报告编号：B6-2022-050901

报告来源：360CERT

报告作者：360CERT

更新日期：2022-05-09

0x01   事件导览

本周收录安全热点91项，话题集中在恶意程序、网络攻击方面，涉及的组织有：Conti、Lazarus、宜家、APT28等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

乌克兰CERT-UA发布恶意软件JesterStealer的分析报告

日期: 2022-05-07
标签: 乌克兰, 信息技术, 乌克兰计算机应急响应小组（CERT-UA）, JesterStealer, 信息窃取, 

2022年5月7日，乌克兰政府的计算机紧急事件响应小组 CERT-UA 发布了JesterStealer 恶意软件的分析报告。JesterStealer 恶意软件使用化学攻击主题进行大规模分发并且指向带有宏的 XLS 文档的链接。一旦用户打开文档并激活宏，后者将下载并运行（从受损的 Web 资源下载的）EXE 文件，该文件随后将使用恶意程序 JesterStealer 损坏计算机。JesterStealer 恶意软件可以从 Internet 浏览器、MAIL / FTP / VPN 客户端、加密货币钱包、密码管理器、信使、游戏程序等窃取身份验证和其他数据。通过静态定义的代理地址（包括在 TOR 网络中）窃取的数据在 Telegram 中传输给攻击者。此外，JesterStealer 恶意软件还实现了反分析功能（反虚拟机/调试/沙箱）。

详情

新的树莓罗宾蠕虫(Raspberry Robin worm)使用Windows安装程序启动恶意软件

日期: 2022-05-05
标签: 信息技术, Raspberry Robin worm, Windows, 

Red Canary情报分析师发现了一种新的Windows恶意软件，该恶意软件具有蠕虫功能，可使用外部USB驱动器传播。

该恶意软件与一个名为Raspberry Robin的恶意活动集群相关联，并于2021年9月首次观察到。Red Canary的检测工程团队在多个客户的网络中检测到了该蠕虫，其中一些在技术和制造部门。树莓罗宾蠕虫传播到新的Windows系统，当一个受感染的USB驱动器包含恶意.LNK 文件已连接。一旦附加，蠕虫就会使用cmd.exe生成一个新进程，以启动存储在受感染驱动器上的恶意文件。

详情

新的NetDooka恶意软件通过PrivateLoader进行传播

日期: 2022-05-05
标签: 信息技术, NetDooka, Raccoon Stealer, RedLine, Smokeloader, Vidar, Mars Stealer, Trickbot, Danabot, Remcos, 

新的恶意软件NetDooka框架通过PrivateLoader按安装付费（PPI）恶意软件分发服务进行分发，允许威胁行为者完全访问受感染的设备。这个以前未记录的恶意软件框架具有加载程序，滴管程序，保护驱动程序和依赖于自定义网络通信协议的强大RAT组件。NetDooka的第一批样本是由TrendMicro的研究人员发现的，他们警告说，虽然该工具仍处于早期开发阶段，但它已经非常有能力。PrivateLoader PPI 服务于一年前首次被发现，并于 2022 年 2 月由 Intel471 进行分析。它是一个恶意软件分发平台，依赖于SEO中毒和上传到洪流站点的捆绑文件。据观察，它分发了各种各样的恶意软件，包括Raccoon Stealer，Redline，Smokeloader，Vidar，Mars stealer，Trickbot，Danabot，Remcos和各种其他恶意软件。

详情

研究人员将4个新型勒索软件家族与朝鲜网络军联系起来

日期: 2022-05-03
标签: 朝鲜, 韩国, 日本, 马来西亚, 金融业, 政府部门, 信息技术, APT38（Unit 180）, BEAF, PXJ, ZZZZ, CHiCHi, 勒索攻击, 

2022年5月3日，网络安全公司 Trellix 发布报告，将四个勒索软件家族（BEAF、PXJ、ZZZZ 和 CHiCHi）与朝鲜网络军 121 局 180 部队联系在一起。Trellix 表示，自 2020 年以来，该部门利用 VHD 勒索软件对亚洲各地组织发起多次勒索软件攻击。VHD 勒索软件的源代码与报告中提到的四种勒索软件有相似之处和联系。朝鲜的网络军中负责攻击全球金融系统（包括银行和加密货币交易所）的单位是 Unit 180，也称为 APT38。除了全球银行之外，来自韩国的区块链提供商和用户也受到了使用鱼叉式网络钓鱼电子邮件、虚假移动应用程序甚至虚假公司的攻击和渗透。另外也有许多针对亚太地区（例如日本和马来西亚）的勒索攻击。

详情

新的Bumblebee恶意软件在网络攻击中取代了Conti的BazarLoader

日期: 2022-04-28
标签: 信息技术, Conti, Bumblebee, BazarLoader, 

一种名为Bumblebee的新发现的恶意软件加载器可能是Conti集团的最新发展，旨在取代用于提供勒索软件有效载荷的BazarLoader后门。研究人员表示，Bumblebee在三月份网络钓鱼活动中的出现恰逢使用BazarLoader提供文件加密恶意软件的下降。Cybereason的首席威胁猎人和恶意软件逆向工程师Eli Salem表示，Bumblebee的部署技术与BazarLoader和IcedID的部署技术相同，两者都在过去部署Conti勒索软件时看到过。Proofpoint证实了Salem的发现，称他们已经观察到网络钓鱼活动，其中“Bumblebee[被]多个犯罪软件威胁行为者使用，以前观察到提供BazaLoader和IcedID。

详情

UAC-0056使用GraphSteel和GrimPlant恶意软件攻击乌克兰

日期: 2022-04-27
标签: 乌克兰, 卫生行业, 乌克兰计算机应急响应小组（CERT-UA）, EMBER BEAR（UAC-0056、Lorec53、Lorec Bear、Bleeding Bear、Saint Bear）, GraphSteel, GrimPlant, 俄乌战争, 

乌克兰CERT-UA发现了附件名为“援助请求 COVID-19-04_5_22.xls”的电子邮件，其中包含一个宏。如果宏被激活，将解码隐藏在工作表中的有效载荷，创建一个磁盘并启动Go引导加载程序。最终，将在计算机上下载并执行graphSteel和GrimPlant。电子邮件是通过乌克兰国家机构一名雇员的被入侵帐户发出的。该活动与UAC-0056的活动有关。

详情

4 月份Redline 恶意软件针利用Internet Explorer 漏洞的 10000 多次攻击

日期: 2022-04-27
标签: 金融业, 信息技术, RedLine, CVE-2021-26411, 漏洞利用, 

根据网络安全公司Bitdefender的数据，部署Redline恶意软件的黑客在4月份对150多个国家和地区的系统发起了数千次攻击。在2022年4月27日发布的一份报告中，Bitdefender表示，在今年年初，它注意到一项活动使用Internet Explorer中发现的CVE-2021-26411漏洞来提供RedLine Stealer，这是一种在地下论坛上出售的低成本密码窃取器。RedLine允许攻击者访问系统信息，如用户名，硬件，安装的浏览器和防病毒软件，然后将密码，信用卡，加密钱包和VPN登录泄露到远程命令和控制服务器。借助RedLine Stealer，黑客可以从Web浏览器，FTP客户端，电子邮件应用程序，即时消息客户端和VPN中提取登录凭据，然后再在地下市场上出售。

详情

美国牙科协会受到新的Black Basta勒索软件的打击

日期: 2022-04-26
标签: 美国, 卫生行业, 美国牙科协会（ADA）, Black Basta, 数据泄露, 

2022年4月22日，美国牙科协会（ADA）遭受了网络攻击，迫使他们使受影响的系统脱机，这扰乱了各种在线服务，电话，电子邮件和网络聊天。ADA是一个牙医和口腔卫生倡导协会，为其175，000名成员提供培训，研讨会和课程。2022年4月26日，一个名为Black Basta的新勒索软件团伙声称对美国牙科协会的袭击事件负责，并已经开始泄露据称在ADA攻击期间被盗的数据。

详情

LAZARUS组织的新恶意软件

日期: 2022-04-25
标签: 韩国, 政府部门, 科研服务, 商务服务, Lazarus, APT舆情, C2, 

2022年第一季度，AHNLAB ASEC分析团队正在监测大约47家公司和机构（包括国防承包商）感染LAZARUS组织的恶意软件的情况。受影响的公司已被确定为由INITECH进程（inisafecrosswebexsvc.exe）引起的恶意活动。几天前，赛门铁克的博客上提到了同样的恶意软件。LAZARUS的攻击似乎正在扩大到包括韩国国防和化学品等主要行业。

详情

黑客将“More_Eggs”恶意软件放入求职简历中

日期: 2022-04-25
标签: 美国, 英国, 信息技术, 商务服务, LinkedIn, Golden Chickens, More_Eggs, 

近日，在求职网站LinkedIn上检测到一系列带有“More_Eggs”恶意软件的网络钓鱼攻击，以虚假简历作为感染媒介攻击企业招聘主管。据加拿大网络安全公司称，目前已确定并破坏了四起相关的安全事件，分别包含美国航空航天公司、英国会计师事务所、律师事务所和一家招聘机构。“More_Eggs”恶意软件被认为是由Golden Chickens黑客组织创建的，它是一种隐秘的模块化后门套件，能够窃取敏感数据并在被黑网络中进行横向移动。目前尚不清楚攻击者的目的是什么。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

宜家加拿大分公司数据泄露影响95000名客户

日期: 2022-05-06
标签: 加拿大, 批发零售, 宜家, 

宜家表示，在涉及约95000名客户的个人信息的大型数据泄露事件后，它已通知加拿大的隐私监管机构。这家家具零售商在一份声明中表示，其部分客户的个人信息出现在3月1日至3日期间，加拿大宜家的一名同事使用宜家客户数据库进行的“通用搜索”结果中。宜家透露，此次违规行为不涉及任何财务或银行信息。

