每周安全事件报告 2024-02-26 第 9 周

PyPI软件包遭受信息窃取恶意软件Nova Sentinel攻击

日期: 2024-02-26
标签: 信息技术, Nova Sentinel, PyPI软件包

Python 包索引 (PyPI) 存储库上的一个休眠包在近两年后进行了更新，以传播名为 Nova Sentinel 的信息窃取恶意软件。据软件供应链安全公司 Phylum 称，该软件包名为django-log-tracker ，于 2022 年 4 月首次发布到 PyPI，并于 2024 年 2 月 21 日检测到该库的异常更新。虽然链接的 GitHub 存储库自 2022 年 4 月 10 日以来一直没有更新，但恶意更新的引入表明属于开发人员的 PyPI 帐户可能受到损害。Django-log-tracker迄今为止已被下载 3,866 次，其中流氓版本 (1.0.4) 在发布之日下载了 107 次。该软件包不再可以从 PyPI 下载。

详情

https://thehackernews.com/2024/02/dormant-pypi-package-compromised-to.html

https://thehackernews.com/2024/02/dormant-pypi-package-compromised-to.html

加拿大皇家骑警遭受网络攻击

日期: 2024-02-26
标签: *部门, 加拿大皇家骑警

加拿大皇家骑警(RCMP)，加拿大的国家警察力量，最近披露其网络遭受了一次网络攻击。该联邦机构已经展开刑事调查，以确定安全漏洞的范围。据加拿大广播公司报道，RCMP的首席安全官保罗·L·布朗表示，警察部队正在处理一场“网络事件”，并告诫员工保持警惕。RCMP发言人在一份媒体声明中表示：“目前，这一事件对RCMP的运作没有影响，也没有对加拿大人的安全构成已知威胁。”这次网络攻击没有证据表明外国警察和情报机构受到影响。隐私专员办公室已经被通知了这次网络攻击。RCMP的网站目前无法访问，并显示HTTP 404（未找到）错误消息。请求会被重定向到一个不存在的install.php页面。BleepingComputer还观察到，RCMP网站可能在使用WordPress和Drupal等CMS产品。他们已经联系RCMP媒体办公室以更好地了解这个问题是否与正在进行的网络事件有关。

详情

https://www.bleepingcomputer.com/news/security/rcmp-investigating-cyber-attack-as-its-website-remains-down/

https://www.bleepingcomputer.com/news/security/rcmp-investigating-cyber-attack-as-its-website-remains-down/

俄罗斯黑客因入侵当地电网而面临审判

日期: 2024-02-26
标签: 能源业, 发电厂

一名俄罗斯公民（49 岁）被指控对当地一家发电厂进行网络攻击，导致沃洛格达地区 38 个村庄大范围停电。这次袭击发生在一年前，该男子面临最高八年的监禁。塔斯社报道称，俄罗斯当局已根据当地刑法第274.1条第4部分对这起事件立案刑事立案。 当地有关部门已完成调查并将证据送交法院作出最终判决。 目前尚不清楚被告是否是黑客组织的成员，或者此次攻击是否是针对俄罗斯*入侵乌克兰的黑客行动。

详情

https://securityaffairs.com/159536/hacking/cyber-attack-power-plant-russia-hacker.html

https://securityaffairs.com/159536/hacking/cyber-attack-power-plant-russia-hacker.html

五眼联盟警告：俄罗斯黑客转向云服务攻击

日期: 2024-02-27
标签: *部门, APT29

2024年2月26日，五眼联盟成员发出警告，称APT29俄罗斯外交情报局（SVR）黑客现在转而攻击其受害者的云服务。APT29（也被称为舒适熊、午夜暴风雪、公爵）在三年多前发动的SolarWinds供应链攻击后，入侵了多个美国联邦机构。俄罗斯网络间谍还侵入了属于北约国家内部的多个Microsoft 365帐户，以获取外交政策相关数据，并针对欧洲的*、大使馆和高级官员进行了一系列网络钓鱼攻击。五眼联盟的成员发现，APT29黑客现在通过利用通过暴力破解或密码喷射攻击获取的访问服务帐户凭据，获得对其目标云环境的访问权限。他们还使用从未在目标组织离职后被删除的休眠帐户，以及在系统范围内重置密码后重新获得访问权限。

