（5.19）一周威胁情报摘要

澳大利亚金融服务公司Firstmac遭受数据泄露

  Tag：数据泄露, 网络勒索团伙Embargo

事件概述：

澳大利亚重要的金融服务公司Firstmac近日警告其客户，该公司遭受了一次数据泄露。这是在新的网络勒索团伙Embargo声称从该公司盗取了超过500GB的数据后的第二天。Firstmac主要从事抵押贷款、投资管理和证券化服务。该公司在昆士兰州布里斯班设有总部，雇佣了460名员工，发放了10万笔住房贷款，目前管理着150亿美元的抵押贷款。Firstmac在接到通知后，立即采取措施加强了系统安全。尽管如此，Firstmac仍向接收通知的客户提供了免费的身份盗窃保护服务，并建议他们对未经请求的通信保持警惕，定期检查账户对账单以寻找异常活动。

据报道，Firstmac在发现此次网络安全事件后，采取了一系列步骤来立即保护其系统。在随后的调查中，Firstmac在外部网络安全专家的协助下，确定了被泄露的信息包括全名、住址、电子邮件地址、电话号码、出生日期、外部银行账户信息和驾驶执照号码。尽管如此，Firstmac向客户保证，他们的账户和资金是安全的，公司的系统现在已经得到了适当的加强。为了加强安全性，Firstmac引入了一项新的要求，即所有的账户更改都需要使用两步验证或生物识别技术来确认用户的身份。此外，Firstmac还向接收通知的客户提供了免费的身份盗窃保护服务，并建议他们对未经请求的通信保持警惕，定期检查账户对账单以寻找异常活动。

来源：

https://https://www.bleepingcomputer.com/news/security/largest-non-bank-lender-in-australia-warns-of-a-data-breach/

政府威胁情报

亲俄黑客攻击科索沃政府网站

  Tag：DDoS攻击, 亲俄黑客组织

事件概述：

来源：

https://https://securityaffairs.com/163041/hacking/pro-russia-hackers-targeted-kosovo.html

能源威胁情报

CyberPower电源管理软件存在严重漏洞

  Tag：SQL注入, 美国网络安全和基础设施安全局(CISA)

事件概述：

PowerPanel Business软件是管理UPS系统的基石，对于维持敏感环境中的电力分配的可靠性至关重要。软件提供了全面的功能，如实时监控、远程管理和自动化维护调度，这些对于最小化停机时间和优化能源使用至关重要。漏洞包括硬编码密码、硬编码凭证、活动调试代码、相对路径遍历、SQL注入、硬编码加密密钥、不当授权和以可恢复格式存储密码。美国网络安全和基础设施安全局(CISA)强调了黑客活动组织对互联网暴露的工业控制系统(ICS)的兴趣日益增加。CyberPower已经发布了补丁来解决公开的漏洞。使用PowerPanel Business软件4.9.0或更早版本的组织必须尽快更新。然而，仅仅打补丁是不够的，组织还需要进一步加强防御。

来源：

https://securityonline.info/critical-flaws-in-cyberpower-software-put-power-systems-at-risk/

流行威胁情报

FIN7网络犯罪集团利用恶意谷歌广告传播恶意软件

  Tag：FIN7, NetSupport RAT

事件概述：

根据网络安全公司eSentire的报告，自2013年以来活跃的网络犯罪集团FIN7（又名Carbon Spider和Sangria Tempest）最近被观察到利用恶意谷歌广告冒充合法品牌，以此来传播MSIX安装程序，最终部署NetSupport RAT。FIN7利用恶意网站冒充知名品牌，包括AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable, 和Google Meet。FIN7的恶意软件通常通过鱼叉式网络钓鱼活动部署，作为进入目标网络或主机的入口。2023年12月，微软表示，观察到攻击者依赖谷歌广告引诱用户下载恶意MSIX应用程序包，最终导致执行基于PowerShell的内存中的dropper POWERTRASH，用于加载NetSupport RAT和Gracewire。

