假冒Meta Pixel跟踪脚本的信用卡信息窃取器

Tag：信用卡信息窃取器, Sucuri公司

事件概述：

这种信用卡信息窃取器利用了网站的脚本编辑器，通过伪装成像Google Analytics或JQuery这样的流行脚本，以逃避检测。它将真实的域名替换为恶意的域名，加载额外的恶意脚本，监视用户是否在结账页面，如果是，就提供一个欺诈性的覆盖层来窃取他们的信用卡信息。此外，输入的信息会被窃取并发送到另一个被攻击的网站。为了降低这种风险，建议定期更新网站，定期检查管理员账户以确定所有账户都是有效的，并定期更新密码。这尤其重要，因为威胁行为者会利用弱密码和WordPress插件的漏洞来获取目标站点的高级访问权限并添加恶意管理员用户，然后进行各种其他活动，包括添加额外的插件和后门。这些脚本在后台默默运行，只有在检查页面源代码或监视网络流量时，才能发现恶意软件。

来源：

https://thehackernews.com/2024/04/sneaky-credit-card-skimmer-disguised-as.html

政府威胁情报

微软公司邮件系统被黑客攻击，威胁联邦机构：CISA发出警告

Tag：网络安全和基础设施安全局（CISA）, Midnight Blizzard

事件概述：

美国网络安全和基础设施安全局（CISA）发布了一项紧急指令，关于微软公司邮件系统的安全漏洞。该指令，ED 24-02，概述了应对由国家资助的网络攻击者Midnight Blizzard带来的风险所需的紧急步骤。这个组织已成功窃取了联邦公务员行政部门（FCEB）与微软之间的敏感邮件通信，引发了对国家安全可能影响的警报。据报道，2024年2月，Midnight Blizzard的入侵尝试，如密码喷射，增加了十倍。微软和CISA已通知所有受影响的联邦机构。

微软首次在2024年1月公开了这次安全漏洞。科技巨头透露，Midnight Blizzard已经访问了包括微软和其客户之间共享的认证细节在内的电子邮件通信。这些信息已被用于，或正在被用于，尝试进一步未经授权的访问客户系统。据CISA最近发布的一篇文章，可以采取措施来减轻国家对微软公司邮件系统的重大风险。这次安全漏洞的影响深远。被窃取的数据可能会让Midnight Blizzard有机会破坏更多的系统，破坏政府运作，并获取机密信息。2月份观察到的攻击量增加表明，威胁行为者正在加大他们的努力，如果不及时应对，可能会导致更严重和更广泛的影响。CISA在对安全漏洞的回应中，已经采取了以下步骤：通知：CISA与微软合作，已通知所有通信被破坏的联邦机构。必要的行动：机构必须遵循特定的指南来保护他们的系统，包括提高网络流量监控，审计外部系统连接，并实施多因素认证。公众意识：CISA已经公开了这个指令，以确保透明度，并鼓励所有组织在面对持续的威胁时加强他们的网络安全防御。

来源：

https://gbhackers.com/microsoft-corporate-email-hack/

能源威胁情报

俄罗斯军事威胁组织Sandworm被指责对德州水设施发起网络攻击

Tag：网络安全和基础设施安全局（CISA）, Midnight Blizzard

事件概述：

根据Mandiant的研究，Sandworm是俄罗斯总参谋部主要指挥部的关键实体，积极参与全方位的间谍活动、攻击和影响行动。由于其威胁的“活跃和扩散”性质，研究人员决定将该组织“升级”为高级持久威胁（APT）状态，并将其命名为APT44。APT前缀通常被研究人员用来追踪一些复杂、隐蔽的威胁组织。研究人员表示，“APT44几乎肯定会继续构成全球最广泛和最严重的网络威胁之一。我们预计乌克兰将继续成为APT44行动的主要焦点。然而，历史表明，该组织在进一步推动克里姆林宫的全球战略目标方面进行网络行动的准备性已经深深根植在其任务中。我们因此评估，西方的政治动态变化、即将到来的选举和俄罗斯近邻的新兴问题也将继续影响APT44的行动。

僵尸网络继续利用未修复的TP-Link路由器中一年前的漏洞

Tag：僵尸网络, CVE-2023-1389

事件概述：

攻击者持续利用未修复的TP-Link互联网路由器中的漏洞，将其加入到各种可以用来通过伪造流量破坏网站的僵尸网络中。这个漏洞（CVE-2023-1389）于去年12月被发现，并在3月得到修复。它影响的是香港公司生产的一种受欢迎型号Archer AX21，这款产品长期以来一直是僵尸网络操作者的目标。网络安全公司Fortinet的研究人员在周二表示，他们观察到多次针对这个一年前的漏洞的攻击，包括Moobot、Mirai、Condi和Gafgyt等僵尸网络恶意软件。恶意代码允许攻击者控制设备进行分布式拒绝服务（DDoS）攻击。

