https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2024/bericht-datenanalyse-xplain.html
瑞士IT服务提供商Xplain于2023年6月遭受了Play勒索软件团伙的网络攻击。攻击者通过利用漏洞锁定Xplain为州服务托管的服务器,要求支付赎金以换取解锁工具。波及影响包括联邦警察局、联邦海关和边境保护办公室、瑞士联邦铁路和阿尔高州政府。此外,6月瑞士联邦政府网站及瑞士联邦铁路在线门户也遭遇了DDoS攻击,数个网站因此不可访问,负责攻击的是自称为亲俄团体“NoName”。Play勒索软件团伙在其暗网泄露网站上公布了约65000份瑞士联邦政府文件,包括机密文件和登录凭证。瑞士国家网络安全中心(NCSC)已共同进行调查,并发布了攻击后果的详细信息。约有70%(约47413份)的文件属于Xplain,14%(9040份)属于联邦行政部门。其中,约95%的文件来自瑞士联邦政府,主要涉及联邦司法与警察部门、联邦司法办公室、联邦警察局、移民秘书处和ISC-FDJP。联邦行政部门的文件中,约半数包含敏感内容,例如个人数据、技术信息、分类信息和密码。有4779份文件含有个人数据,278份文件含有技术信息。121个项目被列为信息保护条例下的机密,其中4个包含可读密码。
https://www.ndss-symposium.org/wp-content/uploads/2024-49-paper.pdf
研究人员发表的一篇论文中指出,嵌入到工业固件中的Web服务器可能为黑客提供了一个攻击的新途径。这些Web服务器被嵌入到以往依赖串行通信协议的可编程逻辑控制器(PLC)中,是目前占据全球市场80%份额的每一家大型PLC供应商的产品。这种嵌入Web服务的便利性深刻而不可逆转地改变了工业控制系统(ICS)生态系统。攻击者可以利用嵌入式Web PLC恶意软件来伪造传感器读数、禁用安全警报、操作物理执行器,甚至造成人员伤亡等灾难性事件。传统的PLC恶意软件受固有硬件约束和实时操作系统的限制,而这些新型的Web PLC恶意软件则可以通过浏览器执行,对工业设备及其控制系统造成严重损害。黑客可以通过多种方式感染PLC Web服务器,包括通过用户自定义的Web页面或利用HTML5特性“service worker”,该特性允许JavaScript资产在Web浏览器和Web服务器之间充当代理,即使主要恶意载荷被从设备上彻底移除,缓存的JavaScript文件还是可以重新感染设备。与传统PLC恶意软件不同,Web PLC恶意软件无需深入了解物理过程或执行器设置,可以简单地通过虚拟操作界面造成破坏。此外,攻击者可以滥用管理员设置进一步破坏或窃取工业间谍数据。随着这种新型恶意软件的出现,过去在控制室内操作的场景可能被转移到了使用平板电脑或开着谷歌Chrome的控制室内。因此这代表了对运营技术环境的新威胁,可能导致比历史上著名的Stuxnet病毒更严重的后果。
https://www.group-ib.com/media-center/press-releases/hi-tech-crime-trends-2023-2024/
最近,越南金融机构遭受了一个名为Lotus Bane的新型先进持续性威胁(APT)组织的攻击。这一攻击行动于2023年3月首次被检测到,据研究人员分析,该黑客组织自2022年起即活跃于网络空间。虽然感染链的具体细节暂时未知,但攻击中使用了多种恶意工具作为后续行动的基础。研究人员表示,Lotus Bane所使用的技巧与一个名为OceanLotus(又称APT32、Canvas Cyclone、Cobalt Kitty)的与越南关联的威胁行动者有所重叠。这主要表现在它们都使用PIPEDANCE恶意软件进行命名管道通信。Lotus Bane目前集中攻击亚太地区的银行业,虽然已知的攻击发生在越南,但其方法的复杂程度显示出可能在更广泛的亚太地区开展活动的潜力。目前还不清楚它们在本次发现之前已经活动了多长时间,但正在进行的调查可能会进一步揭示其历史。
根据研究人员的监测,自2024年3月5日起,JetBrains TeamCity的身份验证绕过漏洞(CVE-2024-27198和CVE-2024-27199)正遭到积极的利用。这些漏洞适用于所有2023年11月4日之前版本的TeamCity On-Premises。研究人员团队曝光了涉及漏洞的初步利用代码。受影响的路径包括但不限于/res/、/update/和/.well-known/acme-challenge/等。攻击者可通过这些路径发起路径穿越攻击,并篡改服务器上的系统配置或披露敏感信息。由于之前曾有俄罗斯外情局(SVR)等在内的国家级攻击者利用JetBrains的漏洞实施供应链攻击,此次漏洞被积极利用的情报尤显重要。研究人员发现超过1700个TeamCity实例暴露在互联网上。该公司还观察到黑市上犯罪分子利用这些漏洞进行初始访问的销售。
