报告编号：B6-2023-021301

报告来源：360CERT

报告作者：360CERT

更新日期：2023-02-13

0x01   事件导览

本周收录安全热点41项，话题集中在恶意程序、网络攻击方面，涉及的组织有：Google、Apple、乌克兰CERT、OpenAI等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

黑客使用虚假的加密工作机会来传播信息窃取恶意软件

日期: 2023-02-09
标签: 俄罗斯, 金融业, 信息技术, 加密货币, 网络犯罪, 

由俄罗斯威胁行为者发起的一项活动使用虚假工作机会来针对在加密货币行业工作的东欧人，旨在用名为“Enigma”的 Stealerium 恶意软件的修改版本感染他们。根据一直在跟踪恶意活动的 Trend Micro 的说法，威胁行为者使用一组高度混淆的加载程序，这些加载程序利用旧的 Intel 驱动程序缺陷来降低 Microsoft Defender 的令牌完整性并绕过保护。攻击始于一封伪装成工作机会的电子邮件，其中包含虚假的加密货币面试，以引诱他们的目标。电子邮件有一个 RAR 存档附件，其中包含一个 TXT（“interview questions.txt”）和一个可执行文件（“interview conditions.word.exe”）。文本文件包含用西里尔字母编写的面试问题，这些问题遵循标准格式并且看起来合法。如果受害者被诱骗启动可执行文件，则会执行一系列有效负载，最终从 Telegram 下载 Enigma 信息窃取恶意软件。

详情

Gootloader 恶意软件、SEO 中毒以“激进”活动中的医疗保健为目标

日期: 2023-02-09
标签: 信息技术, 网络犯罪, 

根据 Cybereason 事件响应团队的说法，一个“激进的威胁行为者”正在使用 Gootloader 恶意软件和 SEO 中毒策略瞄准金融和医疗保健行业。 “鉴于攻击的可能性”，威胁级别应被视为严重。研究人员写道：“威胁行为者表现出快速移动的行为，迅速前往控制其感染的网络，并在不到 4 小时内获得提升的权限。”Cybereason 在去年 12 月调查了一起成功的事件，该事件使用了 Gootloader 的新部署，该事件揭示了许多令人担忧的策略，包括 SEO 中毒技术以引诱受害者下载恶意负载。这些方法已被用于其他最近的攻击，突出了正在进行的活动的可能性。攻击分析证实了多层混淆和“多个 JavaScript 循环的存在使执行时间更长，可能是一种反沙盒机制。”

详情

CISA发布ESXiArgs勒索软件受害者的恢复脚本

日期: 2023-02-08
标签: 信息技术, 网络犯罪, 

美国网络安全和基础设施安全局 (CISA) 发布了针对 ESXiArgs 勒索软件变体受害者的恢复脚本，该变体本周影响了全球数千家组织。CISA 的 ESXiArgs-Recover 工具在 GitHub 上免费提供，组织可以使用它来尝试恢复勒索软件变体可能加密的易受攻击的 VMware ESXi 服务器上的配置文件。该机构指出，一些使用该工具的组织已经成功地恢复了他们的加密文件，而无需支付赎金。然而，CISA 警告说，任何计划使用该工具的网络安全团队在尝试恢复 EXSIArgs 可能已加密的文件之前，都应首先确保他们了解该工具的工作原理。 “CISA 建议受 ESXiArgs 影响的组织评估随附的 README 文件中提供的脚本和指南，以确定它是否适合他们的环境，”它指出。ESXiArgs 是一种勒索软件变体，法国的计算机紧急响应小组 (CERT) 于 2 月 3 日首次发现针对全球 VMware ESXi 管理程序的攻击。该恶意软件利用了开放服务定位协议 (OpenSLP)（一种用于解析网络地址的 ESXi 服务）中存在 2 年历史且已打补丁的远程代码执行漏洞 (CVE-2021-21974)。

详情

恶意Dota 2游戏模式感染了恶意软件

日期: 2023-02-08
标签: 信息技术, 网络犯罪, 

安全研究人员发现了四种恶意 Dota 2 游戏模组，威胁行为者使用这些模组对玩家的系统设置后门。正如 Avast 威胁实验室的研究人员发现的那样，未知的攻击者为广受欢迎的 Dota 2 多人在线竞技场视频游戏创建了四个游戏模组，并将它们发布在 Steam 商店上以瞄准游戏的粉丝。“这些游戏模式被命名为 Overdog no annoying heroes (id 2776998052)、Custom Hero Brawl (id 2780728794) 和 Overthrow RTZ Edition X10 XP (id 2780559339)，”Avast 恶意软件研究员 Jan Vojtěšek 说。攻击者还包括一个名为 evil.lua 的新文件，用于测试服务器端 Lua 执行能力。该恶意代码片段可用于记录日志、执行任意系统命令、创建协程和发出 HTTP GET 请求。虽然威胁行为者很容易在 Steam 商店发布的第一个游戏模式中检测到捆绑的后门，但三个较新的游戏模组中包含的 20 行代码恶意代码更难发现。后门使威胁行为者能够在受感染的设备上远程执行命令，从而可能允许在设备上安装更多恶意软件。“此后门允许执行通过 HTTP 获取的任何 JavaScript，使攻击者能够自行决定隐藏和修改漏洞利用代码，而无需经过游戏模式验证过程，这可能很危险，并更新整个自定义游戏模式”，Vojtěšek 说。

