安全事件周报 2023-04-03 第14周
2023-04-10 14:58

报告编号:CERT-R-2023-87

报告来源:360CERT

报告作者:360CERT

更新日期:2023-04-10

0x01   事件导览

本周收录安全热点42项,话题集中在恶意程序安全漏洞网络攻击,主要涉及的黑客组织有:Mantis(Arid Viper、Desert Falcon、APT-C-23)等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意程序
勒索软件Rorschach的新变体分析
JavaScript恶意软件感染eFile.com纳税申报服务
黑客使用Rilide浏览器扩展绕过2FA,窃取加密货币
微软和Fortra打击恶意Cobalt Strike服务器
通过3CX供应链攻击部署的Gopuram后门
罗夏:新的勒索软件具有迄今为止最快的加密速度
Typhon 信息窃取恶意软件升级规避功能
黑客利用自提取档案进行秘密后门攻击
研究人员诱骗ChatGPT构建不可检测的隐写术恶意软件
数据安全
ARES Leaks数据泄露论坛分析
三星员工意外泄露敏感公司数据至ChatGPT
意大利监管机构因数据保护问题禁止OpenAI的ChatGPT
网络攻击
MSI 承认勒索软件攻击指控后的安全漏洞
英国犯罪记录办公室证实遭受网络攻击
澳大利亚金融公司Latitude Financial遭受网络攻击
安全漏洞
Twitter 的“Shadow Ban”漏洞获得官方 CVE
QNAP零日漏洞影响8万台设备
黑客可以利用漏洞远程打开Nexx车库门
黑客打开第二阶段后门,3CX漏洞扩大
CISA 警告 Zimbra 漏洞被用于攻击北约国家

0x03   恶意程序

勒索软件Rorschach的新变体分析

日期: 2023-04-09
标签: 信息技术, 网络犯罪, Yanluowang, LockBit, REvil, DarkSide

根据Check Point 研究和事件响应团队的说法,一种新发现的名为“Rorschach”的变体是加密速度最快的勒索软件之一。在应对针对一家美国公司的网络攻击期间发现的 Rorschach 是使用 Cortex XDR 转储服务工具(一种已签名的商业安全产品)的 DLL 侧加载组件部署的。Check Point 对网络攻击的分析证实,Rorschach 是独一无二的,并且没有重叠的特征,可以防止轻易归因于任何其他已知的勒索软件变体。它也是高度可定制的。除了高速加密外,该变体还具有许多特别值得关注的特征。

详情

http://urlqh.cn/n3nIF

JavaScript恶意软件感染eFile.com纳税申报服务

日期: 2023-04-04
标签: 信息技术, popper.js

2023年4月4日,一群不同的安全研究人员和用户报告说,恶意JavaScript 恶意软件popper.js. 在 eFile.com 网站上存在了数周。就在 4 月 18 日纳税截止日期前几周,有消息称 eFile.com 服务是IRS授权的电子文件提供商,被发现执行 JavaScript 恶意软件。eFile.com 服务作为私人网站运行,与IRS Free File不同,IRS Free File 允许调整后总收入低于 73,000 美元的纳税人通过 IRS.gov 网站免费提交文件。Similarweb在 1 月份报告称,eFile.com 的总访问量为 110 万次,跳出率为 38.8%,而电子归档领域的领先者 hrblock.com 的总访问量为 2610 万次,跳出率为 28.7%。BleepingComputer证实,至少在 4 月 1 日之前,eFile.com 的几乎每个页面都加载了恶意 popper.js 脚本。他们还报告说,3 月 17 日, 出现了一个 Reddit线程,多个 eFile.com 用户怀疑该网站被劫持.SANS Institute 的 Johannes Ulrich 也发布了一份关于 eFile.com 问题的报告,其中证实了不良行为者使用了 popper.js 恶意软件。

