报告编号：B6-2022-120501

报告来源：360CERT

报告作者：360CERT

更新日期：2022-12-05

0x01   事件导览

本周收录安全热点51项，话题集中在恶意程序、网络攻击方面，涉及的组织有：Google、TikTok、Facebook、Microsoft等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Android恶意软件在Google Play上被安装超过200万次

日期: 2022-12-04
标签: 美国, 信息技术, 谷歌（Google）, 移动安全, 

2022年12月4日，Dr.Web 防病毒软件发现一组新的 Android 恶意软件、网络钓鱼和广告软件应用程序已经渗透到 Google Play 商店，诱使超过 200 万人进行。这些应用程序假装是有用的实用程序和系统优化器，但实际上是造成设备性能问题、广告和用户体验下降的根源。这些应用程序通过其他应用程序的恶意广告进行推广，承诺保证投资利润。实际上，这些应用程序会将用户带到收集他们个人信息的钓鱼网站。为保护自己免受 Google Play 上欺诈性应用的侵害，建议用户始终检查负面评论、仔细阅读隐私政策并访问开发者网站以评估其真实性。

详情

黑客使用受损的平台证书签署 Android 恶意软件应用程序

日期: 2022-12-04
标签: 美国, 信息技术, 三星（Samsung）, LG, 联发科, 移动安全, Android（安卓）, 

2022年12月1日，谷歌逆向工程师 Łukasz Siewiersk发布报告表示，发现三星、LG 和联发科等 Android 智能手机供应商使用的平台证书被滥用来签署恶意应用程序。平台证书是用于在系统映像上签署‘android’应用程序的应用程序签名证书。android 应用程序以高权限用户 ID 运行 - android.uid.system - 并拥有系统权限，包括访问用户数据的权限。这实际上意味着使用相同证书签名的流氓应用程序可以获得与 Android 操作系统一样的最高级别权限，从而允许它从受感染的设备中获取各种敏感信息。

详情

新的 CryWiper 数据擦除器攻击俄罗斯法院和市长办公室

日期: 2022-12-04
标签: 俄罗斯, 乌克兰, 信息技术, 卡巴斯基（Kaspersky）, 网络犯罪, 俄乌战争, 

2022年11月下旬，卡巴斯基的研究人员发布报告表示，首次发现了 CryWiper，他们称该恶意软件被用于对俄罗斯组织的攻击。卡巴斯基的新报告解释说：“在 2022 年秋天，我们的解决方案检测到一种以前未知的特洛伊木马程序试图攻击俄罗斯联邦的一个组织的网络，我们将其命名为 CryWiper  。”然而，俄罗斯媒体的一份报告称，该恶意软件被用于攻击俄罗斯市长办公室和法院。CryWiper 是一个名为“browserupdate.exe”的 64 位 Windows 可执行文件，用 C++ 编写，配置为滥用许多 WinAPI 函数调用。执行后，它会创建计划任务，每五分钟在受感染的机器上运行一次。

详情

Android恶意软件感染30万台设备盗取Facebook账户

日期: 2022-12-01
标签: 越南, 信息技术, 谷歌（Google）, Schoolyard Bully, 网络犯罪, 移动安全, Android（安卓）, 

2022年12月1日，Zimperium的研究人员发布报告成，自 2018 年以来，一场伪装成阅读和教育应用程序的 Android 恶意软件活动一直在进行，试图从受感染的设备中窃取 Facebook 帐户凭据。该活动已经感染了 71 个国家/地区的至少 300,000 台设备，主要集中在越南。该恶意软件的主要目标是窃取 Facebook 帐户凭据（电子邮件和密码）、帐户 ID、用户名、设备名称、设备 RAM 和设备 API。该恶意程序通过使用WebView在应用程序内打开合法的Facebook登录页面并注入恶意JavaScript来提取用户输入，从而窃取这些信息。Zimperium 将其命名为“Schoolyard Bully”，并警告称，这些应用程序继续通过第三方 Android 应用程序商店传播。

详情

新DuckLogs恶意软件服务声称拥有数千名“客户”

日期: 2022-12-01
标签: 信息技术, 恶意软件即服务（MaaS）, 

2022年12月1日，Cyble的研究人员发布报告，称一个名为“DuckLogs”的新的恶意软件即服务（MaaS）操作出现了，让低技能攻击者可以轻松访问多个模块，以窃取信息、记录键盘敲击、访问剪贴板数据，以及远程访问受损主机。Cyble的研究人员表示，该恶意软件还支持Telegram通知、加密日志和通信、代码混淆、在内存中启动有效负载的进程挖空、持久性机制以及绕过Windows用户帐户控制。

详情

研究人员“不小心”使 KmsdBot 加密货币挖矿僵尸网络崩溃

日期: 2022-12-01
标签: 金融业, KmsdBot, 加密货币, 僵尸网络, 

2022年12月1日，Akamai 研究员 Larry W. Cashdollar发布研究报告表示，其对名为KmsdBot的新兴加密货币挖矿僵尸网络的持续分析导致KmsdBot僵尸网络被意外关闭。由 Akamai 安全情报响应小组 (SIRT) 命名的 KmsdBot 于 2022 年 11 月中旬曝光，KmsdBo能够使用弱 SSH 凭据暴力破解系统。Akamai 研究员 Larry W. Cashdollar 表示：“这个僵尸网络一直在追捕一些非常大的奢侈品牌和游戏公司，但是，一旦命令失败，它就无法继续。”该僵尸网络攻击 Windows 和 Linux 设备，涵盖广泛的微架构，其主要目标是部署挖掘软件并将受感染的主机集中到 DDoS 僵尸程序中。一些主要目标包括游戏公司、科技公司和豪华汽车制造商。

