报告编号：CERT-R-2023-12

报告来源：360CERT

报告作者：360CERT

更新日期：2023-03-06

0x01   事件导览

本周收录安全热点67项，话题集中在网络攻击、安全漏洞、恶意程序，主要涉及的实体有：TELUS、谷歌（Google）、Lloyds Bank等，主要涉及的黑客组织有：Hydrochasma等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Iron Tiger 黑客创建了他们的自定义恶意软件的 Linux 版本

日期: 2023-03-01
标签: 信息技术, Google, Microsoft, HyperSSL, Rshell, APT27

APT27 黑客组织，又名“铁虎”，准备了一个新的 Linux 版本的 SysUpdate 自定义远程访问恶意软件，允许中国网络间谍组织瞄准企业中使用的更多服务。根据 趋势科技的一份新报告，黑客于 2022 年 7 月首次测试了 Linux 版本。然而，直到 2022 年 10 月，多个有效载荷才开始在野外传播。

新的恶意软件变体是使用 Asio 库用 C++ 编写的，其功能与 Iron Tiger 的 Windows 版 SysUpdate 非常相似。趋势科技分析的观察到的 SysUpdate 活动针对有效目标部署了 Windows 和 Linux 样本。

该活动的受害者之一是菲律宾的一家赌博公司，其攻击使用了一个命令和控制服务器，该服务器注册了一个与受害者品牌相似的域。感染媒介未知，但趋势科技的分析师推测，聊天应用程序被用作诱饵，诱使员工下载初始感染负载。

详情

Lazarus的最新武器：Wslink Loader和WinorDLL64后门

日期: 2023-03-01
标签: 信息技术, 网络犯罪, WannaCryptor, WinorDLL64, Wslink, Lazarus Group

网络攻击变得越来越先进，当今公司面临的最危险的威胁之一就是后门。后门是一种恶意软件，可让黑客未经授权访问系统，从而窃取重要信息、中断操作并影响安全性。最近出现的此类后门之一是 WinorDLL64，它与朝鲜黑客组织 Lazarus 有联系。ESET 研究人员发现了专家先前在 2021 年发现的 Wslink 下载程序的有效负载之一。根据其文件名，该有效负载被称为 WinorDLL64。 Wslink 是 Windows 二进制文件的加载器，与其他加载器不同，它作为服务器运行并在内存中执行检索到的模块。顾名思义，加载程序将用作将有效负载或恶意软件启动到受感染系统的工具。专家们还没有确定最初的 Wslink 妥协向量。 WinorDLL64 由 Wslink 恶意软件下载程序提供。这些工具可能与臭名昭著的朝鲜 APT 组织 Lazarus 有关。

详情

网络安全公司 Bitdefender 发布 MortalKombat 勒索软件解密器

日期: 2023-02-28
标签: 信息技术, Laplas, Clipper, Xorist, MortalKombat

2023年2月28日，网络安全公司 Bitdefender 发布了一个免费的 MortalKombat 勒索软件解密器，受害者可以使用它来恢复他们的文件而无需支付赎金。在 2023 年 1 月首次出现后不久，针对该特定病毒株的工作解密器就发布了，当时 Cisco Talos 报告 说它主要针对美国的系统。MortalKombat 分发者向随机用户发送包含恶意 ZIP 附件的电子邮件，其中包含 BAT 加载程序脚本。当脚本启动时，它会下载勒索软件二进制文件和 Laplas Clipper 并在系统上执行它们。这种快速破解很可能是因为 MortalKombat 基于 Xorist，这是一个 自 2016 年以来可解密的商品勒索软件家族。 MortalKombat 解密器是一个独立的可执行文件，无需在受感染的设备上安装。它提供扫描整个文件系统以定位被 MortalKombat 感染的文件，但用户也可以定义一个特定位置来保存备份的加密数据。该软件还允许用户创建加密文件的备份，这样他们就不会在解密过程出现问题时得到损坏且无法恢复的数据。

详情

LockBit勒索组织使用新的Exfiltrator-22恶意攻击框架

日期: 2023-02-28
标签: 信息技术, 网络犯罪, LockBit, LockBit 3.0

EX-22 包括其他后期开发工具包中常见的功能，但也包括用于部署勒索软件和数据窃取的附加功能。

安全研究员发现该框架使用与 LockBit 和 TOR 混淆插件 Meek 相关的相同“域前端”技术，这有助于将恶意流量隐藏在与信誉良好的平台的合法 HTTPS 连接中。经过进一步调查， EX-22用了之前在 LockBit 3.0 样本中公开的相同 C2 基础设施。

详情

PlugX特洛伊木马在最新攻击中伪装成合法的Windows调试器工具

日期: 2023-02-28
标签: 信息技术, 网络犯罪, PlugX

PlugX，也称为Korplug，是一种开发后模块化植入程序，除其他外，它以其多种功能而闻名，例如数据泄露和将受感染机器用于邪恶目的的能力。该恶意软件采用的关键方法之一是一种称为DLL 侧加载的技术，可从经过数字签名的软件应用程序加载恶意 DLL ，在本例中为x64dbg调试工具 (x32dbg.exe)。

