三六零CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

https://www.bleepingcomputer.com/news/security/over-100-us-and-eu-orgs-targeted-in-strelastealer-malware-attacks/

安全事件周报 2024-03-25 第13周

Mon, 01 Apr 2024 19:14:00 +0800

原创 360CERT 2024-04-01 19:14 四川

安全事件周报 2024-03-25 第13周

赶紧点击上方话题进行订阅吧！

报告编号：CERT-R-2024-775

报告来源：360CERT

报告作者：360CERT

更新日期：2024-04-01

事件导览

本周收录安全热点62项，话题集中在安全分析、恶意软件、安全漏洞，主要涉及的实体有：Hot Topic等，主要涉及的黑客组织有：TA450等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

事件目录

恶意软件
StrelaStealer恶意软件大规模入侵
SentinelOne揭示俄罗斯军事情报部门使用的新型擦除型恶意软件变种
俄罗斯威胁行为者利用WINELOADER后门攻击德国政党
SentinelLabs发现AcidPour恶意软件新变种
Kimsuky利用CHM文件传送恶意软件关键词
AcidRain的新型嵌入式擦除器变种AcidPour在乌克兰出现
分析Peach Sandstorm组织的FalseFont后门
Konni组织针对虚拟货币行业投递AutoIt恶意软件
首个针对AMD Zen架构CPU的Rowhammer攻击变种ZenHammer问世
TheMoon 恶意软件在 72 小时内感染了 6,000 台华硕路由器以提供代理服务
与工业间谍活动有关的恶意 NuGet 软件包瞄准开发人员
警报：新的网络钓鱼攻击会发送伪装成银行付款通知的键盘记录程序
Linux 版本的 DinodasRAT 在多个国家/地区的网络攻击中被发现
新的 ZenHammer 攻击绕过了 AMD CPU 上的 RowHammer 防御

数据安全
INC RANSOM 窃取了苏格兰国家医疗服务体系 (NHS) 的 3TB 数据

网络攻击
Panera Bread遭遇全国性IT系统故障
Top.gg Discord bot社区遭受供应链攻击
APT29使用WINELOADER攻击德国政党
白俄罗斯政府遭UAC-0050攻击
INC Ransom 威胁泄露 3TB 苏格兰 NHS 被盗数据
黑客利用冒充空军邀请函的恶意软件攻击印度国防和能源部门
芬兰指责黑客组织 APT31 对议会网络攻击负责
零售连锁店 Hot Topic 遭遇新的凭证填充攻击

安全漏洞
Pwn2Own Vancouver 2024竞赛中Firefox零日漏洞被解决
CISA和FBI发布“安全设计指南”以应对SQL注入漏洞
苹果M系列芯片存在GoFetch漏洞
德国警告称，1.7 万台易受攻击的 Microsoft Exchange 服务器已在线暴露
Fortinet、Ivanti 和 Nice 产品中的漏洞正受到积极利用
谷歌：2023 年 50% 零日漏洞背后是间谍软件供应商
CISA 将 Microsoft SharePoint RCE 漏洞标记为正在被利用
Google 修复了 Pwn2Own 2024 上被利用的 Chrome 零日漏洞
CISA 警告：黑客正在积极攻击 Microsoft SharePoint 漏洞
Microsoft Edge 漏洞可能允许攻击者悄悄安装恶意扩展程序
尚未修补的 Ray AI 平台关键漏洞被利用进行加密货币挖矿
已有十年历史的 Linux“墙”漏洞可帮助制造虚假的 SUDO 提示并窃取密码

安全分析
揭示TinyTurla的完整杀伤链
APT-C-09（摩诃草）组织以巴基斯坦联邦税务局为诱饵的攻击活动分析
中东地区网络欺诈活动激增
TA450攻击大型跨国组织的以色列员工
Tycoon 2FA：新型钓鱼攻击工具
Google新算法推荐欺诈网站
Google Play 上的免费 VPN 应用将 Android 手机变成代理
黑客在 Telegram 上出售名为“GEOBOX”的定制 Raspberry Pi 软件
黑客利用 Ray 框架漏洞入侵服务器、劫持资源
针对俄罗斯公司的网络间谍组织PhantomCore
APT-C-43（Machete）组织疑向更多元化演变
新的 Darcula 网络钓鱼服务通过 iMessage 攻击 iPhone 用户
APT37组织的RoKRAT无文件攻击行动
APT组织疑似利用OA漏洞批量攻击国内资产预警
Darcula 网络钓鱼网络利用 RCS 和 iMessage 逃避检测
思科警告针对 VPN 服务的密码喷洒攻击

行业动向
微软计划限制俄罗斯组织对云产品的访问
苹果新功能推动欧盟用户增长164%
葡萄牙强制暂停世界币收集生物特征数据
indows 11 KB5035942 更新启用 Moment 5 功能
澳大利亚政府在遭受重大攻击后加大网络安全力度
NIST 宣布成立新联盟运营国家漏洞数据库
PyPI 暂停新用户注册以阻止恶意软件活动

其他事件
德国当局成功摧毁非法地下市场"Nemesis Market"
美国制裁三家加密货币交易所
美国男子因数千次骚扰电话被罚款 990 万美元
CISA和FBI敦促技术制造公司高管加强软件安全防护

恶意软件

StrelaStealer恶意软件大规模入侵

日期: 2024-03-25
标签: 信息技术, StrelaStealer

一场新的大规模StrelaStealer恶意软件活动已经影响了美国和欧洲的100多家组织，试图窃取电子邮件账户凭据。StrelaStealer最初于2022年11月被记录为一种新的信息窃取恶意软件，从Outlook和Thunderbird中窃取电子邮件账户凭据。该恶意软件的一个显著特征是使用多语言文件感染方法来规避安全软件的检测。根据Palo Alto Networks的Unit42最近的报告，StrelaStealer最初瞄准西班牙语用户。然而，现在该恶意软件的目标已经转向美国和欧洲人。StrelaStealer通过钓鱼活动传播，2023年11月显示出显著增加，有些日子针对美国的组织超过250家。钓鱼邮件的分发量持续增加到2024年，Unit42分析人员在2024年1月底至2月初记录到了显著的活动高峰。在此期间的某些日子，美国的攻击次数超过了500次，而Unit42表示他们已经确认了至少100起在美国和欧洲的受损情况。恶意软件运营商使用英语和其他欧洲语言来调整他们的攻击。大多数受攻击的实体属于“高科技”领域，其次是金融、法律服务、制造业、政府、公用事业和能源、保险和建筑等行业。

详情

https://www.bleepingcomputer.com/news/security/over-100-us-and-eu-orgs-targeted-in-strelastealer-malware-attacks/

SentinelOne揭示俄罗斯军事情报部门使用的新型擦除型恶意软件变种

日期: 2024-03-25
标签: 信息技术, AcidPour, 擦除型恶意软件

研究人员发现了俄罗斯军事情报部门在2022年2月入侵乌克兰之前使用的更危险、更普遍的擦除型恶意软件的变种。这个新变种名为"AcidPour"，与之前的版本有多个相似之处，但是针对X86架构编译，而不是像之前的"AcidRain"那样针对MIPS架构系统。SentinelOne的研究人员发现，新的擦除型软件也包括用于攻击比"AcidRain"更广泛范围目标的功能。

详情

https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware

https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware

俄罗斯威胁行为者利用WINELOADER后门攻击德国政党

日期: 2024-03-25
标签: 信息技术, WINELOADER后门

俄罗斯关联的威胁行为者最近利用WINELOADER后门发动攻击，针对德国政党。2023年2月底，Mandiant研究人员发现，与俄罗斯有关的APT29组织利用WINELOADER后门的新变种，以CDU主题诱饵攻击德国政党。这是Mandiant首次观察到APT29子集群针对政党进行攻击，表明他们对典型的外交任务以外的目标产生了兴趣。被攻击实体收到伪装成邀请参加3月1日晚宴招待会的钓鱼邮件，邮件中附有德国基民盟（CDU）的标志。

详情

https://securityaffairs.com/160975/apt/russia-apt29-german-political-parties-wineloader.html

https://securityaffairs.com/160975/apt/russia-apt29-german-political-parties-wineloader.html

SentinelLabs发现AcidPour恶意软件新变种

日期: 2024-03-25
标签: 信息技术, AcidPour恶意软件

SentinelOne的威胁情报团队SentinelLabs发现了AcidRain的新变种AcidPour。AcidRain是一种破坏性的擦除型恶意软件，被归属于俄罗斯军事情报部门。2022年5月，AcidRain被用于针对乌克兰Viasat的KA-SAT卫星的大规模网络攻击。这种恶意软件使乌克兰的KA-SAT调制解调器失效，并在俄罗斯入侵初期在整个欧洲造成了额外的破坏。AcidPour与AcidRain有相似之处，但它似乎扩展了AcidRain的能力和破坏潜力，包括对Linux Unsorted Block Image (UBI)和Device Mapper (DM)逻辑的攻击。技术分析表明，AcidPour的扩展功能使其能够更好地禁用运行Linux x86发行版的嵌入式设备，包括网络、物联网(IoT)、大型存储(RAIDs)，可能还包括工业控制系统(ICS)设备。

详情

https://www.infosecurity-magazine.com/news/acidpour-wiper-linux-ukraine/

https://www.infosecurity-magazine.com/news/acidpour-wiper-linux-ukraine/

Kimsuky利用CHM文件传送恶意软件关键词

日期: 2024-03-25
标签: 信息技术, Kimsuky, CHM文件

与朝鲜有关的威胁行为者Kimsuky（又称Black Banshee、Emerald Sleet或Springtail）改变了其策略，利用编译的HTML帮助（CHM）文件作为传送恶意软件的载体，用于窃取敏感数据。Kimsuky自2012年以来一直活跃，以韩国为目标，并且还瞄准了北美、亚洲和欧洲的机构。攻击链通常利用武器化的Microsoft Office文档、ISO文件和Windows快捷方式（LNK）文件，同时该组织还使用CHM文件在受感染的主机上部署恶意软件。据Rapid7称，该公司以中等的信心将这一活动归因于Kimsuky，并指出过去观察到了类似的技术手法。Rapid7表示，这些攻击正在持续发展，并且瞄准了韩国的机构。此外，该公司还发现了一种利用CHM文件作为起点的替代感染序列，该序列使用批处理文件来收集信息，并使用PowerShell脚本连接到C2服务器并传输数据。

详情

https://thehackernews.com/2024/03/n-korea-linked-kimsuky-shifts-to.html

https://thehackernews.com/2024/03/n-korea-linked-kimsuky-shifts-to.html

AcidRain的新型嵌入式擦除器变种AcidPour在乌克兰出现

日期: 2024-03-25
标签: 信息技术, APT舆情

SentinelLabs发现了AcidRain的一种新型恶意软件变体，该擦除器使Eutelsat KA-SAT调制解调器在乌克兰无法运行，并在俄罗斯入侵开始时在整个欧洲造成了额外的干扰。新恶意软件AcidPour扩展了AcidRain的功能，破坏性潜力现在包括Linux未排序块映像(UBI)和设备映射器(DM)逻辑，更好地针对RAID阵列和大型存储设备。分析证实了AcidRain和AcidPour 之间的联系，有效地将其与之前公开归因于俄罗斯的威胁集群连接起来。CERT-UA还将这一活动归因于Sandworm子集群。AcidPour的具体目标尚未得到最终验证。

详情

https://www.sentinelone.com/labs/acidpour-new-embedded-wiper-variant-of-acidrain-appears-in-ukraine/

https://www.sentinelone.com/labs/acidpour-new-embedded-wiper-variant-of-acidrain-appears-in-ukraine/

分析Peach Sandstorm组织的FalseFont后门

日期: 2024-03-25
标签: 信息技术, APT舆情

本文回顾了最近发现的FalseFont后门，该后门被疑似与伊朗有关联的威胁组织使用，Unit 42将其追踪为Curious Serpens。Curious Serpens是一个著名的间谍组织，此前曾以航空航天和能源领域为目标。FalseFont是Curious Serpens武器库中的最新工具。分析的样本显示了威胁组织如何模仿合法的人力资源软件，使用虚假的工作招聘流程来欺骗受害者安装后门。本文重点分析新发现的FalseFont后门及其功能。

详情

https://unit42.paloaltonetworks.com/curious-serpens-falsefont-backdoor/

https://unit42.paloaltonetworks.com/curious-serpens-falsefont-backdoor/

Konni组织针对虚拟货币行业投递AutoIt恶意软件

日期: 2024-03-26
标签: 信息技术, Konni, APT舆情

近期奇安信威胁情报中心发现以虚拟货币行业监管条例和法律文档为诱饵的攻击样本，疑似针对韩国地区的虚拟货币行业参与者。Zip压缩包中包含两个文件，其中一个为正常文档，另一个是伪装为文档的LNK（快捷方式）文件。如果受害者因为试图查看文档内容而点击LNK文件，LNK文件将暗中释放并执行一系列恶意脚本，收集受害者信息回传C2服务器，同时从C2服务器下载AutoIt恶意软件。根据攻击者使用的攻击手法和恶意代码的特点，将此次攻击活动归为Konni组织。

详情

https://mp.weixin.qq.com/s/JBX6AGPPGEPzo4SqcN9n9A

https://mp.weixin.qq.com/s/JBX6AGPPGEPzo4SqcN9n9A

首个针对AMD Zen架构CPU的Rowhammer攻击变种ZenHammer问世

日期: 2024-03-26
标签: 信息技术, AMD Zen CPU

近期，学术研究人员开发了ZenHammer，这是首个针对基于AMD Zen微架构的CPU的Rowhammer DRAM攻击变种，能够映射到DDR4和DDR5内存芯片的物理地址。AMD Zen芯片和DDR5内存模块此前被认为对Rowhammer攻击的脆弱性较低，因此最新的研究结果对此观点提出了挑战。

详情

https://www.bleepingcomputer.com/news/security/new-zenhammer-memory-attack-impacts-amd-zen-cpus/

https://www.bleepingcomputer.com/news/security/new-zenhammer-memory-attack-impacts-amd-zen-cpus/

TheMoon 恶意软件在 72 小时内感染了 6,000 台华硕路由器以提供代理服务

日期: 2024-03-27
标签: 信息技术, TheMoon

人们发现“TheMoon”恶意软件僵尸网络的新变种感染了 88 个国家的数千台过时的小型办公室和家庭办公室 (SOHO) 路由器和物联网设备。TheMoon 与“Faceless”代理服务相连，该服务使用一些受感染的设备作为代理，为希望匿名进行恶意活动的网络犯罪分子路由流量。Black Lotus Labs 的研究人员监测了最新的 TheMoon 活动，该活动于 2024 年 3 月初开始，他们发现在不到 72 小时内就有 6,000 台华硕路由器成为攻击目标。

详情

https://www.bleepingcomputer.com/news/security/themoon-malware-infects-6-000-asus-routers-in-72-hours-for-proxy-service/

https://www.bleepingcomputer.com/news/security/themoon-malware-infects-6-000-asus-routers-in-72-hours-for-proxy-service/

与工业间谍活动有关的恶意 NuGet 软件包瞄准开发人员

日期: 2024-03-27
标签: 信息技术, SqzrFramework480

威胁搜寻者在NuGet 包管理器中发现了一个可疑包，该包很可能是针对使用由一家专门从事工业和数字设备制造的中国公司所制造的工具的开发人员而设计的。该软件包是SqzrFramework480 ，ReversingLabs 表示它于 2024 年 1 月 24 日首次发布，已被下载2,999 次。该软件供应链安全公司表示，没有发现任何其他表现出类似行为的软件包。然而，理论上，该活动很可能被用于在配备摄像头、机器视觉和机械臂的系统上进行工业间谍活动。

详情

https://thehackernews.com/2024/03/malicious-nuget-package-linked-to.html

https://thehackernews.com/2024/03/malicious-nuget-package-linked-to.html

警报：新的网络钓鱼攻击会发送伪装成银行付款通知的键盘记录程序

日期: 2024-03-28
标签: 信息技术, 键盘记录器

研究人员观察到一项新的网络钓鱼活动，它利用一种新型的加载器恶意软件来投放名为Agent Tesla 的信息窃取程序和键盘记录器。Trustwave SpiderLabs 表示，它在 2024 年 3 月 8 日发现了一封带有此攻击链的网络钓鱼电子邮件。该消息伪装成银行付款通知，敦促用户打开存档文件附件。该档案（“Bank Handlowy w Warszawie - dowód wpłaty_pdf.tar.gz”）隐藏了一个恶意加载器，该加载器会激活在受感染主机上部署 Agent Tesla 的程序。

详情

https://thehackernews.com/2024/03/alert-new-phishing-attack-delivers.html

https://thehackernews.com/2024/03/alert-new-phishing-attack-delivers.html

Linux 版本的 DinodasRAT 在多个国家/地区的网络攻击中被发现

日期: 2024-03-29
标签: 信息技术, DinodasRAT

卡巴斯基的最新发现显示，一种名为DinodasRAT的多平台后门的 Linux 版本已被发现在野外针对中国、台湾、土耳其和乌兹别克斯坦。DinodasRAT，也称为 XDealer，是一种基于 C++ 的恶意软件，能够从受感染的主机收集大量敏感数据。2023 年 10 月，斯洛伐克网络安全公司 ESET透露，圭亚那的一个政府实体已成为代号为“Jacana 行动”的网络间谍活动的目标，旨在部署该植入程序的 Windows 版本。

详情

https://thehackernews.com/2024/03/linux-version-of-dinodasrat-spotted-in.html

https://thehackernews.com/2024/03/linux-version-of-dinodasrat-spotted-in.html

新的 ZenHammer 攻击绕过了 AMD CPU 上的 RowHammer 防御

日期: 2024-03-29
标签: 信息技术, RowHammer DRAM

苏黎世联邦理工学院的网络安全研究人员开发出了 RowHammer DRAM（动态随机存取存储器）攻击的新变种，尽管采取了目标行刷新 (TRR) 等缓解措施，该攻击仍首次成功攻击了 AMD Zen 2 和 Zen 3 系统。研究人员表示：“这一结果证明，AMD 系统与英特尔系统一样容易受到 Rowhammer 的攻击，考虑到 AMD 目前在 x86 台式机 CPU 上的市场份额约为 36%，这大大增加了攻击面。 ”该技术的代号为ZenHammer，它还首次能够在 DDR5 设备上触发 RowHammer 位翻转。RowHammer于 2014 年首次公开披露，是一种众所周知的攻击，它利用 DRAM 的存储单元架构，通过反复访问特定行（又称锤击）来改变数据，导致单元的电荷泄漏到相邻单元。

详情

https://thehackernews.com/2024/03/new-zenhammer-attack-bypasses-rowhammer.html

https://thehackernews.com/2024/03/new-zenhammer-attack-bypasses-rowhammer.html

数据安全

INC RANSOM 窃取了苏格兰国家医疗服务体系 (NHS) 的 3TB 数据

日期: 2024-03-29
标签: 信息技术, 卫生行业, INC Ransom

INC Ransom 勒索团伙将苏格兰国家医疗服务体系 (NHS) 列入其 Tor 泄密网站的受害者名单。该网络犯罪团伙声称窃取了 3TB 的数据，并威胁要泄露这些数据。苏格兰 NHS，即国家医疗服务体系，是苏格兰的公共医疗体系。它提供广泛的医疗服务，包括医院、全科医生 (GP)、心理健康服务和社区医疗保健。苏格兰政府负责监督苏格兰的 NHS，其运作独立于英格兰、威尔士和北爱尔兰的 NHS 系统。“3 TB 的数据即将发布。NHSScotland 目前拥有约 140,000 名员工，他们分布在 14 个地区 NHS 委员会、7 个特别 NHS 委员会和一个公共卫生机构。每个 NHS 委员会都对苏格兰部长负责，并得到苏格兰政府卫生和社会保健局的支持。地区 NHS 委员会负责保护和改善其人口的健康，并提供一线医疗服务。特别 NHS 委员会通过提供一系列重要的专业和国家服务来支持地区 NHS 委员会。”INC Ransom 集团发布的公告写道。

详情

https://securityaffairs.com/161143/data-breach/inc-ransom-hacked-national-health-service-of-scotland.html

https://securityaffairs.com/161143/data-breach/inc-ransom-hacked-national-health-service-of-scotland.html

网络攻击

Panera Bread遭遇全国性IT系统故障

日期: 2024-03-26
标签: 住宿餐饮业, Panera Bread

美国食品连锁巨头Panera Bread自上周六以来一直经历着全国性的系统故障，影响了其包括在线订购、POS系统、电话和各种内部系统在内的IT系统。员工报告称，所有门店仍然营业，但只接受现金支付，而且奖励计划会员无法兑换积分。此外，员工排班等内部系统也无法访问。尽管公司在Facebook上向顾客致歉并表示正在努力解决问题，但网站和移动应用程序自周六以来也一直无法使用。此外，客服电话也无法接通。尽管Panera尚未就此事发表正式声明，但事件发生的时间和受影响的服务范围表明可能是遭受了网络攻击。由于周末员工较少，网络监控和异常行为检测也相对薄弱，因此网络犯罪分子常常选择在周末对组织进行攻击。

详情

https://www.bleepingcomputer.com/news/security/panera-bread-experiencing-nationwide-it-outage-since-saturday/#google_vignette

https://www.bleepingcomputer.com/news/security/panera-bread-experiencing-nationwide-it-outage-since-saturday/#google_vignette

Top.gg Discord bot社区遭受供应链攻击

日期: 2024-03-26
标签: 信息技术, 供应链攻击

Top.gg Discord bot社区成员超过17万人，受到供应链攻击的影响，旨在感染开发人员的恶意软件窃取敏感信息。攻击者多年来一直使用多种策略、技术和程序（TTPs），包括劫持GitHub账户、分发恶意Python包、使用虚假的Python基础设施和社会工程。研究人员发现，攻击者最近的受害者之一是Top.gg，这是一个受欢迎的搜索和发现平台，用于Discord服务器、机器人和其他社交工具，旨在提高参与度和改善功能。Checkmarx研究人员发现了这一活动，并指出主要目标很可能是通过出售窃取的信息来进行数据盗窃和变现。

详情

https://www.bleepingcomputer.com/news/security/hackers-poison-source-code-from-largest-discord-bot-platform/

https://www.bleepingcomputer.com/news/security/hackers-poison-source-code-from-largest-discord-bot-platform/

APT29使用WINELOADER攻击德国政党

日期: 2024-03-26
标签: 信息技术, WINELOADER, APT舆情

2024年2月下旬，Mandiant发现APT29正在开展针对德国政党的网络钓鱼活动。与可追溯到2021年的APT29行动一致，该行动利用了APT29的主要第一阶段有效载荷ROOTSAW（又名EnvyScout）来提供一个公开跟踪为WINELOADER的新后门变体。值得注意的是，这项行动背离了APT29初始访问集群以政府、外国大使馆和其他外交使团为目标的典型职权范围，也是Mandiant首次发现该APT29子集群对政党有业务兴趣。此外，虽然APT29之前使用过带有德国政府组织标志的诱饵文件，但这是第一次看到该组织使用德语诱饵内容——这可能是由于两次行动的目标差异（即国内与国外）造成的。

详情

https://www.mandiant.com/resources/blog/apt29-wineloader-german-political-parties

https://www.mandiant.com/resources/blog/apt29-wineloader-german-political-parties

白俄罗斯政府遭UAC-0050攻击

日期: 2024-03-26
标签: 信息技术, APT舆情

自2022年俄乌冲突爆发后，网络攻击已经成为这场军事战争的家常便饭，交战双方以及其他国家都遭受了不同程度的网络攻击。近日，瑞星威胁情报中心捕获到一起针对白俄罗斯政府的APT攻击事件。攻击者伪装成俄罗斯特殊材料公司会计，向白俄罗斯布雷斯特市政府人员发送钓鱼邮件，企图窃取敏感信息。通过分析攻击手法发现，此次事件的攻击者为UAC-0050组织，该组织曾以攻击乌克兰政府机构而闻名，惯用手法就是通过网络钓鱼攻击来传播恶意软件，达到窃密和远程控制的目的

详情

https://mp.weixin.qq.com/s/QaU7h-OOLeHz0UM6iB2_5w

https://mp.weixin.qq.com/s/QaU7h-OOLeHz0UM6iB2_5w

INC Ransom 威胁泄露 3TB 苏格兰 NHS 被盗数据

日期: 2024-03-28
标签: 信息技术, INC Ransom

INC Ransom 勒索团伙威胁要公布其在入侵苏格兰国家医疗服务体系 (NHS) 后窃取的 3TB 数据。网络犯罪分子在昨天的一篇帖子中分享了多张包含医疗详细信息的图片，并表示除非 NHS 支付赎金，否则他们“很快”就会泄露数据。苏格兰的 NHS 是该国的公共卫生系统，提供包括初级保健、医院护理、牙科护理、药品和长期护理等服务。INC Ransom 是 2023 年 7 月出现的数据勒索行动，目标是公共和私营部门的组织。受害者包括教育、医疗保健和政府组织，以及雅马哈摩托车等工业实体。

详情

https://www.bleepingcomputer.com/news/security/inc-ransom-threatens-to-leak-3tb-of-nhs-scotland-stolen-data/

https://www.bleepingcomputer.com/news/security/inc-ransom-threatens-to-leak-3tb-of-nhs-scotland-stolen-data/

黑客利用冒充空军邀请函的恶意软件攻击印度国防和能源部门

日期: 2024-03-28
标签: 信息技术, 政府部门, HackBrowserData

印度政府实体和能源公司已成为未知威胁行为者的目标，其目的是提供一种名为 HackBrowserData 的开源信息窃取恶意软件的修改版本，并在某些情况下使用 Slack 作为命令和控制 (C2) 窃取敏感信息。EclecticIQ 研究员 Arda Büyükkaya表示：“信息窃取者通过网络钓鱼电子邮件发送，伪装成印度空军的邀请函。”“恶意软件执行后，攻击者利用 Slack 频道作为泄露点来上传机密内部文件、私人电子邮件消息和缓存的网络浏览器数据。”这家荷兰网络安全公司从 2024 年 3 月 7 日开始观察这一活动，其代号为 Operation FlightNight，指的是对手运营的 Slack 频道。恶意活动的目标涉及印度多个政府实体，其中包括与电子通信、IT 治理和国防相关的实体。据称，威胁者已成功入侵私营能源公司，窃取财务文件、员工个人信息以及石油和天然气钻探活动的详细信息。在整个攻击过程中，总共窃取了约 8.81 GB 的数据。

详情

https://thehackernews.com/2024/03/hackers-target-indian-defense-and.html

https://thehackernews.com/2024/03/hackers-target-indian-defense-and.html

芬兰指责黑客组织 APT31 对议会网络攻击负责

日期: 2024-03-29
标签: 政府部门, APT31

芬兰警察局 (又名 Poliisi) 正式指控一名被追踪为 APT31 的中国民族国家行为者策划了 2020 年针对该国议会的网络攻击。据当局称，此次入侵发生在 2020 年秋季至 2021 年初之间。该机构称，正在进行的刑事调查既艰巨又耗时，涉及对“复杂的犯罪基础设施”进行广泛的分析。该漏洞于 2020 年 12 月首次披露，当时芬兰安全情报局 (Supo)将其描述为国家支持的网络间谍行动，旨在渗透议会的信息系统。

详情

https://thehackernews.com/2024/03/finland-blames-chinese-hacking-group.html

https://thehackernews.com/2024/03/finland-blames-chinese-hacking-group.html

零售连锁店 Hot Topic 遭遇新的凭证填充攻击

日期: 2024-03-29
标签: 批发零售, Hot Topic

美国零售商Hot Topic披露，11月份的两波凭证填充攻击暴露了受影响客户的个人信息和部分支付数据。Hot Topic 快时尚连锁店在美国和加拿大拥有超过 630 家门店、公司总部和两个配送中心，员工人数超过 10,000 名。在凭证填充攻击中，网络犯罪分子使用自动化工具，利用用户名和密码对列表触发数百万次登录尝试。当用户在多个平台上重复使用相同的登录信息时，这种技术尤其有效。

