安全事件周报 (09.13-09.18)
2022-09-19 06:45

报告编号:B6-2022-091901

报告来源:360CERT

报告作者:360CERT

更新日期:2022-09-19

0x01   事件导览

本周收录安全热点45项,话题集中在安全漏洞网络攻击方面,涉及的组织有:UberKimsukyAkamaiGamaredon等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意程序
TeamTNT劫持服务器运行比特币加密器
恶意软件针对网络日志服务器和用于加密挖掘的Docker API
Hive 勒索软件声称对贝尔加拿大子公司进行网络攻击
新的恶意软件捆绑包通过 YouTube 游戏视频进行自我传播
美国、英国、加拿大和澳大利亚将伊朗政府机构与勒索软件攻击联系起来
俄罗斯黑客对乌克兰组织使用新的信息窃取恶意软件
攻击者通过破坏FishPig扩展发起Magento供应链攻击
数据安全
美国纽约救护车服务遭受勒索攻击,数据泄漏
Uber否认数据泄漏
黑客出售219,000名新加坡客户的星巴克被盗数据
印度尼西亚总统的文件据称在 BreachForums 页面上泄露
攻击者破坏PVC制造商Eurocell的员工数据
网络攻击
游戏厂商Rockstar Games遭受黑客攻击,GTA6源代码泄漏
伪猎者APT组织对韩定向攻击:瞄准基金会代表和平昌和平论坛政界人士
来自Kimsuky组织的突刺:多种攻击武器针对韩国的定向猎杀
UNC4034的新网络钓鱼活动
Akamai 在欧洲阻止了新的破纪录 DDoS 攻击
攻击者在凭证获取活动中滥用Facebook广告管理器
TA453组织的新攻击活动分析
英国女王去世消息被用在针对微软的网络钓鱼中
Lorenz勒索组织利用 Mitel VoIP 系统破坏商业网络
伊朗军方使用欺骗性角色来瞄准核安全研究人员
安全漏洞
Kingspan TMS300 CS 水箱管理系统存在严重漏洞
航空公司无线局域网设备中发现的主要漏洞
伊朗伊斯兰革命卫队附属APT组织利用漏洞进行数据勒索和磁盘加密
使用高通TrustZone攻击Android内核
CISA命令机构修补两个Windows和iOS漏洞
研究人员在Microsoft Teams中发现严重安全漏洞
新型网络间谍活动针对亚洲政府实体
软件制造商违规行为影响多达20万台服务器
微软2022年9月补丁日
WPGateway中的零日漏洞在野外被积极利用
安全分析
Gamaredon针对乌克兰政府的攻击活动
“电幕行动”(Bvp47)技术细节报告(二)——关键组件深度揭秘
其他事件
日本支付系统被假冒安全应用程序攻击
虚假的加密货币赠品网站今年增加了两倍
COBALT MIRAGE的勒索软件活动
纽约Empress EMS 被 Hive 勒索软件攻击
黑客将 PuTTY SSH 客户端木马后门部署到媒体公司
SparklingGoblin 部署新的 Linux 后门
国会调查揭示了美国电话记录的秘密海关和边境保护数据库
FBI:黑客从医疗保健支付处理器中窃取数百万美元
美国政府指控10名伊朗公民发起勒索攻击
新型网络钓鱼技术MPI
阿根廷首都立法机关遭受勒索攻击

0x03   恶意程序

TeamTNT劫持服务器运行比特币加密器

日期: 2022-09-18
标签: 金融业, 信息技术, TeamTNT, 加密货币, 密码学, 云安全, 

2022年9月15日,AquaSec 的威胁分析师发布研究报告表示,自2022年9月初以来,他们的蜜罐上发现了 TeamTNT 活动的迹象,这表明该黑客组织又开始行动了。2020 年初,TeamTNT黑客组织主要针对云环境进行攻击,包括配置错误的 Kubernetes 集群、Docker API、Kubernetes UI 工具、Redis 服务器等。TeamTNT 宣布它将于 2021 年 11 月退出,然而,最近的攻击带有与 TeamTNT 相关的各种特征,并依赖于该团伙先前部署的工具,这表明TeamTNT很可能已经卷土重来。研究人员观察到据称新的 TeamTNT 攻击中使用了三种攻击类型,其中最有趣的一种是利用被劫持服务器的计算能力来运行比特币加密求解器。由于使用 Pollard 的 Kangaroo WIF 求解器,该攻击被命名为“袋鼠攻击”,该攻击扫描易受攻击的 Docker 守护程序,部署 AlpineOS 映像,删除脚本(“k.sh”),并最终从 GitHub 获取求解器。建议组织提高云安全性,加强 Docker 配置,并及时进行安全更新。

详情

http://urlqh.cn/n1ZSh

恶意软件针对网络日志服务器和用于加密挖掘的Docker API

日期: 2022-09-17
标签: 金融业, 信息技术, 云安全, 加密货币, 网络犯罪, 

被称为Kinsing的恶意恶意软件正在使用最近在Oracle WebLogic服务器中发现的漏洞和遗留漏洞来加速加密货币挖掘恶意软件。趋势科技发现,恶意软件背后的一个出于经济动机的网络攻击组织正在利用该漏洞运行Python脚本,这些脚本可以禁用操作系统(OS)安全功能,例如安全嵌入的Linux(SELinux)等等。恶意软件具有获取易受攻击的服务器以选择入侵僵尸网络设备(如 Redis、SaltStack、Log4Shell、Spring4Shell)和阿特拉斯融合漏洞 (CVE-2022-26134) 的历史。据报道,该恶意软件还通过配置错误的开放Docker Daemon API端口参与活动容器环境,煽动加密挖掘并将恶意软件传播到其他容器主机设备。在最新一波的攻击中,恶意行为者将一个两年前的远程代码执行(RCE)错误(称为CVE-2020-14882(CVSS评分9.8))武器化,以对抗未修补的漏洞,以夺取对服务器的控制权并通过恶意有效载荷对受害者造成伤害。

详情

http://urlqh.cn/n0sTn

Hive 勒索软件声称对贝尔加拿大子公司进行网络攻击

日期: 2022-09-15
标签: 加拿大, 信息技术, BTS, 网络犯罪, 

Hive 勒索软件团伙声称对袭击贝尔加拿大子公司贝尔技术解决方案 (BTS) 系统的攻击负责。BTS 是一家拥有 4,500 多名员工的独立子公司,专门为安大略省和魁北克省的住宅和小型企业客户安装贝尔服务。虽然这家加拿大电信公司没有透露其网络何时被破坏或攻击发生,但 Hive 在其数据泄露博客中添加的新条目中声称,它在大约一个月前,即 2022 年 8 月 20 日加密了 BTS 的系统。BTS 的网站(通常可通过 bellsolutionstech.ca访问)目前无法访问,但加拿大贝尔公司在事件发生后在其自己的网站上发布了网络安全警报。BTS 目前正在加拿大皇家骑警网络犯罪部门的帮助下调查此事件,并已将违规行为通知了隐私专员办公室。