详情

新的Windows恶意软件扫描受害者的手机以窃取数据

日期: 2022-11-30
标签: 信息技术, APT 37（Reaper，Red Eyes，Erebus，ScarCruft）, Dophin, 网络犯罪, 

安全研究人员发现了一个以前未知的后门，他们称之为Dophin，朝鲜黑客在高度针对性的行动中使用了一年多来窃取文件并将其发送到Google云端硬盘存储。根据网络安全公司ESET的研究，APT 37威胁组织（又名Reaper，Red Eyes，Erebus，ScarCruft）使用新发现的恶意软件针对非常特定的实体。自2012年以来，该组织一直与与朝鲜利益有关的间谍活动有关。研究人员在 2021 年 4 月发现了 Doplphin，并观察到它演变成具有改进代码和反检测机制的新版本。Dolphin是一个C++可执行文件，使用Google云端硬盘作为命令和控制（C2）服务器并存储被盗文件。该恶意软件通过修改 Windows 注册表来建立持久性。据研究人员称，该恶意软件被用于对韩国一家报道与朝鲜有关的活动和事件的报纸进行水坑攻击。黑客依靠Internet Explorer漏洞最终将Dolphin后门传送到目标主机。

详情

安全研究人员意外摧毁了DDoS僵尸网络

日期: 2022-11-30
标签: 信息技术, 

在分析其功能时，Akamai 研究人员意外关闭了一个加密僵尸网络，该僵尸网络也用于分布式拒绝服务 （DDoS） 攻击。正如早些时候发布的一份报告所揭示的那样，该僵尸网络背后的KmsdBot恶意软件是由Akamai安全情报响应团队（SIRT）的成员在感染他们的一个蜜罐后发现的。KmsdBot 针对具有各种架构的 Windows 和 Linux 设备，它通过使用弱登录凭据或默认登录凭据的 SSH 连接感染新系统。受感染的设备正被用来挖掘加密货币并发起DDoS攻击，以前的一些目标是游戏和技术公司，以及豪华汽车制造商。对于其开发人员和设备所有者来说幸运的是，僵尸网络还没有持久性功能来逃避检测。但是，这意味着如果恶意软件被检测到并删除，或者它以任何方式出现故障并失去与命令和控制 （C2） 服务器的连接，则必须重新开始。

详情

安装量达 1500 万的 Android 和 iOS 应用程序敲诈贷款用户

日期: 2022-11-30
标签: 印度, 哥伦比亚, 墨西哥, 尼日利亚, 泰国, 菲律宾, 乌干达, 信息技术, 移动安全, 

2022年11月30日，网络安全公司 Lookout的研究人员发布报告，称发现Google Play 和 Apple App Store 上的 280 多个 Android 和 iOS 应用程序以具有误导性的条款使用户陷入贷款计划，并采用各种方法对借款人进行勒索和骚扰。这些应用程序从手机中窃取了通常不需要提供贷款的大量数据。研究人员发现了 251 个 Android 35 iOS 贷款应用程序，总下载量达 1500 万次，主要来自印度、哥伦比亚、墨西哥、尼日利亚、泰国、菲律宾和乌干达的用户。Lookout 向 Google 和 Apple 报告了所有这些问题以进行删除，并成功地删除了所有这些问题。

详情

黑客利用TikTok“隐形挑战”传播恶意软件

日期: 2022-11-28
标签: 美国, 中国, 信息技术, 文化传播, TikTok（抖音）, WASP, 

2022年11月28日，Checkmarx 研究员 Guy Nachshon发布研究报告表示，发现有黑客正在利用流行的 TikTok 挑战来诱骗用户下载信息窃取恶意软件。这种称为Invisible Challenge的趋势涉及应用一种称为Invisible Body的滤镜，该滤镜仅留下人体轮廓。在攻击计划中，攻击者发布 TikTok 视频，其中包含指向被称为“unfilter”的流氓软件的链接，该软件旨在删除应用的过滤器。WASP 窃取器（又名 W4SP 窃取器）是一种恶意软件，旨在窃取用户密码、Discord 帐户、加密货币钱包和其他敏感信息。据估计，攻击者@learncyber 和@kodibtc 于 2022 年 11 月 11 日发布的 TikTok 视频的观看次数已超过一百万。这些帐户已被暂停。

详情

TikTok“隐形身体”挑战被利用来推送恶意软件

日期: 2022-11-28
标签: 信息技术, TikTok, 网络犯罪, 

黑客正在利用名为“隐形挑战”的热门 TikTok 挑战在数千台设备上安装恶意软件并窃取他们的密码、Discord 帐户，并可能窃取加密货币钱包。一项新的热门 TikTok 挑战要求您在使用 TikTok 的“隐形身体”滤镜时拍摄自己的裸体，该滤镜会从视频中移除身体并用模糊的背景取而代之。为了利用这一点，黑客正在制作 TikTok 视频，声称可以提供一种特殊的“未过滤”过滤器，以消除 TikTok 的身体遮蔽效果并暴露 TikTok 用户的裸体。然而，该软件是假的，并安装了 “WASP Stealer (Discord Token Grabber)”恶意软件，能够窃取存储在浏览器、加密货币钱包中的 Discord 帐户、密码和信用卡，甚至是受害者计算机中的文件。

详情

Hack-for-Hire 组织以恶意 VPN 应用程序攻击 Android 用户

日期: 2022-11-28
标签: 信息技术, Bahamut, 网络犯罪, 移动安全, 

ESET 报告称，一个名为 Bahamut 的黑客雇佣组织一直在使用合法 VPN 应用程序的木马化版本瞄准 Android 用户。从 2022 年 1 月开始，该组织被发现通过一个伪造的 SecureVPN 网站分发Android 恶意应用程序，该网站分发木马化版本的 SoftVPN 和 OpenVPN。Bahamut 于 2022 年 1 月底注册了假冒的 SecureVPN 网站。ESET 表示，针对 Android 的假冒 VPN 应用程序仅通过该网站进行分发。该安全公司观察到此活动中使用的恶意代码与早期 Bahamut 攻击中的代码有相似之处，并指出交付技术保持不变。该恶意软件还会监视 imo-International Calls & Chat、Facebook Messenger、Viber、Signal Private Messenger、WhatsApp、Telegram、微信和 Conion 等应用程序。