详情

https://www.bleepingcomputer.com/news/security/retail-chain-hot-topic-hit-by-new-credential-stuffing-attacks/

https://www.bleepingcomputer.com/news/security/retail-chain-hot-topic-hit-by-new-credential-stuffing-attacks/

安全漏洞

Pwn2Own Vancouver 2024竞赛中Firefox零日漏洞被解决

日期: 2024-03-25
标签: 信息技术, CVE-2024-29944, CVE-2024-29943, 零日漏洞

Mozilla在Pwn2Own Vancouver 2024黑客竞赛中解决了两个Firefox零日漏洞问题。研究人员Manfred Paul在比赛中利用了这两个漏洞，分别被跟踪为CVE-2024-29944和CVE-2024-29943。Paul通过使用OOB Write进行RCE和暴露的危险功能漏洞，成功演示了对Mozilla Firefox的沙盒逃逸，并因此获得了10个Pwn大师积分和10万美元的奖金。Mozilla发布了Firefox 124.0.1和Firefox ESR 115.9.1来解决这两个问题。Pwn2Own Vancouver 2024黑客竞赛共有29个独特的零日漏洞被展示，参与者共赚取了113.25万美元的奖金。研究人员Manfred Paul赢得了Pwn大师的称号，并获得了20.25万美元的奖金和25个积分。

详情

https://securityaffairs.com/160966/hacking/mozilla-fixed-firefox-zero-day-pwn2own-vancouver-2024.html

https://securityaffairs.com/160966/hacking/mozilla-fixed-firefox-zero-day-pwn2own-vancouver-2024.html

CISA和FBI发布“安全设计指南”以应对SQL注入漏洞

日期: 2024-03-26
标签: 信息技术, SQL注入漏洞

CISA和FBI本周表示，新的“安全设计指南”是对最近广泛利用MoveIT文件传输应用程序中的SQLi漏洞的直接回应。SQL注入漏洞允许威胁行为者将其自己的数据注入到SQL命令中，从而执行任意查询以访问数据库中的敏感信息。联合的“安全设计警报”表示：“尽管过去20年来广泛了解和记录了SQLi漏洞，以及有效缓解措施的可用性，但软件制造商仍在开发具有此缺陷的产品，这将使许多客户处于危险之中。” "自2007年以来，像SQLi这样的漏洞一直被其他人视为'不可原谅'的漏洞。尽管有这一发现，SQL漏洞（如CWE-89）仍然是一种普遍存在的漏洞类别。"

详情

https://www.darkreading.com/cyberattacks-data-breaches/cisa-seeks-to-stem-unforgivable-sql-injection-defects

https://www.darkreading.com/cyberattacks-data-breaches/cisa-seeks-to-stem-unforgivable-sql-injection-defects

苹果M系列芯片存在GoFetch漏洞

日期: 2024-03-26
标签: 信息技术, GoFetch漏洞

苹果M系列芯片存在安全漏洞，名为GoFetch，利用数据内存相关预取器（DMP）进行微架构侧信道攻击，窃取用于加密操作的密钥。该漏洞可针对常数时间的加密实现，并从CPU缓存中获取敏感数据。来自伊利诺伊大学厄巴纳-香槟分校、德克萨斯大学、乔治亚理工学院、加州大学伯克利分校、华盛顿大学和卡内基梅隆大学的七名学者小组于2023年12月发现了该漏洞，并通知了苹果公司。攻击者可以利用恶意应用程序诱使目标下载并利用GoFetch漏洞。这种攻击需要受害者和攻击者位于同一台机器的同一CPU集群上。

详情

https://thehackernews.com/2024/03/new-gofetch-vulnerability-in-apple-m.html

https://thehackernews.com/2024/03/new-gofetch-vulnerability-in-apple-m.html

德国警告称，1.7 万台易受攻击的 Microsoft Exchange 服务器已在线暴露

日期: 2024-03-27
标签: 信息技术, Microsoft Exchange 服务器

德国国家网络安全机构周二警告称，发现德国至少有 17,000 台 Microsoft Exchange 服务器暴露在网上，并且存在一个或多个严重的安全漏洞。据德国联邦信息安全局 (BSI) 称，德国约有 45,000 台 Microsoft Exchange 服务器已启用 Outlook Web Access (OWA)，可通过互联网访问。其中约 12% 的服务器仍在使用过时的 Exchange 版本（2010 或 2013），这些版本分别自 2020 年 10 月和 2023 年 4 月以来未收到安全更新。

详情

https://www.bleepingcomputer.com/news/security/germany-warns-of-17k-vulnerable-microsoft-exchange-servers-exposed-online/

https://www.bleepingcomputer.com/news/security/germany-warns-of-17k-vulnerable-microsoft-exchange-servers-exposed-online/

Fortinet、Ivanti 和 Nice 产品中的漏洞正受到积极利用

日期: 2024-03-27
标签: 信息技术, Fortinet

美国网络安全和基础设施安全局 (CISA) 周一在其已知被利用漏洞 ( KEV ) 目录中添加了三个安全漏洞，并指出有证据表明存在主动利用的情况。

添加的漏洞如下 -

CVE-2023-48788（CVSS 评分：9.3）- Fortinet FortiClient EMS SQL 注入漏洞

CVE-2021-44529（CVSS 评分：9.8）- Ivanti Endpoint Manager 云服务设备 (EPM CSA) 代码注入漏洞

CVE-2019-7256（CVSS 评分：10.0）- Nice Linear eMerge E3 系列操作系统命令注入漏洞

详情

https://thehackernews.com/2024/03/cisa-alerts-on-active-exploitation-of.html

https://thehackernews.com/2024/03/cisa-alerts-on-active-exploitation-of.html

谷歌：2023 年 50% 零日漏洞背后是间谍软件供应商

日期: 2024-03-28
标签: 信息技术, 零日漏洞

谷歌威胁分析小组 (TAG) 和谷歌子公司 Mandiant 表示，他们观察到 2023 年攻击中利用的零日漏洞数量显著增加，其中许多与间谍软件供应商及其客户有关。去年，攻击中利用的零日漏洞数量达到 97 个，与前一年的 62 个漏洞相比增长了 50% 以上。尽管有所增加，但这一数字仍低于 2021 年利用的 106 个零日漏洞的峰值。Mandiant 和 TAG 共同发现了 97 个漏洞中的 29 个，其中 61 个影响最终用户平台和产品（包括移动设备、操作系统、浏览器和各种其他应用程序）。其余 36 个漏洞则针对安全软件和设备等以企业为中心的技术。

详情

https://www.bleepingcomputer.com/news/security/google-spyware-vendors-behind-50-percent-of-zero-days-exploited-in-2023/

https://www.bleepingcomputer.com/news/security/google-spyware-vendors-behind-50-percent-of-zero-days-exploited-in-2023/

CISA 将 Microsoft SharePoint RCE 漏洞标记为正在被利用

日期: 2024-03-28
标签: 信息技术, Microsoft SharePoint

CISA 警告称，攻击者目前正在利用 Microsoft SharePoint 代码注入漏洞，该漏洞可以与严重的权限提升漏洞相结合，发动预先认证的远程代码执行攻击。该 SharePoint Server 漏洞编号为CVE-2023-24955，可使具有站点所有者权限的经过身份验证的攻击者在易受攻击的服务器上远程执行代码。第二个漏洞（CVE-2023-29357）允许远程攻击者通过使用欺骗性的 JWT 身份验证令牌绕过身份验证，获取易受攻击的 SharePoint 服务器上的管理员权限。

详情

https://www.bleepingcomputer.com/news/security/cisa-tags-microsoft-sharepoint-rce-bug-as-actively-exploited/

https://www.bleepingcomputer.com/news/security/cisa-tags-microsoft-sharepoint-rce-bug-as-actively-exploited/

Google 修复了 Pwn2Own 2024 上被利用的 Chrome 零日漏洞

日期: 2024-03-28
标签: 信息技术, Chrome 网络浏览器

谷歌周二修复了 Chrome 网络浏览器中的七个安全漏洞，其中包括在 Pwn2Own 温哥华 2024 黑客大赛期间利用的两个零日漏洞。第一个漏洞（编号为 CVE-2024-2887）是WebAssembly (Wasm) 开放标准中的一个高严重性类型混淆漏洞。Manfred Paul在 Pwn2Own 的第一天演示了此漏洞，它是使用精心设计的 HTML 页面进行的双击远程代码执行 (RCE) 攻击的一部分，目标是 Chrome 和 Edge。第二个零日漏洞被追踪为 CVE-2024-2886，由 KAIST 黑客实验室的 Seunghyun Lee 在CanSecWest Pwn2Own 竞赛的第二天利用。该漏洞被描述为 WebCodecs API 中的一个释放后使用(UAF) 漏洞，该 API 由 Web 应用程序用来编码和解码音频和视频内容，它允许远程攻击者通过精心设计的 HTML 页面执行任意读/写操作。

详情

https://www.bleepingcomputer.com/news/security/google-fixes-chrome-zero-days-exploited-at-pwn2own-2024/

https://www.bleepingcomputer.com/news/security/google-fixes-chrome-zero-days-exploited-at-pwn2own-2024/

CISA 警告：黑客正在积极攻击 Microsoft SharePoint 漏洞

日期: 2024-03-28
标签: 信息技术, CVE-2023-24955

美国网络安全和基础设施安全局 (CISA)根据在野外主动利用的证据，将影响 Microsoft Sharepoint Server 的安全漏洞添加到其已知被利用漏洞 ( KEV )目录中。该漏洞的编号为 CVE-2023-24955（CVSS 评分：7.2），是一个严重的远程代码执行漏洞，允许具有站点所有者权限的经过身份验证的攻击者执行任意代码。

详情

https://thehackernews.com/2024/03/cisa-warns-hackers-actively-attacking.html

https://thehackernews.com/2024/03/cisa-warns-hackers-actively-attacking.html

Microsoft Edge 漏洞可能允许攻击者悄悄安装恶意扩展程序

日期: 2024-03-28
标签: 信息技术, Microsoft Edge 网络浏览器

Microsoft Edge 网络浏览器中现已修补的安全漏洞可能被滥用在用户系统上安装任意扩展并执行恶意操作。Guardio Labs 安全研究员 Oleg Zaytsev 在与 The Hacker News 分享的新报告中表示：“该漏洞可能让攻击者利用最初用于营销目的的私有 API，在用户不知情的情况下秘密安装具有广泛权限的额外浏览器扩展。 ”该漏洞被编号为CVE-2024-21388（CVSS 评分：6.5），微软在 2023 年 11 月负责任地披露该漏洞后，于 2024 年 1 月 25 日发布的 Edge 稳定版本 121.0.2277.83 中解决了该问题。

详情

https://thehackernews.com/2024/03/microsoft-edge-bug-could-have-allowed.html

https://thehackernews.com/2024/03/microsoft-edge-bug-could-have-allowed.html

尚未修补的 Ray AI 平台关键漏洞被利用进行加密货币挖矿

日期: 2024-03-28
标签: 信息技术, Anyscale Ray

网络安全研究人员警告称，威胁行为者正在积极利用名为 Anyscale Ray 的开源人工智能 (AI) 平台中“有争议的”且未修补的漏洞，劫持计算能力进行非法加密货币挖掘。Oligo Security 研究人员 Avi Lumelsky、Guy Kaplan 和 Gal Elbaz表示：“该漏洞允许攻击者接管公司的计算能力并泄露敏感数据。”“过去七个月来，这一漏洞一直受到积极利用，影响到教育、加密货币、生物制药等领域。”该活动自 2023 年 9 月开始，由以色列应用安全公司代号为ShadowRay。这也是 AI 工作负载首次因 AI 基础设施的缺陷而成为攻击目标。

详情

https://thehackernews.com/2024/03/critical-unpatched-ray-ai-platform.html

https://thehackernews.com/2024/03/critical-unpatched-ray-ai-platform.html

已有十年历史的 Linux“墙”漏洞可帮助制造虚假的 SUDO 提示并窃取密码

日期: 2024-03-29
标签: 信息技术, WallEscape

Linux 操作系统的util-linux软件包中的wall命令存在一个漏洞，可能允许非特权攻击者窃取密码或更改受害者的剪贴板。该安全问题被标记为CVE-2024-28085，又被称为 WallEscape ，在过去 11 年中一直存在于该软件包的每个版本中，直到昨天发布的2.40 版。尽管该漏洞是一个有趣的例子，说明攻击者如何欺骗用户提供管理员密码，但利用该漏洞可能仅限于某些场景。攻击者需要访问已经有多个用户通过终端同时连接的 Linux 服务器，例如学生可能连接以完成作业的大学。

详情

https://www.bleepingcomputer.com/news/security/decade-old-linux-wall-bug-helps-make-fake-sudo-prompts-steal-passwords/

https://www.bleepingcomputer.com/news/security/decade-old-linux-wall-bug-helps-make-fake-sudo-prompts-steal-passwords/

安全分析

揭示TinyTurla的完整杀伤链

日期: 2024-03-25
标签: 信息技术, TinyTurla-NG, APT舆情

思科Talos提供了其最近两份报告的最新信息，该报告涉及俄罗斯间谍组织Turla部署的TinyTurla-NG(TTNG)植入程序。现在掌握了该攻击者使用的整个杀伤链的新信息，包括用于从受害者那里窃取有价值信息并通过受感染企业传播的TTP。Talos与CERT.NGO合作进行的分析表明，Turla感染了欧洲非政府组织(NGO)受感染网络中的多个系统。攻击者破坏了第一个系统，建立了持久性，并为这些端点上运行的防病毒产品添加了排除项，作为其初步的后渗透行动的一部分。Turla随后通过Chisel打开了额外的通信渠道，用于数据泄露并转向网络中其他可访问的系统。

详情

https://blog.talosintelligence.com/tinyturla-full-kill-chain/

https://blog.talosintelligence.com/tinyturla-full-kill-chain/

APT-C-09（摩诃草）组织以巴基斯坦联邦税务局为诱饵的攻击活动分析

日期: 2024-03-25
标签: 信息技术, 金融业, APT舆情

APT-C-09（摩诃草）又称、白象、Patchwork、Dropping Elephant，是一个具有南亚国家背景的APT组织，从2015年至今，该组织一直处于活跃状态，长期针对若干周边国家进行网络攻击活动，以窃取敏感信息为主。近期360高级威胁研究院再次发现了该组织针对周边国家的攻击样本，并捕获到基于C#的后门载荷，说明该组织正在对其武器库进行丰富和扩展。这类载荷在摩诃草历史攻击中比较少见，通过分析代码，发现该类组件应该是摩诃草组织新开发的第一阶段恶意后门，鉴于此情况，本文重点披露这类组件。

详情

https://mp.weixin.qq.com/s/SAt5NU-hCbS0D6jI8gkkFQ

https://mp.weixin.qq.com/s/SAt5NU-hCbS0D6jI8gkkFQ

中东地区网络欺诈活动激增

日期: 2024-03-25
标签: 信息技术, Ramadan

在Ramadan月期间，Resecurity观察到欺诈活动和诈骗显著增加，与零售和在线交易激增同时出现。中东企业面临更高风险，敦促加强消费者保护和品牌安全。沙特阿拉伯王国的消费支出超过160亿美元，电子商务活动激增，吸引了网络犯罪分子利用平台进行诈骗，对消费者和企业造成重大财务影响。Resecurity在中东为多个客户进行品牌保护，有效阻止了320多个冒充物流提供商和电子政务服务的欺诈资源。网络犯罪分子利用云托管服务创建具有人工智能的网站，以高效扩大操作规模，迅速生成新的欺诈网站。建议不要在可疑网站上分享个人和付款信息，不要相信自称银行或政府工作人员的个人。

详情

https://securityaffairs.com/161009/cyber-crime/cybercriminals-accelerate-scams-ramadan.html

https://securityaffairs.com/161009/cyber-crime/cybercriminals-accelerate-scams-ramadan.html

TA450攻击大型跨国组织的以色列员工

日期: 2024-03-25
标签: 信息技术, TA450, APT舆情

Proofpoint研究人员最近观察到TA450组织的新攻击行动，该组织使用与薪酬相关的社会工程诱饵来针对大型跨国组织的以色列员工。TA450以针对以色列实体而闻名，特别是自2023年10月以色列与哈马斯战争爆发以来，这种趋势继续延续，重点关注全球制造、技术和信息安全公司。在从3月7日开始并持续到2024年3月11日这一周的网络钓鱼活动中，TA450发送了带有包含恶意链接的PDF附件的电子邮件。虽然这种方法对TA450来说并不陌生，但攻击者最近依赖于直接在电子邮件正文中包含恶意链接，而不是添加此额外步骤。Proofpoint研究人员观察到，相同的目标会收到多封带有PDF 附件的网络钓鱼电子邮件，这些附件的嵌入链接略有不同。这些链接指向各种文件共享网站，包括Egnyte、Onehub、Sync和TeraBox。这些电子邮件还使用了可能受到损害的.IL发件人帐户，这与该攻击者最近的行动一致。

详情

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta450-uses-embedded-links-pdf-attachments-latest-campaign

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta450-uses-embedded-links-pdf-attachments-latest-campaign

Tycoon 2FA：新型钓鱼攻击工具

日期: 2024-03-26
标签: 信息技术, Tycoon 2FA, 双因素身份验证

网络犯罪分子越来越多地使用名为“Tycoon 2FA”的新钓鱼即服务（PhaaS）平台，以针对Microsoft 365和Gmail账户，并绕过双因素身份验证（2FA）保护。

Tycoon 2FA是由Sekoia分析师在2023年10月在例行威胁狩猎中发现的，但自至少2023年8月以来一直活跃，当时Saad Tycoon组通过私人Telegram频道提供了该服务。该PhaaS工具包与其他中间人攻击（AitM）平台（如Dadsec OTT）相似，表明可能存在代码重用或开发者之间的合作。

2024年，Tycoon 2FA发布了一个更隐蔽的新版本，表明了不断改进该工具包的努力。目前，该服务利用了1100个域，并已在数千次钓鱼攻击中观察到。

详情

https://www.bleepingcomputer.com/news/security/new-mfa-bypassing-phishing-kit-targets-microsoft-365-gmail-accounts/

https://www.bleepingcomputer.com/news/security/new-mfa-bypassing-phishing-kit-targets-microsoft-365-gmail-accounts/

Google新算法推荐欺诈网站

日期: 2024-03-26
标签: 信息技术, SEO毒害活动

Google最新的AI驱动的“搜索生成体验”算法推荐的网站存在欺诈行为，将访问者重定向到不需要的Chrome扩展程序、假iPhone赠品、浏览器订阅垃圾邮件和技术支持诈骗网站。这些网站通过Google搜索生成体验（SGE）推荐，使用.online域名、相同的HTML模板和重定向，显然属于同一SEO毒害活动。

详情

https://www.bleepingcomputer.com/news/google/googles-new-ai-search-results-promotes-sites-pushing-malware-scams/

https://www.bleepingcomputer.com/news/google/googles-new-ai-search-results-promotes-sites-pushing-malware-scams/

Google Play 上的免费 VPN 应用将 Android 手机变成代理

日期: 2024-03-27
标签: 信息技术, Google Play

研究人员发现，Google Play 上有超过 15 款免费 VPN 应用使用恶意软件开发工具包，该工具包可将 Android 设备变成不知情的住宅代理，可能用于网络犯罪和购物机器人。用户可能会自愿注册代理服务以获得金钱或其他奖励，但其中一些代理服务采用不道德和阴暗的手段秘密地在人们的设备上安装代理工具。一旦秘密安装，受害者的互联网带宽将在不知情的情况下被劫持，并可能因成为恶意活动的源头而面临法律麻烦。

详情

https://www.bleepingcomputer.com/news/security/free-vpn-apps-on-google-play-turned-android-phones-into-proxies/

https://www.bleepingcomputer.com/news/security/free-vpn-apps-on-google-play-turned-android-phones-into-proxies/

黑客在 Telegram 上出售名为“GEOBOX”的定制 Raspberry Pi 软件

日期: 2024-03-27
标签: 信息技术, 黑客工具

网络犯罪分子正在 Telegram 上出售名为“GEOBOX”的定制 Raspberry Pi 软件，该软件允许缺乏经验的黑客将微型计算机转换为匿名网络攻击工具。GEOBOX 在 Telegram 频道上出售，订阅费用为每月 80 美元，终身许可费用为 700 美元，以加密货币支付。

详情

https://www.bleepingcomputer.com/news/security/700-cybercrime-software-turns-raspberry-pi-into-an-evasive-fraud-tool/

https://www.bleepingcomputer.com/news/security/700-cybercrime-software-turns-raspberry-pi-into-an-evasive-fraud-tool/

黑客利用 Ray 框架漏洞入侵服务器、劫持资源

日期: 2024-03-27
标签: 信息技术, ShadowRay

一项名为“ShadowRay”的新黑客活动针对流行的开源 AI 框架 Ray 中未修补的漏洞，劫持计算能力并泄露数千家公司的敏感数据。根据应用安全公司 Oligo 的报告，这些攻击至少从 2023 年 9 月 5 日就开始了，目标是教育、加密货币、生物制药和其他领域。Ray 是由 Anyscale 开发的开源框架，用于在机器集群中扩展 AI 和 Python 应用程序，以实现分布式计算工作负载。

详情

https://www.bleepingcomputer.com/news/security/hackers-exploit-ray-framework-flaw-to-breach-servers-hijack-resources/

https://www.bleepingcomputer.com/news/security/hackers-exploit-ray-framework-flaw-to-breach-servers-hijack-resources/

针对俄罗斯公司的网络间谍组织PhantomCore

日期: 2024-03-28
标签: 信息技术, APT舆情

来自F.A.C.C.T.的专家发现了一个新的网络间谍组织，根据现有数据，该组织的活动始于2024年1月。该组织被命名为PhantomCore，因为攻击者使用一种独特的、以前未描述的远程访问木马PhantomRAT。PhantomCore对俄罗斯公司发起攻击的最初途径是包含受密码保护的RAR存档的网络钓鱼电子邮件。他们利用了WinRAR漏洞的变体CVE-2023-38831，其中使用RAR而不是ZIP存档，存档本身包含一个PDF文档和一个可执行文件所在的同名目录。尝试打开PDF文档后，将启动恶意可执行文件。最后发现的阶段是PhantomRAT远程访问木马。

详情

https://www.facct.ru/blog/phantomcore/

https://www.facct.ru/blog/phantomcore/

APT-C-43（Machete）组织疑向更多元化演变

日期: 2024-03-28
标签: 信息技术, APT舆情

APT-C-43（Machete）组织最早由卡巴斯基于2014年披露，该组织的攻击活动集中于拉丁美洲具备西班牙语背景的目标，其主要通过社会工程学开展初始攻击，使用钓鱼邮件或虚假博客进行恶意文件传播，其受害者似乎都是西班牙语群体。2020年12月，360高级威胁研究院对该组织意图窃取委内瑞拉军事机密为反对派提供情报支持的攻击活动进行了披露，披露的攻击活动中APT-C-43使用了Python编写的新后门Pyark进行攻击，同样地，此次报告中也会对该组织近年使用的新后门进行披露，同时对该组织的演变提供几分猜想。

详情

https://mp.weixin.qq.com/s/tPVw-fbu3pQvKTYMzxb4Bw

https://mp.weixin.qq.com/s/tPVw-fbu3pQvKTYMzxb4Bw

新的 Darcula 网络钓鱼服务通过 iMessage 攻击 iPhone 用户

日期: 2024-03-28
标签: 信息技术, Darcula

一种名为“Darcula”的新型网络钓鱼即服务 (PhaaS) 使用 20,000 个域名来冒充品牌并窃取 100 多个国家的 Android 和 iPhone 用户的凭证。Darcula 已被用来针对各种服务和组织，从邮政、金融、政府、税务部门到电信公司、航空公司、公用事业，为欺诈者提供超过 200 种模板可供选择。该服务的突出特点之一是，它使用 Google Messages 和 iMessage 的富通信服务 (RCS) 协议来接近目标，而不是通过短信发送网络钓鱼消息。

详情

https://www.bleepingcomputer.com/news/security/new-darcula-phishing-service-targets-iphone-users-via-imessage/

https://www.bleepingcomputer.com/news/security/new-darcula-phishing-service-targets-iphone-users-via-imessage/

APT37组织的RoKRAT无文件攻击行动

日期: 2024-03-28
标签: 信息技术, APT舆情

Genius安全中心(GSC)发现了从2024年2月12日星期一农历新年假期结束到月底期间进行的一系列APT37威胁行动。他们与Lazarus、Kimsuky和 Konni一样，是针对韩国的主要国家支持威胁组织之一。APT37持续针对朝鲜领域工作人员进行鱼叉式网络钓鱼，包括朝鲜人权组织、报道朝鲜的记者、脱北者等，通过对实际案例的深入分析，GSC确认LNK文件中嵌入的PowerShell命令在初始攻击中是一致使用的。从威胁攻击者的角度来看，这可能在某种程度上有效地避免了防病毒检测。此外，加密的RoKRAT恶意软件以无文件方式执行，收集终端信息并秘密渗漏到海外云服务器。

详情

https://www.genians.co.kr/blog/threat_intelligence/rokrat

https://www.genians.co.kr/blog/threat_intelligence/rokrat

APT组织疑似利用OA漏洞批量攻击国内资产预警

日期: 2024-03-28
标签: 信息技术, APT舆情

近期，电信安全水滴实验室通过APT狩猎监测发现，东南亚背景APT组织“海莲花”疑似利用某OA（办公自动化）系统任意文件上传漏洞（CNVD-2023-101566）批量攻击境内资产并尝试上传后门，获取攻击对象的OA系统远程控制权限，潜伏伺机展开深度攻击。水滴实验室追踪狩猎发现，“海莲花”疑似通过CNVD-2023-101566漏洞短期内批量攻击国内41个资产，上传webshell后门。追踪发现攻击对象主要分布广东、四川、福建、广西、重庆等省/直辖市/自治区。

详情

https://mp.weixin.qq.com/s/cR-T3nk2qkuBA9SXa2S-bA

https://mp.weixin.qq.com/s/cR-T3nk2qkuBA9SXa2S-bA

Darcula 网络钓鱼网络利用 RCS 和 iMessage 逃避检测

日期: 2024-03-29
标签: 信息技术, Darcula

一个名为Darcula的复杂网络钓鱼即服务 (PhaaS) 平台利用超过 20,000 个假冒域名的庞大网络，将目光瞄准了 100 多个国家的组织，帮助网络犯罪分子发动大规模攻击。Darcula 是一个中文版 PhaaS，在 Telegram 上做广告，支持大约 200 个冒充合法品牌的模板，客户可以每月支付一定费用来设置钓鱼网站并开展恶意活动。大多数模板旨在模仿邮政服务，但也包括公共和私人事业、金融机构、政府机构（例如税务部门）、航空公司和电信组织。这些钓鱼网站托管在专门注册的域名上，这些域名冒充相应的品牌名称，以增加合法性的假象。这些域名由 Cloudflare、腾讯、Quadranet 和 Multacom 提供支持。总共有 11,000 个 IP 地址上检测到了 20,000 多个与 Darcula 相关的域名，自 2024 年初以来，平均每天发现 120 个新域名。以色列安全研究员 Oshri Kalfon 于 2023 年 7 月披露了PhaaS 服务的一些方面。