DLL 侧载攻击利用Windows 中的DLL 搜索顺序机制来植入并调用执行恶意负载的合法应用程序。作为一个合法的应用程序，x32dbg.exe 的有效数字签名可以逃避一些安全工具的检测和拦截

详情

响尾蛇组织利用疫情题材针对我国的网络攻击活动

日期: 2023-02-27
标签: 

2022年11月，安天CERT发现一例印度方向响尾蛇组织针对我国某高校的鱼叉式钓鱼邮件。攻击者通过预先注册的虚假域名和账号向目标的办公室官方邮箱投送包含恶意快捷方式的附件包裹，社会工程学方面以疫情题材的邮件正文和掩饰文档内容都做得相当逼真，十分具有迷惑性。恶意快捷方式被点击后，将调用命令执行远程的Javascript脚本，该脚本在内存中加载阶段性恶意程序，获取本机的杀毒软件信息，恶意程序负责释放并打开无恶意的掩饰文档，以及下载后续木马程序，但截至分析时已无法获取。

详情

疑似Lazarus组织的新后门WinorDLL64

日期: 2023-02-27
标签: 

ESET研究人员发现了其在2021年发现的Wslink下载程序的一种有效载荷。根据其文件名WinorDLL64.dll将此有效载荷命名为WinorDLL64。WinorDLL64后门主要功能是是获取系统信息，提供文件操作，执行命令，它通过Wslink加载程序已经建立的连接进行通信。在2021年，ESET研究人员没有发现任何数据表明Wslink是来自已知威胁组织的工具。 然而，在对有效载荷进行大量分析后，基于目标区域、与已知的Lazarus样本在行为和代码上的重叠，以较低的置信度将WinorDLL64归因于Lazarus组织。

详情

ChromeLoader浏览器劫持软件分发以游戏名称伪装的恶意程序

日期: 2023-02-27
标签: 信息技术, 谷歌（Google）, ChromeLoader, Chrome, Google, Choziosi, Enigma

安全研究人员发现，ChromeLoader浏览器劫持和广告软件活动的运营商现在正在使用以流行游戏命名的VHD文件，这些文件看起来是合法的游戏相关软件包，来诱使用户下载并执行其恶意程序。

详情

Hydrochasma：以亚洲航运、医疗为目标的黑客组织

日期: 2023-02-27
标签: 信息技术, Hydrochasma, Microsoft, Broadcom, Update.Exe, Cobalt Strike

Hydrochasma是针对亚洲的航运公司和医学实验室的一个黑客组织，其从2022 年 10 月开始就一直在进行着攻击行动。Hydrochasma 使用的感染媒介很可能是网络钓鱼电子邮件。在机器上看到的第一个可疑活动是一个伪装成诱饵文档的可执行恶意程序。

详情

HHS建议医疗行业对Clop勒索软件使用GoAnywhere MFT漏洞进行攻击的行为采取防御策略

日期: 2023-02-27
标签: 信息技术, 网络犯罪, 勒索攻击, United States Department of Health and Human Services, Community Health Systems, Clop

在Clop勒索软件集团声称对利用Fortra GoAnywhere MFT中的零日漏洞进行的大规模针对性网络攻后，卫生与公众服务部再次敦促各实体加强对Clop最新策略的防御。

HHS警报警告称，因为服务器和云工作负载中普遍使用Linux，很容易导致Clop可以利用漏洞攻击并接管服务器。

详情

PureCrypter恶意软件用勒索软件、信息窃取等手段攻击政府机构

日期: 2023-02-27
标签: 信息技术, 网络犯罪, Agent Tesla, KrBanker, Philadelphia, RedLine Stealer, PureCrypter

Menlo Security研究人员发现，PureCrypter恶意软件下载器持续攻击政府实体，该恶意程序被发现分发了多种信息窃取者和勒索软件。

PureCrypter使用Discord托管其攻击指令的下发以及结果接受。

详情

0x04   数据安全

GoAnywhere MFT 遭遇黑客攻击导致数据泄露

日期: 2023-03-05
标签: 信息技术, 网络犯罪, Morgan Stanley, Community Health Systems, Kroger, Clop, TA505

据 Hatch Bank 称，黑客利用 Hatch Bank 内部文件传输软件中的一个零日漏洞，访问了客户的数千个社会安全号码，Hatch Bank 是一家为提供品牌信用卡的金融科技公司提供基础设施的数字优先银行。 据 Hatch Bank 称，安全漏洞已影响近 140,000 名客户，因为黑客能够从其 Fortra GoAnywhere MFT 安全文件共享平台访问敏感的客户信息，该平台允许客户从任何地方访问他们的在线账户。 除了为小型企业提供各种银行服务外，Hatch Bank 还是一家金融科技公司。 TechCrunch 今天报道说，受数据泄露影响的人的 139,493 份客户数据已被黑客利用 GoAnywhere MFT 软件中的漏洞窃取，该漏洞已提交给总检察长办公室进行调查。 Fortran 在发现其软件存在漏洞后，于 2023 年 1 月 29 日经历了一次网络事件。 Fortra 于 2023 年 2 月 3 日将此事件通知了 Hatch Bank，告知他们 Fortra 的 GoAnywhere 网站上包含的文件已被泄露。根据 Hatch 的说法，他们能够掌握被盗数据并对数据进行审查，发现攻击者掌握了客户姓名和社会安全号码。

