安全事件周报 2023-05-08 第19周
2023-05-15 14:57

报告编号:CERT-R-2023-155

报告来源:360CERT

报告作者:360CERT

更新日期:2023-05-15

0x01   事件导览

本周收录安全热点63项,话题集中在安全报告恶意软件行业动向,主要涉及的黑客组织有:APT36等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意软件
针对企业的新勒索软件Akira
CERT-UA警告针对乌克兰的SmokeLoader和RoarBAT恶意软件攻击
Facebook打击针对商业账户的恶意软件
新的KEKW恶意软件通过PyPI分发感染开源Python Wheel文件
朝鲜APT使用恶意的Microsoft OneDrive链接传播新的恶意软件
新安卓恶意软件“FluHorse”以欺骗策略瞄准东亚市场
浏览器中的虚假Windows更新传播Aurora信息窃取恶意软件
新的勒索软件解密器从部分加密的文件中恢复数据
研究人员发现的更隐秘版本的Linux BPFDoor恶意软件
黑客使用Babuk代码构建Hypervisor勒索软件
利用新恶意软件DownEx针对中亚的网络间谍行动
数据安全
使用开源XDR Wazuh检测数据盗窃
歌手专辑被盗无奈向勒索组织付款
Brightly警告SchoolDude数据泄露暴露凭据
网络攻击
APT37使用LINK分发ROKRAT
SideCopy 使用 Action RAT 和 AllaKore RAT 渗透印度组织
Packagist存储库遭到黑客攻击,超过5亿次安装的Dozen PHP包被泄露
田纳西州卫生系统在网络攻击恢复期间停止所有行动
朝鲜黑客入侵首尔主要医院窃取数据
SideCopy伪装注册邀请表格进行攻击
安全漏洞
PaperCut RCE 漏洞可绕过现有检测
思科警告称报废IP电话适配器中的关键RCE漏洞无法修复
Microsoft修补严重的Azure云安全缺陷
微软警告国家资助的攻击利用关键的剪纸漏洞
安全报告
DangerousPassword相关攻击趋势
Kimsuky利用新恶意软件ReconShark发起攻击
APT36攻击印度军队和教育部门
MuddyWater针对MSP的攻击
SideCopy组织的新攻击行动
APT37针对韩国外交部下发RokRAT的窃密活动分析
DustSquad攻击一家塔吉克斯坦的电信提供商
Dragon Breath APT集团利瞄准博彩业
微软:伊朗黑客组织加入Papercut攻击狂潮
SideWinder针对巴基斯坦政府的攻击行动
研究人员发现SideWinder最新的基于服务器的多态性技术
首尔医院数据泄露的幕后黑手是朝鲜黑客
RedStinger:自2020年起针对东欧的APT攻击行动
行业动向
许多组织仍然因 GoAnywhere MFT 的漏洞而遭受网络攻击
谷歌推出网络安全职业证书计划
谷歌为用户帐户添加密钥
OpenAI的监管问题才刚刚开始
专家认为美国关键基础设施安全维护不够
微软强制数字匹配以对抗MFA疲劳攻击
谷歌为所有美国Gmail用户提供暗网监控
Microsoft开通Authenticator推送通知的数字匹配功能
Meta称隐私问题在于提供商
推特推出加密DM,但仅适用于付费账户
勒索攻击
美国圣贝纳迪诺县治安部门向勒索团伙支付了 110 万美元的赎金
达拉斯城市系统被皇家勒索软件摧毁
其他事件
Cactus勒索软件加密自身以逃避防病毒检测
西部数据称黑客在三月份的网络攻击中窃取了客户数据
媒体利用CSGO游戏向俄罗斯玩家走私有关乌克兰战争的信息
Twitter 遭遇攻击,私人Circle推文被暴露
丹麦警告俄罗斯间谍活动
Dragon Breath APT使用double-dip DLL sideloading策略
美国联邦调查局、欧洲刑警组织通过SpecTor行动摧毁全球暗网毒品帝国
以色列BEC活动瞄准大型跨国公司
美国联邦调查局解除俄罗斯联邦安全局“蛇”恶意软件网络的武装
西班牙黑客承认参与针对Twitter的黑客行动
FBI摧毁了Turla组织的Snake间谍软件
西班牙警方破获40人网络犯罪团伙
多个勒索软件组使Babuk代码适应ESXi虚拟机
勒索该公司的前Ubiquiti开发人员被判六年监禁

0x03   恶意软件

针对企业的新勒索软件Akira

日期: 2023-05-08
标签: Akira, 勒索软件

新的 Akira 勒索软件行动慢慢地建立了一份受害者名单,因为他们破坏了全球的公司网络,加密文件,然后要求数百万美元的赎金。Akira 于 2023 年 3 月推出,声称已经对 16 家公司进行了攻击。这些公司分布在各个行业,包括教育、金融、房地产、制造和咨询。虽然另一个名为 Akira 的勒索软件 于 2017 年发布,但据信这些操作并不相关。

详情

https://www.bleepingcomputer.com/news/security/meet-akira-a-new-ransomware-operation-targeting-the-enterprise/

CERT-UA警告针对乌克兰的SmokeLoader和RoarBAT恶意软件攻击

日期: 2023-05-09
标签: 政府部门, 乌克兰

据乌克兰计算机应急响应小组 (CERT-UA) 称,正在进行的以发票为主题的诱饵的网络钓鱼活动正被用来以多语言文件的形式分发 SmokeLoader 恶意软件。根据该机构的说法,这些电子邮件是使用受感染的帐户发送的,并带有一个 ZIP 存档,实际上,该存档是一个包含诱饵文档和 JavaScript 文件的多语言文件。然后使用 JavaScript 代码启动一个可执行文件,为执行SmokeLoader 恶意软件铺平道路。SmokeLoader 于 2011 年首次被发现,是一种加载程序,其主要目的是将更隐蔽或更有效的恶意软件下载或加载到受感染的系统上。CERT-UA 将该活动归因于它称为 UAC-0006 的威胁行为者,并将其描述为出于经济动机的操作,其目的是窃取凭证和进行未经授权的资金转移。

详情

https://thehackernews.com/2023/05/cert-ua-warns-of-smokeloader-and.html

Facebook打击针对商业账户的恶意软件

日期: 2023-05-09
标签: 信息技术, Facebook

2023年5月初,Meta 警告称,针对流行平台(包括 Facebook、Gmail 和 Outlook)的商业用户的“攻击性和持久性”新恶意软件变种正在出现。该恶意软件通过恶意浏览器扩展、广告和社交媒体平台部署,以窃取 cookie 和企业帐户凭据,犯罪分子随后可以使用这些信息来运行未经授权的广告活动。Facebook 的安全团队表示,今年到目前为止,其工程师已经在 Meta 的平台(包括 Instagram 和 WhatsApp)上发现了大约 10 种新的信息窃取恶意软件变种。新的恶意软件包括一些伪装成 ChatGPT 浏览器扩展和生产力工具、著名的Ducktail信息窃取程序的新版本以及一些以前未知的变种。

详情

https://www.scmagazine.com/news/business-continuity/facebook-malware-business-accounts

新的KEKW恶意软件通过PyPI分发感染开源Python Wheel文件

日期: 2023-05-09
标签: 信息技术, 供应链安全

在 5 月 3 日的一篇博文中,Cyble Research and Intelligence Labs (CRIL) 表示:发现恶意开源 Python .whl (Wheel) 文件分发了一种名为 KEKW 的新恶意软件,该恶意软件可以通过将 clipper 活动与信息窃取程序相结合来劫持加密货币交易,从而从受感染的系统中窃取敏感信息。受审查的 Python 包并不存在于实际的 PyPI(Python 包索引)存储库中,这表明 Python 安全团队删除了恶意包。

