安全事件周报 (12.19-12.25)
2022-12-26 16:20

报告编号:B6-2022-122601

报告来源:360CERT

报告作者:360CERT

更新日期:2022-12-26

0x01   事件导览

本周收录安全热点61项,话题集中在恶意程序网络攻击方面,涉及的组织有:GitHubMicrosoft海康威视Cisco等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意程序
窃取银行凭据的Android银行木马——Godfather
Vice Society勒索软件团伙改用新的自定义加密器
研究人员发现Royal勒索软件与Conti Group的联系
GodFather-新的 Android 银行木马
Clop 勒索软件瞄准医疗信息的传递过程进一步实施攻击
Raspberry Robin蠕虫攻击电信公司和政府
Gamaredon试图入侵北约的大型炼油公司
黑客用窃取信息的恶意软件轰炸PyPi平台
KmsdBot僵尸网络可能用于DDoS出租服务
RisePro信息窃取恶意软件
恶意Python特洛伊木马模拟SentinelOne安全客户端窃取开发者数据
安特卫普市的一份数据被从PLAY勒索软件集团的泄露网站上删除
DarkTortilla 恶意软件在伪装成合法域的网络钓鱼站点上传播
BrasDex:一个针对移动和桌面巴西用户的多平台恶意软件
Agenda 勒索软件使用 Rust 瞄准更多重要行业
数据安全
体育博彩公司BetMGM披露数据泄露
DraftKings警告称,有6.7万人的数据存在泄露风险
网络攻击
FIN7 黑客创建自动攻击平台来攻击 Exchange 服务器
微软研究发现僵尸网络 Zerobot 新功能
GitHub 存储库被黑后 Okta 的源代码被盗
Play勒索软件团伙利用Microsoft Exchange漏洞攻击服务器
Play 勒索软件声称攻击德国连锁酒店 H-Hotels
TA453的新攻击目标和活动特点
餐厅 CRM 平台“SevenRooms”被攻击后其用户数据泄露
有犯罪分子利用BEC攻击来免费采购大批量食物
安全漏洞
Comcast Xfinity 大量帐户遭到黑客攻击
Ghost CMS中的两个安全漏洞
FIN7 网络犯罪集团分析
Passwordstate 密码管理器修补密码窃取漏洞链
海康威视修补了其部分无线网桥产品中的一个严重漏洞
Microsoft发布Windows Server VM问题的紧急修复程序
Akamai服务器为攻击者提供了web缓存中毒攻击的平台
HHS敦促立即修补关键Citrix漏洞,目前已发现医疗保健实体被漏洞攻击
微软发现CVE-2022-42821 macOS漏洞可以使黑客绕过安全机制
Cisco警告许多旧漏洞在攻击中被利用
Microsoft: KB5021233补丁导致蓝屏并出现0xc000021a错误
其他事件
Zscaler成为联合网络防御协作组织的成员
DuckDuckGo能阻止谷歌的弹出窗口
FBI:为了安装恶意软件,黑客正在购买广告服务
FIN7网络犯罪集团分析
谷歌称保护多个云环境是 2023 年 SOC 面临的最大挑战
研究人员建议团队在LastPass泄露后更改主密码和2FA密钥
Lastpass:黑客利用云存储漏洞窃取了客户密码保险库数据
Guacamaya泄露了大量暴露政府和军事机密的文件
法国政府发布安全规划以帮助医院工作人员防范黑客攻击
双尾蝎新型移动端恶意软件分析报告
三星和谷歌修复了 Microsoft Intune Android 13 注册问题
Corsair 键盘发布声明驱动存在错误使键盘自行打字,并不涉及恶意软件
使用CPU等电子元件进行无线电波传输数据的方法
Royal 在 11 月取代 LockBit 成为头号勒索软件
针对Docker和Kubernetes的密码劫持活动的一个新变种Kissa-Dog
Microsoft将在2023年1月份关闭Exchange Online基本身份验证
滥用AWS弹性IP传输功能进而实施攻击
Fortnite开发商违规收集用户数据被罚款2.75亿美元
乌克兰DELTA军事系统用户成为恶意软件窃取信息的目标
南亚地区隐藏的獠牙—响尾蛇组织近期攻击活动简报
微软将从1月1日起为其欧盟客户推出“数据边界”
HackerOne漏洞悬赏2022年达到6.5万,云计算漏洞成为主力
T-Mobile 黑客因 2500 万美元的手机解锁方案获刑 10 年
云安全自动化是减少漏洞修复时间的关键
Wi-Peep:研究人员找到了一种新的可靠方法来跟踪无线 Wi-Fi 设备的位置

0x03   恶意程序

窃取银行凭据的Android银行木马——Godfather

日期: 2022-12-25
标签: 美国, 信息技术, Android(安卓), 移动安全, 

2022年12月24日,网络安全公司 Group-IB发布研究报告表示,一种名为“Godfather”的金融木马能够从 400 多个不同的银行和加密货币应用程序中窃取帐户凭据,目前针对其他 16 个国家/地区的 Android 用户。 根据网络安全公司 Group-IB 的最新报告,Godfather木马最初于去年 3 月被 ThreatFabric 发现,此后已进行了大幅升级和更新。暗网和网络犯罪监控公司 Cyble 描述了Godfather是如何通过一款已被下载 1000 万次并伪装成知名音乐应用程序的恶意应用程序在土耳其传播的。

