1.黑客在線洩露 14 億騰訊用戶賬戶

一個名為「Fenice」的威脅行為者泄露了 14 億個用戶帳戶,他們聲稱這些帳戶屬於中國互聯網科技公司巨頭騰訊 。

 

值得注意的是,同樣還是Fenice ,他於2024 年 8 月 6 日洩露了從後台查詢平台 National Public Data 洩露的 30 億用戶的個人數據。 這些數據包括純文本社會安全號碼。

 

研究團隊懷疑該數據庫起源於MOAB,這是網絡安全研究員鮑勃·迪亞琴科(Bob Diachenko)於2024年1月發現的大規模數據洩漏。 MOAB 包含來自 4,144 個違規行為的超過 260 億條記錄,涵蓋 3,876 個域。

 

這些域名包括 LinkedIn、MySpace、Twitter 和 Adobe 等知名網站,以及各種政府組織和公共機構,包括騰訊的 15 億個賬戶、微博的 5.04 億個賬戶和 Badoo 的 1.27 億個賬戶等。

 

根據黑客的說法,騰訊數據包括 14 億條記錄,其中壓縮形式包含 44GB,未壓縮時會擴展到 500GB。 數據為JSON格式,包含郵箱、手機號、QQ ID等字段。 時間戳和存儲路徑的存在表明此數據是在 2023 年 5 月 9 日處理的。

 

鏈接:

https://hackread.com/hackers-leak-1-4-billion-tencent-user-accounts-online/

 

2.金融巨頭因勒索攻擊損失近2億元,超1600萬用戶數據泄露

美國抵押貸款巨頭LoanDepot 6日報告稱,與最近的勒索軟件攻擊相關的成本已達到近2700萬美元。

 

這次網絡攻擊於2024年1月初被曝光。 當時,公司為了應對攻擊導致數據被加密的情況,選擇將一些系統下線。 幾周後,LoanDepot通知當局,超過1600萬人的個人信息可能已被洩露。 數據洩露影響了姓名、地址、電子郵件地址、電話號碼、出生日期、社會保障號碼和金融賬號。 LoanDepot的最新財務報告顯示,該事件給公司造成了2690萬美元(約合人民幣1.92億元)的成本。 該金額包括「調查和補救網絡安全事件的成本,客戶通知和身份保護的成本,以及專業費用(包括法律費用、訴訟和解費用以及佣金擔保)」。 LoanDepot補充道:「在截至2024年6月30日的季度內,公司因與網絡安全事件相關的集體訴訟帶來了2500萬美元的應計成本。」 就在LoanDepot數據洩露曝光之前,執法機構剛剛針對Alphv/BlackCat勒索軟件組織進行了打擊,該組織聲稱對上述攻擊事件負責。 這些網路犯罪分子聲稱,他們正在出售從貸款機構竊取的數據。 電子製造服務公司Keytronic近日透露,最近的勒索軟件攻擊導致的費用和收入損失總計超過1700萬美元。

 

鏈接:

https://mp.weixin.qq.com/s/CBVPPBDvTUZh1ilzzBnU8g

 

3.俄羅斯午夜暴風雪通過 Microsoft 入侵英國內政部

俄羅斯黑客組織午夜暴雪入侵了英國內政部,竊取了敏感數據。

 

臭名昭著的俄羅斯黑客組織午夜暴雪成功滲透到英國政府的內政部系統,竊取了敏感數據和電子郵件。

 

據 2024 年 1 月報道,午夜暴雪入侵了 Microsoft 高管的電子郵件帳戶,並獲得了對公司源代碼倉庫和內部系統的訪問權限。 隨後,黑客利用這一立足點瞄準了Microsoft的客戶,包括英國內政部。

 

該部門於5月向英國數據保護監管機構報告了這一事件。 根據《信息自由法》獲得的報告中,該部門將該事件描述為對其公司系統供應商的「國家攻擊」,並確認它與1月份針對Microsoft的攻擊有關。

 

今年4月,美國網絡安全和基礎設施安全局(CISA)表示,黑客攻擊也影響了聯邦政府的數據。 Microsoft承諾通過為所有洩露的聯邦機構通信提供元數據來協助美國政府的調查。

