安全事件周报 (01.02-01.08)
2023-01-09 15:36

报告编号:B6-2023-010901

报告来源:360CERT

报告作者:360CERT

更新日期:2023-01-09

0x01   事件导览

本周收录安全热点55项,话题集中在恶意程序网络攻击方面,涉及的组织有:WabtecFortinet高通微软等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意程序
俄罗斯网络间谍组织Turla分析
黑客利用ChatGPT开发黑客工具
Dridex恶意软件使用新的感染方法攻击macOS系统
新型Android间谍软件SpyNote Strikes瞄准金融机构
Bitdefender发布MegaCortex勒索软件免费解密器
针对金融机构的 Android 间谍软件SpyNote 再次来袭
源代码泄漏后SpyNote Android恶意软件感染激增
新型Linux恶意软件安装加密矿工、DDoS僵尸程序
Elizabeth Montalbano的BitRat恶意软件用银行数据攻击受害者
葡萄牙和西班牙的金融机构被新型Raspberry Robin恶意软件盯上
铁路公司Wabtec披露Lockbit勒索软件攻击后数据泄露
BitRAT恶意软件活动使用被盗的银行数据进行网络钓鱼
Royal勒索软件声称攻击澳大利亚昆士兰科技大学
研究人员发现针对WordPress站点的新Linux恶意软件
数据安全
Vice Society发布14所英国学校被盗信息
法航和荷航通知客户帐户被盗
Slack的私有GitHub代码库被盗
据称有2亿Twitter用户的电子邮件地址在网上泄露
谷歌将支付 2950 万美元以解除用户位置跟踪诉讼
网络攻击
APT-C-36针对厄瓜多尔的攻击行动
PyTorch遭到供应链攻击
针对Linux下WordPress的恶意软件攻击
ALPHV 勒索软件通过克隆受害者网站并公布其窃取的数据来迫使受害者付款
安全漏洞
黑客利用受损的Fortinet设备分发勒索软件
Rackspace证实Play勒索软件是最近网络攻击的幕后黑手
Zoho敦促管理员立即修补ManageEngine严重漏洞
丰田、奔驰、宝马API漏洞暴露车主个人信息
Synology修复了VPN路由器中的严重漏洞
CISA称Jasper报告库中存在2处漏洞
ENLBufferTown漏洞细节披露
安全分析
LAPSUS$6种攻击特征防御方式
其他事件
东南亚地区的新晋势力:新APT组织Saaiwc Group针对东南亚军事、财政等多部门的攻击活动分析
伪造口袋妖怪NFT游戏安装程序可让黑客劫持用户电脑
WhatsApp 聊天转移功能更新
黑客在GitHub上的免费劫持活动中使用CAPTCHA绕过策略
高通公司的Snapdragon卫星将允许Android手机发送紧急短信
Blind Eagle 黑客组织带着新型工具和复杂的感染链回归
法国数据保护机构对Apple处以罚款
由于担心影响学习,美国纽约的学校禁止ChatGPT
Bluebottle 网络犯罪集团袭击非洲法语国家的金融部门
据称俄罗斯和白俄罗斯GRU间谍在波兰被指控
Kimsuky移动端恶意活动瞄向韩国东亚研究所国家安全主任
APT37利用恶意APK针对韩国记者的网络钓鱼行动
中国研究人员用量子计算机破解了RSA
Meta因数据泄露被欧盟罚款4.13亿美元-
美国监管机构警告银行加密货币安全风险
持续的网络钓鱼攻击Flipper Zero针对infosec社区
超过60000台Exchange服务器易受ProxyNotShell攻击
波兰警告亲俄黑客组织Ghostwriter发动袭击
Snatch勒索软件瞄准沃尔沃汽车
PyTorch ML框架受到恶意依赖的影响
2022年网络安全事件TOP10
微软数字防御报告
LockBit 勒索软件团伙为SickKids 发布了免费解密器
网络战时间线:匿名者组织对俄罗斯发起攻击的总结

0x03   恶意程序

俄罗斯网络间谍组织Turla分析

日期: 2023-01-08
标签: 俄罗斯, 信息技术, 网络犯罪, 

据观察,名为Turla的俄罗斯网络间谍组织搭载了一种已有十年历史的恶意软件使用的攻击基础设施,以向乌克兰的目标提供自己的侦察和后门工具。Turla,也被称为 Iron Hunter、Krypton、Uroburos、Venomous Bear 和 Waterbug,是一个精英民族国家机构,主要针对使用大量自定义恶意软件的政府、外交和军事组织。谷歌旗下的 Mandiant 正在跟踪未分类集群名称UNC4210下的操作,称被劫持的服务器对应于 2013 年上传到 VirusTotal的商品恶意软件变体,称为ANDROMEDA (又名 Gamarue)。

“UNC4210 重新注册了至少三个过期的 ANDROMEDA 命令和控制 (C2) 域,并开始对受害者进行分析,以便在 2022 年 9 月有选择地部署 KOPILUWAK 和 QUIETCANARY,”Mandiant 研究人员表示。

详情

http://urlqh.cn/n3Zrq

黑客利用ChatGPT开发黑客工具

日期: 2023-01-08
标签: 信息技术, OpenAI, 网络犯罪, 人工智能, 

根据以色列安全公司 Check Point 的一份新报告,黑客正在使用 ChatGPT 开发强大的黑客工具,并创建旨在模仿年轻女孩以引诱目标的新聊天机器人。ChatGPT 还可以编写恶意软件,监控用户的键盘输入并创建勒索软件。ChatGPT 由OpenAI开发,作为其 LLM(大型语言模型)的接口。然而,网络罪犯利用它的代码生成能力可以轻松发起网络攻击。在Check Point审查的一篇帖子中,一名黑客分享了ChatGPT编写的Android恶意软件代码,该代码可以窃取所需的文件,并将其压缩,然后在网络上泄露。

详情

http://urlqh.cn/n6aPc

Dridex恶意软件使用新的感染方法攻击macOS系统

日期: 2023-01-08
标签: 信息技术, Apple, Dridex, 

根据最新研究,Dridex 银行恶意软件的一个变种已将目光投向了 Apple 的 macOS 操作系统,该操作系统使用了一种以前未记录的感染方法。Trend Micro 研究员 Armando Nathaniel Pedragoza在一份技术报告中表示,它“采用了一种新技术,可以向用户提供嵌入恶意宏的文档,而无需伪装成发票或其他与业务相关的文件” 。Dridex,也称为 Bugat 和 Cridex,是一种信息窃取器,众所周知,它可以从受感染的机器上收集敏感数据并交付和执行恶意模块。它归因于一个名为 Evil Corp(又名 Indrik Spider)的电子犯罪集团。该恶意软件也被认为是Gameover Zeus的继任者,它本身是另一个名为 Zeus 的银行木马的后续版本。以前针对 Windows 的 Dridex 活动利用通过网络钓鱼电子邮件发送的启用宏的 Microsoft Excel 文档来部署有效负载。

