报告编号：CERT-R-2023-120

报告来源：360CERT

报告作者：360CERT

更新日期：2023-04-24

0x01   事件导览

本周收录安全热点70项，话题集中在恶意程序、网络攻击、安全漏洞，主要涉及的黑客组织有：CNC、Mint Sandstorm、DoNot（APT-C-35）等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

分析700亿DNS查询后发现Decoy Dog恶意软件工具包

日期: 2023-04-23
标签: 信息技术, pupy

网络安全公司Infoblox发现了一种名为“Decoy Dog”的新型企业针对恶意软件工具包。Decoy Dog通过策略性的域名老化和DNS查询来帮助威胁参与者逃避标准检测方法，旨在在切换到协助网络犯罪操作之前与安全供应商建立良好的声誉。 Infoblox在4月初发现了这个工具包，作为其每天分析超过70亿个DNS记录以寻找异常或可疑活动的一部分。Infoblox报告说，Decoy Dog的DNS指纹在互联网的370万活跃域名中非常罕见和独特，这使其更容易识别和跟踪。Infoblox公司的研究人员在其报告中添加了Decoy Dog的域名，将其添加到其“可疑域”列表中，以帮助防御者、安全分析人员和有针对性的组织保护免受这种复杂威胁的伤害。Infoblox也分享了其公共GitHub存储库中的入侵指标，可以用于手动添加到阻止列表中。

详情

EvilExtractor恶意软件活动在欧洲和美国激增

日期: 2023-04-23
标签: 信息技术, 网络犯罪, Google, Microsoft

近期，安全研究人员注意到EvilExtractor数据窃取工具在欧洲和美国盗取用户敏感信息的攻击数量有所上升。工具售价为59美元/月，并且提供七个攻击模块，包括勒索软件、凭证提取和Windows Defender绕过等等。虽然它成为一种合法工具宣传，但据BleepingComputer相关人员透露，它主要是在黑客论坛上面向威胁行为者的。自2022年10月Cracked和Nulled论坛上首次售卖，其他安全研究人员根据攻击统计情况发现，2023年3月进行的附带恶意软件攻击中展示了EvilExtractor的有效性。Fortinet 报告称，网络犯罪分子将其用作野外“信息窃取”恶意软件。安全研究人员发现，这些攻击始于伪装成账户确认请求的钓鱼邮件，带有gzip压缩的可执行文件附件。如果受害者打开该文件，那么会将恶意程序植入其计算机。此后，攻击者便可下载多个可扩展组件进行数据窃取和加密勒索行为。

详情

BumbleBee恶意软件通过谷歌广告进行传播

日期: 2023-04-23
标签: 信息技术, 网络犯罪, Google Ads, Cisco, Google, Conti, BazarBackdoor, Cobalt Strike, BumbleBee

研究人员近期发现，Bumblebee 作为一种恶意软件加载器，可通过 Google Ads 和 SEO 污染等手段传播。攻击者通常会冒充流行软件如 Zoom、Cisco AnyConnect、ChatGPT 和 Citrix Workspace 等等，并搭配恶意软件实施进行攻击。Bumblebee 在 2022 年 4 月被发现，据称由 Conti 团队开发，旨在取代 BazarLoader 后门，用于获取初步进入网络和进行勒索软件攻击。2022 年 9月，在野外观察到了该恶意软件加载器的新版本，采用更加隐蔽的攻击链进行攻击。最近，Secureworks 发现了一个新的攻击活动，使用 Google 广告宣传被打包为恶意软件的流行应用程序，以向毫无戒心的受害者传输恶意软件加载器。这些被感染的设备成为发起勒索软件攻击的开端。

详情

Lazarus黑客通过虚假工作机会推送Linux恶意软件

日期: 2023-04-21
标签: 信息技术, 网络犯罪

据报道，网络安全公司ESET的研究人员发现了一起新的Lazarus攻击事件，这次攻击首次针对Linux用户使用恶意软件。这次攻击被称为"Operation DreamJob"，通过向工作在软件或DeFi平台上的人们发送虚假招聘信来进行社交工程攻击。据分析，这次攻击成功追踪到了北朝鲜黑客组织Lazarus。事实上，Lazarus还被怀疑负责近期对VoIP提供商3CX的供应链攻击。3CX确认开发环境被入侵后，Lazarus通过Trading Technologies的网络安装程序进行了恶意软件的植入。这次攻击是Lazarus继续使用针对LinkedIn用户的社交引诱新战术后的又一场胜利。