详情

http://urlqh.cn/n3TkY

新的恶意软件捆绑包通过 YouTube 游戏视频进行自我传播

日期: 2022-09-15
标签: 信息技术, FIFA, Final Fantasy(最终幻想), Forza Horizon(极限竞速地平线), Lego Star Wars(乐高星球大战), Spider-Man(蜘蛛侠), YouTube, MakiseKurisu.exe, download.exe, upload.exe, 游戏, 

一个新的恶意软件包使用受害者的 YouTube 频道上传恶意视频教程,宣传流行视频游戏的虚假作弊和破解,以进一步传播恶意包。自我传播的恶意软件捆绑包已在 YouTube 视频中宣传,目标是玩 FIFA、最终幻想、极限竞速地平线、乐高星球大战和蜘蛛侠的粉丝。这些上传的视频包含下载假破解和作弊的链接,但实际上,它们安装了相同的自我传播恶意软件包,感染了上传者。在卡巴斯基的一份新报告中,研究人员发现了一个包含恶意软件集合的 RAR 存档,其中最著名的是 RedLine,它是目前分布最广泛的信息窃取程序之一。具体来说,RAR 包含运行三个恶意可执行文件的批处理文件,即“MakiseKurisu.exe”、“download.exe”和“upload.exe”,它们执行捆绑包的自我传播。其中“upload.exe”用于将恶意软件宣传视频上传到 YouTube,使用被盗的 cookie 登录受害者的 YouTube 帐户并通过他们的频道传播捆绑包。

详情

http://urlqh.cn/n0Rvu

美国、英国、加拿大和澳大利亚将伊朗政府机构与勒索软件攻击联系起来

日期: 2022-09-15
标签: 美国, 英国, 加拿大, 澳大利亚, 伊朗, 政府部门, 漏洞利用, 

美国、英国、加拿大和澳大利亚的政府机构表示,与伊朗伊斯兰革命卫队 (IRGC) 相关的威胁组织一直在从事数据加密和勒索行动。这四个国家的机构表示,伊朗国家支持的与 IRGC 有关联的威胁参与者一直在利用 Microsoft Exchange、Fortinet OS 和 VMware Horizon Log4j 中的已知漏洞进行初始访问。这些高级持续威胁 (APT) 参与者实施的恶意攻击涉及加密文件和窃取数据以从事“双重勒索”活动。伊朗政府资助的 APT 参与者被发现扫描和利用漏洞,例如CVE-2018-13379、CVE-2019-5591和CVE-2020-12812 (FortiOS);CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207 ( ProxyShell );和CVE-2021-44228、CVE-2021-45046和CVE-2021-45105 (Log4Shell),针对各种实体,包括关键基础设施组织。

详情

http://urlqh.cn/n0nds

俄罗斯黑客对乌克兰组织使用新的信息窃取恶意软件

日期: 2022-09-15
标签: 乌克兰, 俄罗斯, 信息技术, 政府部门, Gamaredon, 网络犯罪, 俄乌战争, 

在新的间谍活动中,俄罗斯黑客一直在使用以前看不见的信息窃取恶意软件瞄准乌克兰实体,该活动仍在进行中。Cisco Talos 的安全研究人员将此次活动归因于俄罗斯国家支持的威胁组织 Gamaredon,该组织长期以来主要针对乌克兰政府、关键基础设施、国防、安全和执法部门的组织。Gamaredon 也被称为 Primitive Bear、Shuckworm、IronTiden 和 Callisto,它依靠社会工程和鱼叉式网络钓鱼来建立对受害者系统的长期访问权限。Cisco Talos 将新观察到的间谍活动(2022 年 8 月)归因于 Gamaredon,并注意到使用了一种新的信息窃取程序,该程序可以从受害计算机中提取特定文件类型并部署其他恶意软件。新的恶意软件有明确的说明来窃取具有以下扩展名的文件:.DOC、.DOCX、.XLS、.RTF、.ODT、.TXT、.JPG、.JPEG、.PDF、.PS1、.RAR、.ZIP、.7Z 和 .MDB。

详情

http://urlqh.cn/n2cyj

攻击者通过破坏FishPig扩展发起Magento供应链攻击

日期: 2022-09-14
标签: 英国, 信息技术, Fishpig, Magento, 供应链攻击, 供应链安全, 

2022年9月14日,为流行的 Magento 开源电子商务平台开发扩展程序的英国公司 FishPig 宣布,在其分发服务器遭到入侵后,其付费软件产品已被注入恶意软件。Sansec 研究人员表示,FishPig 分发服务器在 8 月 19 日或之前遭到入侵。“从那时起,任何安装或更新付费 Fishpig 软件的Magento商店现在都可能运行 Rekoobe 恶意软件。FishPig 表示,入侵可能发生在2022年 8 月 6 日后。他们没有说明攻击者是如何设法闯入服务器的,但可以确定攻击者将恶意 PHP 代码注入到大多数 FishPig 扩展中包含的 Helper/License.php 文件中。攻击者利用了其自定义系统,该系统在扩展代码可供下载之前对其进行加密,从而对用户和恶意软件扫描程序隐藏其存在。FishPig 敦促用户假设所有付费的 FishPig Magento 2 模块都已被感染,并建议他们升级所有 FishPig 模块或从源代码重新安装现有版本。

详情

http://urlqh.cn/n1Eg6

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

美国纽约救护车服务遭受勒索攻击,数据泄漏

日期: 2022-09-17
标签: 美国, 信息技术, 居民服务, 卫生行业, Empress EMS, 网络犯罪, 

2022年9月17日,总部位于纽约的紧急响应和救护车服务提供商 Empress EMS(紧急医疗服务)披露了一起泄露客户信息的数据泄露事件。根据通知,该公司于 2022年7月14日遭受勒索软件攻击。对该事件的调查显示,入侵者于2022年5月26日获得了 Empress EMS 系统的访问权限。大约一个半月后,即7月13日,黑客在部署前一天泄露了“一小部分文件”加密。其中一些文件包含患者姓名、服务日期、保险信息和社会安全号码。Empress 告知美国卫生与公众服务部,受此事件影响的人数为318,55。然而,实际受影响人数可能更多。Empress EMS 表示已加强其系统和协议的安全性,以防止未来发生类似事件。相关调查显示,此次事件的幕后黑手可能是Hive 勒索软件组织,该组织于 7 月 26 日在其网站上为 Empress EMS 数据泄露准备了一个非公开条目。2022年9月18日,DataBreaches.net发布了更多指向 Hive 的证据。此外,能够检索到被盗数据的样本,并确认许多条目似乎属于 Empress EMS 客户。

