安全事件周报 (10.24-10.30)
2022-10-31 11:04

报告编号:B6-2022-103101

报告来源:360CERT

报告作者:360CERT

更新日期:2022-10-31

0x01   事件导览

本周收录安全热点54项,话题集中在恶意程序网络攻击方面,涉及的组织有:SideWinder APTHiveAPT-Q-36PatchWork等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意程序
新的“Azoz勒索软件”擦拭器正试图陷害研究人员
微软将 Raspberry Robin 蠕虫与 Clop 勒索软件攻击联系起来
Drinik Android恶意软件针对18家印度银行的用户
LV 勒索软件利用 ProxyShell 攻击一家位于约旦的公司
乌克兰人因运营 Raccoon Stealer 恶意软件服务而受到指控
关于Magniber勒索软件技术的新变化
Hive 声称对 Tata Power 进行了勒索软件攻击,开始泄露数据
古巴勒索团伙针对乌克兰政府机构
SideWinder APT 使用新的 WarHawk 后门攻击巴基斯坦的实体
数据安全
Medibank现在表示黑客访问了所有客户的个人数据
See Tickets 披露了长达 2.5 年的信用卡盗窃事件
网络攻击
斯洛伐克议会因涉嫌网络攻击暂停投票
欧盟最大的铜生产商Aurubis遭受网络攻击
澳大利亚临床实验室称患者数据在勒索软件攻击中被盗
DeFi 平台遭黑客盗窃近 1500 万美元
《纽约邮报》证实遭受黑客攻击
德国主要能源供应商证实遭受网络攻击
伊朗原子能机构证实被盗数据泄露后遭到黑客攻击
安全漏洞
0patch发布Windows MoTW 零日漏洞非官方补丁
SiriSpy-iOS漏洞允许应用程序窃听用户与Siri的对话
Leeloo Multipath:多路径中的授权旁路和符号链接攻击漏洞
思科警告管理员修补攻击中利用的 AnyConnect 漏洞
VMware 修复了关键的 Cloud Foundation 远程代码执行错误
Jira Align 漏洞使 Atlassian 基础设施受到攻击
Abode Home Security Kit 中的严重缺陷允许黑客劫持、禁用摄像头
苹果修复了用于攻击 iPhone和iPad 的新零日漏洞
Adobe Illustrator 中的严重漏洞
英国建筑公司因严重安全漏洞被罚款 440 万英镑
安全分析
白象组织近期网络攻击活动分析
其他事件
元宇宙开启了网络犯罪的新世界
谷歌云为区块链节点引擎提供Web3
香港将使零售加密交易合法化,以建立加密货币中心
伊朗如何跟踪和控制抗议者的手机
拉脱维亚的网络空间在乌克兰战争中面临新挑战
学生因经营德国最大的暗网市场之一而被捕
APT-Q-36:南亚摩诃草组织近期武器库迭代更新分析
勒索团伙对美国制造业造成重创
针对Instagram用户的网络钓鱼活动以侵权作为主题诱饵
美国联邦贸易委员会因数据泄漏事件起诉酒类零售商Drizly
美国政府公布关键基础设施运营商的网络安全目标
臭名昭著的“BestBuy”黑客因运营黑暗网络市场而被传讯
拜登政府发起百日冲刺计划,以保护该国化工行业免受网络攻击
LinkedIn推出三项新安全功能打击恶意行为
英国建筑公司Interserve因违反安全规定被处以440万英镑的罚款
谷歌因不允许第三方支付被印度罚款1.13亿美元
美俄的虚假信息战争
PatchWork组织Herbminister行动武器库大揭秘
Kimsuky组织针对Android设备的新恶意软件
Vice Society 瞄准拥有多个勒索软件家族的学校
荷兰警方逮捕了违反医疗软件供应商的黑客
新的三星维护模式在手机维修期间保护您的数据
Snatch 勒索组织攻击美国一学区
Chrome恶意扩展程序可劫持目标浏览器
CISA 警告 Daixin Team 黑客使用勒索软件攻击卫生组织

0x03   恶意程序

新的“Azoz勒索软件”擦拭器正试图陷害研究人员

日期: 2022-10-30
标签: 乌克兰, 俄罗斯, 信息技术, 网络犯罪, 俄乌战争, 

一种新的破坏性“亚速(Azoz)勒索软件”数据擦除器正在通过盗版软件、密钥生成器和广告软件捆绑包进行大量分发,试图通过声称他们是攻击的幕后黑手来陷害知名安全研究人员。亚速勒索软件错误地声称是由一位名叫 Hasherazade 的著名安全研究人员创建的,并将其他研究人员、 BleepingComputer 列为参与该操作的研究人员。名为 RESTORE_FILES.txt 的赎金票据说,设备被加密是为了抗议占领克里米亚,也是因为西方国家在帮助乌克兰对俄罗斯的战争方面做得不够。威胁行为者声称他们这样做是为了支持乌克兰,但 BleepingComputer 知道一个受此数据擦除器影响的乌克兰组织。雨刮器的名字来自乌克兰亚速团,这是一支有争议的军事力量,据称过去与新纳粹意识形态有关。这不是威胁行为者第一次试图为他们的恶意软件构筑安全研究人员。

详情

http://urlqh.cn/n1P5R

微软将 Raspberry Robin 蠕虫与 Clop 勒索软件攻击联系起来

日期: 2022-10-27
标签: 美国, 信息技术, DEV-0950, 网络犯罪, 

2022年10月27日,微软安全研究人员发布报告表示,一个被追踪为 DEV-0950 的威胁组织使用 Clop 勒索软件来加密先前感染了 Raspberry Robin 蠕虫的受害者的网络。DEV-0950 恶意活动与追踪为 FIN11 和 TA505 的出于经济动机的网络犯罪组织重叠,这些组织以在目标系统上部署 Clop 有效载荷勒索软件而闻名。除了勒索软件,Raspberry Robin 还被用于将其他第二阶段的有效载荷投放到受感染的设备上,包括 IcedID、Bumblebee 和 Truebot。“从2022年9月19日开始,微软发现 Raspberry Robin 蠕虫感染部署了 IcedID 以及后来在其他受害者身上的 Bumblebee 和 TrueBot 有效载荷,”微软安全威胁情报分析师表示。2022 年 10 月,微软研究人员观察到 Raspberry Robin 感染,随后是 DEV-0950 的 Cobalt Strike 活动。该活动在某些情况下包括 Truebot 感染,最终部署了 Clop 勒索软件。微软补充说:“Microsoft Defender for Endpoint 数据表明,近 1,000 个组织中的近 3,000 台设备在过去 30 天内至少看到了一个与 Raspberry Robin 有效负载相关的警报。”

详情

http://urlqh.cn/n0Mt5

Drinik Android恶意软件针对18家印度银行的用户

日期: 2022-10-27
标签: 印度, 信息技术, iAssist, Drinik, Android 木马, 移动安全, 

2022年10月27日,Cyble的分析师发布研究报告称,新版本的 Drinik Android 木马针对 18 家印度银行,伪装成该国的官方税务管理应用程序,以窃取受害者的个人信息和银行凭证。自 2016 年以来,Drinik 一直在印度流行,作为短信窃取程序运作,但在 2021 年 9 月,它通过将受害者引导至网络钓鱼页面,添加了针对 27 家金融机构的银行木马功能。Cyble的分析师 一直在跟踪该恶意软件,并报告称其开发人员已将其演变成一个完整的 Android 银行木马,具有屏幕录制、键盘记录、滥用辅助功能服务以及执行覆盖攻击的能力。Drinik Android 木马以名为“iAssist”的 APK 形式出现,据称它是印度所得税部门的官方税务管理工具。安装后,它会请求接收、读取和发送 SMS、读取用户的通话记录以及读取和写入外部存储的权限。接下来,它请求用户允许应用程序(ab)使用无障碍服务。如果获得批准,它会禁用 Google Play Protect 并使用它来执行导航手势、记录屏幕和捕获按键。最终,该应用程序通过 WebView 加载实际的印度所得税网站,通过记录屏幕和使用键盘记录器来窃取用户凭据。建议用户避免从 Play 商店外部下载 APK,并启用生物识别身份验证(例如 2FA)以登录电子银行门户。