 

Microsoft否認在1月份的攻擊後,該公司託管的面向客戶的系統受到任何損害,稱攻擊者只訪問了Microsoft公司電子郵件帳戶的一小部分,並通知了受影響的客戶。 英國政府也否認了內政部運營數據洩露的任何證據,並表示通過強大的報告機制和持續監控,數據安全得到了認真對待。

 

儘管如此,這一事件凸顯了午夜暴雪的日益複雜和大膽。 該團體已成為一個主要威脅,針對各種組織。 Midnight Blizzard 的目標主要是間諜活動,針對政府機構、非政府組織、IT 服務、技術、離散製造和媒體部門。

 

2024 年 6 月,該組織將德國遠程訪問和支持軟件公司TeamViewer 的內部 IT 環境作為目標,可能是通過利用標準員工帳戶的洩露憑據。

 

Microsoft最近報告了Midnight Blizzard 的有針對性的社會工程攻擊,使用通過 Microsoft Teams 聊天發送的網路釣魚誘餌來竊取憑據,影響了至少 40 個獨特的全球組織。 這些違規行為引發了人們對關鍵基礎設施和政府系統安全的嚴重擔憂。

 

這次攻擊也引發了對 Microsoft 安全實踐的質疑。 Acumen Cyber 首席運營官 Kevin Robertson 評論道,儘管該公司是一家全球科技巨頭,但由於未能在非生產測試租戶帳戶上實施多因素身份驗證,該公司似乎已成為基本安全漏洞的受害者。

 

「這是Microsoft對數字世界的危險壟斷的又一個例子,以及攻擊者如何利用無處不在的東西來劫持破壞組織,」 kevin說。 「在這次攻擊中,威脅參與者利用了 Microsoft 測試租戶中的 OAuth 應用程序,無意中授予其提升的權限,然後提供對 Microsoft 及其客戶電子郵件的訪問權限,包括屬於內政部和美國政府官員的收件箱。 「

 

鏈接:

https://hackread.com/russia-midnight-blizzard-breach-uk-home-office-microsoft/

 

4.黑客洩露了 27 億條帶有社會安全號碼的數據記錄

在一個黑客論壇上洩露了近 27 億條美國人的個人信息記錄。 據稱,這些數據來自National Public Data,該公司收集和出售個人數據,用於背景調查、獲取犯罪記錄和私家偵探。

 

據信,National Public Data 會從公共來源抓取這些信息,為美國和其他國家/地區的人們編製個人用戶檔案。

 

今年 4 月,一個名為 USDoD 的威脅行為者聲稱正在出售 29 億條記錄,其中包含從國家公共數據中竊取的美國、英國和加拿大人民的個人數據。

 

當時,威脅行為者試圖以 350 萬美元的價格出售這些數據,並聲稱其中包含這三個國家/地區的每個人的記錄。

 

USDoD 是一個已知的網絡黑客,此前曾與 2023 年 12 月以 50,000 美元的價格出售 InfraGard 用戶數據庫的企圖有關。

 

從那時起,各種威脅行為者發布了數據的部分副本,每個洩漏都共享不同數量的記錄,在某些情況下,還共享不同的數據。

 

8 月 6 日,一個名為「Fenice」的威脅行為者在 Breached 黑客論壇上免費洩露了被盜國家公共數據的最完整版本。

 

然而,fenice 表示數據洩露不是由USDoD引起而是另有其人。

 

鏈接:
https://www.bleepingcomputer.com/news/security/hackers-leak-27-billion-data-records-with-social-security-numbers/

 

5.DDoS 攻擊量上升,對金融行業造成沉重打擊

根據 Gcore 的數據,2024 年上半年期間的 DDoS 攻擊總數為 830,000 次,與 2023 年上半年相比增加了 46%。 峰值攻擊能力從 2023 年下半年的每秒 1.6 太比特 (tbps) 上升到 1.7 Tbps。

 

受攻擊最多的商業行業是博彩(49%)、科技(15%)、金融服務(12%)和電信(10%)。

 

