报告编号：CERT-R-2023-197

报告来源：360CERT

报告作者：360CERT

更新日期：2023-06-05

0x01   事件导览

本周收录安全热点53项，话题集中在安全漏洞、恶意软件、安全分析。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

黑猫勒索软件通过新的内核驱动程序控制受保护的计算机

日期: 2023-05-29
标签: 内核驱动程序

黑猫勒索软件团伙触发了一次针对安全代理端点的攻击，利用了一个新的内核驱动程序，留下了令人担忧的威胁升级进一步发展的迹象。Trend Micro研究人员在5月22日的博客中说，他们相信这个新的内核驱动程序是一个更新版本，从前几个月发布的研究中继承了主要功能。黑猫勒索软件团伙将具有特权的内核驱动程序用于操纵和控制目标系统上的进程，包括禁用安全措施、删除文件，甚至强制系统重启等。这种新的威胁技术引起了市场人员的广泛关注。而这些攻击者为签署其恶意内核驱动程序使用不同的方法。 TredMicro的研究人员指出，攻击者试图部署曼迪安特曾经查出的旧驱动程序，但由于该驱动程序已经被公开和发现，攻击者部署了另一种内核驱动程序，该驱动程序通过窃取或泄露交叉签名证书进行签名。

详情

Legion恶意软件将范围扩展到目标AWS CloudWatch监控工具

日期: 2023-05-30
标签: 监控工具

Legion，一种能够攻击云服务的恶意软件，最初是在4月份报告的，目标是19个不同的云服务。现在，Legion已经扩大了其范围，包括攻击SSH服务器并从Laravel Web应用程序中检索Amazon Web Service特定凭据的能力。Cado Security的研究人员在其5月24日的博客文章中称，Legion针对配置错误的PHP Web应用程序，并尝试窃取云服务的凭证。Legion特别有针对性地攻击了AWS CloudWatch，这是一种AWS监控和管理服务。Mat Muir是Cado Security的威胁情报研究员，他表示，如果攻击者获得成功并依赖于所窃取凭据所连接的实体授予的许可，那么它可能会允许未经授权访问 AWS 服务和 AWS 控制台。

详情

RomCom 恶意软件通过 Google Ads 传播，用于 ChatGPT、GIMP 等

日期: 2023-05-31
标签: RomCom

最新的针对RomCom后门恶意软件的攻击活动冒充知名软件或虚构软件的网站，诱骗用户下载和启动恶意安装程序。攻击者使用远程桌面管理应用程序来分发RomCom到受害者，增加其社交工程和网络钓鱼的可能性。在该活动中，攻击者使用新的且强大的命令扩展了该工具的功能，采用负载加密和混淆来提高逃避检测的能力。RomCom通过空字节回避网络监控工具的检测，下载的恶意软件可以通过假冒的公司签名绕过检测。RomCom的作者使用VMProtect软件进行代码保护和反VM功能。TrendMicro提供了最新RomCom campaign的IoC列表和Yara规则以帮助防御者检测和停止攻击。

详情

带有间谍软件的 Android 应用从 Google Play 安装了 4.21 亿次

日期: 2023-05-31
标签: Google Play

Dr. Web的安全研究员发现，一种新的Android恶意软件作为广告SDK分发在多个应用程序中，其中许多曾经在Google Play上架，下载量超过4亿次。这款间谍软件模块被跟踪并称为“SpinOk”，该公司警告其可以窃取存储在用户设备上的私人数据并发送到远程服务器。SpinOk模块的设计意图是通过迷你游戏、任务系统和奖励吸引用户，并表现为看似合法的行为。但实际上，该SDK会检查Android设备的传感器数据（陀螺仪、磁力计）以确认没有运行在沙箱环境中，从而连接到远程服务器下载列表中的URL并展示迷你游戏。虽然该SDK显示的迷你游戏看似正常，但背后隐藏了额外的恶意功能，包括在目录中列出文件、搜索特定文件、上传设备中的文件或复制和替换剪贴板内容。文件外泄功能尤其令人担忧，可能会暴露私人图片、视频和文档。在此外，剪贴板修改功能代码可使SDK的操作人员窃取帐户密码和信用卡资料，或者劫持加密货币支付到他们自己的加密货币钱包地址中。Dr. Web声称，该SDK在101个应用程序中被发现，并从Google Play下载总计421,290,300次。其中，除一个应用外的所有其他应用已从Google Play中移除，但有可能是由第三方采购链攻击造成。

详情

分析APT37的RokRAT恶意软件

日期: 2023-06-01
标签: 信息技术, APT舆情

本分析报告介绍了对RokRAT恶意软件的调查，该恶意软件是最近由APT37组织发起的网络攻击的一部分。RokRAT是一种复杂的远程访问木马(RAT)，是攻击链中的关键组件，使攻击者能够获得未经授权的访问，窃取敏感信息，并可能对被入侵的系统保持持久控制。

详情

0x04   恶意软件

CosmicEnergy恶意软件对电网构成“看似合理的威胁”

日期: 2023-05-29
标签: CosmicEnergy

网络安全公司Mandiant近日发现一种新恶意软件——CosmicEnergy，它类似于在2016年摧毁基辅电网的黑客攻击中使用的恶意软件，专门瞄准使用IEC-104协议进行交互的远程终端单元等设备，被用于干扰电力供应。Mandiant称，这种新型恶意软件具有近似Industroyer的功能，后者是对乌克兰首都基辅进行电网攻击的恶意软件。不同之处是，CosmicEnergy发现是因为被上传到公共恶意软件扫描工具。Mandiant称，CosmicEnergy还是一种红队工具，由承包商开发，专门用于俄罗斯网络安全公司Rostelecom-Solar举办的模拟电力干扰演习。“这一发现表明，攻击者从先前的攻击中获得知识，开发新的恶意软件，使得开发攻击运营技术的门槛降低，因为我们通常观察到这些类型的功能仅限于资源丰富或国家资助的行动者。”

