目   錄

第一章國外關鍵信息基礎設施安全動態

（一）微軟及Okta遭受Lapsus$黑客攻擊

（二）Anonymous攻擊俄羅斯石油管道公司Transneft泄露79GB數據

（三）北約和七國集團領導人承諾防御俄羅斯報復性網絡攻擊

（四）FBI警告俄羅斯黑客對美國能源公司感興趣

（五）美國警告稱Avoslocker勒索軟件攻擊美國關鍵基礎設施部門

（六）美國警告稱美國和國際衛星通信網絡面臨威脅

（七）Vmware修復Carbon Black平臺兩個嚴重漏洞

（八）黑客組織Anonymous竊取雀巢10GB敏感數據

（九）俄羅斯肉類生產商Miratorg遭受BitLocker加密攻擊

（十）EXOTIC LILY是與Conti勒索軟件組織有關的初始訪問代理

（十一）美國乳品公司Hood發生網絡安全事件導致生產關閉

（十二）信用機構TransUnion南非部門遭受勒索軟件攻擊

 

 

第一章 國外關鍵信息基礎設施安全動態

（一）微軟及Okta遭受Lapsus$黑客攻擊

微軟及身份訪問管理公司Okta證實，其遭受了Lapsus$黑客組織攻擊。Lapsus$獲得了微軟產品的37GB源代碼，Okta約2.5%客戶受到影響。英國警方在牛津逮捕了一名16歲的英國少年，疑似是Lapsus$的成員。Lapsus$組織此前攻擊了英偉達、三星、育碧、電信公司沃達豐、電商巨頭Mercado等知名公司。

Lapsus$黑客組織聲稱，其獲得了微軟產品的37GB源代碼，包括Bing和Cortana。隨后微軟調查發現，其一個賬戶被盜用，授予了有限訪問權限。微軟網絡安全響應團隊立即修復了受損賬戶，以防止進一步活動。然而微軟指出，它并不依賴代碼的保密性作為安全措施，并已向客戶保證，暴露的代碼不會導致風險升高，客戶代碼或數據并未受到損害。

Lapsus$黑客組織微軟稱其為DEV-0537，該組織引起的混亂和持續的爭議證實了攻擊面和第三方供應商依賴關系暴露了幾乎無法防御的攻擊面。更糟糕的是，它證實即使是資源最充足、擁有最優秀安全人才的組織，也可能成為技術嫻熟、積極主動的攻擊者的受害者。

微軟在聲明中警告表示，承認其自己的系統在備受矚目的攻擊中受到損害?！霸摻M織以使用純粹的敲詐勒索和破壞模式而聞名，但沒有部署勒索軟件有效載荷?！痹撌录嶋H上是一個組織松散的組織在成功對全球多個組織進行黑客攻擊后留下破壞痕跡的故事。

微軟證實，“本周，Lapsus$組織公開聲稱，他們已經獲得了微軟的訪問權限，并泄露了部分源代碼。觀察到的活動不涉及客戶代碼或數據。我們的調查發現，一個帳戶被盜用，授予有限訪問權限。當攻擊者公開披露他們的入侵行為時，我們的團隊已經根據威脅情報調查了被入侵的帳戶。這一公開披露升級了我們的行動，允許我們的團隊在行動中進行干預和打斷，從而限制了更廣泛的影響?！?/span>

微軟警告說，Lapsus$組織已將其目標名單擴大到世界各地的組織，包括政府、技術、電信、媒體、零售和醫療保健部門的實體，并在現場事件中使用厚顏無恥的策略監視事件響應者。

微軟表示，“眾所周知，DEV-0537還加密貨幣交易所接管個人用戶賬戶，以消耗加密貨幣資產。描述的策略包括基于電話的社會工程、SIM交換、黑客攻擊員工個人賬戶，甚至向內部人員支付訪問權限到公司網絡。DEV-0537似乎沒有掩蓋它的蹤跡。他們甚至宣布對社交媒體的攻擊，或宣傳他們從目標組織的員工那里購買憑證的意圖?！?/span>

Lapsus$沒有泄露Okta的任何實際數據，發布了幾張截圖，證明其獲得了Okta客戶賬戶的訪問權限，可重置密碼并訪問權限提升的管理面板。

對于市值為230億美元的上市公司Okta而言，Lapsus$的截圖和嘲諷的發布導致了公共關系的崩潰，包括多次嘗試準確描述影響范圍，以及知名網絡安全領導人的嚴厲批評。

在多次隱晦淡化威脅嚴重性的聲明之后，Okta最終確認，其366名客戶（大約2.5%）可能受到影響，并且他們的數據可能已被查看。

該公司安全負責人David Bradbury發布了一個時間表，證實Okta在1月中旬得到了這一事件的消息，但在三個月后Lapsus$發布屏幕截圖之前沒有公開傳達任何信息。

