报告编号：CERT-R-2023-142

报告来源：360CERT

报告作者：360CERT

更新日期：2023-05-08

0x01   事件导览

本周收录安全热点69项，话题集中在安全漏洞、恶意程序、网络攻击，主要涉及的黑客组织有：Charming Kitten等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

'Tomiris' APT 使用 Turla 恶意软件迷惑研究人员

日期: 2023-04-25
标签: 信息技术

网络安全公司卡巴斯基的研究员发现，一些先前曾与俄罗斯高级持续性威胁（APT）组织Turla有关的攻击实际上是由一个完全不同的组织Tomiris进行的。尽管Tomiris的核心成员有可能和Turla有合作，使用了Turla的一些恶意工具KopiLuwak和TunnusSched，但后者和前者的目标和攻击方式都存在较大的差异。尤其是Tomiris重点针对独联体（CIS）政府机构进行攻击，而Turla则从事更广泛的军事、政府、外交、科技和研究机构的黑客攻击。分辨不同威胁组织能够有助于企业更好地防御。对于APT的防护，卡巴斯基建议企业优化攻击面、加强补丁管理、实现多重身份验证、建立灵敏的检测机制和应急响应预案。

详情

BlueNoroff组织使用“RustBucket”恶意软件针对macOS设备

日期: 2023-04-25
标签: 信息技术, APT舆情

Jamf威胁实验室发现了一个macOS恶意软件家族，它与命令和控制(C2)服务器通信以下载和执行各种有效载荷。Jamf威胁实验室以“RustBucket”的名义跟踪和防范这个恶意软件家族，并怀疑它是由朝鲜政府支持的威胁组织BlueNoroff所为。这种归因是因为与卡巴斯基博客中记录的Windows端攻击有相似之处，包括攻击流程和社会工程模式。

详情

Evasive Panda利用定制后门MgBot发起新的恶意软件攻击

日期: 2023-04-27
标签: 信息技术

2023年4月26日，研究人员发现，使用遗留版的网络发现协议SLP的多种企业产品存在一个新漏洞，攻击者可以利用其放大分布式拒绝服务攻击（DDoS）2,200倍，是有记录以来放大效应最大的攻击之一。SLP是一个已经过时的网络发现协议，仍被路由器、虚拟机、打印机和其他技术使用。CVE-2023-29552是这个漏洞的漏洞编号，SLP因其没有认证方式而被曝出存在潜在的黑客利用风险。虽然SLP已经被现代选项如UPnP、mDNS/Zeroconf和WS-Discovery替代，但为数不少的商业产品仍提供该协议，包括隶属于华为和联想的设备。报道建议，将其禁用在所有在不受信任网络上运行的系统上，或采取其他措施强化访问控制。

详情

Clop和LockBit勒索软件团伙利用PaperCut服务器上的漏洞窃取企业数据

日期: 2023-04-27
标签: 信息技术, 网络犯罪

2023年4月26日，微软指认Clop和LockBit勒索软件团伙利用PaperCut服务器上的漏洞窃取企业数据。在PaperCut应用服务器中修复的两个漏洞可使远程攻击者进行未经身份验证的远程代码执行和信息泄露。攻击者利用这些漏洞从4月13日起入侵网络，部署TrueBot恶意软件以及后期采用Cobalt Strike Beacon进行横向扩展，并使用MegaSync文件共享应用程序窃取数据。PaperCut是一款打印管理软件，兼容所有主要的打印机品牌和平台，并被大型公司、政府机构和教育机构使用。微软建议管理员尽快应用可用补丁来避免其他威胁者利用这些漏洞。