FIN7是一个持久的电子犯罪集团，最初专注于针对销售点（PoS）设备的攻击，以窃取支付数据，后来转向通过勒索软件活动攻击大型公司。这个威胁行为者已经改进了其战术和恶意软件库，采用了各种定制的恶意软件家族，如BIRDWATCH, Carbanak, DICELOADER (又名Lizar和Tirion), POWERPLANT, POWERTRASH, 和TERMITE等。最近几个月，该集团已经利用恶意广告技术启动攻击链。在eSentire 2024年4月观察到的攻击中，访问通过谷歌广告进入假网站的用户会显示一个弹出消息，敦促他们下载一个假的浏览器扩展，这是一个包含PowerShell脚本的MSIX文件，该脚本收集系统信息并联系远程服务器获取另一个编码的PowerShell脚本。第二个PowerShell负载用于从行为者控制的服务器下载和执行NetSupport RAT。eSentire表示，它还检测到远程访问木马被用来传递额外的恶意软件，包括通过Python脚本的DICELOADER。

来源：

https://thehackernews.com/2024/05/fin7-hacker-group-leverages-malicious.html

漏洞情报

警告！Google Chrome 零日漏洞正在被野外利用

  Tag：CVE-2024-4671, MS-ISAC 

事件概述：

Google为其Chrome网页浏览器发布了一项关键安全更新，以解决攻击者利用一项高危漏洞的问题。此次更新将Chrome版本提升至124.0.6367.201，适用于稳定发布渠道的Windows、Mac和Linux用户。漏洞被追踪为CVE-2024-4671，是浏览器Visuals组件中的“使用后释放”缺陷，可能允许攻击者在受害者的系统上执行任意代码。成功利用此漏洞将赋予攻击者与已登录用户相同的权限，可能使他们能够安装恶意软件、窃取数据或创建具有完全访问权限的新用户帐户。据MS-ISAC咨询，该漏洞正在被野外利用，对未打补丁的系统构成关键风险。

Google承认存在漏洞利用，但未提供进一步细节，以便用户有时间应用更新。124.0.6367.201更新现已适用于稳定渠道的用户，这是经过彻底测试后推荐给大多数用户的主要发布分支。扩展稳定渠道，其更新在较慢的8周周期内接收，也已更新至124.0.6367.201。Google将报告CVE-2024-4671漏洞的功劳归于一名匿名研究员。强烈建议用户尽快更新他们的Chrome安装，以防止可能利用此关键漏洞的潜在攻击。更新将在未来的几天和几周内自动推出，但用户可以通过转到Chrome的关于菜单手动触发更新。Chrome是世界上使用最广泛的网络浏览器之一，使此漏洞成为重大的安全风险。保持软件与最新的安全补丁同步更新对于保护系统和数据免受新兴威胁至关重要。

来源：

https://gbhackers.com/warning-google-chrome-zero-day-vulnerability-exploited-in-wild/

勒索专题

黑色巴斯塔勒索软件攻击超500家企业，勒索支付率下降

  Tag：黑色巴斯塔, 勒索软件

事件概述：

自2022年4月以来，黑色巴斯塔（Black Basta）勒索软件即服务（RaaS）运营已针对北美、欧洲和澳大利亚的500多家私营产业和关键基础设施实体。根据美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、卫生和公共服务部（HHS）和多州信息共享和分析中心（MS-ISAC）发布的联合咨询，威胁行为者已从至少12个关键基础设施部门中加密并窃取数据。黑色巴斯塔运营商被发现与另一家被跟踪的网络犯罪团伙FIN7有关联，该团伙自2020年以来已转向进行勒索软件攻击。在2024年第一季度，黑色巴斯塔的活动增加了41%。然而，勒索软件的活动在2024年第一季度相比前一季度下降了18%，主要是由于对ALPHV（又名BlackCat）和LockBit的执法行动。

黑色巴斯塔利用常见的初始访问技术，如网络钓鱼和利用已知的漏洞，然后采用双重敲诈模型，既加密系统又窜改数据。与其他勒索软件团体不同，攻击结束时放下的勒索信不包含初始的勒索要求或支付指令。相反，这些信件为受害者提供了一个独特的代码，并指示他们通过.onion URL与该团伙联系。黑色巴斯塔首次在2022年4月被观察到在野外使用QakBot作为初始矢量，并自那时以来一直是一个高度活跃的勒索软件行为者。勒索软件攻击链依赖于如SoftPerfect网络扫描器、BITSAdmin、Cobalt Strike信标、ConnectWise ScreenConnect和PsExec等工具进行网络扫描和横向移动，Mimikatz用于权限升级，RClone用于加密前的数据窜改。其他用于获取提升权限的方法包括利用如ZeroLogon（CVE-2020-1472）、NoPac（CVE-2021-42278和CVE-2021-42287）和PrintNightmare（CVE-2021-34527）等安全漏洞。