详情

https://thehackernews.com/2024/03/darcula-phishing-network-leveraging-rcs.html

https://thehackernews.com/2024/03/darcula-phishing-network-leveraging-rcs.html

思科警告针对 VPN 服务的密码喷洒攻击

日期: 2024-03-29
标签: 信息技术, 密码喷洒攻击

思科向客户分享了一系列建议，以缓解针对思科安全防火墙设备上配置的远程访问 VPN (RAVPN) 服务的密码喷洒攻击。该公司表示，此次攻击还针对其他远程访问 VPN 服务，似乎是侦察活动的一部分。在密码喷洒攻击期间，攻击者会尝试使用相同的密码登录多个帐户。思科的缓解指南列出了此活动的危害指标 (IoC)，以帮助检测攻击并阻止它们。

详情

https://www.bleepingcomputer.com/news/security/cisco-warns-of-password-spraying-attacks-targeting-vpn-services/

https://www.bleepingcomputer.com/news/security/cisco-warns-of-password-spraying-attacks-targeting-vpn-services/

行业动向

微软计划限制俄罗斯组织对云产品的访问

日期: 2024-03-25
标签: 信息技术, 欧盟制裁

微软计划根据去年12月欧盟监管机构发布的对俄罗斯的制裁要求，将在3月底之前限制俄罗斯组织对超过50款云产品的访问。最初计划于2024年3月20日暂停，但为给受影响的实体更多时间设置替代解决方案，延期至月底。这一即将到来的暂停首次被俄罗斯最大的IT服务提供商之一Softline集团报道。根据微软发布的信函，这些暂停是根据去年12月颁布的欧盟理事会法规2023/2873执行的。微软将在2024年3月20日终止相关订阅，届时将无法访问这些产品或其中存储的任何数据。

详情

https://www.bleepingcomputer.com/news/microsoft/microsoft-to-shut-down-50-cloud-services-for-russian-businesses/

https://www.bleepingcomputer.com/news/microsoft/microsoft-to-shut-down-50-cloud-services-for-russian-businesses/

苹果新功能推动欧盟用户增长164%

日期: 2024-03-25
标签: 信息技术, 数字市场法案, 欧朋 Opera

苹果推出符合欧盟数字市场法案（DMA）的新功能后，其在iOS设备上的新欧盟用户数量大幅增长164%。苹果在iOS 17.4中推出了一个新选择屏幕，要求欧盟用户从随机列出的浏览器列表中选择默认的网络浏览器，其中包括欧朋。用户在更新手机后首次打开Safari时，将看到一个列出其地区流行浏览器的列表，以供选择其默认浏览器。

详情

https://www.bleepingcomputer.com/news/technology/opera-sees-big-jump-in-eu-users-on-ios-android-after-dma-update/

https://www.bleepingcomputer.com/news/technology/opera-sees-big-jump-in-eu-users-on-ios-android-after-dma-update/

葡萄牙强制暂停世界币收集生物特征数据

日期: 2024-03-27
标签: 信息技术, Worldcoin

葡萄牙数据监管机构已要求 Worldcoin 停止收集其公民的生物特征数据 90 天。葡萄牙国家数据保护委员会 (Comissão Nacional de Proteção de Dados，简称 CNPD) 于 3 月 26 日宣布勒令 Worldcoin 暂停其“orb”设备在该国收集数据。

Worldcoin 是一个将加密货币与虹膜扫描技术相结合以创建全球数字身份系统的项目。该项目由 Tools for Humanity (TFH) 于 2019 年启动，该公司由 OpenAI 首席执行官 Sam Altman、Max Novendstern 和 Alex Blania 创立。

详情

https://www.infosecurity-magazine.com/news/portugal-worldcoin-stop-biometric/

https://www.infosecurity-magazine.com/news/portugal-worldcoin-stop-biometric/

indows 11 KB5035942 更新启用 Moment 5 功能

日期: 2024-03-27
标签: 信息技术, Moment 5 功能

微软发布了适用于 Windows 11 23H2 的 2024 年 3 月非安全预览更新 KB5035942，默认启用 Moment 5 功能并修复了 18 个已知问题。KB5035942 将默认为所有用户切换Windows 11“Moment 5”更新中的新功能，包括新的 Windows Copilot 技能和插件、Windows 锁定屏幕上的更多内容、AI 驱动的 Clipchamp 和照片功能、智能 Snap 建议、新的 Windows 365 Boot 企业功能以及改进的语音访问。预览更新还解决了已知问题，例如某些处理器上 USB 音频出现故障以及用于移除蓝牙设备时设置应用程序冻结。

详情

https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5035942-update-enables-moment-5-features-for-everyone/

https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5035942-update-enables-moment-5-features-for-everyone/

澳大利亚政府在遭受重大攻击后加大网络安全力度

日期: 2024-03-27
标签: 信息技术, 澳大利亚

在一系列震惊澳大利亚、具有重大破坏力的数据泄露事件发生后，澳大利亚政府正在制定计划修改网络安全法律和法规。政府官员最近发布了一份所谓的咨询文件，概述了具体建议，并征求私营部门的意见，所谓的战略是到 2030 年将国家定位为网络安全领域的世界领先者。除了解决现有网络犯罪法的漏洞外，澳大利亚立法者还希望修改该国《2018 年关键基础设施安全（SOCI）法案》，更加重视威胁预防、信息共享和网络事件响应。

详情

https://www.darkreading.com/cyber-risk/australian-government-doubles-down-on-cybersecurity-in-wake-of-major-attacks

https://www.darkreading.com/cyber-risk/australian-government-doubles-down-on-cybersecurity-in-wake-of-major-attacks

NIST 宣布成立新联盟运营国家漏洞数据库

日期: 2024-03-29
标签: 信息技术, 美国国家标准与技术研究院 (NIST)

现已正式公布：美国国家标准与技术研究院 (NIST) 将把全球使用最广泛的软件漏洞存储库的某些管理工作移交给一个行业联盟。美国商务部下属机构NIST于2005年启动了美国国家漏洞数据库（NVD）并一直运营至今。预计这种情况将会改变，最早从 2024 年 4 月初开始，数据库将交到经过审查的组织的集体手中。NVD 项目经理 Tanya Brewer 在2024 年 3 月 25 日至 27 日于北卡罗来纳州罗利举行的由事件响应和安全团队论坛 (FIRST) 主办的网络安全会议 VulnCon 上正式宣布了这一消息。

详情

https://www.infosecurity-magazine.com/news/nist-unveils-new-nvd-consortium/

https://www.infosecurity-magazine.com/news/nist-unveils-new-nvd-consortium/

PyPI 暂停新用户注册以阻止恶意软件活动

日期: 2024-03-29
标签: 信息技术, PyPI

Python 软件包索引 (PyPI) 已暂时停止用户注册和新项目的创建，以应对正在进行的恶意软件活动。PyPI 是 Python 项目索引，可帮助开发人员查找和安装 Python 包。由于有数千个软件包可用，该存储库对威胁行为者来说是一个有吸引力的目标，他们经常上传抢注的或虚假的软件包来危害软件开发人员和潜在的供应链攻击。此类活动迫使 PyPI 管理员今天早些时候宣布暂停所有新用户注册，以减轻恶意活动。

详情

https://www.bleepingcomputer.com/news/security/pypi-suspends-new-user-registration-to-block-malware-campaign/

https://www.bleepingcomputer.com/news/security/pypi-suspends-new-user-registration-to-block-malware-campaign/

其他事件

德国当局成功摧毁非法地下市场"Nemesis Market"

日期: 2024-03-25
标签: 信息技术, 金融业, Nemesis Market, 暗网

德国当局宣布成功摧毁了一个名为“Nemesis Market”的非法地下市场，该市场销售毒品、被盗数据和各种网络犯罪服务。德国联邦刑事警察局（BKA）表示，他们查封了位于德国和立陶宛的暗网服务的数字基础设施，并没收了价值94,000欧元（102,107美元）的加密货币资产。此次行动是在2024年3月20日与德国、立陶宛和美国执法机构的合作下进行的，该行动是自2022年10月开始的一项广泛调查的结果。Nemesis Market成立于2021年，据估计在关闭之前拥有超过15万个用户账户和1100个来自世界各地的卖家账户。市场上的商品种类包括毒品、欺诈获得的数据和商品，以及一系列网络犯罪服务，如勒索软件、钓鱼或DDoS攻击。BKA表示，他们目前正在对该平台的犯罪卖家和用户进行进一步调查，但尚未逮捕任何人。这一发展发生在另一次协调的执法行动之后，该行动打击了LockBit勒索软件组，接管了该组织的服务器，并逮捕了来自波兰和乌克兰的三名成员。这次打击迫使该团伙重新启动了其网络勒索活动。近几个月来，德国当局还关闭了Kingdom Market和Crimemarket，这两个市场都拥有数千名用户，提供了广泛的洗钱和网络犯罪服务。

详情

https://thehackernews.com/2024/03/german-police-seize-nemesis-market-in.html

https://thehackernews.com/2024/03/german-police-seize-nemesis-market-in.html

美国制裁三家加密货币交易所

日期: 2024-03-26
标签: 信息技术, 暗网市场

美国财政部外国资产控制办公室（OFAC）制裁了三家加密货币交易所，因其与OFAC指定的俄罗斯暗网市场和银行合作。这三家交易所分别是Bitpapa IC FZC LLC、Obshchestvo S Ogranichennoy Otvetstvennostyu Tsentr Obrabotki Elektronnykh Platezhey（TOEP）和Crypto Explorer DMCC（AWEX）。它们分别与Hydra Market、Garantex、Sberbank、Alfa-Bank等OFAC指定的实体进行了数百万美元的交易，从事虚拟货币兑换、数字支付和现金服务。这些交易所因其涉及俄罗斯金融服务领域而受到制裁。此外，OFAC还指定了多家俄罗斯金融科技公司和它们的所有者，因其与OFAC指定的俄罗斯银行合作，帮助俄罗斯企业和个人逃避制裁。

详情

https://www.bleepingcomputer.com/news/security/us-sanctions-crypto-exchanges-used-by-russian-darknet-market-banks/

https://www.bleepingcomputer.com/news/security/us-sanctions-crypto-exchanges-used-by-russian-darknet-market-banks/

美国男子因数千次骚扰电话被罚款 990 万美元

日期: 2024-03-26
标签: 信息技术, 骚扰电话

美国联邦法院对名为Scott Rhodes的个人做出了991.8万美元的罚款和禁令，原因是他向全国各地的消费者发送了数千条“伪装”自动电话。自动电话是使用自动拨号软件向许多接收者传递预先录制的消息。尽管它们有合法用途，包括销售、公共服务公告、慈善请求和政治活动，但威胁行为者利用它们传播诈骗或虚假信息，导致骚扰和损失。美国司法部的声明称Rhodes的行为“非法且恶意”，强调该人偏爱发起针对特定地区的自动电话攻击，内容具有煽动性和令人不安。一些接到这些电话的人向联邦通信委员会（FCC）报告了这种骚扰，当局追踪到这些活动是由居住在爱达荷州和蒙大拿州的Rhodes进行的。美国司法部在2021年9月起诉了Rhodes，并提出了一项简易判决动议。

详情

https://www.bleepingcomputer.com/news/legal/us-fines-man-99-million-for-thousands-of-disturbing-robocalls/

https://www.bleepingcomputer.com/news/legal/us-fines-man-99-million-for-thousands-of-disturbing-robocalls/

CISA和FBI敦促技术制造公司高管加强软件安全防护

日期: 2024-03-26
标签: 信息技术, SQL注入

CISA和FBI敦促技术制造公司的高管在发货前进行正式审查，实施措施消除SQL注入（SQLi）安全漏洞。SQL注入攻击是指威胁行为者将恶意构造的SQL查询注入到数据库查询中使用的输入字段或参数中，利用应用程序安全漏洞执行意外的SQL命令，例如窃取、操纵或删除存储在数据库中的敏感数据。CISA和FBI建议使用带有预处理语句的参数化查询来防止SQL注入漏洞。这种方法将SQL代码与用户数据分离，使恶意输入无法被解释为SQL语句。SQLi漏洞在2021年至2022年间占据了MITRE软件最危险漏洞前25名中的第三位，仅次于越界写入和跨站脚本。CISA和FBI发出了联合警报，呼吁高管确保他们的组织立即开始实施减轻措施，消除当前和未来软件产品中的所有此类缺陷。他们强调在设计阶段开始并持续进行开发、发布和更新，将此减轻措施纳入其中，可以减少客户的网络安全负担和公众风险。

详情

https://www.bleepingcomputer.com/news/security/cisa-urges-software-devs-to-weed-out-sql-injection-vulnerabilities/#google_vignette

https://www.bleepingcomputer.com/news/security/cisa-urges-software-devs-to-weed-out-sql-injection-vulnerabilities/#google_vignette

产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

时间线

2024-03-25 360CERT发布安全周报

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

安全日报（2024.04.01）

Mon, 01 Apr 2024 19:14:00 +0800

原创 360CERT 2024-04-01 19:14 四川

安全日报（2024.04.01）

赶紧点击上方话题进行订阅吧！

Security Incident|安全事件

CISA 为美国国防承包商推出新的网络事件报告规则

https://urlqh.cn/odfRe

XZ Utils 库中发现秘密后门，影响主要 Linux 发行版

https://urlqh.cn/odeZO

黑客利用恶意广告攻击 macOS 用户，传播窃取恶意软件

https://urlqh.cn/odeVl

DinodasRAT 恶意软件针对 Linux 服务器进行间谍活动

https://urlqh.cn/oddZg

AT&T 确认 7300 万客户数据在黑客论坛上泄露

https://urlqh.cn/odevr

Vultur Android 银行恶意软件伪装成 McAfee Security 应用程序

https://urlqh.cn/odeyo

数百万间酒店客房使用的 Dormakaba 锁可能在几秒钟内被破解

https://urlqh.cn/odeVg

TheMoon 僵尸网络再次出现，利用 EoL 设备为犯罪代理提供支持

https://urlqh.cn/odeUp

新的 Linux 漏洞可能导致用户密码泄露和剪贴板劫持

https://urlqh.cn/odeAh

DINODASRAT LINUX 变种瞄准全球用户

https://urlqh.cn/odf0K

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

安全日报（2024.03.29）

Fri, 29 Mar 2024 18:20:00 +0800

原创 360CERT 2024-03-29 18:20 四川

安全日报（2024.03.29）

赶紧点击上方话题进行订阅吧！

Security Incident|安全事件

NIST 宣布成立新联盟运营国家漏洞数据库

https://urlqh.cn/obGIh

INC RANSOM 窃取了苏格兰国家医疗服务体系 (NHS) 的 3TB 数据

https://urlqh.cn/obGJh

Darcula 网络钓鱼网络利用 RCS 和 iMessage 逃避检测

https://urlqh.cn/obGs0

Linux 版本的 DinodasRAT 在多个国家/地区的网络攻击中被发现

https://urlqh.cn/obFYp

已有十年历史的 Linux“墙”漏洞可帮助制造虚假的 SUDO 提示并窃取密码

https://urlqh.cn/obGr8

芬兰指责黑客组织 APT31 对议会网络攻击负责

https://urlqh.cn/obGbs

新的 ZenHammer 攻击绕过了 AMD CPU 上的 RowHammer 防御

https://urlqh.cn/obG2o

零售连锁店 Hot Topic 遭遇新的凭证填充攻击

https://urlqh.cn/obGIQ

PyPI 暂停新用户注册以阻止恶意软件活动

https://urlqh.cn/obGxX

思科警告针对 VPN 服务的密码喷洒攻击

https://urlqh.cn/obGCW

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

银狐再临——瞄准财税岗位定向钓鱼攻击

Wed, 27 Mar 2024 18:01:00 +0800

原创 360CERT 2024-03-27 18:01 四川

银狐再临——瞄准财税岗位定向钓鱼攻击

赶紧点击上方话题进行订阅吧！

报告编号：CERT-R-2024-768

报告来源：360CERT

报告作者：360CERT

更新日期：2024-03-27

情况概述

360安全大脑监测到每天都有大量的用户遭到银狐木马发起的钓鱼攻击。目前，银狐木马发起钓鱼攻击的途径主要有三种：

1. 通过即时通信软件发起攻击。这种途径受害者众多，且只要有一人中招，则基本上此人所在的群组以至于整个公司组织都会遭到钓鱼攻击；

2. 通过钓鱼页面发起攻击。这种方式基本上是通过构建专门的页面，有针对性的向财务岗位相关人员发起的定向攻击；

3. 通过钓鱼邮件发起攻击。此类方法针对性相对较弱，更类似于一种“撒网捕鱼”的形式。

下图是近期的攻击态势，由图表也可非常直观的发现银狐木马的活跃度在近一个多月的时间内有着非常显著的增加：

图1. 银狐木马近期攻击态势

钓鱼攻击说明

针对上述三种通过不同途径进行的钓鱼攻击，我们对其具体攻击方式及手法进行逐一介绍。

即时通信软件钓鱼信息攻击

通过即时通信软件发动钓鱼攻击的情况则又分为两种方式——直接发送木马程序或通过消息发送钓鱼链接。

1. 直接发送木马程序

此类攻击中，攻击者会通过即时通信软件将木马程序伪装成正常程序或文件传输给受害者，并诱导其点击运行。其常用的文件名大多是财税相关的资料名称，如：

- “税-务-稽-查-名-单”

- “（国家税务总局）纳税企业申请退税补贴标准”

- “2024税务总局关于企业和个人所得税政策”

而文件格式则通常有EXE可执行程序、CHM文档、MSI安装包、VB Script脚本等。例如下面其中的一个受害者，攻击者便是将MSI安装包再次打入压缩包中发送至财务人员的通信群中。利用这种方式导致大量财务人员中招，危害范围极大。

而攻击者在一次攻击得手后则会将刚刚拿到控制权的电脑中的即时通信软件作为跳板再度群发钓鱼木马，以此模式让木马蔓延，不断扩大木马的传播范围。

图2. 银狐木马通过即时通信软件传播

而在另一个同类型受害者的案例中，此类攻击则导致了其所在公司的几乎全部办公电脑都中了银狐木马。无论是对公司还是个人都造成了巨大的危害与损失。

与此同时，攻击者为了规避一些安全软件的查杀，还使用了在Windows平台下较为罕见的bzip2压缩格式（以.bz2为后缀）进行打包，并辅以压缩i密码来规避安全扫描。

图3. 360安全大脑询问解码密码以便进行安全扫描

图4. 360压缩警告压缩包内含有木马程序

2. 通过消息传送钓鱼链接

除了直接发送木马程序以外，攻击者还可能直接通过信息内容发送一个钓鱼链接，让用户下载一个下载者木马。而该下载者木马一旦被执行，则又会去下载一款第三方的远控软件控制受害者机器。

例如下面的这个受害者机器上，就是被下载了第三只眼远控程序。该工具可以远程控制所在机器并可能会盗取用户的资料以及进行其他更多的非法操作。

图5. 用户反馈接收到含有恶意下载链接的通信消息

网页钓鱼攻击

该方法是通过精心构造的钓鱼页面诱骗受害者主动访问、下载并最终执行其页面中所带有的木马程序。而在近期，360监控到以“税务稽查”、“个税退款”等为主要内容的钓鱼页面均有显著增加。此类钓鱼页面的主题中通常含有“增值税电子普通发票”、“电脑下载查询名单”、“2024季度税务稽查报告”等与财税有着密切关系的内容，用以迷惑用户。

例如下面这个案例中，受害者便是从钓鱼页面中下载了远控木马到本地执行。而该远控木马会控制受害用户的机器并进行非法操作。典型的钓鱼页面如下图：

图6. 典型钓鱼页面

此外，为了与安全软件的检测机制进行对抗，部分木马还会使用Blob URL的形式进行下载。

图7. 木马利用Blob URL形式进行下载

钓鱼邮件攻击

与通过即时通信软件进行攻击的情况类似，通过钓鱼邮件形式发起的攻击同样存在通过邮件内容发送木马下载链接或是直接发送木马程序附件两种形式。在360接到的反馈案例中，就有少量受害者是遭到了来自钓鱼邮箱的攻击，而具体的攻击方法就是将木马程序伪装成发票文件并以附件形式同邮件一并发送给受害用户。用户因其一时疏忽直接打开了附件中的“发票”进行查看，最终导致其机器中了远控木马。

由于此类攻击的情况与即时通信软件钓鱼信息攻击的情形颇为相似，加之在本轮攻击中使用该方法发起的相对较少，此处便不再赘述。

木马功能解析

而无论是使用何种方式进入受害用户的设备中，最终都会释放银狐木马进行攻击。针对目前捕获到的木马样本进行分析发现，近期银狐木马的免杀与技术路线变更依然频繁。其背后的开发者明显是试图通过这种不断的变化来绕过安全软件防御。下面，我们通过其中一个典型的木马样本为例，对其代码及功能进行进一步解析。该样本下载地址为：hxxps://nechina.net/916.zip 而下载到的压缩包中包含有一个名为“916.chm”的文件，该chm会通过内嵌的JS脚本访问远端恶意网址，并加载其服务器上的load.xsl文件。

图8. CHM文件内嵌JS脚本代码内容

而这个load.xsl文件的内容，是一段经由Base64算法编码后的数据。

图9. load.xml中的编码内容

将其内容解码后会显示需要下载一个“config.txt”文件，而该文件内容则是要再次给出下一步要跳转到的链接地址。

图10. config.txt指定的下一步跳转链接

文件中所指示需要下载的三个文件中，zfnxs.exe会自解压其内部压缩的恶意程序并执行。进而加载ffmpg.dll文件对foo.png文件中的恶意内容进行解析和执行。

图11. ffmpg.dll文件中的解析功能代码

最终所得到的内容是基于经典远控木马Gh0st改造而来的远程控制代码，该功能代码拥有Gh0st远控所具备的全部功能。这些功能包括但不限于：键盘记录、文件浏览、命令执行、浏览器信息窃取等。

图12. 木马主体启动进程关系图

此外，该木马还会在用户机器上释放“第三眼远控工具”以获取更多的控制功能。

图13. “第三眼远控工具”启动进程关系图

安全建议

对于各类钓鱼攻击，我们向广大用户提出以下几点安全建议：

1. 安装安全软件并确保其防护功能已被完整开启，保证安全软件能有效保护设备免受恶意攻击；

2. 相信安全软件的判断，切勿轻易将报毒程序添加至信任区或退出安全软件；

3. 在确定安全性之前，切勿打开各类即时通信软件或邮件中附带的可疑附件或链接地址。

而针对银狐木马本轮攻击的特点，我们进一步呼吁各企事业单位或政府机关：

1. 人员角度：重视对财税人员的信息安全培训，加强财税人员的信息安全意识和识别能力；

2. 技术层面：通过各类软/硬件防护体系的构建，对财税设备与各类服务器设备、一般办公设备、其他类型重要设备均进行安全隔离和专项防护。最大限度的保障各类设备组群的相对独立性及安全性；

3. 制度层面：完善财税等重要岗位的责任制度，将信息安全的相关能力和事故影响纳入到考核指标及问责体系当中。

IOCs

URLs

hxxps://www.yk668.work/share/f2b623d7689aa124ae93

hxxp://www.30tsjju.com/

hxxp://lwefjf0kef.com/

hxxps://www.zhuang0.cn/

hxxps://bsnbfv.work/vuepan/?id=7d45602ad7d83bafbe61

hxxps://nechina.net/

hxxps://augenstern-1324625829.cos.ap-guangzhou.myqcloud.com/bwj/config/config.txt

HASHs

3ce0af1f871bbfb5be669b08e7557dd1

1cc411fe36c369fab5dceb53f370a512

848121e7e7c8e9d5ad4db0e0a9dd3976

1419b2b1e0836acceab18e832b1eb750

534bf8fd7e82d1e173126b6aafef0461

e7b01d3b18d06a008dc27be4dd85f151

1b5ef099cfeb52ef74edf99bf50af0ef

79a88331aaef8e53ed33a9c344ea8769

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

安全日报（2024.03.27）

Wed, 27 Mar 2024 18:01:00 +0800

原创 360CERT 2024-03-27 18:01 四川

安全日报（2024.03.27）

赶紧点击上方话题进行订阅吧！

Security Incident|安全事件

葡萄牙强制暂停世界币收集生物特征数据

https://urlqh.cn/ob0kv

TheMoon 恶意软件在 72 小时内感染了 6,000 台华硕路由器以提供代理服务

https://urlqh.cn/ob0hN

Google Play 上的免费 VPN 应用将 Android 手机变成代理

https://urlqh.cn/ob0cM

黑客在 Telegram 上出售名为“GEOBOX”的定制 Raspberry Pi 软件

https://urlqh.cn/ob0a3

德国警告称，1.7 万台易受攻击的 Microsoft Exchange 服务器已在线暴露

https://urlqh.cn/oaZCu

黑客利用 Ray 框架漏洞入侵服务器、劫持资源

https://urlqh.cn/ob0gy

indows 11 KB5035942 更新启用 Moment 5 功能

https://urlqh.cn/ob0hq

澳大利亚政府在遭受重大攻击后加大网络安全力度

https://urlqh.cn/ob0fC

与工业间谍活动有关的恶意 NuGet 软件包瞄准开发人员

https://urlqh.cn/oaZV8

Fortinet、Ivanti 和 Nice 产品中的漏洞正受到积极利用

https://urlqh.cn/ob0eQ

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

安全日报（2024.03.26）

Tue, 26 Mar 2024 19:36:00 +0800

原创 360CERT 2024-03-26 19:36 北京

安全日报（2024.03.26）

赶紧点击上方话题进行订阅吧！

Security Incident|安全事件

CISA和FBI发布“安全设计指南”以应对SQL注入漏洞

https://urlqh.cn/oaVBs

首个针对AMD Zen架构CPU的Rowhammer攻击变种ZenHammer问世

https://urlqh.cn/oaV9d

美国制裁三家加密货币交易所

https://urlqh.cn/oaVuD

美国男子因数千次骚扰电话被罚款 990 万美元

https://urlqh.cn/oaVok

Panera Bread遭遇全国性IT系统故障

https://urlqh.cn/oaVtc

CISA和FBI敦促技术制造公司高管加强软件安全防护

https://urlqh.cn/oaVul

Top.gg Discord bot社区遭受供应链攻击

https://urlqh.cn/oaVDI

Tycoon 2FA：新型钓鱼攻击工具

https://urlqh.cn/oaVEf

Google新算法推荐欺诈网站

https://urlqh.cn/oaVBb

苹果M系列芯片存在GoFetch漏洞

https://urlqh.cn/oaVf8

Konni组织针对虚拟货币行业投递AutoIt恶意软件

https://urlqh.cn/oaVCo

APT29使用WINELOADER攻击德国政党

https://urlqh.cn/oaVAI

白俄罗斯政府遭UAC-0050攻击

https://urlqh.cn/oaV4O

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

安全日报（2024.03.25）

Mon, 25 Mar 2024 19:34:00 +0800

原创 360CERT 2024-03-25 19:34 四川

安全日报（2024.03.25）

赶紧点击上方话题进行订阅吧！

Security Incident|安全事件

微软计划限制俄罗斯组织对云产品的访问

https://urlqh.cn/oaRst

StrelaStealer恶意软件大规模入侵

https://urlqh.cn/oaREn

苹果新功能推动欧盟用户增长164%

https://urlqh.cn/oaSb3

SentinelOne揭示俄罗斯军事情报部门使用的新型擦除型恶意软件变种

https://urlqh.cn/oaSrv

中东地区网络欺诈活动激增

https://urlqh.cn/oaStY

俄罗斯威胁行为者利用WINELOADER后门攻击德国政党

https://urlqh.cn/oaSqy

Pwn2Own Vancouver 2024竞赛中Firefox零日漏洞被解决

https://urlqh.cn/oaShZ

SentinelLabs发现AcidPour恶意软件新变种

https://urlqh.cn/oaSi0

Kimsuky利用CHM文件传送恶意软件关键词

https://urlqh.cn/oaStp

德国当局成功摧毁非法地下市场"Nemesis Market"

https://urlqh.cn/oaSxo

揭示TinyTurla的完整杀伤链

https://urlqh.cn/oaSpj

APT-C-09（摩诃草）组织以巴基斯坦联邦税务局为诱饵的攻击活动分析

https://urlqh.cn/oaSqC

AcidRain的新型嵌入式擦除器变种AcidPour在乌克兰出现

https://urlqh.cn/oaS9h

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

https://www.chanjetvip.com/product/goods/https://csctools.kingdee.com/

TellYouThePass阴魂不散

Fri, 22 Mar 2024 17:19:00 +0800

原创 360CERT 2024-03-22 17:19 四川

TellYouThePass阴魂不散

赶紧点击上方话题进行订阅吧！

报告编号：CERT-R-2024-757

报告来源：360CERT

报告作者：360CERT

更新日期：2024-03-22

攻击概况

近日，360反勒索服务接到大量受害者反馈其设备中被植入了勒索软件。而这波勒索攻击的受害者都有着两个显著的共同特征：

1. 中招设备未安装360安全产品

2. 中招设备均为运行财务管理服务的计算机

经360安全智脑的分析研判，成功锁定了这一波攻击的来源为TellYouThePass勒索家族——一家擅长利用服务器漏洞进行规模化攻击的老牌勒索软件家族。该家族仅在2023年就发动了3轮较大规模的攻击，而在2024年初又开始继续作恶。

