报告编号：B6-2022-092601

报告来源：360CERT

报告作者：360CERT

更新日期：2022-09-26

0x01   事件导览

本周收录安全热点52项，话题集中在恶意程序、网络攻击方面，涉及的黑客组织有：Metador、UAC-0113、Guacamaya、Anonymous等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Harley特洛伊木马通过模拟应用程序影响用户

日期: 2022-09-25
标签: 信息技术, Trojan Subscribers, 移动安全, 

卡巴斯基发现了一种流行的恶意软件，称为 Trojan Subscribers。它通过在用户不知情的情况下注册付费服务来影响用户。该恶意软件与 Jocker Trojan 订阅者有相似之处，专家推测两者具有共同的起源。 特洛伊木马是一种伪装成授权应用程序的恶意代码或软件，它被下载到系统中。 近 3 年，在 Google Play 商店中发现了 190 多个应用程序感染了 Harly Trojan，此类应用程序的下载量超过 480 万次。为避免成为此类应用程序的受害者，反病毒专家建议在下载应用程序之前先查看应用程序的评论。Google 已收到有关此类应用程序的通知，并被要求从平台和受木马感染的设备中删除所有受木马感染的应用程序。

详情

新黑客组织“Metador”潜伏在 ISP 网络中数月

日期: 2022-09-25
标签: 中国, 伊朗, 信息技术, Metador, Moshen Dragon, MuddyWater, Singularity, 

研究人员将其命名为“Metador”的一个先前未知的威胁行为者已经破坏了电信、互联网服务提供商 (ISP) 和大学。Metador 针对中东和非洲的组织，其目的似乎是长期从事间谍活动。该组织使用两种基于 Windows 的恶意软件，这些恶意软件被描述为“极其复杂”，但也有迹象表明 Linux 恶意软件。SentinelLabs的研究人员在中东的一家电信公司中发现了 Metador，该公司已经被来自中国和伊朗的大约十个其他威胁参与者入侵，其中包括 Moshen Dragon 和 MuddyWater。对恶意软件和基础设施的分析并没有揭示出对 Metador 有足够信心的线索，该组织的一个特征是它“高度关注运营安全”。在 Metador 破坏其网络数月后，受害者组织部署 Singularity，SentinelOne 的扩展检测和响应 (XDR) 解决方案后，研究人员发现了新的威胁组。这两个基于 Windows 的恶意软件框架，称为“metaMain”和“Mafalda”，仅在系统内存中运行，不会在受感染主机上留下未加密的痕迹。

详情

关于俄罗斯UAC-0113组织冒充乌克兰电信公司传播恶意软件的分析报告

日期: 2022-09-20
标签: 俄罗斯, 乌克兰, 信息技术, 俄乌战争, 

Insikt Group已经确定了UAC-0113使用的新基础设施，CERT-UA认为该组织疑似与Sandworm有关。已确定的基础设施伪装成在乌克兰境内运营的电信提供商，并通过HTML携带技术部署Colibri加载程序和Warzone RAT恶意软件。虽然尚不清楚与此活动有关的诱饵文件的意图，但它很可能被部署到乌克兰的目标，以支持该地区的军事行动。从DarkCrystal RAT到Colibri加载器和Warzone RAT的过渡表明UAC-0113不断扩大并继续使用公开可用的商业恶意软件。

详情

俄罗斯黑客组织Sandworm冒充乌克兰电信公司投放恶意软件

日期: 2022-09-19
标签: 俄罗斯, 乌克兰, 信息技术, Sandworm, 网络犯罪, 俄乌战争, 

据观察，俄罗斯国家资助的黑客组织 Sandworm 伪装成电信提供商，以恶意软件攻击乌克兰实体。Sandworm 是国家支持的黑客组织，美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。据信，黑客组织Sandworm在2022年发起了多次攻击，包括对 乌克兰能源基础设施的攻击以及名为“ Cyclops Blink ” 的持久僵尸网络的部署。从 2022 年 8 月开始，  Recorded Future的研究人员观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。2022年9月中旬的活动旨在将 Colibri Loader 和 Warzone RAT（远程访问木马）等商品恶意软件部署到乌克兰系统上。CERT-UA于 2022 年 6 月发现的域“datagroup[.]ddns[.]net”  ，伪装成乌克兰电信运营商 Datagroup 的在线门户。另一个被模仿的乌克兰电信服务提供商是 Kyivstar，Sandworm 使用了“kyiv-star[.]ddns[.]net”和“kievstar[.]online”的外观。2022年9月的案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”，很可能是为了模仿另一家乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。

详情

VMware、Microsoft警告Chromeloader恶意软件攻击升级

日期: 2022-09-19
标签: 美国, 信息技术, 微软（Microsoft）, VMware, DEV-0796, ChromeLoader, 

2022年9月16日，微软警告称 ，“正在进行的广泛的点击欺诈活动”归因于被追踪为 DEV-0796 的黑客组织，该组织使用 Chromeloader 感染各种恶意软件的受害者。2022年9月19日，VMware的分析师发布了一份技术报告，描述了2022年8月和9月使用的 Chromeloader 的不同变体，其中一些正在丢弃更有效的有效负载。ChromeLoader 恶意软件以 ISO 文件的形式交付，这些文件通过恶意广告、浏览器重定向和 YouTube 视频评论进行分发。Chromeloader 感染在 2022 年第一季度激增，当时，该恶意软件使用恶意扩展程序感染了 Chrome，该扩展程序将用户流量重定向到广告网站，以执行点击欺诈并为黑客创造收入。2022年7月12日，Palo Alto Network 的 Unit 42 注意到 Chromeloader 正在 演变为信息窃取者，试图在保留其广告软件功能的同时窃取存储在浏览器上的数据。由于广告软件不会对受害者的系统造成显着损害，除了占用一些带宽外，它通常是分析师忽略或淡化的威胁。但是，每个嵌入系统而未被检测到的软件都可能带来更大的麻烦，因为黑客可能会进行应用修改进而进行攻击。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

Optus 遭受网络攻击后披露数据泄露

日期: 2022-09-22
标签: 澳大利亚, 信息技术, Optus, 数据泄露, 

在遭受网络攻击之后，Optus 正在调查可能未经授权访问当前和以前客户信息的情况。 Optus 与澳大利亚网络安全中心合作，以减轻对客户的任何风险。 Optus 还通知了澳大利亚联邦警察、澳大利亚信息专员办公室和主要监管机构。Optus 服务，包括移动和家庭互联网，没有受到影响，消息和语音通话也没有受到影响。 Optus 服务仍然可以安全使用和正常运行。可能已经暴露的信息包括客户的姓名、出生日期、电话号码、电子邮件地址，对于一部分客户，还包括地址、身份证件号码，例如驾照或护照号码。付款详细信息和帐户密码尚未泄露。