详情

中东、南亚的 Android 用户成为假冒 VPN 应用程序的间谍软件的目标

日期: 2022-11-28
标签: 信息技术, Bahamut, 移动安全, 

根据ESET的一份新报告，中东和南亚的Android用户正成为一个与政府有关的组织的目标，该组织将间谍软件伪装成VPN网站。研究人员确定该活动自 1 月以来一直在运行，并将其归因于 Bahamut 高级持续威胁 (APT) 组织。该间谍软件通过带有 Android 应用程序的虚假 SecureVPN 网站进行分发。该恶意软件与 SecureVPN 没有关联，但通过两个合法的 VPN 应用程序（SoftVPN 或 OpenVPN）进行分发，这两个应用程序正在使用 Bahamut 间谍软件代码重新打包。 如果启用了间谍软件，ESET 表示它可以由 Bahamut 操作员远程控制，以泄露他们想要的任何信息，包括用户的联系人、短信、录音电话、设备位置，甚至来自 WhatsApp、Facebook Messenger、Signal 等应用程序的聊天消息、Viber 和电报。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

暗网上的WhatsApp文件显示数百万张待售记录

日期: 2022-12-04
标签: 信息技术, WhatsApp, 网络犯罪, 

2022年11 月中旬，一名黑客在一个暗网论坛上声称窃取了大约 5 亿 WhatsApp 用户的个人凭证。事件发生后，Check Point Research (CPR) 发布了一份新的咨询报告，他们在报告中分析了泄露的文件，其中包括来自 108 个国家/地区的 3.6 亿个电话号码。 然而，来自每个国家的数据显示了不同的暴露数据比例，从波斯尼亚和黑塞哥维那的 604 到归因于意大利的 3500 万不等。此外，在黑客入侵的最初几天，黑客们设置了用于出售的文件，其中包括国际拨号代码。然而，2022年12月初，研究人员发现相同的数据正在黑客之间免费分发。 一旦黑客获得了随后出售的用户电话号码的访问权限，就可能会发生网络钓鱼或网络钓鱼等攻击。

详情

加拿大食品巨头枫叶食品公司拒绝支付赎金

日期: 2022-11-28
标签: 加拿大, 信息技术, 网络犯罪, 

加拿大食品巨头 Maple Leaf Foods 表示，在11月遭受勒索软件攻击后，该公司拒绝支付赎金。这家市值数十亿美元的肉制品公司表示，在 11 月初网络攻击导致系统中断后实施业务连续性计划后，它能够快速安全地恢复系统。尽管遭到袭击，他们所有的工厂仍在继续运营。该公司表示正在为受事件影响的员工提供为期两年的信用监控服务。11月25日，Black Basta 勒索软件组织将该公司发布在其泄密网站上，并分享了包括合同和发票在内的大量被盗商业信息。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

用于签署恶意软件的OEM Android平台证书遭到破坏

日期: 2022-12-04
标签: 信息技术, 谷歌（Google）, 移动安全, Android（安卓）, 

2022年12月上旬，Android OEM 设备供应商用于对核心系统应用程序进行数字签名的多个平台证书也被用于对包含恶意软件的 Android 应用程序进行签名。OEM Android 设备制造商使用平台证书或平台密钥来签署设备的核心 ROM 映像，其中包含 Android 操作系统和相关应用程序。如果应用程序（甚至是恶意应用程序）使用相同的平台证书进行签名并分配了具有高特权的“android.uid.system”用户 ID，这些应用程序也将获得对 Android 设备的系统级访问权限。谷歌向所有受影响的供应商通报了滥用情况，并建议他们轮换平台证书，调查泄露情况以查明原因，并将用Android平台证书签署的应用程序数量保持在最低水平，以防止未来发生事件。

详情

亲俄黑客组织Killnet声称将对乌克兰发动DDoS攻击

日期: 2022-11-29
标签: 俄罗斯, 乌克兰, 信息技术, 网络犯罪, 俄乌战争, 

2022年11月29日，亲俄黑客组织Killnet 及其黑客合作者声称他们能够发动三重象征性的分布式拒绝服务 (DDoS) 攻击，旨在惩罚乌克兰反对俄罗斯入侵的一些最重要的支持者——Elon Musk 的 Starlink 卫星宽带服务以及美国白宫和英国威尔士亲王的网站。Killnet 声称它在 11 月 18 日关闭了 Starlink 服务，该服务对于为乌克兰战争提供互联网连接至关重要。Trustwave 的研究人员目前已经能够找到证据证实killnet黑客组织的说法。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

研究人员披露影响IBM云数据库PostgreSQL的供应链漏洞

日期: 2022-12-04
标签: 美国, 信息技术, IBM, 云计算, 

2022年12月上旬，IBM 修复了影响其云数据库 (ICD) for PostgreSQL 产品的高危安全漏洞，该漏洞可能被利用来篡改内部存储库并运行未经授权的代码。特权升级漏洞（CVSS 得分：8.8）被云安全公司 Wiz 称为“ Hell's Keychain ”，被描述为“影响云提供商基础设施的首创供应链攻击向量”。成功利用该漏洞可能使恶意行为者能够在客户环境中远程执行代码，甚至读取或修改存储在 PostgreSQL 数据库中的数据。

详情

Log4Shell一年后，大多数公司仍面临攻击

日期: 2022-12-01
标签: 信息技术, Apache, Log4j, 

2022年12月1日，研究人员发布研究报告表示，在Apache软件基金会去年11月披露了Log4j漏洞一年后，Log4j仍然对企业组织构成重大威胁，尽管公开披露的针对该漏洞的攻击数量少于许多人最初的预期。Log4j 漏洞 ( CVE-2021-44228 )，通常称为 Log4Shell，存在于 Log4j 用于数据存储和检索的 Java 命名和目录接口 (JNDI) 功能中。它为远程攻击者提供了一种控制易受攻击系统的简单方法——这是一个问题，因为几乎每个 Java 应用程序环境都使用了 Log4J。安全研究人员认为它是近年来最重要的漏洞之一，因为它很普遍并且攻击者可以相对容易地利用它。Contrast Security的CISO大卫·林德纳（David Lindner）表示：“事实上，64%的Java应用程序使用了Log4j，只有50%的应用程序更新为完全固定的版本，这意味着攻击者将继续攻击Log4j。”。