详情

https://www.bleepingcomputer.com/news/security/russian-hackers-shift-to-cloud-attacks-us-and-allies-warn/

https://www.bleepingcomputer.com/news/security/russian-hackers-shift-to-cloud-attacks-us-and-allies-warn/

乌克兰实体遭受UAC-0184黑客组织攻击

日期: 2024-02-27
标签: 信息技术, 乌克兰, UAC-0184

乌克兰在芬兰运营的实体遭到了一个名为'UAC-0184'的黑客组织的攻击。这个组织利用隐写术将Remcos远程访问木马（RAT）隐藏在图像文件中进行传递。Morphisec分析师发现，这个威胁组织最新的活动开始于2024年初，扩大了他们的目标范围，不仅针对乌克兰的组织，还针对与其战略目标有关的国外组织。攻击链包括精心设计的钓鱼邮件、恶意快捷方式文件、模块化恶意软件加载器和远程访问木马等。这些攻击手法旨在规避基于签名的安全解决方案的检测。攻击最终目的是在受感染的系统上部署远程访问木马，以窃取数据和监视受害者活动。

详情

https://www.bleepingcomputer.com/news/security/new-idat-loader-version-uses-steganography-to-push-remcos-rat/

https://www.bleepingcomputer.com/news/security/new-idat-loader-version-uses-steganography-to-push-remcos-rat/

过时CMS编辑器被利用进行恶意重定向活动

日期: 2024-02-27
标签: 信息技术, *部门, 开放重定向

黑客正在利用一个在14年前停止更新的CMS编辑器来攻击全球的教育和*机构，以在搜索结果中植入恶意网站或诈骗信息。开放重定向是指网站允许任意重定向请求，将用户从原始网站带到外部URL，而没有足够的验证或安全检查。攻击者滥用这些开放重定向进行钓鱼攻击、分发恶意软件或欺诈用户，同时似乎源自合法域名。这些URL托管在受信任的域上，可能会绕过安全产品使用的URL过滤器。此外，搜索引擎爬虫会索引这些重定向，并在Google搜索结果中列出它们，这使它们成为SEO投毒活动的有效策略，利用受信任的域名为特定查询使恶意URL排名更高。由于开放重定向URL并不直接托管恶意内容，而只是指向它，它们可能会在搜索结果中保持活跃和可见很长时间，直到被举报下架。然而，包括谷歌和微软在内的许多公司并不认为开放重定向是一个缺陷，并且可能不会修复它们，除非它们导致更严重的漏洞。威胁行为者利用已过时的FCKeditor插件进行恶意重定向活动，主要针对教育机构、*和公司网站。攻击者利用静态HTML页面和FCKeditor进行SEO投毒活动，并通过重定向到恶意站点来欺骗用户。

详情

https://www.bleepingcomputer.com/news/security/hackers-exploit-14-year-old-cms-editor-on-govt-edu-sites-for-seo-poisoning/

https://www.bleepingcomputer.com/news/security/hackers-exploit-14-year-old-cms-editor-on-govt-edu-sites-for-seo-poisoning/

蒂森克虏伯汽车部门遭网络攻击

日期: 2024-02-27
标签: 制造业, 能源业, 德国钢铁企业

德国钢铁巨头蒂森克虏伯（ThyssenKrupp）确认，上周黑客侵入了其汽车部门的系统，迫使他们关闭了IT系统作为其应对和遏制行动的一部分。蒂森克虏伯AG是全球最大的钢铁生产商之一，拥有逾10万名员工，年收入超过444亿美元（2022年）。该公司是使用钢铁作为材料的产品的全球供应链中的重要组成部分，涉及机械、汽车、电梯和扶梯、工业工程、可再生能源和建筑等各个领域。蒂森克虏伯表示，上周遭受了网络攻击，影响了其汽车车身生产部门。攻击已得到控制，他们正在逐步恢复正常运营。德国新闻媒体《萨尔布吕肯报》报道称，蒂森克虏伯的萨尔兰工厂受到了直接影响。蒂森克虏伯已确认生产已经停止，但尚未影响客户供应。

详情

https://www.bleepingcomputer.com/news/security/steel-giant-thyssenkrupp-confirms-cyberattack-on-automotive-division/

https://www.bleepingcomputer.com/news/security/steel-giant-thyssenkrupp-confirms-cyberattack-on-automotive-division/