5 月 2 日,CRIL 还与 Python 安全团队核实,安全团队在恶意包上传后 48 小时内将其删除。由于恶意包被迅速删除,CRIL 表示无法确定下载它们的人数。不过,他们认为该事件的影响可能已经微乎其微。

详情

https://www.scmagazine.com/news/devops/kekw-malware-infects-open-source-python-wheel-files

朝鲜APT使用恶意的Microsoft OneDrive链接传播新的恶意软件

日期: 2023-05-10
标签: 恶意软件

朝鲜网络间谍组织 Kimsuky 通过一项新的鱼叉式网络钓鱼活动扩大了其攻击武器库,该活动使用文档中的 Microsoft OneDrive 链接,这些链接带有恶意宏,可投放新型侦察恶意软件。SentinelLabs 的研究人员观察到威胁行为者发起了一场针对 Korea Risk Group (KRG) 员工的新活动,Korea Risk Group 是一家信息和分析公司,专门研究直接和间接影响朝鲜民主主义人民共和国 (DPRK) 的事务。他们认为,同样的活动也被用于针对大学里的个人——Kimsuky 的新受害者群体——以及北美、欧洲和亚洲的政府组织、研究中心和智库等典型目标.

详情

https://www.darkreading.com/attacks-breaches/north-korean-apt-uses-malicious-microsoft-onedrive-links-to-drop-new-malware

新安卓恶意软件“FluHorse”以欺骗策略瞄准东亚市场

日期: 2023-05-10
标签: 网络钓鱼

东亚市场的各个部门都受到了新的电子邮件网络钓鱼活动的影响,该活动分发了一种以前未记录的名为FluHorse的 Android 恶意软件,它滥用 Flutter 软件开发框架。Check Point在一份技术报告中说:“该恶意软件具有多个模仿合法应用程序的恶意 Android 应用程序,其中大多数安装量超过 1,000,000 次。” “这些恶意应用程序窃取了受害者的凭证和双因素身份验证 (2FA) 代码。”已发现恶意应用程序模仿 ETC 和 VPBank Neo 等流行应用程序,这些应用程序在台湾和越南广泛使用。迄今为止收集的证据表明,该活动至少从 2022 年 5 月开始就一直活跃。

详情

https://thehackernews.com/2023/05/new-android-malware-fluhorse-targeting.html

浏览器中的虚假Windows更新传播Aurora信息窃取恶意软件

日期: 2023-05-11
标签: 信息窃取

2023年5月初,研究人员发现的广告诈骗活动利用浏览器中的Windows更新模拟来传播Aurora信息窃取恶意软件。Aurora使用Golang编写,已经在各种黑客论坛上有一年多的时间,被宣传为具有广泛功能和低杀毒软件检测能力的信息窃取者。研究人员表示,这种恶意广告操作依靠成人内容网站上的弹出式窗口广告,并将潜在受害者重定向到提供恶意软件的位置。恶意广告通过全屏浏览器窗口模拟Windows系统更新屏幕来欺骗用户。研究人员追踪这些活动中使用的十多个域,他们中许多都伪装成成人网站,转发了虚假的更新。恶意软件载荷称为"ChromeUpdate.exe",其实是一种被称为“Invalid Printer”的 “完全不可检测”(FUD)恶意软件加载程序,试图骗取部分用户将它当作Chrome更新器使用。

详情

https://www.bleepingcomputer.com/news/security/fake-in-browser-windows-updates-push-aurora-info-stealer-malware/

新的勒索软件解密器从部分加密的文件中恢复数据

日期: 2023-05-11
标签: 勒索软件解密器

新的“白凤凰”勒索软件解密器可以帮助部分恢复使用间歇性加密技术的勒索软件家族加密的文件。间歇性加密技术是一种勒索软件家族采用的策略,它在加密和不加密的数据块之间进行交替。该方法可以更快地加密文件,同时仍然使受害者无法使用数据。白凤凰通过实验部分加密的PDF文件来进行开发,研究员发现,在某些黑猫家族的加密模式中,PDF文件中的许多对象仍然不受影响,可以提取数据。恢复包括基于ZIP档案在内的其他文件格式。这个工具可以在CyberArk的Github公共存储库免费下载使用。然而,需要注意的是,白凤凰在每种情况下并不能都产生良好的结果。

详情

https://www.bleepingcomputer.com/news/security/new-ransomware-decryptor-recovers-data-from-partially-encrypted-files/

研究人员发现的更隐秘版本的Linux BPFDoor恶意软件

日期: 2023-05-12
标签: 恶意软件

安全公司Deep Instinct发现,一种新的Linux恶意软件‘BPFDoor’变体呈现更强的加密和反向Shell通讯,且该变体于2022年问世。传统的版本采用RC4加密、绑定Shell和iptables进行通讯,但更具强化的变体采用了静态库加密和反向Shell通讯,所有命令都来自C2服务器。BPFDoor恶意软件利用‘Berkley Packet Filter’绕过流量防火墙,维持对被入侵的Linux系统的长期掌控和未被发现状态。该变体采用静态库加密后更易隐蔽,同时不采用硬编码命令,则让此类病毒更不容易被安全软件识别。虽然BPFDoor仍未被多数杀毒软件标记为恶意软件,但系统管理员可以依赖于强大的网络流量和日志监控,使用最先进的终端保护产品,并监控文件完整性。

详情

https://www.bleepingcomputer.com/news/security/stealthier-version-of-linux-bpfdoor-malware-spotted-in-the-wild/

黑客使用Babuk代码构建Hypervisor勒索软件

日期: 2023-05-12
标签: Babuk代码

安全公司 SentinelOne 发布了一份报告,指出最近有不少威胁行动者使用了2021年泄露的 Babuk 代码来创建针对 VMware ESXi 虚拟 hypervisor 环境的新型勒索软件。研究人员还发现,利用 Babuk 泄露的源代码建立的恶意软件能够攻击 Linux 系统,即使他们没有能力从头开始创作一个可用程序。由于 ESXi 在企业网络中的普及程度较高,在混合云和本地环境下,这些 hypervisor 成为勒索软件的重点攻击目标。报告指出,2022 和 2023 年出现了这些新变种,显示出了 Babuk 源代码采纳的增加趋势,而一些威胁行动者已经使用 Babuk 代码创建可识别的 ESXi lockers。

详情

https://www.infosecurity-magazine.com/news/threat-actors-babuk-code?utm_source=twitterfeed&utm_medium=twitter

利用新恶意软件DownEx针对中亚的网络间谍行动

日期: 2023-05-12
标签: APT舆情

2022年底,Bitdefender Labs检测到针对哈萨克斯坦外国政府机构的网络攻击。在调查此事件时,发现这是一次旨在窃取数据的高度针对性攻击。经过持续的监测,在阿富汗发现另一起攻击事件并收集了更多样本和观察结果。以上攻击行动涉及的域名和IP地址未出现在任何先前记录的事件中,并且使用的恶意软件与先前已知的恶意软件没有任何代码相似之处,所以将其命名为DownEx。通过分析间接指标,例如攻击的具体目标、冒充真实外交官的文档元数据以及主要关注的数据渗漏,可以做出有根据的猜测,即国家支持的组织应对这些事件负责。

详情

https://www.bitdefender.com/blog/businessinsights/deep-dive-into-downex-espionage-operation-in-central-asia/

0x04   数据安全

使用开源XDR Wazuh检测数据盗窃

日期: 2023-05-10
标签: 数据安全

数据盗窃是窃取存储在业务数据库、端点和服务器中的数据的行为。被盗数据可能包括凭证、信用卡号、个人身份信息、医疗记录、软件代码和专有技术。数据盗窃发生在组织内部和外部。恶意行为者可以窃取组织或个人的数据,并将其出售给其他恶意行为者。数据盗窃是许多组织面临的主要风险,因为它可能导致身份盗用、声誉受损和财务损失。