详情

http://urlqh.cn/mYXI6

Uber否认数据泄漏

日期: 2022-09-18
标签: 美国, 信息技术, 优步(Uber), 车联网安全, 

2022年9月15日,打车软件Uber遭受网络攻击。2022年9月16日,Uber发表官方声明,称没有证据表明该事件涉及对敏感用户数据(如旅行历史)的访问,Uber所有的服务,包括 Uber、Uber Eats、Uber Freight 和 Uber Driver 应用程序都可以运行。安全研究员 Sam Curry表示,此次事件涉及一名 18 岁的青少年黑客,他通过社会工程诱骗 Uber 员工提供帐户访问权限,让受害者接受多因素身份验证 (MFA) 提示,该提示允许攻击者注册自己的设备。在获得初步立足点后,攻击者发现了一个内部网络共享,其中包含具有特权管理员凭据的 PowerShell 脚本,授予对其他关键系统的全权访问权限,包括 AWS、谷歌云平台、OneLogin、SentinelOne 事件响应门户和 Slack。目前尚不清楚该事件是否导致任何其他信息被盗,或者入侵者在优步网络中停留了多长时间。优步没有提供有关事件如何发展的更多细节,只是表示其调查和响应工作正在进行中。

详情

http://urlqh.cn/n3XkF

黑客出售219,000名新加坡客户的星巴克被盗数据

日期: 2022-09-16
标签: 新加坡, 信息技术, 住宿餐饮业, Starbucks, 网络犯罪, 数据泄露, 

美国咖啡连锁店星巴克(Starbucks)的新加坡分部承认,它遭受了一起数据泄露事件,影响了超过219,000名客户。他们被破坏的第一个线索是在9月10日,当时一名威胁行为者提出在一个受欢迎的黑客论坛上出售一个包含219,675名星巴克顾客敏感细节的数据库。9月16日,星巴克新加坡公司致函通知客户数据泄露事件,并解释说黑客可能窃取了以下详细信息: 名字、性别、出生日期、手机号码、电子邮箱、住宅地址。此违规行为仅涉及使用星巴克移动应用程序下订单或使用连锁店在线商店从该连锁店在新加坡经营的125家商店之一购买商品的客户。

详情

http://urlqh.cn/n4qiU

印度尼西亚总统的文件据称在 BreachForums 页面上泄露

日期: 2022-09-13
标签: 印度尼西亚, 政府部门, 

2022年9月9日,黑客Bjorka宣布其窃取了印度尼西亚总统佐科维多多 (Jokowi) 的数据,并且在 BreachForums 页面上泄露了文件。黑客Bjorka曾在2022年8月泄露了包含 1.05 亿印度尼西亚公民的 20 GB 信息的数据集,引起公众轰动后。在他的上传中,Bjorka解释说他已经获得了对总统邮件系统的访问权限,并窃取了近 680,000 份文件,其中包括来自国家情报局 (BIN) 的信件。 匿名推特用户“Darktracer”首先报道了这一说法,他转发了 Bjorka 据称被盗总统文件清单的截图。“泄露”文件的主题似乎是非机密的,例如 2019 年独立日升旗仪式的彩排。 然而,总统秘书处负责人赫鲁·布迪·哈托诺(Heru Budi Hartono)驳斥了黑客的说法,称这封信的内容都没有被黑客入侵。

详情

http://urlqh.cn/mZRaN

攻击者破坏PVC制造商Eurocell的员工数据

日期: 2022-09-13
标签: 英国, 信息技术, 商务服务, Eurocell, 数据泄露, 

据一家律师事务所称,一家领先的英国 PVC 制造商一直在联系现任和前任员工,以通知他们“重大”数据泄露事件。总部位于德比郡的 Eurocell 也是 UPVC 门窗和屋顶产品的分销商,在致受影响者的一封信中披露了这一消息。根据海耶斯康纳的说法,该公司显然在其中解释说,未经授权的第三方获得了对其系统的访问权限。受损数据包括就业条款和条件、出生日期、近亲、银行账户、NI 和税务参考号、工作权文件、健康和福利文件、学习和发展记录以及纪律和申诉文件。对于潜在的欺诈者来说,这是很多信息,可用于随后的网络钓鱼甚至敲诈勒索。据报道,Eurocell 表示没有数据滥用的证据,但这不会给受影响的人带来多少安慰。也不清楚有多少员工会受到影响。

详情

http://urlqh.cn/n1uay

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

0x05   网络攻击

游戏厂商Rockstar Games遭受黑客攻击,GTA6源代码泄漏

日期: 2022-09-17
标签: 美国, 文化传播, 信息技术, Rockstar Game, 游戏, 

2022年9月17日,一个名为名为“TeaPots”的黑客入侵了 Rockstar Game 的 Slack 服务器和 Confluence wiki,侠盗猎车手 6 游戏视频和源代码被泄露。这些视频和源代码于2022年9月17日首次在 GTAForums 上泄露,一个名为“teapotuberhacker”的黑客分享了一个指向包含 90 个被盗视频的 RAR 存档的链接。这些视频似乎是由开发人员调试游戏中的各种功能创建的,例如摄像机角度、NPC 跟踪和罪恶城的位置。此外,部分视频还包含主角与其他 NPC 之间的语音对话。黑客表示,他们正在接受超过 10,000 美元的 GTA V 源代码和资产报价,但目前不出售 GTA 6 源代码。该名黑客还声称是最近对优步网络攻击的幕后黑手,相关情况待进一步调查。

详情

http://urlqh.cn/n25nX

伪猎者APT组织对韩定向攻击:瞄准基金会代表和平昌和平论坛政界人士

日期: 2022-09-15
标签: 中国, 韩国, 信息技术, 涉我舆情, APT舆情, 

伪猎者APT组织于2021年由国内安全厂商披露,据悉,其最早攻击时间可以追溯到2018年,历史攻击目标为包含中国在内的人力资源和贸易相关机构。近期微步情报局监控发现,该组织从2021年12月份至今依然活跃,在今年6月,该组织对韩国境内目标发起定向攻击活动。通过分析攻击事件,有如下发现:

- 本批次攻击活动目标人员包括汉斯赛德尔基金会韩国代表Bernhard Seliger博士、以及可能与2022平昌和平论坛相关的政界人士。

- 攻击事件时间节点包括两个:2022年2月上旬针对2022平昌和平论坛相关人士的攻击;2022年6月中旬对Bernhard Seliger博士的定向攻击。均为鱼叉邮件类型的攻击。

- 攻击者用于攻击载荷托管、C&C通信的网络资产包括公开免费的云端存储站点(如bitbucket.org、statcounter.com)和攻击者私有C&C资产。木马回连地址会涉及这两类的多个url地址。

详情

http://urlqh.cn/mZ9Ll

来自Kimsuky组织的突刺:多种攻击武器针对韩国的定向猎杀

日期: 2022-09-15
标签: 韩国, 信息技术, Kimsuky, APT舆情, 

近日,奇安信红雨滴团队在日常高价值样本狩猎过程中,捕获到多例Kimsuky组织针对韩国地区的攻击样本。此次的攻击活动有如下特点:

- 使用PIF可执行文件格式伪装成PDF文件,后续载荷为PebbleDash木马;

- 部分样本诱饵被韩国DRM软件加密,疑似由Kimsuky组织在其他攻击活动中所窃取,用于实施定向攻击;

- 样本擅用加解密算法来躲避相关杀软的静态查杀;

详情

http://urlqh.cn/n36a5

UNC4034的新网络钓鱼活动

日期: 2022-09-15
标签: 朝鲜, 信息技术, UNC4034, APT舆情, 

2022年7月,在对一家媒体行业的公司进行主动威胁搜寻活动期间,Mandiant发现了一种新颖的鱼叉式网络钓鱼方法,被跟踪为UNC4034的威胁集群采用,其疑似与朝鲜有关的威胁集群有重叠。UNC4034通过WhatsApp与受害者建立联系,并引诱他们下载伪装成虚假工作机会的恶意ISO软件包,最终将通过木马化的PuTTY实用程序安装AIRDRY.V2后门。该攻击活动可能是“Operation Dream Job”活动的延伸,这些活动利用了不同的攻击链,其中包含ISO文件和木马化的二进制文件,而不是武器化的文档。

详情

http://urlqh.cn/n2NgY

Akamai 在欧洲阻止了新的破纪录 DDoS 攻击

日期: 2022-09-15
标签: 欧洲, 信息技术, DDoS, 网络犯罪, 

2022年9 月 12 日发生的新分布式拒绝服务 (DDoS) 攻击打破了 Akamai 最近在 7 月份记录的先前记录。DDoS 攻击是一种网络攻击,会用虚假请求和垃圾流量淹没服务器,使合法访问者和客户无法访问它们。网络安全和云服务公司 Akamai 报告称,最近的攻击似乎来自同一威胁参与者,这意味着运营商正在进一步增强他们的集群能力。9 月 12 日,当发送到目标网络的“垃圾”流量达到 704.8 Mpps 的峰值时,这些攻击达到了前所未有的水平,比 7 月份的攻击高出大约 7%。除了攻击量之外,攻击者还扩大了他们的攻击目标,之前的攻击范围相当狭窄,主要集中在公司的主要数据中心。这一次,威胁参与者将火力分散到欧洲和北美的六个数据中心位置。此外,Akamai 检测并阻止了 201 次累积攻击,而 7 月份为 75 次,并记录了来自 1813 个 IP 的流量来源,而此前为 512 次。这些持续的大规模攻击背后的动机仍然未知,但自今年年初以来,东欧地区一直处于黑客活动的中心。

详情

http://urlqh.cn/n2REn

攻击者在凭证获取活动中滥用Facebook广告管理器

日期: 2022-09-15
标签: 文化传播, 商务服务, 信息技术, Meta(原Facebook), 网络钓鱼, 

攻击者通过发送看似来自 Facebook Ads Manager 的电子邮件来利用 Facebook 品牌的力量。该计划是诱骗受害者在 Facebook 潜在客户生成表格上提供他们的凭据和信用卡信息。 根据 Avanan 的安全研究团队发布的一份报告,攻击者正在发送网络钓鱼消息,这似乎是 Meta 的“Facebook AdManager”团队发出的紧急警告。这些消息声称受害者没有遵守公司的广告政策,如果目标不就虚构的违规行为提出上诉,广告帐户将被终止。“申诉表”链接将访问者带到一个凭证收集站点,该站点使用真正的 Facebook 潜在客户生成表单收集密码和信用卡信息。该活动的一个有趣方面是,攻击者不是使用托管在某处可疑 IP 上的收获网站,而是利用 Facebook 广告系统创建恶意的潜在客户生成表单。这种方法用一块石头杀死两只鸟:对于初学者来说,它欺骗了许多电子邮件平台使用的恶意链接的自动检查。Avanan 团队将使用合法站点称为静态高速公路。

详情

http://urlqh.cn/n1PIH

TA453组织的新攻击活动分析

日期: 2022-09-14
标签: TA453, 网络钓鱼, 社会工程, APT舆情, 

在整个2021年末和2022年期间,Proofpoint研究人员观察到TA453不断创新其攻击方法以收集情报。在2022年6月下旬,捕获到了利用多角色模拟(MPI)的攻击活动。在MPI中,TA453将他们的社会工程提升到一个新的水平,使用多个角色攻击研究人员。该技术使TA453能够利用社会心理学原理来攻击其目标,并提高攻击者网络钓鱼的真实性。

详情

http://urlqh.cn/mZDZd

英国女王去世消息被用在针对微软的网络钓鱼中

日期: 2022-09-14
标签: 英国, 政府部门, 微软(Microsoft), 网络钓鱼, 

2022年9月14日,Proofpoint 的 Threat Insight 团队发布报告称,发现有攻击者正在冒充“微软团队”,在网络钓鱼攻击活动中利用伊丽莎白二世女王去世的消息来引诱受害者访问恶意网站。单击网络钓鱼电子邮件中嵌入的按钮后,目标会被发送到网络钓鱼登录页面,要求受害者输入其 Microsoft 凭据。除了 Microsoft 帐户详细信息外,攻击者还试图窃取受害者的多因素身份验证 (MFA) 代码来接管他们的帐户。攻击者还试图诱骗潜在受害者交出包括银行详细信息在内的敏感信息。虽然这种恶意活动似乎有限,英国国家网络安全中心(NCSC)也于2022年9月14日称,已经发现了此类网络钓鱼攻击,目前正在对其进行调查。

