报告编号：B6-2022-121201

报告来源：360CERT

报告作者：360CERT

更新日期：2022-12-13

0x01   事件导览

本周收录安全热点40项，话题集中在恶意程序、网络攻击方面，涉及的组织有：Royal、Zerobot、CryWiper、APT37等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

美国卫生部警告Royal勒索软件瞄准医疗行业

日期: 2022-12-08
标签: 美国, 信息技术, 卫生行业, 网络犯罪, 

2022年12月8日，美国卫生与公众服务部 (HHS)向该国的医疗保健组织发出了新警告，称该国的医疗保健组织正在遭受来自一个相对较新的组织 Royal 勒索软件团伙的持续攻击。美国卫生部门网络安全协调中心 (HC3)——HHS 的安全团队——在2022年12月7日发布的一份新分析报告中透露，勒索软件组织一直是针对美国医疗机构的多次攻击的幕后黑手。美国卫生部门网络安全协调中心 (HC3)表示：“由于勒索软件伤害医疗保健社区的历史性质，Royal 应该被视为对 HPH 行业的威胁。”

详情

针对Android和Windows操作系统的新型混合恶意软件活动

日期: 2022-12-08
标签: 荷兰, 信息技术, 谷歌（Google）, 微软（Microsoft）, ERMAC, Erbium, Aurora, Laplas, 网络犯罪, 移动安全, Android（安卓）, Windows, 

2022年12月8日，荷兰网络安全公司ThreatFabric的研究人员揭示了一种针对 Android 和 Windows 操作系统的新型混合恶意软件活动，旨在扩大其受害者群体。这些攻击需要使用不同的恶意软件，例如ERMAC、Erbium、Aurora和Laplas 。ThreatFabric表示：“这场活动造成了数千名受害者，黑客成功地窃取了 1,300 多名受害者的数据。”ERMAC 感染始于一个欺诈网站，该网站声称为 Android 和 Windows 提供 Wi-Fi 授权软件，安装后具有从加密钱包和其他敏感数据中窃取助记词的功能。ThreatFabric 表示，它还发现了一些恶意应用程序，这些应用程序是 Instagram 等合法应用程序的木马化版本，运营商将它们用作投放器来提供混淆的恶意负载。

详情

Zerobot Botnet利用的几个安全漏洞

日期: 2022-12-08
标签: 信息技术, Zerobot, 

2022年12月8日，FortiGuard 实验室发现了一个名为 Zerobot 的特殊僵尸网络，该网络通过利用 IoT 设备或其他程序中的近 20 个安全漏洞在现场传播。在下载用于进一步传播的脚本之前，Zerobot 会针对多个漏洞获取对设备的访问权限。Zerobot 针对几种不同的架构，例如 i386、amd64、arm、mips、mips64、mipsle、ppc64、ppc64le、riscv64 和 s390x。零是用于保存机器人的文件名。2022 年 11 月 18 日，该恶意软件首次公开亮相，主要影响基于 Windows 和 Linux 的计算机。僵尸程序在感染机器后连接远程命令和控制 (C2) 服务器，并等待进一步的指示。Zerobot 中有 21 个漏洞。这包括影响 Spring Framework、D-Link DNS-320 NAS、Hikvision 相机、FLIR AX8 热像仪、Zyxel 防火墙、TOTOLINK 路由器和 F5 BIG-IP 的漏洞。

详情

CryWiper伪装成勒索软件攻击俄罗斯组织

日期: 2022-12-05
标签: 俄罗斯, 乌克兰, 信息技术, CryWiper, 网络犯罪, 俄乌战争, 

2022年12月5日，卡巴斯基研究人员发布报告表示，称发现CryWiper伪装成勒索软件攻击俄罗斯组织。这个名为 CryWiper 的程序针对的是俄罗斯目标，并要求赎金，但无法解密任何被覆盖的文件。该恶意程序的行为与加密勒索软件完全相同：覆盖和重命名文件，然后丢弃带有赎金票据和比特币付款地址的文本文件。但该程序会删除受害者文件的内容。伪装的擦除器程序延续了勒索软件被有意或无意用作擦除器的趋势。网络安全公司卡巴斯基称，该程序 CryWiper 目前针对俄罗斯组织，但可以很容易地用于对付其他国家的公司和组织。删除关键数据的恶意软件（称为擦除器）已成为对私营和公共部门的重大威胁。

详情

朝鲜黑客传播伪装成加密货币应用程序的AppleJeus恶意软件

日期: 2022-12-05
标签: 朝鲜, 金融业, 信息技术, AppleJeus, 加密货币, 网络犯罪, 

2022年12月5日，Volexity 观察到 Lazarus Group黑客组织利用虚假的加密货币应用程序作为诱饵来提供以前未记录的 AppleJeus 恶意软件版本。根据美国情报机构发布的 2021 年年度威胁评估，“朝鲜对全球金融机构和加密货币交易所进行了网络盗窃，可能窃取了数亿美元，可能用于资助政府的优先事项，例如其核计划和导弹计划”。研究人员 Callum Roxan、Paul Rascagneres 和 Robert Jan Mora说： “这项活动特别涉及一场可能通过恶意 Microsoft Office 文档针对加密货币用户和组织的 AppleJeus 恶意软件变体的活动。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   网络攻击