详情

Daggerfly APT以新的MgBot恶意软件瞄准非洲电信公司

日期: 2023-04-21
标签: 信息技术, 网络犯罪

网络安全公司Symantec发布警告称，APT组织Daggerfly，也被称为Evasive Panda和Bronze Highland，利用MgBot恶意软件框架的新插件，针对非洲电信组织发起攻击。这一攻击活动首次在2022年11月被发现，目前可能仍在持续。攻击者还利用了PlugX加载器，并滥用合法的AnyDesk远程桌面软件。Symantec表示，Daggerfly利用BITSAdmin和PowerShell等“存续工具”，下载并在受害机器上安装AnyDesk。攻击者开发并部署的插件具有多种信息收集功能，包括网络扫描器、Chrome和Firefox Infostealer、键盘记录器和Infostealer、活动目录枚举工具、密码转储程序、屏幕和剪贴板抓取程序、Outlook和Foxmail凭据窃取程序、音频捕获工具和进程观察脚本。这些插件的能力表明，攻击者的主要目标是信息收集。

详情

Play勒索软件使用了两个定制工具感染计算机

日期: 2023-04-20
标签: 信息技术, 恶意攻击

据 Symantec 公司爆料，勒索软件 Play 近期使用了两个定制的工具来在受感染网络内枚举所有用户和计算机，并复制操作系统通常会锁定的卷影副本服务（VSS）中的文件。其中一个被 Symantec 研究人员发现的工具叫 Grixba（Infostealer.Grixba），被用来枚举网络中的所有用户和计算机。攻击者使用这个 .NET infostealer 通过 WMI、WinRM、远程注册表和远程服务来列举软件和服务。该恶意软件会检查安全和备份软件的存在，以及远程管理工具等程序，将获取的信息保存在 csv 文件中，并压缩为 ZIP 文件以供威胁行动者手动输出。Play 勒索软件组使用 Costura 开发了 Grixba，这是一款.NET 开发工具，可将应用程序依赖项嵌入单个可执行文件中。这消除了程序及其依赖项分别部署的要求，使它更容易共享和部署 Grixba。

详情

黑客瞄准弱口令的微软SQL服务器部署Trigona勒索软件

日期: 2023-04-20
标签: 信息技术, 网络犯罪

黑客利用暴力破解或字典攻击攻击未安全配置、暴露在互联网上的微软SQL服务器，部署Trigona勒索软件，加密服务器中的所有文件。攻击者使用CLR Shell恶意软件收集系统信息，修改账户配置，并利用Windows Secondary Logon Service漏洞扩大权限，以将勒索软件作为服务启动。攻击者在服务器上安装和启动dropper恶意软件作为svcservice.exe服务，将Trigona勒索软件作为svchost.exe启动。此外，攻击者还配置勒索软件二进制程序以通过Windows自启动密钥在每次系统重启时自动启动。Trigona勒索软件在加密系统和部署勒索信息前，禁用系统恢复，并删除任何Windows Volume Shadow副本。这使得如果没有解密密钥，则无法恢复系统。Trigona勒索软件仅在蒙罗(Monero)加密货币下接受赎金支付。攻击者声称在加密文件之前窃取敏感文件并将文件上传到其黑暗网络泄漏站点。Trigona勒索软件还创建名为"how_to_decrypt.hta" 的勒索信息，其中包含攻击信息，指向Trigona Tor谈判网站的链接以及包含用于登录谈判网站所需的授权密钥的链接。

详情

黑客攻击了Point32Health，影响了200多万人保险服务

日期: 2023-04-20
标签: 卫生行业, 勒索攻击, Point32Health

服务超过2百万人的新英格兰健康保险公司Point32Health遭遇了勒索软件攻击，影响了其多个系统。该公司在一份声明中表示，“发现未经授权的对方后，为了谨慎起见，我们主动下线了某些系统以遏制威胁。我们已经通知执法机构和监管机构，并正在与第三方网络安全专家合作，对此次事件进行彻底调查和治理。”Point32Health在提供服务的五个州中，是马萨诸塞州第二大的保险商，此次事件不知泄露了哪些用户信息。