详情

http://urlqh.cn/n4vcE

Vice Society勒索软件团伙改用新的自定义加密器

日期: 2022-12-23
标签: 信息技术, 勒索攻击, 

Vice Society 勒索软件操作已转为使用自定义勒索软件加密,该加密实施基于 NTRUEncrypt 和 ChaCha20-Poly1305 的强大混合加密方案。

详情

http://urlqh.cn/n2hf1

研究人员发现Royal勒索软件与Conti Group的联系

日期: 2022-12-23
标签: 信息技术, 勒索攻击, 

Royal勒索软件可能在2022 年 9 月左右首次被研究人员观察到,运行此勒索软件的威胁行为者曾经是 Conti Team One 的一员——最初将其称为 Zeon 勒索软件,直到他们将其更名为 Royal 勒索软件。

详情

http://urlqh.cn/n3fwT

GodFather-新的 Android 银行木马

日期: 2022-12-22
标签: 金融业, 信息技术, 谷歌(Google), 加密货币, 网络犯罪, GodFather, 

GodFather 是一种新的 Android 银行木马,目前针对全球 400 多个银行、加密钱包和交易应用程序的毫无戒心的用户。研究人员认为,教父可能是另一个名为 Anubis 的银行木马的继承者,该木马的源代码于 2019 年 1 月在地下黑客论坛上泄露。

详情

http://urlqh.cn/n0Zdz

Clop 勒索软件瞄准医疗信息的传递过程进一步实施攻击

日期: 2022-12-21
标签: 信息技术, 卫生行业, 网络犯罪, 

Clop 采取了感染伪装成医疗文件的文件并提交预约请求来实施勒索,Clop 的目标是年收入超过 1000 万美元的医疗设施和年收入超过 500 万美元的其他设施。Clop 正在利用可信赖的关系为他们的恶意活动建立持久化后门。目前已经发现感染了恶意软件的 CD-ROM 和图像文件。

详情

http://urlqh.cn/n29fP

Raspberry Robin蠕虫攻击电信公司和政府

日期: 2022-12-21
标签: 澳大利亚, 信息技术, 政府部门, 

Raspberry Robin,该蠕虫以其 10 层混淆以及部署虚假有效负载以摆脱检测工作的能力而著称。

详情

http://urlqh.cn/n3AWH

Gamaredon试图入侵北约的大型炼油公司

日期: 2022-12-21
标签: 北约, 信息技术, 能源业, Gamaredon, C2, APT, 

Trident Ursa,又名Gamaredon,仍然是针对乌克兰的最普遍、持续活跃和重点突出的APT组织之一。在监控这些领域以及开源情报时,发现了多项值得注意的事件:1、8月30日,该组织企图入侵北约成员国内的一家大型炼油公司,但未成功。2、一名疑似与Trident Ursa有关联的人,在推特上威胁了一批近期发布相关攻击IOC的网络安全人员。3、他们的战术、技术和过程 (TTP) 发生了多次转变。

详情

http://urlqh.cn/n35rO

黑客用窃取信息的恶意软件轰炸PyPi平台

日期: 2022-12-21
标签: 信息技术, 网络犯罪, 恶意包, 

PyPi python 包存储库正受到一波信息窃取恶意软件的轰炸,这些恶意软件隐藏在上传到平台的恶意包中,以窃取软件开发人员的数据。

此次活动中投放的恶意软件是开源 W4SP Stealer 的克隆,该 恶意软件 曾于 2022 年 11 月在 PyPI上广泛感染恶意软件。

从那时起,另外 31 个带有“W4SP”的软件包已从 PyPI 存储库中删除,恶意软件的操作者继续寻找新的方法在平台上重新引入他们的恶意软件。

详情

http://urlqh.cn/n3Cqm

KmsdBot僵尸网络可能用于DDoS出租服务

日期: 2022-12-21
标签: 信息技术, 

对KmsdBot僵尸网络的持续分析提出了一种可能性,即它是一种提供给其他威胁参与者的 DDoS 租用服务。

KmsdBot 是一种基于 Go 的恶意软件,它利用 SSH 感染系统并执行加密货币挖掘等活动,并使用 TCP 和 UDP 启动命令以发起分布式拒绝服务 (DDoS) 攻击。

网络基础设施公司 Akamai 表示,这是基于受到攻击的不同行业和地区。值得注意的目标包括FiveM和RedM,它们是 Grand Theft Auto V 和 Red Dead Redemption 2 的游戏修改版。

详情

http://urlqh.cn/n2kbb

RisePro信息窃取恶意软件

日期: 2022-12-21
标签: 

RisePro 用 C++ 编写,从受感染的机器中收集潜在的敏感信息,然后尝试将其作为日志泄露。

RisePro最初于 12 月 13 日被发现,出现在名为 Russian Market 的网络犯罪市场上,网络犯罪分子在该市场上上传和出售使用窃取程序窃取的日志。

根据 Flashpoint 的说法,该恶意软件似乎基于Vidar stealer。

详情

http://urlqh.cn/n3pr7

恶意Python特洛伊木马模拟SentinelOne安全客户端窃取开发者数据

日期: 2022-12-20
标签: 信息技术, Python, 网络犯罪, 恶意包, 

在最新的供应链攻击中,未知威胁参与者创建了一个恶意 Python 包,该包似乎是 SentinelOne 知名安全客户端的软件开发工具包 (SDK)。这个名为 SentinelSneak 的软件包似乎是一个“功能齐全的 SentinelOne 客户端”,目前正在开发中,经常更新出现在 PyPI 上。研究人员指出,SentinelSneak 在安装时不会尝试恶意操作,但会等待其他程序调用其功能。因此,这次攻击凸显了攻击者将重点放在软件供应链上。