SubdoMailing恶意活动揭露

日期: 2024-02-27
标签: 信息技术, 恶意活动

研究人员发现了一起名为SubdoMailing的恶意活动。ResurrecAds威胁组织利用超过8,000个品牌和机构的域名和13,000个子域名进行了精密的分发架构，用于垃圾邮件传播和点击变现。这些域名被用来发送虚假包裹送货通知和钓鱼邮件，以获取账户凭证。该活动还利用了大量废弃的域名和子域名，通过CNAME接管技术进行恶意操作。文章还提到了该活动绕过了标准安全阻挡，并且能够规避多种邮件认证方法，如SPF、DKIM和DMARC。为了应对这一威胁，Guardio提供了SubdoMailing Checker工具，帮助域名管理员和网站所有者检测受到威胁的迹象。

详情

https://thehackernews.com/2024/02/8000-subdomains-of-trusted-brands.html

https://thehackernews.com/2024/02/8000-subdomains-of-trusted-brands.html

IntelBroker黑客成功入侵Los Angeles International Airport数据库

日期: 2024-02-27
标签: 交通运输, Los Angeles International Airport

黑客IntelBroker通过利用Los Angeles International Airport的CRM系统中的一个漏洞，成功入侵了机场系统并窃取了包括机主的机密数据。这位黑客之前曾被认为是DC Health Link、Volvo Cars和Hewlett Packard Enterprise (HPE)等公司的入侵者，并最近泄露了Facebook Marketplace数据库。他声称已经获得了包含250万条记录的数据库，其中包括机主的全名、CPA号码、电子邮件地址、公司名称、飞机型号和尾号。安全漏洞并未对旅客产生影响。IntelBroker在BreachForums上宣布了这次入侵，并声称他们对数据泄露负全责。

详情

https://securityaffairs.com/159573/hacking/intelbroker-hacked-los-angeles-international-airport.html

https://securityaffairs.com/159573/hacking/intelbroker-hacked-los-angeles-international-airport.html

FBI警告：俄罗斯军方黑客利用Ubiquiti EdgeRouter进行网络攻击

日期: 2024-02-28
标签: *部门, 信息技术, APT28（Fancy Bear）, Ubiquiti EdgeRouter, 网络间谍

美国联邦调查局（FBI）与国家安全局（NSA）、美国网络司令部及国际合作伙伴发布联合警报称，俄罗斯军方黑客利用被入侵的Ubiquiti EdgeRouter来规避检测。俄罗斯军事单位26165部队的网络间谍，被追踪为APT28和Fancy Bear，利用这些被劫持的流行路由器建立庞大的僵尸网络，帮助他们窃取凭据、收集NTLMv2摘要，并代理恶意流量。这些活动针对全球军事、*和其他组织进行隐秘的网络攻击。

详情

https://www.bleepingcomputer.com/news/security/russian-hackers-hijack-ubiquiti-routers-to-launch-stealthy-attacks/

https://www.bleepingcomputer.com/news/security/russian-hackers-hijack-ubiquiti-routers-to-launch-stealthy-attacks/

攻击者利用PhaaS平台LabHost对加拿大银行发起钓鱼攻击

日期: 2024-02-28
标签: 金融业, LabHost, 网络钓鱼即服务 (PhaaS)

Phishing as a Service（PhaaS）平台“LabHost”帮助网络犯罪分子针对北美银行，尤其是加拿大金融机构，引发活动增加。该平台提供成熟的钓鱼工具包、托管页面的基础设施、电子邮件内容生成以及活动概述服务，以月度订阅的形式交给网络犯罪分子使用。LabHost在2023年上半年为加拿大银行推出定制钓鱼工具包后，其受欢迎程度激增。尽管LabHost在2023年10月初遭受破坏性故障，但其活动已恢复到显著水平，每月发起数百次攻击。

详情

https://www.bleepingcomputer.com/news/security/labhost-cybercrime-service-lets-anyone-phish-canadian-bank-users/

https://www.bleepingcomputer.com/news/security/labhost-cybercrime-service-lets-anyone-phish-canadian-bank-users/