電子商務(7%)和媒體和娛樂(5%)行業在2024年上半年從「其他」類別中脫穎而出,表明它們比過去更頻繁地成為目標。

 

2024 年第 1 季度至第 2 季度報告顯示,攻擊總數繼續上升。 雖然攻擊的威力(去年下半年首次以 Tbps 為單位)從 1.6 Tbps 略微增加到 1.7 Tbps,但這仍然對組織構成越來越大的威脅。

 

然而,與前兩個季度相比,最大的變化是對科技行業的攻擊數量,翻了一番多,達到 15%。 對於試圖破壞託管關鍵基礎設施的企業的不良行為者來說,該行業變得越來越有吸引力。

 

就 2024 年上半年受網絡層攻擊影響最大的行業而言,遊戲以 47% 的受影響位居第一,科技以 31% 的攻擊位居第二,電信行業以 14% 的受影響排名第三。

 

在受應用層攻擊影響的行業中,金融服務受到高度針對性,占所有攻擊的 41%,這可能是因為該行業對中斷和停機時間的容忍度低,以及攻擊者可以獲得的金錢收益。 電子商務是受影響第二大的行業,占應用層攻擊的28%,媒體和娛樂業排名第三,占應用層攻擊總數的13%。

 

「我們不應該被今年上半年每秒僅上升0.1太比特所迷惑,因為僅僅300 Gbps的攻擊就會在幾秒鐘內使未受保護的服務器離線。 任何以太比特為單位的攻擊的有效載荷都是巨大的,任何攻擊效力的提高,無論多麼小,都可能在這些級別上產生嚴重影響,「Gcore安全主管Andrey Slastenov說。

 

「就攻擊數量而言,這種上升令人擔憂,各行各業必須思考為什麼他們會成為攻擊目標,這樣他們才能保護自己。 在遊戲中,一些攻擊是在競爭對手之間進行的。 其他的則旨在影響遊戲行業的貨幣化,如果 DDoS 攻擊使遊戲服務脫機,遊戲行業將直接受到影響。 對於技術公司來說也是如此,如果服務器、網絡和存儲服務不可用,他們的服務就會嚴重中斷,「Slastenov 總結道。

 

絕大多數攻擊持續時間不到 10 分鐘,而 2024 年上半年記錄的最長攻擊持續時間為 16 小時。 然而,即使是最短的攻擊的威力也很強,這往往會導致用戶放棄他們試圖訪問的服務,從而對提供商的品牌聲譽產生重大影響。

 

攻擊的持續時間和類型的可變性表明,攻擊者正在使用複雜的策略和定制的方法來製造最大可能的破壞,「Andrey Slastenov 評論道。 「從這份報告中可以清楚地看出,攻擊並沒有放緩,這意味著必須將DDoS 檢測、緩解和保護等強有力的響應作為避免中斷、停機和收入損失的首要任務。」

 

鏈接:

https://www.helpnetsecurity.com/2024/08/15/ddos-attacks-h1-2024-increase/

 

6.伊朗遭遇大規模網絡攻擊,銀行系統癱瘓

據媒體報道,伊朗央行和該國多家銀行周三遭受了一次重大網絡攻擊,導致伊朗銀行系統大面積中斷。 初步評估表明,這可能是針對伊朗國家基礎設施的最大網絡攻擊之一。

 

據悉,黑客還竊取了伊朗多家銀行客戶的信息。 此次網絡攻擊正值中東地緣政治風險加劇之際,因此受到了高度關注。

 

周三早些時候,伊朗最高領袖哈梅內伊就非常規戰爭的威脅向全國發出警告,他表示:「美國、英國和猶太復國主義者誇大了他們的能力,目的是在我們的人民中散播恐懼。 敵人的勢力並不像宣傳的那麼強大,我們必須依靠自己。」

 

他還聲稱:「敵人的目的是通過心理戰術,迫使我們在政治和經濟上退縮,從而達到他們的目的。」

 

很多伊朗人認為,此次網絡攻擊是以色列情報部門實施的,然而這些指控並沒有實質性證據。

 