Okta是一家為大約15,000人提供身份和訪問管理技術的公司，該公司早些時候曾聲稱，攻擊者在五天的時間內對筆記本電腦的訪問受到限制，并且客戶沒有受到影響，但混亂和缺乏透明度并沒有讓客戶滿意。

Tenable董事長兼首席執行官Amit Yoran在LinkedIn上發表的給Okta的一封公開信中直言不諱的表示，“兩個月太長了，這種入侵應該在Okta在1月份檢測到或進行取證分析后披露。沒有發布入侵指標，沒有發布最佳實踐，也沒有發布關于如何減輕任何潛在風險增加的指導。作為客戶，我們只能說Okta沒有聯系我們。而且據我們所知，我們不受違規行為的影響。出于非常謹慎的考慮，我們正在采取我們認為合乎邏輯的行動，來最大限度地減少風險?！?/span>

多位CISO證實，即使是最成熟的安全計劃，Lapsus$事件也增加了重大成本。

德克薩斯州達拉斯一家金融服務公司的一位著名安全負責人表示，“每次出現Twitter截圖時，我們都必須啟動事件響應流程，看看我們是否被卷入其中。顯然，當提到Okta的名字時，你會豎起耳朵。這一切都是相互關聯的。如果微軟受到威脅，我們就必須緊急行動。如果Okta受到威脅，我們就必須緊急行動。你假設最壞的情況，并希望確定和限制影響范圍。我們真的依賴供應商保持透明和誠實。如果我不能依靠你保持透明和及時，我可能會尋找替代方案?！?/span>

Lapsus$事件還凸顯了供應商和第三方提供商之間數據共享和數據訪問的軟肋，以及多種黑客技術可以結合起來造成嚴重損害的方式?！罢堄涀?，這不涉及花哨的零日漏洞。Lapsus$事件表明，攻擊者不必使用零日漏洞或漏洞利用。他們正在利用一個數據到處流動的整個系統，而我們真的沒有控制權來管理它?！?/span>

Microsoft建議組織采用內部風險管理手冊，以減輕Lapsus$組織使用的社會工程和以身份為中心的策略造成的損害。其中包括對來自所有位置的所有用戶強制使用多因素身份驗證技術，甚至包括感知可信環境。MFA的推出還應包括所有接口基礎設施，即使是來自本地位置的基礎設施。

Redmond還敦促企業使用現代身份驗證選項，連接到AzureAD的OAuth或SAML，來啟用基于風險的登錄檢測，并加強和監控云安全部署，以發現惡意活動的跡象。

參考來源：SecurityWeek http://u6.gg/k7nzm

 

（二）Anonymous攻擊俄羅斯石油管道公司Transneft泄露79GB數據

黑客組織Anonymous在3月17日聲稱，其攻擊了俄羅斯石油管道公司Transneft的內部研發部門Omega公司，并竊取了79GB的電子郵件數據，將其發布在泄密托管網站Distributed Denial of Secrets上。

3月17日，泄密托管網站Distributed Denial of Secrets發布了一個鏈接，包含俄羅斯石油管道公司Transneft研發部門Omega公司的79GB電子郵件。

Transneft總部位于莫斯科，是世界上最大的管道公司。作為一家俄羅斯國有企業，根據對俄羅斯的制裁條款，它現在被禁止接受美國市場的投資。其內部研發部門Omega公司生產一系列用于石油管道的高科技聲學和溫度監測系統，專注于泄漏檢測。

電子郵件泄漏似乎包含公司員工多個電子郵件賬戶的內容，不僅包括電子郵件信息，還包括包含發票和產品運輸詳細信息的文件附件，以及顯示服務器機架和其他設備配置的圖像文件。一些電子郵件的時間戳在3月15日，也就是泄露數據出現在網上的幾天前。

不同尋常的是，根據電子郵件上傳隨附的一份秘密通知，消息來源將泄密事件歸咎于希拉里·克林頓。在2月份接受MSNBC采訪時，克林頓采取了非常規的措施，鼓勵Anonymous組織對俄羅斯發起網絡攻擊。

盡管烏克蘭政府積極鼓勵針對俄羅斯政府目標的黑客行動主義，但對于知名美國政客來說，采取這種立場并不常見?？肆诸D的聲明可能是為了回應她的前總統競爭對手特朗普在2016年請求俄羅斯黑客在民主黨全國委員會的電子郵件遭到破壞后公開她的私人電子郵件。

