安全事件周报 2023-03-27 第13周
2023-04-03 17:32

报告编号:CERT-R-2023-76

报告来源:360CERT

报告作者:360CERT

更新日期:2023-04-03

0x01   事件导览

本周收录安全热点50项,话题集中在恶意程序安全漏洞数据安全,主要涉及的黑客组织有:APT43Bitter等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意程序
供应链攻击攻击 3CX VoIP 软件,将恶意软件植入主机
New Money Message 勒索软件索要百万美元赎金
AlienFox源代码工具集从18个云服务中获取证书
Realtek 和 Cacti 漏洞被恶意软件僵尸网络积极利用
3CX供应链妥协导致ICONIC事件
iCloud钥匙链数据和密码面临MacSteiner恶意软件的风险
木马操纵的 Tor 浏览器捆绑包投放恶意软件
木马化的 Tor 浏览器用窃取密码的恶意软件攻击俄罗斯公民
MacStealer 恶意软件从 Apple 用户那里窃取大量数据
NullMixer 多态恶意软件变体在一个月内感染 8K 目标
剪贴板注入器攻击加密货币用户
Clop 不断利用 GoAnywhere 漏洞吸引勒索软件受害者
新的 IcedID 恶意软件变种从银行木马转变为勒索软件
新的 MacStealer macOS 恶意软件从 iCloud Keychain 窃取密码
数据安全
高成本贷款机构TMX Finance数据泄露影响近500万客户
LockBit 勒索软件组织泄露了从佛罗里达州警长办公室窃取的数据
美国一律师事务所因数据泄露被罚20万美元
澳大利亚皇冠度假酒店确认GoAnywhere入侵后数据泄露
安全漏洞
Azure漏洞可能允许访问关键系统
未打补丁的 IBM Aspera Faspex 文件传输服务受到攻击
安全研究人员确认微软补丁修复了“aCropalypse”漏洞
Winter Vivern 黑客利用 Zimbra 漏洞窃取北约电子邮件
黑客活动利用与间谍软件公司相关的零日漏洞
Bing搜索结果被错误配置的Microsoft应用程序劫持
黑客瞄准IBM文件传输漏洞
SafeMoon“燃烧”漏洞被滥用,损失890万美元
QNAP警告客户修补NAS设备中的Linux Sudo漏洞
Windows 11 KB5023774 更新导致 Red Dead Redemption 2 启动问题
WiFi协议漏洞允许攻击者劫持网络流量
Exchange Online可阻止prem服务器上易受攻击的电子邮件
Apple 修复了最近在旧款 iPhone 上披露的 WebKit 零日漏洞

0x03   恶意程序

供应链攻击攻击 3CX VoIP 软件,将恶意软件植入主机

日期: 2023-04-02
标签: 信息技术, 供应链攻击, 供应链安全, 3CX, UpdateAgent, Lazarus Group

持续的供应链攻击导致 3CX VoIP 软件安装遭到破坏,导致木马化恶意软件安装到 3CX 桌面应用程序上,从而在利用易受攻击的应用程序的客户端上部署进一步的恶意活动。3CX 的 CEO 和 CISO 敦促网络维护者立即卸载桌面客户端。该公司目前正在进行更新以解决该问题,并建议客户在为该应用颁发新证书时改用 PWA 应用。根据映射互联网连接设备的网站 Shodan.io,目前有超过 242,519 个公开暴露的 3CX 电话管理系统。目前,适用于 Windows 的 3CX DesktopApp 版本 18.12.407 和 18.12.416 以及 Electron Mac App 版本号 18.11.1213、18.12.402、18.12.407 和 18.12.416 也受到影响。 该公司确定已经报告了受感染库所联系的域,并且大多数已于 3 月 29 日被关闭。Jourdan 说,“列出它们的 GitHub 存储库也已被关闭,有效地使其无害。”

详情

http://urlqh.cn/n16aA

New Money Message 勒索软件索要百万美元赎金

日期: 2023-04-02
标签: 信息技术

2023年3月下旬,出现了一个名为“Money Message”的新勒索软件团伙,针对全球受害者并要求支付数百万美元的赎金以防止泄露数据并发布解密器。2023 年 3 月 28 日,一位受害者在BleepingComputer 论坛上首次报告了这种新的勒索软件 。Money Message 加密器是用 C++ 编写的,包含一个嵌入式 JSON 配置文件,用于确定设备的加密方式。此配置文件包括要阻止加密的文件夹、要附加的扩展名、要终止的服务和进程、是否启用日志记录以及可能用于加密其他设备的域登录名和密码。目前,威胁行为者在其勒索网站上列出了两名受害者,其中一名是一家年收入接近 10 亿美元的亚洲航空公司。此外,威胁行为者声称从公司窃取了文件,并附上了被访问文件系统的屏幕截图作为违规证据。