CVE-2023-1389是一个命令注入漏洞，意味着攻击者可以在目标系统或应用上执行任意指令。它的CVSS严重性得分为10分中的8.8分。如同平常一样，僵尸网络无情地针对物联网（IoT）的漏洞，不断尝试利用它们。尽管去年发现并提供了针对CVE-2023-1389漏洞的补救措施，但仍有许多活动在利用它，导致我们的IPS遥测中出现了显著的峰值。研究人员呼吁用户对DDoS僵尸网络保持警惕，及时应用补丁以保护他们的网络环境免受感染，并防止他们成为恶意威胁行为者的僵尸网络。

来源：

https:// unsafe.sh/go-234648.html

流行威胁情报

YouTube频道链接成为恶意软件新的传播途径

Tag：恶意软件, YouTube

事件概述：

恶意软件的传播方式随着时间的推移已经发生了变化，犯罪分子现在针对特定的受众。最初是通过弹出广告传播，现在的重点已经转移到在内容相关的评论中嵌入恶意链接，涵盖了游戏、电影，现在是YouTube。作为应对，Google正在积极对抗这些威胁，通过从频道中删除恶意链接并暂停发现参与此类活动的账户。此外，YouTube频道所有者和内容创作者应确保他们的描述标签中没有任何促销链接。警惕是关键：仔细监控评论以清除垃圾邮件，并只批准来自真实用户的评论。通过保持警惕和了解信息，我们都可以为更安全的在线环境做出贡献。

来源：

https://www.cybersecurity-insiders.com/youtube-being-used-by-hackers-to-spread-malware/?utm_source=rss&utm_medium=rss&utm_campaign=youtube-being-used-by-hackers-to-spread-malware

高级威胁情报

朝鲜支持的威胁组织TA427的网络钓鱼攻击活动

Tag：TA427, 网络信标

事件概述：

TA427是一名熟练的社交工程专家，其活动可能支持朝鲜对美国和韩国外交政策倡议的战略情报收集工作。TA427通过一系列无害的对话，与目标建立长期的关系，这可能需要几周到几个月的时间。TA427通过不断更换用于与目标交流的别名，以及使用定制的诱饵内容，经常冒充受害者熟悉的朝鲜研究领域的人员，鼓励目标参与，从而达到这个目标。TA427从2023年12月开始滥用DMARC政策，冒充各种人物，TA427会修改邮件头，显示发件人来自被冒充的组织。2024年2月，TA427开始使用网络信标，这是一种新的策略。网络信标是一种常见的跟踪像素、跟踪信标和网络错误，它们嵌入在电子邮件的正文中，当启用时，试图从攻击者控制的服务器检索一个无害的图像文件。网络信标可能用于初步侦察，验证目标电子邮件是否活动，并获取关于接收者网络环境的基本信息，包括外部可见的IP地址、主机的用户代理和用户打开电子邮件的时间。

来源：

https://www.proofpoint.com/us/blog/threat-insight/social-engineering-dmarc-abuse-ta427s-art-information-gathering?&web_view=true

漏洞情报

Tag： PAN-OS, Operation MidnightEclipse

事件概述：

网络安全公司Palo Alto Networks于周五发布了一份关于其防火墙/VPN产品中使用的PAN-OS软件中正在被攻击的漏洞的紧急警告。这个命令注入漏洞的CVSS严重性评分为10/10，可能让未经认证的攻击者在受影响的网关上以root权限执行远程代码，这显然是极其危险的。攻击者可以利用这个漏洞完全控制设备并深入受害者的网络。Palo Alto Networks计划于4月14日（周日）发布完全修复这个严重漏洞的更新。

据网络安全管理公司Volexity在博客文章中表示，威胁行动者UTA0218能够远程利用防火墙设备，创建反向shell，并在设备上下载进一步的工具。攻击者主要是从设备中导出配置数据，然后利用它作为在受害者组织内部横向移动的入口点。这次入侵似乎至少可以追溯到2024年3月26日，开始时是试图在防火墙上安装一个自定义的Python后门。Palo Alto Networks将这次漏洞利用行为称为“Operation MidnightEclipse”。尽管这个漏洞正在被积极利用，但目前看来只有一个人在进行这样的行为。Palo Alto Networks表示，他们的首要任务是保护客户的安全。在得知漏洞存在后，他们立即提供了缓解措施，并将很快提供永久性的修复方案。他们正在积极通知客户，并强烈建议他们尽快实施缓解措施和热修复。

来源：

https://go.theregister.com/feed/www.theregister.com/2024/04/12/palo_alto_pan_flaw/

勒索专题

日本豪雅株式会社遭受“国际猎手”勒索软件攻击

Tag：Hunters International, 勒索软件

事件概述：