详情

CERT-UA警告乌克兰国家当局Remcos软件引发的网络攻击

日期: 2023-02-08
标签: 信息技术, 网络犯罪, 

乌克兰计算机应急响应小组 (CERT-UA) 已针对部署名为 Remcos 的合法远程访问软件的国家当局发出网络攻击警报。大规模网络钓鱼活动被归因于它追踪为 UAC-0050 的威胁行为者，该机构称该活动很可能是出于间谍活动的动机，因为所使用的工具集。启动感染序列的虚假电子邮件声称来自乌克兰电信公司 Ukrtelecom，并带有诱饵 RAR 存档。在文件中存在的两个文件中，一个是超过 600MB 的受密码保护的 RAR 存档，另一个是包含用于打开 RAR 文件的密码的文本文件。在第二个 RAR 存档中嵌入了一个可执行文件，它会导致安装 Remcos 远程访问软件，从而授予攻击者完全访问征用受感染计算机的权限。Remcos是远程控制和监视软件的缩写，由 Breaking Security 免费提供，或者作为高级版本提供，价格在 58 欧元到 945 欧元之间。

详情

新的 QakNote 攻击通过 Microsoft OneNote 文件推送 QBot 恶意软件

日期: 2023-02-07
标签: 信息技术, 

自上周以来，一种名为“QakNote”的新 QBot 恶意软件活动已在野外被发现，它使用恶意 Microsoft OneNote“.one”附件感染带有银行木马的系统。Qbot（又名 QakBot）是一种前银行木马，后来演变为恶意软件，专门获取对设备的初始访问权限，使威胁行为者能够在受感染的机器上加载其他恶意软件，并在整个网络中执行数据窃取、勒索软件或其他活动。上个月，网络钓鱼电子邮件中的 OneNote 附件作为一种新的攻击媒介出现，取代了 Microsoft 于 2022 年 7 月禁用的 Office 文档中的恶意宏，从而使威胁参与者在目标设备上执行代码的选项更少。

详情

基于 Mirai 代码的新版 Medusa DDoS僵尸网络已经出现

日期: 2023-02-07
标签: 信息技术, 

基于 Mirai 代码的新版 Medusa DDoS（分布式拒绝服务）僵尸网络已经出现，具有勒索软件模块和 Telnet 暴力破解程序。Medusa 是一种古老的恶意软件菌株（不要与 同名的 Android 木马混淆）自 2015 年以来一直在暗网市场上做广告，后来 在 2017 年添加了基于 HTTP 的 DDoS 功能。Cyble 告诉 BleepingComputer，他们在野外发现的这个新变种是旧恶意软件变种的延续。它的最新版本基于 Mirai 僵尸网络泄露的源代码，继承了其 Linux 目标功能和广泛的 DDoS 攻击选项。此外，Medusa 现在被推广为用于 DDoS 或通过专用门户进行挖掘的 MaaS（恶意软件即服务）。它承诺服务稳定性、客户匿名性、支持、易于使用的 API 以及可根据特定需求调整的成本。

详情

Hive 拆除展现了 FBI 在受害者恢复工作方面的演变

日期: 2023-02-06
标签: 信息技术, 网络犯罪, 

在 2021 年 Kaseya 勒索软件攻击事件发生后，有报道称 FBI 已获得 REvil 恶意软件的解密器，但选择将其秘密保留三个多星期，然后再将其传递给受害者，公众的反响迅速而激烈。该局受到许多更广泛的网络安全社区以及国会议员的嘲笑，因为它似乎优先考虑自己的调查和执法活动，同时让数百名 Kaseya 客户信息泄露，为是否支付数百万美元的赎金而苦恼或拒绝并看到他们的数据在互联网上丢失或泄露。袭击发生数月后，《华盛顿邮报》报道称，尽管他们拥有解锁这些系统所需的解密密钥数周时间，但 FBI 官员对这一事实保密，因为他们希望在未来的行动中利用它来破坏 REvil 的勒索软件网络。当联邦调查局局长克里斯托弗雷在同一天出现在立法者面前时，他辩称除了帮助受害者恢复他们的系统和数据外，FBI 有义务使用解密器来推进其更广泛的执法任务。他还声称 IT 安全团队需要对该工具进行搜索，以确保它没有感染可能传递给受害者的恶意软件或恶意代码。

详情

Royal Ransomware的Linux版本以VMware ESXi服务器为目标

日期: 2023-02-06
标签: 信息技术, 网络犯罪, 

Royal Ransomware 是最新的勒索软件操作，将对加密 Linux 设备的支持添加到其最新的恶意软件变体中，特别针对 VMware ESXi 虚拟机。BleepingComputer 一直在报告其他多个团伙发布的类似 Linux 勒索软件加密器，包括 Black Basta、LockBit、BlackMatter、AvosLocker、REvil、HelloKitty、RansomEXX 和 Hive。新的 Linux Royal 勒索软件变体由 Equinix 威胁分析中心 (ETAC) 的 Will Thomas 发现，并使用命令行执行。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

丰田全球供应链门户网站漏洞让黑客掌握主动权

日期: 2023-02-08
标签: 制造业, 信息技术, 供应链攻击, 供应链安全, 

一名白帽子在丰田员工和供应商用于协调与汽车制造商全球供应链相关任务的 Web 应用程序中发现了一个后门，仅通过知道其用户之一的电子邮件地址就获得了对全球系统的控制权。安全研究员 Eaton Zveare 本周透露，10 月，他在丰田全球供应商准备信息管理系统 (GSPIMS) 门户网站中发现了后门登录机制，丰田员工及其供应商使用该网站协调各种业务活动。后门允许他以任何公司用户或供应商的身份登录。他从那里找到了一个系统管理员的电子邮件并登录到他们的帐户，从而获得“对整个全球系统的完全控制”，他在一篇关于黑客攻击的博客文章中解释道。Zveare 表示，一旦担任管理员，他就可以“完全访问”丰田内部项目、文件和用户帐户，包括一些属于丰田外部合作伙伴和米其林、大陆集团、史丹利百得和哈曼等供应商。总而言之，研究人员获得了对丰田全球 14,000 多名用户目录的读/写访问权限。 Zveare 还可以访问公司用户帐户详细信息、机密文件、项目、供应商排名/评论以及与这些用户相关的其他敏感数据。