详情

http://urlqh.cn/n2aBE

AlienFox源代码工具集从18个云服务中获取证书

日期: 2023-04-02
标签: 信息技术, 云计算, Google, Microsoft, AlienFox, AndroxGh0st

2023年3月下旬,研究人员已发现一个名为“AlienFox”的综合工具集可收集多达 18 家云服务提供商的凭证。在 3 月 30 日的博客文章中,SentinelLabs 表示,威胁行为者使用 AlienFox 从许多主要云服务提供商那里获取 API 密钥和机密,包括 AWS Simple Email Service、Google Workspace、Microsoft Office 365 以及 Twilio、Zimbra 和 Zoho。研究人员表示,攻击者以源代码档案的形式在 Telegram 上分发 AlienFox。GitHub上现在提供了一些模块,供任何潜在的攻击者采用。显然,AlienFox 的传播也代表了一种未报告的趋势,即攻击不适合加密挖矿但可作为启用和扩展后续活动的启动台的更小的云服务。

详情

http://urlqh.cn/n2SP3

Realtek 和 Cacti 漏洞被恶意软件僵尸网络积极利用

日期: 2023-03-30
标签: 信息技术, Realtek, Bashlite, PerlBot, MooBot, Mirai, RedGoBot, Mozi, Fodcha

在 2023 年 1 月至 2023 年 3 月期间检测到的活动中,多个恶意软件僵尸网络积极针对 Cacti 和 Realtek 漏洞,传播 ShellBot 和 Moobot 恶意软件。针对的漏洞是 CVE-2021-35394,Realtek Jungle SDK 中的一个关键远程代码执行漏洞,以及 CVE-2022-46169,一个 Cacti 故障管理监控工具中的关键命令注入漏洞。过去,这两个漏洞都被其他僵尸网络恶意软件所利用,包括 Fodcha、  RedGoBot、  Mirai、Gafgyt 和 Mozi。Fortinet 报告称,2023 年的恶意活动量很大,目标是暴露的网络设备,将它们纳入 DDoS(分布式拒绝服务)群。虽然 Fortinet 的报告没有明确说明是否是同一个威胁行为者传播了 Moobot 和 ShellBot,但观察到有效载荷在重叠攻击爆发中利用了相同的缺陷。

详情

http://urlqh.cn/n3vCk

3CX供应链妥协导致ICONIC事件

日期: 2023-03-30
标签: 信息技术, 供应链攻击, 供应链安全, 3CX, Lazarus Group

2023 年 3 月 29 日,Volexity 发现疑似朝鲜威胁行为者对供应链进行了破坏,Volexity 将其追踪为 UTA0040 *。安装了 3CX 桌面应用程序的端点收到了该软件的恶意更新,该更新由 3CX 签名并从其服务器下载。这是默认自动更新过程的一部分,会导致在受害者主机上安装信息窃取恶意软件。3CX 是一家电话系统公司,号称拥有超过 60 万客户和 1200 万用户,其中包括世界知名品牌。Volexity 能够直接从 3CX 下载服务器获取多个针对 Windows 和 macOS 的恶意安装程序。

详情

http://urlqh.cn/n4yl5

iCloud钥匙链数据和密码面临MacSteiner恶意软件的风险

日期: 2023-03-30
标签: 信息技术, 网络犯罪, Apple, MacStealer

Uptycs 是一家网络安全公司,它在暗网上搜索威胁时发现了信息窃取恶意软件,并警告称 Mac 计算机已成为更新的信息窃取恶意软件的最新目标。 iCloud Keychain 可以在 MacStealer 的帮助下轻松访问加密货币钱包。这是一种创新的恶意软件,可以从您的网络浏览器、加密货币钱包和存储在您的 iCloud 钥匙串中的潜在敏感文件中窃取您的凭据。 MacStealer 恶意软件以恶意软件即服务 (MaaS) 的形式分发,开发人员以 100 美元的价格出售预构建版本,允许客户开展营销活动并将恶意软件传播给受害者。 在中国,Big Sur、Monterey 和 Ventura 提供了重建的 DMG 有效载荷,这些有效载荷可以用恶意软件感染 macOS。

