企业的SharePoint Online遭到勒索软件0mega锁定，发动资料破坏

　　入侵企业的文件共享系统并进行文件加密的攻击行动，最近出现新的手法！有安全企业披露一波针对SharePoint Online而来的勒索软件0mega攻击，黑客先是劫持Microsoft 365的全局管理员账号（Global Admin Account），然后创建高权限账号来下载、删除文件，再留下勒索消息。

　　MFT文件共享系统MOVEit Transfer零时差漏洞攻击传出黑客开始向受害组织进行勒索，并要求依照指示限期联系、谈妥价格及付款，否则就要公开窃得的资料。但受害规模仍不得而知。

　　开放重定向漏洞（Open Redirect Vulnerability）的情况也值得我们留意。有研究人员发现美国太空总局（NASA）的网站出现此类漏洞，但在今年1月就有人通报，截至5月仍未修补。

　　勒索软件0mega锁定企业的SharePoint Online发动攻击

　　安全企业Obsidian披露锁定微软SharePoint Online的勒索软件攻击，相较于以往的攻击，最新的这波0mega行动相当不同，因为对方并非先入侵目标组织的用户计算机，或是侵入被映射的磁盘、再加密要同步到SharePoint Online的文件，而是锁定未激活双重验证（2FA）、公开的微软全局系统管理员服务账号（Global Admin Account）进行劫持。

　　攻击者会在受害组织的AD加入名为0mega的用户账号，此账号被上述遭到入侵的管理员账号授给多项Microsoft 365特殊权限，包含全局管理员、SharePoint管理员、Exchange管理员、Teams管理员。

　　在其中一起攻击行动里，黑客利用这个名称的账号，删除原本的管理员账号，并且在2个小时之内，在SharePoint Online执行超过200次的文件删除作业，而删除这些资料之前，黑客也借由NPM组件SPPull下载到租用的VPS主机，然后上传PREVENT-LEAKAGE.txt勒索消息。

　　因MOVEit Transfer漏洞而遭勒索软件Clop攻击的组织，可能有数百家之多

　　微软于6月5日指出勒索软件黑客Clop是MOVEit Transfer零时差漏洞攻击的主谋，该组织也于隔日向安全新闻网站Bleeping Computer表明是他们所为，现在传出黑客开始向受害组织进行勒索。

　　根据安全新闻网站The Record的报道，Clop于6月7日早上发出勒索信，要求受害组织依照指示，在6月12日（后来改成14日）前联系他们，该组织将会提供部分资料进行验证，且要在3天讲定价格，否则资料将在7天后公开。值得留意的是，这些黑客声称有数百家企业受害，但究竟实际规模为何？仍不得而知。

　　美国太空总局网站出现开放重定向漏洞，可被用于将用户引导至恶意网站

　　安全新闻网站Cybernews的研究人员发现，美国太空总局（NASA）的网站出现开放重定向漏洞（Open Redirect Vulnerability），而有可能被黑客用于假借该机构的名义，将用户重新引导至恶意网站。

　　研究人员指出，他们并非首度发现相关漏洞的人──在1月14日已有漏洞奖金猎人通报此事，但到了5月这项漏洞仍旧存在。不过，目前无法确认上述漏洞是否遭到利用。

　　PowerShell恶意软件PowerDrop锁定美国航空产业而来

　　安全企业Adlumin披露名为PowerDrop的PowerShell恶意程序，黑客锁定美国的太空产业而来，通过PowerShell和WMI，在受害组织的网络里部署RAT木马程序。

　　研究人员指出，虽然他们怀疑发动攻击的是国家级黑客，但根据黑客所使用的程序代码，他们不只使用APT黑客的手法，也有部分运用现成恶意软件的情况。

　　VMware网络分析工具出现重大漏洞

　　VMware于6月7日针对旗下网络分析系统Aria Operations for Networks（原名vRealize Network Insight）发布安全公告，总共修补3个漏洞，分别为命令注入漏洞CVE-2023-20887、RCE漏洞CVE-2023-20888、资讯泄漏漏洞CVE-2023-20889，CVSS风险评分依次为9.8、9.1、8.8。

　　值得留意的是，这些漏洞没有其他的缓解措施，该公司呼吁用户要尽快套用修补程序。

　　本田汽车集团API弱点暴露经销商资料及内部文件

　　研究人员Eaton Zveare在本田汽车集团的电子商务网站里，发现重设密码的API存在漏洞，而能借由该漏洞重设任意账号的密码，访问该集团旗下的动力设备、船只、花园业务部门的经销商资料。

　　研究人员依循上述的弱点，能够随意修改该公司旗下1,570个经销商网站内容，变更3,588个经销商账号的密码，并访问经销商电子邮件1,090封，以及顾客电子邮件（内置完整姓名）11,034封，此外，研究人员还能访问该集团的财务报告，以及部分经销商的Stripe、PayPal、Authorize.net的密钥。

　　研究人员于3月16日进行通报，本田于4月3日修复完成，不过，由于该公司没有经营漏洞悬赏项目，这名研究人员并未得到奖励。

　　Google Cloud、Workspace开始支持Passkey无密码登录

　　6月6日Google宣布扩大Passkey支持范围，用户可以此种无密码的方式登录Google Workspace和Google Cloud账户。该公司提到，他们是第一个支持通行密钥登录的公有云服务供应商。根据Google早期采用的资料显示，使用Passkey的登录速度是密码的两倍，错误率更是降低4倍。

　　密码管理解决方案企业1Password推出浏览器Passkey扩展组件公开测试版

　　密码管理解决方案企业1Password推出浏览器的Passkey支持组件测试版本，让用户上网的过程可通过这类身份验证机制来访问各式网络服务。此扩展组件可支持Chrome、Firefox、Edge、Brave、Safari浏览器，并能在执行Windows、macOS、Linux操作系统的计算机上运行。

　　ChatGPT爆红引发相关安全疑虑！安全企业Palo Alto Networks半年内看到相关域名注册增178%、每天有118个恶意URL

　　Barracuda表示遭到零时差漏洞攻击的邮件安全网关设备应立即更换

　　思科VPN用户端程序出现漏洞，若不修补恐被用于取得SYSTEM权限

　　恶意软件LonePage锁定乌克兰政府机关及媒体而来

　　涉嫌销售冒牌思科网络设备的人士遭起诉，不法所得超过1亿美元

　　《6月7日》 Outlook云计算邮件服务中断，疑遭受黑客组织Anonymous Sudan的DDoS攻击所致

　　《6月6日》 MFT文件共享系统MOVEit Transfer出现零时差漏洞攻击，微软指出是黑客组织Clop所为

　　《6月5日》 Camaro Dragon利用后门程序TinyNote攻击外交单位

　　举报/反馈