详情

勒索软件团伙泄露从奥克兰市窃取的数据

日期: 2023-03-05
标签: 信息技术, 网络犯罪

Play 勒索软件团伙已开始泄露加利福尼亚州奥克兰市的数据，这些数据在最近的网络攻击中被盗。

最初的数据泄漏包括一个 10GB 的多部分 RAR 档案，据称包含机密文件、员工信息、护照和身份证。“私人和个人机密数据、财务信息。身份证、护照、员工的完整信息、侵犯人权的信息。目前部分发布压缩 10gb，”网络犯罪分子在其数据泄露网站上表示。在昨天发布的更新声明中，市政府表示他们正在监控情况，并将通知任何个人信息被泄露的个人。“虽然对影响奥克兰市的事件范围的调查仍在进行中，但我们最近发现，未经授权的第三方从我们的网络中获取了某些文件，并打算公开发布这些信息，”奥克兰市在一份声明中表示。

详情

PayPal因涉及35000名用户的数据泄露被起诉

日期: 2023-03-05
标签: 金融业, 信息技术, PayPal, Google, Epic Games

2023年3月初，在线支付公司PayPal再次陷入困境，这一次是因为数据泄露事件暴露了近 35,000 人的个人和财务信息。原告 Ashley Pillard 和 Destiny Rucker 提起集体诉讼，称该公司的疏忽是 2022 年 12 月事件的罪魁祸首。值得注意的是，据 Hackread.com 报道，2023 年 1 月 19 日，PayPal 开始联系近 35,000 名用户并发出数据泄露通知，解释说他们的账户在 2022 年 12 月 6 日至 8 日期间遭到黑客攻击。虽然 PayPal 在违规事件发生后迅速识别并加以控制，但调查花了将近两周的时间才完成。在此期间，该公司确认黑客使用有效凭据获得了对用户帐户的访问权限，尽管他们否认这是他们系统遭到破坏的结果。据 PayPal 称，没有证据表明用户凭据是直接从他们那里获得的，但该公司正在采取一切必要措施来确保其用户账户的安全。建议受影响的用户重置密码并启用双因素身份验证（2FA）作为预防措施。

详情

BidenCash泄露210万张被盗信用卡/借记卡

日期: 2023-03-05
标签: 金融业, 信息技术, 网络犯罪, Meta Platforms

2023年3月初，暗网信用卡网站BidenCash免费泄露了大约 200 万个被盗支付卡号的集合。免费提供包含 210 万个被盗支付卡号的档案，以纪念暗网信用卡网站BidenCash周年纪念。该转储于 2 月 28 日发布，它是通过俄语网络犯罪论坛 XSS 发布的。发布免费样本的决定旨在吸引新客户并在网络犯罪生态系统中声名狼藉。分析该集合的 Flashpoint 研究人员报告说，BidenCash 泄露的文本文件包括信用卡号以及持卡人的个人身份信息 (PII)（姓名、地址）以及完整卡号、有效期、CVV 代码和银行等财务数据姓名。专家报告说，大约 70% 的卡的有效期为 2023 年，而 50% 的卡属于美国持卡人。威胁情报公司 Cyble 的研究人员分析了此次泄密事件，报告称其中至少包含 740,858 张信用卡、811,676 张借记卡和 293 张签账卡。专家指出，由于不同的欺诈保护，借记卡持有人的风险高于信用卡持有人。

详情

0x05   网络攻击

英国零售商WH Smith报告网络攻击，称员工数据泄露

日期: 2023-03-02
标签: 信息技术, 批发零售, Yum! Brands

2023年3月2日，英国零售商WH Smith表示，它是网络安全事件的目标，攻击者能够访问公司数据。该零售商在向伦敦证券交易所监管新闻服务处提交的一份通知中表示，现任和前任员工的数据已被泄露。大约有 12,500 名员工为公司工作。“在意识到这一事件后，我们立即展开调查，聘请专家支持服务并实施我们的事件响应计划，其中包括通知有关当局，”该文件称。该公司没有具体说明攻击日期。WH Smith 主要在英国经营着 1,700 多家商店，是该国大部分商业街的常客，出售杂志、文具、书籍和糖果。网络攻击的性质没有被披露，尽管员工数据被访问的确认与一些勒索软件团伙的行为是一致的。

详情

波兰指责俄罗斯黑客对税务服务网站进行网络攻击

日期: 2023-03-02
标签: 政府部门, 信息技术, 网络犯罪, NoName057

2023年3月2日，波兰最高网络安全官员表示，波兰的税务服务网站遭到了一次网络攻击，据信是俄罗斯黑客实施的。分布式拒绝服务 (DDoS) 攻击发生在2023年2月28日周二，导致网站崩溃约一小时，并阻止用户访问在线报税系统。在周三接受波兰新闻频道 Polsat News 采访时，政府网络安全全权代表国务卿 Janusz Cieszynski 将这次袭击归咎于俄罗斯。 “我们掌握的信息表明这很可能就是对手，”他说。Cieszynski 说，这次攻击没有泄露任何数据。税务局没有回应 The Record 的置评请求。周一早些时候，亲俄罗斯的黑客组织 NoName057(16) 在 Telegram 上写道，波兰的税务服务网站即将遭到攻击。近几个月来，支持莫斯科的黑客利用网络攻击报复波兰和其他国家战争期间支持乌克兰的国家。当波兰上周向乌克兰交付第一辆豹式坦克时，NoName057(16) 声称已经入侵了波兰机场和电子政务网站。波兰安全机构一再表示担心，自战争开始以来，该国一直是亲俄黑客的“固定目标”。