详情

http://urlqh.cn/n59o1

木马操纵的 Tor 浏览器捆绑包投放恶意软件

日期: 2023-03-29
标签: 金融业, 信息技术, 网络犯罪, 加密货币, Enigma

威胁行为者正在使用洋葱路由器 (Tor) 浏览器的木马化安装程序来分发剪贴板注入器恶意软件,该恶意软件从加密货币账户中窃取资金并将其转移到他们的非法钱包中。至少自 2022 年 1 月以来一直在跟踪该活动的卡巴斯基研究人员确定,威胁行为者主要针对俄罗斯的用户,俄罗斯在 2021 年 12 月阻止了对 Tor 官方网站的访问。在卡巴斯基检测到恶意软件的 16,000 个实例中,到目前为止,他们中的大多数人在俄罗斯和东欧。然而,到目前为止,研究人员还在包括美国、德国、荷兰、中国和英国在内的 40 多个国家/地区检测到了这种威胁。卡巴斯基的分析表明,到目前为止,该活动背后的威胁行为者已经从属于下载武器化 Tor 安装程序的用户的加密钱包中窃取了约 400,000 美元。几乎所有被入侵的账户——超过 90%——都是比特币账户,其次是莱特币。

详情

http://urlqh.cn/n1MxS

木马化的 Tor 浏览器用窃取密码的恶意软件攻击俄罗斯公民

日期: 2023-03-28
标签: 金融业, 信息技术, 加密货币, 网络犯罪

大量木马化的 Tor 浏览器安装程序以俄罗斯人和东欧人为目标,使用剪贴板劫持恶意软件窃取受感染用户的加密货币交易。卡巴斯基分析师警告称,虽然这种攻击不是新的或特别有创意的,但它仍然有效且普遍,感染了全球许多用户。虽然这些恶意 Tor 安装程序针对世界各国,但卡巴斯基表示,大多数都针对俄罗斯和东欧。Tor Browser 是一种专门的网络浏览器,允许用户通过隐藏他们的 IP 地址和加密他们的流量来匿名浏览网络。Tor 也可用于访问特殊的洋葱域,也称为“暗网”,这些域未被标准搜索引擎索引或无法通过常规浏览器访问。加密货币持有者可能会使用 Tor 浏览器来增强他们在使用加密货币进行交易时的隐私和匿名性,或者因为他们想要访问以加密货币支付的非法暗网市场服务。

详情

http://urlqh.cn/n3ghX

MacStealer 恶意软件从 Apple 用户那里窃取大量数据

日期: 2023-03-28
标签: 信息技术, 网络犯罪, Apple, Intel, CloudMensis, MacStealer, XMRigMiner

一种以 Apple macOS 操作系统为目标的信息窃取恶意软件正在网络上肆虐,从不知情的 Apple 用户那里窃取文档、iCloud 钥匙串数据(如密码)、浏览器 cookie 等。根据Uptycs 最近对该威胁的分析,它被恰当地称为“MacStealer”,在地下网络上每次构建只需 100 美元,因此“最近传播更多 MacStealer 样本”也就不足为奇了。该恶意软件影响 Catalina 版本的 macOS 以及使用 Intel M1 和 M2 CPU 的后续版本。研究人员发现,它还使用加密的 Telegram 消息传递平台进行命令和控制 (C2)。为了传播,运营商正在寻找容易获得的果实,希望通过引诱受害者下载 .DMG 文件来收获受害者,这些文件是 macOS 应用程序的容器。应用商店、盗版网站或电子邮件附件中的虚假应用都可能成为感染的潜在渠道。

详情

http://urlqh.cn/n0tGi

NullMixer 多态恶意软件变体在一个月内感染 8K 目标

日期: 2023-03-28
标签: 信息技术, 网络犯罪, Nullmixer

新版本的 NullMixer dropper 包括来自暗网市场上的恶意软件即服务 (MaaS) 和按安装付费 (PPI) 提供商的多态加载器,它被用于针对北美的组织,以及意大利和法国。这种恶意软件是一种已知的威胁,通常会一次性在受害者的系统上安装一套下载程序、银行木马、窃取程序和间谍软件。然而,根据安全事务部本周对 NullMixer 的详细分析,新增功能使威胁更加危险,因为威胁可以适应它所感染的任何特定环境。该分析还解释了威胁行为者如何使用搜索引擎优化 (SEO) 中毒和恶意视频教程来诱使 IT 人员安装新的恶意软件。在短短一个月内,新增强的 NullMixer 恶意软件 已经建立了对 8,000 多个端点的初始访问,窃取数据并将其出售给地下市场的经纪人。NullMixer 报告称,大多数受害者都在运行 Windows 10 专业版和企业版操作系统,并补充说该恶意软件似乎还成功感染了 Windows Embedded IoT 环境。

