針對FreeBSD服務器的加密器。這種加密器在FreeBSD 10.4上編譯,盡管BleepingComputer等安全機構在虛擬機上測試時未能使其正確執行。Interlock在攻擊成功后,會在未支付贖金的情況下,在其數據泄露網站上發布被盜數據。據網絡安全公司趨勢科技稱,Interlock的目標是FreeBSD,因為它廣泛應用于服務器和關鍵基礎設施,攻擊者可以破壞重要服務,索要巨額贖金。此外,趨勢科技還發現了該操作的Windows加密器樣本。在加密文件時,Interlock會將.interlock擴展名附加到所有加密文件名后,并在每個文件夾中創建勒索記錄。被盜數據被用于雙重勒索攻擊,威脅行為者威脅稱,如果不支付贖金,他們就會公開泄露數據。據稱,Interlock勒索軟件操作要求的贖金從數十萬美元到數百萬美元不等,具體取決于組織的規模。


https://www.bleepingcomputer.com/news/security/meet-interlock-the-new-ransomware-targeting-freebsd-servers/


3. SharePoint RCE漏洞CVE-2024-38094正被黑客利用進行網絡攻擊


11月2日,Microsoft SharePoint的一個遠程代碼執行漏洞(CVE-2024-38094)被披露并正在被黑客利用,以獲取對公司網絡的初始訪問權限。該漏洞是一個高嚴重性(CVSS v3.1 評分:7.2)的RCE漏洞,影響廣泛使用的基于Web的SharePoint平臺。微軟已于2024年7月9日發布了補丁修復該漏洞,并將其標記為“重要”。然而,CISA上周將該漏洞添加到已知利用漏洞目錄時,并未透露具體的利用方式。Rapid7發布的新報告揭示了攻擊者如何利用該漏洞,指出攻擊者通過未經授權訪問易受攻擊的SharePoint服務器并植入Webshell,進而在網絡中橫向移動,危及整個域。攻擊者還破壞了具有域管理員權限的Microsoft Exchange服務帳戶,獲得提升的訪問權限,并安裝了Horoung Antivirus軟件,造成安全防御沖突,禁用安全服務,削弱檢測能力。他們使用多種工具進行憑證收集、遠程訪問、持久性設置等操作,并禁用了Windows Defender、更改了事件日志,以避免被發現。盡管攻擊者試圖刪除備份,但并未成功加密數據,因此攻擊類型尚不清楚。


https://www.bleepingcomputer.com/news/security/microsoft-sharepoint-rce-bug-exploited-to-breach-corporate-network/


4. 洛杉磯市住房管理局遭Cactus勒索軟件團伙攻擊


11月1日,洛杉磯市住房管理局(HACLA)是美國最大的公共住房管理局之一,負責管理超過32,000套公共住房,年度預算超過10億美元,為低收入家庭、兒童和老年人提供經濟適用房和援助計劃。最近,Cactus勒索軟件團伙聲稱對HACLA的IT網絡進行了入侵攻擊。HACLA證實了這一網絡攻擊,并表示已聘請外部取證IT專家進行調查和應對。盡管HACLA未透露攻擊的具體時間和性質,但Cactus勒索軟件團伙聲稱已從受感染的網絡中竊取了891 GB的文件,包括個人身份信息、財務文件、高管和員工個人數據、客戶個人信息、公司機密數據和通信等,并在其泄密網站上發布了一些敏感文件的截圖作為證據。此外,HACLA在2022年也曾遭到LockBit勒索軟件團伙的攻擊,攻擊者在長達一年的時間里訪問了HACLA的系統,并可以訪問會員的敏感個人信息。政府機構在拒絕支付網絡犯罪分子要求的贖金后,LockBit勒索軟件組織泄露了所有被盜文件。


https://www.bleepingcomputer.com/news/security/la-housing-authority-confirms-breach-claimed-by-cactus-ransomware/


5. LastPass用戶警惕虛假支持電話實施遠程訪問詐騙


11月1日,LastPass 是一款流行的密碼管理器,它利用 LastPass Chrome 擴展程序來生成、保存、管理和自動填充網站密碼。LastPass發出警告,詐騙者正在通過在其Chrome擴展程序上發布虛假5星評論,推廣一個假冒的客戶支持電話號碼805-206-2892,以誘騙LastPass用戶。一旦用戶撥打該電話,騙子會冒充LastPass,引導他們訪問“dghelp[.]top”網站,并要求輸入代碼下載遠程支持程序,該程序實際上是ConnectWise ScreenConnect代理,允許詐騙者完全訪問用戶的計算機。BleepingComputer發現,該電話號碼與一場更大規模的詐騙活動有關,該號碼還被用作許多其他公司(如亞馬遜、Adobe、Facebook等)的假冒支持電話號碼,并在各種網站上發布。LastPass用戶被提醒不要與任何人分享他們的主密碼,以避免私下訪問其密碼庫中存儲的所有密碼和數據。


https://www.bleepingcomputer.com/news/security/lastpass-warns-of-fake-support-centers-trying-to-steal-customer-data/


6. 法國勞工部遭網絡攻擊,就業幫扶年輕人數據疑遭泄露


11月1日,法國勞工部宣布,其“地方使團”網絡使用的一家服務提供商疑似近期遭受網絡攻擊,該網絡主要為16至25歲的年輕人提供就業和培訓建議與支持。此次攻擊可能泄露了已在該系統中登記的年輕人的個人數據,包括全名、出生日期、國籍、電子郵件和郵政地址以及電話號碼,但銀行詳細信息、社會保障號和身份證件未受影響。盡管技術調查尚未完成,該部已采取多項措施解決漏洞問題,并已向法國隱私監管機構CNIL和網絡安全機構ANSSI報告此事,同時向司法當局提起投訴。受影響的年輕人正在被通報情況,并提醒他們警惕網絡釣魚和身份盜竊的風險,切勿通過電話、短信或電子郵件透露密碼或銀行詳細信息。


https://therecord.media/france-data-breach-government-contractor-local-missions

上一篇 下一篇