详情

美国快餐连锁店Chick-fil-A证实遭受网络攻击

日期: 2023-03-02
标签: 信息技术, 网络犯罪, Chick-fil-A

2023年3月2日，美国快餐连锁店 Chick-fil-A 已证实，客户的账户在长达数月的撞库攻击中遭到破坏，威胁行为者可以使用存储的奖励余额并访问个人信息。2023年1 月份，  BleepingComputer 报道说 ，Chick-fil-A 已经开始调查它所说的客户账户上的“可疑活动”。当时，Chick-fil-A 建立了一个支持页面，其中包含有关客户在检测到其帐户存在可疑活动时应该采取的措施的信息。此警告是在 BleepingComputer 在圣诞节前通过电子邮件向 Chick-fil-A 发送有关 Chick-fil-A 用户帐户在撞库攻击中被盗并在线出售的报告后发出的。这些账户的售价从 2 美元到 200 美元不等，具体取决于奖励账户余额和关联的支付方式。

详情

美国田纳西州、路易斯安那州东南部大学遭遇网络攻击

日期: 2023-03-02
标签: 教育行业, 信息技术, Southeastern Louisiana University, Tennessee State University

2023年3月初，美国田纳西州和路易斯安那州的两所大学遭受了网络攻击，这些攻击已经削弱了校园服务。田纳西州立大学——纳什维尔的一所历史上由黑人授予土地的公立大学——周三通知其 8,000 多名学生，其 IT 系统因勒索软件攻击而瘫痪。学校在一封信中表示，它关闭了校园内的所有互联网接入，并计划至少在周五之前关闭系统。学生仍然可以访问他们的电子邮件帐户、Zoom 和校园计算机实验室。但校园VPN、无线网络和谷歌等外部网站将无法访问。“我们非常重视勒索软件，保护您数据的完整性至关重要，”该大学的 IT 团队表示。 “如果您在访问作业和/或评估方面遇到问题，学生应该通过电子邮件或电话联系他们的导师和/或顾问。”学校是最新的在其他几家为少数族裔学生服务的学校（如北卡罗来纳 A&T 大学、佛罗里达国际大学等）成为目标后，HBCU 遭到了勒索软件的攻击。由于长期存在资金失衡，这些学校往往无力承担保护学生和教职员工信息所需的网络安全。

详情

Hatch Bank披露GoAnywhere MFT黑客攻击后遭遇数据泄露

日期: 2023-03-02
标签: 信息技术, 金融业

2023年3月初，在黑客从该公司的 Fortra GoAnywhere MFT 安全文件共享平台窃取近 140,000 名客户的个人信息后，金融科技银行平台 Hatch Bank 报告了数据泄露事件。Hatch Bank 是一家金融技术公司，允许小企业从其他金融机构获得银行服务。据 TechCrunch 报道，发送给受影响客户并提交给总检察长办公室的数据泄露通知警告称，黑客利用 GoAnywhere MFT 软件中的漏洞窃取了 139,493 名客户的数据。“2023 年 1 月 29 日，Fortra 在得知其软件中存在漏洞时经历了一次网络事件，”Hatch Bank 数据泄露通知警告说。“2023 年 2 月 3 日，Hatch 银行收到了 Fortra 的通知，得知其在 Fortra 的 GoAnywhere 网站上的文件遭到未经授权的访问。”Hatch 表示，他们对被盗数据进行了审查，并确定客户的姓名和社会安全号码被攻击者盗用。该银行补充说，它将向受影响的个人提供为期 12 个月的免费信用监控服务。这是第二次确认由 GoAnywhere MFT 攻击造成的数据泄露，第一起是社区卫生系统 (CHS) 上个月披露的。

详情

加拿大图书供应商称员工数据在勒索软件攻击中被盗

日期: 2023-03-01
标签: 信息技术, 批发零售, 网络犯罪, Indigo Books and Music, LockBit

加拿大书商 Indigo 否认上个月在勒索软件攻击导致其网站瘫痪期间窃取了任何客户数据。然而，这家市值数十亿美元的公司员工的数据表现不佳。

在未注明日期的后续常见问题解答中，Indigo 现在表示员工数据参与了攻击。这家总部位于多伦多的公司没有回应关于有多少人受到影响的置评请求。它在加拿大各地的 160 多家商店拥有 8,000 多名现有员工。Indigo 表示，身份盗用管理公司 Cyberscout 将通过电子邮件就此事件联系现任和前任员工。那些没有存档电子邮件地址的人将通过邮件发送信件。 “通过我们的调查，我们了解到没有理由相信客户数据被不当访问，但一些员工数据确实如此。我们已经通知并正在与执法部门合作，”该公司表示。 常见问题解答没有具体说明攻击者访问了哪种类型的员工数据。LockBit网络犯罪团伙于周二晚上声称发动了这次袭击。