详情

匿名者泄露82GB针对澳大利亚离岸拘留的警方电子邮件

日期: 2022-05-02
标签: 澳大利亚, 政府部门, Anonymous（匿名者）, 

2022年5月2日星期一，匿名者发布了价值82GB的电子邮件，显然属于瑙鲁警察部队。据匿名者称，数据泄露是为了抗议岛当局代表澳大利亚政府对寻求庇护者和难民进行虐待的指控。瑙鲁是澳大利亚东北部密克罗尼西亚的一个小岛国，以被澳大利亚用作离岸难民拘留中心以换取援助而闻名。

正如 Hackread.com 所看到的，泄露的电子邮件总数为285635封，可通过“Enlace Hacktivista”的官方网站直接下载，该平台旨在“记录黑客历史”。在一份声明中，匿名者解释说，泄露的机密电子邮件包含与瑙鲁警察部队和澳大利亚政府试图掩盖的滥用行为有关的细节。

详情

Google Play Store现强制应用程序披露所收集的数据

日期: 2022-04-26
标签: 美国, 信息技术, 谷歌（Google）, Google Play Store, 用户隐私, 

2022年4月26日，谷歌正在 Android 的官方应用程序存储库 Play Store 上推出一个新的数据安全部分：开发人员必须在其中声明他们的软件从其应用程序的用户那里收集了哪些数据，以及与第三方共享的数据，并且还需阐明用户是否可以随时要求删除其数据。开发人员可以从2022年4月26日开始声明如何使用收集的数据，完成提交的截止日期是 2022年7月20日。由于在 Google Play 上发现了大量的诈骗应用、恶意软件和高利贷应用，这个新的数据安全部分不仅对 Android 用户有用，而且还允许 Google 更快地找到违反政策的不法分子。

详情

俄罗斯月球任务资源的文件泄露

日期: 2022-04-25
标签: 俄罗斯, 科研服务, Anonymous（匿名者）, 俄乌战争, 

2022年4月25日，推特账号@PucksReturn发表推文称：匿名者泄露了俄罗斯月球任务资源的文件，该文件揭示了将于 2025 年发射的 Luna-27 任务的通信技术，并附上下载链接（Gofile - 免费的文件共享和存储平台）。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

APT28使用CredoMap_v2恶意软件攻击乌克兰

日期: 2022-05-08
标签: 乌克兰, 政府部门, 乌克兰计算机应急响应小组（CERT-UA）, APT28（Fancy Bear）, CredoMap_v2, 

乌克兰CERT-UA收到了一封伪装成CERT-UA发送的主题为“网络攻击”的电子邮件，附件是受密码保护的RAR压缩文档“UkrScanner.rar”。可以确定，上述压缩文档包含同名的SFX文件，而SFX文件又包含CredoMap_v2恶意程序，此版本与上一个版本的区别在于使用HTTP协议进行数据渗漏。通过HTTP POST请求，窃取的身份验证数据被发送到部署在Pipedream平台上的Web资源。该活动与APT28组织的活动有关。

详情

推陈出新，蔓灵花组织攻击模块再升级

日期: 2022-05-06
标签: 信息技术, 蔓灵花, 远程控制, 信息窃取, 

近期，微步在线捕获一起蔓灵花组织的攻击活动，并发现一批蔓灵花组织所使用的攻击模块，经过快速分析，得到如下结论：

• 获取到的多个攻击模块大部分拥有两个版本，一个版本为已知的蔓灵花攻击活动所曝光的模块，一个版本为未知的新版本；

• 攻击载荷中包含“信息窃取”、“远控”、“键盘记录”多种功能模块；

• 攻击者在部分攻击模块中的 HTTP 请求中，在 Host 字段中使用国内的地址，绕过部分流量检测的规则；

• 对当前样本提取了 C2，并进行了拓线分析，发现了攻击者背后的当前的其他资产，建议利用内部安全设备直接进行阻断。

详情

法拉利子域被劫持以推出假冒的法拉利NFT系列

日期: 2022-05-05
标签: 美国, 制造业, 交通运输, Ferrari, 网络欺诈, NFT, 加密货币, 

2022年5月5日，研究人员报告发现汽车品牌Ferrari 的一个子域 forms.ferrari.com 托管虚假 NFT（非同质代币）的欺诈活动。NFT是存储在加密货币区块链上的数据，以数字证书签名证明其唯一性和不可复制性。而就在2021年，法拉利宣布计划与科技公司 Velas 合作推出NFT产品，这增加了此次欺诈活动的“可靠性”。此次加密货币欺诈活动诱名为“Mint your Ferrari”，诱使访问者购买 NFT 代币。攻击者利用 Adobe Exeprience Manager 漏洞入侵了forms.ferrari.com子域并托管他们的加密货币欺诈活动，到目前为止已经收集了 800 多美元的资金。NFT 诈骗和盗窃呈上升趋势，并且是最新形式的加密货币欺诈之一。

详情

英国国家卫生局遭遇大规模网络钓鱼活动

日期: 2022-05-06
标签: 英国, 政府部门, 卫生行业, 英国国家卫生服务局 (NHS), 网络钓鱼, NHSMail, 

数月来，英国国家卫生服务局 (NHS) 遭受了一场大规模的网络钓鱼活动，黑客一直在使用 NHS 官方账户向第三方发送网络钓鱼电子邮件。在2021年10月至2022年3月之间，美国安全公司INKY检测到来自 NHSMail 的 1,157 封网络钓鱼电子邮件，NHSMail 是面向英格兰和苏格兰员工的 NHS 电子邮件系统。2021年，NHSMail服务从本地安装更改为 Microsoft Exchange Online。这种安全变化可能是攻击的一个因素。INKY 已于 4 月 13 日向 NHS 报告，到 4 月 14 日，随着 NHS 采取措施遏制袭击，该机构的袭击数量急剧下降。凭据收集和劫持帐户在恶意活动中发挥着关键作用。建议电子邮件用户在发送和打开附件之前始终仔细检查发件人的电子邮件地址。

详情

Operation CuckooBees: 针对亚洲、欧洲和北美的技术和制造公司的攻击活动

日期: 2022-05-05
标签: 亚洲, 欧洲, 北美, 信息技术, Winnti, 

2021年，Cybereason Nocturnus事件响应团队调查了针对亚洲、欧洲和北美的技术和制造公司的多个攻击行动。根据调查结果，这些攻击背后的目标似乎是窃取敏感的知识产权并用于网络间谍活动。Cybereason以中高的置信度评估，攻击背后的威胁组织是Winnti Group，也称为APT41、Blackfly和BARIUM。

详情

NOBELIUM使用SOLARDEFLECTION C2基础设施

日期: 2022-05-05
标签: 俄罗斯, 政府部门, 

Recorded Future的Insikt Group继续监控俄罗斯国家赞助的网络间谍活动，这些活动针对多个地理区域的政府和私营部门组织。从2021年年中开始，Insikt Group跟踪的NOBELIUM基础设施的使用稳步上升，称为SOLARDEFLECTION，其中包括命令和控制（C2）基础设施。本报告重点介绍了Insikt Group监控SOLARDEFLECTION基础设施及其攻击行动中反复使用仿冒域名时观察到的趋势。

详情

针对专注于企业发展、并购和大型企业交易员工的新APT组织UNC3524

日期: 2022-05-05
标签: 信息技术, Mandiant, UNC3524, 邮件钓鱼, 

Mandiant发现了一个可疑的间谍威胁组织UNC3524，迄今为止，它主要针对专注于企业发展、并购和大型企业交易员工的电子邮件。从表面上看，它针对参与公司交易的个人表明了一种财务动机。然而，该组织长时间驻留而不被发现的能力表明，这是间谍任务。UNC3524也非常重视持久性。每当受害者环境删除他们的访问权限时，该组织都会毫不浪费时间地使用各种机制重新入侵环境，立即重新启动其数据盗窃活动。

详情

UNC2903最新攻击活动

日期: 2022-05-05
标签: 信息技术, 亚马逊（Amazon ）, UNC2903, 

自2021年7月以来，Mandiant发现UNC2903利用面向公众的Web应用程序的漏洞，使用Amazon的IMDS收集和滥用凭据。Mandiant跟踪了UNC2903使用被盗凭据访问S3和其他云资源的活动。本篇报告介绍了UNC2903如何进行漏洞利用和滥用IMDS，以及与云加固技术相关的最佳实践。

详情

俄罗斯黑客Killnet在大选期间攻击法国总统的竞选网站

日期: 2022-05-05
标签: 乌克兰, 俄罗斯, 法国, 政府部门, Killnet, 俄乌战争, 

一群俄罗斯黑客已经入侵了多数法国的政党网站。据他们说，这次行动是对法国总统伊曼纽尔·马克龙对乌克兰的援助的报复。黑客组织Killnet 专门针对俄罗斯的公敌进行普通计算机干扰。2022年3月3日，黑客组织Killnet在“俄罗斯网络军”的Telegram 频道上宣称关闭了 En-marche.fr 网站。在第一轮总统选举两天后，黑客组织Killnet于2022年4月12日针对 en-marche.fr 发起了新的DDOS攻击。2022年4月初，国际网络犯罪调查组织 Cyberpol 成为黑客组织Killnet DDOS 行动的目标。2022年4月25日至5月1日，罗马尼亚政府网站、立陶宛和罗马尼亚机场因军事支持乌克兰而成为攻击目标。俄罗斯也遭受了来自乌克兰 IT 军队的网络攻击，乌克兰IT军队军队于 5 月 4 日使大约 20 个俄罗斯站点瘫痪。