详情

http://urlqh.cn/n0MMM

LV 勒索软件利用 ProxyShell 攻击一家位于约旦的公司

日期: 2022-10-26
标签: 约旦, 信息技术, 勒索攻击, 

趋势科技研究团队最近分析了与 LV勒索软件组相关的感染,这是一种自 2020 年底以来一直活跃的勒索软件即服务(RaaS) 操作,据报道基于REvil(又名 Sodinokibi)。无法确定或验证 LV 勒索软件和 REvil 组之间关系的确切性质 - LV 勒索软件的开发人员似乎无法访问 Revil 源代码,而是可能修改了 REvil 二进制脚本。根据以往的研究,据说运营 REvil 的组织要么出售了源代码,要么从他们那里窃取了源代码,要么作为合作伙伴的一部分与 LV 勒索软件组织共享了源代码。研究人员认为,操作 LV 勒索软件的威胁行为者只是替换了 REvil v2.03 测试版的配置,以将 REvil 二进制文件重新用于勒索软件操作。在本篇博文中,详细介绍一家集团附属公司最近进行的一次入侵,该入侵涉及破坏一家位于约旦的公司的企业环境。在此事件中,攻击者使用双重勒索技术勒索受害者,除了加密受害者的文件外,还威胁要释放据称被盗的数据。

详情

http://urlqh.cn/n0uf3

乌克兰人因运营 Raccoon Stealer 恶意软件服务而受到指控

日期: 2022-10-25
标签: 乌克兰, 荷兰, 信息技术, Raccoon Stealer, 网络犯罪, 

26 岁的乌克兰国民 Mark Sokolovsky 被指控参与 Raccoon Stealer 恶意软件即服务 (MaaS) 网络犯罪活动。Raccoon Stealer 是一种在 MaaS(恶意软件即服务)模型下分发的信息窃取木马,威胁参与者可以以每周 75 美元或每月 200 美元的价格租用。订阅者还可以访问管理面板,让他们自定义恶意软件、检索被盗数据(也称为日志)以及创建新的恶意软件版本。Raccoon Stealer 非常受欢迎,因为它从受感染的设备中窃取大量信息,例如存储的浏览器凭据和信息、信用卡、加密货币钱包、电子邮件数据以及来自众多应用程序的各种其他类型的敏感数据。在荷兰当局逮捕被告的同时,联邦调查局以及荷兰和意大利的执法合作伙伴拆除了 Raccoon Infostealer 的基础设施,并下线了该恶意软件的现有版本。

详情

http://urlqh.cn/n3aUf

关于Magniber勒索软件技术的新变化

日期: 2022-10-25
标签: 信息技术, 

Magniber 勒索软件最近发展迅速。从更改其文件扩展名、注入到绕过 UAC 技术,Magniber 勒索软件一直在迅速变化以绕过反恶意软件的检测。本文根据之前进行的分析总结了过去几个月 Magniber 勒索软件的演变。表里面按日期显示了分布式 Magniber 勒索软件文件的主要特征。在四个月的时间里,它以五种不同的文件扩展名(msi、cpl、jse、js、wsf)分发,在 9 月,它的文件扩展名频繁更改,更改了四次(cpl -> jse - > js -> wsf -> msi)。目前,AhnLab 对 Magniber 勒索软件的响应不仅是文件检测,还有多种检测方法。因此,建议用户在[V3 偏好设置] - [PC 扫描设置]中激活进程内存扫描和恶意脚本检测 (AMSI) 选项。这种快速发展的 Magniber 勒索软件版本正在以一种域名抢注的方式分发,该方式利用进入域时的拼写错误,主要针对 Chrome 和 Edge 用户。由于用户可能通过输入错误的域来下载勒索软件,因此需要格外小心。

详情

http://urlqh.cn/n0KDc

Hive 声称对 Tata Power 进行了勒索软件攻击,开始泄露数据

日期: 2022-10-25
标签: 孟买, 能源业, 信息技术, Tata Power, 网络犯罪, 

Hive 勒索软件组织声称对 Tata Power 10月披露的网络攻击负责。作为跨国企业集团塔塔集团的子公司,塔塔电力是印度最大的综合电力公司,总部位于孟买。在 BleepingComputer 看到的屏幕截图中,Hive 运营商发布了他们声称从 Tata Power 窃取的数据,表明赎金谈判失败。10月25日,Hive 勒索软件组织背后的运营商开始在其泄密站点上泄露据称从 Tata Power 窃取的数据。网络安全分析师和研究员Dominic Alvieri 在推特上发布了有关这一发展的信息。另一位研究人员 Rakesh Krishnan分享了被盗数据的屏幕截图,其中似乎包括 Tata Power 员工的个人身份信息 (PII)、国民身份证 (Aadhar) 卡号、PAN(税号)号码、工资信息等。此外,数据转储还包含工程图纸、财务和银行记录以及客户信息,Krishnan 建议道。

详情

http://urlqh.cn/n0yi6

古巴勒索团伙针对乌克兰政府机构

日期: 2022-10-24
标签: 乌克兰, 古巴, 信息技术, 政府部门, RomCom, 网络钓鱼, 网络犯罪, 

2022年10月24日,乌克兰计算机应急响应小组 (CERT-UA) 已就古巴勒索软件对该国关键网络的潜在攻击发出警报。从2022年10月21日开始,CERT-UA 观察到新一波网络钓鱼电子邮件,这些电子邮件冒充乌克兰武装部队总参谋部新闻服务部,敦促收件人点击嵌入式链接。该链接将收件人带到第三方网页,据称可以下载名为“Наказ_309.pdf”的文档,但他们会看到一个虚假警报,指出访问者需要先更新他们的 PDF 阅读器软件。该网站然后敦促访问者单击“下载”按钮,这会导致下载类似于 Acrobat Reader 安装程序的可执行文件。运行此文件将安装并执行“rmtpak.dll”DLL 文件,这是 Cuba Ransomware 的签名恶意软件,称为“ROMCOM RAT”。

详情

http://urlqh.cn/n0QuO

SideWinder APT 使用新的 WarHawk 后门攻击巴基斯坦的实体

日期: 2022-10-24
标签: 巴基斯坦, 信息技术, SideWinder(RattleSnake/Razor Tiger/T-APT-04/APT-C-17/Hardcore Nationalist), WarHawk, 网络犯罪, 

SideWinder 是一个多产的民族国家行为者,主要以针对巴基斯坦军事实体而闻名,它入侵了国家电力监管局 (NEPRA) 的官方网站,以提供一种名为WarHawk的定制恶意软件。新发现的 WarHawk 后门包含各种提供 Cobalt Strike 的恶意模块,并结合了新的 TTP,例如KernelCallBackTable 注入和巴基斯坦标准时区检查,以确保活动取得胜利。Zscaler 发现的 9 月活动需要使用 NEPRA 网站上托管的武器化 ISO 文件来激活导致部署 WarHawk 恶意软件的杀伤链,该工件还充当诱饵,通过显示合法咨询来隐藏恶意活动由巴基斯坦内阁司于 2022 年 7 月 27 日发布。WarHawk 则伪装成 ASUS Update Setup 和 Realtek HD Audio Manager 等合法应用程序,以引诱毫无戒心的受害者执行,从而导致系统元数据泄露到硬编码的远程服务器,同时还从 URL 接收额外的有效负载。根据这家网络安全公司的说法,攻击活动与 SideWinder APT 的联系源于对网络基础设施的重用,该网络基础设施已被确定为该组织在先前针对巴基斯坦的间谍活动中使用的网络基础设施。

详情

http://urlqh.cn/n4blM

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

Medibank现在表示黑客访问了所有客户的个人数据

日期: 2022-10-26
标签: 澳大利亚, 金融业, Medibank, 

澳大利亚保险公司 Medibank 已证实,在最近的勒索软件攻击中,黑客访问了其所有客户的个人数据和大量健康索赔数据。在10月26日发布的公告中,两家公司警告说,对此次攻击的内部调查表明,威胁行为者对客户数据的访问权限比最初想象的要大得多。更具体地说,Medibank 已确认以下数据已被泄露:所有 ahm 客户的个人数据和大量健康索赔数据; 所有国际学生客户的个人数据和大量健康索赔数据;所有 Medibank 客户的个人数据和大量健康索赔数据。虽然数据访问和数据泄露是分开的事情,但 Medibank 发现证据表明,在某些情况下,黑客设法删除了一些被访问的数据,因此客户应该假设所有这些数据都被盗了。

