报告编号：CERT-R-2023-103

报告来源：360CERT

报告作者：360CERT

更新日期：2023-04-17

0x01   事件导览

本周收录安全热点56项，话题集中在恶意程序、安全漏洞、数据安全，主要涉及的黑客组织有：MERCURY、Transparent Tribe等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

针对 Mac 设备的 LockBit 勒索软件加密器

日期: 2023-04-16
标签: 信息技术, 网络犯罪, Apple, LockBit

LockBit勒索软件团伙首次创建了针对Mac电脑的加密器，很可能成为有史以来第一个专门针对macOS的大型勒索软件操作。网络安全研究员MalwareHunterTeam发现了新的勒索软件加密器  ，他们在 VirusTotal 上发现了一个 ZIP 存档，其中似乎包含大多数可用的 LockBit 加密器。网络安全研究员 Florian Roth 的进一步研究发现，Apple M1 加密器 于 2022 年 12 月上传到 VirusTotal  ，表明这些样本已经流传了一段时间。

详情

恶意软件变种“Legion”在垃圾邮件攻击中滥用AWS、PayPal、Stripe云

日期: 2023-04-16
标签: 金融业, 信息技术, 云计算, PayPal, Stripe, Amazon, Verizon, T-Mobile, T-Mobile US, AT&T, Amazon Web Services, AlienFox

2023年4月13日，Cado Security的研究人员发布报告表示：一种名为 Legion 的简单邮件传输协议 (SMTP) 滥用工具可以扫描 Shodan 以识别配置错误的云服务器，然后接管 SMTP 电子邮件营销程序或发起网络钓鱼活动。Cado Security 表示 Legion 专注于枚举易受攻击的 SMTP 服务器、进行远程代码执行以及利用易受攻击的 Apache 版本。该工具一直针对 19 种不同的云服务，包括 AWS、PayPal、Stripe 和 Twilio。Legion 还可以发送短信来发起基于移动设备的网络钓鱼和虚假信息活动，并针对 14 家不同的电信公司，包括 AT&T、Sprint、T-Mobile 和 Verizon。它还可以捆绑传统上在更常见的黑客工具中发现的其他功能，例如执行 Web 服务器特定漏洞利用代码和暴力破解帐户凭据的能力。

详情

BlackCat勒索软件攻击NCR

日期: 2023-04-16
标签: 信息技术, 网络犯罪, NCR Corporation, Western Digital, BlackCat

2023年4月中旬，在遭到 BlackCat/ALPHV 团伙声称的勒索软件攻击后，NCR 的 Aloha 销售点平台出现中断。NCR 是一家美国软件和技术咨询公司，为餐厅、企业和零售商提供数字银行、POS 系统和支付处理解决方案。他们的产品之一，用于酒店服务的 Aloha POS 平台，自2023 年 4 月 12 日以来出现故障，客户无法使用该系统。NCR于2023 年 4 月 15 日透露，中断是由勒索软件攻击造成的。

详情

Lazarus Group的DeathNote集群转向国防部门

日期: 2023-04-12
标签: 信息技术

朝鲜臭名昭著的拉撒路集团 (Lazarus Group) 内部的一项行动DeathNote最初只专注于硬币开采攻击，现已开始针对世界各地的国防部门组织。DeathNote 集群的重点转移始于 2020 年，攻击东欧与国防工业相关的汽车和学术组织。一直在跟踪 DeathNote 活动的卡巴斯基研究人员发现，Lazarus 子组织紧随该次攻击，随后对欧洲、拉丁美洲、非洲和韩国的国防和国防相关公司发起了攻击活动。

详情

微软：NSO集团式的“QuaDream”演员向政府出售移动间谍软件

日期: 2023-04-12
标签: 信息技术, 移动安全, Microsoft, Apple, Quadream, Chrysaor, QuaDream, KingsPawn

研究人员在4月11日发表的一篇博客文章中表示，微软威胁情报研究人员发现了一个他们一直在追踪的威胁组织DEV-0196与一家名为QuaDream的私营公司之间的联系，该公司提供iOS恶意软件，该公司销售一个从移动设备中过滤数据的平台。微软已经确定了另一个总部位于以色列的威胁组织，类似于NSO集团，该组织正在向国际政府出售移动间谍软件和其他网络间谍工具和服务，以监视和监视个人。

详情

安装量达 100 万次的 Kyocera Android 应用程序可能会被滥用以投放恶意软件

日期: 2023-04-12
标签: 信息技术, 移动安全

京瓷 Android 打印应用程序容易受到不当意图处理的影响，从而允许其他恶意应用程序滥用该缺陷来下载并可能在设备上安装恶意软件。

根据JVN（Japanese Vulnerability Notes）发布的安全通知，这是一个国家支持的门户网站，致力于提高人们对安全问题的认识，该问题被跟踪为 CVE-2023-25954 并影响以下应用程序：

