Unicoin的Google Workspace账户遭黑客攻击

Tag：多因素认证, 威胁情报共享

事件概述：

加密货币项目Unicoin的Google Workspace账户遭到黑客攻击，所有公司员工的密码都被更改，使他们无法访问公司账户数日。Unicoin在向美国证券交易委员会（SEC）的一份文件中表示，威胁行为者在获得其Google账户访问权限后，修改了密码，从而使员工无法访问环境中的所有服务，包括Gmail和Drive。Unicoin表示，它在四天后，即8月13日，设法恢复了员工对G-Suite的访问权限。在此期间，威胁行为者可以自由访问内部通信中的机密信息。公司仍在评估事件的影响范围和影响，但已经发现了以下数据访问、操纵和欺诈尝试的证据：在会计部门的员工或承包商的个人数据中发现了差异；发现了被破坏的通信证据，特别是某些公司经理的被黑的消息和电子邮件账户；检测到一名承包商的身份伪造，导致他们被解雇。

来源：

https://www.bleepingcomputer.com/news/security/hacker-locks-unicoin-staff-out-of-google-accounts-for-4-days/

政府威胁情报

俄罗斯库尔斯克地区遭受大规模DDoS攻击

Tag：分布式拒绝服务（DDoS）攻击, NetBlocks

事件概述：

据报道，8月15日，俄罗斯库尔斯克地区在乌克兰突然越境入侵的同时，遭受了一场“大规模”的分布式拒绝服务（DDoS）攻击。 此次未具名的黑客针对政府和商业网站以及关键基础设施服务进行攻击，使其中一些服务暂时无法使用。 据互联网监控服务NetBlocks分享的数据显示，库尔斯克及周边地区的互联网连接出现“零星中断”，可能与针对当地基础设施的DDoS攻击有关。 据俄罗斯数字部门称，库尔斯克在线服务在攻击高峰期每秒接收超过100,000个垃圾请求。 涉及此次事件的互联网协议（IP）地址主要在德国和英国注册。

此次DDoS攻击的目标是破坏社会重要服务的提供，但黑客们未能破坏电子政府基础设施并获取用户数据。所有信息都得到了可靠的保护，攻击很快就被击退。这说明，尽管DDoS攻击的流量可能来自多个源，但并不能准确指示攻击的确切来源。这次事件再次强调了多因素认证、威胁情报共享和自动化安全措施的重要性。尽管此次攻击的背后黑客团队尚不清楚，但无论是知名的乌克兰黑客活动家团体还是军事情报服务都尚未对此次事件负责。此次对库尔斯克的攻击是乌克兰在近三年的全面战争开始以来对邻近的俄罗斯地区的最大攻击之一。

来源：

https:// redskyalliance.org/xindustry/ru-kursk-region-suffers-massive-ddos-attack?context=tag-russia

能源威胁情报

美国石油巨头哈里伯顿遭受网络攻击

Tag：网络攻击, 勒索软件

事件概述：

美国石油巨头哈里伯顿公司在周四确认其计算机系统遭受了一次网络攻击，该攻击仍在影响其位于德克萨斯州休斯顿的办公室的运营。 哈里伯顿公司已经与外部专家一起调查并减轻这一威胁。 尽管关于此次安全漏洞的技术细节尚不清楚，但这次妥协具有典型的勒索软件攻击的特点，其中敏感数据被加密并用于数百万美元的勒索要求。 据路透社报道，哈里伯顿的网络攻击影响了公司的北休斯顿校区以及一些全球连接网络。

来源：

https: //www.securityweek.com/oil-giant-halliburton-confirms-cyberattack-details-scarce/