详情

Linux版本的RTM Locker勒索软件针对VMware ESXi服务器

日期: 2023-04-28
标签: 信息技术, 网络犯罪

研究人员发现，RTM Locker是最新的针对企业的勒索软件操作，该勒索软件部署了一个针对VMware ESXi服务器上的虚拟机的Linux加密器。该组织最初于2015年活跃于金融欺诈领域，一直在散发自定义的银行木马以窃取受害者的资金。 这个月，网络安全公司Trellix报道称，RTM Locker已经启动了Ransomware-as-a-Service（Raas）操作，并开始招募联盟伙伴，其中包括前Conti网络犯罪团伙的人员。RTM操作员正在黑客论坛上推销RaaS。RTM Locker的Linux加密器专门用于攻击VMware ESXi系统。加密程序将首先通过以下命令收集正在运行的虚拟机列表，然后尝试通过“强制性”杀死所有运行的虚拟机来加密并锁定整个网络系统。该公司发布了许多随机加密“Ransomeware”文件并威胁企业，称在48小时内联系恢复数据服务以进行付款。

详情

针对PaperCut服务器的攻击与Clop、LockBit勒索软件集团有关

日期: 2023-04-28
标签: 信息技术, 网络犯罪

2023年4月26日，微软指控最近对流行PaperCut服务器的攻击与Clop和LockBit勒索软件组有关，后者利用PaperCut的NG/MF打印管理产品中的严重漏洞窃取敏感企业数据。据微软称，Lace Tempest运行为Clop勒索软件联盟，早在4月13日即已将PaperCut漏洞整合到攻击中。在被观察到的攻击中，Lace Tempest运行多个PowerShell命令以传递TrueBot DLL，与C2服务器连接，尝试窃取LSASS凭据，并将TrueBot有效载荷注入conhost.exe服务。虽然微软的归因增加了一个有趣的变化，但在这个难题的开发时间表中，更有趣的部分是威胁行为者对此问题的利用时间线。此攻击已致近1,800个暴露在互联网上的服务器受到影响。PaperCut公司早在3月初发布了相应的补丁，并在4月19日承认紧急漏洞已被“野外”利用，并建议安全团队升级到最新版本。漏洞已在PaperCut MF和PaperCut NG版本20.1.7、21.2.11和22.0.9及其以后版本中修复。

详情

下载量为3500万的Android Minecraft克隆版用广告软件感染用户

日期: 2023-04-28
标签: 信息技术, 商务服务, Google, HiddenAds

谷歌Play上的一组38款《我的世界》山寨游戏感染了安卓广告软件“HiddeAdds”，暗中加载广告以为操作者产生收益。全球约3500万安卓用户下载了这些带有广告软件的仿Minecraft游戏，主要用户在美国、加拿大、韩国和巴西。这些用户在玩游戏时没有注意到背景中进行的恶意广告活动，因此感受不到过多的电量、数据和网络流量消耗。安全公司McAfee发现了这个广告软件组合，向应用程序防御联盟报告后，商店已经将它们都下架了。McAfee的报告列出了最受欢迎的几款应用程序，请安卓用户主动手动删除。病毒广告软件可能会影响手机性能、危及用户隐私甚至导致系统漏洞。

详情

Facebook破坏了新的NodeStealer信息窃取恶意软件的恶意行动

日期: 2023-05-04
标签: 信息技术, 文化传播, Meta, NodeStealer

Facebook发现了一种名为“NodeStealer”的新型信息窃取恶意软件，分发在Meta上，攻击者可利用该软件窃取浏览器cookie，以劫持Facebook、Gmail、Outlook等平台上的账号。这种方法已经成为越来越流行的策略，因为它允许攻击者在不必窃取凭据或与目标进行交互、同时绕过两步验证保护的情况下劫持账户。Facebook在一篇新的博客文章中解释称，“NodeStealer”是一种JavaScript编写的恶意软件，通过Node.js执行。Facebook的工程师在2023年1月底第一次发现了该软件，将其归因于越南的威胁行为者。Facebook在博客文章中透露，它在分发活动的早期就发现了“NodeStealer”，在其发布两周后就进行了破坏，并帮助受影响的用户恢复了其账户。

