报告编号：CERT-R-2023-228

报告来源：360CERT

报告作者：360CERT

更新日期：2023-06-20

0x01   事件导览

本周收录安全热点59项，话题集中在安全分析、网络攻击、行业动向，主要涉及的黑客组织有：Shuckworm、Clop、APT-C-63等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

利用Stealth Soldier后门针对北非的网络间谍行动

日期: 2023-06-12
标签: 信息技术, APT舆情

Check Point Research确定了一项针对北非目标的持续间谍行动，涉及一个名为Stealth Soldier的先前未公开的多阶段后门。恶意软件命令与控制(C&C)网络是一组更大的基础设施的一部分，至少部分用于针对政府实体的鱼叉式网络钓鱼行动。根据在网络钓鱼网站主题和VirusTotal提交内容中观察到的情况，该活动似乎以利比亚组织为目标。这次行动与“Eye on the Nile”之间存在相似之处，“Eye on the Nile”是另一项针对该地区的攻击行动，Amnesty和Check Point Research将其与政府支持的机构联系起来。

详情

疑似APT32针对越南上市公司的新SPECTRALVIPER后门

日期: 2023-06-13
标签: 信息技术, SPECTRALVIPER后门, APT舆情

Elastic Security Labs几个月来一直在跟踪针对越南大型上市公司的入侵集REF2754。在此期间，发现了一个与国家有关联的攻击者使用的新恶意软件SPECTRALVIPER。SPECTRALVIPER是一个高度混淆的、以前未公开的x64后门，它具有PE加载和注入、文件上传和下载、文件和目录操作以及令牌模拟功能。Elastic Security Labs将REF2754归因于一个越南的入侵集，并与Canvas Cyclone/APT32/OceanLotus威胁组织保持一致。

详情

0x04   恶意软件

一种新的定制后门Stealth Soldier以北非为目标进行间谍攻击

日期: 2023-06-12
标签: 政府部门, 间谍攻击

安全公司 Check Point 近日发布一份技术报告称，一种名为“Stealth Soldier”的自定义背门最近被部署成了一系列高度针对性的间谍攻击北非的工具。该工具是一款未经记录的背门程序，主要操作是监视功能，包括文件窃取、屏幕和麦克风记录、按键记录和浏览器信息窃取等。攻击的目标主要是利用社交工程后，从虚假下载器转交了该自定义模块植入程序。所使用的C&C服务器模拟的是利比亚外交部门中的某些网站。Check Point指出，他们发现了三个版本的“Stealth Soldier”，说明该系统仍然被开发和维护。再利用这种模块化的特点，加上多个感染阶段，可能会给防御带来更加复杂的挑战，建议有关部门及时采取措施。

详情

新的加载器通过图像窃取加密货币信息提供间谍软件

日期: 2023-06-13
标签: 信息技术, DoubleFinger

据卡巴斯基研究人员在6月12日发布的博客文章中表示，俄语攻击者使用一种新型下载器和植入恶意软件的PNG图像文件进行复杂攻击，目的是窃取加密货币或企业账户信息。该多阶段攻击似乎主要瞄准欧洲、美国和拉丁美洲的实体。攻击以“DoubleFinger”多阶段加载器开始，它会将植入恶意代码的图像文件下载到受害者的计算机上。恶意软件利用“GreetingGhoul”窃取加密货币凭据。攻击者通常来自独联体国家，但该报告称，这并不足以得出这些攻击背后的人员确实来自后苏联地区的结论。

详情

“DoubleFinger”恶意软件针对加密货币钱包

日期: 2023-06-14
标签: 金融业, 加密货币

安全专家发现一种名为“DoubleFinger”的新恶意软件针对加密货币钱包。此发现来自于卡巴斯基的安全专家，他们在周一发布的博客文章中讨论了这一威胁。此恶意软件使用了类似于高级持续性威胁（APT）的多阶段攻击方法。恶意邮件附件包含了一个PIF文件，导致一系列事件的触发。然后，DoubleFinger下载伪装成PNG文件的加密组件，包括第二阶段的加载器、合法java.exe文件和另一个用于后续阶段的PNG文件。最终，其安装了GreetingGhoul加密窃贼，每天定时运行，瞄准受害者的加密货币钱包。其中，GreetingGhoul由两部分组成。第一部分检测系统中的加密钱包应用程序，并窃取私钥和种子短语等有价值的数据。第二部分在加密货币应用程序的界面上叠加，拦截用户输入，使黑客能够控制和提取资金。

详情

CosmicEnergy恶意软件是否对美国关键基础设施造成威胁存在争议

日期: 2023-06-14
标签: 信息技术, CosmicEnergy恶意软件

近期发现的CosmicEnergy恶意软件是否对关键基础设施的威胁存在争议。威胁情报公司Mandiant上个月将CosmicEnergy标记为对电网运营商的“合理威胁”。CosmicEnergy是在代码上传到公共恶意软件扫描工具后，Mandiant首次对其进行了识别。Mandiant在上个月的分析中称，有证据表明该软件是作为用于模拟电力中断演习的红队工具而开发的。然而，网络安全公司Dragos上周发布的一份报告认为，目前该恶意软件缺乏危害应用技术（OT）网络的成熟度。两个团队都同意需要准备处理OT网络漏洞。

详情

最新版本的 GravityRAT 作为木马化聊天应用程序“BingeChat”进行传播

日期: 2023-06-16
标签: 信息技术, 移动安全

ESET 已确定 Android 恶意软件活动将最新版本的 GravityRAT 作为木马化聊天应用程序“BingeChat”进行传播。该恶意软件自 2022 年 8 月以来一直在传播，该应用程序拥有位置、联系人、电话、存储、摄像头和麦克风的权限，所有这些都是即时通讯应用程序的标准。然后，该应用程序会将通话记录、联系人列表、短信、设备位置和基本设备信息以及媒体和文档文件发送到威胁的命令和控制服务器。 GravityRAT 还能够从服务器接收三个命令：“删除所有文件”、“删除所有联系人”和“删除所有通话记录”。此活动高度针对印度，但 Android 用户应避免从 Google Play 外部下载 APK，并对任何应用程序的风险权限请求保持谨慎。

