安全事件周报 (08.01-08.07)
2022-08-08 14:45

报告编号:B6-2022-080801

报告来源:360CERT

报告作者:360CERT

更新日期:2022-08-08

0x01   事件导览

本周收录安全热点49项,话题集中在恶意程序网络攻击方面,涉及的组织有:BlackCatTwitterGwisinLockerVMware等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意程序
少年黑客将勒索软件脚本上传到 PyPI 存储库
新的Linux恶意软件暴力破解SSH服务器以破坏网络
俄罗斯实体遭到新型恶意软件 Woody RAT 的攻击
假冒的Atomic钱包网站传播Mars Stealer恶意软件
35000个代码库被克隆并包含恶意软件
奥地利调查针对律师事务所、金融机构的间谍软件
BlackCat勒索软件声称对欧洲天然气管道的攻击
数据安全
Neuro Practice称363000名用户的个人信息被泄露
Twitter漏洞暴露给匿名账户所有者
欧洲导弹制造商证实数据被盗,否认网络入侵
网络攻击
GwisinLocker勒索软件瞄准韩国的Linux系统
朝鲜黑客组织Lazarus以虚假职位传播恶意软件
Snapchat,美国运通网站在微软365网络钓鱼攻击中被滥用
Facebook发现APT黑客使用的新Android恶意软件
德国工商会受到“大规模”网络攻击
黑客利用Atlassian漏洞部署Ljl后门进行间谍活动
新的MFA绕过网络钓鱼工具包瞄准Microsoft帐户
数以千计的Solana钱包在未知漏洞的攻击中被耗尽
西班牙科学研究高级委员会 (CSIC) 遭受勒索攻击
SolidBit勒索软件进入RaaS场景,并瞄准游戏玩家和社交媒体用户
德国半导体制造商Semikron受到LV勒索软件攻击
移动商店老板入侵T-Mobile员工解锁手机
三管齐下,APT组织GAMAREDON在近期加紧对乌克兰的网络攻势
欧洲的能源公司再次遭受勒索攻击
安全漏洞
F5通过季度安全补丁修复了21个漏洞
黑客正在积极利用Zimbra中的密码窃取漏洞
严重的RCE漏洞影响29款DrayTek路由器
思科修复了 VPN 路由器中的关键远程代码执行漏洞
VMware发布CVE-2022-31656紧急补丁
“疯狂的暴徒”从加密平台Nomad窃取了超过1.56亿美元
新的“ParseThru”参数走私漏洞影响基于 Golang 的应用程序
其他事件
伊朗黑客疑似对阿尔巴尼亚政府进行出于政治动机的破坏性活动
谷歌开源检测加密工件漏洞的新工具Paranoid
解密亲俄巨魔行动下的组织“Cyber Front Z”
CISA公布了2021顶级恶意软件的名单
成千上万的黑客涌向“黑暗公用事业”C2即服务
微软阻止Tutanota用户使用自己的服务
美国网络空间大使提名人提出愿景巨大的议程
印度撤回了《个人数据保护法案》
量子加密候选算法SIKE被单核CPU一小时破解
乌克兰击落了100万个用于虚假信息的机器人
Microsoft Defender 增强勒索软件攻击拦截功能
乌克兰激进分子利用种子文件向俄罗斯传播未过审的新闻
超过3200个应用程序泄露 Twitter API 密钥
以色列政府调查发现警方利用间谍软件越权
亲俄团体筹集了220万美元的加密货币来资助战争
印尼实施新的互联网监管,Steam、PayPal 被封锁
警惕具有新功能的浣熊偷窃者(Raccoon Stealer)2.0
巨型投资诈骗网络通过电话瞄准受害者

0x03   恶意程序

少年黑客将勒索软件脚本上传到 PyPI 存储库

日期: 2022-08-07
标签: 意大利, 信息技术, Python, 供应链安全, 勒索软件, 

2022年7月下旬,一位来自意大利的少年将许多包含勒索软件程序的恶意 Python 包发布到 Python 包索引 (PyPI)。 这些包的名称是“requesys”、“requesrs”和“requesr”,它们都是“requests”的典型拼写错误,“requests”是 Python 的一个有效且广泛使用的 HTTP 库。而这一行为的目的是作为勒索软件攻击研究项目的一项非恶意实验。根据在 PyPI 上发现恶意代码的 Sonatype 研究人员的说法,其中一个包 (requesys) 被下载了大约 258 次。黑客 Discord 频道上的信息显示,至少有 15 名受害者安装并运行了这些软件包。Sonatype 于 7 月 28 日发现了该病毒,并立即向 PyPI 当局报告。其中两个包随后被删除。域名仿冒是目前最流行的恶意软件攻击策略之一。开发人员在获取软件包并将其集成到他们的软件版本中时应始终谨慎行事。安全研究人员表示,开源既是数字创新的必要燃料,也是软件供应链威胁的有吸引力的目标。

详情

http://urlqh.cn/n0z1c

新的Linux恶意软件暴力破解SSH服务器以破坏网络

日期: 2022-08-04
标签: 信息技术, RapperBot, Mirai, 僵尸网络, 

自2022年6月中旬以来,一个名为“RapperBot”的新僵尸网络一直在攻击中使用,重点是暴力破解进入Linux SSH服务器,以在设备上建立立足点。研究人员表明,RapperBot基于Mirai木马,但偏离了原始恶意软件的正常行为,即不受控制的传播到尽可能多的设备。相反,RapperBot受到更严格的控制,DDoS功能有限,其操作似乎面向初始服务器访问,可能被用作网络内横向移动的垫脚石。自被发现以来的过去1.5个月中,新的僵尸网络使用全球3,500多个唯一IP来扫描和尝试暴力破解Linux SSH服务器。

详情

http://urlqh.cn/n2j0j

俄罗斯实体遭到新型恶意软件 Woody RAT 的攻击

日期: 2022-08-03
标签: 俄罗斯, 信息技术, 政府部门, 科研服务, OAK, Woody RAT, 俄乌战争, 

2022年8月3日,Malwarebytes Labs 的研究人员发布报告称,未知攻击者使用新型恶意软件 Woody RAT攻击俄罗斯实体,攻击者可以远程控制和窃取受感染设备的信息。Woody Rat 具有广泛的功能,并且已被用于攻击至少一年。该恶意软件目前通过两种分发方法通过网络钓鱼电子邮件传递到目标的计算机:包含恶意负载的 ZIP 存档文件或利用 Follina 漏洞丢弃负载的“信息安全备忘录”Microsoft Office 文档。根据黑客注册的虚假域,Malwarebytes Labs 的研究人员发现他们试图针对一个名为 OAK的俄罗斯航空航天和国防实体。

