Kaspersky发现APT31针对工业组织的气隙系统的攻击
发布时间 2023-08-031、Kaspersky发现APT31针对工业组织的气隙系统的攻击
Kaspersky在7月31日称,APT31(又名Zircium)一直在利用新的恶意软件攻击工业组织,旨在从气隙系统中窃取数据。调查发现,攻击者在主要针对东欧的攻击中使用了至少15个不同的植入程序,每个植入程序都用于不同的攻击阶段。攻击始于去年4月份,涉及三个不同的阶段:初始阶段的植入程序建立对目标系统的持久性和远程访问,并收集侦察数据;第二阶段,APT31会安装更专业的恶意软件,来使用USB传播从气隙系统中窃取数据;最后的第三阶段,黑客使用植入程序将收集到的数据上传到C2服务器。
https://ics-cert.kaspersky.com/publications/reports/2023/07/31/common-ttps-of-attacks-against-industrial-organizations-implants-for-gathering-data/
2、美国蒙特克莱尔镇遭到勒索攻击同意交45万美元赎金
据8月1日报道,美国蒙特克莱尔镇(Montclair)遭到网络攻击,该镇的保险公司与攻击者协商达成了45万美元的和解协议。临时镇长Hartnett称,目前攻击已经得到了解决,对该镇业务和运营至关重要的数据也已恢复。但是一些属于个人用户的数据,和涉及为该镇服务并存储过去记录的外部供应商的数据仍有待恢复。这些丢失的数据影响了该镇当局响应《公开公共记录法案》某些要求的能力。
https://www.databreaches.net/cyber-attack-on-montclair-township-led-to-450k-ransom-payment/
3、Cofense称近期利用Google AMP的钓鱼活动数量增多
Cofense于8月1日透露,利用Google AMP的钓鱼活动数量在7月中旬大幅增加。Google AMP是由Google与30个合作伙伴共同开发的开源HTML框架,旨在提高移动设备上网页内容的加载速度。这种新的钓鱼策略将AMP URL嵌入钓鱼邮件中,这些恶意URL于5月份开始出现,目前仍在传播,旨在窃取员工登录凭据。此类活动中使用网站托管在Google.com(77%)和Google.co.uk(23%)上。此外,攻击活动非常隐蔽,不仅利用了Google AMP URL,还结合了多种已知TTP来绕过电子邮件安全基础设施。
https://cofense.com/blog/google-amp-the-newest-of-evasive-phishing-tactic/
4、黑客UsNsA在暗网公开印度PHI-IIIT Delhi的数据库
据7月31日报道,研究人员发现名为UsNsA的黑客公开了印度PHI-IIIT Delhi的数据库,以换取论坛积分。泄露的数据库由82个文件组成,总大小约为1.8 GB,涉及电子邮件、姓名、年份以及内部医疗保健和疫苗开发相关文档,包括研究论文等。研究人员指出,攻击者利用了PHI Portal网站上的SQL注入漏洞来获得未经授权的访问权限并窃取数据库,他很可能使用了SQLMap工具。
https://www.cloudsek.com/threatintelligence/phi-database-portal-for-health-informatics-iiit-delhi-shared-on-cyber-crime-forum
5、新型侧信道攻击方式Collide+Power影响几乎所有CPU
据媒体8月1日报道,研究团队发现了一种名为Collide+Power的新型基于软件的电源侧信道攻击方式,影响了几乎所有CPU,可能导致数据泄露。其主要概念是,当攻击者的数据与其它应用程序发送的数据在CPU缓存内存中发生数据“冲突”并覆盖前者时,可从CPU功耗测量值中泄露数据。该漏洞被追踪为CVE-2023-20583,影响了Intel、AMD和使用ARM架构的处理器。该漏洞具有研究意义,但利用起来比较困难,因此严重程度较低。至于缓解措施,需要重新设计CPU,所以更现实的缓解措施是防止攻击者观察到与电源相关的信号。
https://www.securityweek.com/nearly-all-modern-cpus-leak-data-to-new-collidepower-side-channel-attack/
6、Unit 42发布NodeStealer 2.0攻击活动的分析报告
8月1日,Unit 42称其发现了一个新的钓鱼活动,分发了NodeStealer的Python变体。该活动于2022年12月左右开始,针对Facebook企业账户窃取信息。Meta曾在5月份披露了由JavaScript开发的NodeStealer,它与Python变体有许多相似之处。此次发现的活动涉及两个变体,第一个支持多种功能,例如窃取Facebook企业账户信息、下载其它恶意软件、通过GUI禁用Defender以及窃取加密货币资金等;第二个支持额外功能,例如解析Outlook邮件、通过Telegram进行数据泄露、劫持Facebook账户和反分析等。
https://unit42.paloaltonetworks.com/nodestealer-2-targets-facebook-business/
京公网安备11010802024551号