而360云端智脑也为我们展示了其最近半年的攻击趋势，可以看到最近一段时间，其活跃程度显著增加：

本轮集中爆发是该家族在龙年后的首度回归——仅在3月20日一天我们就监测到了数千台财务电脑遭其攻击。

攻击说明

我们对受到本轮攻击的部分设备进行了分析。发现受攻击设备一旦成功被感染勒索软件，其本地的数据库与文档便会遭到加密，文件扩展名会被修改为“.locked”。而勒索软件留下的勒索信文件名则有2种形式：

- READ_ME+2位随机数字.html

- READ_ME6.html

但无论那种命名形式，其内容则完全一致。其中包含了每个用户独有的识别ID以及下述共通文本：

send 0.08btc to my address:bc1qnuxx83nd4keeegrumtnu8kup8g02yzgff6z53l. contact email:service@helloworldtom.online,if you can't contact my email, please contact some data recovery company(suggest taobao.com), may they can contact to me .your id:

根据勒索信内容看，本轮的攻击者将勒索赎金金额定在了0.08比特币。按照本文撰写时的实时汇率计算，该勒索金额折合人民币约为3.8 万余元。

在信中，对方还留下了接收赎金的比特币钱包地址：

bc1qnuxx83nd4keeegrumtnu8kup8g02yzgff6z53l

以及联系邮箱：

service#helloworldtom.online

mailto:service@helloworldtom.online

此外，攻击者还在勒索信中很“贴心”的建议受害者：如果无法通过邮箱与自己联系，还可以通过一些数据恢复公司（建议通过某电商平台）联系自己。

【提示：以上“建议”为勒索信中内容，360强烈不推荐用户进行上述操作】

360安全大脑监控到攻击者是利用了财务管理系统的命令执行漏洞对受害设备进行的入侵，进而调用系统进程mshta.exe下载并执行远程服务器上的勒索脚本。而本轮攻击所涉及的脚本地址为：

hxxp:// 107.175.127 [.]195/

安全建议

由于此类攻击是瞄准某一特定行业或特定平台展开的入侵行动，因而其往往具有较为明确的指向性。但根据以往经验，出现大规模入侵的时间节点通常出现在周末或节假日，然而本轮攻击则在工作日发起，推测可能与近期众多企业财务开始核算年终奖与次年度预算有关。故此，360建议部署了财务管理系统的政企用户尽快联系官方获取安全补丁。

官网发布的补丁地址为：

同时，我们也建议包括使用了各类云服务的用户使用360安全卫士、360企业安全云等安全产品抵御包括TellYouThePass家族在内的各类勒索软件攻击，保障广大用户的设备及系统安全。

TellYouThePass家族简介

“TellYouThePass”勒索病毒家族是一种勒索软件，最早于2019年3月出现，。由于其背后始终是由单一黑客组织运营，因此该黑客组织也同样被称为TellYouThePass。根据现有线索推断，该组织为国内黑客团伙，其惯于在高危漏洞被披露后的短时间内利用漏洞修补的时间差，对暴露于网络上并存在有漏洞的机器发起攻击。其曾经使用过的代表性漏洞有：“永恒之蓝”系列漏洞、WebLogic应用漏洞、Log4j2漏洞、国内某OA系统漏洞、国内某财务管理系统漏洞等。而一旦攻击成功后，便会投递勒索病毒实施加密，并向被加密的文件添加后缀名为“.locked”。

该家族在2021年发动了几轮攻击后便逐渐销声匿迹。但从2022年8月开始，该勒索家族又开始活跃在大众视野当中。

2022年8月，该病毒家族曾利用0day漏洞对某财务管理系统发起针对性攻击，仅短短一天时间内，就感染了2000多台设备。到了2022年12 月，该病毒家族还利用多个漏洞对国内流行的财务软件发起针对性攻击。

2023年6月初，TellYouThePass再度回归，利用某财务管理系统中存在的命令执行漏洞发起攻击发起了一波较为强势的攻击。而本轮攻击是当年其“重出江湖”后的第二次大规模勒索攻击。

2023年10月，该病毒家族利用CVE-2023-46604漏洞发起攻击，在windows与 Linux 设备上利用 ActiveMQ 进行加密。

待到2023年末，海康威视的产品被曝出存在漏洞，而这又被TellYouThePass利用发起勒索攻击。此次攻击事件所涉及的漏洞均为任意文件上传漏洞。由于海康威视部分综合安防管理平台对上传文件接口校验不足，导致攻击者可以利用漏洞将恶意文件上传到平台，并最终获取服务权限或引发服务异常。相关漏洞所影响的平台产品及对应版本为：

- iVMS-8700（V2.0.0~V2.9.2）

- iSecure Center（V1.0.0~V1.7.0）

海康威视官方已于2023年6月修复了相关产品漏洞，并发布相关公告对其用户进行安全提示。

值得一提的是，自2023年起TellYouThePass便在勒索信中开始明确引导受害者去某电商平台寻找中间商完成最终的解密交易用以提高其勒索的成功率。

IOCs

Wallet(BTC)

bc1qnuxx83nd4keeegrumtnu8kup8g02yzgff6z53l

Mail

service#helloworldtom.online

mailto:service@helloworldtom.online

URL

hxxp:// 107.175.127 [.]195/

IP:Port

18.141.81 [.]39:8089

45.130.22 [.]219:80

93.95.228 [.]70:80

61.160.194 [.]160:35130

59.31.203 [.]57:80

120.77.82 [.]232:35064

时间线

2024年03月22日 360高级威胁研究分析中心发布通告

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

安全日报（2024.03.22）

Fri, 22 Mar 2024 17:19:00 +0800

原创 360CERT 2024-03-22 17:19 四川

安全日报（2024.03.22）

赶紧点击上方话题进行订阅吧！

Security Incident|安全事件

FORTINET 的 FORTICLIENT EMS 严重漏洞遭广泛利用

https://urlqh.cn/oaGEe

俄罗斯黑客利用 TinyTurla-NG 入侵欧洲非政府组织系统

https://urlqh.cn/oaGGU

GitHub 推出人工智能自动修复工具

https://urlqh.cn/oaGjU

npm 注册表中出现清单混淆问题

https://urlqh.cn/oaGHY

Atlassian 发布修复程序修复 20 多个漏洞

https://urlqh.cn/oaGz5

KDE 建议用户在主题删除 Linux 用户文件后谨防安全问题

https://urlqh.cn/oaGLg

AndroxGh0st 恶意软件瞄准 Laravel 应用程序窃取云凭证

https://urlqh.cn/oaGpS

Unsaflok 漏洞可让黑客解锁数百万间酒店的门

https://urlqh.cn/oaGHR

Evasive Sign1 恶意软件活动感染了 39,000 个 WordPress 网站

https://urlqh.cn/oaGHU

Windows 11、Tesla 和 Ubuntu Linux 在 Pwn2Own Vancouver 上遭到黑客攻击

https://urlqh.cn/oaGJk

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

安全日报（2024.03.21）

Thu, 21 Mar 2024 20:49:00 +0800

原创 360CERT 2024-03-21 20:49 四川

安全日报（2024.03.21）

赶紧点击上方话题进行订阅吧！

Security Incident|安全事件

GitHub推出AI功能加速漏洞修复

https://urlqh.cn/oaCC0

美国环保署成立特别工作组保护供水系统免受网络攻击

https://urlqh.cn/oaCPQ

Ivanti公司警告修补Standalone Sentry和Neurons for ITSM漏洞

https://urlqh.cn/oaC8M

比利时大奖赛官方邮箱被黑客劫持

https://urlqh.cn/oaCG6

新型Loop DoS攻击利用UDP漏洞引发拒绝服务

https://urlqh.cn/oaCT5

新的“循环 DoS”攻击影响数十万个系统

https://urlqh.cn/oaCJC

乌克兰逮捕三名劫持超过 1 亿个电子邮件和 Instagram 账户的黑客

https://urlqh.cn/oaCGV

英国面包店 Greggs 受近期 POS 系统中断影响

https://urlqh.cn/oaCVd

新型 BunnyLoader 恶意软件变种具备模块化攻击功能

https://urlqh.cn/oaD80

POKEMON COMPANY 重置部分用户的密码

https://urlqh.cn/oaD6X

Kimsuky向韩国公共机构分发伪装成安装程序的恶意软件

https://urlqh.cn/oaD0F

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

安全日报（2024.03.19）

Tue, 19 Mar 2024 19:02:00 +0800

原创 360CERT 2024-03-19 19:02 四川

安全日报（2024.03.19）

赶紧点击上方话题进行订阅吧！

Security Incident|安全事件

黑客泄露了 70,000,000 多条据称从 AT&T 窃取的记录

https://urlqh.cn/oauMC

新的恶意软件活动利用HTML 走私技术

https://urlqh.cn/oauqk

苏格兰国家医疗服务体系 (NHS) 遭遇数据泄露

https://urlqh.cn/oauOh

FCC 同意物联网产品使用网络信任标志

https://urlqh.cn/oatVE

Argo 中发现的三个新的严重漏洞

https://urlqh.cn/oauzr

国际货币基金组织的电子邮件帐户遭到泄露

https://urlqh.cn/oauE9

微软：87% 的英国组织容易遭受代价高昂的网络攻击

https://urlqh.cn/oauJL

新的 DEEP#GOSU 恶意软件活动利用高级策略瞄准 Windows 用户

https://urlqh.cn/oauJv

Fortra 修补 FileCatalyst 传输工具中的关键 RCE 漏洞

https://urlqh.cn/oauGk

RISEPRO 信息窃取程序针对 GITHUB 用户

https://urlqh.cn/oauLG

APT-C-55（Kimsuky）组织的RandomQuery窃密攻击活动分析

https://urlqh.cn/oauC6

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/

安全事件周报 2024-03-11 第11周

Mon, 18 Mar 2024 20:06:00 +0800

原创 360CERT 2024-03-18 20:06 四川

安全事件周报 2024-03-11 第11周

赶紧点击上方话题进行订阅吧！

报告编号：CERT-R-2024-749

报告来源：360CERT

报告作者：360CERT

更新日期：2024-03-18

事件导览

本周收录安全热点55项，话题集中在安全漏洞、恶意软件、网络攻击，主要涉及的实体有：Change Healthcare、美国网络安全和基础设施安全局 (CISA)、MarineMax等，主要涉及的黑客组织有：DarkGate、NGC2180、Midnight Blizzard（又名 NOBELIUM）等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

事件目录

恶意软件
WordPress网站遭受Popup Builder插件漏洞攻击
Magnet Goblin利用1-day 漏洞入侵服务器
日本将 PyPI 供应链网络攻击归咎于朝鲜黑客
Leather加密货币钱包警告假应用
新银行木马 CHAVECLOAK 通过网络钓鱼策略瞄准巴西用户
恶意软件活动利用 Popup Builder WordPress 插件感染 3,900 多个网站
黑客利用 Windows SmartScreen 漏洞投放 DarkGate 恶意软件
PixPirate Android 恶意软件使用新策略隐藏在手机上
PixPirate：巧妙隐藏的巴西银行木马病毒
黑客通过 AWS 和 GitHub 部署 VCURMS 和 STRRAT 木马
DarkGate恶意软件利用Windows SmartScreen绕过漏洞进行网络钓鱼活动

数据安全
Okta否认公司数据泄露
超过 15,000 个Roku 帐户数据泄露
宏碁证实菲律宾员工数据在黑客论坛上泄露
2023 年GitHub 上泄露了超过 1200 万个身份验证秘密和密钥
日产欧洲遭受勒索软件攻击，10万人受影响

网络攻击
NGC2180利用DFKRAT植入程序攻击俄罗斯政府机构
黑客利用 Ivanti 漏洞攻击CISA
针对俄罗斯机械工程领域企业的针对性攻击
Andariel滥用韩国资产管理解决方案进行攻击
新的云攻击在发布前针对加密 CDN Meson
伊朗黑客对以色列大学进行供应链攻击
游艇零售商 MarineMax遭受网络攻击
APT28在针对全球的攻击行动中使用新后门MASEPIE
Nemesis Kitten针对以色列学术界的供应链攻击
美国阿拉巴马州政府和城市政府遭受网络攻击
马拉维护照系统遭遇勒索软件攻击后恢复

安全漏洞
微软称俄罗斯黑客入侵其系统并获取源代码
15万台Fortinet设备存在严重漏洞
QNAP NAS软件产品存在安全漏洞
研究人员揭露了可用于网络攻击的 Microsoft SCCM 错误配置
WordPress网站遭受Popup Builder插件漏洞攻击
黑客组织Magnet Goblin在短短几个小时内就利用了 Ivanti 1-Day Bug
Fortinet 警告端点管理软件存在严重 RCE 漏洞
Kubernetes RCE 漏洞允许完全接管 Windows 节点
可导致 Windows 节点接管的 Kubernetes 漏洞分析
Fortinet修补了FortiClient EMS中的关键远程代码执行漏洞
思科IOS RX软件多个高危漏洞修复

安全分析
利用Dropbox基础设施的网络钓鱼攻击成功绕过多因素认证
谷歌的 Gemini AI 容易受到内容操纵
Tor 的新 WebTunnel 桥模仿 HTTPS 流量来逃避审查
四分之三的网络事件受害者是小型企业
新型 PoC 攻击导致ChatGPT泄密
阿联酋网络安全报告：15.5万远程可访问资产易受攻击

行业动向
YouTube取消未登录用户推荐视频
Tuta Mail 添加了新的抗量子加密技术来保护电子邮件
非营利组织推出Tazama开源项目
美国国会投票通过禁止TikTok法案

勒索攻击
BianLian黑客利用PowerShell实施攻击
EquiLend确认员工数据在勒索软件攻击中被盗

其他事件
美国医疗公司UnitedHealth 恢复部分 Change Healthcare 药房服务
俄罗斯对外情报局（SVR）指控美国密谋干预总统选举
韩国公民因网络间谍罪在俄罗斯被拘留
LockBit 勒索组织成员被判四年监禁
美国FCC推出IoT产品网络安全标签计划

恶意软件

WordPress网站遭受Popup Builder插件漏洞攻击

日期: 2024-03-11
标签: 信息技术, WordPress, CVE-2023-6000

WordPress网站遭到黑客攻击，利用Popup Builder插件旧版本的漏洞，感染了超过3,300个网站。攻击利用的漏洞被跟踪为CVE-2023-6000，是一个跨站脚本（XSS）漏洞，影响Popup Builder 4.2.3及更旧版本。攻击利用这一漏洞感染了超过6,700个网站，显示许多网站管理员没有及时打补丁。最近三周内，Sucuri发现了一场新的攻击活动，针对WordPress插件的相同漏洞，感染了3,329个网站。攻击通过在WordPress管理界面的自定义JavaScript或自定义CSS部分进行感染，并将恶意代码存储在'wp_postmeta'数据库表中。恶意代码的主要功能是作为Popup Builder插件事件的事件处理程序，例如'sgpb-ShouldOpen'、'sgpb-ShouldClose'等。这些攻击的主要目的似乎是将感染网站的访问者重定向到恶意目的地，如钓鱼页面和恶意软件下载站点。

详情

https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/

Magnet Goblin利用1-day 漏洞入侵服务器

日期: 2024-03-11
标签: 信息技术, Magnet Goblin

一个名为 Magnet Goblin 的出于经济动机的黑客组织利用各种 1-day 漏洞来破坏面向公众的服务器，并在 Windows 和 Linux 系统上部署自定义恶意软件。1-day 漏洞是指已经发布了补丁的公开披露的漏洞。黑客攻击的部分设备或服务包括 Ivanti Connect Secure（CVE-2023-46805、CVE-2024-21887、CVE-2024-21888、CVE-2024-21893.、Apache ActiveMQ、ConnectWise ScreenConnect、Qlik Sense（CVE -2023-41265、CVE-2023-41266、CVE-2023-48365) 和 Magento (CVE-2022-24086)。

Magnet Goblin 利用这些缺陷使用自定义恶意软件（特别是 NerbianRAT 和 MiniNerbian）以及 WARPWIRE JavaScript 窃取程序的自定义变体来感染服务器。

详情

https://www.bleepingcomputer.com/news/security/magnet-goblin-hackers-use-1-day-flaws-to-drop-custom-linux-malware/

https://www.bleepingcomputer.com/news/security/magnet-goblin-hackers-use-1-day-flaws-to-drop-custom-linux-malware/

日本将 PyPI 供应链网络攻击归咎于朝鲜黑客

日期: 2024-03-11
标签: 信息技术, 政府部门, Lazarus Group, PyPI 软件存储库, 供应链攻击

日本网络安全官员警告称，朝鲜 Lazarus Group 黑客团队最近针对 Python 应用程序的 PyPI 软件存储库发动了供应链攻击。威胁参与者上传了名为“pycryptoenv”和“pycryptoconf”等受污染的包，其名称与合法的 Python 加密工具包“pycrypto”类似。被诱骗将恶意软件包下载到 Windows 计算机上的开发人员会感染一种名为 Comebacker 的危险特洛伊木马。日本 CERT表示，“此次确认的恶意 Python 软件包已被下载约 300 至 1,200 次。” “攻击者可能会针对用户的拼写错误来下载恶意软件。

详情

https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack

https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack

Leather加密货币钱包警告假应用

日期: 2024-03-12
标签: 金融业, Wallet drainers, Leather加密货币钱包

Leather 加密货币钱包的开发者警告称，苹果应用商店中存在一款假冒应用程序，用户报告称该应用程序，窃取了他们的数字资产。Wallet drainers是一些应用程序或恶意脚本，它们会诱骗用户输入秘密密码或执行恶意交易，从而使攻击者能够从用户的钱包中窃取所有数字资产，包括 NFT 和加密货币。Wallet drainers在过去一年中变得越来越普遍，威胁行为者会侵入拥有大量关注者的社交媒体帐户，以推广包含恶意网站的网络钓鱼网站，或取出广告以吸引访问者访问诱骗用户进入其网站。

详情

https://www.bleepingcomputer.com/news/security/fake-leather-wallet-app-on-apple-app-store-is-a-crypto-drainer/

https://www.bleepingcomputer.com/news/security/fake-leather-wallet-app-on-apple-app-store-is-a-crypto-drainer/

新银行木马 CHAVECLOAK 通过网络钓鱼策略瞄准巴西用户

日期: 2024-03-12
标签: 巴西, 信息技术, CHAVECLOAK, 银行木马

巴西用户成为了一个新的银行木马CHAVECLOAK的目标，该木马通过带有PDF附件的钓鱼邮件进行传播。这种复杂的攻击涉及PDF下载ZIP文件，然后利用DLL侧加载技术执行最终的恶意软件。攻击链包括使用合同主题的DocuSign诱饵诱使用户打开PDF文件，其中包含一个按钮，用于阅读和签署文件。实际上，单击按钮会导致从远程链接检索安装程序文件，该链接使用Goo.su URL缩短服务缩短。安装程序中包含一个名为"Lightshot.exe"的可执行文件，该文件利用DLL侧加载加载"Lightshot.dll"，这是CHAVECLOAK恶意软件，用于窃取敏感信息。这包括收集系统元数据并运行检查，以确定受损机器是否位于巴西。

详情

https://thehackernews.com/2024/03/new-banking-trojan-chavecloak-targets.html

https://thehackernews.com/2024/03/new-banking-trojan-chavecloak-targets.html

恶意软件活动利用 Popup Builder WordPress 插件感染 3,900 多个网站

日期: 2024-03-13
标签: 信息技术, WordPress

一个新的恶意软件活动正在利用 WordPress 的 Popup Builder 插件中的高严重性安全漏洞来注入恶意 JavaScript 代码。据 Sucuri 称，该活动在过去三周内已感染了 3,900 多个网站。安全研究员 Puja Srivastava在 3 月 7 日的一份报告中表示：“这些攻击是由不到一个月的域名精心策划的，注册日期可以追溯到 2024 年 2 月 12 日。”感染序列涉及利用 CVE-2023-6000，这是 Popup Builder 中的一个安全漏洞，可被利用来创建恶意管理员用户并安装任意插件。

详情

https://thehackernews.com/2024/03/malware-campaign-exploits-popup-builder.html

https://thehackernews.com/2024/03/malware-campaign-exploits-popup-builder.html

黑客利用 Windows SmartScreen 漏洞投放 DarkGate 恶意软件

日期: 2024-03-14
标签: 信息技术, DarkGate, Windows SmartScreen 漏洞

DarkGate 恶意软件操作发起的新一波攻击利用现已修复的 Windows Defender SmartScreen 漏洞来绕过安全检查并自动安装虚假软件安装程序。SmartScreen 是一项 Windows 安全功能，当用户尝试运行从 Internet 下载的无法识别或可疑文件时，它会显示警告。被追踪为 CVE-2024-21412 的漏洞是 Windows Defender SmartScreen 漏洞，允许特制的下载文件绕过这些安全警告。攻击者可以通过创建指向远程 SMB 共享上托管的另一个 .url 文件的 Windows Internet 快捷方式（.url 文件）来利用该漏洞，这将导致最终位置的文件自动执行。

详情

https://www.bleepingcomputer.com/news/security/hackers-exploit-windows-smartscreen-flaw-to-drop-darkgate-malware/

https://www.bleepingcomputer.com/news/security/hackers-exploit-windows-smartscreen-flaw-to-drop-darkgate-malware/

PixPirate Android 恶意软件使用新策略隐藏在手机上

日期: 2024-03-14
标签: 信息技术, PixPirate 银行木马

研究人员发现适用于 Android 的最新版本的 PixPirate 银行木马采用了一种新方法，可以隐藏在手机上，同时保持活动状态，即使其滴管应用程序已被删除。PixPirate 是一种新的 Android 恶意软件，由 Cleafy TIR 团队上个月首次记录，针对拉丁美洲银行。IBM 的一份新报告解释说，与恶意软件试图隐藏其图标的标准策略（在 Android 9 及以下版本中可能存在这种策略）相反，PixPirate 不使用启动器图标。这使得恶意软件能够在所有最新的 Android 版本（最高版本 14）中保持隐藏状态。

详情

https://www.bleepingcomputer.com/news/security/pixpirate-android-malware-uses-new-tactic-to-hide-on-phones/

https://www.bleepingcomputer.com/news/security/pixpirate-android-malware-uses-new-tactic-to-hide-on-phones/

PixPirate：巧妙隐藏的巴西银行木马病毒

日期: 2024-03-14
标签: 信息技术, 金融业, PixPirate

巴西一款高级银行木马病毒利用了一种新颖的方法来在安卓设备上隐藏自己的存在。名为"PixPirate"的多面手恶意软件专门针对巴西中央银行开发的用于进行银行转账的应用Pix进行利用。Pix成为巴西境内网络犯罪分子的目标，因为尽管只有短短3年的历史，但已经整合到大多数巴西银行的在线平台，并且根据Statista的数据拥有超过1.5亿用户。每个月，Pix处理大约30亿笔交易，总额约为2500亿巴西雷亚尔。PixPirate最新的强大技巧是在安卓设备上巧妙地隐藏自己——没有应用图标，似乎完全没有任何痕迹——尽管谷歌工程师设计了防止这种特定情况发生的保护机制。专家警告称，类似的策略也可能被用于针对美国和欧盟的银行恶意软件。PixPirate的传播方式是通过伪装成银行认证应用的方式传播，通过WhatsApp或短信发送给潜在受害者。点击链接会下载一个下载器，然后提示用户进一步下载一个“更新”版本的伪装应用（即PixPirate的载荷）。一旦舒适地嵌入到安卓手机中，该恶意软件会等待用户打开真正的银行应用。此时，它会立即采取行动，获取用户输入的登录凭据并将其发送到攻击者控制的C2服务器。随着账户访问权限，它会覆盖一个虚假的第二屏幕来欺骗用户。

详情

https://www.darkreading.com/application-security/pixpirate-rat-invisibly-triggers-wire-transfers-android-devices

https://www.darkreading.com/application-security/pixpirate-rat-invisibly-triggers-wire-transfers-android-devices

黑客通过 AWS 和 GitHub 部署 VCURMS 和 STRRAT 木马

日期: 2024-03-14
标签: 信息技术, VCURMS, STRRAT

据观察，新的网络钓鱼活动通过基于 Java 的恶意下载程序传播 VCURMS 和 STRRAT 等远程访问木马 (RAT)。攻击者将恶意软件存储在 Amazon Web Services (AWS) 和 GitHub 等公共服务上，并使用商业保护程序来避免检测到恶意软件。该活动的一个不寻常的方面是 VCURMS 使用 Proton Mail 电子邮件地址（“sacriliage@proton[.]me”）与命令和控制 (C2) 服务器进行通信。攻击链以一封网络钓鱼电子邮件开始，敦促收件人单击按钮来验证付款信息，从而导致下载 AWS 上托管的恶意 JAR 文件（“Payment-Advice.jar”）。执行 JAR 文件会导致检索另外两个 JAR 文件，然后分别运行这两个文件来启动这两个特洛伊木马。

详情

https://thehackernews.com/2024/03/alert-cybercriminals-deploying-vcurms.html

https://thehackernews.com/2024/03/alert-cybercriminals-deploying-vcurms.html

DarkGate恶意软件利用Windows SmartScreen绕过漏洞进行网络钓鱼活动

日期: 2024-03-15
标签: 信息技术, DarkGate, Windows SmartScreen绕过漏洞

DarkGate恶意软件运营商利用一个已修补的Windows SmartScreen绕过漏洞进行网络钓鱼活动，通过分发假冒的微软软件安装程序来传播恶意代码。Trend Micro研究人员发现了一个零日漏洞，被追踪为CVE-2024-21412，这个漏洞可以绕过Internet Shortcut Files安全特性，微软在今年早些时候作为二月份的“补丁星期二”更新的一部分对其进行了修补。不过在此之前，攻击者如Water Hydra就利用它进行了恶意目的的攻击。现在Trend Micro研究人员发现，DarkGate运营商在一月中旬的一次网络钓鱼活动中利用了这个漏洞，诱使用户点击包含Google DoubleClick数字营销（DDM）开放重定向的PDF文件。这些重定向将受害者引导到托管Microsoft Windows SmartScreen绕过CVE-2024-21412的受损网站，进而导致恶意的微软（.MSI）安装程序。

详情

https://www.darkreading.com/endpoint-security/windows-smartscreen-bypass-flaw-exploited-to-drop-darkgate-rat

https://www.darkreading.com/endpoint-security/windows-smartscreen-bypass-flaw-exploited-to-drop-darkgate-rat