• KYOCERA Mobile Print v3.2.0.230119 及更早版本（在 Google Play 上有 100 万次下载）

• UTAX/TA Mobile Print v3.2.0.230119 及更早版本（在 Google Play 上有 10 万次下载）

• Olivetti Mobile Print v3.2.0.230119 及更早版本（在 Google Play 上有 1 万次下载）

详情

Microsoft 分享了检测 BlackLotus UEFI bootkit 攻击的指南

日期: 2023-04-12
标签: 信息技术, Microsoft, BlackLotus

2023年4月12日，Microsoft 已共享指南，以帮助组织检查黑客是否通过利用 CVE-2022-21894 漏洞以 BlackLotus UEFI bootkit 为目标或破坏了机器。统一可扩展固件接口（UEFI）的恶意软件尤其难以检测，因为这些威胁在操作系统之前运行，能够在引导过程的早期部署有效负载以禁用安全机制。组织和个人还可以使用 Microsoft 的建议从攻击中恢复，并防止使用 BlackLotus 的威胁行为者实现持久性和逃避检测。

详情

恶意 Google Play 应用程序在地下论坛的售价高达2万美元

日期: 2023-04-11
标签: 信息技术, 网络犯罪, 移动安全, Google Play, Meta Platforms, Google

根据反病毒公司卡巴斯基的最新研究，恶意 Google Play 应用程序在地下在线市场上的售价高达 20,000 美元，加密货币追踪器、金融应用程序、二维码扫描器和约会应用程序是隐藏恶意软件的最有针对性的应用程序类别  。此前，这家总部位于俄罗斯的跨国公司分析了 2019 年至 2023 年期间在九个流行的暗网市场上出售的恶意应用程序的报价，确定了有关这些恶意程序如何逃避科技巨头的安全保护并毒害 Play 商店的新细节。 虽然谷歌每年都会删除大量恶意应用程序，但研究人员发现，威胁行为者不断地继续成功地寻找将恶意软件隐藏在合法应用程序中的新方法。2022 年 10 月，Meta 报告称Play 商店中有数百个恶意 Android 应用程序窃取了 Facebook 用户的敏感数据。一个月后，Google Play 商店中的一组四个恶意应用程序被发现已被下载超过一百万次。

详情

以色列间谍软件KingsPawn监视记者、政客

日期: 2023-04-11
标签: 信息技术, 政府部门, 文化传播

2023年4月11日，数字取证机构Citizen Lab和Microsoft Threat Intelligence均发布了有关以色列间谍软件公司 QuaDream 的详细报告，该公司自 2016 年成立以来一直保持低调。研究人员发现，一家秘密的以色列间谍软件公司的软件已被三大洲的记者、政治人物和民间社会工作者使用。据报道，该公司向政府推销名为 Reign 的监控平台。微软将其描述为“一套旨在从移动设备中泄露数据的漏洞、恶意软件和基础设施。” 为了逃避出口管制和监督，该公司通过一家名为 InReach 的塞浦路斯实体在以色列境外销售其产品。

详情

Rilide恶意软件：黑客使用恶意浏览器扩展绕过2FA并窃取加密

日期: 2023-04-10
标签: 信息技术

Trustwave SpiderLabs 安全研究人员最近发现了一种名为 Rilide 的新型恶意浏览器扩展程序，其目标是基于 Chromium 的浏览器，例如 Google Chrome、Brave、Opera 和 Microsoft Edge。 恶意活动包括监控浏览历史、截取屏幕截图以及通过注入网站的脚本窃取加密货币。Rilide 冒充良性的 Google Drive 扩展程序，以在滥用内置 Chrome 功能的同时保持不被发现。 该网络安全公司还发现了另一个操作，该操作通过利用 Google Ads 和 Aurora Stealer 使用 Rust 加载程序加载扩展。 虽然恶意软件的来源仍然未知，但 Trustwave 报告称它与出售给网络罪犯的扩展程序有相似之处。此外，由于黑客之间因未解决的付款发生纠纷，其部分代码最近在暗网论坛上被披露。