详情

Android 和 iOS 的 Money Lover 泄露了电子邮件地址、交易

日期: 2023-02-08
标签: 信息技术, 金融业, 

适用于 Android、iOS 和 Windows 的 Money Lover 金融应用程序存在缺陷，允许任何登录成员查看其他用户共享钱包的电子邮件地址和实时交易元数据。Money Lover 是一款财务应用程序，允许用户管理他们的开支和预算，该应用程序已在 Play 商店中被下载了五百万次，该应用程序还适用于 iOS 和 Windows。Money Lover 允许用户与特定用户（如家庭成员或同事）创建“共享钱包”以记录交易，以便在费用记录和监控方面进行协作。受邀加入共享钱包的用户通常彼此认识，因此共享数据和电子邮件地址是理所当然的。然而，Trustwave 的分析师和 Money Lover 用户 Troy Driver 发现，与共享钱包相关的交易数据和电子邮件地址会暴露给该应用程序的任何经过身份验证的用户。“共享钱包交易会泄露用户信息，例如用户的电子邮件地址和共享钱包名称，”Trustwave 报告中写道。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

UAC-0056利用新的信息窃取恶意软件Graphiron攻击乌克兰

日期: 2023-02-09
标签: 政府部门, 信息技术, 

Nodaria间谍组织（又名UAC-0056）正在使用新的信息窃取恶意软件针对乌克兰。该恶意软件是用Go编写的，旨在从受感染的计算机中收集各种信息，包括系统信息、凭据、屏幕截图和文件。新的信息窃取软件Graphiron最早可追溯到2022年10月，并且至少持续使用到2023年1月中旬，该软件可能是Nodaria武器库的一部分。

详情

恶意谷歌广告将 AWS 钓鱼网站偷偷带入搜索结果

日期: 2023-02-09
标签: 信息技术, 

针对 Amazon Web Services (AWS) 登录的新网络钓鱼活动正在滥用 Google 广告，将网络钓鱼网站潜入 Google 搜索以窃取您的登录凭据。该活动由 Sentinel Labs 发现，其分析师于 2023 年 1 月 30 日观察到恶意搜索结果。不良广告在搜索“aws”时排名第二，仅次于亚马逊自己的推广搜索结果。最初，威胁行为者将广告直接链接到网络钓鱼页面。然而，在稍后阶段，他们添加了一个重定向步骤，可能会逃避谷歌广告欺诈检测系统的检测。恶意 Google 广告会将受害者带到攻击者控制下的博客网站（“us1-eat-a-w-s.blogspot[.]com”），该网站是合法素食博客的副本。该网站使用“window.location.replace”自动将受害者重定向到一个新网站，该网站托管虚假的 AWS 登录页面，看起来是真实的。系统会提示受害者选择他们是根用户还是 IAM 用户，然后输入他们的电子邮件地址和密码。

详情

佛罗里达医院在网络攻击 5 天后仍在转移一些 EMS 患者

日期: 2023-02-07
标签: 卫生行业, 

尽管在恢复工作方面取得了进展，但塔拉哈西纪念健康中心在报告 IT 安全问题五天后继续转移一些急诊患者。佛罗里达州卫生系统在 2 月 2 日晚上检测到事件后关闭了其网络，并一直在根据电子健康记录停机程序运行，以修复威胁。调查正在进行中。TMH 一直在执法部门的支持下“积极努力解决”这一事件，执法部门已将其部分护理服务重新上线。值得注意的是，卫生系统取消了周四和周一之间的手术，但现在“进行有限的手术和程序”。其分娩和分娩设施的网络以及相关的医生诊所均已投入运营。然而，临床医生仍在利用纸质流程进行注册、入院和护理期间，这会导致预期的护理延误。

详情

朝鲜使用Zimbra设备监视研究人员

日期: 2023-02-07
标签: 政府部门, 科研服务, 

最近一轮利用未打补丁的 Zimbra 设备的妥协是由朝鲜政府发起的，旨在窃取公共和私人医疗和能源部门研究人员的情报。W Labs 的分析师在一份新报告中解释说，由于技术重叠——并且由于其中一个威胁行为者的失误——他们能够“高度自信地”将最近一轮针对未打补丁的 Zimbra 设备的网络事件归因于由朝鲜政府赞助的著名威胁组织 Lazarus Group 的工作。到 2022 年底，Lazarus 一直在开展这项活动和其他类似的情报收集工作。研究人员根据恶意软件在调查期间生成的一条错误消息，将该活动命名为“No Pineapple”。威胁行为者悄悄地泄露了大约 100GB 的数据，没有发动任何破坏性的网络操作或破坏信息。

详情

乌克兰CERT表示黑客组织UAC-0050试图部署远程管理软件Remcos以监视政府机构

日期: 2023-02-07
标签: 政府部门, 

根据最近的警报，在最近针对乌克兰政府机构的网络钓鱼活动中，黑客试图在受害者的计算机上安装 Remcos 监控软件。Remcos 是一款合法的 Windows 系统远程管理软件，由德国公司 Breaking Security 开发。但是，它有时会被黑客用来远程访问并完全控制受害者的计算机。根据乌克兰计算机应急响应小组 (CERT-UA) 周一发布的警报，这些虚假电子邮件包含一个恶意文件，提醒收件人为乌克兰主要互联网服务提供商 Ukrtelecom 的服务付费。电子邮件附带的档案之一包含一个大小超过 600MB 的可执行文件。运行此文件会在受害者的计算机上安装 Remcos 程序。CERT-UA 没有透露哪些乌克兰政府服务成为网络钓鱼电子邮件的目标，也没有透露黑客是否设法成功安装了间谍软件。该机构固定CERT-UA 表示，自 2020 年以来一直在乌克兰活跃的标记为 UAC-0050 的组织的努力。黑客使用远程桌面软件 Remote Utilities 进行了先前的攻击。据 CERT-UA 称，该组织的一个可能目标是间谍活动，因为其成员主要针对乌克兰的政府服务。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