数据安全

Okta否认公司数据泄露

日期: 2024-03-12
标签: 信息技术, 数据泄露

Okta否认其公司数据在2023年10月的网络攻击后被泄露。2024年3月9日，一名化名“Ddarknotevil”的网络犯罪分子声称要发布一个 Okta 数据库，其中包含在去年的违规事件中被盗的 3,800 名客户的信息。2023 年 9 月，IT 服务管理公司 Okta 遭遇数据泄露，导致 3800 名客户支持用户遭到泄露。泄露的数据包括用户 ID、全名、公司名称、办公室地址、电话号码、电子邮件地址、职位/角色和其他信息。

详情

https://www.bleepingcomputer.com/news/security/okta-says-data-leaked-on-hacking-forum-not-from-its-systems/

https://www.bleepingcomputer.com/news/security/okta-says-data-leaked-on-hacking-forum-not-from-its-systems/

超过 15,000 个Roku 帐户数据泄露

日期: 2024-03-12
标签: 信息技术, 撞库攻击

2024年3月8日，Roku 披露了一起数据泄露事件，该事件影响了超过 15,000 名客户，原因是黑客账户被用于欺诈性购买硬件和流媒体订阅。攻击者以每个帐户低至 0.5 美元的价格出售被盗帐户，从而允许购买者使用存储的信用卡进行非法购买。一旦帐户遭到破坏，攻击者就可以更改该帐户的信息，包括密码、电子邮件地址和送货地址。

详情

https://www.bleepingcomputer.com/news/security/over-15-000-hacked-roku-accounts-sold-for-50-each-to-buy-hardware/

https://www.bleepingcomputer.com/news/security/over-15-000-hacked-roku-accounts-sold-for-50-each-to-buy-hardware/

宏碁证实菲律宾员工数据在黑客论坛上泄露

日期: 2024-03-13
标签: 信息技术, 制造业, 菲律宾, 宏碁

宏碁菲律宾公司证实，在黑客论坛上泄露数据后，管理该公司员工出勤数据的第三方供应商遭到攻击，员工数据被盗。宏碁是一家台湾计算机硬件和电子产品制造商。2024年3月12日，一个名为“ph1ns”的攻击者在黑客论坛上发布了一个链接，可以免费下载包含 Acer 员工数据的被盗数据库。攻击者表示没有涉及勒索软件或加密，这只是一次纯粹的数据盗窃攻击。

详情

https://www.bleepingcomputer.com/news/security/acer-confirms-philippines-employee-data-leaked-on-hacking-forum/

https://www.bleepingcomputer.com/news/security/acer-confirms-philippines-employee-data-leaked-on-hacking-forum/

2023 年GitHub 上泄露了超过 1200 万个身份验证秘密和密钥

日期: 2024-03-13
标签: 信息技术, GitHub

2023 年，GitHub 用户意外暴露了超过 300 万个公共存储库中的 1280 万个身份验证和敏感机密，其中绝大多数在五天后仍然有效。这是GitGuardian网络安全专家的说法，他们向那些泄露秘密的人发出了 180 万封免费电子邮件警报，发现只有极小的 1.8% 的人采取了快速行动来纠正错误。暴露的秘密包括帐户密码、API 密钥、TLS/SSL 证书、加密密钥、云服务凭证、OAuth 令牌和其他敏感数据，这些数据可能使外部参与者无限制地访问各种私有资源和服务，从而导致数据泄露和财务损失。2023 年 Sophos 报告强调，凭证泄露占上半年记录的所有攻击根本原因的 50%，其次是漏洞利用，这是 23% 案例中的攻击方法。

详情

https://www.bleepingcomputer.com/news/security/over-12-million-auth-secrets-and-keys-leaked-on-github-in-2023/

https://www.bleepingcomputer.com/news/security/over-12-million-auth-secrets-and-keys-leaked-on-github-in-2023/

日产欧洲遭受勒索软件攻击，10万人受影响

日期: 2024-03-15
标签: 制造业, 交通运输, 数据泄露

日产欧洲在2023年12月遭受了勒索软件攻击，大约10万名个人受到影响。日产欧洲是跨国汽车制造商的地区部门，其总部位于日本。公司已启动调查，并通知了澳大利亚和新西兰的网络安全中心。攻击者声称窃取了100GB的信息，包括公司文件和个人信息。日产拒绝支付赎金，但数据仍被泄露。目前，公司已开始通知受影响的个人，包括客户、经销商和现任/前任员工。此次数据泄露还影响了三菱、雷诺、天际线、英菲尼迪、LDV和RAM品牌金融业务的客户。

详情

https://securityaffairs.com/160458/data-breach/nissan-oceania-data-breach-impacted-100000-people.html

https://securityaffairs.com/160458/data-breach/nissan-oceania-data-breach-impacted-100000-people.html

网络攻击

NGC2180利用DFKRAT植入程序攻击俄罗斯政府机构

日期: 2024-03-11
标签: 政府部门, NGC2180, APT舆情, DFKRAT植入程序

2023年底，Solar 4RAYS团队作为入侵评估的一部分，发现其中一个行政机构受到了攻击。已经识别出多阶段恶意软件的样本，这些恶意软件在最后阶段会在目标系统上部署植入程序DFKRAT。该恶意软件是为间谍目的而开发的，它允许攻击者从受害者的文件系统中窃取数据等。经过广泛的研究，发现了其他技术上不同的样本，但在2021年至2023年期间被同一组攻击者用于攻击俄语目标。目前，无法将此活动归因于任何已知的分组，因此将其指定为NGC2180。

详情

https://rt-solar.ru/solar-4rays/blog/4124/

https://rt-solar.ru/solar-4rays/blog/4124/

黑客利用 Ivanti 漏洞攻击CISA

日期: 2024-03-11
标签: 政府部门, 美国网络安全和基础设施安全局 (CISA), Ivanti

美国网络安全和基础设施安全局 (CISA) 在 2 月份遭到黑客攻击。CISA 发言人和了解该事件的美国官员表示，为了应对这一安全漏洞，该机构不得不关闭两个关键系统。被黑客入侵的系统是基础设施保护（IP）网关和化学安全评估工具（CSAT）。CSAT 托管敏感的工业信息，包括高风险化学设施的顶部屏幕工具、站点安全计划和安全漏洞评估。该机构没有提供有关此次攻击的详细信息，也没有将其归因于特定的攻击者。

详情

https://securityaffairs.com/160246/hacking/us-cisa-systems-hacked.html

https://securityaffairs.com/160246/hacking/us-cisa-systems-hacked.html

针对俄罗斯机械工程领域企业的针对性攻击

日期: 2024-03-13
标签: 信息技术, 网络钓鱼电子邮件, APT舆情

2023年10月，一家俄罗斯机械工程企业联系Doctor Web，怀疑其一台计算机上存在恶意软件。专家对这一事件进行了调查，确定受影响的公司遭遇了有针对性的攻击。在这次攻击中，恶意攻击者发送了带有附件的网络钓鱼电子邮件，其中包含负责初始系统感染并在系统中安装其他恶意工具的恶意程序。这次攻击的目的是收集有关员工的敏感信息以及有关公司基础设施和内部网络的数据。此外，检测到数据已从受感染的计算机上传，包括存储在计算机上的文件以及恶意软件运行时拍摄的屏幕截图。

详情

https://news.drweb.com/show/?i=14823&lng=en&c=5

https://news.drweb.com/show/?i=14823&lng=en&c=5

Andariel滥用韩国资产管理解决方案进行攻击

日期: 2024-03-13
标签: 信息技术, APT舆情

AhnLab安全情报中心（ASEC）近日证实，Andariel组织正在对韩国企业进行持续攻击。此次确认的攻击的一个特点是，攻击过程中安装了MeshAgent。MeshAgent是一款远程管理工具，提供多种远程控制功能，因此与其他远程管理工具一样，被攻击者滥用的案例也时有发生。与之前的案例一样，攻击者利用国内资产管理解决方案安装恶意代码，最明显的是AndarLoader和ModeLoader。Andariel组织一直在不断滥用韩国公司的资产管理解决方案，在横向移动过程中传播恶意软件。

详情

https://asec.ahnlab.com/ko/62771/

https://asec.ahnlab.com/ko/62771/

新的云攻击在发布前针对加密 CDN Meson

日期: 2024-03-13
标签: 信息技术, CDN Meson

在计划于 3 月 15 日解锁加密代币之前，研究人员已观察到一场恶意活动利用基于区块链的 Meson 服务获取非法收益。该活动由 Sysdig 威胁研究团队 (TRT) 发现，攻击者使用受感染的云帐户迅速创建 6000 个 Meson 网络节点，为与 Sysdig 基础设施内暴露的服务相关的多个 AWS 用户发出警报。攻击者的作案手法涉及利用 Laveral 应用程序中的 CVE-2021-3129 和 WordPress 中的错误配置来获得对云帐户的初始访问权限。随后，他们利用自动侦察技术来识别和利用受损用户的权限，在多个区域生成许多 EC2 实例。恶意活动最终导致 meson_cdn 二进制文件的执行，给账户所有者带来了巨大的损失。

详情

https://www.infosecurity-magazine.com/news/cloud-attack-targets-crypto-cdn/

https://www.infosecurity-magazine.com/news/cloud-attack-targets-crypto-cdn/

伊朗黑客对以色列大学进行供应链攻击

日期: 2024-03-14
标签: 教育行业, Lord Nemesis

伊朗黑客活动分子对以色列大学进行了供应链攻击，最初是入侵当地一家面向学术界的技术供应商的系统。自称为“Lord Nemesis”组织在网上吹嘘他们利用从Rashim软件窃取的凭据，成功侵入了供应商的客户——以色列的大学和学院系统。这次黑客攻击始于2023年11月左右，由于这次网络攻击，这所大学的学生数据很可能会被泄露。Rashim的黑客攻击是基于弱访问控制和不牢固的身份验证检查。Rashim在至少一些客户的系统上保留了一个管理员用户账户。攻击者利用这个管理员账户，通过使用依赖Michlol CRM的VPN，成功访问了许多组织，可能危及了这些机构的安全。

详情

https://www.darkreading.com/cyberattacks-data-breaches/israeli-universities-hit-by-supply-chain-cyberattack-campaign

https://www.darkreading.com/cyberattacks-data-breaches/israeli-universities-hit-by-supply-chain-cyberattack-campaign

游艇零售商 MarineMax遭受网络攻击

日期: 2024-03-14
标签: 交通运输, 制造业, MarineMax

根据 3 月 12 日向美国证券交易委员会 (SEC) 提交的文件，美国船舶和百万美元游艇零售商 MarineMax 遭遇了“网络安全事件”，导致其运营中断。第三方在未经授权的情况下访问了其部分信息环境。MarineMax表示，尽管在执行遏制措施时发生了中断，但“该事件并未对公司的运营产生重大影响”，并且公司并未在其系统中存储任何可能导致公司安全的敏感数据。

详情

https://www.darkreading.com/cyberattacks-data-breaches/yacht-retailer-marinemax-files-cyber-incident-sec

https://www.darkreading.com/cyberattacks-data-breaches/yacht-retailer-marinemax-files-cyber-incident-sec

APT28在针对全球的攻击行动中使用新后门MASEPIE

日期: 2024-03-14
标签: 信息技术, MASEPIE, APT舆情

截至2024年3月，X-Force正在追踪多个正在进行的ITG05网络钓鱼行动，其特点是精心制作的诱饵文件，旨在模仿欧洲、南高加索、中亚以及北美和南美的政府和非政府组织(NGO)的真实文件。从2023年11月开始，X-Force观察到ITG05使用“search-ms”URI处理程序引导受害者下载托管在攻击者控制的WebDAV服务器上的恶意软件。据观察，ITG05还提供了MASEPIE，这是一个取代Headlace的新后门，以促进后续行动。除了MASEPIE之外，ITG05还开发了另一个新后门OCEANMAP。X-Force分析表明CREDOMAP的代码基础很可能用于创建OCEANMAP。ITG05选择使用名为STEELHOOK的新简化PowerShell脚本来代替CREDOMAP。

详情

https://securityintelligence.com/x-force/itg05-leverages-malware-arsenal/

https://securityintelligence.com/x-force/itg05-leverages-malware-arsenal/

Nemesis Kitten针对以色列学术界的供应链攻击

日期: 2024-03-15
标签: 教育行业, APT舆情

伊朗黑客组织Lord Nemesis（也称为“Nemesis Kitten”）于2023年底出现在网络领域，此前曾宣布打算针对以色列组织。该组织首次取得重大成功是在2023年11月下旬，当时他们声称对入侵以色列领先的学术管理和培训管理软件解决方案提供商Rashim Software负责。据称，Lord Nemesis使用从Rashim入侵事件中获得的凭据渗透到该公司的多个客户，包括众多学术机构。据Lord Nemesis称，他们成功获得了对Rashim基础设施的完全访问权限，并利用此访问权限向Rashim的200多名客户和同事发送了电子邮件。该组织声称在此次入侵期间获得了敏感信息，可能会利用这些信息进行进一步的攻击或向受影响的组织施加压力。

详情

https://op-c.net/blog/lord-nemesis-strikes-supply-chain-attack-on-the-israeli-academic-sector/

https://op-c.net/blog/lord-nemesis-strikes-supply-chain-attack-on-the-israeli-academic-sector/

美国阿拉巴马州政府和城市政府遭受网络攻击

日期: 2024-03-15
标签: 政府部门, 阿拉巴马州政府, 伯明翰市政府

美国阿拉巴马州近期遭遇网络干扰，攻击者分别针对州政府和城市政府进行网络攻击，美国阿拉巴马州系统至今仍在努力恢复。州长凯·艾维确认，州系统于3月12日遭受网络攻击，但未发生网络或系统数据被泄露的情况。同样地，伯明翰市于3月6日报告称，网络问题影响了城市系统，包括阻碍了执法部门验证被盗车辆或司机是否有逮捕令的能力。此外，阿拉巴马州政府遭到了匿名苏丹的分布式拒绝服务（DDoS）攻击，该组织是由俄罗斯政府支持的已建立的黑客活动组织。此前，匿名苏丹曾对以色列、欧洲和即时通讯应用Telegram发动过DDoS攻击。

详情

https://www.darkreading.com/cyberattacks-data-breaches/alabama-targeted-by-russian-backed-ddos-cyberattack

https://www.darkreading.com/cyberattacks-data-breaches/alabama-targeted-by-russian-backed-ddos-cyberattack

马拉维护照系统遭遇勒索软件攻击后恢复

日期: 2024-03-15
标签: 政府部门, 马拉维政府

马拉维的护照签发系统在遭受勒索软件攻击数周后重新上线。攻击发生近三周后，总统拉扎勒斯·恰克韦拉指出，黑客要求赎金，但政府无意支付，表明这是一次勒索软件攻击。恰克韦拉总统要求执法机构立即展开调查，并表示要绳之以法。移民局发表声明感谢公民的耐心等待，并指出系统是由本地专家团队恢复的。护照印刷将在本周恢复，首先在利隆圭，其他地区将逐渐跟进。

详情

https://www.darkreading.com/cyberattacks-data-breaches/malawi-passport-system-back-online-after-cyberattack

https://www.darkreading.com/cyberattacks-data-breaches/malawi-passport-system-back-online-after-cyberattack

安全漏洞

微软称俄罗斯黑客入侵其系统并获取源代码

日期: 2024-03-11
标签: 信息技术, Midnight Blizzard（又名 NOBELIUM）

微软表示，俄罗斯“午夜暴雪”黑客组织最近使用 1 月份网络攻击期间窃取的身份验证机密访问了其部分内部系统和源代码存储库。一月份，微软披露 Midnight Blizzard（又名 NOBELIUM）在进行允许访问遗留非生产测试租户帐户的密码喷射攻击后，破坏了公司电子邮件服务器。该测试帐户没有启用多重身份验证，从而使威胁行为者能够获得入侵微软系统的权限。此测试租户帐户还可以访问 OAuth 应用程序，该应用程序具有对 Microsoft 企业环境的更高访问权限，允许威胁行为者访问和窃取企业邮箱中的数据，包括 Microsoft 领导团队的成员以及网络安全和法律部门的员工。

详情

https://www.bleepingcomputer.com/news/microsoft/microsoft-says-russian-hackers-breached-its-systems-accessed-source-code/

https://www.bleepingcomputer.com/news/microsoft/microsoft-says-russian-hackers-breached-its-systems-accessed-source-code/

15万台Fortinet设备存在严重漏洞

日期: 2024-03-11
标签: 信息技术, CVE-2024-21762, 安全网关

公开网络上的扫描显示，约有15万台Fortinet FortiOS和FortiProxy安全网关系统存在CVE-2024-21762漏洞，这是一个严重的安全问题，允许在没有身份验证的情况下执行代码。美国网络安全局CISA上个月证实，攻击者正在积极利用这个漏洞，并将其列入已知被利用漏洞（KEV）目录。据Shadowserver基金会称，全球范围内有近15万台受影响的设备。据Shadowserver数据显示，大部分受影响的设备超过2.4万台位于美国，其次是印度、巴西和加拿大。目前关于积极利用CVE-2024-21762的威胁行为者的详细信息有限，因为公开平台没有显示此类活动，或者该漏洞正在被更复杂的对手在特定攻击中利用。公司可以通过运行由offensive security公司BishopFox的研究人员开发的简单Python脚本来检查其SSL VPN系统是否存在该问题。

详情

https://www.bleepingcomputer.com/news/security/critical-fortinet-flaw-may-impact-150-000-exposed-devices/

https://www.bleepingcomputer.com/news/security/critical-fortinet-flaw-may-impact-150-000-exposed-devices/

QNAP NAS软件产品存在安全漏洞

日期: 2024-03-11
标签: 信息技术, QNAP NAS软件

QNAP警告其NAS软件产品中存在漏洞，包括QTS、QuTS hero、QuTScloud和myQNAPcloud，可能允许攻击者访问设备。该台湾网络附加存储（NAS）设备制造商披露了三个漏洞，可能导致身份验证绕过、命令注入和SQL注入。最后两个漏洞需要攻击者在目标系统上进行身份验证，这显著降低了风险，而第一个（CVE-2024-21899）可以在未经身份验证的情况下远程执行，并被标记为“低复杂性”。

详情

https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-auth-bypass-flaw-in-its-nas-devices/

https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-auth-bypass-flaw-in-its-nas-devices/

研究人员揭露了可用于网络攻击的 Microsoft SCCM 错误配置

日期: 2024-03-12
标签: 信息技术, Active Directory 环境

安全研究人员基于 Microsoft 配置管理器的不当设置，创建了攻击和防御技术的知识库存储库，这可能允许攻击者执行有效负载或成为域控制器。配置管理器 (MCM) 以前称为系统中心配置管理器（SCCM、ConfigMgr），存在于许多 Active Directory 环境中，帮助管理员管理 Windows 网络上的服务器和工作站。在 SO-CON 安全会议上，SpectreOps 研究人员 Chris Thompson 和 Duane Michael 宣布发布 Misconfiguration Manager，这是一个基于错误 MCM 配置进行攻击的存储库，还为防御者提供资源以强化其安全立场

详情

https://www.bleepingcomputer.com/news/security/researchers-expose-microsoft-sccm-misconfigs-usable-in-cyberattacks/

https://www.bleepingcomputer.com/news/security/researchers-expose-microsoft-sccm-misconfigs-usable-in-cyberattacks/

WordPress网站遭受Popup Builder插件漏洞攻击

日期: 2024-03-12
标签: 信息技术, Popup Builder插件

威胁行为者正在利用旧版本 Popup Builder 插件中的漏洞（编号为 CVE-2023-6000）来攻击 WordPress 网站。研究人员观察到来自新恶意软件活动的攻击激增，该活动同样利用了 Popup Builder 中的相同漏洞。据 PublicWWW 称，威胁行为者已经入侵了 3,300 多个网站。 Sucuri 的 SiteCheck 远程恶意软件扫描程序已在 1,170 多个站点上检测到 Balada Injector 恶意软件。

详情

https://securityaffairs.com/160329/hacking/wordpress-popup-builder-plugin-bug.html

https://securityaffairs.com/160329/hacking/wordpress-popup-builder-plugin-bug.html

黑客组织Magnet Goblin在短短几个小时内就利用了 Ivanti 1-Day Bug

日期: 2024-03-13
标签: 信息技术, Ivanti

黑客组织Magnet Goblin于公开披露漏洞后的第二天就部署了一天的漏洞利用。在近几个月曝光的五个漏洞中，CVE-2024-21887 最为突出。 Ivanti Connect Secure 和 Policy Secure 网关中的命令注入漏洞在 CVSS 评分中被评为“严重”9.1 级（满分 10 分）。

详情

https://www.darkreading.com/threat-intelligence/magnet-goblin-exploits-ivanti-1-day-bug-mere-hours

https://www.darkreading.com/threat-intelligence/magnet-goblin-exploits-ivanti-1-day-bug-mere-hours

Fortinet 警告端点管理软件存在严重 RCE 漏洞

日期: 2024-03-14
标签: 信息技术, FortiClient

Fortinet 修补了其 FortiClient 企业管理服务器 (EMS) 软件中的一个严重漏洞，该漏洞允许攻击者在易受攻击的服务器上获得远程代码执行 (RCE)。FortiClient EMS 使管理员能够管理连接到企业网络的端点，从而允许他们部署 FortiClient 软件并在 Windows 设备上分配安全配置文件。该安全漏洞 ( CVE-2023-48788 ) 是 DB2 Administration Server (DAS) 组件中的 SQL 注入，由英国国家网络安全中心 (NCSC) 和 Fortinet 开发人员 Thiago Santana 发现并报告。它影响 FortiClient EMS 版本 7.0（7.0.1 至 7.0.10）和 7.2（7.2.0 至 7.2.2），并且允许未经身份验证的攻击者在未修补的服务器上以系统权限在低复杂性攻击中获得 RCE需要用户交互。

详情

https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-rce-bug-in-endpoint-management-software/

https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-rce-bug-in-endpoint-management-software/

Kubernetes RCE 漏洞允许完全接管 Windows 节点

日期: 2024-03-14
标签: 信息技术, Kubernetes, CVE-2023-5528

Kubernetes容器管理系统存在安全漏洞，允许攻击者在Windows端点上以系统特权远程执行代码，潜在导致Kubernetes集群内所有Windows节点被完全接管。该漏洞编号为CVE-2023-5528，CVSS评分为7.2，由Akamai安全研究员Tomer Peled发现。攻击者利用Kubernetes卷的漏洞，在Windows节点上创建pod和持久卷，从而提升至节点的管理员特权。受影响范围包括使用in-tree存储插件的默认安装的Kubernetes早于1.28.4版本的集群。建议尽快应用补丁以修复该漏洞。

详情

https://www.darkreading.com/cloud-security/patch-now-kubernetes-flaw-allows-for-full-takeover-of-windows-nodes

https://www.darkreading.com/cloud-security/patch-now-kubernetes-flaw-allows-for-full-takeover-of-windows-nodes

可导致 Windows 节点接管的 Kubernetes 漏洞分析

日期: 2024-03-15
标签: 信息技术, Kubernetes

Kubernetes存在高危漏洞，攻击者可在特定情况下利用恶意YAML文件实现远程代码执行。CVE-2023-5528影响所有kubelet版本，包括1.8.0及之后版本，已在2023年11月14日发布的更新中得到修复。漏洞源于对Windows节点的权限提升，仅影响使用in-tree存储插件的Kubernetes集群。成功利用漏洞可能导致对所有Windows节点的完全接管。涉及Kubernetes卷功能，特别是本地卷类型的不安全函数调用和用户输入未经过滤。

详情

https://thehackernews.com/2024/03/researchers-detail-kubernetes.html

https://thehackernews.com/2024/03/researchers-detail-kubernetes.html

Fortinet修补了FortiClient EMS中的关键远程代码执行漏洞

日期: 2024-03-15
标签: 信息技术, CVE-2024-48788, FortiClient EMS

Fortinet已修补了其FortiClient Enterprise Management Server (EMS)中的一个关键远程代码执行（RCE）漏洞，用于管理终端设备。该漏洞（CVE-2024-48788）源自服务器中直接附加存储组件的SQL注入错误，使未经身份验证的攻击者能够使用特制请求在受影响的系统上以系统管理员特权执行任意代码和命令。漏洞被评为CVSS评分中的9.3，国家漏洞数据库将其分配了接近最高分的9.8。建议使用受影响版本的组织升级到新修补的FortiClientEMS 7.2.3或更高版本，或者FortiClientEMS 7.0.11或更高版本。Fortinet向其FortiClientEMS开发团队的研究人员和英国国家网络安全中心（NCSC）授予了这一漏洞的功劳。此外，攻击者经常针对Fortinet设备进行攻击，因此组织需要尽快解决漏洞。

详情

https://www.darkreading.com/vulnerabilities-threats/fortinet-warns-of-yet-another-critical-rce-flaw

https://www.darkreading.com/vulnerabilities-threats/fortinet-warns-of-yet-another-critical-rce-flaw

思科IOS RX软件多个高危漏洞修复

日期: 2024-03-15
标签: 信息技术, IOS RX软件, 思科8000系列路由器

思科公司解决了IOS RX软件中的多个漏洞，其中包括三个高危漏洞，可能被利用来提升权限并触发拒绝服务（DoS）攻击。

第一个漏洞CVE-2024-20320是思科IOS XR软件SSH特权提升漏洞。该问题存在于思科IOS XR软件的SSH客户端功能中，适用于思科8000系列路由器和思科网络融合系统（NCS）540系列和5700系列路由器。经过认证的本地攻击者可以利用此漏洞在受影响的设备上提升权限。

第二个高危漏洞CVE-2024-20318位于思科IOS XR软件的二层以太网服务中。未经身份验证的邻近攻击者可以触发该漏洞，导致线卡网络处理器重置，从而导致拒绝服务（DoS）攻击。

第三个高危漏洞CVE-2024-20327是PPP over Ethernet中的DoS漏洞。

详情

https://securityaffairs.com/160489/security/cisco-ios-rx-flaws.html

https://securityaffairs.com/160489/security/cisco-ios-rx-flaws.html

安全分析

利用Dropbox基础设施的网络钓鱼攻击成功绕过多因素认证

日期: 2024-03-11
标签: 信息技术, 多因素认证

Darktrace的最新研究显示，一种新型的网络钓鱼攻击利用了正当的Dropbox基础设施，成功绕过了多因素认证（MFA）协议。攻击者正在变得擅长规避标准安全协议，包括电子邮件检测工具和MFA。攻击者常常利用用户对特定服务的信任来模仿他们正常收到的电子邮件，但在这种情况下，威胁行为者进一步利用了正当的Dropbox云存储平台进行网络钓鱼攻击。攻击者于2024年1月25日针对Darktrace的一名客户进行攻击，该组织的SaaS环境中有16名内部用户收到了一封来自‘no-reply@dropbox[.]com’的电子邮件。这是Dropbox文件存储服务使用的合法电子邮件地址。邮件中包含一个链接，将用户引导至Dropbox上托管的一个PDF文件，文件名似乎是该组织的合作伙伴。这个PDF文件包含一个可疑的链接，指向一个以前从未在客户环境中见过的域名‘mmv-security[.]top’。研究人员指出，很难区分恶意或良性电子邮件与正当服务（如Dropbox）使用的自动邮件。因此，这种方法在规避电子邮件安全工具并说服目标点击恶意链接方面非常有效。

详情

https://www.infosecurity-magazine.com/news/dropbox-credentials-bypass-mfa/

https://www.infosecurity-magazine.com/news/dropbox-credentials-bypass-mfa/

谷歌的 Gemini AI 容易受到内容操纵

日期: 2024-03-13
标签: 信息技术, Google Gemini

尽管有所有防护栏和安全协议，但 Google 的 Gemini 大语言模型 (LLM) 与其同类模型一样容易受到攻击，这些攻击可能导致其生成有害内容、泄露敏感数据并执行恶意操作。Google Gemini（以前称为 Bard）是一种多模式人工智能工具，可以处理和生成文本、图像、音频、视频和代码。在一项新的研究中，HiddenLayer 的研究人员发现他们可以操纵谷歌的人工智能技术来生成选举错误信息，详细解释如何热连汽车，并导致其泄漏系统提示。