详情

0x05   数据安全

非活动Salesforce社区可能泄露敏感数据

日期: 2023-06-12
标签: 信息技术, 敏感数据

研究人员发现，由于管理人员忽略了新的安全指南，导致一些已弃用或未维护的Salesforce站点容易遭到黑客攻击。这些“幽灵站点”起始于自定义域名，当公司更改供应商且未删除自定义域或取消Salesforce站点时，就会出现风险。攻击者通过更改主机头即可访问这些站点，而工具索引和归档DNS记录则让攻击者更容易发现这些站点。研究者发现许多站点里的机密数据，包括个人身份信息和敏感商业数据，这些攻击者是不能够通过其他方式获得的。Varonis的研究人员建议，应该取消Salesforce社区，以避免这个问题。

详情

0x06   网络攻击

英国曼彻斯特大学遭受网络攻击

日期: 2023-06-12
标签: 教育行业, 数据库

2023年6月9日，英国曼彻斯特大学宣布遭遇网络攻击，黑客访问了其数据，并“很可能”拷贝了数据。大学的内部团队和提供外部支持的未知公司尚未确定访问了哪些数据，大学承诺在获取更多信息时通知学生。大学的40000多名学生已被警告要提高警惕以防止网络钓鱼。据悉，大学的一项“高度限制数据服务”于今年初推出，以确保敏感数据的安全。然而，不知道黑客是否访问了该服务中的数据。大学表示，已向信息专员办公室、学生办公室、国家网络安全中心和国家犯罪局报告了此次事件，并将继续与各方密切合作，以查明幕后黑手。

详情

乌克兰黑客摧毁俄罗斯银行基础设施

日期: 2023-06-13
标签: 政府部门, 关键基础设施

一个自称为“Cyber Anarchy Squad”的亲乌克兰黑客组织瞄准了 JSC Infotel，该公司向其他数百家公司提供通信服务，其中四分之一是俄罗斯银行。 JSC Infotel 有助于访问银行间系统自动电子交互系统 (ASEV)，这意味着俄罗斯银行和信用合作社无法访问银行系统或进行支付。攻击已经持续了两天半。研究人员声称乌克兰组织已经“远程清除”了 JSC Infotel 的基础设施。 2022 年 12 月，该国第二大银行透露，它遭到了有史以来规模最大的 DDoS 攻击。自入侵乌克兰以来，针对英国金融机构的网络攻击也增加了 81%。

详情

瑞士政府成为一系列网络攻击的目标

日期: 2023-06-13
标签: 政府部门, DDoS

瑞士数个联邦机构和它们的附属企业的网站于2023年6月12日遭到网络攻击，该国财政部证实了这一情况。瑞士官方表示，“联邦政府专家迅速察觉到了这次攻击”，并“正在采取措施尽快恢复网站和应用程序的访问权限”。此次分布式拒绝服务（DDoS）攻击被NоNаmе攻击组宣称，该组织专门攻击乌克兰和欧洲组织，支持俄罗斯。该组织还声称，于6月7日至8日期间对瑞士国会发起了类似的攻击。瑞士联邦政府还表示，正在调查针对Xplain公司的勒索软件攻击。Xplain是一家瑞士软件公司，在瑞士军队、联邦警察局（Fedpol）和国家铁路公司（FSS）等多个政府机构中具有联系。Xplain先前已证实遭到了袭击，并表示其认为初始攻击发生在6月3日，由俄罗斯的Play勒索组织发起。

详情

RomCom 黑客组织瞄准乌克兰政客和美国医疗行业

日期: 2023-06-13
标签: 卫生行业, 政府部门, RomCom 黑客组织

威胁组织RomCom再度出现，瞄准乌克兰政客及美国卫生组织援助乌克兰难民计划。攻击透过木马版本的远程桌面管理器部署，利用网络钓鱼策略引诱受害者下载。RomCom使用打字错误技术模仿真正网站，分发看似合法的负载到无意知情者的计算机中。攻击主要目的不是获利，而是地缘政治议程，窃取机密情报。RomCom特点是行动高度隐秘，不断更新策略，适应环境变化，故需要提高员工鉴识力，关注漏洞信息，采取适当行动防范。

详情

“隐形士兵”使用监控恶意软件攻击利比亚政府实体

日期: 2023-06-13
标签: 政府部门, 利比亚政府

网络安全公司 Check Point Research 发现，近期发现了一波利比亚人受到的高级持久性威胁（APT）攻击，使用了可进行监视功能的恶意软件。该恶意软件名为 Stealth Soldier，主要进行文件外泄、屏幕和麦克风录制、按键记录，以及窃取浏览器信息等监视功能。该恶意软件还添加了未编制且定制化的模块化后门。Check Point 研究人员称，可能最新版本是在 2 月份传递的。该公司指出，恶意软件 C2 服务器很可能是与一组更大的基础设施相关，用于通过定向钓鱼活动攻击政府实体。Cyberscoop 指出，这次攻击可能与 2019 年的“尼罗之眼”行动有重叠之处。尽管在恶意软件 Stealth Soldier 中发现了尼罗之眼域名，但目前还没有检测到利用这种恶意软件进行对埃及用户的攻击。

详情

微软表示 Azure 中断是由“异常”流量激增引起的

日期: 2023-06-14
标签: 信息技术, Azure

微软宣布，Azure云平台服务最近的连接性故障是由大量HTTP请求异常增多引起的，此前黑客组织Anonymous Sudan声称对该服务发起了分布式拒绝服务（DDoS）攻击。微软在周二发表的初步调查报告中称，这些请求激增导致Azure在周五在多个国家显示“服务不可用”消息。微软在两个小时内解决了这个问题。该公司表示，将在未来两周内发布有关Azure故障更多细节的完整调查结果。黑客组织Anonymous Sudan声称已对其他美国公司发起攻击，贝尔法斯特一家卫生组织和瑞典公司也被攻击。安全研究人员认为，该组织是经济动机，是亲俄网络犯罪组织Killnet的一个分支。