详情

0x04   数据安全

报告显示ChatGPT已卷入数据泄露、网络钓鱼诈骗和恶意软件感染

日期: 2023-04-16
标签: 信息技术, 金融业, 网络犯罪, 人工智能, 网络欺诈

2023 年 4 月 12 日 ，Network Assured的安全研究人员报告称，由 ChatGPT 引起的数据泄露、网络钓鱼诈骗和恶意软件感染正在上升。报告中描述了以下内容：黑客正在使用 ChatGPT 等工具，使用与目标组织相匹配的复杂语言来创建更具说服力的网络钓鱼电子邮件。冒充 ChatGPT 的虚假浏览器插件在 3 月份的 6 天内每天向多达 2,000 人部署恶意软件。暗网论坛用户正在分发脚本，允许恶意行为者绕过 ChatGPT 的非法内容过滤器并创建新的恶意软件。公司员工在工作过程中向 ChatGPT 粘贴的内容中有 11% 是敏感的公司信息。

详情

爱荷华州数千名医疗补助受益人的个人信息被泄露

日期: 2023-04-13
标签: 卫生行业

2023年4月中旬，美国爱荷华州卫生与公共服务部透露，在 2022 年针对医疗保健软件公司 Independent Living Systems (ILS) 的一次攻击中，爱荷华州数千名医疗补助受益人的个人信息遭到泄露。这家总部位于迈阿密的公司在上个月提交给缅因州总检察长的文件中解释说，超过 400 万人受到系统入侵的影响。泄露的信息包括姓名、地址、出生日期、驾照号码、社会安全号码、财务账户信息以及诊断代码和健康保险信息等医疗数据。爱荷华州官员表示，ILS 违规涉及 20,800 名爱荷华州医疗补助成员的信息。

详情

丰田汽车遭遇数据泄露

日期: 2023-04-11
标签: 

日本汽车巨头丰田表示，其意大利办事处的安全漏洞可能已经暴露了客户数据。在一份声明中，丰田汽车北美发言人 Corey Proffitt 证实了Cybernews 的调查结果，Cybernews 是一家网络安全研究机构，该机构于 2 月 14 日在意大利丰田官方网站上发现了一个环境文件 (.env)。该文件包含范围广泛的信息，包括数字营销平台 Salesforce Marketing Cloud 的凭证，可用于以多种方式接触客户。研究人员还发现了与该公司使用 Mapbox 应用程序编程接口相关的其他数据。Cybernews 称，该文件自 2021 年 5 月 21 日起曝光。目前，丰田已经采取了一套额外的对策来恢复和加强其网络安全系统和协议。

详情

肯德基，必胜客遭受勒索攻击后数据泄露

日期: 2023-04-10
标签: 信息技术, 批发零售, 网络犯罪, Pizza Hut, Yum! Brands

肯德基、必胜客和塔可钟快餐连锁店的品牌所有者Brands目前正在向在1月13日的勒索软件攻击中个人信息被盗的人数不详的个人发送数据泄露通知信。此前，该公司表示，虽然一些数据从其网络中被盗，但没有证据表明攻击者泄露了任何客户信息。数据泄露通知信中，几个公司表示现在已经发现攻击者窃取了一些个人的个人信息，包括姓名、驾照号码和其他身份证号码。正在进行的调查没有发现被盗数据被用于身份盗用或欺诈的证据。

详情

0x05   网络攻击

德国造船厂Lürssen遭遇勒索软件攻击

日期: 2023-04-13
标签: 制造业, Ferrari, Moncler

德国造船厂 Lürssen 以为超级富豪制造超级游艇而闻名，在2023年4月中旬遭遇勒索软件攻击，导致其运营无法进行。Lürssen 在制造豪华游艇的同时，还为德国海军建造海船，这使得目前因袭击事件而导致的生产和运营停滞更加不利。目前尚不清楚船运公司的敏感信息或个人身份信息 (PII) 是否已被盗。Lürssen 的一位发言人表示，他们“立即采取了所有必要的保护措施，并通知了有关当局”。

详情

塔斯马尼亚州部长确认数据泄露

日期: 2023-04-10
标签: 信息技术

2023年3月，塔斯马尼亚教育、儿童和青少年部遭受了一次网络攻击，黑客瞄准并破坏了第三方文件传输服务 GoAnywhere MFT。州政府于 3 月 31 日确认其数据已被访问。违规行为持续了四天，在此期间信息被转移。结果，勒索软件组织 Cl0p 访问了包括发票、银行对账单和与该部门相关人员的个人信息在内的文件。调查正在进行中，可能会有更多受影响的文件。被称为“CL0P”的勒索软件组织被认为是一个俄语网络犯罪团伙，至少从 2019 年开始就对臭名昭著的“大型游戏猎人”勒索软件攻击负责。他们与“FIN11”和“UNC2546”等其他网络犯罪集团有关联

