报告编号：CERT-R-2023-48

报告来源：360CERT

报告作者：360CERT

更新日期：2023-03-20

0x01   事件导览

本周收录安全热点55项，话题集中在安全漏洞、恶意程序、数据安全，主要涉及的黑客组织有：APT29、Saaiwc Group、Gamaredon等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

黑客利用 Adobe Acrobat Sign 传播 Redline 信息窃取恶意软件

日期: 2023-03-19
标签: 信息技术, 网络犯罪, Adobe, Google, PayPal, RedLine Stealer, Emotet

网络犯罪分子正在利用在线文档签名服务 Adobe Acrobat Sign 诱骗用户下载窃取其个人信息的恶意软件。 为了绕过安全措施并欺骗用户相信他们收到的电子邮件是合法的，该服务被滥用来发送看似来自软件业务的恶意电子邮件。Adobe Acrobat Sign 是一种基于云的电子签名服务，允许用户免费发送、签名、跟踪和管理电子签名。威胁参与者注册该服务并使用它向某些电子邮件地址发送消息，其中包含指向 Adobe 服务器上发布的文档的链接（“eu1.documents.adobe.com/public/”）。 这些文件包括一个网站链接，该网站要求访问者完成验证码，以便在向他们提供包含 Redline 信息窃取程序副本的 ZIP 存档之前增加真实性。Redline 是一种危险的间谍软件，可以从受感染的设备中窃取帐户凭据、加密货币钱包、信用卡和其他数据。

详情

美国政府发布LockBit 3.0勒索软件内幕资料

日期: 2023-03-19
标签: 信息技术, 网络犯罪, LockBit Black, BianLian, LockBit 3.0, Hive, Conti, BlackCat, StealBit, LockBit

2023年3月中旬，美国政府机构发布了一份联合网络安全咨询，详细介绍了与臭名昭著的LockBit 3.0 勒索软件相关的妥协指标 (IoC) 以及策略、技术和程序 (TTP) 。当局表示： “LockBit 3.0 勒索软件的运作类似于勒索软件即服务 (RaaS) 模型，是勒索软件、LockBit 2.0 和 LockBit 先前版本的延续。”该警报由美国联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA) 以及多州信息共享与分析中心 (MS-ISAC) 提供。自 2019 年底出现以来，LockBit 攻击者投入了大量技术来开发和微调其恶意软件，发布了两个主要更新——2021 年年中发布的 LockBit 2.0 和2022 年 6 月发布的LockBit 3.0。这两个版本是也分别称为 LockBit Red 和 LockBit Black。该勒索软件还旨在仅感染那些语言设置与排除列表中指定的语言设置不重叠的机器，其中包括罗马尼亚语（摩尔多瓦）、阿拉伯语（叙利亚）和鞑靼语（俄罗斯）。

详情

BianLian 勒索软件团伙将重点转移到纯粹的数据勒索

日期: 2023-03-16
标签: 信息技术, 网络犯罪, BianLian, donut_injector, Karakurt, RansomHouse

BianLian 勒索软件组织已将其重点从加密受害者的文件转移到仅泄露在受感染网络上发现的数据并将其用于勒索。网络安全公司Redacted报告了 BianLian 的这一业务发展 ，他们已经看到威胁组织试图制定勒索技巧并增加受害者压力的迹象。BianLian 是一种勒索软件操作，于2022 年 7 月首次在野外出现 ，成功破坏了多个知名组织。BianLian 运营商保持其初始访问和横向移动技术不变，并继续部署基于 Go 的自定义后门，使他们能够远程访问受感染的设备，尽管它的版本略有改进。威胁行为者会在勒索网站遭到破坏后 48 小时内以蒙面形式发布他们的受害者，给他们大约十天的时间来支付赎金。截至 2023 年 3 月 13 日，变链在其勒索门户网站上列出了总共 118 个受害组织，其中绝大多数 (71%) 是美国公司。

详情

卡巴斯基发布基于Conti源代码的勒索软件解密器

日期: 2023-03-16
标签: 信息技术, 网络犯罪, Kaspersky Lab, Meow, Conti

2023年3月16日，网络安全公司卡巴斯基发布了一个解密器，可以帮助数据被 Conti 勒索软件锁定的受害者。卡巴斯基表示，该工具可用于在整个 2022 年 12 月感染数十家“公司和国家机构”的恶意软件变种。卡巴斯基没有透露变种的名称，但专家表示，它被追踪为 Meow 勒索软件，它基于 Conti 泄露的代码。2022 年 3 月，在一家心怀不满的附属公司对该集团支持俄罗斯入侵乌克兰提出异议后， Conti 的源代码被公开。总部位于俄罗斯的卡巴斯基实验室没有回应关于大多数受害者所在位置的评论请求。该公司的专家设法获得了勒索软件的私钥——提供给勒索软件受害者的工具，使他们能够解锁文件。“2023 年 2 月下旬，卡巴斯基专家发现了论坛上发布的一部分新泄露数据，”该公司表示。“在对包含 258 个私钥、源代码和一些预编译解密器的数据进行分析后，卡巴斯基发布了新版本的公共解密器，以帮助遭受这种修改的 Conti 勒索软件的受害者。”

