【威胁通告】44118太阳成城集团威胁情报周报(2022.02.14-2022.02.20)
2022-02-21
一、 热点资讯
1. 攻击者利用Zoho病毒入侵红十字会
【标签】政府、医疗
【概述】
今年 1 月,红十字会联系人遭受网络攻击,导致超过 515,000 名寻找失踪家庭的高度脆弱人群的个人数据被盗。红十字国际委员会披露了这次攻击,并证实数据来自全球至少 60 个不同的红十字会和红新月会国家红会。被盗数据包括属于因冲突、移民和灾难而与家人分离的个人、失踪人员及其家人以及被拘留者的信息。攻击者针对的承包商是瑞士的一家外部公司,为该组织存储数据。红十字国际委员会关闭了被攻击者攻击的“恢复家庭联系”项目的系统和网站。
【参考链接】
https://ti.nsfocus.com/security-news/IlNht
2. 克罗地亚电话运营商 A1 Hrvatska 数据泄露
【标签】运营商
【概述】
克罗地亚电话运营商 A1 Hrvatska 披露了一起数据泄露事件,该事件影响了 10% 的客户,大约 20 万人。威胁者可以访问客户的敏感个人信息,包括姓名、个人身份证号、实际地址和电话号码。威胁者没有访问在线账户,财务信息也没有暴露。目前,电话运营商没有透露有关安全漏洞的详细信息。
【参考链接】
https://ti.nsfocus.com/security-news/IlNgE
3. Trickbot针对富国银行和美国银行发起网络注入和网络钓鱼活动
【标签】金融
【概述】
Trickbot 是许多网络安全专业人士的祸根,已经开始瞄准富国银行和美国银行等 60 家主要机构的客户。这些攻击来自网络注入和网络钓鱼活动。最初,Trickbot 是一个相对简单的银行木马,类似于 Zeus、Agent Tesla、Dridex 和 DanaBot。在 2016 年 Dyre 僵尸网络退役以及支持 Emotet 僵尸网络的基础设施去年被欧洲刑警组织和 FBI破坏之后,更多的关注点落在了 Trickbot 活动上。Trickbot 是一种 模块化恶意软件,这意味着用户可以采用该软件进行广泛的攻击。攻击可以专门针对个别受害者。
【参考链接】
https://ti.nsfocus.com/security-news/IlNhw
4. Moses Staff黑客组织使用自定义的多组件工具集针对以色列组织进行网络间谍活动
【标签】政府
【概述】
已经观察到出于政治动机的Moses Staff黑客组织使用自定义的多组件工具集,其目标是对其目标进行间谍活动,作为专门针对以色列组织的新活动的一部分。摩西工作人员于 2021 年底首次公开记录,据信由伊朗政府赞助,据报道袭击了以色列、意大利、印度、德国、智利、土耳其、阿联酋和美国的实体。本月早些时候,有人观察到黑客组织整合了一个名为“ StrifeWater ”的先前未记录的远程访问木马 (RAT),该木马伪装成 Windows Calculator 应用程序以逃避检测。
【参考链接】
https://ti.nsfocus.com/security-news/IlNhv
5. 攻击者针对乌克兰政府和银行发起DDoS攻击
【标签】政府、金融
【概述】
乌克兰国防部在 2022 年 2 月 15 日下午 4:48(格林威治标准时间)发出的推文中证实,一系列 DDoS 攻击已经削弱了乌克兰的政府、银行和军事部门平台,大约是基辅晚上 8:00时间。网络攻击的受害者包括乌克兰国防部官方网站、乌克兰内阁部长、乌克兰外交部、Oschadbank(又名乌克兰国家储蓄银行)、PrivatBank(乌克兰最大的商业银行之一)乌克兰和该国的 ATM 服务。
【参考链接】
https://ti.nsfocus.com/security-news/IlNhi
6. 攻击者利用新的MyloBot恶意软件变种发送性勒索电子邮件
【标签】不区分行业
【概述】
研究人员已观察到新版本的 MyloBot 恶意软件部署了恶意负载,这些负载被用于发送性勒索电子邮件,要求受害者支付 2,732 美元的数字货币。MyloBot于 2018 年首次被发现,众所周知,它具有一系列复杂的反调试功能和传播技术,可将受感染的机器捆绑到僵尸网络中,更不用说从系统中删除其他竞争恶意软件的痕迹,其逃避检测和保持低调的主要方法包括延迟 14 天才能访问其命令和控制服务器以及直接从内存执行恶意二进制文件的设施。
【参考链接】
https://ti.nsfocus.com/security-news/IlNh4
7. 黑客用假追踪短信攻击目标人群
【标签】不区分行业
【概述】
康沃尔市议会警告称,欺诈性短信要求收件人点击链接进行 Covid 测试。康沃尔议会警告说,声称来自 NHS Test and Trace 的扫描短信最近一直在流传。这些消息错误地声称收件人与 Covid 检测呈阳性的人保持密切联系,并要求他们点击链接预约检测。短信是从手机号码发送的。这些短信看起来很真实,但 NHS、政府或康沃尔公共卫生部永远不会通过手机发送这样的信息。最重要的是要记住诈骗者希望您单击链接。如果您单击该链接,您可以让他们下载恶意软件、病毒或其他恶意软件。它还可能使他们能够访问您的网上银行密码或您通过手机访问的任何其他网站。
【参考链接】
https://ti.nsfocus.com/security-news/IlNhg
8. 莫利公司遭遇数据泄露
【标签】 企业
【概述】
位于密歇根州萨吉诺的一家商业服务公司的数据泄露可能已经暴露了 521,00 人的个人信息。去年 8 月 1 日,当公司管理的数据变得不可用时,检测到了该攻击。此次违规是针对 Morley 公司的网络犯罪分子的直接结果。密歇根州总检察长 Dana Nessel 周五证实,报告了“可能影响属于当前雇员、前雇员和各种客户的数据的数据安全事件”。在一份数据安全事件 通知中,莫利表示该事件可能涉及个人身份信息 (PII) 和受保护的健康信息 (PHI)。可能被泄露的数据包括姓名、地址、社会安全号码、出生日期、客户识别号码、医疗诊断和治疗信息以及健康保险信息。
【参考链接】
https://ti.nsfocus.com/security-news/IlNh5
9. Kimsuky使用xRAT对韩国实体进行有针对性的攻击
【标签】企业
【概述】
研究人员发现了来自 Kimsuky 黑客组织的新一波活动,他们使用了随他们自己的后门 Gold Dragon 分发的商品开源远程访问工具。Kimsuky,也称为 TA406,是朝鲜国家支持的黑客组织,自 2017 年以来一直积极参与网络间谍活动。该组织表现出惊人的运营适应性和威胁活动多样性,参与恶意软件分发、网络钓鱼、数据收集,甚至加密货币盗窃。TA406 通过导致 7z 存档的网络钓鱼电子邮件传递恶意软件负载。
【参考链接】
https://ti.nsfocus.com/security-news/IlNh3
10. 数千名多塞特患者的机密健康数据意外泄露
【标签】 企业、医疗
【概述】
据报道,多塞特郡数以千计的 NHS 患者的私人数据在五年内被泄露,这是该国最高的。一项新的研究表明,多塞特医疗保健大学 NHS 基金会信托 (DHC) 经历了英国第四多的数据泄露事件,但该信托表示,这并不能说明全部情况。安全网站 VPNoverview.com 向英国各地的 229 个 NHS 基金会发送了有关数据泄露的信息自由请求。其中,152 人做出了回应。
【参考链接】
https://ti.nsfocus.com/security-news/IlNgT