详情

Zacks 确认黑客入侵，900 万个账户受到影响

日期: 2023-06-14
标签: 信息技术, 用户数据

据美国数据分析公司Zacks表示，该公司的网站zacks.com日前遭遇了一次黑客攻击，攻击者窃取了部分客户的加密密码。Zacks并未确认具体受影响客户人数，但已证实攻击是前一波黑客攻击的一部分，此前黑客偷走了“一小部分格式未加密的密码”。据一家通知漏洞网站Have I Been Pwned?（HIBP）透露，约900万名zacks.com客户名、用户名、电子邮件、物理地址、电话号码以及以不加盐的SHA-256哈希存储的密码正在流传于“一个流行的黑客论坛”上。报道指出，客户密码因未加盐而被众所周知，而HIBP的报告提到，正是在这种情况下已开发了绕过SHA-256哈希模式的黑客攻击技术。

详情

白象组织盯上国内军工和高校，网络攻击持续不断

日期: 2023-06-15
标签: 政府部门, 科研服务, 教育行业, APT舆情

白象APT组织（Patchwork）是一支疑似具有南亚某政府背景的黑客组织，最早攻击活动可追溯到2009年。其攻击目标主要为中国、巴基斯坦、孟加拉国等国家的军工、外交、科研高校等相关敏感单位。微步情报局近期捕获到多起白象组织的攻击活动，经过分析有如下发现：攻击者通过钓鱼邮件向我国政府及高校发起网络攻击，通过在邮件中附带恶意附件执行恶意代码，恶意附件伪造为.pdf文件，实际上为.lnk快捷方式，快捷方式通过powershell从C2服务器下载诱饵及木马文件；在攻击手法上，投递阶段保持了一贯的做法，以附带恶意附件或恶意连接的钓鱼邮件为主，投递阶段的标题多以“通知”、“会议”、“纪要”等具有时效性的话题为主；白象组织不仅使用以往常用的BADNEWS木马对目标进行远控，还利用商业木马“Remcos”以及开源渗透框架“Havoc”对目标发起攻击。

详情

攻击者一直在利用MOVEit Transfer漏洞攻击美国公共和私营部门

日期: 2023-06-16
标签: 政府部门, MOVEit

自五月底公布后，攻击者一直在利用MOVEit Transfer文件传输应用程序中的漏洞攻击美国公共和私营部门。美国网络安全与基础设施安全局（CISA）执行助理主任埃里克·戈德斯坦表示，该机构“为多个遭受MOVEit应用程序入侵的联邦机构提供支持。”尽管MOVEit软件公司已经发布补丁，但CISA正致力于确保及时纠正。被攻击的机构包括美国政府、加拿大诺华斯科舍省政府和英国航空公司员工。袭击可以导致权限升级。此次入侵的消息几乎肯定会在国会引起关注。 CISA主任詹妮弗·伊斯特利（Jen Easterly）回应称，联邦网络和数据的曝光似乎较少，不构成系统或国家安全风险。

详情

0x07   安全漏洞

安全专家敦促修补Win32k特权提升漏洞

日期: 2023-06-12
标签: 信息技术, Windows

安全研究人员发现并公布了一个正在被攻击的Microsoft Windows安全漏洞，攻击者可以利用此漏洞获得受影响系统的特权。该漏洞标识为CVE-2023-29336，CVSS评分为7.8分，是与 Win32k相关的特权提升问题。微软已经发布了一个补丁，包括在2023年5月的“补丁星期二”中升级。尽管目前还不知道入侵利用的确切细节，但网络安全公司Numen Cyber已经破解了微软发布的补丁，并为Windows Server 2016创建了一个PoC文件，证明了黑客可以利用该漏洞让低权限的用户获得Windows系统中的最高特权。研究人员提醒系统管理员注意内存中的异常偏移读写，可能表明正在进行CVE-2023-29336的活动渗透攻击。此外，最近还发现了一些漏洞，可能允许攻击者获得更高的特权。

详情

Fortinet和PaperCut：2023年关键漏洞

日期: 2023-06-12
标签: 信息技术, CVE-2023-27524, CVE-2023-27350, CVE-2022-41328, CVE-2022-23529, CVE-2023-28858, PaperCut

Rezilion最近发布的一份报告中指出在2023上半年中存在的一些值得注意的漏洞，并提供了修复建议。漏洞涉及各种来源，包括开发流程、开源软件和供应链。其中，Apache Superset、PaperCut和Fortinet FortiOS三个漏洞容易导致鉴定绕过和最高系统权限代码执行，需要尽快修复。报告也提及了JsonWebToken漏洞，其中CVE编号为CVE-2022-23529，该漏洞初始的CVSS得分非常高，但随着更深入的评估分析，需要重新详细评估漏洞的各种影响。报告还指出，即使在重要服务中存在低级别漏洞，若影响范围广泛，也必须受到重视。安全团队要注意最新漏洞信息，采取积极措施减轻相关风险。

详情

研究人员发布了针对 MOVEit RCE 漏洞利用的全链概念验证

日期: 2023-06-13
标签: 信息技术, MOVEit

安全研究人员针对 Progress Software 的 MOVEit Transfer 文件传输应用程序中的一个漏洞发布了概念验证代码，该漏洞可能导致攻击者远程执行代码。该漏洞被追踪为 CVE-2023-34362，被 Clop 勒索软件团伙在野外利用，是一个 SQL 注入，允许未经身份验证的攻击者获得对 MOVEit 数据库的未授权访问。该严重缺陷影响了 MOVEit Transfer 的所有版本，但是，供应商于 5 月 31 日发布了一个补丁来解决它，同时还发布了另一个漏洞的补丁。 Horizon3ai 和 Rapid7 的研究人员表示，他们发现了几种不同的方法来武器化 SQL 注入，Rapid7 表示它“已经开发出更好的方法”。