详情

https://www.bleepingcomputer.com/news/security/detecting-data-theft-with-wazuh-the-open-source-xdr/

歌手专辑被盗无奈向勒索组织付款

日期: 2023-05-12
标签: 信息技术, 文化传播, 勒索攻击

Smashing Pumpkins主唱Billy Corgan最近接受采访时透露,他们最新专辑歌曲被黑客盗窃,并威胁要公开泄露。六个月前,一名音乐粉丝告诉他,其中九首歌曲已经被泄露出来,而这九首歌曲都是最抓耳的单曲类型。Corgan自掏腰包支付了勒索费后,经过FBI的跟踪,黑客终于被追查到了。由于这个黑客还盗取了其他艺人的资料,Corgan说:“我们成功阻止了泄露事件的发生。”

详情

https://www.darkreading.com/attacks-breaches/billy-corgan-paid-off-hacker-who-threatened-to-leak-new-smashing-pumpkins-songs-

Brightly警告SchoolDude数据泄露暴露凭据

日期: 2023-05-12
标签: 数据泄露

美国科技公司暨西门子子公司Brightly Software通知用户,攻击者已经访问其SchoolDude在线平台的数据库,并窃取了其个人信息和凭据。SchoolDude是一个云管理工作订单的在线平台,用于管理7,000多所大学,高中和K-12学校(学生人数最多可达60万)的工作订单。受影响用户的信息可能被盗窃包括姓名、电子邮件地址、账户密码、电话号码(如有)、学区等。Brightly已重置了所有SchoolDude用户的密码,并要求用户在登录schooldude.com之后点击“忘记登录名或密码?”来重新设置新密码。另外,该公司推荐用户应当在其他的在线账户上及时更改密码,避免出现信息泄露事件。

详情

https://www.bleepingcomputer.com/news/security/brightly-warns-of-schooldude-data-breach-exposing-credentials/

0x05   网络攻击

APT37使用LINK分发ROKRAT

日期: 2023-05-08
标签: APT舆情

朝鲜攻击组织APT37在对韩国的网络攻击中使用ROKRAT工具。用于投递ROKRAT的感染链已经从恶意的HWP文档和Office文档转移到伪装成合法文档的LNK文件。报告中讨论了APT37使用的各种诱饵和有效载荷,包括ROKRAT和Amadey,并对ROKRAT进行了技术分析,同时该报告提供了有关APT37多次攻击行动的信息。

详情

https://research.checkpoint.com/2023/chain-reaction-rokrats-missing-link/

SideCopy 使用 Action RAT 和 AllaKore RAT 渗透印度组织

日期: 2023-05-09
标签: 政府部门, SideCopy

据观察,被称为SideCopy的疑似与巴基斯坦结盟的威胁行为者利用与印度军事研究组织相关的主题作为正在进行的网络钓鱼活动的一部分。Fortinet FortiGuard Labs在一份新报告中表示,这涉及使用与印度国防研究与发展组织 ( DRDO ) 有关的 ZIP 存档诱饵来传递能够收集敏感信息的恶意负载。这个网络间谍组织的活动至少可以追溯到 2019 年,目标是符合巴基斯坦政府利益的实体。据信,它与另一个名为Transparent Tribe的巴基斯坦黑客团队有重叠之处。

详情

https://thehackernews.com/2023/05/sidecopy-using-action-rat-and-allakore.html

Packagist存储库遭到黑客攻击,超过5亿次安装的Dozen PHP包被泄露

日期: 2023-05-10
标签: 供应链安全

PHP 软件包存储库 Packagist 透露,一名“攻击者”获得了该平台上四个非活动帐户的访问权限,以劫持十几个软件包,迄今为止安装量已超过 5 亿。攻击者分叉了每个包,并用他们自己的消息替换了composer.json中的包描述,但没有进行任何恶意更改,然后将包 URL 更改为指向分叉的存储库。据说这四个用户帐户可以访问总共 14 个包,包括多个 Doctrine 包。此次事件发生在2023年5月1日。

详情

https://thehackernews.com/2023/05/packagist-repository-hacked-over-dozen.html

田纳西州卫生系统在网络攻击恢复期间停止所有行动

日期: 2023-05-10
标签: 卫生行业

Murfreesboro Medical Clinic & SurgiCenter 在 4 月 22 日发生网络攻击后被迫下线。作为回应,田纳西州的供应商关闭了所有业务并启动了网络紧急关闭以防止攻击蔓延。MMC 运营在 5 月 4 日之前完全关闭了近两周。最新更新显示,虽然官方希望在 5 月 3 日恢复一些预约服务,但系统还没有准备好重新上线。5 月 4 日上午 10 点,MMC 开始在其儿科和内科及家庭医学步入式诊所接受患者“病假”。然而,该网站仍不接受定期预约,其大约 11 个地点中的大部分仍处于关闭状态。

详情

https://www.scmagazine.com/news/breach/tennessee-health-system-stops-all-operations-amid-cyberattack-recovery

朝鲜黑客入侵首尔主要医院窃取数据

日期: 2023-05-11
标签: 医院

韩国国家警察厅向公众发出警告,表示朝鲜黑客入侵韩国最大的医院之一——首尔大学医院(SNUH),窃取敏感医疗信息和个人详细资料。该事件发生在2021年5月至6月期间,警方通过两年的分析调查,确定了入侵者身份。警方在新闻发布中提到,根据以下信息,将攻击归咎于朝鲜黑客:

攻击中观察到的入侵技术;

已经独立与朝鲜威胁行动者联系的IP地址;

网站注册细节;

使用了特定语言和朝鲜语词汇;

韩国当地媒体将攻击与Kimsuky黑客组织联系在一起,但警方的报告并没有明确提到这个威胁组织。攻击者在韩国和其他国家使用了7个服务器来发动针对医院内部网络的攻击。据警方称,事件导致83.1万人的数据曝光,其中大多数是患者,而17000名受影响的人是当前和前任医院员工。国家警察厅警告说,朝鲜黑客可能会试图渗透各行各业的信息和通信网络,强调了加强安全措施和程序的必要性,例如实施安全更新、管理系统访问和加密敏感数据。

详情

https://www.bleepingcomputer.com/news/security/north-korean-hackers-breached-major-hospital-in-seoul-to-steal-data/

SideCopy伪装注册邀请表格进行攻击

日期: 2023-05-12
标签: APT舆情

SideCopy组织从2020年9月被安全厂商Quick Heal发布报告披露了以来一直持续保持活跃,当时其针对印度国防部门发起攻击,攻击最早可以回溯到2019年,因为攻击手法模仿APT-C-24(响尾蛇)组织,所以其攻击行动被命名为SideCopy。SideCopy主要针对印度的国防、军事进行窃密活动,其在早期的攻击活动主要通过模仿响尾蛇组织的攻击手法,并以此迷惑安全研究人员。其一直被怀疑是APT-C-56(透明部落)的下属组织,在今年年初,透明部落与SideCopy被发现利用相同的基础设施并使用相同主题针对相似目标行动。360高级威胁研究院监测到了SideCopy在早期伪装注册邀请表格的攻击活动样本。我们推测是之前行动未被发现的样本,样本利用诱饵文档最终释放木马。

详情

https://mp.weixin.qq.com/s/sYk4pTMJloRuogBMnD3hRg

0x06   安全漏洞

PaperCut RCE 漏洞可绕过现有检测

日期: 2023-05-08
标签: PaperCut, RCE

针对主动利用的 PaperCut 漏洞的新概念验证 (PoC) 漏洞已发布,可绕过所有已知检测规则。PaperCut 漏洞,跟踪为 CVE-2023-27350,是 PaperCut MF 或 NG 8.0 或更高版本中的严重未经身份验证的远程代码执行缺陷,已在勒索软件攻击中被利用。该漏洞于 2023 年 3 月首次披露,警告说它允许攻击者通过 PaperCut 的内置脚本接口执行代码。4 月份对该公告的更新警告说,该漏洞正在攻击中被积极利用。研究人员很快发布了 针对 RCE 漏洞的PoC 漏洞 ,微软确认它 在几天后被Clop 和 LockBit 勒索软件团伙用于初始访问。