详情

http://urlqh.cn/n1rZV

See Tickets 披露了长达 2.5 年的信用卡盗窃事件

日期: 2022-10-25
标签: 与蒙大拿州, 信息技术, 金融业, 网络犯罪, 网络欺诈, 

票务服务提供商“See Tickets”披露了一起数据泄露事件,通知客户网络犯罪分子可能通过其网站上的Skimmers访问了他们的支付卡详细信息。Skimmers是在订单结帐页面上注入的 JavaScript 代码片段,用于窃取客户输入的支付卡详细信息,在这种情况下,是购买现场娱乐活动门票的人。根据与蒙大拿州总检察长办公室共享的数据泄露通知,See Tickets 于 2021 年 4 月在一家取证公司的帮助下开始调查时发现了这一泄露事件。然而,直到 2022 年 1 月 8 日,恶意代码才从其网站上完全删除。在与法医专家和 Visa、万事达卡、美国运通卡和 Discover 进行接触以进一步调查此事件后,See Tickets 于 2022 年 9 月 12 日结束,未经授权的各方可能访问了客户的信用卡信息。内部调查显示,感染发生在 2019 年 6 月 25 日,因此暴露的总持续时间刚刚超过 2.5 年。黑客可能窃取的客户信息包括以下数据:全名、实际地址、邮政编码、支付卡号、卡有效期、CVV 编号。

详情

http://urlqh.cn/n593c

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

0x05   网络攻击

斯洛伐克议会因涉嫌网络攻击暂停投票

日期: 2022-10-28
标签: 斯诺伐克, 波兰, 政府部门, 投票, 

2022年10月27日,斯诺伐克议会议长鲍里斯·科拉尔(Boris Kollar)表示,在疑似网络攻击导致其 IT 系统瘫痪后,斯洛伐克议会于当天暂停会议。当地媒体报道称,有 75 项议案的议会会议将于2022年11月8日重新召开。而就在同日(2022年10月27日),在斯诺伐克的邻国波兰,议会上院参议院的网站也因黑客攻击而关闭。目前相关调查仍在进行中,此次攻击事件背后的攻击者尚未浮出水面。

详情

http://urlqh.cn/n1trn

欧盟最大的铜生产商Aurubis遭受网络攻击

日期: 2022-10-28
标签: 德国, 能源业, Aurubis, 

德国铜生产商Aurubis宣布遭受网络攻击,迫使其关闭IT系统以防止攻击蔓延。Aurubis 是欧洲最大的铜生产商,也是世界第二大铜生产商,在全球拥有 6,900 名员工,每年生产 100 万吨阴极铜。Aurubis在其网站上发布的公告中表示,他们关闭了其所在地的各种系统,但这并未影响生产。目前,该公司仍在评估网络攻击的影响,并与当局密切合作以加快这一过程。Aurubis表示,无法估计其所有系统恢复正常运行需要多长时间。虽然上述所有内容都带有勒索软件攻击的典型迹象,但Aurubis尚未提供有关其网络攻击的任何详细信息。然而,Aurubis表示,这次袭击是“对金属和采矿业的更大攻击的一部分”。

详情

http://urlqh.cn/n36QU

澳大利亚临床实验室称患者数据在勒索软件攻击中被盗

日期: 2022-10-27
标签: 澳大利亚, 信息技术, 科研服务, 澳大利亚临床实验室 (ACL), 网络犯罪, 

2022年10月27日,澳大利亚临床实验室 (ACL) 披露了 2022 年 2 月影响其 Medlab 病理学业务的数据泄露事件,暴露了 223,000 人的医疗记录和其他敏感信息。ACL 是一家澳大利亚医疗保健公司,拥有 89 个实验室,每年进行 600 万次检测,为澳大利亚 92 家私立和公立医院提供服务。虽然该公司表示不知道有任何滥用被盗信息的情况,但它会单独通知所有受影响的客户哪些数据在攻击中暴露。对 Medlab Pathology 的攻击负责的勒索软件团伙是 Quantum,它于 2022 年 6 月 14 日在其 Tor 网站上上传了所有被盗文件。Quantum泄露了 86GB 的数据,包括患者和员工的详细信息、财务报告、发票、合同、表格、传票和其他私人文件。根据 Quantum 勒索软件的网站,MedLab 的数据泄露页面已被访问 130,000 次。此次网络安全事件发生九个月后才披露。MedLab花了大约五个月的时间才意识到有人从他们的系统中窃取了文件。目前,ACL 表示数据集过于复杂,无法快速确定哪些客户受到了影响。

详情

http://urlqh.cn/n3YMi

DeFi 平台遭黑客盗窃近 1500 万美元

日期: 2022-10-27
标签: 美国, 金融业, 信息技术, Team Finance, 加密货币, 网络犯罪, 

2022年10月27日,去中心化金融平台 Team Finance 证实,黑客利用漏洞窃取了价值 1450 万美元的加密货币。 Team Finance 平台表示,自 2020 年成立以来,它已在 12 个不同的区块链中获得了价值 30 亿美元的加密货币。几家区块链安全公司在发布有关该问题的声明之前向该公司发出了黑客的警告。区块链安全公司PeckShield、SlowMist和BlockSec分解了攻击的细节,并指出 Team Finance 的代码问题是问题的根源。Team Finance公司表示:“我们刚刚收到有关 Team Finance 漏洞利用的警报。我们目前不确定细节。通过经审计的 v2 到 v3 迁移功能利用了 1450 万美元的代币。Team Finance已通过团队财务暂时暂停所有活动,直到该漏洞被修补。目前在 Team Finance 上的所有资金都没有进一步受到这种攻击的风险。

详情

http://urlqh.cn/mYrb0

《纽约邮报》证实遭受黑客攻击

日期: 2022-10-27
标签: 美国, 文化传播, 信息技术, 《纽约邮报》, 

2022年10月27日上午,《纽约邮报》在Twitter上证实,其遭到了黑客攻击并正在调查这一事件。该报的推特和网站上充斥着关于众议员亚历山大·奥卡西奥-科尔特斯、美国总统乔·拜登和纽约市长埃里克·亚当斯等政客的攻击性帖子后。《纽约邮报》影响力较广,在 Twitter 上拥有 280 万粉丝。截至美国东部时间2022年10月27日上午 10:30,攻击性帖子已从该公司的 Twitter 提要和网站中删除。虽然在这些帖子中,许多链接只是带有攻击性意思的标题,没有实际的新闻报道页面。但有些链接确实包含完整但虚假的文章,这使一些专家质疑黑客是否可以访问纽约邮报的内容管理系统。目前相关情况正在调查之中。

详情

http://urlqh.cn/n2WcZ

德国主要能源供应商证实遭受网络攻击

日期: 2022-10-27
标签: 德国, 能源业, 信息技术, Enercity, 网络犯罪, 

2022年10月27日,德国最大的市政能源供应商之一 Enercity 证实,其于2022年10月26日周三早上遭受了网络攻击。Enercity 公司表示,其安全系统“立即做出反应”,避免了“对公司造成更大损害”。Enercity 确认将继续向客户提供能源,并解释其运营技术和关键基础设施没有受到影响。该公司表示:“我们的电网和发电厂稳定,供应安全得到保障。”然而,攻击影响了客户服务,其可用性有限。该公司补充说:“目前并非所有 IT 系统都可以充分利用,这意味着它们可能受到轻微限制。”而就在2022年10月下旬(几天前),德国联邦网络安全办公室警告称,该国面临的威胁形势“比以往任何时候都高”。2022年下半年,德国的能源部门一再成为犯罪分子的目标。目前此次攻击事件还在调查中。