详情

Fortinet 修补 FortiGate SSL-VPN 中的严重漏洞

日期: 2023-06-14
标签: 信息技术, Fortinet

Fortinet修补了其FortiOS和FortiProxy SSL-VPN软件中的一个严重漏洞，该漏洞可能被利用来劫持设备。漏洞通用名称为CVE-2023-27997，具有9.2的CVSS评分，据报道，其允许远程代码执行，并首次被Lexfo的一位安全分析师发现。FortiOS固件版本6.0.17、6.2.15、6.4.13、7.0.12和7.2.5都包含了安全修复。需要注意的是，释出说明最初没有提到安全调整解决了此严重的SSL-VPN RCE漏洞。安全专业人士和管理员随后透露，这些更新默默地解决了预定于2023年6月13日披露的漏洞，提供了零日修补程序。

详情

Microsoft Azure 服务中发现了两个跨站点脚本 (XSS) 漏洞

日期: 2023-06-15
标签: 信息技术, XSS漏洞

Orca Security 的网络安全研究人员在 Microsoft Azure 服务中发现了两个跨站点脚本 (XSS) 漏洞。这些缺陷可能让 Azure 用户面临安全漏洞，并在 Azure Bastion 和 Azure 容器注册表服务中被发现。攻击者可以执行恶意脚本，并可能通过利用 postMessage iframe 中的弱点来破坏客户会话和敏感数据。三个月前，Orca 报告披露了测试结果，该报告强调了微软 Azure Service Fabric Explorer 中的安全漏洞。研究人员在发现最新漏洞时通知了 Microsoft 安全响应中心，并且都已修复。

详情

WooCommerce Stripe Gateway 插件被发现包含IDOR漏洞

日期: 2023-06-15
标签: 信息技术, WordPress

WooCommerce Stripe Gateway 插件是一种流行的 WordPress 插件，被发现包含未经身份验证的不安全直接对象引用 (IDOR) 漏洞，可能会暴露用户的个人身份信息 (PII)。该漏洞影响 7.4.0 及以下版本，允许未经身份验证的用户查看与 WooCommerce 订单相关的用户信息。安全研究人员于 2023 年 4 月 17 日发现并披露了该漏洞，供应商于 5 月 30 日发布了补丁以解决该漏洞。建议使用该插件的网站所有者和开发人员立即更新以降低风险，保持警惕，并通过检查订单密钥和所有权来确定对订单对象的访问控制。这一发现是在为 Elementor 发布修复类似漏洞的路径之后发现的。

详情

微软补丁日解决6个严重漏洞

日期: 2023-06-15
标签: 信息技术, 微软补丁日

本月的“补丁日”中，微软解决了6个严重漏洞，其中包括四个远程代码执行漏洞和两个权限提升漏洞和拒绝服务漏洞。本次修补还包括了其他67个被评为不重要的漏洞，以及之前发布的22个第三方安全修复程序。Windows Pragmatic General Multicast中的三个关键远程代码执行漏洞，需要通过向一些网络发送定制消息来试图触发恶意代码。对于所有支持的.NET、.NET框架和Visual Studio版本都产生影响的.NET/Visual Studio关键漏洞，恶意攻击者通常需要引诱受害者打开定制的恶意文件。尽管微软认为这些漏洞的开发不太可能，但针对特定漏洞制定的利用工具仍可能以其自身的形式出现。

详情

0x08   安全分析

零信任身份的关键是自动化

日期: 2023-06-13
标签: 信息技术, 零信任

“零信任”策略基于认为用户和设备为不确定的对象，“即使他们在企业物理环境内或外，都被视为不值得信任。在零信任世界中，一个受信任的身份是进入企业核心网络、系统和资源的人和设备的关键”。实现零信任环境的关键在于找到验证身份的方法，企业可使用公钥基础结构（PKI）技术来实现。PKI帮助企业证明受信任的身份，通过为设备和授权用户发放证书以及使用受信任的证书颁发路由，确保为每个人、设备和应用程序分配证书以证明其合法身份，并获得访问资源的权限。企业可以利用现有的工具自动发放、更新和吊销证书。这些技术的实现可帮助企业管理证书并提高管理效率。

详情

分析APT37组织的TTP

日期: 2023-06-13
标签: 信息技术, APT舆情

RedEyes（也称为 APT37、ScarCruft、Reaper）组织是一个国家支持的APT组织，主要针对个人，包括朝鲜叛逃者、人权活动家和大学教授。众所周知，他们的任务是监视某些人的日常生活。AhnLab安全应急响应中心(ASEC)证实，2023年5月，RedEyes组织散布了滥用Ably平台的Golang后门，并使用了包括麦克风窃听功能在内的以前未知的信息窃取恶意软件。

详情

“量子”系统击穿苹果手机——方程式组织攻击iOS系统的历史样本分析

日期: 2023-06-13
标签: 信息技术, APT舆情

2023年6月1日，卡巴斯基发布了《三角行动：iOS设备被以前未知的恶意软件攻击》，由于卡巴斯基尚未公开有关事件样本信息和分析结果，尚无法判定分析的这些历史样本是否是“三角行动”攻击样本的早期版本。但明确的判断是：安天所分析的样本，和卡巴斯基所曝光的攻击同样来自方程式组织。但与卡巴斯基所发现的样本是依托iMessage的漏洞投放不同的是，本报告的相关攻击样本来自方程式组织基于“量子”（QUANTUM）系统在网络侧针对上网终端浏览器漏洞利用投放。

详情

研究报告：Armis 强调关键基础设施中风险最高的设备

日期: 2023-06-14
标签: 政府部门, 关键基础设施

Armis发布了一份新报告，确定了威胁关键基础设施行业的风险最大的设备。具体而言，该研究侧重于制造、公用事业和交通运输公司。研究得出结论：对这些行业构成最高风险的操作技术（OT）和工业控制系统（ICS）设备是工程工作站、SCADA服务器、自动化服务器、历史记录以及可编程逻辑控制器（PLC）。在这些设备中，工程工作站在过去两个月中遭受的攻击尝试最多，其次是SCADA服务器。统计数据显示，56％的工程工作站至少有一个未打补丁的关键漏洞，16％受到至少18个月前发表的可武器化漏洞的影响。报道认为，其他一些设备（如不间断电源、条码阅读器、工业管理交换机、IP摄像头和打印机）由于在2022年1月之前已发布的武器化漏洞而处于危险之中。