详情

Ask.FM 的3.5亿条用户数据在网上被出售

日期: 2022-09-20
标签: 信息技术, 

一位名为“Data”的卖家在网上售卖Ask.fm 和 ask.com 的用户数据库，包括607个存储库以及他们的Gitlab，Jira，融合数据库。数据库中大约有 3.5 亿条记录，其中约 4500 万条使用单一登录登录。用户数据库中的字段包括：user_id, username, mail, hash, salt, fbid, twitterid, vkid, fbuid, iguid” and the hashes are reportedly crackable。Data表示于2019年首次访问其服务器，数据库于2020-03-14获得。目前，该公司没有做任何回应。

详情

美国航空公司披露数据泄露事件

日期: 2022-09-19
标签: 美国, 信息技术, 交通运输, 数据泄露, 

美国航空公司在攻击者入侵了数量未公开的员工电子邮件帐户并获得了对敏感个人信息的访问权限后，通知客户最近的数据泄露事件。在9月16日星期五发出的通知信中，该航空公司解释说，它没有证据表明暴露的数据被滥用。美国航空公司于7月5日发现了该漏洞，立即保护了受影响的电子邮件帐户，并聘请了一家网络安全取证公司来调查安全事件。在攻击中暴露的以及威胁行为者可能访问的个人信息可能包括员工和客户的姓名，出生日期，邮寄地址，电话号码，电子邮件地址，驾驶执照号码，护照号码和/或某些医疗信息。该公司尚未披露受影响客户的数量以及事件中有多少电子邮件帐户被破坏。

详情

黑客组织Guacamaya泄漏中美洲多个国家10GB的军事数据

日期: 2022-09-19
标签: 智利, 墨西哥, 萨尔瓦多, 哥伦比亚, 秘鲁, 政府部门, 能源业, 军事数据, 

2022年9月19日，一个主要关注中美洲目标的黑客组织发布了来自智利、墨西哥、萨尔瓦多、哥伦比亚和秘鲁的军事和警察机构的大约 10 GB 的电子邮件和其他材料。该黑客组织以一种原产于中美洲和南美洲的鸟类为名，自称Guacamaya。该组织自 2022 年 3 月以来一直专注于渗透采矿和石油公司、警察和几个拉丁美洲监管机构。具体目标涉及智利武装部队参谋长联席会议、墨西哥国防部、萨尔瓦多国家民警和萨尔瓦多武装部队总司令部哥伦比亚军队、秘鲁武装部队联合司令部和秘鲁军队。

详情

Revolut黑客攻击暴露了5万名用户的数据

日期: 2022-09-19
标签: 立陶宛, 金融业, 社会工程学, 网络犯罪, 

Revolut遭受了网络攻击，未经授权的第三方可以访问数万名客户的个人信息。该事件发生在9月11日晚上，被描述为“高度针对性”。Revolut成立于2015年，是一家快速增长的金融科技公司，现在为世界各地的客户提供银行，资金管理和投资服务。根据向立陶宛国家数据保护监察局披露的违规行为，Revolut拥有银行牌照，有50，150名客户受到影响。

根据Revolut的信息，该机构表示，欧洲经济区受影响的客户数量为20687，只有379名立陶宛公民可能受到这一事件的影响。有关威胁参与者如何获得数据库访问权限的详细信息尚未披露，但攻击者似乎依赖于社会工程。立陶宛数据保护机构指出，可能暴露的信息包括：电邮地址、全名、邮政地址、电话号码、支付卡数据有限、账户数据。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

Anonymous对伊朗发起大规模网络攻击

日期: 2022-09-22
标签: 伊朗, 政府部门, 金融业, 文化传播, 伊朗法医研究中心, 伊朗中央银行, 伊朗国家媒体机构IRIB通讯社, Anonymous（匿名者）, DDoS, 社会工程, 

2022年9月下旬，在伊朗政府对异议进行镇压之后，国际黑客组织Anonymous发起了一项针对该国在线基础设施的新行动。该项活动被Anonymous称为OpIran（伊朗行动）。在此次活动中，Anonymous已经关闭了一些顶级政府网站，并入侵了该国不同地区的 300 多个安全摄像头。据 Anonymous 称，OpIran 的作案手法涉及 DDoS 攻击（分布式拒绝服务攻击）、数据泄露、社会工程攻击、如何使用 Tor 浏览器克服国家审查的快速教程以及逃避警方逮捕等。Anonymous攻击了伊朗法医研究中心，入侵了伊朗300 个安全摄像头，还关闭了伊朗国家政府门户网站 (Iran.gov.ir)、伊朗中央银行官方网站（Cbi.ir）、政府发言人办公室官方网站（Dolat.ir）、伊朗最高领袖阿里·哈梅内伊的官方网站（Khamenei.ir）、伊朗国家媒体机构IRIB通讯社官方网站（Iribnews.ir）。

详情

微软Exchang服务器被黑客入侵以进行网络钓鱼

日期: 2022-09-22
标签: 信息技术, 微软（Microsoft）, 网络钓鱼, 

微软表示，一名威胁行为者在撞库攻击中获得了托管微软Exchange服务器的云租户的访问权限，最终目标是部署恶意OAuth应用程序和发送网络钓鱼电子邮件。调查显示，威胁参与者对未启用多重身份验证（MFA）的高风险帐户发起了撞库攻击，并利用不安全的管理员帐户获得初始访问权限。

对云租户的未经授权的访问使参与者能够创建一个恶意的OAuth应用程序，该应用程序在电子邮件服务器中添加了恶意的入站连接器。攻击者使用此旨在帮助逃避检测的入站连接器和传输规则，通过受感染的 Exchange 服务器传递网络钓鱼电子邮件。

详情

黑客使用虚假CircleCI通知窃取GitHub帐户

日期: 2022-09-22
标签: 信息技术, GitHub, 网络钓鱼, 

GitHub警告9月16日开始的持续网络钓鱼活动，并针对其用户发送冒充CircleCI持续集成和交付平台的电子邮件。虚假消息通知收件人用户条款和隐私政策已更改，他们需要登录其GitHub帐户才能接受修改并继续使用服务。攻击者的目标是通过反向代理中继GitHub帐户凭据和双因素身份验证（2FA）代码。GitHub在9月21日的一份公告中告知：虽然GitHub本身没有受到影响，但该活动已经影响了许多受害者组织，CircleCI还在其论坛上发布了一条通知，以提高人们对恶意活动的认识，并解释说该平台绝不会要求用户输入凭据以查看其服务条款的更改。