详情

http://urlqh.cn/n1y8L

伊朗原子能机构证实被盗数据泄露后遭到黑客攻击

日期: 2022-10-24
标签: 伊朗, 俄罗斯, 能源业, 信息技术, 伊朗原子能组织 (AEOI), 

2022年10月24日,伊朗原子能组织 (AEOI) 证实,在“Black Reward”黑客组织在线发布被盗数据后,其子公司之一的电子邮件服务器遭到黑客攻击。AEOI 表示,来自外国(未具名)的未经授权方从被黑服务器窃取了电子邮件,其中包括日常通信和技术备忘录。该机构表示,它立即采取了必要的预防措施来减轻这一事件的后果,并通知所有相关方和官员为抵御后续攻击做好准备。这次攻击的幕后黑客组织称自己为“Black Reward”,并在其 Telegram 频道上泄露了一些被盗数据:一个 27GB 的 14 部分 RAR 档案集合。据称其中包含 85,000 封被称为“非常适合研究人员”的电子邮件。泄露的数据包括据称与该机构合作的伊朗和俄罗斯人的护照和签证、电厂状态和性能报告、合同和技术报告。

详情

http://urlqh.cn/mZInl

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

0patch发布Windows MoTW 零日漏洞非官方补丁

日期: 2022-10-28
标签: 信息技术, 微软(Microsoft), 0patch, 0day, 

2022年10月28日,0patch 微补丁服务已针对积极利用的零日漏洞发布了一个免费的非官方补丁,该补丁允许使用格式错误的签名签名的文件绕过 Windows 10 和 Windows 11 中的 Mark-of-the-Web 安全警告。该漏洞是由于Windows SmartScreen 无法解析文件中格式错误的签名而引起的。格式错误的签名导致 SmartScreen.exe 在无法解析签名时引发异常,从而导致 SmartScreen 返回错误。2022年10月下旬, 安全研究人员发现攻击者正在使用独立的 JavaScript 文件 在受害者的设备上安装 Magniber 勒索软件。当用户从 Internet 下载文件时,Microsoft 会在文件中添加 Mark-of-the-Web 标志,从而导致操作系统在文件启动时显示安全警告。即使Magniber勒索软件包含 Web 标记,Windows 在启动时也不会显示任何安全警告。安全研究人员警告称,尽管他们的补丁修复了大多数攻击场景,但也可能存在绕过其补丁的情况。建议用户随时关注官方更新动态。

详情

http://urlqh.cn/n31Pz

SiriSpy-iOS漏洞允许应用程序窃听用户与Siri的对话

日期: 2022-10-26
标签: 美国, 信息技术, Apple, 移动安全, iOS, 

2022年10月26日,rambo的研究人员发布报告称发现一个名为SiriSpy-iOS的漏洞,攻击者可利用该漏洞窃听用户与siri的对话。任何可以访问蓝牙的应用程序都可以在使用 AirPods 或 Beats 耳机时记录用户与 Siri 的对话和来自 iOS 键盘听写功能的音频。并且在这种情况下,应用程序并不会请求麦克风访问权限,应用程序也不会留下任何收听麦克风的痕迹。但即使这个漏洞利用绕过了麦克风权限,它仍然需要访问蓝牙,因此权限不会被绕过。2022 年 8 月 26 日,研究人员已将该漏洞上报给Apple官方。2022 年 10 月 24 日,Apple 操作系统更新了修复程序 (CVE-2022-32946)。

详情

http://urlqh.cn/n3oOs

Leeloo Multipath:多路径中的授权旁路和符号链接攻击漏洞

日期: 2022-10-25
标签: 美国, 信息技术, Redhat, Oracle, 云安全, Ubuntu, 

2022年10月25日,Qualys 研究团队发布研究报告,称在 multipathd 中发现了两个漏洞,分别是multipathd 中的授权绕过(CVE-2022-41974)和符号链接攻击(CVE-2022-41973),其中最严重的漏洞可被用于绕过授权。multipathd 守护进程监督检查失败的路径。发生这种情况时,它将重新配置路径所属的多路径映射,以便该映射恢复其最大性能和冗余。multipathd 守护程序在 Linux 操作系统(如 Ubuntu Server)的默认安装中以 root 身份运行。Qualys 研究团队将这两个漏洞与第三个漏洞结合在另一个默认安装在 Ubuntu Server 上的软件包中,并在 Ubuntu Server 22.04 上获得了完全 root 权限。Qualys 建议安全团队尽快为这些漏洞应用补丁。

详情

http://urlqh.cn/n2oza

思科警告管理员修补攻击中利用的 AnyConnect 漏洞

日期: 2022-10-25
标签: 信息技术, 思科(Cisco), DLL 劫持攻击, 网络犯罪, 

思科10月25日警告客户,适用于 Windows 的 Cisco AnyConnect 安全移动客户端中的两个安全漏洞正在被广泛利用。AnyConnect 安全移动客户端简化了安全的企业端点访问,使员工能够在任何地方工作,同时通过安全套接字层 (SSL) 和 IPsec IKEv2 连接到安全的虚拟专用网络 (VPN)。这两个安全漏洞(跟踪为CVE-2020-3433和CVE-2020-3153)使本地攻击者能够执行 DLL 劫持攻击并将文件复制到具有系统级权限的系统目录。成功利用后,攻击者可以在具有系统权限的目标 Windows 设备上执行任意代码。幸运的是,这两个漏洞都需要身份验证,攻击者需要在系统上拥有有效的凭据。但是,它们可能与 Windows 权限提升漏洞相关联,特别是因为两个 CVE 已经在线提供了概念验证漏洞利用。

详情

http://urlqh.cn/n2qsR

VMware 修复了关键的 Cloud Foundation 远程代码执行错误

日期: 2022-10-25
标签: 信息技术, VMware, 漏洞修复, 

VMware 10月25日发布了安全更新,以修复 VMware Cloud Foundation 中的一个严重漏洞,这是一个用于在私有或公共环境中运行企业应用程序的混合云平台。该漏洞 (CVE-2021-39144) 位于 Cloud Foundation 使用的 XStream 开源库中,并且 VMware 分配的 CVSSv3 基本得分几乎为 9.8/10。未经身份验证的威胁参与者可以在不需要用户交互的低复杂度攻击中远程利用它。由于在 VMware Cloud Foundation (NSX-V) 中利用 XStream 进行输入序列化的未经身份验证的端点,恶意行为者可以在设备上的‘root’上下文中远程执行代码。由于 Source Incite 的 Sina Kheirkhah 和 Steven Seeley 报告的问题的严重性,VMware 还发布了针对 报废产品的安全补丁。为解决此问题,VMware 已将 XStream 更新到版本 1.4.19 以解决 CVE-2021-39144 并阻止任何针对未修补服务器的利用尝试。该公司还针对第二个漏洞 (CVE-2022-31678) 发布了补丁,该漏洞可能在成功的 XML 外部实体注入 (XXE) 攻击后触发拒绝服务或暴露信息。

详情

http://urlqh.cn/n3PMK

Jira Align 漏洞使 Atlassian 基础设施受到攻击

日期: 2022-10-25
标签: 信息技术, Jira, 漏洞利用, 

Bishop Fox 的研究人员警告说,最近在 Jira Align 中解决的漏洞可能允许攻击者提升权限、获取 Atlassian 云凭据,并可能攻击 Atlassian 基础设施。第一个错误被描述为应用程序“连接器”设置中的服务器端请求伪造 (SSRF) 缺陷。Bishop Fox 解释说,攻击者可以利用此漏洞“检索配置 Jira Align 实例的 Atlassian 服务账户的 AWS 凭证”。第二个问题被描述为“人员”权限中的授权控制不足,允许任何具有此权限的用户修改其角色并成为超级管理员,即 Jira Align 中的最高角色。拥有超级管理员权限的恶意攻击者可以访问 Jira Align 中的所有数据、更改用户或帐户设置以及更改应用程序的安全控制。跟踪为 CVE-2022-36802 和 CVE-2022-36803,这两个漏洞都可以被远程利用。随着 Jira Align 10.109.3 的发布,这些错误已在 7 月得到解决。