详情

针对网络浏览器和加密货币钱包的新型恶意软件

日期: 2023-05-29
标签: 加密货币钱包

“Bandit Stealer”是一种新的隐秘信息窃取恶意软件，能够针对多个Web浏览器和加密钱包，受到网络安全研究人员的关注。该软件专注于针对Windows，使用命令行工具“runas.exe”，允许用户以具有不同权限的其他用户身份运行程序。恶意软件通过升级特权并以管理员访问模式执行自己，从而绕过安全措施，收集大量数据。该软件代表C库来检测虚拟环境并在感染系统中终止封锁程序列表以掩盖其存在。强化系统信息并收集存储在网络浏览器和加密钱包中的个人和财务数据，同时通过Windows注册表修改确立持久性。恶意软件可通过伪装的Microsoft Word附件的电子邮件下载并传播至目标电脑。该种“柿子”软件的漏洞或泄漏信息被不良分子用于信息窃取和其他网络威胁利用，可被用于身份盗窃、金融获利、数据泄露、口令攀爬攻击或账户接管。除此之外，网络犯罪者在促进“恶意软件即服务市场的亚文化化”的同时，也正在通过多种不正当途径为其提供必要的手段。

详情

新恶意软件Bandit Stealer从浏览器和加密钱包中窃取数据

日期: 2023-05-30
标签: 加密货币

网络安全研究人员发现了一种新型窃取信息的恶意软件，专门攻击浏览器和加密货币钱包。尽管这种名为“Bandit Stealer”的恶意软件目前只攻击Windows系统，但它有可能扩展到Linux等其他平台上。特别危险的是，Bandit Stealer很难被受害者检测到，这是Trend Micro研究人员在上周发表的一份报告中写道的。恶意程序能够绕过微软开发的安全防护工具Windows Defender，这使其变得更加难以捕捉。尽管还未发现与该恶意软件关联的活跃黑客组织，但该组织及其顾客可以潜在地将该恶意软件用于身份盗窃、数据泄露、凭据填充攻击等行为。该恶意软件广告声称它是市场上最先进的窃取信息工具之一，可以窃取各种受害者数据，包括用户名、当前IP、硬盘信息、受害者计算机的详细信息和与IP地址相关的国家代码。

详情

数百万安卓用户面临Google Play上发现的恶意SDK的风险

日期: 2023-06-01
标签: 移动安全

研究人员发现，由于一种特洛伊木马模块及其多个修改版分布在Google Play上，数百万安卓用户面临网络攻击风险。特洛伊木马模块数量巨大，下载次数也超过了4.2亿次。这个被称为“Android. Spy. SpinOk”的模块旨在使用小游戏、任务系统和"奖励"等方式引起用户兴趣。木马会通过发送包含有关受感染设备的大量技术信息的请求来连接到一个C&C服务器。木马模块将JavaScript代码的能力扩展到包含广告的页面上，并添加许多功能。安全专家建议，开发人员在整合SDK之前，应查看SDK的其他内容，以确认它们可能会执行的操作。同时，多层网络安全措施可帮助减少数据泄露事件。

详情

SeroXen RAT恶意软件被用于攻击游戏玩家

日期: 2023-06-01
标签: SeroXen

SeroXen是一款除掉远程控制工具（RAT），最近因其低检测率和强大的功能而备受热捧。AT&T报告称，该恶意软件在许多黑客论坛上作为合法的远程控制工具销售，售价可以选择每月15美元或一次性支付60美元。虽然大多数受害者是游戏社区，但是该工具的受欢迎程度不断上升，可能会扩大其攻击范围，包括大型公司和组织。SeroXen基于各种开源项目，包括Quasar RAT、r77 rootkit和NirCmd命令行工具。该工具最终部署名为“InstallStager.exe”的有效载荷，该有效载荷是r77 rootkit的变种。rootkit随后使用PowerShell通过任务计划程序激活，注入到“winlogon.exe”中，将SeroXen RAT注入系统内存，确保它保持不被检测状态，并现在为设备提供远程访问权限。AT＆T担心SeroXen的增长将吸引有意针对大型组织的黑客，并发布了可用于网络防御者的指标。

详情

“Terminator”工具是伪装的易受攻击的Windows驱动程序

日期: 2023-06-01
标签: Windows驱动程序

黑客Spyboy在一个俄语黑客论坛上推广了一款名为“Terminator”的工具，声称此工具能够终结任何杀毒软件、XDR和EDR平台。但是，CrowdStrike表示这只是一种华丽的带自己的易受攻击驱动程序（BYOVD）攻击。Terminate据称能够绕过24种不同的杀软、EDR、XDR安全解决方案，包括Windows Defender，适用于运行Windows 7及更高版本的设备。使用Terminate工具需要客户在目标Windows系统上具备管理员特权，并需要欺骗用户接受运行该工具时会显示的用户账户控件（UAC）弹出窗口。然而，CrowdStrike的一名工程师在Reddit上透露，Terminate只是从一个合法的、已签名的驱动程序zamguard64.sys或zam64.sys中下载恶意驱动程序，并将其写入磁盘。写入磁盘后，Terminate加载可使用内核级别特权杀死设备上运行的AV和EDR软件的用户模式进程的恶意驱动程序。此技术是威胁行为者惯于在提升特权后安装易受攻击的Windows驱动程序以绕过受感染计算机上运行的安全软件，执行恶意代码和交付附加恶意载荷的方法。

详情

朝鲜Lazarus集团瞄准微软IIS服务器部署间谍恶意软件

日期: 2023-06-02
标签: 信息技术, Lazarus

据韩国安全厂商 ASEC 报告，神秘黑客组织 Lazarus Group 将攻击重点投向使用漏洞版本的 Microsoft Internet Information Services（IIS）服务器，作为渗透入侵的初始路线。黑客组织通过 DLL side-loading 技术来部署任意恶意负载。Lazarus Group 将恶意 DLL（msvcr100.dll）置于正常应用程序（Wordconv.exe）相同路径中，以此 Web 服务器进程 W3wp.exe 执行正常的应用程序，同时执行恶意 DLL。该恶意 DLL 将解密加密负载后，该恶意软件是通讯连接的后门，与攻击者控制的服务器通信。Lazarus 组织最近在企业通信服务提供商 3CX 的连锁供应链攻击中利用了相同的技术。该组织被认为与朝鲜有关联。此案例显示了 Lazarus 的多样性攻击能力，以及其使用广泛的工具列表；美国财政部同时制裁了朝鲜四个机构和一个个人，这些机构和个人从事恶意网络活动和筹款计划，以支持朝鲜的战略。