详情

FakeWalls Android恶意软件以新的方式在手机上隐藏

日期: 2023-03-16
标签: 信息技术, Fakecalls

Android 恶意软件“FakeCalls”再次在韩国流行，模仿 20 多家金融机构的电话，并试图欺骗银行家泄露他们的信用卡详细信息。特定的恶意软件并不新鲜，因为卡巴斯基在 一年前发布了一份关于它的报告。然而，Check Point 研究人员现在报告说，更新的版本已经实施了多种规避机制，这在以前的样本中是看不到的。“我们发现了 2500 多个 FakeCalls 恶意软件样本，这些样本使用了各种模仿金融组织的组合并实施了反分析技术。恶意软件开发人员特别注意保护他们的恶意软件，使用了我们以前在野外从未见过的几种独特的规避方法。”” CheckPoint 的报告中表示。

详情

Adobe Acrobat Sign 被滥用来推送 Redline 信息窃取恶意软件

日期: 2023-03-16
标签: 信息技术, 网络犯罪, Google, Adobe, PayPal, Emotet, RedLine Stealer

网络罪犯滥用在线文档签名服务 Adobe Acrobat Sign 向毫无戒心的用户分发信息窃取恶意软件。Adobe Acrobat Sign 是一种免费试用的基于云的电子签名服务，允许用户发送、签名、跟踪和管理电子签名。威胁行为者注册该服务并滥用它向目标电子邮件地址发送消息，这些电子邮件地址链接到 Adobe 服务器上托管的文档（DOC、PDF 或 HTML）（“eu1.documents.adobe.com/public/”）。

该服务被滥用来发送来自软件公司的恶意电子邮件，以绕过安全保护并诱使收件人信任收到的电子邮件。滥用合法服务的策略并不新鲜。最近看到的类似案例包括滥用 PayPal 发票、  Google Docs 评论等。Avast的研究人员报告了网络犯罪的这一新趋势 ，他们警告说它在绕过安全层和欺骗目标方面的有效性。

详情

GoatRAT Android 银行木马以移动自动支付系统为目标

日期: 2023-03-16
标签: 金融业, 信息技术, 网络犯罪, 移动安全, Nubank, GoatRAT

一种能够进行即时未经授权汇款的 Android 银行木马正以巴西银行为目标，这是威胁参与者利用拉丁美洲新的自动支付系统的增长趋势的一部分。

Cyble 的研究人员在一篇博客文章中透露，新的 GoatRAT——就像之前的BraxDex、Senomorphy 和PixPirate——窃取了它所针对的移动设备的 Pix 密钥，以便从受感染的账户中进行即时支付GoatRAT 背后的攻击者使用该密钥访问 Pix 支付平台，该平台由巴西中央银行创建和运营，用户可以使用各种银行在拉丁美洲进行即时移动支付。到目前为止，Cyble 研究人员已经观察到 RAT——他们说 RAT 首先是作为 Android 远程管理工具创建的，用于控制受害者的设备——针对三个巴西银行：NUBank、Banco Inter 和 PagBank。根据调查结果，进行自动传输似乎是该木马的唯一目标，与类似的恶意软件不同，该木马不包括窃取身份验证代码或传入的 SMS 消息的能力。Cyble 研究人员写道，该恶意软件是过去六个月威胁参与者创建更复杂的银行恶意软件的一个增长趋势的一部分，其中包括自动转账系统 (ATS) 框架，“允许攻击者在受感染的设备上进行未经授权的汇款” .

详情

伊朗国家黑客组织OilRig继续以中东政府组织为目标

日期: 2023-03-15
标签: 信息技术, 网络犯罪, Saitama Backdoor, Karkoff, Shark, Marlin, OilRig, CHRYSENE, Cleaver

作为利用新后门泄露数据的网络间谍活动的一部分，名为OilRig的伊朗民族国家黑客组织继续以中东的政府组织为目标。趋势科技研究人员 Mohamed Fahmy、Sherif Magdy 和 Mahmoud Zohdy 表示：“该活动滥用合法但已泄露的电子邮件帐户，将窃取的数据发送到攻击者控制的外部邮件帐户。 ”虽然这项技术本身并非闻所未闻，但这一发展标志着 OilRig 首次在其剧本中采用它，表明其绕过安全保护的方法在不断发展。高级持续性威胁 (APT) 组织，也称为 APT34、Cobalt Gypsy、Europium 和 Helix Kitten，至少从 2014 年开始就在中东进行有针对性的网络钓鱼攻击。众所周知，该组织与伊朗情报和安全部 (MOIS) 有关联，在其行动中使用多种工具集，最近在 2021 年和 2022 年的攻击中使用了 Karkoff、Shark、Marlin 和 Saitama 等后门程序来窃取信息。

详情

LockBit 勒索软件攻击 Essendant 导致其网络中断

日期: 2023-03-14
标签: 信息技术, 网络犯罪, Dish Network, IHG Hotels & Resorts, Essendant, Holiday Inn, LockBit

LockBit 勒索软件声称对办公产品批发分销商 Essendant 发起了网络攻击，此前“重大”且持续的中断导致该公司的运营中断。正如BleepingComputer早些时候报道的那样，Essendant 大范围的网络中断一直在阻止在线订单的下达或履行，并影响了公司的客户和供应商。货运公司也被告知在另行通知之前暂缓取件。自发布我们的报告以来，BleepingComputer 收到了来自 Essendant 员工和/或客户的多条提示，其中一些人声称这是勒索软件攻击。长时间的中断导致 Essendant 的客户猜测“黑客攻击”，其中一些客户无法完成他们的工作。截至 3 月 14 日，LockBit 勒索软件团伙已声称对 Essendant 的网络攻击负责。