详情

研究人员披露影响Quarkus Java框架的严重RCE漏洞

日期: 2022-12-01
标签: 信息技术, Quarkus, 

2022年12月1日，Contrast Security的安全研究人员披露了Quarkus Java 框架中一个严重的安全漏洞，可能会被利用在受影响的系统上实现远程代码执行。由 Red Hat 开发的 Quarkus 是一个开源项目，用于在容器化和无服务器环境中创建 Java 应用程序。跟踪为CVE-2022-4116（CVSS 评分：9.8），该漏洞可能会被没有任何特权的黑客轻而易举地滥用。Contrast Security发现的问题在于，恶意软件网站上托管的JavaScript代码可以被武器化，通过HTTP POST请求修改Quarkus应用程序配置，以触发代码执行。虽然它只影响开发模式，但影响仍然很大，因为它可能导致攻击者获得对用户的开发箱的本地访问权限。建议用户升级至2.14.2.Final和2.13.5.Final版本以防范该漏洞。

详情

谷歌指控西班牙间谍软件供应商利用Chrome、Firefox和Windows Zero Days

日期: 2022-12-01
标签: 巴塞罗那, 信息技术, 微软（Microsoft）, 谷歌（Google）, Variston IT, Firefox, 

2022年12月1日，谷歌威胁分析小组 (TAG) 指控巴塞罗那一家名为Variston IT的监控软件供应商利用谷歌Chrome、Mozilla Firefox和Windows中的零日漏洞在目标设备上植入间谍软件，其中一些漏洞可追溯到 2018 年 12 月。谷歌威胁分析小组 (TAG) 研究人员 Clement Lecigne 和 Benoit Sevens在一份报告中表示：“他们的 Heliconia 框架利用了 Chrome、Firefox 和 Microsoft Defender 中的 n-day 漏洞，并提供了将有效载荷部署到目标设备所需的所有工具，”

详情

安装量为 200 万的 Android 远程键盘应用程序中存在RCE漏洞

日期: 2022-11-30
标签: 信息技术, 

2022年11月30日，Synopsys的研究人员发布研究报告，称发现三个 Android 应用程序存在严重漏洞，这可能会暴露按键操作并启用远程代码执行。这些应用程序是 PC Keyboard、Lazy Mouse 和 Telepad，以及它们易受攻击的版本，在 Google Play 中它们的总安装量超过 200 万。这些应用程序允许用户将设备用作计算机远程键盘。这三个应用程序中包含身份验证机制薄弱或缺失、授权缺失以及不安全的通信漏洞。虽然漏洞都与身份验证、授权和传输实现有关，但每个应用程序的失败机制都不同。Synopsys 的分析师于 2022 年 8 月将他们的发现告知了应用程序开发人员。

详情

谷歌表示西班牙间谍软件公司与零日漏洞利用框架有关

日期: 2022-11-30
标签: 信息技术, 

2022年11月30日，谷歌的威胁分析小组表示，一家西班牙商业间谍软件公司可能与已知利用 Chrome、Firefox 和 Microsoft Defender 漏洞的开发框架有关。Heliconia 框架（提供将有效负载部署到目标设备所需的所有工具）可能与总部位于巴塞罗那的 Variston IT 公司有关。 根据谷歌的说法，提交的文件包含有独特名称的说明和源代码，如“Heliconia Noise”、“Heliconia Files”和“Heliconia Soft”。这些文件具有用于在野外部署漏洞利用的框架和源代码中的脚本，其中包含指向漏洞利用框架的可能开发者的线索：Variston IT。谷歌研究人员表示，该软件包可能至少从 2019 年就开始利用该漏洞，远早于该漏洞被公开和修补。

详情

NVIDIA 发布 GPU 驱动程序更新以修复 29 个安全漏洞

日期: 2022-11-30
标签: 信息技术, 英伟达（NVIDIA）, 

NVIDIA发布了适用于Windows的GPU显示驱动程序的安全更新，其中包含对威胁行为者可以利用的高严重性漏洞的修复程序，以执行代码执行和权限提升等。最新的安全更新解决了Windows和Linux GPU驱动程序上的25个漏洞，而七个漏洞被归类为高严重性。两个最关键的漏洞是：

• CVE-2022-34669（CVSS v3.1：8.8） – Windows GPU 驱动程序中存在本地利用的用户模式缺陷，允许非特权普通用户访问或修改对应用程序至关重要的文件，从而导致代码执行、权限提升、信息泄露、数据篡改和拒绝服务。

• CVE-2022-34671（CVSS v3.1：8.5） – Windows GPU 驱动程序中存在远程攻击的用户模式缺陷，允许非特权普通用户造成越界写入，可能导致代码执行、权限提升、信息泄露、数据篡改和拒绝服务。

详情

影响德国公司 Festo 和 CODESYS 的 OT 产品的三个漏洞

日期: 2022-11-29
标签: 德国, 制造业, Festo, CODESYS, OT, 

2022年11月29日，两家德国公司披露了三个影响操作技术 (OT) 产品的漏洞。这两家德国公司分别是：工厂自动化制造商 Festo 和自动化软件公司 CODESYS。这三个漏洞是 FSCT-2022-0072（影响 CODESYS V3），以及CVE-2022-3079和CVE-2022-3270（影响 Festo 自动化控制器）。网络安全公司 Forescout 的研究人员表示，其中两个漏洞影响 Festo 自动化控制器，一个影响 CODESYS 软件，该软件被不同工业领域的数百家设备制造商使用，包括 Festo。  这些漏洞影响供应链中的数百个工业设备。最严重的攻击会导致拒绝服务并且非常容易执行——通过访问隐藏网页或使用基于文本的浏览器工具即可。