详情

http://urlqh.cn/n0XX7

安特卫普市的一份数据被从PLAY勒索软件集团的泄露网站上删除

日期: 2022-12-20
标签: 安特卫普, 政府部门, 网络犯罪, 

安特卫普市的一份数据从 PLAY 勒索软件组织的泄密网站上被删除,尽管该市市长宣布该市没有支付该团伙的费用来解锁其数据。安特卫普市议会网站、公共图书馆和在线博物馆预订服务也受到了这次攻击的影响,尽管作为预防措施,有些可能已经下线。

详情

http://urlqh.cn/n1rPg

DarkTortilla 恶意软件在伪装成合法域的网络钓鱼站点上传播

日期: 2022-12-20
标签: 信息技术, DarkTortilla, 

研究人员报告了一项活动,他们观察到威胁行为者将 DarkTortilla 恶意软件投放到伪装成合法 Grammarly 和 Cisco 网站的钓鱼网站上。Cyble Research and Intelligence Labs (CRIL) 将 DarkTortilla 描述为一种复杂的、基于 .Net 的恶意软件,自 2015 年以来一直活跃。研究人员表示,恶意软件最为人所知的是删除恶意软件窃取器和远程访问特洛伊木马 (RAT)

详情

http://urlqh.cn/n0oDm

BrasDex:一个针对移动和桌面巴西用户的多平台恶意软件

日期: 2022-12-19
标签: 巴西, BrasDex, 

ThreatFabric 分析师发现了一个针对移动和桌面巴西用户的持续多平台恶意软件活动,感染了数千人,估计损失了数十万巴西雷亚尔 ,相当于数万美元。

该活动涉及一种高度灵活的新型 Android 恶意软件,被 ThreatFabric 称为BrasDex,具有复杂的键盘记录系统,旨在滥用辅助功能服务专门从一组巴西目标应用程序中提取凭据,以及一个功能强大的自动传输系统 (ATS) 引擎。

在分析 BrasDex 时,我们的团队发现了一些通过同一后端控制的桌面恶意软件的证据。我们的分析师也能够识别出与针对巴西用户的同一活动相关的恶意软件样本:它涉及Casbaneiro,这是一个在拉丁美洲活跃的知名恶意软件家族。

详情

http://urlqh.cn/n3uec

Agenda 勒索软件使用 Rust 瞄准更多重要行业

日期: 2022-12-19
标签: 泰国, 印度尼西亚, Agenda, 

趋势技术团队发现了一个用Rust语言编写的Agenda勒索病毒样本,检测结果为Ransom.Win32.AGENDA.THIAFBB。值得注意的是,同样的勒索软件最初是用 Go 语言编写的,以针对泰国和印度尼西亚等国家的医疗保健和教育部门而闻名。攻击者通过使用机密信息(例如泄露的帐户和唯一的公司 ID)作为附加文件扩展名,为目标受害者定制了以前的勒索软件二进制文件。 Rust 变体还使用间歇性加密,这是当今威胁行为者用于更快加密和检测规避的新兴策略之一。

详情

http://urlqh.cn/n1JCg

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

体育博彩公司BetMGM披露数据泄露

日期: 2022-12-23
标签: 美国, 信息技术, BetMGM, 数据泄露, 

BetMGM 披露了一起数据泄露事件,表示有攻击者窃取了未知数量客户的个人信息。攻击者获得了广泛的数据,包括姓名、联系信息(如邮政地址、电子邮件地址和电话号码)、出生日期、加密的社会安全号码、账户标识(如玩家ID和网名)以及与BetMGM交易有关的信息。BetMGM 目前没有证据表明与此问题有关的顾客密码或账户资金被访问,但已有150w用户数在数据泄漏论坛进行销售。

详情

http://urlqh.cn/n1y3W

DraftKings警告称,有6.7万人的数据存在泄露风险

日期: 2022-12-20
标签: 信息技术, 金融业, DraftKings, 网络犯罪, 网络欺诈, 

体育博彩公司 DraftKings 透露,在 11 月的凭据攻击后,超过 67,000 名客户的个人信息被存在泄露风险。在撞库攻击中,自动化工具被用来进行大量尝试(一次多达数百万次),以使用从其他在线服务窃取的凭据(用户/密码对)登录帐户。

详情

http://urlqh.cn/n4YOc

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

0x05   网络攻击

FIN7 黑客创建自动攻击平台来攻击 Exchange 服务器

日期: 2022-12-23
标签: 信息技术, 漏洞利用, 

Prodaft 的威胁情报团队发现FIN7 黑客组织使用一个自动攻击系统,该系统利用 Microsoft Exchange 和 SQL 注入漏洞来破坏公司网络、窃取数据并根据财务规模选择勒索软件攻击的目标。

详情

http://urlqh.cn/n2hnu

微软研究发现僵尸网络 Zerobot 新功能

日期: 2022-12-22
标签: 信息技术, 微软(Microsoft), Zerobot, 

Zerobot 是一种基于 Go 的僵尸网络,主要通过物联网和 Web 应用程序漏洞传播,是不断演变的威胁的一个例子,运营商不断向恶意软件添加新的攻击和功能。数月来,Microsoft Defender for IoT 研究团队一直在监控 Zerobot(也被其运营商称为 ZeroStresser)。 Zerobot 是作为恶意软件即服务方案的一部分提供的,并且自从微软开始跟踪它以来已经更新了多次。一个与 Zerobot 链接的域是 FBI 在 2022 年 12 月查获的与 DDoS 出租服务相关的几个域之一。

