绿盟科技威胁周报(2022.09.19-2022.09.25)

一、 热点资讯

  1. 黑客入侵马来西亚公务员工资系统

【标签】政府

【概述】

据消息称,马来西亚正在调查黑客组织声称入侵公务员工资系统并盗窃数据事件,当局将在确认调查进展后公布详情。自称灰帽的黑客组织上星期二(9月13日)发送电邮给马国各主要媒体,宣称他们已经入侵公务员工资系统,并掌握大量公务员及国会议员的个人信息。灰帽表示,若政府拒绝回应此事,他们将在星期一(19日)公开贩售这些信息。通讯及多媒体部长安努亚慕沙上星期六(17日)告诉媒体,他们国家的相关安全研究院正在调查此事,但他拒绝证实公务员工资系统是否遭入侵或确实损害程度。国家安全理事会(MKN)的相关人员在出席2022年马国信息与通讯技术(ICT)安全人员大会后告诉媒体,当局正在调查此事,调查单位必须先确认调查进展后,才会发布调查情况。

【参考链接】

https://ti.nsfocus.com/security-news/IlNTu

 

  1. 攻击者入侵了LockBit勒索病毒的服务器

【标签】不区分行业

【概述】

近日,国外某人在社交媒体论坛上宣称,自己的团队入侵了LockBit勒索病毒的服务器,并找到了LockBit Black(3.0)勒索病毒的生成器。LockBit勒索病毒首次攻击于2019年9月被发现,最开始被称作为ABCD勒索病毒,因为它加密后的文件后缀名为abcd,随后它加密后的文件后缀修改为lockbit,并被更名为LockBit勒索病毒,与大多数主流勒索病毒黑客组织一样,以RAAS(Ransomware-as-a-service)平台模式运营,并于2021年6月该勒索病毒推出了它的更新版本LockBit2.0,并加入了磁盘卷影和日志文件删除等新功能,同时还推出了它的专用窃密木马StealBit,对受害者进行双重勒索攻击,它是继GandCrab、Sodinokibi(REvil)等勒索病毒之后,成为全球最活跃的勒索病毒,同时该勒索病毒也号称是加密速度最快的勒索病毒。

【参考链接】

https://ti.nsfocus.com/security-news/IlNTk

 

  1. 韩国国防部下设战争纪念馆遭黑客网络攻击

【标签】国防

【概述】

据韩国纽西斯通讯社报道,韩国军方当日称,韩国国防部下设的战争纪念馆近期遭到身份不明的黑客网络攻击,但没有因此泄露军方的军事资料。根据报道显示:韩国军方表示,韩国国防部下设的战争纪念馆本月初遭到黑客的网络攻击,导致网络瘫痪一周之久。韩国军方网络作战司令部在发现该情况后采取了相应应对措施,于本月14日恢复了网络系统。报道称,韩国军方表示,本次黑客攻击导致战争纪念馆服务器相关数据和部分个人信息被盗。但因黑客攻击的是战争纪念馆外网,所以并没有因此泄露军方的军事资料。根据本次报道最终结果显示目前黑客的身份尚未得到确认。

【参考链接】

https://ti.nsfocus.com/security-news/IlNSE

 

  1. Revolut遭受了严重的数据泄露

【标签】金融

【概述】

Revolut遭受了严重的数据泄露,可能导致超过50,000名客户的个人信息受到损害。这家在立陶宛获得许可的金融科技巨头在一份声明中表示,该攻击具有高度针对性,恶意行为者只能在短时间内访问0.16%的客户数据。该公司立即识别并隔离了攻击,以有效限制其影响,并已联系了受影响的客户。没有收到电子邮件的客户没有受到影响,需要明确的是,没有资金被访问或被盗,客户的钱是安全的一如既往。所有客户都可以像往常一样继续使用他们的卡和帐户。但是,立陶宛数据保护监管机构国家数据保护监察局(VDAI)的通知提供了更多详细信息。据估计,全球有50,150名客户,包括欧洲经济区(EEA)的20,687名客户,可能拥有被盗的个人数据。这包括姓名,邮政和电子邮件地址,电话号码,部分卡详细信息和帐户信息。监管机构敦促受影响的客户使用这些详细信息对后续网络钓鱼和欺诈诈骗保持高度警惕。

【参考链接】

https://ti.nsfocus.com/security-news/IlNSe

 

  1. 美国航空公司披露数据泄露事件

【标签】航空

【概述】

美国航空公司披露了一起数据泄露事件,威胁行为者可以访问未公开数量的员工电子邮件帐户。入侵者可以访问帐户中包含的敏感个人信息,但该公司的数据泄露通知指出,它不知道任何滥用暴露的数据。安全漏洞于7月5日被发现,该航空公司迅速采取措施减轻事件并保护受影响的电子邮件帐户。然后,美国航空公司在一家领先的网络安全取证公司的帮助下展开了调查。该公司发现一名未经授权的行为者入侵了有限数量的美国航空公司团队成员的电子邮件帐户。在发现事件后,他们保护了适用的电子邮件帐户,并聘请了第三方网络安全取证公司进行取证调查,以确定事件的性质和范围。他们的调查确定某些个人信息在电子邮件帐户中并且他们进行了完整的电子数据展示练习,还确定用户的某些个人信息可能已包含在所访问的电子邮件帐户中。但是他们没有证据表明用户的个人信息被滥用。然而,出于谨慎考虑,该公司希望为用户提供有关事件的信息以及用户自身可以采取的保护措施。

【参考链接】

https://ti.nsfocus.com/security-news/IlNS8

 