详情

http://urlqh.cn/n3llJ

剪贴板注入器攻击加密货币用户

日期: 2023-03-28
标签: 金融业, 信息技术, 加密货币, 网络犯罪

卡巴斯基的安全研究人员最近发现了针对加密货币钱包的恶意软件活动。该公司在2023年3月28日发布的一份咨询报告中讨论了这些发现,称这些攻击是在 2022 年 9 月首次观察到的,并且依赖于恶意软件用加密货币钱包地址替换部分剪贴板内容。

“尽管攻击从根本上来说很简单,但它隐藏的危险比 [it] 看起来的要多。不仅因为它创造了不可逆转的汇款,还因为它非常被动,普通用户很难察觉,”咨询中写道。卡巴斯基补充说,考虑到虽然蠕虫和病毒不一定连接到攻击者的控制服务器,但它们通常会产生可见的网络活动或增加 CPU 或 RAM 使用率。卡巴斯基补充表示,还观察到依赖这种技术的恶意软件活动滥用 Tor 浏览器安装程序。

详情

http://urlqh.cn/n1btR

Clop 不断利用 GoAnywhere 漏洞吸引勒索软件受害者

日期: 2023-03-27
标签: 信息技术, 网络犯罪, Community Health Systems, Clop, FIN11

名为 GoAnywhere 的常用文件传输服务中的一个漏洞已允许 Clop 勒索软件组破坏大约 130 个组织。几周后,关于这次大规模攻击的细节仍在不断涌现。到目前为止,这些细节并非来自 GoAnywhere 的母公司 Fortra。受害者组织因公开数据泄露事件而登上头条。GoAnywhere 客户已披露他们因 GoAnywhere MFT 远程代码执行漏洞而遭到破坏,该漏洞在 CVE-2023-0669 下进行跟踪,到目前为止包括社区卫生系统、Hatch Bank、网络安全公司Rubrik、 Hitachi Energy和多伦多市,其中,当加起来时,代表数百万人的私人数据暴露给最恶劣的网络犯罪分子。据报道,Clop 网络犯罪分子急于提供其活动的详细信息,并在其泄密站点上声称他们在 10 天内利用该漏洞攻击了130 多家公司。

详情

http://urlqh.cn/n0SDH

新的 IcedID 恶意软件变种从银行木马转变为勒索软件

日期: 2023-03-27
标签: 金融业, 信息技术, 网络犯罪, Emotet, FluBot, Anatsa, IcedID, MUMMY SPIDER

2023年3月27日,Proofpoint的研究人员发布文章表示,IcedID 恶意软件的三个新变种正被多个威胁行为者使用,研究人员表示,这些代码已经从启动银行木马转向更多地关注勒索软件。Proofpoint 研究人员表示,初步分析表明它是一个分叉(新)版本,可能有一个单独的面板来管理恶意软件。研究人员表示,虽然大部分代码库是相同的,但威胁参与者已经删除了银行功能,例如网络注入和反向连接。Proofpoint 研究人员在 2022 年 11 月观察到 IcedID 的第一个新变体被称为“IcedID Lite”,作为TA542  Emotet 活动中的后续有效载荷分发 。研究人员表示,在这位演员最近在休息近四个月后重返网络犯罪领域后不久,它就被 Emotet 恶意软件丢弃了。现在,研究人员认为 Emotet 背后的原始运营商一直在使用具有不同功能的 IcedID 变体。

详情

http://urlqh.cn/n3aN8

新的 MacStealer macOS 恶意软件从 iCloud Keychain 窃取密码

日期: 2023-03-27
标签: 金融业, 信息技术, 加密货币, 网络犯罪, Apple, MacStealer, Exodus, Phantom, Sandworm

