丰田欧洲和非洲金融服务公司本周确认成为网络攻击的目标,该攻击似乎是由一个已知的勒索软件组织发起的。
丰田子公司表示,最近在有限数量的地点检测到系统上存在未经授权的活动。作为回应,一些系统处于离线状态,但它们正在逐渐恢复在线状态。
“在大多数国家,我们已经开始让我们的系统重新上线。我们正在努力工作,尽快让系统恢复在线,对于给我们的客户和业务合作伙伴带来的任何不便,我们深表歉意。”该公司在其网站上发布的一份声明中表示。“到目前为止,这一事件仅限于丰田金融服务欧洲和非洲地区。”
丰田金融服务欧洲声明丰田欧洲和非洲金融服务公司最近在其有限数量的地点发现了未经授权的系统活动。我们关闭了某些系统以调查这一活动并降低风险,并开始与执法部门合作。 在大多数国家/地区,我们已开始使系统恢复上线。我们正在努力尽快让系统恢复在线,对于给我们的客户和业务合作伙伴带来的任何不便,我们深表歉意。 截至目前,该事件仅限于丰田欧洲和非洲金融服务公司。 丰田欧洲和非洲金融服务公司优先考虑我们所持有数据的安全和隐私,并将酌情提供进一步的更新。 丰田汽车欧洲 NV/SA (TME) 负责监管丰田、GR (Gazoo Racing) 和雷克萨斯车辆及零部件的批发销售和营销,以及丰田在欧洲的制造和工程业务。丰田直接雇用了超过 25,000 名员工,自 1990 年以来已在欧洲投资超过 110 亿欧元。其八家欧洲制造工厂位于葡萄牙、英国、法国、波兰、捷克共和国和土耳其。如今,欧洲道路上约有 1,650 万辆丰田、GR 和雷克萨斯汽车,其驾驶员得到 28 个国家营销和销售公司以及遍布 53 个国家(欧盟、英国、欧洲自由贸易联盟国家 + 俄罗斯、以色列、土耳其和其他东欧国家)。2022年,TME在欧洲销售了1,080,975辆汽车,市场份额为6.4%。欲了解更多信息,请访问事实与数据 (toyota.eu)和www.toyota-europe.com。 丰田相信,当人们可以自由行动时,一切皆有可能。丰田追求“全民出行”,旨在创造更安全、更互联、包容和可持续的出行方式,以实现“为所有人创造幸福”的使命。在欧洲,TME 推出了 KINTO 移动品牌,在 14 个国家提供一系列移动服务,并正在增加零排放燃料电池产品和工程支持的企业对企业销售。丰田致力于在整个欧洲业务中实现碳中和,为联合国可持续发展目标做出贡献。作为欧洲二氧化碳减排领域的历史领先者,TME 的目标是到 2035 年,西欧所有新车的二氧化碳排放量减少 100%,并将继续通过其混合动力、插电式混合动力系统为该地区的客户提供全系列电动动力总成、电池和燃料电池电动汽车。 |
名为Medusa和 MedusaLocker 的勒索软件组织声称对此次攻击负责,在其基于 Tor 的泄密网站上列出了丰田金融服务公司 (Toyota Financial Services),并威胁要分发被盗数据,除非在 10 天内支付 800 万美元的赎金。
网络犯罪分子为了证明其主张而公开的屏幕截图和文件树表明,这些信息是从德国丰田金融服务系统中窃取的。
黑客在其网站上发布的屏幕截图显示,已获得各种类型的公司文件、包含个人信息的电子表格以及护照副本。
Medusa 组织有可能利用最近的Citrix NetScaler 漏洞(编号为 CVE-2023-4966、名为 CitrixBleed (Citrix Bleed))对公司进行了黑客攻击。
网络安全研究员 Kevin Beaumont 指出,丰田金融服务公司最近在德国有一个 Citrix Gateway 系统,该系统暴露在互联网上,很可能容易受到 CitrixBleed 攻击。
CitrixBleed 漏洞已被威胁行为者 广泛利用,包括在许多勒索软件攻击中。
据 Beaumont 称,LockBit 勒索软件组织利用该缺陷访问政府组织、律师事务所和银行的系统。该网络犯罪团伙将最近针对中国最大银行的攻击归功,该银行也将易受攻击的 Citrix 系统暴露在网络上。
研究人员还发现了属于波音公司和澳大利亚航运公司DP World的暴露于互联网且未打补丁的 Citrix 设备,这两家公司最近都成为攻击目标。