详情

https://www.bleepingcomputer.com/news/security/new-papercut-rce-exploit-created-that-bypasses-existing-detections/

思科警告称报废IP电话适配器中的关键RCE漏洞无法修复

日期: 2023-05-10
标签: CVE-2023-20126, 漏洞攻击

思科系统警告说,影响其 IP 电话端口的严重缺陷允许未经身份验证的攻击者在目标设备上远程执行代码并获得完全管理员权限。它敦促仍在使用受影响型号 SPA 112 2 端口电话适配器的客户升级到其 Cisco ATA 190 系列模拟电话适配器以缓解该缺陷。“思科尚未发布也不会发布固件更新来解决此公告中描述的漏洞,”该公司周三在安全公告中写道。易受攻击的 IP 电话适配器是其小型 IP 电话业务线的一部分。该漏洞的通用漏洞评分系统评分为 9.8 分(满分 10 分)。据思科周三报道,该漏洞编号为CVE-2023-20126,是由于固件升级功能中缺少身份验证过程所致。成功的利用可以让攻击者在受影响的设备上获得完全特权。

详情

https://www.scmagazine.com/news/device-security/cisco-critical-rce-bug-wont-get-patched

Microsoft修补严重的Azure云安全缺陷

日期: 2023-05-10
标签: 信息技术, Microsoft

研究人员发现,微软已经修补了其 Azure 云平台中的三个漏洞,这些漏洞可能允许攻击者访问目标服务的敏感信息、拒绝访问服务器或扫描内部网络以发起进一步的攻击。来自 Ermetic 研究团队的研究人员发现了 Azure API 管理服务中的缺陷,该服务允许组织在其所有环境中创建、管理、保护和监控 API,他们在 5 月 4 日发布的博客文章中透露。这些缺陷均被评为高风险,包括两个服务器端请求伪造 (SSRF)漏洞和一个内部 Azure 工作负载上的文件上传路径遍历。

详情

https://www.darkreading.com/cloud/microsoft-patches-serious-azure-cloud-security-flaws

微软警告国家资助的攻击利用关键的剪纸漏洞

日期: 2023-05-11
标签: CVE-2023-27350

微软在2023年5月7日公布,伊朗民族国家团体已经加入了那些有经济动机的参与者,在积极利用PaperCut印刷管理软件的一个重要漏洞。微软的威胁情报团队表示,观察到“芒果沙尘暴”和“薄荷沙尘暴”在它们的操作中使用漏洞CVE-2023-27350,以实现初始访问,薄荷沙尘暴继续快速将漏洞利用集成到它们的操作中。漏洞CVE-2023-27350是指PaperCut MF和NG安装中的一个关键漏洞,未经身份验证的攻击者可以利用它来以SYSTEM权限执行任意代码。PaperCut于2023年3月8日发布了补丁。值得注意的是,“芒果沙尘暴”与伊朗情报和安全部门(MOIS)有关,而“薄荷沙尘暴”与伊斯兰革命卫队(IRGC)有关。

详情

https://thehackernews.com/2023/05/microsoft-warns-of-state-sponsored.html

0x07   安全报告

DangerousPassword相关攻击趋势

日期: 2023-05-08
标签: APT舆情

自2019年6月以来,JPCERT/CC一直在跟踪DangerousPassword攻击行动(也称为CryptoMimic或SnatchCrypto)。该组织多年来一直试图通过电子邮件向目标发送快捷方式文件来下发恶意软件。在本文中介绍了四种攻击模式,分别为:从LinkedIn发送恶意CHM文件的攻击;使用OneNote文件进行攻击;使用虚拟硬盘文件的攻击;针对macOS的攻击。

详情

https://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html

Kimsuky利用新恶意软件ReconShark发起攻击

日期: 2023-05-08
标签: APT舆情

SentinelLabs观察到来自Kimsuky的持续攻击,Kimsuky是朝鲜国家支持的APT组织,长期以来一直以亚洲、北美和欧洲的组织为目标。正在进行的行动使用了新的恶意软件组件ReconShark,它通过鱼叉式网络钓鱼电子邮件、OneDrive托管以及恶意宏的执行分发给特定目标。ReconShark具有独特的执行指令和服务器通信方式的侦察工具。该组织最近的攻击行动与朝鲜的更广泛的攻击行动有关。

详情

https://www.sentinelone.com/labs/kimsuky-evolves-reconnaissance-capabilities-in-new-global-campaign/

APT36攻击印度军队和教育部门

日期: 2023-05-08
标签: APT36, APT舆情

Quick Heal的APT团队发现了透明部落(APT36)组织的活跃攻击行动,该活动正在引诱印度军队打开主题为“修订军官发布政策”的文件。恶意宏启用的PowerPoint附加文件(PPAM)被用来包装通过将存档文件作为OLE对象嵌入的Crimson RAT有效载荷。最近观察到该组织的子组织SideCopy以印度国防组织为目标。同时,还观察到APT36对教育部门的攻击有所增加。

详情

https://www.seqrite.com/documents/en/white-papers/whitepaper-transparent-tribe-apt.pdfhttps://www.seqrite.com/documents/en/white-papers/whitepaper-transparent-tribe-apt.pdf

MuddyWater针对MSP的攻击

日期: 2023-05-08
标签: APT舆情

ESET发现了MuddyWater发起的一项新攻击行动,MuddyWater是一个与伊朗情报和安全部(MOIS)有关联的网络间谍组织,至少从2017年开始活跃。该组织主要针对中东、亚洲、 非洲、欧洲和北美,重点关注电信公司、政府组织以及石油和天然气以及能源垂直行业。在2022年10月的攻击行动中有四名受害者,三名在埃及,一名在沙特阿拉伯。该组织通过滥用SimpleHelp进行攻击,SimpleHelp是一种合法的远程访问工具(RAT)和MSP使用的远程支持软件。

详情

https://www.welivesecurity.com/2023/05/02/apt-groups-muddying-waters-msps/

SideCopy组织的新攻击行动

日期: 2023-05-08
标签: APT舆情

FortiGuard Labs最近发现了一份这样的文件,其中提到了印度国家军事研究组织和正在开发的核导弹。该文件旨在部署具有与“SideCopy”恶意软件。该组织的行动至少可以追溯到2019年,其目标与巴基斯坦政府保持一致。 据称该组织被命名为“SideCopy”,因为他们使用的感染链是从长期存在的印度威胁组织SideWinder中复制的,可能试图使归属更加困难。尽管SideCopy主要针对Windows平台,但一些报告表明他们已将恶意软件部署到受感染的Mac 和 Linux 机器上。

详情

https://www.fortinet.com/blog/threat-research/clean-rooms-nuclear-missiles-and-sidecopy

APT37针对韩国外交部下发RokRAT的窃密活动分析

日期: 2023-05-08
标签: APT舆情

近日,安恒信息猎影实验室在日常威胁狩猎中发现,APT37组织使用ISO文件针对韩国外交部门进行窃密。其初始攻击负载包含两个有大量无效数据填充的LNK文件,运行后在本机释放HWP诱饵文件及BAT文件,执行Powershell指令下载后续负载,最终解密RokRAT,与合法云服务pCloud通信,下发恶意指令执行。

