由于网络攻击，南非矿业巨头Sibanye Stillwater被迫隔离其全球IT系统，导致该集团的全球业务部分中断。
7月12日，全球最大的铂金和黄金生产商之一、南非矿业巨头西班耶斯蒂尔沃特(Sibanye Stillwater)最近透露，其全球IT系统遭到了网络攻击。该公司已向利益相关者发出通知，称其已实施安全措施，以隔离其it系统并保护关键数据。该通知称，“公司一发现这一事件，就立即实施了紧急措施，主动隔离it系统，并根据我们的事件响应计划保护数据。”“虽然对该事件的调查仍在进行中，但可以确认的是，该事件对集团全球业务的干扰非常有限。”该公司强调，他们非常重视此类事件，并致力于解决这次暴露的安全漏洞。该公司进一步表示，“我们自愿向相关监管机构报告这一事件，并将在必要时提供进一步的更新。”斯班耶静水业务遍及五大洲，是铂金和黄金生产领域的全球领导者，市值605亿兰特(约244亿人民币)。

南非的网络威胁形势日益严峻
在对这家矿业巨头的攻击之前，南非已经发生了一系列针对知名组织的网络犯罪攻击。例如，南非包装巨头南派克(Nampak)在2024年3月遭遇了数据泄露。Nampak公司表示:“尽管拥有强大的嵌入式安全协议，但未知的第三方仍然可以访问其IT系统。”由于此次入侵，公司被迫采取备用人工补偿控制措施，以维持持续运营，解决入侵问题。与此同时，该公司不得不将中期业绩的发布推迟一个月。2024年7月初，南非标准银行(Standard Bank of South Africa)遇到了广泛的问题，原因是一些客户账户被错误地标记为欺诈性账户，随后被禁止。在客户对这种情况表示愤怒后，该银行被迫否认其遭受了数据泄露。相反，它将问题归咎于月底交易量激增，导致其呼叫中心的响应延迟。受到攻击的南非组织并不局限于私营公司。2024年6月底，南非国家卫生实验室服务(NHL)遭遇数据泄露，被迫关闭其IT系统。攻击者留言称自己是黑服黑客组织。

研究人员最近发现了声称能够出售2024年巴黎夏季奥运会门票的钓鱼网站。该网站自称是“体育和演出门票的二级代理”。
研究人员向奥组委官网确认，该网站为诈骗网站，并与域名服务商合作，迅速处置该域名。这个网站只是众多与奥运会有关的恶意网站之一。法国国家宪兵队声称发现了338个虚假的奥运票务网站。其中，51家网站被关闭，140家网站收到执法部门的通知。
研究人员发现的这个假网站在其主页上列出了许多奥运项目。当用户点击体育卡时，他们会被重定向到相应的门票销售页面，在那里他们可以选择门票并付款。
这个欺诈性网站似乎允许用户创建购买和销售门票的账户。该网站的整体设计与其他知名票务网站非常相似，使受害者相信该网站的合法性。
该网站可能试图窃取资金，甚至个人信息(姓名、电子邮件地址、电话号码)和信用卡信息，这些信息来自想要购买或出售奥运门票的团体。
该域名主要通过黑帽SEO进行推广和传播，在垃圾邮件中没有发现大规模传播的迹象，只有少数邮件提到了该域名。攻击者可能会向少数受害者发送电子邮件，声称对他们感兴趣的门票提供“折扣价格”。研究人员无法确定攻击者是如何获得受害者的电子邮件地址的，但用户可以在注册帐户或购买门票时提供他们的电子邮件地址。

归因
研究人员无法将攻击归咎于任何已知的攻击者，在调查过程中，他们还发现了另一个与他们共享基础设施和设计的网站。该网站已经被投诉和举报了数百次，这些受害者都表示，他们在付款后没有收到门票。

总结
攻击者经常利用热点事件进行欺诈，奥运会也不例外。由于其外观是一个专门出售奥运门票的网站，毫无戒心的用户可能会点击恶意网站。此外，搜索引擎的背书也增强了用户的合法性意识。想要购买2024年巴黎奥运会和残奥会门票的用户，请查看官方票务网站。

近日，电信巨头AT&T宣布，其系统在2022年5月至10月期间遭受了严重的数据泄露攻击，影响了大量移动用户的通话和短信记录，以及一些使用AT&T网络的无线服务提供商的客户数据。该事件成为近年来又一起重大的私人通信数据泄露事件，引起了公众对个人信息安全的深切关注。

根据AT&T的说法，虽然泄露的数据不直接包括通话内容、短信详细信息、客户出生日期和社会安全号码等敏感信息，但有“公开可用的在线工具”可能将泄露的数字信息与个人身份联系起来，这无疑增加了用户隐私泄露的风险。值得注意的是，这是AT&T今年第二次曝光大规模数据泄露事件，今年3月约有7300万客户数据泄露到“暗网”。
面对严峻的形势，AT&T迅速启动了内部和外部调查，并与执法机构密切合作。到目前为止，至少有一名涉案人员已被逮捕。与此同时，该公司正在采取措施关闭非法接入点，努力遏制数据泄露的进一步蔓延。
这一事件再次将美国电信行业的客户数据保护问题推到了风口浪尖。去年年底，美国联邦通信委员会(Federal Communications Commission)升级了数据泄露通知规则，旨在加强电信公司保护敏感客户信息的责任，增强客户在数据泄露后的自我保护能力。然而，频繁的数据泄露事件表明，行业内的数据安全保护体系仍有待加强。