Darkode 黑客论坛管理员被判入狱
美国司法部周三宣布,一名承认自己是现已解散的网络犯罪论坛 Darkode 管理员的男子被判入狱。
托马斯·肯尼迪·麦考密克(Thomas Kennedy McCormick),又名“Fubar”,30 岁,来自马萨诸塞州剑桥市,因参与运营 Darkode 而被判处 18 年监禁。该判决还包括三年监管释放。
麦考密克于 2009 年以会员身份加入该网站,最终成为多名管理员之一。当局表示,在 2015 年网络犯罪论坛被执法部门关闭之前,他是 Darkode 的最后一批管理员之一。执法行动导致 70 人被逮捕、搜查或指控。
调查人员表示,Fubar 参与分发恶意软件、黑客网站,以及盗窃和出售个人身份信息、支付卡和银行账户凭证。
当执法人员搜查他的住所时,发现他拥有近3万人被盗的信用卡信息。
司法部于 2022 年表示,麦考密克已同意协助执法部门起诉其他达科德成员。
麦考密克因 RICO 共谋罪(12 个月)和严重身份盗窃罪(6 个月)被判处 18 个月监禁,该男子已认罪。他承认,他参与此次行动造成了总计近68万美元的经济损失。
黑暗科德被摧毁后,曾有过几次复活尝试,但均未成功。
Zimbra 零日漏洞被用来攻击政府电子邮件
谷歌威胁分析小组 (TAG) 周四透露,今年早些时候,Zimbra 协作套件零日漏洞被利用来窃取多个国家政府组织的电子邮件数据。
该漏洞的存在(编号为 CVE-2023-37580)于 7 月中旬被公开,当时 Zimbra 向客户通报了其电子邮件服务器解决方案。
该缺陷被描述为反射型跨站点脚本 (XSS) 错误,允许攻击者通过向目标组织发送包含特制 URL 的电子邮件来执行恶意代码。
为了成功执行该漏洞,目标用户需要在通过 Zimbra 会话身份验证时单击恶意链接。
在 Zimbra 于 7 月 25 日宣布发布官方补丁后不久,谷歌的 TAG 警告称已观察到野外利用行为,但没有分享有关攻击的任何信息。
这家互联网巨头现已透露,它于 6 月 29 日发现了首个利用 CVE-2023-37580 的活动。该活动针对希腊的一个政府组织,攻击者利用先前记录的框架来窃取电子邮件和附件。该框架还可用于自动将电子邮件转发到攻击者控制的地址。
在 Google 发现这一活动大约一周后,Zimbra 于 7 月 5 日向其 GitHub 存储库发布了针对该漏洞的修补程序,但官方补丁尚未发布。
随后,7 月 11 日,谷歌观察到第二次利用 Zimbra 零日攻击的活动,这次的目标是摩尔多瓦和突尼斯的政府组织。该公司将这些攻击与Winter Vivern联系起来,这是一种俄罗斯 APT,因利用 Zimbra 漏洞而闻名,其中包括针对北约国家的攻击。
Zimbra 于 7 月 13 日发布了安全公告,警告客户有关该漏洞的信息。然而,在 7 月 25 日官方补丁发布之前,谷歌遇到了第三次攻击活动,该活动针对的是越南的一个政府组织。在这种情况下,攻击者利用该漏洞将用户带到网络钓鱼页面,指示他们输入网络邮件凭据。
Zimbra 发布补丁后,谷歌发现了第四次攻击活动,目标是巴基斯坦的一个政府组织。
谷歌表示:“发现至少四个利用 CVE-2023-37580 的活动,这是该漏洞首次公开后的三个活动,这表明组织尽快对其邮件服务器进行修复的重要性。”
它补充说:“这些活动还强调了攻击者如何监控开源存储库,以伺机利用修复程序位于存储库中但尚未发布给用户的漏洞。在修复程序被推送到 Github 之后,但在 Zimbra 公开发布带有修复建议的建议之前,第 2 号活动背后的参与者就开始利用该漏洞。”
CISA 的已知利用漏洞目录包括其他七个 Zimbra 协作套件缺陷,其中大部分于 2022 年发现。
>>>错与罚<<<
原文始发于微信公众号(祺印说信安):丰田疑似CitrixBleed 漏洞遭勒索软件攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论