Kaspersky发现APT31针对工业组织的气隙系统的攻击

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Kaspersky发现APT31针对工业组织的气隙系统的攻击

宣布时间 2023-08-03

1、Kaspersky发现APT31针对工业组织的气隙系统的攻击

Kaspersky在7月31日称，APT31（又名Zircium）一直在利用新的恶意软件攻击工业组织，旨在从气隙系统中窃取数据。视察发现，攻击者在主要针对东欧的攻击中使用了至少15个差异的植入法式，每个植入法式都用于差异的攻击阶段。攻击始于去年4月份，涉及三个差异的阶段：初始阶段的植入法式建立对目标系统的持久性和远程访问，并收集侦察数据；第二阶段，APT31会安装更专业的恶意软件，来使用USB流传从气隙系统中窃取数据；最后的第三阶段，黑客使用植入法式将收集到的数据上传到C2服务器。

https://ics-cert.kaspersky.com/publications/reports/2023/07/31/common-ttps-of-attacks-against-industrial-organizations-implants-for-gathering-data/

2、美国蒙特克莱尔镇遭到勒索攻击同意交45万美元赎金

据8月1日报道，美国蒙特克莱尔镇（Montclair）遭到网络攻击，该镇的保险公司与攻击者协商告竣了45万美元的和解协议。临时镇长Hartnett称，目前攻击已经得到了解决，对该镇业务和运营至关重要的数据也已恢复。但是一些属于个人用户的数据，和涉及为该镇服务并存储过去记录的外部供应商的数据仍有待恢复。这些丢失的数据影响了该镇政府响应《果然公共记录法案》某些要求的能力。

https://www.databreaches.net/cyber-attack-on-montclair-township-led-to-450k-ransom-payment/

3、Cofense称近期利用Google AMP的钓鱼活动数量增多

Cofense于8月1日透露，利用Google AMP的钓鱼活动数量在7月中旬大幅增加。Google AMP是由Google与30个合作伙伴配合开发的开源HTML框架，旨在提高移动设备上网页内容的加载速度。这种新的钓鱼计谋将AMP URL嵌入钓鱼邮件中，这些恶意URL于5月份开始泛起，目前仍在流传，旨在窃取员工登录凭据。此类活动中使用网站托管在Google.com（77%）和Google.co.uk（23%）上。此外，攻击活动非常隐蔽，不仅利用了Google AMP URL，还结合了多种已知TTP来绕过电子邮件宁静基础设施。

https://cofense.com/blog/google-amp-the-newest-of-evasive-phishing-tactic/

4、黑客UsNsA在暗网果然印度PHI-IIIT Delhi的数据库

据7月31日报道，研究人员发现名为UsNsA的黑客果然了印度PHI-IIIT Delhi的数据库，以换取论坛积分。泄露的数据库由82个文件组成，总巨细约为1.8 GB，涉及电子邮件、姓名、年份以及内部医疗保健和疫苗开发相关文档，包罗研究论文等。研究人员指出，攻击者利用了PHI Portal网站上的SQL注入漏洞来获得未经授权的访问权限并窃取数据库，他很可能使用了SQLMap工具。

https://www.cloudsek.com/threatintelligence/phi-database-portal-for-health-informatics-iiit-delhi-shared-on-cyber-crime-forum

5、新型侧信道攻击方式Collide+Power影响几乎所有CPU

据媒体8月1日报道，研究团队发现了一种名为Collide+Power的新型基于软件的电源侧信道攻击方式，影响了几乎所有CPU，可能导致数据泄露。其主要看法是，当攻击者的数据与其它应用法式发送的数据在CPU缓存内存中发生数据“冲突”并笼罩前者时，可从CPU功耗丈量值中泄露数据。该漏洞被追踪为CVE-2023-20583，影响了Intel、AMD和使用ARM架构的处置器。该漏洞具有研究意义，但利用起来比力困难，因此严重水平较低。至于缓解措施，需要重新设计CPU，所以更现实的缓解措施是防止攻击者视察到与电源相关的信号。

https://www.securityweek.com/nearly-all-modern-cpus-leak-data-to-new-collidepower-side-channel-attack/

6、Unit 42宣布NodeStealer 2.0攻击活动的分析陈诉

8月1日，Unit 42称其发现了一个新的钓鱼活动，分发了NodeStealer的Python变体。该活动于2022年12月左右开始，针对Facebook企业账户窃取信息。Meta曾在5月份披露了由JavaScript开发的NodeStealer，它与Python变体有许多相似之处。此次发现的活动涉及两个变体，第一个支持多种功效，例如窃取Facebook企业账户信息、下载其它恶意软件、通过GUI禁用Defender以及窃取加密货币资金等；第二个支持特别功效，例如解析Outlook邮件、通过Telegram进行数据泄露、劫持Facebook账户和反分析等。

https://unit42.paloaltonetworks.com/nodestealer-2-targets-facebook-business/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究