Tag：LockBit勒索软件, 多因素认证

事件概述：

Evolve银行和信托公司受到LockBit勒索软件攻击的金融机构数量持续增加，金融科技公司Wise和Affirm都确认他们已受到实质性影响。Evolve作为Affirm卡的第三方发行者，Affirm因此卷入了这场纷争。Affirm坚称其自身系统并未被破坏。然而，该事件对公司和Affirm卡用户的全面影响，包括是否有未经授权访问Affirm卡用户个人信息的情况，尚未知晓。汇款专家Wise披露，可能有一些用户受到影响，将直接以书面形式通知。

本次攻击事件再次强调了多因素认证、威胁情报共享和自动化安全措施的重要性。在这种情况下，金融科技公司需要对其与第三方的关系进行深入审查，并确保所有合作伙伴都实施了足够的安全措施。此外，公司还需要提高对勒索软件攻击的警惕性，并采取积极的防御措施。这可能包括定期进行安全评估，确保所有系统都有最新的安全补丁，并对员工进行安全意识培训。最后，公司需要确保有应对此类事件的计划，包括通知受影响的用户和合适的监管机构，以及恢复服务的计划。

来源：

https://www.theregister.com/2024/07/02/affirm_evolve_ransomware_breach/

政府威胁情报

波兰政府调查与俄罗斯关联的国家新闻社网络攻击事件

Tag：APT28, 网络攻击

事件概述：

波兰政府正在调查俄罗斯是否与对波兰新闻社(PAP)的网络攻击有关。 此次攻击发生在5月，目的是传播假新闻，破坏国家稳定。 据信，一则声称波兰总理唐纳德·图斯克从7月1日开始动员200,000名男子的假新闻报道可能由俄罗斯赞助的黑客制造。 此次攻击似乎是为了干扰即将到来的欧洲议会选举。 波兰媒体，包括Polskie Radio，经常报告被俄罗斯黑客攻击，波兰公司每周遭受超过1,400次攻击。

来源：

https:// securityaffairs.com/165139/intelligence/polish-government-investigating-russia-attack.html

能源威胁情报

FBI 称美国可再生能源行业易受网络威胁

Tag：可再生能源技术，漏洞

事件概述：

联邦调查局发布了一份私人行业通知，警告美国可再生能源行业可能面临的网络攻击风险。这些攻击可能旨在窃取知识产权、破坏运营、进行勒索软件勒索或获取政治优势。黑客，无论是个人还是政府支持的实体，都越来越多地将目标对准个人和商业太阳能电池板系统。他们专注于将太阳能电池板连接到逆变器的软件，逆变器将直流电转换为交流电。大多数逆变器缺乏足够的网络安全措施来监控连接到互联网时的变化，使其容易受到恶意网络活动的攻击，从而可能导致中断或其他严重后果。

联邦调查局发布的警告指出，美国可再生能源行业面临的网络攻击风险正在增加。这些攻击主要针对的是控制可再生能源技术运行的硬件和软件系统，特别是将太阳能电池板连接到逆变器的软件。逆变器将直流电转换为交流电，是太阳能电池板系统的关键部分。然而，大多数逆变器缺乏足够的网络安全措施来监控其连接到互联网时的变化，这使得它们容易受到网络攻击，可能导致服务中断或其他严重后果。因此，联邦调查局敦促可再生能源行业的员工和领导人及时报告任何网络入侵，并强调了潜在的外国干涉风险。

来源：

https://www.cybersecurity-insiders.com/us-renewable-energy-sector-vulnerable-to-cyber-threats-says-fbi/?utm_source=rss&utm_medium=rss&utm_campaign=us-renewable-energy-sector-vulnerable-to-cyber-threats-says-fbi

欧洲制造商遭受勒索软件攻击的案例分析

Tag：多因素认证(MFA), Kerberoast攻击

事件概述：

一家欧洲制造和分销公司遭受了一次勒索软件攻击，该攻击的特点是在攻击进行中 实时进行威胁缓解，并且初始访问得到了协助。 攻击者通过VPN和远 程桌面协议(RDP)的公开服务获取了公司的凭证，这是勒索软件事件的最常见入口。 此外，攻击者还利用了公司的一个弱后门，即其托管安全服务提供商(MSSP)通过自己的VPN网关访问公司环境，而该网关并未执行多因素认证(MFA)。 攻击者通过密码喷射攻击获取了Windows域的访问权限，然后通过Kerberoast攻击获取了域管理员权限。

来源：

https://research.kudelskisecurity.com/2024/07/01/tales-from-the-incident-response-cliff-face-case-study-3/

