根据美国财政部周一发给国会议员的一封信，财政部表示，第三方软件提供商 BeyondTrust 于 12 月 8 日通知它，称一名黑客获得了安全密钥，允许攻击者远程访问员工工作站和存储在其上的机密文件。 BeyondTrust 是一家网络安全公司，专门从事特权访问管理 （PAM） 和安全远程访问解决方案。该公司的SaaS产品被政府机构、科技公司、零售和电子商务实体、医疗保健组织、能源和公用事业服务提供商以及银行业使用。 “根据现有指标，该事件被归咎于高级持续威胁 （APT） 行为者。”财政部负责管理的助理部长 Aditi Hardikar 在信中说。 财政部没有具体说明受影响的工作站数量或被黑客攻击的文档类型。它也没有说明黑客活动是何时发生的。 财政部补充说，受感染的服务已下线，目前没有证据表明攻击者能够继续访问财政部信息。根据财政部的政策，归因于 APT 的入侵被视为重大网络安全事件。 本月早些时候，有报告称 BeyondTrust 已被黑客入侵了远程支持 实例（https://www.bleepingcomputer.com/news/security/beyondtrust-says-hackers-breached-remote-support-saas-instances/）。威胁组织利用被盗的远程支持 SaaS API 密钥重置了本地应用程序帐户的密码，并获得了对系统的进一步特权访问。 在调查了这次攻击后，BeyondTrust 发现了两个0day漏洞，即 CVE-2024-12356 和 CVE-2024-12686，这些漏洞允许攻击者入侵并接管远程支持 SaaS 实例。 由于财政部是其中一个受感染实例的客户，因此威胁组织能够使用该平台访问客户计算机并远程窃取文档。在 BeyondTrust 检测到违规行为后，他们关闭了所有受损的实例并撤销了被盗的 API 密钥。 财政部表示，它正在与 FBI 和美国网络安全和基础设施安全局 （CISA） 合作解决入侵问题。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/XJHv5-cPQV1plDn78rGeXw 封面来源于网络，如有侵权请联系删除

Termite 勒索软件团伙正式宣称对软件即服务（SaaS）提供商 Blue Yonder 的11 月攻击负责。Blue Yonder（前身为 JDA Software，作为 Panasonic 子公司运营）是总部位于亚利桑那州的供应链软件供应商，为零售商、制造商和物流供应商提供全球服务。 该公司拥有超过 3000 名客户，包括微软、雷诺、拜耳、乐购、联想、 DHL 、3M 、Ace Hardware 、宝洁、嘉士伯、多尔、沃尔格林、西部数据和 7-Eleven 等其他知名公司。 BleepingComputer 此前曾听说 Termite 是对 Blue Yonder 进行攻击的幕后黑手，但尚无独立证实。此事件导致该公司软件的客户遭遇故障浪潮，包括美国咖啡连锁店星巴克、英国莫里森和英国 Sainsbury’s 超市链，原因是 Blue Yonder 托管环境的服务受到干扰。 星巴克表示，在勒索软件攻击影响跨越 10000 家门店的员工工作安排跟踪软件后，他们不得不手动支付咖啡师的工资。法国钢笔制造商 BIC 也因出货延迟而受到影响，而莫里森透露这一事件对其新鲜食品的仓库管理系统有所影响。 根据该公司官方的安全事件追踪页面上于周末新增的更新，Blue Yonder 已经重新上线一些受影响的客户，并正在与外部网络安全专家合作，帮助其他客户恢复正常的业务运营。 一周前，Blue Yonder 表示，其团队正在“日以继夜地努力应对此事件，并继续取得进展”。虽然该公司尚未透露有多少客户受到影响，攻击者是否从其受损系统中窃取了任何数据，但 Termitr 勒索软件团伙现在声称对此次攻击负责，并称他们窃取了 680GB 的文件。 “我们的团队获得了 680GB 的数据，如数据库转储、用于未来攻击的电子邮件列表（超过 16000 个）、文档（超过 200000 份）、报告和保险文件”，威胁行为者在其泄漏网站上声称。 Termitr 是一个新兴的勒索软件行动，根据威胁情报公司 Cyjax 的说法，该行动于 10 月中旬出现，并在其暗网门户上列出了来自世界各行各业的七个受害者，包括 Blue Yonder 在内。 与其他勒索软件团伙一样，这个网络犯罪团伙从事数据窃取、勒索和加密攻击。根据趋势科技的说法，他们正在使用在 2021 年9 月泄漏的 Babuk 加密程序的一个版本，将在受害者的加密系统上放置一个名为“How To Restore Your Files.txt”的赎金提示。 趋势科技还表示，由于存在代码执行缺陷，Termitr 的勒索软件加密程序仍然处于未完善状态，可能会过早终止。 Blue Yonder 的一位发言人表示，该公司正在调查勒索软件窃取数据的指控。“遭受勒索软件攻击后，Blue Yonder 与外部网络安全公司合作，加强了防御和取证协议。我们已经通知了受运营干扰影响的客户，并在整个恢复过程中与他们合作。” “我们知道有一家未经授权的第三方声称从我们的系统中获取了某些信息。我们正在与外部网络安全专家共同努力解决这些指控。调查仍在进行中。”     转自Freebuf，原文链接：https://www.freebuf.com/news/417312.html 封面来源于网络，如有侵权请联系删除