详情

Microsoft Exchange Online中断导致对全球邮箱的访问也中断

日期: 2023-03-01
标签: 信息技术, Microsoft

2023年3月1日，Microsoft 正在调查持续中断导致全球 Exchange Online 客户无法访问其邮箱或发送/接收电子邮件。受影响的用户在尝试发送或接收消息时会看到“550 5.4.1 收件人地址被拒绝：访问被拒绝”错误。“我们正在调查一个问题，用户可能无法通过任何连接方法访问他们的 Exchange Online 邮箱。更多详细信息可以在 EX522020 下的服务健康仪表板中找到，”微软2023年3月1日早些时候发推文说。客户还在Twitter和Reddit上报告说，发送到 Exchange Online 邮箱的大部分电子邮件不会到达收件人的邮箱。微软在2023年3月1日世界标准时间下午 5 点 22 分发布的服务健康警报中表示：“我们已经确定了一个潜在的基于目录的边缘阻塞 (DBEB) 问题，该问题可能会造成影响。”“我们正在结合我们现有的诊断数据对此进行调查，以确定我们的下一步行动。影响特定于通过北美、欧洲和英国受影响的基础设施提供服务的用户。”

详情

黑客在美国新闻集团网络上潜伏了两年

日期: 2023-02-28
标签: 信息技术, News Corp, IBM

2023年2月28日，美国出版巨头新闻集团透露，2022 年 1 月披露的漏洞背后的攻击者在两年多的时间里持续访问其部分内部系统。 在上周发给员工的  一封信中，该公司表示，攻击者已经获得了新闻集团多家企业使用的业务和文件存储系统的访问权限，并获得了员工的个人和健康信息。这次攻击影响了这家媒体巨头的多个出版物和业务部门，包括《华尔街日报》、《纽约邮报》及其英国新闻业务。   根据这封信，受影响员工的信息可能包括姓名、出生日期、社会安全号码、护照号码、驾照号码、财务账户信息、医疗信息和健康保险信息。新闻集团发言人没有告诉 SC Media 有多少员工受到影响，但表示“数量有限”。

详情

Anonymous Sudan针对丹麦医院发起DDoS攻击

日期: 2023-02-28
标签: 信息技术, 网络犯罪, IBM, Killnet

一个名为 Anonymous Sudan 的相对较新的黑客组织于2023年 2 月 26 日晚对丹麦的 9 家 H 区医院发起了 DDoS 攻击，导致其网站瘫痪数小时。在 Twitter 上，官员们提醒患者注意停电，并在 IT 团队努力恢复受影响的站点时分享了一个包含相关医院联系信息的紧急页面，以备不时之需。明显的 DDoS 攻击并未影响数字基础设施的其余部分。匿名苏丹电报频道警告说，在一名据称是极右翼活动家的周六在土耳其驻斯德哥尔摩大使馆前焚烧古兰经后，它将攻击丹麦的医疗保健基础设施。黑客警告称，攻击目标将继续，以报复他们认为的反伊斯兰行为。然而，对丹麦医院的攻击影响有限，因为首都地区和医院网站在停机几个小时后恢复全面运行。这是针对与北约有联系的国家的最新一次国家支持的网络攻击，在俄罗斯冲突中积极支持乌克兰的国家的关键基础设施面临越来越大的风险。

详情

DISH证实遭受SEC勒索软件攻击

日期: 2023-02-28
标签: 信息技术, 网络犯罪, Black Basta

2023年2月28日周二，美国卫星广播巨头 DISH 告诉美国证券交易委员会，勒索软件攻击是导致周末发生“系统问题”的原因。 在一份 8-K 表格文件中，DISH证实了他们受到勒索软件攻击的传言，并警告称，他们在周一意识到“作为此事件的一部分，某些数据是从公司的 IT 系统中提取的。”他们补充说，在确定“中断是由于网络安全事件造成的”后，他们联系了执法部门。“调查可能会显示提取的数据包括个人信息，”该公司表示。 “正在对这一事件的影响进行法医调查和评估。DISH、Sling 以及我们的无线和数据网络继续运行；然而，公司的内部通讯、客户呼叫中心和互联网站点都受到了影响。公司正积极参与恢复受影响的系统，并正在稳步取得进展。”该公司表示，已聘请了一家事件响应公司，他们仍在调查此次袭击事件。据报道，他们在 2 月 23 日的财报电话会议上通知了投资者停电的消息。 DISH 发言人告诉 The Record，这次攻击影响了他们的内部通信、客户呼叫中心和网站。他们补充说，如果发现客户数据在攻击期间被盗，他们将联系客户。