工业威胁情报

丰田和Microchip遭遇网络攻击

Tag：网络攻击, 供应链安全

事件概述：

近日，汽车制造商丰田和集成电路制造商Microchip均遭遇了网络攻击。 据犯罪组织ZeroSevenGroup在地下论坛中声称，他们入侵了丰田并窃取了约240GB的数据，包括联系人、财务、客户、员工、照片、数据库、网络基础设施、电子邮件等信息。 然而，丰田否认其系统被入侵，称数据似乎是从被错误地标识为丰田的第三方那里窃取的。 另一方面，Microchip在一份K8表格中报告了其IT系统中的潜在可疑活动。 公司发现未经授权的第三方中断了某些服务器和业务运行，导致一些生产设施的产量低于正常水平，影响了公司的订单履行能力。

来源：

https: //www.heise.de/news/IT-Sicherheitsvorfaelle-bei-Microchip-und-Toyota-9842425.html

流行威胁情报

朝鲜黑客部署新的MoonPeak木马进行网络攻击

Tag：MoonPeak, UAT-5394

事件概述：

MoonPeak的关键特性包括能够加载额外的插件，启动和终止进程，并与命令和控制（C2）服务器进行通信。Talos表示，这两个入侵集的共性表明UAT-5394实际上是Kimsuky（或其子组）或者是借用Kimsuky工具箱的朝鲜网络设备中的另一个黑客组织。实现这次活动的关键是使用新的基础设施，包括C2服务器，有效载荷托管站点和测试虚拟机，这些都被用来生成MoonPeak的新迭代。另一个重要的方面是，MoonPeak的持续演变与威胁行动者设置的新基础设施相辅相成，每个新版本的恶意软件都引入了更多的混淆技术来阻止分析，并改变了整体的通信机制以防止未经授权的连接。研究人员指出，威胁行动者确保MoonPeak的特定变体只能与C2服务器的特定变体一起工作。UAT-5394不断采用新的恶意软件并进行演变，例如MoonPeak的情况表明，该组织继续向其武器库中添加和增强更多的工具。

来源：

https:// unsafe.sh/go-257437.html

高级威胁情报

朝鲜相关Lazarus APT组织利用微软零日漏洞CVE-2024-38193

Tag：Lazarus APT组织, CVE-2024-38193

事件概述：

CVE-2024-38193漏洞是一个权限升级问题，存在于Windows附属功能驱动程序（AFD.sys）中。攻击者可以利用这个漏洞获得系统权限。Lazarus APT组织利用这个漏洞，使用名为Fudmodule的“特殊类型的恶意软件”来避免检测，获取对敏感系统区域的未授权访问。这种攻击既复杂又富有资源，可能在黑市上花费数十万美元。此外，Lazarus还利用了另一个漏洞CVE-2024-21338，以执行他们FudModule rootkit的更新版本中的直接内核对象操作。这个漏洞存在于驱动程序appid.sys的IOCTL（输入和输出控制）调度器中。Lazarus通过操纵IOCTL调度器来利用appid.sys驱动程序中的零日漏洞，从而在目标系统上执行任意代码，绕过安全措施。

来源：

https://securityaffairs.com/167246/apt/microsoft-zero-day-cve-2024-38193-lazarus.html

漏洞情报

微软发布关于严重TCP/IP远程代码执行漏洞CVE 2024-38063的警告

Tag：CVE 2024-38063, TCP/IP远程代码执行漏洞

事件概述：

微软近期发布了关于一个被称为CVE 2024-38063的严重TCP/IP远程代码执行漏洞的警告。 这是一个在Windows TCP/IP堆栈内的严重未经认证的远程代码执行（RCE）漏洞，攻击者可以在没有任何用户交互的情况下，通过IPv6（默认启用）在系统上远程执行任意代码。 该漏洞已被赋予9.8的CVSS评分。 CVE 2024-38063影响Windows 10、Windows 11和Windows Server 2008至2022。 所有启用IPv6的Windows版本都存在风险，几乎包括所有现代Windows部署。 由于可能发生广泛的攻击，需要立即采取行动。

来源：

https://orca.security/resources/blog/mitigate-cve-2024-38063-critical-rce-vulnerability-windows-ipv6/

勒索专题

麒麟勒索软件组织窃取Chrome浏览器中的凭据

Tag：麒麟勒索软件组织, Sophos X-Ops团队