报告编号：B6-2023-020601

报告来源：360CERT

报告作者：360CERT

更新日期：2023-02-06

0x01   事件导览

本周收录安全热点55项，话题集中在恶意程序、网络攻击方面，涉及的组织有：谷歌、微软、F5、思科等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

PixPirate:针对巴西金融机构的新Android银行木马

日期: 2023-02-05
标签: 金融业, 信息技术, 网络犯罪, 

一种新的 Android 银行木马已盯上巴西金融机构，利用 PIX 支付平台进行欺诈。意大利网络安全公司 Cleafy 在 2022 年底至 2023 年初之间发现了该恶意软件，并以 PixPirate 的名义对其进行追踪。“PixPirate 属于最新一代的 Android 银行木马，因为它可以执行 ATS（自动转账系统），使攻击者能够通过多家巴西银行采用的即时支付平台 Pix 自动插入恶意汇款，”研究人员 Francesco Iubatti 和 Alessandro Strino 说。它也是一长串 Android 银行恶意软件中的最新成员，它们滥用操作系统的辅助功能服务 API 来执行其恶意功能，包括禁用 Google Play Protect、拦截 SMS 消息、防止卸载以及通过推送通知提供流氓广告。除了窃取用户在银行输入的密码应用程序，该操作背后的威胁参与者使用称为 Auto.js 的框架利用代码混淆和加密来抵制逆向工程工作。

详情

伊朗黑客组织OilRig加大了对中东政府组织的网络攻击

日期: 2023-02-05
标签: 信息技术, 网络犯罪, 

作为利用新后门泄露数据的网络间谍活动的一部分，名为 OilRig 的伊朗民族国家黑客组织继续以中东的政府组织为目标。趋势科技研究人员 Mohamed Fahmy、Sherif Magdy 和 Mahmoud Zohdy 表示：“该活动滥用合法但遭到破坏的电子邮件帐户，将窃取的数据发送到攻击者控制的外部邮件帐户。”虽然这项技术本身并非闻所未闻，但这一发展标志着 OilRig 首次在其剧本中采用它，表明其绕过安全保护的方法在不断发展。高级持续性威胁 (APT) 组织，也称为 APT34、Cobalt Gypsy、Europium 和 Helix Kitten，至少从 2014 年开始就在中东进行有针对性的网络钓鱼攻击。众所周知，该组织与伊朗情报和安全部 (MOIS) 有关联，在其行动中使用多种工具集，最近在 2021 年和 2022 年的攻击中使用了 Karkoff、Shark、Marlin 和 Saitama 等后门程序来窃取信息。最新活动的起点是一个基于 .NET 的植入程序，其任务是传送四个不同的文件，包括负责泄露特定感兴趣文件的主要植入程序（“DevicesSrv.exe”）。

详情

谷歌广告推送“虚拟化”恶意软件，以防病毒

日期: 2023-02-02
标签: 信息技术, 

在Sentinel Labs发现的谷歌广告活动中，威胁参与者将Formbook信息窃取恶意软件作为虚拟化的.NET加载程序“MalVirt”进行推送，该加载程序有助于在不触发防病毒警报的情况下分发最终负载。正在进行的谷歌广告恶意广告活动正在传播恶意软件安装程序，这些安装程序利用 KoiVM 虚拟化技术在安装 Formbook 数据窃取程序时逃避检测。KoiVM 是 ConfuserEx .NET 保护器的一个插件，它可以混淆程序的操作码，以便虚拟机只理解它们。然后，在启动时，虚拟机将操作码转换回其原始形式，以便可以执行应用程序。“KoiVM 等虚拟化框架通过用只有虚拟化框架理解的虚拟化代码替换原始代码（例如 NET 通用中间语言 (CIL) 指令）来混淆可执行文件，”SentinelLabs 的一份新报告解释说。

详情

QNAP警告新的漏洞，引发Deadbolt勒索软件利用的担忧

日期: 2023-02-02
标签: 信息技术, 网络犯罪, 

数据存储硬件供应商 QNAP 警告客户在发现一个使数千人遭受攻击的漏洞后更新他们的设备。该公司本周发布了一份关于该漏洞的公告——CVE-2022-27596——它会影响运行专有 QTS 5.0.1 和 QuTS hero h5.0.1 软件的 QNAP 设备。该公司给该漏洞的 CVSS 评分为 9.8 分（满分 10 分）。QNAP 的一位发言人告诉 The Record：“这个漏洞现在没有被积极利用。”不过，有一个重要原因让 QNAP 硬件用户保持高度警惕：一年多来，成千上万的人受到 Deadbolt 勒索软件团伙的恐吓，该团伙专门针对 QNAP 客户。该发言人说，该漏洞是由第三方研究人员发现的，并通过该公司的安全赏金计划进行了报告。

详情

新的HeadCrab恶意软件感染1200个Redis服务器以挖掘Monero

日期: 2023-02-01
标签: 信息技术, 

自 2021 年 9 月以来，旨在在线追捕易受攻击的 Redis 服务器的新型隐蔽恶意软件已经感染了 1000 多个服务器，以构建一个挖掘 Monero 加密货币的僵尸网络。由 Aqua Security 研究人员 Nitzan Yaakov 和 Asaf Eitani 发现，并将其命名为 HeadCrab，该恶意软件迄今已诱捕至少 1,200 台此类服务器，这些服务器还用于在线扫描更多目标。研究人员说：“这个高级威胁行为者利用无代理和传统防病毒解决方案无法检测到的最先进的定制恶意软件来破坏大量 Redis 服务器。”

详情

新报告显示NikoWiper恶意软件针对乌克兰能源部门

日期: 2023-01-31
标签: 乌克兰, 信息技术, 乌克兰计算机应急响应小组（CERT-UA）, NikoWiper, 网络犯罪, 

隶属于俄罗斯的 Sandworm在 2022 年 10 月针对乌克兰一家能源行业公司发起的攻击中使用了另一种名为NikoWiper的擦除器恶意软件变种。“NikoWiper 基于SDelete，这是微软的一个命令行实用程序，用于安全删除文件，”网络安全公司 ESET在与黑客新闻分享的最新 APT 活动报告中透露。这家斯洛伐克网络安全公司表示，此次袭击与俄罗斯武装部队针对乌克兰能源基础设施精心策划的导弹袭击同时发生，表明目标存在重叠。

就在几天前，ESET 将 Sandworm 归因于名为 SwiftSlicer 的基于 Golang 的数据擦除器，该擦除器于 2023 年 1 月 25 日针对一个未具名的乌克兰实体进行了部署。与俄罗斯外国军事情报机构 GRU 相关的高级持续威胁 (APT) 组织也参与了针对国家新闻机构 Ukrinform 的部分成功攻击，在受感染的机器上部署了多达五个不同的雨刷器。乌克兰计算机应急响应小组 (CERT-UA) 将这五个擦除器变体确定为CaddyWiper、ZeroWipe、SDelete、AwfulShred和 BidSwipe。其中前三个针对 Windows 系统，而 AwfulShred 和 BidSwipe 针对 Linux 和 FreeBSD 系统。