详情

http://urlqh.cn/n1AXk

新型Android间谍软件SpyNote Strikes瞄准金融机构

日期: 2023-01-08
标签: 信息技术, SpyNote, 网络犯罪, 移动安全, 

至少从 2022 年 10 月开始,金融机构就成为了名为 SpyNote 的新版 Android 恶意软件的目标,该恶意软件结合了间谍软件和银行木马的特征。 ThreatFabric 在一份报告中表示:“这种增长背后的原因是,之前将其出售给其他参与者的间谍软件开发商公开了源代码。” “这帮助其他参与者 [in] 开发和分发间谍软件,通常也针对银行机构。”Deutsche Bank、HSBC UK、Kotak Mahindra Bank 和 Nubank 都是被恶意软件冒充的著名机构。SpyNote(又名 SpyMax)功能丰富,具有一系列功能,包括安装任意应用程序、收集短信、电话、视频和录音、跟踪 GPS 位置,甚至阻止卸载应用程序的尝试。 它还通过请求访问服务以从 Google Authenticator 中提取双因素身份验证 (2FA) 代码并记录击键以窃取银行凭证来模仿其他银行恶意软件的行为。SpyNote 还包括窃取 Facebook 和 Gmail 密码以及通过 Android 的 MediaProjection API 捕获屏幕内容的功能。据这家荷兰安全公司称,最新的 SpyNote 变体(称为 SpyNote.C)是第一个针对银行应用程序以及 Facebook 和 WhatsApp 等其他知名应用程序的变体。

详情

http://urlqh.cn/n0UGM

Bitdefender发布MegaCortex勒索软件免费解密器

日期: 2023-01-05
标签: 信息技术, 网络犯罪, 

2023年1月上旬,防病毒公司 Bitdefender 发布了 MegaCortex 勒索软件系列的解密器,使MegaCortex 勒索软件的受害者能够免费恢复数据。MegaCortex 勒索软件由 Sophos 研究人员 于 2019 年 5 月首次发现,他们观察到它以企业网络为目标。解密器是 Bitdefender 分析师和来自欧洲刑警组织、NoMoreRansom 项目以及苏黎世检察官办公室和州警察局的专家共同创建的。使用解密器非常简单,因为它是一个独立的可执行文件,不需要安装并可以自动在系统上定位加密文件。此外,为了安全起见,解密器可以备份加密文件,以防解密过程中出现问题,导致文件损坏而无法恢复。

详情

http://urlqh.cn/n2Zia

针对金融机构的 Android 间谍软件SpyNote 再次来袭

日期: 2023-01-05
标签: 德国, 英国, 金融业, SpyNote, 

至少从 2022 年 10 月开始,金融机构就成为名为SpyNote的新版 Android 恶意软件的目标。SpyNote(又名 SpyMax)功能丰富,可以安装任意应用程序;收集短信、电话、视频和录音;跟踪 GPS 位置;甚至阻碍卸载应用程序。它还遵循其他银行恶意软件的作案手法,请求访问辅助服务的权限,从 Google Authenticator 中提取双因素身份验证 (2FA) 代码,并记录击键以窃取银行凭证。被恶意软件冒充的一些著名机构包括德意志银行、英国汇丰银行、Kotak Mahindra 银行和 Nubank。

详情

http://urlqh.cn/mZPo6

源代码泄漏后SpyNote Android恶意软件感染激增

日期: 2023-01-05
标签: 信息技术, 金融业, SpyNote, 

被追踪为 SpyNote(或 SpyMax)的 Android 恶意软件系列在 2022 年最后一个季度的检测数量突然增加,这归因于其最新版本之一“CypherRat”的源代码泄漏。“CypherRat”结合了 SpyNote 的间谍功能,例如提供远程访问、GPS 跟踪以及设备状态和活动更新,以及冒充银行机构窃取帐户凭据的银行木马功能。从 2021 年 8 月到 2022 年 10 月,CypherRat 通过私人 Telegram 渠道出售,当时其作者决定在 GitHub 上发布其源代码,此前黑客论坛上发生了一系列冒充该项目的诈骗事件。威胁行为者迅速获取了恶意软件的源代码并发起了他们自己的活动,针对汇丰银行和德意志银行等知名银行的自定义变体出现了。与此同时,其他攻击者选择将他们的 CypherRat 版本伪装成 Google Play、WhatsApp 和 Facebook,以瞄准更广泛的受众。

详情

http://urlqh.cn/mYkU1

新型Linux恶意软件安装加密矿工、DDoS僵尸程序

日期: 2023-01-04
标签: 金融业, 信息技术, 加密货币, Linux, 

一种使用 SHC(Shell 脚本编译器)创建的新 Linux 恶意软件下载器已在野外被发现,它会感染带有 Monero 加密货币矿工和 DDoS IRC 机器人的系统。据发现该攻击的ASEC 研究人员称,SHC 加载程序是由韩国用户上传到 VirusTotal 的,攻击通常集中在同一国家的 Linux 系统上。分析师表示,这些攻击可能依赖于在 Linux 服务器上通过 SSH 暴力破解弱管理员帐户凭据。SHC 是 Linux 的“通用 shell 脚本编译器”,能够将 Bash shell 脚本转换为 ELF(Linux 和 Unix 可执行文件)文件。威胁参与者使用的恶意 Bash shell 脚本通常包含系统命令,这些命令可以被安装在 Linux 设备上的安全软件检测到。由于 SHC ELF 可执行文件中的脚本是使用 RC4 算法编码的,因此恶意命令不容易被安全软件识别,从而可能允许恶意软件逃避检测。

详情

http://urlqh.cn/n272n

Elizabeth Montalbano的BitRat恶意软件用银行数据攻击受害者

日期: 2023-01-04
标签: 信息技术, 金融业, BitRAT, 网络犯罪, 

研究人员发现,威胁行为者正在利用从哥伦比亚一家银行窃取的数据作为诱饵,发起一场旨在传播 BitRAT 恶意软件的恶意活动。他们说,该活动展示了攻击者如何在高级威胁场景中使用现成的商业恶意软件的演变。IT 安全和合规公司 Qualys 的研究人员在发现哥伦比亚一家合作银行的基础设施已被劫持时正在调查 BitRAT 的“多重诱饵”。他们在1 月 3 日发布的博客文章中报告说,攻击者正在使用从该妥协中收集的敏感数据来试图捕获受害者.Qualys 威胁研究高级工程师 Akshat Pradhan 在博文中写道:“在深入挖掘基础设施的过程中,我们发现了指向使用sqlmap工具查找潜在 SQLi 故障的日志,以及实际的数据库转储。”总体而言,威胁行为者从银行客户那里泄露了 4,18,777 行敏感数据,包括哥伦比亚国民身份证号码(称为“Cedula”号码)以及电子邮件地址、电话号码、客户姓名、付款记录、薪水、家庭等详细信息地址和其他数据.