详情

http://urlqh.cn/n1vs8

GitHub 存储库被黑后 Okta 的源代码被盗

日期: 2022-12-22
标签: 信息技术, 

Okta 是身份验证服务和身份与访问管理 (IAM) 解决方案的领先提供商,它表示其私人 GitHub 存储库遭到黑客攻击。尽管窃取了 Okta 的源代码,但攻击者并未获得对 Okta 服务或客户数据的未授权访问权限。 Okta 的“HIPAA、FedRAMP 或 DoD 客户”不受影响

详情

http://urlqh.cn/mZqxB

Play勒索软件团伙利用Microsoft Exchange漏洞攻击服务器

日期: 2022-12-21
标签: 信息技术, ProxyNotShell, Play, 

Play 勒索软件威胁参与者正在使用新的漏洞利用链,绕过ProxyNotShell URL 重写缓解措施,通过 Outlook Web Access (OWA) 在易受攻击的服务器上获得远程代码执行 (RCE)。

详情

http://urlqh.cn/n3OjD

Play 勒索软件声称攻击德国连锁酒店 H-Hotels

日期: 2022-12-20
标签: 德国, H-Hotels, Play, 

Play 勒索软件团伙声称对 H-Hotels (h-hotels.com) 的网络攻击负责,该攻击导致该公司通信中断。

H-Hotels 是一家酒店企业,在德国、奥地利和瑞士的 50 个地点拥有 60 家酒店,客房总数为 9,600 间。

详情

http://urlqh.cn/n2DEA

TA453的新攻击目标和活动特点

日期: 2022-12-19
标签: 响尾蛇, C2, APT, 

至少从2020年末到2022年,TA453参与了偏离该组织预期的网络钓鱼技术和目标受害者学的活动。在这些活动中,TA453使用受感染的帐户、恶意软件和诱饵来追踪具有医学研究人员、房地产经纪人、旅行社等各种背景的目标。Proofpoint研究人员以适度的信心评估,这项活动反映了对伊斯兰革命卫队(IRGC) 情报要求的灵活授权。此外,TA453活动的一个子集群证明其可能得到了支持IRGC秘密行动的指示。

详情

http://urlqh.cn/n297U

餐厅 CRM 平台“SevenRooms”被攻击后其用户数据泄露

日期: 2022-12-19
标签: 美国, 信息技术, 商务服务, SevenRooms, 

一名攻击者在 Breached 黑客论坛上发布了数据样本,声称窃取了一个 427 GB 的备份数据库,其中包含数千个文件,其中包含有关 SevenRooms 客户的信息。卖家提供的样本包括以大型连锁餐厅命名的文件夹、SevenRooms 的客户、API 密钥、促销代码、付款报告、预订列表等。

详情

http://urlqh.cn/n1v7R

有犯罪分子利用BEC攻击来免费采购大批量食物

日期: 2022-12-19
标签: 美国, 卫生行业, 批发零售, 

一些食品供应商和分销商在攻击者进行欺骗性下单后遭受了数十万美元的损失。美国联邦调查局 (FBI) 和美国食品药品监督管理局刑事调查办公室 (FDA OCI) 于 12 月 16 日发出警报警告称,至少从今年年初开始,袭击事件就一直在发生,并已使多家组织损失数十万美元。到目前为止的损失。

详情

http://urlqh.cn/n3oiV

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

Comcast Xfinity 大量帐户遭到黑客攻击

日期: 2022-12-23
标签: 信息技术, Comcast, 网络犯罪, 

Comcast Xfinity 客户报告说,他们的帐户在绕过双因素身份验证的广泛攻击中遭到黑客攻击。然后,这些受感染的帐户将用于重置其他服务的密码,例如 Coinbase 和 Gemini 加密货币交易所。许多 Xfinity 电子邮件用户开始收到他们的帐户信息已更改的通知。但是,当尝试访问这些帐户时,由于密码已更改,用户已经无法登录。

详情

http://urlqh.cn/n2b3E

Ghost CMS中的两个安全漏洞

日期: 2022-12-23
标签: 信息技术, Ghost CMS, 安全漏洞, 

网络安全研究人员详细说明了基于 JavaScript 的博客平台 Ghost 中的两个安全漏洞,其中一个可能被滥用以通过特制的 HTTP 请求提升权限。该漏洞编号为 CVE-2022-41654(CVSS 分数:8.5),身份验证绕过漏洞允许非特权用户(即会员)对时事通讯设置进行未经授权的修改。

详情

http://urlqh.cn/n3XLU

FIN7 网络犯罪集团分析

日期: 2022-12-23
标签: 信息技术, 勒索团伙, 

FIN7 的入侵技术已经超越传统的社会工程,进一步多样化,包括受感染的 USB 驱动器、软件供应链妥协以及使用从地下市场购买的被盗凭据。FIN7 的运作方式归结为:它利用 Dun & Bradstreet ( DNB )、Crunchbase、Owler 和 Zoominfo 等服务来筛选收入最高的公司和组织。它还使用 MuStat 和 Similarweb 等其他网站分析平台来监控受害者网站的流量。