APT37组织利用Internet Explorer的零日漏洞攻击韩国

日期: 2022-12-08
标签: APT37（Ricochet Chollima）, APT舆情, 

Google的威胁分析小组(TAG)于2022年10月下旬发现的一个零日漏洞，该漏洞嵌入到恶意文档中并用于针对韩国用户。TAG将此活动归因于朝鲜APT组织APT37。这些恶意文档利用了Internet Explorer的JScript引擎中的零日漏洞CVE-2022-41128。这不是APT37第一次使用Internet Explorer的零日漏洞攻击目标用户。该组织历来将目标锁定在韩国用户、朝鲜叛逃者、政策制定者、记者和人权活动家。

详情

CloudSEK 声称它被另一家网络安全公司入侵

日期: 2022-12-06
标签: 印度, 信息技术, CloudSEK, 

2022年12月6日，印度网络安全公司 CloudSEK 表示，一名黑客使用其一名员工的 Jira 账户的被盗凭据获得了对其 Confluence 服务器的访问权限。虽然一些内部信息，包括产品仪表板的屏幕截图以及三个客户的姓名和采购订单，已从其 Confluence wiki 中泄露，但 CloudSEK 表示攻击者并未破坏其数据库。 该公司首席执行官兼创始人 Rahul Sasi表示： “我们正在调查针对 CloudSEK 的有针对性的网络攻击。一名员工的 Jira 密码被泄露以访问我们的汇合页面。”调查发现，一个名为“sedut”的黑客正试图在多个黑客论坛上出售他们声称可以访问 CloudSek 的“网络、Xvigil、代码库、电子邮件、JIRA 和社交媒体帐户”的信息。他们还泄露了包含 CloudSEK 相关信息的图像，包括用于抓取 Breached 和 XSS 黑客论坛的帐户的用户名和密码、如何使用各种网站爬虫的说明，以及显示 CloudSEK 数据库架构、CloudSEK 仪表板和采购订单的屏幕截图。

详情

Callisto组织将攻击目标转向支持乌克兰的实体

日期: 2022-12-06
标签: 俄罗斯, 科研服务, 政府部门, 信息技术, APT舆情, 

Callisto被怀疑是至少从2017年4月开始活跃的俄罗斯威胁组织。虽然它没有公开归因于任何俄罗斯情报部门，但过去的Callisto行动表明目标和受害者与俄罗斯战略利益密切相关。Callisto主要针对西方国家，尤其是美国和东欧国家。据观察，该组织开展了旨在窃取凭据的网络钓鱼行动，目标是军事和战略研究部门，如北约实体和乌克兰的国防承包商，以及非政府组织和智库。其他受害者包括前情报官员、俄罗斯事务专家和国外的俄罗斯公民。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x05   安全漏洞

Cisco披露影响其IP电话的高危漏洞

日期: 2022-12-08
标签: 美国, 信息技术, 思科（Cisco）, 

2022年12月8日，思科披露了一个影响其最新一代 IP 电话的高危漏洞，并使这些电话遭受远程代码执行和拒绝服务 (DoS) 攻击。该公司警告称，其产品安全事件响应小组 (PSIRT)“意识到概念验证漏洞利用代码可用”，并且“漏洞已被公开讨论”。该漏洞被跟踪为CVE-2022-20968，是由收到的思科发现协议数据包的输入验证不足引起的，未经身份验证的攻击者可以利用它来触发堆栈溢出。受影响的设备包括运行7800 和 8800 系列固件版本 14.2 及更早版本的 Cisco IP 电话。思科的 PSIRT 补充说，它还没有发现任何利用此漏洞进行攻击的企图。思科在披露之前尚未发布安全更新来解决此漏洞，并表示将于 2023 年 1 月推出补丁。

详情

朝鲜APT组织利用Internet Explorer零日漏洞攻击韩国

日期: 2022-12-07
标签: 朝鲜, 韩国, 信息技术, 微软（Microsoft）, APT37（Ricochet Chollima）, 

2022年12月7日，谷歌的威胁分析小组 (TAG) 透露，一群被追踪为 APT37 的朝鲜黑客利用以前未知的 Internet Explorer 漏洞（称为零日漏洞）用恶意软件感染韩国目标。2022年10月31日，当来自韩国的多个 VirusTotal 提交者上传了一份名为“221031 Seoul Yongsan Itaewon 事故响应情况 (06:00).docx”的恶意 Microsoft Office 文档时，Google TAG 才意识到最近的这次攻击。一旦在受害者的设备上打开，该文档将在下载一个富文本文件 (RTF) 远程模板后传递一个未知的负载，该模板将使用 Internet Explorer 呈现远程 HTML。远程加载提供漏洞利用的 HTML 内容允许攻击者利用 IE 零日漏洞，即使目标并未将其用作默认 Web 浏览器。该漏洞（跟踪为 CVE-2022-41128）是由于 Internet Explorer 的 JavaScript 引擎中的一个弱点，它允许成功利用它的威胁参与者在呈现恶意制作的网站时执行任意代码。微软在2022年11 月 8日的上个月补丁星期二期间已经对其进行了修补。