详情

http://urlqh.cn/n1EHd

Abode Home Security Kit 中的严重缺陷允许黑客劫持、禁用摄像头

日期: 2022-10-24
标签: 美国, 信息技术, Abode Systems, 移动安全, 

Abode Systems 已解决其家庭安全套件中的多个严重漏洞,包括可能允许攻击者以 root 权限执行命令的关键问题。Abode Systems 是一家美国公司,销售智能 DIY 家庭安全系统和摄像头,其中包括用于检测入侵或不需要的运动的运动传感器。用户可以使用应用程序或钥匙扣对系统进行布防或撤防。用户可以通过网站或移动设备上的应用程序控制系统,并可以将其与 Amazon Alexa、Apple Homekit 和 Google Home 集成。Cisco Talos 研究人员发现,Iota 一体化安全套件受到漏洞的影响,这些漏洞可能允许攻击者更改用户密码、更改设备配置、注入任意代码,甚至完全关闭系统。攻击者可以远程控制目标摄像机或禁用它们。Abode Systems 套件中的其他三个严重缺陷被描述为格式字符串注入、身份验证绕过和整数溢出错误。其中九个安全缺陷被描述为高度严重的格式字符串注入漏洞,可以使用特制的 HTTP 请求、XCMD 或配置值来利用这些漏洞。该产品中发现的其他高严重性漏洞包括身份验证绕过、两个命令注入漏洞和一个双重释放漏洞。

详情

http://urlqh.cn/n1C7v

苹果修复了用于攻击 iPhone和iPad 的新零日漏洞

日期: 2022-10-24
标签: 美国, 信息技术, Apple, CVE-2022-42827, 

2022年10月24日,苹果发布安全更新通告,修复了自2022年年初以来用于攻击 iPhone 的第9个零日漏洞。 苹果称知道有报道称该安全漏洞“可能已被积极利用”。该漏洞 (CVE-2022-42827) 是 一位匿名研究人员向 Apple 报告的越界写入问题,由软件在当前内存缓冲区边界之外写入数据引起。这可能导致数据损坏、应用程序崩溃或代码执行,因为后续数据写入缓冲区会导致未定义或意外结果(也称为内存损坏)。如果攻击者成功利用该漏洞,攻击者就能以内核权限执行任意代码。受影响设备包括 iPhone 8 及更新机型、iPad Pro(所有型号)、iPad Air 第 3 代及更新机型、iPad 第 5 代及更新机型以及 iPad mini 第 5 代及更新机型。

详情

http://urlqh.cn/n0VNx

Adobe Illustrator 中的严重漏洞

日期: 2022-10-24
标签: 信息技术, Adobe, 

Adobe 10月底为其 Illustrator产品发布的更新修补了两个可能导致任意代码执行的漏洞,但发现它们的研究人员表示,利用这些漏洞并不容易。根据 Adobe 的说法,适用于 Windows 和 macOS的 Illustrator 2021 和 2022 受到不正确的输入验证和可能导致恶意代码执行的越界读取漏洞的影响。Adobe 将这些缺陷评为“严重”严重性等级。根据他们的 CVSS 分数,这些漏洞是“高严重性”的。然而,对漏洞进行利用并不容易。这些问题是通过趋势科技的零日倡议 (ZDI) 由 Vingroup 的子公司越南网络安全公司 VinCSS 的服务部门的恶意软件分析师 Tran Van Khang 报告给 Adobe 的。ZDI 发布的公告显示,这些漏洞与PCX和CDR文件的解析有关。攻击者需要向目标用户发送格式错误的文件,并说服他们使用易受攻击的 Illustrator 版本打开文件。

详情

http://urlqh.cn/mZLbK

英国建筑公司因严重安全漏洞被罚款 440 万英镑

日期: 2022-10-24
标签: 英国, 建筑业, Interserve Group, 

一家英国建筑公司被数据保护监管机构罚款超过 400 万英镑(合 450 万美元),此前一系列安全漏洞导致黑客窃取和加密了 113,000 名现任和前任员工的个人信息。根据 GDPR 和 2018 年英国数据保护法,信息专员办公室 (ICO) 有权对组织处以高达 1750 万英镑(2000 万美元)或全球年总营业额 4% 的罚款,以较高者为准。它声称总部位于伯克希尔的 Interserve Group 未能采取适当的安全措施来防范勒索软件攻击。这导致大量敏感员工信息被盗,包括联系方式、国家保险号码、银行账户信息,以及任何残疾、性取向、种族、宗教和健康信息的详细信息。它解释说,一封网络钓鱼电子邮件是由一名员工在被同事转发后打开的。该员工无意中将恶意软件下载到他们的机器上,该公司的防病毒 (AV) 软件已将其标记为引起注意。

详情

http://urlqh.cn/n4vpI

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

0x07   安全分析

白象组织近期网络攻击活动分析

日期: 2022-10-28
标签: 科研服务, 白象, CVE-2017-11882, APT舆情, 

2022年9月底,安天CERT发现一批白象组织的网络攻击活动。攻击者通过挂载恶意链接投放诱饵文档,文档内容主要面向于科研院所,文档包含CVE-2017-11882的漏洞利用,触发漏洞后释放白象组织专有的BADNEWS远控木马。

详情

http://urlqh.cn/n1SfX

0x08   其他事件

元宇宙开启了网络犯罪的新世界

日期: 2022-10-30
标签: 信息技术, 

自 2021 年以来,元宇宙一直是科技流行语,许多公司和投资者都声称虚拟世界环境将进一步普及,标志着互联网发展进入了一个新阶段。2022年10月月初,欧盟执法机构欧洲刑警组织(Europol)在一份报告中表示,未来威胁组织可能会利用虚拟世界进行宣传、招募和培训。作为国际刑警组织成员的国家一直在关注如何打击潜在的虚拟世界犯罪。国际刑警组织负责技术和创新的执行主任Oberoi表示:“一些犯罪行为对于这种媒介来说可能是新的,一些现有的犯罪行为将通过媒介启用提升到一个新的水平。”  根据 Oberoi 的说法,增强现实和虚拟现实可能会影响网络钓鱼和诈骗的运作方式。虚拟现实可以帮助现实世界中的犯罪,如果恐怖组织想要攻击一个物理空间,他们可能会在攻击前利用这个空间来计划、模拟和启动他们的练习。

详情

http://urlqh.cn/n1klH

谷歌云为区块链节点引擎提供Web3

日期: 2022-10-30
标签: 金融业, 信息技术, 谷歌(Google), 加密货币, 大数据, 云计算, Web3, 区块链, 

2022年10月下旬,Google Cloud发布了更新,支持为区块链节点引擎提供Web3。根据谷歌云网站的数据,区块链在全球 140 个国家/地区仍有超过 3800 万客户。谷歌表示,这一开发旨在“帮助企业提供稳定、易于使用的区块链节点网络主机,以便他们可以集中精力开发和扩展 Web3 应用程序”,能够帮助 Web3 开发人员在基于区块链技术的平台上创建和部署新产品。 区块链由加密并永久存储的交易数据组成,是一种分散的数据库。谷歌区块链服务的目标是部署具有虚拟私有云防火墙安全性的节点,该防火墙将网络和通信限制为经过审查的用户和计算机。管理基础设施是一个节点,它是一台计算机或服务器,除了依赖中央机构来确认数据之外,它还保存着区块链交易历史的完整副本。需要专用节点的 Web3 业务可以使用 Google Cloud 的网络架构创建有效的合约、中继交易、读取或写入区块链数据等。

详情

http://urlqh.cn/n1g86

香港将使零售加密交易合法化,以建立加密货币中心

日期: 2022-10-30
标签: 中国香港, 金融业, 信息技术, 批发零售, 加密货币, 

2022年10月下旬,中国香港宣布了一项将零售加密货币交易合法化的计划,以建立一个更友好的加密货币监管制度。据内部消息人士称,即将于2023年3月生效的加密平台强制许可计划将允许零售交易者访问加密平台。有报道称,中国香港监管机构计划在未来几个月内允许更高价值的代币上市,但不会认可比特币或以太币等特定代币。即将在零售交易所上市的代币制度可能会包括代币的市场价值、流动性和第三方加密指数的成员资格等标准,以确定上市资格。数字资产专家 HashKey Group 的执行总裁 Michel Lee 表示,香港正试图建立一个超越零售代币交易市场的加密制度,以纳入包括加密货币在内的所有类型的数字资产。Lee 表示,随着时间的推移,股票和债券的代币化版本在未来可能会成为一个更重要的部分。数字资产并非旨在自行交易,但生态系统必须尽快发展。