详情

朝鲜ScarCruft黑客利用朝鲜文字处理器传播RokRAT

日期: 2023-06-02
标签: 信息技术, ScarCruft

安全研究人员对朝鲜的ScarCruft利用的远程访问木马RokRAT进行了更详细的分析。ThreatMon称，“RokRAT是一种复杂的远程访问木马，在攻击链中担任关键组件，使威胁行动者能够未经授权地访问、窃取敏感信息并潜在地保持对受损系统的持久控制”。这个只专注于针对南韩的朝鲜网络间谍团伙自2012年以来一直活跃，估计是属于朝鲜国家安全部下属的子组。ScarCruft一直在利用社会工程学进行定向攻击，其典型方式是利用南韩广泛使用的汉字文字处理软件Hancom的Hangul Word Processor (HWP)漏洞传播所谓的RokRAT恶意软件，然后植入LNK文件以触发RokRAT恶意软件的多阶段感染过程。RokRAT恶意软件随后可以窃取系统元数据、截屏、执行远程服务器接收的任意命令、枚举目录并窃取感兴趣的文件等。该报道指出，ScarCruft最近利用伪装成汉字文档的Windows可执行文件进行攻击。

详情

0x05   数据安全

RaidForums 黑客论坛的数据库泄露

日期: 2023-05-30
标签: 黑客论坛

臭名昭著的 RaidForums 黑客论坛的数据库已在线泄露。该论坛以托管、泄露和出售从被入侵组织窃取的数据而闻名。据报道，使用该网站的威胁行为者会侵入网站或访问暴露的数据库服务器以窃取客户信息，然后试图将数据出售给其他行为者以用于网络钓鱼攻击、加密货币诈骗或恶意软件活动。 BleepingComputer 已经看到泄露的数据，其中包括 478,870 名会员的注册信息，包括用户名、电子邮件地址、哈希密码、注册日期和其他数据。虽然数据可能已经掌握在执法部门手中，但对于希望建立威胁行为者档案的安全研究人员来说，它可能很有用，可能会将他们与其他恶意活动联系起来。

详情

丰田漏洞导致客户的个人信息泄露长达七年

日期: 2023-06-01
标签: 汽车制造商

日本汽车制造商丰田汽车公司发现两个云服务配置不当，导致汽车所有者的个人信息泄露长达七年。此次发现是在此前发现一台配置不当的服务器暴露了200万客户位置数据十年之后的一项彻底调查后发现的。第一项暴露的云服务将丰田亚洲和大洋洲的客户个人信息公开，涉及历时三年。第二项泄露涉及车辆导航系统的数据，约26万日本订阅G-BOOK导航系统的客户受到波及，涉及到的车型是雷克萨斯的LS、GS、HS、IS、ISC、LFA、SC、CT和RX，车辆售出期从2009年到2015年。丰田汽车公司表示，它已经实施了一个监控云配置的系统，每隔一段时间检查所有环境的数据库设置，以防止未来发生这种泄露。

详情

又一丰田云数据泄露危及数千名客户

日期: 2023-06-02
标签: 制造业, 丰田

2023年5月31日，丰田汽车公司宣布又发现一起数据泄露事件。在过去七年中，两个配置错误的云服务泄露了260,000名车主的个人信息。本次泄露事件发生在宣布早前发生泄露事件后，该公司对其云服务功能进行了调查，这次数据泄露发生在名为Toyota Connected的云服务中，该服务允许丰田汽车车主连接到车辆的互联网服务，如娱乐功能、事故紧急援助和位置服务等。丰田汽车表示，客户的信息如姓名、电话号码、电子邮件地址和车辆注册号码从2016年10月到今年这个月都可能被外部访问。但该公司强调，泄露事件未涉及任何金融或车辆位置相关数据。

详情

生物技术公司Enzo Biochem 250万人的临床测试数据被盗

日期: 2023-06-02
标签: 卫生行业, Enzo Biochem

根据监管文件，一家生物科技公司在四月份的勒索软件攻击中，导致近250万人的测试信息和个人数据受到泄露。纽约生物科技和诊断公司Enzo Biochem表示，4月6日遭遇了勒索软件攻击，“大约247万人”的临床测试信息被“未经授权的访问或获取”。该公司在提交给美国证券交易委员会的一份8-K申报中表示，在此期间，攻击者获取并窃取了名称、测试信息和约60万个社会安全号码。发现后，公司立即断开与互联网的连接，雇佣了网络安全专家，并通知了执法部门，目前仍在进行调查。Enzo Biochem成为近几个月受到勒索软件攻击泄露患者数据的最新医学公司之一。

详情

0x06   网络攻击

DeFi 项目 Jimbos Protocol 遭受闪电贷攻击，损失超过750万美元

日期: 2023-05-30
标签: 闪电贷款攻击

基于 Arbitrum 的 DeFi 项目 Jimbos Protocol 遭受闪电贷攻击，导致损失超过 4,000 ETH，按当前价格计算价值超过 750 万美元。 Jimbos Protocol 在 Twitter 上披露了此次攻击，称已通知执法部门并正在努力补救这种情况。攻击发生在该平台的 V2 协议启动三天后，导致其 jimbo 代币价格大幅下跌。据 PeckShield 的专家称，攻击者利用平台缺乏滑点控制，获得了 590 万美元的闪贷，操纵市场价格，交易回代币并带着 ETH 逃跑。该平台已向攻击者发送一条链上消息，要求他们返还 90% 的被盗资金，以换取不提起法律诉讼。