详情

英特尔对数据中心管理器身份验证漏洞的严重性提出质疑

日期: 2022-11-29
标签: 美国, 信息技术, 因特尔, 

2022年11月下旬，一名安全研究人员公布了他们如何破解英特尔数据中心管理器 (DCM) 的详细信息。 英特尔的数据中心管理器控制台提供了一个实时监控和管理仪表板，可用于管理一系列数据中心资产。 Ahrens 通过对反编译应用程序的源代码审查发现了产品中的漏洞。更具体地说，RCE Security 的 Julien Ahrens 通过欺骗 Kerberos 和 LDAP（轻量级目录访问协议）响应成功绕过英特尔 DCM 的身份验证，创建了一个他们声称在此过程中产生远程代码执行（RCE）的漏洞利用链。 英特尔承认 Ahrens 发现了一个漏洞——被追踪为 CVE-2022-33942，严重性评分为 8.8——但对其严重性提出异议。据英特尔称，该漏洞仅代表特权提升缺陷，而不是 RCE 风险。

详情

CISA警告被积极利用的Oracle Fusion中间件漏洞

日期: 2022-11-28
标签: 美国, 信息技术, 政府部门, Oracle, 美国网络安全和基础设施安全局 (CISA), 

2022年11月28日，美国网络安全与基础设施安全局（CISA）周一在其已知漏洞利用目录（KEV）中添加了一个影响Oracle Fusion中间件的关键缺陷，引用了主动利用漏洞的证据。该漏洞被跟踪为CVE-2021-35587，CVSS 评分为 9.8，影响 Oracle Access Manager (OAM) 版本 11.1.2.3.0、12.2.1.3.0 和 12.2.1.4.0。成功利用远程命令执行错误可能使具有网络访问权限的未经身份验证的攻击者能够完全破坏并接管 Access Manager 实例。有关攻击性质和利用工作规模的更多细节目前尚不清楚。威胁情报公司 GreyNoise 收集的数据显示，将漏洞武器化的尝试一直在进行，并且来自美国、中国、德国、新加坡和加拿大。CISA敦促美国联邦机构必须在2022年12月19日之前应用供应商补丁，以保护网络免受潜在威胁。

详情

Acer修复了可用于禁用Secure Boot的UEFI漏洞

日期: 2022-11-28
标签: 美国, 信息技术, 宏基（Acer）, 

2022年11月28日，宏基修复了一个影响多种笔记本电脑型号的高严重性漏洞，这个漏洞可以使本地攻击者在目标系统上停用 UEFI 安全启动。安全启动安全功能阻止不受信任的操作系统启动加载程序在带有可信平台模块(tPM)芯片和可扩展固件接口(UEFI)固件的计算机上启动，以防止恶意代码(如 rootkit 和 bootkit)在启动过程中加载。据 ESET 恶意软件研究员马丁 · 斯莫尔报道，这个安全漏洞(CVE-2022-4020)在一些消费者宏基笔记本设备上的 HQSwSmiDxe DXE 驱动程序中被发现。具有高特权的攻击者可以通过修改 BootOrderSecureBootDisable NVRAM 变量来禁用 Secure Boot，从而在不需要用户交互就可以改变 UEFI 安全启动设置的低复杂性攻击中滥用它。在利用受影响的宏基笔记本电脑的漏洞并关闭安全启动之后，黑客可以劫持操作系统加载过程，加载未签名的启动加载程序，以绕过或禁用保护，并部署具有系统特权的恶意有效载荷。受影响的宏基笔记本电脑型号包括宏基 Aspire A315-22、 A115-21、 A315-22G、 Extensa EX215-21和 EX215-21G。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   其他事件

海莲花组织Torii远控的网络攻击活动分析

日期: 2022-12-04
标签: APT舆情, 

近期，安天CERT捕获到一批活跃中的物联网远控木马，背后的攻击者不为经济利益，在攻击我国重要政企单位相当数量的Linux主机、服务器和物联网等设备后潜伏隐藏。木马具备丰富的窃密和命令控制能力，C2回传链路上还通过提前攻陷的境内外物联网设备作为流量跳板隐藏真实命令控制服务器。通过关联溯源，安天CERT发现该木马属于Torii僵尸网络家族的升级版本，与海莲花组织的同类远控木马存在一定的同源性和差别，且在依托的网络资产上与早期海莲花组织的攻击活动也存在重叠。最终，安天CERT发现Torii家族很可能是除双头龙家族和Buni家族之外，海莲花组织第三款比较成熟且常用的针对Linux主机、服务器和物联网平台的远控装备。

详情

Bluebugging：一种滥用蓝牙连接并窃取用户数据的网络攻击

日期: 2022-12-04
标签: 信息技术, Bluebugging, 网络犯罪, 移动安全, 

2022年12月初，研究人员发现了一种新型攻击方式：Blue bugging。Blue bugging 是一种黑客攻击，黑客使用它来进入具有可发现的蓝牙连接连接的用户设备。通过这种技术被黑的设备被称为 blue bugged。一旦设备被窃听，黑客就可以访问联系信息、窃听电话、查看和发送消息等等。Bluebugging 早期用于破坏具有蓝牙连接的笔记本电脑或计算机。后来，黑客利用这种方法入侵了手机和其他设备。独立网络安全安全研究人员 Martin Herfurt 声称，该漏洞能够获取用户的通话记录和通话记录，以滥用蓝牙协议中的一个漏洞。

详情

美国医疗公司CommonSpirit Health遭受勒索软件攻击

日期: 2022-12-04
标签: 美国, 信息技术, 卫生行业, CommonSpirit Health, 网络犯罪, 

2022年11月下旬，美国弗吉尼亚梅森方济各会医疗保健系统披露，其母公司CommonSpirit Health遭受了勒索软件攻击。CommonSpirit Health 承认在 9 月 16 日至 10 月 3 日期间，“未经授权的第三方”获得了对其网络某些区域的访问权限。根据声明，第三方可能在这两周内接触到了患者的私人信息。 CommonSpirit Health在调查网络攻击时，发现一些患者的姓名、地址、电话号码和出生日期包含在泄露的文件中。 据 CommonSpirit 的发言人查德·伯恩斯 (Chad Burns) 称，尚不清楚有多少患者受到影响。该公司承认，目前没有证据表明任何私人信息被“滥用”。