详情

http://urlqh.cn/n4Kdx

黑客使用Rilide浏览器扩展绕过2FA,窃取加密货币

日期: 2023-04-06
标签: 金融业, 信息技术, 加密货币, 网络犯罪, Google, Microsoft, Aurora Stealer, Ekipa RAT, Rilide, Aurora

安全研究人员发现了一种名为 Rilide 的新型恶意浏览器扩展程序,它针对基于 Chromium 的产品,如 Google Chrome、Brave、Opera 和 Microsoft Edge。该恶意软件旨在通过注入网页的脚本监控浏览器活动、截取屏幕截图并窃取加密货币。Trustwave SpiderLabs 的研究人员发现,Rilide 模仿良性的 Google Drive 扩展程序以隐藏在众目睽睽之下,同时滥用内置的 Chrome 功能。这家网络安全公司检测到两个单独的传播 Rilide 的活动。一种是使用 Google Ads 和Aurora Stealer通过 Rust 加载器加载扩展。另一个使用 Ekipa 远程访问木马 (RAT) 分发恶意扩展。虽然该恶意软件的来源未知,但 Trustwave 报告称它与出售给网络罪犯的类似扩展程序存在重叠。与此同时,由于网络犯罪分子之间就未解决的付款问题发生争执,其部分代码最近在地下论坛上泄露。

详情

http://urlqh.cn/n4aJK

微软和Fortra打击恶意Cobalt Strike服务器

日期: 2023-04-06
标签: 信息技术, Microsoft, Google, Cobalt Strike

2023年4月初,微软、Fortra 和健康信息共享与分析中心 (Health-ISAC) 宣布对托管 Cobalt Strike 破解副本的服务器进行广泛的法律打击,Cobalt Strike 是网络犯罪分子使用的主要黑客工具之一。 2023 年 3 月 31 日,美国纽约东区地方法院发布法院命令,允许微软和 Fortra(Cobalt Strike 的制造商)没收域名并删除托管破解版 Cobalt 的服务器的 IP 地址罢工。与此行动相关的打击行动已于2023年4月4日开始,法院命令还允许联盟破坏威胁行为者将在未来攻击中使用的新基础设施。

详情

http://urlqh.cn/n2HmG

通过3CX供应链攻击部署的Gopuram后门

日期: 2023-04-05
标签: 信息技术, Gopuram, APT舆情

3月29日,Crowdstrike发布了一份关于通过流行的VoIP程序3CXDesktopApp进行供应链攻击的报告。当审查有关3CX攻击的可用报告时,研究人员开始怀疑入侵是否与信息窃取有关,或者是否有进一步的植入物。在其中一台机器上,观察到一个名为guard64.dll的DLL,它被加载到受感染的3CXDesktopApp.exe进程中。最近部署的一个名为“Gopuram”的后门程序中使用了相同名称的DLL,该后门程序自2020年以来一直在内部跟踪。三年前,在调查一家位于东南亚的加密货币公司的感染事件过程中,发现Gopuram在受害机器上与AppleJeus共存,AppleJeus是一个归因于Lazarus的后门。多年来,很少观察到有受害者受到Gopuram的攻击,但感染人数在2023年3月开始增加。事实证明,这种增加与3CX供应链攻击直接相关。

详情

http://urlqh.cn/n34Wk

罗夏:新的勒索软件具有迄今为止最快的加密速度

日期: 2023-04-04
标签: 信息技术, DarkSide, LockBit 3.0, Yanluowang, LockBit

2023年4月4日,研究人员发布报告表示,在野外发现了可能是有史以来最快的勒索软件加密二进制文件,其锁定系统的速度几乎是臭名昭著的 LockBit 3.0 恶意软件的两倍。根据 Check Point Research (CPR) 的速度测试,该勒索软件被称为“Rorschach”,可以在短短四分半钟内加密 220,000 个本地驱动器文件。相比之下,LockBit 3.0在七分钟内完成了任务,比去年测试中确定的中位加密时间快得多。“更值得注意的是,Rorschach 勒索软件是高度可定制的。通过命令行参数调整加密线程的数量,它可以获得更快的时间,”CPR研究报告中写道。