来源：

https://thehackernews.com/2024/05/black-basta-ransomware-strikes-500.html

钓鱼专题

2023年移动银行木马用户大幅增加，Android用户攻击激增32%

  Tag：金融威胁, Kapersky 

事件概述：

2023年，移动银行木马用户数量大幅增加，Android用户攻击激增32%，根据Kapersky的2023年度金融威胁报告。报告揭示了移动银行恶意软件和与加密货币相关的网络钓鱼活动的显著增加，表明对数字金融资产的威胁正在增长。最常见的银行木马是Bian.h，占所有Android攻击的22%。地理位置上，阿富汗、土库曼斯坦和塔吉克斯坦的用户遭遇银行木马的份额最高，而土耳其的移动攻击最多，近3%的用户受到影响（2.98%）。

技术综述：尽管2023年受金融PC恶意软件影响的用户数量下降了11%，但Ramnit和Zbot被确定为主要的PC恶意软件家族，针对超过50%的受影响用户。消费者仍然是主要的目标，占所有攻击的61%。2023年，金融钓鱼仍然是一个重大威胁，占所有对企业用户的钓鱼攻击的27%，占家庭用户的31%。电子商务品牌被确定为最大的诱饵，占金融钓鱼尝试的42%。亚马逊成为最被模仿的在线商店，占钓鱼尝试的34%，其次是苹果，占19%，Netflix占15%。PayPal是最被攻击的支付系统，占攻击的55%。与加密货币相关的钓鱼和诈骗活动继续增长，Kaspersky阻止了5,838,499次尝试跟踪加密货币主题的钓鱼链接的尝试，比2022年增加了16%。

来源：

https://ciso.economictimes.indiatimes.com/news/cybercrime-fraud/global-mobile-banking-malware-grew-32-percent-in-2023/110104685?utm_source=top_story&utm_medium=homepage

数据泄露专题

戴尔遭黑客攻击，4900万客户个人信息被盗

  Tag：数据泄露, 安全应急程序

事件概述：

戴尔科技最近公开了一起数据泄露事件，涉及包含有限购买相关客户信息的公司门户。泄露的信息包括客户姓名、实体地址以及详细的订单信息，包括服务标签、物品描述、订单日期和保修详情。然而，戴尔确认在此次事件中没有访问到任何财务数据、电子邮件地址、电话号码或其他高度敏感的信息。发现此次泄露后，戴尔立即启动了安全应急程序，开始调查其影响范围，并采取措施予以控制。与此同时，一名威胁行为者声称在黑客论坛上出售一份大型数据库，据称包含近4900万条来自戴尔的记录。这个数据库据报道包括客户姓名、电子邮件地址、哈希密码、戴尔产品详情如序列号和采购订单、员工记录。尽管这个数据集中没有包含财务信息和支付细节，但这种大规模的客户和员工信息的暴露可能会促使针对戴尔的客户群体进行网络钓鱼、诈骗和身份盗窃。

尽管戴尔强调，鉴于涉及数据的性质，此次泄露对客户的风险并不显著，但他们仍建议客户保持警惕，防范可能的技术支持诈骗，并报告任何与他们的戴尔账户或购买相关的可疑活动。尽管这个数据集中没有包含财务信息和支付细节，但这种大规模的客户和员工信息的暴露可能会促使针对戴尔的客户群体进行网络钓鱼、诈骗和身份盗窃。即使是非财务数据，如姓名、电子邮件地址和购买历史，也可能通过社会工程攻击、凭证填充和其他恶意活动被利用。即使没有直接的财务损失，数据泄露也可能对受影响的个人和公司造成重大后果，包括声誉损害和信任度下降。戴尔正在继续调查此次泄露，并已增强安全措施以防止未来的事件。鼓励客户监控他们的账户是否有任何异常活动，并采取预防措施保护他们的个人信息。