美国医药公司Cencora遭受网络攻击

日期: 2024-02-28
标签: 卫生行业, Cencora

医药巨头Cencora表示他们遭受了一次网络攻击，攻击者从公司IT系统中窃取了数据。Cencora，之前被称为AmerisourceBergen，专注于医药服务，为医生诊所、药房和动物保健提供药品分销和解决方案。在提交给美国证券交易委员会的8-K表格中，Cencora披露他们遭受了一次导致数据被盗的网络攻击。公司表示他们已经控制住了事件，并正在与执法部门、外部网络安全专家和外部律师合作进行调查。他们还表示尚未确定此事件是否会对其财务或运营产生实质影响。同时，他们确认这次网络攻击与Optum Change Healthcare勒索软件攻击无关。目前尚不清楚是谁侵入了Cencora，也没有勒索软件团伙承认责任。此外，一个名为Lorenz的勒索软件组织此前声称已于2023年2月侵入了Cencora，当时该公司还是作为AmerisourceBergen运营，声称他们窃取了与动物保健部门相关的数据。

详情

https://www.bleepingcomputer.com/news/security/pharmaceutical-giant-cencora-says-data-was-stolen-in-a-cyberattack/

https://www.bleepingcomputer.com/news/security/pharmaceutical-giant-cencora-says-data-was-stolen-in-a-cyberattack/

UNC1549攻击以色列和中东的航空航天和国防部门

日期: 2024-02-29
标签: *部门, 信息技术, APT舆情

Mandiant发现了针对中东国家（包括以色列和阿拉伯联合酋长国，可能还有土耳其、印度和阿尔巴尼亚）的航空航天和国防工业的涉嫌与伊朗有联系的间谍行动。Mandiant将这一行动归因于伊朗攻击者UNC1549，该攻击者与Tortoiseshell 重叠，Tortoiseshell是一个已公开与伊朗*革命卫队(IRGC)有联系的威胁攻击者。Tortoiseshell此前曾试图通过针对国防承包商和IT提供商来破坏供应链。这一可疑的行动至少自2022年6月以来一直活跃，并且截至2024年2月仍在持续。虽然其本质上是区域性的，并且主要集中在中东，但目标包括在全球运营的实体。Mandiant观察到该活动部署了多种规避技术来掩盖他们的活动，最突出的是广泛使用Microsoft Azure云基础设施以及社会工程方案来传播两个独特的后门：MINIBIKE和MINIBUS。

详情

https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east

https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east

SPIKEDWINE组织利用新后门WINELOADER攻击欧洲外交官

日期: 2024-02-29
标签: 信息技术, *部门, APT舆情

Zscaler的ThreatLabz发现了一个2024年1月30日从拉脱维亚上传到VirusTotal的可疑PDF文件。该PDF文件伪装成印度大使的邀请函，邀请外交官参加2024年2月的品酒活动。该PDF还包括一个虚假的调查问卷链接，将用户重定向到托管恶意ZIP存档的受感染网站上，从而启动感染链。进一步的威胁追踪使ThreatLabz发现了另一个类似的PDF文件，该文件于2023年7月从拉脱维亚上传到VirusTotal。本博客提供了有关之前未记录的后门WINELOADER的详细信息。ThreatLabz认为，是一个民族国家威胁组织有意利用印度与欧洲国家外交官之间的地缘政治关系实施了这次攻击。该攻击的特点是攻击量非常小，并且在恶意软件和命令与控制(C2)基础设施中采用了先进的TTP。虽然尚未将此次攻击归咎于任何已知的APT组织，但已根据攻击链不同阶段使用的与葡萄酒相关的主题和文件名，将此威胁组织命名为SPIKEDWINE。

详情

https://www.zscaler.com/blogs/security-research/european-diplomats-targeted-spikedwine-wineloader

https://www.zscaler.com/blogs/security-research/european-diplomats-targeted-spikedwine-wineloader