2023年3月下旬,研究人员发现一种名为 MacStealer 的新型信息窃取恶意软件以 Mac 用户为目标,窃取他们存储在 iCloud KeyChain 和网络浏览器、加密货币钱包以及潜在敏感文件中的凭据。MacStealer 作为恶意软件即服务 (MaaS) 进行分发,开发人员以 100 美元的价格出售预制构建,允许购买者在他们的活动中传播恶意软件。据 发现新的 macOS 恶意软件的Uptycs 威胁研究团队 称,它可以在 macOS Catalina (10.15) 和最新版本的 Apple 操作系统 Ventura (13.2) 上运行。MacStealer 是由 Uptycs 分析师在一个暗网黑客论坛上发现的,开发人员自本月初以来一直在该论坛上推广它。卖家声称该恶意软件仍处于早期测试开发阶段,不提供面板或构建器。相反,它出售可以感染 macOS Catalina、Big Sur、Monterey 和 Ventura 的预构建 DMG 有效载荷。

详情

http://urlqh.cn/n1oGz

0x04   数据安全

高成本贷款机构TMX Finance数据泄露影响近500万客户

日期: 2023-04-02
标签: 信息技术, 金融业, 网络犯罪, TMX Finance

2023年3月末,美国缅因州总检察长公布的一份数据泄露通知显示,高成本贷款机构TMX Finance及其附属公司TitleMax、TitleBucks和InstaLoan共同披露了一次影响近500万客户的数据泄露。TMX 是一家公共金融服务公司,向个人提供高成本贷款,主要专注于汽车产权贷款。该公司在美国 15 个州拥有 950 多家商店。  根据该通知,该公司于2023年2月13日发现了一次网络攻击,但根据周四发给受影响客户的一封违规通知信样本,进一步调查显示,黑客于2022年12月初入侵了该系统。

详情

http://urlqh.cn/n69JJ

LockBit 勒索软件组织泄露了从佛罗里达州警长办公室窃取的数据

日期: 2023-03-29
标签: 信息技术, 政府部门

2023年3月29日,LockBit 勒索软件组织泄露了从佛罗里达州东北部华盛顿县警长办公室窃取的数据。网络安全专家表示,其中包括搜查令和员工信息。华盛顿县有超过 25,000 名居民,距佛罗里达州巴拿马城约 45 分钟车程。治安官办公室的一位发言人证实,他们遭到了勒索软件的攻击,并表示它已从大约两周前的事件中“恢复”。“我们认为这次袭击起源于俄罗斯。”警长凯文克鲁斯表示。由于此次攻击,该部门的应用程序从 2 月 21 日到 3 月初一直处于离线状态,这次攻击摧毁了他们的财务系统和监狱网络。他们聘请了一家私营 IT 公司来帮助恢复工作。

详情

http://urlqh.cn/n17tO

美国一律师事务所因数据泄露被罚20万美元

日期: 2023-03-28
标签: 商务服务, Microsoft, LockBit

一家总部位于纽约的医疗事故律师事务所已同意向纽约总检察长支付 200,000 美元,原因是数据安全措施不当导致了 2021 年现在臭名昭著的 Microsoft Exchange 攻击事件。  2021 年 11 月,即微软针对其服务器漏洞发布补丁几个月后,攻击者获得了 Heidell, Pittoni, Murphy & Bach (HPMB) 律师事务所未打补丁系统的访问权限,并泄露了近 115,000 名医院患者的私人数据,包括姓名、日期出生信息、社会安全号码和健康信息。 纽约总检察长 Letitia James 表示,HPMB 的“糟糕的数据安全措施”违反了州法律以及联邦健康保险流通与责任法案 ( HIPAA ) 中的隐私和安全标准。这些措施包括不恰当地对其系统进行定期风险评估,以及没有实施彻底的程序来检测恶意软件。除了罚款之外,HPMB 还同意改进其安全措施——包括建立适当的补丁管理程序、进行年度风险分析、加密私人和健康信息以及在适当时安全删除 ePHI 和私人信息——以保护其客户的未来患者的数据。

详情

http://urlqh.cn/n5nly

澳大利亚皇冠度假酒店确认GoAnywhere入侵后数据泄露

日期: 2023-03-28
标签: 信息技术, 金融业, 网络犯罪, Kroger, Procter & Gamble, Saks Fifth Avenue, Blackstone Inc, Crown Resorts, Clop