详情

https://www.darkreading.com/cyber-risk/google-gemini-vulnerable-to-content-manipulation-researchers-say

https://www.darkreading.com/cyber-risk/google-gemini-vulnerable-to-content-manipulation-researchers-say

Tor 的新 WebTunnel 桥模仿 HTTPS 流量来逃避审查

日期: 2024-03-13
标签: 信息技术, WebTunnel, HTTPS 流量

Tor 项目正式推出了 WebTunnel，这是一种新的桥接类型，专门设计用于通过隐藏明显的连接来帮助绕过针对 Tor 网络的审查制度。WebTunnel 是受 HTTPT 抗探测代理启发的抗审查可插拔传输，它采用了不同的方法。通过确保流量与 HTTPS 加密的网络流量混合，阻止 Tor 连接变得更加困难。由于阻止 HTTPS 也会阻止绝大多数与 Web 服务器的连接，因此 WebTunnel 连接也将被允许，从而通过协议允许列表和默认拒绝策略有效地规避网络环境中的审查。

详情

https://www.bleepingcomputer.com/news/security/tors-new-webtunnel-bridges-mimic-https-traffic-to-evade-censorship/

https://www.bleepingcomputer.com/news/security/tors-new-webtunnel-bridges-mimic-https-traffic-to-evade-censorship/

四分之三的网络事件受害者是小型企业

日期: 2024-03-13
标签: 信息技术, 网络事件

根据 Sophos 的一份新报告，2023 年超过四分之三的网络事件影响了小型企业，其中勒索软件对这些公司的影响最大。 LockBit 组织是 Sophos Incident Response 去年处理的小型企业勒索软件事件数量最多的组织，占 27.59%。LockBit 感染率明显高于第二高的群体：Akira (15.52%)、BlackCat (13.79%) 和 Play (10.34%)。该报告还强调了随着 2023 年的进展，勒索软件运营商所使用的不断变化的策略。这包括增加远程加密的使用，攻击者利用组织网络上的非托管设备尝试通过网络文件访问来加密其他系统上的文件。

详情

https://www.infosecurity-magazine.com/news/cyber-incident-victims-small/

https://www.infosecurity-magazine.com/news/cyber-incident-victims-small/

新型 PoC 攻击导致ChatGPT泄密

日期: 2024-03-14
标签: 信息技术, 谷歌DeepMind, Open AI

谷歌DeepMind、Open AI、苏黎世联邦理工学院、麦吉尔大学和华盛顿大学的研究团队开发了一种新的攻击方法，可以从专有的大型语言模型（LLM）中提取关键的架构信息，如ChatGPT和Google PaLM-2。这项研究展示了对手如何从LLM启用的聊天机器人中提取原本隐藏的数据，以便完全复制或窃取其功能。

详情

https://www.darkreading.com/cyber-risk/researchers-develop-new-attack-for-extracting-secrets-from-chatgpt-other-genai-tools

https://www.darkreading.com/cyber-risk/researchers-develop-new-attack-for-extracting-secrets-from-chatgpt-other-genai-tools

阿联酋网络安全报告：15.5万远程可访问资产易受攻击

日期: 2024-03-15
标签: 信息技术, 政府部门, 智慧城市项目, 阿联酋

阿联酋迅速采用信息技术和运营技术，显著增加了其攻击面，近15.5万个最近发现的远程可访问资产因配置错误和不安全应用程序而容易受到攻击。这些易受攻击的资产包括远程访问点、网络管理接口、不安全的网络设备和开放文件共享系统。根据最新发布的《2024年阿联酋网络安全报告》，容易受攻击的公共应用程序占攻击面的比例较小，而内部威胁占比增加。为了加强防御，政策制定者、企业和公民需要共同努力加固国家基础设施，提高整体网络安全。

详情

https://www.darkreading.com/threat-intelligence/150kplus-uae-network-devices-apps-exposed-online

https://www.darkreading.com/threat-intelligence/150kplus-uae-network-devices-apps-exposed-online

行业动向

YouTube取消未登录用户推荐视频

日期: 2024-03-11
标签: 信息技术, YouTube

YouTube现在不再向未登录Google账户或使用无痕模式的用户显示推荐视频，这让人们担心他们被迫总是要登录该服务。这一变化正在逐步推出，导致YouTube首页变得简单，没有任何视频或观看建议。用户在无痕模式下打开YouTube时会看到一条信息，上面写着“开始观看视频，帮助我们构建您喜爱的视频推荐列表”，不再推荐视频。

详情

https://www.bleepingcomputer.com/news/google/youtube-stops-recommending-videos-when-signed-out-of-google/

https://www.bleepingcomputer.com/news/google/youtube-stops-recommending-videos-when-signed-out-of-google/

Tuta Mail 添加了新的抗量子加密技术来保护电子邮件

日期: 2024-03-12
标签: 信息技术, 抗量子加密技术

2024年3月11日，Tuta Mail 宣布推出 TutaCrypt，这是一种新的后量子加密协议，可保护通信免受强大且预期的解密攻击。 Tuta Mail 是一项开源端到端加密电子邮件服务，致力于为政府开发后量子安全云存储和文件共享解决方案。TutaCrypt 结合了用于后量子密钥封装的 CRYSTALS-Kyber 和用于 Elliptic-Curve-Diffie-Hellmann 密钥交换的 X25519。与Signal 和 Apple (iMessage)等该领域的其他公司一样，Tuta 选择了混合模型方法，将最先进的量子安全算法与传统算法相结合，以提供针对当前和未来威胁的全面保护。

详情

https://www.bleepingcomputer.com/news/security/tuta-mail-adds-new-quantum-resistant-encryption-to-protect-email/

https://www.bleepingcomputer.com/news/security/tuta-mail-adds-new-quantum-resistant-encryption-to-protect-email/

非营利组织推出Tazama开源项目

日期: 2024-03-12
标签: 信息技术, 金融业, Tazama开源项目

一家非营利组织推出了第一个开源平台，旨在为非洲以及亚洲和中东部分地区的金融系统提供先进的反欺诈功能。Tazama开源项目是一种实时金融交易监控软件，可以由数字金融服务提供商部署，用于检测和阻止欺诈交易，并保护消费者账户。该项目由Linux基金会慈善基金和比尔及梅琳达·盖茨基金会资助，已在约旦和南非完成了alpha试点项目，并计划扩大部署。该项目已与西非国家中央银行（BCEAO）和菲律宾农村银行合作。

详情

https://www.darkreading.com/cyber-risk/anti-fraud-project-boosts-security-of-african-asian-financial-systems

https://www.darkreading.com/cyber-risk/anti-fraud-project-boosts-security-of-african-asian-financial-systems

美国国会投票通过禁止TikTok法案

日期: 2024-03-15
标签: 信息技术, 文化传播, 字节跳动（ByteDance）, 字节跳动

继上周众议院能源委员会通过禁止热门社交媒体应用程序 TikTok 后，国会于周三投票支持禁止该应用程序。该法案要求任何由“外国对手”控制的公司必须在 180 天内剥离。该法案提议将 TikTok 剥离给一家美国公司。如果字节跳动拒绝出售，美国的应用程序商店和网络托管服务将被禁止提供该应用程序，公司将因违规而面临罚款。

详情

https://www.darkreading.com/cyber-risk/tiktok-ban-raises-data-security-control-questions

https://www.darkreading.com/cyber-risk/tiktok-ban-raises-data-security-control-questions

勒索攻击

BianLian黑客利用PowerShell实施攻击

日期: 2024-03-12
标签: 信息技术, PowerShell,, BianLian

GuidePoint的研究和情报团队（GRIT）最近发现，BianLian威胁行为者已经转向只进行勒索活动。2023年1月，Avast发布了BianLian的解密工具后，该组织改变了其策略。在最近的一次事件响应中，GRIT与GuidePoint的DFIR团队合作，揭露了BianLian的作案方式的新细节。威胁行为者利用TeamCity服务器的漏洞获得了对受害者环境的初始访问，并利用BianLian GO后门的PowerShell实现执行了一系列恶意命令。入侵始于利用已知的TeamCity漏洞CVE-2024-27198和CVE-2023-42793，使威胁行为者渗透到受害者系统中。一旦进入系统，攻击者使用Windows命令浏览网络环境，最终破坏了两个构建服务器。

详情

https://www.infosecurity-magazine.com/news/bianlian-shifts-focus-extortion/

https://www.infosecurity-magazine.com/news/bianlian-shifts-focus-extortion/

EquiLend确认员工数据在勒索软件攻击中被盗

日期: 2024-03-12
标签: 信息技术, 金融业, 金融科技, EquiLend Holdings

EquiLend Holdings是一家总部位于纽约的证券借贷平台，最近确认他们的员工数据在一月份的勒索软件攻击中被盗。这家金融科技公司在1月22日被迫关闭部分系统以遏制被盗事件。虽然EquiLend没有立即披露事件的性质，但LockBit勒索软件声称对此次攻击负责。EquiLend在2月2日通过专门页面披露，一月份的被盗事件是由一起勒索软件攻击引起的。公司表示，虽然尚未发现客户交易数据被访问或外泄的证据，但未知攻击者确实窃取了员工的个人身份信息。EquiLend为受影响的员工提供了两年免费的身份盗窃保护服务。该公司成立于2001年，由包括美国银行美林、贝莱德、瑞士信贷、高盛、摩根大通、摩根士丹利、加拿大国家银行、北方信托、州街银行和瑞银在内的十家全球银行和经纪商共同建立。目前拥有330多名员工。

详情

https://www.bleepingcomputer.com/news/security/equilend-warns-employees-their-data-was-stolen-by-ransomware-gang/

https://www.bleepingcomputer.com/news/security/equilend-warns-employees-their-data-was-stolen-by-ransomware-gang/

其他事件

美国医疗公司UnitedHealth 恢复部分 Change Healthcare 药房服务

日期: 2024-03-11
标签: 卫生行业, Change Healthcare

2024 年 2 月 21 日，美国联合健康集团 (UnitedHealth Group) 遭受 ALPHV/BlackCat 勒索软件攻击，服务器据称被加密，导致大范围中断，公司关闭了 IT 系统。United Health Group (UHG) 是美国最大的健康保险公司，他们表示，预计关键药房和支付系统将在 3 月 18 日之前恢复并可用。

详情

https://www.bleepingcomputer.com/news/security/unitedhealth-brings-some-change-healthcare-pharmacy-services-back-online/

https://www.bleepingcomputer.com/news/security/unitedhealth-brings-some-change-healthcare-pharmacy-services-back-online/

俄罗斯对外情报局（SVR）指控美国密谋干预总统选举

日期: 2024-03-13
标签: 政府部门, 总统选举

俄罗斯对外情报局（SVR）声称，美国正密谋干预即将于本月举行的总统选举。据路透社报道，SVR 称，美国民族国家行为者计划对俄罗斯投票系统发起网络攻击，以扰乱运行并干扰计票过程。另一方面，俄罗斯政府否认对即将于11月举行的美国总统选举进行任何干预。

详情

https://securityaffairs.com/160405/intelligence/russia-svr-warns-interference-presidential-elections.html

https://securityaffairs.com/160405/intelligence/russia-svr-warns-interference-presidential-elections.html

韩国公民因网络间谍罪在俄罗斯被拘留

日期: 2024-03-13
标签: 政府部门, 信息技术, 网络间谍罪

俄罗斯当局以网络间谍罪名逮捕了一名韩国公民，这是首起涉及韩国公民的案件。在调查一起间谍案期间，一名韩国公民白元淳在符拉迪沃斯托克被认出并被拘留，并根据法院命令被拘留。他被从符拉迪沃斯托克转移到莫斯科接受进一步调查。俄罗斯情报部门认为白元淳正在向外国情报机构移交机密信息。

详情

https://securityaffairs.com/160396/breaking-news/russia-arrested-south-korean-national.html

https://securityaffairs.com/160396/breaking-news/russia-arrested-south-korean-national.html

LockBit 勒索组织成员被判四年监禁

日期: 2024-03-14
标签: 信息技术, LockBit 勒索软件

俄罗斯裔加拿大网络犯罪分子 Mikhail Vasiliev 因参与 LockBit 勒索软件操作而被安大略省法院判处四年监禁。Vasiliev 于 2022 年 11 月被捕，并于 2024 年 2 月承认八项指控，包括网络勒索、恶作剧和武器犯罪。Vasiliev 据信参与了该勒索软件团伙实施的 1000 起网络攻击，导致赎金要求超过 1 亿美元。2021 年至 2022 年间，Vasiliev 导致系统瘫痪的受害者中有许多是萨斯喀彻温省、蒙特利尔、纽芬兰和加拿大其他州的企业。

详情

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-affiliate-gets-four-years-in-jail-to-pay-860k/

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-affiliate-gets-four-years-in-jail-to-pay-860k/

美国FCC推出IoT产品网络安全标签计划

日期: 2024-03-15
标签: 政府部门, FCC

美国联邦通信委员会（FCC）将推出一项面向物联网（IoT）产品的自愿性网络安全标签计划，供消费者参考。在2024年3月14日的公开会议上，委员会一致通过了该计划，允许IoT制造商在符合国家标准与技术研究所（NIST）规定的最低标准的产品上贴上美国网络安全信任认证标志。这些标志以及相关的QR码将链接到产品注册表，提供更详细的安全信息，帮助消费者做出更明智的购买决策，同时也有助于企业区别其产品与竞争对手。

详情

https://www.darkreading.com/ics-ot-security/fcc-approves-voluntary-cyber-trust-labels-iot-products

https://www.darkreading.com/ics-ot-security/fcc-approves-voluntary-cyber-trust-labels-iot-products

产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360本地安全大脑

360安全分析响应平台

360威胁情报平台（TIP）

时间线

2024-03-11 360CERT发布安全周报

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

安全日报（2024.03.18）

Mon, 18 Mar 2024 20:06:00 +0800

原创 360CERT 2024-03-18 20:06 四川

安全日报（2024.03.18）

赶紧点击上方话题进行订阅吧！

Security Incident|安全事件

NIST停止CVE丰富化处理

https://urlqh.cn/oarwL

APT28利用欧洲和亚洲政府组织进行钓鱼活动

https://urlqh.cn/oarx6

GhostRace攻击利用speculative execution机制绕过操作系统检查

https://urlqh.cn/oareJ

AT&T否认涉及7100万人的数据泄露来源于其系统

https://urlqh.cn/oarzv

微软弹出广告推广Bing搜索引擎

https://urlqh.cn/oarDb

针对键盘的新声学侧通道攻击分析

https://urlqh.cn/oarDH

ShadowSyndicate利用aiohttp漏洞进行攻击

https://urlqh.cn/oarFA

GitHub存储库提供RisePro信息窃取软件

https://urlqh.cn/oarDd

爱尔兰HSE门户意外暴露百万公民个人健康信息

https://urlqh.cn/oarxF

麦当劳全球餐厅关闭原因揭秘

https://urlqh.cn/oarS5

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

安全日报（2024.03.15）

Fri, 15 Mar 2024 16:52:00 +0800

原创 360CERT 2024-03-15 16:52 四川

安全日报（2024.03.15）

赶紧点击上方话题进行订阅吧！

Security Incident|安全事件

可导致 Windows 节点接管的 Kubernetes 漏洞分析

https://urlqh.cn/oahdj

美国国会投票通过禁止TikTok法案

https://urlqh.cn/oagUs

美国阿拉巴马州政府和城市政府遭受网络攻击

https://urlqh.cn/oahcv

Fortinet修补了FortiClient EMS中的关键远程代码执行漏洞

https://urlqh.cn/oahd2

美国FCC推出IoT产品网络安全标签计划

https://urlqh.cn/oagT8

马拉维护照系统遭遇勒索软件攻击后恢复

https://urlqh.cn/oagEv

DarkGate恶意软件利用Windows SmartScreen绕过漏洞进行网络钓鱼活动

https://urlqh.cn/oahgv

阿联酋网络安全报告：15.5万远程可访问资产易受攻击

https://urlqh.cn/oagUe

思科IOS RX软件多个高危漏洞修复

https://urlqh.cn/oah2x

日产欧洲遭受勒索软件攻击，10万人受影响

https://urlqh.cn/oahjS

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

安全日报（2024.03.14）

Thu, 14 Mar 2024 19:50:00 +0800

原创 360CERT 2024-03-14 19:50 四川

安全日报（2024.03.14）

赶紧点击上方话题进行订阅吧！

Security Incident|安全事件

伊朗黑客对以色列大学进行供应链攻击

https://urlqh.cn/oacFv

新型 PoC 攻击导致ChatGPT泄密

https://urlqh.cn/oacR0

黑客利用 Windows SmartScreen 漏洞投放 DarkGate 恶意软件

https://urlqh.cn/oacDO

Fortinet 警告端点管理软件存在严重 RCE 漏洞

https://urlqh.cn/oacOB

PixPirate Android 恶意软件使用新策略隐藏在手机上

https://urlqh.cn/oach0

Kubernetes RCE 漏洞允许完全接管 Windows 节点

https://urlqh.cn/oacGc

游艇零售商 MarineMax遭受网络攻击

https://urlqh.cn/oabWP

PixPirate：巧妙隐藏的巴西银行木马病毒

https://urlqh.cn/oacUv

LockBit 勒索组织成员被判四年监禁

https://urlqh.cn/oacPS

黑客通过 AWS 和 GitHub 部署 VCURMS 和 STRRAT 木马

https://urlqh.cn/oacPn

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

https://msrc.microsoft.com/update-guide/releaseNote/2024-Mar

2024-03 补丁日: 微软多个漏洞安全更新通告

Wed, 13 Mar 2024 14:07:00 +0800

原创 360CERT 2024-03-13 14:07 四川

2024-03 补丁日: 微软多个漏洞安全更新通告

赶紧点击上方话题进行订阅吧！

报告编号：CERT-R-2024-740

报告来源：360CERT

报告作者：360CERT

更新日期：2024-03-13

漏洞简述

2024年03月13日，360CERT监测发现Microsoft发布了2024年3月安全更新，事件等级：严重，事件评分：10.0。

此次安全更新发布了59个漏洞补丁，主要覆盖了以下组件：Microsoft Windows and Windows Components; Office and Office Components; Azure; .NET Framework and Visual Studio; SQL Server; Windows Hyper-V; Skype; Microsoft Components for Android; and Microsoft Dynamics等。其中包含2个严重漏洞和57个高危漏洞。

对此，360CERT建议广大用户及时请做好资产自查以及预防工作，以免遭受黑客攻击。

风险等级

360CERT对该漏洞的评定结果如下

评定方式	等级
威胁等级	严重
影响面	广泛
攻击者价值	高
利用难度	高
360CERT评分	10

漏洞详情

CVE-2024-21407 远程代码执行漏洞

组件: Microsoft:Windows Server

漏洞类型: 程序逻辑错误

实际影响: 远程代码执行

主要影响: 设备完全控制

简述: 该漏洞存在于Windows Hyper-V中，是一个远程代码执行漏洞。攻击者可利用该漏洞操作系统上的用户在主机操作系统上执行任意代码。这通常称为用户到主机的逃逸，可用于影响服务器上的其他用户操作系统。

CVE-2024-26198 远程代码执行漏洞

组件: Microsoft:Exchange Server

漏洞类型: DLL劫持

实际影响: 远程代码执行

主要影响: 设备完全控制

简述: 该漏洞存在于Microsoft Exchange Server，是一个远程代码执行漏洞。该漏洞是一个典型的DLL加载漏洞，攻击者精心构造一个恶意文件然后诱骗用户打开，该文件会加载精心设计的 DLL 并导致代码执行。

CVE-2024-21334 远程代码执行漏洞

组件: Microsoft:Open Management Infrastructure, Microsoft:System Center Operations Manage

漏洞类型: 程序逻辑错误

实际影响: 远程代码执行

主要影响: 设备完全控制

简述: 该漏洞存在于开放管理基础设施 (OMI)，是一个远程代码执行漏洞。未经身份验证的远程攻击者可利用该漏洞，在 Internet 上的 OMI 实例上执行代码。

CVE-2024-21400 用户权限提升漏洞

组件: Microsoft:Azure Kubernetes Service Confidential Containers

漏洞类型: 权限提升

实际影响: 用户权限提升

主要影响: 服务器接管, 敏感数据窃取

简述: 该漏洞存在于Microsoft Azure Kubernetes 服务机密容器，是一个特权提升漏洞。未经身份验证的远程攻击者可利用该漏洞，访问不受信任的 AKS Kubernetes 节点和 AKS 机密容器，以接管机密用户和容器，进而窃取凭据并影响其他资源。

影响版本

CVE-2024-21407

组件	影响版本	安全版本
Microsoft:Windows Server	2012,2016,2019,2022	请跟随系统升级

CVE-2024-26198

组件	影响版本	安全版本
Microsoft:Exchange Server	2016,2019	请跟随系统升级

CVE-2024-21334

组件	影响版本	安全版本
Microsoft:Open Management Infrastructure	-	请跟随系统更新
Microsoft:System Center Operations Manage	2019,2012	请跟随系统更新

CVE-2024-21400

组件	影响版本	安全版本
Microsoft:Azure Kubernetes Service Confidential Containers	-	请跟随系统更新

修复建议

通用修补建议

根据影响版本中的信息，排查并升级到安全版本，或直接访问参考链接获取官方更新指南。

产品侧解决方案

若想了解更多产品信息或有相关业务需求，可移步至http://360.net。

360威胁情报平台（TIP）

360安全分析响应平台

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360终端安全管理系统

360终端安全管理系统在360安全大脑极智赋能下，以云计算、大数据、人工智能等新技术为支撑，是面向企业级客户提供端点安全（EPP)、主机安全(CDR\CWPP)、高级威胁检测与响应(EDR)等各类能力和功能的同一平台管理产品。

创新领先的场景化管理方式，对勒索防护、挖矿防护、HW对抗、重大事件保障、APT防护、等保合规、数据安全防护等场景实现高效的终端安全运营管理。

时间线

2024年03月12日 微软官方发布通告

2024年03月13日 360CERT发布通告

参考链接

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

安全日报（2024.03.13）

Wed, 13 Mar 2024 14:07:00 +0800

原创 360CERT 2024-03-13 14:07 四川

安全日报（2024.03.13）

赶紧点击上方话题进行订阅吧！

Security Incident|安全事件

俄罗斯对外情报局（SVR）指控美国密谋干预总统选举

https://urlqh.cn/oa7O2

谷歌的 Gemini AI 容易受到内容操纵

https://urlqh.cn/oa7yc

宏碁证实菲律宾员工数据在黑客论坛上泄露

https://urlqh.cn/oa7CP

2023 年GitHub 上泄露了超过 1200 万个身份验证秘密和密钥

https://urlqh.cn/oa7Lw

Tor 的新 WebTunnel 桥模仿 HTTPS 流量来逃避审查

https://urlqh.cn/oa7CA

黑客组织Magnet Goblin迅速利用 Ivanti 1-Day Bug

https://urlqh.cn/oa7oN

韩国公民因网络间谍罪在俄罗斯被拘留

https://urlqh.cn/oa7GH

恶意软件活动利用 Popup Builder WordPress 插件感染 3,900 多个网站

https://urlqh.cn/oa7vb

新的云攻击在发布前针对加密 CDN Meson

https://urlqh.cn/oa7MY

四分之三的网络事件受害者是小型企业

https://urlqh.cn/oa7Oj

Andariel滥用韩国资产管理解决方案进行攻击

https://urlqh.cn/oa7N9

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

安全日报（2024.03.12）

Tue, 12 Mar 2024 17:54:00 +0800

原创 360CERT 2024-03-12 17:54 四川

安全日报（2024.03.12）

赶紧点击上方话题进行订阅吧！

Security Incident|安全事件

BianLian黑客利用PowerShell实施攻击

https://urlqh.cn/oa2p0

Leather加密货币钱包警告假应用

https://urlqh.cn/oa1R2

Tuta Mail 添加了新的抗量子加密技术来保护电子邮件

https://urlqh.cn/oa2kG

Okta否认公司数据泄露

https://urlqh.cn/oa2rH

研究人员揭露了可用于网络攻击的 Microsoft SCCM 错误配置

https://urlqh.cn/oa1AJ

EquiLend确认员工数据在勒索软件攻击中被盗

https://urlqh.cn/oa2j2

超过 15,000 个Roku 帐户数据泄露

https://urlqh.cn/oa2cm

非营利组织推出Tazama开源项目

https://urlqh.cn/oa21B

WordPress网站遭受Popup Builder插件漏洞攻击

https://urlqh.cn/oa2jh

新银行木马 CHAVECLOAK 通过网络钓鱼策略瞄准巴西用户

https://urlqh.cn/oa2gR

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

https://thehackernews.com/2024/03/new-bifrose-linux-malware-variant-using.html

安全事件周报 2024-03-04 第10周

Mon, 11 Mar 2024 17:43:00 +0800

原创 360CERT 2024-03-11 17:43 四川

安全事件周报 2024-03-04 第10周

赶紧点击上方话题进行订阅吧！

报告编号：CERT-R-2024-736

报告来源：360CERT

报告作者：360CERT

更新日期：2024-03-11

事件导览

本周收录安全热点53项，话题集中在网络攻击、恶意软件、安全漏洞，主要涉及的实体有：Meta（原Facebook）、乌克兰国防部主要情报局（GUR）、越南等，主要涉及的黑客组织有：TA4903、Black Basta、Lotus Bane等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

事件目录

恶意软件
新Linux变种BIFROSE木马伪装成VMware欺骗用户
GTPDOOR Linux 恶意软件针对移动运营商网络
NSO Group被命令向Meta交出Pegasus间谍软件源代码
ScreenConnect 漏洞被利用来投放新的 ToddleShark 恶意软件
Hugging Face平台发现多达100个恶意AI/ML模型
新型跨平台恶意软件“WogRAT”利用在线记事本平台进行攻击
朝鲜黑客利用ConnectWise ScreenConnect漏洞部署新型TODDLERSHARK恶意软件
Kimsuky利用ScreenConnect漏洞部署BABYSHARK的变种TODDLERSHARK
Linux 恶意软件针对 Docker、Apache Hadoop、Redis 和 Confluence
Bifrost远程访问木马（RAT）的新Linux变种利用拼写错误来规避检测
Facebook消息传播Snake恶意软件

数据安全
美国运通警告第三方数据泄露
超过 225,000 个被盗的 ChatGPT 凭证在暗网市场上出售

网络攻击
黑客针对 FCC 和加密货币公司发起 Okta 网络钓鱼攻击
新型网络钓鱼工具CryptoChameleon针对加密货币服务发动攻击
美国网络安全机构警告：Phobos勒索软件攻击政府和关键基础设施
乌克兰GUR声称入侵俄罗斯国防部服务器
韩国NIS警告：朝鲜黑客瞄准半导体制造商进行网络间谍攻击
黑客在网络钓鱼攻击中窃取 Windows NTLM 身份验证哈希值
乌克兰GUR黑客入侵俄罗斯国防部
TA4903黑客团伙利用BEC攻击冒充美国政府实施金融欺诈
黑客利用配置错误的 YARN、Docker、Confluence、Redis 服务器进行加密货币挖矿
新 APT 组织“Lotus Bane”攻击越南金融实体
TA4903 网络钓鱼活动针对美国政府
宠物用品厂商PetSmart警告客户凭证填充攻击
Evasive Panda发起针对藏族人的网络间谍活动
摩尔多瓦警告俄罗斯混合攻击
WordPress站点遭受分布式暴力攻击