详情

Titan Stealter：一种新的基于Golang的信息窃取恶意软件

日期: 2023-01-30
标签: 金融业, 信息技术, 加密货币, 网络犯罪, 

一种名为Titan Stealer的新的基于 Golang 的信息窃取恶意软件正在被威胁行为者通过他们的 Telegram 频道做广告。Uptycs 安全研究人员 Karthickkumar Kathiresan 和 Shilpesh Trivedi在一份报告中说： “窃取者能够从受感染的 Windows 机器上窃取各种信息，包括来自浏览器和加密钱包的凭证数据、FTP 客户端详细信息、屏幕截图、系统信息和抓取的文件。”最近的报告。网络安全研究员 Will Thomas (@BushidoToken) 于 2022 年 11 月通过查询物联网搜索引擎 Shodan首次记录了该恶意软件的详细信息。Titan 作为构建器提供，使客户能够自定义恶意软件二进制文件以包含特定功能以及要从受害者机器中泄露的信息类型。该恶意软件在执行时采用一种称为进程挖空的技术，将恶意负载注入称为 AppLaunch.exe 的合法进程的内存中，该合法进程是 Microsoft .NET ClickOnce 启动实用程序。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

Vice Media的数据泄露泄露了1700多人的敏感信息和财务数据

日期: 2023-02-02
标签: 信息技术, 网络犯罪, 

根据提交给缅因州总检察长的文件，涉及 Vice Media 的数据泄露事件泄露了 1,700 多人的敏感信息和财务数据。在 1 月 26 日和 31 日的两份单独文件中，Vice Media 表示，它在 2022 年 3 月收到警报，称其网络受到了网络攻击。这家媒体公司聘请了一家网络安全公司调查此事件，发现黑客设法侵入了 Vice 的一个内部电子邮件帐户。该公司表示，查明涉及哪些个人信息并为所有受害者寻找最新地址的工作一直持续到 2023 年 1 月 25 日。该公司没有回应关于为什么花了将近一年时间才完成这一过程的置评请求。在 1 月 26 日提交的文件中，Vice Media 表示社会安全号码与违规行为有关——影响了 1,724 人。在五天后的第二次备案中，该公司表示，违规行为还涉及金融帐号、信用卡和借记卡号码，因为以及帐户的安全代码、访问代码、密码和 PIN。这些信件没有说明事件期间是否泄露了任何其他信息。目前尚不清楚这些信件是指不同的事件还是一次网络攻击。 1 月 26 日的文件称违规行为是在 4 月 4 日发现的，但 1 月 31 日的文件称是在 12 月 19 日发现的。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

Arnold Clark客户数据在Play勒索软件攻击中被盗

日期: 2023-02-01
标签: 信息技术, 网络犯罪, 

2023年1月30日，自称为欧洲最大的独立汽车零售商的阿诺德·克拉克 (Arnold Clark) 正在通知一些客户，他们的个人信息在 12 月 23 日的一次网络攻击中被盗，Play 勒索软件组织声称发起了一次网络攻击。该公司周二在发给受影响客户的电子邮件中表示，被盗数据包括身份信息和银行详细信息。

“在此事件中，我们网络中存储的一些个人数据似乎已被盗，包括姓名、联系方式、出生日期、车辆详细信息、身份证件（如护照和驾照）、国民保险号码（有限）案件）和银行帐户详细信息，”这家汽车零售商说。“根据我们网络安全团队的建议，我们了解到一些个人数据已被进行网络攻击的黑客提取。”Arnold Clark 表示，其安全团队和外部顾问仍在调查该事件，以确定从其系统中泄露的信息的范围和性质。该公司的系统于 12 月 24 日上午与 Internet 断开连接，以切断攻击者对网络的访问。从那时起，Arnold Clark 一直致力于恢复受损系统，并表示将重建其“在新的隔离环境中的网络”。

详情

美国南塔克特学校因勒索攻击停课

日期: 2023-02-01
标签: 教育行业, 信息技术, 网络犯罪, 

2023年1月30日，一场针对马萨诸塞州楠塔基特岛学校的勒索软件攻击迫使四家机构关闭，总共约有 1700 名学生。该学区的负责人伊丽莎白哈利特在给家长的电子邮件中宣布了这一决定，Infosecurity也看到了这一消息。“与外部数据安全专家一起，我们的信息技术部门一整天都在非常努力地恢复我们的计算机和互联网服务，”哈利特写道。“但是，出于谨慎考虑，我们将于明天，也就是 2 月 1 日，星期三，为所有教职工和学生停课。”校长还澄清说，楠塔基特小学的所有运动训练和比赛、楠塔基特社区游泳池和幼儿中心都按计划继续进行活动。

详情

“重大”勒索软件攻击后美国马里兰州医院面临停电

日期: 2023-01-31
标签: 美国, 信息技术, 卫生行业, 网络犯罪, 

2023年1月31日，据当地新闻媒体 WMDT47 报道，在本周末部署了一次重大勒索软件攻击后，马里兰州的大西洋总医院正在经历网络中断和中断。持续的停电导致“有限”的患者中断，因为临床医生通过停机程序维持操作。除了药房、门诊影像和肺功能检测外，医院继续治疗患者，所有服务仍在运作。Atlantic General 网站上发布的一则通知还指出，步入式门诊实验室“暂时关闭，直至另行通知”。勒索软件攻击于 2022 年 1 月 27 日首次被发现，促使 LSSI 禁用并隔离受影响的系统以遏制威胁。审查于 2022 年 12 月结束，确认可能在 2021 年 12 月 31 日至 2022 年 1 月 27 日期间发生近一个月的患者数据访问。泄露的数据包括姓名、出生日期、社会安全号码、生物识别数据、驾驶执照、财务细节、健康保险信息、诊断和治疗。

详情

Killnet黑客组织对美国和荷兰医院发起DDoS攻击

日期: 2023-01-31
标签: 荷兰, 信息技术, 政府部门, 卫生行业, 

据阿特拉斯新闻报道，密歇根大学医院和斯坦福医疗保健中心是当前活动的目标设施之一，该活动袭击了美国的几家医院。据报道，新一波攻击是为了响应拜登总统决定派遣数十辆艾布拉姆斯坦克帮助乌克兰的战争努力而发起的，与 Killnet 相关的 Telegram 页面在周末亮了起来。另外，据新闻专线 ANP 报道，荷兰北部城市格罗宁根的一家医院也遭到了疑似俄罗斯黑客活动分子的攻击。格罗宁根大学医学中心 (UMCG) 的网站流量爆棚，但据认为没有医疗服务受到影响。“有时它会停止一段时间，然后又会重新开始。目前，它很安静，但我们不知道这次它是否真的会停止，”医院发言人告诉 ANP。目前尚不清楚是否还有其他荷兰医院受到影响，尽管该国的医疗保健计算机应急响应小组 Z-CERT 将 UMCG 攻击归因于 Killnet。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

F5 BIG-IP产品中发现的高严重性错误

日期: 2023-02-05
标签: 信息技术, 

F5 已警告影响 BIG-IP 设备的高严重性缺陷可能导致拒绝服务 (DoS) 或任意代码执行。该问题根源于 iControl 简单对象访问协议 (SOAP) 接口并影响以下版本的 BIG-IP -