详情

一名联邦法官允许@Google删除与CryptBot信息窃取恶意软件分发相关的当前和未来域名。

日期: 2023-05-01
标签: 信息技术, CryptBot

一名联邦法官允许谷歌关闭与CryptBot信息窃取恶意软件分发有关的当前和未来域名。4月25日，纽约南区公开了谷歌针对恶意软件分销商的民事诉讼，文件显示，该恶意软件估计在过去一年中感染了约67万台计算机。该恶意软件的目标是Google的Chrome网络浏览器，以窃取用户的私人数据。谷歌的Mike Trinh和Pierre-Marc Bureau在周三的博客中写道，“针对CryptBot的恶意软件分销商的这起诉讼表明了我们保护用户免受网络犯罪生态系统各个层次的承诺。”越来越多的ISP可能不得不承担过滤任何恶意流量的法律责任。根据谷歌在2021年12月发布的声明，成功与行业伙伴合作瓦解了感染了100万设备的Glupteba僵尸网络。

详情

0x04   数据安全

关键基础设施组织在 3CX 漏洞中受到进一步影响

日期: 2023-04-25
标签: 信息技术, 3CX, Lazarus Group

2023年4月下旬，Symantec的研究人员发现，就在一个月前，与朝鲜有联系的APT黑客组织Lazarus在一次供应链攻击中针对3CX进行攻击，现在两家基础设施组织和两家金融交易公司也遭受了同样的攻击。最初影响了3CX的是供应链妥协问题，即“通过3CX合法软件的木马版本传播恶意软件，可从其网站下载。”这次攻击导致客户下载公司的视频通话软件的恶意版本。据悉，这两家遭受影响的基础设施组织在电力和能源部门，分别位于美国和欧洲，攻击背后可能是有经济利益驱动的，因为若是重要的组织现在受到攻击，未来可能会进一步被攻击利用。Symantec的安全响应主管Eric Chien表示，在去年的9月至11月期间发生的袭击，有待进一步调查。

详情

Capita承认数据在网络攻击中被盗

日期: 2023-04-25
标签: 信息技术, Microsoft, Black Basta

2023年4月下旬，英国的政府外包公司Capita承认，在上个月遭到了黑客入侵和数据窃取，因此已经遭受了一定程度的影响。该公司的最新调查结果显示，黑客于3月22日左右入侵了其网络，而Capita直到3月31日才“中断”了这次袭击。此次攻击影响了Capita约4%的服务器存储空间，该公司确认了数据被窃取了。Capita是英国最大的商业外包服务提供商之一，运营在教育、医疗、政府和金融等市场，拥有超过50,000名员工和价值65亿英镑的公共部门合同。黑客組織Black Basta声称从Capita窃取了客户的银行账户信息、护照信息和实际地址等，并在其网站上分享了相关文件，迫使Capita支付赎金才会销毁相关数据和信息。Capita并没有公开回应这些指控。

详情

TMobile遭到第二次数据泄露

日期: 2023-05-03
标签: 信息技术, 居民服务, T-Mobile, T-Mobile US, Google

美国第二大无线运营商T-Mobile今年发生了两起数据泄露，公司向受影响的客户道歉，并表示正在继续加强信息安全系统的改进。最新的泄露时间为2月24日至3月30日，共影响836名客户，包括个人详细信息、账户信息和PIN码。跟1月份泄露事件相比，数据量较小，但是这是该公司自2018年以来发生的第9起数据泄露事件之一。同时也代表了过去几个月针对电信公司攻击的飙升。公司表示已经采取多种措施避免未授权访问，但是认识到需要继续努力提高安全性。

详情

0x05   网络攻击

英国Capita承认数据在网络攻击中被盗

日期: 2023-04-24
标签: 信息技术, Microsoft, Black Basta

2023年4月，为英国政府服务的外包巨头Capita，承认其系统上月遭到黑客入侵并窃取数据。公司最新的调查发现，黑客在3月22日左右侵入了网络，这意味着他们从Capita“打断”此次突袭前，已经访问该系统约10天。这次袭击影响了Capita服务器业务的大约4％，并导致数据被窃取。公司表示：“目前有一些有限的数据外泄证据来自受影响服务器百分之几，其中可能包括客户、供应商或同事的数据。”Capita承诺将“确保”涉及潜在数据外泄的客户得到保障。Capita公司未指明受影响的客户数量，但承诺已恢复所有受影响的系统。