详情

http://urlqh.cn/n1v1q

Passwordstate 密码管理器修补密码窃取漏洞链

日期: 2022-12-22
标签: 信息技术, 网络犯罪, 

Passwordstate由澳大利亚供应商 Click Studios 开发,是一个内部部署套件,包含基于角色的管理和访问控制、敏感信息共享、AES 数据加密和浏览器扩展功能。该软件拥有大约 29,000 名用户。它们包括CVE-2022-3875,一种高严重性的 API 身份验证绕过 (CVSS 7.3);CVE-2022-3876 (CVSS 4.3),其中 UpdatePassword 文件操作导致授权绕过;和CVE-2022-3877 (CVSS 3.5),这是用户界面中的跨站点脚本( XSS ) 漏洞。

详情

http://urlqh.cn/n3fcw

海康威视修补了其部分无线网桥产品中的一个严重漏洞

日期: 2022-12-22
标签: 信息技术, 海康威视, CVE-2022-28173, 

海康威视透露其两款专为电梯和其他视频监控系统设计的无线网桥产品受到CVE-2022-28173的影响。攻击者可以通过向受影响的设备发送特制消息来利用该安全漏洞,从而使攻击者获得管理员权限。

详情

http://urlqh.cn/n2RiG

Microsoft发布Windows Server VM问题的紧急修复程序

日期: 2022-12-21
标签: 信息技术, Microsoft, Hyper-V, 

微软发布了紧急带外(OOB)更新,以解决在安装本月的补丁星期二更新后,一些Hyper-V主机上出现的破坏虚拟机创建的已知问题。

详情

http://urlqh.cn/n1F6P

Akamai服务器为攻击者提供了web缓存中毒攻击的平台

日期: 2022-12-21
标签: 信息技术, 云计算, 

Akamai 可以将各种 HTTP 请求映射到它们相应的 S3 存储桶,并将它们缓存起来以供以后检索。安全研究员Tarunkant Gupta发现他可以诱骗 Akamai 服务器缓存来自恶意存储桶的文件。Gupta 使用 SVG 文件测试了攻击,该文件通常是缓存文件类型并且可以包含 JavaScript 代码——这使得它特别危险。但这种攻击也适用于服务器缓存的任何其他文件类型。

该漏洞容易被利用,一个简单的 cURL 就可以创建恶意缓存,并可能导致各种类型的攻击,例如XSS、JavaScript 注入、开放重定向、DoS、欺骗等。

详情

http://urlqh.cn/n2DEN

HHS敦促立即修补关键Citrix漏洞,目前已发现医疗保健实体被漏洞攻击

日期: 2022-12-20
标签: 美国, 信息技术, 卫生行业, 美国卫生与公众服务部 (HHS), Citrix, CVE-2022-27518, HHS, 

HHS敦促提供商组织优先修补Citrix Application Delivery Controller和Gateway平台中的一个关键漏洞,因为发现有攻击者已经利用该漏洞危害了多个医疗保健实体。

Citrix建议各组织查阅NSA通告,以了解如何检测和缓解这些持续攻击中使用的工具。

详情

http://urlqh.cn/n2o4T

微软发现CVE-2022-42821 macOS漏洞可以使黑客绕过安全机制

日期: 2022-12-20
标签: 信息技术, Apple, 

Apple 修复了一个漏洞,攻击者可以利用该漏洞通过能够绕过 Gatekeeper 应用程序执行限制的不受信任的应用程序在易受攻击的 macOS 设备上部署恶意软件。由 Microsoft 首席安全研究员 Jonathan Bar Or 发现并报告的安全漏洞(称为 Achilles)现在被追踪为 CVE-2022-42821。

详情

http://urlqh.cn/n2kZf

Cisco警告许多旧漏洞在攻击中被利用

日期: 2022-12-20
标签: 信息技术, 思科(Cisco), 

思科已更新多项安全公告,以警告恶意利用影响其网络设备的严重漏洞。CVSS 评分为 9.8,被利用的漏洞被跟踪为 CVE-2017-12240、CVE-2018-0171、CVE-2018-0125、CVE-2021-1497 和 CVE-2018-0147,并影响 Cisco IOS 和 IOS XE、RV132W 和 RV134W 路由器、HyperFlex HX 和安全访问控制系统 (ACS)。

详情

http://urlqh.cn/n34xC

Microsoft: KB5021233补丁导致蓝屏并出现0xc000021a错误

日期: 2022-12-20
标签: 信息技术, 微软(Microsoft), 

微软正在调查一个已知问题,该问题导致安装本月周二补丁发布的 Windows 10 KB5021233 累积更新后出现蓝屏死机 (BSOD) 并出现 0xc000021a 错误。这个已知问题很可能是由于 system32 中的 hidparse.sys 和 Windows 文件夹中的 system32/drivers 的文件版本不匹配造成的,“这可能会导致在进行清理时签名验证失败。”

详情

http://urlqh.cn/n1PdT

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

0x07   其他事件

Zscaler成为联合网络防御协作组织的成员

日期: 2022-12-25
标签: 美国, 政府部门, 信息技术, Zscaler, 

2022年12月19日,Zscaler 宣布它已成为联合网络防御协作组织 (JCDC) 的成员,强调该公司致力于在国家整体网络安全态势中发挥更突出的作用。JCDC于去年由网络安全和基础设施安全局 (CISA) 成立,致力于通过与私营部门、联邦政府以及州、地方、部落和地区政府的合作制定联合网络防御计划和行动。“网络防御是州、地方、部落和领土实体传统上没有机会或预算去探索的东西,”Valtix 首席安全研究员 Davis McCarthy表示。“随着 CISA 建立 JCDC 并与战略供应商合作,政府范围内的合作实际上可能有助于缓解长期的高级威胁。”