详情

http://urlqh.cn/n1W3y

假冒的Atomic钱包网站传播Mars Stealer恶意软件

日期: 2022-08-03
标签: 信息技术, Atomic, Mars Stealer, 加密货币, 

2022年8月1日,一名为 Dee 的恶意软件研究人员披露了一个假冒 Atomic 钱包官方门户网站的虚假网站 ,实际上正在分发 Mars Stealer 信息窃取恶意软件的副本。Atomic是一个流行的去中心化钱包,也是一个加密货币交换门户网站。截止2022年8月4日,该假冒网站仍然在线,提供恶意软件Mars Stealer的副本。Mars Stealer 是2022年7月左右出现的信息窃取器,它针对存储在 Web 浏览器、加密货币扩展和钱包以及双因素身份验证插件上的帐户凭据。建议用户在下载加密货币钱包时,务必确保使用的是官方下载门户,并且永远不要信任社交媒体或即时消息平台上提供的链接。

详情

http://urlqh.cn/mZDZf

35000个代码库被克隆并包含恶意软件

日期: 2022-08-03
标签: 信息技术, GitHub, 恶意克隆, 

一位软件工程师在8月3日发现数以千计的GitHub存储库被复制,其克隆被更改以包含恶意软件。虽然克隆开源存储库是一种常见的开发实践,甚至在开发人员中也受到鼓励,但这种情况涉及威胁行为者创建合法项目的副本,但用恶意代码污染这些项目,以针对毫无戒心的开发人员的恶意克隆。GitHub 在收到工程师的报告后清除了大多数恶意存储库。就这项活动的时间线而言,绝大多数分叉存储库在上个月的某个时候被恶意代码更改,结果从六到十三天到二十天前不等。但是,确实观察到一些存储库的恶意提交可以追溯到2015年。请记住使用官方项目存储库中的软件,并注意潜在的拼写错误或存储库分叉/克隆,这些分叉/克隆可能看起来与原始项目相同但隐藏了恶意软件。

详情

http://urlqh.cn/mZAFJ

奥地利调查针对律师事务所、金融机构的间谍软件

日期: 2022-08-01
标签: 奥地利, 金融业, 居民服务, 微软(Microsoft), 漏洞利用, 

奥地利政府在7月底表示,它正在调查一家位于该国境内的公司,该公司涉嫌针对至少三个国家的律师事务所,银行和咨询公司开发间谍软件。这一消息是在微软的威胁情报中心(MSTIC)表示发现2021年和2022年部署的名为Subzero(CVE-2022-22047)的恶意软件几天后发布的。根据这家科技巨头的说法,Subzero是由总部位于维也纳的DSIRF公司开发的(由微软以代号KNOTWEED跟踪),并通过各种方法进行部署,包括Windows和Adobe Reader中的0零日漏洞利用。微软的公告已将该公司与用于未经授权监视的间谍软件的销售联系起来。

详情

http://urlqh.cn/mZN1O

BlackCat勒索软件声称对欧洲天然气管道的攻击

日期: 2022-08-01
标签: 中欧, 制造业, 勒索攻击, 数据泄露, 

ALPHV勒索软件团伙(又名BlackCat)7月底声称对中欧国家的天然气管道和电力网络运营商Creos Luxembourg S.A.的网络攻击负责。Creos的所有者Encevo在五个欧盟国家担任能源供应商,他于7月25日宣布,他们在7月22日至23日遭受了网络攻击。虽然网络攻击导致Encevo和Creos的客户门户变得不可用,但所提供的服务没有中断。7月28日,该公司发布了有关网络攻击的最新消息,调查结果显示,网络入侵者已从访问的系统中泄露了“一定数量的数据”。ALPHV / BlackCat勒索软件组织7月30日将Creos添加到其勒索网站,威胁要发布180,000个被盗文件,总面积为150 GB,包括合同,协议,护照,账单和电子邮件。虽然没有宣布实现这一威胁的确切时间,但黑客将在8月1日将披露这一消息。

详情

http://urlqh.cn/n0mv9

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

Neuro Practice称363000名用户的个人信息被泄露

日期: 2022-08-07
标签: 印第安纳州, 卫生行业, 勒索攻击, 

印第安纳州的一家神经病学诊所正在通知大约363,000人,他们的个人数据在最近的勒索软件攻击中被泄露,其中一些被发布在暗网上。尚未知道哪个勒索软件组或数据泄漏站点,但是,俄罗斯勒索软件Hive(这是最近医疗保健行业联邦顾问的主题)在攻击中被暗示。Hive一直在疯狂地攻击美国医疗保健行业。在5月20日发现攻击,该诊所立即采取措施保护其系统,并进行了取证分析和事件响应公司。古德曼·坎贝尔也通知了联邦调查局。对该案件的调查显示,恶意第三方从该诊所的系统获取了信息。黑客没有访问电子病历系统,而是访问了内部网络中其他位置的患者信息和记录,例如预约时间表,保险资格文档和转诊表格。在攻击中受到损害的信息包括出生日期,姓名,电话号码,地址,电子邮件ID,医疗记录号码,患者帐号,医生姓名,服务日期,诊断和治疗信息,保险信息和社会安全号码。

详情

http://urlqh.cn/n1IIg

Twitter漏洞暴露给匿名账户所有者

日期: 2022-08-05
标签: 美国, 信息技术, 推特(Twitter), 漏洞利用, 

2022年8月5日,社交媒体公司Twitter表示,2021年 Twitter 软件中的一个漏洞使未确定数量的匿名账户所有者面临潜在的身份泄露风险,而现已发现这个漏洞被黑客利用。而早在2021年1月,一名安全研究人员发现了该漏洞,并通知了 Twitter。2021年6月,Twitter在其软件更新中修复了该漏洞。Twitter没有证实报道中所称的有 540 万用户的数据因此被在线出售,但表示全球用户都受到了影响。该漏洞允许某人在登录期间确定特定电话号码或电子邮件地址是否与现有 Twitter 帐户相关联,从而揭示帐户所有者。这个漏洞影响严重,因为包括人权活动家在内的许多 Twitter 帐户所有者出于安全原因而不会在其个人资料中披露其身份。Twitter建议这类匿名用户不要在其 Twitter 帐户中添加公开的电话号码或电子邮件地址。

详情

http://urlqh.cn/n2dPA

欧洲导弹制造商证实数据被盗,否认网络入侵

日期: 2022-08-02
标签: 法国, 制造业, MBDA, Adrastea, 数据泄露, 勒索攻击, 

导弹制造商MBDA证实了与其业务相关的数据泄露,但否认了其网络受到损害的说法。该公司表示,网络犯罪分子在线宣传的信息来自外部硬盘驱动器。MBDA是一家总部位于法国的大型跨国国防公司,拥有13,000多名员工。在网络犯罪论坛上的一篇文章中,一群自称“Adrastea”的“网络安全领域的独立专家和研究人员”声称他们破坏了公司的网络,获得了有关该公司与欧盟国防部合作的员工和项目的信息。发帖人声称有60 GB的数据。MBDA在其网站上发布的一份声明中表示,它正在与意大利警方合作调查针对该公司的勒索计划。

