1、“停业”近5个月后，Emotet僵尸网络再度回归作乱

外媒消息，在经历了近5个月的“假期”之后，Emotet僵尸网络再次开始攻击活动。

Cryptolaemus研究人员报告称，美国东部时间11月2日凌晨4:00左右，Emotet僵尸网络再次活跃，并向全球的邮件地址发送垃圾邮件。该活动使用被盗的电子邮件回复链接来分发恶意Excel附件，以各种语言和文件名针对全球用户，伪装成发票、扫描件、电子表格等诱饵。此外，活动还引入了一个新的Excel附件模板，其中包含绕过Microsoft受保护视图的说明。[阅读原文]

2、经销商遭黑客入侵后，沃达丰意大利披露数据泄露

CVodafone Italia正在向客户发送数据泄露通知，通知他们其商业合作伙伴之一 FourB SpA 在该国作为电信服务的经销商运营，已成为网络攻击的受害者。

根据通知，网络攻击发生在 9 月的第一周，导致敏感用户详细信息泄露。具体泄露信息涉及订阅详细信息、带有敏感数据的身份证件和联系方式。在公开声明中，CVodafone Italia称暂时没有任何帐户密码或网络流量数据因此事件而受到损害。[阅读原文]

3、LockBit勒索软件团伙宣称黑入大陆汽车集团

LockBit 勒索软件组织宣称已入侵德国跨国汽车零部件制造公司Continental（大陆汽车）。目前，该勒索软件组织已将Continental添加到其Tor泄漏站点，并威胁称不支付赎金就会公布涉嫌被盗数据。

据透露，LockBit勒索软件团伙将支付赎金的截止时间定在了11月4日15:45:36，在此时间前如未收到赎金，将公布所有可用数据。媒体报道称，Continental集团曾在2022年8月24日披露过黑客攻击时间，但强调其IT系统并未受攻击事件影响。目前，尚不清楚Lockbit勒索软件组织是否应对大陆集团 2022 年 8 月 24 日披露的攻击事件负责。[阅读原文]

4、供应链攻击，250+家美国新闻网站惨变恶意软件“扩散器”

近日，威胁攻击者 TA569入侵了一家媒体公司，进而通过美国数百家报纸网站传播FakeUpdates 恶意软件。

Proofpoint Threat Research研究人员称，威胁攻击者 TA569间歇性地向一家为许多主要新闻媒体提供服务的媒体公司注入恶意代码。由于 媒体公司通过 Javascript 向其合作伙伴提供视频内容和广告，而攻击者修改了Javascript，进而在美国数百家报纸网站上部署了FakeUpdates 恶意软件，即SocGholish ，导致受感染网站的访问者感染了伪装成虚假浏览器更新的恶意软件负载（即 Chromе.Uрdatе.zip、Chrome.Updater.zip、Firefoх.Uрdatе.zip、Operа.Updаte.zip、Oper.Updte.zip）。

该安全公司透露，超过 250 家美国新闻媒体受到此次供应链攻击的影响，其中包括主要新闻机构的网站，受影响的媒体机构则涉及纽约、波士顿、芝加哥、迈阿密、华盛顿特区等地的主要新闻媒体。[阅读原文]

5、RomCom远控木马冒充合法软件传播扩散

近日，RomCom RAT（远程访问木马）背后的威胁攻击者更新了攻击向量，目前正通过冒充知名软件应用的方式分发传播。

安全研究人员分析称，RomCom RAT威胁攻击者创建了克隆SolarWinds Network Performance Monitor (NPM)、KeePass 密码管理器和 PDF Reader Pro 等流行软件的官方下载门户网站，通过冒充的行为伪装合法应用分发恶意软件。据悉，除了复制HTML代码来重现真实站点外，黑客还注册了拼写错误的“相似”域，以进一步增加恶意站点的真实性。[阅读原文]

6、Crimson Kingsnake团伙冒充律师事务所进行BEC攻击

近日，一个名为“Crimson Kingsnake”的商业电子邮件泄露 (BEC) 组织，通过冒充国际知名律师事务所，诱骗收件人批准逾期发票付款，实施网络诈骗。实施攻击活动过程中，威胁攻击者冒充律师发送逾期付款的发票。

据悉，这种仿冒方法使 BEC 参与者能够通过乍一看似乎真实的地址向受害者发送电子邮件。这些电子邮件包含假冒实体的徽标和信笺抬头，并且经过专业制作，并具有准时的写作特点。[阅读原文]