详情

SIM swapper 因参与 2200 万美元的加密抢劫案而被判处 18 个月监禁

日期: 2022-12-04
标签: 美国, 金融业, 信息技术, 加密货币, 网络犯罪, SIM swapper, 

2022年12月1日，美国佛罗里达州男子尼古拉斯·特鲁格利亚（Nicholas Truglia）因参与一项欺诈计划而被判处18个月监禁，该计划导致加密货币投资者迈克尔·特平（Michael Terpin）盗窃数百万美元。这些资金在 2018 年 1 月的一次 SIM 交换攻击后被盗，Truglia 的同谋得以劫持 Terpin 的电话号码，并以欺诈方式将大约 2380 万美元的加密货币从他的加密钱包转移到 Truglia 控制的在线账户。Truglia 总共保留了至少约 673,000 美元的被盗资金，以协助其他欺诈者收集和分配非法所得资金。

Truglia 被勒令在接下来的 60 天内向 Terpin 支付总计 20,379,007 美元，直至 2023 年 1 月 30 日。

详情

BlackProxies代理服务越来越受黑客欢迎

日期: 2022-12-04
标签: 美国, 信息技术, IP代理, 

2022年12月上旬，DomainTools 分析师发现，一个新的住宅代理市场在黑客、网络犯罪分子、网络钓鱼者和诈骗者中越来越受欢迎，出售对全球一百万个声称的代理 IP 地址的访问权。代理是接受和转发对 Internet 上其他设备的请求的在线服务器，使连接看起来像是来自它们的 IP 地址，同时隐藏了它们背后的实际发起者。BlackProxies 服务声称可以访问来自世界各地的 1,000,000 个 IP 地址池，全部来自真实的住宅用户，确保畅通无阻的状态、低检测率和良好的速度。住宅代理使用家庭用户的 IP 地址而不是数据中心的地址空间，这使它们成为运行购物机器人或想要混入常规网站流量的黑客的理想选择。

详情

分析ScarCruft组织的新后门Dolphin

日期: 2022-12-01
标签: APT 37（Reaper，Red Eyes，Erebus，ScarCruft）, APT舆情, 

ESET的研究人员分析了ScarCruft组织使用的一个以前未披露的后门Dolphin，具有广泛的间谍功能，包括监控驱动器和移动设备以及窃取感兴趣的文件、键盘记录和截屏以及从浏览器中窃取凭据。 它的功能是为选定的目标保留的，在使用不太高级的恶意软件进行初始入侵后，后门会部署到这些目标。与其他ScarCruft的工具一样，Dolphin滥用云存储服务进行C&C通信。

详情

GitHub上出现新的恶意软件

日期: 2022-12-01
标签: 美国, 信息技术, GitHub, 供应链安全, 

2022年12月1日，软件供应链安全公司Legit security发布报告表示，发现GitHub操作中的人工制品中毒通过软件管道导入恶意软件。这种“人工制品中毒”的弱点可能会影响使用GitHub Actions（一种自动化开发管道的服务）的软件项目，当检测到软件依赖项发生变化时，会触发构建过程。Legit Security首席技术官利亚夫·卡斯皮（Liav Caspi）表示，这个问题可能会影响到大量的开源项目，因为维护人员通常会在自己实际分析代码之前对贡献的代码进行测试。

详情

CISA：古巴勒索软件集团从至少100个组织窃取了6000万美元

日期: 2022-12-01
标签: 美国, 古巴, 信息技术, 政府部门, 

2022年12月1日，美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）的一份新咨询报告，古巴勒索软件集团在2021年12月至2022年8月期间对全球100个组织发起了攻击，并获得6000万美元。这两家机构还表示，没有迹象表明该组织位于古巴共和国或与古巴共和国有任何联系。CISA表示，自2021年12月以来，古巴勒索软件集团袭击的美国实体数量增加了一倍，要求和支付的勒索金额也有所增加。根据 CISA 数据，古巴勒索软件攻击者在过去 9 个月中要求支付至少 1.45 亿美元的款项。该集团继续瞄准同样的五个关键基础设施领域：金融服务、政府设施、医疗保健和公共卫生、关键制造和信息技术。

详情

新型恶意软件Redigo以Redis服务器为目标

日期: 2022-12-01
标签: 信息技术, Redis, 

2022年12月1日，AquaSec的研究人员发布报告称，一种基于 Go 的新型 恶意软件威胁一直以易受 CVE-2022-0543 攻击的 Redis 服务器为目标，以植入隐蔽的后门并允许执行命令，该恶意软件名为Redigo。CVE-2022-0543 是 Redis（远程词典服务器）软件中的严重漏洞，具有最高严重等级。它于2022年 2 月被发现并修复。修复程序发布几个月后，攻击者继续在未打补丁的机器上利用它 ，因为概念验证漏洞利用代码已公开可用。

详情

现代车辆应用程序漏洞允许黑客远程解锁、启动汽车

日期: 2022-12-01
标签: 制造业, 信息技术, 车联网安全, 

2022年12月1日，Yuga实验室的安全研究人员发布研究报告，称移动应用程序中的漏洞使2012年后的现代和Genesis车型受到远程攻击，从而可以解锁甚至启动车辆。Yuga Labs 的安全研究人员发现了这些问题，并在其他制造商（丰田、本田、FCA、日产、Acura 和 Infinity）使用的 SiriusXM“智能汽车”平台中探索了类似的攻击面，这些平台允许他们“远程解锁、启动、定位、闪烁并按喇叭”。目前，研究人员尚未针对他们的发现发表详细的技术文章，但在 Twitter 上的两个单独线程（现代、SiriusXM）中分享了一些信息。