详情

http://urlqh.cn/n4NTT

葡萄牙和西班牙的金融机构被新型Raspberry Robin恶意软件盯上

日期: 2023-01-04
标签: 西班牙, 葡萄牙, 信息技术, 网络犯罪, 

根据Security Joes 周一发布的研究,黑客正在使用新版本的 Raspberry Robin 蠕虫来攻击西班牙和葡萄牙的金融和保险机构。这种蠕虫充当其他恶意软件的加载程序 — 它通过受感染的 USB 设备感染计算机,然后传播到受害者网络上的其他设备。据 Security Joes 称,新版本的恶意软件比以前的版本更复杂。威胁研究人员查尔斯·隆博尼 (Charles Lomboni) 表示,它允许其运营商“收集更多关于受害者的数据”。 该恶意软件还更新了新的反分析功能。“开发人员似乎正忙于为他们的代码添加保护,以避免安全工具和恶意软件分析师好奇的目光,”报告发现。

详情

http://urlqh.cn/n2583

铁路公司Wabtec披露Lockbit勒索软件攻击后数据泄露

日期: 2023-01-03
标签: 美国, 信息技术, 交通运输, Wabtec Corporation, 网络犯罪, 

美国铁路和机车公司 Wabtec Corporation 披露了一起数据泄露事件,该事件暴露了个人和敏感信息。这些被盗数据暴露了各种敏感信息,包括:全名,出生日期,非美国国民身份证号码,非美国社会保险号码或财政代码,护照号码,IP地址,雇主识别号码 (EIN)等。Wabtec 是一家总部位于美国的上市公司,生产最先进的机车和铁路系统。该公司拥有约 25,000 名员工,业务遍及 50 个国家,是世界货运机车市场的领导者和运输领域的主要参与者。该公司 2021 年的财务业绩给出了 78 亿美元的收入数字,据报道,Wabtec 在全球运营的 23,000 台机车运输了全球 20% 的货运量。Wabtec 在2022年底发布的公告中表示,黑客早在 2022 年 3 月 15 日就破坏了他们的网络并在特定系统上安装了恶意软件。

详情

http://urlqh.cn/n296s

BitRAT恶意软件活动使用被盗的银行数据进行网络钓鱼

日期: 2023-01-03
标签: 信息技术, BitRAT, 网络犯罪, 

据云安全公司 Qualys 称,最近一场恶意软件活动背后的威胁参与者一直在使用哥伦比亚银行客户的被盗信息作为网络钓鱼电子邮件的诱饵,旨在用 BitRAT 远程访问木马感染目标。该公司在调查活跃的网络钓鱼攻击中的 BitRAT 诱饵时,发现一家未公开的哥伦比亚合作银行的基础设施已被攻击者劫持。总共 418,777 条包含敏感客户数据的记录,包括姓名、电话号码、电子邮件地址、地址、哥伦比亚国民身份证、付款记录和工资信息,从被破坏的服务器中被盗。在调查该活动时,Qualys 还发现了攻击者访问客户数据的证据,包括显示他们使用 sqlmap 工具查找 SQL 注入错误的日志。目前,在 Qualys 监控的暗网或明网站点上,没有发现任何从哥伦比亚银行服务器上窃取的信息。

详情

http://urlqh.cn/n2vtd

Royal勒索软件声称攻击澳大利亚昆士兰科技大学

日期: 2023-01-03
标签: 澳大利亚, 信息技术, 昆士兰科技大学, 网络犯罪, 

皇家勒索软件团伙声称对昆士兰科技大学最近的一次网络攻击负责,并开始泄露据称在安全漏洞期间被盗的数据。昆士兰科技大学 (QUT) 是澳大利亚学生人数最多的大学之一 (52,672),运营预算超过 10 亿澳元。该大学专注于科学、技术、工程和数学研究,近年来获得了大量政府资助以支持其研究。昆士兰科技大学于 2023 年 1 月 1 日披露了一起网络攻击事件,警告学生和学术人员注意安全事件不可避免地导致服务中断。该大学关闭了所有 IT 系统以防止攻击蔓延,并且该大学正在与外部专家合作应对安全事件。

详情

http://urlqh.cn/n2eou

研究人员发现针对WordPress站点的新Linux恶意软件

日期: 2023-01-03
标签: 信息技术, Redhat, 网络犯罪, WordPress, Linux, 

根据网络安全公司 Dr.Web的研究,一种以前未知的 Linux 恶意软件以基于 WordPress 的网站为目标。被称为Linux.BackDoor.WordPressExploit.1的木马针对 32 位版本的 Linux,但也可以在 64 位版本上运行。它的主要功能是破解基于 WordPress 内容管理系统 (CMS) 的网站,并将恶意 JavaScript 注入其网页。后门通过利用可安装在网站上的众多过时 WordPress 插件和主题中的已知漏洞来发起这些攻击。其中包括 WP Live Chat Support Plugin、WP Live Chat、Google Code Inserter 和 WP Quick Booking Manager。该木马由恶意行为者远程控制,恶意行为者通过其命令和控制 (C&C) 服务器传达要感染的网站地址。威胁行为者还能够远程将恶意软件切换到待机模式,将其关闭并暂停记录其操作。Dr.Web 认为,恶意工具可能已经被网络犯罪分子使用了三年多,以进行此类攻击并通过转售流量或套利获利。

详情

http://urlqh.cn/n1RF9

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

Vice Society发布14所英国学校被盗信息

日期: 2023-01-08
标签: 英国, 教育行业, 信息技术, Vice Society, 

2023年年初,有黑客又一次发布了从英国学校系统窃取的个人信息。这一次涉及英国14所学校。肇事者似乎是 Vice Society,它以针对美国的教育系统而闻名。正如网络安全和基础设施安全局 (CISA) 在9 月 6日的公告中指出的那样,“K-12 机构可能被视为特别有利可图的目标,因为可以通过学校系统或其托管服务提供商访问大量敏感的学生数据。 “数字学习平台Clever的一项新研究称,在过去一年中,四分之一的学校发生了网络事件。根据 BBC 的名单,受此次泄露事件影响的 14 所学校中有许多是学院和大学,但小学和中学也受到了影响。