• 13.1.5

• 14.1.4.6 - 14.1.5

• 15.1.5.1 - 15.1.8

• 16.1.2.2 - 16.1.3, and

• 17.0.0

“iControl SOAP 中存在格式字符串漏洞，允许经过身份验证的攻击者使 iControl SOAP CGI 进程崩溃，或者可能执行任意代码，”该公司在一份公告中表示。 “在设备模式 BIG-IP 中，成功利用此漏洞可以让攻击者跨越安全边界。”Rapid7 的安全研究员 Ron Bowes 被追踪为 CVE-2023-22374（CVSS 评分：7.5/8.5），并于 2022 年 12 月 6 日发现并报告了该漏洞。

详情

利用VMware Bug攻击ESXi服务器的新一波勒索软件攻击

日期: 2023-02-05
标签: 信息技术, 网络犯罪, 

VMware ESXi 管理程序是新一波攻击的目标，旨在在受感染的系统上部署勒索软件。“这些攻击活动似乎利用了 CVE-2021-21974，自 2021 年 2 月 23 日以来已经提供了补丁，”法国计算机应急响应小组 (CERT) 在周五的一份公告中表示。VMware 在其当时发布的警报中将此问题描述为 OpenSLP 堆溢出漏洞，可能导致任意代码的执行。“与 ESXi 位于同一网段且有权访问端口 427 的恶意行为者可能会触发 OpenSLP 服务中的堆溢出问题，从而导致远程代码执行，”虚拟化服务提供商指出。法国云服务提供商 OVHcloud 表示，正在全球范围内检测到这些攻击，特别关注欧洲。人们怀疑这些入侵与 2022 年 12 月出现的一种名为 Nevada 的新的基于 Rust 的勒索软件有关。最近几个月已知采用 Rust 的其他勒索软件系列包括 BlackCat、Hive、Luna、Nokoyawa、RansomExx 和 Agenda。Resecurity 上个月表示：“攻击者正在邀请说俄语和英语的分支机构与暗网中的大量初始访问代理 (IAB) 合作。”

详情

朝鲜黑客袭击了印度医疗组织、能源部门

日期: 2023-02-02
标签: 能源业, 信息技术, 卫生行业, 网络犯罪, 

朝鲜军方臭名昭著的黑客组织——被称为拉撒路集团——被指控以公共和私营部门研究组织、一家印度医学研究公司和能源领域的其他企业为目标。WithSecure 的安全分析师表示，他们被要求对最初与 BianLian 组织有关的网络攻击做出回应，BianLian 组织是一个勒索软件团伙，至少从 2021 年 12 月开始就以医疗保健、教育、保险和媒体行业为目标。但经过仔细检查，他们评估了几个关键因素指向拉撒路。“其中一名受害者在印度从事垂直医疗保健研究。近年来，印度的研究和技术部门一直是那些专注于情报收集的朝鲜威胁组织的共同目标，”研究人员说。“WithSecure 确定的这场运动的其他受害者包括医疗保健研究，一家用于能源、研究、国防、和医疗保健行业，以及领先研究型大学的化学工程系。”由于在调查期间发现的后门工具代码中发现了错误消息，研究人员将该活动命名为“No Pineapple”。

详情

朝鲜黑客窃取了长达两个月的研究数据

日期: 2023-02-02
标签: 信息技术, 科研服务, 网络犯罪, 

名为“No Pineapple!”的新网络间谍活动已归因于朝鲜 Lazarus 黑客组织，允许威胁行为者偷偷窃取受害者的 100GB 数据，而不会造成任何破坏。该活动持续了 2022 年 8 月至 2022 年 11 月，目标是医学研究、医疗保健、化学工程、能源、国防和领先的研究型大学的组织。该操作是由芬兰网络安全公司 WithSecure 发现的，该公司的分析师被要求调查其一名客户的潜在勒索软件事件。然而，由于 Lazarus 的操作错误，他们能够将该活动与朝鲜 APT 联系起来。

详情

Cisco修复了允许在重新启动之间保持后门的错误

日期: 2023-02-02
标签: 信息技术, 

思科本周发布了安全更新，以解决 Cisco IOx 应用程序托管环境中可被命令注入攻击利用的高危漏洞。该安全漏洞 (CVE-2023-20076) 是由于应用程序激活过程中传递的参数未完全清理所致。它是由 Trellix 高级研究中心的安全研究人员 Sam Quinn 和 Kasimir Schulz 发现并报告的。在不需要用户交互的低复杂性攻击中成功利用，使经过身份验证的远程威胁参与者能够在底层操作系统上以 root 权限执行命令。“攻击者可以通过在 Cisco IOx 应用程序托管环境中使用精心制作的激活负载文件部署和激活应用程序来利用此漏洞，”思科在周三发布的安全公告中解释说。该公司表示，该漏洞会影响运行 IOS XE 软件的思科设备，但前提是它们不支持原生 docker。除了配置了 IOx 的基于 IOS XE 的设备外，受影响的设备列表还包括 800 系列工业 ISR 路由器、CGR1000 计算模块、IC3000 工业计算网关、IR510 WPAN 工业路由器和 Cisco Catalyst 接入点 (COS-AP)。该公司还确认，CVE-2023-20076 漏洞不会影响 Catalyst 9000 系列交换机、IOS XR 和 NX-OS 软件或 Meraki 产品。

详情

研究人员发现ImageMagick图像处理程序中存在新的漏洞

日期: 2023-02-01
标签: 

2023年2月1日，网络安全研究人员披露了开源ImageMagick 软件中两个安全漏洞的详细信息，这些漏洞可能会导致拒绝服务 (DoS) 和信息泄露。这两个问题由拉丁美洲网络安全公司 Metabase Q 在 7.1.0-49版中发现，并在 2022 年 11 月发布的ImageMagick 7.1.0-52版中得到解决。漏洞简述如下：

• CVE-2022-44267 - 解析文件名为单破折号（“-”）的 PNG 图像时出现的 DoS 漏洞

• CVE-2022-44268 - 一个信息泄露漏洞，可被利用在解析图像时从服务器读取任意文件

详情

超过 29,000 台 QNAP 设备未修补新的严重漏洞

日期: 2023-01-31
标签: 信息技术, 

截止2023年1月31日，数以万计的 QNAP 网络附加存储 (NAS) 设备正在等待针对这家中国台湾公司解决的严重安全漏洞进行修补。远程威胁参与者可以利用此 SQL 注入漏洞 (CVE-2022-27596) 在针对暴露于 Internet 和未打补丁的 QNAP 设备的攻击中注入恶意代码。QNAP 还为这个漏洞分配 了 9.8/10 的 CVSS 基本分数， 并表示它可能会被未经身份验证的恶意行为者滥用在低复杂度攻击中，而无需用户交互。该公司建议受影响设备（运行 QTS 5.0.1 和 QuTS hero h5.0.1）的客户升级到 QTS 5.0.1.2234 build 20221201 或更高版本和 QuTS hero h5.0.1.2248 build 20221215 或更高版本，以保护他们免受攻击。

