6月23日，星期四，您好！中科汇能与您分享信息安全快讯：

• Flagstar银行披露数据泄露事件影响百万用户

Flagstar银行对去年的攻击事件和数据泄露进行了披露，150万用户信息受影响。银行于6月2日发现系统上有可疑的攻击痕迹，开始着手调查，发现在去年12月曾遭到黑客攻击，用户的姓名、社会安全号之类的敏感信息泄露。目前执法部门和第三方安全人员已参与到事件调查，认为这些数据还没有被利用的迹象，银行也为用户提供了两年的身份监控和保护服务。 有安全媒体就此事咨询了Flagstar银行，质疑为什么花了这么久才发现以及具体泄露信息的类型，但未收到回复。

• 俄罗斯IP无法再下载安装Windows

俄罗斯塔斯社周末报道了一则新闻，微软禁止俄罗斯IP下载安装Windows 10和Windows 11及相关工具，推特上迅速发酵。 有好事者进行了测试，专门调为俄罗斯的IP下载测试，发现会直接提示404，下载镜像则会提示您的请求存在问题，唯一能下载的Windows 11安装工具也会在运行时报错。目前还无法得知是技术问题还是决策问题，根据前几个月微软关停俄罗斯区域销售、封禁俄罗斯Github账号等行为，做出这种决策并不奇怪，不过考虑到俄罗斯的技术实力恐怕并没有什么影响。

• 窃取Office 365账号密码的钓鱼活动重出江湖

一个新的针对军事、安全、供应链、医疗等领域，窃取Office 365账号密码的钓鱼活动时隔一年再次出现。这次的鱼饵不搞什么有的没的，直接放一个“语音消息”让你点击查看，越是简单越容易中招，好多人就马上点开瞅一眼。点完之后还跳一个验证码，既增加可信度，又提升抗检测能力，只有验证码受伤的世界达成了。最后就是传统的钓鱼网页，一眼真。根据玩法判断，和20年发起类似攻击的组织很像，但还要继续研究确认。

• 紧跟时事 信用卡信息市场命名为BidenCash

4月新成立的“BidenCash”信用卡信息市场凭借强大的宣发迅速成为新星，引得安全研究员关注。刚成立时它也遇到了所有人都会遇到的问题：缺乏知名度、没有大规模运营的设备基础等，但通过信用卡信息免费送的方式，注册有礼，平台得到了极速推广。平台上主打的信用卡信息，有近800万行数据，但根据意大利安全公司消息，其中只有6600张信用卡数据，且只有1300张是有效的，其他的几百万都是邮箱地址，虽然可以用来发广告、钓鱼但意义不大。

• DFSCoerce NTLM攻击可致域接管

安全研究员发现一种新的DFSCoerce NTLM攻击，可让黑客完全接管Windows域。 该漏洞由微软分散式文件系统MS-DFSNM得名，通过强制让域控制器对恶意NTLM进行身份验证，并把请求转发到域的AD证书服务获取TGT，便可设置任何设备标识，进一步提权，接管域运行命令。此漏洞原理和PetitPotam有相似之处，不过使用的是与PetitPotam的MS-EFSRPC不同的MS-DFSNM。但防护手段是通用的，如禁用NTLM、启用身份验证和签名的防护等。微软还未对此漏洞进行回应。

• 警方捣毁造成数百万美元损失的网络钓鱼团伙

在欧洲刑警组织协调的执法行动后，造成数百万欧元损失的网络钓鱼团伙成员被逮捕。本周二，欧洲刑警组织对外宣布:“在欧洲刑警的支持下，比利时警察(联邦警察)和荷兰警察(警察)参与了一次跨境行动，粉碎了一个涉及网络钓鱼、诈骗、诈骗和洗钱的有组织犯罪集团。”最终警方在荷兰搜查了24个场所，并缴获枪支弹药、珠宝首饰、电子设备、现金和加密货币若干，同时还逮捕了9名嫌疑人。据调查，该组织的成员利用银行凭证窃取了数百万欧元，这些凭证是大规模的钓鱼邮件、钓鱼短信中的一部分，“这些团伙成员会编辑发送钓鱼短信、钓鱼邮件等，其中包含指向虚假银行网站的网络钓鱼链接。受害者在无法分辨钓鱼网站的情况下，就会向这些钓鱼团伙提供他们的银行凭证。”

• APT 28组织成员被指控入侵北约智库

据披露，德国检察官对名为 Nikolaj Kozachek 的俄罗斯黑客发出了逮捕令，该名黑客被指控对位于德国的北约智库联合空中力量能力中心进行了网络间谍攻击。据悉，网络攻击事件发生在2017年 4 月，Kozachek在成功入侵北约智库的计算机系统后，安装了一个键盘记录器以监视该组织。德国调查人员认为，Kozachek 是与俄罗斯有关的 APT 28 黑客组织（又名 Fancy Bear）的成员，该组织曾在 2015 年网络入侵了德国联邦议院。据Spiegel称，联邦检察官已从联邦法院获得了对Kozachek的逮捕令。

• 研究员披露影响10家OT厂商工控设备的56个漏洞OT:ICEFALL

Forescout 公司将这些漏洞统称为 “OT:ICEFALL“，设计10家OT公司的25款设备，这些厂商包括 Bently Nevada、艾默生、霍尼韦尔、JTEKT、摩托罗拉、欧姆龙、Phoenix Contact、西门子和Yokogawa等。Forescout 公司在技术报告中指出，“具有目标设备网络访问权限的攻击者可利用这些漏洞远程执行代码，更改OT设备的逻辑、文件或固件，绕过认证，攻陷凭据，引发拒绝服务或造成多种运营影响。”

• 国际快递公司Yodel 承认服务受网络攻击影响

等待收件的客户指出，Yodel 的订单追踪和客户服务在上周末无法使用，有些客户称至少四天无法获得快递信息。网络安全研究员 Kevin Beaumont 表示，传言Yodel 遭勒索软件攻击，这一理论具有其合理性，因为攻击者一般不会在工作日加密受害者的计算机，以避免被发现。Yodel 似乎向 eBay 卖家发私信称遭受网络攻击，“正在调查攻击性质以及该攻击事件造成的全面影响”。该公司表示正在借助符合资格的外部相关方回复系统服务。随后，Yodel 网站发布公开声明证实服务中断和网络安全事件有关，并通知用户称“快递可能比预期交付时间要晚”。

• 国防七校”西北工业大学遭受境外网络攻击

西北工业大学官方公众号近日发布公开声明，近期，该校电子邮件系统遭受网络攻击，对学校正常教学生活造成负面影响。该校第一时间报警，经公安机关初步判定，是境外黑客组织和不法分子发起的网络攻击行为。此次网络攻击事件中，有来自境外的黑客组织和不法分子向我校师生发送包含木马程序的钓鱼邮件，企图窃取相关师生邮件数据和公民个人信息，给学校正常工作和生活秩序造成重大风险隐患。长期以来，我校高度重视网络安全工作，经常性开展网络安全宣传教育，定期开展网络安全检查和技术监测，明确主动防御策略，全面采取技术防护措施。全校师生网络安全意识和敏锐性逐年提高，来自境外的钓鱼邮件暂未造成重要数据泄露，暂未引发重大网络安全事件，校园网络安全和广大师生的个人信息安全得到有效维护。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台  火绒安全 亚信安全 奇安信威胁情报中心 卡巴斯基 MACFEE  Symantec 白帽汇安全研究院   安全帮

本文版权归原作者所有，如有侵权请联系我们及时删除