详情

黑客攻击了GoTo的开发环境和云存储

日期: 2022-11-30
标签: 信息技术, 云计算, 

2022年11月30日，远程访问和协作公司 GoTo 披露，他们遭遇了网络攻击，黑客获得了对其开发环境和第三方云存储服务的访问权限。GoTo（前身为 LogMeIn）于2022年11月30日周三下午开始向客户发送电子邮件，警告他们已在 Mandiant 的帮助下开始调查网络攻击，并已通知执法部门。该公司表示，他们是在检测到其开发环境和第三方云存储服务中存在异常活动后，才得知遭受了网络攻击。此 事件还影响了 GoTo 子公司 LastPass，该公司披露，黑客通过同一云存储漏洞访问客户信息。GoTo 表示，此次攻击事件并未影响他们的产品和服务，并且它们仍然可以正常运行。

详情

Lastpass 称黑客在新的漏洞中访问了客户数据

日期: 2022-11-30
标签: 信息技术, LastPass, 网络犯罪, 

2022年11月30日，LastPass 表示：“我们最近在第三方云存储服务中检测到异常活动，该服务目前由 LastPass 及其附属公司 GoTo 共享，我们已经确定，未经授权的一方使用在 2022 年 8 月事件中获得的信息，能够访问我们客户信息的某些元素。”该公司补充说，黑客还设法访问存储在受损存储服务中的客户数据，但客户的密码没有被泄露。Lastpass 表示已聘请安全公司 Mandiant 调查此事件，并将此次攻击通知执法部门。

详情

澳大利亚将因数据泄露而对公司处以高达5000万澳元的罚款

日期: 2022-11-30
标签: 澳大利亚, 信息技术, 

澳大利亚议会批准了一项修改该国隐私立法的法案，将遭受大规模数据泄露的公司和数据控制者的最高罚款大幅提高到5000万澳元。新法案引入的经济处罚最大设定为：

• 5000万澳元

• 通过滥用信息获得的任何利益价值的三倍

• 公司相关期间调整后营业额的30%

此前，严重数据泄露的罚款为222万澳元，被认为完全不足以激励公司改进其数据安全机制。新法案是为了应对最近针对澳大利亚公司的一系列网络攻击，包括勒索软件和网络漏洞，导致该国数百万人的高度敏感数据暴露。

详情

法国电力供应商因使用弱MD5算法存储用户密码而被罚款

日期: 2022-11-29
标签: 法国, 信息技术, 

法国数据保护监管机构11月29日对电力供应商Électricité de France处以60万欧元的罚款，原因是违反了欧盟通用数据保护条例（GDPR）的要求。国家信息与自由委员会 （CNIL） 表示，该电力公司违反了欧洲法规，最近在 2022 年 7 月使用MD5 算法对超过 25800 个帐户进行了哈希处理，从而存储了这些帐户的密码。值得注意的是，由于存在冲突攻击的风险，MD5 是一种消息摘要算法，截至2008 年 12 月，它被认为是加密破解的。此外，当局指出，与2，414，254个客户帐户相关的密码仅经过哈希处理，没有经过盐渍处理，使帐户持有人面临潜在的网络威胁。

详情

APT-C-55（Kimsuky）组织以IBM公司安全产品为诱饵的攻击活动分析

日期: 2022-11-29
标签: 信息技术, IBM, APT-C-55(Kimsuky), APT舆情, 

近日，360高级威胁研究院捕获了一起APT-C-55(Kimsuky)组织利用IBM公司安全产品为诱饵投递BabyShark攻击组件的攻击活动。在此次攻击活动中，攻击者向目标投递恶意ISO文件，通过BAT脚本安装IBM公司安全产品，同时利用BAT脚本下载恶意载荷，收集目标主机信息。此次攻击事件中使用的攻击载荷和样本通信格式符合BabyShark组件特征，因此将此次攻击事件归属为APT-C-55(Kimsuky)组织。

详情

宜家（IKEA）证实遭到网络攻击

日期: 2022-11-28
标签: 瑞典, 摩洛哥, 科威特, 制造业, 批发零售, 宜家（IKEA）, 

2022年11月28日，瑞典家具公司宜家（IKEA）位于科威特和摩洛哥的网点被添加到Vice Society勒索软件集团的泄漏站点中。宜家在大约 50 个国家/地区拥有 400 多家商店，其中摩洛哥有 4 家，科威特有 3 家，约旦有 2 家。泄漏站点上共享的文件名表明黑客窃取了业务和员工数据，并且可能还从约旦的宜家门店窃取了其他信息。黑客利用某些宜家组织和商业合作伙伴的泄露电子邮件帐户，以带有恶意软件的Excel文档的员工为目标。2022年11月28日，宜家（IKEA）证实，其在科威特和摩洛哥的网点遭受了网络攻击，该攻击导致一些操作系统出现故障。

详情

Metaverse可能在2023年成为网络攻击的主要途径

日期: 2022-11-29
标签: 信息技术, 卡巴斯基（Kaspersky）, 网络犯罪, 

2022年11月29日，卡巴斯基（Kaspersky）的研究人员发布研究报告，着眼于未来一年网络威胁形势可能会如何演变，预计黑客组织将扩大使用他们当前的许多策略，同时探索通过社交媒体、流媒体服务和在线游戏平台进行攻击的新途径。例如，安全供应商预计，网络犯罪分子将继续利用疫情后消费者对在线流媒体服务的兴趣激增，试图分发恶意软件、窃取数据和执行其他恶意活动。

详情

西班牙警方捣毁涉嫌1200万欧元的投资骗局

日期: 2022-11-29
标签: 西班牙, 金融业, 网络犯罪, 网络欺诈, 

2022年11月下旬，西班牙国家警察捣毁了一个网络犯罪组织，该组织使用虚假投资网站从欧洲各地的 300 名受害者那里骗取了超过 1230 万欧元（1280 万美元）。恶意活动涉及创建与知名合法平台外观相似的虚假加密货币投资网站。然后，黑客组织将从受害者那里偷来的钱从西班牙银行转移到外国金融实体，以洗钱，犯罪分子希望这些钱远离当局的审查或追踪能力。行动期间，该网络犯罪组织的六名成员分别在马德里和巴塞罗那被捕，将面临涉嫌欺诈、洗钱和篡夺婚姻状况等指控。