详情

三星Galaxy S22在多伦多Pwn2Own遭到两次黑客攻击

日期: 2022-12-06
标签: 加拿大, 信息技术, 制造业, 三星（Samsung）, 

2022年12月5日，在 Pwn2Own Toronto 2022 黑客竞赛的第一天，参赛者两次攻击了三星 Galaxy S22 智能手机，这是第 10 届以消费者为中心的活动。STAR Labs 团队是第一个成功利用三星旗舰设备上的零日漏洞的团队，他们在第三次尝试中执行了不正确的输入验证攻击，获得了 50,000 美元和 5 个 Master of Pwn 积分。另一位参赛者 Chim 也成功演示了针对三星 Galaxy S22 的漏洞利用，并能够执行不正确的输入验证攻击，获得 25,000 美元（第二轮针对同一设备的奖金的 50%）和 5 个 Master of Pwn 积分。根据比赛规则，在这两种情况下，Galaxy S22 设备都运行最新版本的 Android 操作系统，并安装了所有可用的更新。在比赛的第一天，参赛者还成功演示了针对来自多家供应商的打印机和路由器中的零日错误的攻击，包括 Canon、Mikrotik、NETGEAR、TP-Link、Lexmark、Synology 和 HP。

详情

Android 2022年12月安全更新修复了81个漏洞

日期: 2022-12-05
标签: 美国, 信息技术, 谷歌（Google）, 移动安全, Android（安卓）, 

2022年12月5日，谷歌发布了 2022 年 12 月的 Android 安全更新，修复了四个严重漏洞，包括一个可通过蓝牙利用的远程代码执行漏洞。2022年12月的更新解决了核心 Android 组件中的 45 个漏洞，补丁级别为 2022-12-01，另外 36 个影响第三方组件的漏洞在补丁级别 2022-12-05 中得到解决。本月更新中解决的四个严重漏洞是：

• CVE-2022-20472 – Android Framework 中的远程代码执行缺陷，影响 Android 版本 10 到 13。

• CVE-2022-20473 – Android Framework 中的远程代码执行缺陷，影响 Android 版本 10 到 13。

• CVE-2022-20411 – Android 系统中的远程代码执行缺陷，影响 Android 版本 10 到 13。

• CVE-2022-20498 – Android 系统中的信息泄露缺陷，影响 Android 版本 10 到 13。

其余已修复的漏洞涉及特权提升 (EoP)、远程代码执行、信息泄露和拒绝服务问题。

详情

CISA警告尽快修补 Google Chrome 漏洞

日期: 2022-12-05
标签: 美国, 信息技术, 谷歌（Google）, 

2022年12月初，美国网络安全和基础设施安全局 (CISA) 在其已知可在攻击中利用的漏洞列表中又增加了一个安全漏洞。该漏洞（跟踪为 CVE-2022-4262）已于2022年12月2日 针对 Windows、Mac 和 Linux 用户作为 Google Chrome 网络浏览器中一个被积极利用的零日漏洞进行了修补。谷歌威胁分析小组的 Clement Lecigne 报告该漏洞是由 Chromium V8 JavaScript 引擎中的高严重性类型混淆漏洞引起的。尽管类型混淆缺陷通常会在通过读取或写入缓冲区边界外的内存成功利用后导致浏览器崩溃，但攻击者也可以利用它们来执行任意代码。美国网络安全机构解释说：“这些类型的漏洞是各种恶意网络行为者的常见攻击媒介，并对联邦企业构成重大风险 。 ”CISA 命令美国的机构在 12 月 26 日之前修补被利用的 Google Chrome 漏洞。

详情

严重的 AMI MegaRAC 漏洞影响 AMD、ARM、HPE、戴尔等公司的服务器

日期: 2022-12-05
标签: 美国, 信息技术, 制造业, 

American Megatrends MegaRAC Baseboard Management Controller (BMC) 软件中的三个漏洞影响许多云服务和数据中心提供商使用的服务器设备。Eclypsium 于 2022 年 8 月发现了这些漏洞，攻击者可以在特定条件下执行代码、绕过身份验证和执行用户枚举。研究人员在检查了 American Megatrends 泄漏的专有代码（特别是 MegaRAC BMC 固件）后发现了这些漏洞。MegaRAC BMC 固件被至少 15 家服务器制造商使用，包括 AMD、Ampere Computing、ASRock、Asus、ARM、Dell EMC、Gigabyte、Hewlett-Packard Enterprise、Huawei、Inspur、Lenovo、Nvidia、Qualcomm、Quanta 和 Tyan。这三个漏洞分别是：