详情

澳大利亚警方试图关闭冰岛数据泄露网站未果

日期: 2022-05-05
标签: 澳大利亚, 冰岛, 瑙鲁, 政府部门, FlokiNET, Enlace Hactivista, ACAB, 

本周，澳大利亚联邦警察局的一名调查员要求一家冰岛托管公司FlokiNET关闭一个专门记录黑客历史、共享信息安全教育资源和发布黑客材料的网站Enlace Hactivista。网站 Enlace Hactivista 早些时候发表了一份黑客的声明，他们的首字母缩写词为“ACAB”（所有网络警察都是混蛋），他们声称已经从瑙鲁警察部队窃取了近 286,000 封电子邮件。在 ACAB 黑客攻击之后，更多电子邮件被泄露。冰岛的一名高级警官表示，黑客的攻击目标是澳大利亚政府，旨在攻击瑙鲁的离岸处理中心（澳大利亚处理庇护申请的离岸地点），从而对澳大利亚即将在5月21日举行的大选造成损害。

详情

乌克兰的 IT 军队正在扰乱俄罗斯的酒类供应链

日期: 2022-05-05
标签: 乌克兰, 俄罗斯, 批发零售, EGAIS, 乌克兰IT军队, DDoS, 俄乌战争, 供应链, 

乌克兰IT军队将他们的 DDoS 攻击集中在EGAIS (ЕГАИС) 门户网站上，该门户网站对俄罗斯的酒精饮料分销至关重要。DDoS（分布式拒绝服务）攻击是通过大量垃圾流量和虚假请求压倒服务器的集体努力，使它们无法为合法访问者提供服务。据多家俄罗斯媒体报道，一些伏特加酒生产商和分销商声称无法按照政府法规的要求访问 EGAIS。因此，酒精饮料到零售点的运输和配送在过去几天遭受了巨大损失，增加了货架实际短缺的风险。2022年5月4日，俄罗斯许多工厂决定完全停止向仓库发货，随后又降低了生产速度，因为他们的产品已全是未发货且不能再生产了。据统计，这已不是第一次针对俄罗斯内部产品供应链的攻击了，这些攻击旨在造成供应链中断甚至可能出现资源短缺。

详情

西班牙国家情报中心承认非法侵入部分手机

日期: 2022-05-05
标签: 西班牙, 政府部门, 西班牙国家情报中心（CNI）, Pegasus（飞马间谍软件）, 

2022年5月5日，西班牙国家情报中心（CNI）主任承认，其机构已经侵入了数十名政客中的“一些”的手机，但表示其有适当的司法授权。但西班牙政府一再表示，未经事先司法授权，CNI 不能窃听电话。但由于有保护所有 CNI 活动的保密法，目前还不能确认CNI是否拥有以色列公司 NSO 集团出售的间谍软件 Pegasus。2022年5月5日，国际特赦组织谴责在几个国家使用 Pegasus 间谍软件，要求西班牙提高透明度。

详情

APT29针对欧洲、美洲和亚洲外交组织的网络钓鱼活动

日期: 2022-05-04
标签: 政府部门, Mandiant, APT29, 

从2022年1月中旬开始，Mandiant检测并响应了APT29针对外交实体的网络钓鱼活动。在调查期间，Mandiant确定了BEATDROP和BOOMMIC下载器的部署和使用。在确定此活动后不久，Mandiant又发现APT29针对多个其他外交和政府实体的网络钓鱼活动。APT29发送的网络钓鱼电子邮件伪装成与各个大使馆相关的行政通知，使用合法但指定的电子邮件地址发送邮件并利用Atlassian的Trello服务进行C2通信。

详情

俄罗斯勒索软件组织声称袭击了保加利亚难民所

日期: 2022-05-04
标签: 乌克兰, 俄罗斯, 保加利亚, 政府部门, 国际组织, 保加利亚难民所, LockBit 2.0, 俄乌战争, 

2022年5月4日，与俄罗斯有密切联系的勒索软件组织LockBit 2.0表示，它将公布其从负责难民管理的保加利亚政府机构获取的文件。目前，该机构的网站仍然正常运行，但该网站主页上包含一条“由于网络问题，部长理事会国家难民署的电子地址暂时无法使用！！！”的通知。据报道，保加利亚政府收容了230万逃离的乌克兰人。LockBit 是 2019 年 9 月首次发现的勒索软件变体，在2021年6月，黑客推出了“LockBit 2.0”，加密和数据泄露速度加快。这也不是第一次针对试图帮助乌克兰难民的官员的网络攻击。与其他主要的勒索软件一样，据信 LockBit 背后有一个核心团队与“附属机构”合作，后者保留了 70% 到 80% 的勒索软件收益。

详情

俄罗斯网络间谍用新的恶意软件攻击外交官

日期: 2022-05-03
标签: 俄罗斯, 政府部门, Mandiant, 俄罗斯对外情报局（SVR）, APT29, BEATDROP, BOOMMIC, 

Mandiant的研究人员已观察到俄罗斯网络间谍组织 APT29 在针对欧洲、美洲和亚洲外交组织的网络钓鱼活动中使用新的恶意软件和技术。APT29 也被称为 Cozy Bear、Dukes 和 Yttrium，据信由俄罗斯外国情报局 (SVR) 赞助，并策划了2020 年 SolarWinds 攻击，导致数百个组织遭到入侵。此次网络钓鱼攻击中的电子邮件针对大量收件人，主要是大使馆人员。恶意邮件带有 ROOTSAW HTML 释放器，该释放器会将 IMG 或 ISO 文件写入磁盘。这些攻击使用了新的恶意程序BEATDROP 和 BOOMMIC，并滥用合法服务（例如 Atlassian 的 Trello、Firebase 和 Dropbox）来实现命令和控制 (C&C) 功能。APT29 还采用多种技术来提升权限，包括利用配置错误的证书模板来冒充管理员用户。Mandiant 认为，这些攻击的目的是为目标环境建立“多种长期访问方式”，并从全球各个政府实体收集外交和外交政策信息。

详情

Stonefly继续对工程公司进行网络间谍攻击

日期: 2022-04-28
标签: 交通运输, 能源业, 政府部门, VMware, Stonefly（DarkSeoul/Operation Troy/Silent Chollima /BlackMine）, CVE-2021-44228, 漏洞利用, 

与朝鲜有关的Stonefly组织正在继续对高度专业化的工程公司进行间谍攻击，其目的可能是获得敏感的知识产权。Stonefly专门针对目标进行针对性攻击，这些攻击可以产生情报，以协助能源、航空航天和军事装备等具有战略重要性的部门。Symantec最近发现的攻击是针对一家在能源和军事领域工作的工程公司。攻击者于2022年2月入侵了该组织，很可能是通过利用面向公众的VMware View服务器上的Log4j漏洞（CVE-2021-44228）。然后，攻击者通过横向移动破坏了其他18台计算机。

详情

法国光缆遭受攻击，扰乱其互联网服务

日期: 2022-04-27
标签: 法国, 信息技术, 法国电信公司, 

2022年4月27日，法国电信公司称发现大规模协同攻击针对为法国互联网供电的光缆。此次事件扰乱了整个法国的互联网服务，目前法国内部情报部门已介入调查，尚不清楚背后的攻击者。美国CISA官员表示，随着社会进入混合战争——这意味着物理战场上的战争与信息和网络战相结合——专注于更好地保护光纤电缆等关键基础设施将变得至关重要。

详情

去中心化金融（DeFi）平台 Deus Finance证实遭受“闪电贷攻击”

日期: 2022-04-28
标签: 美国, 金融业, 信息技术, Deus Finance, 闪电贷攻击, 去中心化金融（DeFi）, 加密货币, 闪电贷, 

2022年4月27日，去中心化金融（DeFi）平台 Deus Finance遭受“闪电贷攻击”。2022年4月28 日，Deus Finance证实遭受了此次攻击。闪电贷攻击涉及黑客借入不需要抵押品的资金，购买大量加密货币以人为提高其价格，然后卸载代币。贷款被偿还，借款人保留任何利润。此次攻击中，黑客可能还利用了 Solidly 加密交换平台上的0day漏洞。攻击者窃取了价值约 1340 万美元的加密货币，而平台的实际损失约合 1570 万美元。目前，闪电贷攻击已成为黑客攻击 DeFi 平台的最流行方式之一。

详情

Mandiant正式将SolarWinds黑客与APT29联系起来

日期: 2022-04-27
标签: 信息技术, 俄罗斯对外情报局（SVR）, Mandiant, SolarWinds, APT29, 

Mandiant已经收集了足够的证据来评估跟踪为UNC2452的活动，用于跟踪2020年12月SolarWinds妥协的组名称，可归因于APT29。这一结论与美国政府此前发表的归因声明相符，即SolarWinds供应链妥协是由APT29进行的，APT29是一个总部位于俄罗斯的间谍组织，据评估由俄罗斯对外情报局（SVR）赞助。评估基于Mandiant收集的第一手数据，是对UNC2452的广泛比较和审查以及对APT29的详细知识的结果。

详情

乌克兰受到来自被黑的WordPress网站的DDoS攻击

日期: 2022-04-28
标签: 乌克兰, 政府部门, 信息技术, 乌克兰计算机应急响应小组（CERT-UA）, DDoS, 俄乌战争, 

乌克兰计算机应急响应小组 (CERT-UA) 发布公告，警告针对亲乌克兰网站和政府门户网站的持续 DDoS（分布式拒绝服务）攻击。未知黑客正在破坏 WordPress 网站并注入恶意 JavaScript 代码来执行攻击。这些脚本放置在网站主要文件的 HTML 结构中，并采用 base64 编码以逃避检测。CERT-UA 正在与乌克兰国家银行密切合作，以实施针对 DDoS 攻击的防御措施。目前，至少有 36 个已确认的网站正在向目标 URL 发送恶意垃圾请求，CERT-UA已将情况通知了受感染网站的所有者、注册商和托管服务提供商，并提供了检测说明与工具。