详情

勒索软件团伙滥用Process Explorer驱动程序停止安全软件

日期: 2023-04-20
标签: 信息技术, AuKill

攻击者使用名为AuKill的新型网络攻击工具来攻击BYOVD（Bring Your Own Vulnerable Driver）满足被攻击者需求的系统，使其失效，并在这些系统中植入后门和勒索软件。AuKill是一种能够运行于内核特权级别的系统驱动程序，攻击者在目标设备上投入由有效证书签名的合法驱动程序以达到无法被安全解决方案检测攻击的目的。Sophos X-Ops安全研究人员首次发现了该恶意软件，它会在与Microsoft的Process Explorer工具相同目录下释放一个名为procexp.sys的Windows漏洞驱动程序，以升级权限并连续多次探测和禁用安全进程和服务。自2023年以来，已经有多个版本的AuKill出现在野外，包括至少三个事件中使用AuKill攻击，并导致Medusa Locker和LockBit勒索软件感染。

详情

APT36黑客正在使用一种名为Poseidon的新Linux后门

日期: 2023-04-21
标签: 信息技术, poseidon

以巴基斯坦为基地的APT组织“透明部落”利用印度政府机构使用的两步验证（2FA）工具为诈骗手段，传递一种名为“波塞冬”的新型Linux后门。波塞冬是透明部落的二阶段有效负载恶意软件，可提供攻击者以各种方式劫持受感染主机的多种功能，包括记录按键、获取屏幕截图、上传和下载文件以及远程管理系统。安全研究人员发现，透明部落经常使用特洛伊化的“Kavach”软件实施钓鱼攻击，对印度政府机构、军事人员、防御承包商和教育机构进行攻击，下载类似于CrimsonRAT和LimePad的各种恶意软件窃取有价值的信息。最新的一场攻击则利用后门版本的Kavach瞄准印度政府机构的Linux用户，此举表明该APT组织试图将其攻击范围扩大到Windows 和Android生态系统以外。

详情

“Zaraza”恶意软件以窃取Chrome中的身份凭据为目标

日期: 2023-04-19
标签: 信息技术, zaraza, Chrome

Uptycs威胁研究团队的报告称，一种新的恶意代码Bot Zaraza通过Telegram作为其命令和控制(C2)机制，它可以从受害者的开启的浏览器中提取登录凭据，并将其保存到一个文件中，同时它还可以截取打开窗口的屏幕截图并以JPG文件格式保存。该恶意代码可以从38种网络浏览器中窃取凭据，包括Google Chrome、Microsoft Edge和Opera等。一旦恶意代码成功感染受害者的计算机，它就将信息发送到Telegram服务器，供潜在威胁行为者使用。

详情

QBot恶意软件通过PDF-WSF组合扩展初始访问策略

日期: 2023-04-19
标签: 信息技术, Qbot, PDF, Bashlite, Black Basta, QakBot

最近有多起QBot木马攻击事件，通过各种语言编写的恶意电子邮件传播，包括英语、德语、意大利语和法语。攻击者通过获取真实的商业信函，制作邮件诱骗受害者打开附加的PDF文件，并在文件中添加多层混淆，使其不易被安全工具检测到。此外，攻击者还使用回复邮件等方式，使邮件看起来更为真实可信，降低其可疑度。

详情

研究人员发现有第一个主要针对macOS的勒索软件

日期: 2023-04-19
标签: 信息技术, LockBit, macOS, Apple, Hive, Clop, Conti

著名的勒索软件团伙LockBit开发了针对macOS设备的恶意软件版本——这是一个重大的勒索软件团伙首次进入苹果的领域。这表明未来Mac的勒索软件攻击正在逐步增加。LockBit曾在多项高调攻击中扮演重要角色，其复杂的恶意交付使其成为最具追踪性的勒索软件。

详情

在60多个安卓应用程序中检测到了新的恶意软件Goldoson

日期: 2023-04-19
标签: 信息技术, 网络犯罪, 移动安全

一种名为Goldoson的 Android 恶意软件出现在包括 Google Play Store 在内的超过 60 款正版应用程序内。该恶意软件已被下载超过 1 亿次，而另一个拥有超过 800 万次安装的韩国应用商店也受到了影响。与此同时，这个恶意软件还可以收集用户设备的各种信息，并在用户不知情的情况下自动触发广告和点击欺诈。此外，该恶意软件还能够加载并显示Web页面，从而可能出现未授权的广告行为，应用程序的开发人员应当采取适当措施以保护用户免受此类恶意软件的攻击。