美国和韩国指责朝鲜利用医院赎金资助更多黑客活动

日期: 2023-02-09
标签: 政府部门, 信息技术, 网络犯罪, 

2023年2月9日，美国和韩国表示，朝鲜国家黑客正在使用各种勒索软件攻击全球医疗保健组织和其他目标，目的是筹集资金资助其他行动。这两个盟友表示，“这些加密货币业务的收入数额不详，支持 [朝鲜] 国家级优先事项和目标，包括针对美国和韩国政府的网络行动。”根据网络安全和基础设施安全局 (CISA)、联邦调查局、美国国家安全局以及几个韩国国防和情报机构的联合咨询，这些网络行动的具体目标包括美国国防信息网络和军事承包商。这些机构表示，朝鲜黑客既使用了内部开发的勒索软件，如 Maui 和 H0lyGh0st，也使用了通过其他方式获得的其他勒索恶意软件，例如 Deadbolt、ech0raix、GonnaCry、Hidden Tear、Jigsaw、LockBit 2.0、My Little Ransomware、NxRansomware、Ryuk 和 YourRansom。该公告提供了同一执法机构在 2022 年 7 月发布的公告的更新——其中朝鲜黑客被指控使用 Maui 勒索软件攻击医疗保健组织。这标志着机构首次将特定攻击者与 Deadbolt 和 ech0raix 的使用联系起来，这两种勒索软件用于针对数据存储硬件供应商 QNAP 的客户。这些机构还表示，朝鲜黑客试图将自己描绘成其他勒索软件组织的成员，例如现已关闭的 REvil。

详情

HHS敦促OpenEMR修补程序关闭远程代码执行漏洞

日期: 2023-02-06
标签: 信息技术, 

OpenEMR是一种流行的电子健康记录系统，全球10万家供应商每月估计有5000次下载，为2亿多名患者提供服务。OpenEMR由志愿者和支持专业人员组成的社区维护，主要被和平队、国际计划生育联合会和肯尼亚的Siaya地区医院使用。在过去版本的OpenEMR中发现的漏洞可能使攻击者能够访问敏感数据并危及整个系统。如果被利用，未经身份验证的参与者可能会链接“在运行OpenEMR版本低于7.0.0的服务器上获得代码执行的漏洞”。软件开发公司Sonar发现了这一缺陷，并负责任地向OpenEMR披露了这一缺陷，OpenEMR随后提供了软件更新来修复这一问题。该平台的新版本都打了完整的补丁。Sonar在OpenEMR更新后发布了报告。鉴于卫生部门通常缓慢的补丁进程和持续的威胁形势，卫生与公众服务部网络安全协调中心敦促IT和安全领导者确保他们已经升级到最新的EMR版本，以完全修补这些漏洞。

详情

CISA将Oracle、SugarCRM漏洞添加到漏洞列表中

日期: 2023-02-06
标签: 信息技术, 

美国网络安全和基础设施安全局 (CISA) 表示，来自 Oracle 和 SugarCRM 的两个漏洞正在被积极利用，并命令联邦民间机构在 2 月 23 日之前修补它们。周四，CISA 将影响 Oracle 电子商务套件的 CVE-2022-21587 和影响 SugarCRM 多个产品的 CVE-2023-22952 添加到其已知被利用漏洞目录中。与列表中的所有新增内容一样，CISA 解释说，这些漏洞是“恶意网络参与者的常见攻击媒介，并对联邦企业构成重大风险”。甲骨文在 10 月份修补了 CVE-2022-21587，几位专家表示，电子商务套件拥有广泛的用户群，因此尽快安装补丁至关重要。该漏洞的 CVSS 得分为 9.8，满分为 10 分，新加坡政府将其列为特别危险的漏洞，因为它“很容易被利用”。SugarCRM 漏洞的 CVSS 评分为 8.8但在安全专家中引起了更多讨论，因为 12 月 30 日发布了针对该漏洞的漏洞利用程序。Censys 的研究人员在 1 月 11 日表示，他们的系统在互联网上发现了 3,059 个 SugarCRM 实例和 354 个包含该漏洞利用程序安装的 webshell 的唯一 IP 地址。一位安全专家在 Mastodon 上表示，他们看到了与该漏洞相关的加密挖矿恶意软件。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   其他事件

随着ChatGPT和AI Loom的出现，网络钓鱼激增

日期: 2023-02-09
标签: 信息技术, 社会工程学, 人工智能, 

网络钓鱼正盛行，2022 年下半年活动量激增。事实上，根据本周的一项分析，下半年网络钓鱼电子邮件总数增加了 61%。这也可能会加速，因为 ChatGPT 和其他新工具的兴起也在该行业留下了自己的印记。这是根据电子邮件安全公司 Vade 于 2 月 9 日发布的“2022 年第四季度网络钓鱼和恶意软件报告”得出的结论。网络钓鱼数量在第三季度和第四季度之间增加了 36%，研究人员在今年的最后三个月跟踪了 2.783 亿封独特的网络钓鱼电子邮件，据报道。研究人员发现，恶意软件数量总体上也有所增加，每季度增长 12%，Vade 在 2022 年第四季度检测到 5890 万封包含恶意软件的电子邮件。