详情

93% 的蜜罐攻击活动都与 Microsoft SQL (MSSQL) 相关

日期: 2023-06-14
标签: 信息技术, 蜜罐攻击活动

Trustwave 的 SpiderLabs 报告显示，93% 的蜜罐攻击活动都集中在跟踪俄罗斯、乌克兰、波兰、英国、中国和美国的数据库服务器上的活动，这些活动与 Microsoft SQL (MSSQL) 相关。 SpiderLabs 已建议安全团队强制执行强而独特的密码，采用强而安全的身份验证，禁用默认帐户并启用多因素身份验证，以显着提高数据库安全性。安全团队还应该管理频繁的安全审计，使软件保持最新状态，并密切监控那些试图访问系统的人及其特权。 SpiderLabs 对 Redis 数据库的攻击感到惊讶，因为 Redis 是在 2009 年才推出的。迄今为止，有超过 270,000 个 Redis 实例，其中开放端口 6379/tcp 的实例超过 600,000 个。

详情

CISA：2022 年六分之一针对美国政府的勒索软件攻击是 LockBit 造成的

日期: 2023-06-15
标签: 政府部门, 信息技术, LockBit

美国网络安全与基础设施安全局（CISA）表示，2022 年六分之一针对美国政府的勒索软件攻击是 LockBit 造成的。美国、加拿大、英国、德国、法国、澳大利亚和新西兰的网络安全机构在周三发表了一份关于这一“在世界范围内部署最广泛的勒索软件变种”的大型研究报告。它声称，LockBit已经对至少1653次勒索软件攻击负责，并根据其泄漏网站上的受害者计算，从美国受害者那里获得了约9100万美元的赎金。据该组织披露，它的成功部分在于它使用联属网络，在攻击中利用了几种战术和漏洞。ATotal of 逾30工具被黑客使用，并提供有关这个黑客组织的作战方式的更多信息。该组织还使用了开源工具，例如Nmap、Cobalt Strike、Mimikatz和ResponderPlus。

详情

微软揭露新的俄罗斯黑客组织Cadet Blizzard

日期: 2023-06-15
标签: 信息技术, 微软

微软公司公布，自2022年1月追踪的一国家赞助的网络威胁组织最近被确定为一新兴的俄罗斯军事情报部门（GRU）的高级持久威胁（APT）组织。微软命名该组织为Cadet Blizzard。该组织被发现在邻国乌克兰遭受俄罗斯入侵前一个月就创造并部署了WhisperGate恶意软件。微软威胁情报描述WhisperGate具有“破坏性能力，可以清除主引导记录（MBRs）”，旨在删除数据并使系统无法运行。Cadet Blizzard的主要目标是乌克兰政府组织和IT提供商，但微软表示欧洲和拉丁美洲的组织也已成为受害者。微软威胁情报评估提供军事援助给乌克兰的北约成员国处于更大的风险。该组织采用供应链攻击和类似农场作业的技术攻击网络，并广泛使用移动基础设施攻略。此外，该组织的神秘和幼稚也导致其受到限制。

详情

微软将WhisperGate归因于新俄罗斯APT组织Cadet Blizzard

日期: 2023-06-16
标签: 政府部门, APT舆情

微软分享了以前被追踪为DEV-0586的威胁组织的最新详细信息，现在被称为Cadet Blizzard。微软评估Cadet Blizzard的行动与俄罗斯总参谋部主要情报局(GRU)相关，但独立与其他已知和更成熟的GRU附属组织，例如Forest Blizzard和Seashell Blizzard。在俄罗斯入侵乌克兰的一个月前，Cadet Blizzard在创建和部署WhisperGate时预示了未来的破坏性活动，WhisperGate是一种针对乌克兰政府组织的擦除器恶意软件。Cadet Blizzard还与几个乌克兰网站的篡改以及多项行动有关，包括被称为“Free Civilian”的黑客和泄密论坛。

详情

APT-C-36（盲眼鹰）近期攻击手法分析

日期: 2023-06-16
标签: 金融业, 政府部门, APT舆情

APT-C-36（盲眼鹰）是一个疑似来自南美洲的APT组织，主要目标位于哥伦比亚境内，以及南美的一些地区，如厄瓜多尔和巴拿马。该组织自2018年被发现以来，持续发起针对哥伦比亚国家的政府部门、金融、保险等行业以及大型公司的定向攻击。在对APT-C-36组织进行狩猎活动中发现近期APT-C-36组织使用加密自解压压缩包以及LNK文件等对目标人群进行鱼叉钓鱼攻击，经过进一步分析溯源发现APT-C-36组织长期针对南美洲国家使用多平台投递钓鱼文件分发多个开源RAT后门软件，结果表明该组织在不断更新自己的武器库以及攻击流程。

详情

渗透测试即服务 (PTaaS) 分析

日期: 2023-06-16
标签: 信息技术, 渗透测试即服务 (PTaaS)

渗透测试即服务 (PTaaS) 是一种识别组织网络和 Web 应用程序中安全漏洞的新方法。 PTaaS 将传统的笔测试与自动扫描工具相结合，为安全测试提供了一种更加连续和自适应的方法。 PTaaS 最显着的特点是其持续的安全测试方法。它提供持续的实时测试，确保及时检测和解决漏洞，减少潜在网络攻击的机会窗口。 PTaaS 利用人类专业知识和自动扫描来提供更彻底和持续的安全评估。自动扫描器可以快速识别常见漏洞，而人类测试人员则擅长复杂的漏洞利用、模拟社会工程攻击和检测业务逻辑缺陷——自动扫描器可能会遗漏的问题。业界对 PTaaS 的看法各不相同，但公认的好处是 PTaaS可以带到餐桌上。通过提供持续的反馈循环、交互式通信和实时洞察，Outpost24 的 PTaaS 产品提升了 Web 应用程序安全测试的标准。