盡管數據泄露已成為黑客活動分子支持烏克蘭的一項關鍵策略，但到目前為止，它們對戰爭進程的總體影響不大。盡管分析人士最初預計，這場沖突將包括明顯的網絡戰，但它在很大程度上未能實現，部分原因是俄羅斯軍方繼續以常規方式摧毀烏克蘭的住房和基礎設施。

參考來源：TheVerge http://u6.gg/k7dn5

 

（三）北約和七國集團領導人承諾防御俄羅斯報復性網絡攻擊

北約、七國集團領導人和歐盟3月24日在布魯塞爾召開了一系列峰會，承諾加強防御俄羅斯對烏克蘭和其他盟國的網絡攻擊，并誓言改善威脅信息共享，并懲罰相關責任人。美國總統拜登參加了有關緊急會議。

幾天前，拜登及其白宮警告稱，情報可能發生變化，這表明俄羅斯總統普京面臨嚴峻形勢，可能正在尋求報復試圖在烏克蘭戰爭中懲罰他的聯盟，可能會使用網絡攻擊。世界各國領導人表示，他們不會容忍此類襲擊。

北約國家元首和政府首腦在聲明中表示，“我們正在加強我們的網絡能力和防御，在發生來自俄羅斯的網絡攻擊時相互提供支持。我們準備好讓那些在網絡空間傷害我們的人付出代價，并正在加強信息交流和態勢感知，加強公民準備，并加強我們應對虛假信息的能力?！?/span>

本月早些時候，北約承認烏克蘭是其合作網絡防御卓越中心的貢獻參與者。七國集團在3月24日發表聲明，部分涉及數字防御。

七國集團聲明中表示，“我們將繼續努力支持烏克蘭，保護其網絡免受網絡事件的影響。為了準備應對俄羅斯對我們所采取行動的任何惡意網絡響應，我們正在采取措施，通過加強我們協調一致的網絡防御和提高我們對網絡威脅的共同認識，來提高我們各自國家基礎設施的恢復能力。我們還將努力追究那些在網絡空間從事破壞性、破壞性或破壞穩定活動的行為者?！?/span>

參考來源：CyberScoop http://u6.gg/k7ycn

 

（四）FBI警告俄羅斯黑客對美國能源公司感興趣

美國聯邦調查局警告稱，自俄烏特別軍事行動開始以來，俄羅斯黑客對能源公司的興趣有所增加，盡管FBI沒有提供任何跡象表明計劃進行特定的網絡攻擊。

美聯社在3月22日獲得的一份FBI報告稱，俄羅斯黑客已掃描了至少5家能源公司和至少18家其他公司的漏洞，包括國防工業基礎和金融服務。該公告沒有指明任何公司名稱。

掃描網絡中的漏洞很常見，并不表示攻擊即將發生，盡管該活動有時可能是攻擊的前兆。盡管如此，聯邦調查局周五發出的警告強調了拜登政府由于俄羅斯與烏克蘭的戰爭而加劇的網絡安全問題。

3月21日周一白宮表示，有不斷變化的情報表明，俄羅斯正在考慮對美國的關鍵基礎設施發起網絡攻擊，白宮負責網絡和新興技術的國家安全副顧問安妮·紐伯格在白宮新聞發布會上表示失望，一些關鍵基礎設施實體未能修復可能被俄羅斯黑客利用的已知軟件漏洞。

與此同時，CISA在3月22日召集了超過13,000名行業利益相關者的電話會議，警告未來網絡攻擊的可能性，并強調立即采取行動保護自己的必要性。

FBI報告分享了140個IP地址，據稱這些地址至少自2021年3月以來就與掃描美國的關鍵基礎設施有關。自上個月俄烏沖突開始以來，這種掃描有所增加，導致未來入侵的可能性更大。

該公告稱，盡管FBI承認掃描活動很常見，但IP地址與之前“針對外國關鍵基礎設施進行破壞性網絡活動”的網絡參與者有關。在這種情況下，掃描活動“可能表明偵察處于早期階段”。

參考來源：美聯社http://u6.gg/k7ns3

 

（五）美國警告稱Avoslocker勒索軟件攻擊美國關鍵基礎設施部門

美國聯邦調查局（FBI）與美國財政部和金融犯罪執法網絡(FinCEN)3月17日發布聯合公告稱，AvosLocker勒索軟件正在被用于針對美國關鍵基礎設施的攻擊。

該公告表示，“AvosLocker是一種勒索軟件即服務(RaaS)，基于其附屬組織，針對美國多個關鍵基礎設施部門的受害者，包括但不限于金融服務、關鍵制造和政府設施部門。AvosLocker聲稱直接處理贖金談判，以及在其附屬機構攻擊目標后發布和托管泄露的受害者數據。因此，AvosLocker入侵指標(IOC)在針對AvosLocker惡意軟件的指標和針對負責入侵的個人關聯公司的指標之間有所不同?！痹撀摵瞎姘ňW絡防御者可以用來檢測和阻止威脅的妥協指標(IOC)。