详情

LinkedIn智能链接在规避电子邮件钓鱼攻击中被滥用

日期: 2022-09-21
标签: 金融业, 教育行业, 居民服务, LinkedIn, 社会工程学, 网络钓鱼, 加密货币, 密码学, 邮政服务, 

网络钓鱼行为者正在滥用LinkedIn智能链接功能来绕过电子邮件安全产品，并成功将目标用户重定向到窃取付款信息的网络钓鱼页面。智能链接是为LinkedIn销售导航器和企业用户保留的一项功能，允许他们使用单个可跟踪链接发送最多包含 15 个文档的包。发送给目标的网络钓鱼电子邮件据称来自斯洛伐克国有邮政服务提供商Slovenská pošta，通知收件人需要支付待装运包裹的费用。使用电子邮件标题欺骗，地址对收件人来说似乎是合法的，但如果仔细检查，很明显发件人实际上是“sis.sk@augenlabs.com”，与邮政服务完全无关。嵌入的“确认”按钮包含一个LinkedIn智能链接URL，并在其末尾添加了字母数字变量，以将受害者重定向到网络钓鱼页面。（“LinkedIn[.]com/slink？code=g4zmg2B6“），智能链接中的重定向功能通常用于推广营销页面，广告等，但威胁参与者会滥用它来覆盖安全检查。

详情

Imperva 缓解了超253亿请求的长时间DDoS 攻击

日期: 2022-09-20
标签: 中国, 美国, 巴西, 印度尼西亚, 信息技术, DDoS, 僵尸网络, 云安全, 

2022年9月20日，互联网安全公司 Imperva 宣布其 DDoS（分布式拒绝服务）缓解解决方案打破了新记录，抵御向其客户发送超过 253 亿次请求的单一攻击。此次遭受DDoS攻击的受害者是一家中国电信服务提供商，该服务提供商经常受到数量异常庞大的 DDoS 攻击。DDoS 攻击于 2022 年 6 月 27 日展开，峰值为每秒 390 万次请求 (RPS)，平均为 180 万次 RPS。虽然这与Cloudflare 在 6 月份缓解的创纪录攻击 （最高 2600 万 RPS）相比相形见绌，但 Imperva 案例的持续时间异常长。峰值超过 100 万 RPS 的攻击通常会持续几秒到几分钟，但 Imperva 缓解的攻击持续了四个多小时。此次DDoS 攻击是由遍布 180 个国家/地区的大型僵尸网络发起的，其中大多数 IP 地址位于美国、巴西和印度尼西亚。僵尸网络使用了 170,000 个捕获的设备，包括调制解调器路由器、智能安全摄像头、易受攻击的服务器和保护不力的物联网。Imperva表示，恶意流量源自的一些服务器托管在公共云和云安全服务提供商上，表明存在大规模滥用行为。

详情

黑客组织Anonymous攻击伊朗多个实体

日期: 2022-09-21
标签: 伊朗, 政府部门, 文化传播, Anonymous（匿名者）, 

2022年9月21日，黑客组织Anonymous在Twitter上表示，对伊朗政府发起网络行动。目前，伊朗国家政府门户网站https://iran.gov.ir/已被关闭，政府发言人办公室网站也被关闭，尚未恢复。同日，黑客组织Anonymous还表示，攻击了伊朗最大的媒体，目前相关信息尚未得到证实，相关部门还在调查当中。

详情

Game dev 2K站点遭受黑客攻击

日期: 2022-09-20
标签: 美国, 文化传播, 2K game, NBA 2K, Borderlands, WWE 2K, PGA Tour 2K, Bioshock, Civilization, Xcom, RedLine, 游戏, 

黑客已经破坏了美国视频游戏发行商2K的票务系统，现在正在向包含RedLine密码窃取恶意软件的游戏玩家发送支持票。

2K是众多流行游戏特许经营权背后的发行商，包括NBA 2K，无主之地，WWE 2K，PGA巡回赛2K，生化奇兵，文明和Xcom。从9月20日开始，2K客户开始收到电子邮件，指出他们在2K的在线支持票务系统 2ksupport.zendesk.com 上打开了支持票证。虽然用户确认这些门票已经创建，但Twitter和Reddit上的许多收件人表示他们不是打开门票的人。RedLine Stealer是一种信息窃取恶意软件，试图窃取各种数据，包括浏览器历史记录，浏览器cookie，保存的浏览器密码，信用卡，VPN密码，IM内容，系统信息和加密货币钱包。

详情

黑客从Wintermute加密市场制造商窃取1.62亿美元

日期: 2022-09-20
标签: 金融业, Wintermute, 加密货币, 

数字资产交易公司Wintermute公司首席执行官叶夫根尼·盖沃伊（Evgeny Gaevoy）在2022年9月20日宣布公司已被黑客入侵，并在DeFi运营中损失了1.622亿美元。该公司为50多家加密货币交易所和交易平台提供流动性，包括币安，Coinbase，Kraken和Bitfinex。预计在接下来的几天里会出现服务中断，该平台将努力恢复其所有操作。Gaevoy没有提供有关黑客如何设法窃取资金的详细信息，但一些加密专家认为，攻击者可能利用了Profanity中的一个漏洞，这是以太坊的虚荣地址生成器，存在概念验证（PoC）。安全分析师最近披露了Provanity的漏洞，并声称攻击者已经利用它来窃取330万美元。他们呼吁每个持有用亵渎创建的钱包上的资金的人立即将资产转移到其他地方。

详情

用于电子商务网站的Google工具被黑客滥用

日期: 2022-09-20
标签: 信息技术, 金融业, 数据滥用, 

根据Recorded Future的一份新报告，黑客正在滥用谷歌的跟踪代码管理器（GTM）容器来安装恶意电子浏览器，这些电子浏览器可以窃取电子商务网站上购物者的支付卡数据和购物者的个人身份信息。数以千计的电子商务网站使用 Google 跟踪代码管理器容器来获取有关网站使用指标、客户跟踪和营销目的的数据。但专家发现了三种恶意脚本的重要变体，网络犯罪分子将其隐藏在GTM容器中，使他们能够泄露购物者的个人信息。314人被确认被基于GTM的电子撇渣器变体感染，而255人感染了与GTM滥用相关的恶意域名被盗数据。

详情

波斯尼亚和黑塞哥维那遭遇大规模网络攻击

日期: 2022-09-19
标签: 波斯尼亚和黑塞哥维那, 政府部门, 网络犯罪, 

波斯尼亚和黑塞哥维那的检察官正在调查一场范围广泛的网络攻击，该攻击已经影响到了该国议会的运作。自2022年9月上旬以来，该国议会的网站一直处于关闭状态，当地新闻媒体 Nezavisne与几位立法者进行了交谈，他们说他们被告知甚至不要打开电脑，禁止他们访问他们的电子邮件账户和官方文件。相关人员表示，袭击开始于 9 月 8 日或 9 日左右，涉及勒索软件。袭击发生后，议会的主要服务器被关闭，用户无法访问服务器，电子邮件地址和官方网站都处于非活动状态。随着对塞族共和国的分裂努力的担忧日益增加，该国正处于政治动荡之中。如果勒索软件攻击的传言得到证实，这将是2022年勒索软件组织在发动攻击之前利用政治纠纷的最新事件。