详情

MuddyWater利用SimpleHelp瞄准关键基础设施公司

日期: 2023-04-19
标签: 信息技术, MuddyWater, SimpleHelp

MuddyWater威胁行动者使用合法的SimpleHelp远程支持软件工具，以实现在受害设备上的持久性。Group-IB的新警告称，此次攻击中使用的软件没有被破解。相反，威胁行动者找到了直接利用该工具实施攻击的方法

详情

新型恶意软件“Domino”发现与FIN7集团的关联

日期: 2023-04-19
标签: 信息技术, 网络犯罪

据IBM报告，2022年10月以来，一种名为“Domino”的后门运作至今，揭示出Conti勒索软件组的前成员与FIN7的APT开发人员之间的合作关系。Domino可收集基本系统信息、将数据发送至其命令与控制（C&C）服务器，并执行加载器在受攻击的系统上部署最终的载荷。IBM发现，“Domino”代码与“FIN7”组先前归因为“Lizar”恶意软件重合。这两个恶意软件家族在功能、配置结构和机器人ID格式上也有相似之处。IBM表示，“Domino”在最近的攻击中开始使用“Dave”加载器，其与Conti/TrickBot组有联系。

详情

新的LockBit变体针对MacOS

日期: 2023-04-17
标签: 信息技术, 网络犯罪, Apple, TrickBot, LockBit Green, LockBit, Conti, BazarBackdoor, LockBit Black

LockBit勒索软件变种针对苹果设备发起攻击，是首个主要勒索软件家族瞄准苹果的变种。然而，LockBit的攻击范围仍侧重于Windows、Linux、VMWare ESXi。LockBit勒索软件最近的变种现在使用了Conti勒索软件的源代码，包括过去与LockBit有过互动的Conti家族二进制文件中使用的功能。LockBit一直在不断演变，成为一种高度进化的勒索软件家族，因此需要继续保持关于其检测和预防的讨论。建议加强网络安全防御，备份数据并定期检查备份数据的完整性以及运行最新的安全软件和操作系统。避免访问疑似垃圾邮件或未知来源的链接。

详情

前Conti成员和FIN7开发人员联手推出新的Domino恶意软件

日期: 2023-04-17
标签: 信息技术, 网络犯罪

前Conti勒索软件团伙成员已经与FIN7组织联手，在对企业网络的攻击中分发名为“Domino”的新型恶意软件。Domino是一个相对较新的恶意软件系列，由两个组件组成，一个命名为“Domino Backdoor”的后门程序，它又会生成一个“Domino Loader”，将信息窃取恶意代码注入到另一个进程的内存中。IBM的安全情报研究人员从2023年2月开始跟踪并监控该恶意软件Family，直到最近将发展制造该恶意代码的主要责任人归于与FIN7有关联的黑客组织。建议企业加强日常防护，更新安全软件，规范信息资产的数据备份策略，并提高员工安全意识，从正规渠道下载需要的应用程序，不要安装来源不明的程序。

详情

以色列间谍软件供应商QuaDream将关闭运营

日期: 2023-04-17
标签: 信息技术

据报道，以色列间谍软件供应商QuaDream被曝在 Citizen Lab 和微软披露其黑客工具集不到一周后关闭业务。QuaDream的间谍框架被称为REIGN，曾被用于攻击北美、中亚、东南亚、欧洲和中东的记者、政治反对派和非政府组织工作者，能够秘密收集敏感信息，包括音频、图片、文件和位置。在QuaDream关闭业务消息曝光后，该公司的背景和存在仍有待探讨，而其他类似以色列的PSOA公司（如NSO Group和Candiru）的存在也令人担忧。建议注意安装最新的系统补丁和杀毒软件，定期检查和备份数据，以避免受到类似攻击的危害。

详情

新的QBot银行木马活动劫持商业电子邮件传播恶意软件

日期: 2023-04-17
标签: 金融业, 信息技术, 网络犯罪, Microsoft, XWorm, Cobalt Strike, Agent Tesla, QakBot, Bashlite, XRat