详情

Lazarus组织针对韩国用户的攻击活动

日期: 2022-04-27
标签: 韩国, 金融业, KRNIC（韩国互联网信息中心）, 韩国安全供应商（如Ahnlab）, Binance, Lazarus, 

Zscaler的ThreatLabz研究团队一直在密切关注针对韩国用户的活动。该攻击者已经活跃了一年多，并继续发展其战术、技术和过程（TTP）。ThreatLabz非常有信心地认为，攻击者与Lazarus组织有关。在2021年，这个攻击者使用的主要攻击媒介是通过电子邮件进行的网络钓鱼攻击。2022年，同一攻击者开始欺骗韩国的各种重要实体，包括KRNIC（韩国互联网信息中心），韩国安全供应商（如Ahnlab），加密货币交易所（如Binance）等。尽管该攻击者的TTP随着时间的推移而发展，但其基础设施中的关键部分被重用，从而使ThreatLabz能够以高可信度关联攻击并进行威胁归因。

详情

APT-C-36（盲眼鹰）针对哥伦比亚国家攻击简报

日期: 2022-04-27
标签: APT-C-36, 

APT-C-36（盲眼鹰），是一个疑似来自南美洲的、主要针对哥伦比亚的APT组织，该组织自2018年持续发起针对哥伦比亚的攻击活动。近期，360高级威胁研究院监测到了多次该组织针对哥伦比亚国家发起的钓鱼邮件定向攻击，通过样本内部解密算法关联，判断两次行动都归属于盲眼鹰组织，在这两次攻击行动中，样本都经过层层解密释放，加大了传统查杀的难度。APT-C-36经常使用鱼叉攻击，通过伪装成政府部门对受害者发送钓鱼邮件，报告中涉及的两次行动都采用了邮件投递第一阶段的载荷。第一次行动伪装DHL包裹投递，主题使用出货通知单来迷惑中招目标；第二次投递伪装成政府邮件，发送伪装成pdf文件的恶意文档。盲眼鹰一直对哥伦比亚的政府部门保持高度的关注，自身也会伪装成相关部门进行邮件投递，同时仿冒政府网站进行钓鱼攻击。

详情

黑客组织Anonymous入侵多个俄罗斯实体

日期: 2022-04-28
标签: 俄罗斯, 政府部门, 金融业, 制造业, 能源业, Elektrocentromontazh (ECM), 彼得堡社会商业银行, 国有企业莫斯科电力局, 莫斯科政府能源部, 新沃罗涅日、库尔斯克和斯摩棱斯克核电站, Anonymous（匿名者）, NB65, 俄乌战争, 

2022年4月28日，黑客组织Anonymous称现已入侵并发布了近 1000 万份俄罗斯文件和电子邮件（不包括数据库）。2022年4月27日，Anonymous入侵并且窃取了俄罗斯电气设备公司Elektrocentromontazh (ECM) 123 万封电子邮件（1.7 TB 数据）。影响了新沃罗涅日、库尔斯克和斯摩棱斯克核电站、俄罗斯铁路股份公司、国有企业莫斯科电力局、莫斯科政府能源部等。2022年4月26日，Anonymous附属机构NB 65入侵并窃取了彼得堡社会商业银行的 229,000 封电子邮件和 630,000 个文件，该银行是俄罗斯净资产前 100 家银行之一。

详情

Cloudflare检测到针对加密平台的最大DDoS攻击之一

日期: 2022-04-27
标签: 信息技术, Cloudflare, Hetzner Online GmbH, Azteca Comunicaciones Colombia（ASN 262186）, 法国OVH（ASN 16276）, 恶意攻击, 

2022年4月27日，互联网基础设施公司Cloudflare表示，它缓解了迄今为止记录的最大容量分布式拒绝服务（DDoS）攻击之一。Cloudflare表示，它本月早些时候检测并缓解了每秒1530万次请求（rps）的DDoS攻击，使其成为有史以来最大的HTTPS DDoS攻击之一。容量耗尽型DDoS攻击与传统带宽DDoS攻击不同，在传统带宽DDoS攻击中，攻击者试图耗尽并堵塞受害者的互联网连接带宽。相反，攻击者专注于向受害者的服务器发送尽可能多的垃圾HTTP请求，以占用宝贵的服务器CPU和RAM并阻止合法用户使用目标站点。

详情

不法分子冒充俄罗斯政府对东欧电信公司进行网络钓鱼攻击

日期: 2022-04-27
标签: 俄罗斯, 乌克兰, 东欧, 政府部门, 信息技术, Hive0117, DarkWatchman, 邮件钓鱼, 俄乌战争, RAT, 

近日，疑似是Hive0117的黑客组织正在冒充俄罗斯政府机构进行针对东欧国家实体的网络钓鱼活动。这些网络钓鱼电子邮件假装来自俄罗斯政府的联邦执法局，并以俄语编写，收件人是立陶宛、爱沙尼亚和俄罗斯的电信服务提供商和工业公司。恶意电子邮件的最终目标是将DarkWatchman 恶意软件的副本放到受害者的计算机上，这是一种带有 C# 键盘记录器的轻量级、隐秘的 JavaScript RAT（远程访问工具）。DarkWatchman 之前曾与俄罗斯威胁行为者有联系，主要针对他们本国的组织。目前，研究人员认为Hive0117 不隶属于俄罗斯 APT，虽然此次黑客组织Hive0117 的网络钓鱼活动的目标与俄罗斯入侵乌克兰有区域关联，但该活动早于俄乌战争，这表明它们与任何引发近期犯罪活动浪潮的政治关联组织是分开的。

详情

与朝鲜有关的黑客组织Stonefly进行间谍行动打击高价值目标

日期: 2022-04-27
标签: 朝鲜, 能源业, 科研服务, 政府部门, Stonefly（DarkSeoul/Operation Troy/Silent Chollima /BlackMine）, Preft, 3proxy, WinSCP, Invoke-TheHash, infostealer, 间谍活动, 

2022年4月27日，赛门铁克的安全研究人员表示，与朝鲜有关的黑客组织Stonefly继续对高度专业化的工程公司发动间谍攻击，其目标可能是获得敏感的知识产权。Stonefly 专门针对目标发起高度选择性的针对性攻击，这些目标可以产生情报，以协助能源、航空航天和军事设备等具有战略意义的部门。Stonefly在2022年2月份入侵了一家在能源和军事领域工作的工程公司，疑似使用的是VMware View 服务器上使用Log4j 漏洞。在入侵系统后，Stonefly入侵了其他 18 台计算机，安装了新版本的“Preft”后门，并传播了用于恶意用途的开源工具，包括3proxy、WinSCP 和 Invoke-TheHash。以此同时，Stonefly还部署了似乎是定制开发的信息窃取器infostealer。

详情

可口可乐调查其数据泄露和盗窃事件

日期: 2022-04-26
标签: 美国, 俄罗斯, 乌克兰, 批发零售, 制造业, 可口可乐公司（Coca-Cola）, Stormous, 俄乌战争, 

2022年4月26日，全球最大的软饮料制造商可口可乐公司（Coca-Cola）声明，知晓有关其网络遭到网络攻击的报道，目前正在调查这些说法。2022年4月24日，黑客组织Stormous称其成功入侵可口可乐公司的部分服务器并窃取了 161GB 数据，并在他们的泄密网站上列出了待售数据的缓存，勒索1.65 比特币（约64,000 美元）。尽管黑客组织Stormous声称自己是一个勒索软件组织，但目前没有迹象表明他们正在受害者网络上部署文件加密恶意软件。黑客组织Stormous还表示在俄乌冲突中支持乌克兰立场，并且将对俄罗斯进行网络攻击行动。

详情

数据泄露事件扰乱英国军队征兵

日期: 2022-04-26
标签: 英国, 政府部门, 英国陆军总部, 

2022年3月14日，英国陆军总部被告知有关潜在陆军候选人数据的信息泄露，包含与 124 名100 多名新兵的个人数据，他们的账户已于3月13日被非法访问，随即便关闭了英国陆军的在线招聘门户网站。2022年3月21日，英国国防部向英国负责数据保护的机构信息专员办公室 (ICO) 提交了正式的违规通知。数据泄露后至今，英国陆军的在线招聘门户网站仍然处于离线状态，尚未恢复。

详情

法国医院遭遇勒索攻击

日期: 2022-04-26
标签: 法国, 卫生行业, GHT Cœur Grand Est, Vitry-le-François, Saint-Dizier, 勒索攻击, 数据泄露, 

2022年4月26日，法国医院集团GHT Cœur Grand Est遭受了勒索攻击，被迫切断两个地点Vitry-le-François和Saint-Dizier医院互联网连接。在勒索组织窃取数据之后，医院并不打算支付130万美元赎金的要求，该医院表示包括电子病历在内的内部IT系统没有受到影响，患者继续接受高质量的护理，该事件将需要数周或数月才能完全修复

详情

疑似印度蔓灵花组织通过巴基斯坦政府机构作为跳板攻击孟加拉国

日期: 2022-04-26
标签: 孟加拉国, 巴基斯坦, 信息技术, 蔓灵花, APT舆情, C2, 

近期安恒安全数据部猎影实验室捕获到多个疑似蔓灵花组织利用得到权限的巴基斯坦、孟加拉国政府邮箱发起的网络攻击活动样本。该批样本无论在攻击手法或者武器代码等方面都与该组织此前的攻击活动极为相似，延续了其一贯的攻击特征。另外，其中一处回连域名使用了中文拼音，疑似伪装为我国进行攻击。虽然此次攻击是针对孟加拉，但也不排除存在针对国内的攻击行动，可能需要排查是否也有可能存在攻击国内的情况。

详情

俄乌战争以来，三家德国风能公司接连遭受网络攻击

日期: 2022-04-25
标签: 德国, 俄罗斯, 能源业, Deutsche Windtechnik AG, Nordex SE, Enercon GmbH, Conti, 俄乌战争, 