安全漏洞
CISA 警告恶意软件攻击中 Microsoft Streaming 漏洞被利用
五眼联盟警告攻击者利用 IVANTI 网关漏洞进行攻击
TeamCity存在身份验证绕过漏洞
苹果发布紧急安全更新修复iOS零日漏洞
JetBrains TeamCity 内部部署的严重漏洞可能导致服务器被接管
VMware 发布针对 ESXi、Workstation 和 Fusion 漏洞的安全补丁
Flipper Zero WiFi 网络钓鱼攻击可以解锁并窃取特斯拉汽车
AnyCubic 使用新固件修复了 3D 打印机零日漏洞

安全分析
美国指控伊朗黑客攻击美国政府和国防实体
疑似Kimsuky通过网络钓鱼活动窃取Google和Naver凭据
黑客在木马诈骗活动中使用 Skype、Google Meet 和 Zoom
FBI：2023 年美国因网络犯罪损失125 亿美元

行业动向
德国警方查获最大的德语网络犯罪市场 CRIMEMARKET
美国国家安全局发布零信任框架指导
CISA、NSA 分享保护云服务的最佳实践

勒索攻击
美国执法机构对 PHOBOS 勒索软件攻击发出警告
瑞士政府承认Play勒索软件泄露65,000份政府文件

其他事件
APT37利用朝鲜政治话题针对韩国的攻击活动分析
黑猫勒索软件团伙关闭服务器
NoName057(16)组织在俄乌冲突中改变战术
全球范围内Facebook和Instagram宕机
美国对Predator商业间谍软件相关方实施制裁
黑客滥用 QEMU 在网络攻击中秘密窃取网络流量
欧盟同意《网络团结法案》以加强事件响应和恢复
美国制裁 Predator 间谍软件制造商 Intellexa

恶意软件

新Linux变种BIFROSE木马伪装成VMware欺骗用户

日期: 2024-03-04
标签: 信息技术, Linux变种, BlackTech黑客组织

研究人员发现了一种名为BIFROSE的远程访问特洛伊木马（RAT）的新Linux变种，该木马使用了一个伪装成VMware的欺骗性域名。BIFROSE自2004年以来一直是一种长期存在的威胁，最新变种尝试绕过安全措施并攻击目标系统。该木马曾被BlackTech黑客组织使用，并且具有远程执行命令、文件下载/上传和文件操作等功能。最新变种还使用了欺骗性域名策略，表明其危险性不断演变。同时，McAfee Labs和Trustwave SpiderLabs也报告了与BIFROSE相关的新攻击活动。

详情

https://thehackernews.com/2024/03/new-bifrose-linux-malware-variant-using.html

GTPDOOR Linux 恶意软件针对移动运营商网络

日期: 2024-03-04
标签: 信息技术, GTPDOOR

安全研究人员 HaxRob 发现了一个以前未知的 Linux 后门，名为 GTPDOOR，专为移动运营商网络内的秘密操作而设计。GTPDOOR 背后的威胁行为者被认为以 GPRS 漫游交换 (GRX) 附近的系统为目标，例如 SGSN、GGSN 和 P-GW，这些系统可以为攻击者提供对电信核心网络的直接访问。由于SGSN、GGSN和P-GW网络更多地暴露在公众面前，IP地址范围列在公开文件中，研究人员认为它们可能是获得移动运营商网络初始访问权限的目标。

详情

https://www.bleepingcomputer.com/news/security/stealthy-gtpdoor-linux-malware-targets-mobile-operator-networks/

https://www.bleepingcomputer.com/news/security/stealthy-gtpdoor-linux-malware-targets-mobile-operator-networks/

NSO Group被命令向Meta交出Pegasus间谍软件源代码

日期: 2024-03-04
标签: 信息技术, Pegasus间谍软件

美国法院裁定监视公司NSO Group向Meta交出Pegasus间谍软件等产品的源代码。Meta赢得了针对以色列间谍软件供应商NSO Group的诉讼，美国法官命令监视公司向这家社交网络巨头交出其Pegasus间谍软件和其他产品的源代码。NSO Group被要求提供相关间谍软件的完整功能细节，包括涉及的间谍软件的攻击前一年到攻击后一年的时间段（即从2018年4月29日到2020年5月10日）。

详情

https://securityaffairs.com/159847/security/nso-group-vs-meta-pegasus-hand-over.html

https://securityaffairs.com/159847/security/nso-group-vs-meta-pegasus-hand-over.html

ScreenConnect 漏洞被利用来投放新的 ToddleShark 恶意软件

日期: 2024-03-05
标签: 信息技术, ToddleShark, ScreenConnect

朝鲜 APT 黑客组织 Kimsuky 正在利用 ScreenConnect 漏洞（特别是 CVE-2024-1708 和 CVE-2024-1709），用名为 ToddleShark 的新恶意软件变体感染目标。Kimsuky（又名铊和天鹅绒千里马）是朝鲜国家支持的黑客组织，以对世界各地的组织和政府进行网络间谍攻击而闻名。攻击者正在利用 2024 年 2 月 20 日披露的身份验证绕过和远程代码执行漏洞， ConnectWise 敦促 ScreenConnect 客户立即将其服务器升级到版本 23.9.8 或更高版本。次日，这两个漏洞的公开利用程序被发布，包括勒索软件攻击者在内的黑客很快开始在实际攻击中利用这些漏洞。

详情

https://www.bleepingcomputer.com/news/security/screenconnect-flaws-exploited-to-drop-new-toddleshark-malware/

https://www.bleepingcomputer.com/news/security/screenconnect-flaws-exploited-to-drop-new-toddleshark-malware/

Hugging Face平台发现多达100个恶意AI/ML模型

日期: 2024-03-05
标签: 信息技术, Hugging Face平台, ComPromptMized攻击

Hugging Face平台发现多达100个恶意人工智能（AI）/机器学习（ML）模型。这些模型包括加载pickle文件导致代码执行的情况，软件供应链安全公司JFrog表示。高级安全研究员David Cohen指出：“模型的载荷赋予攻击者对受损机器的shell，使其能够通过后门获取对受害者机器的完全控制。”这些发现再次凸显开源代码库中潜在的威胁，可能被用于恶意活动。研究人员已经设计出一种名为BEAST的技术，可以有效生成提示，用于引诱大型语言模型（LLMs）产生有害响应。此外，安全研究人员开发了一种名为Morris II的生成式AI蠕虫，能够窃取数据并通过多个系统传播恶意软件。这种攻击技术被称为ComPromptMized，与传统的缓冲区溢出和SQL注入类似，因为它将代码嵌入到查询中，并将数据插入到已知包含可执行代码的区域。

详情

https://thehackernews.com/2024/03/over-100-malicious-aiml-models-found-on.html

https://thehackernews.com/2024/03/over-100-malicious-aiml-models-found-on.html

新型跨平台恶意软件“WogRAT”利用在线记事本平台进行攻击

日期: 2024-03-06
标签: 信息技术, WogRAT, aNotepad

一种名为“WogRAT”的新型恶意软件同时针对Windows和Linux系统进行攻击，利用名为“aNotepad”的在线记事本平台作为存储和检索恶意代码的隐秘通道。据安全情报公司安全研究中心（ASEC）的研究人员称，该恶意软件自2022年末以来一直活跃，主要针对日本、新加坡、中国、香港等亚洲国家。该恶意软件利用aNotepad平台存储base64编码的.NET二进制文件，以Adobe工具的伪装形式在Windows系统上运行，而Linux版本则采用ELF格式。该恶意软件通过C2服务器发送受感染系统的基本配置信息，并接收执行命令。支持的功能包括运行命令、从指定URL下载文件、上传文件到C2、等待指定时间（以秒为单位）和终止进程。Linux版本使用Tiny Shell进行路由操作，并在与C2的通信中加入额外加密。该恶意软件与LightBasin、OldGremlin、UNC4540等多个攻击者有关。

详情

https://www.bleepingcomputer.com/news/security/new-wograt-malware-abuses-online-notepad-service-to-store-malware/

https://www.bleepingcomputer.com/news/security/new-wograt-malware-abuses-online-notepad-service-to-store-malware/

朝鲜黑客利用ConnectWise ScreenConnect漏洞部署新型TODDLERSHARK恶意软件

日期: 2024-03-06
标签: 信息技术, TODDLERSHARK, ConnectWise ScreenConnect

朝鲜黑客利用最近披露的ConnectWise ScreenConnect安全漏洞部署了一种名为TODDLERSHARK的新型恶意软件。据Kroll与The Hacker News分享的报告称，TODDLERSHARK与已知的Kimsuky恶意软件（如BabyShark和ReconShark）存在重叠。所涉及的 ConnectWise 漏洞是CVE-2024-1708 和 CVE-2024-1709，这些漏洞于上个月曝光，此后遭到多个攻击者的大量利用，以传播加密货币挖矿程序、勒索软件、远程访问木马和窃取恶意软件。

详情

https://thehackernews.com/2024/03/hackers-exploit-connectwise.html

https://thehackernews.com/2024/03/hackers-exploit-connectwise.html

Kimsuky利用ScreenConnect漏洞部署BABYSHARK的变种TODDLERSHARK

日期: 2024-03-07
标签: 信息技术, ScreenConnect, TODDLERSHARK, APT舆情

Kroll网络威胁情报(CTI)团队发现了新的恶意软件，类似于基于VBScript的BABYSHARK恶意软件，Kroll称之为TODDLERSHARK。该恶意软件在利用ScreenConnect应用程序漏洞后被用于后渗透活动。多个来源已将BABYSHARK与Kroll追踪为KTA082(Kimsuky)的威胁组织关联起来。该恶意软件利用合法的Microsoft二进制和备用数据流，并表现出多态行为的元素。

详情

https://www.kroll.com/en/insights/publications/cyber/screenconnect-vulnerability-exploited-to-deploy-babyshark

https://www.kroll.com/en/insights/publications/cyber/screenconnect-vulnerability-exploited-to-deploy-babyshark

Linux 恶意软件针对 Docker、Apache Hadoop、Redis 和 Confluence

日期: 2024-03-07
标签: 信息技术, CVE-2022-26134, Golang

安全研究人员发现了一种新兴的恶意软件活动，目标是托管 Apache Hadoop YARN、Docker、Confluence 和 Redis 等面向 Web 的服务的配置错误的服务器。该活动因采用新颖的 Golang 有效负载而闻名，该有效负载旨在自动识别和利用易受攻击的主机。这些有效负载通过利用常见的错误配置和 Confluence 漏洞 CVE-2022-26134 来促进远程代码执行 (RCE) 攻击。获得初始访问权限后，攻击者会部署 shell 脚本和 Linux 攻击技术来建立持久性并执行加密货币挖掘程序。尽管在归因方面存在挑战，但 shell 脚本有效负载的相似性暗示了与 TeamTNT、WatchDog 和 Kiss a Dog 活动等威胁参与者之前的云攻击的潜在联系。

详情

https://www.infosecurity-magazine.com/news/linux-malware-targets-docker/

https://www.infosecurity-magazine.com/news/linux-malware-targets-docker/

Bifrost远程访问木马（RAT）的新Linux变种利用拼写错误来规避检测

日期: 2024-03-08
标签: 信息技术, Bifrost, Linux变种

一种名为Bifrost的远程访问木马（RAT）最近出现了新变种，针对Linux系统，并且冒充受信任的托管域名以规避检测。这种新的Linux变种利用拼写错误来模仿合法的VMware域名，从而使该恶意软件能够避开监测。研究人员还发现，攻击者试图通过恶意IP地址扩大Bifrost的攻击范围，包括针对ARM架构设备的变种。攻击者通常通过电子邮件附件或恶意网站来传播Bifrost，一旦安装在受害者的计算机上，Bifrost会与一个看似合法的VMware域名的C2域名建立联系，并使用RC4加密算法来加密用户数据。研究人员建议企业使用下一代防火墙产品和云特定安全服务来保护云环境。他们还分享了一些关于最新Bifrost Linux变种的威胁指标，以及防范这种恶意软件的建议。

详情

https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-

https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-

Facebook消息传播Snake恶意软件

日期: 2024-03-08
标签: 信息技术, Meta（原Facebook）, Snake, Facebook

研究人员警告称，威胁行为者正在利用Facebook消息传播一种名为Snake的基于Python的信息窃取恶意软件。研究人员发现，威胁行为者正在利用Facebook消息传播Snake恶意软件，这是一种基于Python的信息窃取工具。他们注意到，威胁行为者正在使用三种不同的Python Infostealer变种。其中两种是常规的Python脚本，而第三种变种是由PyInstaller组装而成的可执行文件。一旦恶意软件从感染的系统中窃取了凭据，它会通过滥用Discord、GitHub和Telegram的API将它们传输到不同的平台上。这次活动至少从2023年8月开始，当时一位网络安全研究人员在X上披露了这一情况。威胁行为者向受害者发送Facebook Messenger直接消息，试图诱使他们下载存档文件，如RAR或ZIP文件。存档文件包含两个下载器，一个批处理脚本和一个cmd脚本，最终下载器用于在受害者的系统上放置适当的Python Infostealer变种。

详情

https://securityaffairs.com/160131/malware/snake-info-stealer.html

https://securityaffairs.com/160131/malware/snake-info-stealer.html

数据安全

美国运通警告第三方数据泄露

日期: 2024-03-05
标签: 信息技术, 美国运通

美国运通警告客户，由于一家商户处理器遭到黑客攻击，信用卡可能会在第三方数据泄露中受到影响。该事件并非由美国运通的数据泄露引起，而是由一家商户处理器引起，该商户处理器处理了美国运通会员的数据。黑客已经获取了客户的美国运通卡账号、姓名和卡片过期日期。目前尚不清楚有多少客户受到影响，哪家商户处理器遭到了入侵，以及攻击发生的时间。美国运通建议客户在接下来的12至24个月内审查账单，并报告任何可疑行为。他们还建议客户通过美国运通移动应用程序启用即时通知，以接收有关欺诈警报和购买情况的通知。

详情

https://www.bleepingcomputer.com/news/security/american-express-credit-cards-exposed-in-third-party-data-breach/

https://www.bleepingcomputer.com/news/security/american-express-credit-cards-exposed-in-third-party-data-breach/

超过 225,000 个被盗的 ChatGPT 凭证在暗网市场上出售

日期: 2024-03-06
标签: 信息技术, ChatGPT 凭证, 暗网市场

Group-IB 的新调查结果显示，2023 年 1 月至 10 月期间，超过 225,000 份包含受损 OpenAI ChatGPT 凭证的日志在地下市场上出售。这些凭据是在与 LummaC2、Raccoon 和 RedLine 窃取者恶意软件相关的信息窃取者日志中找到的。2023 年 6 月至 10 月期间，超过 130,000 个能够访问 OpenAI ChatGPT 的独特主机遭到渗透，比 2023 年前 5 个月观察到的情况增加了 36%。待售 ChatGPT 凭证数量急剧增加是由于感染信息窃取程序的主机数量总体增加，这些信息窃取程序的数据随后在市场或 UCL 中出售。

详情

https://thehackernews.com/2024/03/over-225000-compromised-chatgpt.html

https://thehackernews.com/2024/03/over-225000-compromised-chatgpt.html

网络攻击

黑客针对 FCC 和加密货币公司发起 Okta 网络钓鱼攻击

日期: 2024-03-04
标签: 信息技术, Okta

一种名为 CryptoChameleon 的新网络钓鱼工具包被用于针对联邦通信委员会 (FCC) 员工，该工具包使用专门为 Okta 制作的单点登录 (SSO) 页面，这些页面与原始页面非常相似。该活动还针对 Binance、Coinbase、Kraken 和 Gemini 等加密货币平台的用户和员工，使用冒充 Okta、Gmail、iCloud、Outlook、Twitter、Yahoo 和 AOL 的网络钓鱼页面。攻击者精心策划了复杂的网络钓鱼和社会工程攻击，包括电子邮件、短信和语音网络钓鱼，以欺骗受害者在网络钓鱼页面上输入敏感信息，例如用户名、密码，在某些情况下甚至包括带照片的身份证件。

详情

https://www.bleepingcomputer.com/news/security/hackers-target-fcc-crypto-firms-in-advanced-okta-phishing-attacks/

https://www.bleepingcomputer.com/news/security/hackers-target-fcc-crypto-firms-in-advanced-okta-phishing-attacks/

新型网络钓鱼工具CryptoChameleon针对加密货币服务发动攻击

日期: 2024-03-04
标签: 信息技术, 金融业, CryptoChameleon

一种新型网络钓鱼工具被发现冒充知名加密货币服务的登录页面，作为一个名为CryptoChameleon的攻击集群的一部分，主要针对移动设备进行攻击。这种工具使攻击者能够复制单一登录(SSO)页面，然后利用电子邮件、短信和语音网络钓鱼的组合来诱使目标分享用户名、密码、密码重置URL甚至数百名受害者的身份证照片，主要集中在美国。受攻击的目标包括美国联邦通信委员会(FCC)的员工，以及Binance、Coinbase等加密货币平台的用户。迄今为止，已有100多名受害者被成功钓鱼。

详情

https://thehackernews.com/2024/03/new-phishing-kit-leverages-sms-voice.html

https://thehackernews.com/2024/03/new-phishing-kit-leverages-sms-voice.html

美国网络安全机构警告：Phobos勒索软件攻击政府和关键基础设施

日期: 2024-03-05
标签: 信息技术, Phobos勒索软件

美国网络安全和情报机构对针对政府和关键基础设施实体的Phobos 勒索软件攻击发出警告，并概述了攻击者部署文件加密恶意软件所采用的各种策略和技术。Phobos 勒索软件采用勒索软件即服务 (RaaS) 模式，其目标包括市县政府、紧急服务、教育、公共医疗保健和关键基础设施等实体，成功勒索了数百万美元。该警告来自美国网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI) 和多州信息共享与分析中心 (MS-ISAC)。

详情

https://thehackernews.com/2024/03/phobos-ransomware-aggressively.html

https://thehackernews.com/2024/03/phobos-ransomware-aggressively.html

乌克兰GUR声称入侵俄罗斯国防部服务器

日期: 2024-03-05
标签: 信息技术, Minoborony

乌克兰国防部的主要情报总局（GUR）声称成功侵入俄罗斯国防部（Minoborony）的服务器，并窃取了敏感文件。官方发布的新闻稿称此次攻击是GUR网络专家进行的“特别行动”。据称，GUR获取了包括俄罗斯国防部用于保护和加密数据的软件、大量涉及俄罗斯国防部2000多个结构单位的机密文件，以及揭示Minoborony系统完整结构及其联系的信息。此外，还找到了使用名为“bureaucracy”电子文档管理软件的Minoborony高级领导和专家的身份信息，以及俄罗斯副国防部长伊万诺夫的文件。尽管未透露具体细节，但新闻稿指出特定部长伊万诺夫在此次网络攻击中扮演了重要角色。

详情

https://www.bleepingcomputer.com/news/security/ukraine-claims-it-hacked-russian-ministry-of-defense-servers/

https://www.bleepingcomputer.com/news/security/ukraine-claims-it-hacked-russian-ministry-of-defense-servers/

韩国NIS警告：朝鲜黑客瞄准半导体制造商进行网络间谍攻击

日期: 2024-03-05
标签: 制造业, 半导体制造商

韩国国家情报院（NIS）警告称，朝鲜黑客针对国内半导体制造商进行网络间谍攻击。NIS表示，这些攻击在2023年下半年增加，并一直持续至最近，针对易受已知漏洞影响的暴露在互联网上的服务器，以获取对企业网络的初始访问权限。一旦网络被入侵，威胁行为者就会从保存敏感文件和数据的服务器中窃取数据。NIS观察到的案例中，朝鲜对手使用了"利用合法软件工具进行恶意目的"的战术，以逃避安全产品的检测。报告中提到至少有两起网络攻击事件，分别发生在2023年12月和2024年2月，公司的配置管理和安全策略服务器遭到黑客攻击。据报道，这导致产品设计图纸和设施场地照片等敏感数据被泄露。

详情

https://www.bleepingcomputer.com/news/security/north-korea-hacks-two-south-korean-chip-firms-to-steal-engineering-data/

https://www.bleepingcomputer.com/news/security/north-korea-hacks-two-south-korean-chip-firms-to-steal-engineering-data/

黑客在网络钓鱼攻击中窃取 Windows NTLM 身份验证哈希值

日期: 2024-03-05
标签: 信息技术, Black Basta

名为 TA577 的黑客组织最近改变了策略，使用网络钓鱼电子邮件窃取 NT LAN Manager (NTLM) 身份验证哈希值来执行帐户劫持。TA577 被认为是初始访问代理 (IAB)，之前与 Qbot 相关并与 Black Basta 勒索软件感染有关。电子邮件安全公司 Proofpoint 报告称，尽管 TA577 最近表现出部署 Pikabot 的偏好，但最近的两波攻击却展示了不同的策略。2024 年 2 月 26 日至 27 日发起的不同 TA577 活动向全球数百个组织传播了数千条消息，针对员工的 NTLM 哈希值。NTLM 哈希在 Windows 中用于身份验证和会话安全，并且可以捕获用于离线密码破解以获得明文密码。此外，它们还可用于根本不涉及破解的“传递哈希”攻击，其中攻击者使用哈希来对远程服务器或服务进行身份验证。

详情

https://www.bleepingcomputer.com/news/security/hackers-steal-windows-ntlm-authentication-hashes-in-phishing-attacks/

https://www.bleepingcomputer.com/news/security/hackers-steal-windows-ntlm-authentication-hashes-in-phishing-attacks/

乌克兰GUR黑客入侵俄罗斯国防部

日期: 2024-03-06
标签: 政府部门, 乌克兰国防部主要情报局（GUR）

乌克兰国防部主要情报局（GUR）宣布，作为一项特别行动的一部分，它侵入了俄罗斯国防部的服务器，并泄露了机密文件。被盗的文件包括：机密文件，包括在俄罗斯军队 2000 多个单位中流传的命令和报告、俄罗斯国防部用来加密和保护其数据的软件、属于俄罗斯战争部的特工文件集。被盗的文件使乌克兰总情报局的情报分析员能够描绘出俄罗斯国防部系统及其各个单位的综合结构。这些文件披露了俄罗斯国防部的领导层，包括俄罗斯国防部各部门的其他高级官员。这包括代表、助理和专家，以及使用被称为“官僚”的电子文件管理系统的个人。

详情

https://securityaffairs.com/159981/cyber-warfare-2/ukraine-gur-hacked-russian-ministry-of-defense.html

https://securityaffairs.com/159981/cyber-warfare-2/ukraine-gur-hacked-russian-ministry-of-defense.html

TA4903黑客团伙利用BEC攻击冒充美国政府实施金融欺诈

日期: 2024-03-07
标签: 信息技术, 政府部门, TA4903, BEC攻击, 金融欺诈

一群黑客团伙TA4903专门从事商业电子邮件欺诈（BEC）攻击，冒充美国政府机构，诱使目标打开携带虚假竞标流程链接的恶意文件。根据Proofpoint的分析，这些威胁行为者冒充美国交通部、美国农业部（USDA）和美国小型企业管理局（SBA）。他们利用QR码在PDF文档附件中进行诱骗，重定向受害者至伪装成冒充美国政府机构官方门户网站的钓鱼网站。TA4903的活动主要以金融为动机，包括未经授权访问企业网络或电子邮件账户，搜索关键词以进行金融欺诈，并进行BEC攻击。他们不断发起大规模电子邮件攻击，主要针对美国的组织。最近，他们从冒充美国政府机构转向冒充小型企业。因此，采用全面的多层安全策略是最有效的减轻这些威胁的方法。

详情

https://www.bleepingcomputer.com/news/security/hackers-impersonate-us-government-agencies-in-bec-attacks/

https://www.bleepingcomputer.com/news/security/hackers-impersonate-us-government-agencies-in-bec-attacks/

黑客利用配置错误的 YARN、Docker、Confluence、Redis 服务器进行加密货币挖矿

日期: 2024-03-07
标签: 金融业, 信息技术, 加密货币挖矿

攻击者将运行 Apache Hadoop YARN、Docker、Atlassian Confluence 和 Redis 服务的配置错误且易受攻击的服务器作为新兴恶意软件活动的一部分，旨在提供加密货币挖掘程序并生成用于持久远程访问的反向 shell。Cado 安全研究员表示，攻击者利用这些工具发布漏洞利用代码，利用常见的错误配置和 N 天漏洞，进行远程代码执行 (RCE) 攻击并感染新主机。该活动被云安全公司命名为Spinning YARN ，与TeamTNT、WatchDog和被称为Kiss-a-dog的集群的云攻击重叠。

详情

https://thehackernews.com/2024/03/hackers-exploit-misconfigured-yarn.html

https://thehackernews.com/2024/03/hackers-exploit-misconfigured-yarn.html

新 APT 组织“Lotus Bane”攻击越南金融实体

日期: 2024-03-07
标签: 信息技术, 越南, Lotus Bane

越南的一家金融实体是先前未记录的名为Lotus Bane 的攻击者的目标，该攻击者于 2023 年 3 月首次被发现。总部位于新加坡的 Group-IB 将该黑客组织描述为一个先进的持续威胁组织，据信该组织至少自 2022 年以来就一直活跃。感染链的具体细节尚不清楚，但它涉及使用各种恶意工件，作为下一阶段的垫脚石。网络犯罪分子使用 DLL 侧面加载和通过命名管道进行数据交换等方法来运行恶意可执行文件并创建远程计划任务以进行横向移动。Lotus Bane 使用的技术与OceanLotus的技术重叠，OceanLotus 是一个与越南结盟的威胁组织，也称为 APT32、Canvas Cyclone（以前称为 Bismuth）和 Cobalt Kitty。

详情

https://thehackernews.com/2024/03/new-apt-group-lotus-bane-behind-recent.html

https://thehackernews.com/2024/03/new-apt-group-lotus-bane-behind-recent.html

TA4903 网络钓鱼活动针对美国政府

日期: 2024-03-07
标签: 政府部门, 能源业, TA4903

据观察，TA4903 组织对美国政府机构和各行业的私营企业进行了广泛的欺骗。虽然 TA4903 主要针对美国境内的组织，但偶尔也会通过大量电子邮件活动将其影响范围扩展到全球。正如 Proofpoint 在今天发布的新公告中所报告的，这些活动的总体目标是窃取企业凭证、渗透邮箱以及随后的商业电子邮件泄露 (BEC) 活动。从 2021 年 12 月开始，Proofpoint 开始观察一系列欺骗美国联邦政府实体的活动。这些活动后来被认为是 TA4903 所为，最初冒充美国劳工部，随后几年又伪装成其他政府部门。值得注意的是，从 2023 年中期到 2024 年，TA4903 针对建筑、制造、能源、金融和食品饮料等不同行业的中小型企业 (SMB) 的凭证网络钓鱼和欺诈活动激增。

详情

https://www.infosecurity-magazine.com/news/ta4903s-phishing-target-us-entities/

https://www.infosecurity-magazine.com/news/ta4903s-phishing-target-us-entities/

宠物用品厂商PetSmart警告客户凭证填充攻击

日期: 2024-03-07
标签: 居民服务, PetSmart

宠物零售巨头PetSmart警告部分客户，由于持续的凭证填充攻击，他们的密码已被重置。PetSmart是美国最大的宠物及相关产品零售商，在全国拥有超过6000万客户和1600家门店。公司向客户发送了新的电子邮件通知，警告称客户正成为凭证填充攻击的目标，攻击者试图获取他们的账户信息。PetSmart重置了在凭证填充攻击期间登录的所有账户的密码，以确保安全，因为他们无法确定登录的用户是账户所有者还是黑客。攻击者可能会利用入侵的账户进行恶意行为，包括进行欺诈性购买、发送垃圾邮件或发动其他攻击。此外，攻击者还可能出售被入侵的账户给他人，用于购买商品、兑换奖励积分或窃取资金。

详情

https://www.bleepingcomputer.com/news/security/petsmart-warns-of-credential-stuffing-attacks-trying-to-hack-accounts/

https://www.bleepingcomputer.com/news/security/petsmart-warns-of-credential-stuffing-attacks-trying-to-hack-accounts/