详情

黑客声称他们在 2022 年入侵 T-Mobile 超过 100 次

日期: 2023-02-28
标签: 信息技术, 网络犯罪, T-Mobile, T-Mobile US, Verizon, AT&T, Microsoft

新数据显示，三个不同的网络犯罪组织声称在整个 2022 年发生了 100 多起独立事件，可以访问通信巨头T-Mobile的内部网络。在每种情况下，攻击者的目标都是相同的：诱骗 T-Mobile 员工访问公司内部工具，然后将该访问权限转换为网络犯罪服务，可以雇用该服务来转移任何 T-Mobile 用户的短信和电话到另一个设备。上述结论基于对来自三个不同网络犯罪团体或行为者的Telegram聊天记录的广泛分析，安全研究人员已确定这些团体或行为者在“ SIM 卡交换”方面特别活跃且有效，这涉及暂时夺取对目标手机的控制权数字。无数网站和在线服务使用 SMS 文本消息进行密码重置和多重身份验证。这意味着窃取某人的电话号码通常会让网络犯罪分子在短时间内劫持目标的整个数字生活——包括访问与该电话号码相关的任何财务、电子邮件和社交媒体帐户。

详情

丹麦医院的网站遭到“匿名苏丹”的组织DDoS攻击

日期: 2023-02-28
标签: 信息技术, Microsoft, IBM, Scandinavian Airlines

丹麦九家医院的网站在周日晚上因自称为匿名苏丹的组织发起分布式拒绝服务 (DDoS) 攻击而下线。哥本哈根卫生当局在推特上表示，虽然医院的网站无法访问，但这些设施的医疗服务并未受到袭击的影响。被攻击的医院网站在几小时后重新上线。

详情

美国电视提供商DISH Network遭到网络攻击

日期: 2023-02-27
标签: 信息技术, Mon Health, DISH Network, 网络攻击, Dish Network

Dish Network遭受网络攻击，其网站在攻击之后下线，内部办公系统无法登录。The Verge发布的一份报告还显示了一封Dish Network发给员工的内部电子邮件，管理层通知他们正在发生的“VPN问题”而导致无法登录内部系统

详情

加拿大电信运营商Telus遭到网络攻击员工电子邮件数据被泄露

日期: 2023-02-27
标签: 加拿大, 信息技术, TELUS, 数据泄露, Dialog Axiata, Optus, Telus

加拿大最大的电信公司之一Telus正在调查一个系统漏洞，该漏洞被标记风险等级为严重，恶意行为者在网上暴露了有关其内部私人企业信息的样本。

恶意行为者在BreachForums上发帖，意图出售一个声称包含所有Telus员工电子邮件地址的电子邮件数据库。

详情

亚洲两个数据中心遭受网络攻击

日期: 2023-02-27
标签: 信息技术, 网络犯罪, Walmart, Goldman Sachs, Amazon

研究人员发现有证据表明，攻击者能够通过非法访问客户服务门户、帮助台和票务管理系统获取1210条额外信息记录。

在彭博社（Bloomberg）2月20日发布的一份报告中，安全研究人员确定了一些受影响的数据中心客户，包括阿里巴巴集团（Alibaba Group Holding）、亚马逊（Amazon）、高盛集团（Goldman Sachs Group）和沃尔玛（Walmart）。

详情

0x06   安全漏洞

AMD确认Radeon驱动程序错误导致Windows操作系统崩溃

日期: 2023-03-05
标签: 信息技术, 制造业, Advanced Micro Devices

2023年2月，AMD 发布了最新的 AMD Software：Adrenalin Edition 应用程序驱动程序 23.2.1，其中更新了 RX 6000 和 RX 7000 系列。然而，在发布之后，用户立即开始抱怨更新使他们无法启动进入 Windows。虽然半导体公司从未承认该问题，但发现同样的问题也存在于 AMD 最新的 WQHL 认证 Radeon 驱动程序 Adrenalin 23.2.2 中。显然，PCWorld 的编辑兼评论员 Brad Chacos 遇到了这个问题，他立即联系了 AMD 工程师并开始共同努力解决根本问题和临时解决方法。现在，AMD 已经或多或少地确认了用户在安装 Windows 更新时更新驱动程序时会出现该问题。该公司建议其用户在更新 AMD Radeon 驱动程序时避免使用“恢复出厂设置”选项，因为它会导致“无法访问的启动设备”错误，从而导致 Windows 安装无法使用。虽然该问题出现在极少数 PC 更新实例中，但 AMD 建议其用户确保在安装驱动程序之前应用或暂停所有系统更新，并且在计算机上安装新的 AMD Radeon 驱动程序时必须取消选中“恢复出厂设置”选项.

详情

新的 TPM 2.0 漏洞可能让黑客窃取加密密钥

日期: 2023-03-05
标签: 信息技术, 金融业, 加密货币, 密码学, Microsoft

可信平台模块 (TPM) 2.0 规范受到两个缓冲区溢出漏洞的影响，这些漏洞可能允许攻击者访问或覆盖敏感数据，例如加密密钥。TPM 是一种基于硬件的技术，可为操作系统提供防篡改安全加密功能。它可用于存储加密密钥、密码和其他关键数据，这使得其实施中的任何漏洞都值得关注。虽然某些 Windows 安全功能需要 TPM，例如测量启动、设备加密、Windows Defender System Guard (DRTM)、设备健康证明，但其他更常用的功能不需要 TPM。但是，当可信平台模块可用时，Windows 安全功能在保护敏感信息和加密数据方面获得增强的安全性。由于需要启动安全措施并确保 Windows Hello 人脸识别提供可靠的身份验证，微软将 TPM 2.0 规范作为运行 Windows 11 的要求时，TPM 2.0 规范获得了普及（和争议）  。Linux 也支持 TPM，但没有要求在操作系统中使用该模块。但是，有 可用的 Linux 工具 允许应用程序和用户保护 TPM 中的数据。

