JSOutProx新版本针对APAC和MENA地区的金融服务和组织

Tag：JSOutProx, Resecurity

事件概述：

JSOutProx RAT利用JavaScript和.NET进行攻击，并利用.NET的(反)序列化功能与受害者机器上运行的核心JavaScript模块进行交互。这种恶意软件的特点是在其命令和控制(C2)通信中利用Cookie头字段。它具有模块化的插件架构，可以执行shell命令，处理文件上传和下载，运行文件，修改文件系统，确保持久性，捕获屏幕截图，控制键盘和鼠标操作。在多阶段感染链的结果中，攻击者释放多个基于JS的混淆有效载荷，收集敏感信息并植入代理服务器以远程连接受害者。在2024年3月27日，Resecurity发现了一个归因于同一组的新恶意软件样本。显著的区别在于在多阶段感染链中使用GitLab（而不是GitHub）。

来源：

https://www.resecurity.com/blog/article/the-new-version-of-jsoutprox-is-attacking-financial-institutions-in-apac-and-mena-via-gitlab-abuse

政府威胁情报

纽约市政府遭网络攻击，继续承受对市政府的网络攻击浪潮

Tag：网络钓鱼, 多因素认证

事件概述：

2024年，美国已经有数十个地方政府遭受了勒索软件事件和网络攻击的冲击，影响了数百万人的服务。最新的高调事件涉及到纽约市，该市在处理一起网络钓鱼事件后，被迫将一个城市工资网站下线，并从公众视线中移除。纽约市技术和创新办公室告诉Recorded Future News，纽约市网络指挥部“已经得知有一场针对NYCAPS用户的短信钓鱼活动”。短信钓鱼基本上是通过短信而不是电子邮件进行的网络钓鱼。据称，短信钓鱼活动涉及向城市工人发送消息，要求他们激活多因素身份验证，并附有一个钓鱼域的链接。

纽约市正在处理的网络钓鱼和短信钓鱼攻击，使得超过80%的数据泄露事件发生，原因是弱密码或被盗密码、凭据和秘密。更糟糕的是，纽约市的攻击者显然知道多因素认证是安全的关键层，并在试图盗取凭据时利用了这一概念。Keeper Security的Teresa Rothaar表示：“经常有些无辜的人没有接受过防止网络钓鱼的训练，他们会关注电子邮件或非法网站的‘细条纹’，也就是他们熟悉的美学，比如他们的银行网站的标志或颜色。”“网络犯罪分子花费大量时间使‘看起来像’的网站看起来真实，以便用户被欺骗输入登录凭据。员工应始终谨慎，假设他们所有的工作相关（甚至是个人）密码都已经被泄露 - 特别是如果他们在各个账户之间重复使用相同的密码（这是一个大忌，这种情况就说明了为什么）。”

来源：

https://https://unsafe.sh/go-232592.html

能源威胁情报

能源行业网络安全威胁及应对策略

Tag：仙人掌勒索软件团伙, 身份访问管理（IAM）

事件概述：

在追求数字化的过程中，组织在旧系统之上堆积了现代技术，扩大了攻击面，形成了难以保护的复杂拼图。这使关键系统变得脆弱，设备易于被利用，成为更大网络基础设施的门户。此外，攻击者与防御者之间存在显著的不对称性，使组织处于劣势。攻击者只需要找到一个漏洞就可以利用，而防御者必须保护整个基础设施免受所有威胁。因此，能源公司需要进行系统的漏洞评估和渗透测试，特别是针对IT和OT系统之间的接口应用。同时，需要采用全面的安全策略，包括定期的安全监控、补丁管理和网络分段，以及严格的事件报告和响应。为了减轻这种风险，组织应实施身份访问管理（IAM）和特权访问管理（PAM）解决方案的组合。IAM确保只有授权用户才能访问组织的资源，而PAM解决方案确保人类或机器身份只能访问执行任务所需的数据和系统，并且只在完成任务所需的时间内访问。通过PAM，公司还可以添加额外的安全层，包括多因素认证和会话监控。

来源：

https:// www.helpnetsecurity.com/2024/04/08/energy-sector-attacks-resilience/

Tag：网络攻击, 事件响应协议

事件概述：

Targus公司表示，该事件已得到控制，他们正在在外部网络安全专家的帮助下恢复内部系统。公司通常会在受到网络攻击后关闭IT系统，以防止攻击扩散到其他服务器和设备。然而，这也阻止了对内部应用程序和数据的合法访问，暂时中断了业务运营，同时需要恢复服务器和工作站。该公司尚未披露是否有企业数据被盗，但由于黑客首次被发现在公司的文件系统中，用于存储文件和数据，因此有可能数据被窃取。该公司表示，他们已通知监管机构和执法部门进行未经授权访问信息。尚无勒索软件团伙或其他威胁行为者对此次攻击负责。

来源：

https:/ /www.bleepingcomputer.com/news/security/targus-discloses-cyberattack-after-hackers-detected-on-file-servers/