据卡巴斯基实验室透露，QBot 恶意软件通过篡改商业通信欺骗受害者安装恶意软件。此次活动从2023年4月4日开始，主要针对德国、阿根廷、意大利、阿尔及利亚、西班牙、美国、俄罗斯、法国、英国和摩洛哥的用户。QBot 是一种银行木马，自2007年以来一直活跃。它可以窃取 Web 浏览器中的密码和 cookie，并用作注入下一阶段有效负载（例如 Cobalt Strike 或勒索软件）的后门。建议用户需要更加小心谨慎地避免点击可疑网站和附件。

详情

0x04   数据安全

DC Health Link因错误配置而造成数据泄露

日期: 2023-04-21
标签: 政府部门, 卫生行业, DC Health Link

据来自华盛顿特区健康保险交易所的高级行政人员表示，最近发生的个人信息数据泄露事件是由人为错误造成的。这起数据泄露事件最早在3月初被发现。此次安全事故中使得未知的黑客窃取了两份包含客户信息的报告，其中包括17名众议员及其43位家属、585名众议院职员及其231名家属的数据。

详情

美国CFPB重大数据泄露

日期: 2023-04-21
标签: 金融业, CFPB

美国政府机构消费者金融保护局（CFPB）爆出重大数据泄露事件，一名员工将25.6万名消费者的个人信息发送至个人电子邮件账户。有超过50家金融机构的敏感信息有可能也被牵涉进此次泄露事件。该机构已确认涉及此次事件的机构有七家，但仍在评估受影响个人的风险程度。虽然该员工的任职已经被终止，并被要求删除电子邮件并提供证明，但该员工尚未响应。业内专家指出，该事件具有较高的数据隐私和安全风险，CFPB需要认真反思数据安全和员工培训。

详情

Capita证实最近遭受了网络攻击并造成数据泄露

日期: 2023-04-21
标签: 信息技术, 网络犯罪, Microsoft, Black Basta

英国专业的外包公司Capita于4月14日发布了一份更新，承认黑客从其系统中窃取了数据。这家公司发现，黑客借助安全专家的帮助，访问了其大约4%的服务器基础设施，并窃取了托管在被侵犯系统上的文件。该公司将继续调查此次网络事件，如果有影响客户、供应商或同事的证据，将及时提供更新。关于黑客行为的指控和勒索软件的出现，Capita并没有对外评论

详情

0x05   网络攻击

英国Capita承认数据在网络攻击中被盗

日期: 2023-04-23
标签: 信息技术, Microsoft, Black Basta

2023年4月，为英国政府服务的外包巨头Capita，承认其系统上月遭到黑客入侵并窃取数据。公司最新的调查发现，黑客在3月22日左右侵入了网络，这意味着他们从Capita“打断”此次突袭前，已经访问该系统约10天。这次袭击影响了Capita服务器业务的大约4％，并导致数据被窃取。公司表示：“目前有一些有限的数据外泄证据来自受影响服务器百分之几，其中可能包括客户、供应商或同事的数据。”Capita承诺将“确保”涉及潜在数据外泄的客户得到保障。Capita公司未指明受影响的客户数量，但承诺已恢复所有受影响的系统。

详情

“GhostToken”可以永久感染受害者账户

日期: 2023-04-21
标签: 信息技术, 移动安全, Google, Meta Platforms

名为"GhostToken"的漏洞发现于Google的云平台中，黑客可以利用这个漏洞隐藏一个无法移除的恶意应用程序到受害人的谷歌账户中，导致账户处于 永久的、不可监测 的感染状态。与此同时，攻击者也能在受害者的 Google 账户上随意实施各种恶意活动，比如阅读受害者的 Gmail 账户、查看 Google Drive、Google Photos 中的文件、浏览 Google Calendar、在 Google Maps 上跟踪位置等等。攻击者还可以用这些信息进行欺骗和钓鱼攻击，甚至让人身陷险境。漏洞已经被Google修复。