AvosLocker于2021年9月出現在威脅環境中，自1月以來，該組織通過實施對加密Linux系統的支持來擴大其目標，特別是VMware ESXi服務器。

AvosLocker運營商此前聲稱發布了一款名為AvosLinux的Linux變體，聲稱該惡意軟件能夠支持Linux和ESXi服務器。AvosLocker勒索軟件將.avoslinux擴展名附加到所有加密文件的文件名中，然后在包含加密文件的每個文件夾中放置贖金記錄。

該公告顯示，在某些情況下，AvosLocker勒索軟件運營商通過電話將受害者作為目標，鼓勵他們去洋蔥網站進行談判，并威脅要在線泄露被盜數據。在某些情況下，該團伙還在談判期間威脅并實施分布式拒絕服務(DDoS)攻擊。

AvosLocker泄密網站聲稱在美國、敘利亞、沙特阿拉伯、德國、西班牙、比利時、土耳其、阿拉伯聯合酋長國、英國、加拿大、中國和中國臺灣都有受害者。

在某些情況下，AvosLocker談判者還在談判期間威脅并發起分布式拒絕服務(DDoS)攻擊，可能是在受害者不合作的情況下，以說服他們遵守他們的要求。

參考來源：SecurityAffairs http://u6.gg/k7dmv

 

（六）美國警告稱美國和國際衛星通信網絡面臨威脅

美國網絡安全和基礎設施安全局(CISA)和聯邦調查局(FBI)3月17日發布警告稱，美國和國際衛星通信(SATCOM)網絡可能面臨威脅，成功入侵SATCOM網絡可能會給SATCOM網絡提供商的客戶環境帶來風險。

鑒于當前的地緣政治形勢，CISA的Shields Up倡議要求所有組織大幅降低報告和共享惡意網絡活動跡象的門檻。為此，CISA和FBI將在新信息可用時更新該聯合網絡安全警告，以便SATCOM提供商及其客戶可以采取與其環境相關的額外緩解措施。

CISA和FBI強烈鼓勵關鍵基礎設施組織和其他作為SATCOM網絡提供商或客戶的組織審查和實施以下緩解措施，以加強SATCOM網絡安全。

1、在SATCOM設備的入口和出口點實施額外監控，以尋找異常流量；

2、對用于訪問和/或管理SATCOM網絡的所有賬戶使用安全的身份驗證方法，包括多因素身份驗證；

3、通過授權策略執行最小特權原則。盡量減少不必要的身份特權?？紤]分配給個人賬戶的權限，以及分配給非人員賬戶的權限，例如分配給軟件或系統的權限。賬戶權限應明確定義、范圍狹窄，并根據使用模式定期審核；

4、審查信任關系。審查與IT服務提供商的現有信任關系。眾所周知，威脅行為者利用提供商與其客戶之間的信任關系來訪問客戶網絡和數據；

5、在SATCOM提供商租用或提供的所有通信鏈路上實施獨立加密；

6、加強操作系統、軟件和固件的安全性；

7、監控網絡日志中的可疑活動以及未經授權或異常的登錄嘗試；

8、創建、維護和實施網絡事件響應計劃、恢復計劃和運營連續性計劃，以便在包括SATCOM網絡在內的技術系統中斷或需要離線時保持關鍵功能和運營能夠運行。

參考來源：CISA http://u6.gg/k7dt5

 

（七）Vmware修復Carbon Black平臺兩個嚴重漏洞

VMware修復了Carbon Black應用程序控制平臺的兩個嚴重任意代碼執行漏洞CVE-2022-22951和CVE-2022-22952，CVSS均為10分，威脅行為者可利用這些漏洞在受影響的Windows系統上執行任意代碼。只有經過身份驗證的具有高權限的攻擊者才能利用這些漏洞。

Carbon Black App Control是一款允許列出解決方案的應用程序，旨在使安全運營團隊能夠鎖定新舊系統，以防止不必要的更改、簡化合規流程，并為公司系統提供保護。

安全研究人員Jari J??skel?發現并報告了這些漏洞。VMware在公告中表示，“VMware Carbon Black App Control中的多個漏洞已私下報告給VMware?？梢允褂酶聛硇迯褪苡绊懙腣Mware產品中的這些漏洞?！?/span>