详情

VMware vRealize RCE漏洞POC公开

日期: 2023-01-31
标签: 信息技术, 

2023年1月31日，Horizon3 安全研究人员发布了 VMware vRealize Log Insight 漏洞链的概念验证 (PoC) 代码，允许攻击者在未打补丁的设备上远程执行代码。VMware上周修补了其 vRealize 日志分析工具中的四个安全漏洞，其中两个漏洞很严重，允许远程攻击者在受感染的设备上执行代码。两者都被标记为临界严重性，CVSS 基本分数为 9.8/10，并且可以作为不需要用户交互的低复杂性攻击的一部分加以利用。第一个 (CVE-2022-31706) 是一个目录遍历漏洞，第二个 (CVE-2022-31704) 是一个损坏的访问控制漏洞。它们可能被滥用以将恶意制作的文件注入受影响设备的操作系统。

VMware 还修复了一个触发拒绝服务状态的反序列化漏洞 (CVE-2022-31710)，以及一个信息泄露漏洞 (CVE-2022-31711)，攻击者可以利用该漏洞访问敏感会话和应用程序信息。Horizon3周五发布了一篇博客文章，其中包含有关威胁攻击者如何将其中三个链接起来以 root 身份在受感染的 VMware vRealize 设备上远程执行代码的更多信息。研究人员还发布了一份妥协指标 (IOC) 列表，网络防御者在一天前警告他们将发布针对该错误链的信息后，可以使用该列表来检测其网络中的利用情况。

详情

QNAP 修复可让黑客注入恶意代码的严重漏洞

日期: 2023-01-30
标签: 信息技术, QNAP, 

2023年1月30日，QNAP 警告客户安装 QTS 和 QuTS 固件更新，修复一个严重的安全漏洞，允许远程攻击者在 QNAP NAS 设备上注入恶意代码。该漏洞被追踪为 CVE-2022-27596 并被公司评为“严重”（CVSS v3 评分：9.8），影响操作系统的 QTS 5.0.1 和 QuTS hero h5.0.1 版本。“据报道，一个漏洞会影响运行 QTS 5.0.1 和 QuTS hero h5.0.1 的 QNAP 设备。如果利用此漏洞，远程攻击者可以注入恶意代码，” QNAP 安全公告警告说。供应商没有透露有关该漏洞或其利用潜力的许多细节，但 NIST 门户 将其描述为 SQL 注入缺陷。SQL 注入漏洞允许攻击者在易受攻击的设备上发送特制请求以修改合法的 SQL 查询以执行意外行为。此外，QNAP 发布了一个描述漏洞严重性的 JSON 文件，这表明远程攻击者可以在低复杂性攻击中利用它，而无需用户交互或目标设备上的特权。

详情

Realtek漏洞受到攻击：2个月内1.34亿次尝试破解物联网设备

日期: 2023-01-30
标签: 信息技术, 网络犯罪, 

2023年1月30日，研究人员警告说，自 2022 年 8 月开始，利用 Realtek Jungle SDK 中现已修补的关键远程代码执行漏洞进行攻击的攻击企图激增。据 Palo Alto Networks Unit 42 称，截至 2022 年 12 月，正在进行的活动据称已记录了 1.34 亿次攻击尝试，其中 97% 的攻击发生在过去四个月。接近 50% 的攻击来自美国 (48.3%)，其次是越南 (17.8%)、俄罗斯 (14.6%)、荷兰 (7.4%)、法国 (6.4%)、德国 (2.3%0, 和卢森堡（1.6%）。更重要的是，95% 的攻击利用了来自俄罗斯的安全漏洞，专门针对澳大利亚的组织。“我们观察到的许多攻击都试图传递恶意软件来感染易受攻击的物联网设备，”Unit 42 研究人员在一份报告中说，并补充说“威胁组织正在利用这一漏洞对全球智能设备进行大规模攻击。”

详情

印度政府发布iPhone用户高风险警告

日期: 2023-01-30
标签: 印度, 信息技术, 移动安全, 

Apple iPhone 以其强度和安全功能而闻名。这家总部位于库比蒂诺的科技巨头会定期为其设备发布安全更新。尽管 Apple 建议人们在他们的 iPhone 上安装最新版本的 iOS 以获得更受保护且功能更丰富的操作系统，但由于硬件限制，较旧的 iPhone 型号无法部署最新的更新。 一些用户更喜欢运行旧版本的 iOS 以便于使用，但重要的是要注意旧的 iOS 版本更容易被利用。Apple 的 iOS 中发现了这样一个漏洞，印度政府已向 iPhone 用户发出警告。据电子和信息技术部下属的印度计算机应急响应小组 (CERT-In) 称，iOS 中的一个漏洞已被披露，该漏洞可能允许攻击者在目标设备上执行任意代码。12.5.7 之前的 Apple iOS 版本容易受到 iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch（第 6 代）的攻击。根据 CERT-In，由于 WebKit 组件中的一种混淆缺陷，Apple IOS 中存在此漏洞。攻击者可以通过将受害者引诱到恶意制作的网站来利用此漏洞。成功利用此漏洞的攻击者可能能够在目标系统上执行任意代码。 iOS 15.1 之前的 iOS 版本正在积极利用该安全漏洞。为避免上当受骗，请安装苹果本周早些时候发布的新 iOS 12.5.7 补丁。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   其他事件

APT34使用新的后门恶意软件攻击中东组织

日期: 2023-02-05
标签: 政府部门, 

2022年12月，研究人员发现了一个可疑的可执行文件，该文件已在多台计算机上投放并执行。根据调查将此攻击与高级持续威胁(APT)组织APT34关联起来，其主要目标是窃取用户的凭据。即使在密码重置或更改的情况下，恶意软件也能够将新凭据发送给威胁攻击者。此外，在分析部署的后门变体后，发现该恶意软件能够使用新的渗漏技术——滥用受感染的邮箱帐户，将窃取的数据从内部邮箱发送到攻击者控制的外部邮箱。虽然这不是一项新技术，但这是APT34首次在其活动中使用该技术。

详情

Dashlane密码管理器开源Android和iOS应用程序

日期: 2023-02-05
标签: 信息技术, 

Dashlane 宣布已根据 Creative Commons Attribution-NonCommercial 4.0 许可在 GitHub 上提供其 Android 和 iOS 应用程序的源代码。流行的基于订阅的密码管理器和数字钱包已决定发布其移动应用程序的代码，以提高其操作方式的透明度，同时也促进未来更具协作性和开放性的开发方法。通过将其移动应用程序的代码提供给任何人进行探索和审核，该公司希望收到社区关于改进它的反馈，并增加网络安全研究人员的安全漏洞报告。密码管理器制造商表示，这种“开放”还将激励其工程师“提升”代码质量，使其适合大众阅读和理解。Dashlane 计划每三个月在 GitHub 上更新这些代码快照，但如果相应地增强相关流程，它可能会更频繁地更新。有兴趣查看的人可以在此处找到 Android 应用程序代码，并在此存储库中找到 iOS 应用程序代码。