详情

NIST宣布将使用Ascon作为轻量级物联网设备保护的加密标准

日期: 2023-02-09
标签: 信息技术, 物联网, 

经过几年的搜索，美国国家标准与技术研究院 (NIST) 选择 Ascon 作为标准，以保护由构成物联网 (IoT) 的轻型电子产品爆炸式增长所产生的数据。该组织表示，NIST 将在 2023 年晚些时候发布完整的标准。根据 NIST 的说法，Ascon 算法组能够在小型技术的电子限制下提供保护，例如医疗设备、道路和桥梁上的压力检测器以及汽车的无钥匙进入系统。NIST 计算机科学家 Kerry McKay 在公告中说：“世界正在朝着使用小型设备执行从传感到识别再到机器控制的许多任务的方向发展，并且由于这些小型设备的资源有限，它们需要具有紧凑实现的安全性”选择的。 “这些算法应该涵盖大多数具有此类资源限制的设备。”

详情

2023年企业面临的7个关键云威胁

日期: 2023-02-09
标签: 信息技术, 

保护云从一开始就是一项繁重而艰巨的任务：使用建立在通过互联网提供计算服务的基础上的企业架构的想法自然代表了一个独特的威胁面。但云计算正迅速成为 IT 领域无处不在的一部分，Gartner 估计，到 2025 年，超过 95% 的新数字工作负载将部署在云原生平台上——与 2021 年的 30% 相比有了显着增长。专家表示，这种对云的日益依赖给本已复杂的问题带来了新的安全挑战。这是因为随着企业 IT 利益相关者对实施云的理解和信心的提高，想要利用其复杂性来实现自己的恶意目的的威胁参与者也变得更加老练。事实上，当谈到云泄露时，大多数 IT 专业人士都认为，这不是一个“是否”会在组织中发生的情况，而是“何时”发生的情况——企业需要专家说，为那一天的到来做好准备。 Dig Security 的首席执行官兼联合创始人 Dan Benjamin 指出，这主要是因为云的绝对范围——尽管它既有积极的方面也有消极的方面——使其安全态势变得不稳定。“如今，普通企业使用近 2,000 种不同的云服务，”他说。 “因此，云足迹与存储在云中的庞大数据量一起呈爆炸式增长。”

详情

Reddit遭受网络攻击，黑客窃取源代码和内部数据

日期: 2023-02-09
标签: 信息技术, 网络犯罪, 

Reddit 周日晚间遭受网络攻击，允许黑客访问内部业务系统并窃取内部文件和源代码。该公司表示，黑客使用了一种针对 Reddit 员工的网络钓鱼诱饵，其登陆页面冒充其内部网站。该站点试图窃取员工的凭据和双因素身份验证令牌。在一名员工成为网络钓鱼攻击的受害者后，威胁行为者能够破坏内部 Reddit 系统以窃取数据和源代码。“在成功获得一名员工的凭证后，攻击者获得了对一些内部文档、代码以及一些内部仪表板和业务系统的访问权限，”Reddit 在其 安全事件通知中解释道。“我们没有迹象表明我们的主要生产系统（ 运行 Reddit 并存储我们大部分数据的堆栈部分）遭到破坏。”Reddit 表示，在这名员工向公司的安全团队自我报告了这一事件后，他们才得知了这一违规行为。在对事件进行调查后，Reddit 表示，被盗数据包括公司联系人以及现任和前任员工的有限联系信息。这些数据还包括有关该公司广告商的一些详细信息，但未访问信用卡信息、密码和广告效果。Reddit 还表示，没有迹象表明威胁行为者能够破坏用于运行该网站的生产系统。

详情

黑客开发新的“Screenhoter”恶意软件来寻找高价值目标

日期: 2023-02-09
标签: 信息技术, 

一个被追踪为 TA886 的新威胁行为者以美国和德国的组织为目标，使用新的自定义恶意软件对受感染的系统执行监视和数据窃取。Proofpoint 于 2022 年 10 月首次发现了此前未知的活动集群，该安全公司报告称该活动一直持续到 2023 年。威胁行为者似乎有经济动机，对被破坏的系统进行初步评估以确定目标是否具有足够的价值以进行进一步入侵。威胁行为者使用网络钓鱼电子邮件瞄准受害者，这些电子邮件包括带有恶意宏的 Microsoft Publisher (.pub) 附件、链接到带有宏的 .pub 文件的 URL，或包含下载危险 JavaScript 文件的 URL 的 PDF。Proofpoint 表示，TA886 中发送的电子邮件数量在 2022 年 12 月呈指数增长，并在 2023 年 1 月继续上升，电子邮件以英语或德语书写，具体取决于目标。

详情

黑客利用虚假网站攻击乌克兰和波兰的国家机构

日期: 2023-02-08
标签: 信息技术, 网络犯罪, 

2023年2月上旬，黑客试图用假冒合法国家服务的虚假网站上托管的恶意软件感染乌克兰政府计算机系统。乌克兰的计算机应急响应小组 CERT-UA 将此次攻击归因于一个名为 WinterVivern 的组织。该组织至少从 6 月开始活跃，其中包括讲俄语的成员。根据周三发布的一份报告，除了乌克兰的目标外，它还瞄准了波兰的政府机构。该组织使用的恶意软件变体之一 Aperetif 自 5 月以来已为安全研究人员所知，并已被用于窃取有关受害者计算机的技术信息，例如操作系统、硬件和软件组件以及网络配置值.为了访问受害者的设备，黑客向乌克兰和波兰国家组织的员工发送了钓鱼电子邮件，说明如何下载在俄罗斯潜在网络攻击后扫描计算机病毒的软件。报告称，黑客还将恶意文件放在一个虚假网站上，而不是放在电子邮件附件中，以避免被发现。