Evasive Panda发起针对藏族人的网络间谍活动

日期: 2024-03-08
标签: 信息技术, Evasive Panda, Tibetpost网站

APT组织Evasive Panda（又称BRONZE HIGHLAND和Daggerfly）发起了一场复杂的网络间谍活动，针对全球各地的藏族人。自2023年9月以来，他们利用定向水坑和藏语翻译软件的特洛伊安装程序来进行攻击。攻击者利用重要的宗教聚会——Monlam节，针对与藏传佛教有关的个人。通过篡改节日组织者的网站，他们实施了水坑攻击，特别针对特定网络的用户。攻击者还利用同一网站和名为Tibetpost的藏族新闻网站来托管恶意下载的有效载荷，包括两个用于Windows的全功能后门和若干macOS的有效载荷。这些安装程序旨在部署恶意下载器，进一步促进对受害者系统的渗透。攻击者通过利用网络基础设施和软件供应链的漏洞，旨在渗透网络并威胁目标个人。这次活动与Monlam节时间重合，表明他们有意利用这一时期增加的在线活动。

详情

https://www.infosecurity-magazine.com/news/evasive-panda-targets-tibet/

https://www.infosecurity-magazine.com/news/evasive-panda-targets-tibet/

摩尔多瓦警告俄罗斯混合攻击

日期: 2024-03-08
标签: 政府部门, 混合攻击, 情报机构, 选举

摩尔多瓦国家情报机构警告称，俄罗斯可能在即将到来的选举前发动混合攻击。情报机构主管亚历山德鲁·穆斯泰塔在新闻发布会上警告称，俄罗斯可能对该国进行混合攻击，以破坏政府稳定。这些攻击可能引发摩尔多瓦、德涅斯特河沿岸地区和加盖兹自治区的社会冲突。他还表示，俄罗斯将试图干预秋季举行的加入欧盟的公投，并在总统选举期间“诋毁和败坏”亲欧派候选人的形象。摩尔多瓦与俄罗斯之间的局势十分紧张，摩尔多瓦已谴责乌克兰的入侵，并对克里姆林宫实施了制裁。此外，俄罗斯的网络攻击可能会利用各种手段干扰投票，并操纵摩尔多瓦民众对俄罗斯政策的情绪。

详情

https://securityaffairs.com/160112/cyber-warfare-2/moldova-warns-of-hybrid-attacks-from-russia.html

https://securityaffairs.com/160112/cyber-warfare-2/moldova-warns-of-hybrid-attacks-from-russia.html

WordPress站点遭受分布式暴力攻击

日期: 2024-03-08
标签: 信息技术, 暴力攻击, 恶意JavaScript注入

攻击者正在利用恶意JavaScript注入对WordPress站点进行暴力攻击，Sucuri的新发现揭示了这一点。安全研究人员Denis Sinegubko表示，这些攻击采取分布式暴力攻击的形式，“从完全无辜和毫不知情的网站访问者的浏览器中针对WordPress网站进行攻击”。这一活动是先前记录的攻击波的一部分，受感染的WordPress网站被用来注入加密排水器，如Angel Drainer，或者将网站访问者重定向到包含排水器恶意软件的Web3钓鱼网站。最新的变化值得注意的是，这些注入（迄今为止在700多个站点上发现）并不加载排水器，而是使用常见和泄露的密码列表对其他WordPress站点进行暴力攻击。

详情

https://thehackernews.com/2024/03/hacked-wordpress-sites-abusing-visitors.html

https://thehackernews.com/2024/03/hacked-wordpress-sites-abusing-visitors.html

安全漏洞

CISA 警告恶意软件攻击中 Microsoft Streaming 漏洞被利用

日期: 2024-03-04
标签: 信息技术, CVE-2023-29360

CISA 命令美国联邦民事行政部门 (FCEB) 机构确保其 Windows 系统免受 Microsoft Streaming Service (MSKSSRV.SYS) 中的高严重性漏洞的影响，该漏洞在攻击中被积极利用。该安全漏洞（编号为 CVE-2023-29360）是由于不受信任的指针取消引用漏洞造成的，该漏洞使本地攻击者能够在不需要用户交互的低复杂性攻击中获得系统权限。美国网络安全机构没有提供有关正在进行的攻击的详细信息，但它确实确认没有证据表明该漏洞被用于勒索软件攻击。

详情

https://www.bleepingcomputer.com/news/security/cisa-warns-of-microsoft-streaming-bug-exploited-in-malware-attacks/

https://www.bleepingcomputer.com/news/security/cisa-warns-of-microsoft-streaming-bug-exploited-in-malware-attacks/

五眼联盟警告攻击者利用 IVANTI 网关漏洞进行攻击

日期: 2024-03-04
标签: 信息技术, IVANTI 网关漏洞

五眼情报联盟发布联合网络安全咨询警告，警告攻击者利用Ivanti Connect Secure 和 Ivanti Policy Secure 网关中的已知漏洞。该通报提供了有关 Connect Secure 和 Policy Secure 漏洞CVE-2023-46805、 CVE-2024-21887和 CVE-2024-21893的广泛利用的详细信息。多个攻击者将这些问题串联起来，以绕过身份验证、制作恶意请求并以提升的权限执行任意命令。CISA 的通报还警告说，Ivanti 完整性检查工具不足以检测妥协。

详情

https://securityaffairs.com/159807/hacking/fiveeye-warns-ivanti-gateways-attacks.html

https://securityaffairs.com/159807/hacking/fiveeye-warns-ivanti-gateways-attacks.html

TeamCity存在身份验证绕过漏洞

日期: 2024-03-05
标签: 信息技术, CVE-2024-27199, CVE-2024-27198

JetBrains 的 TeamCity 本地 CI/CD 解决方案中存在一个严重漏洞 (CVE-2024-27198)，可让未经身份验证的远程攻击者通过管理权限控制服务器。TeamCity 是一种持续集成和持续交付 (CI/CD) 解决方案，可帮助软件开发人员以自动化方式构建和测试其产品。由于创建漏洞的完整技术细节可用，强烈建议管理员通过更新到产品的最新版本或安装供应商的安全补丁插件来优先解决问题。JetBrains 发布了该产品的新版本，其中修复了第二个不太严重的安全问题 (CVE-2024-27199)，允许修改有限数量的系统设置，而无需进行身份验证。这两个漏洞都存在于 TeamCity 的 Web 组件中，并影响所有版本的本地安装。

详情

https://www.bleepingcomputer.com/news/security/exploit-available-for-new-critical-teamcity-auth-bypass-bug-patch-now/

https://www.bleepingcomputer.com/news/security/exploit-available-for-new-critical-teamcity-auth-bypass-bug-patch-now/

苹果发布紧急安全更新修复iOS零日漏洞

日期: 2024-03-06
标签: 信息技术, iOS零日漏洞

苹果发布了紧急安全更新，修复了两个iOS零日漏洞，这些漏洞在攻击iPhone时被利用。这两个漏洞分别位于iOS内核（CVE-2024-23225）和RTKit（CVE-2024-23296），都允许攻击者具有任意内核读写能力，绕过内核内存保护。苹果公司表示，它已经针对运行iOS 17.4、iPadOS 17.4、iOS 16.76和iPad 16.7.6的设备解决了这些安全漏洞，并改进了输入验证。受影响的苹果设备包括iPhone XS及更高版本、iPhone 8、iPhone 8 Plus、iPhone X、iPad第五代、iPad Pro 9.7英寸、iPad Pro 12.9英寸第一代、iPad Pro 12.9英寸第二代及更高版本等。

详情

https://www.bleepingcomputer.com/news/apple/apple-fixes-two-new-ios-zero-days-exploited-in-attacks-on-iphones/

https://www.bleepingcomputer.com/news/apple/apple-fixes-two-new-ios-zero-days-exploited-in-attacks-on-iphones/

JetBrains TeamCity 内部部署的严重漏洞可能导致服务器被接管

日期: 2024-03-06
标签: 信息技术, CVE-2024-27198, CVE-2024-27199

JetBrains TeamCity On-Premises 软件中披露了一对新的安全漏洞，攻击者可利用这些漏洞来控制受影响的系统。这些漏洞编号为 CVE-2024-27198（CVSS 评分：9.8）和 CVE-2024-27199（CVSS 评分：7.3），已在版本 2023.11.4 中得到解决。它们会影响 2023 年 11 月 3 日之前的所有 TeamCity On-Premises 版本。这些漏洞可能使未经身份验证的攻击者能够通过 HTTP(S) 访问 TeamCity 服务器来绕过身份验证检查并获得对该 TeamCity 服务器的管理控制。TeamCity Cloud 实例已针对这两个漏洞进行了修补。

详情

https://thehackernews.com/2024/03/critical-jetbrains-teamcity-on-premises.html

https://thehackernews.com/2024/03/critical-jetbrains-teamcity-on-premises.html

VMware 发布针对 ESXi、Workstation 和 Fusion 漏洞的安全补丁

日期: 2024-03-07
标签: 信息技术, CVE-2024-22252, CVE-2024-22253

VMware 已发布补丁来解决影响 ESXi、Workstation 和 Fusion 的四个安全缺陷，其中包括两个可能导致代码执行的严重漏洞。这些漏洞被追踪为CVE-2024-22252 和 CVE-2024-22253，被描述为 XHCI USB 控制器中的释放后使用错误。 Workstation 和 Fusion 的 CVSS 得分为 9.3，ESXi 系统的 CVSS 得分为 8.4。在虚拟机上拥有本地管理权限的恶意行为者可能会利用此问题在主机上运行虚拟机的 VMX 进程时执行代码。在 ESXi 上，漏洞利用包含在 VMX 沙箱内，而在 Workstation 和 Fusion 上，这可能会导致在安装 Workstation 或 Fusion 的计算机上执行代码。

详情

https://thehackernews.com/2024/03/vmware-issues-security-patches-for-esxi.html

https://thehackernews.com/2024/03/vmware-issues-security-patches-for-esxi.html

Flipper Zero WiFi 网络钓鱼攻击可以解锁并窃取特斯拉汽车

日期: 2024-03-08
标签: 交通运输, 制造业, Flipper Zero

使用 Flipper Zero 设备进行的简单网络钓鱼攻击可能会导致 Tesla 帐户受损、解锁并启动汽车。该攻击适用于最新的 Tesla 应用程序版本 4.30.6 和 Tesla 软件版本 11.1 2024.2.7。研究人员使用 Flipper Zero 进行了这种网络钓鱼攻击，但也可以使用 Raspberry Pi 和 Android 手机等其他设备轻松完成。

详情

https://www.bleepingcomputer.com/news/security/flipper-zero-wifi-phishing-attack-can-unlock-and-steal-tesla-cars/

https://www.bleepingcomputer.com/news/security/flipper-zero-wifi-phishing-attack-can-unlock-and-steal-tesla-cars/

AnyCubic 使用新固件修复了 3D 打印机零日漏洞

日期: 2024-03-08
标签: 制造业, 3D 打印机, AnyCubic

2024年3月5日，AnyCubic 发布了新的 Kobra 2 固件，以修复2024年2月在全球 3D 打印机上打印安全警告的零日漏洞。2 月底，AnyCubic 打印机用户开始报告称，他们的 Kobra 3D 打印机被一项打印作业攻击，该作业警告他们的设备容易受到严重漏洞的影响。该漏洞使攻击者能够滥用公司 MQTT 服务 API 中的不安全权限向打印机发送命令。这使得攻击者能够将名为“hacked_machine_readme.gcode”的 G 代码文件排队，当在文本编辑器中打开该文件时，其中包含一条警告，表明严重漏洞已影响打印机。

详情

https://www.bleepingcomputer.com/news/security/anycubic-fixes-exploited-3d-printer-zero-day-flaw-with-new-firmware/

https://www.bleepingcomputer.com/news/security/anycubic-fixes-exploited-3d-printer-zero-day-flaw-with-new-firmware/

安全分析

美国指控伊朗黑客攻击美国政府和国防实体

日期: 2024-03-04
标签: 信息技术, 伊朗黑客

美国司法部指控伊朗籍人士阿里雷扎·沙菲·纳萨布参与针对美国政府和国防实体的攻击。纳萨布及其他共谋者利用钓鱼邮件和其他黑客技术感染了20万多个受害者设备，其中包括美国财政部、国务院、国防承包商和纽约等地的公司。纳萨布面临长达20年的监禁和两年的强制身份盗用刑罚。同时，美国国务院的“正义悬赏计划”提供高达1000万美元的悬赏金，以获取有关纳萨布身份或位置信息。

详情

https://securityaffairs.com/159837/hacking/us-charged-iranian-national.html

https://securityaffairs.com/159837/hacking/us-charged-iranian-national.html

疑似Kimsuky通过网络钓鱼活动窃取Google和Naver凭据

日期: 2024-03-07
标签: 金融业, 信息技术, APT舆情, Binance加密货币交易所

在过去的一个月里，Hunt追踪到了一个可能由朝鲜威胁组织发起的网络钓鱼行动，其重点是窃取Google和Naver凭据。该攻击者首先注册了一个欺骗性的Binance加密货币交易所的域名，然后，一旦谷歌安全浏览将该网站标记为恶意网站，就开始使用iframes设置有针对性的网络钓鱼页面。除了多个欺骗性的Google和Naver页面之外，导致发现这一结果的开放目录还托管着开源恶意软件Xeno-RAT的副本以及未知个人之间讨论加密货币交易的KakaoTalk聊天日志。该行动中使用的网络基础设施和特定顶级域名(TLD)与朝鲜相关的APT组织 Kimsuky（APT43、Black Banshee、Thallium）存在多重重叠。

详情

https://hunt.io/blog/open-directory-exposes-phishing-campaign-targeting-google-and-naver-credentials

https://hunt.io/blog/open-directory-exposes-phishing-campaign-targeting-google-and-naver-credentials

黑客在木马诈骗活动中使用 Skype、Google Meet 和 Zoom

日期: 2024-03-07
标签: 信息技术, Skype, Google Meet, Zoom

据云安全提供商 Zscaler 称，攻击者一直在使用在线会议诱饵在 Android 和 Windows 操作系统上分发远程访问木马 (RAT)。Zscaler 的威胁情报团队 ThreatLabz 观察到，该活动至少自 2023 年 12 月以来一直在持续。分布式 RAT 包括专注于 Android 的 SpyNote RAT 和专注于 Windows 的 NjRAT 和 DCRat。为了引诱受害者下载 RAT，攻击者创建了多个虚假在线会议网站，冒充 Microsoft 旗下的 Skype、Google Meet 和 Zoom 等品牌。

详情

https://www.infosecurity-magazine.com/news/skype-google-meet-zoom-trojan-scam/

https://www.infosecurity-magazine.com/news/skype-google-meet-zoom-trojan-scam/

FBI：2023 年美国因网络犯罪损失125 亿美元

日期: 2024-03-08
标签: 政府部门, 网络犯罪

FBI 互联网犯罪投诉中心 (IC3) 发布了 2023 年互联网犯罪报告，报告损失较 2022 年增加了 22%，达到创纪录的 125 亿美元。IC3 的 2023 年互联网犯罪报告重点介绍了去年在美国造成最大经济损失的四种在线犯罪：商业电子邮件泄露 (BEC)、投资欺诈、勒索软件以及技术/客户支持和冒充政府诈骗。2023年向FBI提交的相关投诉数量达到88万起，比上一年增加10%，其中报告最多的年龄组是60岁以上的人，这表明老年人是多么容易受到网络犯罪的伤害。2023 年，增加的犯罪类型是技术支持诈骗和勒索，而网络钓鱼、个人数据泄露和不付款/不送货诈骗略有减少。

详情

https://www.bleepingcomputer.com/news/security/fbi-us-lost-record-125-billion-to-online-crime-in-2023/

https://www.bleepingcomputer.com/news/security/fbi-us-lost-record-125-billion-to-online-crime-in-2023/

行业动向

德国警方查获最大的德语网络犯罪市场 CRIMEMARKET

日期: 2024-03-04
标签: 信息技术, Crimemarket, 网络犯罪市场

德国警方查获了最大的德语网络犯罪市场 Crimemarket，并逮捕了其一名运营商。Crimemarket 是非法毒品、麻醉品和网络犯罪服务交易的重要平台。调查持续了数年，期间警方进行了多次搜查。当局逮捕了六人，其中包括一名被指控为该市场经营者的人。警方查获了大量电子设备，包括手机、IT 设备和数据载体。当局还扣押了近 60 万欧元的现金和动产。查封期间，该市场拥有超过 18 万注册用户。

详情

https://securityaffairs.com/159813/cyber-crime/germany-police-seized-crimemarket.html

https://securityaffairs.com/159813/cyber-crime/germany-police-seized-crimemarket.html

美国国家安全局发布零信任框架指导

日期: 2024-03-06
标签: 信息技术, 政府部门, 零信任框架

美国国家安全局发布了新的指导方针，以帮助组织通过采用零信任框架原则来限制对内部网络的敌对行动。零信任安全架构要求对网络上的资源进行严格控制，无论是在物理边界内还是外部，以尽量减少遭到入侵的影响。与传统的IT安全模型相比，零信任设计假定存在威胁，并不允许网络内部自由活动。零信任模型通过数据流映射、宏观和微观分段以及软件定义网络提供深入的网络安全。对于其中每个人，组织必须达到特定的成熟度级别，以便他们能够根据零信任原则继续进行建设。

详情

https://www.bleepingcomputer.com/news/security/nsa-shares-zero-trust-guidance-to-limit-adversaries-on-the-network/

https://www.bleepingcomputer.com/news/security/nsa-shares-zero-trust-guidance-to-limit-adversaries-on-the-network/

CISA、NSA 分享保护云服务的最佳实践

日期: 2024-03-08
标签: 信息技术, 云环境

美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 发布了五份联合网络安全公告，其中包含保护云环境的最佳实践。这些指南重点关注身份和访问管理解决方案、密钥管理解决方案、云中数据加密、云存储管理以及降低托管服务提供商的风险。

详情

https://www.bleepingcomputer.com/news/security/cisa-nsa-share-best-practices-for-securing-cloud-services/

https://www.bleepingcomputer.com/news/security/cisa-nsa-share-best-practices-for-securing-cloud-services/

勒索攻击

美国执法机构对 PHOBOS 勒索软件攻击发出警告

日期: 2024-03-04
标签: 政府部门, 信息技术, Phobos

美国 CISA、FBI 和 MS-ISAC 发布联合网络安全公告 (CSA)，警告涉及Backmydata、Devos、Eight、Elking 和 Faust 等Phobos 勒索软件变种的攻击。这些攻击最近发生在 2024 年 2 月，目标是政府、教育、紧急服务、医疗保健和其他关键基础设施部门。Phobos 操作采用勒索软件即服务 (RaaS) 模式，自 2019 年 5 月以来一直活跃。根据公开来源的信息，由于观察到战术、技术和程序 (TTP) 方面的相似性，政府专家将多个 Phobos 勒索软件变体与 Phobos 入侵联系起来。 Phobos 入侵还涉及使用各种开源工具，包括 Smokeloader、Cobalt Strike和 Bloodhound。

详情

https://securityaffairs.com/159822/cyber-crime/cisa-phobos-ransomware-attacks.html

https://securityaffairs.com/159822/cyber-crime/cisa-phobos-ransomware-attacks.html

瑞士政府承认Play勒索软件泄露65,000份政府文件

日期: 2024-03-08
标签: 政府部门, 瑞士政府

瑞士国家网络安全中心 (NCSC) 发布了一份关于 Xplain 勒索软件攻击后数据泄露的分析报告，披露该事件影响了数千个敏感的联邦政府文件。Xplain是一家瑞士技术和软件解决方案提供商，为各个政府部门、行政单位，甚至国家军队提供服务。 Play 勒索软件团伙于 2023 年 5 月 23 日入侵了该公司。当时，攻击者声称窃取了包含机密信息的文件，并于 2023 年 6 月上旬在其暗网门户上发布了窃取的数据。瑞士政府确认有 65,000 份政府文件在此次泄露中被泄露。

详情

https://www.bleepingcomputer.com/news/security/switzerland-play-ransomware-leaked-65-000-government-documents/

https://www.bleepingcomputer.com/news/security/switzerland-play-ransomware-leaked-65-000-government-documents/

其他事件

APT37利用朝鲜政治话题针对韩国的攻击活动分析

日期: 2024-03-05
标签: 教育行业, ROKRAT, APT舆情

近日，安恒信息猎影实验室在日常威胁狩猎中发现APT37 组织多次利用朝鲜相关政治话题诱饵，向目标用户下发 ROKRAT 木马窃取信息。样本一中释放的诱饵为韩国国家安全与统一研究所高级研究员、檀国大学行政法研究生院兼职教授、21 世纪战略研究所所长发布的专栏文章，文章讨论了朝鲜敌意的加剧以及对外部渗透和间谍活动的担忧。样本2具有多个诱饵，为朝鲜研究所研究员以及社会人士发表的各类朝鲜政治话题的文章，推测该样本用于攻击朝鲜政治主题相关研究人员。

详情

https://mp.weixin.qq.com/s/yzd0aVq2wzi-v-eB73F6lQ

https://mp.weixin.qq.com/s/yzd0aVq2wzi-v-eB73F6lQ

黑猫勒索软件团伙关闭服务器

日期: 2024-03-05
标签: 信息技术, ALPHV/BlackCat

ALPHV/BlackCat 勒索软件团伙已关闭其服务器，据称他们向负责攻击 Change Healthcare 平台运营商Optum的附属公司诈骗了 2200 万美元。虽然 BlackCat 的数据泄露博客自周五以来一直处于关闭状态，但研究人员已证实谈判网站在周末仍然活跃。2024年3月4日，研究人员确认勒索软件操作谈判网站现已关闭，这表明勒索软件团伙的基础设施遭到进一步蓄意破坏。

详情

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-turns-off-servers-amid-claim-they-stole-22-million-ransom/

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-turns-off-servers-amid-claim-they-stole-22-million-ransom/

NoName057(16)组织在俄乌冲突中改变战术

日期: 2024-03-05
标签: 科研服务, NoName057(16)组织

乌克兰和俄罗斯冲突升级，攻击组织NoName057(16)改变战术。该组织以参与Project DDoSia而闻名，该项目旨在对支持乌克兰的实体，尤其是北约成员国，执行大规模分布式拒绝服务（DDoS）攻击。网络安全监控平台Sekoia.io积极跟踪NoName057(16)使用的DDoS工具的C2基础设施，并观察到该组分享的软件出现重大发展，包括更新以增强与不同处理器架构和操作系统的兼容性。受影响实体的分析显示，该组持续关注欧洲目标，乌克兰仍然是主要目标，芬兰和意大利也受到严重影响。受影响实体中有相当一部分属于政府相关部门注。NoName057(16)仍在扩大其影响力，成员人数不断增加，并与其他黑客组织合作。

详情

https://www.infosecurity-magazine.com/news/hacktivist-collective-noname057/

https://www.infosecurity-magazine.com/news/hacktivist-collective-noname057/

全球范围内Facebook和Instagram宕机

日期: 2024-03-06
标签: 信息技术, 文化传播, Meta（原Facebook）, Instagram, Facebook

Facebook和Instagram全球用户被迫登出，登录时出现密码错误的问题。这一宕机事件不限于特定地区或国家，影响了全球范围内的用户，包括美国、欧洲和亚洲。Downdetector网站收到大量报告，证实了这一宕机事件的全球性影响。用户被自动登出Meta，Instagram也无法正常运行，出现“无法刷新动态”等错误。重新登录时，Meta错误地显示Facebook用户密码错误，导致许多用户尝试重置密码以恢复访问，但问题仍未解决。这一情况让一些用户担心自己的账户可能已遭入侵。Instagram也无法连接，出现“无法连接到Instagram，请确保已连接到互联网并重试”的错误。Meta已确认其所有服务出现宕机，并表示工程团队正在积极寻求解决办法。截止2024年3月6日，Meta服务已恢复，但公司尚未透露宕机原因。

详情

https://www.bleepingcomputer.com/news/technology/facebook-and-instagram-outage-logs-out-users-passwords-not-working/

https://www.bleepingcomputer.com/news/technology/facebook-and-instagram-outage-logs-out-users-passwords-not-working/

美国对Predator商业间谍软件相关方实施制裁

日期: 2024-03-06
标签: 信息技术, Predator商业间谍软件

美国对与Predator商业间谍软件开发和分发有关的两名个人和五家实体实施了制裁，这些软件被用来针对美国人，包括政府官员和记者。制裁对象包括Intellexa Consortium的以色列创始人Tal Jonathan Dilian和波兰公司专家Sara Aleksandra Fayssal Hamou。被制裁的公司包括Cytrox AD、Cytrox Holdings ZRT、Intellexa Limited、Intellexa S.A.和Thalestris Limited。

详情

https://www.bleepingcomputer.com/news/legal/us-sanctions-predator-spyware-operators-for-spying-on-americans/

https://www.bleepingcomputer.com/news/legal/us-sanctions-predator-spyware-operators-for-spying-on-americans/

黑客滥用 QEMU 在网络攻击中秘密窃取网络流量

日期: 2024-03-06
标签: 信息技术, QEMU

攻击者被发现滥用开源虚拟化平台QEMU作为隧道工具进行对一家大型公司的网络攻击。Kaspersky分析人员发现，攻击者利用QEMU创建虚拟网络接口和套接字类型的网络设备，以连接到远程服务器，从而在受害者系统与攻击者服务器之间建立了网络隧道，几乎不影响系统性能。攻击者还利用QEMU创建了轻量级后门，通过Angry IP Scanner进行网络扫描和mimikatz进行凭证窃取。企业应采用多层保护来检测包括人工操作在内的复杂和有针对性的攻击。

详情

https://www.bleepingcomputer.com/news/security/hackers-abuse-qemu-to-covertly-tunnel-network-traffic-in-cyberattacks/

https://www.bleepingcomputer.com/news/security/hackers-abuse-qemu-to-covertly-tunnel-network-traffic-in-cyberattacks/

欧盟同意《网络团结法案》以加强事件响应和恢复

日期: 2024-03-07
标签: 信息技术, 欧盟 (EU)

欧盟 (EU) 已同意新规则，以加强成员国之间的网络事件响应和恢复，该规则被称为“网络团结法案”。该临时法规旨在通过新的合作机制使欧盟对网络威胁更具弹性和反应能力。这包括建立欧盟范围内的网络安全警报系统，旨在快速共享整个地区的网络威胁信息。这个泛欧洲基础设施将由国家和跨境网络中心组成，负责检测和应对网络威胁，帮助当局更有效地应对重大事件。

详情

https://www.infosecurity-magazine.com/news/eu-cyber-solidarity-incident/

https://www.infosecurity-magazine.com/news/eu-cyber-solidarity-incident/

美国制裁 Predator 间谍软件制造商 Intellexa

日期: 2024-03-07
标签: 信息技术, Predator, 间谍软件

美国政府宣布对商业间谍软件制造商采取进一步行动，制裁与 Intellexa 联盟相关的两名人员和五个“实体”。Intellexa 是希腊、爱尔兰、匈牙利等地多家公司的伞式组织。其北马其顿 Cytrox 业务负责开发名为 Predator 的多产间谍软件，该软件至今仍被专制政权广泛用于窃听记者、持不同政见者、政客和其他人。与 NSO Group 的 Pegasus 等其他变体一样，Predator 使用零点击漏洞，无需用户交互即可感染设备。美国财政部表示，对 Intellexa 的制裁是因为其间谍软件被行为者滥用，侵犯人权、针对持不同政见者，甚至窃听美国政府官员、记者和政策专家。

详情

https://www.infosecurity-magazine.com/news/us-sanctions-predator-spywaremaker/

https://www.infosecurity-magazine.com/news/us-sanctions-predator-spywaremaker/

产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360本地安全大脑

360安全分析响应平台

360威胁情报平台（TIP）

时间线

2024-03-04 360CERT发布安全周报

特制报告相关说明

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享