详情

网络攻击后，SD Worx关闭了英国的工资和人力资源服务

日期: 2023-04-10
标签: 信息技术, 网络犯罪, SD Worx

2023年4月10日，比利时人力资源和薪资巨头 SD Worx 遭受了网络攻击，导致他们关闭了其英国和爱尔兰服务的所有 IT 系统。SD Worx 是一家位于比利时的欧洲人力资源和薪资管理公司，据 其网站介绍，该公司为 82,000 多家公司的 520 万名员工提供服务。2023年4月10日，SD Worx表示：“我们正在进一步调查此案，并可以确认这不是勒索软件攻击。此外，目前没有证据表明任何数据已被泄露。我们先发制人地隔离我们的系统的原因是为了减轻任何进一步的影响并充分评估威胁。”

详情

美国明尼苏达州一所公立学校遭受网络攻击

日期: 2023-04-10
标签: 教育行业, 信息技术

2023年4月9日，美国明尼苏达州罗彻斯特市的一个公立学校系统宣布，在上周晚些时候开始的疑似网络攻击袭击后，该系统将在2023年4月10日取消其运营的所有 42 所学校的课程。2023年4月7日，罗切斯特公立学校发布了一条消息，解释说它“发现其网络上存在不正常活动”，需要“关闭学区范围内的互联网连接以审查和解决该问题。” 工作人员和学生无法访问他们的谷歌账户，所有学区大楼的电话都无法使用。2023年3月，明尼阿波利斯的学区遭到勒索软件攻击，泄露了大量敏感的学生信息。目前尚不清楚这些事件是否相关。罗切斯特公立学区为明尼苏达州东南部的 17,474 名学生提供服务。到周六，该学区发布了一项更新，称课程将被取消，因为教师和管理人员需要聚集并计划如何“从 4 月 11 日星期二开始，在没有或减少使用技术系统的情况下”运营学校。该学区的 IT 部门被迫关闭了网络和几乎所有学校的核心技术系统。

详情

0x06   安全漏洞

Microsoft共享Outlook阻止访问电子邮件问题的修复程序

日期: 2023-04-13
标签: 信息技术, Microsoft

Microsoft 正在努力解决影响某些 Outlook for Microsoft 365 客户并阻止他们访问电子邮件和日历的问题。更新到 Outlook 版本 2303（内部版本 16227.20212）后，用户可能无法在 Outlook 桌面版中查看或访问 Microsoft 365 群组日历和电子邮件消息。微软表示，Outlook 团队正在研究解决这个已知问题的解决方案，并分享了一个临时解决方法，直到为那些在尝试访问电子邮件时遇到问题的人推出修复程序。如果受影响的客户想要使用组功能或 恢复 到不受此问题影响的 Outlook 桌面版本 16130.20332，建议他们使用 Outlook Web Access (OWA)。

详情

DDoS 攻击转移到 VPS 基础设施以增强能力

日期: 2023-04-12
标签: 信息技术, 网络犯罪

2023 年第一季度的超容量 DDoS（分布式拒绝服务）攻击已经从依赖受感染的物联网设备转变为利用被破坏的虚拟专用服务器 (VPS)。据互联网安全公司 Cloudflare 称，新一代僵尸网络逐渐放弃了构建大量单独薄弱物联网设备的策略，现在正转向使用泄露的 API 凭据或已知漏洞利用易受攻击和配置错误的 VPS 服务器。这种方法可帮助威胁行为者更轻松、更快速地构建高性能僵尸网络，其强度比基于物联网的僵尸网络高出 5,000 倍。

详情

Windows 管理员警告修补严重的 MSMQ QueueJumper 漏洞

日期: 2023-04-12
标签: 信息技术, Microsoft

安全研究人员和专家警告说，微软在本月的补丁日期间修补了 Windows 消息队列 (MSMQ) 中间件服务中的一个严重漏洞，并使数十万个系统受到攻击。MSMQ 在所有 Windows 操作系统上都可用，作为一个可选组件，为应用程序提供具有“保证消息传递”的网络通信功能，并且可以通过 PowerShell 或控制面板启用它。该漏洞 ( CVE-2023-21554 ) 使未经身份验证的攻击者能够在不需要用户交互的低复杂性攻击中使用特制的恶意 MSMQ 数据包在未打补丁的 Windows 服务器上远程执行代码。受影响的 Windows 服务器和客户端版本列表包括所有当前支持的版本，直至最新版本 Windows 11 22H2 和 Windows Server 2022。

