黑客针对 FCC 和加密货币公司提倡高级 Okta 网络钓鱼攻击

首页 > 宁静研究 > 宁静通报 > 宁静简讯

黑客针对 FCC 和加密货币公司提倡高级 Okta 网络钓鱼攻击

宣布时间 2024-03-04

1. 黑客针对 FCC 和加密货币公司提倡高级 Okta 网络钓鱼攻击

3月2日，一种名为 CryptoChameleon 的新网络钓鱼工具包被用于针对联邦通信委员会 (FCC) 员工，该工具包使用专门为 Okta 制作的单点登录 (SSO) 页面，这些页面与原始页面非常相似。该活动还针对 Binance、Coinbase、Kraken 和 Gemini 等加密货币平台的用户和员工，使用冒充 Okta、Gmail、iCloud、Outlook、Twitter、Yahoo 和 AOL 的网络钓鱼页面。攻击者精心筹谋了庞大的网络钓鱼和社会工程攻击，包罗电子邮件、短信和语音网络钓鱼，以欺骗受害者在网络钓鱼页面上输入敏感信息，例如用户名、密码，在某些情况下甚至包罗带照片的身份证件。Lookout研究人员发现的网络钓鱼操作与Scattered Spider黑客组织在 2022 年进行的 Oktapus 活动类似，但没有足够的证据证明其归属。

https://www.bleepingcomputer.com/news/security/hackers-target-fcc-crypto-firms-in-advanced-okta-phishing-attacks/

2. 美国网络和执法机构对 PHOBOS 勒索软件攻击发出警告

3月2日，美国 CISA、FBI 和 MS-ISAC 宣布联合网络宁静通告 (CSA)，警告涉及Backmydata、Devos、Eight、Elking 和 Faust 等Phobos 勒索软件变种的攻击。这些攻击最近发生在 2024 年 2 月，目标是政府、教育、紧急服务、医疗保健和其他要害基础设施部门。Phobos 操作接纳勒索软件即服务 (RaaS) 模式，自 2019 年 5 月以来一直活跃。凭据果然来源的信息，由于视察到战术、技术和法式 (TTP) 方面的相似性，政府专家将多个 Phobos 勒索软件变体与 Phobos 入侵联系起来。Phobos 入侵还涉及使用种种开源工具，包罗 Smokeloader、Cobalt Strike和 Bloodhound。这些工具在差异的操作环境中广泛可用且用户友好，有助于 Phobos 及其相关变体在种种威胁加入者中的流行。据视察，Phobos 攻击背后的威胁加入者通过利用网络钓鱼活动获得了对易受攻击网络的初始访问权限。他们抛弃隐藏的有效负载或使用互联网协议 (IP) 扫描工具（例如 Angry IP Scanner）来搜索易受攻击的远程桌面协议 (RDP) 端口或在 Microsoft Windows 环境中利用 RDP。Phobos 使用 Windows 启动文件夹和运行注册表项在受熏染的环境中保持持久性。威胁加入者使用 Bloodhound、Sharphound、Mimikatz、NirSoft 和 Remote Desktop Passview 等开源工具来枚举活动目录并收集凭据。Phobos 运营商使用 WinSCP 和 Mega.io 将数据泄露到 FTP 服务器或云存储。

https://securityaffairs.com/159822/cyber-crime/cisa-phobos-ransomware-attacks.html

3. CutOut.Pro AI工具数据泄露，黑客泄露2000万用户信息

3月2日，CutOut.Pro 是一个专门从事图像和视频编辑的人工智能平台，于 2024 年 2 月 27 日面临黑客声称的数据泄露。一名自称 KryptonZambie 的人挺身而出，声称他们已经乐成攻破了 CutOut.Pro，这是一家总部位于新加坡的平台，以其人工智能驱动的工具而闻名，适合视觉设计和内容创作，特别是在图像和视频编辑领域。今后次泄露中提取的数据已在污名昭著的网络犯罪和黑客论坛（包罗Breach Forums ）上泄露，目前正在俄语论坛中流传。对于泄露数据的内容，Hackread.com深入分析发现，记录包罗以下信息：全名、IP地址、电子邮件地址、密码哈希值、和帐户注册数据。与黑客在列表中的说法相反，Hackread 进行的分析表明，泄露的数据不包罗电话号码、API 访问权限或应用法式密钥。这并不是 CutOut.Pro 第一次因为错误的原因成为头条新闻。2023 年 2 月，他们的一台 Elasticsearch 服务器泄露了高达 9 GB 的客户数据。这些数据中有凌驾 2200 万条日志条目，其中提到了个人用户和企业帐户的用户名。