第一個漏洞CVE-2022-22951是Carbon Black App Control中的操作系統命令注入漏洞，是由于不正確的輸入驗證導致遠程代碼執行。通過網絡訪問VMware App Control管理界面的經過身份驗證的高權限惡意行為者可能能夠在服務器上執行命令，因為不正確的輸入驗證會導致遠程代碼執行。

第二個漏洞CVE-2022-22952是VMware Carbon Black App Control中的文件上傳漏洞，攻擊者可以通過上傳特制文件來觸發該漏洞。對VMware App Control管理界面具有管理訪問權限的惡意行為者可通過上傳特制文件，在安裝了AppC服務器的Windows實例上執行代碼。

受影響的版本包括8.5.x、8.6.x、8.7.x和8.8.x，VMware通過發布8.5.14、8.6.6、8.7.4和8.8.2版本解決了這些漏洞，建議客戶立即安裝安全更新。

參考來源：SecurityAffairs http://u6.gg/k7nw1

 

（八）黑客組織Anonymous竊取雀巢10GB敏感數據

黑客組織Anonymous在3月22日在推特上宣布，其入侵并竊取了瑞士食品飲料公司雀巢的10GB敏感數據，因為雀巢決定繼續在俄羅斯運營。泄露的敏感數據包括電子郵件、密碼、及商業客戶數據。目前Anonymous已泄露了超過五萬雀巢企業客戶的數據樣本。

在俄烏沖突爆發之后，盡管眾多競爭對手向雀巢施加壓力，要求其切斷與俄羅斯的聯系，但是雀巢繼續在俄羅斯運營，持續向俄羅斯提供必需品，因此黑客組織Anonymous呼吁全面抵制雀巢產品。

在強烈的公眾壓力下，已有400多家跨國企業部分或完全退出俄羅斯市場，切斷與俄羅斯的關系，以抗議俄烏特別軍事行動。

雀巢本月早些時候宣布，將暫停從俄羅斯出口其所有產品，但嬰兒配方奶粉等必需品除外。雀巢還表示，不會將Nespresso或其他產品進口到俄羅斯，但嬰兒配方奶粉、谷物和治療性寵物食品除外。

雀巢為其留在俄羅斯的決定進行了辯護，聲稱不會從其在俄羅斯的業務中獲利。隨著戰爭升級和傷亡人數增加，烏克蘭加大了要求雀巢離開俄羅斯的壓力。

烏克蘭總理Denys Shmyhal透露，他與雀巢公司首席執行官馬克施耐德就“留在俄羅斯市場的副作用”進行了交談。Shmyhal表示，“很遺憾的是，他的聲音震耳欲聾。向恐怖主義國家納稅意味著殺死手無寸鐵的兒童和母親。我希望雀巢能盡快改變主意?！?/span>

參考來源：TheTechOutlook http://u6.gg/k7r55

 

（九）俄羅斯肉類生產商Miratorg遭受BitLocker加密攻擊

俄羅斯聯邦獸醫和植物檢疫監督機構Rosselkhoznadzo發布報告稱，總部位于莫斯科的肉類生產商和分銷商Miratorg Agribusiness Holding遭受了一次重大的網絡攻擊，對其IT系統進行了加密。該事件影響了Miratorg的所有子公司。

該機構指出，攻擊者利用Windows BitLocker功能加密文件，實質上是執行勒索軟件攻擊。攻擊背后的原因似乎是破壞，而不是財務，因為Miratorg是俄羅斯最大的食品供應商之一。

遭受入侵的是獸醫服務和從事該領域的公司使用的國家信息系統VetIS，這可能是供應鏈攻擊，但這需要從多方面證實。

Rosselkhoznadzor的公告表示，“很可能這一事件是西方集體對俄羅斯發動的信息和經濟全面戰爭。我們被迫做出這一假設，因為在十多年間，VetIS以及與之集成的數萬個俄羅斯和外國軟件系統從未發生過此類事件。當然，人們可以假設這只是一個巧合，但鑒于VetIS本身正在遭受持續攻擊，這種假設對我們來說似乎極不可能，自西方向我們宣戰以來的時間太短了?！?/span>

Miratorg還發表了一份聲明，稱已經在努力消除后果，并恢復其業務的正常運作。該公司承諾，攻擊不會影響其對俄羅斯公民的供應和發貨，這表明對其交付業務的影響有限。

該公司還就攻擊者的動機發表了聲明，“Miratorg旗下多家公司的信息系統遭到信息攻擊，導致部分企業的活動受到干擾。修復工作正在進行中，所有系統將盡快恢復正常運行。鑒于該國最大的企業和政府機構受到越來越多的黑客攻擊，可以假設，該事件是對該國最大的肉類加工企業之一不友好。Miratorg公司向合作伙伴和客戶保證，供應和運輸不會中斷，向俄羅斯公民提供食品將照常進行?！?/span>