详情

“FakeWalls”安卓恶意软件针对韩国金融公司

日期: 2023-03-14
标签: 信息技术, 网络犯罪, Fakecalls

一种新的 Android 钓鱼（语音网络钓鱼）恶意软件工具被发现通过冒充该地区 20 家领先的金融机构来针对韩国的受害者。被Check Point Research (CPR) 团队称为“FakeCalls”的恶意软件以虚假贷款诱骗受害者，要求他们确认信用卡号码，然后信用卡号码被盗。CPR 网络安全研究员 Alexander Chailytko 表示：“FakeCalls 恶意软件具有瑞士军刀的功能，不仅能够执行其主要目标，还能从受害者的设备中提取私人数据。”在 CPR 2023年3月14日发布的一份报告中，该公司证实它发现了 2500 多个 FakeCalls 恶意软件样本，这些样本结合了模仿金融组织和实施的规避技术。此外，该团队表示，恶意软件开发人员付出了额外的努力来保护他们的恶意软件免受防病毒程序的侵害，实施了 CPR 以前未在野外观察到的几种独特的规避技术。

详情

新的 GoBruteforcer 恶意软件针对 phpMyAdmin、MySQL、FTP、Postgres

日期: 2023-03-13
标签: 信息技术, 网络犯罪, GoBruteforcer

一种新发现的基于 Golang 的僵尸网络恶意软件会扫描并感染运行 phpMyAdmin、MySQL、FTP 和 Postgres 服务的 Web 服务器。据 Palo Alto Networks 的 Unit 42 研究人员称，该恶意软件与 x86、x64 和 ARM 架构兼容，他们首先在野外发现了它并将其命名为 GoBruteforcer。GoBruteforcer 将暴力破解具有弱密码或默认密码的帐户以侵入易受攻击的 *nix 设备。研究人员说：“为了成功执行，样本需要受害者系统具备特殊条件，例如使用特定参数和已经安装目标服务（使用弱密码）  。 ”

对于每个目标 IP 地址，恶意软件开始扫描 phpMyAdmin、MySQL、FTP 和 Postgres 服务。在检测到接受连接的开放端口后，它将尝试使用硬编码凭据登录。进入后，它会在受感染的 phpMyAdmin 系统上部署一个 IRC 机器人，或者在运行其他目标服务的服务器上部署一个 PHP web shell。

详情

Dark Pink APT集团针对南亚实体部署KamiKakaBot

日期: 2023-03-13
标签: 信息技术, Pink, KamiKakaBot, Dark

被称为 Dark Pink 的威胁行为者与 KamiKakaBot 恶意软件的部署有关，该恶意软件针对东盟（东南亚国家联盟）国家的多个政府实体。EclecticIQ的威胁研究人员在上周发表的一篇博客文章中讨论了这些发现，解释了观察到的攻击发生在 2 月份。报告解释说：“在这次新的活动中，欧洲和东盟国家之间的关系很可能以社会工程的形式被利用，以针对东南亚国家的军事和政府实体进行引诱。  ” “虽然研究人员缺乏确定该组织国籍所需的确凿证据，但攻击者的目标和一些模式表明 Dark Pink 组织可能是中国 APT 组织。”该团队补充说，恶意活动与Group-IB之前发现的活动几乎相同。“2023 年 1 月，威胁行为者使用 ISO 映像交付 KamiKakaBot，这是使用 DLL 侧载技术执行的，”EclecticIQ 文章中写道。“2 月份活动的主要区别在于恶意软件的混淆程序已经改进，可以更好地规避反恶意软件措施。”安全研究人员建议用户在防御此类攻击时要保持警惕，避免打开不明来源的电子邮件或附件。用户还应该定期更新操作系统和软件，这有助于修复其他潜在漏洞，提高系统安全性。对于个人和组织而言，进行有意义的培训和提升安全意识也同样重要。由于黑粉组织的攻击目标通常在国家级别，因此政府和企业应该采用更严格的安全措施，防止黑客入侵其网络和系统。

详情

0x04   数据安全

NBA（美国国家篮球协会）披露数据泄露事件

日期: 2023-03-19
标签: 信息技术, 网络犯罪, Meta Platforms

在一家提供时事通讯服务的第三方公司遭到破坏后，NBA（国家篮球协会）通知关注者数据泄露。

美国国家篮球协会（NBA）是北美的职业篮球联赛，由30支球队（美国29支，加拿大1支）组成。它是美国和加拿大主要的职业体育联盟之一，被认为是世界上首屈一指的男子职业篮球联赛。NBA 在外部网络安全专家的支持下对安全漏洞展开了调查，以确定事件的严重程度。NBA 指出其系统没有受到影响，根据发送给球迷的数据泄露通知，该事件影响了不详的个人。最先报道该消息的BleepingComputer证实，部分粉丝个人信息被盗。

据该协会称，未经授权的第三方访问并创建了部分粉丝的姓名和电子邮件地址的副本。数据泄露并未泄露用户名、密码和其他信息。

详情

DC Health Link证实国会议员健康数据泄露

日期: 2023-03-19
标签: 信息技术, 卫生行业, DC Health Link

根据官方最新消息，DC Health Link 证实威胁行为者泄露了其健康计划成员（包括众议院和参议院成员）的个人和健康信息。3 月 10 日，哥伦比亚特区健康福利交易局宣布 56,415 名计划成员受到影响。在众议院首席行政官 Catherine Szpindor 致众议院议员的一封信之后，参议院收到了类似的通知。简报证实入侵是在 2023 年 3 月 6 日首次发现的。受影响的系统与参议院或众议院网络无关。