详情

http://urlqh.cn/n1J1L

伊朗如何跟踪和控制抗议者的手机

日期: 2022-10-28
标签: 伊朗, 信息技术, 政府部门, SIAM, 

随着愤怒的反政府抗议活动席卷伊朗,伊朗移动和互联网用户报告了滚动网络停电、移动应用程序限制和其他中断。伊朗数据封锁的部分原因可能是使用一个名为“SIAM”的系统,这是一个用于远程操纵伊朗通信监管局提供的蜂窝连接的网络程序。在伊朗蜂窝运营商的一系列内部文件中列出。根据这些内部文件,SIAM是一个在伊朗蜂窝网络幕后工作的计算机系统,为其运营商提供广泛的远程命令菜单,以更改,中断和监控客户使用手机的方式。这些工具可以减慢其数据连接速度,破坏电话加密,跟踪个人或大型团体的移动,并生成详细的元数据摘要,说明谁在何时何地与谁交谈。SIAM文件来自伊朗蜂窝运营商Ariantel的大量内部材料,包括多年的电子邮件通信以及Ariantel员工,外部承包商和伊朗政府人员之间共享的各种文件。一个声称入侵了Ariantel的人与The Intercept分享了这些材料,并认为鉴于伊朗正在进行的抗议活动以及SIAM可能对示威者构成的威胁,这些文件符合公共利益。

详情

http://urlqh.cn/mZR0z

拉脱维亚的网络空间在乌克兰战争中面临新挑战

日期: 2022-10-28
标签: 乌克兰, 俄罗斯, 拉脱维亚, 政府部门, 信息技术, Killnet, 网络犯罪, 俄乌战争, 

俄罗斯的网络攻击可能是一个全球威胁,但乌克兰的盟友尤其面临风险。其中包括拉脱维亚,它是最早宣布俄罗斯为“支持恐怖主义的国家”的国家之一,并于8月停止向俄罗斯公民发放入境签证。在俄罗斯于 2 月下旬入侵乌克兰之前,大多数针对拉脱维亚组织的网络攻击都是出于经济动机,但现在该国的网络安全机构必须应对更严重的威胁——亲俄黑客行动主义者和民族国家黑客针对政府、关键基础设施和私营企业。在拉脱维亚吸引最多媒体关注的网络攻击通常由亲克里姆林宫的黑客活动家进行,包括Killnet及其附属机构(如XakNet和FuckNet)。他们通常进行分布式拒绝服务 (DDoS) 攻击,用垃圾流量淹没网站以使其离线,或在网站的主页上发布威胁消息,这就是所谓的污损攻击。

详情

http://urlqh.cn/n0n8q

学生因经营德国最大的暗网市场之一而被捕

日期: 2022-10-28
标签: 德国, 信息技术, 网络犯罪, 

德国联邦刑警局(BKA)在巴伐利亚州逮捕了一名22岁的学生,他被怀疑是该国最大的暗网市场之一“德国深网”(DiDW)的管理员。

该平台已于 2022 年 3 月下线,拥有 16,000 名注册用户、28,000 个帖子和 72 名大量销售违禁商品(包括武器和毒品)的卖家。嫌疑人现在因经营非法交易平台而面临刑事指控,最高可判处十年监禁。最初的DiDW平台于2013年推出,作为讨论IT安全和匿名化的论坛。在2017年的高峰期,它达到了23,000名注册用户和600万次月点击。然而,该网站也被用来销售武器和毒品等非法物品,使用托管系统进行支付,以保护会员免受欺诈性列表的侵害。这实质上使DiDW成为打着论坛幌子的暗网市场。

详情

http://urlqh.cn/n3hok

APT-Q-36:南亚摩诃草组织近期武器库迭代更新分析

日期: 2022-10-27
标签: APT-Q-36, 

奇安信威胁情报中心红雨滴团队在日常的样本跟踪分析过程中,捕获摩诃草组织多个近期针对周边国家和地区的定向攻击样本。该组织正在对其武器库进行更新迭代,并且使用被窃取的签名伪装攻击样本,该组织近期的木马特点如下:

• 引入开源加密库,对加密算法进行更新;

• 所属攻击样本大部分都打上了被窃取的签名,降低在主机上暴露的风险;

• Shellcode绕过部分安全产品对重点API调用的监控;

• 开发新的注入器,并使用mimikatz窃取受害主机密钥;

详情

http://urlqh.cn/n3K0J

勒索团伙对美国制造业造成重创

日期: 2022-10-27
标签: 美国, 信息技术, 制造业, 

2022年10月27日,安全研究团队Dragos发布研究报告,称勒索软件团伙正在重创美国工业部门,尤其是制造业公司。2022年第三季度发现针对美国组织的网络攻击活动显着增加。与此同时,新兴的勒索软件团体正在涌现。根据 Dragos Q3 对工业组织勒索软件攻击的分析,全球 36% 的记录案例袭击了北美(46 起事件)。这比上一季度显着增加了 10%,当时四分之一的病例影响了该地区。

然而,分析还发现,全球的攻击率季度环比持平——第三季度为 128 次,而第二季度为 125 次。观察到的大多数事件(68%)是针对制造业的。在已确认的攻击中(即公开报告的、在公司遥测中看到的或在暗网上确认的攻击),有 88 起针对该细分市场,尤其是那些生产金属产品的攻击(12 起攻击)。Lookout 安全解决方案高级经理 Stephen Banda 指出,制造业正在向云迁移。数字化制造、库存跟踪、运营和维护可提高敏捷性和效率,减少生产停机时间并提高灵活性。但它也开辟了新的攻击面。然而,对于大多数制造商来说,安全解决方案仍然保留在本地。

详情

http://urlqh.cn/n29Uy

针对Instagram用户的网络钓鱼活动以侵权作为主题诱饵

日期: 2022-10-27
标签: 美国, 信息技术, Instagram, 社会工程学, 网络钓鱼, 

2022年10月27日,Trustwave SpiderLabs 的研究人员发布研究报告称,发现在一场新的网络钓鱼活动中,攻击者正以Instagram用户为目标,该活动使用URL重定向接管账户,或窃取可用于未来攻击或在黑暗网络上出售的敏感信息。研究人员表示,如果用户点击该按钮,它会打开他或她的默认浏览器,并将用户重定向到预期的仿冒网页,如果受害者遵循了这些步骤,最终会窃取用户和密码数据。Trustwave SpiderLabs 的研究人员透露,该活动使用了用户可能侵犯版权的建议作为诱饵。该钓鱼活动始于给用户的一封电子邮件,通知他或她收到了有关该帐户侵犯版权的投诉,如果用户不想丢失该帐户,则必须向 Instagram 上诉。网络钓鱼电子邮件包含一个带有“申诉表”链接的按钮,通知用户他们可以单击该链接来填写表单,稍后将由 Instagram 代表联系。研究人员在文本编辑器中分析了这封电子邮件,发现它没有将用户引导到 Instagram 网站以填写合法报告,而是采用了 URL 重定向。用户可以通过检查消息中包含的 URL 是否与声称发送它们的公司或服务的合法 URL 匹配来避免此类攻击。

详情

http://urlqh.cn/n0DNH

美国联邦贸易委员会因数据泄漏事件起诉酒类零售商Drizly

日期: 2022-10-27
标签: 美国, 信息技术, 批发零售, Drizly, 

2022年10月下旬,美国联邦贸易委员会(FTC)起诉称 优步的子公司数字酒类零售商 Drizly的安全漏洞导致数据泄露,暴露了大约 250 万客户的个人信息。美国联邦贸易委员会正在对该公司及其首席执行官 James Cory Rellas 采取法律行动。FTC 称,Uber 旗下的酒水配送业务及其首席执行官 James Cory Rellas 早在 2018 年就已意识到安全问题。 Drizly 经营着一个在线市场,当地商店可以向达到法定饮酒年龄的顾客出售酒类。投诉称,Drizly 在谈判交易时在亚马逊网络服务 (AWS) 云计算服务上收集并存储了用户的电子邮件地址、密码、地理位置数据和邮政地址。根据 FTC 的说法,Drizly 松懈的安全程序,例如不强制员工对存储登录信息的 GitHub 使用双因素身份验证,才导致这些数据泄漏事件发生。FTC 进一步指出,Drizly 没有负责其安全实践的高级管理人员,也没有限制员工访问消费者的个人信息。这些命令草案将很快由 FTC 公布,美国公众将有 30 天的时间对其发表评论。