详情

http://urlqh.cn/n2XNq

法航和荷航通知客户帐户被盗

日期: 2023-01-08
标签: 法国, 荷兰, 信息技术, 交通运输, 

法航和荷兰皇家航空公司已通知 Flying Blue 客户,他们的部分个人信息在账户被盗后泄露。受影响的客户还被警告称,他们的账户因违规而被锁定,他们必须前往荷航和法航网站更改密码。Flying Blue 是一项忠诚度计划,允许多家航空公司(包括法航、荷航、Transavia、Aircalin、肯尼亚航空公司和 TAROM)的客户用忠诚度积分兑换各种奖励。“我们的安全运营团队检测到未经授权的实体对您的账户有可疑行为。我们已立即采取纠正措施,以防止您的数据进一步暴露,”发送给受影响客户的通知称。荷航官方推特账号证实了这次攻击,并告诉一位受影响的客户,“攻击被及时阻止,没有收取里程”。可能泄露的数据列表包括用户的姓名、电子邮件地址、电话号码、最新交易和蓝天飞行信息,例如他们获得的里程余额。违规警报补充说,此事件并未暴露客户的信用卡或付款信息。

详情

http://urlqh.cn/n4AIq

Slack的私有GitHub代码库被盗

日期: 2023-01-05
标签: 信息技术, Slack, 

2023年年初,Slack遭遇了安全事件,影响了它的一些私人 GitHub 代码存储库。全球工作场所和数字社区中估计有 1800 万用户使用极受欢迎的 Salesforce 拥有的 IM 应用程序。该事件涉及威胁行为者通过被盗的“有限”数量的 Slack 员工令牌获得对 Slack 外部托管的 GitHub 存储库的访问权限。据该公司称,尽管Slack的一些私有代码库遭到破坏,但Slack的主要代码库和客户数据仍然未受到影响。Slack 已将被盗代币作废,并表示正在调查对客户的“潜在影响”。目前,没有迹象表明 Slack 环境的敏感区域(包括生产)已被访问。然而,出于谨慎考虑,该公司已轮换了相关机密。

详情

http://urlqh.cn/n0HpP

据称有2亿Twitter用户的电子邮件地址在网上泄露

日期: 2023-01-04
标签: 信息技术, 推特(Twitter), 网络犯罪, 

一个被描述为包含超过 2 亿 Twitter 用户的电子邮件地址的数据泄漏已经在一个流行的黑客论坛上以大约 2 美元的价格发布。BleepingComputer 已确认泄漏中列出的许多电子邮件地址的有效性。自 2022 年 7 月 22 日以来,威胁行为者和数据泄露收集者一直在各种在线黑客论坛和网络犯罪市场上出售和传播大量的 Twitter 用户配置文件数据集,其中包含私人数据(电话号码和电子邮件地址)和公共数据。这些数据集是在 2021 年通过利用 Twitter API 漏洞创建的,该漏洞 允许用户输入电子邮件地址和电话号码以确认他们是否与 Twitter ID 相关联。然后,威胁行为者使用另一个 API 来抓取公共 Twitter 数据以获取 ID,并将这些公共数据与私人电子邮件地址/电话号码结合起来,以创建 Twitter 用户的个人资料。尽管 Twitter 在 2022 年 1 月修复了这个漏洞,但多个威胁参与者最近开始免费泄露他们一年多前收集的数据集。第 一个包含 540 万用户的数据集 于 7 月以 30,000 美元的价格出售,并最终 于 2022 年 11 月 27 日免费发布。 据称包含 1700 万用户数据的另一个数据集也在 11 月私下流传。最近,威胁行为者开始出售他们声称包含使用此漏洞收集的4 亿个 Twitter 配置文件的数据集。

详情

http://urlqh.cn/n2YmT

谷歌将支付 2950 万美元以解除用户位置跟踪诉讼

日期: 2023-01-03
标签: 信息技术, 商务服务, Google, 

有研究员披露,尽管关闭了“位置历史”选项,但Google仍通过名为“网络和应用程序活动”的设置继续追踪用户在Android和iOS上的行踪。

谷歌目前已同意支付总计2950万美元,以解决印第安纳州和华盛顿特区就其“欺骗性”位置跟踪行为提起的两起不同诉讼。

详情

http://urlqh.cn/n2qUd

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

0x05   网络攻击

APT-C-36针对厄瓜多尔的攻击行动

日期: 2023-01-08
标签: 厄瓜多尔, APT-C-36, APT舆情, 

APT-C-36是一个出于经济动机的威胁组织,至少自2018年以来一直在对南美洲各国的公民发动攻击。在最近针对厄瓜多尔的攻击行动中,检测到一个新的感染链,涉及更高级的工具集 。另外本次攻击行动采用的后门通常被用于间谍行动,对于该组织来说是不常见的。

详情

http://urlqh.cn/n3s87

PyTorch遭到供应链攻击

日期: 2023-01-03
标签: 信息技术, torchtriton, PyTorch, Python, 

PyTorch官方发布通告,如果您在 2022 年 12 月 25 日至 2022 年 12 月 30 日期间通过 pip 在 Linux 上安装了 PyTorch-nightly,请立即卸载它和 torchtriton,并使用最新的 nightly 二进制文件(比 2022 年 12 月 30 日更新)。因为该版本中遭受到供应链攻击,并可能导致系统内敏感信息被窃取。

详情

http://urlqh.cn/n1U6A

针对Linux下WordPress的恶意软件攻击

日期: 2023-01-03
标签: WordPress, 

Doctor Web 发现了一个恶意 Linux 程序,该程序可以入侵基于 WordPress CMS 的网站。它利用了该平台的多个插件和主题中的 30 个漏洞。如果网站使用此类附加组件的过时版本,缺少关键修复程序,目标网页就会被注入恶意 JavaScript。结果,当用户单击受攻击页面的任何区域时,他们将被重定向到其他站点。

详情

http://urlqh.cn/n1z5U

ALPHV 勒索软件通过克隆受害者网站并公布其窃取的数据来迫使受害者付款

日期: 2023-01-03
标签: 信息技术, 勒索攻击, 

ALPHV勒索软件运营商利用他们的勒索策略进行了创新,在一个案例中,他们创建了受害者网站的复制品,以在其上发布被盗数据。以此来迫使和羞辱受害者付款。

12月26日,ALPHV在其隐藏在Tor网络上的数据泄露网站上发布消息称,他们在金融服务领域对一家公司进行了破坏。

详情

http://urlqh.cn/n2CgL

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

黑客利用受损的Fortinet设备分发勒索软件

日期: 2023-01-05
标签: 信息技术, Fortinet, 网络犯罪, 

威胁行为者利用Fortinet虚拟专用网络 (VPN) 设备尝试用勒索软件感染加拿大的一所大学和一家全球投资公司。调查结果来自 eSentire 的威胁响应部门 (TRU),据报道,该部门阻止了攻击。eSentire 表示,威胁行为者试图利用该公司于2022 年 10 月发现的一个关键 Fortinet 漏洞(追踪到 CVE-2022-40684) 。Fortinet 将安全漏洞描述为身份验证绕过漏洞。如果成功利用,未经身份验证的攻击者可以访问易受攻击的 Fortinet 设备。TRU 表示,在进行暗网搜索时,它观察到黑客在地下市场买卖受损的 Fortinet 设备,这表明存在广泛的利用。

