周报

  1. Microsoft 安全博客报告俄罗斯背景的黑客组织 Void Blizzard (又称为 Laundry Bear). 该组织针对欧洲和北美的政府, 国防, 交通, 媒体, 非政府组织和医疗机构等开展入侵活动, 一旦成功进入组织网络就会窃取大量的电子邮件和文件, 4 月份 Microsoft 的威胁情报部门发现该组织开始通过电子邮件等方式发送伪造的账号登录门户直接诱骗获取登录凭据. [1]
  2. 卡巴斯基发布博客文章报告了一起利用 Microsoft 365 商业版订阅通知发送垃圾和钓鱼邮件的安全事件. 攻击者通过购买时自定义的账单地址提交了钓鱼消息主体, Microsoft 则直接将将感谢邮件连带着有问题的账单地址发送给了目标受害者. 恶意消息中包含一个电话号码, 如果受害者进一步拨打了电话, 则会被诱导安装一个可执行应用, 攻击者开始执行下一步动作. 由于邮件来自 Microsoft 官方的事务邮件地址, 所以这类邮件基本上不可能被以任何形式的邮件网关过滤. [2]
  3. 美国联邦调查局(FBI)发布警告, 名为 Luna Moth (又称为 Chatty Spider, Silent Ransom Group (SRG), Storm-0252 或 UNC3753) 的攻击组织正在针对性对律师事务所发起社会工程学攻击. 该组织自 2022 年以来就在活跃, 一开始攻击者会通过电子邮传播带有电话联系方式的垃圾邮件(比如不明的大额账单), 诱骗受害者主动回拨其中的电话, 电话中会要求受害者安装远程控制软件后开始窃取信息. 但今年 3 月开始, 攻击者改变了攻击策略, 开始冒充公司的 IT 部门员工直接拨打电话给公司员工, 要求员工加入远程控制会话, 取得设备控制权限后会使用 Rclone 和 WinSCP 等工具窃取数据. 由于攻击者使用的是正常的远程控制软件比如 AnyDesk 和 Zoho Assist 使得攻击意图很难被安全软件察觉, 攻击者还会使用帮助台系统注册与公司名称近似的域名进行攻击. FBI 敦促公众, 需要警惕与外部 IP 建立连接的 WinSCP 或者 Rclone, 不知名组织声称的数据被盗邮件, 主动提供号码要求回拨以取消账单的订阅服务通知邮件以及擅自拨打过来的自称为 IT 部门员工的电话. [3]
  4. 爱尔兰航空公司 Logix Aero Ireland 遭遇 BEC 诈骗损失超过 82 万美元. 该公司主营航空发动机贸易, 去年这家公司本来与泰国公司 Siam Aero Repair 达成了两台发动机的交易, 但后来攻击者使用了仿冒的域名逐渐介入了电子邮件会话, 最终会话被攻击者在中间截断, 双方都认为正在与正确的收件人对话, 最终货款被错误汇至攻击者的越南银行账户. [4]
  5. Google 继续强化 AI 在 Gmail 中的应用深度, 引发了更多的隐私担忧. 早前 Workspace Gmail 就已经提供了 AI 摘要功能但需要用户手动点击得到输出, 而现在 AI 还会自行决定何时为何种邮件将会生成摘要(比如较长的电子邮件讨论线程或包含多条回复的邮件), Gmail 的 AI 会在新回复进入收件箱的时候自动更新摘要. 该功能目前仅提供给 Gmail 移动客户端, 管理员可以调整用户的默认设置为用户初始关闭这个自动摘要功能. [5]

注释

  1. New Russia-affiliated actor Void Blizzard targets critical sectors for espionage | Microsoft Security Blog ↩︎

  2. How scammers exploit genuine Microsoft business notifications ↩︎

  3. Hackers Are Calling Your Office: FBI Alerts Law Firms to Luna Moth's Stealth Phishing Campaign ↩︎

  4. Fraudsters stole $800k from Irish firm after sneaking into email exchanges | Irish Independent ↩︎

  5. Gmail’s AI summaries now appear automatically | The Verge ↩︎

许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。

分享文章

快来参与讨论吧~