近日，勒索软件组织Omega成功对某企业使用的SaaS应用（SharPoint Online）发动了勒索攻击，整个攻击（数据泄露）过程高度自动化且没有攻击任何端点。 据报道该事件的网络安全公司Obsidian的创始人Glenn Chisholm介绍，这可能是业界发现的首个针对企业使用的SaaS服务的自动化勒索攻击。 Chisholm指出，对于勒索软件攻击的防护，企业过去依赖端点安全投资，但最新的攻击表明，仅仅确保端点安全还远远不够，因为越来越多的企业在SaaS应用程序中存储和访问数据。 在此次攻击中，攻击者利用了受害企业的安全性较差的SharPoint服务账户凭证（不仅可以通过互联网公开访问，而且没有启用MFA）。并利用SharePoint Online提供的网站集管理功能（多个网站共享管理设置并拥有相同的管理员账户，该功能在拥有多个业务功能和部门的大型企业中很常见），在2小时内批量删除了200个其他管理员账户。 凭借自行分配的权限，攻击者随后使用自动化脚本从受害企业的SharePoint Online库中获取了数百个文件，并将它们发送到与俄罗斯一家Web托管公司相关联的虚拟专用服务器(VPS)主机。 Chisholm表示，Obsidian在过去六个月中观察到的针对企业SaaS环境的攻击比前两年的总和还多。他说，攻击者日益增长的兴趣很大程度上源于这样一个事实，即企业越来越多地将受监管的、机密或敏感信息放入SaaS应用程序中，而没有实施与端点技术相同的控制。 根据AppOmni最新发布的报告，自2023年3月1日以来，针对Salesforce社区站点和其他SaaS应用程序的SaaS攻击增加了300%。主要的攻击途径包括过多的访客权限、过多的对象和字段权限、缺乏MFA以及对敏感数据的过度访问权限。Odaseva去年进行的一项研究显示，48%的受访者表示他们的组织在过去12个月内经历过勒索软件攻击，超过一半的攻击(51%)的目标SaaS数据。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/Ol8RxdK1RUAOTT4ycMC5Zg 封面来源于网络，如有侵权请联系删除

Bleeping Computer网站8月23日消息，根据Palo Alto Networks Unit 42的一份调查报告，研究人员发现，攻击者滥用合法软件即服务 (SaaS) 平台创建钓鱼网站的行为正在激增，数据显示，从 2021 年 6 月到 2022 年 6 月，这种滥用行为大幅增加了 1100%。 SssS为网络钓鱼行为提供了一些便利，包括规避电子邮件安全系统的检测、享受高可用性以及无需学习编写代码来创建看似合法的网站。此外，由于 SaaS 平台简化了创建新站点的过程，攻击者可以轻松切换到不同的主题、扩大或多样化其运营。 Unit 42 将被滥用的平台分为六类：文件共享、调查表单器、网站生成器、笔记和文档编写平台以及个人档案。Palo Alto Networks 记录了所有类别的滥用增长。 按类别分类的 SaaS 平台滥用增长情况 Unit 42 报告解释说，多数情况下，攻击者直接在被滥用的服务上托管他们的凭证窃取页面，而在一些特定情况下，托管在被滥用服务上的登录页面本身并不包含凭证窃取表单，相反，攻击者通过一个重定向步骤将受害者带到另一个站点。 钓鱼网站可以托管在一个不回应删除请求的防弹主机服务提供商（BPH）上，因此，钓鱼行为者遵循这种做法，在牺牲转化率的同时增加活动的正常运行时间。如果最终的凭证窃取页面被删除，攻击者可以简单地更改链接并指向新的凭证窃取页面，保证钓鱼行为的持续性。 研究认为，阻止对合法 SaaS 平台的滥用非常困难，这也是 SaaS如此适合网络钓鱼活动的原因所在。对于用户而言，还是要牢记在被要求输入账户凭证时确保网站 URL 的正规性。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342743.html 封面来源于网络，如有侵权请联系删除