详情

http://urlqh.cn/n0KWI

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

0x05   网络攻击

GwisinLocker勒索软件瞄准韩国的Linux系统

日期: 2022-08-07
标签: 韩国, 卫生行业, 制造业, 微软(Microsoft), Linux, 勒索攻击, 

2022年8月7日,ReversingLabs 网络情报小组发现了一个名为“GwisinLocker”的品牌勒索软件系列。根据分析,该勒索软件主要攻击韩国的基础设施,例如医疗保健、制药公司以及具有 Windows 和 Linux 加密器的行业,包括对 VMware ESXi 服务器和虚拟机的加密支持。该恶意软件被称为 GwisinLocker,于2022年 7 月 19 日由 ReversingLabs 网络情报组首次检测到GwisinLocker 是一种升级的高级恶意软件变体,由黑客组织“Gwisin”创建,可能来源韩国。该组织经常在公共假期和凌晨(韩国时间)发动攻击。与 GwisinLocker.Linux 相关的赎金记录包含来自受感染环境的详细内部信息。加密文件使用定制的文件扩展名,例如受害者公司的名称。

详情

http://urlqh.cn/n3sMW

朝鲜黑客组织Lazarus以虚假职位传播恶意软件

日期: 2022-08-07
标签: 朝鲜, 信息技术, 金融业, 比特币基地(Coinbase), Lazarus, 社会工程, 

2022年7月下旬,朝鲜 Lazarus 黑客组织发起了一项新的社会工程活动,冒充 Coinbase(世界上最大的加密货币交易平台之一) 瞄准金融科技行业的员工。作为社会工程攻击的一部分,Lazarus 黑客组织假装来自 Coinbase,提供虚假的“产品安全工程经理”的工作机会,以与受害者进行进一步交流。当受害者下载他们认为是关于工作职位的 PDF 文件时,他们实际上是在使用 PDF 图标获取恶意可执行文件。在这种情况下,该文件被命名为“Coinbase_online_careers_2022_07.exe”,该文件在执行时会显示如下所示的诱饵 PDF 文档,同时还会加载恶意 DLL。一旦执行,恶意软件将使用 GitHub 作为命令和控制服务器来接收命令以在受感染的设备上执行。

详情

http://urlqh.cn/n1mMB

Snapchat,美国运通网站在微软365网络钓鱼攻击中被滥用

日期: 2022-08-07
标签: 美国, 信息技术, Snapchat, 开放重定向, 网络钓鱼攻击, 

攻击者在一系列网络钓鱼攻击中滥用Snapchat和美国运通网站上的开放重定向,以窃取Microsoft 365凭据。开放重定向是 Web 应用的弱点,允许威胁参与者将受信任组织和网站的域用作临时登录页面,以简化网络钓鱼攻击。它们在攻击中用于将目标重定向到恶意站点,这些恶意站点将感染恶意软件或诱使他们交出敏感信息(例如,凭据,财务信息,个人信息)。根据Inky研究人员的说法,Snapchat开放重定向被用于G Suite发送的6,812封网络钓鱼电子邮件中,Microsoft 365在两个半月内被劫持。这些电子邮件冒充了Microsoft,DocuSign和FedEx,并将收件人重定向到旨在收集Microsoft凭据的登录页面。

详情

http://urlqh.cn/n1iGp

Facebook发现APT黑客使用的新Android恶意软件

日期: 2022-08-05
标签: 巴基斯坦, 印度, 孟加拉国, 信息技术, Meta(原Facebook), APT舆情, 

Meta(Facebook)发布了2022年第二季度的对抗性威胁报告,其中的亮点是发现了两个网络间谍集群,这些集群与使用新的Android恶意软件的黑客组织“Bitter APT”和APT36(又名“透明部落”)相连。这些网络间谍特工使用Facebook等社交媒体平台来收集情报(OSINT)或使用虚假角色与受害者交朋友,然后将他们拖到外部平台下载恶意软件。今年早些时候,APT36和Bitter APT都被观察到在策划网络间谍活动。巴基斯坦国家赞助的演员APT36在一场使用MFA绕过工具针对印度政府的运动中被曝光。在2022年5月还观察到了Bitter APT,针对孟加拉国政府使用具有远程文件执行功能的新恶意软件。在Bitter APT攻击活动中,研究人员发现了新的Android恶意软件,并称之为“Dracarys”,它滥用可访问性服务,在未经用户同意的情况下为自己提供更高的权限。

详情

https://t.co/kHI9unEMCl

德国工商会受到“大规模”网络攻击

日期: 2022-08-03
标签: 德国, 信息技术, 

德国工商会协会(DIHK)被迫关闭其所有IT系统,并关闭数字服务,电话和电子邮件服务器,以应对网络攻击。DIHK是一个由79个商会组成的联盟,代表德国境内的公司,拥有超过300万会员,包括从该国小商店到大型企业的企业。该组织处理法律代表,咨询,外贸促进,培训,区域经济发展,并为其成员提供一般支持服务。网络攻击发生8月3日,DIHK网站上发布的一份简短声明将关闭描述为一种预防措施,也是让IT团队有时间开发解决方案和建立防御的一种方式。虽然网络攻击带有勒索软件的迹象,系统被关闭以防止恶意软件的传播,但这尚未得到官方证实。

详情

http://urlqh.cn/n2YLI

黑客利用Atlassian漏洞部署Ljl后门进行间谍活动

日期: 2022-08-04
标签: 信息技术, Atlassian, Ljl Backdoor, CVE-2022-26134, 间谍活动, 

威胁参与者利用过时的Atlassian Confluence服务器中的安全漏洞,针对研究和技术服务领域的未命名组织部署了前所未有的后门。该攻击发生在五月底,归因于网络安全公司Deepwatch跟踪的威胁活动集群,称为TAC-040。有证据表明,威胁行为者使用Tomcat9的父进程执行恶意命令.exe Atlassian的Confluence目录中。威胁参与者运行了各种命令来枚举本地系统,网络和Active Directory环境。疑似已被利用的 Atlassian 漏洞是 CVE-2022-26134,这是一个对象图导航语言 (OGNL) 注入漏洞,为在 Confluence 服务器或数据中心实例上执行任意代码铺平了道路。该攻击链还值得一提的是,在受感染的服务器上部署了一个名为Ljl Backdoor的以前未记录的植入物。根据对网络日志的分析,估计在受害者使服务器脱机之前,大约有700MB的存档数据已被泄露。