近日,微软在其安全博客及向证券交易委员会提交的报告中宣布了一个关于网络安全的严重发现:俄罗斯黑客组织Cozy Bear(微软称之为Midnight Blizzard)不仅在去年11月通过密码喷射攻击侵入了一个非生产测试租户账号,而且在随后的行动中成功访问了公司的一些内部系统及源代码库。在这个持续的安全冲突中,微软正与这些攻击者斗争,试图将他们从系统中清除或阻止他们再次入侵。微软暗示,此次安全事件并不简单——它是涉及精心协调和重大资源承诺的有组织攻击,并可能是对进一步攻击目标的一次侦查行动。这起事件再次突显了公司必须面对的复杂国际安全威胁布局,迫使其必须加强对其系统保安的资源和关注。
https://therecord.media/cisa-takes-two-systems-offline-following-ivanti-compromise
二月份,据美国网络安全与基础设施安全局(CISA)披露,黑客通过利用Ivanti产品漏洞成功侵入了其系统。CISA发现Ivanti产品中的安全漏洞被利用后,迅速采取措施下线了两个系统。CISA拒绝透露有关事件详细信息,但消息来源指出,被妥协的系统包括存储关键美国基础设施互依信息的基础设施保护门户和存放私营领域化学安全计划的化学安全评估工具。尽管没有证实这些系统是否已被下线,CISA建议各组织紧急查看其发布的有关警告,并采取高度警惕和全面的网络安全措施。此外,CISA已向全美联邦民用机构下达了指令,要求在2月2日前断开Ivanti Connect Secure和Policy Secure产品的联网,并在2月9日后续通知中指出,只有在打好补丁后才可重新启用。
研究人员演示了如何进行中间人(MiTM)网络钓鱼攻击,以危害Tesla帐户、解锁汽车并启动汽车。该攻击适用于最新的Tesla应用程序版本4.30.6和Tesla软件版本11.12024.2.7。作为此次攻击的一部分,研究人员注册了一个新的“电话密钥”,可用于访问Tesla。虽然研究人员使用FlipperZero执行这种网络钓鱼攻击,但也可以使用其他设备轻松完成,例如计算机、RaspberryPi或Android手机。研究人员认为,在添加新手机钥匙时需要物理特斯拉卡钥匙可以通过为新手机添加身份验证层来提高安全性。
https://store.anycubic.com/blogs/news/security-issue-of-anycubic-cloud
AnyCubic发布了新的Kobra2固件,以修复上个月在全球3D打印机上打印安全警告的零日漏洞。2月底,AnyCubic打印机用户开始报告称,他们的Kobra3D打印机被一项打印作业攻击,该作业警告他们的设备容易受到严重漏洞的影响。该漏洞使攻击者能够滥用公司MQTT服务API中的不安全权限向打印机发送命令。这使得攻击者能够将名为“hacked_machine_readme.gcode”的G代码文件排队,当在文本编辑器中打开该文件时,其中包含一条警告,表明严重漏洞已影响打印机。为了解决这个问题,AnyCubic表示他们加强了MQTT服务器的安全验证和授权/权限管理,该服务器被滥用向打印机发送警告。
https://fintrac-canafe.canada.ca/new-neuf/statement-declaration-eng
加拿大金融交易和报告分析中心(FINTRAC)宣布,作为预防措施,一次“网络事件”迫使其公司系统下线。FINTRAC是加拿大的一个政府机构,作为该国的金融情报机构运作。它从事洗钱调查,每年追踪数百万笔可疑交易,并向警方披露数千起非法资金流向。该机构在其网站上发表了一份简短的新闻声明,指出该中心的情报或机密系统未被访问,因此与其核心任务相关的敏感信息和操作能力仍然安全。作为预防措施,FINTRAC已将其公司系统关闭,以确保其完整性并保护中心维护的信息。
https://www.secrss.com/articles/64185
Group-IB 调查结果显示,2023 年 1 月至 10 月期间,超过 225000 个含有泄露的 OpenAI ChatGPT 凭证的日志在地下市场上售出。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