https://www.hackread.com/hacker-cutout-pro-ai-tool-data-breach/

4. 折扣零售巨头 Pepco 因网络犯罪分子损失 1500 万欧元

2月29日，这家总部位于英国的公司陈诉称，由于“庞大的欺诈性网络钓鱼攻击”，损失了 1550 万欧元（约合 1680 万美元）的现金。视察已经启动，Pepco 正在与银行和警方合作追回这笔资金，但该公司体现，目前尚不清楚是否可以追回资金。Pepco 集团体现：“现阶段，该事件似乎并未涉及任何客户、供应商或同事的信息或数据。”Pepco 集团拥有 Pepco、Dealz 和 Poundland 品牌。Pepco 的 3,600 家门店遍布 19 个欧洲国家，每月拥有凌驾 3000 万主顾。凭据该公司对事件的简要描述和损失金额，该公司可能是商业电子邮件泄露 (BEC) 计划的目标，在该计划中，网络犯罪分子使用被黑客入侵的电子邮件帐户来诱骗目标组织的员工将资金转入他们的银行账户控制。

https://www.securityweek.com/discount-retail-giant-pepco-loses-e15-million-to-cybercriminals/

5. 新的 Silver SAML 攻击可规避身份系统中的 Golden SAML 防御

2月29日，网络宁静研究人员披露了一种名为Silver SAML的新攻击技术，即使在针对 Golden SAML 攻击接纳缓解措施的情况下，该技术也能乐成。Semperis 研究人员 Tomer Nahum 和 Eric Woodruff 在与 The Hacker News 分享的一份陈诉中体现，Silver SAML“使得 Entra ID 等身份提供商能够利用 SAML 对配置为使用 SAML 进行身份验证的应用法式（例如 Salesforce）提倡攻击” 。Golden SAML（宁静断言标志语言的缩写）由 Cyber Ark 于 2017 年首次记录。简而言之，该攻击媒介需要滥用可互操作的身份验证尺度来冒充组织中的几乎任何身份。它也类似于金票攻击，因为它使攻击者能够以任何权限未经授权地访问联合中的任何服务，并以隐秘的方式在该环境中保持持久性。利用该要领的现实攻击很少见，第一个有记录的攻击是通过使用受损的 SAML 令牌签名证书伪造 SAML 令牌来损害 SolarWinds 基础设施，从而获得管理访问权限。微软在 2023 年 9 月透露，Golden SAML 还被代号为Peach Sandstorm的伊朗威胁行为者在 2023 年 3 月的一次入侵中武器化，无需任何密码即可访问未命名目标的云资源。

https://thehackernews.com/2024/02/new-silver-saml-attack-evades-golden.html

6. 律师事务所Houser LLP陈诉数据泄露影响凌驾 325000 人

2月29日，专门为知名金融机构提供服务的美国律师事务所 Houser LLP 体现，2023 年 5 月发现的一次系统漏洞袒露了凌驾 325,000 人的个人数据，可能包罗信用卡号等敏感信息。在缅因州总检察长周三宣布的一份监管文件中，该公司体现，某些文件在事件期间被加密，并“从网络中复制和获取”。豪瑟说，这些数据包罗姓名“以及社会宁静号码、驾驶执照号码、个人纳税识别号码、金融账户信息和医疗信息中的一项或多项”。该公司还向加州总检察长提交了通知。该公司体现，一家未具体说明的第三方公司后来确定，5 月 7 日至 9 日期间，Houser 的网络存在“未经授权的访问”。监管文件称，豪瑟很快就与攻击者取得了联系，但没有解释通信的性质。Recorded Future News 已联系该公司以获取更多信息。该公司体现，在 2023 年 6 月的某个时候，“未经授权的行为者通知 Houser，他们删除了任何被盗数据的副本，而且不会分发任何被盗文件”。文件称，第三方供应商于今年 1 月 18 日完成了审查。

https://therecord.media/houser-law-firm-reports-data-breach

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究