详情

发现新的Dingo加密代币收取99%的交易费

日期: 2023-02-05
标签: 金融业, 信息技术, 加密货币, 

IT 安全公司 Check Point security 的研究人员在发现一项允许项目所有者操纵高达交易价值 99% 的交易费用的功能后，将 Dingo Token 标记为潜在的骗局。Check Point 的警告是在公司研究人员已经目睹这种恶意费用变更 47 次之后发出的。Dingo Token 目前在 CoinMarketCap 中排名第 619 位，市值超过 2000 万美元。它的价值增长呈爆炸式增长，这使其成为吸引高风险投资的磁石。尽管 Dingo Token 越来越受欢迎，但其项目的网站并没有包含太多关于所有者的信息，发布的“tokenomics”白皮书也只提到了 10%（5% + 5%）的交易费。然而，根据 Check Point 的说法，源代码包含一个名为“setTaxFeePercent”的函数，该函数使项目所有者能够在有人购买或出售 Dingo 代币时即时更改它，接收高达 99% 的金额。

详情

能源和医疗保健公司再次成为Lazarus集团的焦点

日期: 2023-02-05
标签: 信息技术, 网络犯罪, 

安全研究人员于2023年 2 月 2 日报告称，朝鲜政府雇用朝鲜 Lazarus Group 通过网络攻击活动针对医学研究和能源组织。该活动是由 WithSecure 的威胁情报分析师发现的。他们正试图破解他们怀疑是针对他们的一位客户发起的勒索软件攻击。在他们的调查过程中，他们发现了证据表明 Lazarus 船员实施了 OpSec 监督，导致关键操作安全 (OpSec) 失误，这为他们提供了该事件是更广泛的国家赞助的一部分的证据朝鲜已经在开展情报收集活动。WithSecure 的高级威胁情报研究员 Sami Ruohonen 表示，他最初的怀疑是这是一次 BianLian 勒索软件攻击未遂。尽管 WithSecure 已经在一个方向上收集了证据，但它很快就指向了另一个方向不同的方向。在收集更多信息的过程中，他们越来越确信这次袭击是由与朝鲜政府有关联的团体所为。发现这一点后，WithSecure 断定确实是 Lazarus Group 发起了这次攻击。

详情

LexisNexis的虚拟犯罪中心：通过向美国政府出售产品赚取数百万美元

日期: 2023-02-05
标签: 政府部门, 信息技术, 网络犯罪, 

根据网络安全门户网站 Motherboard 检查的合同数据和政府记录，数据公司 LexisNexis 为执法部门和其他美国政府组织提供专业工具，产生了数百万美元的收入。这些合同引起了人们对 LexisNexis 经常被低估的政府工作的关注，这需要超出其标准人员搜索或消费者和企业可访问的文章数据库的能力。其中之一是虚拟犯罪中心，这是一个将公开记录与来自不同组织的内部和外部数据库连接起来的系统。根据主板安全分析师获得的文件，特勤局为虚拟犯罪中心购买了许可证。“今天的执法机构需要超越自己管辖范围的视野。 LexisNexis Accurint 虚拟犯罪中心汇集了来自 10,000 多个不同来源的断开连接的数据，包括全国警察机构和公共记录以情报为主导的警务，然后可以推动决策和行动，”虚拟犯罪中心的网站上写道。

详情

纽约州总检察长强制间谍软件供应商提醒受害者

日期: 2023-02-05
标签: 信息技术, 

纽约总检察长办公室宣布对一名跟踪软件开发商处以 410,000 美元的罚款，该开发商利用 16 家公司非法推广监控工具。跟踪软件（或间谍软件）平台允许其客户在用户不知情的情况下监控其他人的电话。在某些情况下（如果不是大多数情况下），它们还用于监视目标的在线活动并收集敏感的用户信息（例如他们的位置），这些信息以后可能会用于敲诈勒索或其他各种恶意目的。间谍软件供应商 Patrick Hinchy 还同意提醒其客户的受害者，他们的手机正在使用他的多个应用程序之一进行秘密监控，这些应用程序包括 Auto Forward、Easy Spy、DDI Utilities、Highster Mobile、PhoneSpector、Surepoint 或 TurboSpy。

详情

XSS Hunter功能更新

日期: 2023-02-05
标签: 信息技术, 

XSS Hunter 现在在 Truffle Security 有了一个家，在其原始创建者宣布他将在 2 月份弃用该工具后，该公司推出了该工具的新版本。XSS Hunter 是一种流行的开源工具，用于识别网站中的跨站点脚本 (XSS) 错误。在线版本之前由其创建者 Mandatory（Matthew Bryant）维护。托管在 Truffle Security 域上的新版本是原始代码的开源分支，具有新功能和增强的安全性。

详情

Ice Breaker攻击在线游戏和赌博公司

日期: 2023-02-02
标签: 信息技术, 金融业, 

去年9月，Security Joes的事件响应团队接到一起事件，该事件被确定为试图对在线客户服务平台进行社会工程。该威胁攻击者的唯一在线证据是MalwareHunterTeam于10月发布的一条推文，以及一些IOC。由于这是一个新的威胁组织，所以将其跟踪为Ice Breaker APT。这篇文章揭示了攻击者的作案手法、攻击链、缓解威胁的方法以及支持的IOC、TTP和Yara。

详情

Lazarus组织瞄准医疗研究和技术产业

日期: 2023-02-02
标签: 政府部门, 信息技术, 

在2022年第四季度，WithSecure响应了威胁攻击者发起的网络攻击，并高度自信地将其归因于Lazarus组织。该活动针对公共和私营部门的研究组织、医学研究和能源部门及其供应链。该活动的动机最有可能是获得情报利益。之前关于类似活动的报告强调了军事技术的目标，WithSecure评估这种类型的目标一直持续到2022年第四季度。

详情

UAC-0114(Winter Vivern)针对乌克兰和波兰政府的攻击行动

日期: 2023-02-02
标签: 政府部门, 

乌克兰计算机应急响应小组(CERT-UA)检测到一个模仿乌克兰外交部网站的网页，并引诱用户下载“扫描受感染电脑的病毒”软件。如果用户点击该链接，BAT文件“Protector.bat”将下载到受害者的PC。利用powershell.exe BAT文件将下载并执行多个PowerShell脚本，其中一个脚本将扫描桌面文件夹以查找具有特定扩展名的文件和截屏，并使用HTTP渗漏数据。此外，创建计划任务用于持久化。CERT-U最终将此活动归因于UAC-0114（又名 Winter Vivern）。

详情

Gamaredon继续攻击乌克兰组织

日期: 2023-02-02
标签: 信息技术, 

俄罗斯赞助的UAC-0010组织（又名Gamaredon、Armageddon）继续对乌克兰组织进行频繁的网络攻击活动。尽管主要使用重复的技术和过程，但攻击者会缓慢但持续地改进他们的战术并重新开发使用过的恶意软件变体以保持不被发现。该组织最近的活动以多阶段下载和部署恶意软件有效载荷的方法为特征，这种方法用于最大限度地提高在受感染主机上保持持久性的机会。

