黑客针对 FCC 和加密货币公司发起高级 Okta 网络钓鱼攻击
发布时间 2024-03-043月2日,一种名为 CryptoChameleon 的新网络钓鱼工具包被用于针对联邦通信委员会 (FCC) 员工,该工具包使用专门为 Okta 制作的单点登录 (SSO) 页面,这些页面与原始页面非常相似。该活动还针对 Binance、Coinbase、Kraken 和 Gemini 等加密货币平台的用户和员工,使用冒充 Okta、Gmail、iCloud、Outlook、Twitter、Yahoo 和 AOL 的网络钓鱼页面。攻击者精心策划了复杂的网络钓鱼和社会工程攻击,包括电子邮件、短信和语音网络钓鱼,以欺骗受害者在网络钓鱼页面上输入敏感信息,例如用户名、密码,在某些情况下甚至包括带照片的身份证件。Lookout研究人员发现的网络钓鱼操作 与Scattered Spider黑客组织在 2022 年 进行的 Oktapus 活动 类似 ,但没有足够的证据证明其归属。
https://www.bleepingcomputer.com/news/security/hackers-target-fcc-crypto-firms-in-advanced-okta-phishing-attacks/
2. 美国网络和执法机构对 PHOBOS 勒索软件攻击发出警告
3月2日,美国 CISA、FBI 和 MS-ISAC 发布联合网络安全公告 (CSA),警告涉及Backmydata、Devos、Eight、Elking 和 Faust 等Phobos 勒索软件变种的攻击。这些攻击最近发生在 2024 年 2 月,目标是政府、教育、紧急服务、医疗保健和其他关键基础设施部门。Phobos 操作采用勒索软件即服务 (RaaS) 模式,自 2019 年 5 月以来一直活跃。根据公开来源的信息,由于观察到战术、技术和程序 (TTP) 方面的相似性,政府专家将多个 Phobos 勒索软件变体与 Phobos 入侵联系起来。Phobos 入侵还涉及使用各种开源工具,包括 Smokeloader、Cobalt Strike和 Bloodhound。这些工具在不同的操作环境中广泛可用且用户友好,有助于 Phobos 及其相关变体在各种威胁参与者中的流行。据观察,Phobos 攻击背后的威胁参与者通过利用网络钓鱼活动获得了对易受攻击网络的初始访问权限。他们丢弃隐藏的有效负载或使用互联网协议 (IP) 扫描工具(例如 Angry IP Scanner)来搜索易受攻击的远程桌面协议 (RDP) 端口或在 Microsoft Windows 环境中利用 RDP。Phobos 使用 Windows 启动文件夹和运行注册表项在受感染的环境中保持持久性。威胁参与者使用 Bloodhound、Sharphound、Mimikatz、NirSoft 和 Remote Desktop Passview 等开源工具来枚举活动目录并收集凭据。Phobos 运营商使用 WinSCP 和 Mega.io 将数据泄露到 FTP 服务器或云存储。
https://securityaffairs.com/159822/cyber-crime/cisa-phobos-ransomware-attacks.html
3. CutOut.Pro AI工具数据泄露,黑客泄露2000万用户信息
3月2日,CutOut.Pro 是一个专门从事图像和视频编辑的人工智能平台,于 2024 年 2 月 27 日面临黑客声称的数据泄露。一名自称 KryptonZambie 的人挺身而出,声称他们已经成功攻破了 CutOut.Pro,这是一家总部位于新加坡的平台,以其人工智能驱动的工具而闻名,适合视觉设计和内容创作,特别是在图像和视频编辑领域。从此次泄露中提取的数据已在臭名昭著的网络犯罪和黑客论坛(包括Breach Forums )上泄露,目前正在俄语论坛中传播。对于泄露数据的内容,Hackread.com深入分析发现,记录包含以下信息:全名、IP地址、电子邮件地址、密码哈希值、和帐户注册数据。与黑客在列表中的说法相反,Hackread 进行的分析表明,泄露的数据不包括电话号码、API 访问权限或应用程序密钥。这并不是 CutOut.Pro 第一次因为错误的原因成为头条新闻。2023 年 2 月,他们的一台 Elasticsearch 服务器泄露了高达 9 GB 的客户数据。这些数据中有超过 2200 万条日志条目,其中提到了个人用户和企业帐户的用户名。