详情

http://urlqh.cn/n3eaI

Rackspace证实Play勒索软件是最近网络攻击的幕后黑手

日期: 2023-01-04
标签: 美国, 信息技术, 网络犯罪, 

总部位于美国德克萨斯州的云计算提供商 Rackspace 已确认 Play 勒索软件操作是最近一次网络攻击的幕后黑手,该攻击摧毁了该公司托管的 Microsoft Exchange 环境。此前,网络安全公司 Crowdstrike 上个月发布了一份报告,该报告详细介绍了勒索软件组织用来破坏 Microsoft Exchange 服务器并获得对受害者网络的访问权限的新漏洞。该漏洞利用(称为 OWASSRF)允许攻击者绕过Microsoft 提供的ProxyNotShell URL 重写缓解措施,可能是针对允许在 Exchange 服务器上远程提升权限的严重缺陷 ( CVE-2022-41080 )。他们还设法通过滥用CVE-2022-41082在易受攻击的服务器上远程执行代码,这与 ProxyNotShell 攻击中利用的漏洞相同。

详情

http://urlqh.cn/n5h3N

Zoho敦促管理员立即修补ManageEngine严重漏洞

日期: 2023-01-04
标签: 信息技术, zoho, 

商业软件提供商 Zoho 已敦促客户修补影响多个 ManageEngine 产品的严重安全漏洞。Zoho周一 警告说:“这个安全公告是为了让你知道检测到一个严重的安全漏洞。”该错误被跟踪为 CVE-2022-47523,是在该公司的 Password Manager Pro 安全保管库、PAM360 特权访问管理软件和 Access Manager Plus 特权会话管理解决方案中发现的 SQL 注入漏洞。成功的利用为攻击者提供了对后端数据库的未经身份验证的访问权限,并允许他们执行自定义查询以访问数据库表条目。该公司补充 说,“鉴于此漏洞的严重性,强烈建议客户立即升级到最新版本的 PAM360、Password Manager Pro 和 Access Manager Plus。”

详情

http://urlqh.cn/n4IKA

丰田、奔驰、宝马API漏洞暴露车主个人信息

日期: 2023-01-04
标签: 制造业, 丰田, 奔驰, 宝马, 

将近 20 家汽车制造商和服务包含 API 安全漏洞,这些漏洞可能允许黑客执行恶意活动,从解锁、启动和跟踪汽车到暴露客户的个人信息。这些安全漏洞影响了知名品牌,包括宝马、劳莱斯、梅赛德斯-奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和创世纪。这些漏洞还影响了汽车技术品牌 Spireon 和 Reviver 以及流媒体服务 SiriusXM。这些 API 漏洞的发现来自于 Sam Curry 领导的研究团队,该团队此前曾于 2022 年 11 月披露了现代、捷恩斯、本田、讴歌、日产、Infinity 和 SiriusXM 的安全问题。

详情

http://urlqh.cn/n3Gid

Synology修复了VPN路由器中的严重漏洞

日期: 2023-01-03
标签: 中国, 信息技术, 制造业, Synology, 

总部位于中国台湾的 NAS 制造商 Synology 解决了影响配置为作为 VPN 服务器运行的路由器严重漏洞。该漏洞被跟踪为CVE-2022-43931,由 Synology 的产品安全事件响应团队 (PSIRT) 在 VPN Plus Server 软件内部发现,该公司给出的最高 CVSS3 分数为 10。VPN Plus Server 是一个虚拟专用网络服务器,允许管理员将 Synology 路由器设置为 VPN 服务器,以允许远程访问路由器后面的资源。该漏洞可以在低复杂性攻击中被利用,而无需目标路由器的特权或用户交互。1.4.3-0534 和 1.4.4-0635 之前的 Synology VPN Plus Server 远程桌面功能中的越界写入漏洞允许远程攻击者通过未指定的向量执行任意命令。越界写入漏洞会造成严重的影响,例如数据损坏、系统崩溃和内存损坏后的代码执行。Synology 已发布安全更新以修补该漏洞,并建议客户将 VPN Plus Server for SRM (Synology Router Manager) 升级至最新可用版本。

详情

http://urlqh.cn/n0GrM

CISA称Jasper报告库中存在2处漏洞

日期: 2023-01-03
标签: 信息技术, CISA, 

(CISA) 已将两个 JasperReports 漏洞添加到其已知利用漏洞目录中。

Tibco 的 JasperReports 库被宣传为世界上最受欢迎的开源报告引擎。JasperReports Server 软件旨在使非技术用户能够创建报告、仪表板和可视化。

详情

http://urlqh.cn/mZY0i

ENLBufferTown漏洞细节披露

日期: 2023-01-03
标签: 文化传播, CVE-2022-47949, 

ENLBufferPwn漏洞利用了许多第一方任天堂游戏使用的网络库(Mario Kart 7 中)中存在的 C++ 类中的缓冲区溢出。这个类包含两个方法,它们用来自其他播放器的数据填充网络缓冲区。但是,这些方法都没有检查输入数据是否确实适合网络缓冲区。由于输入数据是可控的,只需与攻击者进行在线游戏会话即可在远程控制台上触发缓冲区溢出。

详情

http://urlqh.cn/mZPZw

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

0x07   安全分析

LAPSUS$6种攻击特征防御方式

日期: 2023-01-03
标签: 信息技术, Lapsus, 勒索攻击, 

黑客组织DEV-0537,也称为 LAPSUS$,在全球范围内使用纯粹的勒索和破坏模型进行活动,微软针对该组织的攻击特征提出了6项可以用于提前预防攻击的安全建议

详情

http://urlqh.cn/n3e6e

0x08   其他事件

东南亚地区的新晋势力:新APT组织Saaiwc Group针对东南亚军事、财政等多部门的攻击活动分析

日期: 2023-01-08
标签: 菲律宾, 柬埔寨, 越南, 金融业, 政府部门, 信息技术, Saaiwc Group, APT舆情, 

2022年11月,安恒信息猎影实验室在威胁狩猎中持续追踪到针对东南亚地区的攻击活动,活动疑似针对菲律宾、柬埔寨、越南地区的军事、财政部门。攻击活动主要以ISO文件为初始恶意负载,运行后在本机注册表添加Powershell指令,最后加载Powershell后门PowerDism窃取本机信息并执行任意指令。根据样本中的互斥体名称,将该组织命名为:Saaiwc Group。