详情

Rockstar确认网络攻击，泄露机密数据

日期: 2022-09-19
标签: 信息技术, Rockstar Game, 

游戏巨头Rockstar9月19日证实，一名黑客闯入其系统并窃取了机密的内部数据，包括其备受期待的侠盗猎车手系列下一期的镜头。在发布到Twitter，Facebook和Instagram的声明中，Rockstar Games表示，它遭受了网络入侵，允许某人访问和下载“我们系统中的机密信息，包括下一代侠盗猎车手的早期开发镜头。该公司表示，预计实时游戏服务不会受到任何干扰，也不会对正在进行的项目的开发产生任何长期影响。在下一款侠盗猎车手游戏上的工作将继续按计划进行，将继续一如既往地致力于为玩家提供真正超出您期望的体验。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

恶意攻击者利用 Sophos 防火墙中的零日 RCE 漏洞

日期: 2022-09-25
标签: 中国, 信息技术, Sophos, DriftingCloud APT, 漏洞利用, 

在 Sophos Firewall 的用户门户和 Webadmin 中发现了被跟踪为 CVE-2022-3236 的漏洞，其利用可导致代码执行 (RCE)。 该公司表示，它已针对受此安全漏洞影响的 Sophos Firewall 版本（v19.0 MR1 (19.0.1) 及更早版本）发布了修补程序，这些修补程序将自动推广到所有实例，因为默认情况下启用了自动更新。该公司通过发布的防火墙 v19.0 MR1 (19.0.1) 及更早版本修复了该漏洞，并通过建议客户不要将用户门户和 Webadmin 暴露给 WAN 并禁用对用户门户和 Webadmin 的 WAN 访问来提供解决方案. 该公司还建议使用 VPN 和/或 Sophos Central（首选）进行远程访问和管理。Volexity 研究人员调查了该安全漏洞并披露，他们追踪的一个名为 DriftingCloud 的APT 组织自 3 月初以来就利用了 CVE-2022-1040。黑客利用零日漏洞来释放 Web Shell 后门并针对客户的员工。

详情

BIND程序中的高严重性漏洞

日期: 2022-09-25
标签: 信息技术, BIND, 漏洞修补, 

互联网系统联盟 (ISC) 宣布了针对广泛使用的 BIND DNS 软件中六个可远程利用漏洞的补丁程序的可用性。 四个已修复的安全漏洞的严重性等级为“高”。所有这四个都有可能导致拒绝服务 (DoS) 情况。根据 ISC 的公告，其中一个是 CVE-2022-2906，它会影响“在 Diffie-Hellman 模式下使用 OpenSSL 3.0.0 及更高版本的 TKEY 记录时的密钥处理”。 远程攻击者可以利用该漏洞逐渐耗尽可用内存，从而导致崩溃。根据 ISC 的说法，由于攻击者可以在重新启动后再次利用该漏洞，“存在拒绝服务的可能性”。CVE-2022-38178 是影响 EdDSA 算法的 DNSSEC 验证码的内存泄漏，可能由格式错误的 ECDSA 签名触发，是 BIND 9 中解决的第四个高严重性错误。BIND 9.18（稳定分支）、BIND 9.19（开发版本）和 BIND 9.16 都收到了更新（扩展支持版本）。根据 ISC，没有已知针对这些漏洞的公开利用。美国网络安全和基础设施安全局 (CISA) 敦促用户和管理员审查 ISC 针对这四个安全漏洞的建议，并尽快应用可用的补丁。

详情

CISA警告攻击中使用的严重管理引擎RCE错误

日期: 2022-09-22
标签: 信息技术, 漏洞修补, 

网络安全和基础设施安全局（CISA）已将影响多个Zoho管理引擎产品的关键严重性Java反序列化漏洞添加到其在野外利用的错误目录中。在低复杂性攻击中可以利用此安全漏洞（CVE-2022-35405），而无需用户交互，即可在运行未修补的Zoho ManageEngine PAM360和密码管理器Pro（不带身份验证）或访问管理器升级版（带身份验证）软件的服务器上获得远程代码执行。自 8 月以来，概念验证 （PoC） 漏洞利用代码和元扫描模块（针对此错误以获得 RCE 作为系统用户）已在线提供。在被添加到CISA的已知漏洞利用（

KEV）目录中后，所有联邦民事行政部门机构（FCEB）机构现在都必须根据11月发布的具有约束力的操作指令（BOD 22-01）修补其系统，以应对在野外利用的漏洞。

详情

美国胰岛素医疗设备Medtronic存在漏洞

日期: 2022-09-22
标签: 美国, 制造业, 卫生行业, Medtronic, 物联网安全, 医疗设备, 

2022年9月20日，美国食品和药物管理局就Medtronic公司生产的一些胰岛素泵设备的漏洞发出警告。该漏洞使该设备容易受到网络攻击，同时也为黑客通过访问该设备干扰胰岛素输送提供了可能性。美国政府机构FDA已经发布了关于Medtronic MiniMed 600系列胰岛素泵系统的建议，其中包括MiniMed 630G和MiniMed 670G设备。FDA指出，包括胰岛素泵、持续血糖监测(CGM)发射器、血糖计和CareLink USB设备在内的许多部件都可以无线连接。技术故障可能会让黑客闯入并触发泵，给病人注射过多或过少的胰岛素。Medtronic公司提醒用户注意其危险性，并建议其用户永久禁用泵上的“远程Bolus”功能，避免向未经授权的个人透露设备序列号，以及避免在公共场合连接或连接设备。

详情

研究人员披露 Oracle 云基础设施中的关键漏洞

日期: 2022-09-22
标签: 信息技术, Oracle, 

研究人员披露了一个新的严重 Oracle 云基础设施 （OCI） 漏洞，用户可能会利用该漏洞访问其他 Oracle 客户的虚拟磁盘。甲骨文云中的每个虚拟磁盘都有一个名为OCID的唯一标识符，鉴于受害者磁盘的OCID当前未连接到活动服务器或配置为可共享，攻击者可以'附加'到它并获得读/写。该漏洞的核心在于，磁盘可能通过 Oracle 云标识符 （OCID） 附加到另一个账户中的计算实例，而无需任何显式授权。这意味着拥有 OCID 的攻击者本可以利用 AttachMe 访问任何存储卷，从而导致数据泄露、泄露，或者更糟的是，更改引导卷以获得代码执行。