Lurie儿童医院遭网络勒索攻击

日期: 2024-02-29
标签: 卫生行业, Rhysida勒索软件

Rhysida勒索软件团伙声称对芝加哥Lurie儿童医院的网络攻击负责。该医院是美国领先的儿科急诊医疗机构，每年为20万儿童提供医疗服务。网络攻击迫使医疗机构将IT系统下线，并在某些情况下推迟了医疗服务。Ultrasound和CT扫描结果无法获取，患者服务优先级系统被关闭，医生*使用纸笔开处方。Rhysida勒索软件团伙声称已从医院窃取了600GB的数据，并提出以60BTC（370万美元）的价格出售。他们设定了七天的最后期限，之后数据将以更低的价格出售或在其平台上免费泄露。医院仍在受到影响，IT系统恢复工作正在进行中，部分业务仍受到影响。

详情

https://www.bleepingcomputer.com/news/security/rhysida-ransomware-wants-36-million-for-childrens-stolen-data/

https://www.bleepingcomputer.com/news/security/rhysida-ransomware-wants-36-million-for-childrens-stolen-data/

ALPHV勒索软件团伙攻击美国医疗保健系统

日期: 2024-02-29
标签: 卫生行业, ALPHV, UnitedHealth Group

BlackCat/ALPHV 勒索软件团伙已正式声称对 UnitedHealth Group (UHG) 子公司Optum 的网络攻击负责，此次攻击导致 Change Healthcare 平台持续中断。Change Healthcare 是最大的支付交易平台，全美有 70,000 多家药店使用。 BlackCat 据称从 Change Healthcare 的网络中窃取了属于“数千家医疗保健提供商、保险提供商、药房等”的 6TB 数据。该勒索软件团伙声称他们窃取了 Change Healthcare 解决方案的源代码以及属于许多合作伙伴的敏感信息，其中包括美国军方的 Tricare 医疗保健计划、Medicare 联邦健康保险计划、CVS Caremark、MetLife、Health Net 以及数十种其他医疗保险提供商。

详情

https://www.bleepingcomputer.com/news/security/ransomware-gang-claims-they-stole-6tb-of-change-healthcare-data/

https://www.bleepingcomputer.com/news/security/ransomware-gang-claims-they-stole-6tb-of-change-healthcare-data/

欧盟外交官遭遇利用葡萄酒品鉴活动伪装的后门攻击

日期: 2024-02-29
标签: *部门, WineLoader, 外交

最近的威胁活动中，攻击者利用欧洲人喜爱美酒的文化特点，通过伪造葡萄酒品鉴活动邀请信，针对欧盟国家驻印度外交使团的官员进行网络攻击。攻击中使用的后门被称为"WineLoader"，具有模块化设计，采用特定技术规避检测，攻击者展现了高度的技术复杂性。攻击者利用被篡改的网站进行命令与控制，在攻击链的各个阶段都展现出高度的精密度，包括社会工程攻击和恶意软件制作。

详情

https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers

https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers

新的 SPIKEDWINE APT 组织瞄准欧洲官员

日期: 2024-03-01
标签: *部门, SPIKEDWINE

Zscaler 研究人员警告称， 已观察到一个名为SPIKEDWINE 的先前未知的威胁行为者针对欧洲官员。网络间谍使用了一份诱饵 PDF 文档，伪装成印度大使的邀请函，邀请外交官参加 2024 年 2 月的品酒活动。该活动的特点是规模非常小，并且威胁行为者采用了先进的战术、技术和程序 (TTP)。

详情

https://securityaffairs.com/159769/apt/spikedwine-targeting-officials-europe.html

https://securityaffairs.com/159769/apt/spikedwine-targeting-officials-europe.html

医药分销商Cencora披露网络安全事件

日期: 2024-03-01
标签: 卫生行业, 数据侵害

医药分销商Cencora披露了一起网络安全事件，其信息系统的数据遭到侵害，可能包含个人信息。该公司专门从事制药服务，分发药品和解决方案给医疗办公室、药房和兽医护理。据透露，该公司在2023财年实现了2622亿美元的收入，拥有约46,000名员工。Cencora表示，截至文件日期，该事件并未对其业务产生实质性影响，其系统仍然正常运行。然而，公司也“尚未确定该事件是否有可能对[其]财务状况或运营结果产生实质性影响。”根据Claude Mandy的说法，Cencora无法确定外泄的数据是否包含个人信息。Cencora表示将根据监管要求提供调查进展更新。

详情

https://www.infosecurity-magazine.com/news/cencora-reports-cybersecurity/

https://www.infosecurity-magazine.com/news/cencora-reports-cybersecurity/