详情

3CX供应链攻击与金融交易应用程序漏洞有关

日期: 2023-04-21
标签: 金融业, 3CX

由视频会议软件制造商所受补给链攻击，其实初始目标并非3CX，而是高性能交易软件供应商Trading Technologies。3CX的调查人员请来Google Cloud旗下Mandiant，发现了这种连锁攻击事件。朝鲜的Lazarus组织在3CX DesktopApp中传递恶意软件，即使安全软件协助确认了Windows和Mac版本的3CX软件存有问题，但3CX的用户依然受害。调查表明，Lazarus组织需要对3CX的构建环境进行广泛的访问才可能实现这类攻击。Mandiant发现这个攻击源是Trading Technologies，这家公司的交易软件X_TRADER含有一个后门安装程序，可以在3CX员工下载后进一步扩大影响。多重证据表明，还有更多组织可能下载了含毒软件的X_TRADER。安全厂商Eset发布的指向Lazarus组织的战役“梦寐行动”也使用了类似的C2网络基础设施。

详情

波兰国防部针对最近的一场虚假信息攻击发出警告

日期: 2023-04-20
标签: 国际组织, 政府部门, 恶意攻击

波兰国防部周三发布警告称，最近一波虚假信息攻击行动是由叙利亚黑客组织Ghostwriter所策划，旨在破坏波兰与其盟友，包括美国，乌克兰和北约国家的关系，导致社会混乱。袭击中黑客通过新注册的mon-gov[.]com域名向波兰公民发送虚假短信、电子邮件和Telegram信息，声称波兰将向乌克兰派遣部队。这一活动的发现与波兰强制军事技能考试开始的第二天时间相巧合，并被认为是未经比例的快速归因。波兰国防部声称Ghostwriter在乌克兰战争爆发后就一直活跃在波兰，并试图破坏波兰与盟友之间的关系，目前尚未确定攻击有多少受害者，警方呼吁公众提高警惕。

详情

支付巨头NCR遭勒索软件攻击

日期: 2023-04-17
标签: 信息技术, NCR Corporation, Veritas, BlackCat

网络安全研究员Dominic Alvieri在4月15日注意到，名为BlackCat、Alphv和Noberus的勒索软件集团对其基于Tor的泄露网站的攻击负有责任，但该帖子很快被黑客删除。4月15日，该公司表示，其一部分酒店客户的有限数量的Aloha辅助应用程序受到了单个数据中心中断的影响。

详情

支付处理平台NCR遭受勒索软件攻击

日期: 2023-04-17
标签: 金融业

支付处理平台NCR的Aloha平台于4月13日遭受勒索软件攻击。该攻击针对公司的餐饮及酒店客户，导致一部分用户遭受停电。NCR并未透露攻击者身份，但研究员Dominic Alivieri注意到BlackCat/ALPHV勒索软件团伙曾声称对此次攻击负责。BlackCat属于勒索软件即服务（RaaS）攻击模式，对系统中的数据进行破坏，然后向受害者提出赎金要求。此次攻击将POS系统的安全问题再度聚焦。据Bugcrowd CEO Dave Gerry表示，这是应当加强供应链安全和连续性的最新反复提醒。

详情

0x06   安全漏洞

Mint Sandstorm组织已掌握在组织应用补丁之前突袭的能力

日期: 2023-04-23
标签: 信息技术

据微软称，一个被称为Mint Sandstorm的高级持续性威胁（APT）组织已经掌握了在组织应用补丁之前抓住概念验证漏洞并发动攻击的能力。微软表示，Mint Sandstorm是由数个与伊朗革命卫队情报机构关联的子组成部分的伊朗政府支持的APT组，专门攻击高价值目标并窃取敏感信息。该组织已经将目标从侦察转移至直接攻击美国的关键基础设施，包括港口、能源公司、交通系统以及“一家主要的美国公用事业和天然气企业，可能是为了支持报复性的破坏性网络攻击”。攻击始于2021年末，持续至2022年中旬，自那时以来的节奏和范围稳步增加。微软研究人员表示，尽管该组织迅速将新的PoC整合进其纵向攻击模型中，但Mint Sandstorm仍继续利用过期的漏洞，例如未打补丁的设备上的Log4Shell漏洞。微软还推出了APT新命名法规，将天气事件用于表示其与国家相关联的家族名称，Sandstorm指的是伊朗，Blizzard指的是俄罗斯，Sleet指的是朝鲜，Typhoon指的是与中国有关的APT。