详情

X_Trader供应链攻击影响美国和欧洲的关键基础设施组织

日期: 2023-04-25
标签: 政府部门, APT舆情

X_Trader软件供应链攻击影响的单位比3CX还多。迄今为止，赛门铁克的初步调查发现，受害者中有两家能源行业的关键基础设施组织，一家在美国，另一家在欧洲。除此之外，另外两个涉及金融交易的组织也遭到攻击。正如Mandiant报道的那样，木马化的X_Trader软件是导致3CX入侵事件的原因。由于此次攻击，3CX的软件遭到入侵，许多客户无意中下载了该公司语音和视频通话软件DesktopApp的恶意版本。X_Trader供应链攻击似乎是出于经济动机，因为X_Trader的开发商Trading Technologies是促进期货交易的，包括能源期货。众所周知，朝鲜赞助的攻击者会从事间谍活动和出于经济动机的攻击行动。

详情

研究人员劫持流行的Packagist PHP包以获得工作机会

日期: 2023-05-04
标签: 信息技术, PHP

一位假名为“neskafe3v1”的研究人员劫持了软件包注册表网站Packagist上超过14个软件包，这些软件包的安装量多达5亿次。这个研究人员声称他只是希望通过这种方式获得一份工作，而且他似乎相当自信这会奏效。Packagist是主要的PHP软件包注册表，其中翻译了许多来自GitHub的开源软件包。这些安装程序可以通过Composer工具安装在开发人员的计算机上。研究人员通过劫持与这些软件包相关的元数据并引导为自己的伪装GitHub上的库目标，以获得广泛的安装和影响。

详情

无人机护目镜制造商声称固件遭到破坏后遭到“勒索软件”攻击

日期: 2023-05-04
标签: 信息技术, Orqa

制造FPV飞行眼镜的Orqa声称，一名承包商会将恶意代码引入设备固件，以作为设计用于砖化设备的定时炸弹。 Orqa表示，由日期/时间功能引起的固件错误是问题的根源。周六早些时候，该公司开始收到用户报告，称他们的FPV.One V1飞行眼镜进入了开始引导程序模式，并且变得无法使用。几个小时后，该公司透露，受影响的设备在开机时出现砖化问题，该问题是“由勒索软件时间炸弹导致的，几年前一名贪心的前承包商在我们的引导程序中秘密种植了该勒索软件，他试图从公司中提取高额赎金。”Orqa警告客户不要安装非官方固件，经过Beta测试后的正式版本预计将在当天晚些时候发布。

详情

0x06   安全漏洞

“GhostToken”漏洞可能永久暴露谷歌用户的数据

日期: 2023-04-24
标签: 信息技术, 移动安全, Google

近日，Astrix的安全研究小组发现了名为“GhostToken”的零日漏洞，可让攻击者将授权的第三方应用转换为恶意木马，并获得无法删除的对受害者Google账户的访问权限，导致个人数据长期受到威胁。Astrix的研究人员表示，攻击者可以利用GhostToken隐藏恶意应用，使其无法从Google账户中移除。同时，攻击者通过获取控制受害者账户时获得的刷新令牌，能够访问受害者的账户，并再次隐藏应用，恢复其不可删除状态。这极大地危害了用户数据安全，如未经允许，黑客可读取受害者的私人邮件、打开Google云服务等。任何Google账户都可能成为GhostToken的潜在目标，包括Google Workspace的30亿用户。Google已于4月7日发布了补丁。此外，安全研究人员提醒，第三方集成是云安全的一个重要问题，组织需要进行第三方风险管理。