详情

http://urlqh.cn/n107a

Lorenz勒索组织利用 Mitel VoIP 系统破坏商业网络

日期: 2022-09-14
标签: 美国, 中国, 墨西哥, 信息技术, CVE-2022-29499, 

2022年9月14日,网络安全公司北极狼的研究人员发布报告表示,据观察,Lornenz 勒索软件操作背后的运营商利用 Mitel MiVoice Connect 中现已修补的关键安全漏洞,在目标环境中获得立足点,以进行后续恶意活动。最初的恶意活动源自位于网络外围的 Mitel 设备。Lorenz 利用了CVE-2022-29499,这是一个影响 MiVoice Connect 的 Mitel Service Appliance 组件的远程代码执行漏洞,以获取反向外壳,随后使用Chisel作为隧道工具进入环境。与许多其他勒索软件组织一样,Lorenz 以通过在加密系统之前窃取数据进行双重勒索而闻名,攻击者针对位于美国的中小型企业 (SMB),在较小程度上针对中国和墨西哥。

详情

http://urlqh.cn/n2sRA

伊朗军方使用欺骗性角色来瞄准核安全研究人员

日期: 2022-09-13
标签: 伊朗, 以色列, 政府部门, TA453, APT舆情, 

根据新的研究,与伊朗伊斯兰革命卫队有联系的黑客在网络钓鱼电子邮件中使用多个角色,以针对提供有关以色列和几个海湾国家,亚伯拉罕协议和核军备控制的信息的组织和人员。网络安全公司Proofpoint在9月13日发布的一份报告将该活动与伊朗国家赞助的威胁行为者TA453联系起来,后者也被研究人员称为Charming Kitten、PHOSPHORUS和APT42。该组织正在使用在PEW研究中心,外交政策研究所,英国查塔姆研究所和科学杂志Nature工作的真实个人的欺骗性电子邮件地址,以进行鱼叉式网络钓鱼攻击,这些攻击具有多个虚假角色的电子邮件。

详情

http://urlqh.cn/n1kMD

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

Kingspan TMS300 CS 水箱管理系统存在严重漏洞

日期: 2022-09-18
标签: 美国, 信息技术, 能源业, Kingspan, 

2022年9月上旬,CISA 的研究员 Maxim Rupp 发布了一份关于Kingspan TMS300 CS 水箱管理系统因缺乏充分实施的访问控制指南而受到严重漏洞影响的报告,该漏洞允许未经身份验证的黑客查看或更改产品的设置。Kingspan TMS300 CS 水箱管理系统由总部位于爱尔兰的 Kingspan 建筑材料公司的水和能源部门设计,具有有线和无线多罐液位测量、警报以及互联网或本地网络连接功能,被全球 40 多个国家/地区的组织使用。黑客只需搜索特定的 URL,这些 URL 可以通过浏览 Web 界面或通过暴力攻击来识别。该漏洞被跟踪为 CVE-2022-2757 ,CVSS 评分为 9.8。黑客可以利用该漏洞来更改各种设置,包括几乎来自世界任何地方的与传感器、储罐详细信息和警报阈值相关的设置,只要他们可以访问设备的 Web 界面。目前,该漏洞尚未被修复。

详情

http://urlqh.cn/n1rLz

航空公司无线局域网设备中发现的主要漏洞

日期: 2022-09-17
标签: 日本, 信息技术, 交通运输, Contec, 航空公司, 

研究人员在 LAN 设备中发现了两个名为 CVE-2022-36158 和 CVE-2-22-36159 的关键漏洞。这两个主要漏洞是在flexlan系列中发现的,flexlan是一种在航空公司提供互联网服务的LAN设备。这些漏洞是在名为FXA3000和FXA2000的Flexlan系列中检测到的,并且与一家名为Contec的日本公司有关。 研究人员在分析第一个漏洞时表示,在对固件执行逆向工程期间,发现了一个隐藏的网页,该网页不在无线LAN管理器接口列表中。他们还补充说,它简化了在具有root权限的设备上执行Linux命令的过程。研究人员提到,第一个漏洞可以访问所有系统文件以及允许访问整个设备的telnet端口。关于第二个漏洞,研究人员说,它利用了硬编码的弱加密密钥和后门帐户。在进行研究的同时,研究人员还能够在暴力攻击的帮助下在几分钟内恢复并访问影子文件。该文件包含两个用户的哈希值,包括 root 和用户。

详情

http://urlqh.cn/n0OcC

伊朗伊斯兰革命卫队附属APT组织利用漏洞进行数据勒索和磁盘加密

日期: 2022-09-15
标签: 伊朗, 美国, 澳大利亚, 政府部门, Yazd, APT舆情, 

自2021年初以来,已经发现伊朗政府支持的APT组织扫描或利用以下已知的漏洞以获得对各种目标实体的初始访问权限:CVE-2018-13379、CVE-2020-12812、CVE-2019-5591和CVE-2021-34473。还观察到其利用CVE-2021-34473并结合CVE-2021-34523和CVE-2021-31207漏洞攻击美国网络。NCSC认为,总部位于伊朗的Yazd公司正在积极瞄准英国组织。此外,ACSC认为这些APT组织在澳大利亚使用CVE-2021-34473来访问系统。APT组织可以利用这种访问权限进行进一步的恶意活动,包括部署工具以支持勒索操作以及窃取数据。

详情

http://urlqh.cn/n1WAN

使用高通TrustZone攻击Android内核

日期: 2022-09-14
标签: 信息技术, 高通, 谷歌(Google), CVE-2021-1961, Android, 移动安全, 

2022年9月14日,安全研究人员发布研究报告,描述了一个特殊的 Android 内核漏洞利用,它利用 TrustZone 来破坏内核。CVE-2021-1961 是 Qualcomm 的 TrustZone (QSEE) 的通信协议中的一个漏洞。它允许攻击者破坏协议中的内存管理数据,研究人员利用它来指示 TrustZone 修改 Android 内核内存,从而在物理内存地址上实现任意读/写原语。研究人员还将这个强大的原语变成了一个可靠的漏洞利用,它可以开箱即用,无需针对每个设备/版本进行调整。