详情

“GhostToken”漏洞可能永久暴露谷歌用户的数据

日期: 2023-04-23
标签: 信息技术, 移动安全, Google

近日，Astrix的安全研究小组发现了名为“GhostToken”的零日漏洞，可让攻击者将授权的第三方应用转换为恶意木马，并获得无法删除的对受害者Google账户的访问权限，导致个人数据长期受到威胁。Astrix的研究人员表示，攻击者可以利用GhostToken隐藏恶意应用，使其无法从Google账户中移除。同时，攻击者通过获取控制受害者账户时获得的刷新令牌，能够访问受害者的账户，并再次隐藏应用，恢复其不可删除状态。这极大地危害了用户数据安全，如未经允许，黑客可读取受害者的私人邮件、打开Google云服务等。任何Google账户都可能成为GhostToken的潜在目标，包括Google Workspace的30亿用户。Google已于4月7日发布了补丁。此外，安全研究人员提醒，第三方集成是云安全的一个重要问题，组织需要进行第三方风险管理。

详情

思科的已经观察到Jaguar Tooth攻击中的危险行为

日期: 2023-04-21
标签: 信息技术, 网络犯罪

思科威胁情报和研究部门思科 Talos 的威胁情报和拦截主管马特奥尔尼表示，他们观察到流量操纵、流量复制、隐藏配置、路由器恶意软件、基础设施侦察和主动削弱防御在被 Jaguar Tooth 攻击的网络上。

对于 Olney 和其他人来说，俄罗斯黑客设法从一个已知的、持续了六年的路由器漏洞中获得的收益突显了当组织未能保持其补丁管理处于领先地位时可能带来的巨大危害。

详情

俄罗斯APT28利用路由器漏洞攻击美国和欧盟政府机构

日期: 2023-04-20
标签: 信息技术, 网络犯罪

APT28利用Cisco IOS和IOS XE操作系统软件来攻击欧美政府机构，在受害机构中部署后门，其中包括约250个乌克兰受害者。APT28的攻击者利用SNMP远程访问设备、穿透网络、利用弱口令，甚至开发了Jaguar Tooth恶意软件，将其植入未及时更新的路由器。

详情

Fortra公开GoAnywhere MFT零日攻击的调查结果

日期: 2023-04-20
标签: 信息技术, 网络犯罪, Fortra, Clop

安全公司Fortra注意到其客户的GoAnywhere MFTaaS实例出现异常活动，调查发现该产品被利用的未知漏洞，于1月30日停止了云服务。调查发现，从1月28日到1月30日，攻击者利用此漏洞在某些客户环境中创建了用户帐户，并使用这些帐户下载MFT环境中的文件，因此此问题的利用早在Fortra意识到之前已经存在两个星期。此外，攻击者还使用这些新帐户在一些客户环境中安装了其他工具。Fortra从其调查中得出结论，并回顾了其安全实践，以指导客户如何保安其实例和安全配置他们的GoAnywhere MFT。建议重置凭据，包括在所有外部商业合作伙伴/系统中。此外，如果公开的GoAnywhere MFT实例托管了环境中其他系统用户的凭据，则应撤销这些凭据以防止后续攻击或横向网络移动。

详情

黑客积极利用PaperCut服务器中的关键RCE漏洞

日期: 2023-04-21
标签: 信息技术, PaperCut

网络打印管理软件 PaperCut MF/NG 发现两个高、危漏洞，攻击者正在利用漏洞攻击易受攻击的服务器。报告称，所有 OS 平台上 PaperCut MF/NG 版本为 8.0 或更高的所有应用程序和站点服务器的未经身份验证的远程代码执行漏洞（CVE：ZDI-CAN-18987/PO-1216）和操作服务器上 PaperCut MF/NG 版本 15.0 或更高版本的所有操作系统平台的未经身份验证的信息披露漏洞（CVE：ZDI-CAN-19226/PO-1219）。2023 年 3 月其发布更新公告，2023 年 4 月 18 日该公司发现攻击者已经利用该漏洞实施攻击。建议使用受影响的版本的用户升级至 PaperCut MF 和 PaperCut NG 版本 20.1.7、21.2.11 和 22.0.9 或更高版本。 PaperCut 已经拒绝为 19 以下版本提供安全更新，建议使用旧版本的公司购买更新的许可证。建议管理员检查漏洞并申请升级。

详情

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x08   时间线

2023-04-17 360CERT发布安全周报