详情

http://urlqh.cn/mZ7uU

新的MFA绕过网络钓鱼工具包瞄准Microsoft帐户

日期: 2022-08-03
标签: 美国, 英国, 新西兰, 澳大利亚, 金融业, 商务服务, 微软(Microsoft), BEC, 网络钓鱼, 

2022年8月3日,Zscaler 的 ThreatLabz 研究人员发现,新出现的针对 Microsoft 电子邮件服务凭据的大规模网络钓鱼活动,使用的是基于代理的自定义网络钓鱼工具包来绕过多因素身份验证。研究人员认为,该活动的目标是破坏公司账户以进行 BEC(商业电子邮件泄露)攻击,使用伪造文件将付款转移到他们控制的银行账户。网络钓鱼活动的目标包括美国、英国、新西兰和澳大利亚的金融科技、贷款、会计、保险和联邦信用合作社组织。研究人员报告说该操作仍在进行中,网络钓鱼攻击者几乎每天都会注册新的网络钓鱼域。

详情

http://urlqh.cn/n3VUW

数以千计的Solana钱包在未知漏洞的攻击中被耗尽

日期: 2022-08-03
标签: 金融业, Solana, Solflare, Trust Wallet, 虚拟货币, 区块链安全, 

在8月3日的一份声明中,Solana表示,在UTC时间凌晨5点,这次攻击影响了超过7,700个钱包,包括Slope和Phantom。据公开报道,Solflare和Trust Wallet用户也受到了影响。对Solana区块链平台的一夜之间攻击耗尽了数千个价值数百万美元的加密货币软件钱包。该平台已开始调查,目前正在试图确定恶意行为者如何设法耗尽资金。区块链分析提供商Elliptic最近的一项统计(大约一小时前)显示,受影响的钱包数量接近7,936个,加密资产(SOL,NFT,超过300个基于Solana的代币)的损失达到520万美元。Solana表示,在这次攻击中受到影响的钱包应该被视为受到损害,应该被硬件变体 - 冷钱包所放弃,这些钱包似乎不受影响。此举的建议是不要重复使用助记词,并为硬件钱包创建一个新助记词。

详情

http://urlqh.cn/n0yrO

西班牙科学研究高级委员会 (CSIC) 遭受勒索攻击

日期: 2022-08-02
标签: 西班牙, 政府部门, 科研服务, 西班牙科学研究高级委员会 (CSIC), 勒索攻击, 

2022年8月2日,西班牙媒体报告称,隶属于西班牙科学与创新部的机构高级科学研究委员会 (CSIC) 于 2022年 7 月 16 日至 17 日受到了勒索软件类型的网络攻击。网络攻击于 7 月 18 日被发现,西班牙网络安全运营中心 (COCS) 和国家密码中心 (CCN) 标记的协议立即被激活。为减小攻击影响和保证数据安全,目前各个中心的网络访问被切断。在没有最终调查报告的情况下,专家们指出网络攻击的源头来自俄罗斯,并表示迄今为止,尚未发现敏感或机密信息的丢失或绑架。

详情

http://urlqh.cn/mZrI8

SolidBit勒索软件进入RaaS场景,并瞄准游戏玩家和社交媒体用户

日期: 2022-08-02
标签: 信息技术, 文化传播, 勒索攻击, 

趋势科技研究人员分析了一种新的SolidBit勒索软件变体的样本,该变体针对流行视频游戏和社交媒体平台的用户。该恶意软件被上传到GitHub,在那里它被伪装成不同的应用程序,包括英雄联盟帐户检查器工具和Instagram关注者机器人,以吸引受害者。GitHub 上的英雄联盟帐户检查器与一个文件捆绑在一起,其中包含有关如何使用该工具的说明,但这就是伪装的程度:它没有图形用户界面 (GUI) 或与其假定功能相关的任何其他行为。当毫无戒心的受害者运行应用程序时,它会自动执行丢弃勒索软件的恶意PowerShell代码。勒索软件附带的另一个文件名为“源代码”,但这似乎与编译的二进制文件不同。

详情

http://urlqh.cn/n102C

德国半导体制造商Semikron受到LV勒索软件攻击

日期: 2022-08-01
标签: 德国, 制造业, 能源业, Semikron, 勒索攻击, 

2022年8月1日,德国电力电子制造商Semikron发布声明表示,该公司遭到勒索软件攻击,该公司的 IT 系统和文件被部分加密。Semikron是世界领先的电力工程部件制造商之一,每年安装的风力涡轮机中有 35% 使用其技术运行。根据德国联邦信息安全办公室 (Bundesamt für Sicherheit in der Informationstechnik) 发出的警报,勒索软件运营商LV正在勒索该公司,并威胁要泄露据称被盗的数据。LV勒索软件运营商称窃取了 2TB 的文件。目前,Semikron与德国当局正在调查相关细节。

详情

http://urlqh.cn/mZK3d

移动商店老板入侵T-Mobile员工解锁手机

日期: 2022-08-02
标签: 信息技术, 批发零售, T-Mobile, 

加利福尼亚州一家T-Mobile零售店的前老板被判犯有2500万美元的计划,他非法访问T-Mobile的内部系统以解锁和解锁手机。据称,44岁的Argishti Khudaverdyan在2014年至2019年期间实施了一项计划,他从供应商的蜂窝网络中解锁设备,并使人们能够与其他电信提供商一起使用。该计划影响了以特价甚至免费向客户提供这些设备的移动运营商,通过将设备锁定在网络中一段时间来抵消成本。此外,Khudaverdyan解锁了运营商阻止的设备,因为它们的合法所有者报告它们被盗或丢失。这种解锁被盗手机的行为特别有害,因为它允许这些手机在黑市上出售,使设备的盗窃和转售非常有利可图。

详情

http://urlqh.cn/n0KSA

三管齐下,APT组织GAMAREDON在近期加紧对乌克兰的网络攻势

日期: 2022-08-01
标签: 俄罗斯, 乌克兰, 政府部门, 信息技术, Gamaredon, 俄乌战争, 

今年第二季度开始,绿盟科技伏影实验室发现APT组织Gamaredon开始频繁使用多种不同类型的攻击方式对乌克兰赫尔松州、顿涅茨克州等地区的军方和警方目标进行网络攻击。在该攻击周期中,Gamaredon主要使用了恶意office文档、恶意htm附件、恶意SFX文件等攻击工具,配合精心设计的诱饵信息,组合成三类不同的攻击流程。跟踪分析发现,Gamaredon在7月下旬明显增加了各类攻击活动的频度,诱饵投递数量达到新的高峰。结合Gamaredon以往攻击行为与时事发展,推测7月下旬的第二次攻击高峰,可能标志着俄军新动作的到来。