详情

http://urlqh.cn/n2DII

DuckDuckGo能阻止谷歌的弹出窗口

日期: 2022-12-25
标签: 美国, 信息技术, DuckDuckGo, 谷歌(Google), 

2022年12月25日,DuckDuckGo推出了一项新功能,可以捕捉网络上最常见的弹出式广告之一,即登录谷歌。DuckDuckGo是一个搜索引擎和浏览器,多年来一直是隐私和数据保护的代名词。为了向用户提供“更干净、更注重隐私的体验”,该公司宣布其更新的移动应用程序和 Firefox、Chrome、Brave 和 Edge 扩展程序将从其移动应用程序中删除所有破坏性和误导性的弹出窗口,浏览器扩展。

详情

http://urlqh.cn/n1W5f

FBI:为了安装恶意软件,黑客正在购买广告服务

日期: 2022-12-25
标签: 美国, 信息技术, 金融业, Conti Team One, 

2022年12月下旬,FBI 建议公民下载广告拦截器,以保护自己免受互联网安全威胁,因为网络犯罪分子使用广告来传播勒索软件和窃取信息。  趋势科技声称 Royal 是今年首次出现的 Zeon 勒索软件的 beta 版,并于 8 月与负责传播 Conti 勒索软件的组织之一 Conti Team One 相关联。据趋势科技称,Royal 勒索软件已被用于主要针对美国和巴西目标的攻击。它通常通过回调网络钓鱼进行传播,诱骗受害者下载远程访问软件。FBI 强调,这些广告还被用于欺骗金融网站,特别是加密货币交易平台。

详情

http://urlqh.cn/n2SXU

FIN7网络犯罪集团分析

日期: 2022-12-25
标签: 信息技术, FIN7, 网络犯罪, 

2022年12月25日,PRODAFT发布研究报告,揭示了FIN7组织与更大的威胁生态系统之间更深层次的联系,其中包括现已解散的 DarkSide、REvil 和 LockBit 勒索软件系列。极其活跃的威胁组织 Carbanak 以使用各种工具和策略来扩大其“网络犯罪视野”而闻名,包括在其剧本中添加勒索软件和设立虚拟安全公司以诱使研究人员以渗透测试为借口进行勒索软件攻击. 这个出于经济动机的对手已经在全球范围内危害了超过 8,147 名受害者,其中大多数受影响的企业都位于美国。其他著名国家包括中国、德国、加拿大、意大利和英国。多年来,FIN7 的入侵技术已经超越了传统的社会工程,包括受感染的 USB 驱动器、受损的软件供应链以及利用从暗网市场获得的被盗凭据。如今,它最初的做法是从已经受损的企业系统中仔细挑选高价值公司,并迫使他们支付大笔赎金以恢复数据,或者寻求独特的方式来通过数据和远程访问获利。

详情

http://urlqh.cn/n23Yw

谷歌称保护多个云环境是 2023 年 SOC 面临的最大挑战

日期: 2022-12-25
标签: 美国, 信息技术, 谷歌(Google), 云计算, 

2022年12月下旬,谷歌云的安全专家表示,安全运营中心在未来一年将面临的最大挑战是应对云。安全团队将不得不关注他们将如何处理不断扩展的云环境,包括各种公共云、多云和 SaaS 的扩散。CardinalOps网络防御战略副总裁Phil Neray表示,云改变了一切,包括我们如何在SOC中进行威胁检测和响应。Neray表示,保护端点的传统方法不适用于云中的无服务器功能。

详情

http://urlqh.cn/n0olN

研究人员建议团队在LastPass泄露后更改主密码和2FA密钥

日期: 2022-12-25
标签: 美国, 信息技术, 安全建议, 

2022年12月22日,密码管理器公司 LastPass 更新了 8 月份的安全事件情况,这促使安全研究人员警告管理员需要采取措施来保护他们的环境。Dig Security 的联合创始人兼首席执行官 Dan Benjamin 表示,一系列 LastPass 漏洞表明迫切需要优先考虑云数据安全并实施更强大的安全措施来保护客户数据。Benjamin 说,传统的数据安全方法在现代 IT 环境中一再被证明是无效的。研究人员建议团队在LastPass泄露后更改主密码和2FA密钥。

详情

http://urlqh.cn/n1uEh

Lastpass:黑客利用云存储漏洞窃取了客户密码保险库数据

日期: 2022-12-23
标签: 信息技术, LastPass, 网络犯罪, 云计算, 密码管理器, 

LastPass 今天透露,攻击者在今年早些时候使用 2022 年 8 月事件中窃取的信息破坏了其云存储后,窃取了客户保险库数据。攻击者使用从其开发者环境中窃取的“云存储访问密钥和双存储容器解密密钥”获得了对 Lastpass 云存储的访问权限。

攻击者从备份中复制了包含基本客户帐户信息和相关元数据的信息,包括公司名称、最终用户名称、账单地址、电子邮件地址、电话号码以及客户访问 LastPass 服务的 IP 地址