详情

http://urlqh.cn/n2L02

Typhon 信息窃取恶意软件升级规避功能

日期: 2023-04-05
标签: 信息技术, 网络犯罪, Typhon Reborn

Typhon 信息窃取程序的开发人员在一个暗网论坛上宣布,他们已将恶意软件更新到他们宣传为“Typhon Reborn V2”的主要版本

它们拥有重大改进,旨在通过反虚拟化机制阻止分析。恶意软件分析师于 2022 年 8 月发现了最初的 Typhon 。 Cyble Research Labs 当时对其进行了分析,发现该恶意软件将主要的窃取器组件与剪辑器、键盘记录器和加密矿工结合在一起。思科 Talos 分析师报告称,新版本从 1 月开始在暗网上推广,并已多次购买。然而,研究人员在野外发现了自 2022 年 12 月以来最新版本的样本。

详情

http://urlqh.cn/n2m6H

黑客利用自提取档案进行秘密后门攻击

日期: 2023-04-05
标签: 信息技术, 网络犯罪, RedLine Stealer, Emotet

CrowdStrike 的新发现显示,未知威胁行为者使用恶意自解压存档 ( SFX ) 文件,试图建立对受害者环境的持久后门访问。SFX 文件能够提取其中包含的数据,而无需专用软件来显示文件内容。它通过包含一个解压缩程序存根来实现这一点,这是一段用于解压缩存档的代码。在这家网络安全公司调查的案件中,被泄露的系统凭据被用来运行一个名为Utility Manager(utilman.exe)的合法Windows辅助功能应用程序,然后启动一个受密码保护的SFX文件。为减轻此攻击媒介造成的威胁,建议通过解档软件分析 SFX 存档,以识别任何设置为提取并在执行时运行的潜在脚本或二进制文件。

详情

http://urlqh.cn/n3LGa

研究人员诱骗ChatGPT构建不可检测的隐写术恶意软件

日期: 2023-04-05
标签: 信息技术, 人工智能, Google

一名安全研究人员诱使 ChatGPT 构建复杂的数据窃取恶意软件,基于签名和基于行为的检测工具将无法发现这种恶意软件,从而避开了聊天机器人的反恶意使用保护。这位承认自己没有开发恶意软件经验的研究人员没有编写一行代码,而是通过多个简单的提示引导 ChatGPT,最终产生了一种恶意软件工具,能够静默搜索系统中的特定文档,将这些文档分解并插入到图片文件,并将它们发送到 Google 云端硬盘。Forcepoint 的解决方案架构师和恶意软件的作者之一 Aaron Mulgrew 说,最后,从最初提示进入 ChatGPT 到在 Virus Total 上检测到零检测的恶意软件工作只用了大约四个小时。

详情

http://urlqh.cn/n0oAo

0x04   数据安全

ARES Leaks数据泄露论坛分析

日期: 2023-04-09
标签: 信息技术, Ares, RansomHouse

Cyfirma 报告称,ARES 最近开始努力获取军事访问权限和数据库,通过网络犯罪平台上的广告积极宣传。该攻击者于 2021 年底出现在 Telegram 上,与 RansomHouse 勒索软件行动和数据泄露平台 KelvinSecurity 以及网络访问组织 Adrastea 有关联。ARES Leaks 是一个托管在常规网络上的平台,提供对来自 65 个国家/地区(包括美国、法国、西班牙、澳大利亚和意大利)的数据泄露的访问。

该网站托管各种类型的信息泄漏,从电话号码、电子邮件地址、客户详细信息、B2B、SSN 和公司数据库,到外汇数据、政府泄漏和护照。根据 Cyfirma 的说法,在 Breached 关闭之后,ARES Leaks 的活动有所增加。