自俄乌战争开始以来，三家总部位于德国的风能公司都遭受了网络攻击。2022年4月，专门从事风力涡轮机维护的 Deutsche Windtechnik AG遭到黑客攻击，导致德国约 2,000 台风力涡轮机的远程控制系统关闭了大约一天。2022年3月31日，涡轮机制造商 Nordex SE 遭到勒索软件组织 Conti网络攻击，迫使其关闭了信息技术系统。2022年2月，涡轮机制造商的 Enercon GmbH遭到网络攻击，这次攻击摧毁了 Enercon 的 5,800 台风力涡轮机的远程控制。据安全专家称，针对工业设备的严重网络攻击并不常见，需要大量知识才能做好准备。虽然被攻击的公司没有公开将黑客攻击归咎于特定的犯罪集团或国家，目前俄罗斯国家黑客受到怀疑，俄罗斯一直否认它发动了网络攻击。

详情

朝鲜APT37 使用新型恶意软件瞄准记者

日期: 2022-04-25
标签: 美国, 韩国, 朝鲜, 文化传播, 政府部门, NK News, APT37（Ricochet Chollima）, Goldbackdoor, 邮件钓鱼, 

朝鲜APT组织 APT37 利用新型恶意软件Goldbackdoor针对专门研究朝鲜信息的记者。近日，美国新闻网站NK News （报道朝鲜新闻）发现一起网络钓鱼攻击传播事件，其中就有恶意软件Goldbackdoor。网络钓鱼电子邮件源自韩国国家情报局 (NIS) 前局长的账户，该账户曾被 APT37 入侵。APT37 黑客组织又名 Ricochet Chollima，据信是由朝鲜政府赞助的。朝鲜政府将新闻报道视为一种敌对行动，并试图利用这次攻击来获取高度敏感的信息并可能识别记者的来源。

详情

伊朗挫败了对其公共服务的网络攻击

日期: 2022-04-25
标签: 伊朗, 政府部门, 

2022年4月25日，伊朗国家电视台表示，当局已经挫败了大规模的网络攻击，这些攻击旨在针对100 多个公共部门机构基础设施。伊朗政府没有详细说明或列举公共部门机构、组织或服务的具体例子，但表示这些事件发生在最近几天。此次攻击背后的黑客使用荷兰、英国和美国的互联网协议进行攻击。

详情

黑客组织Anonymous入侵俄罗斯报关行

日期: 2022-04-25
标签: 俄罗斯, 政府部门, 交通运输, ALET, Anonymous（匿名者）, 俄乌战争, 

2022年4月25日，黑客组织Anonymous入侵了俄罗斯燃料和能源行业公司的报关行ALET（负责俄罗斯处理煤炭、原油、液化气和石油产品的出口和报关），并窃取超过 100 万封电子邮件，数据量为 1.1 TB。黑客组织Anonymous 还宣布，未来几天还将公布来自俄罗斯组织的更多数据。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

QNAP 发布 9 个影响 NAS 设备的新漏洞的固件补丁

日期: 2022-05-06
标签: 中国台湾, 制造业, QNAP, CVE-2022-27588, CVE-2021-38693, CVE-2021-44051, CVE-2021-44052, CVE-2021-44053, CVE-2021-44054, CVE-2021-44055, CVE-2021-44056, CVE-2021-44057, 

2022年5月6日，台湾网络储存设备制造商 QNAP 发布安全更新，以修补九个安全漏洞，包括一个可能被利用来接管受影响系统的关键问题。“据报道，漏洞会影响运行 QVR 的 QNAP VS Series NVR，”QNAP 在一份公告中说。“如果利用此漏洞，会允许远程攻击者运行任意命令。该漏洞被跟踪为 CVE-2022-27588（CVSS 评分：9.8），已在 QVR 5.1.6 内部版本20220401及更高版本中得到解决。除了该漏洞，还包含：CVE-2021-38693；CVE-2021-44051；CVE-2021-44052

；CVE-2021-44053；CVE-2021-44054；CVE-2021-44055；CVE-2021-44056；CVE-2021-44057。

详情

Aruba 和 Avaya 网络交换机中的 RCE 漏洞

日期: 2022-05-03
标签: 信息技术, Aruba, Avaya, CVE-2022-23677, CVE-2022-23676, CVE-2022-29860, CVE-2022-29861, 

安全研究人员在Aruba（惠普拥有）和Avaya（由ExtremeNetworks拥有）的网络设备中发现了五个漏洞，这些漏洞可能允许恶意行为者在设备上远程执行代码。在 Aruba 上，NanoSSL 用于 Radius 身份验证服务器和强制门户系统。它的实现方式可能导致攻击者数据堆积溢出，跟踪为CVE-2022-23677和CVE-2022-23676。在Avaya上，库实现引入了三个缺陷，一个是TLS重组堆溢出（CVE-2022-29860），一个是HTTP标头解析堆栈溢出（CVE-2022-29861），另一个是HTTP POST请求处理溢出。

详情

Cisco修补了安全产品中的11个高严重性漏洞

日期: 2022-04-27
标签: 信息技术, 思科（Cisco）, CVE-2022-20746, CVE-2022-20760, CVE-2022-20715, CVE-2022-20745, CVE-2022-20757, CVE-2022-20767, CVE-2022-20751, CVE-2022-20737, CVE-2022-20742, CVE-2022-20743, 

2022 年 4 月 27 日，思科发布其 2022 年 4 月针对思科自适应安全设备 (ASA)、Firepower 威胁防御 (FTD) 和 Firepower 管理中心 (FMC) 的安全公告。此次公告中描述了 Cisco ASA、FMC 和 FTD 中的 19 个漏洞，其中 11 个被评估为高严重性漏洞。其中最严重的是 CVE-2022-20746（CVSS 得分为 8.8），这是一个 FTD 安全漏洞，由于 TCP 流未得到正确处理而存在，并且可以在没有身份验证的情况下被远程利用以导致拒绝服务 (DoS)健康）状况。目前还未发现这些漏洞有在野利用。

详情

五眼的网络安全机构联合发布一份“2021年最常被利用的漏洞”报告

日期: 2022-04-27
标签: 美国, 加拿大, 新西兰, 澳大利亚, 英国, 国际组织, 网络安全和基础设施安全局（CISA）, 美国国家安全局（NSA）, 美国联邦调查局 (FBI), 澳大利亚网络安全中心（ACSC）, 加拿大网络安全中心（CCCS）, 新西兰国家网络安全中心 （NZ NCSC）, 英国国家网络安全中心 (NCSC-UK), CVE-2021-44228, CVE-2021-40539, CVE-2021-34523, CVE-2021-34473, CVE-2021-31207, CVE-2021-27065, CVE-2021-26858, CVE-2021-26857, CVE-2021-26855, CVE-2021-26084, CVE-2021-21972, CVE-2020-1472, CVE-2020-0688, CVE-2019-11510, CVE-2018-13379, 漏洞利用, 

该报告由美国，澳大利亚，加拿大，新西兰和英国的网络安全当局共同撰写：网络安全和基础设施安全局（CISA），国家安全局（NSA），联邦调查局（FBI），澳大利亚网络安全中心（ACSC），加拿大网络安全中心（CCCS）、新西兰国家网络安全中心 （NZ NCSC） 和英国国家网络安全中心 （NCSC-UK）。此通报提供了有关 2021 年恶意网络行为者经常利用的前 15 个常见漏洞和披露 （CVE） 以及经常被利用的其他 CVE 的详细信息。CVE包括：CVE-2021-44228；CVE-2021-40539；CVE-2021-34523；CVE-2021-34473；CVE-2021-31207；

详情

新的Nimbuspwn Linux漏洞为黑客提供了root权限

日期: 2022-04-27
标签: 信息技术, Nimbuspwn, CVE-2022-29799, CVE-2022-29800, 漏洞利用, 

2022年4月27日，微软安全研究人员在一份报告中披露：作为Nimbuspwn共同跟踪的一组新漏洞可能允许本地攻击者升级Linux系统的权限，以部署从后门到勒索软件的各种恶意软件。并指出它们可以链接在一起，以便在易受攻击的系统上实现root权限。Nimbuspwn 安全问题被跟踪为 CVE-2022-29799 和 CVE-2022-29800，在联网调度程序（一个在 Linux 计算机上发送连接状态更改的组件）中被发现。

详情

微软发现新的Linux提权漏洞 Nimbuspwn

日期: 2022-04-26
标签: 美国, 信息技术, 微软（Microsoft）, CVE-2022-29799, CVE-2022-29800, Linux, Nimbuspwn, 

2022年4月26日，Microsoft 发现了Linux systemd networkd dispatcher组件的几个漏洞，统称为 Nimbuspwn，可能允许攻击者在许多 Linux 桌面端点上将权限提升为 root。这些漏洞可以链接在一起以在 Linux 系统上获得 root 权限，从而允许攻击者部署有效负载，如 root 后门，并通过执行任意 root 代码执行其他恶意操作。此外，更复杂的威胁（如恶意软件或勒索软件）可能会利用 Nimbuspwn 漏洞作为 root 访问的载体，从而对易受攻击的设备产生更大的影响。这两个漏洞被跟踪为：CVE-2022-29799和CVE-2022-29800。

详情

APT35利用关键的 VMware RCE 漏洞来安装后门

日期: 2022-04-26
标签: 伊朗, 信息技术, VMware, APT35, 漏洞利用, CVE-2022-22954, CVE-2022-22957, CVE-2022-22958, 后门, 

Morphisec的研究人员报告说，他们观察到伊朗黑客组织APT35(又名“火箭小猫”)利用 CVE-2022-22954 获得对环境的初始访问权限，CVE-2022-22954 是 RCE 三人组中唯一不需要对目标服务器进行管理访问权限并且还具有公开可用的 PoC 漏洞。攻击始于在易受攻击的服务（标识管理器）上执行 PowerShell 命令，该命令会启动阶段。然后，阶段程序以高度模糊的形式从命令和控制（C2）服务器中提取PowerTrash加载程序，并将Core Impact代理加载到系统内存中。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   安全分析