详情

Lazarus黑客针对Windows IIS web服务器进行初始访问

日期: 2023-05-30
标签: 服务器

韩国安全公司 AhnLab Security Emergency Response Center (ASEC) 的研究人员发现，韩国跨国公司的网络最近遭受了来自朝鲜 Lazarus Group 的攻击。这一组织使用已知漏洞或配置错误来获得利用 Windows IIS 网络服务器的访问权限。一旦进入服务器，黑客放置一些文件，包括 Microsoft Office 的 Wordconv.exe 文件，挂载在 w3wp.exe 进程上，然后释放一个名为 msvcr100.dat 的编码文件。这一做法让电脑威胁行为难以被监测。在第二个阶段， Lazarus Group 通过 Notepad++ 插件利用漏洞创建一个名为 diagn.dll 的恶意软件，后者可以通过 Remote Desktop（端口3389）进行网络侧向移动。ASEC 建议企业应密切监控可疑的进程执行。

详情

全球工业自动化企业ABB被Black Basta勒索组织攻击

日期: 2023-05-31
标签: 勒索攻击

全球工业自动化企业ABB证实，该公司在一次被归因于Black Basta勒索软件组织的攻击中被盗。据信，这次攻击于5月7日袭击了这家瑞士跨国科技公司的Windows Active Directory，干扰了数百台设备，一周后被首次披露。在最初将黑客攻击简单地描述为“一个IT安全事件”之后，ABB上周发布了一份新闻稿和一份问答文档，详细介绍了发生的事情。该公司的新闻稿说：“ABB已经确定，一家未经授权的第三方访问了某些ABB系统，使用了一种非自我传播的勒索软件，并窃取了某些数据。” 该事件已经得到成功控制，ABB正在调查事件影响的范围和程度。ABB的所有关键服务和系统都在运行，所有工厂都在运行，公司继续为客户提供服务。

详情

爱达荷州医院在网络攻击后分流救护车

日期: 2023-06-02
标签: 卫生行业, 爱达荷州医院

美国爱达荷福尔斯社区医院计算机系统遭受黑客攻击后，将救护车转到其他诊所。该医院一份脸书帖子未透露此次攻击的详细信息，但表示自6月28日以来一直在努力处理此问题，某些诊所将继续关闭，“直到我们有信心能完全清除病毒为止”。医院提供服务的地区包括爱达荷州东部的一些地区，同时也是美国外布瓦州和蒙大拿州南部的商业、文化和医疗中心。目前，手术仍在继续，急诊科仍在开放，许多诊所仍在接诊。此前在全球，医疗机构遭受黑客攻击造成现实损害的现象屡见不鲜。

详情

网络攻击扰乱希腊全国高中考试

日期: 2023-06-02
标签: 教育行业, 高中考试

近日，希腊教育部门表示，该国历史上“最严重的网络攻击之一”破坏了高中期末考试。这次分布式拒绝服务攻击（DDoS）针对希腊的在线考试平台，该平台旨在制定全国统一的考试标准。在DDoS攻击中，服务器会同时受到来自多个来源的Internet流量攻击。据当地媒体报道，该考试平台（称为“科目库”）的系统故障导致学生在教室等待数小时才能开始考试。虽然攻击持续了两天，但是教育部门表示，这次攻击并没有完全禁用该系统。目前还不清楚是谁造成了这次破坏，也没有人索要赎金。去年，美国维吉尼亚州一所私立学校因遭到勒索软件攻击不得不推迟期末考试。而在田纳西州和乔治亚州的大学中，黑客盗取了学生、家长和员工的敏感信息，导致期末考试被打乱。

详情

0x07   安全漏洞

谷歌云修补CloudSQL服务中的漏洞

日期: 2023-05-29
标签: 谷歌云

安全研究人员暴露了谷歌 CloudSQL 服务中的漏洞，这些漏洞可能允许攻击者从基本用户转变为系统管理员，从而访问内部谷歌云平台 (GCP) 数据。这些漏洞包括 GCP 安全层中的漏洞，允许研究人员提升初始权限并将用户添加到 DbRootRole 角色，即 GCP 管理员角色。角色权限架构中的另一个错误配置允许研究人员进一步提升他们的权限并授予他们的用户系统管理员角色。然后，他们可以控制 SQL Server，访问主机操作系统中的敏感文件、密码和秘密数据。

详情

热像素攻击检查CPU温度，更改电源以窃取数据

日期: 2023-05-29
标签: 热像素攻击

研究团队探索了基于现代处理器的“Hot Pixels”攻击，使用内部传感器测量电频、电流和温度等数据，推断受害者浏览器中的像素和浏览历史。该攻击利用了现代SoCs和GPU的数据相关计算时序，从最新版Chrome和Safari浏览器中提取信息，即使启用了最新的侧信道措施。该攻击的准确度达到94％，且可解析大量链接。该攻击已通报苹果、Nvidia、AMD、Qualcomm、英特尔和谷歌等厂商，厂商正在致力于缓解这些问题，如限制在HTML标准上的iframes中的SVG滤镜的使用等。

详情

Expo框架中的关键OAuth漏洞允许帐户劫持

日期: 2023-05-29
标签: CVE-2023-28131, CVE-2023-28438, OAuth漏洞

应用程序开发框架Expo.io的开放授权（OAuth）实现中已经披露了一个关键的安全漏洞。API安全公司Salt Labs表示，漏洞可能导致使用该框架的服务容易发生凭证泄漏，从而可以劫持帐户并窃取敏感数据。入侵分子可以利用该漏洞在类似Facebook、Google或Twitter等各种平台上代表受影响用户执行任意操作。对于攻击成功，需要Expo使用授权会话代理设置进行单点登录（SSO），使用第三方提供商（例如Google和Facebook）。该漏洞可能被利用来将与登录提供程序（例如Facebook）相关联的秘密令牌发送到受入侵控制的域，并使用它来掌控受害者的帐户。Expo已于2023年2月18日负责任的披露后的几个小时内部署了修补程序。建议用户从使用AuthSession API代理迁移到直接在第三方身份验证提供程序中注册深层次的链接URL方案，以启用SSO功能。