详情

http://urlqh.cn/n10Ur

三星员工意外泄露敏感公司数据至ChatGPT

日期: 2023-04-09
标签: 信息技术, 人工智能, 大数据, Samsung

2023年3月底,三星因数据隐私问题解除了员工使用 OpenAI 的 ChatGPT 的禁令。该禁令最初旨在保护公司数据,但于2023年3月11日解除,以便半导体部门的工程师可以使用ChatGPT来解决源代码问题,提高生产力,并了解最新的技术变化。在允许使用 ChatGPT 的同时,这家韩国巨头还向半导体部门发出通知,要求在流行的人工智能 (AI) 聊天机器人中“注意内部信息安全,不要输入私人信息”。然而,据《经济学人》韩国版的一篇报道(Mashable发现)称,自禁令解除以来,在20天的时间里,三星员工曾三次意外向ChatGPT泄露与三星半导体部门有关的敏感信息。

详情

http://urlqh.cn/n4s6V

意大利监管机构因数据保护问题禁止OpenAI的ChatGPT

日期: 2023-04-03
标签: 信息技术, 人工智能, Microsoft, OpenAI, Google

出于数据保护方面的考虑,意大利数据保护监管机构 Guarantor for the Protection of Personal Data(又名 Guarantor)已在该国暂时禁止 OpenAI 的 ChatGPT 服务。为此,它已命令该公司立即停止处理用户数据,并表示打算调查该公司是否在违反欧盟通用数据保护条例 (GDPR) 法律的情况下非法处理此类数据。Garante 还指出缺乏任何年龄验证系统来防止未成年人访问该服务,这可能会使他们面临“不适当”的回应。谷歌自己的聊天机器人 Bard只对 18 岁以上的用户开放。此外,监管机构对 ChatGPT 显示的信息的准确性提出了质疑,同时还强调了该服务本月早些时候遭受的数据泄露事件,该事件暴露了一些用户的聊天标题和与支付相关的信息。作为对该命令的回应,OpenAI 已阻止具有意大利 IP 地址的用户访问其生成式 AI 聊天机器人。它还表示,除了暂停订阅续订外,它还将向 ChatGPT Plus 的订阅者发放退款。

详情

http://urlqh.cn/n0IBI

0x05   网络攻击

MSI 承认勒索软件攻击指控后的安全漏洞

日期: 2023-04-09
标签: 信息技术, 制造业

2023年4月9日,中国台湾 PC 供应商 MSI(Micro-Star International 的缩写)透露,其网络在针对勒索软件攻击指控的网络攻击中遭到破坏。2023年4月初,Money Message 勒索软件组织声称已经渗透了 MSI 的部分系统并窃取了文件,如果该公司拒绝支付 400 万美元的赎金,这些文件将在下周在线发布。 2023年4月5日,MSI 在向台湾证券交易所 (TWSE) 提交的文件中披露,其信息服务系统的特定部分受到了网络攻击的影响,该事件已被 PCMag 最先注意到。 “在检测到部分信息系统遭到黑客攻击后,MSI 的 IT 部门已启动信息安全防御机制和恢复程序。公司还向相关政府部门报告了 [sic] 异常情况,”MSI 表示。该公司没有提供有关攻击时间框架的信息,是否有任何受感染的系统被加密,或者攻击者是否因此事件窃取了任何客户或公司数据。 尽管如此,MSI 确实声称网络攻击对运营或财务没有“重大”影响,并且已经进行了安全升级以确保对受感染系统上的数据进行保护。