详情

http://urlqh.cn/n2EYs

欧洲的能源公司再次遭受勒索攻击

日期: 2022-08-01
标签: 卢森堡, 欧洲, 能源业, Encevo Group, 勒索, 

两家位于卢森堡的公司正在努力应对2022年7月下旬遭受的勒索软件攻击,这是涉及欧洲能源公司的一系列事件中的最新一起。Encevo Group 表示,其卢森堡实体 Creos(一家能源网络运营商)和供应商 Enovos 于2022年7月22日晚遭受网络攻击,此次攻击关闭了两家公司的客户门户网站,但并未影响电力和天然气的供应。专家表示,此次攻击的幕后黑手是Alphv 勒索软件组织。该组织声称窃取了 150 GB 的数据,这些数据包括合同、护照、账单和电子邮件。针对欧洲能源公司的攻击在2022年显着增加,德国风电场运营商 Deutsche Windtechnik于 4 月因网络攻击而瘫痪,而德国风力涡轮机制造商 Nordex在 3 月 31 日遭受网络攻击后被迫关闭其多个地点和业务部门的 IT 系统。

详情

http://urlqh.cn/n0G6i

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

F5通过季度安全补丁修复了21个漏洞

日期: 2022-08-05
标签: 美国, 信息技术, F5, 

2022年8月5日,安全和应用交付解决方案提供商 F5 发布了 2022 年 8 月的季度安全通知,向客户通报了影响 BIG-IP 和其他产品的 21 个漏洞。此次漏洞包含了十几个高严重性漏洞以及8个中等严重性和1个低严重性漏洞。黑客可利用高严重性漏洞绕过安全限制、执行任意系统命令、导致拒绝服务 (DoS) 条件以及提升权限。超过一半的漏洞,可以在没有身份验证的情况下被远程利用。其中一些漏洞与流量管理微内核 (TMM) 组件有关。中等严重程度的漏洞可能导致 DoS、信息泄露、流量拦截和安全绕过,但大多数都需要身份验证和网络访问。建议组织审查 F5 的建议并安装更新。

详情

http://urlqh.cn/n2BFp

黑客正在积极利用Zimbra中的密码窃取漏洞

日期: 2022-08-05
标签: 信息技术, Zimbra, 漏洞利用, 

网络安全和基础设施安全局(CISA)已将Zimbra CVE-2022-27824漏洞添加到其“已知利用漏洞目录”中,表明它在黑客攻击中被积极利用。此高严重性漏洞允许未经身份验证的攻击者从 Zimbra 协作实例中窃取纯文本形式的电子邮件帐户凭据,而无需用户交互。黑客可以通过CRLF注入执行Memcache中毒,并在合法用户尝试登录时诱使软件将所有IMAP流量转发给攻击者。SonarSource的研究人员于2022年3月11日发现了该漏洞,软件供应商于2022年5月10日发布了一个修复程序,解决了这些问题,版本为ZCS 9.0.0 Patch 24.1和ZCS 8.8.15 Patch 31.1。CISA 将 CVE-2022-27824 添加到积极利用的漏洞目录中,这促使美国所有联邦机构有义务在 2022 年 8 月 25 日(即本案设定的截止日期)之前应用可用的安全更新。

详情

http://urlqh.cn/n38XO

严重的RCE漏洞影响29款DrayTek路由器

日期: 2022-08-04
标签: 英国, 越南, 荷兰, 澳大利亚, 制造业, 信息技术, DrayTek Vigor, VPN, 

2022年8月4日,Trellix 的研究人员发现了一个严重的未经身份验证的远程代码执行 (RCE) 漏洞,该漏洞影响了 DrayTek Vigor 系列商业路由器的 29 种型号。DrayTek Vigor 设备在疫情期间因“在家工作”而变得非常流行。全球有超过 700,000 台DrayTek Vigor在线设备,大部分位于英国、越南、荷兰和澳大利亚。该漏洞被跟踪为 CVE-2022-32548,CVSS v3 严重性评分最高为 10.0,将其归类为严重。攻击者不需要凭据或用户交互即可利用该漏洞,默认设备配置使攻击可以通过 Internet 和 LAN 进行。

详情

http://urlqh.cn/n1pxA

思科修复了 VPN 路由器中的关键远程代码执行漏洞

日期: 2022-08-03
标签: 信息技术, 思科(Cisco), 漏洞修补, 

思科修复了影响小型企业 VPN 路由器的关键安全漏洞(CVE-2022-20842和CVE-2022-20827),这两个安全漏洞是在基于Web的管理界面和Web过滤器数据库更新功能中发现的,并且都是由输入验证不足引起的。CVE-2022-20827 漏洞通过向 Web 筛选器数据库更新功能提交精心编制的输入,可以让威胁参与者“以 root 权限在基础操作系统上执行命令”。受这些错误影响的路由器的完整列表包括小型企业 RV160、RV260、RV340 和 RV345 系列 VPN 路由器(CVE-2022-20842 仅影响最后两个)。这两个缺陷都可以远程利用,而无需在不需要用户交互的攻击中进行身份验证。思科已经发布了软件更新来解决这两个漏洞,并表示没有解决方法来消除攻击媒介。

详情

http://urlqh.cn/n31B3

VMware发布CVE-2022-31656紧急补丁

日期: 2022-08-02
标签: 美国, 信息技术, VMware, 补丁, 

2022年8月2日,VMware发布了一个紧急的高优先级补丁,以解决其 Workspace ONE Access、Identity Manager 和 vRealize Automation 产品中的身份验证绕过漏洞,漏洞编号为 CVE-2022-31656。VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 包含一个影响本地域用户的身份验证绕过漏洞,具有网络访问 UI 的恶意行为者可能无需进行身份验证即可获得管理访问权限,CVSSv3 基本评分为 9.8,建议用户立即修复。目前尚未发现该漏洞有在野利用,但VMware 确认此漏洞是先前修补的问题 (VMSA-2022-0014) 的变体,其中有公开可用的利用代码。

详情

http://urlqh.cn/n16hP

“疯狂的暴徒”从加密平台Nomad窃取了超过1.56亿美元

日期: 2022-08-02
标签: 金融业, Nomad, 加密货币, 

加密平台Nomad 8月1日晚上被抢走了超过1.56亿美元的加密货币,此前数十名黑客发现并利用了最近更新中的漏洞。

Nomad是一家促进Avalanche(AVAX),以太坊(ETH),Evmos(EVMOS)等不同区块链之间加密货币交易的公司,最近在其平台上进行了更新,导致了该漏洞。8月2日上午,该公司表示已通知执法部门,并聘请安全公司协助调查。这次攻击还对其他加密平台产生了潜在的影响。区块链安全公司Elliptic告诉The Record,它发现了40多个漏洞利用者和200多个恶意合同,以自动化漏洞利用。截至8月2日中午,Elliptic表示只剩下15,000美元的加密资产。