流行威胁情报

网络犯罪分子通过假冒Arc浏览器广告传播Poseidon恶意软件

Tag：Poseidon恶意软件, Arc浏览器

事件概述：

网络犯罪分子正在利用假冒的Arc浏览器广告来传播名为Poseidon的信息窃取者，目标是Mac用户。这是第二次利用Arc浏览器作为诱饵，前一次则是通过Arc浏览器分发Windows的远程访问工具包。这次的恶意广告是由名为“Coles & Co”的假公司发布，点击广告后，用户将被重定向到arc-download[.]com，下载的DMG文件看起来像是新的Mac应用，但其中包含了恶意软件。

根据Malwarebytes的研究人员观察，Poseidon恶意软件是Atomic Stealer的竞争对手，大部分代码都基于其前身。这种恶意软件具有强大的数据窃取功能，包括文件收集、加密钱包提取、Bitwarden和KeePassXC的密码管理器读取以及浏览器数据收集等。此外，这种恶意软件还具有一个包含统计数据和构建器的恶意软件面板，允许用户分配自定义名称、图标和AppleScript。这种恶意软件的开发者是一个名为Rodrigo4的程序员，他在地下论坛中使用与Atomic Stealer相似的代码基础和功能。这些恶意广告活动再次证明了网络威胁的真实性，用户在下载和安装新应用时必须保持警惕。

来源：

https://www.heise.de/news/Malvertising-Werbung-fuer-Arc-liefert-Poseidon-Malware-fuer-Mac-9784525.html

高级威胁情报

远程访问服务TeamViewer遭APT29黑客攻击

Tag：TeamViewer, APT29黑客组织

事件概述：

远程访问服务公司TeamViewer近日公告，其企业网络环境遭到了俄罗斯的APT29黑客组织攻击。TeamViewer称，攻击源于一名员工的账户被黑客利用。尽管该公司表示其产品环境和客户数据并未受到影响，但由于TeamViewer在消费者和企业环境中的广泛应用，该事件仍引起了广泛关注。TeamViewer已在全球范围内安装了超过25亿台设备。尽管公司发表公告试图平息公众的担忧，但其未能对员工执行多因素身份验证的做法引起了人们的质疑。

TeamViewer是一款非常受欢迎的远程访问软件，用户可以通过它远程控制计算机并使用它，就像坐在设备前一样。然而，近日，该公司的企业网络环境遭到了被认为与俄罗斯外国情报局(SVR)有关的APT29黑客组织的攻击。据调查，攻击者利用了一名员工的账户进行攻击，复制了员工目录数据，包括姓名、企业联系信息和加密的员工密码等。尽管TeamViewer声称其产品环境和客户数据并未受到影响，但由于其在消费者和企业环境中的广泛应用，该事件仍引起了广泛关注。此外，该公司未能对员工执行多因素身份验证的做法也引起了人们的质疑。在此背景下，一些专家建议，远程管理或“RMM”工具是当前美国公司面临的最大安全风险之一。他们建议，RMM软件应要求用户进行交互以启动会话，然后卸载自身或撤销所有权限，直到下一次使用。

来源：

https://unsafe.sh/go-248217.html

漏洞情报

OpenSSH关键远程代码执行漏洞

Tag：OpenSSH, CVE-2006-5051

事件概述：

Qualys近日发布了一篇博客，详细介绍了一项关于OpenSSH的关键远程代码执行漏洞。此漏洞的CVE编号为CVE-2006-5051和CVE-2024-6387，原因是这是一个回归的漏洞，即一个旧的漏洞重新出现。漏洞允许在无需身份验证的情况下执行任意远程代码。OpenSSH的版本至4.4p1都对CVE-2006-5051存在漏洞，而从8.5p1到9.8p1的版本（这是修补过的版本）对CVE-2024-6387存在漏洞。这是一个时序问题，利用不容易复制，但在x86（32位）上需要大约10,000次尝试。

该漏洞是一个时序问题，其利用需要大约10,000次尝试，这个速度受到MaxStartups和LoginGraceTime的限制。对于AMD64，目前看来利用不太现实。然而，大多数Linux系统目前都运行在64位架构上。对于遗留系统/物联网系统，如果没有更多的补丁可用，这可能是一个大问题。在这些情况下，使用网络防火墙限制新连接的速率可能会降低利用的可能性。首先，应该应用一个补丁。但如果没有补丁可用，端口敲击，将服务器移动到一个奇数端口或允许特定IP可能是一个选项。

来源：

https:/ / isc.sans.edu/diary/SSH+regreSSHion+Remote+Code+Execution+Vulnerability+in+OpenSSH/31046/

勒索专题

LockBit 勒索软件攻击佛罗里达卫生部和多家医院

Tag：LockBit, 勒索软件