据Hackread网站报道，7月12日，黑客组织NullBulge在臭名昭著的网络犯罪和黑客平台Breach Forums上发表声明，声称入侵了迪士尼，泄露了1.1 TiB (1.2TB)的Slack内部数据。

据报道，这一未经证实的泄露包含了该公司开发团队使用的Slack通信的完整副本，包括Slack工作空间内交换的消息、文件和其他数据。

黑客组织进一步声称，转储文件包括“近10000个频道，所有可能的消息和文件，未发布的项目，原始图像，代码，登录，内部API/网页链接等。

NullBulge在Breach论坛上的演讲

NullBulge还通过X(以前的Twitter)宣布了这次所谓的黑客攻击，称:“Di Ni的整个开发Slack被转储，涉及1.1 TiB (1.2 TB)的文件和聊天信息

NullBulge组织的起源尚不清楚，但其官方网站声称该组织致力于保护艺术家的权利。有传言称NullBulge可能与LockBit勒索软件组织有关，因为他们似乎使用了LockBit泄露的生成器。

NullBulge在推特上的声明

Hackread.com已经联系了迪士尼对此发表评论。《华尔街日报》首先报道了这一事件，并检查了据称由纳尔伯克获得的文件，其中包括“至少可追溯到2019年的有关迪士尼网站维护、软件开发、求职者评估、ESPN内部新兴领导力计划和员工对话的数据”。

根据ASRC(亚洲垃圾邮件研究中心)和寿内安公司的监测和观察，2024年第二季度，网络攻击的分工将越来越细致。从攻击趋势分析来看，可以将其明确分为两个阶段:初始入侵阶段和后续的横向或深度攻击阶段。初始入侵主要通过漏洞利用或凭证泄露进行。获取泄露凭证的一个重要方法是通过网络钓鱼邮件。本季度，我们需要特别警惕网络钓鱼邮件。年中，很多单位会进行社会工程演练，这会增加信息安全或IT部门的负担，所以要特别注意防护。此外，上一季度的主流二维码网络钓鱼邮件攻击在本季度仍在继续，未来很可能演变为常态化的攻击方式。

以下是本季度的特殊攻击示例介绍:

01
用于钓鱼邮件的必应服务
合法服务一直是网络钓鱼邮件的目标，因为网络钓鱼邮件中的超链接是他们最关键和最容易识别的部分。最近，我们发现Bing的服务被用来代替网络钓鱼邮件中的超链接。

通过必应的链接，受害者将首先被定向到一个恶意网站中继，然后重定向到实际的恶意页面。此恶意页面将直接显示受害者的电子邮件，并模仿Gmail的登录页面，主要目的是欺骗电子邮件登录账号和密码!更有趣的是，在第一次输入密码后，页面会更新一次，使受害者误以为输入不成功;第二次进入时，会直接重定向到Gmail的登录页面，这可能是为了提高找回密码的准确性。

02
很难区分真假的网络钓鱼邮件
一些网络钓鱼邮件会被修改为真实的通知邮件，甚至包括警告链接，以防止欺诈。整个邮件中的大部分超链接都指向真实的网站;但只有一个关键的超链接，将导致一个真正的网络钓鱼网站!这对受害者和扫描机制来说都有些欺骗性。

03
虚假侵权警告攻击邮件
本季度，我们还观察到带有假冒侵权警告的攻击电子邮件。这些电子邮件是精心制作的，侵权内容的证据似乎是确凿的，高度欺骗性的!但这些邮件来自Gmail，正式的商务通信或重要通知通常不会通过免费电子邮件发送。在收到这类邮件时，只要冷静判断，就能发现其中的异常。涉及金钱和法律等重大事件的电子邮件必须通过官方和合法渠道进行核实;千万不要因为一时的冲动而随意点击邮件中的联系方式或超链接，也不要贸然下载相关文件。

这封邮件主要是诱使受害者下载他们编写的“侵权证据文件”，但黑客不希望自动扫描机制介入并检查文件内容。因此，在正式下载文件之前，需要进行“人机验证”，验证成功后才能下载压缩文件。

在这个压缩文件中，有三个文件，其中最重要的是可执行PE文件，其图标已被替换为PDF图标，以引诱受害者打开PDF文件DLL文件是Remcos的后门;和另一个。解压缩后的Info文件会变得非常大，这可能会干扰扫描和检查机制。Remcos的常见部署方法是将其嵌入伪装成pdf的恶意ZIP文件中，声称包含发票或订单;其后门功能包括规避反病毒检查、权限升级、数据收集等。

后记
一项调查显示，发送探索性的社交工程练习电子邮件可能会让员工感到紧张和压力，但这可能对识别真正的网络钓鱼或攻击电子邮件没有太大帮助;相反，通过实例进行教育培训，可以更好地增强员工的安全意识和识别能力!网络钓鱼或网络钓鱼邮件都是基于社会工程的攻击方式，所以这种攻击很容易利用受害者的好奇、恐惧、时间压力或其他心理压力，导致受害者疏忽。
面对千变万化的网络钓鱼邮件，仅凭外观很难区分真假邮件!但网络钓鱼或诈骗电子邮件的通常方法是希望受害者确认或执行某种操作