详情

http://urlqh.cn/n4xpo

伪造口袋妖怪NFT游戏安装程序可让黑客劫持用户电脑

日期: 2023-01-08
标签: 信息技术, NetSupport, 网络犯罪, 

黑客正在使用精心制作的 Pokemon NFT 纸牌游戏网站来分发 NetSupport 远程访问工具并控制受害者的设备。目前仍然在线的网站“pokemon-go[.]io”声称拥有围绕 Pokemon 特许经营权构建的新 NFT 纸牌游戏,为用户提供战略乐趣以及 NFT 投资利润。考虑到 Pokemon 和 NFT 的流行,恶意门户的运营商应该不难通过垃圾邮件、社交媒体帖子等吸引观众访问该网站。那些点击“在 PC 上玩”按钮的人会下载一个看起来像合法游戏安装程序的可执行文件,但实际上是在受害者的系统上安装了 NetSupport 远程访问工具 (RAT)。ASEC的分析师发现了该操作 ,他们报告称该活动还使用了第二个网站“beta-pokemoncards[.]io”,但此后该网站已下线。

详情

http://urlqh.cn/n2xcy

WhatsApp 聊天转移功能更新

日期: 2023-01-08
标签: 信息技术, WhatsApp, 

2022年,WhatsApp发布了将聊天记录从 Android 转移到 iOS 设备的功能,用户不会丢失聊天记录。2021 年,iOS 设备引入了相同的功能,允许用户将聊天从 iPhone 转移到 Android 设备。据报道,如今,Meta 拥有的即时通讯平台正在开发一个新的聊天转移选项,该选项将在该应用程序的未来更新中推出,这将允许用户在不同的 Android 智能手机之间切换,而无需在谷歌上备份他们的聊天记录驾驶。根据 WABetaInfo 的一份新报告,在适用于 Android 2.23.1.26 更新的 WhatsApp 测试版中,该公司正在开发一种传输聊天记录的新方法,这将允许 Android 到 Android 的聊天传输,而无需 Google Drive 备份。

详情

http://urlqh.cn/n0KA9

黑客在GitHub上的免费劫持活动中使用CAPTCHA绕过策略

日期: 2023-01-08
标签: 金融业, 信息技术, 加密货币, 

据观察,南非一个名为“自动天秤”的威胁行为体使用CAPTCHA绕过技术,以编程方式创建GitHub帐户,这是名为PURPLEURCHIN的免费劫持活动的一部分。Palo Alto Networks Unit 42 研究人员 William Gamazo 和 Nathaniel Quist表示,该组织“主要针对提供云资源限时试用的云平台,以执行他们的加密采矿作业” 。PURPLEURCHIN 于 2022 年 10 月首次曝光,当时 Sysdig披露对手创建了多达 30 个 GitHub 帐户、2,000 个 Heroku 帐户和 900 个 Buddy 帐户以扩展其操作。

现在,根据 Unit 42 的说法,云威胁参与者小组在 2022 年 11 月的活动高峰期每分钟创建三到五个 GitHub 帐户,在 Heroku、Togglebox 和 GitHub 上总共设置了超过 130,000 个虚假帐户。

详情

http://urlqh.cn/n2Guv

高通公司的Snapdragon卫星将允许Android手机发送紧急短信

日期: 2023-01-08
标签: 美国, 英国, 德国, 加拿大, 信息技术, 半导体, 物联网, 

2023年1月5日,半导体制造商高通技术公司(Qualcomm Technologies,Inc.)在拉斯维加斯举行的2023消费电子展(CES)上宣布,全球首款基于卫星的双向消息传递解决方案由卫星电信公司铱星(Iridium)为下一代高端安卓智能手机提供。这项名为“Snapdragon Satellite”的功能类似于苹果通过卫星的“紧急求救”,后者与 iPhone 14 和 iPhone Pro 14 机型一起推出,可在用户离开蜂窝网络和 Wi-Fi 覆盖范围时发送紧急服务短信。目前,Apple 的紧急求救功能仅在美国、加拿大、英国、法国、德国和爱尔兰可用。

详情

http://urlqh.cn/n1qOa

Blind Eagle 黑客组织带着新型工具和复杂的感染链回归

日期: 2023-01-05
标签: 西班牙, 信息技术, Blind Eagle, 

一个被追踪为Blind Eagle的出于经济动机的黑客组织重新浮出水面,作为其针对哥伦比亚和厄瓜多尔组织的攻击的一部分,它使用经过改进的工具集和精心设计的感染链。Check Point 的最新研究提供了对西班牙语组织的策略和技术的新见解,包括使用复杂的工具和以政府为主题的诱饵来激活杀伤链。同样以 APT-C-36 为名进行追踪的 Blind Eagle 以其狭隘的地理范围和至少自 2018 年以来对南美国家发动不分青红皂白的攻击而著称。

详情

http://urlqh.cn/n1PUR

法国数据保护机构对Apple处以罚款

日期: 2023-01-05
标签: 法国, 商务服务, 信息技术, 

2023年1月上旬,法国数据保护机构 (CNIL) 已对 Apple 处以 800 万欧元(850 万美元)的罚款,原因是 Apple 在未征得用户同意或未征得用户同意的情况下收集用户数据用于 App Store 上的定向广告。这种做法被认为违反了《法国数据保护法》(DPA) 第 82 条,这是一项符合 GDPR(通用数据保护条例)的国家指令,适用于整个欧洲。法国DPA第82条规定,“任何电子通信服务访问或在用户终端设备中输入信息的行为(如cookies的存储)都需要征得用户同意”。

详情

http://urlqh.cn/n1lEc

由于担心影响学习,美国纽约的学校禁止ChatGPT

日期: 2023-01-05
标签: 美国, 教育行业, 信息技术, 人工智能, ChatGPT, 

纽约市教育局已禁止纽约市学校的学生和教师使用 ChatGPT,因为人们严重担心它的使用会妨碍学习并导致错误信息。ChatGPT 是下一代聊天机器人,针对对话格式的用户交互进行了优化,由 OpenAI 于 2022 年 11 月发布。该聊天机器人对包括 编程和论文写作在内的多个学科产生了非常大的破坏性。纽约市教育局担心 ChatGPT 可能向学生传达的信息,特别是其答案的安全性和准确性。纽约市教育局副新闻秘书 Jenna Lyle 表示:“由于担心对学生学习的负面影响以及内容的安全性和准确性,纽约市公立学校的网络和设备对 ChatGPT 的访问受到限制。虽然该工具可能能够为问题提供快速简单的答案,但它无法培养批判性思维和解决问题的能力,而这对于学业和终身成功至关重要。”