為了減少網絡攻擊的影響，聯邦機構將暫時取消對產品運輸的嚴格文件要求，以協助Miratorg及其子公司運輸貨物。此外，它將接受手寫證書，并允許訪問聯邦平臺Mercury在需要時發布正式文件。

為了緩解客戶在這些關鍵時期對食品安全的擔憂，Rosselkhoznadzor強調，Miratorg擁有良好的聲譽記錄，因此考慮到這一點，因此做出了例外處理。

最后，該機構建議俄羅斯所有使用VetIS的公司在非易失性媒體上創建其文件和數據庫的備份，并將“過度形式主義”放在一邊，互相幫助。

參考來源：BleepingComputer http://u6.gg/k7481

 

（十）EXOTIC LILY是與Conti勒索軟件組織有關的初始訪問代理

谷歌威脅分析小組發現了一個名為EXOTIC LILY的出于經濟動機的威脅行為者，是與Conti和Diavol勒索軟件有關的初始訪問代理，利用微軟MSHTML中的零日漏洞CVE-2021-40444。

經過進一步調查確定，EXOTIC LILY是一個初始訪問代理，使用大規模網絡釣魚活動來破壞目標企業網絡，然后將這些網絡的訪問權限出售給勒索軟件團伙。在高峰期，EXOTIC LILY在一天內向650個組織發送了5,000多封電子郵件，顯示了網絡釣魚活動的廣泛性。

直到2021年11月，該組織似乎都針對特定行業，例如IT、網絡安全和醫療保健，但最近攻擊了各種各樣的組織和行業，沒有特別關注的行業。

在分析黑客組織的活動后，微軟威脅分析小組(TAG)發現，威脅行為者主要在工作日的美國東部時間上午9:00到下午5:00工作，而在周末的活動很少。

雖然認為網絡犯罪分子從事朝九晚五的常規工作可能很奇怪，但最近的Conti Leaks顯示，許多威脅行為者像企業一樣開展業務，要求休假，向經理報告，并領取工資。

此外，該組織成員在與目標共享鏈接之前執行后端技術任務，例如自定義業務提案模板或將惡意軟件有效負載上傳到合法的文件共享服務。

從操作的角度來看，攻擊鏈遵循嚴格的形式，從注冊欺騙域開始，然后使用它發送電子郵件，與目標建立關系，最后通過文件托管服務共享有效載荷。

使用的域與被欺騙組織的實際域名相同，但在不同的TLD上注冊，例如.us、.co或.biz。行為者通過開源情報獲取目標的電子郵件地址，或使用網站的聯系表發送虛假提案。

EXOTIC LILY運營商甚至在LinkedIn上創建了虛假的社交媒體賬戶，聲稱他們在這個被欺騙的組織中工作，使用AI生成或直接從實際員工那里竊取的圖像。這一切都是為了完善合法性的虛假形象，同時嚴格圍繞討論提案的設計或服務要求進行初始溝通。

一旦受害者放松警惕，谷歌TAG稱攻擊者通過TransferNow、TransferXL、WeTransfer或OneDrive共享下載鏈接，從而導致下載BazarLoader惡意軟件。Abnormal Security上周披露的類似BazarLoader網絡釣魚活動中使用了這些相同的文件共享服務。

首次發現時，該組織的惡意軟件以文檔文件的形式出現，試圖利用CVE-2021-40444漏洞。隨后攻擊者將交付表單更改為包含BazarLoader DLL和LNK快捷方式的ISO檔案。

谷歌研究人員在這些樣本中發現了定制的跡象，但這可能是由向EXOTIC LILY提供惡意軟件的其他參與者完成的。本月，該小組繼續使用ISO文件，但現在合并了一個包含自定義加載程序的DLL，這是以前使用的第一階段加載程序的高級變體。

該加載程序會釋放一種名為Bumblebee的惡意軟件，使用WMI收集系統信息，并將所有內容泄露到C2。Bumblebee還可以接收來自遠程參與者的命令，并下載和運行額外的有效載荷，此時提取的文件是Cobalt Strike。

雖然EXOTIC LILY的活動與Conti自己的業務重疊，但谷歌威脅分析師認為，它是一個完全專注于建立初始網絡訪問的獨特威脅行為者。

谷歌研究報告表示，“雖然該組織與其他團體的關系性質仍不清楚，但EXOTIC LILY似乎作為一個獨立的實體運作，專注于通過電子郵件活動獲取初始訪問權限，后續活動包括部署Conti和Diavol勒索軟件，這是由一組不同的威脅行為者?！?/span>