详情

美国GAO呼吁采取行动保护关键能源、通信网络的网络安全

日期: 2023-02-08
标签: 能源业, 

美国政府问责局 (GAO) 对国家关键基础设施网络安全的新评估建议联邦政府在保护工业控制系统 (ICS) 方面发挥更强有力的作用，尤其是那些运营国家能源网络和通信网络的系统。GAO 在其报告中指出，美国能源部的网络安全计划并未解决个别电网配电系统中的漏洞。报告称：“我们建议，在制定实施国家电网网络安全战略的计划时，能源部与国土安全部、各州和行业进行协调，以更充分地应对网络攻击对电网配电系统造成的风险。”GAO 的评估还呼吁网络安全和基础设施局 (CISA) 改善各级政府（地方、地区和国家）之间的协调和事件管理，以防止勒索软件网络攻击。CISA也被召集GAO 对美国通信网络网络安全缺乏关注。该报告补充说，自 2015 年以来，CISA 没有更新其针对通信部门的计划。GAO 报告建议，CISA 还应与美国特勤局合作，应对针对部落、州、地方和地区政府的勒索软件攻击。

详情

美国NIST发布物联网数据保护加密算法

日期: 2023-02-08
标签: 金融业, 信息技术, 加密货币, 密码学, 量子计算, 

美国国家标准与技术研究院 (NIST) 宣布 ASCON 中标“轻量级密码学”计划，该计划旨在寻找最佳算法来保护硬件资源有限的小型 IoT（物联网）设备。小型物联网设备正变得越来越流行和无处不在，用于可穿戴技术、“智能家居”应用等。但是，它们仍然用于存储和处理敏感的个人信息，例如健康数据、财务详细信息等。也就是说，实施数据加密标准对于保护人们的数据至关重要。然而，这些设备内部的薄弱芯片需要一种能够以极低的计算能力提供强大加密的算法。NIST 的计算机科学家 Kerry McKay 表示：“世界正在朝着使用小型设备执行从传感到识别再到机器控制的许多任务的方向发展，并且由于这些小型设备的资源有限，它们需要具有紧凑实施的安全性” .“这些算法应该涵盖大多数具有此类资源限制的设备。”ASCON 被选为提交给 NIST 的 57 项提案中的最佳提案，领先的密码学家进行了几轮安全分析，实施和基准测试结果，以及研讨会期间收到的反馈。整个项目从 2019 年开始，历时四年。NIST 表示，所有 10 名决赛入围者都表现出超越既定标准的卓越表现，而且没有引起安全担忧，这使得最终选择变得非常困难。

详情

Meta 再次陷入用户隐私争议

日期: 2023-02-08
标签: 信息技术, 

Meta 再次因其可疑的隐私做法而受到指责，这一次是因为有人指控“大量敏感用户数据”可供来自 Facebook 归类为“高风险司法管辖区”的“数十万开发人员”访问，例如中国和俄罗斯。对 Meta 隐私做法的审计显示，中国“近 90,000 名独立开发者”和俄罗斯超过 42,000 名开发者，以及其他高风险司法管辖区（包括伊朗和朝鲜）的数千名开发者可以访问用户信息。根据弗吉尼亚州民主党参议员马克华纳和佛罗里达州共和党参议员马克卢比奥发送的一封信，这家社交媒体巨头不仅知道可能的访问权限，内部文件还显示这些数据可能被用于促进间谍活动。参议员分别是参议院情报特别委员会的主席和副主席，他们要求 Meta 首席执行官马克扎克伯格向委员会提供对这些最近报告的回应。

详情

Android 14阻止恶意软件滥用敏感权限

日期: 2023-02-08
标签: 信息技术, 移动安全, 

谷歌宣布发布 Android 14 的第一个开发者预览版，Android 14 是世界上最受欢迎的移动操作系统的下一个主要版本，其中包括安全和隐私增强等功能。从 Android 14 开始，应用程序必须准确声明它们计划如何使用某些手机功能，它们之间的数据交换将受到限制，应用程序下载的其他文件将是只读的。Android 14 中一个突出的安全功能是阻止安装针对旧 API 级别（Android 版本）的恶意应用程序，这使得敏感权限更容易被滥用。

详情

APT-C-35（肚脑虫）组织近期攻击活动披露

日期: 2023-02-07
标签: 政府部门, 

APT-C-35（肚脑虫），也称Donot，是一个来自于南亚的境外APT组织，其主要针对巴基斯坦及周边国家地区的政府机构进行网络间谍活动，以窃取敏感信息为主。该组织的攻击活动最早可追溯到2016年，近年来该组织活动频繁，不断被数个国内外安全团队持续追踪和披露。近期，360高级威胁研究院在日常威胁狩猎中多次发现APT-C-35（肚脑虫）组织的攻击活动。在本轮攻击行动中，该组织依然采用宏文档作为恶意载体，从自身释放恶意载荷并执行，通过层层下载的方式加载远控模块，从而实现窃密行动，并且整个过程的恶意代码均带有数字签名信息。

详情

CISA 表示Killnet 对美国医院的 DDoS 攻击收效甚微

日期: 2023-02-07
标签: 政府部门, 信息技术, 

2023年2月7日，美国网络安全和基础设施安全局表示，它帮助数十家医院应对上周由亲克里姆林宫的黑客组织发起的一系列分布式拒绝服务 (DDoS) 事件。CISA 的一位发言人告诉 The Record，其中几起事件暂时降低了医院面向公众的网站的可用性，但没有关于未经授权访问医院网络、中断医疗服务或影响患者安全的报告。黑客组织 Killnet 已花费数月时间对欧洲各国政府和美国公司发起 DDoS 攻击。该团伙于 10 月将美国航空公司作为目标，并于上周将目光投向美国医院。KILLNET 的电报频道。在他们广受欢迎的 Telegram 频道上，黑客吹嘘他们对超过 25 个州的医院发起了 DDoS 攻击。不到一半的攻击——涉及路由洪水CISA 表示，医院网站的页面请求——成功地使网站脱机。

