1、新的 0mega 勒索软件针对企业进行双重勒索攻击
7月11日:Bleeping Computer 网站披露,一个名为“0mega”的新勒索软件正在针对全球组织进行双重勒索攻击,并要求受害企业支付数百万美元赎金。 |
2、迪士尼 Instagram 和 Facebook 帐户被黑,并被威胁行为者发布恶意内容
7月11日:近期,迪士尼Facebook和Instagram账户被一名自称“超级黑客”的人入侵,他利用迪士尼账户发布了一系列种族主义相关的帖子。经调查,这个名为“David Do”的威胁行为者声称在迪士尼乐园遭到员工侮辱,为此他正在寻求“报复”,他在一篇博文中写道:我是一名超级黑客,来这里是为了报复迪士尼乐园……现在谁是硬汉杰罗姆? 不仅如此,这名黑客还声称“发明”了COVID-19,并暗示他正在研究一种新的“COVID20”病毒。 据迪士尼的回应,该威胁行为者在太平洋时间凌晨5点前在其Instagram账户上发布了4篇帖子,同时黑客还标记了其他几个Instagram账户,但尚不清楚他们是否是朋友,是否会为警方提供找到黑客的帮助。 |
3、Mangatoon 数据泄露,超两千万账户受影响
7月12日:Mangatoon是一个发布有iOS和Android应用版本的漫画阅读平台,有数百万常用用户通过该应用来阅读在线漫画。本周,数据泄露通知服务平台Have I Been Pwned(HIBP)曝光了此次数据库泄露事件,HIBP称有超过2300万个Mangatoon账户受到影响。HIBP在其推特上向外界透露:“Mangatoon在5月份有2300万个账户被攻破。黑客已经暴露了账户包含的姓名、电子邮件地址、性别、社交媒体账户身份、社交登录的授权令牌和Salt加密后的MD5密码哈希值。” HIBP的所有者Troy Hunt试图就数据泄露事件与Mangatoon联系,但Mangatoon方面没有回应。目前Mangatoon的用户现在可以在HIBP上通过电子邮件地址进行搜索,以确认账户是否已遭泄露。 数据泄露的始作俑者是名为 “pompompurin ”的知名黑客,pompompurin曾经参与过多起入侵事件,包括通过联邦调查局的执法企业门户(LEEP)发送虚假的网络攻击邮件,以及窃取Robinhood的客户数据。 在此次事件中,pompompurin声称入侵了Elasticsearch服务器并盗取了数据库,该服务器使用的是弱凭证。 |
4、多款本田车型存在漏洞,车辆可被远程控制
7月13日:对本田车主来说有个坏消息,部分本田车型存在Rolling-PWN攻击漏洞,该漏洞可能导致汽车被远程控制解锁甚至是被远程启动。 远程无钥匙进入系统(RKE)能够允许操作者远程解锁或启动车辆。研究人员测试了一个远程无钥匙进入系统(RKE),并在测试过程中发现了滚动式PWN攻击问题。据专家称,该问题影响到市场上的所有本田汽车(从2012年到2022年)。 以下是2012至2022年间发售,存在相关问题的10款本田流行车型,其中包括: 本田思域2012 本田X-RV 2018 本田C-RV 2020 本田雅阁2020 本田奥德赛2020 本田启发 2021 本田飞度 2022 本田思域 2022 本田VE-1 2022 本田皓影 2022 根据GitHub上发布的滚动PWN攻击的描述,该问题存在于许多本田车型为了防止重放攻击而实施的滚动代码机制的一个版本中。 “我们在滚动代码机制的一个脆弱版本中发现了这个问题,该机制在大量的本田汽车中实施。无钥匙进入系统中的滚动代码系统是为了防止重放攻击。每次按下钥匙扣按钮后,滚动代码同步计数器就会增加。然而,车辆接收器将接受一个滑动的代码窗口,以避免意外的钥匙按下的设计。通过向本田车辆连续发送命令,它将会重新同步计数器。一旦计数器重新同步,前一个周期的计数器的命令就会再次起作用。因此,这些命令以后可以被用来随意解锁汽车。” 研究人员还指出,利用该缺陷解锁车辆是不可能被追踪到的,因为利用该缺陷不会在传统的日志文件中留下任何痕迹。 如何修复这个问题? 专家们的建议是:"常见的解决方案是通过当地经销商处对涉事车型进行召回。但如果可行的话,通过空中下载技术(OTA)更新来升级有漏洞的BCM固件。然而可能存在有部分旧车型不支持OTA的问题。" |