据当局称，调查正在进行中。尚未报告受影响的国会议员的确切人数。被盗数据可能包括社会安全号码、联系方式和出生日期。官员们已经确定了两个不同的受影响群体。第一类是被确认信息被盗并公开泄露的个人。第二组被确定为那些数据存储在受影响平台上的人，但目前没有明显的妥协证据。正如之前报道的那样，几个黑客组织发布了被盗数据的“数据证明”。

详情

黑客出售据称在美国法警局黑客攻击中被盗的数据

日期: 2023-03-15
标签: 信息技术, 网络犯罪

一名威胁行为者在一个讲俄语的黑客论坛上出售他们声称的数百 GB 数据，据称这些数据是从美国法警服务 (USMS) 服务器上窃取的。USMS 是司法部的一个局，通过执行联邦法院命令、确保政府证人及其家人的安全、扣押非法获得的资产等方式为联邦司法系统提供支持。这份名为“来自美国元帅局 (USMS) 执法机密信息的 350 GB”的公告是2023年3月15日早些时候使用2023年3月14日下午注册的帐户添加的。据卖家称，该数据库的售价为 150,000 美元，其中包含“2021 年至 2023 年 2 月期间来自文件服务器和工作计算机的文件，不会像 exe 文件和库那样泛滥”，据卖家称。这些信息包括军事基地和其他高度安全区域的航拍镜头和照片、护照和身份证件的复印件，以及窃听和监视公民的详细信息。这些文件还包含有关罪犯、帮派头目和卡特尔的信息。威胁行为者还声称某些文件被标记为机密或绝密。

详情

黑客利用 Fortra 零日漏洞窃取云管理巨头 Rubrik 的销售数据

日期: 2023-03-14
标签: 信息技术

2023年3月上旬，云数据管理巨头 Rubrik 证实，黑客利用流行文件传输工具中的漏洞攻击了该公司。Clop 勒索软件组织——一直是利用影响 Fortra 的 GoAnywhere 托管文件传输产品的漏洞背后的主要力量——周二将 Rubrik 添加到其受害者名单中。该公司发言人表示，根据第三方进行的调查，黑客没有访问 Rubrik 代表其客户保护的任何数据。调查该事件的第三方安全公司表示，所访问的服务器中没有暴露敏感的个人数据，例如社会安全号码、金融帐号或支付卡号码。Mestrovich 指出，有 100 多个组织正在通过 GoAnywhere 漏洞被积极利用。建议用户时刻保持警觉，加强自身信息安全建设，注意软件更新和漏洞修复，尽可能使用多层防护措施保护自己的系统安全。

详情

洛杉矶住房管理局披露勒索软件攻击后的数据泄露

日期: 2023-03-13
标签: 信息技术, 建筑业, 网络犯罪, LockBit 3.0, LockBit

在 LockBit 勒索软件团伙以该组织为目标并泄露了在攻击中窃取的数据后，洛杉矶市房屋管理局 (HACLA) 发出“数据安全事件”警告。HACLA 是一家州特许机构，为加利福尼亚州洛杉矶的低收入个人和家庭提供负担得起的住房。该政府机构的年度预算为 10 亿美元，还提供职业培训和教育，以帮助符合条件的家庭实现自给自足并改善他们的生活质量。根据 数据泄露通知，2022 年 12 月 31 日，HACLA 发现其网络上的计算机系统已被加密，迫使该机构的 IT 团队关闭所有服务器并展开调查。

对该事件的调查于 2023 年 2 月 13 日完成，显示黑客在 2022 年 1 月 15 日至 2022 年 12 月 31 日期间未经授权访问系统。HACLA 已通过邮件通知受影响的个人，其中包括有关监控其账户、设置欺诈警报以及向当局报告身份盗窃事件的说明。

详情

夏威夷卫生部门表示死亡登记系统数据泄露

日期: 2023-03-13
标签: 信息技术

夏威夷卫生部表示，在 1 月份的一次网络攻击使黑客无法访问该州的死亡登记册后，它正在发出违规通知函。2023年3月10 日，官员警告说，虽然无法获得死亡证明，但最近有家人去世的人应该“对任何未解决的问题保持警惕，例如账户、遗产、人寿保险索赔或社会保障幸存者福利”。该部门表示，它于 1 月 23 日首次听说这起攻击事件，当时网络安全公司 Mandiant 通知几个州机构，连接到州电子死亡登记系统 (EDRS) 的外部医疗死亡证明者账户的凭据已在暗网上出售。尽管该部门立即禁用了外部账户，但 2 月份完成的一项调查发现，一名黑客访问了大约 3,400 份死亡记录。据该部门称，这些文件的死亡日期从 1998 年到 2023 年不等，其中 90% 发生在 2014 年或更早。该部门表示，解决财务和法律事务所需的死亡证明与死亡记录分开生成。“死亡记录包含死者的姓名、社会安全号码、地址、性别、出生日期、死亡日期、死亡地点和死因。已经过认证的记录不能更改，99%的记录已经过认证，”官员说。“DOH 审查了 1% 的未经认证的记录，没有任何记录是由未经授权的用户认证的。”作为安全建议，受影响用户应尽快更改自己的密码，密切关注自己的信用报告，以便及早发现身份盗窃等问题。针对这种情况，政府应该采取进一步的措施，加强其网络和系统安全措施，以确保其在处理数据时保持最高水平的安全性。

