微软高管的电子邮件账号遭俄罗斯黑客Nobelium的入侵
发布时间 2024-01-221. 微软高管的电子邮件账号遭俄罗斯黑客Nobelium的入侵
1月20日,,微软披露一个与俄罗斯有关的名为Nobelium 的黑客组织获得了几位高管的电子邮件帐户的访问权限,其中包括该公司高级领导团队的成员。Nobelium,也称为Midnight Blizzard,是一个网络犯罪组织,因参与 2020 年 12 月SolarWinds 供应链攻击而臭名昭著,该攻击损害了众多政府机构和私营公司的利益。在最新的事件中,黑客利用“遗留”测试帐户在微软的公司网络中获得立足点。然后,他们利用帐户的权限访问一小部分员工电子邮件帐户,包括属于高级管理人员、网络安全人员、法律人员和其他人员的电子邮件帐户。虽然此次泄露的全部范围仍在调查中,但微软坚称此次攻击并未涉及其核心产品或服务中的漏洞。此外,他们向客户保证,客户数据不会受到损害。
2. 研究团队称3AM、Royal和Conti网络犯罪集团存在关联
1月20日,安全研究人员分析了最近出现的 3AM 勒索软件操作的活动,发现其与 Conti 集团和 Royal 勒索软件团伙等臭名昭著的组织有密切联系。3AM(也拼写为 ThreeAM)也一直在尝试一种新的勒索策略:与受害者的社交媒体关注者分享数据泄露的消息,并使用机器人回复 X(以前称为 Twitter)上的高级帐户,发送指向数据泄露的消息。法国网络安全公司Intrinsec的研究人员表示,ThreeAM 很可能与 Royal 勒索软件组织有关,该组织现已 更名为 Blacksuit,该团伙由 Conti 集团内 Team 2 的前成员组成。随着 Intrinsec 对该组织的策略、攻击中使用的基础设施和通信渠道的调查取得进展,3AM 勒索软件与 Conti 集团之间的联系变得更加紧密。查看 Tor 网络中的 3AM 数据泄露站点,可以看到 19 名受害者的名单,他们没有支付赎金,但威胁者泄露了他们的数据。令人惊讶的是,3AM 的网站看起来与 LockBit 勒索软件操作所使用的网站非常相似。
3. TA866卷土重来并部署WasabiSeed和Screenshotter
1月20日,TA866 的威胁行为者在中断九个月后再次出现,发起了一场新的大规模网络钓鱼活动,以传播 WasabiSeed 和 Screenshotter 等已知恶意软件系列。该活动于本月早些时候观察到,并于 2024 年 1 月 11 日被 Proofpoint 阻止,其中涉及向北美发送数千封带有诱饵 PDF 文件的发票主题电子邮件。这些 PDF 包含 OneDrive URL,如果点击这些 URL,就会启动多步骤感染链,即 WasabiSeed 和 Screenshotter 自定义工具集的变体。该公司于 2023 年 2 月首次记录TA866 ,将其归因于名为 Screentime 的活动,该活动分发了 WasabiSeed,这是一种用于下载 Screenshotter 的 Visual Basic 脚本投放程序,能够定期截取受害者桌面的屏幕截图并窃取数据将该数据发送到参与者控制的域。有证据表明,有组织的行为者可能是出于经济动机,因为 Screenshotter 充当侦察工具来识别后利用的高价值目标,并部署基于 AutoHotKey (AHK) 的机器人。
4. VF Corp去年12月份的数据泄露事件影响至少3550万客户
1月20日,VF Corporation 是一家美国全球服装和鞋类公司,拥有 13 个品牌。2015年,该公司凭借JanSport、Dickies、Eastpak、Timberland、Smartwool、Vans和The North Face品牌控制了美国背包市场55%的份额。2023 年 12 月,VF Corp 宣布成为勒索软件攻击的受害者,被迫关闭部分系统以遏制威胁。现在,该公司确认攻击者窃取了影响 3550 万客户的公司和个人信息。2023 年 12 月 13 日,VF Corp 检测到对其部分基础设施进行未经授权的访问。VF 立即开始采取措施修复此次攻击,并对安全漏洞展开调查。该公司指出,它的系统中没有存储社会安全号码和财务信息。VF Corp 还补充说,没有发现客户密码被盗的证据。某些系统关闭后,VF 的运营遇到了中断。该事件中断了零售商店的库存补充并延迟了订单履行。这些问题导致客户和消费者取消产品订单、某些品牌电子商务网站的需求减少以及一些批发发货的延迟。
5. Outlook漏洞CVE-2023-35636可导致NTLM v2密码泄露
1月18日,在最近的一项发现中,Varonis 威胁实验室公布了网络攻击者可利用的三种新方法来访问 NTLM v2 哈希密码,从而使无数系统和用户数据面临风险。在这些漏洞中,有一个特别严重:CVE-2023-35636,这是一种泄露敏感信息的 Outlook 漏洞。CVE-2023-35636 是 Microsoft Outlook 中发现的一个安全漏洞,特别是在日历共享功能中。此漏洞使攻击者能够拦截 NTLM v2 哈希值,该哈希值用于 Microsoft Windows 系统中的身份验证。NTLM v2 虽然比其前身更安全,但仍然容易受到离线暴力和身份验证中继攻击。除了Outlook之外,攻击者还可以利用 Windows 性能分析器 (WPA) 和 Windows 文件资源管理器来访问 NTLM v2 哈希。通过利用 URI 处理程序和特定参数,攻击者可以诱骗这些应用程序泄露敏感信息。
6. CISA和FBI联合发布WWS部门的事件响应指南
1月19日,过去几年,勒索软件和未经授权的访问等恶意网络事件已经影响了供水和废水处理部门 (WWS)。特别是,勒索软件是网络犯罪分子针对 WWS 实用程序使用的常见策略。网络威胁攻击者瞄准 WWS 是因为它是能源、医疗保健和公共卫生等众多美国关键基础设施部门的重要组成部分。CISA、环境保护局 (EPA) 和联邦调查局 (FBI) 共同制定了WWS 部门的协作事件响应指南 (IRG) ,以应对 WWS 部门的网络安全挑战。本指南为 WWS 部门的所有者和运营商详细介绍了网络事件响应 (IR) 生命周期每个阶段的联邦角色、资源和责任。
京公网安备11010802024551号