研究人员表示,自 2023 年 2 月以来,一个伊朗支持的威胁组织已针对美国和世界各地的数千个组织发起了密码喷洒攻击。国家黑客还从国防、卫星和制药领域的有限数量的受害者那里窃取了敏感信息。该网络间谍组织被追踪为 APT33(又名 Peach Sandstorm、HOLMIUM 或 Refined Kitten),至少自 2013 年以来一直活跃,攻击美国各个垂直行业(包括政府、国防、研究、金融和工程)的实体。美国、沙特阿拉伯和韩国。2023 年 2 月至 7 月期间,APT33 组织发起了一波密码喷射攻击,试图对数千个环境进行身份验证。
威胁行为者利用 Google Ads 跟踪模板作为漏洞来创建令人信服的 Webex 软件搜索广告,将用户重定向到分发 BatLoader 恶意软件的网站。Webex 是一个视频会议和联络中心套件,是思科协作产品组合的一部分,被全球的公司和企业使用。恶意广告活动已在 Google 搜索中活跃一周,攻击者似乎来自墨西哥。恶意 Google 广告冒充官方 Webex 下载门户,在“webex”一词的 Google 搜索结果中排名最高。该广告看起来合法的原因在于它使用真正的 Webex 徽标并显示合法 URL“webex.com”作为点击目标。这些广告组件使广告看起来合法且与思科的真实广告没有区别。攻击者可以利用 Google Ad 平台跟踪模板中的漏洞,允许他们在遵守 Google 政策的同时随意重定向。
https://at.govt.nz/bus-train-ferry/service-announcements/at-hop-technical-outage
新西兰奥克兰交通局 (AT) 正在处理因网络事件造成的大范围停电,影响了广泛的客户服务。AT 是奥克兰地区政府拥有的地区交通管理局,负责渡轮、公共汽车和火车等公共交通,以及设计和建设道路和其他基础设施。该公司今天宣布,由于网络事件影响了部分网络,其 HOP 服务(集成票务和票价系统)遇到问题。AT 服务已因攻击而受到影响。例如,在线充值以及使用 AT 网站上的 MyAT HOP 的其他 AT HOP 服务。售票机和充值机仅接受现金付款。AT 客户服务中心的功能有限,可能只能接受现金付款。HOP 零售商无法为 HOP 卡充值或处理其他 AT HOP 服务,例如装载优惠。AT 的网站和 HOP 服务可能会在下周初恢复正常运行。AT 称该事件仅发生在我们系统的一部分,并且没有任何个人或财务数据被访问。目前还没有主要勒索软件组织承认对 AT 系统的攻击负责。
英国大曼彻斯特警察局 (GMP) 今天早些时候表示,其部分员工的个人信息受到第三方供应商勒索软件攻击的影响。今天发布的声明中未提及受影响的组织,该组织是 GMP 和英国其他组织的服务供应商。GMP 认为被黑客入侵的系统上的数据不包含属于警察局员工的财务信息。助理警长称,他们意识到勒索软件攻击影响了英国各个组织的第三方供应商,其中包括 GMP,该供应商掌握着 GMP 雇员的一些信息。现阶段,据信这些数据不包含财务信息。然而,助理警长也没有提供有关哪些其他类型的信息可能在此次泄露中受到损害的详细信息。
https://www.healthcareinfosecurity.com/feds-warn-healthcare-sector-akira-ransomware-threats-a-23073
联邦当局就 Akira 构成的威胁向卫生部门发出警告,Akira 是一个勒索软件即服务组织,大约六个月前出现,与许多行业中以中小型实体为主的数十起攻击有关。美国卫生与公众服务部卫生部门网络安全协调中心在周二发布的威胁警报中表示,该组织似乎更青睐尚未在虚拟专用网络上部署多因素身份验证的组织。Akira 进行双重勒索攻击,涉及数据盗窃,然后进行勒索软件加密,似乎通过多种方法获得初始恶意软件交付,包括利用受损的凭据和利用虚拟专用网络中的弱点,特别是在未使用多因素身份验证的情况下。其他攻击方法包括网络钓鱼电子邮件、恶意网站、偷渡式下载攻击和特洛伊木马。研究人员观察到 Akira 似乎与已解散的Conti勒索软件组织有相似之处。该机构表示:“这是由于一些已确定的代码重叠以及 ChaCha 2008 的实施以及密钥生成代码造成的,两者都与 Conti 使用的代码相似。
https://thehackernews.com/2023/09/microsoft-uncovers-flaws-in-ncurses.html