详情

AT&T 数据泄露影响900万客户

日期: 2023-03-13
标签: 信息技术

在 AT&T 数据泄露事件中，有 900 万个用户帐户在第三方营销合作伙伴遭到破坏后遭到泄露。由于违规，包括名字、帐号、电话号码和电子邮件地址在内的客户数据被泄露。尽管如此，该妥协并未对 AT&T 自己的系统产生影响。 AT&T 的客户已收到其第三方供应商之一的数据泄露警报，其中黑客能够获取有关客户“设备升级资格”的详细信息。影响超过 900 万客户账户的重大数据泄露事件发生在 1 月份，同月 T-Mobile 遭遇重大数据泄露事件，影响了约 3700 万个后付费和预付费账户。AT＆T强烈建议受影响的客户立即更改其密码，并通知任何可能受到影响的信用监管机构。涉事公司还表示，已经采取了措施以加强其安全部门，并追究此事的责任。

此次数据泄露事件再次提醒人们：网络安全风险存在于企业和个人生活的方方面面。建议客户不仅要定期更改自己的密码，而且还要避免使用相同的密码或将密码保存在易受攻击的地方，如电子邮件或社交媒体中。企业和组织也应该加强安全措施，包括持续进行系统更新和漏洞修复、加强员工安全意识培训等。

详情

0x05   网络攻击

Winter Vivern攻击欧洲政府组织和电信服务提供商

日期: 2023-03-19
标签: 政府部门, Winter Vivern, APT舆情

SentinelLabs利用波兰CBZC和乌克兰CERT的观察结果，对Winter Vivern组织的攻击行动进行了调查，发现了该组织进行的一系列以前未知的间谍活动和目标。分析表明，Winter Vivern的行动与白俄罗斯和俄罗斯政府利益相关，攻击以各种政府组织为目标，在极少数情况下，还以私营电信组织为目标。其采用各种战术，例如网络钓鱼和部署恶意文件都是根据目标组织的具体情况量身定制的。

详情

Rubrik证实GoAnywhere零日攻击中数据被盗

日期: 2023-03-14
标签: 信息技术

2023年3月14日，网络安全公司 Rubrik 已确认其数据被 Fortra GoAnywhere 安全文件传输平台中的零日漏洞窃取。Rubrik 是一种云数据管理服务，提供企业数据备份和恢复服务以及灾难恢复解决方案。在 Rubrik CISO Michael Mestrovichon 的一份声明中，该公司透露，他们是全球范围内使用零日漏洞对 GoAnywhere MFT 设备进行大规模攻击的受害者。GoAnywhere 是一种安全的 Web 文件传输解决方案，允许公司与其合作伙伴安全地传输加密文件，同时保留访问文件的详细审计日志。Rubrik 表示，此次违规发生在非生产 IT 测试环境中，没有客户数据受到影响。对于使用Rubrik公司GoAnywhere软件的用户，应该立即检查是否受到了攻击，还要立即迁移至最新版本，使用多种安全工具检测账户是否遭到黑客攻击。此外，组织也应该加强内部安全意识和培训，实行规范的安全措施，加强密码管理和多因素身份验证等措施，提升组织的安全防御能力。

详情

金融、电信、技术领域品牌的网络钓鱼活动泛滥

日期: 2023-03-14
标签: 信息技术, 社会工程学, 网络犯罪, Verizon, AT&T, Meta Platforms, Swisscom, PayPal, Wells Fargo, Itaú Unibanco, Microsoft, Google

AT&T、PayPal 和 Microsoft 在受害者通过网络钓鱼电子邮件中的链接访问的域列表中名列前茅，因为公司正在努力防止欺诈和凭据收集。2022 年，寻求凭据的网络攻击者通过冒充电信公司、金融机构和热门科技公司的品牌获得了最大的网络钓鱼成功。这是根据对互联网服务提供商 Cloudflare 收集的数据进行的分析得出的，该分析发现个人最常点击的电子邮件中的链接似乎来自 AT&T 和 Verizon、PayPal 和 Wells Fargo，或者 Microsoft 和 Facebook。Cloudflare 首席执行官兼联合创始人马修·普林斯 (Matthew Prince) 表示，该排名与知名度无关——美国国税局排名第 6——而是与品牌用户群的规模以及将妥协转化为现金的相对机会相一致。组织应该动员所有员工加强对网络钓鱼攻击的认知和警惕，同时应该为员工提供培训，以帮助他们识别和避免恶意钓鱼。此外，组织应该逐步实施安全措施，如多因素身份验证，网络流哈希，邮件防蛊毒等。最后，用户在收到电子邮件或短信时，要谨慎地检查发送方和邮件内容，以免被不法分子误导。

详情

英国最大的公立寄宿学校Wymondham College遭到网络攻击

日期: 2023-03-14
标签: 教育行业

2023年3月14日，英国最大的州立寄宿学校怀蒙德姆学院宣布，它遭到了“复杂的网络攻击”。这所拥有 1200 多名 11 至 18 岁学生的学校没有解释袭击的性质。Wymondham 是该国最新一家因网络事件而面临中断的教育机构，英国网络当局一再警告说，针对学校的勒索软件攻击有所增加。该机构母公司 Sapientia Education Trust 的首席执行官 Jonathan Taylor 在给 The Record 的电子邮件中说：“我们没有发现任何数据泄露事件。学院的许多系统都受到了影响，包括对某些文件和资源的访问。”泰勒补充说，学校“照常开放，我们的首要任务是确保提供教育的连续性。我们预计在接下来的几周内会出现一些持续的中断，同时我们会努力解决这些问题。”泰勒说，怀蒙德姆正在与国家网络安全中心 (NCSC) 合作“以确保做出适当的回应”，并已通知教育部。他补充说，学校还没有收到赎金要求，但如果事情发展成那样，他也不会感到惊讶。据他了解，上周英国的许多其他学校也受到了影响。