流行威胁情报

新型恶意软件“Latrodectus”引发关注

Tag：Latrodectus, TA577

事件概述：

与其前身不同，Latrodectus不仅仅是现有恶意软件的一个变种，而是网络威胁景观中的全新实体。Proofpoint研究人员已经确定了其独特的特性，确认了它与IcedID恶意软件的独立性，尽管由于共同的开发者可能存在共享的血统。Latrodectus通过各种沙箱逃逸功能区分自己，展示了恶意软件作者越来越努力有效地绕过网络安全防御的努力。Latrodectus作为一个下载器运行，其明确的目标是下载有效负载并执行任意命令。TA577首先在少数几次活动中利用了这种操作能力，然后接力棒传给了TA578，另一个行为者，自此以来，TA578在其电子邮件威胁活动中更喜欢Latrodectus。TA578的作战方式通常涉及通过表单发起联系，这种策略在向毫无戒心的受害者传播Latrodectus方面被证明是有效的。

来源：

https://securityonline.info/watch-out-for-latrodectus-new-malware-from-suspected-icedid-developers-targeting-businesses/

高级威胁情报

伊朗威胁行动者加强对以色列公司的“黑客攻击和泄漏”行动

Tag：MuddyWater，DarkBeatC2

事件概述：

伊朗威胁行动者加大了对以色列私营公司“黑客攻击和泄漏”虚假黑客活动的强度。本文重点介绍了一些最近的攻击行为，并对MuddyWater武器库中的最新C2框架“DarkBeatC2”进行了分析。伊朗威胁行动者继续协作并交接受损目标，以利用先前破坏的信息进行供应链攻击。Deep Instinct的威胁研究团队发现了一个此前未报告的C2框架，MuddyWater被怀疑在使用。本文详细解析了伊朗威胁行动者对以色列公司的一系列网络攻击行为，并对MuddyWater的最新C2框架“DarkBeatC2”进行了深入分析。文章强调了多因素认证、威胁情报共享和自动化安全措施的重要性。

在“铁剑战争”期间，伊朗威胁行动者对以色列私营公司的“黑客攻击和泄漏”行动强度加大，这一现象引起了广泛关注。Deep Instinct的威胁研究团队发现了一个此前未报告的C2框架，MuddyWater被怀疑在使用。这个框架可能被用于进行供应链攻击，通过利用先前破坏的信息，伊朗威胁行动者可以继续进行他们的攻击行为。文章还指出，尽管以色列对伊朗的网络攻击进行了大量报道，但这些报道大多没有提供技术细节，这使得防御者难以对攻击进行有效的防范和应对。因此，提供详细的技术信息和上下文环境对于防御者来说至关重要。

漏洞情报

Red Hat发布.NET 7.0重要安全更新

Tag： 公共漏洞评分系统（CVSS）, CVE-2024-21404

事件概述：

本次安全更新修复了一个名为dotnet的安全漏洞：X509Certificate2中的拒绝服务（CVE-2024-21404）。关于安全问题的更多详细信息，包括影响、CVSS分数、致谢和其他相关信息，请参考参考部分列出的CVE页面。解决方案可以在https://access.redhat.com/articles/11258查看。这次更新再次提醒我们，及时更新软件版本以修复潜在的安全漏洞是非常重要的。同时，使用CVSS评分系统可以帮助我们更好地理解每个漏洞的严重性和可能的影响。

来源：

https://unsafe.sh/go-232303.html

勒索专题

面包连锁店Panera Bread遭受勒索软件攻击导致系统瘫痪

Tag： 勒索软件攻击, 网络安全

事件概述：

据BleepingComputer报道，面包连锁店Panera Bread最近一周的系统故障是由勒索软件攻击引起的。攻击者对公司的许多虚拟机进行了加密，阻止了对数据和应用程序的访问。尽管公司已从备份中恢复了部分系统，但目前尚不清楚哪个勒索软件组织对此负责，因为还没有组织声称对此负责。这暗示攻击者正在等待赎金支付或已经收到赎金。Panera Bread公司并未回应有关系统故障和攻击的多次评论请求。该公司在2024年1月23日拥有2160家以Panera Bread或Saint Louis Bread Co.的名义在美国48个州和加拿大安大略省运营的咖啡馆。

在这次攻击中，勒索软件对公司的许多虚拟机进行了加密，阻止了对数据和应用程序的访问，显示出勒索软件对企业运营的严重威胁。尽管公司已从备份中恢复了部分系统，但这次攻击还是对公司的运营造成了严重影响，包括内部IT系统、电话、销售点系统、网站和移动应用程序的瘫痪，员工无法查看轮班详情，商店无法处理电子支付，只能接受现金，奖励计划系统也瘫痪，会员无法兑换积分。这次事件再次提醒我们，任何企业都可能成为勒索软件的目标，企业需要提高对网络安全的重视，加强数据保护措施，包括定期备份数据，更新和升级系统，提高员工的网络安全意识，以减少被攻击的风险。