详情

https://mp.weixin.qq.com/s/iCFz9vhYGxz0cd8_0-PhDQ

DustSquad攻击一家塔吉克斯坦的电信提供商

日期: 2023-05-08
标签: APT舆情

本报告探讨了自2020年以来一直活跃的Nomadic Octopus间谍组织的新攻击行动。根据受害者分析,该组织专门针对塔吉克斯坦的高级政府官员、电信服务和公共服务基础设施。受害机器的类型包括个人计算机和OT设备。这些目标表明“Paperbug”行动由情报驱动。PaperBug行动符合攻击中亚政府基础设施的普遍趋势,这种趋势最近变得更加突出。这种趋势也可以在其他讲俄语的国家支持的威胁组织(如 Sofacy)中看到。 他们还被观察到攻击中亚地区的电信基础设施,包括塔吉克斯坦。这表明Nomadic Octopus与Sofacy等其他著名间谍组织之间可能存在某种联系。

详情

https://www.prodaft.com/m/reports/PAPERBUG_TLPWHITE-1.pdf

Dragon Breath APT集团利瞄准博彩业

日期: 2023-05-09
标签: 居民服务, Dragon Breath行动

2023年5月初,Sophos 研究员 Gabor Szappanos观察到一种称为Dragon Breath的高级持续性威胁 (APT) 攻击者通过采用新颖的DLL 侧载机制为其攻击增加了新的复杂性。该攻击基于经典的侧载攻击,包括一个干净的应用程序、一个恶意加载程序和一个加密的有效负载,随着时间的推移对这些组件进行了各种修改。Dragon Breath行动也以 APT-Q-27 和 Golden Eye 的名称进行跟踪,2020 年由奇安信首次 记录,详细描述了一个旨在诱骗用户下载 Telegram 木马化 Windows 安装程序的水坑活动。

详情

https://thehackernews.com/2023/05/dragon-breath-apt-group-using-double.html

微软:伊朗黑客组织加入Papercut攻击狂潮

日期: 2023-05-10
标签: CVE-2023-27350, Papercut

微软表示,伊朗国家支持的黑客加入了针对易受攻击的 PaperCut MF/NG 打印管理服务器的持续攻击。这些组织被追踪为 Mango Sandstorm(又名 Mercury 或 Muddywater,与 伊朗情报和安全部 有关)和 Mint Sandstorm(也称为 Phosphorus 或 APT35,与 伊朗伊斯兰革命卫队有关)。微软威胁情报团队 表示:“Mint Sandstorm 对 PaperCut 的利用活动似乎是投机取巧,影响了各个行业和地区的组织。 ”他们追踪 与微软Lace Tempest 相关的攻击 ,该黑客组织的恶意活动与与 Clop 勒索软件操作相关的 FIN11 和 TA505 网络犯罪团伙重叠。

详情

https://www.bleepingcomputer.com/news/security/microsoft-iranian-hacking-groups-join-papercut-attack-spree/

SideWinder针对巴基斯坦政府的攻击行动

日期: 2023-05-10
标签: APT舆情

BlackBerry威胁研究和情报团队发现了SideWinder组织针对巴基斯坦政府的最新攻击行动。在此行动中,该组织使用服务器端多态性技术交付下一阶段的有效载荷。这种技术允许威胁组织绕过传统的基于签名的防病毒(AV)检测来交付下一阶段的有效载荷。SideWinder组织利用服务器端多态性技术的新攻击行动于2022年11月下旬开始,该活动中使用的恶意文件是针对巴基斯坦政府官员创建的。

详情

https://blogs.blackberry.com/en/2023/05/sidewinder-uses-server-side-polymorphism-to-target-pakistan

研究人员发现SideWinder最新的基于服务器的多态性技术

日期: 2023-05-11
标签: SideWinder

黑莓研究与情报团队称,从去年11月开始,APT组织SideWinder发起了一场攻击,针对巴基斯坦政府机构,并使用一种基于服务器的多态技术来传递后续载荷。CANADIAN CYBERSECURITY COMPANY发现,SideWinder还瞄准土耳其的 Threat Actors。SideWinder自2012年就开始被追踪,主要针对位于巴基斯坦、阿富汗、不丹、中国、缅甸、尼泊尔和斯里兰卡的各种东南亚机构。它被怀疑是印度国家赞助的组织,并跟踪在APT-C-17、APT-Q-39、Hardcore Nationalist(HN2)、Rattlesnake、Razor Tiger和T-APT4等名字。黑莓解释了该组织利用精心制作的电子邮件诱饵和DLL侧向加载技术展开的典型攻击序列。此外,SideWinder最近的感染链与中国的QiAnXin的发现非常相似,使用PNWC钓鱼文档来删除一个轻量级.NET基础的后门,该后门能够从远程服务器检索和执行下一阶段的恶意软件。

详情

https://thehackernews.com/2023/05/researchers-uncover-sidewinders-latest.html

首尔医院数据泄露的幕后黑手是朝鲜黑客

日期: 2023-05-12
标签: 朝鲜

韩国国家警察厅(KNPA)得出结论,针对该国最大的医院之一首尔国立大学医院(NSUH)的网络攻击是北朝鲜黑客的杰作。攻击发生在2021年5月至6月间。虽然警方报告没有明确指出任何特定的威胁组,但据韩国媒体报道,人们认为Kimsuky组织负责此次攻击。攻击者使用了在多个国家(包括韩国)基于七个服务器的攻击方式入侵了该医院的内部网络,导致了83.1万人的数据泄露,其中大多数是患者。在两年的分析调查后,韩国执法机构称,他们根据入侵技术、网站注册、与作为威胁行为者的 IP 地址相关联的信息、以及在攻击中使用的朝鲜语和词汇,将此次攻击归咎为北朝鲜黑客。

详情

https://www.darkreading.com/attacks-breaches/north-korean-hackers-behind-hospital-data-breach-in-seoul

RedStinger:自2020年起针对东欧的APT攻击行动

日期: 2023-05-12
标签: APT舆情

Malwarebytes威胁情报团队发现了一个针对乌克兰东部地区的新APT组织,内部代号为Red Stinger,也就是卡巴斯基命名的Bad Magic。Malwarebytes确定了该组织从2020年开始的攻击行动,意味着它们至少在三年内一直处于低调状态。 该组织针对乌克兰不同地方的实体,包括军事、交通和关键基础设施,还有一些参与了9月的东乌克兰公投。根据攻击行动的不同,攻击者设法窃取了屏幕截图、USB驱动器、键盘记录和麦克风录音。

详情

https://www.malwarebytes.com/blog/threat-intelligence/2023/05/redstinger

0x08   行业动向

许多组织仍然因 GoAnywhere MFT 的漏洞而遭受网络攻击

日期: 2023-05-08
标签: GoAnywhere

根据一项新的研究,许多组织仍然因 GoAnywhere MFT 中被广泛滥用的漏洞而遭受网络攻击,GoAnywhere MFT 是一种基于 Web 的工具,可帮助组织传输文件。自 2 月以来,Clop 勒索软件组织已通过追踪为 CVE-2023-0669 的零日漏洞 GoAnywhere 利用了数十家世界上最大的公司和政府。多伦多和塔斯马尼亚州政府以及宝洁、维珍和日立等企业巨头都受到了此次事件的影响。该漏洞的补丁已于 2 月发布,但勒索软件组织表示,它能够破坏 130 多个组织。2023年5月初,网络安全公司 Censys 的研究人员表示,还有更多的受害者仍然容易受到该问题的影响。

详情

https://therecord.media/organizations-slow-to-patch-goanywhere-vulnerability-after-clop-attacks

谷歌推出网络安全职业证书计划

日期: 2023-05-09
标签: 信息技术, 安全认证

2023年5月5日,谷歌增加了一项新的认证计划,旨在根据其现有的谷歌职业证书计划培训新一代网络安全专业人员。谷歌估计目前仅在美国就有超过 750,000 个网络安全职位空缺,同时全球网络攻击率增加了38%。该公司在一份声明中表示,新的谷歌网络安全证书计划将提供负担得起、易于访问的信息安全培训,以识别和缓解威胁,以及使用 Python、Linux 和安全信息和事件管理系统 (SIEM) 等工具的实践经验。