详情

http://urlqh.cn/n1BM5

Bluebottle 网络犯罪集团袭击非洲法语国家的金融部门

日期: 2023-01-05
标签: 非洲, 信息技术, Bluebottle, 网络犯罪, 

至少从 2022 年 7 月到 2022 年 9 月,一个名为 Bluebottle 的网络犯罪组织与针对非洲法语国家金融部门的一系列有针对性的攻击有关。赛门铁克在一份报告中表示: “该组织广泛使用离地生活、两用工具和商品恶意软件,在此活动中没有部署自定义恶意软件。” 这家网络安全公司表示,这些活动与 Group-IB 跟踪的名为OPERA1ER的威胁集群重叠,该威胁集群在 2018 年至 2018 年期间对非洲、亚洲和拉丁美洲的银行、金融服务和电信公司进行了数十次攻击。 该归因源于所用工具集的相似性、攻击基础设施、定制恶意软件的缺失以及非洲法语国家的目标。三个非洲国家的三个不同的未具名金融机构遭到破坏,尽管尚不清楚 Bluebottle 是否成功地将这些攻击货币化。

详情

http://urlqh.cn/n1DKu

据称俄罗斯和白俄罗斯GRU间谍在波兰被指控

日期: 2023-01-04
标签: 俄罗斯, 波兰, 政府部门, 俄罗斯GRU军事情报部门, 网络犯罪, 

2023年1月4日,华沙检察官办公室宣布,2022年4月在波兰被捕的两名男子现在已被指控为俄罗斯军事情报机构(GRU)从事间谍活动。2022年12月30日,对这两名男子的起诉书(一名俄罗斯公民,另一名白俄罗斯公民)已提交给比亚伊斯托克地区法院,指控他们从2017年到被捕期间为GRU从事间谍活动。据地区检察官亚历山德拉·斯克日尼亚尔兹(Aleksandra Skrzyniarz)称,波兰军事反间谍机构发现,这两人一直在“对波兰共和国防御至关重要的军事设施进行侦察”,重点是波兰东北部靠近白俄罗斯边境的地区。这些人试图收集有关波兰作战能力、军队士气和部队功能的信息,并计划将这些信息反馈给GRU。

详情

http://urlqh.cn/n13XI

Kimsuky移动端恶意活动瞄向韩国东亚研究所国家安全主任

日期: 2023-01-04
标签: 韩国, 科研服务, Kimsuky, APT舆情, 

安天移动威胁情报中心在日常移动APT的狩猎监测活动中发现:Kimsuky组织针对韩国人的三种新型Android恶意软件。在对恶意安卓木马的溯源分析中,通过对攻击者的攻击资产展开溯源取证分析,在攻击者的浏览器中发现了韩国东亚研究所某位国家安全主任的谷歌账号被控,且攻击者获得了该受害者存放在谷歌云盘的所有文件信息。三个恶意APK的包名称中均出现了“Fast”关键字,结合每个APK各自的特征来命名,它们分别是:FastFire、FastViewer和FastSpy。

详情

http://urlqh.cn/mYY0C

APT37利用恶意APK针对韩国记者的网络钓鱼行动

日期: 2023-01-04
标签: 韩国, 文化传播, 信息技术, APT37(Ricochet Chollima), APT舆情, 

韩国的一名记者最近收到匿名举报者建议在其手机上安装恶意APK文件。通过Interlab的威胁研究员Ovi Liber的分析,发现APK文件及其安装后的行为包含严重的恶意功能:包括能够读取和窃取目标的联系人列表、短信、语音通话内容、位置等。本报告中名为RambleOn的恶意APK文件包含以下独特特征:使用pCloud和Yandex的基础设施;使用FCM服务进行C&C通信。

详情

http://urlqh.cn/n4dH6

中国研究人员用量子计算机破解了RSA

日期: 2023-01-04
标签: 中国, 信息技术, 量子计算, RSA, 

中国的研究人员在量子计算方面取得了突破,弄清楚了如何使用即将公开可用的强大量子计算机破解 RSA 公钥加密系统。破解 2048 位 RSA——换句话说,找到一种方法来持续快速地发现支撑算法的秘密素数——将非常重要。尽管 RSA 算法本身已在很大程度上被面向消费者的协议(例如传输层安全性)所取代,但它仍广泛用于较旧的企业和运营技术软件以及许多代码签名证书中。如果恶意对手能够生成这些签名密钥或解密受 RSA 保护的消息,那么该对手将能够窥探互联网流量,并可能像合法软件更新一样传递恶意代码,从而可能使他们能够夺取第三方设备的控制权。

详情

http://urlqh.cn/n0n6u

Meta因数据泄露被欧盟罚款4.13亿美元-

日期: 2023-01-04
标签: 信息技术, Meta(原Facebook), 

在对 Facebook 和 Instagram 的数据处理操作进行长达两年的调查后,爱尔兰的数据隐私监管机构已向 Meta 处以 3.9 亿欧元(约合 4.13 亿美元)的罚款。这些调查源于 2018 年 5 月提出的两起投诉,重点是这家社交媒体巨头收集用户数据所使用的法律依据。 爱尔兰数据保护委员会 (DPC) 裁定,Meta 没有向用户明确说明对个人数据执行的“处理操作”,也没有说明这些数据的用途。缺乏透明度违反了欧盟的通用数据保护条例 (GDPR)。 虽然对 Meta 造成了打击,但该决定也暴露了欧洲内部对如何执行 GDPR 的分歧。

详情

http://urlqh.cn/mZSEG

美国监管机构警告银行加密货币安全风险

日期: 2023-01-04
标签: 美国, 金融业, 信息技术, 加密货币, 

美国金融监管机构已就加密市场带来的安全风险向银行发出警告。在 2022 年 1 月 3 日发布的联合声明中,美联储理事会、联邦存款保险公司 (FDIC) 和货币监理署 (OCC) 警告银行机构“与加密资产和加密资产部门参与者。”该声明还强调了加密市场的一些财务问题,例如其波动性、传染风险以及稳定币对风险的敏感性。虽然这些机构强调银行不会被劝阻向加密资产客户提供服务,但他们表示,与该行业相关的“无法减轻或控制的风险不会迁移到银行系统”这一点至关重要。因此,他们正在继续评估银行当前和拟议的加密资产相关活动是否或如何安全稳健地进行。这些机构还敦促银行机构为加密资产制定适当的风险管理策略,“包括董事会监督、政策、程序、风险评估、控制、闸门和护栏以及监控,以有效识别和管理风险。”

