【安全头条】Lapsus$涉嫌微软、英伟达、Okta黑客攻击被捕

1、Lapsus$涉嫌

微软、英伟达、Okta

黑客攻击被捕

当Lapsus$data勒索团伙宣布其几名成员正在度假时，伦敦市警方表示，他们已经逮捕了七名与该团伙有关的个人。据信，英国牛津的一名未成年人是该组织的领导者之一，该组织泄露了英伟达、三星、微软和Okta等知名公司的封闭源代码和专有数据。Lapsus$还声称攻击游戏开发商育碧软件、电信公司沃达丰和电子商务巨头Mercado。

该组织新发布的公开信息称，其部分成员将休假至3月30日。目前尚不清楚Lapsus$有多少会员，但从他们的电报聊天中得到的线索似乎表明，有些会员会说英语、俄语、土耳其语、德语和葡萄牙语。伦敦市警方在向英国广播公司发表的一份声明中表示，他们逮捕了7名年龄在16岁至21岁之间的人，“与对一个黑客组织的调查有关”，所有人都在接受调查。目前还没有公布任何名字，但一些Lapsus$会员的真实身份已经被对手黑客篡改了一段时间。其中一人是一名化名为White/Breakbase的青少年，17岁，来自英国牛津，据信他通过黑客活动积累了超过300 BTC（按今天的价值计算约1300万美元），SIM卡交换就是其中之一。据称，怀特在赌博中损失了很大一部分财富，他们的系统没有受到保护，两次遭到黑客攻击。[点击“阅读原文”查看详情]

2、Morgan Stanley客户账户

在社会工程攻击中被破解

摩根士丹利的财富和资产管理部门摩根士丹利财富管理公司（Morgan Stanley Wealth Management）表示，该公司的一些客户的账户在社会工程攻击中遭到了破坏。

账户违规是vishing（又名语音网络钓鱼）。vishing是一种社会工程攻击，骗子在语音通话中假冒可信实体（本例中为摩根士丹利），以说服目标泄露或交出银行或登录凭据等敏感信息。该公司在发给受影响客户的通知中称，“2022年2月11日或前后”，一名冒充摩根士丹利的威胁行为人在欺骗他们提供其摩根士丹利在线账户信息后，进入了他们的账户。在成功破解他们的账户后，攻击者还通过使用Zelle支付服务发起支付，以电子方式将资金转移到他们自己的银行账户。

”2021年7月，摩根斯坦利披露了一个数据泄露事件，在Calp RunsWavy帮派窃取属于其客户的个人信息后，黑客入侵了摩根斯坦利的第三方供应商之一的GuestHealsAccess FTA服务器。摩根士丹利是美国领先的投资银行和全球金融服务公司，在全球范围内提供投资银行、证券、财富和投资管理服务。其客户名单包括来自全球41多个国家的公司、政府、机构和个人。[点击“阅读原文”查看详情]

3、网络钓鱼工具

不断演变，以躲避安全软件

网络犯罪论坛上出售的现代网络钓鱼工具包作为现成的软件包，具有多个复杂的检测绕过和流量过滤系统，以确保互联网安全解决方案不会将其标记为威胁。互联网上有大量模仿知名品牌的虚假网站引诱受害者，窃取他们的支付细节或账户凭证。这些网站中的大多数都是使用网络钓鱼工具包构建的，这些工具包具有品牌标识、逼真的登录页面，如果是高级产品，则是由一组基本元素组合而成的动态网页。

由于其提供的自动化功能，威胁参与者广泛使用网络钓鱼工具，因为他们通常每天必须建立数百个假网站，以替换前一天检测到并阻止的网站。然而，这并不意味着这些工具包的作者不努力加入反检测系统，以帮助他们保持更长时间的运行。

卡巴斯基报告说，在2021，它发现了至少469个支持至少120万个钓鱼网站的钓鱼网络工具包。正如这家安全公司强调的那样，包括反机器人、反检测和地理拦截功能的复杂网络钓鱼工具的数量不断增加。这些网站的URL通过电子邮件、即时消息、论坛帖子，甚至YouTube视频传播，所以要小心。[点击“阅读原文”查看详情]

4、用于交付RAT恶意软件的

恶意Microsoft Excel加载项

研究人员报告称，新版本的JSSLoader远程访问木马正在恶意的Microsoft Excel加载项中分发。这种特殊的RAT（remote access木马）自2020年12月以来一直在传播，与出于财务动机的黑客组织FIN7（也称为“Carbanak”）有关。JSSLoader是一个小型的轻量级RAT，可以执行数据过滤、建立持久性、获取和加载额外的有效负载、自动更新自身等等。

Morphisec实验室的威胁分析人员观察到了最新的一次涉及更隐蔽的新版JSSLoader的活动，他们说，目前的传递机制是利用XLL或XLM附件钓鱼电子邮件。滥用Excel XLL加载项并不是什么新鲜事，因为它们通常用于合法目的，例如将数据导入工作表或扩展Excel的功能。

然而，在正在进行的活动中，威胁参与者使用一个未签名的文件，因此Excel将向受害者显示一个关于执行该文件的风险的明确警告。启用时，XLL文件使用xlAutoOpen函数中的恶意代码将自身加载到内存中，然后从远程服务器下载负载，并通过API调用作为新进程执行。[点击“阅读原文”查看详情]

5、南非希望通过生物识别

检查来对抗SIM卡交换

南非独立通信管理局（ICASA）提交了一份提案，以解决该国的SIM卡交换攻击问题，建议当地服务提供商保留手机号码所有者的生物识别数据。通过这样做，Vodacom和MTN等电信公司将能够使用这些数据来确认请求号码转移操作的人是合法所有者。

SIM卡交换攻击对全球所有国家和服务提供商来说都是个问题，它允许威胁参与者将用户的号码转移到攻击者的SIM卡上，实质上是劫持用户帐户。根据ICASA昨天发布的提案，反SIM交换系统将按如下方式工作：在电信公司网络上激活移动电话号码（现有号码也将被视为新号码）时，被许可方（服务提供商）必须确保其收集并将订户的生物特征数据链接到该号码。被许可方必须确保始终持有指定手机号码的当前生物特征数据。被许可方收集的生物特征数据必须仅用于认证分配了移动号码的用户。[点击“阅读原文”查看详情]