详情

15年未修补的 Python 漏洞可能影响35万个开源项目

日期: 2022-09-21
标签: 信息技术, 人工智能, Python, 

Python编程语言中一个被忽视了15年的漏洞现在又回到了聚光灯下，因为它可能会影响超过350，000个开源存储库，并可能导致代码执行。该安全问题于 2007 年披露并标记为 CVE-2007-4559，但从未收到过补丁，唯一提供的缓解措施是文档更新警告开发人员有关风险的信息。该漏洞位于 Python 压缩文件包中、使用未经清理的 tarfile.extract（）

函数的代码中，或者是 tarfile.extractall（） 的内置默认值中。这是一个路径遍历错误，使攻击者能够覆盖任意文件。通过分析影响，Trellix研究人员发现，该漏洞存在于数千个开源和闭源软件项目中。研究人员抓取了一组257个更有可能包含易受攻击代码的存储库，并手动检查了其中的175个，看看它们是否受到影响。这表明其中61%的人是脆弱的。对其余存储库运行自动检查将受影响的项目数量增加到 65%，这表明存在广泛的问题。

详情

Dataprobe的配电单元中的严重漏洞

日期: 2022-09-21
标签: 美国, 信息技术, Dataprobe, 

美国网络安全和基础设施安全局（CISA）在9月21日发布了一项工业控制系统（ICS）咨询警告，警告Dataprobe的iBoot-PDU配电单元产品中存在七个安全漏洞，这些产品主要用于工业环境和数据中心。成功利用这些漏洞可能导致在Dataprobe iBoot-PDU设备上执行未经身份验证的远程代码。iBoot-PDU是一种配电单元（PDU），通过Web界面为用户提供实时监控功能和复杂的警报机制，以控制OT环境中设备和其他设备的电源。根据攻击面管理平台Censys的2021年报告，考虑到互联网上可以访问不少于2，600个PDU的事实，这些漏洞具有新的意义，其中Dataprobe设备占暴露的近三分之一。建议数据探测器 iBoot-PDU 的用户升级到最新的固件版本（1.42.06162022），并禁用 SNMP、Telnet 和 HTTP（如果未使用），以缓解其中一些漏洞。

详情

在 Harbor 开源工件注册表中发现的高严重性漏洞

日期: 2022-09-19
标签: 信息技术, 云安全, 

Oxeye 安全研究人员在 CNCF 分级项目 Harbor（VMware 的流行开源工件注册表）中发现了 IDOR（不安全的控制器对象参考）漏洞的几个新的高严重性变体（CVE-2022-31671、CVE-2022-31666、CVE-2022-31667、CVE-2022-31667）。Harbor 是一个开源云原生注册表项目，用于存储、签名和扫描内容。它可以与各种 Docker 注册表集成，以提供用户管理、访问控制和活动审核等安全功能。IDOR 归类为访问控制漏洞，当应用程序使用用户提供的输入直接访问对象时，就会发生 IDOR。IDOR 是一种高严重性威胁，被认为是最新 OWASP 前 10 名列表中最严重的 Web 应用程序安全风险。

详情

Twitter恶作剧者关闭GPT-3机器人

日期: 2022-09-19
标签: 信息技术, 推特（Twitter）, 人工智能, 

9月15日，一些Twitter用户透露了如何劫持一个专门用于远程工作的自动推文机器人，该机器人由OpenAI的GPT-3语言模型提供支持。他们使用一种称为“即时注入攻击”的新发现的技术将机器人重定向到重复令人尴尬和荒谬的短语。Remoteli.io（聚合远程工作机会的站点）运行机器人。它将自己描述为“一个OpenAI驱动的机器人，可以帮助您发现远程工作，让您能够在任何地方工作。通常，它会用关于远程工作好处的一般声明来回应针对它的推文。该机器人在9月19日晚被关闭，因为漏洞利用病毒式传播，数百人遭受影响。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   其他事件

Lazarus组织使用BYOVD技术的攻击活动

日期: 2022-09-24
标签: 韩国, 政府部门, 金融业, 文化传播, 制造业, 卫生行业, ENE Technology, Lazarus, APT舆情, 

2022年初，Lazarus组织对韩国的国防、金融、媒体和制药行业进行了APT攻击。在这些攻击过程中，Lazarus利用存在缺陷的驱动程序直接读取和写入内核内存区域，从而禁用安全软件。这种技术被称为“BYOVD”，主要利用硬件供应公司的易受攻击的驱动程序模块。在本次行动中，被利用组件是来自于“ENE Technology” 公司的模块。

详情

针对中东和非洲电信公司、ISP和大学的新组织Metador

日期: 2022-09-23
标签: 教育行业, 信息技术, Metador, APT舆情, 

SentinelLabs的研究人员发现了一个名为Metador的新组织，主要针对中东和非洲几个国家的电信、互联网服务提供商和大学。Metador的主要动机是间谍活动。恶意软件的技术复杂性及其积极发展表明该组织是一个资源丰富的团队。Metador的攻击链旨在绕过原生安全解决方案，同时将恶意软件平台直接部署到内存中。研究人员发现了两个长期存在的Windows恶意软件平台的变种，以及额外的Linux植入物。

详情

Erbium Stealer 恶意软件报告

日期: 2022-09-25
标签: 信息技术, Erbium, 

Erbium 恶意软件是一种信息窃取器/信息窃取器，它以恶意软件即服务 (MaaS) 的形式分发。CYFIRMA 研究团队在 2022 年 8 月进行威胁搜寻活动时观察到了这个恶意软件二进制文件。该团队还观察到在讲俄语的黑客论坛上宣传的窃取恶意软件。研究人员分析的恶意软件样本是一个 32 位可执行二进制文件。它包含混淆内容以逃避安全产品和防火墙的检测。恶意可执行文件通过使用 XORing 逻辑解密混淆的内容，然后将 32 位 Erbium 窃取 DLL 二进制文件放在 %temp% 位置，并通过调用 LoadLibraryA API 在当前进程中加载该文件。删除的 DLL 文件与 Erbium 窃取程序 C2 服务器建立连接。Erbium 恶意软件建立与 Discord 的内容交付网络 (CDN) 服务器的连接。Discord 是一个聊天程序，可以通过互联网实现用户之间的实时通信，并被威胁行为者滥用以传播恶意软件。信息窃取恶意软件开发人员在地下论坛出售这些类型的恶意软件，并在地下论坛和犯罪市场出售收获细节。勒索软件附属机构或其他威胁参与者购买此类详细信息，然后使用这些有效凭证、VPN 等作为初始访问权限来破坏组织。

