根據英國資安公司 X Cyber Group 的執行長Matt Lane 表示,在美國時間的周2,發現 REvil 入侵了 Fimmick 的數據庫,據指Fimmick的數據庫中有來自多個全球品牌的數據,操作REvil勒索軟體的駭客在其揭秘網站Happy Blog中,上傳盜來的數據目錄,名單上有 Cetaphil、麥當勞、可口可樂、Adidas和 Kate Spade、 Acuvue等企業。
資安公司 Recorded Future的勒索軟體專家Allan Liska 表示,留意到行銷公司相較容易受到攻擊,尤其是網路釣魚攻擊,因為他們經常接觸不同類型的客戶,並會收到大量帶有附件的電子郵件,而這正正是勒索軟體組織最喜歡的初始接觸受害者的方法,去年至少有其他三間行銷公司(Wieden+Kennedy、MBA Group 和 Empirical Research Partners)受到勒索軟體的攻擊,但Liska 又指,被攻擊的行銷公司的實際數量可能還要更多,但與學校或醫院不同,當行銷公司受到勒索軟體攻擊時,它很少成為頭條新聞。 McAfee 在最近發布的深度威脅研究報告Ransomware’s Increasing Prevalence中指出,REvil勒索軟體是占2021年第二季勒索軟體攻擊的檢測量第1名,總檢測量為73%,第2和3名攻擊最兇的勒索軟體分別是RansomEXX和Ryuk。
Nobelium駭客組織是去年針對 SolarWinds 的 Orion 軟體的大規模供應鏈攻擊的幕後黑手。從那以後,微軟持續追踪Nobelium攻擊的活動,其中包括在 5 月份冒充美國國際開發署 (US Agency for International Development ; USAID) 的電子郵件活動。最近,微軟威脅情報中心 (MSTIC) 表示,Nobelium組織使用名為 FoggyWeb 的新型惡意軟體,用於盜竊憑證來獲得對 AD FS 伺服器的管理員級別的存取權限。微軟表示早於2021 年 4 月,已發現FoggyWeb後門的蹤跡,並已通知了觀察到成為目標或受到威脅的客戶。
FoggyWeb 是一種針對性強的後門,允許濫用SAML token,並為參與者定義的 URI 配置 HTTP 偵聽器,以攔截發送到與自定義 URI 模式匹配的AD FS 伺服器的 GET/POST 請求,從而從受感染的 AD FS伺服器中遠端竊取敏感數據。它還可以從C2伺服器接收其他惡意命令,並在受害者的伺服器上執行它們。微軟說,Nobelium利用FoggyWeb後門遠端滲透受感染的 AD FS 伺服器中的配置數據庫、解密的Token-Signing 憑證和Token-Decryption憑證,以及下載和執行其他組件。
微軟提供有關FoggyWeb的入侵指標Indicators of compromise (IOCs):