详情

https://www.darkreading.com/careers-and-people/google-now-offers-cybersecurity-career-certificate-program

谷歌为用户帐户添加密钥

日期: 2023-05-09
标签: 信息技术, 无密码

谷歌于 5 月 3 日推出了用户帐户密钥,作为其计划的一部分,旨在提供无需使用密码即可安全访问其平台的服务。 密钥旨在最终取代密码,因为它们被视为比密码更安全的身份验证方法。该方法使用户能够使用相同的身份验证登录应用程序和网站,以通过面部扫描、指纹或 PIN 解锁设备。

详情

https://www.scmagazine.com/news/identity-and-access/google-adds-passkeys-user-accounts-passwords-are-dead

OpenAI的监管问题才刚刚开始

日期: 2023-05-09
标签: 信息技术, 人工智能

2023年5月初,OpenAI 解决了与意大利数据当局的问题,并解除了意大利对 ChatGPT 的有效禁令。然而,该公司与欧洲监管机构的麻烦远未结束。ChatGPT 是一款颇受欢迎且颇具争议的聊天机器人,它面临违反欧盟数据保护规则的指控,导致在 OpenAI 致力于解决该问题时,意大利限制了对该服务的访问。 在为解决意大利数据保护局提出的担忧而进行了一些小改动后,该聊天机器人已重新在意大利上线。虽然 GPDP 对这些变化表示欢迎,但 OpenAI 和类似聊天机器人开发商的法律纠纷可能才刚刚开始。多个国家的监管机构正在调查这些 AI 工具如何收集和生成信息,理由是未经许可的培训数据收集和错误信息传播等问题。 通用数据保护条例 (GDPR) 是世界上最强大的法律隐私框架之一,其在欧盟的应用有望产生全球影响。此外,欧盟立法者目前正在制定一项针对人工智能的法律,这可能会为 ChatGPT 等系统引入新的监管时代。

详情

https://www.cysecurity.news/2023/05/openais-regulatory-issues-are-just.html?utm_source=dlvr.it&utm_medium=twitter

专家认为美国关键基础设施安全维护不够

日期: 2023-05-09
标签: 政府部门, Colonial Pipeline

两年前,Colonial Pipeline遭到大规模勒索软件攻击,给美国关键基础设施带来了严重的威胁。尽管美国政府已经采取了多项应对措施,如签署执行命令、加强应急计划等,但专家认为应对措施还不足以防范这一潜在的危险。实际上,关键基础设施的勒索软件攻击仍然非常普遍。专家建议加强针对关键基础设施组织的指令,推行零信任模式,并采取重启应急计划等措施以更加有效地应对这一风险。

详情

https://www.darkreading.com/ics-ot/2-years-after-colonial-pipeline-attack-us-critical-infrastructure-remains-as-vulnerable-to-ransomware

微软强制数字匹配以对抗MFA疲劳攻击

日期: 2023-05-10
标签: 多重身份验证 (MFA) 疲劳攻击

从2023年5月8日起,Microsoft 已开始在 Microsoft Authenticator 推送通知中强制执行号码匹配,以抵御多重身份验证 (MFA) 疲劳攻击。在此类攻击(也称为推送轰炸或 MFA 推送垃圾邮件)中,网络犯罪分子向目标发送大量移动推送通知,要求他们批准使用窃取的凭据登录其公司帐户的尝试。在许多情况下,目标会屈服于重复的恶意 MFA 推送请求,要么是错误的,要么是为了停止看似无穷无尽的警报流,从而允许攻击者登录他们的帐户。

详情

https://www.bleepingcomputer.com/news/microsoft/microsoft-enforces-number-matching-to-fight-mfa-fatigue-attacks/

谷歌为所有美国Gmail用户提供暗网监控

日期: 2023-05-11
标签: 暗网

Google在年度开发者大会上宣布,所有美国的Gmail用户很快将能够使用暗网报告安全功能来发现他们的电子邮件地址是否出现在暗网上。该功能将在未来几周内推出,并且还将扩展到选定的国际市场。启用后,它将允许Gmail用户扫描暗网以查找他们的电子邮件地址,并根据Google提供的指导采取行动来保护他们的数据。例如,他们将被建议打开两步验证,以防止攻击者劫持他们的Google帐户。此外,Google还将定期通知Gmail用户检查他们的电子邮件是否与任何数据泄漏相关联,此类泄漏内容可能出现在地下犯罪论坛上。

详情

https://www.bleepingcomputer.com/news/google/google-brings-dark-web-monitoring-to-all-us-gmail-users/

Microsoft开通Authenticator推送通知的数字匹配功能

日期: 2023-05-11
标签: 微软

微软宣布,在全球范围内为所有处理相关服务的用户开通了Authenticator推送通知的数字匹配功能。用户请求多重身份验证时,微软将通过移动应用程序向用户提供一个数字,以便他们完成批准过程。数字匹配针对密码重置,合并注册以及支持版本的Windows Server上的AD FS适配器等服务发挥作用。然而,数字匹配无法在Apple Watch或可穿戴的Android产品上运行,因此用户必须使用移动应用程序输入数字。数字匹配是为了使Authenticator更加安全,特别是针对MFA疲劳攻击。例如,“推送轰炸”攻击背后的社交工程技术有时能绕过MFA,在Uber、微软和Okta等公司曾取得成功。该数字匹配是微软的中间缓解措施,可以使组织避免安全漏洞。

详情

https://www.scmagazine.com/news/identity-and-access/microsoft-enables-number-matching-for-all-authenticator-push-notifications

Meta称隐私问题在于提供商

日期: 2023-05-12
标签: 用户隐私

Meta发布的一份文件称,医疗保健提供商部署了像素分析工具并未考虑可能的第三方数据分享,是针对所谓医院数据采集的指责的真正罪魁祸首。Meta在加利福尼亚联邦法院提交的一份申请驳回诉讼的文件称,提出民事集体诉讼指控Facebook收集医院网站数据并违反数百万患者的医疗隐私的人“没有抓住要点”。该文件表示,“在其网站上,控制代码并选择要发送什么信息的是开发人员而非Meta。”公司辩称,公司认为公司的部分业务工具是合规使用而不会发送医疗信息,而且还使用了筛选工具来过滤医疗信息。该文件还称,Meta使用的像素分析工具根本是无害和合法的。此次申请的文件是对在一年多时间内对Meta的针对其像素工具可能启用医疗数据在意外情况下分享给第三方公司的指控的强烈回应。

详情

https://www.scmagazine.com/news/privacy/meta-health-providers-using-pixel-tool-responsible-for-patient-privacy

推特推出加密DM,但仅适用于付费账户

日期: 2023-05-12
标签: 推特

Twitter推出了“加密直接消息”功能,允许付费订阅Twitter Blue的用户向平台上其他用户发送端到端加密的消息。端到端加密(E2EE)使用公钥和私钥对发送到互联网上的信息进行加密,只有发送者和接收者才能读取它。Twitter已实现了非对称加密方案,其中公钥由中心部分提供,而私钥由设备生成且不与Twitter共享。然而,这项新的安全选项仅适用于付费用户,未付费用户默认使用标准的未加密通信。该功能有一些限制,如不支持向群组发送加密信息,不支持媒体,不允许新设备加入现有的加密对话,并且每个用户仅允许最多注册10个设备。

详情

https://www.bleepingcomputer.com/news/security/twitter-rolls-out-encrypted-dms-but-only-for-paying-accounts/