“请问，俄乌冲突将如何影响半岛局势？” APT组织KIMSUKY近期定向攻击活动分析

日期: 2022-05-06
标签: 政府部门, 信息技术, Kimsuky, 邮件钓鱼, 

近期，绿盟科技伏影实验室捕获了多个名为”TBS TV_Qs.doc”的钓鱼文档与相关木马程序。经分析，该系列恶意文件均为APT组织Kimsuky近期网络攻击活动的一部分，其直接目标很有可能为负责半岛问题的军事专家。相关在野攻击载荷表明，Kimsuky本次攻击活动至少已持续一个月以上，伏影实验室捕获该起攻击活动时，相关在线服务依然存在、攻击流程仍然完整。根据获取的攻击载荷推断，攻击者很可能已经达成其主要攻击目的。

详情

“海黄蜂”：针对我国新兴科技企业的窃密活动深度分析

日期: 2022-05-04
标签: 中国, 伊朗, 韩国, 交通运输, 海黄蜂, 

启明星辰ADLab在近几个月内，注意到多起将发件人伪装为物流货运公司的定向邮件钓鱼活动，攻击者似乎倾向于对一些新兴科技行业发起攻击，通过溯源并没有发现任何与本次攻击相关的现有攻击组织，因此将该组织命名为“海黄蜂”，该组织比较倾向于先攻下一些海运类公司并窃取这些公司邮箱凭证，然后以这些公司的名义对其真实的目标发起攻击，攻击的对象以新兴的科技企业为主，当前可以确定的受害国家有中国、伊朗、韩国和阿联酋。

详情

“透明部落”利用走私情报相关诱饵针对印度的攻击活动分析

日期: 2022-05-04
标签: Transparent Tribe, CrimsonRAT, 

近期，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了Transparent Tribe组织多个Crimson RAT攻击样本。在此攻击活动中，攻击者使用恶意宏文件进行鱼叉攻击，当受害者点击执行诱饵文件之后，将会在本地释放并执行一个恶意程序，恶意程序就是Transparent Tribe组织自有的远控软件Crimson RAT，在后续关联中，还发现了Transparent Tribe组织的USBWorm组件。

详情

详细分析TA410组织的网络间谍活动和TTP

日期: 2022-04-28
标签: 信息技术, TA410, FlowCloud, 

ESET研究人员已经记录并分析了TA410从2019年至今的攻击活动。TA410是一个与APT10有松散关联的网络间谍组织，主要针对美国公共事业部门的组织以及中东和非洲的外交组织。TA410至少自2018年以来一直活跃，并于2019年8月由Proofpoint在其LookBack博客文章中首次公开披露。一年后，当时新的、非常复杂的恶意软件家族FlowCloud也归因于TA410。本篇报告对该APT组织的详细情况进行分析，包括其攻击方式和工具集，其中包括ESET发现的新版本的FlowCloud。这个非常复杂的后门包含有趣的间谍功能。

详情

Lazarus武器库更新：Andariel近期攻击样本分析

日期: 2022-04-28
标签: 信息技术, Andariel, Lazarus, 

Andariel 团伙被韩国金融安全研究所（Korean Financial Security Institute）归属为Lazarus APT组织的下属团体。该团体主要攻击韩国的组织机构，尤其是金融机构，以获取经济利益和开展网络间谍活动。近日，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到一批与Andariel相关的攻击样本，均为PE可执行文件。根据这批样本上传VT的时间可知相关攻击活动至少从今年2月份开始发起。

详情

分析SparrowDoor恶意软件的变种

日期: 2022-04-26
标签: 英国, 信息技术, SparrowDoor, C2, 

本篇报告是对ESET于2021年9月披露的SparrowDoor恶意软件新变种的技术分析。该变种于2021年在英国的一个网络上被发现，包含额外的功能。SparrowDoor是一个持久的加载器和后门，C2通道使用XOR编码并通过HTTPS协议进行通信。新版本的附加功能包括记录剪贴板、反病毒检测、Windows API函数钩子和令牌模拟。

详情

疑似Rocket Kitten通过VMWARE漏洞分发新后门

日期: 2022-04-26
标签: 伊朗, 信息技术, Morphisec, VMware, Rocket Kitten, Core Impact, CVE-2022-22958, CVE-2022-22957, CVE-2022-22954, 

4月14日和15日，Morphisec发现有攻击者尝试利用一周前的VMware Workspace ONE Access远程代码执行漏洞。BleepingComputer也发现了类似的漏洞利用。由于Core Impact后门的指标，Morphisec认为高级持续性威胁（APT）组织是VMWare身份管理器攻击事件的幕后黑手。攻击中使用的战术、技术和过程在与伊朗有关的Rocket Kitten之类的组织中很常见。

详情

0x08   其他事件

亚马逊关闭Alexa排名服务，影响网络安全行业

日期: 2022-05-06
标签: 美国, 信息技术, Alexa, 亚马逊（Amazon ）, 

亚马逊已经关闭了 Alexa.com，取消流行的网络流量分析和网站排名服务的决定会对网络安全行业产生一定的影响。亚马逊宣布决定于 2021 年 12 月停用该服务。Alexa 热门站点和 Web 信息服务 API 将于2022年12 月15日停用。2022年5月1日，alexa.com发布服务终止通知。最受欢迎的 Alexa 服务之一是“Top Sites”，它提供了按 Alexa 流量排名排序的免费网站列表。Alexa Top 100 万列表已被网络安全行业的许多人使用，包括分析全球最受欢迎网站的安全实践和态势，以及创建可信任网站列表。

详情

Caramel信用卡盗窃服务日益猖獗

日期: 2022-05-08
标签: 俄罗斯, 金融业, 信息技术, CaramelCorp, 网络欺诈, 信息窃取, 

Caramel信用卡盗窃服务越来越猖獗，它允许任何网络犯罪分子以简单且自动化的方式进行金融欺诈。Caramel服务平台由名为“CaramelCorp”的俄罗斯网络犯罪组织运营。Credit card skimmers是注入被黑电子商务网站的恶意脚本，这些网站静静地等待客户在网站上进行购买。用户进行购买后，这些恶意脚本会窃取信用卡详细信息并将其发送回远程服务器以由网络犯罪分子收集。然后，网络犯罪分子利用这些卡购买私人用品或将这些信用卡详细信息以低至几美元的价格在暗网上出售给其他网络犯罪分子。

详情

Google Play应用商店禁止俄罗斯进行付费应用下载和更新

日期: 2022-05-08
标签: 俄罗斯, 美国, 信息技术, 谷歌（Google）, 俄乌战争, 

由于制裁，Google Play从2022年5月5日起禁止俄罗斯用户和开发者下载付费应用程序和付费应用程序更新。俄罗斯开发者仍然可以发布和更新免费应用程序，用户仍然可以从商店下载。虽然用户不能再为订阅付费，但谷歌建议开发者可以授予订阅计费宽限期和免费试用。前段时间由于制裁，谷歌于 3 月 10 日首次在俄罗斯暂停了其 Google Play 计费系统，阻止他们购买应用和游戏、支付订阅费用或任何应用内购买。

详情

英国制裁俄罗斯微处理器制造商，禁止他们使用ARM

日期: 2022-05-07
标签: 英国, 制造业, 贝加尔湖电子, MCST（莫斯科SPARC技术中心）, 俄乌战争, 

2022年5月4日，英国将63个俄罗斯实体列入制裁名单。其中包括贝加尔湖电子和MCST（莫斯科SPARC技术中心），这是俄罗斯最重要的两家芯片制造商。这两个受制裁的实体现在将被拒绝访问ARM架构，因为被许可方Arm Ltd.位于英国剑桥，并且必须遵守制裁。

详情

乌克兰网络警察局逮捕对外国银行进行网络钓鱼攻击的犯罪黑客组织

日期: 2022-05-06
标签: 乌克兰, 信息技术, 金融业, 乌克兰国家警察局网络警察局, 

2022年5月6日，乌克兰文尼茨亚地区的网络警察揭露了一个黑客犯罪组织，该组织的成员在被盗的搜索服务帐户的帮助下投放广告来宣传银行的网络钓鱼网站。攻击者从 Darknet 购买了 HTTP cookie，进而未经授权地干扰搜索引擎用户的帐户。攻击者从被盗账户中为外国银行的钓鱼网站支付广告费用。攻击者还获取了试图登录虚假资源的银行客户的凭据，以便将来组织利用这些信息挪用资金。目前，执法部门正在确定对公民造成的最终损失金额。

详情

美国为Conti勒索软件团伙的信息提供1500万美元的奖励

日期: 2022-05-07
标签: 美国, 俄罗斯, 政府部门, 信息技术, 卫生行业, 美国国务院, Conti, 

美国国务院提供高达1500万美元的奖励，以帮助识别和定位臭名昭着的Conti勒索软件团伙的领导人和同谋。其中高达1000万美元的奖励用于提供有关Conti领导人的身份和位置的信息，另外500万美元用于导致密谋或试图参与Conti勒索软件攻击的个人被捕和/或定罪。根据美国国务院发言人内德·普莱斯（Ned Price）发表的一份声明，截至2022年1月，Conti已经击中了1000多名受害者，他们支付了超过1.5亿美元的赎金。Conti是一种勒索软件即服务（RaaS）操作，与讲俄语的Wizard Spider网络犯罪组织（也以其他臭名昭着的恶意软件而闻名，包括Ryuk，TrickBot和BazarLoader）相关联。