5、未来五年,网络在线支付诈骗造成的损失将高达 3430 亿美元
7月12日:近期,知名市场研究机构Juniper Research发布了一项新的研究,该研究表明,未来五年,全球在线支付诈骗造成的总损失将超过3430亿美元,其中造成数据大幅上涨的主要原因在于欺诈者在账户接管欺诈和身份盗窃等领域的创新,尽管身份验证措施已经被广泛使用,但仍然无法阻止身份盗窃、账户接管欺诈等事件的发生。 在Juniper Research的研究中,在线支付欺诈的目标通常包括数字商品、实物商品、汇款交易和银行业务等,欺诈者的攻击手段包括网络钓鱼、商业电子邮件泄露和社会工程欺诈等。 该研究还发现,为了打击日益增长的欺诈行为,一些预防欺诈的供应商必须安排安全有效的验证工具组合,来最大程度的保护客户的账户安全。然而要实现这项工作,就比较考验供应商的能力了。 根据本报告的作者,、瞻博网络研究部研究主管 Nick Maynard 说:“从根本上说,没有两笔在线交易是相同的,因此交易的安全方式不能遵循一刀切的解决方案。支付欺诈检测和预防供应商必须建立多种验证功能,并根据情况智能地编排不同的解决方案,以正确保护商家和用户。” 该研究将实物购买归类为最大的单一损失来源,预计这将占未来五年全球累计在线支付欺诈造成损失的49%,并且将会增长110%。在发展中的市场,地址验证过程不严也是一个主要的欺诈风险,欺诈者特别针对实体商品,因为它们有转售潜力。 因此,建议商家采取强有力的反欺诈措施,包括多源地址验证和多因素认证,以减少实体商品商家的欺诈事件。 |
6、警惕 Google 更新,可能是勒索软件伪装
7月12日:一种新的勒索软件正以谷歌更新的形式出现在网络上,有证据证明,其在利用Windows系统的功能进行勒索攻击。 趋势科技( Trend Micro )的研究人员称他们发现了最新的威胁,被称为 “HavanaCrypt”,这是一个赎金软件包,该恶意软件使用开源的.NET混淆器Obfuscar编写,并将自身伪装成谷歌软件更新,诱使用户点击。 当HavanaCrypt开始执行进程时,该勒索软件会通过使用系统中的ShowWindow函数隐藏其窗口,给它一个0的参数。该勒索软件还有多种反虚拟化技术,帮助它在虚拟机中执行时避免动态分析,一旦发现系统在虚拟机环境中运行,该软件将会自动终止进程。 趋势科技的研究人员在分析中写道:“该勒索软件的作者极有可能计划通过Tor浏览器进行通信,因为Tor的是它避免加密文件的目录之一。同时HavanaCrypt还加密了文本文件foo.txt,并且不会丢弃赎金条。这可能是一个表明HavanaCrypt仍处于开发阶段的迹象。” HavanaCrypt正在为日益增长的勒索软件攻击提供支持。据收集和识别威胁的网络安全供应商智能保护网络称,趋势科技在第一季度检测并阻止了超过440万个通过电子邮件、URL和文件层出现的勒索软件威胁,季度环比增长了37%,这其中包括从2017年就已经存在的分发Magniber勒索软件的假Windows更新以及使用假微软Edge和谷歌浏览器更新来推送Magnitude漏洞的攻击。 趋势科技在针对HavanaCrypt的分析中指出,勒索软件的普遍性植根于它的进化性,它采用不断变化的战术和计划来欺骗不知情的受害者,并成功地渗透到环境中,今年有报告称,勒索软件会伪装成虚假的Windows更新。 |
7、GitHub Actions 和 Azure 虚拟机正在被用于云挖矿
7月12日:据The Hack News消息,GitHub Actions和Azure虚拟机 (VM) 正在被用于基于云的加密货币挖掘。这意味着,挖矿黑灰产已经开始将目光转向云资源。 |
8、攻击者提供虚假 Offer,从 Axie Infinity 窃取 5.4 亿美元