在ncurses(新的curses的缩写)编程库中发现了一组内存损坏缺陷,威胁者可以利用这些缺陷在易受攻击的 Linux 和 macOS 系统上运行恶意代码。通过篡改环境变量,攻击者可以串联这些漏洞来提升权限并在目标程序的上下文中运行代码或执行其他恶意操作。这些漏洞统称为CVE-2023-29491(CVSS 评分为 7.8),已于 2023 年 4 月得到解决。微软表示,它还与苹果合作解决与这些缺陷相关的 macOS 特定问题。环境变量是用户定义的值,可以由系统上的多个程序使用,并且可以影响它们在系统上的行为方式。操纵变量可能会导致应用程序执行未经授权的操作。微软的代码审计和模糊测试发现,ncurses库会搜索多个环境变量,其中包括 TERMINFO,这些变量可能会中毒,并与已识别的缺陷结合起来实现权限提升。Terminfo是一个数据库,使程序能够以与设备无关的方式使用显示终端。
https://therecord.media/dutch-football-association-paid-ransom-lockbit
荷兰足球管理机构本周表示,它已向今年早些时候入侵其系统并窃取超过 120 万名员工和会员敏感数据的黑客支付了赎金。荷兰皇家足球协会 (KNVB) 并未透露赎金金额有多大,但它证实, LockBit 勒索软件团伙确实是此次攻击的幕后黑手。总部位于宰斯特的 KNVB 负责管理该国主要的职业联赛、荷兰男子和女子国家队、荷兰杯和业余联赛。4 月份,KNVB 领导层宣布了这一事件,称该组织的业务运营没有受到影响,但入侵者已经获取了个人数据。荷兰执法机构和荷兰数据保护局已收到通知。同月,LockBit声称窃取了 305 GB 的数据。KNVB 本周透露,可能受影响的包括:2014 年至 2019 年间转会国际的未成年球员的父母或监护人。2015 年至 2021 年间进行国际转会的球员。2016 年至 2018 年间为职业足球组织效力的球员。任何与 KNVB 运动医疗中心有过接触的人。1999 年至 2020 年期间涉及纪律问题(例如制裁)的任何人。
BlackCat 勒索软件组织的一个附属机构(也称为 APLHV)是此次攻击的幕后黑手,该攻击扰乱了米高梅度假村的运营,迫使该公司关闭 IT 系统。BlackCat 勒索软件组织在今天的一份声明中声称,自周五以来,他们已经渗透到 MGM 的基础设施中,并在该公司摧毁了内部基础设施后对 100 多个 ESXi 虚拟机管理程序进行了加密。该攻击组织表示,他们已经从网络中窃取数据,并保持对米高梅部分基础设施的访问,并威胁称除非达成协议支付赎金,否则他们将发动新的攻击。
https://www.wsj.com/business/hospitality/caesars-paid-ransom-after-suffering-cyberattack-7792c7f0
凯撒娱乐公司自称是美国最大的连锁赌场,拥有业内最广泛的忠诚度计划,该公司表示,它支付了赎金,以避免在最近的网络攻击中被盗的客户数据在线泄露。Caesars 于 9 月 7 日发现,攻击者窃取了其忠诚度计划数据库,该数据库存储了许多客户的驾驶执照号码和社会安全号码。凯撒周四向美国证券交易委员会提交的一份 8-K 表格称,凯撒娱乐仍在调查未经授权的行为者获取的文件中包含的任何其他个人或其他敏感信息的范围。迄今为止,凯撒娱乐没有证据表明未经授权的行为者获取了任何会员密码/PIN、银行账户信息或支付卡信息 (PCI)。凯撒的 8-K 还意味着攻击者要求支付赎金,以防止被盗数据在网上泄露。这家酒店和赌场娱乐公司支付了大约 1500 万美元。尽管如此,凯撒明确表示,它无法对造成该事件的威胁行为者的潜在行动提供任何保证,包括他们仍然可能出售或泄露客户被盗信息的可能性。
https://securityaffairs.com/150918/breaking-news/tiktok-fined-e345m-irish-dpc.html
爱尔兰数据保护委员会 (DPC)因侵犯儿童隐私而对 TikTok 处以 3.45 亿欧元罚款。爱尔兰数据监管机构发现,这款流行的视频共享应用程序允许成年人向某些与他们没有家庭联系的青少年发送直接消息。DPC 进行的调查显示,TikTok 的“家庭配对”功能存在严重缺陷,可能会被滥用,将儿童账户与“未经验证”的成年人关联起来。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。