详情

黑客自 2022 年以来滥用 Barracuda 零日漏洞以投放新的恶意软件、窃取数据

日期: 2023-06-01
标签: Barracuda 零日漏洞

网络和电子邮件安全公司Barracuda日前表示，最近修补的零日漏洞已被利用至少七个月，通过定制恶意软件来给客户的电子邮件安全网关（ESG）设备留下后门，并窃取数据。该公司发现威胁行动员从后门ESG设备中窃取了信息。该安全漏洞在5月19日被发现，公司在5月20日通过为所有ESG设备应用安全补丁来解决问题，并在一天后通过部署专用脚本阻止攻击者对受损设备的访问，通知客户他们的ESG设备可能已经被攻破。被建议检查其环境，以确保攻击者横向移动到网络上的其他设备，同时其他应用程序正在部署一系列安全补丁，以推进其遏制策略。CVE-2023-2868的漏洞可能提醒使用ESG设备的联邦机构，检查其网络，以查看与受损的ESG设备有关的入侵迹象。

详情

微软发现macOS漏洞，黑客可以绕过SIP根限制

日期: 2023-05-31
标签: macOS漏洞

苹果近日修复了一个漏洞，可以让具有root权限的攻击者绕过系统完整性保护（SIP），安装“无法删除”的恶意软件，并绕过透明度、同意与控制（TCC）安全检查，访问受害人的私密数据。这个漏洞是由微软安全研究人员发现并向苹果报告的，该团队称其为Migraine，现在被跟踪为CVE-2023-32369。苹果在两周前发布的macOS Ventura 13.4、macOS Monterey 12.6.6和macOS Big Sur 11.7.7安全更新中修复了这个漏洞。SIP是macOS的安全机制，可防止潜在恶意软件更改某些文件或文件夹，SIP强制执行系统的根用户帐户及其在操作系统保护区域内的能力的限制。未经授权的SIP绕过来自恶意软件制造者的重大风险，因为它使恶意代码具有广泛的影响，并创建了无法通过标准删除方法删除的SIP保护的恶意软件。

详情

WordPress 强制在 500 万个站点上安装关键的 Jetpack 补丁

日期: 2023-05-31
标签: WordPress

2023年5月30日，开源WordPress内容管理系统背后的公司Automattic开始在数百万个网站上开始强制安装安全补丁，以解决Jetpack WordPress插件的关键漏洞。Jetpack是一个非常受欢迎的插件，提供免费的安全性、性能和网站管理功能，包括网站备份、暴力攻击保护、安全登录、恶意软件扫描等。Automattic已经开始在所有使用该插件的WordPress网站上自动部署Jetpack 12.1.1安全补丁，补丁已经安装在了自2012年2.0版本以来的所有Jetpack版本的413万个站点上。网站管理员被告知要更新Jetpack的版本，以确保其网站的安全性。虽然没有发现漏洞被滥用的迹象，但由于攻击者可能会利用它开发攻击未打补丁的WordPress网站，建议所有管理员及时更新。

详情

ReportLab PDF库中的RCE漏洞可能被滥用

日期: 2023-06-01
标签: RCE漏洞

一个发布在GitHub上的漏洞利用程序可能导致远程代码执行（RCE）漏洞在ReportLab Toolkit上被滥用。这是一个流行的Python库，用于生成PDF文件，并影响多个项目。CVE-2023-33733成为攻击的目标。攻击者可以通过篡改HTML文件使其被转换为PDF，从而窃取敏感信息。安全专家建议，软件供应商应用可用安全更新来解决由库造成的供应链风险。该漏洞主要来自通过"rl_safe_eval"（防止恶意代码执行）来绕过沙盒限制的可能性，导致攻击者可以访问具有潜在风险的Python内置函数。此外，在带参数的参数限制检查方面，攻击者也可以绕过“type”，使用编译的代码对恶意函数进行构建，并执行任意操作。然而，该漏洞已在2023年4月27日发布的版本3.6.13中得到修复。

详情

黑客利用Zyxel防火墙漏洞安装恶意软件

日期: 2023-06-01
标签: CVE-2023-28771

黑客正在广泛利用Zyxel网络设备中的关键级别命令注入漏洞（CVE-2023-28771）进行恶意软件安装。此漏洞存在于受影响的防火墙和VPN设备的默认配置中，攻击者可以使用专门制作的IKEv2包执行未经身份验证的远程代码执行。Zyxel在2023年4月25日发布了漏洞补丁，并警告用户将以下产品版本用于解决漏洞:ATP - ZLD V4.60到V5.35，USG FLEX - ZLD V4.60到V5.35，VPN- ZLD V4.60到V5.35，ZyWALL / USG - ZLD V4.60到V4.73。CISA发布警报，警告CVE-2023-28771正在被攻击者积极利用，敦促联邦机构在2023年6月21日之前应用可用更新。安全专家建议，系统管理员应尽快应用可用的安全更新以减轻不断出现的攻击风险。

详情

研究人员警告黑客广泛利用Zyxel硬件中的漏洞

日期: 2023-06-02
标签: 信息技术, Zyxel

网络安全公司Rapid7本周发布的一份报告称，一种影响Zyxel防火墙的重要漏洞正在受到黑客的广泛利用。该漏洞适用于广域网（WAN）接口，这是连接设备与互联网的端口。 WAN接口通常出现在路由器、交换机和网络设备等设备上。这是台湾的Zyxel公司发布的一系列 bug 中最新的一项，该公司销售网络硬件和其他服务，通常面向中小型企业。攻击者可以利用这一漏洞远程执行恶意代码以安装恶意软件。Rapid7警告称，到5月底，Zyxel漏洞已广泛用于通过臭名昭著的Mirai僵尸网络来攻击，Mirai通常用于发动分布式拒绝服务攻击（DDoS），但它也可以执行其他任务。Zyxel发现并解决了其他两个关键性的缺陷，这些缺陷影响了同一个防火墙和VPN产品。CISA发出警告，称Zyxel漏洞正被攻击者积极利用，敦促联邦机构在今年6月之前安装可用的更新。