2023年3月28日,澳大利亚最大的赌博和娱乐公司 Crown Resorts 已确认,在其 GoAnywhere 安全文件共享服务器被零日漏洞攻破后,该公司遭受了数据泄露。这家黑石集团旗下的公司年收入超过 80 亿美元,在墨尔本、珀斯、悉尼、澳门和伦敦经营综合体。此次数据泄露是由 Clop 勒索软件团伙实施的,该团伙在过去一年中已从加密文件转向执行数据勒索攻击。2023年2 月,威胁行为者 声称利用GoAnywhere 零日漏洞 在十天内 从 130 个组织窃取了数据。虽然 Crown Resorts 证实它正在被声称从其网络中窃取数据的 Clop 勒索,但它表示没有证据表明数据泄露影响了客户。

详情

http://urlqh.cn/n19ZN

0x05   安全漏洞

Azure漏洞可能允许访问关键系统

日期: 2023-03-30
标签: 信息技术, Microsoft, Microsoft Azure

影响 Azure Service Fabric Explorer (SFX) 的跨站点脚本 (XSS) 漏洞可能会让未经身份验证的远程攻击者在 Azure Service Fabric 节点上托管的容器上执行代码。在 3 月 30 日的博客文章中,Orca Security 研究人员展示了他们如何通过滥用指标选项卡并在控制台:“集群类型”切换。研究人员表示,他们将其命名为“Super FabriXss”的 XXS 漏洞比他们去年 10 月报告的FabricXss漏洞带来的风险更大。由于未经身份验证的远程攻击者可以执行托管在其中一个 Service Fabric 节点上的代码,因此攻击者可能会获得对关键系统的控制权,并利用 Super FabriXss 漏洞造成重大破坏。

详情

http://urlqh.cn/n1Lb8

未打补丁的 IBM Aspera Faspex 文件传输服务受到攻击

日期: 2023-04-02
标签: 信息技术, 网络犯罪, IBM, Community Health Systems, American Airlines Group, IceFire, Clop

2023年3月下旬,Rapid7的研究人员发现威胁参与者的目标是 IBM Aspera Faspex 文件传输服务中的多个已知软件漏洞。其中一个漏洞 CVE-2022-47986 是 Ruby on Rails 代码中的身份验证前 YAML 反序列化漏洞,严重程度为 9.3。据 Rapid7 称,最近至少有一个 Aspera Faspex 客户端因严重漏洞而受到损害。其研究人员敦促所有 Aspera Faspex 客户“在紧急情况下进行修补,而不要等待典型的修补周期发生”,因为该平台通常安装在网络边界上。Rapid7 警告说:“因为这通常是面向互联网的服务,并且该漏洞与勒索软件组活动有关,所以如果无法立即安装补丁,我们建议将该服务下线。”

详情

http://urlqh.cn/n2YYT

安全研究人员确认微软补丁修复了“aCropalypse”漏洞

日期: 2023-04-02
标签: 信息技术, Microsoft

研究人员最近发现了一个新的 Windows 漏洞,该漏洞可能允许恢复裁剪后的屏幕截图,并表示该漏洞已得到修复。上周,网络安全研究人员 Simon Aarons 和 David Buchanan 报告了Pixel 内置屏幕截图编辑工具 Markup 中的“aCropalypse”漏洞,该漏洞允许任何人部分恢复裁剪或编辑屏幕截图的原始未编辑图像数据。他们甚至创建了一个网站,人们可以在其中上传屏幕截图并有可能看到原始版本。Buchanan 后来在 Twitter 上透露,这个被追踪为 CVE-2023-21036 的问题也影响了 Windows 截图工具。根据在 Windows 11 上测试过的 Buchanan 的说法,相同的漏洞利用脚本只需稍作改动即可工作。网络安全专家 Will Dormann确认该问题出现在 Windows 11 以及 Windows 10 上的 Snip & Sketch 工具上。

详情

http://urlqh.cn/n1qw4

Winter Vivern 黑客利用 Zimbra 漏洞窃取北约电子邮件

日期: 2023-03-30
标签: 信息技术, 网络犯罪

2023年3月30日,Proofpoint发布了一份新报告,介绍了威胁行为者如何利用Zimbra协作服务器上的CVE-2022-27926访问与北约结盟的组织和人员的通信。自2023年2月以来,一个被追踪为TA473(又名“Winter Vivern”)的俄罗斯黑客组织一直在积极利用未修补的Zimbra端点中的漏洞,窃取北约官员、政府、军事人员和外交官的电子邮件。