• CVE-2022-40259：由于不正确地向用户公开命令，Redfish API 存在任意代码执行缺陷。（CVSS v3.1 得分：9.9“严重”）

• CVE-2022-40242：系统管理员用户的默认凭据，允许攻击者建立管理外壳。（CVSS v3.1 得分：8.3“高”）

• CVE-2022-2827：请求操作缺陷允许攻击者枚举用户名并确定帐户是否存在。（CVSS v3.1 得分：7.5“高”）

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x06   安全分析

分析Callisto组织2022年的网络钓鱼活动

日期: 2022-12-06
标签: 美国, 俄罗斯, 乌克兰, 政府部门, Callisto, Blue Callisto, APT舆情, 

Blue Callisto是一个自2017年开始以间谍目的开展钓鱼攻击行动的俄罗斯攻击组织。该组织从与国家安全相关的美国和欧洲的政府官员和组织窃取凭据。自2022年俄乌战争开始以来，Blue Callisto开始攻击乌克兰，目标至少包含一家与物流相关的乌克兰私营公司。但Blue Callisto极有可能仍然主要关注位于欧洲和美国的政府组织。在这篇报告中，详细介绍了Blue Callisto的2022年网络钓鱼行动，活动范围从2022年2月到2022年10月。

详情

0x07   其他事件

黑客组织DEV-0139瞄准加密货币交易所

日期: 2022-12-08
标签: 金融业, 信息技术, DEV-0139, 加密货币, 

2022年12月8日，微软的安全研究人员发布研究报告表示，一个代号为DEV-0139的黑客组织一直在使用Telegram群组促进VIP客户和加密货币交易平台之间的通信，从成员中挑选目标。在建立联系并赢得目标的信任后，DEV-0139发出了一份带有恶意软件的Excel文件，其中包括加密货币交易所公司之间的费用结构表。根据微软的说法，该组织在文件中提供了可能准确的数据，以进一步提高他们的可信度。但是一旦执行，恶意文件就会破坏受害者的机器，最终安装一个后门来远程访问系统。

详情

美国医疗机构CommonSpirit Health623000名患者数据泄露

日期: 2022-12-08
标签: 美国, 信息技术, 卫生行业, CommonSpirit Health, 网络犯罪, 

2022年12月初，CommonSpirit Health 已确认黑客在 2022 年10 月的勒索软件攻击中访问了 623,774 名患者的个人数据。该数据于2022年12月8日发布在美国卫生部泄露门户网站上，医疗保健组织在法律上有义务报告影响 500 多人的数据泄露事件。2022年10 月初，总部位于美国伊利诺伊州的非营利性卫生系统首先向公众通报了一场网络攻击，该系统已瘫痪其 IT 系统。CommonSpirit Health 是美国第二大卫生系统，在 21 个州运营着 140 家医院和 1,000 多个护理点，因此其运营中的任何中断都具有广泛的影响潜力。2022 年 12 月 1 日，该组织公布了对安全事件的最新内部调查结果，承认勒索软件攻击者首次访问了患者数据。

详情

易受DNS攻击的空隙网络分析

日期: 2022-12-08
标签: 信息技术, DNS, 

2022年12月8日，安全公司Pentera的研究人员在发布的一篇博客文章中透露，使用连接到DNS服务器的无间隙网络的组织可能会无意中将资产暴露给威胁行为者，从而导致高影响的数据泄露。研究人员表示，这对企业来说意味着，通过滥用DNS，黑客可以通过一条稳定的通信线路进入一个无间隙的网络，从而在其活动看起来完全符合组织安全协议的情况下，可以窃取敏感数据。

详情

自动化暗网市场以2美元的价格出售企业电子邮件帐户

日期: 2022-12-08
标签: 美国, 以色列, 信息技术, 社会工程, 网络钓鱼, BEC, 暗网, 

2022年12月8日，以色列网络情报公司 KELA 的分析师发布研究报告称，网络犯罪市场越来越多地以低至 2 美元的价格出售被盗的公司电子邮件地址，以满足黑客不断增长的需求，这些黑客使用这些地址进行商业电子邮件泄露和网络钓鱼攻击或初始访问网络。报告称至少有 225,000 个电子邮件帐户在地下市场上出售。最大的网络邮件商店是 Xleet 和 Lufix，他们声称可以访问超过 10 万个被破坏的公司电子邮件帐户，价格从 2 美元到 30 美元不等。通常，这些帐户是通过密码破解（暴力破解）或凭据填充被盗的，其凭据是通过网络钓鱼被盗的，或者是从其他网络犯罪分子那里购买的。黑客利用他们对公司电子邮件帐户的访问权限进行有针对性的攻击，例如商业电子邮件妥协 (BEC)、社交工程、鱼叉式网络钓鱼和更深入的网络渗透。