0x09   勒索攻击

美国圣贝纳迪诺县治安部门向勒索团伙支付了 110 万美元的赎金

日期: 2023-05-08
标签: 勒索攻击

在 4 月初勒索软件攻击感染其系统后,圣贝纳迪诺县治安部门选择支付 110 万美元的赎金。勒索软件攻击迫使警察局暂时关闭了部分系统,以防止威胁蔓延。受影响的系统包括电子邮件、车载计算机和一些执法数据库。袭击发生在 4 月 7 日,执法部门立即对事件展开调查,以确定袭击的范围。警长部门发言人格洛丽亚韦尔塔说,调查仍在进行中。据《洛杉矶时报》报道,圣贝纳迪诺县支付了赎金总额的一半(511,852 美元),其余部分由保险公司承担。支付赎金是为了“恢复系统的全部功能并保护与违规行为有关的任何数据。”

详情

https://securityaffairs.com/145892/cyber-crime/san-bernardino-county-sheriff-paid-ransom.html

达拉斯城市系统被皇家勒索软件摧毁

日期: 2023-05-10
标签: 勒索攻击

在皇家勒索软件组织发起网络攻击后,达拉斯市政府系统仍未完全运行。达拉斯市证实了勒索软件攻击,但向居民保证警察和消防救援服务将继续不间断。“周三上午,纽约市的安全监控工具通知我们的安全运营中心 (SOC),我们的环境中可能发起了勒索软件攻击。随后,纽约市确认许多服务器已被勒索软件破坏,影响了多个功能区域,包括达拉斯警察局网站,”该市的声明说。5 月 3 日上午,Twitter 用户 Brett Callow 分享了一张从达拉斯城市网络打印机中大量输出的赎金票据副本,威胁要泄露从达拉斯城市系统中窃取的数据。

详情

https://www.darkreading.com/attacks-breaches/dallas-city-systems-taken-down-by-royal-ransomware

0x0a   其他事件

Cactus勒索软件加密自身以逃避防病毒检测

日期: 2023-05-08
标签: 漏洞攻击

一种名为 Cactus 的新型勒索软件一直在利用 VPN 设备中的漏洞对“大型商业实体”的网络进行初始访问。Cactus 勒索软件行动至少从 3 月开始就一直活跃,并正在寻求受害者的大笔支出。虽然新的威胁参与者采用了勒索软件攻击中常见的策略——文件加密和数据窃取——但它增加了自己的手段来避免被发现。

详情

https://www.bleepingcomputer.com/news/security/new-cactus-ransomware-encrypts-itself-to-evade-antivirus/

西部数据称黑客在三月份的网络攻击中窃取了客户数据

日期: 2023-05-08
标签: 数据安全

在确认黑客在三月份的网络攻击中窃取了敏感的个人信息后,西部数据已将其商店下线并向客户发送数据泄露通知。该公司在周五下午晚些时候通过电子邮件发送了数据泄露通知,警告说客户的数据存储在攻击期间被盗的西部数据数据库中。西部数据表示:“根据调查,我们最近了解到,在 2023 年 3 月 26 日前后,未经授权的一方获得了西部数据数据库的副本,其中包含我们在线商店客户的有限个人信息。”这些信息包括客户姓名、账单和送货地址、电子邮件地址和电话号码。作为一项安全措施,相关数据库以加密格式存储了散列密码(已加盐)和部分信用卡号。该公司预计将于 2023 年 5 月 15 日恢复对商店的访问。Western Digital 还警告受影响的客户要警惕鱼叉式网络钓鱼攻击,威胁行为者冒充公司并使用被盗数据从客户那里收集更多个人信息。

详情

https://www.bleepingcomputer.com/news/security/western-digital-says-hackers-stole-customer-data-in-march-cyberattack/

媒体利用CSGO游戏向俄罗斯玩家走私有关乌克兰战争的信息

日期: 2023-05-08
标签: 文化传播

Finish 报纸 Helsinin Sanomat 创建了一张定制的反恐精英:全球攻势 (CS:GO) 地图,明确用于绕过俄罗斯新闻审查并向俄罗斯玩家走私有关乌克兰战争的信息。从 2022 年 3 月开始,在入侵乌克兰之后,俄罗斯开始封锁国际新闻媒体,以更严格地控制向俄罗斯受众传播的有关正在进行的战争的新闻。CS:GO 是世界上最受欢迎的第一人称射击游戏之一,是 Steam 上玩得最多的游戏。CS:GO 尤其受到俄罗斯玩家的喜爱,据报道 俄罗斯玩家约占该游戏玩家总数的十分之一。到目前为止,它还逃脱了俄罗斯的审查机器,允许来自该国的用户登录 CS:GO 服务器并不受限制地享受他们的比赛。地下室以英语和俄语提供有关战争的一系列关键数据。这些信息包括来自可靠来源的俄罗斯军队死亡统计数据、导弹袭击和对平民实施的其他暴行的详细信息、图像和事件地点。该地图于 2023 年 5 月 3 日发布。

详情

https://www.bleepingcomputer.com/news/security/new-cs-go-map-bypasses-russias-censorship-of-ukraine-war-news/

Twitter 遭遇攻击,私人Circle推文被暴露

日期: 2023-05-08
标签: Twitter

Twitter 透露,“安全事件”导致发送到 Twitter Circles 的私人推文向 Circle 以外的用户公开显示。Twitter Circle 是 2022 年 8 月发布的一项功能,允许用户向一小部分人发送推文,并承诺对公众保密。“Twitter Circle 是一种向选定的人发送推文并与较小的人群分享您的想法的方式,”阅读 Twitter 对隐私功能的描述。“你可以选择谁在你的 Twitter 圈子里,只有你添加的人才能回复你在圈子里分享的推文并与之互动。”然而,大约在 4 月 7 日,Twitter 用户开始警告说,推文到 Twitter Circles 的推文不再是私人的,而是在他们的时间线中向 Circle 以外的人公开显示。

详情

https://www.bleepingcomputer.com/news/security/twitter-says-security-incident-exposed-private-circle-tweets/

丹麦警告俄罗斯间谍活动

日期: 2023-05-08
标签: 间谍活动

2023年5月初,丹麦安全和情报部门警告称,2022年驱逐在外交掩护下工作的俄罗斯情报人员可能会导致新一波卧底间谍冒充“记者或商人”。Politiets Efterretningstjeneste (PET) 在2023年5月初公布的对丹麦、法罗群岛和格陵兰的间谍活动威胁的年度评估中表示,外国正在使用一系列方法来监视和影响该国。间谍威胁不仅针对关键部委的政客和公职人员、情报部门和丹麦武装部队的工作人员,还针对其他公共当局、丹麦的关键基础设施、公司、研究机构、研究人员、学生、难民和持不同政见者。PET 报告援引丹麦网络安全中心的话表示,俄罗斯拥有“强大的网络间谍能力”,并警告说“俄罗斯网络参与者对丹麦当局和公司构成持续威胁。”

详情

https://therecord.media/denmark-russian-spies-warning-journalists-business-people

Dragon Breath APT使用double-dip DLL sideloading策略

日期: 2023-05-08
标签: Dragon Breath

Sophos 研究人员观察到一个 APT 组织,被跟踪为 Dragon Breath(又名 APT-Q-27 和 Golden Eye),该组织正在使用一种新的 DLL 侧载技术,该技术增加了经典 DLL 侧载执行的复杂性和层次。攻击包括充当恶意加载程序的干净应用程序和加密的有效负载。随着时间的推移,专家们观察了组件的各种修改。在最近的活动中,第一阶段的清理应用程序“端”加载 第二个 清理应用程序并自动执行它。然后第二个应用程序侧载执行最终有效负载的恶意加载程序 DLL。

