导 读
亚马逊网络服务公司(AWS)周四宣布,已查获俄罗斯威胁组织 APT29 在网络钓鱼攻击中使用的域名。
据这家云计算巨头称, APT29使用的某些域名的名称表明它们是 AWS 域名。然而,亚马逊及其客户的凭证并未成为攻击目标。
AWS 表示,这些攻击的目的是通过 Microsoft 远程桌面收集 Windows 凭证。目标包括政府机构、企业和军事组织。
AWS 首席信息安全官 CJ Moses表示:“在了解到这一活动后,我们立即启动了查封 APT29 滥用的冒充 AWS 的域名的程序,以阻止该操作。”
乌克兰的 CERT-UA 针对这些攻击发布了一份咨询报告(https://cert.gov.ua/article/6281076,以乌克兰语撰写)并通知了 AWS,根据该报告,此次行动似乎于 8 月份开始。
APT29 发出电子邮件,提及与亚马逊和微软服务的集成,以及零信任架构的实施。
这些消息传递了 RDP 配置文件,这些文件在执行后将授予攻击者对受感染设备的远程访问权限,包括访问本地磁盘、打印机、网络资源和剪贴板,并使攻击者能够在系统上运行恶意应用程序和脚本。
CERT-UA 表示,此次攻击针对的是乌克兰和其他国家。
APT29 也被称为 Cozy Bear、Dukes、Nobelium 和 Yttrium,与俄罗斯对外情报局 (SVR) 有关联。它是俄罗斯最知名的网络间谍组织之一,与多起备受瞩目的攻击有关。
谷歌安全研究人员最近报告称,APT29使用的漏洞与商业间谍软件制造商 NSO Group 和 Intellexa 使用的漏洞相同或非常相似。
AWS官方博客:https://aws.amazon.com/cn/blogs/security/amazon-identified-internet-domains-abused-by-apt29/
新闻链接:
https://www.bleepingcomputer.com/news/security/mandiant-says-new-fortinet-fortimanager-flaw-has-been-exploited-since-june/
今日安全资讯速递
APT事件
Advanced Persistent Threat
Mandiant 称 Fortinet 的新漏洞自 6 月起被利用
https://www.bleepingcomputer.com/news/security/mandiant-says-new-fortinet-fortimanager-flaw-has-been-exploited-since-june/
微软警告称外国虚假信息正从各个方向影响美国大选
https://www.wired.com/story/microsoft-russia-china-iran-election-disinformation/
美情报官员表示:俄罗斯网络部队可能煽动选举后暴力事件
https://cybernews.com/news/us-intelligence-russia-post-election-violence/
AWS 查获俄罗斯黑客组织 APT29 使用的域名
https://www.securityweek.com/aws-seizes-domains-used-by-russias-apt29/
针对乌克兰政府和军队的最新攻击活动中使用了恶意 RDP 文件
https://thecyberexpress.com/rogue-rdp-files-used-in-ukraine-cyberattacks/
Lazarus 黑客通过一款虚假 DeFi 游戏利用Chrome 0day漏洞
https://www.bleepingcomputer.com/news/security/lazarus-hackers-used-fake-defi-game-to-exploit-google-chrome-zero-day/
一般威胁事件
General Threat Incidents
黑客出售 3.5 亿 Hot Topic 客户的记录
https://cybernews.com/security/hackers-put-350m-hot-topic-customers-records-for-sale/
保险管理公司 Landmark Admin 披露数据泄露事件影响 80 万人
https://www.securityweek.com/landmark-admin-discloses-data-breach-impacting-800000-people/
RansomHub 团伙涉嫌袭击墨西哥13个机场的运营商
https://therecord.media/ransomhub-gang-behind-attack-mexican-airport-operator
勒索软件 Qilin.B 新变种出现,加密和规避策略有所改进
https://thehackernews.com/2024/10/new-qilinb-ransomware-variant-emerges.html
Black Basta 勒索软件冒充 Microsoft Teams 的 IT 支持人员入侵网络
https://www.bleepingcomputer.com/news/security/black-basta-ransomware-poses-as-it-support-on-microsoft-teams-to-breach-networks/
Henry Schein 在勒索软件攻击一年后披露数据泄露事件
https://www.bleepingcomputer.com/news/security/henry-schein-discloses-data-breach-a-year-after-ransomware-attack/
OnePoint 患者护理数据泄露影响近 80 万人
https://www.securityweek.com/onepoint-patient-care-data-breach-impacts-nearly-800000-people/
Change Healthcare勒索软件攻击影响 1 亿人
https://www.securityweek.com/change-healthcare-ransomware-attack-impacts-100-million-people/
漏洞事件
Vulnerability Incidents
Nvidia 修补 Windows、Linux 图形驱动程序中的高严重性漏洞
https://www.securityweek.com/nvidia-patches-high-severity-flaws-in-windows-linux-graphics-drivers/
思科发布紧急修复程序,修复 ASA 和 FTD 软件中遭主动攻击的漏洞
https://thehackernews.com/2024/10/cisco-issues-urgent-fix-for-asa-and-ftd.html
西门子和施耐德电气产品中发现严重漏洞
https://thecyberexpress.com/cyble-ics-vulnerability-report/
研究人员发现 Wi-Fi 联盟测试套件中存在命令注入漏洞
https://thehackernews.com/2024/10/researchers-discover-command-injection.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):AWS 查获俄罗斯黑客组织 APT29 使用的域名
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论