详情

Mint Sandstorm组织已掌握在组织应用补丁之前突袭的能力

日期: 2023-04-24
标签: 信息技术

据微软称，一个被称为Mint Sandstorm的高级持续性威胁（APT）组织已经掌握了在组织应用补丁之前抓住概念验证漏洞并发动攻击的能力。微软表示，Mint Sandstorm是由数个与伊朗革命卫队情报机构关联的子组成部分的伊朗政府支持的APT组，专门攻击高价值目标并窃取敏感信息。该组织已经将目标从侦察转移至直接攻击美国的关键基础设施，包括港口、能源公司、交通系统以及“一家主要的美国公用事业和天然气企业，可能是为了支持报复性的破坏性网络攻击”。攻击始于2021年末，持续至2022年中旬，自那时以来的节奏和范围稳步增加。微软研究人员表示，尽管该组织迅速将新的PoC整合进其纵向攻击模型中，但Mint Sandstorm仍继续利用过期的漏洞，例如未打补丁的设备上的Log4Shell漏洞。微软还推出了APT新命名法规，将天气事件用于表示其与国家相关联的家族名称，Sandstorm指的是伊朗，Blizzard指的是俄罗斯，Sleet指的是朝鲜，Typhoon指的是与中国有关的APT。

详情

英特尔CPU易受新的瞬态执行侧通道攻击

日期: 2023-04-25
标签: 信息技术

网络安全公司卡巴斯基的研究员发现，一些先前曾与俄罗斯高级持续性威胁（APT）组织Turla有关的攻击实际上是由一个完全不同的组织Tomiris进行的。尽管Tomiris的核心成员有可能和Turla有合作，使用了Turla的一些恶意工具KopiLuwak和TunnusSched，但后者和前者的目标和攻击方式都存在较大的差异。尤其是Tomiris重点针对独联体（CIS）政府机构进行攻击，而Turla则从事更广泛的军事、政府、外交、科技和研究机构的黑客攻击。分辨不同威胁组织能够有助于企业更好地防御。对于APT的防护，卡巴斯基建议企业优化攻击面、加强补丁管理、实现多重身份验证、建立灵敏的检测机制和应急响应预案。

详情

互联网协议漏洞可能会被用来发起“大规模”拒绝服务 (DoS) 攻击

日期: 2023-04-26
标签: 信息技术

Bitsight 和 Curesec 发现了一个“严重”漏洞，该漏洞可能会引发拒绝服务攻击，从而导致服务关闭。该漏洞存在于服务定位协议中，研究人员发现了该协议与互联网连接的 54,000 个实例。该协议不适用于公共互联网。攻击者可以从与受害者的 IP 地址相对应的欺骗性 IP 地址发送请求，从而引发攻击，其中服务器以比初始请求大得多的响应回复受害者的 IP 地址。研究人员警告说，目标企业“可能需要大量资源来实时缓解攻击”。受影响的产品包括 IBM Integrated Management Module、Konica Minolta 打印机、Planex Routers、Supermicro IPMI 和 VMware ESXi Hypervisor。

详情

新的Microsoft 365中断导致Exchange Online连接问题

日期: 2023-04-26
标签: 信息技术, Microsoft 365, Microsoft

Microsoft 正在调查影响北美 Exchange Online 客户的问题。该事件中断了用户的连接和登录访问，并影响了 Outlook 邮箱。该公司已建议客户前往 Microsoft 365 管理中心，在标题为“EX546390”的标题下跟踪进展情况，其中提供的具体细节很少，反映出这似乎是一个持续和发展中的问题。微软今年早些时候经历了几次中断，包括最近一次阻止客户登录他们的帐户，以及 1 月份由路由器数据包转发问题引起的问题。