详情

https://securityaffairs.com/145876/apt/dragon-breath-double-dll-sideloading.html

美国联邦调查局、欧洲刑警组织通过SpecTor行动摧毁全球暗网毒品帝国

日期: 2023-05-09
标签: 暗网

2023年5月8日,美国当局表示,针对暗网市场的大规模国际行动最终逮捕了 288 人,缴获了 1,875 磅毒品和超过 5,000 万美元的现金和加密货币。Operation SpecTor 由 FBI 和欧洲刑警组织协调,横跨九个国家和数十个执法机构,据信已经实现了显着破坏暗网上芬太尼和阿片类药物贩运的目标。该行动揭示了由制造商、在线供应链、买家、转售商和用户组成的庞大网络。它还提供了进一步的证据,证明暗网只为犯罪分子提供了匿名的外表。

SpecTor行动由美国联邦调查局和欧洲刑警组织协调,横跨九个国家和数十个执法机构,据信已经实现了大幅打击暗网上芬太尼和阿片类药物贩运的目标。

详情

https://www.scmagazine.com/news/cybercrime/fbi-europol-operation-spector

以色列BEC活动瞄准大型跨国公司

日期: 2023-05-11
标签: BEC

以色列一个威胁团体被发现进行商业电子邮件欺诈(BEC)活动,主要针对年收入超过100亿美元的大型跨国企业。这些攻击自2021年2月以来连续350次发起,其中针对的雇员来自六大洲的61个国家。攻击者冒充被攻击雇员的CEO,然后将通讯传递给另一个外部身份,通常是并购律师,他的职责是监督支付过程。攻击者还采用多种策略,使他们的电子邮件具有合法性,在社交工程方面更加高妙。对于最新的BEC攻击方法,安全专家建议可以通过基于行为的人工智能来检测这种类似攻击,并对协作应用程序的可见性进行整合,从而大大提高安全团队检测可疑和恶意活动的能力。

详情

https://www.darkreading.com/remote-workforce/bec-attacks-out-of-israel-target-multinational-corporations

美国联邦调查局解除俄罗斯联邦安全局“蛇”恶意软件网络的武装

日期: 2023-05-11
标签: 俄罗斯联邦安全局, 美国联邦调查局

美国司法部发布声明称,通过名为“美杜莎”的联合专项行动,成功摧毁了由俄罗斯联邦安全局(FSB)运营的锁链组织。威胁组织Turla 在FSB威名显赫的第16中心内运作了近20年,使用蛇形恶意软件窃取北约成员国政府的机密。调查人员发现,Turla在攻击目标政府系统之后,通过在美国和其他地区的多台被控制设备之间传输敏感数据,以使探测更加困难。美联储开发了一种名为Perseus的工具,可以成功地 command 控制蛇形恶意软件在被攻击系统上覆盖。聚焦政府、军方和国防行业的俄罗斯网络间谍行动已在联邦调查局和澳洲等效的情报机构的共同努力下得到解决。

详情

https://www.darkreading.com/attacks-breaches/fbi-disarms-russian-fsb-snake-malware-network

西班牙黑客承认参与针对Twitter的黑客行动

日期: 2023-05-11
标签: Twitter

23岁的英国男子Joseph James O’Connor承认参与黑客计划,目标是针对包括巴拉克·奥巴马和埃隆·马斯克在内的Twitter账户。O’Connor被捕近两年后于4月26日从西班牙被引渡到美国,本周早些时候在纽约法庭认罪。除Twitter漏洞外,O’Connor的黑客组织还利用SIM卡交换攻击入侵了各种社交媒体账户,包括TikTok明星Addison Rae和女演员Bella Thorne,并窃取了一个纽约加密货币公司价值794,000美元的虚拟货币。这位被称为“PlugwalkJoe”的英国人现面临计算机入侵、勒索、尾随、电线欺诈和洗钱的指控,最高可判20年监禁。该判决在几个月前的一次新闻发布会上公布,并表示最终有3名犯罪团伙成员在3月被判刑。

详情

https://www.infosecurity-magazine.com/news/twitter-hacker-admits-guilt-new?utm_source=twitterfeed&utm_medium=twitter

FBI摧毁了Turla组织的Snake间谍软件

日期: 2023-05-11
标签: APT舆情

Snake植入物被认为是俄罗斯联邦安全局(FSB)16中心设计和使用的最复杂的网络间谍工具,用于对敏感目标进行长期情报收集。为了使用此工具进行攻击行动,FSB创建了一个由全球众多受Snake感染的计算机组成的秘密P2P网络。该P2P网络使用许多系统充当中继节点,FSB的攻击流量通过这个路由网络和Snake植入物通信。Snake的自定义通信协议采用加密和分段储存来保密,旨在阻碍检测和收集工作。

详情

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-129a

西班牙警方破获40人网络犯罪团伙

日期: 2023-05-12
标签: 网络犯罪团伙

西班牙国家警察逮捕了40名涉嫌参与一名名为Trinitarians的有组织犯罪团伙的人员,其中包括两名通过网络钓鱼和短信诈骗进行银行欺诈活动的黑客。该犯罪团伙的15名成员因涉嫌银行欺诈、伪造文件、身份盗窃和洗钱等多项罪名被起诉。该团伙涉嫌欺诈超过30万名受害者,导致超过700,000欧元的损失。警察官员表示:“这个罪犯组织利用黑客工具和商业物流进行计算机诈骗活动。”黑客通过短信向受害者发送虚假链接,用户点击后将被重定向到冒充合法金融机构的网络钓鱼平台,以窃取其凭据并滥用访问权限。盗窃的银行卡被用于购买数字资产,然后转换成资金用于支付法律费用、向监狱中的团伙成员发放资金以及购买毒品和武器。部分赃款也被汇款到外国银行账户,用于购买多米尼加共和国的房地产。

详情

https://thehackernews.com/2023/05/spanish-police-takes-down-massive.html

多个勒索软件组使Babuk代码适应ESXi虚拟机

日期: 2023-05-12
标签: ESXi虚拟机

据 SentinelOne 安全威胁研究员 Alex Delamotte 最新发布的一份报告称,过去一年中,已有10个勒索软件家族利用 Babuk 泄露的源代码,开发了专门针对 VMware ESXi 虚拟化 hypervisors 的加密勒索软件。其中一些基于 Babuk 的 ESXi 勒索软件与 Conti 和 REvil 等重要威胁行动者有关。Delamotte 表示,这个攻击模式似乎很有效,只要攻击者可以获得足够的收益,他们将继续使用这些勒索软件。企业应当确保所有的接入,尤其是对于像 ESXi hypervisor 这样的设备,都有很好的基于角色的访问控制和支持多因素身份验证 (MFA) 的服务账号。

详情

https://www.darkreading.com/cloud/multiple-ransomware-groups-adapt-babuk-code-to-target-esxi-vms

勒索该公司的前Ubiquiti开发人员被判六年监禁

日期: 2023-05-12
标签: 执法

前美国网络设备制造商Ubiquiti高级开发者Nickolas Sharp因窃取公司数据、企图勒索雇主并帮助发表误导性新闻文章,错失了该公司20%的市值,现被判处六年有期徒刑。Sharp冒充匿名黑客,要求Ubiquiti公司支付50个比特币(相当于当时的1.9万美元)才能了解受攻击漏洞和删除窃取的数据,但遭到拒绝。后来,Sharp冒名顶替公司内部告密人,并发布虚假信息,说一位恶意黑客入侵了Ubiquiti。 严控和证据表明Sharp利用自身权限,从雇主系统中窃取客户数据,导致市值损失超过40亿美元。尽管控罪最高可判处37年有期徒刑, 但纽约南区法院决定判Sharp六年有期徒刑、三年监督释放,并命令支付赔偿金1590487美元。

详情

https://www.bleepingcomputer.com/news/security/former-ubiquiti-dev-who-extorted-the-firm-gets-six-years-in-prison/

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2023-05-08 360CERT发布安全周报