详情

http://urlqh.cn/n10Jz

CISA命令机构修补两个Windows和iOS漏洞

日期: 2022-09-14
标签: 美国, 信息技术, 美国网络安全和基础设施安全局 (CISA), 微软(Microsoft), Apple, 

2022年9月14日,CISA 在其被广泛利用的安全漏洞列表中添加了两个新漏洞,包括 Windows 权限提升漏洞和影响 iPhone 和 Mac 的任意代码执行漏洞。Windows 通用日志文件系统驱动程序中的特权提升漏洞被跟踪为 CVE-2022-37969,使本地攻击者能够在成功利用后获得 SYSTEM 特权。CISA在一次主动的进攻特遣部队漏洞搜寻任务中发现了这个 0Day 漏洞,并且还在野外发现了一个特权升级 (EOP) 漏洞,利用了这个通用日志文件系统 (CLFS) 漏洞。Apple于2022年9月12日修补了任意代码执行漏洞 (CVE-2022-32917),并确认该漏洞作为 iOS 和 macOS 内核中的零日漏洞在攻击中被利用。CISA 已给予联邦民事行政部门机构 (FCEB) 机构三周时间,直到2022年10月10日,以解决这两个安全漏洞并阻止可能针对其系统的攻击。

详情

http://urlqh.cn/n1RWr

研究人员在Microsoft Teams中发现严重安全漏洞

日期: 2022-09-14
标签: 美国, 信息技术, 微软(Microsoft), Microsoft Teams, 

2022年9月15日,安全分析师在 Microsoft Teams 的桌面应用程序中发现了一个严重的安全漏洞,该漏洞使黑客可以访问身份验证令牌和启用了多因素身份验证 (MFA) 的帐户。Microsoft Teams 是一个通信平台,包含在 365 产品系列中,被超过 2.7 亿人用于交换文本消息、视频会议和存储文件。新发现的安全漏洞具体是指Microsoft Teams 以明文形式存储用户身份验证令牌,而不保护对它们的访问,会影响适用于 Windows、Linux 和 Mac 的应用程序版本。在安装了 Microsoft Teams 的系统上具有本地访问权限的攻击者可以窃取令牌并使用它们登录受害者的帐户。这种攻击不需要特殊权限或高级恶意软件即可造成重大的内部损害。研究人员称,通过“控制关键职位——比如公司的工程主管、首席执行官或首席财务官——攻击者可以说服用户执行对组织有害的任务。”由于不太可能发布补丁,研究人员 建议用户切换到 Microsoft Teams 客户端的浏览器版本。

详情

http://urlqh.cn/n4PSw

新型网络间谍活动针对亚洲政府实体

日期: 2022-09-14
标签: 信息技术, 政府部门, 科研服务, 

2022年9月14日,赛门铁克 Threat Hunter 团队的安全研究人员发布研究报告称,发现了针对亚洲政府以及国有航空航天和国防公司、电信公司和 IT 组织的新网络间谍活动。该行动背后的黑客组织是早先与“ShadowPad”RAT(远程访问木马)(远程访问木马)相关联的不同集群。在最近的活动中,黑客组织使用了更广泛的工具集。情报收集攻击至少从 2021 年初就开始了,并且仍在进行中。当前的活动似乎几乎完全集中在亚洲政府或公共实体上,例如:政府首脑/总理办公室、与金融相关的政府机构、政府拥有的航空航天和国防公司、国有电信企业、国有信息技术组织、国有媒体公司等。

详情

http://urlqh.cn/n2VSr

软件制造商违规行为影响多达20万台服务器

日期: 2022-09-14
标签: 英国, 信息技术, 制造业, Fishpig, 网络犯罪, 漏洞利用, 

Fishpig是一家总部位于英国的电子商务软件制造商,被多达20万个网站使用,在发现其分发服务器的安全漏洞允许犯罪分子秘密后门客户系统后,敦促客户重新安装或更新所有现有的程序扩展。未知的威胁参与者利用他们对FishPig系统的控制来进行供应链攻击,该攻击通过Rekoobe感染了客户系统,这是一个在六月份发现的复杂的后门。Rekoobe 伪装成一个良性的 SMTP 服务器,可以通过与通过互联网处理攻击者的启动TLS 命令相关的秘密命令来激活。激活后,Rekoobe会提供一个反向外壳,允许威胁参与者远程向受感染的服务器发出命令。Sansec建议客户暂时禁用任何付费的Fishpig扩展程序,运行服务器端恶意软件扫描程序以检测任何已安装的恶意软件或未经授权的活动,然后重新启动服务器以终止任何未经授权的后台进程。

详情

http://urlqh.cn/n1JHi

微软2022年9月补丁日

日期: 2022-09-13
标签: 美国, 信息技术, 微软(Microsoft), 微软补丁日, 

2022年9月13日,微软发布2022年9月的安全更新通告,总共修复 63 个漏洞,其中包括2个被积极利用的 0day 漏洞。这些漏洞包括18个提权漏洞、1 个安全功能绕过漏洞、30个远程代码执行漏洞、7 个信息披露漏洞、7 个拒绝服务漏洞和16 个Edge - Chromium 漏洞。其中一个被积极利用的0day漏洞被跟踪为 CVE-2022-37969,是Windows 通用日志文件系统驱动程序特权提升漏洞,成功利用此漏洞的攻击者可以获得系统权限。另一个公开披露的漏洞被跟踪为CVE-2022-23960,是缓存推测限制漏洞。建议用户立即进行相关的安全更新。

详情

http://urlqh.cn/n1Xpv

WPGateway中的零日漏洞在野外被积极利用

日期: 2022-09-13
标签: 信息技术, Wordfence, 漏洞利用, 

2022年9月8日,Wordfence威胁情报团队意识到一个被积极利用的零日漏洞(CVE-2022-3180),该漏洞被用来将恶意管理员用户添加到运行WPGateway插件的站点。该公司向Wordfence Premium, Wordfence Care, and Wordfence Response客户发布了防火墙规则,以阻止同一天(2022 年 9 月 8 日)的攻击。仍在运行免费版Wordfence的网站将在30天后(2022年10月8日)获得相同的保护。在过去 30 天内,Wordfence 防火墙已成功阻止了针对此漏洞的 460 多万次针对此漏洞的攻击,这些攻击针对超过 280,000 个站点。如果您安装了WPGateway插件,强烈建议您立即将其删除,直到补丁可用,并在WordPress仪表板中检查恶意管理员用户。

详情

http://urlqh.cn/n0fcp

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

0x07   安全分析

Gamaredon针对乌克兰政府的攻击活动

日期: 2022-09-16
标签: 乌克兰, 俄罗斯, 信息技术, 俄乌战争, 

思科Talos发现Gamaredon针对乌克兰用户的攻击活动,并通过RAR压缩文件分发恶意LNK文件。该活动是在2022年8月观察到的持续间谍活动的一部分,旨在向乌克兰受害者机器分发信息窃取恶意软件,并大量使用多个模块化PowerShell和VBS脚本作为感染链的一部分。根据这些发现和Gamaredon基本完全针对乌克兰的行动历史,几乎肯定这一最新的活动是直接针对乌克兰的实体。