详情

沙虫黑客组织与乌克兰部署的新勒索软件有关

日期: 2022-11-29
标签: 俄罗斯, 乌克兰, 信息技术, Sandworm, 网络犯罪, 俄乌战争, 

根据网络安全公司 ESET 的最新研究，国家支持的俄罗斯黑客组织 Sandworm 可能是乌克兰新一波勒索软件攻击的幕后黑手。上周，这家位于斯洛伐克的公司发现了名为 RansomBoggs 的恶意软件袭击了乌克兰的多个组织。自俄罗斯2月开始全面入侵以来，Sandworm一直活跃在乌克兰，并与其他破坏性攻击有关，包括4月使用Industroyer恶意软件的新变种对乌克兰一家能源供应商进行的网络攻击。ESET 发言人 Yulia Andrienko 告诉 The Record，至少有五个乌克兰组织成为 RansomBoggs 的目标。该公司尚未在乌克兰境外检测到该勒索软件系列的攻击。RansomBoggs 的部署类似于之前归因于 Sandworm 的攻击，后者与 2017 年破坏乌克兰政府组织、银行、媒体和电力供应商的 NotPetya 网络攻击有关。

详情

北卡罗来纳大学证实勒索团伙窃取敏感数据

日期: 2022-11-28
标签: 美国, 教育行业, Guilford College, 

2022年11月28日，美国北卡罗来纳州的吉尔福德学院证实，攻击他们学校的勒索软件攻击者还窃取了学生、教职员工的敏感数据。这所拥有 185 多年历史的学院发言人表示，袭击发生在2022年 10 月，执法部门立即得到通知。学校断开了他们的系统并聘请了外部安全专家来帮助恢复系统和调查事件。“虽然我们的调查仍在进行中，但我们确实有证据表明，对这一事件负责的未经授权的行为者可能非法访问了敏感数据，”发言人说。2022年11月25日周五，Hive 勒索软件组织承认此次攻击，并威胁要泄露窃取的数据，并发布了2022年 10 月 21 日获取的样本。

详情

恶意 Android 应用程序支持帐户创建服务

日期: 2022-11-28
标签: 信息技术, 移动安全, 

一个在 Google Play 商店中有 100,000 次下载的假冒 Android SMS 应用程序被发现秘密充当 Microsoft、Google、Instagram、Telegram 和 Facebook 等网站的帐户创建服务的 SMS 中继。一位研究人员表示，受感染的设备随后会作为“虚拟号码”出租，用于中继用于在创建新帐户时验证用户的一次性密码。虽然该应用程序的总体评分为 3.4，但许多用户评论抱怨它是假的，会劫持他们的手机，并在安装时生成多个 OTP（一次性密码）。如果您正在使用这些应用程序，您应该卸载它们，否则的话，因为它们会将您的 SMS 内容复制到它们自己的服务器上。

详情

国际刑警组织表示，全球网络执法行动净收入 1.3 亿美元

日期: 2022-11-28
标签: 信息技术, 金融业, 网络犯罪, 网络欺诈, 

30 个国家/地区的执法机构旨在起诉在线欺诈者的广泛国际行动导致近千人被捕，查获的虚拟资产净额达 1.3 亿美元。国际刑警组织的国家中央局 (NCB) 与地方当局合作追捕。国际刑警组织宣布，名为“Haechi III 行动”的相关调查追踪了 30 个国家的网络金融犯罪和洗钱活动。调查于 6 月 28 日至 11 月 23 日进行，拦截了汇款和虚拟资产，在过去五个月内逮捕了 975 名嫌疑人。调查发现，许多网络犯罪集团通过加密的聊天消息应用程序交换信息和加密货币。 在 Haechi III 行动中合作的国家包括澳大利亚、法国、香港（中国）、印度、印度尼西亚、爱尔兰、日本、韩国、吉尔吉斯斯坦、老挝、菲律宾、波兰、新加坡、西班牙、泰国、阿拉伯联合酋长国、英国和美国。

详情

Meta因Facebook用户数据泄露而被罚款2.65亿欧元

日期: 2022-11-28
标签: 英国, 美国, 信息技术, Meta（原Facebook）, 大数据, 

2022年11月下旬，Meta 被爱尔兰数据保护委员会 (DPC) 罚款 2.65 亿欧元（2.755 亿美元），原因是 2021 年 Facebook 大规模数据泄露，暴露了全球数亿用户的信息。 在黑客论坛上发现了属于 5.33 亿 Facebook 用户的数据后，DPC 于 2021 年 4 月 14 日启动了对 Meta 可能违反 GDPR 的调查。 暴露的数据包括个人信息，例如手机号码、Facebook ID、姓名、性别、位置、关系状态、职业、出生日期和电子邮件地址。Facebook 当时表示，黑客通过利用其“Contact Importer”工具中的一个缺陷将电话号码与 Facebook ID 相关联，然后抓取其余信息来为用户建立个人资料来收集数据。该平台表示他们已在 2019 年修复了该错误，并且在此之前收集了数据。

详情

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

360终端安全管理系统

360终端安全管理系统在360安全大脑极智赋能下，以云计算、大数据、人工智能等新技术为支撑，是面向企业级客户提供端点安全（EPP)、主机安全(CDR\CWPP)、高级威胁检测与响应(EDR)等各类能力和功能功能的同一平台管理产品。

创新领先的场景化管理方式，对勒索防护、挖矿防护、HW对抗、重大事件保障、APT防护、等保合规、数据安全防护场景等场景实现高效的终端安全运营管理。

0x09   时间线

2022-12-05 360CERT发布安全事件周报