详情

“GhostToken”漏洞可能永久暴露谷歌用户的数据

日期: 2023-04-26
标签: 信息技术, Google

GhostToken是一种零日漏洞，黑客能将授权的第三方应用转化为恶意木马，从而获得无法移除的访问受害者Google账户，导致其个人数据无限期地暴露。黑客可以利用GhostToken隐藏恶意应用，使受害者难以察觉，账户中被瞒住的应用可以无限期存在，即使受害者有所怀疑，也只能建立一个新的谷歌帐户。 该漏洞造成的潜在威胁范围广泛，包括了Google Workspace3十亿用户。Google在4月7日发布了补丁，改进OAuth应用程序中“待删除”的令牌，并将其添加到用户应用程序管理屏幕中。安全专家认为，这是一种“已知攻击技术”，但被滥用的功能已有一段时间存在。该漏洞再次提醒人们需关注云安全问题及第三方整合。

详情

思科披露服务器管理工具XSS零日漏洞

日期: 2023-04-27
标签: 信息技术

2023年4月26日，思科披露了一项针对公司Prime Collaboration Deployment (PCD)软件的零日漏洞。从2023年5月，它的web管理界面未能正确验证用户提供的输入，可以被攻击者用于远程发起跨站脚本攻击。成功利用漏洞需要用户交互，攻击者可以通过诱骗接口用户点击一个特制的链接，执行任意脚本代码在受影响的接口上下文中或访问敏感的基于浏览器的信息。目前该漏洞尚未发布安全更新，但思科将在下个月发布。关于漏洞影响的信息已公布，若未检测到潜在威胁，目前没有可以消除的攻击向量解决方案。

详情

PrestaShop修复了允许任何后端用户删除数据库的错误

日期: 2023-04-27
标签: 信息技术

2023年4月下旬，电子商务平台 PrestaShop 发布了新版，解决了一个严重的漏洞，该漏洞允许任何后台用户无需权限即可写入、更新或删除 SQL 数据库。该漏洞影响所有版本号为 8.0.3 及更早的 PrestaShop 安装。这个漏洞特别危险，因为后台用户能够管理网站的许多方面，包括销售、订单等等。虽然需要拥有用户帐户来利用这个漏洞，但是网上商店通常有大量员工处理订单，通过此漏洞，可能存在风险使不良员工从中获利。此外，它还为黑客开辟了更大的攻击面，攻击者可以窃取 PrestaShop-based 电子商务站点的任何用户帐户，并可能注入恶意代码和后门，或访问 SQL 数据库。PrestaShop 已发布新版本 8.0.4 和 1.7.8.9 来解决该漏洞。

详情

严重的SLP漏洞可将DDoS攻击放大2200次

日期: 2023-04-27
标签: 信息技术

2023年4月下旬，研究人员发现，使用遗留版的网络发现协议SLP的多种企业产品存在一个新漏洞，攻击者可以利用其放大分布式拒绝服务攻击（DDoS）2,200倍，是有记录以来放大效应最大的攻击之一。SLP是一个已经过时的网络发现协议，仍被路由器、虚拟机、打印机和其他技术使用。CVE-2023-29552是这个漏洞的漏洞编号，SLP因其没有认证方式而被曝出存在潜在的黑客利用风险。虽然SLP已经被现代选项如UPnP、mDNS/Zeroconf和WS-Discovery替代，但为数不少的商业产品仍提供该协议，包括隶属于华为和联想的设备。报道建议，将其禁用在所有在不受信任网络上运行的系统上，或采取其他措施强化访问控制。

详情

VMware修复了工作站、Fusion软件中的多个漏洞

日期: 2023-04-27
标签: 信息技术

2023年4月26日，VMware已发布更新，解决其Workstation和Fusion软件的多个安全漏洞，其中最为严重的漏洞可使本地攻击者实现代码执行。该漏洞是CVE-2023-20869，描述为堆栈缓冲区溢出漏洞，驻留在与虚拟机共享主机蓝牙设备的功能中。vmware建议暂时关闭Bluetooth支持。此外，VMware还解决了其他两个弱点，其中一个是Fusion的本地特权升级漏洞，CVE-2023-20871，另一个是SCSI CD / DVD设备仿真中的越界读取/写入漏洞，CVE-2023-20872。漏洞已在Workstation版本17.0.2和Fusion版本13.0.2中得到解决。