详情

“四边安全对话”QUAD发布联合声明共同打击网络犯罪

日期: 2022-09-24
标签: 美国, 印度, 日本, 澳大利亚, 政府部门, 勒索软件防御, 

2022年9月24日，印度外交部长 S Jaishankar 与澳大利亚的 Penny Wong、日本的 Hayashi Yoshimasa 和美国国务卿 Tony Blinken 一起发表声明，敦促各国采取合理措施，解决源自其境内的勒索软件操作。由印度、美国、日本和澳大利亚组成的四方安全对话于 2017 年成立，旨在对抗中国在印太地区的侵略行为。根据声明，领导人认为，勒索软件的跨国性质可能会对其国家安全、金融部门和企业、关键基础设施以及个人数据的保护产生不利影响。加强印太国家网络能力的重点举措将确保地区网络基础设施的安全性和弹性。

详情

Signal聊天应用帮助伊朗公民规避信息审查

日期: 2022-09-23
标签: 伊朗, 政府部门, 信息技术, Signal, 信息审查, 

流行的加密聊天应用 Signal 正试图帮助伊朗人使用该应用程序，该应用程序在该国被封锁，要求人们设置代理服务器，帮助伊朗人绕过政府的审查。2022年9月中旬，阿米尼之死引发了伊朗全国性的抗议活动。自那以后，伊朗政府开始限制某些城市和地区的互联网访问，例如首都德黑兰。政府还禁止访问 Instagram 和 WhatsApp，这是该国唯一可用的西方社交媒体和聊天应用程序。尤其是 Instagram 在过去几年中非常受欢迎。自2021年以来，该国的Signal应用就一直被封锁。如今，该应用程序背后的 Signal Foundation 希望通过连接到世界各地的代理来帮助用户绕过障碍，规避伊朗政府的审查。

详情

英国青少年黑客因攻击GTA 6 和优步被伦敦警方逮捕

日期: 2022-09-25
标签: 英国, 信息技术, 优步（Uber）, Rockstar Game, LAPSUS$, 网络犯罪, 

2022年9月23日，根据英国伦敦市警方公布的信息，一名 17 岁的牛津郡青少年因涉嫌黑客行为而被拘留。据专家称，最近 Uber 和 Rockstar Games 的安全事件可能与此次的逮捕有关。2022年9月18日，一个名为“teapotuberhacker”的黑客在 GTAForums.com 上的一篇帖子中声称入侵了游戏侠盗猎车手 (GTA) 特许经营权背后的公司 Rockstar Games，并声称获取了 90 部电影的 alpha 材料和 Grand Theft Auto VI 及其前身 GTA V 的源代码，该帖子已被删除。这名青少年在其他黑客在网上发布了他的姓名和地址后被拘留。这个青少年有两个互联网别名：“Breachbase”和“White”，并通过数据盗窃赚取了大约 1400 万美元。

详情

研究人员发现勒索团伙或开始转变新策略

日期: 2022-09-25
标签: 信息技术, BlackCat, 网络犯罪, 勒索软件, 

Cyderes 特别行动团队的恶意软件分析师在最近一次 BlackCat 勒索软件攻击后的事件响应中发现了恶意软件Exmatter的新样本，并与 Stairwell 威胁研究团队共享以进行进一步分析。被称为 Exmatter 的数据泄露恶意软件以前与 BlackMatter 勒索软件组有关联，现在正在升级数据损坏功能，这可能表明勒索软件附属机构将来可能会转向使用一种新策略。尽管至少自 2021 年 10 月以来， BlackMatter的关联公司就一直在使用 Exmatter，但这是第一次看到该恶意工具带有破坏性模块。过去已知勒索软件操作会引入漏洞，这些漏洞允许安全研究人员创建解密器 ，帮助受害者免费恢复文件。发生这种情况时对勒索团伙不利。因此，研究人员认为，这种新的数据损坏功能可能是从传统勒索软件攻击（数据被盗然后加密）到数据被盗然后删除或损坏的攻击的新转变。在这种方法下，勒索团伙可以保留攻击产生的所有收入，因为他们不需要与加密器开发人员分享一定比例。

详情

乌克兰捣毁了窃取3000万账户的黑客团伙

日期: 2022-09-23
标签: 乌克兰, 信息技术, 网络犯罪, 

乌克兰安全局 (SSU) 的网络部门击落了一群黑客，他们窃取了大约 3000 万人的账户并在暗网上出售。黑客使用恶意软件获取乌克兰和欧盟受害者系统上可用的凭据和其他敏感数据。SSU 表示，威胁行为者提供了数据包，这些数据包由亲克里姆林宫的宣传人员大量购买，然后他们使用这些账户在社交媒体上传播假新闻，造成恐慌，并在乌克兰和其他国家造成不稳定。根据初步数据，黑客出售了大约 3000 万个账户，并获得了近 1400 万UAH（380,000 美元）的“利润。他们使用匿名暗网市场出售这些信息，并通过在乌克兰被禁止的 YuMoney、Qiwi 和 WebMoney 接收付款。在对乌克兰利沃夫的犯罪者家进行突击搜查时，警方发现并没收了数个装有被盗个人数据的硬盘以及电脑、SIM卡、手机和闪存驱动器。

详情

WhatsApp信息欺诈导致汽车公司损失1亿卢比

日期: 2022-09-22
标签: 印度, 制造业, JBM, WhatsApp, 网络诈骗, 

一家知名的汽车公司JBM集团在一起通过虚假的WhatsApp消息发生的欺诈事件中被骗取了1亿卢比。根据警方的说法，欺诈者在给JBM首席财务官的WhatsApp消息中，Vivek Gupta声称自己是该公司的副主席，并将钱转移到银行账户。据官员称，共有八笔交易与七个不同的银行账户进行。9月7日，发生了一起涉及印度血清研究所（SII）的类似案件，该研究所通过伪装成其首席执行官阿达尔·普纳瓦拉（Adar Poonawalla）的威胁行为者发送的WhatsApp消息以1亿卢比的价格被欺骗。随着通过WhatsApp和其他流行的消息传递平台进行网络欺诈的案件不断增加，建议用户保持警惕并谨慎行事，以避免任何可能导致经济损失的骗局。

详情

黑猫勒索软件的数据过滤工具升级

日期: 2022-09-22
标签: 信息技术, 勒索软件, 

BlackCat勒索软件（又名ALPHV）没有显示出任何放缓的迹象，其发展的最新例子是该团伙用于双重勒索攻击的数据泄露工具的新版本。最近，重点似乎集中在用于从受感染系统中泄露数据的工具上，这是进行双重勒索攻击的基本要求。