详情

http://urlqh.cn/n2kkK

英国犯罪记录办公室证实遭受网络攻击

日期: 2023-04-06
标签: 信息技术, 政府部门

2023年4月6日,英国犯罪记录办公室 (ACRO) 在延迟发布声明数周后终于证实,自 1 月 17 日以来出现的在线门户问题是由所谓的“网络安全事件”引起的。ACRO 是该国的国家执法机构,负责管理犯罪记录信息、应要求提供犯罪记录并与外国共享这些记录。2023年4月6日的确认是在 ACRO 于 3 月 21 日宣布 由于“必要的网站维护”而不再通过其在线门户提供应用程序之后发布的。ACRO 的网站至少从 3 月 31 日起就一直处于关闭状态,网站上显示的一条说明称由于“技术问题”而无法使用。用户被要求通过电子邮件申请警方或国际儿童保护证书,该机构稍后会联系付款。在2023年4月6日早些时候在 Twitter 上分享的一份声明中 ,该机构正式将上个月的网站维护与网络事件联系起来。

详情

http://urlqh.cn/n2Lx4

澳大利亚金融公司Latitude Financial遭受网络攻击

日期: 2023-04-03
标签: 金融业

2023年4月初,在澳大利亚证券交易所(ASX)上市的Latitude Financial公司报告称其遭受了网络攻击。该公司表示,据信此次攻击源自该公司使用的一家主要供应商,攻击者从一名员工那里获得了登录凭证。然后,攻击者使用这些凭据窃取其他两家服务提供商持有的个人信息。 Latitude Financial 在澳大利亚、新西兰、加拿大和新加坡提供一系列金融服务,包括贷款、信用卡和保险。攻击发生后,全球技术服务公司 DXC Technology 在其网站上发表声明,确认其全球网络和客户支持网络未在对 Latitude Financial 的攻击中受到损害。 在 Latitude Financial 披露其遭受网络攻击十天后,该公司发现违规行为比最初认为的严重得多。攻击者已经访问了 1400 万人的数据。攻击者使用被盗的员工凭证访问了两家服务提供商存储的客户数据。截至 3 月 27 日,Latitude Financial 已确定有 790 万个澳大利亚和新西兰驾照号码被盗,其中约 320 万个是在过去 10 年中提供给该公司的。此外,大约 53,000 个护照号码被盗,只有不到 100 名客户的月度财务报表被盗。 该公司进一步证实,可追溯到 2005 年的 610 万条记录已被访问,包括客户姓名、地址、电话号码和出生日期。

详情

http://urlqh.cn/n3jsP

0x06   安全漏洞

Twitter 的“Shadow Ban”漏洞获得官方 CVE

日期: 2023-04-06
标签: 信息技术, Twitter

研究人员最近发现了 Twitter 代码中的一个漏洞,该漏洞允许用户通过来自大量帐户的大规模阻止操作来玩弄算法,以努力抑制特定用户出现在人们的信息流中——本质上,它允许机器人创建的“影子禁令”社交媒体审查批评者的说法。现该漏洞已被指定为官方认可的安全漏洞 CVE 编号:CVE-2023-29218。通过 ec83d01 的 Twitter 推荐算法允许攻击者通过安排多个 Twitter 帐户来协调有关目标帐户的负面信号,例如取消关注、静音、阻止和报告,从而导致拒绝服务(降低信誉评分)。该漏洞首先由信息安全研究员 Federico Andres Lois 在分析 Twitter 的源代码后标记出来,该源代码被泄露给公众,后来作为其透明度承诺的一部分由 Twitter 发布在 GitHub 上。该漏洞意味着僵尸网络大军有能力通过大量阻止、静音、滥用报告、垃圾邮件报告和取消关注来降低特定帐户在 Twitter 推荐引擎中出现的次数。

详情

http://urlqh.cn/n61Zv

QNAP零日漏洞影响8万台设备

日期: 2023-04-06
标签: 信息技术, QNAP Systems, DEADBOLT

2023年4月6日,Sternum 的研究人员表示:多个 Quality Network Appliance Provider (QNAP) 网络附加存储 (NAS) 设备操作系统 (OS) 中的一对零日漏洞正在影响全球约 80,000 台设备。对于四个受影响的操作系统中的两个,它们仍未打补丁。