详情

微软2023年4月补丁日

日期: 2023-04-11
标签: 信息技术, Microsoft, Nokoyawa Ransomware, Lazarus Group

微软2023年4月的Patch Tuesday安全更新包含97个CVE的补丁，其中包括一个在勒索软件攻击中处于主动攻击状态的零日漏洞，另一个是对2013年一个威胁行为者最近在3CX供应链攻击中利用的漏洞的重新修复，以及一个严重程度被评为严重的可蠕虫漏洞。4 月更新中的漏洞中有将近一半（即 45 个）支持远程代码执行 (RCE)，与微软在过去三个月中每个月报告的平均 33 个 RCE 漏洞相比有了显着上升。即便如此，该公司在最新一批中将近 90% 的 CVE 评为网络攻击者不太可能利用的漏洞——只有 9% 被认为是威胁行为者更有可能利用的漏洞。

详情

SAP 针对两个严重漏洞发布安全更新

日期: 2023-04-11
标签: 信息技术

企业软件供应商 SAP 已发布其多款产品的 2023 年 4 月安全更新，其中包括对影响 SAP Diagnostics Agent 和 SAP BusinessObjects Business Intelligence Platform 的两个严重漏洞的修复。SAP 总共发布了 24 条说明，其中 19 条涉及不同重要性的新问题，另外 5 条是对先前公告的更新。这次修复的三个最关键的漏洞是：

• CVE-2023-27267：影响 SAP Diagnostics Agent 版本 720 的 OSCommand Bridge 的输入验证不足和缺少身份验证问题，使攻击者能够在连接的代理上执行脚本并完全破坏系统。（CVSS v3.1 评分：9.0）

• CVE-2023-28765：影响 SAP BusinessObjects Business Intelligence Platform（促销管理）版本 420 和 430 的信息泄露漏洞，允许具有基本权限的攻击者访问 lcmbiar 文件并对其进行解密。这将使攻击者能够访问平台用户的密码并接管他们的帐户以执行其他恶意操作。（CVSS v3.1 评分：9.8）

• CVE-2023-29186：影响 SAP NetWeaver 版本 707、737、747 和 757 的目录遍历缺陷，允许攻击者上传和覆盖易受攻击的 SAP 服务器上的文件。（CVSS v3.1 评分：8.7）

详情

勒索软件攻击中利用的Windows零日漏洞

日期: 2023-04-11
标签: 信息技术, 网络犯罪, Microsoft, Nokoyawa Ransomware, JSWORM, Nemty, Karma

Microsoft 修补了 Windows 通用日志文件系统 (CLFS) 中的一个零日漏洞，网络犯罪分子积极利用该漏洞提升权限并部署 Nokoyawa 勒索软件有效负载。2023年4月11日，鉴于其持续利用，CISA 还将CVE-2023-28252 Windows 零日漏洞添加到其已知利用漏洞目录中，命令联邦民用行政部门 (FCEB) 机构在 5 月 2 日之前保护其系统免受其攻击。这个CLFS安全漏洞被追踪为CVE-2023-28252，由 Mandiant 的 Genwei Jiang 和 DBAPPSecurity 的 WeBin Lab 的 Quan Jin 发现。它会影响所有受支持的 Windows 服务器和客户端版本，并且可以被本地攻击者在无需用户交互的情况下进行低复杂度攻击。

成功的利用使威胁行为者能够获得 SYSTEM 权限并完全破坏目标 Windows 系统。

详情

CISA 命令政府机构在 5 月 1 日之前更新 iPhone、Mac

日期: 2023-04-10
标签: 政府部门, 信息技术, 移动安全, Cybersecurity and Infrastructure Security Agency, Apple, Google

2023年4月10日，美国网络安全和基础设施安全局 (CISA) 命令联邦机构修补两个在野外被积极利用以破解 iPhone、Mac 和 iPad 的安全漏洞。第一个漏洞 (CVE-2023-28206) 是一个 IOSurfaceAccelerator 越界写入，它可能允许攻击者使用恶意制作的应用程序在目标设备上以内核权限执行任意代码。第二个 (CVE-2023-28205) 是一个 WebKit 漏洞利用漏洞，它使威胁行为者能够在诱使目标加载受攻击者控制的恶意网页后在被黑的 iPhone、Mac 或 iPad 上执行恶意代码。Apple 通过改进输入验证和内存管理解决了 iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1 和 Safari 16.4.1 中的两个零日漏洞。FCEB 机构现在必须在 2023 年 5 月 1 日之前确保 iOS、iPadOS 和 macOS 设备的安全，以防止苹果公司在周五解决并添加到 CISA在周一的攻击中利用的漏洞列表中的两个漏洞。

详情

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x08   时间线

2023-04-10 360CERT发布安全周报