以色列媒體也報道了針對伊朗銀行系統的重大網絡攻擊,但伊朗官方至今尚未證實這一消息,該國媒體也保持了沉默。

 

與此同時,美國官員和西方媒體聲稱伊朗黑客正在積極影響和乾預即將到來的美國大選,伊朗方面否認了這一指控。

 

長期以來,以色列一直通過網絡攻擊針對伊朗的核計劃,其中一些攻擊曾成功地破壞了關鍵設施的運作。

 

近年來,以色列被認為已經將網絡攻擊的範圍擴大到了民用基礎設施,例如鐵路、大壩、加油站和發電廠,目的是通過引發全國範圍的騷亂來推翻伊朗政權或讓政府忙於應對日常的騷亂。 與此同時,伊朗也進行了反擊,以色列和美國的官員和專家聲稱伊朗政府與一些針對以色列公司的黑客組織有關。

 

去年12月,一場重大網絡攻擊摧毀了伊朗大部分(近70%)加油站,目標是廣泛使用的支付軟件,德黑蘭方面將此次中斷歸咎於以色列和美國。

 

目前全球都在關注伊朗何時對以色列發動襲擊,以色列方面聲稱已經做好了遭受攻擊的準備,但不知道襲擊什麼時候會發生,會以什麼形式發生。

 

中東問題專家認為,這場戰爭恐怕很難避免,伊朗方面需要重新建立威懾,而以色列總理內塔尼亞胡必須讓戰爭繼續下去,才能解決日益嚴重的國內問題,國際社會也無力製止。

 

鏈接:

https://www.secrss.com/articles/69161

 

7.與俄羅斯有聯系的黑客以東歐非政府組織和媒體為目標

俄羅斯和白俄羅斯的非營利組織、俄羅斯獨立媒體以及活躍在東歐的國際非政府組織已成為兩個獨立的魚叉式網路釣魚活動的目標,這些活動是由與俄羅斯政府利益一致的威脅行為者精心策劃的。

 

雖然其中一個被稱為「網路釣魚之河」的活動被歸咎於COLDRIVER所為,這是一個與俄羅斯聯邦安全局(FSB)有聯系的敵對團體,但第二組攻擊被認為是以前未記錄在案的威脅集群所為,代號為COLDWASTREL。

 

根據 Access Now 和 Citizen Lab 的聯合調查,這些運動的目標還包括俄羅斯流亡的著名反對派人士、美國智庫和政策領域的官員和學者,以及前美國駐烏克蘭大使。

 

「這兩種攻擊都是高度定製的,以更好地欺騙目標組織的成員,」Access Now說。 「我們觀察到的最常見的攻擊模式是從受感染的帳戶發送的電子郵件,或者是從看起來與受害者可能認識的人的真實帳戶相似的帳戶發送的電子郵件。」

 

River of Phish 涉及使用個性化和高度合理的社會工程策略來誘騙受害者點擊 PDF 誘餌文檔中的嵌入鏈接,這會將他們重定向到憑據收集頁面,但在對受感染的主機進行指紋識別之前,可能是為了阻止自動化工具訪問第二階段基礎設施。

 

電子郵件是從 Proton Mail 電子郵件帳戶發送的,這些帳戶冒充受害者熟悉或認識的組織或個人。

 

「我們經常觀察到攻擊者遺漏將PDF文件附加到初始消息中,要求審查'附加'文件,」Citizen Lab說。 「我們認為這是有意為之的,旨在提高通信的可信度,降低被發現的風險,並且只選擇對最初方法做出回應的目標(例如,指出缺乏附件)。」

 

攻擊使用看似加密的 PDF 文檔,並敦促受害者通過單擊鏈接在 Proton Drive 中打開它們,這一事實支持了與 COLDRIVER 的鍊接,這是威脅行為者過去採用的詭計。

 

「當發現成本仍然很低時,網絡釣魚不僅是一種有效的技術,而且是一種繼續進行全球定位的方式,同時避免將更複雜(和昂貴)的能力暴露給發現,」公民實驗室說。

 

鏈接:

https://thehackernews.com/2024/08/russian-linked-hackers-target-eastern.html

 

 

信飛科技有限公司

2024年8月