详情

http://urlqh.cn/n5rge

黑客活动利用与间谍软件公司相关的零日漏洞

日期: 2023-03-29
标签: 信息技术, 网络犯罪, 移动安全, Google, Apple

2023年3月29日,据国际特赦组织安全实验室报道,一场由“雇佣军”黑客发起的间谍软件活动利用了 Android 设备中的一个零日漏洞。在周三发布的报告中,安全研究人员表示,他们在 12 月向谷歌通报了间谍软件活动,该活动引发了软件更新,阻止了黑客对“数十亿 Android、Chrome 和 Linux 用户”执行零日漏洞.人权组织在继续调查和跟踪其活动时没有点名间谍软件公司。然而,国际特赦组织表示,“这次攻击显示了由一家商业网络监控公司开发并出售给政府黑客以进行有针对性的间谍软件攻击的高级间谍软件活动的所有特征。”同样在周三,谷歌的威胁分析小组(TAG) 详细介绍了国际特赦组织报告的零日漏洞,以及在单独的间谍软件活动中使用的 iOS 设备中的零日漏洞。

详情

http://urlqh.cn/n1Isn

Bing搜索结果被错误配置的Microsoft应用程序劫持

日期: 2023-03-30
标签: 信息技术, Microsoft

一个配置错误的 Microsoft 应用程序允许任何人实时登录和修改 Bing.com 搜索结果,以及注入 XSS 攻击以潜在地破坏 Office 365 用户的帐户。该安全问题由 Wiz Research 发现,并将此次攻击命名为“BingBang”。 Wiz 的分析师于 2023 年 1 月 31 日向微软报告了该问题,这家科技巨头确认该问题已于 2023 年 3 月 28 日得到修复。

详情

http://urlqh.cn/n4jid

黑客瞄准IBM文件传输漏洞

日期: 2023-03-29
标签: 信息技术, IBM, IceFire

IBM 流行的 Aspera Faspex 文件传输堆栈中允许任意代码执行的一个严重错误引起了越来越多的网络犯罪分子的注意,包括勒索软件团伙,因为组织未能修补。Rapid7 的研究人员本周强调,在 IBM 发布针对该严重漏洞的补丁几个月后,该漏洞正在被广泛利用,并指出其一位客户最近受到该漏洞的危害,该漏洞被追踪为 CVE- 2022-47986。研究人员说,需要立即采取行动。IBM Aspera Faspex 是一种基于云的文件交换应用程序,它利用快速自适应和安全协议(FASP) 允许组织以比普通的基于 TCP 的连接更快的速度传输文件。该漏洞存在于 Faspex 的版本 4.4.2 补丁级别 1 中,并且在 CVSS 漏洞严重性等级中获得 9.8 分(满分 10 分)。“通过发送特制的过时 API 调用,”IBM 在1 月 26 日发布的安全公告中解释说,攻击者可以将他们自己的代码远程部署到任何运行 Faspex 的目标系统上。该错误于2022 年 10 月 6 日首次报告给 IBM,并于 12 月 8 日在4.4.2 补丁级别 2中得到修复。

详情

http://urlqh.cn/n2y0g

SafeMoon“燃烧”漏洞被滥用,损失890万美元

日期: 2023-03-29
标签: 信息技术, 金融业

SafeMoon 代币流动资金池损失了 890 万美元,原因是一名黑客利用新创建的“销毁”智能合约功能人为抬高价格,允许参与者以更高的价格出售 SafeMoon。DeFi 平台中的流动资金池是大量资金(加密货币)存款,可促进交易、提供市场流动性,并且通常允许交易所在不向第三方借款的情况下运作。SafeMoon 于2023年3月29日 在 Twitter 上确认了安全事件,并表示目前正在努力解决该问题。SafeMoon 的首席执行官 John Karony 表示,攻击发生在 3 月 28 日星期二,影响了 SFM:BNB 流动资金池,但没有影响平台的交易所。

详情

http://urlqh.cn/n2FrM

QNAP警告客户修补NAS设备中的Linux Sudo漏洞

日期: 2023-03-29
标签: 信息技术, QNAP Systems, QNAPCrypt, DEADBOLT

2023年3月29日,中国台湾硬件供应商 QNAP 警告客户保护其基于 Linux 的网络附加存储 (NAS) 设备免受高危 Sudo 权限升级漏洞的侵害。该漏洞(跟踪为CVE-2023-22809)由 Synacktiv 安全研究人员发现,他们将其描述为“使用 sudoedit 时在 Sudo 版本 1.9.12p1 中绕过 sudoers 策略”。使用 Sudo 版本 1.8.0 到 1.9.12p1 在未打补丁的设备上成功利用可以使攻击者通过在将任意条目附加到要处理的文件列表后编辑未经授权的文件来提升权限。该漏洞还影响 QTS、QuTS hero、QuTScloud 和 QVP(QVR Pro 设备)NAS 操作系统。