详情

http://urlqh.cn/mZl9M

美国政府公布关键基础设施运营商的网络安全目标

日期: 2022-10-27
标签: 美国, 政府部门, 信息技术, 美国国土安全部 (DHS), 

2022年10月27日,美国国土安全部公布了关键基础设施运营商加强网络安全防御的新基准,这是拜登政府说服公司自愿采用更好的保障措施的最新尝试。由网络安全和基础设施安全局 (CISA) 和美国国家标准与技术研究院 (NIST) 制定的网络安全绩效目标列出了政府希望所有关键基础设施实体采取但不对其进行监管的安全步骤,这可能最终削弱了他们的影响。这些目标及其随附的清单(分为不同的领域,例如设备和数据安全、漏洞管理和恢复以及制定事件响应计划)建议了政府高级网络官员过去敦促的通用策略,包括实施多因素身份验证、强密码管理和资产清点。CISA 主任 Jen Easterly 表示,这些目标可以被视为“快速入门指南”,可能对已经遵循 NIST 中描述的安全措施的大公司的“中小型企业,尤其是供应链中的企业”特别有帮助。

详情

http://urlqh.cn/n3Wip

臭名昭著的“BestBuy”黑客因运营黑暗网络市场而被传讯

日期: 2022-10-26
标签: 英国, 美国, 金融业, 信息技术, 推特(Twitter), 加密货币, 网络犯罪, 

2022年10月26日,一名臭名昭著的英国黑客因涉嫌经营现已不复存在的“The Real Deal”暗网市场而被美国司法部传讯。34 岁的被告 Daniel Kaye(又名 Bestbuy、Spdrman、Popopret、UserL0ser)据称在 2015 年初至 2016 年 11 月 The Real Deal关闭时经营非法服务市场。黑客使用该平台出售任何东西,从美国政府机构系统的被盗凭证和黑客工具到毒品、武器和政府数据。在暗网市场上出售的登录凭证中,法庭文件提到了属于美国国家航空航天局 (NASA)、美国海军、国家海洋和大气管理局 (NOAA)、疾病中心的计算机的凭证控制和预防 (CDC) 和美国邮政服务 (USPS)。Kaye 还涉嫌贩卖 Twitter 和 Linked 账户,并与名为 TheDarkOverlord 的威胁行为者合谋出售被盗的社会安全号码。Kaye 作为 GovRAT 恶意软件 [ PDF ] 的开发者和销售者而出名,他的“客户”曾使用该恶意软件入侵美国政府机构。

详情

http://urlqh.cn/n3BHW

拜登政府发起百日冲刺计划,以保护该国化工行业免受网络攻击

日期: 2022-10-26
标签: 美国, 政府部门, 

拜登政府发起了一场为期100天的冲刺,以保护该国化工行业免受网络攻击。在某份文件中表示,化学计划在10月25日为电力、管道和部门推出行动中的任何经验和实践最佳实践,以及满足水源部门的需求。一位 CISA 工业国防部声明告诉Axios,其他步骤将创建一个由 15 个化学团体组成的协商委员会,以收集有关如何最好地改善该行业的数字并鼓励公司安装网络攻击监控的反馈。10月26日的公告发布之际,CISA标准与技术研究院正准备公布关键设施的自有网络安全性能目标,这将设定政府对未来和国家的预期前景。

美国在基础设施服务上以弹性保护承诺为基础,以保护工业安全的标志。

详情

http://urlqh.cn/n1gbU

LinkedIn推出三项新安全功能打击恶意行为

日期: 2022-10-26
标签: 美国, 信息技术, LinkedIn, 人工智能, 

2022年10月26日,LinkedIn 引入了三项新功能来打击虚假个人资料和恶意使用该平台的行为。LinkedIn 宣布已开始显示更多有关帐户的信息以验证其真实性,使用 AI 积极寻找虚假账户,并在用户收到可疑消息时发出警告。并且会通过显示个人资料是否具有经过验证的工作电子邮件或电话号码来确认个人资料是否真实。LinkedIn 新的基于深度学习的模型主动检查个人资料照片上传,以确定图像是否是使用尖端技术生成的,该技术旨在检测与基于 AI 的合成图像生成过程相关的细微图像伪影,而无需执行面部识别或生物识别分析。另外,当聊天参与者提议在平台外进行交流时,LinkedIn 平台会显示警告。

详情

http://urlqh.cn/n1pw5

英国建筑公司Interserve因违反安全规定被处以440万英镑的罚款

日期: 2022-10-26
标签: 英国, 建筑业, Interserve Group, 罚款, 

2022年10月26日,因建筑公司Interserve Group未能保护员工的个人数据而违反数据保护法,英国信息专员办公室 (ICO) 对 Interserve Group 处以 440 万英镑的罚款。据 ICO 称,一群身份不明的黑客于 2020 年 5 月发起了网络钓鱼攻击,以访问 Interserve的系统。在侵入 283 个系统和 16 个帐户后,黑客删除了该公司的防病毒程序。多达 113,000 名现任和前任员工的个人信息被加密,无法访问。ICO 称,该企业未能实施足够的安全措施来避免此类攻击。尽管该公司的防病毒系统隔离了恶意软件并提供了警报,但它并没有完全调查可疑活动。如果这样做,黑客仍然能够访问公司的系统。根据英国DPA2018 (GDPR) 《通用数据保护条例》,ICO 有权对数据控制者处以最高 1750 万英镑的罚款,或者其全球年度总收入的 4%,以较大者为准。

详情

http://urlqh.cn/n1n4A

谷歌因不允许第三方支付被印度罚款1.13亿美元

日期: 2022-10-26
标签: 印度, 信息技术, 谷歌(Google), 罚款, 

2022年10月26日,印度竞争委员会(CCI)因Google滥用其 Google Play 商店的主导地位而对谷歌处以 1.13 亿美元的罚款。印度竞争委员会 (CCI) 已命令 Google 允许应用程序开发人员使用第三方支付处理服务进行应用程序内购买或从 Play 商店购买应用程序。根据 CCI 的说法,Play 商店政策要求应用程序开发人员必须独家且强制使用 Google Play 的计费系统 (GPBS),不仅用于接收应用程序和其他数字产品的付款,还用于某些应用程序内购买。CCI 称 GPBS 对消费者和开发商施加“不公平条件”,因此违反了印度的法律。谷歌没有为自己的应用程序(如 YouTube)使用自己的计费系统,并且“施加歧视性条件和定价。CCI 命令称,“谷歌有 30 天的时间提供必要的财务细节和支持文件。”

详情

http://urlqh.cn/n0FQS

美俄的虚假信息战争

日期: 2022-10-26
标签: 乌克兰, 俄罗斯, 美国, 政府部门, 信息技术, Killnet, 俄乌战争, 

多年来,美俄关系一直处于波动模式。 然而,乔·拜登政权已准备好在所有可能的战线上与俄罗斯抗衡。去年 2 月俄罗斯入侵乌克兰后,以美国为首的欧盟封锁了克里姆林宫传播有关战争的错误信息的两个主要渠道 RT 和 Sputnik。总部位于佛罗里达州的 Aegis Business Technologies 首席执行官 Blake Dowling 指责俄罗斯支持的黑客对美国基础设施(Colonial Pipeline)、企业和政府(SolarWinds 等)以及选举进行了网络攻击。根据道林的说法,俄罗斯互联网研究机构也在全球传播虚假信息方面发挥了作用。除了社交媒体巨魔,一个名为 Killnet 的俄罗斯黑客组织也在扰乱美国的服务方面发挥了重要作用。他们正在寻求对俄罗斯的敌人造成混乱,特别是那些与乌克兰站在一起的实体。

详情

http://urlqh.cn/n2dGY

PatchWork组织Herbminister行动武器库大揭秘

日期: 2022-10-25
标签: 信息技术, Patchwork, APT舆情, 

近期,知道创宇404-APT高级威胁情报团队在对PatchWork组织跟踪过程中发现该组织从去年开始对多国一系列科研目标进行渗透攻击。掌握了归属于该组织的部分资产,获取了其批量攻击活动的工具,并依据这些工具名称将其命名为Herbminister 行动。根据分析情况来看PatchWork组织武器库大量采用开源红队工具,并在此基础上进行二次开发工作,其武器库存在多套攻击手法,全流程武器库包括不限于:信息收集、ByPass、域内横移、隔离网传播、安装部署、同种类多种武器类型(武器数目共计:76款)。