详情

黑客设法将加密应用程序转移到苹果、谷歌应用商店

日期: 2023-02-02
标签: 信息技术, 

根据一份新报告，诈骗者能够将两个欺诈性应用程序放到谷歌和苹果公司运营的应用程序商店中，从而促使他们进行虚假的加密货币投资。 Sophos 的研究人员表示，他们在 Google 的 Play Store 和 Apple 的 App Store 中都发现了 Ace Pro 和 MBM_BitScan。这些应用程序是一个计划的一部分——现在通俗地称为“杀猪”——诈骗者与受害者建立关系，让他们下载一个应用程序，然后最终让他们将钱存入该应用程序。Sophos 的高级威胁研究员 Jagadeesh Chandraiah 表示，在一个案例中，诈骗者创建了一名在伦敦过着奢侈生活的女性的虚假资料。他们与一名受害者建立了关系，并敦促他们下载 Ace Pro 应用程序——该应用程序伪装成二维码扫描仪。但是一旦下载了该应用程序，用户就会看到一个欺诈性的加密货币交易平台，该平台会敦促他们存入货币。所有存入的资金都直接流向了骗子。一位联系 Sophos 的受害者在损失 4,000 美元后才发现这些应用程序是欺诈性的。

详情

黑客将Microsoft Visual Studio插件武器化，以传播恶意软件

日期: 2023-02-02
标签: 信息技术, 

2023年2月1日，安全研究人员警告说，黑客可能会开始更频繁地使用 Microsoft Visual Studio Tools for Office (VSTO) 作为实现持久性并通过恶意 Office 加载项在目标计算机上执行代码的方法。该技术是潜入文档 VBA 宏（从外部源获取恶意软件）的替代方法。由于 Microsoft 宣布默认情况下将阻止在 Office 中执行 VBA 和 XL4 宏，因此威胁参与者转移到存档（.ZIP、.ISO）和 .LNK 快捷方式文件来分发他们的恶意软件。但是，使用 VSTO 引入了一个攻击向量，它允许构建基于.NET 的恶意软件并将其嵌入到 Office 外接程序中。“深度本能”的安全研究人员最近发现了多起此类攻击，并认为技术娴熟的黑客正越来越多地采用这种方法。尽管基于 VSTO 的攻击并不新鲜，但它们很少发生，也没有引起信息安全社区的过多关注。

详情

前Ubiquiti开发人员承认试图勒索其雇主

日期: 2023-02-02
标签: 信息技术, 

2023年2月1日，管理网络设备制造商云团队的前 Ubiquiti 员工 Nickolas Sharp 认罪，他从 Ubiquiti 的网络中窃取了价值 GB 的文件，并试图在冒充匿名黑客和举报人的同时勒索他的雇主。“Nickolas Sharp 的公司委托他提供机密信息，他利用这些信息勒索赎金，”美国检察官 Damian Williams 周四表示。“雪上加霜的是，当夏普没有得到赎金要求时，他通过发布有关该公司的虚假新闻报道进行报复，导致他公司的市值暴跌超过 40 亿美元。”Sharp 于 2021 年 12 月 1 日被捕并被控盗窃数据和勒索企图。

详情

2022年加密货币盗窃案主要与朝鲜黑客有关

日期: 2023-02-02
标签: 金融业, 信息技术, 加密货币, 网络犯罪, 

2022 年，近 40 亿美元在加密货币平台的网络攻击中被盗，这在很大程度上是由代表朝鲜政府工作的黑客助长的。区块链研究公司 Chainalysis 发现，对于以加密货币公司为目标的黑客来说，今年是丰收的一年，从该行业公司窃取的总价值约为 38 亿美元，高于 2021 年的 33 亿美元。大多数攻击都集中在去中心化金融 (DeFi) 平台上——到 2022 年，每五名受害者中就有四名以上受到攻击。去年，超过 31 亿美元的资金从 DeFi 平台被盗。Chainalysis 研究人员告诉 The Record，黑客特别针对跨链桥接协议——允许用户将他们的加密货币从一个区块链移植到另一个区块链的工具。在 DeFi 平台被盗的 31 亿美元中，64% 来自跨链桥接协议。“这些事件针对的是区块链和 DeFi 项目之间的纽带，通常，它们成功地损害了数亿美元等值，”他们说。

详情

DocuSign骗局针对超过10000个收件箱

日期: 2023-01-31
标签: 信息技术, 

2023年1月31日，网络安全公司Armorblox的研究人员表示，DocuSign品牌模拟活动针对Microsoft Office 365电子邮件帐户，并设法绕过其他安全工具。诈骗者在一次活动中使用恶意 DocuSign 文档，试图窃取属于多个组织的 10,000 多人的凭据。电子邮件的主题是“请 DocuSign：批准文件 2023-01-11”，试图让受害者认为这封电子邮件很紧急，需要尽快打开。 虽然电子邮件地址和域名与 DocuSign 没有关联，但诈骗者依靠的是很难看到这些名称这一事实——尤其是在许多人通常阅读电子邮件的移动设备上。 研究人员指出，DocuSign 攻击对于诈骗者来说特别成功，因为人们习惯于在通过该平台签署文档之前和之后收到此类电子邮件。

详情

Killnet内部：亲俄罗斯黑客组织的支持和影响力增长

日期: 2023-02-01
标签: 信息技术, 

2023年1月下旬，亲俄罗斯的黑客活动组织Killnet对美国14家主要医院的网络发起了分布式拒绝服务（DDoS）攻击，这是针对该威胁行为体认为与俄罗斯在乌克兰的利益敌对的国家实体的持续报复行动。Radware威胁情报主管帕斯卡尔·吉内斯（Pascal Geenens）表示：“Killnet已经积极攻击支持乌克兰或反对俄罗斯的任何人近12个月了。”安全专家表示，他们可能会从俄罗斯和其他地方的其他志同道合的黑客活动家那里获得更多支持，甚至可能会推动其他人对其业务的投资。

详情

网络犯罪市场上出售的1800多种Android网络钓鱼表单分析

日期: 2023-02-01
标签: 信息技术, 

2023年2月1日，一个名为 InTheBox 的威胁参与者正在俄罗斯网络犯罪论坛上宣传 1,894 个网络注入（网络钓鱼窗口的覆盖）的清单，用于从银行、加密货币交易所和电子商务应用程序中窃取凭据和敏感数据。这些覆盖层与各种 Android 银行恶意软件兼容，并模仿由在几乎所有大陆的数十个国家/地区使用的主要组织运行的应用程序。数量如此之多且价格低廉，使网络犯罪分子可以专注于其活动的其他部分、恶意软件的开发，并将攻击范围扩大到其他地区。Cyble表示，InTheBox的注入可以检查受害者使用Luhn算法输入的信用卡号的有效性，这有助于Android恶意软件运营商过滤掉无效数据。