详情

Lazarus组织的初始接入手法

日期: 2022-05-06
标签: 信息技术, LinkedIn, WhatsApp, Lazarus, LCPDOT, 

这篇文章研究了Lazarus组织在攻击的初始访问阶段采取的一些行动，以及对在此阶段使用的恶意软件进行分析。用于访问受害者网络的方法被广泛报道，但是，后渗透的细微差别提供了有关攻击路径和威胁狩猎材料的丰富信息，这些材料与Lazarus组织的TTP密切相关。有以下发现：

• Lazarus使用LinkedIn个人资料来冒充其他合法公司的员工；

• Lazarus通过WhatsApp等沟通渠道与目标员工进行沟通；

• Lazarus诱使受害者下载包含恶意文档的招聘广告（zip文件），这些文档会导致恶意软件的执行；

• 已识别的恶意下载程序似乎是 LCPDOT 的变种；

• 使用计划任务来建立持久性。

详情

全球范围内的Xbox服务中断下线

日期: 2022-05-06
标签: 美国, 文化传播, Xbox, 

2022年5月6日，Xbox Live 服务于美国东部时间下午 4 点左右发生了中断而停机，影响全球用户，用户无法启动或购买游戏。Xbox 状态页面显示，受影响的 Xbox 服务包括游戏和游戏、云游戏和远程游戏以及商店和订阅。这次重大中断影响了多个平台，它适用于 Xbox Series X|S、Xbox One 游戏机、Android 设备、Apple 设备、Windows 上的 Xbox 和云游戏。目前背后原因正在调查中。

详情

美国财政部制裁朝鲜黑客使用的比特币洗钱服务

日期: 2022-05-06
标签: 美国, 朝鲜, 金融业, 政府部门, 美国财政部外国资产控制办公室（OFAC）, Lazarus, 加密货币, 

2022年5月6日，美国财政部制裁了一项加密货币混合服务Blender.io，理由是有证据表明该服务被用来清洗被朝鲜政府支持的黑客窃取的资金。Blender.io (Blender) 是一个在比特币区块链上运行的虚拟货币混合器，通过混淆其来源、目的地和交易对手促进非法交易。美国财政部外国资产控制办公室 (OFAC) 表示，2022 年 3 月 23 日，朝鲜国家资助的网络黑客组织 Lazarus Group 对与在线游戏 Axie Infinity 相关的区块链项目进行了迄今为止最大的虚拟货币抢劫，价值近 6.2 亿美元；Blender 被用于处理超过 2050 万美元的非法收益。

详情

SharpWSUS新工具介绍

日期: 2022-05-05
标签: 信息技术, nettitude, 

2022年5月5日，nettitude公司在官网发表文章表示：其发布了一个名为SharpWSUS的新工具。这是现有 WSUS 攻击工具（如 WSUSPendu 和 Thunder_Woosus）的延续。它以一种可以通过命令和控制（C2）通道（包括通过PoshC2

）可靠和灵活地使用的方式将其完整的功能带入.NET。下载地址为：https://github.com/nettitude/SharpWSUS

详情

TeamViewer暂停在俄罗斯和白俄罗斯的运营

日期: 2022-05-05
标签: 俄罗斯, 乌克兰, 信息技术, TeamViewer, 俄乌战争, 

TeamViewer是一个能在任何防火墙和NAT代理的后台用于远程控制的应用程序。2022年4月，由于俄乌战争的持续进行，TeamViewer宣布暂停在俄罗斯和白俄罗斯的业务后。2022年5月5日，TeamViewer 宣布决定彻底淘汰俄罗斯和白俄罗斯的任何剩余商业活动，遵守所有国际制裁并立即停止在俄罗斯的新业务，并阻止进出俄罗斯和白俄罗斯的所有未经许可的连接。

详情

FBI：BEC 诈骗造成的损失超过 430 亿美元

日期: 2022-05-04
标签: 美国, 中国, 中国香港, 泰国, 墨西哥, 新加坡, 金融业, 信息技术, 网络欺诈, BEC, EAC, 

2022年5月4日，美国联邦调查局表示，全球商业电子邮件泄露 (BEC) 和电子邮件帐户泄露 (EAC) 损失已超过 430 亿美元。这些损失被 FBI 称为“暴露损失”，包括 2016 年 6 月至 2021 年 12 月期间报告的实际损失和未遂损失。2019 年至 2021 年期间BEC诈骗增加了 65%，这很可能是由于 COVID-19 大流行，迫使许多人转向以虚拟方式开展业务。此外，越来越多的 BEC 诈骗涉及使用加密货币。欺诈性转账被转移到 140 多个国家，其中泰国和香港的银行是欺诈性资金最流行的国际目的地。中国、墨西哥和新加坡进入前五名。

详情

微软、苹果和谷歌将支持FIDO无密码登录

日期: 2022-05-05
标签: 信息技术, 微软（Microsoft）, 谷歌（Google）, Apple, FIDO, W3C, 

2022年5月5日，微软，苹果和谷歌宣布计划支持由万维网联盟（W3C）和FIDO联盟开发的通用无密码登录标准（称为密钥）。一旦实施，这些新的Web身份验证（WebAuthn）凭据（也称为FIDO凭据）将允许三家科技巨头的用户在不使用密码的情况下登录其帐户。他们可以选择使用PIN或生物识别身份验证（指纹或面部）来验证自己的身份，而不是使用密码。这些新功能应该在未来一年内在微软、苹果和谷歌平台运营的领先平台、设备、网站和应用程序中提供。

详情

报告：野马熊猫黑客攻击活动的细节研究

日期: 2022-05-05
标签: 美国, 中国, 乌克兰, 俄罗斯, 政府部门, 信息技术, 思科（Cisco）, Mustang Panda（TA416）, PlugX, 邮件钓鱼, 俄乌战争, 涉我舆情, 

野马熊猫 - 也被称为Bronze President，HoneyMyte或RedDelta - 一直在使用主题网络钓鱼诱饵来瞄准欧洲和俄罗斯实体，这些诱饵大致与俄罗斯战争的开始相吻合，以传播恶意软件。据报道，其中一些活动已被报道，2022年5月5日，思科Talos情报集团的研究人员详细介绍了（Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Mustang Panda deploys a new wave of malware targeting Europe）与广泛活动相关的以前未报告的文件样本，网站域和IP地址。

详情

韩国加入北约网络防御中心

日期: 2022-05-05
标签: 韩国, 莫斯科, 政府部门, 国际组织, 韩国国家情报局（NIS）, 北约合作网络防御卓越中心 (CCDCOE), 

2022年5月5日，据当地联合通讯社报道，韩国国家情报局（NIS）宣布了已经加入北约合作网络防御卓越中心（CCDCOE）。根据简短的报告，展望未来，它将代表韩国参加该中心的培训和研究活动。NIS表示：“我们计划通过增加派往该中心的工作人员数量并扩大联合培训的范围，将我们的网络响应能力提高到世界级水平，”。最近加入CCDCOE的国家使成员总数达到32个，其中包括27个北约正式成员。不过此举动可能会进一步加剧与莫斯科的紧张关系。

详情

新的黑客组织UNC3524目标是大型企业的员工

日期: 2022-05-02
标签: 信息技术, UNC3524, APT29, APT28（Fancy Bear）, QUIETEXIT, 邮件钓鱼, 

一名新发现的可疑间谍威胁行为者一直在瞄准专注于并购以及大型企业交易的员工，以促进从受害者环境中批量收集电子邮件。Mandiant正在跟踪未分类的绰号为UNC3524组织的活动集群，理由是缺乏将其与现有组联系起来的证据。但是，据说一些入侵事件反映了APT28和APT29等不同俄罗斯黑客团队使用的技术。最初的访问路线是未知的，但在获得立足点后，涉及UNC3524的攻击链最终部署了一个名为QUIETEXIT的新型后门，用于持续远程访问长达18个月，在某些情况下不会被发现。

详情

白宫希望国家为破解密码学的量子计算机做准备

日期: 2022-05-04
标签: 美国, 信息技术, 政府部门, 白宫, 量子安全, 密码学, 

2022年5月4日，总统乔·拜登发布《国家安全备忘录 10 (NSM-10)》，命令联邦机构加紧准备，为量子计算机破解公钥密码学做准备，呼吁为量子信息科学 (QIS) 制定“整个政府和整个社会的战略”。当量子信息科学成熟并且量子计算机能够达到足够的规模和复杂程度时，它们将能够破解目前保护全球数字系统安全的大部分密码学。同日，拜登还发布了一项行政命令，将成立一个国家量子倡议咨询委员会，其中包括白宫官员以及来自工业界、学术界和美国国家实验室的多达 26 名专家。NIST 和 CISA 需要与包括关键基础设施运营商在内的私营部门建立联系，以将重要系统过渡到抗量子密码学。

详情

西班牙首相手机上发现间谍软件

日期: 2022-05-02
标签: 西班牙, 政府部门, Pegasus（飞马间谍软件）, 

在西班牙总理佩德罗·桑切斯（Pedro Sánchez）和该国国防部长玛格丽塔·罗伯斯（Margarita Robles）的手机上发现了间谍软件。在2022年5月2日上午举行的新闻发布会上，西班牙政府表示，这些手机已经感染了Pegasus间谍软件，并从两台设备中提取了数据。总统府部长费利克斯·博拉尼奥斯（Félix Bolaños）表示，总理的电话在2021年5月和6月成为目标，而罗伯斯的电话在2021年6月被非法监控。总部位于以色列的NSO集团是间谍软件的制造商，声称Pegasus仅适用于国家机构。

详情

专家详细介绍了TA410集团下的3个黑客团队

日期: 2022-04-28
标签: 日本, 印度, 文化传播, 制造业, 能源业, 教育行业, 政府部门, FlowingFrog, LookingFrog, JollyFrog, TA410, APT10, Stone Panda, TA429, 