详情

http://urlqh.cn/n0qXx

新的“ParseThru”参数走私漏洞影响基于 Golang 的应用程序

日期: 2022-08-02
标签: 信息技术, ParseThru, 

安全研究人员发现了一个名为ParseThru的新漏洞,该漏洞影响了基于Golang的应用程序,这些应用程序可能会被滥用以未经授权访问基于云的应用程序。由于使用了该语言中内置的不安全URL解析方法,新发现的漏洞允许威胁行为者在某些情况下绕过验证,问题的核心是与Golang的URL解析逻辑(在“net/url”库中实现)引入的更改引起的不一致有关。Oxeye表示,它在Harbor,Traefik和Skipper等开源项目中发现了ParseThru的几个实例,这使得绕过现有的验证并执行未经授权的行动成为可能。在向相关供应商负责任地披露后,这些问题已得到解决。这不是 URL 解析第一次带来安全问题。今年一月早些时候,Claroty和Snyk披露了用C,JavaScript,PHP,Python和Ruby语言编写的第三方库中多达八个缺陷,这些缺陷源于URL解析中的混乱。

详情

http://urlqh.cn/mZptR

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

0x07   其他事件

伊朗黑客疑似对阿尔巴尼亚政府进行出于政治动机的破坏性活动

日期: 2022-08-04
标签: 阿尔巴尼亚, 伊朗, 政府部门, HomeLand Justice, CHIMNEYSWEEP, ZEROCLEAR, 

2022年8月4日,网络安全公司Mandiant发布报告,将7月中旬摧毁阿尔巴尼亚政府网络并切断公共服务的勒索软件攻击归咎于伊朗黑客组织。2022 年 7 月中旬,Mandiant 发现了一个名为 ROADSWEEP 的新勒索软件家族,该家族发布了一个以政治为主题的勒索字条,暗示它针对的是阿尔巴尼亚政府。2022 年 7 月 18 日,阿尔巴尼亚政府发表声明,宣布由于破坏性网络活动,它不得不“暂时关闭对在线公共服务和其他政府网站的访问”。一个名为“HomeLand Justice”的组织声称对此次破坏性活动负责。以前未知的后门 CHIMNEYSWEEP 和 ZEROCLEAR 雨刷器的新变体也可能参与其中。Mandiant还称这项活动是伊朗破坏性网络行动的地理扩张,针对北约成员国进行。阿尔巴尼亚是北约成员国,黑客对中东目标关注不断升级。

详情

https://t.co/fG86aUhXtq

谷歌开源检测加密工件漏洞的新工具Paranoid

日期: 2022-08-04
标签: 美国, 信息技术, 科研服务, 谷歌(Google), 密码学, 

2022年8月4日,谷歌开源了一个名为Paranoid的新工具,可以用来检查加密工件中的漏洞,如公钥、数字签名和一般伪随机数。使用 Paranoid,可以测试任何加密工件,但其主要动机是检测弱第三方硬件或软件黑盒的使用情况。因此,即使是在无法检查源代码的情况下,也可以使用 Paranoid。Paranoid项目旨在检测已知漏洞和未知漏洞。例如,Paranoid试图识别由编程错误或使用弱专有随机数生成器引起的漏洞。检测新漏洞比检测已知漏洞更加困难,因此这样的检测可能需要大量的伪像,或者仅以低概率找到弱伪像。

详情

http://urlqh.cn/n2mId

解密亲俄巨魔行动下的组织“Cyber Front Z”

日期: 2022-08-04
标签: 俄罗斯, 乌克兰, 美国, 政府部门, 信息技术, Meta(原Facebook), Cyber Front Z, 俄乌战争, 

2022年8月4日,Meta表示,在俄乌战争后几天曝光的亲俄巨魔行动背后的组织“Cyber Front Z”非常笨拙,不是“团队”工作。Cyber Front Z 在 Telegram 上仍然很活跃,截至2022年 8 月 4 日有 110,692 名订阅者。Meta将Cyber Front Z描述为“通过电报渠道公开协调的一次拙劣的尝试,目的是通过使用假账户发布影响者和媒体对内容的亲俄评论,营造一种草根在线支持俄罗斯入侵的感觉。”Meta该表示,最终该组织似乎并没有那么成功,并且似乎在后端伪造参与以糊弄他们的雇主。

详情

http://urlqh.cn/n0fq8

CISA公布了2021顶级恶意软件的名单

日期: 2022-08-04
标签: 美国, 澳大利亚, 政府部门, 美国网络安全和基础设施安全局 (CISA), 美国网络安全咨询 (CSA), 澳大利亚网络安全中心 ( ACSC ), Loki Password Stealer, Nanocore RAT, QakBot, Remcos, LokiBot, TrickBot, Gozi, Azorult, Xloader, Agent Tesla, Formbook, 

2022年8月4日,美国网络安全咨询 (CSA) 由网络安全和基础设施安全局 ( CISA ) 和澳大利亚网络安全中心 ( ACSC ) 发布联合公告,提供了有关 2021 年观察到的主要恶意软件的详细信息。2021 年排名靠前的恶意软件包括:Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBot 和 GootLoader等。2021 年,最常见的恶意软件包括远程访问木马 (RAT)、银行木马、信息窃取程序和勒索软件。大多数顶级恶意软件已经使用了五年多,它们各自的代码库演变成多种变体。最多产的恶意软件用户是网络犯罪分子,他们使用恶意软件传播勒索软件或帮助盗窃个人和财务信息。

详情

http://urlqh.cn/mZySp

成千上万的黑客涌向“黑暗公用事业”C2即服务

日期: 2022-08-04
标签: 信息技术, 

安全研究人员发现了一种名为Dark Utilities的新服务,该服务为网络犯罪分子提供了一种简单而廉价的方式,可以为其恶意操作建立命令和控制(C2)中心。Dark Utilities 服务为威胁参与者提供了一个支持基于 Windows、Linux 和 Python 的有效负载的平台,并消除了与实现 C2 通信通道相关的工作。

C2服务器是攻击者在野外控制其恶意软件,发送命令,配置和新有效负载以及接收从受感染系统收集的数据的方式。Dark Utilities运营是一个“C2即服务”(C2aaS),匿名的C2基础设施和所有必需的附加功能,起价仅为9,99欧元。

详情

http://urlqh.cn/n1JVz

微软阻止Tutanota用户使用自己的服务

日期: 2022-08-04
标签: 信息技术, 微软(Microsoft), Tutanota, 立法, 

大西洋两岸的政界人士正在讨论更强有力的反垄断立法,以规范大型科技公司。这些法律是非常需要的,因为微软阻止Tutanota用户注册团队帐户的例子证明了这一点。问题在于:大型科技公司拥有市场力量,可以通过一些非常简单的步骤来伤害较小的竞争对手,例如拒绝小公司的客户使用自己的服务。微软正在积极阻止Tutanota电子邮件地址注册Microsoft Teams帐户。这种严重的反竞争做法迫使Tutanota的客户注册第二个电子邮件地址( 可能是来自 Microsoft 自己的电子邮件地址) 来创建团队帐户。