详情

联邦贸易委员会：亚马逊Ring的安全漏洞让黑客和员工访问客户视频

日期: 2023-06-02
标签: 信息技术, 安全漏洞

美国联邦贸易委员会周三指责亚马逊的Ring部门未实施“基本的”隐私和网络安全措施，致使黑客接管了用户的摄像头，员工和承包商看到了私人视频——包括数千个女性用户洗手间和卧室的录像。FTC在提交给哥伦比亚特区联邦地区法院的投诉中列举了这些指控，并称此制造商未限制视频访问，未能阻止凭据填充和蛮力攻击，员工及安全研究员警告无效。作为建议性判决的一部分，Ring同意通过支付580万美元的用户退款、实施新隐私和安全计划并删除侵权视频的数据来解决此类指控。FTC称，Ring的行为“严重违反了用户的隐私”，指责公司未能实施基本网络安全措施，比如多因素认证，致使黑客利用安全漏洞访问了大约5.5万个美国账户的视频和其他信息。企业的处理速度较慢，直到2020年才主动与FTC接触，这也导致其受到了批评。亚马逊还因违反儿童在线隐私保护法案（COPPA），未删除家长要求的Alexa录音而支付了2500万美元的罚款。

详情

0x08   安全分析

ChatGPT“黑匣子”问题

日期: 2023-05-29
标签: ChatGPT

根据 Baldur Bjarnason 的说法，OpenAI 的 ChatGPT 等生成人工智能 (AI) 平台的保密性可能会使用户容易受到不良行为者的“黑帽关键字操纵”。他在 Schneier on Security 博客上写道，恶意行为者可以向系统添加有毒条目，而这在大型模型中只需要少量行。然而，微软、谷歌和 OpenAI 等大型人工智能公司缺乏透明度意味着研究人员无法确定人工智能平台内是否已经发生安全漏洞。 Bjarnason 还批评了 4 月底在旧金山举行的 RSA 会议上围绕 AI 的炒作，以及缺乏对模型和训练数据的公正访问。

详情

OAuth-dev工具中的API漏洞分析

日期: 2023-05-29
标签: CVE-2023-28131, API安全

研究人员在Expo开源框架中发现了一个关键的API漏洞，使攻击者通过开放授权（OAuth）协议收集认证凭据。攻击可能使攻击者接管移动应用或配置为使用Expo AuthSession Redirect Proxy的网站上的帐户并窃取凭证。 攻击可以仅通过受害者点击恶意链接而被触发。研究人员已将自己的发现公开给Expo，后者迅速修复了API漏洞。漏洞被归类为API重定向漏洞，同时，漏洞保存了一个应用程序的回调URL，而不是在用户明确确认之前，使得漏洞被发现。

详情

PatchWork组织新型攻击武器报告- EyeShell武器披露

日期: 2023-05-29
标签: APT舆情

Patchwork APT组织，也称为Dropping Elephant、Chinastrats、Monsoon、Sarit、Quilted Tiger、APT-C-09和ZINC EMERSON，于2015年12月首次被发现，使用一套定制的攻击工具，针对多名外交官和经济学家发起攻击。近期404-高级威胁情报团队在对PatchWork的持续追踪过程中，发现其武器库中出现了一款由.NET开发的精简后门，目标框架为.NET Framework 4，狩猎追踪过程中发现该后门与BADNEWS共同出现，故有理由猜测该后门用于配合BADNEWS共同使用，该后门使用的命名空间为Eye，为了方便后续追踪及区分，根据命名空间将这款后门称之为EyeShell。

详情

WordPress 插件“Gravity Forms”易受 PHP 对象注入攻击

日期: 2023-05-31
标签: Gravity Forms

Gravity Forms是一个自定义表单构建器，可用于创建支付、注册、文件上传、访问者-站点交互或交易所需的任何表单。该插件目前被超过930,000个网站使用。但从版本2.73及以下，插件存在未经身份验证的PHP对象注入漏洞，其漏洞编号为CVE-2023-28782。攻击者可以提交特定数据，利用插件中的缺陷，将任意PHP对象注入应用程序范围内，进而获取站点的控制权、恶意修改文件或窃取内容。虽然漏洞的潜在严重性较高，但该漏洞不包含显著的POP（面向属性的编程）链。插件的开发商已于2023年4月11日发布了补丁版本2.7.4，并且建议使用Gravity Forms的站点管理员立即应用可用的安全更新。同时，管理员还应注意更新站点中的所有插件和主题，以消除其他潜在攻击向量的风险。

详情

以旅游主题为诱饵的网络钓鱼骗局开始出现

日期: 2023-05-31
标签: BEC活动

随着夏季旅游季节的临近，以旅游主题为诱饵的网络钓鱼骗局正日益抬头，给个人和组织带来了重要的挑战。Mcaffee最近的一项调查发现，近三分之一（30%）的成年人在寻找旅行优惠时已成为受害者或知道有人受害，其中三分之二的受害者损失了高达1,000美元。网络钓鱼攻击者大力模仿人力资源部门，欺骗用户点击链接，以便发送年度度假请求。攻击利用相应的人力资源程序，满足许多人期望和兴奋的夏季旅游季节，引诱受害者暴露敏感的登陆凭证。随着夏季旅游季节的增加，威胁增大，机构应警惕各种变体的网络钓鱼攻击，教育旅客避免使用公共无线网络，防止个人信息泄露。

详情

自2020年以来针对中东目标的不知名袭击分析

日期: 2023-05-31
标签: 开源工具

中东地区的企业在过去几年中遭受了一系列有针对性的攻击，而这些攻击利用开源工具作为内核驱动程序进行。Fortinet的研究人员在监测使用开源工具的可疑可执行文件时发现了所谓的Donut工具样本。特别是，这个开源的shellcode生成工具以及Wintapix驱动程序的一个变种与针对沙特阿拉伯和其他中东国家的有针对性的网络攻击有关。Fortinet的研究人员表示，他们认为这个驱动程序自至少2020年中期以来一直在运行，直到现在才被报告，并在过去几年中在多次攻击中被使用。虽然目前尚不清楚攻击者是谁，但伊朗威胁组织一直在攻击沙特阿拉伯和该地区的其他国家。

详情

Bitter组织新攻击武器分析报告-ORPCBackdoor武器分析

日期: 2023-05-31
标签: APT舆情

近期，404高级威胁情报团队在对Bitter组织的持续追踪过程中发现其武器库中出现了一款新型DLL后门，原始名称为OLEMAPI32.DLL，产品名称为Microsoft Outlook，本次发现的后门使用的通讯方式较为独特，与该组织其他武器相比较，本次发现的后门通讯方式采用RPC与服务端交互。根据已有信息来看，此次新发现的后门极有可能针对Outlook用户群体，为方便后续追踪狩猎及区分，故据此特征将其命名为ORPCBackdoor。