斯洛伐克网络安全公司ESET将TA410称为一个由三个团队组成的伞形组织，称为FlowingFrog，LookingFrog和JollyFrog，评估“这些子组在某种程度上独立运作，但它们可能共享情报要求，运行其鱼叉式网络钓鱼活动的访问团队，以及部署网络基础设施的团队。TA410 - 据说与APT10（又名Stone Panda或TA429）共享行为和工具重叠 - 有针对美国公用事业部门组织以及中东和非洲外交实体的历史。黑客集体的其他已确定的受害者包括日本的一家制造公司，印度的一家采矿企业和以色列的一家慈善机构，以及教育和军事垂直领域的未透露姓名的受害者。

详情

为什么联合国要收集乌克兰难民的生物识别数据？

日期: 2022-04-28
标签: 乌克兰, 俄罗斯, 国际组织, 俄乌战争, 

俄罗斯入侵乌克兰两个多月后，已有超过530万难民逃往邻国，包括波兰、罗马尼亚、俄罗斯、匈牙利和摩尔多瓦。这一次，人道主义部门有足够的资金来接触大多数难民。然而，随着应对措施的扩大，联合国难民事务高级专员办事处（UNHCR）透露，他们将收集难民的生物识别数据，以登记他们以获得援助。这延伸到每个家庭成员，甚至是新生婴儿，而不是登记单独接受援助的家庭成员。由于多种原因，这令人震惊。首先，联合国在数据安全方面有一个可怕的先例。2021年，人权观察揭露，联合国难民署与缅甸政府分享罗兴亚族难民的个人信息，以评估难民是否有资格被遣返。知情同意的原则遭到了违反，因为难民不知道他们的数据将以这种方式使用。

详情

微博正式公布用户位置，以打击“不良行为”

日期: 2022-04-28
标签: 中国, 信息技术, 文化传播, 微博（Weibo）, 

2022年4月28日，微博表示，将开始在他们的账户页面和发表评论时根据他们的 IP 地址公布其位置，以打击网上的“不良行为”。微博目前有超过 5.7 亿月活跃用户，用户的 IP 地址在2022年4月28日周四正式生效显示，用户无法关闭。微博表示，该设置旨在减少冒充参与热点问题、恶意虚假信息和流量抓取等不良行为，并确保传播内容的真实性和透明度。

详情

微软称俄罗斯对乌克兰发动了数百次网络攻击

日期: 2022-04-27
标签: 俄罗斯, 乌克兰, 政府部门, 信息技术, 微软（Microsoft）, 俄乌战争, 

2022年4月27日，微软表示，自俄乌战争以来，少数与俄罗斯政府结盟的黑客组织对乌克兰进行了数百次网络攻击。在“混合”战争战术中，俄罗斯经常将网络攻击与战场上的军事攻击相结合。微软表示：“从入侵前夕开始，我们已经看到至少有六个与俄罗斯结盟的民族国家对乌克兰发起了超过 237 次行动。”微软已经追踪了近40起针对数百个系统的破坏性网络攻击，其中三分之一直接针对从国家到地方的各级乌克兰政府组织，而另外 40% 的攻击目标是关键基础设施。

详情

技术突破：英国电信和东芝推出开创性的量子通信服务

日期: 2022-04-26
标签: 英国, 信息技术, 东芝, 安永, 量子密钥分发 (QKD), 量子通信, 

2022年4月26日，在伦敦 BT Tower 举行的一次活动中，BT、东芝和安永宣布启动世界首个量子安全城域网 (QSMN) 的商业试验。该基础设施旨在连接伦敦各地的各种客户，使用量子密钥分发 (QKD) 通过标准光纤链路在多个物理位置之间确保有价值的数据和信息的传输。BT 和东芝最初宣布承诺于 2021 年 10 月创建一个伦敦试验网络，网络的准备、技术部署和测试于 2021 年底进行，最终于2022年4月26日正式启动。量子密钥分发 (QKD) 在保护网络和数据免受来自量子计算的日益增长的网络攻击方面发挥着重要作用。伦敦网络代表了实现英国政府成为量子经济的战略的关键一步。英国政府在未来 10 年的“战略意图”是创建一个“量子经济”，其中量子技术是英国数字骨干和先进制造基地不可或缺的一部分。

详情

美国悬赏1000万美元奖励有关俄罗斯沙虫黑客的信息

日期: 2022-04-26
标签: 美国, 俄罗斯, 乌克兰, 政府部门, 国际组织, 信息技术, 美国国务院, 俄罗斯联邦武装部队总参谋部（GRU）, Sandworm, Team, Telebots, Voodoo Bear, Iron Viking, BlackEnergy, Industroyer, KillDisk, NotPetya, Industroyer2, Cyclops Blink, 俄乌战争, 

2022年4月26日，美国国务院宣布，他们正在寻求俄罗斯联邦武装部队总参谋部（GRU）主要情报局的六名俄罗斯军官的信息，因为他们涉嫌在针对美国关键基础设施的恶意网络攻击中发挥了作用。美国将提供高达1000万美元的资金，以识别或定位六名俄罗斯GRU黑客。这项赏金是作为国务院正义奖励计划的一部分提供的，该计划奖励线人提供信息，以识别或定位对美国关键基础设施进行恶意网络行动的外国政府威胁行为者。GRU官员包括：Yuriy Sergeyevich Andrienko （Юрий Сергеевич Андриенко）， Sergey Vladimirovich Detistov （Сергей Владимирович Детистов）， Pavel Valeryevich Frolov （Павел Валерьевич Фролов）， Anatoliy Sergeyevich Kovalev （Анатолий Сергеевич Ковалев）， Artem Valeryevich Ochichenko （Артем Валерьевич Очиченко） 和 Petr Nikolayevich Pliskin （Петр Николаевич Плискин）。

详情

Emotet恶意软件通过PowerShell安装在Windows快捷方式文件中

日期: 2022-04-26
标签: 信息技术, Emotet, 僵尸网络, 

2022年4月26日，安全研究人员发现Emotet使用了一种新技术：Emotet僵尸网络现在使用Windows快捷方式文件（.LNK）包含用于感染受害计算机的 PowerShell 命令，远离现在默认禁用的 Microsoft Office 宏。使用.LNK 文件并不新鲜，因为 Emotet 团伙以前将它们与 Visual Basic 脚本 （VBS） 代码结合使用来构建下载有效负载的命令。但是，这是他们第一次使用Windows快捷方式直接执行PowerShell命令。

详情

美国警告重型车辆网络安全

日期: 2022-04-26
标签: 美国, 交通运输, 美国汽车货运交通协会 (NMFTA), 美国网络安全和基础设施安全局 (CISA), CVE-2022-25922, CVE-2022-26131, 

美国汽车货运交通协会 (NMFTA)分析了重型车辆的网络安全，发现北美许多牵引车上的制动控制器容易受到远程黑客攻击。美国网络安全和基础设施安全局 (CISA) 也在2022年3月发布了一份公告，描述了两个影响拖车制动控制器的漏洞（CVE-2022-25922和CVE-2022-26131），这两个漏洞与拖拉机和拖车之间的电力线通信 (PLC) 有关，特别是 PLC4TRUCKS 技术。NMFTA表示，目前可供攻击者使用的 PLC 功能对车队和整个货运行业构成严重风险。过去几十年进行的几项研究表明，卡车运输服务的广泛中断可能会对一个国家产生重大影响，并且黑客有可能使用网络攻击造成这种中断。

详情

CISA在《已知被利用漏洞目录》中增加了7个漏洞

日期: 2022-04-25
标签: 美国, 政府部门, 信息技术, 美国网络安全和基础设施安全局 (CISA), CVE-2022-29464, CVE-2022-26904, CVE-2022-21919, CVE-2022-0847, CVE-2021-41357, CVE-2021-40450, CVE-2019-1003029, 

美国网络安全和基础设施安全局 (CISA) 在其《已知被利用漏洞目录》中添加了 7 个漏洞，其中包括来自 Microsoft、Linux 和 Jenkins 的漏洞。《已知被利用漏洞目录》是已知在网络攻击中被积极利用并需要由联邦民事执行局 (FCEB) 机构修补的漏洞列表。这七个漏洞的cve编号分别是：CVE-2022-29464、CVE-2022-26904、CVE-2022-21919、CVE-2022-0847、CVE-2021-41357、CVE-2021-40450、CVE-2019-1003029。加上这七个漏洞，该目录现在包含 654 个漏洞，包括联邦机构必须应用相关补丁和安全更新的日期。CISA 要求在 2022 年 5 月 16 日之前对所有这些漏洞进行修补。

详情

埃隆·马斯克正式收购Twitter

日期: 2022-04-25
标签: 美国, 信息技术, 文化传播, 推特（Twitter）, 

2022年4月25日，Twitter宣布，已与Elon Musk达成最终协议，将由Elon Musk全资拥有的实体以每股 54.20美元现金收购一笔价值约440 亿美元的交易。交易完成后，Twitter 将成为一家私人控股公司。Musk表示，言论自由是民主运作的基石，而 Twitter 是一个数字城市广场。Musk还希望通过使用新功能增强产品、使算法开源以增加信任、击败垃圾邮件机器人以及对所有人进行身份验证，让 Twitter 变得比以往更好。

详情

勒索软件攻击导致英国教育行业损失超过200万英镑

日期: 2022-04-25
标签: 英国, 教育行业, 勒索攻击, 

根据Jisc的一份新报告，英国教育部门继续受到螺旋式勒索软件攻击的打击，每次事件可能使受影响的组织损失超过 200 万英镑。勒索软件和恶意软件现在是英国教育行业的最大威胁，网络钓鱼和社会工程学位居第二。除开英国教育部门与组织外，英国100多所学校也受到影响。由于疫情原因，师生的个人数据和信息现在越来越多地保存在校园外的设备上，扩大了现有的安全挑战，并无意中导致了一些重大安全事件。

详情

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x0a   时间线

2022-05-09 360CERT发布安全事件周报