详情

爱沙尼亚官员表示，议会选举遭到网络攻击

日期: 2023-03-14
标签: 政府部门, 信息技术, Microsoft, Killnet

爱沙尼亚本月的议会选举未能成为网络攻击的目标，该国一位主要的网络安全官员表示。这次选举标志着大多数爱沙尼亚人首次使用该国的互联网投票系统进行投票。尽管英国等国家/地区的官员在国内警告说，此类系统会带来可能威胁投票完整性的风险，但爱沙尼亚政府相信其过程是安全的。爱沙尼亚国家网络安全中心 (NCSC-EE) 负责人格特·奥瓦特 (Gert Auväärt) 告诉 The Record，他的团队在竞选期间“提高了两周的意识水平”，并且试图进入选举系统的尝试没有成功.

安全建议：组织和个人应该加强其网络安全措施，注意检查更新软件并加强身份验证。政府应继续加强网络安全意识，在选举期间密切关注网络攻击风险，并采取适当的措施确保选举安全。

详情

黑客在Euler Finance攻击中窃取1.97亿美元加密货币

日期: 2023-03-13
标签: 金融业, 信息技术, 加密货币, 网络犯罪

数字货币交易平台Euler Finance在最近遭遇了一起黑客攻击。根据该平台发布的声明，黑客攻击利用了该平台某个智能合约的漏洞，盗取了用户的资金，稳定币和其他代币，总计价值达到了1.97亿美元。该攻击技术可能使用了“闪电贷款”和“闪电流动性池”，这些技术可以在不需要真正拥有资产的情况下完成大量交易。

Euler Finance是一个加密货币衍生品交易平台，允许用户通过对冲交易来进行杠杆交易。该平台的智能合约提供了多种功能，包括闪电交易、流动性挖掘和对冲交易。这些合约中的某个被攻击者利用其漏洞，攻击者通过其盗取了用户的资金。该平台表示，已关闭受攻击的智能合约，以防止漏洞进一步利用。目前，平台正在进行内部调查，并与执法机构和其他行业伙伴合作。

作为安全建议，Euler Finance建议用户使用双重身份验证，并重复检查所有地址和金额信息，以避免数字资产被盗。这也提醒数字货币用户要小心保管自己的私钥和助记词，以免资产被攻击者盗取。这次黑客攻击再次证明了数字货币的安全性在某些情况下是个问题，因此放置资金和交易加密货币时应更加谨慎。

详情

0x06   安全漏洞

18 个零日漏洞影响三星 Android 手机

日期: 2023-03-19
标签: 信息技术, 移动安全, Samsung, Google

2023年3月中旬，谷歌的 Project Zero表示，三星 Exynos 芯片组中的十多个零日漏洞被用于 Android 手机、可穿戴设备和车载信息娱乐系统等一系列设备中，很容易受到攻击。研究人员警告18 个零日漏洞，每个漏洞的 CVSS 严重等级都为高，可能会导致一系列攻击，最严重的攻击允许对手在基带级别远程破坏手机，而无需用户交互。攻击的唯一先决条件是知道目标的电话号码。这类缺陷是基带远程代码执行漏洞，影响三星的 Exynos 芯片组。这些芯片组与三星在 Android 操作系统中使用 Wi-Fi 通话和 LTE 语音 (VoLTE) 相关。“这 18 个漏洞中最严重的四个（CVE-2023-24033 和其他三个尚未分配 CVE-ID 的漏洞）允许互联网到基带远程代码执行，”谷歌的研究团队写道。受影响的设备包括运行 Exynos 芯片组的设备，包括：

• 三星的移动设备，包括S22、M33、M13、M12、A71、A53、A33、A21s、A13、A12和A04系列；

• 来自vivo的移动设备，包括S16、S15、S6、X70、X60和X30系列；

• Google 的 Pixel 6 和 Pixel 7 系列设备；和

• 任何使用 Exynos Auto T5123 芯片组的车辆。

详情

新的“HinataBot”僵尸网络可能会发动大规模3.3 Tbps的DDoS攻击

日期: 2023-03-19
标签: 信息技术, 网络犯罪, Huawei, HinataBot, Mirai

Akamai 的研究人员发现了一种新的恶意软件僵尸网络，其目标是 Realtek SDK、华为路由器和 Hadoop YARN 服务器，以招募设备进入 DDoS（分布式拒绝服务）群，并可能发动大规模攻击。

今年年初，Akamai 的研究人员发现了这个新的僵尸网络，他们在他们的 HTTP 和 SSH 蜜罐上发现了它，发现它利用了 CVE-2014-8361 和 CVE-2017-17215 等旧漏洞。Akamai 评论说，HinataBot 的运营商最初分发的是 Mirai 二进制文件，而 HinataBot 首次出现是在 2023 年 1 月中旬。它似乎基于 Mirai，是臭名昭著的基于 Go 的变种。在最近于 2023 年 3 月从活跃的活动中捕获了多个样本后，Akamai 的研究人员推断该恶意软件正在积极开发中，其特点是功能改进和反分析添加。