详情

http://urlqh.cn/n5zio

Windows 11 KB5023774 更新导致 Red Dead Redemption 2 启动问题

日期: 2023-03-28
标签: 文化传播, 信息技术, Microsoft, Valve, Advanced Micro Devices, Rockstar Games

2023年3月28日,Microsoft 正在调查由 KB5023774 2023 年 3 月预览更新触发并导致 Red Dead Redemption 2 在某些设备上停止打开的已知问题。此问题仅影响在安装了KB5023774 可选更新的Windows 11 21H2 系统上通过 Rockstar Games Launcher 启动游戏的用户。安装 KB5023774 或更高版本更新后,Red Dead Redemption 2 可能无法打开。当尝试通过选择‘开始’按钮从 Rockstar Games Launcher 打开它时,它会切换到‘正在加载’,但 Red Dead Redemption 2 可能无法打开,按钮将恢复为‘开始’。微软和 Rockstar Games 目前正在调查并将在可用时提供更多详细信息。

详情

http://urlqh.cn/n3tGf

WiFi协议漏洞允许攻击者劫持网络流量

日期: 2023-03-27
标签: 信息技术, Cisco, MacStealer

2023年3月27日,网络安全研究人员在 IEEE 802.11 WiFi 协议标准的设计中发现了一个基本的安全漏洞,攻击者可以利用该漏洞诱使接入点进入明文形式的泄漏网络帧。WiFi 帧是由报头、数据有效载荷和报尾组成的数据容器,其中包括源和目标 MAC 地址、控制和管理数据等信息。这些帧在队列中排序并以受控方式传输以避免冲突并通过监视接收点的忙/闲状态来最大化数据交换性能。研究人员发现,排队/缓冲的帧没有得到充分的保护,免受对手的攻击,对手可以操纵数据传输、客户端欺骗、帧重定向和捕获。

详情

http://urlqh.cn/n3HjF

Exchange Online可阻止prem服务器上易受攻击的电子邮件

日期: 2023-03-27
标签: 信息技术, Microsoft

微软正在引入一项新的 Exchange Online 安全功能,该功能将自动开始节流,并最终在管理员收到通知以保护它们的 90 天后阻止从“持续易受攻击的 Exchange 服务器”发送的所有电子邮件。 正如 Redmond 所解释的那样,这些是本地或混合环境中的 Exchange 服务器,这些服务器运行寿命终止的软件或尚未针对已知的安全漏洞进行修补。微软表示,这个新的 Exchange Online“基于传输的执行系统”具有三个不同的功能:报告、限制和阻止。

新系统的主要目标是帮助 Exchange 管理员识别未打补丁或不受支持的本地 Exchange 服务器,允许他们在它们成为安全风险之前对其进行升级或打补丁。

详情

http://urlqh.cn/n1YfT

Apple 修复了最近在旧款 iPhone 上披露的 WebKit 零日漏洞

日期: 2023-03-27
标签: 信息技术, 移动安全, Apple, Google

2023年3月27日,Apple 发布了上个月发布的向后移植补丁的安全更新,解决了针对旧款 iPhone 和 iPad 的一个被积极利用的零日漏洞。该漏洞 ( CVE-2023-23529 ) 是一个 WebKit 类型混淆问题,该公司于 2023 年 2 月 13 日在较新的 iPhone 和 iPad 设备上修复了该问题。潜在的攻击者可以使用它来触发操作系统崩溃,并在成功利用后在受感染的 iOS 和 iPadOS 设备上执行代码。在诱使受害者打开恶意网页后,威胁行为者可以在目标 iPhone 和 iPad 上执行任意代码(此漏洞还会影响  macOS Big Sur 和 Monterey 上的Safari 16.3.1 )。苹果还通过改进检查解决了 iOS 15.7.4 和 iPadOS 15.7.4 中的零日问题。受影响的设备列表包括 iPhone 6s(所有型号)、iPhone 7(所有型号)、iPhone SE(第一代)、iPad Air 2、iPad mini(第四代)和 iPod touch(第七代)设备。

详情

http://urlqh.cn/n1xwC

0x06   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x07   时间线

2023-03-27 360CERT发布安全周报