该工具名为“Exmatter”，自2021年11月BlackCat推出以来一直使用，并于2022年8月进行了大量更新，具有以下变化：

• 将要渗透到的文件类型限制为：PDF、文档、文档、XLS、PNG、JPG、JPEG、TXT、BMP、RDP、SQL、RTF、IPT 和 DWG等。

• 除了 SFTP 和 WebDav 之外，还要添加 FTP 作为外泄选项。

• 提供用于构建列出所有已处理文件的报告的选项

• 添加“橡皮擦”功能，提供损坏的已处理文件的选项

• 添加“自毁”配置选项，以便在无效环境中执行时退出并删除自身。

• 为 GPO 部署添加选项

除了扩展的功能外，最新的Exmatter版本还经历了繁重的代码重构，更隐蔽地实现了现有功能以逃避检测。BlackCat信息窃取能力的另一个最新补充是部署了一种名为“Eamfo”的新恶意软件，该恶意软件明确针对存储在Veeam备份中的凭据。

详情

针对GitHub的网络钓鱼活动

日期: 2022-09-21
标签: 美国, 信息技术, GitHub, 社会工程学, 网络钓鱼, 双重身份验证(2FA), 

2022年9月21日，GitHub的研究团队发布安全警报表示，发现有新的网络钓鱼活动针对 GitHub 用户。2022年9月16日，GitHub Security 获悉黑客通过冒充 CircleCI 来获取用户凭据和双因素代码，通过网络钓鱼活动瞄准 GitHub 用户。对于启用了基于 TOTP 的双因素身份验证(2FA) 的用户，网络钓鱼站点还会将任何 TOTP 代码实时转发给黑客和 GitHub，从而允许黑客侵入受基于 TOTP 的 2FA 保护的帐户。受硬件安全密钥保护的帐户不易受到这种攻击。虽然 GitHub 本身没有受到影响，但该活动已经影响了许多受害组织。在进行分析后，GitHub Security为受影响的用户重置密码并删除了黑客添加的凭据，并通知了所有已知受影响的用户和组织。

详情

CISA和FBI发布伊朗APT攻击阿尔巴尼亚的详细分析报告

日期: 2022-09-21
标签: 美国, 伊朗, 阿尔巴尼亚, 政府部门, HomeLand Justice, 

2022年9月21日，美国联邦调查局(FBI)和美国网络安全和基础设施安全局(CISA)发布了联合网络安全咨询报告，以提供近期网络信息7月和9月对阿尔巴尼亚政府的军事行动。报告中描述了观察到的活动时间轴，从初始访问到执行加密和雨刷攻击。2022年7月，伊朗APT组织HomeLand Justice发起了一场针对阿尔巴尼亚政府的破坏性行动，网络攻击导致其政府的网站和服务不可用。

HomeLand Justice大约在发动破坏性网络攻击的14个月前，就获得了进入受害者网络的初始权限，其中包括

勒索软件式的文件加密和磁盘擦除恶意软件，并保持着连续的网络访问大约一年，定期访问和导出电子邮件内容。在2022年5月至6月期间，HomeLand Justice进行了横向移动，从阿尔巴尼亚政府网络中获取情报。2022年7月，HomeLand Justice在网络上发布勒索软件，留下反圣战者E-Khalq (MEK)的信息。2022年6月，国土司法部门创建了一个网站和多个社交媒体主页，发布反mek信息。2022年7月18日，国土司法部声称对阿尔巴尼亚人的网络攻击负责政府基础设施。2022年7月23日，国土司法部发布了网络攻击的视频。

详情

“域阴影”在网络犯罪分子中变得越来越流行

日期: 2022-09-21
标签: 信息技术, 域阴影, C2, DNS, 

2022年9月21日，Palo Alto Networks (Unit 42) 的威胁分析师发现，“域阴影”现象可能比以前想象的更为普遍，在 2022 年 4 月至 2022 年 6 月期间扫描网络时发现了 12,197 起案件。域阴影是 DNS 劫持的一个子类别，其中黑客破坏合法域的 DNS 以托管自己的子域以用于恶意活动，但不修改已经存在的合法 DNS 条目。然后，这些子域被用来在网络犯罪分子的服务器上创建恶意页面，而域所有者的网站的网页和 DNS 记录保持不变，并且所有者没有意识到他们已被破坏。与此同时，黑客可以自由地托管 C2（命令和控制）地址、网络钓鱼站点和恶意软件投放点，滥用被劫持域的良好声誉来绕过安全检查。理论上，黑客可以将 DNS 记录更改为目标用户和受感染域的所有者，但他们通常更喜欢采用上述隐蔽路径。

详情

LockBit勒索团伙内部人员在线泄露LockBit勒索软件构建器

日期: 2022-09-21
标签: 美国, 信息技术, 网络犯罪, 

2022年9月21日，安全研究人员 3xp0rt 称，一位名为“Ali Qushji”的新注册 Twitter 用户表示，他们的团队入侵了 LockBits 服务器并找到了 LockBit 3.0 勒索软件加密器的构建器。VX-Underground表示，2022年9月10日，一位名为“protonleaks”的用户联系了他们，该用户还分享了该构建器的副本。然而，LockBit 勒索团伙的公共代表 LockBitSupp 声称他们没有被黑客入侵，而是内部原因。调查发现，这个泄密者是 Lockbit 勒索软件组织雇用的程序员，他对 Lockbit 的领导层感到不满，就泄露了勒索软件加密器的构建器。泄露的 LockBit 3.0 构建器允许任何人快速构建启动自己的操作所需的可执行文件，包括加密器、解密器和以特定方式启动解密器的专用工具。而这样的泄露不仅会对 LockBit 勒索软件操作造成严重打击，而且也会对企业造成巨大影响，因为会有更多的网络犯罪分子利用它来发起攻击。

详情

Malwarebytes错误更新导致谷歌、YouTube无法访问

日期: 2022-09-21
标签: 美国, 信息技术, 谷歌（Google）, YouTube, Malwarebytes, 

2021年9月21日，Malwarebytes发布了安全更新，导致了一系列错误，其实时网络过滤组件会阻止某些域（包括 http://google.com）。此外，Nebula 控制台本身可能会出现减速，因为其正在处理来自 Web 过滤器的大量警报流量。包括 Google 搜索和 Youtube。受影响的用户无法访问任何 Google 网站，并且不断收到来自 Google 网站的恶意软件通知，所有这些通知都指向 google.com 子域中标记为包含恶意软件的各种网站。Malwarebytes 迅速进行调查，并回应在例行更新期间，Malwarebytes Web 过滤数据库中引入了一个错误，导致多个域被无意中阻止。用户可对Malwarebytes进行更新或通过打开 Malwarebytes 并关闭实时保护卡中的 Web 保护选项来禁用错误模块。