值得注意的是，最近Conti內部消息的泄露反映了一個蓬勃發展的犯罪集團，其專門部門具有獨特的角色和中央協調。此外，Conti/Ryuk的運營一直與TrickBot組織及其惡意軟件操作有著密切的聯系，即Diavol、TrickBot、BazarBackdoor和Anchor。

最近研究人員發現，Conti勒索軟件操作已經控制了TrickBot惡意軟件系列的開發，這得到了Conti泄漏中暴露的Conti管理人員之間的對話的支持。因此，如果Conti有自己的內部團隊，專注于高級魚叉式網絡釣魚和部署這些感染的初始網絡訪問，那就不足為奇了。

然而谷歌TAG表示，雖然垃圾郵件操作可能是由Conti自己運營的，但Conti泄漏中沒有關于垃圾郵件的對話表明它是一個外部組織。

谷歌TAG表示，“在Conti泄密事件中，Conti成員提到垃圾郵件發送者是通過外包合作的人，例如提供定制的加密惡意軟件樣本等。然而，大多數垃圾郵件發送者似乎并沒有出現在聊天中或積極交流，因此得出的結論是，他們作為一個單獨的實體運營?！?/span>

參考來源：BleepingComputer http://u6.gg/k7u75

 

（十一）美國乳品公司Hood發生網絡安全事件導致生產關閉

美國乳品公司Hood在3月18日表示，其發生了網絡安全事件，迫使其暫時關閉了全國13家乳品廠。在Hood恢復設施運營之前，可能導致一些客戶的交貨延遲。

Hood發言人Lynne Bohan表示，在上周得知影響IT系統的事件后，出于非常謹慎的考慮，Hood決定停止生產?！拔覀兏兄x員工的辛勤工作和努力，感謝客戶的耐心和理解?！?/span>

長期以來，黑客一直以擁有敏感信息的組織為目標，例如聯邦政府、或燃料分配網絡等關鍵基礎設施。與俄羅斯有關的組織被指責去年針對Colonial管道和JBS肉類包裝設施的兩次重大網絡攻擊。隨著俄烏沖突的進展，人們越來越擔心來自莫斯科的更多攻擊。但Hood事件表明，網絡威脅甚至可以延伸到最有益健康的消費品，即使是有175年歷史的制造商Hood也不能幸免。

Bohan表示，在停產期間，Hood無法生產產品或接收新的原材料，包括牛奶。該公司試圖轉移其交貨，但數量不詳的牛奶必須“處理”。

Hood還要求其大約3,000名員工在其IT團隊和其他人員解決該問題時不要使用公司提供的設備。目前尚不清楚Hood向雜貨店的配送是否受到干擾。

波士頓網絡安全公司Rapid7首席研究員Bob Rudis表示，在公司發布更多信息之前，很難推測Hood發生了什么。但由于該公司稱這種情況為“網絡安全事件”，這很可能是一次攻擊?！奥犉饋聿畈欢嗑褪沁@個樣子。攻擊者可以對內部系統做很多事情，讓Hood關閉一切?！?/span>

黑客可能已經部署了拒絕服務攻擊，這將使Hood的內部網絡不可用，導致其系統不斷重啟，或引入惡意軟件。Rudis表示，即使Hood最初不知道是什么導致了這個問題，公司關閉其設施并阻止員工訪問公司設備是明智之舉。這可能允許Hood控制問題，而不是讓它級聯成一個更大的問題，這可能需要更長的時間來解決。

Hood總部位于美國林恩菲爾德，自19世紀中葉在查爾斯頓成立以來，這家日益全國化的公司已發展到年銷售額約27億美元，工廠遠至弗吉尼亞和加利福尼亞。Hood以自己的品牌銷售奶制品，以及其他品牌，包括Blue Diamond Almond Breeze、Planet Oat和Green's Ice Cream。它的產品養活了幾代新英格蘭人，它的牛奶盒是整個地區學校零食時間的共同特征。

CVS、Shaw's、Star Market和Stop & Shop在波士頓銷售Hood牛奶、冰淇淋和酸奶油，這些公司代表沒有回答有關他們是否預計產品交付延遲的問題。

但本周早些時候，新罕布什爾州的一個學區敲響了警鐘。新罕布什爾州彼得伯勒Contoocook Valley學區的一位發言人表示，其食品供應商Fresh Picks Cafe周二通知他們，Hood經歷了一次“嚴重的網絡黑客攻擊”，導致該公司關閉。

發言人在博客上發布的一篇通知家庭情況的通知顯示，稱如果牛奶供應不足，他們將提供水或果汁作為替代品。畢竟Hood是該地區最大的八盎司包裝牛奶生產商。

到目前為止，Contoocook Valley仍然有給學生的牛奶供應。但是為了滿足美國農業部關于可報銷學校午餐的指導方針，該學區尋求州政府的豁免，以防由于Hood中斷而無法獲得新鮮牛奶。

