卡巴斯基发布《2022 年上半年工业自动化系统的威胁格局》报告
![]()
Tag:Kaspersky,ICS
近日,卡巴斯基基于检测到的恶意威胁发布《2022 年上半年工业自动化系统的威胁格局》报告,报告指出2022年上半年统计的全球工业自动化系统威胁数据、检测到的各种恶意软件、威胁集中的行业以及面临威胁的国家/地区。文章指出2022年31.8% 的 ICS 计算机检测并阻止了恶意威胁,其中恶意脚本和网络钓鱼页面(JS 和 HTML)、恶意文件、间谍软件(木马间谍、后门和键盘记录程序 )、勒索软件威胁所占百分比大幅增加,web挖矿程序也在期间缓慢的增加。其中楼宇自动化行业、石油/天然气、制造业是工控行业面临威胁前三的行业:楼宇自动化行业的恶意办公文档威胁数量几乎达到全球的两倍,间谍软件、勒索软件威胁也高于其他的行业;石油和天然气行业主要遭到勒索、加密货币矿工、蠕虫、病毒攻击威胁;制造业则主要面临互联网威胁和加密货币矿工威胁。
https://ics-cert.kaspersky.com/publications/reports/2022/09/08/threat-landscape-for-industrial-automation-systems-statistics-for-h1-2022/?
希腊银行用户成为网络钓鱼攻击的最新目标
![]()
Tag:希腊银行,网络钓鱼
事件概述:
近日,研究人员监测发现针对希腊银行用户的网络钓鱼攻击活动。攻击者利用多个URL托管着虚假的希腊退税网站,以退税金额为诱饵要求用户确认其当前账号以转移资金,用户可以在希腊国家银行、阿尔法银行等七家主要银行之间进行选择,然后诱导用户输入网上银行凭据。当用户在输入凭据时,攻击者会利用 JavaScript 键盘记录器记录用户按键,窃取凭据信息,然后将凭据信息回传到攻击者的 C2 服务器。
MITRE ATT&CK:
初始访问:网络钓鱼+利用面向公众的应用程序 信息收集:输入捕获(键盘记录)
https://blog.cyble.com/2022/09/14/phishing-campaign-targets-greek-banking-users/
葡萄牙总参谋部遭黑客攻击,数百份北约机密文件被放在暗网售卖
![]()
Tag:葡萄牙总参谋部,北约,数据泄露
葡萄牙武装部队总参谋部(EMGFA)是负责葡萄牙武装部队控制、规划和行动的政府机构。近日,外媒报道称 EMGFA 遭到黑客攻击,数据发生泄露,几百份北约机密文件被放到暗网售卖。美国网络情报人员注意到出售的被盗文件,并向美国驻里斯本大使馆发出警报,后者又警告葡萄牙政府数据泄露。随即,来自国家安全局(GNS)和葡萄牙国家网络安全中心的专家组被派往 EMGFA,对该机构的整个网络环节进行全面调查。
https://www.bleepingcomputer.com/news/security/classified-nato-documents-stolen-from-portugal-now-sold-on-darkweb/
朝鲜威胁组织 Lazarus 针对美国能源供应商发起攻击
![]()
Tag:Lazarus,美国,能源
事件概述:
https://www.bleepingcomputer.com/news/security/north-korean-lazarus-hackers-take-aim-at-us-energy-providers/
ICS 工控补丁:西门子、施耐德电气修复多个高危漏洞
![]()
Tag:ICS,漏洞
事件概述:
https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-fix-high-severity-vulnerabilities
西工大遭网袭事件细节公开之美国NSA网络武器“饮茶”曝光
![]()
Tag:饮茶,美国
事件概述:
经技术分析与研判,该网络武器与其他网络武器配合下,攻击者可通过推送配置文件的方式控制该恶意软件执行特定窃密任务,获取用户输入的各种用户名密码,包括SSH、TELNET、FTP和其他远程服务登录密码,也可根据配置窃取保存在其他位置的用户名密码信息。更多技术分析细节请点击链接查看原文。
https://mp.weixin.qq.com/s/Xt8YvU6HmeOObKlaWJjjew
伪猎者APT组织对韩定向攻击:瞄准基金会代表和平昌和平论坛政界人士
![]()
Tag:伪猎者,APT,韩国
事件概述:
本批次攻击活动目标人员包括汉斯赛德尔基金会韩国代表Bernhard Seliger博士、以及可能与2022平昌和平论坛相关的政界人士。
攻击事件时间节点包括两个:2022年2月上旬针对2022平昌和平论坛相关人士的攻击;2022年6月中旬对Bernhard Seliger博士的定向攻击。均为鱼叉邮件类型的攻击。
攻击者用于攻击载荷托管、C&C通信的网络资产包括公开免费的云端存储站点(如bitbucket.org、statcounter.com)和攻击者私有C&C资产。木马回连地址会涉及这两类的多个url地址。
更多详情内容需查看“伪猎者APT组织对韩定向攻击:瞄准基金会代表和平昌和平论坛政界人士”。
https://mp.weixin.qq.com/s/MElSffbcrQkBYdVKo3hzFg
WordPress 插件被曝存在 0day 漏洞 CVE-2022-31474
![]()
Tag:WordPress,0day 漏洞
事件概述:
BackupBuddy 是一个 WordPress 插件,该插件允许将备份文件存储在多个位置,包括Google Drive、OneDrive 和 AWS,还允许通过“本地目录复制”功能进行存储备份。近日,研究人员在该插件中发现一个被积极利用的 0day 漏洞 CVE-2022-31474。该漏洞允许未经身份验证的用户下载存储在服务器上的任意文件。该漏洞影响 8.5.8.0 至 8.7.4.1版本,厂商已于2022年9月2日在 8.7.5 版本中对漏洞进行修复。由于这是一个被积极利用的漏洞,厂商强烈建议用户网站更新到最新的修补版本 8.7.5,并向所有运行易受攻击版本的网站的所有者提供更新版本。
来源:
https://securityaffairs.co/wordpress/135518/hacking/backupbuddy-wordpress-zero-day.html
2022年9月14日
利哈伊河谷医疗机构遭受勒索软件攻击
宾夕法尼亚州利哈伊河谷医疗机构(MATLV)宣称在近期遭到了勒索软件攻击。此次攻击于2022年7月3日被发现,该协会第一时间采取行动遏制攻击行为以防止攻击者在未经授权的情况下进一步访问其网络。目前,第三方取证专家已参与协助调查确定攻击的性质和范围。MATLV 经过调查表示没有发现任何滥用患者信息的情况,但攻击者可能访问了部分文件,其中包括75628个人的健康信息。这些信息包含姓名、地址、电子邮件地址、出生日期、社会安全号码、驾驶执照号码、州身份证号码、健康保险提供者姓名、医疗诊断、治疗信息、药物和实验室结果,攻击中暴露的信息类型因患者而异。
来源:
https://www.hipaajournal.com/ransomware-attack-on-medical-associates-of-the-lehigh-valley-affects-75k-patients/
利哈伊河谷医疗机构遭受勒索软件攻击
宾夕法尼亚州利哈伊河谷医疗机构(MATLV)宣称在近期遭到了勒索软件攻击。此次攻击于2022年7月3日被发现,该协会第一时间采取行动遏制攻击行为以防止攻击者在未经授权的情况下进一步访问其网络。目前,第三方取证专家已参与协助调查确定攻击的性质和范围。MATLV 经过调查表示没有发现任何滥用患者信息的情况,但攻击者可能访问了部分文件,其中包括75628个人的健康信息。这些信息包含姓名、地址、电子邮件地址、出生日期、社会安全号码、驾驶执照号码、州身份证号码、健康保险提供者姓名、医疗诊断、治疗信息、药物和实验室结果,攻击中暴露的信息类型因患者而异。
来源:
https://www.hipaajournal.com/ransomware-attack-on-medical-associates-of-the-lehigh-valley-affects-75k-patients/
利哈伊河谷医疗机构遭受勒索软件攻击
宾夕法尼亚州利哈伊河谷医疗机构(MATLV)宣称在近期遭到了勒索软件攻击。此次攻击于2022年7月3日被发现,该协会第一时间采取行动遏制攻击行为以防止攻击者在未经授权的情况下进一步访问其网络。目前,第三方取证专家已参与协助调查确定攻击的性质和范围。MATLV 经过调查表示没有发现任何滥用患者信息的情况,但攻击者可能访问了部分文件,其中包括75628个人的健康信息。这些信息包含姓名、地址、电子邮件地址、出生日期、社会安全号码、驾驶执照号码、州身份证号码、健康保险提供者姓名、医疗诊断、治疗信息、药物和实验室结果,攻击中暴露的信息类型因患者而异。
https://www.hipaajournal.com/ransomware-attack-on-medical-associates-of-the-lehigh-valley-affects-75k-patients/
2022年9月13日
TA453黑客组织使用“多角色模拟”技术进行网络钓鱼活动
伊朗组织TA453使用新的网络钓鱼技术展开攻击,即通过使用多个角色和电子邮件帐户,利用心理学让受害者放松警惕进行钓鱼,研究人员将这种技术称为“多角色模拟”(MPI)。攻击者向受害者发送一封电子邮件,同时抄送由攻击者控制的另一个电子邮件地址,然后从该电子邮件中回复。等到受害者放松警惕,再发送一个指向恶意 Word 文档的链接,诱导受害者下载并启用宏,展开恶意操作。
来源:
https://www.proofpoint.com/us/blog/threat-insight/ta453-uses-multi-persona-impersonation-capitalize-fomo
TA453黑客组织使用“多角色模拟”技术进行网络钓鱼活动
伊朗组织TA453使用新的网络钓鱼技术展开攻击,即通过使用多个角色和电子邮件帐户,利用心理学让受害者放松警惕进行钓鱼,研究人员将这种技术称为“多角色模拟”(MPI)。攻击者向受害者发送一封电子邮件,同时抄送由攻击者控制的另一个电子邮件地址,然后从该电子邮件中回复。等到受害者放松警惕,再发送一个指向恶意 Word 文档的链接,诱导受害者下载并启用宏,展开恶意操作。
来源:
https://www.proofpoint.com/us/blog/threat-insight/ta453-uses-multi-persona-impersonation-capitalize-fomo
TA453黑客组织使用“多角色模拟”技术进行网络钓鱼活动
伊朗组织TA453使用新的网络钓鱼技术展开攻击,即通过使用多个角色和电子邮件帐户,利用心理学让受害者放松警惕进行钓鱼,研究人员将这种技术称为“多角色模拟”(MPI)。攻击者向受害者发送一封电子邮件,同时抄送由攻击者控制的另一个电子邮件地址,然后从该电子邮件中回复。等到受害者放松警惕,再发送一个指向恶意 Word 文档的链接,诱导受害者下载并启用宏,展开恶意操作。
https://www.proofpoint.com/us/blog/threat-insight/ta453-uses-multi-persona-impersonation-capitalize-fomo
点击下方片,关注我们
第一时间为您推送最新威胁情报