详情

Microsoft Edge Browser将用户访问的每个网站泄露给Bing API服务器

日期: 2023-04-28
标签: 信息技术, Microsoft, Google, Stardock

《The Verge》报道称，微软Edge浏览器最新版本泄露了用户正在访问的每个网站的URL到Bing API服务器，引发了用户的数据隐私担忧。这是因为微软Edge在2022年1月添加了“关注创建者”功能，但功能出现故障后它会将用户访问的每个URL或域名发送到Bing API终端。Reddit用户hackermchackface最先发现了这个漏洞。微软正在调查这个问题，并采取恰当的措施解决问题。Microsoft MVP和Stardock的工程师Rafael Rivera表示，关闭“关注创建者”功能可以避免隐私泄露风险。

详情

酒店因 Oracle Property Management 软件中的漏洞而面临风险

日期: 2023-05-04
标签: 住宿餐饮业, Oracle

甲骨文警告其 Opera 5 Property Services 产品存在严重缺陷，但发现并报告该漏洞的安全研究人员声称甲骨文的评估“不正确”。 CVE-2023-21932 是一个预认证远程代码执行漏洞，影响 Opera 5 Property Services 系统的 5.6 版本。利用该漏洞的攻击者可以访问系统中保存的个人身份信息、信用卡数据和其他敏感数据。温德姆集团、万豪酒店和雷迪森酒店等酒店和连锁酒店使用 Opera 5 集中管理预订、宾客服务和账户。甲骨文在其 2023 年 4 月的安全更新中将该漏洞描述为“复杂错误”，发布了 7.2 的中等严重性评级。 Assetnote 的研究人员表示，该漏洞不需要身份验证，并对甲骨文的回应提出了批评。

详情

DNA测序设备漏洞为医疗设备网络威胁增加了新的转折点

日期: 2023-05-04
标签: 卫生行业, Illumina, 基因, 医疗设备

新闻报道指出，基因研究设备制造商Illumina生产的基因测序器软件中存在的一个重大漏洞，凸显出医疗设备软件漏洞的危险性，但同时亦显示出立法对加强医疗领域的网络安全所起到的积极作用。这一问题也再次显示出医疗系统中缺乏普遍的网络安全和上下游生产商在网络安全方面的投资。新立法将鼓励和引领医用设备生产厂商在网络安全领域的大量投资。与此同时，CISA和FDA正在更多地关注医用设备生产厂商的网络安全问题，FDA在2023年4月27日发布了一封信，向医疗保健提供者说明了漏洞，并表示Illumina已为其产品提供了补丁。CISA也发布了有关建议，以减少面临的医疗设备网络安全风险。医生、护士和实验室人员应遵循这些规定来减轻网络安全风险。

详情

0x07   安全分析

黑客开始使用双重DLL侧加载来逃避检测

日期: 2023-05-04
标签: 信息技术, Dragon Breath

名为“Dragon Breath”，“Golden Eye Dog”或“APT-Q-27”的APT骇客团伙展示了一种新趋势，即使用多个复杂的经典DLL侧载技术变体来逃避检测。此攻击变体从利用干净的应用程序，通常是Telegram开始，该应用程序侧载第二阶段有效载荷，有时也是干净的，该有效载荷反过来又侧载了恶意的恶意软件加载器DLL。对受害者的诱饵是针对中国内地、日本、台湾、新加坡、香港和菲律宾的汉语Windows用户的木马电报、LetsVPN或WhatsApp应用程序。Sophos分析人员发现该活动的目标范围是中国语言用户。此攻击使用了污染的汉语应用程序，诱导受害者侧载恶意DLL绕过防御。

详情

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x09   时间线

2023-04-24 360CERT发布安全周报