详情

http://urlqh.cn/n3nWE

Guacamaya泄露了大量暴露政府和军事机密的文件

日期: 2022-12-23
标签: 政府部门, Guacamaya, 数据泄露, 

环保团体 Guacamaya,它将这些机密文件提供给人权组织和记者,他们发表了数百篇关于这些内容的故事——引发了一场关于文职政府军事化和军队悖论的区域范围内的辩论,这些辩论都从中受益并最终遭受大规模的网络安全漏洞。这次泄密事件现在被认为是墨西哥历史上同类事件中规模最大的一次,其中包括有关总统健康状况的详细信息,以及该国一些高级军事官员之间的通信。最大的一批文件总共 6 TB,来自墨西哥军队运行的服务器

详情

http://urlqh.cn/n2C10

法国政府发布安全规划以帮助医院工作人员防范黑客攻击

日期: 2022-12-23
标签: 法国, 信息技术, 卫生行业, 

法国内政、卫生和数字服务部长在一份联合声明中宣布:目标是到 2023 年 5 月,100% 的最重要的卫生设施都进行了安全培训。

详情

http://urlqh.cn/n2PUa

双尾蝎新型移动端恶意软件分析报告

日期: 2022-12-22
标签: 双尾蝎, C2, APT, 

双尾蝎的Android端攻击非常活跃,恶意样本具有高隐匿和强远控的特点。其在Android端的攻击主要采用伪装成聊天软件的方式进行投递和诱导安装,而在受害者设备上则通过隐藏图标、变换为Google全家桶图标和安装官方聊天软件等手段进行隐匿和持久化。近日,奇安信病毒响应中心移动安全团队捕获到该组织一款新型恶意样本,其在使用经典武器库的同时,集成了最新的开源Android RAT武器库,借助SMS和FCM服务,实现了复合型的更强的远程控制功能。

详情

http://urlqh.cn/n1ksV

三星和谷歌修复了 Microsoft Intune Android 13 注册问题

日期: 2022-12-22
标签: 信息技术, 三星(Samsung), 微软(Microsoft), 三星, Google, 微软, Android(安卓), 

微软证实,三星和谷歌已经解决了影响运行 Android 13 的 Galaxy S22 智能手机的 Intune 注册问题。Microsoft Intune 是一项基于云的服务,可帮助企业管理员管理 Windows、Android、macOS、iOS 和 iPadOS 应用程序和设备。

详情

http://urlqh.cn/n4iVF

Corsair 键盘发布声明驱动存在错误使键盘自行打字,并不涉及恶意软件

日期: 2022-12-22
标签: 信息技术, Corsair, 

海盗船已确认 K100 键盘固件中的一个错误,而不是恶意软件,导致先前输入的文本在几天后自动输入到应用程序中。K100 设备(版本 1.11.39)的最新固件更新并没有解决这个问题

详情

http://urlqh.cn/n09D6

使用CPU等电子元件进行无线电波传输数据的方法

日期: 2022-12-22
标签: 信息技术, 网络犯罪, 

本古里安大学的以色列安全研究员 Mordechai Guri 发表了一项关于另一种从气隙网络中窃取数据的方法的研究。这一次,他找到了一种使用来自 CPU 的无线电波传输数据的方法,更具体地说,是来自其电源的无线电波。这种数据泄露方法要求攻击者距离 CPU 不超过几米。这不禁让 Guri 想起了 COVID-19 大流行期间的社交距离规则,因此有了一个有点奇怪的名字 COVID-bit。

详情

http://urlqh.cn/n29MR

Royal 在 11 月取代 LockBit 成为头号勒索软件

日期: 2022-12-25
标签: 美国, 信息技术, 

根据NCC Group的最新研究,勒索软件攻击上个月上升了41%,原因是勒索组织转移了首要位置。根据研究,Royal 和 Cuba 勒索组织分别位居第一和第二位,分别占所有攻击的 16% 和 15%,自 2021 年 9 月以来首次将 LockBit 挤下榜首。NCC Group 警告说:“尽管 LockBit 本月在受攻击的组织总数方面似乎有所下降,但前三名勒索组织的新成员可能会在假期前尽可能多地积累受害者,为 2023 年做准备。”

详情

http://urlqh.cn/mYbMl

针对Docker和Kubernetes的密码劫持活动的一个新变种Kissa-Dog

日期: 2022-12-22
标签: 信息技术, CrowdStrike, Docker, 云计算, Kiss-a-Dog, 

Crowdstrike 的研究人员最近发现了一种针对 Docker 和 Kubernetes 的新型加密劫持活动,他们将其命名为 Kiss-a-Dog。尽管许多 TTP 和总体目标保持不变,但该活动采用了一种新的初始访问方法并部署了 Crowdstrike 未报告的一些额外有效负载。其中包括一个(相当古老的)开源进程隐藏器和一个版本的 Tsunami,这是一个长期以来一直是加密劫持组织最喜欢的 Linux 后门。

详情

http://urlqh.cn/n1c0d

Microsoft将在2023年1月份关闭Exchange Online基本身份验证

日期: 2022-12-21
标签: 信息技术, 

微软今天警告称,将从 2023 年 1 月上旬开始永久关闭 Exchange Online 基本身份验证,以提高安全性。在基本身份验证被永久禁用后不久,任何使用基本身份验证连接到受影响协议之一的客户端或应用程序都将收到错误的用户名/密码/HTTP 401 错误。这些协议将在 2023 年 1 月的第一周永久禁用基本身份验证使用,并且无法再次重新启用。