详情

黑客利用 RCE in Progress Telerik 入侵美国机构服务器

日期: 2023-03-15
标签: 信息技术, 网络犯罪, Telerik, Microsoft

据美国网络安全和基础设施局报道，多个网络威胁参与者利用了 2019 年首次记录的漏洞，该漏洞允许远程代码执行 (RCE) 在大约三个月的时间内访问联邦机构的网络服务器。在3 月 15 日的网络安全公告中，CISA 表示威胁行为者——包括未具名的高级持续威胁行为者 (APT) 以及总部位于越南的网络犯罪集团 XE Group——利用了 Progress Telerik 漏洞 (CVE- 2019-18935 )访问联邦行政分支机构的 Microsoft Internet Information Services Web 服务器。 该公告没有指明是哪个机构的网络服务器遭到破坏，但表示该活动从 11 月开始，一直持续到 1 月初。威胁行为者成功利用的严重漏洞评级为 9.8，于 2019 年 12 月首次在 NIST 的国家漏洞数据库中发布，并于 3 月 15 日更新。CISA 详细说明了危害指标 (IOC)，以及缓解措施和其他信息带有警报代码 AA23-074A的单独咨询。

详情

谷歌在三星 Exynos 芯片组中发现 18 个零日漏洞

日期: 2023-03-16
标签: 信息技术, 移动安全, Samsung, Google

谷歌的零日漏洞搜寻团队 Project Zero 在移动设备、可穿戴设备和汽车中使用的三星 Exynos 芯片组中发现并报告了 18 个零日漏洞。Exynos 调制解调器安全漏洞在 2022 年末至 2023 年初报告。18 个零日漏洞中有 4 个被确定为最严重的漏洞，可实现从互联网到基带的远程代码执行。这些互联网到基带远程代码执行 (RCE) 漏洞（包括 CVE-2023-24033 和其他三个仍在等待 CVE-ID 的漏洞）允许攻击者远程破坏易受攻击的设备，而无需任何用户交互。剩余的 14 个漏洞（包括 CVE-2023-24072、CVE-2023-24073、CVE-2023-24074、CVE-2023-24075、CVE-2023-24076 和其他九个等待 CVE-ID 的缺陷）并不那么严重，但仍然存在构成风险。成功利用需要本地访问或恶意移动网络运营商。

详情

CISA 警告修复 Adobe ColdFusion 漏洞

日期: 2023-03-16
标签: 信息技术, 政府部门, 人工智能, Adobe, Tesla

在软件制造商前一天发布补丁后， 负责保护国家网络安全和基础设施的美国机构将针对 Adobe ColdFusion 的漏洞添加到其已知漏洞目录中。在3 月 14 日的安全公告中，Adobe 表示“意识到CVE-2023-26360已在非常有限的攻击中被野外利用”。发布的安全更新解决了 2021 和 2018 版 Web 应用程序开发平台中可能导致任意代码执行和内存泄漏的严重漏洞。该美国机构在3 月 15 日发布的新闻稿中表示，网络安全和基础设施局“根据积极利用的证据”将该漏洞添加到其已知利用漏洞目录中。CISA 将KEV 中 ColdFusion中的漏洞描述为包含“允许远程代码执行的不当访问控制漏洞”。联邦机构必须在 4 月 5 日之前应用 Adobe 发布的安全更新。

详情

美国政府IIS服务器因Telerik软件漏洞被破解

日期: 2023-03-16
标签: 信息技术, 政府部门, Microsoft, Telerik

2023年3月15日，美国网络安全和基础设施安全局 ( CISA ) 披露了有关ASP.NET AJAX 的Progress Telerik用户界面 (UI) 中的 .NET 反序列化漏洞 (CVE-2019-18935) 的信息。CISA 在周三的一份公告中描述了这一发现  ，称多个网络威胁参与者能够利用该漏洞，该漏洞还在 2022 年 11 月至2023 年 1 月。如果成功利用，该漏洞允许远程代码执行 (RCE)。因此，该漏洞被评为严重漏洞，CVSS v3.1 评分为 9.8。“尽管该机构的漏洞扫描器具有适用于 CVE-2019-18935 的插件，但由于 Telerik UI 软件安装在它通常不会扫描的文件路径中，因此未能检测到该漏洞，”CISA 公告中写道。“这可能是许多软件安装的情况，因为文件路径因组织和安装方法的不同而有很大差异。”

详情

CISA 警告 Adobe ColdFusion 漏洞被利用为零日漏洞

日期: 2023-03-15
标签: 信息技术, Adobe

CISA 已将影响 Adobe ColdFusion 2021 和 2018 版的严重漏洞添加到其被广泛利用的安全漏洞目录中。这个严重的任意代码执行缺陷 (CVE-2023-26360) 是由于不当访问控制漏洞造成的，未经身份验证的攻击者可以在不需要用户交互的低复杂性攻击中远程滥用它。Adobe 解决了 ColdFusion 2018 Update 16 和 ColdFusion 2021 Update 6 中的应用服务器漏洞，并表示它在攻击中被用作零日漏洞。“Adobe 意识到 CVE-2023-26360 已在针对 Adobe ColdFusion 的非常有限的攻击中被野外利用，”该公司在2023年3月14日发布的安全公告中表示。虽然该缺陷还会影响 ColdFusion 2016 和 ColdFusion 11 安装，但 Adobe 不再为不受支持的版本提供安全更新。建议管理员尽快安装安全更新（如果可能，在 72 小时内）并应用ColdFusion 2018和ColdFusion 2021锁定指南中概述的安全配置设置。

详情

CISA 警告称，Telerik 漏洞可用于窃取联邦机构数据

日期: 2023-03-15
标签: 信息技术, Cybersecurity and Infrastructure Security Agency, Telerik, Microsoft