详情

俄罗斯黑客组织Shuckworm在过去十年中一直盯着乌克兰

日期: 2023-06-16
标签: 俄罗斯, 政府部门, Shuckworm

据赛门铁克公司6月13日发布的研究报告称，俄罗斯黑客组织Shuckworm在过去十年中一直盯着乌克兰，并近几个月来多次对乌克兰的安全部门、军队和政府机构进行了多次网络攻击，试图窃取战时情报。Shuckworm已成功非法入侵一些组织的电脑系统，从中窃取了文件，这些文件包含了有关乌克兰国家安全的敏感信息，例如乌克兰军队的士兵死亡报告、敌对行动和空袭报告、军火库库存清单、培训报告等。本组织自2014年以来一直专注于乌克兰，在入侵受害者计算机的初期，他们始终依赖于社交工程和钓鱼等手段。为让受害者打开链接，Shuckworm采用“微软PowerShell”的新官网，将恶意软件命名为“ 淫秽视频.rtf.lnk”或“不删除.rtf.lnk”。一旦用户打开这些文件，它们便会激活脚本进行下载并存储在存储的USB驱动器中。赛门铁克公司的研究结果与其他数据一致，显示出俄罗斯在乌克兰的网络攻击策略从短期“毁灭”策略转向标志长期的间谍和情报攻击。

详情

勒索软件在过去七年中占据65%的“恶意软件即服务”市场

日期: 2023-06-16
标签: 信息技术, 勒索

一项研究发现，勒索软件在过去七年中占据65%的“恶意软件即服务”市场，恶意软件制作者通过这种服务将其销售给黑客和犯罪组织。安全公司卡巴斯基（Kaspersky）的数字足迹情报团队调查了2015年至2022年间在暗网和其他资源上分发的97个恶意软件群体，以确定犯罪团伙提供的最流行的“即服务”软件类型。勒索软件以近60%的检测率居于第一，其次是信息窃取器（24%），其余18%分别是僵尸网络、加载器和后门软件。有趣的是，卡巴斯基的研究员发现，在暗网犯罪活动中，信息窃取器的提及次数最多，超过勒索软件和其他攻击方法。加密软件是RaaS的一个重要组成部分。此外，Infostealer的服务采用订阅模型，在平均每月100到300美元的价格范围内提供软件，该软件旨在窃取凭据、密码、银行账户、浏览器历史记录、加密钱包数据等信息。

详情

0x09   行业动向

谷歌推出“安全AI框架”

日期: 2023-06-12
标签: 信息技术, 人工智能

生成式人工智能正在迅速发展，但人们也在创造性地找到了使用它进行恶意行为的方法。许多政府正试图加快其监管计划的速度，以减轻人工智能被滥用的风险。与此同时，一些生成式人工智能开发人员正在探索如何帮助保护其模型和服务的安全。谷歌引入了“安全AI框架”（SAIF），以协助协作安全AI技术。该框架建立在谷歌开发的供应链级别SLSA框架和其零信任架构BeyondCorp的基础上。SAIF是谷歌的一个重要举措，支持AI系统做自动防御、持续探测和回应、安全管理和操作等工作。设计SAIF的六项核心原则提供了前所未有的思路，即拓展强大安全基础、扩展检测和响应、自动化防御、协调平台层面控制、将下下文AI系统的风险内容化，这对于加强AI安全具有重要作用。谷歌在未来会发布一些开源工具来帮助将SAIF元素实施到AI安全中。

详情

美国达拉斯市遭受勒索攻击后一个月仍未恢复

日期: 2023-06-12
标签: 政府部门, 网络攻击

美国德克萨斯州达拉斯市上个月遭受了勒索软件攻击，尽管恢复工作取得了很大进展，但仍有很多工作有待完成。这次攻击在5月3日发生，影响了包括311（非紧急服务），公共图书馆，动物收容所，安全部门和在线支付系统在内的诸多服务。尽管得到攻击的威胁者称如果城市不支付赎金，就会泄露敏感的个人数据，目前还没有确认有威胁成真的案例。官方当时回应称，他们的IT团队已经恢复了90%的网络。他们补充道，他们的员工一直在努力恢复和重建系统，确保尽快、安全地恢复所有功能并尽快恢复全部功能。新闻发布同时表示，市政法院和水务局的系统已经得以恢复了，公共图书馆系统还在恢复中。攻击的对象可以是公共服务的任何部分但未公布具体范围。

详情

网络安全研究所将在沙特阿拉伯开放

日期: 2023-06-12
标签: 信息技术, 网络安全研究所

为了加强全球网络安全，全球网络安全论坛将在沙特阿拉伯设立一个研究所分支机构。该研究所将通过国际项目和合作，加强现有关键网络安全倡议的努力，促进思想领导，发展研究以推动政策解决方案和行动。该所总部设在利雅得，由沙特阿拉伯国王萨勒曼颁布皇家法令，旨在加强沙特阿拉伯在网络安全领域的全球地位，并支持国际网络安全政策的实施，促进全球协作，经济和社会发展。该组织将具有财务和行政独立性，全面实现其目标，并在自己的董事会监督下管理自己的事务。

详情

美英达成协议，建立“数据桥梁”

日期: 2023-06-13
标签: 政府部门, 数据桥梁

英国和美国已达成协议，创建一个“数据桥梁”，以促进两个地区之间的数据自由流动。这是英国扩展到EU和美国于2022年达成的《数据隐私框架》的一部分。此前，泄露丑闻案二审、欧盟法院在《通用数据保护条例》下宣布美国的隐私护盾协议不合法。此次新协议是在两国政府的两年技术磋商后达成的，并强调旨在促进经济增长，便于科学和研究等领域的创新。在政府声明中，“在最终决定是否建立数据桥梁之前，我们将在接下来的几个月内完成进一步工作”。该协议旨在促进经济增长，便于在科学和研究领域等领域推动创新。