详情

http://urlqh.cn/n2xNm

“电幕行动”(Bvp47)技术细节报告(二)——关键组件深度揭秘

日期: 2022-09-13
标签: 中国, 教育行业, 涉我舆情, 

在2015年对国内某国家重要关键信息基础设施的Solaris系统取证中,盘古实验室提取到了一份独立存活于Solaris平台看起来与Bvp47关系密切的样本,后经确认,样本文件内容与“影子经纪人”(The Shadow Brokers)揭露出的“饮茶”(Suctionchar_Agent)木马程序原文件一致。该木马程序搭配Bvp47中的Dewdrop、Incision等模块和控制程序tipoff,可以轻松窃取目标系统用户在执行ssh、passwd、sudo等命令时的账号密码,随即将其隐蔽保存在目标系统中。基于特征的入侵分析取证发现,国内大量重要组织机构受到了这个美国国家安全局(NSA)来源的“饮茶”(Suctionchar_Agent)木马程序的侵袭,其中就包括了近期披露的被网络渗透的西北工业大学。

详情

http://urlqh.cn/n1Bqt

0x08   其他事件

日本支付系统被假冒安全应用程序攻击

日期: 2022-09-16
标签: 日本, 金融业, 信息技术, NTT DOCOMO, 加密货币, 网络犯罪, 密码学, 移动安全, 

迈克菲公司的研究团队已经观察到一种新的恶意软件。发现此恶意软件正在攻击日本的NTT DOCOMO客户。通过Google Play商店分发的恶意软件假装是合法的移动安全应用程序,但实际上,它是一种欺诈恶意软件,旨在窃取密码并滥用反向代理,专注于NTT DOCOMO移动服务客户。迈克菲分析团队向谷歌通报了该恶意软件的恶名。作为回应,谷歌已使该应用程序在谷歌Play商店中不可用,并删除了与恶意软件关联的已知谷歌云端硬盘文件。除此之外,谷歌播放盾现在通过禁用应用程序并显示警告来提醒客户。

详情

http://urlqh.cn/n0Pyf

虚假的加密货币赠品网站今年增加了两倍

日期: 2022-09-16
标签: 金融业, 信息技术, 加密货币, 网络犯罪, 

2022年上半年,推广加密货币赠品骗局以引诱轻信的受害者的网站数量增加了300%以上,主要针对使用名人深度伪造的英语和西班牙语人士。网络安全公司Group-IB的安全研究人员已经确定了2022年为此目的注册的2,000多个域名。9月16日发布的一份报告指出,与去年同期相比,涉及加密货币的虚假赠品数量增加了五倍。这些网站中的每一个的平均覆盖人数约为15,000名观众。如果这些数据是准确的,诈骗者的目标群体约为3000万人。使用被认为更值得信赖的顶级域(TLD)(“.COM”,“.NET”和“.ORG”)也为这一成功做出了贡献。Group-IB表示,诈骗者滥用几个视频平台,在直播中推广虚假赠品,其中包括埃隆·马斯克,加林豪斯,迈克尔·赛勒和凯茜·伍德的深度伪造品。YouTube在名单上排名第一,其次是Twitch。

详情

http://urlqh.cn/n1orq

COBALT MIRAGE的勒索软件活动

日期: 2022-09-15
标签: 伊朗, 信息技术, 

Secureworks对2022年6月勒索软件事件的分析揭示了有关伊朗COBALT MIRAGE组织运营的详细信息。在此事件中,该组织利用了ProxyShell漏洞(CVE-2021-34473、CVE-2021-34523和CVE-2021-31207)。攻击很可能是机会主义,而不是有针对性的。该次攻击行动和以往的攻击模式相同,部署了多个web shell和TunnelFish。然后,他们使用COBALT MIRAGE常用的密码启用了默认帐户,并使用BitLocker加密了多个服务器。

详情

http://urlqh.cn/n4bG8

纽约Empress EMS 被 Hive 勒索软件攻击

日期: 2022-09-15
标签: 美国, 居民服务, Empress EMS, 快递运输, 

2022年9 月 9 日,纽约Empress EMS联系 HHS 报告了一起影响 318,558 名患者的事件。根据他们网站上的通知,未经授权的个人于 5 月 26 日访问了他们的系统,并于 7 月 13 日复制了他们所说的“一小部分文件”。7 月 14 日,Empress 在他们的文件被加密时发现了漏洞。他们的披露没有透露勒索软件组是 Hive。通过 Hive 7 月 15 日的电子邮件向 Empress 提供的文件样本(也提供给 DataBreaches)包括 Empress EMS 的一些患者的受保护健康信息。Hive 声称有超过 100,000 个社会安全号码作为他们泄露的数据的一部分。Empress EMS 目前没有出现在 Hive 的泄密站点上,尽管它在 7 月份短暂出现过足够长的时间,足以被 RedPacket Security 检测到并在推特上发布。截至本文发布时,Empress 并未列在 Hive 的泄密站点上,DataBreaches 不认为 Hive 已倾倒或泄露任何敏感信息(或者,至少目前还没有)。

详情

http://urlqh.cn/n28pW

黑客将 PuTTY SSH 客户端木马后门部署到媒体公司

日期: 2022-09-15
标签: 文化传播, 信息技术, 亚马逊(Amazon ), 后门, 

根据 2022年发月15日发布的Mandiant 技术报告,朝鲜黑客正在使用木马化版本的 PuTTY SSH 客户端在目标设备上部署后门。负责此次活动的威胁集群是“UNC4034”(又名“Temp.Hermit”或“Labyrinth Chollima”)。该活动中的一个新元素是使用木马化版本的 PuTTY 和 KiTTY SSH 实用程序来部署后门,在本例中为“AIRDRY.V2”。该组织的最新活动似乎是“梦想工作行动”活动的延续,该活动自 2020 年 6 月以来一直在进行,这次针对的是媒体公司。攻击从威胁参与者通过电子邮件接近他们的目标开始,并在亚马逊提供丰厚的工作机会,然后与 WhatsApp 进行通信,在那里他们共享一个 ISO 文件(“amazon_assessment.iso”)。ISO 包括一个文本文件(“readme.txt”),其中包含一个 IP 地址和登录凭据,以及 一个非常流行的开源 SSH 控制台应用程序PuTTY (PuTTY.exe) 的木马化版本。