详情

苹果推出iMessage、iCloud等新的网络安全措施

日期: 2022-12-08
标签: 美国, 信息技术, Apple, 

2022年12月8日，Apple 宣布了几项新的安全功能，旨在更好地保护用户免受一系列新出现的威胁。 这三项新功能分别是：iMessage 联系人密钥验证、Apple ID 安全密钥和 iCloud 高级数据保护。iMessage 的新功能将允许用户验证他们是否只向预定的人发送消息，Apple ID 工具将让客户有机会强制要求需要物理安全密钥才能登录他们的 Apple ID 帐户。  Advanced Data Protection for iCloud 将允许用户对 iCloud 数据部署端到端加密，包括 iCloud 备份、照片、笔记等。Apple 安全工程和架构主管 Ivan Krstić 表示，高级数据保护是 Apple 的“最高级别的云数据安全”，让用户可以选择通过端到端加密来保护绝大多数最敏感的 iCloud 数据，以便它只能在他们信任的设备上解密。

详情

分析COLDRIVER使用的基础设施

日期: 2022-12-07
标签: APT舆情, 

从2022年7月开始，Recorded Future的Insikt Group观察到威胁活动组织TAG-53反复使用类似的基础设施。 这个新发现的基础设施可能与以前归因于Callisto Group的其他基础设施的TTP重叠，并且与符合俄罗斯国家利益的攻击行动有关。TAG-53的基础设施被发现包含一个伪装成美国合法军事武器和硬件供应商的欺骗性Microsoft登录页面，这表明某些TAG-53的基础设施可能已经投入使用。 根据TAG-53的历史公开报告，这种凭据收集活动很可能是通过网络钓鱼实现的。

详情

网络购物欺诈骗取3.6亿美元

日期: 2022-12-06
标签: 美国, 批发零售, 机器人, 

2022年12月上旬，Cheq网络安全公司表示，冒充消费者的网络欺诈者可能在黑色星期五期间通过制造虚假点击，从网络企业的营销预算中套取了超过3.6亿美元，而在“网络星期一”的零售网站访问中，有20%是冒充购物者的机器人。欺诈的激增包括广告注入、搜索引擎重定向和附属欺诈等技术。欺诈的增加与美国假日销售的年度增长相吻合。总体而言，在线零售商 11 月的销售额增长了近 12%，黑色星期五的采购量增长了 2.3%。

详情

苹果为 iCloud 备份推出端到端加密

日期: 2022-12-07
标签: 美国, 信息技术, Apple, 密码学, iCloud, 

2022年12月7日，Apple 推出了 iCloud 高级数据保护，这项新功能使用端到端加密来保护敏感的 iCloud 数据，包括备份、照片、笔记等。对于选择启用此新安全功能的客户，高级数据保护旨在通过确保只能在用户信任的设备上解密加密云数据来保护“大多数 iCloud 数据，即使在云数据泄露的情况下也是如此。使用端到端加密保护的数据类型包括设备和消息备份、iCloud Drive、照片、备忘录、提醒事项、Safari 书签、钱包通行证、语音备忘录、Siri 快捷方式等。iCloud 邮件、通讯录和日历数据不会加密，因为需要与其他电子邮件、通讯录和日历系统通信。高级数据保护已在美国面向注册 Apple Beta 软件计划的客户提供，并将于2022年12月下旬在全美国推出，将在 2023 年初开始面向美国以外的用户推出。

详情

Vice Society 勒索软件攻击者在 2022 年将数十所学校作为目标

日期: 2022-12-07
标签: 美国, 信息技术, 教育行业, Vice Society, 网络犯罪, 

2022年12月7日，Palo Alto Networks Unit 42的研究人员发布报告表示，Vice Society 网络犯罪集团以教育机构为目标，2022 年有 33 名受害者，超过了 LockBit、BlackCat、BianLian 和 Hive 等其他勒索软件家族。根据Palo Alto Networks Unit 42对泄漏站点数据的分析，其他突出的垂直行业目标包括医疗保健、政府、制造、零售和法律服务。这家网络安全公司将 Vice Society 称为“2022 年最具影响力的勒索软件团伙”之一。在总共受影响的 100 个组织中，美国报告了 35 起，其次是英国 18 起，西班牙 7 起，巴西和法国各 6 起，德国和意大利各 4 起，澳大利亚 3 起。

详情

黑客在协同供应链攻击中使用新的 Fantasy 数据擦除器

日期: 2022-12-07
标签: 伊朗, 信息技术, 能源业, 制造业, Agrius, 供应链攻击, 供应链安全, 网络犯罪, 

2022年12月7日，ESET的安全研究人员发布报告称，伊朗 Agrius APT 黑客组织在影响以色列、香港和南非组织的供应链攻击中使用新的“Fantasy”数据擦除器。Wipers 是一种恶意软件，旨在删除被破坏计算机上的数据，从而导致数字破坏和业务中断。Agrius APT（高级持续性威胁）于 2022 年 2 月 20 日入侵了一家南非钻石行业组织，在其网络上投放了 MiniDump 和 SecretsDump 等凭证收集器以窃取帐户凭证。该活动于 2 月开始，并于 2022 年 3 月全面展开，破坏了一家 IT 支持服务公司、一家钻石批发商、一家珠宝商和一家人力资源咨询公司。在此活动中，Agrius 使用了一个名为“Fantasy”的新擦除器，该擦除器隐藏在以色列供应商创建的软件套件中，该软件常用于钻石行业。