详情

http://urlqh.cn/n0sXI

美国网络空间大使提名人提出愿景巨大的议程

日期: 2022-08-03
标签: 美国, 政府部门, 美国国务院, 

2022年8月3日,美国国务院“网络空间和数字政策大使”纳撒尼尔·菲克(Nathaniel Fick)面临参议院外交委员会的提问称,如果得到确认,将制定一个范围广泛的议程。在政策方面,Nathaniel Fick表示,他将寻求“加强遵守联合国概述的负责任的国家行为框架”,以应对网络恶意行为,推广基于规范的模式来阻止不良行为。同时将促进美国公司及其工作人员可以竞争的数字经济——包括保护跨境数据的自由流动,保护用户的隐私和信息的完整性。最后,还将“倡导数字自由的积极愿景”,以对抗数字威权主义的兴起。

详情

http://urlqh.cn/n1g3Z

印度撤回了《个人数据保护法案》

日期: 2022-08-03
标签: 印度, 政府部门, 《个人数据保护法案》, 

印度政府已经撤回了期待已久的《个人数据保护法案》(Personal Data Protection Bill),该法案引起了几位隐私倡导者和科技巨头的审查,他们担心这项立法可能会限制他们管理敏感信息的方式,同时赋予政府广泛的权力来访问它。

此举令人惊讶,因为立法者最近表示,2019年公布的该法案可能很快就会看到“曙光”。新德里收到了来自一个议会小组的数十项修正案和建议,其中包括总理纳伦德拉·莫迪(Narendra Modi)执政党的立法者,这些修正案和建议“确定了许多相关但超出现代数字隐私法范围的问题。《个人数据保护法案》旨在赋予印度公民与其数据相关的权利。印度是全球第二大互联网市场,在过去十年中,随着数百名公民首次上网并开始消费数十个应用程序,个人数据呈爆炸式增长。但是,个人、私营公司和政府机构对它拥有多大的权力一直存在不确定性。

详情

http://urlqh.cn/mZaOj

量子加密候选算法SIKE被单核CPU一小时破解

日期: 2022-08-03
标签: 美国, 信息技术, 科研服务, 英特尔(Intel), SIKE, 量子加密, 密码学, 

2022年7月30日,KU Leuven 研究人员 Wouter Castryck 和 Thomas Decru发布论文称,他们使用运行英特尔至强 CPU 的计算机在一小时内轻松破解了一种后期候选加密算法SIKE。SIKE是Supersingular Isogeny Key Encapsulation (超奇异同构密钥封装)的缩写,它进入了美国商务部国家标准与技术研究院 (NIST)的第四轮后量子密码学 (PQC) 标准化过程,旨在抵御未来强大的量子计算机的解密。在单核上运行,附加的Magma代码分别在大约 4 分钟和 6 分钟内打破了 Microsoft SIKE 挑战$IKEp182 和 $IKEp217。SIKEp434 参数的运行,以前被认为符合 NIST 的量子安全级别 1,大约需要 62 分钟,再次在单个核心上运行。除了 SIKE 之外,还有其他基于同源的密码系统,例如B-SIDH也被破解了。研究人员表示,虽然可以更新 SIDH 以修复密钥恢复攻击的新线路,但预计需要一段时间做进一步分析和检查。

详情

http://urlqh.cn/n22GU

乌克兰击落了100万个用于虚假信息的机器人

日期: 2022-08-03
标签: 乌克兰, 俄罗斯, 政府部门, 信息技术, 文化传播, 俄乌战争, 

乌克兰网络警察(SSU)已经关闭了一个由100万个机器人组成的大型机器人农场,这些机器人用于在社交网络上传播虚假信息。机器人农场的目标是诋毁来自乌克兰官方来源的信息,破坏该国的社会和政治局势的稳定,并制造内部冲突。

机器人传播的信息符合俄罗斯的宣传,因此虚假信息机的操作员被认为是俄罗斯特种部队的成员。被SSU拆除的机器人农场位于基辅,哈尔科夫和文尼察,依靠100万个机器人传播虚假信息。为了创建这个在线军队,威胁行为者使用5000张SIM卡来注册新的社交媒体帐户。此外,运营商使用了200个代理服务器,这些服务器欺骗了实际的IP地址,并逃避了社交媒体平台对欺诈活动和阻止的检测。

详情

http://urlqh.cn/n3BfS

Microsoft Defender 增强勒索软件攻击拦截功能

日期: 2022-08-02
标签: 美国, 信息技术, 微软(Microsoft), Windows 11, Microsoft Defender, 勒索软件防御, 

2022年8月2日,Microsoft 已向 Beta 频道发布了新的 Windows 11 版本,并改进了 Microsoft Defender for Endpoint 勒索软件攻击拦截功能。从构建22621.450 和 22622.450开始,企业端点安全平台在检测和拦截 Redmond 的能力增强。新版本还增加了其他几项改进,包括在低带宽或拥塞的广域网 (WAN) 上的存储复制,以及在配置了服务器消息块 (SMB) 压缩的情况下的文件压缩。

详情

http://urlqh.cn/n16RO

乌克兰激进分子利用种子文件向俄罗斯传播未过审的新闻

日期: 2022-08-01
标签: 乌克兰, 俄罗斯, 政府部门, 信息技术, 文化传播, 俄乌战争, 

2022年7月下旬,一群乌克兰激进分子最近正在进行一种在俄罗斯传播未经审查的信息的简单但可能有效的方法:将种子与假装包含安装说明的文本和视频文件捆绑在一起。该行动被命名为“真理的洪流”(Torrents of Truth),旨在帮助突破俄罗斯宣传并让人们了解乌克兰正在发生的事情。种子文件包含一个文本文件,其中包含俄罗斯人可以信任的可信新闻来源列表以及下载和安装 VPN 以确保 ISP 匿名的说明。目前,Torrents of Truth 已将 21 个种子与文本和视频捆绑在一起,选择刚上映的电影、热门节目的最新剧集和专业级软件工具。标题所承诺的实际内容也包含在洪流文件中,这些乌克兰激进分子偷偷地将一些未过审新闻也包含在内,这也确保了他们的种子不会被识别为假货并从跟踪器中删除。