详情

http://urlqh.cn/mZxqm

SparklingGoblin 部署新的 Linux 后门

日期: 2022-09-14
标签: 中国, 教育行业, 信息技术, SparklingGoblin APT, Spectre RAT, SideWalk, 涉我舆情, 

ESET 研究人员发现了 SideWalk 后门的 Linux 变体,这是 SparklingGoblin APT 小组使用的多个自定义植入程序之一。该变体于 2021 年 2 月针对一所香港大学部署,该大学在 2020 年 5 月的学生抗议活动中已成为 SparklingGoblin 的目标。最初将此后门命名为 StageClient,但现在将其简称为 SideWalk Linux。以前已知的 Linux 后门——Spectre RAT,首先由 360 Netlab记录——实际上也是 SideWalk Linux 变体,与我们确定的样本有多个共性。SparklingGoblin 是一个 APT 组织,其战术、技术和程序 (TTP) 与 APT41 和 BARIUM 部分重叠。它使用基于 Motnug 和 ChaCha20 的加载程序、CROSSWALK 和 SideWalk 后门,以及 Korplug(又名 PlugX)和 Cobalt Strike。虽然该集团主要针对东亚和东南亚,但我们也看到 SparklingGoblin 针对全球范围广泛的组织和垂直行业,特别关注学术领域。SparklingGoblin 是可以访问 ShadowPad 后门的组织之一。

详情

http://urlqh.cn/n1eXB

国会调查揭示了美国电话记录的秘密海关和边境保护数据库

日期: 2022-09-15
标签: 美国, 政府部门, 数据库, 

根据该机构与民主党参议员罗恩·怀登 (Ron Wyden) 共享的信息,海关和边境保护局每年对多达 10,000 名美国人的手机和其他电子设备进行无证搜查,并将这些设备中的信息上传到庞大的政府数据库。该数据库保留了长达 15 年的记录,其中包括短信、通话记录、联系人列表、照片和其他敏感记录。怀登在随信附上的新闻稿中说。“CBP 不应将通过数千次未经授权的电话搜索获得的数据转储到中央数据库,将数据保留十五年,并允许数千名国土安全部员工随时搜索美国人的个人数据。”CBP 没有详细说明数据库中包含的美国人的确切数量,但在 6 月与 Wyden 办公室的简报中表示,它每年检查和保存“不到 10,000 个”设备的数据。

详情

http://urlqh.cn/n0bXp

FBI:黑客从医疗保健支付处理器中窃取数百万美元

日期: 2022-09-14
标签: 美国, 信息技术, 卫生行业, 美国联邦调查局 (FBI), 网络钓鱼, 

2022年9月14日,美国联邦调查局 (FBI) 发出警报,称黑客针对医疗保健支付处理器将付款路由到攻击者控制的银行账户。仅2022年一年,攻击者在访问客户账户和更改支付细节后,从医疗保健公司窃取了超过 460 万美元。FBI 表示,它收到了多份报告,其中黑客使用公开的个人详细信息和社会工程学来冒充受害者访问医疗保健门户、网站和支付信息。黑客会向医疗保健支付处理器的财务部门发送网络钓鱼电子邮件。他们还在修改 Exchange Server 的配置并为目标帐户设置自定义规则,以此收到受害者邮件的副本。建议企业定期进行网络安全评估、培训员工识别和报告网络钓鱼、通过硬件令牌对所有帐户和登录凭据进行多因素身份验证。

详情

http://urlqh.cn/n0LgO

美国政府指控10名伊朗公民发起勒索攻击

日期: 2022-09-14
标签: 伊朗, 美国, 政府部门, 卫生行业, 交通运输, 教育行业, 网络犯罪, 

2022年9月14日,美国财政部外国资产控制办公室 (OFAC) 公布了一系列制裁和指控,指控10名伊朗国民与该国军方合作,对数百家美国医院、政府、非营利组织和企业发起勒索软件攻击。OFAC表示,黑客自 2020 年以来一直很活跃,攻击了新泽西市儿童医院、交通服务提供商、医疗保健机构、紧急服务提供商和教育机构等。OFAC 还制裁了两家公司——Najee Technology Hooshmand Fater 和 Afkar System Yazd Company——据称黑客在这些公司工作。美国政府表示这些人和这些公司与伊朗伊斯兰革命卫队(IRGC)“有关联”,并称与 IRGC 相关的勒索软件团体“正在威胁美国和其他国家的人身安全和经济”。

详情

http://urlqh.cn/n0sXh

新型网络钓鱼技术MPI

日期: 2022-09-13
标签: 伊朗, 科研服务, TA453, 社会工程学, 网络钓鱼, MPI, 

2022年9月13日,Proofpoint 的研究人员发布报告称,发现与伊朗有关的黑客组织TA453正在使用一种新型网络钓鱼技术。该黑客组织使用多个角色和电子邮件帐户来引诱目标认为这是一个真实的电子邮件对话。攻击者向目标发送一封电子邮件,同时抄送他们控制的另一个电子邮件地址,然后从该电子邮件中回复,进行虚假对话。Proofpoint 的研究人员将其命名为“多角色模拟”(MPI),该技术利用“社会证明”的心理学原理来模糊逻辑思维,并为网络钓鱼线程添加可信度元素。在所有情况下,黑客都使用个人电子邮件地址(Gmail、Outlook、AOL、Hotmail)作为发件人和被抄送人的地址,而不是来自冒充机构的地址,这可作为判断可以活动的迹象。

详情

http://urlqh.cn/mYUZs

阿根廷首都立法机关遭受勒索攻击

日期: 2022-09-13
标签: 阿根廷, 政府部门, 网络犯罪, 

2022年9月13日,阿根廷首都布宜诺斯艾利斯的立法机关宣布遭受了勒索软件攻击,称其内部操作系统遭到破坏,WiFi 连接中断。布宜诺斯艾利斯立法机构表示,袭击于2022年9月11日开始,并摧毁了大楼的 WiFi 网络以及其他系统。布宜诺斯艾利斯立法机构表示迅速采取了必要措施以确保工作的连续性,并且计划恢复 WiFi 网络,并慢慢让其他系统重新上线。布宜诺斯艾利斯立法机构说:“我们正在与相关领域和该领域的专家合作,以尽快使所有流程恢复正常。”该事件已报告给阿根廷的几个执法机构。截至2022年9月13日下午,布宜诺斯艾利斯立法机关的网站仍处于关闭状态。目前背后的攻击者尚未查明。

详情

http://urlqh.cn/n1OAv

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x0a   时间线

2022-09-19 360CERT发布安全事件周报