  1. 欧洲国家波黑遭受网络攻击导致议会工作受到影响

【标签】政府

【概述】

据消息称,欧洲国家波黑(全称为波斯尼亚和黑塞哥维那)的检察官正调查一场影响范围极大的网络攻击,据称已经影响到该国议会的正常运行。最近两周来,波黑议会网站一直处于关停状态。当地新闻媒体Nezavisne就此事联系了几位议员,对方称已被告知禁止访问自己的电子邮箱和官方文件,甚至最好干脆别使用电脑。波黑检察官办公室一位发言人表示,他们几天前就已接到此案。相关人员表示:当日值班的检察官向执法机构官员发出了必要指示,希望澄清案件具体情况,同时对IT网络与各级机构给予网络安全保护。此案正在调查当中,我们目前无法透露其他任何消息。议会已失去工作能力,议员批评安全人员不关心安全,目前立法机构已经失去了工作能力,而且此次攻击开始于9月8日-9日左右。虽然检察官并未透露具体攻击类型,但有消息证实,这就是一起勒索软件攻击。波黑萨拉热窝时报报道称,攻击发生后,该国议会的主服务器旋即关闭。

【参考链接】

https://ti.nsfocus.com/security-news/IlNTm

 

  1. 俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件

【标签】不区分行业

【概述】

据观察,与俄罗斯有关的黑客组织 Sandworm 伪装成电信提供商,以恶意软件攻击乌克兰实体。美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。据悉,APT 黑客组织在今年发起了多次攻击,包括对乌克兰能源基础设施的攻击以及名为“Cyclops Blink的持久僵尸网络的部署。从2022年8月开始,相关安全研究人员就观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT(远程访问木马)等商品恶意软件部署到关键的乌克兰系统上。虽然 Sandworm 已显着更新了其 C2 基础设施,但它是逐步更新的,因此 CERT-UA 报告中的历史数据使 Recorded Future 能够将当前操作与威胁行为者联系起来。

【参考链接】

https://ti.nsfocus.com/security-news/IlNSG

 

  1. Empress EMS披露勒索软件攻击后数据泄露

【标签】医疗

【概述】

总部位于纽约的公司Empress EMS(紧急医疗服务)通过官方通知披露,它是2022年7月14日勒索软件攻击的受害者。 进一步调查发现,入侵者于2022年5月26日访问了该公司的系统。在13上千7月,一小部分文件被攻击者渗透。根据美国卫生与公众服务部的数据,超过30万人受到数据泄露的影响。黑客获得的一些信息包括患者姓名,服务日期,保险信息和社会安全号码。该事件的细节暗示,该公司是标准的双重勒索勒索软件事件的受害者,攻击者窃取文件,加密他们的系统,并威胁Empress EMS除非支付赎金,否则将发布数据。EMS皇后没有提供有关发动袭击的团体的任何信息。哔哔对于被盗的数据,该团伙创建了一个私人入口,后来从网站上删除了该条目。DataBreaches.net 已经公开了Hive应对网络攻击负责的其他证据。消息人士透露,攻击者向EMS皇后发送了一封电子邮件,其中他们透露了他们参与攻击以及他们能够收集的信息。Hive 能够访问大约 280 GB 的数据,包括包含报告、公司数据、客户数据和其他信息的 SQL 数据库。

【参考链接】

https://ti.nsfocus.com/security-news/IlNRC

 

  1. 东欧组织受到第二次破纪录的DDoS攻击

【标签】不区分行业

【概述】

网络安全研究人员表示,东欧组织已经吸收了有史以来最大的公开已知的分布式拒绝服务攻击,每秒超过 7 亿个数据包。根据网络基础设施业务的数据,这一最新的流量海啸于周一发生,我们被告知,负责7月份早期创纪录的DDoS洪水的网络犯罪分子也是这一最新事件的幕后黑手。事实上,他们第二次瞄准了同一个客户,而没有客户相关的详细信息。相比之下,7月份的攻击峰值为659.6 Mpps,该组织在其主要数据中心受到75次攻击。但在本周的峰值为704.8 Mpps,并击中了全球六个地点201次。在这两起事件中,数据包主要是UDP,虽然7月的攻击针对的是512个IP地址,但9月的攻击总共针对1,813个IP地址。相关人员表示:攻击者的命令和控制系统在激活多目的地攻击方面没有延迟,该攻击在 60 秒内升级。出于安全考虑,他们无法提供有关东欧客户的更多详细信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlNRg

 

  1. 黑客泄露近 22 万名新加坡星巴克顾客数据

【标签】餐饮

【概述】

据网站消息,星巴克位于新加坡的业务遭到了数据泄露事件,涉及21.9万名顾客的个人身份信息。该事件最早于9月10日被曝出,当时一名网络攻击者提出要在一个流行的黑客论坛上出售包含21.9万名星巴克顾客敏感信息的数据库。该论坛的所有者对此表示支持,称提供的样本已证实了数据的可靠性。9月16日,星巴克新加坡公司已向受影响的顾客发送邮件,告知在一起网络攻击事件中,黑客可能泄露了他们的姓名、性别、出生日期、手机号码、电子邮件地址、住宅地址等个人敏感信息,但信用卡数据不受影响,因为星巴克不会存储此类信息。其中一位受影响客户收到的邮件,此外,星巴克也向当地媒体证实了数据泄露事件,但表示受影响的仅涉及使用星巴克移动应用程序下单,或使用在线商店从该连锁店在新加坡经营的 125 家商店之一购买商品的客户。尽管帐户密码、会员奖励及积分不受影响,但星巴克仍敦促当地顾客重置密码并警惕任何可疑的通信。

【参考链接】

https://ti.nsfocus.com/security-news/IlNRE

 

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author