《安联智库-网安周报》2022-08-28

1、AR滤镜违规采集人脸信息 Snap或需支付2.4亿元和解金

 8 月 27 日消息，据华尔街日报报道，当地时间周四，DoorDash 报告了一起数据泄露事件，涉及该公司的用户和配送员等信息。

DoorDash 表示，被读取的信息包括客户姓名、电子邮件地址、送货地址和电话号码、订单信息和部分支付卡信息。此外，DoorDash 工作人员的姓名、电话号码或电子邮件地址也被泄露。

不过，DoorDash 指出，受影响的人数只占该公司持有信息的“很小百分比”。在被问及此事时，DoorDash 的一名发言人不愿提供更具体的数字。

据 DoorDash 介绍，该公司调查了此次入侵事件，并认定“未经授权的一方使用窃取的供应商员工身份验证信息获得了我们部分内部工具的权限”。

8月26日消息，位于北美洲的多米尼加共和国突遇横祸，农业部下属机构Instituto Agrario Dominicano（IAD）受到Quantum勒索软件攻击，导致该机构内多个服务及工作站被加密锁定。

IAD技术总监Walixson Amaury Nuñez向当地媒体表示，“对方开价超过60万美元。我们这边被锁定的包括四台物理服务器和八台虚拟服务器，几乎是我们的全部服务器设备了。”Núñez还透露，“由于数据库、应用程序和电子邮件等都受到了影响，信息已经全面泄露。

IAD告诉当地媒体，他们的系统上只装有防病毒软件之类最基础的安全软件，并且没有专门的网络安全部门。

据Bleeping Computer8月24日消息，一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合，以入侵企业高管的 Microsoft 365 帐户，其中包括受多因素身份验证 （MFA） 保护的帐户。

Mitiga 的研究人员在一次事件响应案例中发现了这一活动，这是一种典型的商业电子邮件泄露攻击，目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信，并在适当的时候回复电子邮件，将大笔资金交易转移到他们控制的银行账户。

在攻击开始时，攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件，并附有新的付款指令，这些指令会切换到由攻击者控制的银行账户。

在Mitiga例举的一个攻击样例中，对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件，（DocuSign 是一种在企业环境中广泛使用的电子协议管理平台），虽然电子邮件没有通过 DMARC 检查，但 Mitiga 发现， DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时，受害者会被带到一个欺骗域上的网络钓鱼页面，要求收件人登录到 Windows 域。

攻击者被认为使用网络钓鱼框架（例如 Evilginx2 代理）来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间， Evilginx2 等工具充当代理，位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间，当受害者输入他们的凭证并解决 MFA 问题时，代理会窃取 Windows 域生成的Cookie。这时，可以将偷来的Cookie加载到他们自己的浏览器中，自动登录到受害者的账户中，并绕过MFA。

由于有效Cookie可能会过期或被撤销，因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户，这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。

在 Mitiga 看到的案例中，攻击者添加了一部手机作为新的身份验证设备，以确保他们可以不间断地访问受感染的帐户。据研究人员称，攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志，他们没有对受害者的收件箱采取任何行动，大概只是阅读电子邮件。

然而，攻击者可能正在等待合适的时机注入他们自己的电子邮件，以将发票付款转移到攻击者控制的银行账户中