详情

CISA 命令美国机构加强网络管理设备

日期: 2023-06-14
标签: 政府部门, 信息技术, 网络管理设备

美国网络安全和基础设施安全局（CISA）发布了一份新的操作指令，要求所有民用行政部门机构加固其网络边缘和远程管理设备，以应对近期的网络攻击。该指令涉及联邦政府中连接互联网的各种设备，包括路由器、交换机、防火墙、VPN聚合器、代理服务器、负载均衡器以及带外服务器管理接口等网络设备，同时覆盖Hypertext Transfer Protocol（HTTP）、Hypertext Transfer Protocol Secure（HTTPS）、File Transfer Protocol（FTP）、Simple Network Management Protocol（SNMP）、Telnet、Trivial File Transfer Protocol（TFTP）、Remote Desktop Protocol（RDP）、Remote Login（rlogin）、Remote Shell（RSH）、Secure Shell（SSH）、Server Message Block（SMB）、Virtual Network Computing（VNC）和X11（X Window System）等相关协议及远程管理工具。CISA将开始扫描机构网络以寻找易受攻击的设备，并给予机构两周的时间断开设备与互联网的连接或部署强化访问控制。

详情

欧洲刑警组织警告 Metaverse 和 AI 恐怖威胁

日期: 2023-06-15
标签: 信息技术, 人工智能

根据欧洲刑警组织的《2023 年欧盟恐怖主义形势和趋势 (TE-SAT) 报告》，恐怖分子和极端主义团体可以使用对话式 AI、元宇宙和深度造假等新兴技术来激化和招募人们加入他们的事业。像元宇宙这样的在线媒体具有潜力用于恐怖活动的宣传传播、招募和协调。去中心化的点对点平台已经被恐怖分子使用，因为它们更难控制和调查。欧洲刑警组织还强调了深度造假、物联网工具和增强现实等新兴技术可如何用于加强宣传传播，并可用于实际任务，如在恐怖袭击中远程操作武器。恐怖分子和极端主义团体目前正在使用端到端加密消息传递平台和游戏相邻平台进行宣传传播和招募。

详情

网络领导者呼吁应对行业的心理健康危机

日期: 2023-06-15
标签: 信息技术, 信息安全

英国(ISC)²和信息安全协会(Chartered Institute of Information Security, CIISec)发布了一份全新的指导性文件，介绍了网络安全中包容性术语的重要性，文中提供了网络安全专业人士备选词汇表和一般语言指南。该指南旨在培养更具包容性的网络安全专业文化，以吸引更广泛的人才加入网络安全领域，消除其中的缺乏多元化和包容性的问题。该指南包括备选词汇表和一般语言指南，对撰写代码和文档时应注意的要点进行了详细说明。该指南在提供了有效的包容性解决方案同时，该领域人员的语言水平也得到了增强。文中多名业内领先人士指出，语言应是让多元文化连接和加强，同时避免使用有歧视性的语言和术语，对文化差异要持开放的、理性包容的态度。

详情

美国证券交易委员会对上市公司拟议的违规通知规则更新

日期: 2023-06-16
标签: 信息技术, 美国证券交易委员会（SEC）

美国证券交易委员会（SEC）本周推迟了正式制定新规的时间表，该规定要求公开公司在网络安全事件发生后四天内通知该机构。刚开始是预计该规则最早在5月份制定的，但通告显示，最早的最终规则制定时间将在今年10月后。这是由于ITI、各种网络安全供应商、纳斯达克（NASDAQ）和公共利益团体等行业贸易团体对规则的措辞提出了反对意见。其它一些组织表示担心，在2022年的关键基础设施网络安全战略法中，报告关键基础设施事件给网络安全和基础设施安全局（CISA）的要求可能会被复制。目前，所拟议的CIRCIA法律要求关键基础设施实体在发生事件后的三天内报告违规行为，但只需向CISA报告。

详情

0x0a   勒索攻击

研究人员报告首例自动化 SaaS 勒索软件勒索事件

日期: 2023-06-13
标签: 信息技术, 自动化 SaaS 勒索软件

安全公司 Obsidian 最近发现了一个新型勒索攻击，黑客组织 0mega 成功入侵了一家公司的 SharePoint Online 环境，而没有使用受损的终端，这是这种攻击通常发生的方式。攻击者似乎使用了一个安全性较差的管理员帐户来渗透在该公司的环境中，提升权限，并最终从受害者的 SharePoint 图书馆中盗取敏感数据。该数据用于勒索受害者支付赎金。Obsidian 的联合创始人兼首席产品官 Glenn Chisholm 表示，该攻击值得关注，因为大多数企业应对勒索软件威胁的努力往往专注于终端保护机制，而这次攻击显示出，终端安全并不足够，因为许多公司现在正在使用 SaaS 应用程序来存储和访问数据。这次攻击中，攻击者使用了一个安全性较低的服务帐户凭据，并没有启用多因素身份验证 (MFA)，因此成功入侵。用户需要给SaaS平台的端点技术实现相同的控制，以应对勒索软件的威胁。

详情

南非发展银行（DBSA）遭受Akira勒索软件攻击

日期: 2023-06-14
标签: 金融业, Akira勒索软件

南非发展银行（DBSA）在2023年6月早些时候遭到了Akira勒索软件攻击，攻击者加密了银行服务器、日志文件和文档。该国有银行表示，攻击始于5月21日左右，如果未支付勒索款，则Akira威胁公开窃取的信息。许多文件还详细记录了与DBSA的商业或就业关系以及利益相关者的财务信息。南非数家执法机构和监管机构参与了调查，该银行还聘请了一名电子取证调查员，以监测出现在暗网的泄密信息。银行警告黑客可能“尝试冒充股东使用被损害的个人信息”，敦促利益相关者保持警惕性并留心其个人信息是否被不当使用。此次袭击以俄罗斯的Akira勒索软件团伙著名。

详情

CloP勒索软件团伙开始勒索受MOVEit数据盗窃攻击影响的公司

日期: 2023-06-16
标签: 信息技术, Clop, MOVEit

CloP勒索软件团伙开始勒索受MOVEit数据盗窃攻击影响的公司，先在数据泄露网站上列出公司名称，这是一种在窃取信息公开前常用的策略。这些条目是在攻击者于5月27日利用MOVEit Transfer安全文件传输平台的零日漏洞窃取服务器上的文件之后提供的。CloP团伙承认对此负责，声称已入侵了“数百家公司”，并警告称，如果没有进行谈判，它们的名称将于6月14日被添加到数据泄露网站上。如果不支付勒索要求，威胁者表示将从6月21日起开始泄露窃取的数据。昨天，CloP威胁者在其数据泄露网站上列出了13家公司的名字，但没有说明它们与MOVEit Transfer攻击有关还是勒索软件加密攻击。其中五家公司确认受到了MOVEit攻击的影响，包括:壳牌、美国联合健康保险学生资源(UHSR)、乔治亚大学(UAG)和乔治亚州立大学系统(USG)、Heidelberger Druck和Landal Greenparks。