详情

Microsoft发布针对Intel CPU漏洞的Windows安全更新

日期: 2023-03-02
标签: 信息技术, Microsoft, Intel, Central Philippine University

2023年3月2日，Microsoft 已针对 Intel CPU 中的“内存映射 I/O 陈旧数据 (MMIO)”信息泄露漏洞发布了带外安全更新。Mapped I/O side-channel 漏洞最初由英特尔于 2022 年 6 月 14 日披露，警告称这些漏洞可能允许在虚拟机中运行的进程访问另一台虚拟机的数据。此类漏洞在以下 CVE 下进行跟踪：

CVE-2022-21123 - 共享缓冲区数据读取 (SBDR)

CVE-2022-21125 - 共享缓冲区数据采样 (SBDS)

CVE-2022-21127 - 特殊寄存器缓冲区数据采样更新（SRBDS 更新）

CVE-2022-21166 - 设备寄存器部分写入 (DRPW)

详情

Cisco修补IP电话中的严重漏洞

日期: 2023-03-01
标签: 信息技术, Cisco

2023年3月1日，思科发布了针对其 Cisco IP 电话四个系列型号的基于 Web 的管理界面中的两个漏洞的更新。更严重的错误是一个命令注入漏洞——CVE-2023-20078——被评为严重，CVSS 评分为 9.8，影响了Cisco IP Phone 6800、7800 和 8800 系列多平台电话。思科表示，该漏洞可能会让未经身份验证的远程攻击者注入以 root 权限执行的任意命令，本质上是远程代码执行 (RCE) 攻击。CVE-2023-20078 是由用户提供的输入验证不充分引起的，这是一个 Web UI 漏洞。思科表示，攻击者可以通过向基于 Web 的管理界面发送精心设计的请求来利用此漏洞。成功的利用可以让攻击者在受影响设备的底层操作系统上执行任意命令。另一个漏洞——CVE-2023-20079——被评为高严重性，CVSS 评分为 7.5。它影响了 Cisco IP Phone 6800、7800 和 8800 系列多平台电话，以及 Cisco Unified IP Conference Phone 8831 和 Unified IP Phone 7900 系列电话。

详情

BlackLotus成为首个绕过Windows 11安全引导的UEFI Bootkit恶意软件

日期: 2023-03-02
标签: 信息技术, Microsoft, BlackLotus, BitRAT

2023年3月1日，斯洛伐克网络安全公司 ESET 发布报告表示，一个名为 BlackLotus 的隐蔽统一可扩展固件接口 (UEFI) bootkit 已成为第一个能够绕过安全启动防御的公开恶意软件，使其成为网络环境中的一个强大威胁。斯洛伐克网络安全公司 ESET 的一份报告中说：“这个 bootkit 甚至可以在启用了 UEFI 安全启动的完全最新的 Windows 11 系统上运行。”UEFI bootkit 部署在系统固件中，允许完全控制操作系统 (OS) 启动过程，从而可以禁用操作系统级别的安全机制并在启动期间以高权限部署任意负载。以 5,000 美元（以及每个新的后续版本 200 美元）的价格出售，功能强大且持久的工具包使用 Assembly 和 C 进行编程，大小为 80 KB。它还具有地理围栏功能，可以避免感染亚美尼亚、白俄罗斯、哈萨克斯坦、摩尔多瓦、罗马尼亚、俄罗斯和乌克兰的计算机。有关 BlackLotus 的详细信息首次出现于2022 年 10 月，卡巴斯基安全研究员 Sergey Lozhkin 将其描述为一种复杂的犯罪软件解决方案。

详情

Aruba Networks修复了ArubaOS中的六个严重漏洞

日期: 2023-03-01
标签: 信息技术, Aruba Networks, Hewlett Packard Enterprise

Aruba Networks 发布了一份安全公告，告知客户影响其专有网络操作系统 ArubaOS 多个版本的六个严重漏洞。这些缺陷会影响 Aruba Mobility Conductor、Aruba 移动控制器以及 Aruba 管理的 WLAN 网关和 SD-WAN 网关。Aruba Networks 是 Hewlett Packard Enterprise 位于加利福尼亚的子公司，专门从事计算机网络和无线连接解决方案。Aruba此次解决的关键漏洞可以分为两类：PAPI协议（Aruba Networks接入点管理协议）中的命令注入漏洞和基于堆栈的缓冲区溢出问题。所有漏洞均由安全分析师 Erik de Jong 发现，他通过官方漏洞赏金计划向供应商报告了这些漏洞。命令注入漏洞被跟踪为 CVE-2023-22747、  CVE -2023-22748 、  CVE-2023-22749和 CVE-2023-22750，CVSS v3 评分为 9.8（满分 10.0）。未经身份验证的远程攻击者可以通过 UDP 端口 8211 向 PAPI 发送特制数据包来利用它们，从而以特权用户身份在 ArubaOS 上执行任意代码。基于堆栈的缓冲区溢出错误被跟踪为 CVE-2023-22751 和 CVE-2023-22752，CVSS v3 评级也为 9.8。这些缺陷可通过 UDP 端口 8211 向 PAPI 发送特制数据包来利用，从而允许未经身份验证的远程攻击者以特权用户身份在 ArubaOS 上运行任意代码。