详情

http://urlqh.cn/mZTbl

滥用AWS弹性IP传输功能进而实施攻击

日期: 2022-12-21
标签: 信息技术, 网络犯罪, 云计算, 

研究人员发现,攻击者可以破坏 Amazon Web Services (AWS) 中的一项新功能,以劫持云帐户的静态公共 IP 地址并将其滥用于各种恶意目的。

攻击者可以使用 Amazon Virtual Private Cloud (VPC) 弹性 IP (EIP) 传输功能窃取他人的 EIP 并将其用作自己的命令和控制 (C2),或发起冒充受害者的网络钓鱼活动。

研究人员表示,攻击者还可以使用被盗的 EIP 攻击受害者自己的受防火墙保护的端点,或充当原始受害者的网络端点,以增加数据盗窃的机会。

详情

http://urlqh.cn/n0pw0

Fortnite开发商违规收集用户数据被罚款2.75亿美元

日期: 2022-12-20
标签: 美国, 文化传播, 信息技术, Fortnite, Epic Games, 

根据美国联邦贸易委员会的一份声明,除了支付 2.75 亿美元的罚款外,Epic Games 还收到了一项禁令,禁止其使用在 COPPA 规则之外收集的任何数据。

详情

http://urlqh.cn/n2G5c

乌克兰DELTA军事系统用户成为恶意软件窃取信息的目标

日期: 2022-12-20
标签: 乌克兰, 信息技术, CERT-UA, 网络犯罪, 

CERT-UA(乌克兰计算机应急响应小组)今天在一份报告中强调了该活动,该报告警告乌克兰军方人员注意恶意软件攻击。CERT-UA发现一个受感染的乌克兰国防部电子邮件帐户向“DELTA”态势感知程序的用户发送网络钓鱼电子邮件和即时消息,以使用信息窃取恶意软件感染系统。

详情

http://urlqh.cn/mZEps

南亚地区隐藏的獠牙—响尾蛇组织近期攻击活动简报

日期: 2022-12-19
标签: 南亚, 响尾蛇, C2, APT, 

近期,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了响尾蛇组织多个攻击样本。该类样本使用与巴基斯坦相关的学校或者军队为诱饵进行鱼叉攻击,其攻击技战法(TTP)均使用了DotNetToJScript工具生成JS代码来加载.net程序。在近期的攻击活动中,总结了响尾蛇组织的攻击手段特点:

擅用社会工程学,使用更贴切的诱饵,诱饵甚至来自真实文件;

多阶段下载,并对后续载荷进行混淆处理;

使用轻量级远程Shell后门,甚至被曝光后仍继续使用相关C2。

详情

http://urlqh.cn/mY2oC

微软将从1月1日起为其欧盟客户推出“数据边界”

日期: 2022-12-19
标签: 

微软将从2023年 1 月 1 日起为其欧盟客户推出“数据边界”。欧盟的数据将独立存储在欧盟专用的数据中心,将不再与互联网进行多次传输。

详情

http://urlqh.cn/n3dvZ

HackerOne漏洞悬赏2022年达到6.5万,云计算漏洞成为主力

日期: 2022-12-19
标签: 美国, 信息技术, 

研究人员在 2022 年通过漏洞赏金平台 HackerOne 发现了超过 65,000 个软件漏洞,同比增长 21%。云迁移和向远程工作的转变使组织建立了越来越细化的权限,这一趋势反映在越来越多的错误配置漏洞上——跃升 150%——以及不当授权问题增加了 45%。

Web 应用程序继续占据主导地位,95% 的黑客优先考虑网站。接下来最受欢迎的目标是API (45%)、Android 移动应用程序 (38%)、云平台 (24%) 和开源 (24%)。跨站点脚本( XSS ) 再次成为报告的最常见错误,提交总数同比增长 32%。

详情

http://urlqh.cn/n1tcw

T-Mobile 黑客因 2500 万美元的手机解锁方案获刑 10 年

日期: 2022-12-19
标签: 美国, 信息技术, T-Mobile, 

一家 T-Mobile 零售店的前老板 Argishti Khudaverdyan 因一项价值 2500 万美元的计划被判处 10 年监禁,他通过侵入 T-Mobile 的内部系统来解锁和解锁手机。

详情

http://urlqh.cn/n1Vyz

云安全自动化是减少漏洞修复时间的关键

日期: 2022-12-19
标签: 信息技术, 云安全, 云计算, 

云服务提供更快的服务、更好的协作并且更具成本效益。切换到云还为组织提供了更大的灵活性和更大的未来可扩展性。最重要的是自动化能够帮助安全团队减少修复漏洞的平均时间 (MTTR)。根据 Edgeware 的 2022 年报告,大多数公司漏洞的平均 MTTR 徘徊在 57 到 64 天之间,该报告包括超过 40,000 个 Web 应用程序和 API 评估以及 300 万个网络端点评估。

详情

http://urlqh.cn/mZmlR

Wi-Peep:研究人员找到了一种新的可靠方法来跟踪无线 Wi-Fi 设备的位置

日期: 2022-12-19
标签: 信息技术, Wi-Peep, 

美国和加拿大大学的研究人员展示了一种使用廉价且易于找到的设备进行 Wi-Fi 设备定位的方法。该攻击概念验证被称为 Wi-Peep,因为它可用于窥视通过 Wi-Fi 相互通信的设备。该研究提供了对 Wi-Fi 网络某些特性以及设备本地化潜在风险的新见解。

详情

http://urlqh.cn/n1hRT

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x09   时间线

2022-12-26 360CERT发布安全事件周报