详情

在互联网上发现超过 39，000 个未经身份验证的 Redis 实例

日期: 2022-09-21
标签: 中国, 美国, 德国, 新加坡, 印度, 法国, 日本, 香港, 荷兰, 爱尔兰, 信息技术, Redis, 

一个未知的攻击者瞄准了互联网上暴露的数万个未经身份验证的Redis服务器，试图安装加密货币矿工。目前尚不清楚所有这些主机是否都已成功入侵。它是通过一种“鲜为人知的技术”来实现的。这种利用技术背后的一般想法是配置Redis将其基于文件的数据库写入包含某些授权用户的方法的目录（例如向'.ssh/authorized_keys'添加密钥），或启动一个进程（例如将脚本添加到'/etc/cron.d'）。Censys的报告显示，大约有350，675个互联网可访问的Redis数据库服务，跨越260，534个独特的主机。在观察到的39，405个未经身份验证的Redis服务器中，潜在的数据暴露超过300 GB。拥有暴露和未经身份验证的Redis服务的前10个国家包括中国（20，011），美国（5，108），德国（1，724），新加坡（1，236），印度（876），法国（807），日本（711），香港（512），荷兰（433）和爱尔兰（390）。

详情

一起涉及美国等180多个国家的大规模DDos攻击

日期: 2022-09-21
标签: 美国, 中国, 印度尼西亚, 巴西, 信息技术, 网络犯罪, 

网络安全公司Imperva透露，它于2022年6月27日缓解了分布式拒绝服务（DDoS）攻击，总共有超过253亿个请求。据称，针对一家中国电信公司的“强力攻击”已经持续了四个小时，峰值为每秒390万次请求（RPS）。攻击者使用HTTP / 2多路复用，或将多个数据包合并为一个，通过单个连接一次发送多个请求。该攻击是从僵尸网络发起的，该僵尸网络由近170，000个不同的IP地址组成，这些IP地址跨越路由器，安全摄像头和位于180多个国家/地区的受损服务器，主要是美国，印度尼西亚和巴西。

详情

Windows 11 22H2将内核漏洞攻击保护添加到安全基线

日期: 2022-09-20
标签: 美国, 信息技术, 微软（Microsoft）, 

2022年9月20日，Microsoft 发布 Windows 11 22H2 版安全配置基线设置的最终版本，可使用 Microsoft 安全合规工具包下载。微软安全顾问 Rick Munck 表示：“此版本包括许多更改，针对硬件和驱动程序安全、凭据盗窃、打印机、DNS 和帐户锁定的额外保护都进行了更改。”最新的 Windows 11 安全基线的亮点是增加了内核模式硬件强制堆栈保护，为内核代码提供额外的硬件级保护，以抵御恶意软件威胁。它适用于具有支持硬件影子堆栈的芯片组的系统，例如英特尔的控制流强制技术 (CET) 或 AMD 影子堆栈。新的基线通过为仍然依赖用户名和密码 Windows 身份验证的用户添加 Windows Defender SmartScreen 增强的网络钓鱼保护来增加对网络钓鱼攻击的保护。Windows 安全基线使企业安全管理员能够使用 Microsoft 推荐的组策略对象 (GPO) 基线来减少攻击面并改善 Windows 企业端点的安全状况。

详情

美国Tift 地区医疗中心遭遇勒索攻击

日期: 2022-09-20
标签: 美国, 卫生行业, 

2022年9月20日，DataBreaches发布报告，称美国佐治亚州的Tift 地区医疗中心是 7 月份勒索软件攻击的受害者。尽管医院正在与 Hive 勒索软件组织进行谈判，但谈判最近中断了。此次攻击始于2022年7月14日，并于8 月8日结束。在此期间，Hive 声称他们能够下载大约 1 TB 的数据，据称包括：公司私人信息（预算、计划、税收、合同、NDA、其他协议等）、医疗记录（患者姓名、地址、性别、SSN、保险、包括诊断）、员工私人信息（工资单、合同、NDA、SSN 、薪水、地址、护照等）、贵公司与患者/合作伙伴之间的电子邮件。

详情

Hive 勒索软件攻击纽约赛车协会

日期: 2022-09-19
标签: 美国, 商务服务, 纽约赛车协会 (NYRA), 

2022年9月19日，Hive 勒索软件团伙声称对纽约赛车协会 (NYRA) 的攻击负责。NYRA此前披露，2022 年 6 月 30 日的网络攻击影响了 IT 运营和网站可用性，并损害了会员数据。NYRA 是纽约三个最大的纯种赛马场的运营商，即 Aqueduct Racetrack、Belmont Park 和 Saratoga Race Course。Hive 勒索软件团伙还在其勒索网站上发布了一个链接，可以免费下载一个 ZIP 档案，其中包含他们据称从 NYRA 系统窃取的所有文件。目前其会员的社会安全号码 (SSN)、驾驶执照识别号码、健康记录和健康保险信息可能都已被泄露。从目前的情况来看，赛马并没有受到事件的影响，赛马投注照常进行。但是，该协会的网站仍然无法访问，这表明攻击的影响尚未完全减轻。

详情

25种最流行的编程语言和趋势

日期: 2022-09-20
标签: 信息技术, CircleCI, 行业趋势, 

CircleCI发布了《2022年软件交付状况报告》（2022-state-of-software-delivery-report.pdf (circleci.com)），该报告

研究了来自全球超过25亿个工作流和近50，000个组织的两年数据，并为工程团队提供了见解，以了解他们如何才能更好地取得成功。研究结果表明，精英软件交付团队正在采用开发人员友好的工具和实践，使他们能够在必要时自动化、扩展和成功接受变革。在当今竞争激烈的生态系统中，快速行动的能力至关重要，但同样重要的是组织吸引和留住人才的能力，以及消除团队成功障碍的能力。从开发语言到测试框架再到部署方案，高绩效者正被鼓励协作、可重复性和生产力的工具所吸引。

详情

Microsoft 365网络钓鱼攻击模仿美国政府机构

日期: 2022-09-19
标签: 美国, 政府部门, 建筑业, 商务服务, 能源业, 微软（Microsoft）, 社会工程学, 网络钓鱼, 

2022年9月19日，Cofense的研究人员发布报告，称发现有不明黑客正在开展一系列网络钓鱼活动，针对美国政府的多个部门和各行业公司。这些电子邮件声称要求对政府项目进行投标，将受害者引导至网络钓鱼页面。这些活动至少自 2019 年年中以来一直在进行，Cofense于 2019 年 7 月首次进行了报道。这些活动针对各个行业的公司，但主要集中在能源和专业服务行业，包括建筑公司。最近，这些电子邮件还针对了美国劳工部、商务部或交通部。而在此次网络钓鱼活动中中，黑客使用的电子邮件、PDF 和网站本质上是来自投标请求和国家投标门户网站的实际内容的副本，因此可能很难捕捉到欺诈的迹象。防止这种情况的唯一方法是检查所有详细信息，如发送地址、登陆 URL，并最终通过搜索引擎访问投标门户，而不要通过提供的链接。

详情

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x09   时间线

2022-09-26 360CERT发布安全事件周报