详情

http://urlqh.cn/n1jqt

超过3200个应用程序泄露 Twitter API 密钥

日期: 2022-08-01
标签: 美国, 信息技术, 文化传播, 推特(Twitter), API安全, 供应链安全, 

网络安全公司 CloudSEK检查了大型应用程序集是否存在潜在数据泄漏后,发现 3,207 个应用程序泄露了 Twitter API 的有效消费者密钥。这可能使黑客能够接管与该应用程序关联的用户 Twitter 帐户。CloudSEK 表示,API 密钥的泄漏通常是由于应用程序开发人员将其身份验证密钥嵌入 Twitter API 但在发布移动设备时忘记删除它们的错误造成的。在将移动应用程序与 Twitter 集成时,开发人员将获得特殊的身份验证密钥或令牌,允许他们的移动应用程序与 Twitter API 交互。当用户将其 Twitter 帐户与此移动应用程序相关联时,这些密钥还将使应用程序能够代表用户执行操作,例如通过 Twitter 登录、创建推文、发送 DM 等。由于访问这些身份验证密钥可以允许任何人作为关联的 Twitter 用户执行操作,因此不建议将密钥直接存储在黑客可以找到的移动应用程序中。

详情

http://urlqh.cn/n3r3A

以色列政府调查发现警方利用间谍软件越权

日期: 2022-08-01
标签: 以色列, 政府部门, Pegasus(飞马间谍软件), 飞马间谍软件, 

2022年2月,以色列商业日报 Calcalist 发布报道称,以色列警方使用了由以色列 NSO 集团开发的有争议的技术 Pegasus 来监视公众人物。Pegasus 是一个窃听间谍软件,可以渗透到目标的手机并扫描其内容,包括消息、照片、联系人和位置历史记录——而目标却不知道或采取任何行动。报道发布后,以色列政府随机开展调查。2022年8月1日,以色列政府表示,“没有迹象表明”以色列警方在没有司法命令的情况下使用先进技术侵入个人手机。但当警方使用该技术时,收到了搜查令未涵盖的过多信息。虽然没有迹象表明警方使用了过多的信息,但其获取行为是“违反权威”。以色列民权协会表示,此次调查结果引发了公民对隐私和嫌疑人权利的担忧。它呼吁当局禁止警方使用此类技术,直到实施详细的立法来管理其使用。

详情

http://urlqh.cn/mYu2B

亲俄团体筹集了220万美元的加密货币来资助战争

日期: 2022-08-01
标签: 俄罗斯, 乌克兰, 金融业, 信息技术, 政府部门, 俄乌战争, 

乌克兰和俄罗斯都已进入加密货币市场,为他们的军事努力筹集资金。根据区块链研究公司Chainalysis发布的一份报告,亲俄团体主要在比特币和以太坊上筹集了220万美元,以帮助为战争提供资金。加密货币是俄罗斯一种有吸引力的交换媒介,在制裁和切断国际支付系统接入之后,卢布的价值已经下降。数字货币也受到较少的监管,并允许人们从世界任何地方匿名快速转移资金。根据Chainalysis的说法,这些资金被发送给54个亲俄团体,这些团体主要利用这些捐款来资助亲俄宣传网站和购买军事装备,包括无人机,武器,防弹背心和通信设备。据称,这些设备被运送到位于乌克兰顿巴斯地区的俄罗斯军队,那里正在发生激烈的战斗。

详情

http://urlqh.cn/n2i9L

印尼实施新的互联网监管,Steam、PayPal 被封锁

日期: 2022-08-01
标签: 印度尼西亚, 信息技术, 政府部门, 金融业, 文化传播, PayPal, 谷歌(Google), Meta(原Facebook), Epic Games, Steam, 雅虎, 监管条例, 

2022年7月下旬,印度尼西亚通信和信息技术部 Kominfo 规定禁止访问未在 2022 年 7 月 27 日之前在该国新许可平台上注册的互联网服务和内容提供商,这些服务提供商包括雅虎、Steam 和 PayPal。印度尼西亚数百万的玩家也不能访问战网、Epic Games 和其他游戏门户。由于此次限制访问,印度尼西亚的许多 PayPal 用户被锁定在他们的账户和资金之外。2021年,印度尼西亚信息技术部推出的该项监管框架是作为内容控制系统提出的,据说是为了保护国家安全和防止假新闻传播而引入的。该法规要求所有互联网服务提供商强制注册到一个新的许可平台,允许他们在该国合法运营。未注册者将被视为非法实体,将被禁止访问印尼互联网。截至2022 年 7 月 27 日,大约有 200 家国际和 8,000 家印度尼西亚国内的在线服务提供商进行了注册,包括 谷歌、Meta、TikTok、Instagram 和 Spotify。

详情

http://urlqh.cn/n161j

警惕具有新功能的浣熊偷窃者(Raccoon Stealer)2.0

日期: 2022-08-01
标签: 信息技术, Raccoon Stealer(Legion、Mohazo、Racealer), 木马程序, 

Raccoon Stealer还命名为Legion,Mohazo和Racealer,这是一种高风险的木马类型的应用程序,可以攻击系统并窃取个人凭据,并在网络犯罪论坛上传播第二个升级版本,为黑客提供了提升的密码窃取功能和高级操作能力。该木马的服务由黑客论坛上的各种黑客团体提供,当安装在一个人的系统上时,可能会导致各种网络问题。浣熊偷窃者行动于2022年3月被撤销,当时其运营商报告说,该论坛的主要开发人员之一在俄罗斯入侵乌克兰期间被杀。此外,该团队承诺将推出具有更多功能的第二个升级版本。Raccoon Stealer 2.0使用虚假的Malwarebytes网站来窃取个人信息,包括基本系统指纹信息,浏览器密码,Cookie,自动填充数据,保存的信用卡,浏览器密码,Cookie和自动填充数据以及保存的信用卡。

详情

http://urlqh.cn/n2eJu

巨型投资诈骗网络通过电话瞄准受害者

日期: 2022-08-01
标签: 英国, 比利时, 荷兰, 德国, 波兰, 葡萄牙, 挪威, 瑞典, 捷克共和国, 信息技术, Meta(原Facebook), YouTube, 电信诈骗, 

安全研究人员通过在线和电话渠道发现了针对欧洲受害者的大规模投资欺诈活动。Ib集团看到的“巨大的网络基础设施”覆盖了超过10,000个为英国,比利时,荷兰,德国,波兰,葡萄牙,挪威,瑞典和捷克共和国的用户本地化的流氓网站。

受害者首先被Facebook和YouTube等受感染的社交媒体帐户上有关虚假投资计划的帖子所吸引。通常使用本地或全球名人的图像来使骗局看起来更合法。点击帖子将把他们带到一个虚假的经纪人网站,该网站将具有高质量的设计。一旦受害者登陆虚假经纪人网站,他们将看到各种虚假信息,这些人已经'成功'交易并正在兑现。目前参与该运动的11,197个域名中,有5000多个域名在撰写本文时仍然活跃。

详情

http://urlqh.cn/n0xlY

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

0x09   时间线

2022-08-08 360CERT发布安全事件周报