详情

0x09   行业动向

PyPI宣布所有软件发行商必须使用2FA

日期: 2023-05-29
标签: PyPI

Python Package Index (PyPI) 将要求管理项目的所有帐户在年底前启用双因素身份验证，作为其安全承诺的一部分。该措施旨在降低供应链攻击的风险，当恶意行为者控制软件维护者的帐户并将后门或恶意软件添加到各种软件项目使用的软件包时，就会发生供应链攻击。此举是在 PyPI 上周被迫暂时暂停新注册之后发生的。该平台托管了大约 200,000 个包，允许开发人员找到满足项目需求的现有包。设置 2FA 的要求截止日期为 2023 年底。

详情

谷歌因存储用户敏感信息遭到质疑

日期: 2023-05-30
标签: 用户数据

谷歌因储存用户前往医疗、生育和计划生育场所的位置，并在此后未能删除这些敏感地点的信息，再次受到质疑。美国一些参议员表示担忧，谷歌的位置定位数据可能会暴露用户的隐私，尤其是与重要地点如堕胎诊所和家庭暴力庇护所有关的。去年，谷歌表示将删除这些类型的敏感地点，但之后发现谷歌未能删除约60%的敏感位置数据。参议员要求谷歌分享其如何确定用户是否访问了敏感地点，并提供“元数据和其他支持文件的完整列表”。同时，他们还要求谷歌公布该公司认为哪些地点是敏感的完整列表，并且应该自动删除。此外，谷歌还被要求承诺，在用户设备和谷歌服务器上访问后的24小时内删除与任何生殖保健、心理健康和戒瘾治疗有关的敏感位置数据，并同意让第三方进行审核。

详情

美国蒙大拿州加强隐私保护

日期: 2023-05-30
标签: 隐私保护

随着 SB 384 的通过，美国蒙大拿州加强了其隐私法，该立法被认为是共和党控制的关于该主题的最强有力的州法案之一。该法案包括一项普遍选择退出条款，这意味着在线消费者可以选择不被跟踪。由于公司的反对，一些州未能包括这样的措辞，这些公司主张进行验证以避免选择退出。该法案还纳入了将为客户产生各种数据权利的条款，例如删除他们的个人信息和停止出售他们的信息的权利。包含上述规定的法律预计将于 2024 年 10 月 1 日生效。

详情

WhatsApp允许在Android手机上共享屏幕

日期: 2023-05-31
标签: 移动安全

Meta旗下的WhatsApp近年来不断增加新功能，以使其更为用户友好及增强客户体验。据WABetaInfo报道，WhatsApp即将上线一个新功能：屏幕共享。该功能可以让用户在视频通话期间与他人共享他们智能手机的屏幕，从而提升用户的视频通话体验。屏幕共享功能仅向一些测试人员开放，需要安装最新的WhatsApp for Android 2.23.11.19 beta版本。用户只需在视频通话过程中单击屏幕共享图标即可启动该功能，停止共享时只需点击“停止共享”按钮即可。WABetaInfo补充说，屏幕共享功能在大型群组通话中可能无法使用，并且可能不适用于较早版本的Android操作系统。

详情

Kali Linux 2023.2发布了13个新工具

日期: 2023-06-01
标签: Kali Linux

Kali Linux官方发布了2023.2版本，包括针对网络的渗透测试、安全审计和网络安全研究的新功能和更新 。其中更新包括了13个新工具和一个专门为Hyper-V构建的预载图像，以及用于盗取登录凭据和会话Cookie的Evilginx框架。该版本还提供了现成的Hyper-V映像，可使用RDP协议轻松连接到虚拟机。此外，该版本还进行了桌面和用户界面更新，以及添加了新的工具包和音频子系统，其中PipeWire取代了PulseAudio，提高了Linux主机上的音频易用性。用户可以进行升级或者新安装Kali Linux 2023.2。

详情

美国国防部 (DoD) 更新 2023 网络战略

日期: 2023-06-01
标签: 网络战略

美国国防部 (DoD) 已向国会提交其机密的 2023 网络战略，该战略将“保护美国人民并推进美国的国防优先事项”。国防部在其情况说明书中表示，该战略“以现实世界的经验为基础”，包括自 2022 年初俄乌战争开始以来的经验教训。更新后的网络战略还吸取了上一份发布的战略中的经验教训2018 年。新战略旨在对网络安全采取“向前防御”的方式，继续与伙伴机构合作以确保美国关键基础设施的网络弹性，并开展“向前追击”行动以协助盟友和合作伙伴建立他们的网络安全能力。网络容量和能力。下一任网络司令部司令和国家安全局局长将负责实施修改后的国防部网络战略。

详情

0x0a   勒索攻击

MCNA牙科遭遇勒索攻击，数据泄露影响890万人

日期: 2023-05-30
标签: 勒索

美国最大的政府赞助的牙科护理及口腔健康保险服务提供商之一 Managed Care of North America Dental（MCNA Dental）发布了一份数据泄露通知，告知近900万病人他们的个人数据已经遭到泄露。通知称，MCNA Dental于2023年3月6日发现网络系统被未经授权的访问，后来的一项调查发现黑客于2月26日首次获得MCNA网络的访问权限。在此期间，黑客窃取了几乎900万病人的以下信息。通知还指出，该事件影响了8923662人，包括患者、父母、监护人或担保人。MCNA声称已经采取了适当的措施来解决这种情况，并加强了其系统的安全性，以防止未来发生类似事件。受影响的人们还将获得12个月的免费身份盗窃保护和信用监测服务。