详情

新型DDoS即服务平台Passion

日期: 2023-02-01
标签: 信息技术, 网络犯罪, 

2023年1月下旬，在亲俄罗斯的黑客活动分子最近对美国和欧洲的医疗机构发起的攻击中，人们看到了一种名为“Passion”的新 DDoS 即服务 (DDoSaaS) 平台。DDoS（分布式拒绝服务）攻击是指威胁行为者向目标服务器发送大量请求和垃圾流量以使服务器不堪重负并使其停止响应合法请求。DDoSaaS 平台将可用的火力出租给那些希望对其目标发动破坏性攻击的人，使他们无需建立自己的大型僵尸网络或协调志愿者行动。通常，这些僵尸网络是通过 破坏易受攻击的 IoT 设备 （例如路由器和 IP 摄像头）而构建的，将它们联合到一个大群中，产生针对特定目标的恶意请求。Radware 发现了 Passion 平台，虽然它的起源未知，但该行动与俄罗斯黑客组织有着独特的联系，如 Killnet、MIRAI、Venom 和 Anonymous Russia。“在 1 月 27 日的攻击中，Passion 僵尸网络被利用，目标是美国、葡萄牙、西班牙、德国、波兰、芬兰、挪威、荷兰和英国的医疗机构，作为对派遣坦克支持乌克兰的报复，”说Radware 研究人员。

详情

研究人员称87%的集装箱图像中存在高风险漏洞

日期: 2023-02-01
标签: 信息技术, 

绝大多数容器镜像 (87%) 被发现存在高危或严重漏洞，其中 90% 的与容器相关的已授予权限未被使用。这些声明来自统一云和容器安全公司 Sysdig的一份新报告，该公司在发布前与Infosecurity分享了这些报告。新数据还表明，在具有可用修复程序的所有严重和高漏洞中，只有 15% 位于运行时加载的包中。通过过滤使用中的易受攻击的软件包，公司可以将精力集中在代表真正风险的少量可修复漏洞上。此外，研究文件表明，59% 的容器没有定义 CPU 限制，并且所有请求的 CPU 资源中有 69% 通常未使用，因此（通常）导致公司严重超支。

最后，Sysdig透露，72% 的容器平均存活时间不到 5 分钟，与去年相比减少了 28%。

详情

Poser 黑客在 SMB 网络攻击中冒充 LockBit

日期: 2023-01-31
标签: 信息技术, 

最近一连串针对北欧中小型企业 (SMB) 的网络攻击最初被认为是 LockBit 所为，但经过进一步调查后发现，一个模仿组织正在使用泄露的 LockBit 恶意软件开展自己的活动。根据比利时 Computerland 出版物的报道，“想成为黑客”的人虽然不像 LockBit 运营商本身那样老练，但能够加密至少一个组织的文件。研究员Pierluigi Paganini 解释说，LockBit模仿者能够利用未打补丁的 FortiGate 防火墙。“尽管不是真正的 LockBit 锁柜组，但这些微型犯罪分子仍然能够通过加密大量内部文件造成重大破坏，”Paganini 补充道。“然而，该公司能够从备份中恢复其网络，并且在入侵期间没有客户端工作站受到影响。”

详情

Long Con模拟金融顾问瞄准受害者

日期: 2023-01-31
标签: 金融业, 网络犯罪, 网络欺诈, 

网络罪犯正在利用美国合法财务顾问的身份，将其用作关系诈骗（又名“杀猪”）的素材，最终导致投资被盗。在推荐欺诈性金融投资之前，欺诈者伪装成合法的美国金融顾问的身份，以努力获得受害者的信任。根据威胁情报服务 DomainTools 的数据，骗子大多位于西非，他们使用实际财务顾问的信息，复制个人履历信息和工作细节，在包括 TikTok 在内的流行社交媒体平台上做广告。 他们的目标是使用消息传递应用程序和电子邮件获得受害者的信任，然后说服个人投资于欺诈性加密货币计划。根据 DomainTools 的一份研究报告，迄今为止，欺诈者已成功盗取数百万美元。

详情

亲俄黑客组织发起的DDoS攻击在美国和丹麦引起了恐慌

日期: 2023-01-31
标签: 丹麦, 政府部门, 金融业, DDoS, 

亲俄罗斯黑客组织发起的分布式拒绝服务 (DDoS) 攻击在美国和丹麦引起了恐慌，此前有几起事件影响了这两个国家的医院和政府办公室网站。2023年1月31日，丹麦宣布在银行和该国国防部遭受数周攻击后，将提高其网络风险警报级别。丹麦网络安全中心(Centre for Cyber Security)在 Twitter 上表示: “我们再次提高了针对丹麦的网络风险威胁级别，其中一个原因是，亲俄活动人士的黑客团体针对包括丹麦在内的北约国家的活动频繁，而且他们的能力有所增强。”。该中心表示，DDoS 事件的威力和严重程度都在增加，总体数量也在增加。 DDoS 事件涉及在目标网站发送大量页面请求。声明发布后，该国网络安全中心的网站被关闭。

详情

OpenAI发布检测AI手写文本的工具

日期: 2023-01-31
标签: 信息技术, OpenAI, 机器学习, 人工智能, 

2023年1月31日，OpenAI 发布了一个 AI 文本分类器，它试图检测输入内容是否是使用 ChatGPT 等人工智能工具生成的。“AI 文本分类器是一个经过微调的 GPT 模型，可以预测一段文本由 AI 从各种来源（例如 ChatGPT）生成的可能性，”OpenAI 的一篇新博文解释道。在许多大学和 K-12 学区禁止该公司流行的 ChatGPT AI 聊天机器人之后，OpenAI 今天发布了该工具，因为它能够完成学生的家庭作业，例如撰写读书报告和论文，甚至完成编程作业。据 BusinessInsider报道，纽约市、西雅图、洛杉矶和巴尔的摩 K-12 公立学区禁止使用 ChatGPT，法国和印度的大学也禁止在学校计算机上使用该平台。

详情

PoS恶意软件可以阻止非接触式支付以窃取信用卡

日期: 2023-01-31
标签: 金融业, 信息技术, 加密货币, 网络犯罪, 

2023年1月31日，研究人员称发现新版本的 Prilex 销售点恶意软件可以阻止安全的、支持 NFC 的非接触式信用卡交易，迫使消费者插入信用卡，然后信用卡被恶意软件窃取。在支付终端上，非接触式交易使用嵌入信用卡和移动设备中的 NFC（近场通信）芯片，通过信用卡、智能手机甚至智能手表进行近距离支付。 它们非常方便，自 COVID-19 大流行以来，它们的受欢迎程度呈爆炸式增长 ，2021 年记录的非接触式交易超过 345.5 亿美元。然而，在信用卡中使用 NFC 芯片使销售点 (PoS) 恶意软件更难窃取信用卡信息，导致威胁行为者开发新方法来窃取您的支付信息。卡巴斯基密切关注 Prilex PoS 恶意软件，报告发现至少三个新变种，版本号分别为 06.03.8070、06.03.8072 和 06.03.8080，于 2022 年 11 月首次发布。这些新变体引入了一项新功能，可防止支付终端接受非接触式交易，从而迫使客户插卡。