详情

基于Go的僵尸网络Zerobot利用大量IoT漏洞进行扩展

日期: 2022-12-07
标签: 信息技术, Zerobot, 僵尸网络, 

2022年12月7日，Fortinet FortiGuard 实验室研究员 Cara Lin发布研究报告表示，通过利用物联网 (IoT) 设备和其他软件中的多个安全漏洞，观察到一种名为Zerobot的新型基于 Go 的僵尸网络在野外扩散。该僵尸网络包含多个模块，包括自我复制、针对不同协议的攻击和自我传播，还使用 WebSocket 协议与其命令和控制服务器通信。该恶意软件旨在针对各种 CPU 架构，例如 i386、amd64、arm、arm64、mips、mips64、mips64le、mipsle、ppc64、ppc64le、riscv64 和 s390x。该活动于 2022 年 11 月 18 日之后开始，主要针对 Linux 操作系统来控制易受攻击的设备。

详情

俄罗斯黑客瞄准美国军事武器和硬件供应商

日期: 2022-12-07
标签: 俄罗斯, 美国, 政府部门, 信息技术, 科研服务, TAG-53, 网络犯罪, 

2022年12月7日，Recorded Future 的 Insikt Group发布研究报告表示，一个与俄罗斯有联系的国家资助的黑客组织与攻击基础设施有关，该基础设施欺骗了 Global Ordnance 的 Microsoft 登录页面，这是一家合法的美国军事武器和硬件供应商。Recorded Future 将新基础设施归因于它跟踪的一个名为TAG-53的威胁活动组，网络安全社区将其广泛称为Blue Callisto、Callisto、COLDRIVER、SEABORGIUM 和 TA446。Recorded Future发现了 38 个域，其中 9 个包含对 UMO Poland、Sangrail LTD、DTGruelle、Blue Sky Network、国际司法与责任委员会 (CIJA) 和俄罗斯内务部等公司的引用。

详情

Meta预计将在欧盟隐私裁决后面临新的罚款

日期: 2022-12-06
标签: 美国, 信息技术, 文化传播, 欧洲数据保护监管机构（EDPS）, Meta（原Facebook）, 

2022年12月6日，欧洲数据保护监管机构（EDPS）在一份声明中表示，裁决涉及Meta将数据用于定向广告，但没有给出细节或建议罚款。欧洲数据监管机构对Facebook、Instagram和WhatsApp所有者处理个人数据的行为做出了具有约束力的决定，预计Meta将面临另一笔巨额罚款。

详情

美国马里兰州禁止州雇员使用卡巴斯基、TikTok、华为

日期: 2022-12-06
标签: 美国, 信息技术, 政府部门, 华为, TikTok（抖音）, 腾讯（Tencent）, 卡巴斯基（Kaspersky）, 中兴通讯, 

2022年12月6日，美国共和党州长拉里·霍根（Larry Hogan）禁止美国马里兰州政府雇员使用一系列中国和俄罗斯的设备和软件，理由是国家安全以及此类技术可能被用于黑客攻击和外国间谍活动。在2022年12月6日发布并由马里兰州首席信息安全官查尔斯“奇普”斯图尔特签署的紧急网络安全指令中，该州标记了八家公司的技术，这些技术“给国家带来了不可接受的网络安全风险”，并禁止州政府雇员将这些技术用于公务。这些公司包括华为技术有限公司、中兴通讯公司、阿里巴巴旗下的支付宝、腾讯旗下的腾讯 QQ、微信和 QQWallet，以及俄罗斯拥有的网络安全和防病毒公司卡巴斯基。该命令在两周的时间线上开始计时，要求州政府雇员从州网络中删除公司的任何已知硬件或软件，并采取措施防止未来安装或访问此类系统。该命令建议使用自动化工具来扫描已知的桌面应用程序，使用移动设备管理软件来跟踪发给工人的电话，并限制州政府雇员的管理权限。

详情

疑似APT-C-56（透明部落）针对恐怖主义的攻击活动分析

日期: 2022-12-06
标签: 信息技术, 微软（Microsoft）, APT-C-56, APT舆情, 

近期，360烽火实验发现了一批疑似APT-C-56（透明部落）针对恐怖主义发起攻击的恶意样本，通过溯源关联分析发现，攻击活动至少开始于2018年6月，至今仍处于活跃状态。攻击中使用样本涉及Android和Widows平台。