详情

黑客组织“匿名苏丹”向斯堪的纳维亚航空公司（SAS）勒索300万美元

日期: 2023-05-31
标签: 航空公司

匿名苏丹（Anonymous Sudan）黑客组织要求斯堪的纳维亚航空公司支付300万美元的赎金，以终止自从2月份以来一直在瞄准该航空公司网站的分布式拒绝服务（DDoS）攻击。该公司一直表示袭击是对1月在斯德哥尔摩的抗议活动中对《古兰经》的焚烧的抗议。虽然该小组最初是以政治动机的黑客活动的面目示人，但表现出了获取财务利益的勒索策略。匿名苏丹曾攻击过瑞典国家公共电视台、德国机场、丹麦医院、以色列银行和新闻网站，以及最近的弹道导弹警报系统。研究人员警告称，虽然该组织主要进行不成熟的DDoS攻击，但由于它们针对医院、机场、银行和政府机构等关键设施，因此可能会造成严重后果。

详情

布赫提勒索团伙切换战术，利用泄露的LockBit和Babuk代码

日期: 2023-06-02
标签: 信息技术, CVE-2022-47966, CVE-2022-47986, CVE-2023-27350, LockBit

据SANS Internet Storm Center（ISC）发现，黑客正在通过扫描网络寻找未受保护的Apache NiFi实例，以隐秘的方式安装加密货币挖矿程序，并协助横向移动。攻击者会利用NiFi服务器的访问权限，将恶意软件Kinsing从远程服务器下载并启动。攻击者还利用蜜罐发现，攻击脚本不保存在系统中，而是仅保存在内存中。攻击需要使用109.207.200[.]43 IP地址攻击端口8080和8443/TCP。SANS ISC表示，由于NiFi服务器通常可以访问业务关键数据，它们很可能是攻击者的目标，攻击很容易实施，如果你没有对NiFi服务器进行保护措施。

详情

0x0b   其他事件

美国制裁朝鲜特工，揭露朝鲜对远程IT工作者的剥削

日期: 2023-05-29
标签: 朝鲜特工

美国财政部对朝鲜有关机构和个人实施了经济制裁，并指控他们参与培训黑客、进行网络攻击和运行秘密的国际IT劳动力。财政部表示，制裁清单包括自动化大学、技术侦查局以及金永信息技术合作公司等四家机构和一名朝鲜国民。这一举措虽然对朝鲜的网络攻击没有实际影响，但将帮助政府扣押任何美国资产，在透露了朝鲜网络威胁组织的最新针对性网络攻击事件后，证明了美国政府的决心。其中，桥阳信息技术合作公司被认为是人民武装部队的分支，派遣IT工人到俄罗斯和老挝等国，据报道，有些人每年可获得高达30万美金的薪资，以将资金汇回政权。他们的网络攻击案件的目的是支持这个国家的核武器计划。

详情

Practicefirst因漏洞修补失败导致安全事件被罚55万美元

日期: 2023-05-30
标签: 用户数据

纽约州以未及时应用已知漏洞的罚款形式罚款Practicefirst Medical Management Solutions和PBS Medcode550,000美元。这导致了一次大规模的数据泄露，影响了120万人，其中有428,000人居住在纽约。此外，和解还要求Practicefirst加强其数据安全实践，并为受影响的消费者提供免费的信用监控服务。2020年12月25日，勒索软件袭击了Practicefirst的网络，但这之前黑客已经访问并窃取了这家公司的患者和员工文件。公司的调查发现黑客窃取了79,000份文件，其中包括患者的社会安全号码、驾驶证、诊断、药物、财务数据和出生日期。纽约州检察官办公室(OAG)的调查发现，Practicefirst网络上的被窃数据没有加密。虽然健康保险可移植性和责任法案并未要求采取加密措施，但如果实体选择不加密，它们必须实施可比较的政策或解释为什么这样做不是“合理或适当”的。

详情

OneMain Financial因数据泄露被罚450万美元

日期: 2023-05-30
标签: 数据安全

纽约州金融服务部（DFS）发现，OneMain Financial 在 2018 年至 2020 年间至少经历了三起网络安全事件。这些事件是由各种故障引起的，包括网络安全程序缺陷和访问控制问题。 DFS 标记的问题包括第三方供应商风险、管理用户权限、网络安全培训和缺乏适当的访问限制。 OneMain Financial 已同意向 DFS 支付 425 万美元，旨在解决 DFS 例行审计期间发现的违规行为。根据 2017 年 DFS 网络安全条例，金融实体必须遵守安全要求框架，以确保他们使用最佳实践措施来保护其信息系统和消费者数据免受安全风险。

详情

亚马逊因Ring、Alexa侵犯隐私而面临3000万美元罚款

日期: 2023-06-01
标签: 数据隐私

亚马逊将支付3000万美元罚款来解决有关Ring视频门铃和Alexa虚拟助手服务隐私侵犯的指控。联邦贸易委员会（FTC）控告Ring公司涉嫌非法监视客户并未能防止黑客控制用户的摄像头。亚马逊必须支付580万美元的退款给消费者，禁止从非法获取的消费者视频中获利。Ring公司被控通过向员工和承包商授权私人视频的访问损害了客户的隐私。FTC指出，Ring直到2019年才开始采取多因素身份验证等重要保护措施。另外，FTC和美国司法部还指控亚马逊违反了儿童隐私法，未能删除他们的语音记录和地理位置信息。根据一项提议，亚马逊必须支付2500万美元并按照父母的要求删除儿童的数据。此外，还禁止使用儿童的数据来训练其算法，并要求删除不活跃的儿童账户和相关语音记录和地理位置数据。

详情

网络犯罪分子瞄准Apache NiFi实例进行加密货币挖矿

日期: 2023-06-02
标签: 金融业, CVE-2020-14882, CVE-2020-14883, 加密货币

网络安全研究机构SANS Internet Storm Center（ISC）发现，一名有财务目的的威胁行为者正在搜索未受保护的Apache NiFi实例，以秘密安装加密货币挖矿器并便于横向移动。攻击者的攻击脚本可以从远程服务器上下载和启动Kinsing恶意软件。攻击使用IP地址109.207.200 [.]43攻击端口8080和端口8443/TCP。攻击利用NiFi服务器通常具有对业务关键数据的访问权限来发起攻击，因此需要注意保护NiFi服务器。据了解，Kinsing会利用公开披露的漏洞对公共可访问的Web应用程序进行攻击，这已经出现在了2020年由Trend Micro披露的攻击链中。

详情

0x0c   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0d   时间线

2023-05-29 360CERT发布安全周报