详情

http://urlqh.cn/n4g0H

持续的网络钓鱼攻击Flipper Zero针对infosec社区

日期: 2023-01-03
标签: 信息技术, Flipper Zero, infosec, 

一项新的网络钓鱼活动正在利用安全社区成员对 Flipper Zero 日益增长的兴趣来窃取他们的个人信息和加密货币。这些网络钓鱼活动是由安全分析师 Dominic Alvieri发现的,他发现了三个虚假的 Twitter 帐户和两个虚假的 Flipper Zero 商店。Flipper Zero 是一款便携式多功能网络安全工具,适用于渗透测试人员和黑客爱好者。该工具允许研究人员通过支持 RFID 仿真、数字访问密钥克隆、无线电通信、NFC、红外线、蓝牙等来修补各种硬件。开发人员在 2020 年Kickstarter 众筹活动取得巨大成功后推出了该设备 ,该活动在收到 4,882,784 美元的认捐后,比 60,000 美元的筹资目标高出 81 倍。

详情

http://urlqh.cn/n3JZp

超过60000台Exchange服务器易受ProxyNotShell攻击

日期: 2023-01-03
标签: 信息技术, 微软(Microsoft), ProxyNotShell, 

超过 60,000 台在线暴露的 Microsoft Exchange 服务器尚未针对 CVE-2022-41082 远程代码执行 (RCE) 漏洞进行修补,这是 ProxyNotShell 攻击针对的两个安全漏洞之一。根据致力于提高互联网安全的非营利组织 Shadowserver Foundation 的安全研究人员最近发布的一条推文,根据版本信息(服务器的 x_owa_version 标头),发现近 70,000 台 Microsoft Exchange 服务器容易受到 ProxyNotShell 攻击。然而,2023年1月2日发布的新数据显示,易受攻击的 Exchange 服务器数量已从 12 月中旬的 83,946 个实例减少到 1 月 2 日检测到的 60,865 个实例。

详情

http://urlqh.cn/mYaEC

波兰警告亲俄黑客组织Ghostwriter发动袭击

日期: 2023-01-03
标签: 波兰, 政府部门, 信息技术, Ghostwriter, 网络犯罪, 

波兰政府警告称,与俄罗斯有关联的黑客发起的网络攻击激增,其中包括国家资助的黑客组织 GhostWriter。在波兰官方网站上的公告中,政府声称敌对网络活动已经加剧,目标是公共领域和国家组织、战略能源和军备供应商以及其他重要实体。波兰人认为,俄罗斯黑客之所以将波兰作为目标,是因为他们在与俄罗斯的持续军事冲突中为乌克兰提供了持续的支持。

详情

http://urlqh.cn/n51jw

Snatch勒索软件瞄准沃尔沃汽车

日期: 2023-01-03
标签: 中国, 制造业, 信息技术, 沃尔沃, 网络犯罪, 

沃尔沃在一份新闻稿中透露,其部分研发资产成为网络攻击的目标。据瑞士科技新闻博客 INSIDE IT 报道,勒索软件组织 Snatch 于 11 月 30 日将被盗沃尔沃文件的图片发布到暗网中。据中国吉利旗下的这家公司称,“沃尔沃汽车了解到,其中一个文件来源已被第三方非法获取。黑客攻击期间被盗的研发资产数量有限,目前已通过调查得到证实。”

Snatch 勒索软件团伙声称对这次袭击负责。2022年11 月 30 日,勒索团伙在他们的数据泄露网站上发布了一篇新帖子,详细描述了他们如何在入侵期间侵入沃尔沃汽车公司的服务器并窃取文件。该条目包括所获取文件的屏幕截图作为证据。从那时起,Snatch 还发布了 35.9 MB 的文件,据称是在黑客攻击沃尔沃系统期间获取的文件。当一家网络安全公司通过电子邮件询问 Snatch 勒索集团发布的屏幕截图是否真的是从其系统中窃取的文件时,沃尔沃拒绝回应。

详情

http://urlqh.cn/n29VJ

PyTorch ML框架受到恶意依赖的影响

日期: 2023-01-03
标签: Meta(原Facebook), 机器学习, 人工智能, 恶意包, PyTorch, 

PyTorch 软件包的维护者警告在 2022 年 12 月 25 日至 2022 年 12 月 30 日期间安装了该库的夜间构建的用户,在发生依赖性混淆攻击后卸载并下载最新版本。“在此期间通过 pip 安装的 PyTorch-nightly Linux 包安装了一个依赖项 torchtriton,它在 Python 包索引 (PyPI) 代码存储库中遭到破坏并运行了一个恶意二进制文件,”PyTorch 团队在周末的警报中说。PyTorch 类似于 Keras 和 TensorFlow,是一个开源的基于 Python 的机器学习框架,最初由 Meta Platforms 开发。PyTorch 团队表示,他们是在格林威治标准时间 12 月 30 日下午 4 点 40 分发现恶意依赖项的。供应链攻击需要将名为 torchtriton 的合法依赖项的恶意软件副本上传到 Python 包索引 (PyPI) 代码存储库。

详情

http://urlqh.cn/n0Yxk

2022年网络安全事件TOP10

日期: 2023-01-03
标签: 信息技术, 2022年总结, 

2022 年是网络安全的重要一年,出现了大规模的网络攻击和数据泄露、创新的网络钓鱼攻击、隐私问题,当然还有零日漏洞。

BlepingComputer对2022年最受关注的网络安全事件TOP10 进行了总结,值得一提的一个密码安全事件是 LastPass 数据库遭受到窃取。

详情

http://urlqh.cn/n0ALM

微软数字防御报告

日期: 2023-01-03
标签: 信息技术, 网络安全, 

“微软数字防御报告”汇集了来自43万亿每日安全信号的见解,为组织提供了网络安全威胁格局和当前状态的高层次图景。

加快数字化转型增加了关键基础设施和网络/物理系统的网络安全风险。

详情

http://urlqh.cn/n1P8Y

LockBit 勒索软件团伙为SickKids 发布了免费解密器

日期: 2023-01-03
标签: 信息技术, 卫生行业, 勒索攻击, 

LockBit 勒索软件团伙为病童医院 (SickKids) 发布了一个免费解密器,称其中一名成员违反规定攻击该医疗机构。

SickKids 是多伦多的一家教学和研究医院,专注于为患病儿童提供医疗保健。SickKids 宣布 已恢复其 50% 的优先系统,包括那些导致诊断或治疗延误的系统。

详情

http://urlqh.cn/n2sSa

网络战时间线:匿名者组织对俄罗斯发起攻击的总结

日期: 2023-01-03
标签: 政府部门, 匿名者, 

CyberNews对匿名者对俄罗斯的网络攻击进行了总结,并通过视频时间线的方式展示其攻击发展变换。

详情

http://urlqh.cn/n1N88

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x0a   时间线

2023-01-09 360CERT发布安全事件周报