详情

Cisco修补了多个IP电话中的关键Web UI RCE漏洞

日期: 2023-03-01
标签: 信息技术, Cisco

2023年3月1日，思科解决了在多个 IP 电话型号的 Web UI 中发现的一个严重安全漏洞，未经身份验证的远程攻击者可以利用该漏洞进行远程代码执行 (RCE) 攻击。RCE 漏洞 (CVE-2023-20078) 允许攻击者注入任意命令，这些命令将在成功利用后以 root 权限执行。“成功的利用可能允许攻击者在受影响设备的底层操作系统上执行任意命令，”思科2023年3月1日，表示。该公司2023年3月1日，还披露了第二个高危漏洞 (CVE-2023-20079)，该漏洞可被滥用来触发拒绝服务 (DoS) 条件。这两个错误都是由于对用户提供的输入的验证不充分造成的，并且可以通过发送到目标设备基于 Web 的管理界面的恶意制作的请求来加以利用。这些安全漏洞是由思科高级安全计划小组 (ASIG) 的 Zack Sanchez 在内部安全测试期间发现的。受影响的设备列表包括带有多平台固件的 Cisco IP Phone 6800、7800 和 8800 系列设备（易受 RCE 和 DoS 攻击），以及 Unified IP Conference Phone 8831、带有多平台固件的 Unified IP Conference Phone 8831 和 Unified IP电话 7900 系列（仅易受 DoS 攻击）。该公司的产品安全事件响应小组 (PSIRT) 补充说，它没有看到试图利用此安全漏洞进行攻击的证据。

详情

Apple NSPredicate 漏洞可导致设备被持久化控制

日期: 2023-02-28
标签: 信息技术

研究人员在iPad 上的UIKitCore框架中发现了一个 NSPredicate 漏洞。攻击者可以通过恶意应用程可以在设备主屏幕的应用程序 SpringBoard 中执行代码。通过SpringBoard 可能会对用户存储在手机上的数据造成威胁，并允许攻击者完全擦除设备。

这种新型漏洞的限制是它们要求攻击者已经具备目标设备访问权限。

详情

黑客正在积极利用Houzez主题和WordPress插件中的两个严重漏洞劫持网站

日期: 2023-02-28
标签: 信息技术

黑客正在积极利用 Houzez 主题和 WordPress 插件中的两个严重漏洞，这两个高级插件主要用于房地产网站。

Houzez 主题是一款售价 69 美元的高级插件，可提供轻松的列表管理和顺畅的客户体验。该供应商的网站声称它正在为房地产行业的 35,000 多名客户提供服务。

这两个漏洞是由 Patchstack 的威胁研究员 Dave Jong 发现的，并报告给了主题的供应商“ThemeForest”，其中一个缺陷在 2.6.4 版（2022 年 8 月）中修复，另一个在 2.7.2 版（2022 年 11 月）中修复。

详情

研究发现Docker镜像易受到历史漏洞影响

日期: 2023-02-28
标签: 信息技术

Rezilion 的新研究确定了 100,000 多个 Dockerfile存在安全隐患，这些Dockerfile的构建过程中包含可能存在漏洞的组件。目前经过统计主要包括CVE-2021-42013、CVE-2021-40438和CVE-2021-41773。

详情

RIG漏洞工具包通过Internet Explorer感染企业用户

日期: 2023-02-28
标签: 信息技术, Microsoft, Royal, IcedID, RecordBreaker, RedLine Stealer, Entropy, REvil, Nemty, SmokeLoader, Snifula, Zloader, Gozi, PureCrypter, Eris, Raccoon, Silence, Dridex

RIG Exploit Kit 正处于最活跃的时期，每天进行 2,000 次入侵并有大约 30% 的成功率。

该漏洞攻击包通过通过利用相对较旧的 Internet Explorer 漏洞，RIG EK 已被发现分发各种恶意软件系列，包括 Dridex、SmokeLoader 和 RaccoonStealer。

详情

Chromium bug导致可在Android设备上绕过SameSite cookie防御机制

日期: 2023-02-28
标签: 信息技术

安全研究人员Axel Chong发现，如果他使用意图方案导航到目标网站，他可以绕过SameSite保护。

Chong在Python中创建的一个概念证明表明，当web服务器使用意向URL启动重定向时，带有SameSite设置的cookie会继续存在。

详情

英国劳埃德银行语音验证ID验证系统被AI欺骗

日期: 2023-02-27
标签: 英国, 金融业, Lloyds Bank, 人工智能, Wells Fargo, Toronto-Dominion Bank, Lloyds Banking Group

研究员约瑟夫·考克斯（Joseph Cox）能够绕过英国劳埃德银行（Lloyds Bank）的语音ID识别程序，访问他自己的银行余额、最近的交易和转账列表。并展示了使用人工智能是如何合成语音、绕过安全保护和访问敏感银行信息的过程。

详情

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x08   时间线

2023-02-27 360CERT发布安全周报