详情

Clop 勒索软件的第一个 Linux 变体针对教育行业

日期: 2023-02-07
标签: 信息技术, 

Clop 勒索软件的第一个 Linux 变体充满了问题，研究人员可以利用这些问题为受害者创建解密工具。SentinelOne 研究员 Antonis Terefos 表示，他的团队于 12 月 26 日观察到第一个针对 Linux 系统的 Clop（也称为 Cl0p）勒索软件变体。Clop 大约从 2019 年开始就存在，针对全球的大公司、金融机构、小学和关键基础设施。在该组织于 2020 年 11 月将电子商务巨头衣恋等几家主要韩国公司作为目标后，多名与该组织有关的演员在乌克兰基辅被捕。被捕者从 Clop 和另一个勒索软件组织那里洗了超过 5 亿美元。Terefos 解释说，新的 Linux 变体主要用于针对教育机构——包括哥伦比亚的一所大学——但存在一些问题，防御者可以利用这些问题来帮助受害者。“我们在 Linux 版本的 Clop 勒索软件中发现了一个缺陷，这使我们能够创建一个解密工具。我们还没有在野外看到任何新版本的勒索软件。但是，我们预测勒索软件的作者可能会尝试在未来的版本中修复该漏洞，因此组织应该采取措施保护自己免受勒索软件的侵害，”Terefos 说。

详情

微软推出新的人工智能聊天驱动的 Bing 和 Edge 浏览器

日期: 2023-02-07
标签: 信息技术, 

2023年2月7日，微软宣布了其 Bing 搜索引擎的新版本，该引擎采用比 ChatGPT 更强大的下一代 OpenAI 语言模型，并专门针对网络搜索进行了培训。“人工智能将从根本上改变每个软件类别，从最大的类别开始——搜索，”微软董事长兼首席执行官萨蒂亚纳德拉今天在雷德蒙德的新闻发布会上说。“今天，我们推出了由 AI 副驾驶和聊天提供支持的 Bing 和 Edge，以帮助人们从搜索和网络中获得更多收益。”您可以通过单击此页面上的“加入等候名单”来请求访问新的 AI 驱动的 Bing 网络搜索引擎 。一旦您到达列表顶部并被接受，您将收到一封电子邮件通知，表明您现在可以通过访问 Bing.com 访问新的 Bing。然后您可以通过标准搜索框开始使用它。新的 Bing 引擎也将通过聊天体验提供，可以在搜索用户界面的顶部找到。

详情

一名俄罗斯加密货币交易所高管承认为 Ryuk 勒索软件组织洗钱

日期: 2023-02-07
标签: 金融业, 

2023年2月6日，一名俄罗斯男子在俄勒冈州一家法院认罪，罪名是为 Ryuk 勒索软件组织洗钱。丹尼斯·杜布尼科夫 (Denis Dubnikov) 于 2021 年 11 月在荷兰被捕，然后于去年 8 月被引渡到美国。检察官指控他和 13 名在联邦起诉书中隐去名字的同谋，在 2018 年开始的三年期间洗钱 Ryuk 勒索软件攻击的收益。Ryuk 勒索软件于 2018 年 8 月首次出现，多年来一直以大量组织为目标，包括媒体机构、医院和学区。它被广泛认为是 Conti 勒索软件的前身。杜布尼科夫承认了一项串谋洗钱罪，根据司法部的规定，最高可判处 20 年联邦监狱监禁、三年监外看管和 50 万美元罚款。Dubnikov 被特别指控收取 35 比特币——部分赎金支付给一家美国公司的威胁演员——在 2019 年 7 月换取大约 400,000 美元。然后他将比特币兑换成 Tether 硬币，然后将货币发送给同谋，后者将其兑换成人民币。杜布尼科夫被捕时，他的律师指责联邦调查局“绑架”了他的委托人，因为他在度假期间被拒绝进入墨西哥并被遣送回荷兰，并在那里被拘留。

详情

超过 12% 的分析在线商店暴露了私人数据、备份

日期: 2023-02-07
标签: 信息技术, 

许多在线商店在公共文件夹中公开私人备份，包括内部帐户密码，可以利用这些备份来接管电子商务网站并勒索所有者。根据网站安全公司Sansec的一项研究，大约 12% 的在线商店由于人为错误或疏忽而忘记了公共文件夹中的备份。该研究检查了 2,037 家不同规模的商店，发现 250 家 (12.3%) 公开了公共 Web 文件夹中的 ZIP、SQL 和 TAR 存档，无需身份验证即可自由访问。这些档案似乎是包含数据库密码、秘密管理员 URL、内部 API 密钥和客户 PII（个人身份信息）的备份。在同一份报告中，Sansec 解释说，其分析师观察到攻击者的持续活动，这些攻击者启动自动扫描，试图查明这些备份并执行破坏。“网络罪犯正在积极扫描这些备份，因为它们包含密码和其他敏感信息，” Sansec 报告中写道。“暴露的秘密已被用来控制商店、勒索商家和拦截客户付款。”