多个威胁组织能够通过利用未打补丁的 Microsoft Internet 信息服务 (IIS) Web 服务器中存在多年的 Progress Telerik 漏洞来破坏联邦机构并窃取数据——网络安全和基础设施安全局 (CISA) 希望其他 IT 安全团队留意类似的曝光。联邦民用行政部门 (FCEB) 从去年 11 月到 2023 年 1 月遭到入侵，此前威胁行为者能够利用该机构的 Microsoft Internet 信息服务 (IIS) Web 服务器中的.NET 反序列化Telerik 漏洞 ( CVE-2019-18935) 。

详情

微软修复了 2022 年 4 月以来俄罗斯黑客使用的 Outlook 零日漏洞

日期: 2023-03-14
标签: 信息技术

2023年3月14日，微软修补了一个 Outlook 零日漏洞 (CVE-2023-23397)，一个与俄罗斯军事情报服务 GRU 相关的黑客组织利用该漏洞攻击欧洲组织。在 2022 年 4 月中旬至 2022 年 12 月期间，该安全漏洞被用于针对和破坏不到 15 个政府、军事、能源和运输组织的网络的攻击。黑客组织（跟踪为APT28、STRONTIUM、Sednit、Sofacy 和 Fancy Bear）发送恶意 Outlook 笔记和任务，通过 NTLM 协商请求窃取 NTLM 哈希值，强制目标设备对攻击者控制的 SMB 共享进行身份验证。窃取的凭据用于受害者网络内的横向移动并更改 Outlook 邮箱文件夹权限，这是一种允许特定帐户的电子邮件泄露的策略。

详情

微软2023年3月补丁日修复了83个漏洞

日期: 2023-03-14
标签: 信息技术

2023年3月14日，Microsoft发布了2023年三月份最新的“补丁星期二”，修复了包括两个零日漏洞在内的83个漏洞。其中一个零日漏洞可以允许本地攻击者获得系统特权，另一个零日漏洞则是一个Office漏洞，可以允许攻击者通过特制文档实现远程代码执行。除此之外，Microsoft还修复了Internet Explorer、Edge、.NET Framework、SharePoint Server、Exchange Server和Windows中的其他漏洞。其中，Microsoft Exchange Server上的漏洞也是相当严重的。据悉，该漏洞可用于通过解析S/MIME消息来执行远程代码。修复好这个漏洞的补丁分别为Exchange Server 2016 CU23、Exchange Server 2019 CU14和Exchange Server 2010 SP3 RU33。需要注意的是，Microsoft Office更新程序本次只修复了零日漏洞，因此对系统中所存在的其他漏洞的危害依然存在，需要持续关注后续更新。

详情

Fortinet：新的FortiOS漏洞被用作攻击政府网络的零日

日期: 2023-03-13
标签: 信息技术

未知攻击者使用零日漏洞利用本月修补的新 FortiOS 漏洞，针对政府和大型组织进行攻击，导致操作系统和文件损坏以及数据丢失。Fortinet 于 2023 年 3 月 7 日发布了安全更新，以解决允许威胁行为者执行未经授权的代码或命令的高严重性安全漏洞 (CVE-2022-41328)。“FortiOS 中对受限目录漏洞（‘路径遍历’）[CWE-22] 的路径名的不当限制可能允许特权攻击者通过精心设计的 CLI 命令读取和写入任意文件，”该公司在公告中 表示。受影响的产品列表包括 FortiOS 6.4.0 至 6.4.11 版。FortiOS 7.0.0 至 7.0.9 版、FortiOS 7.2.0 至 7.2.3 版以及 FortiOS 6.0 和 6.2 的所有版本。要修补安全漏洞，管理员必须将易受攻击的产品升级到 FortiOS 6.4.12 及更高版本、FortiOS 7.0.10 及更高版本或 FortiOS 7.2.4 及更高版本。虽然该漏洞的公告并未提及该漏洞在发布补丁之前已被广泛利用，但上周发布的一份 Fortinet 报告显示，CVE-2022-41328 漏洞已被用于入侵并摧毁属于一个公司的多个 FortiGate 防火墙 设备它的客户。

详情

智能对讲机中发现的远程代码执行和摄像头访问漏洞

日期: 2023-03-13
标签: 制造业, 信息技术

中国制造商 Akuvox 制造的 E11 智能对讲设备共发现 13 个漏洞，允许远程代码执行 (RCE)、网络访问等。Claroty Team82 的安全研究员 Vera Mens 在上周发布的一份报告中写道，可以通过三种不同的攻击媒介利用这些漏洞：局域网内的 RCE、远程激活设备的摄像头和麦克风，以及通过访问一个外部的、不安全的 FTP 服务器。这些向量中的第一个依赖于两个缺陷，分别与缺少关键功能的身份验证 (CVE-2023-0354) 和命令注入漏洞 (CVE-2023-0351) 有关。Mens 解释说，这些漏洞可以被链接起来在本地网络上执行 RCE。“如果易受攻击的设备暴露在互联网上，攻击者可以利用这些缺陷接管设备，运行任意代码，并可能在企业或小型企业网络上横向移动，”她解释道。另一方面，可以远程利用与麦克风和网络摄像头接管相关的漏洞 (CVE-2023-0348)，无需身份验证。然后它允许将数据传输回攻击者。“在医疗中心等对隐私敏感的组织中，这可能会使组织违反旨在确保患者隐私的众多法规，”Mens 补充道。

详情

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x08   时间线

2023-03-13 360CERT发布安全周报