https://www.hackread.com/hacker-cutout-pro-ai-tool-data-breach/
4. 折扣零售巨头 Pepco 因网络犯罪分子损失 1500 万欧元
2月29日,这家总部位于英国的公司报告称,由于“复杂的欺诈性网络钓鱼攻击”,损失了 1550 万欧元(约合 1680 万美元)的现金。调查已经启动,Pepco 正在与银行和警方合作追回这笔资金,但该公司表示,目前尚不清楚是否可以追回资金。Pepco 集团表示:“现阶段,该事件似乎并未涉及任何客户、供应商或同事的信息或数据。”Pepco 集团拥有 Pepco、Dealz 和 Poundland 品牌。Pepco 的 3,600 家门店遍布 19 个欧洲国家,每月拥有超过 3000 万顾客。根据该公司对事件的简要描述和损失金额,该公司可能是商业电子邮件泄露 (BEC) 计划的目标,在该计划中,网络犯罪分子使用被黑客入侵的电子邮件帐户来诱骗目标组织的员工将资金转入他们的银行账户控制。
https://www.securityweek.com/discount-retail-giant-pepco-loses-e15-million-to-cybercriminals/
5. 新的 Silver SAML 攻击可规避身份系统中的 Golden SAML 防御
2月29日,网络安全研究人员披露了一种名为Silver SAML的新攻击技术,即使在针对 Golden SAML 攻击采取缓解措施的情况下,该技术也能成功。Semperis 研究人员 Tomer Nahum 和 Eric Woodruff 在与 The Hacker News 分享的一份报告中表示,Silver SAML“使得 Entra ID 等身份提供商能够利用 SAML 对配置为使用 SAML 进行身份验证的应用程序(例如 Salesforce)发起攻击” 。Golden SAML(安全断言标记语言的缩写)由 Cyber Ark 于 2017 年首次记录。简而言之,该攻击媒介需要滥用可互操作的身份验证标准来冒充组织中的几乎任何身份。它也类似于金票攻击,因为它使攻击者能够以任何权限未经授权地访问联合中的任何服务,并以隐秘的方式在该环境中保持持久性。利用该方法的现实攻击很少见,第一个 有记录的攻击是通过使用受损的 SAML 令牌签名证书伪造 SAML 令牌来损害 SolarWinds 基础设施,从而获得管理访问权限 。微软在 2023 年 9 月透露,Golden SAML 还被代号为Peach Sandstorm的伊朗威胁行为者在 2023 年 3 月的一次入侵中武器化,无需任何密码即可访问未命名目标的云资源。
https://thehackernews.com/2024/02/new-silver-saml-attack-evades-golden.html
6. 律师事务所Houser LLP报告数据泄露影响超过 325000 人
2月29日,专门为知名金融机构提供服务的美国律师事务所 Houser LLP 表示,2023 年 5 月发现的一次系统漏洞暴露了超过 325,000 人的个人数据,可能包括信用卡号等敏感信息。在缅因州总检察长周三发布的一份监管文件中,该公司表示,某些文件在事件期间被加密,并“从网络中复制和获取”。豪瑟说,这些数据包括姓名“以及社会安全号码、驾驶执照号码、个人纳税识别号码、金融账户信息和医疗信息中的一项或多项”。该公司还向加州总检察长提交了通知。该公司表示,一家未具体说明的第三方公司后来确定,5 月 7 日至 9 日期间,Houser 的网络存在“未经授权的访问”。监管文件称,豪瑟很快就与攻击者取得了联系,但没有解释通信的性质。Recorded Future News 已联系该公司以获取更多信息。该公司表示,在 2023 年 6 月的某个时候,“未经授权的行为者通知 Houser,他们删除了任何被盗数据的副本,并且不会分发任何被盗文件”。文件称,第三方供应商于今年 1 月 18 日完成了审查。
https://therecord.media/houser-law-firm-reports-data-breach
京公网安备11010802024551号