详情

.@HP发布了与其OneView基础设施管理平台相关的严重警报，警告存在释放后使用漏洞。

日期: 2023-02-06
标签: 信息技术, 

2023年2月，惠普企业 (HPE) 发布了与其 OneView 基础设施管理平台相关的严重警报，警告存在释放后使用漏洞，该漏洞允许远程攻击者在目标系统上执行任意代码、泄露数据或为拒绝攻击创造条件- 服务 (DoS) 攻击。该缺陷与使用称为 Expat XML 解析器的第三方代码有关。跟踪为 CVE-2022-40674，HPE 对该漏洞的严重性评分为 9.8。易受攻击的代码影响了包括 NetApp 和 IBM 在内的许多其他供应商的企业级软件，它们都向客户发布了严重警告以缓解相同的缺陷。没有公开报告表明该漏洞正在被野外利用或存在公开的概念验证攻击。IBM 和 NetApp 都提供补救措施，但供应商表示没有针对特定 Expat 缺陷的解决方法或缓解措施。或者，两家供应商都提供升级以保护受影响的产品。

详情

Lazarus最新活动：利用未经修补的Zimbra设备，以医疗数据为目标

日期: 2023-02-06
标签: 卫生行业, 信息技术, 

根据WithSecure的研究，臭名昭著的拉撒路集团正在进行一场针对医疗研究和能源行业及其供应链合作伙伴的活动，通过利用未打补丁的Zimbra设备中发现的已知漏洞。通过利用未打补丁的设备，威胁行为者能够获得网络妥协并升级特权。研究人员还观察到了其他垂直领域的其他可能受害者，这也导致了数据泄露。WithSecure已经确定了正在进行的攻击活动的受害者，包括医疗保健研究、能源、研究、国防和医疗保健垂直领域的技术制造商，以及一所领先研究型大学的化学工程系。这种攻击被称为“No Pineapple”，在后门程序中留下一个错误消息，并附加了“在数据超过分段字节大小的事件中”的名称。报告显示，这些攻击似乎是为了从受害者组织那里收集情报。

详情

微软称伊朗黑客是最近法国《查理周刊》数据库黑客事件的幕后黑手

日期: 2023-02-06
标签: 信息技术, 文化传播, 

微软在 2 月 3 日表示，最近一次攻击是伊朗国家黑客 Neptunium 所为，自称“神圣灵魂”的威胁组织访问了属于法国讽刺杂志《查理周刊》的数据库，并威胁要删除其超过 20 万名订阅者。这次袭击似乎是伊朗政府对查理周刊 12 月宣布的漫画比赛的回应，该杂志邀请世界各地的读者提交漫画“嘲笑”伊朗最高领袖阿里·哈梅内伊。比赛结果将于 1 月 7 日公布，这是 2015 年对查理周刊的致命恐怖袭击事件八周年 - 以报复出版先知穆罕默德的漫画 - 导致其 12 名工作人员死亡。

详情

云如何改变CISO的优先级

日期: 2023-02-06
标签: 信息技术, 云计算, 

在过去十年中，首席信息安全官 (CISO) 面临的挑战发生了翻天覆地的变化。如今，他们必须将安全工作和预算与组织的业务目标保持一致，这些目标可能包括维护客户对其数据安全的信心，以及保护知识产权免遭盗窃。作为执行管理团队的重要成员，CISO 通常承担董事会级别的报告责任。他们必须管理由云引入的新的、令人生畏的技术复杂性，其中身份实际上是第一道也是最后一道防线。总而言之，当今 CISO 面临的挑战在很大程度上是由云驱动的，这大大扩展了需要保护的攻击面。同时，掌握各个云平台使用的管理模型和工具，需要的安全专业知识极为紧缺。可用的解决方案可提供帮助安全团队实施保护其云基础架构的最佳实践所需的可见性和平台知识，同时帮助他们在此过程中提高分析师的技能。

详情

电车充电站可能面临数据被盗和远程关闭的风险

日期: 2023-02-06
标签: 信息技术, 制造业, 交通运输, 

2023年2月初，研究人员在多个电动汽车 (EV) 充电系统中发现的两个新安全漏洞可被利用来远程关闭充电站，甚至使它们遭受数据和能源窃取。来自以色列 SaiFlow 的调查结果再次证明了电动汽车充电基础设施面临的潜在风险。这些问题已在开放式充电点协议 (OCPP) 标准的 1.6J 版中发现，该标准使用 WebSockets 在 EV 充电站和充电站管理系统 (CSMS) 提供商之间进行通信。 OCPP 的当前版本是 2.0.1。SaiFlow 研究人员 Lionel Richard Saposnik 和 Doron Porat 说：“OCPP 标准没有定义 CSMS 应该如何在已经存在活跃连接的情况下接受来自充电点的新连接。”“攻击者可能会利用缺乏针对多个活动连接的明确指南来破坏和劫持充电点与 CSMS 之间的连接。”

详情

芬兰头号通缉黑客在法国被捕

日期: 2023-02-06
标签: 信息技术, 网络犯罪, 

Julius “Zeekill” Kivimäki 是一名 25 岁的芬兰男子，本周在法国被捕，他被控敲诈当地一家在线心理治疗机构并在网上泄露超过 22,000 名患者的治疗记录，本周在法国被捕。Kivimäki 是一名臭名昭著的黑客，被判犯有数万起网络犯罪罪，自 2022 年 10 月以来一直躲藏起来，当时他未能出庭，芬兰对他发出了国际逮捕令。2022 年 10 月下旬，Kivimäki 被指控（据芬兰人称并“被缺席逮捕”）试图从 Vastaamo 心理治疗中心勒索钱财。在那次发生于 2020 年 10 月的违规事件中，一名黑客使用“Ransom Man”作为用户名威胁，如果 Vastaamo 不支付六位数的赎金要求，他将发布患者心理治疗记录。Vastaamo 拒绝了，因此 Ransom Man 转而勒索个别患者——向他们发送有针对性的电子邮件，威胁要公布他们的治疗笔记，除非支付 500 欧元的赎金。

详情

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x09   时间线

2023-02-13 360CERT发布安全事件周报