详情

加拿大大赦国际被APT组织入侵

日期: 2022-12-06
标签: 中国, 加拿大, 信息技术, 国际组织, 国际人权非政府组织 (NGO), 网络犯罪, 

2022年12月6日，国际特赦组织加拿大分部披露了 10 月初发现的一个安全漏洞，该漏洞与一个可能由中国赞助的威胁组织有关。国际人权非政府组织 (NGO) 表示，它于 10 月 5 日首次发现了这一漏洞，当时它发现其 IT 基础设施上存在可疑活动。 在检测到攻击后，该非政府组织聘请了网络安全公司 Secureworks 的服务来调查攻击并保护其系统。“调查的初步结果表明，数字安全漏洞是使用与特定高级持续威胁组 (APT) 相关的工具和技术实施的，”加拿大国际特赦组织表示。“领先的国际网络安全公司 Secureworks 的法医专家后来确定，‘一个由中国政府资助或指派的威胁组织’很可能是这次袭击的幕后黑手。”根据攻击者的策略、技术和程序 (TTP) 以及他们针对的信息，此次攻击与疑似中国威胁组织有关，所有这些都与中国国家黑客的已知行为和工具一致。

详情

Kali Linux 发布更新

日期: 2022-12-06
标签: 信息技术, Offensive Security, 

2022年12月6日，Offensive Security 发布了 Kali Linux 2022.4，这是 2022 年的第四个也是最后一个版本，其中包含新的 Azure 和 QEMU 映像、六个新工具以及改进的桌面体验。在此版本中，Kali Linux 使用 Linux Kernel 5.18.5。Kali Linux 是专为网络安全研究人员设计的发行版，用于针对网络执行渗透测试、安全审计和网络安全研究。在此版本中，Kali Linux 团队引入了各种新功能，包括：

• Kali Linux 发行版重返 Microsoft Azure

• 六种工具。（包括 Windows NTLM 中继工具、Windows 特权提升工具和 Hak5 的 WiFi Coconut驱动程序。）

• 发布 Kali NetHunter Pro

• Gnome 和 KDE Plasma 桌面更新

• 增强的 ARM 支持

详情

嫌犯因侵入美国网络窃取员工数据被捕

日期: 2022-12-06
标签: 美国, 信息技术, 政府部门, 信息窃取, 

2022年12月初，应美国执法当局的要求，四名涉嫌侵入美国网络窃取员工数据以窃取身份和提交欺诈性美国纳税申报单的男子已在英国伦敦和瑞典马尔默被捕。美国最近公开的四份起诉书中确定的嫌疑人是 Akinola Taylor（尼日利亚）、Olayemi Adafin（英国）、Olakunle Oyebanjo（尼日利亚）和 Kazeem Olanrewaju Runsewe（尼日利亚）。Taylor 和 Runsewe 破坏了美国公司的服务器并窃取了美国居民的个人身份信息 (PII)。美国司法部表示，为了访问这些服务器，犯罪嫌疑人从网络犯罪市场（例如现已关闭的 xDedic 市场）购买了被盗凭证。这四人因向美国国税局 (IRS) 提交虚假纳税申报以通过退税从该机构窃取资金而被指控犯有跨国电汇欺诈和身份盗用罪。

详情

俄罗斯黑客组织利用受损的医疗网络攻击乌克兰

日期: 2022-12-06
标签: 俄罗斯, 乌克兰, 信息技术, Lupovis, 网络犯罪, 俄乌战争, 

2022年12月6日，威胁情报公司 Lupovis 发布研究报告称，与俄罗斯有关联的黑客组织已经破坏了属于美国、英国、法国和其他国家/地区多个组织的系统，并利用它们对乌克兰的目标发动攻击。Lupovis 最近在互联网上部署了一组诱饵文件、Web 门户和 SSH 服务，作为研究俄罗斯针对乌克兰实体的威胁活动的一部分。目标是查明俄罗斯在乌克兰的战争在多大程度上波及到网络领域。最终研究发现这些黑客组织劫持的网络中至少有 15 家医疗机构、一家财富 500 强公司和一个大坝监控系统。Lupovis 的调查结果表明，2022年早些时候人们对俄罗斯在乌克兰发动的网络攻击影响其他国家的组织的担忧是正确的。报告称，“俄罗斯的网络攻击猛增，任何与乌克兰结盟或反对战争的国家或企业都已成为目标。”

详情

DEV-0139针对加密货币行业发起定向攻击

日期: 2022-12-06
标签: 美国, 金融业, 信息技术, 微软（Microsoft）, 加密货币, 网络犯罪, 

2022年12月6日，Microsoft 威胁情报中心 (MSTIC)发布了研究报告，称调查了一起针对加密货币投资公司的攻击。被追踪为 DEV-0139 的黑客组织利用 Telegram 聊天组将目标锁定在加密货币投资公司。DEV-0139 加入了用于促进 VIP 客户和加密货币交易平台之间交流的电报群，并从成员中确定了他们的目标。DEV-0139黑客组织在聊天组中获得了目标的信任，最终在目标网络中部署了后门。