7月13日:据悉,攻击事件发生在 3月 23 日,攻击者从 Axie Infinity 的 Ronin 网桥上盗取了大量的以太坊和 USDC(一种与美元挂钩的稳定币)代币。值得一提的是,此次网络攻击是在某个用户无法提取 5000 个以太坊后才被发现。 注:Ronin 网络是用于区块链游戏 Axie Infinity 的以太坊链接侧链。 通过此次网络攻击,攻击者大约盗取了 173600 个以太坊和 2550 万 USDC,攻击发生后,Ronin 桥和 Katana Dex 已经被停止了。 Axie Infinity 已经通过官方的 Discord 和 Twitter 账户以及 Ronin Network 披露了安全漏洞。 通过 LinkedIn 提供虚假 Offer The Block 援引了两名知情人士的话,攻击者通过 LinkedIn 向 Axie Infinity 公司的高级工程师提供虚假工作机会,一名高级工程师被骗申请了一家实际上并不存在公司的工作。 据知情人士透露,今年早些时候,这家虚假的公司联系 Axie Infinity 开发商 Sky Mavis 的某些员工,鼓励他们申请工作。一位消息人士补充说,接触是通过专业网站 LinkedIn 进行的。由于此次攻击事件的敏感性,不方便透露员工信息。 攻击者向一名工程师提供了一份报酬极为丰厚的工作,当一切都谈拢后,包含工资报价的 PDF 文件发送给了员工。一旦员工打开该文件,一个间谍软件就会侵入其电脑系统并渗透到 Ronin 公司的网络中。当攻击者成功进入公司基础设施后,就能接管 Ronin 网络上九个验证器中的四个。 攻击事件不久后, Sky Mavis 发布了分析报告,文章中表示员工在各种社交渠道上不断受到高级鱼叉式攻击,一名员工被攻破了,目前这名员工已不在 Sky Mavis工作。攻击者成功地利用这一访问权限渗透到 Sky Mavis 的 IT 基础设施中,并获得了对验证器节点的访问权限。 4 月,美国政府将 Ronin Validator 网络抢劫归咎于 APT 组织 Lazarus。 |
9、微软:超 1 万家企业遭受钓鱼攻击
7月13日:微软表示,从2021年9月开始,已经有超过10,000个组织受到网络钓鱼攻击,攻击者会利用获得的受害者邮箱访问权进行后续的商业电子邮件破坏(BEC)攻击。攻击者使用登陆页面欺骗Office在线认证页面,从而绕过多因素认证(MFA),实现劫持Office 365认证的目的。 在这些钓鱼攻击中,潜在的受害者会收到一封使用HTML附件的钓鱼邮件,当目标点击时会被重定向到登陆页面,而HTML附件确保目标通过HTML重定向器发送。在窃取了目标的凭证和他们的会话Cookie后,这些攻击者会登录受害者的电子邮件账户,并使用受害者的访问权限进行针对其他组织的商业电子邮件泄露(BRC)活动。 |
10、遭受大规模 DDOS 攻击,立陶宛能源公司业务被迫中断
7月14日:近期,立陶宛能源公司Ignitis Group遭受了十年来最大的网络攻击,大量分布式拒绝服务 (DDoS) 攻击破坏了其数字服务和网站。随后,亲俄罗斯的黑客组织Killnet在其Telegram频道表示对此次攻击负责,这也是该组织在立陶宛发起的一系列攻击中的最新一次,原因是该国在与俄罗斯的战争中支持乌克兰。 7月9日,Ignitis Group在其Facebook上发布了一篇帖子,在帖子中,该企业表示,它已经能够管理和限制攻击对其系统的影响,并且没有记录任何违规行为。然而,该帖子还透露,针对其发动的DDoS攻击仍在进行中。该国国防部副部长在立陶宛电台发表讲话时警告不要过度关注此类网络攻击。他认为,他们的主要目标是寻求媒体报道并推动该地区的紧张局势。在采访中,Margiris Abukevicius 表示,“我们需要了解,媒体报道是这些攻击的一个非常重要的部分。如果我们不谈论他们,对方就会失去动力。当我们谈论所谓的胜利,所谓的对立陶宛的惩罚时,它就会激励这些组织并且给他们带来攻击动力。 Ignitis Group 在新闻稿中表示,它正在与主管当局合作,并继续努力确保其网站和数字服务的可访问性。Ignitis Group业务负责人Edvinas Kerza说:“我们当前的首要任务是确保客户使用的集团网站和系统正常运行。工程完成后,我们将立即评估如何改进我们的流程并进一步加强系统,以便即使在如此大规模的攻击下,也能尽可能少地中断操作。” |