QNAP 为物联网 (IoT) 存储、网络和智能视频提供设备和软件。Sternum 的研究人员发现的操作系统错误是内存访问违规,这可能会导致代码不稳定,并可能为经过身份验证的网络犯罪分子提供执行任意代码的途径。根据 Sternum 的说法,这些漏洞在 CVE-2022-27597 和 CVE-2022-27598 下追踪,影响 QTS、QuTS hero、QuTScloud 和 QVP 操作系统,并已在QTS 版本 5.0.1.2346 build 20230322(及更高版本)中得到修复和 QuTS hero 版本 h5.0.1.2348 build 20230324(及更高版本)。QuTScloud 和 QVP 操作系统仍未修补,但 QNAP 表示正在“紧急修复”这些漏洞。

详情

http://urlqh.cn/n1hfg

黑客可以利用漏洞远程打开Nexx车库门

日期: 2023-04-05
标签: 信息技术

2023年4月初,研究人员发现多个漏洞 Nexx 智能设备可被用来控制车库门、禁用家庭警报器或智能插头。研究人员公开披露了五个安全问题,严重程度从中等到严重,供应商尚未确认和修复。最重要的发现是使用硬编码在固件中的通用凭据,也很容易从与 Nexx 的 API 的客户端通信中获取。该漏洞还可用于识别 Nexx 用户,允许攻击者收集电子邮件地址、设备 ID 和名字。

详情

http://urlqh.cn/n2a37

黑客打开第二阶段后门,3CX漏洞扩大

日期: 2023-04-03
标签: 信息技术, 网络犯罪, 3CX, Microsoft, AppleJeus, Lazarus Group

2023年3月下旬,威胁行为者(据信是 Lazarus Group)破坏了 3CX 的 VoIP 桌面应用程序以向公司客户分发信息窃取软件,还在系统上放置了第二阶段后门。这个名为“Gopuram”的后门包含多个模块,威胁者可以使用这些模块来泄露数据;安装额外的恶意软件;启动、停止和删除服务;并直接与受害系统交互。卡巴斯基的研究人员在少数运行 3CX DesktopApp 受损版本的系统上发现了该恶意软件。与此同时,一些安全研究人员现在表示,他们的分析表明威胁参与者可能利用了一个存在 10 年之久的 Windows 漏洞 ( CVE-2013-3900 )。

详情

http://urlqh.cn/n2eTm

CISA 警告 Zimbra 漏洞被用于攻击北约国家

日期: 2023-04-03
标签: 信息技术, 网络犯罪, Cybersecurity and Infrastructure Security Agency, Google

2023年4月3日,网络安全和基础设施安全局 (CISA) 警告联邦机构修补 Zimbra Collaboration (ZCS) 跨站点脚本漏洞,俄罗斯黑客利用该漏洞在针对北约国家的攻击中窃取电子邮件。该漏洞 ( CVE-2022-27926 ) 被跟踪为 Winter Vivern 和 TA473 的俄罗斯黑客组织滥用,攻击 多个与北约结盟的政府的网络邮件门户,以访问官员、政府、军事人员和外交官的电子邮件邮箱。Winter Vivern 的攻击始于黑客使用 Acunetix 工具漏洞扫描器来查找易受攻击的 ZCS 服务器,并向用户发送网络钓鱼电子邮件,以欺骗收件人熟悉的发件人。每封电子邮件都将目标重定向到攻击者控制的服务器,这些服务器利用 CVE-2022-27926 错误或试图诱骗收件人交出他们的凭据。当以漏洞利用为目标时,这些 URL 还包含一个 JavaScript 片段,该片段将下载第二阶段有效负载以发起跨站点请求伪造 (CSRF) 攻击,以窃取 Zimbra 用户的凭据和 CSRF 令牌。

详情

http://urlqh.cn/n3c01

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x08   时间线

2023-04-03 360CERT发布安全周报