详情

微软：超过100名黑客在攻击中部署勒索软件

日期: 2023-01-31
标签: 美国, 信息技术, 网络犯罪, 

2023年1月31日，微软透露，其安全团队正在跟踪 100 多个在攻击期间部署勒索软件的威胁行为者。该公司表示，它总共监控了 50 多个独特的勒索软件家族，这些勒索软件家族在去年年底之前一直在积极使用。“在最近的活动中，一些最突出的勒索软件有效负载包括 Lockbit Black、BlackCat（又名 ALPHV）、Play、Vice Society、Black Basta 和 Royal，”微软 表示。“然而，防御策略应该更少地关注有效负载，而更多地关注导致其部署的活动链，”因为勒索软件团伙仍在瞄准尚未针对常见或最近解决的漏洞修补的服务器和设备。此外，虽然新的勒索软件系列一直在推出，但大多数威胁行为者在破坏网络和通过网络传播时都使用相同的策略，这使得检测此类行为的努力更加有助于阻止他们的攻击。

详情

保时捷暂停NFT发布，钓鱼网站借机肆虐

日期: 2023-01-30
标签: 德国, 制造业, 金融业, 加密货币, 

保时捷在投票率低迷和加密社区的强烈反对后，缩短了新NFT系列的铸造时间，从而允许威胁参与者通过创建从加密货币钱包中窃取数字资产的钓鱼网站来填补空白。NFT（不可替代代币）是存储在区块链上的数字资产，代表物品的真实性和所有权证明，例如艺术品图像、音乐和任何可以采用数字媒体形式的东西。这家德国汽车制造商于 2023 年 1 月 23 日星期一推出了其首个 NFT 铸币厂，以 0.911 ETH 的价格提供标志性 911 汽车的数字复制品，价值约 1,500 美元。然而，集合推出的延迟引起了社区的不满，因为在 24 小时和三个铸造波之后，承诺的 7,500 个 NFT 中只有大约 20% 被铸造出来。更糟糕的是，在 OpenSea 建立了一个繁荣的 NFT 转售市场，在那里购买保时捷收藏品比购买原件更便宜，这立即使资产贬值并进一步激怒了投资者和交易员。最终，在 1 月 24 日，保时捷宣布他们将停止铸造过程并切断供应，直到他们想出如何让 NFT 首次亮相。实际的铸币过程直到 1 月 25 日早上 6 点 UTC-5 才停止，这给骗子提供了充分的机会来利用这种混乱的局面。

详情

暗网上的网络犯罪招聘广告每月支付高达 2 万美元

日期: 2023-01-30
标签: 信息技术, 暗网, 

网络犯罪集团越来越多地将其业务作为一项业务来运营，在暗网上推广工作机会，为开发人员和黑客提供具有竞争力的月薪、带薪休假和带薪病假。

卡巴斯基的一份 新报告分析了 2020 年 3 月至 2022 年 6 月期间在 155 个黑暗网站上发布的 200,000 个招聘广告，黑客组织和 APT 组织寻求主要雇用软件开发人员（占所有广告的 61%），提供极具竞争力的套餐来吸引他们。卡巴斯基分析师看到的薪水最高的工作包括月薪 20,000 美元，而有能力的攻击专家的广告最高为每月 15,000 美元。黑客组织还寻求填补其他角色，包括数据分析师、恶意软件和工具开发人员、初始妥协参与者、逆向工程师、网站和网络钓鱼电子邮件设计人员、恶意软件测试人员和 IT 管理员。IT 专业人员的工资中位数在每月 1,300 美元到 4,000 美元之间，设计师的工资较低，逆向工程师的工资中位数较高。

详情

GitHub撤销被盗的代码签名证书

日期: 2023-01-30
标签: 信息技术, GitHub, 

2023年1月30日，GitHub 表示，未知攻击者在获得其部分开发和发布计划存储库的访问权限后，窃取了其桌面和 Atom 应用程序的加密代码签名证书。

到目前为止，GitHub 没有发现任何证据表明受密码保护的证书（一个 Apple Developer ID 证书和两个用于 Windows 应用程序的 Digicert 代码签名证书）被用于恶意目的。GitHub表示： “2022 年 12 月 6 日，我们的 atom、桌面和其他已弃用的 Github 拥有的组织的存储库被与机器帐户关联的受损个人访问令牌 (PAT) 克隆。 ”“在 2022 年 12 月 7 日检测到后，我们的团队立即撤销了受损凭证，并开始调查对客户和内部系统的潜在影响。受影响的存储库均不包含客户数据。”该公司补充说，由于这一安全漏洞，GitHub.com 服务没有风险，并且没有对受影响的项目进行未经授权的更改。但是，被泄露的证书将被撤销，以使使用它们签名的 GitHub Desktop for Mac 和 Atom 版本失效。

详情

黑客使用TrickGate软件部署Emotet、REvil和其他恶意软件

日期: 2023-01-30
标签: 信息技术, TrickGate, 

六年多来，威胁行为者一直使用名为 TrickGate 的恶意实时软件服务来绕过端点检测和响应 (EDR) 保护软件。这些发现来自 Check Point Research (CPR)，他们于2023年1月30日公布了这些结果。在一份新的公告中描述，该研究还表明来自Emotet、REvil、Maze 等组织的几个威胁参与者利用该服务来部署恶意软件。更具体地说，CPR 估计，在过去两年中，威胁行为者每周使用 TrickGate 进行 40 到 650 次攻击。受害者主要分布在制造业，但也分布在教育、医疗保健、金融和商业企业。CPR 写道：“这些攻击分布在世界各地，在台湾和土耳其的集中度越来越高。过去两个月中使用的最流行的恶意软件家族是 Formbook，占跟踪分布总量的 42%。”

详情

俄罗斯外交部声称成为各国“协同”网络攻击的目标

日期: 2023-01-30
标签: 俄罗斯, 政府部门, 信息技术, 网络犯罪, 

2023年1月底，俄罗斯外交部副部长声称，该国已成为“情报机构、跨国 IT 公司和黑客活动分子”在网络空间进行的“协同攻击”的目标。俄罗斯联邦安全局 (FSB) 前副局长兼反情报主管 Oleg Syromolotov 告诉塔斯社，“2022 年，俄罗斯面临前所未有的外部网络攻击。”“此类攻击的数量在过去一年中翻了一番，甚至翻了三倍。我们记录了对俄罗斯外交部信息资源的多次攻击。”

详情

Google Play上的欺诈程序获得数百万Android下载量

日期: 2023-01-30
标签: 信息技术, 金融业, 

2023年1月30日，安全专家警告说，Google Play 上有几款新应用程序声称可以帮助用户养成健康的习惯以换取奖励，但实际上只是用烦人的广告轰炸它们。Lucky Habit: health tracker、Lucky Step-Walking Tracker 和 WalkingJoy 已获得超过 2000 万次下载，似乎是同一个开发者开发的。然而，根据Web 博士的说法，他们通过声称完成目标所获得的虚拟奖励（例如每天步行的距离）可以转换为真实金钱来欺骗用户。事实上，这些应用程序的目的似乎是通过诱骗用户观看广告来为开发者创收。“为了启动提取他们‘赚到’的过程，用户必须收集大量奖励。如果他们能够做到这一点，应用程序还要求他们观看数十个广告视频，”安全供应商解释道。“然后他们又被提供了几十个广告来观看，以‘加快’退出过程。因此，这些应用程序没有验证用户提供的任何与支付相关的数据，因此收到这些应用程序承诺的任何款项的机会都非常小。”

详情

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x09   时间线

2023-02-06 360CERT发布安全事件周报