详情

http://urlqh.cn/n48Vx

Kimsuky组织针对Android设备的新恶意软件

日期: 2022-10-25
标签: 朝鲜, 信息技术, Kimsuky, APT舆情, 

S2W的威胁研究和情报中心Talon最近在跟踪Kimsuky组织的过程中,发现了三种针对Android设备的新型恶意软件,并将这三个恶意APK命名为FastFire、FastViewer和FastSpy。FastFire恶意软件伪装成谷歌安全插件,而FastViewer恶意软件伪装成“Hancom Office Viewer”,FastSpy是基于AndroSpy的远程访问工具。FastViewer&FastSpy实际上被用来攻击韩国人。

详情

http://urlqh.cn/n0KTI

Vice Society 瞄准拥有多个勒索软件家族的学校

日期: 2022-10-25
标签: 美国, 信息技术, 教育行业, Vice Society, 

一个名为 Vice Society 的威胁组织在针对美国和全球教育部门的攻击中切换勒索软件有效载荷。虽然这不一定是新信息,但由于该组织以在某些攻击中使用多种勒索软件而闻名,微软也看到他们在 2022 年 7 月至 2022 年 10 月期间对美国教育部门的组织使用这种策略。正如微软安全威胁情报分析师在10月25日发布的一份报告中所分享的那样,Vice Society(由 Redmond 跟踪为 DEV-0832)一直在 BlackCat、QuantumLocker、Zeppelin 和 Vice Society 品牌的 Zeppelin 勒索软件变体之间进行交换。Vice Society 是一个至少从 2021 年 6 月初开始活跃的威胁组织,以在受害者的网络上部署多种勒索软件而闻名,例如 Hello Kitty/Five Hands 和 Zeppelin 勒索软件。他们还在加密之前从受感染的系统中窃取数据,并将其用于双重勒索,威胁受害者如果不满足他们的赎金要求,就会在网上泄露数据。9月,FBI 和 CISA 在联合咨询中也警告说,  Vice Society 组织不成比例地针对 美国教育部门。

详情

http://urlqh.cn/n3IUz

荷兰警方逮捕了违反医疗软件供应商的黑客

日期: 2022-10-25
标签: 信息技术, 卫生行业, Carengzorgt, 

荷兰警方在荷兰西部逮捕了一名 19 岁男子,他涉嫌入侵该国一家医疗软件供应商的系统,并窃取了数万份文件。这些文件可能包含使用公司系统的医疗保健提供者的患者的敏感个人和医疗数据。目前,尚未确定黑客是否共享或试图出售被盗数据,这在数据泄露中很常见。警方在收到被黑公司的报告后追踪该男子,目前正在嫌疑人家中检查逮捕期间收集的证据。虽然 警方的公告 没有提到被入侵的公司,但 BleepingComputer 发现了荷兰科技公司 Nedap 的新闻稿,披露了其 Carenzorgt.nl 门户网站的黑客事件。Carengzorgt 是一个由 9,023 家医疗保健提供者和近 50 万活跃用户使用的医疗门户,提供预约、医患和家庭患者沟通以及医疗数据保管等功能。

详情

http://urlqh.cn/n2kVF

新的三星维护模式在手机维修期间保护您的数据

日期: 2022-10-25
标签: 韩国, 信息技术, 三星(Samsung), 

在韩国成功开展试点计划后,三星现在推出“维护模式”以在全球范围内选择 Galaxy 设备,以帮助用户在服务点交出智能手机时保护其敏感数据。这个新系统旨在减轻用户的焦虑并增强对任何人都无法访问或复制他们的个人数据的信心,即使是对设备的物理访问。新模式在“电池和设备维护”菜单下的“设置”中可用。启用后,该模式在重新启动设备后处于活动状态。这样做会在设备上创建一个辅助用户帐户,与所有者安装的所有应用程序、存储的数据和文件系统完全隔离。这会使新用户无法使用与所有者帐户关联的照片、文档和消息。三星仍然建议备份有价值的个人数据,以确保在服务期间存储介质或其他组件出现故障时可以恢复这些数据。维护模式将允许服务技术人员在维修工作中执行他们需要执行的任何操作,例如测试设备功能、运行系统应用程序、从 Galaxy Store 下载软件等。

详情

http://urlqh.cn/n2NPd

Snatch 勒索组织攻击美国一学区

日期: 2022-10-24
标签: 美国, 教育行业, 信息技术, 网络犯罪, 

2022年10月24日,Snatch 勒索组织宣称对美国威斯康星州一个为近 20,000 名学生提供服务的学区发起的网络攻击负责。 Snatch 勒索软件组织在2022年10月23日早上将基诺沙联合学区添加到其受害者名单中,但没有说明在攻击期间窃取了多少数据或获取了哪些类型的文件。2022年9月29日,该学区的员工发布了关于2022年9月25日开始的网络攻击的通知,并主动将其网络的某些部分离线。2022年10月24日,美国政府问责局发布了关于影响 K-12 学校的网络安全事件影响的报告。报告显示,网络攻击后的学习损失从 3 天到 3 周不等,恢复时间从 2 到 9 个月不等。美国政府问责局官员表示,教育部长和 CISA 需要建立一个协作机制,以协调机构之间以及与 K-12 社区的网络安全工作,集中精力改善美国的 K-12 学校的数字防御。

详情

http://urlqh.cn/n1dts

Chrome恶意扩展程序可劫持目标浏览器

日期: 2022-10-24
标签: 美国, 信息技术, 谷歌(Google), 浏览器安全, 

2022年10月24日,Guardio Labs 的研究人员发布报告表示,发现了一个新的恶意广告活动,该活动正在传播恶意的谷歌 Chrome 扩展程序,该扩展程序劫持了用户搜索并将附属链接插入网页。由于这些扩展都提供了颜色自定义选项,并且到达受害者的机器时没有恶意代码来逃避检测,因此分析师将该活动命名为“休眠颜色”。当用户尝试下载程序或观看视频时,会被重定向到另一个站点,称必须安装扩展程序才能继续。当这些扩展程序首次安装时,它们会将用户重定向到各种页面,这些页面会加载恶意脚本,这些脚本会指导扩展程序如何执行搜索劫持以及在哪些站点上插入附属链接。根据 Guardio 的报告,到 2022 年 10 月中旬,Chrome 和 Edge 网络商店都提供了 30 种浏览器扩展变体,安装量超过一百万。

详情

http://urlqh.cn/n4E0T

CISA 警告 Daixin Team 黑客使用勒索软件攻击卫生组织

日期: 2022-10-24
标签: 美国, 信息技术, 卫生行业, 美国网络安全和基础设施安全局 (CISA), 网络犯罪, 

美国网络安全和情报机构发布了联合咨询警告,警告称主要针对该国医疗保健行业的网络犯罪团伙“大新团队”实施了攻击。Daxin团队是一个勒索软件和数据勒索组织,至少从 2022 年 6 月开始就针对 HPH 部门进行勒索软件和数据勒索行动。在过去四个月中,该组织与医疗保健和公共卫生 (HPH) 部门的多起勒索软件事件有关,对与电子健康记录、诊断、成像和内部网服务相关的服务器进行加密。据说它还泄露了个人身份信息 (PII) 和患者健康信息 (PHI),作为双重勒索计划的一部分,以从受害者那里获得赎金。美国政府表示:攻击者利用特权帐户访问 VMware vCenter Server 并重置环境中 ESXi 服务器的帐户密码。攻击者随后使用 SSH 连接到可访问的 ESXi 服务器并在这些服务器上部署勒索软件。更重要的是,大信团队的勒索软件基于另一种名为 Babuk 的毒株,该毒株于 2021 年 9 月泄露,并已被用作Rook、Night Sky、Pandora 和 Cheerscrypt等许多文件加密恶意软件家族的基础。作为缓解措施,建议组织应用最新的软件更新、实施多因素身份验证、实施网络分段并维护定期脱机备份。

详情

http://urlqh.cn/n34MU

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x0a   时间线

2022-10-31 360CERT发布安全事件周报