详情

伊朗APT组织攻击中东多领域关键人物

日期: 2022-12-05
标签: 伊朗, 信息技术, 政府部门, APT35, 

2022年12月5日，人权观察组织 (HRW) 发布报告称，与伊朗政府有联系的黑客与针对在中东工作的人权活动家、记者、研究人员、学者、外交官和政治家的持续社会工程和凭据网络钓鱼活动有关。据信至少有 20 人成为目标，此次恶意活动归因于一个被追踪为APT42的组织，众所周知，该组织与Charming Kitten（又名 APT35 或Phosphorus ）存在重叠)。该活动导致属于三个目标的电子邮件和其他敏感数据遭到破坏。其中包括美国一家主要报纸的记者、驻海湾地区的妇女权利捍卫者，以及驻黎巴嫩的难民国际倡导顾问尼古拉斯·诺伊 (Nicholas Noe)。此次入侵需要访问他们的电子邮件、云存储、日历和联系人，以及通过Google Takeout以存档文件的形式泄露与其 Google 帐户相关的全部数据。

详情

大规模DDoS攻击使俄罗斯第二大银行VTB下线

日期: 2022-12-05
标签: 俄罗斯, 金融业, 政府部门, 信息技术, DDoS, 网络犯罪, 

2022年12月5日，俄罗斯第二大金融机构 VTB 银行表示，由于持续的 DDoS（分布式拒绝服务）攻击，其网站和移动应用程序被关闭。“目前，VTB 技术基础设施正遭受来自国外的前所未有的网络攻击，”VTB 发言人表示。“这不仅是今年记录到的最大规模的网络攻击，也是该银行整个历史上最大的网络攻击。”该银行表示，其内部分析表明，DDoS 攻击是有计划和精心策划的，其特定目的是通过中断银行服务给客户带来不便。目前，VTB 的在线门户网站处于离线状态，但该研究所表示，所有核心银行服务都在正常运行。 此外，VTB 表示客户数据受到保护，因为它存储在其基础架构的内部边界中，攻击者没有破坏这些数据。该银行表示，它已经确定大多数恶意 DDoS 请求都来自国外。但是，攻击中也涉及多个俄罗斯 IP 地址。有关这些 IP 地址的信息已转发给俄罗斯执法当局以进行刑事调查。

详情

微软警告俄罗斯将在冬季对欧洲发动网络攻击

日期: 2022-12-05
标签: 乌克兰, 俄罗斯, 美国, 政府部门, 信息技术, 微软（Microsoft）, 俄乌战争, 

2022年12月5日，微软警告称，整个冬季，俄罗斯支持的网络攻击将继续针对乌克兰基础设施和欧洲的北约盟国。雷德蒙德在2022年12月初发布的一份报告中表示，它观察到俄罗斯军事情报威胁组织 Sandworm 结合导弹袭击对乌克兰基础设施进行有针对性的攻击。袭击伴随着一场破坏西方（来自美国、欧盟和北约）对乌克兰的支持的宣传活动。微软表示：“我们认为，这些最近的趋势表明，世界应该为今年冬天俄罗斯在数字领域的几次潜在攻击做好准备。”

详情

SiriusXM漏洞允许黑客远程解锁并启动连接的汽车

日期: 2022-12-05
标签: 美国, 制造业, 信息技术, SiriusXM, 本田（Honda）, 日产, 英菲尼迪, 漏洞利用, 车联网安全, 

2022年12月初，网络安全研究人员发现了一个安全漏洞，通过 SiriusXM 提供的联网车辆服务，本田、日产、英菲尼迪和讴歌的汽车会受到远程攻击。研究人员 Sam Curry在Twitter 帖子中表示，只要知道车辆的车辆识别码 (VIN)，就可以利用该问题以未经授权的方式解锁、启动、定位和鸣喇叭。该漏洞与远程信息处理程序中的授权缺陷有关，该程序可以通过向 SiriusXM 端点（“telematics.net”）发送包含 VIN 号的特制 HTTP 请求来检索受害者的个人详细信息以及在车辆上执行命令).据称，北美有超过 1000 万辆汽车使用SiriusXM 的联网汽车 (CV) 服务，其中包括讴歌、宝马、本田、现代、英菲尼迪、捷豹、路虎、雷克萨斯、日产、斯巴鲁和丰田。

详情

黑客使用PRoot隔离文件系统劫持Linux设备

日期: 2022-12-05
标签: 信息技术, Linux, 

2022年12月5日，Sysdig 在一份新报告中表示，黑客在 BYOF（自带文件系统）攻击中滥用开源 Linux PRoot 实用程序，以提供可在许多 Linux 发行版上运行的一致的恶意工具存储库。自带文件系统攻击是指黑客在他们自己的设备上创建恶意文件系统，其中包含一组用于进行攻击的标准工具。 然后下载此文件系统并将其安装到受感染的机器上，提供可用于进一步危害 Linux 系统的预配置工具包。Sysdig 表示，这些攻击通常会导致加密货币挖矿，但也可能出现更有害的情况。这种新技术可以很容易地针对各种 Linux 端点扩展恶意操作。

详情

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x09   时间线

2022-12-12 360CERT发布安全事件周报