發言人Colleen Quinn表示，在馬薩諸塞州，沒有學校要求這樣的豁免，或向中小學教育部表達對Hood牛奶情況的擔憂。代表地區奶農的波士頓非營利組織New England Dairy的發言人Michael DeAngelis表示，他預計不會因為這起事件而導致“學校和其他地方的牛奶短缺?！?/span>

Rudis表示，盡管Hood工廠重新開始運作，大多數制造商品的公司都有手動備份系統，這些系統通常與其內部網絡分離。這些手動計劃通常用于防止停電或風暴，但在網絡攻擊期間也可能會有所幫助?！癏ood可能有一個很好的計劃，因為其設施似乎只關閉了幾天，這讓他們有時間處理內部系統?！?/span>

參考來源：TheBostonGlobe http://u6.gg/k7xs3

 

（十二）信用機構TransUnion南非部門遭受勒索軟件攻擊

征信公司TransUnion南非公司遭受了N4aughtysecTU黑客組織的網絡攻擊，該組織要求對4TB泄露數據支付1500萬美元的贖金。黑客組織N4aughtysecTU自稱來自巴西，訪問并擁有TransUnion 5400萬南非人的個人記錄。

TransUnion已確認，犯罪第三方通過濫用授權客戶的憑據獲得了對其南非服務器的訪問權限。

TransUnion在聲明中表示，“犯罪第三方通過濫用授權客戶的憑據獲得了對TransUnion South Africa服務器的訪問權限。我們收到了敲詐勒索要求，但不會得到支付。發現此事件后，TransUnion South Africa立即暫停了客戶的訪問，聘請了網絡安全和取證專家，并展開了調查。作為預防措施，TransUnion South Africa將我們服務的某些要素下線。這些服務已經恢復。我們認為該事件影響了一臺隔離服務器，該服務器持有我們南非業務的有限數據。我們正在與執法部門和監管機構合作?！?/span>

TransUnion是第二家遭受黑客入侵的信用機構。2020年，消費者、商業和信用信息服務機構Experian經歷了一次數據泄露事件，將多達2400萬南非人和793749個商業實體的一些個人信息暴露給了涉嫌欺詐者。TransUnion是一家美國消費者信用報告機構，它收集和匯總全球30多個國家超過10億個人消費者的信息。

該黑客組織通過Telegam聲稱，其擁有的信息包括信用評分、銀行詳細信息和身份證號碼等任何內容。該組織表示，IT系統非常脆弱，以至于TransUnion使用的密碼就是“Password”一詞。該黑客組織聲稱早在2012年就入侵了TransUnion系統而未被發現。

該黑客組織聲稱，“我們是N4ughtySec集團黑客,自2012年以來，我們已經入侵了TransUnion South Africa。我們擁有超過4TB的所有客戶信息，這些信息包括200多家公司。我們已與TransUnion取得聯系，他們已收到我們的贖金要求。他們在2022年3月11日星期五收到了警報?！?/span>

該黑客組織表示，他們在TransUnion系統上發現了CEO Lee Naik的個人信息，隨后通過個人手機聯系了他。

N4ughtySec威脅TransUnion，如果不支付贖金，將暴露數據或針對客戶。N4aughtysecTU要求TransUnion在未來7天內以比特幣支付2.23億蘭特的贖金，約合1500萬美元。

N4ughtySec威脅聲稱，“如果他們不付款，我們將攻擊他們所有的企業客戶。我們將數據分組，政黨、政府官員、政府官員、議會官員、法官、檢察官等?！?/span>

TransUnion在一份聲明中表示，在發現事件后，立即暫停了授權客戶的訪問，聘請了網絡安全和法醫專家，并展開了調查。作為預防措施，TransUnion South Africa將其服務的某些部分下線。

據該公司聲稱，這些服務已經恢復，該事件影響了一臺隔離服務器，該服務器保存了南非業務的有限數據，并且正在與執法部門和監管機構合作。

TransUnion南非首席執行官Lee Naik表示，“我們正在就這一事件與南非的客戶進行交流。隨著調查的進展，我們將通知并協助個人數據可能受到影響的個人。我們將免費向受影響的消費者提供身份保護產品。我們持有的信息的安全和保護是TransUnion的首要任務。我們知道，這樣的情況可能會令人不安，TransUnion South Africa仍然致力于幫助任何信息可能受到影響的人?！?/span>

參考來源：ITWeb http://u6.gg/k7u4m

 

 

 

 

（如未標注，均為天地和興工業網絡安全研究院編譯）