详情

Rhysida 勒索团伙声称对 5 月底对智利军队的网络攻击负责

日期: 2023-06-16
标签: 政府部门, 数据泄露

Rhysida 勒索软件背后的组织声称对 5 月底确认的对智利军队的网络攻击负责。攻击发生后，威胁行为者公布了他们声称从陆军网络中窃取的 30% 的数据。陆军向智利的计算机安全事件响应小组和国防部报告了这一事件，并隔离了该网络。网络安全公司 CronUp 的研究人员发现 Rhysida 已经破坏了陆军的网络。自 2023 年 5 月以来，该组织已在其暗网数据泄露站点增加了 8 名受害者。Rhysida 的威胁行为者使用的恶意软件仍在开发中，目前缺乏许多勒索软件默认情况下存在的功能。

详情

0x0b   其他事件

英国政府宣布对白俄罗斯媒体实行新制裁

日期: 2023-06-12
标签: 信息技术, 文化传播, 网络传播

2023年6月8日，英国政府宣布对白俄罗斯媒体实行新制裁，禁止他们通过在英国网络传播宣传来支持俄罗斯入侵乌克兰。社交媒体公司、应用商店和在英国运营的互联网服务提供商将被要求阻止指定的白俄罗斯组织在该国触及受众。此前，英国政府对俄罗斯媒体组织进行了类似的封锁，其中包括俄罗斯电视台和卫星通讯社背后的国家资助实体RT和Sputnik。去年4月，英国政府采取的制裁措施涉及1000多名个人和企业，其中包括“禁止提供互联网服务给指定人员”，也引入了通信监管机构Ofcom对未遵守制裁的公司罚款高达100万英镑（126万美元）的权力。

详情

瑞典逃犯出售由联邦调查局监控的加密手机

日期: 2023-06-12
标签: 信息技术, 联邦调查局

美国国务院提供高达500万美元的悬赏金，以获取信息并引导捕捉40岁的瑞典国籍人士Maximilian Rivkin，他是一款被全球犯罪团伙采用的加密通信服务的管理员。Anom设备由美国和澳大利亚执法机构秘密运营，用于监控使用该设备的罪犯的活动。从2018年开始，已经向300个犯罪团伙销售了12000多个Anom设备，包括意大利黑手党、阿尔巴尼亚黑手党、毒品集团和其他有组织犯罪团体。Rivkin是美国起诉的17名外国公民之一，他不存在生活地点的问题，但美国官员称他的左膝和手指上有疤痕，右臂上有三只猴子的纹身。Anom设备的分发是特洛伊木马行动的一部分，目的是为了提供一个安全而隐蔽的平台供罪犯进行通信。

详情

介于犯罪软件和网络间谍活动之间的威胁组织Asylum Ambuscade

日期: 2023-06-12
标签: 信息技术, APT舆情

Check Point Research确定了一项针对北非目标的持续间谍行动，涉及一个名为Stealth Soldier的未公开的多阶段后门。恶意软件命令与控制(C&C)网络是一组更大的基础设施的一部分，至少部分用于针对政府实体的鱼叉式网络钓鱼行动。根据在威胁狩猎网站提交内容中观察到的情况，该活动似乎以利比亚组织为目标。这次行动与“Eye on the Nile”之间存在相似之处，“Eye on the Nile”是另一项针对该地区的攻击行动，Amnesty和Check Point Research认为这是有政府背景支撑的攻击行动。

详情

APT-C-63（沙鹰）组织攻击检测工具发布

日期: 2023-06-12
标签: 信息技术, APT-C-63, APT舆情

APT-C-63（沙鹰）是360高级威胁研究院在2022年捕获的全新未知APT组织（2022年报已提及），该组织一直处于持续监测分析阶段，细节尚未公开披露。近日，卡巴斯基实验室披露了一起名为“Triangulation”的APT攻击活动，未知攻击者利用了苹果零日漏洞针对大量移动设备实施了一系列复杂定向攻击活动，同时卡巴斯基在全球寻求更多的威胁情报线索。为了促进业界在威胁情报方面的协作，更好应对日益复杂的APT攻击，360高级威胁研究院对外同步此次APT攻击已掌握的更多信息：卡巴斯基实验室发现的“Triangulation”攻击活动与APT-C-63（沙鹰）组织存在关联。攻击针对的平台不限于苹果iOS系统，在Windows侧捕获到了复杂的攻击行为。

详情

两名俄罗斯国民因与 Mt Gox Hack 有关而被起诉

日期: 2023-06-13
标签: 金融业, Mt Gox Hack

两名俄罗斯公民在涉及从破产的虚拟货币交易所Mt Gox中窃取数百万美元后被指控，其中一人据称使用这笔钱帮助创建了臭名昭著的BTC-e交易所。43岁的Alexey Bilyuchenko和29岁的Aleksandr Verner被控串通洗钱，从其2011年侵入Mt Gox服务器窃取约64.7万个比特币。据称，Bilyuchenko还涉嫌与Alexander Vinnik串通一起从2011年到2017年经营BTC-e交易所。这两名嫌疑人还被指控利用与比特币经纪服务New York Bitcoin Broker的广告合同洗钱，并请求后者将资金转入使用壳公司注册的离岸账户。Mt Gox被迫在2014年停止交易，因为长期的盗窃活动被揭露。

详情

Gozi 恶意软件黑客在美国被判入狱三年

日期: 2023-06-14
标签: 信息技术, Gozi病毒

罗马尼亚黑客Mihai Ionut Paunescu因在“弹性防御”服务中帮助分发Gozi病毒、Zeus Trojan、SpyEye Trojan和BlackEnergy恶意软件等，被美国联邦法院判处三年监禁。Paunescu提供服务器和IP地址给网络犯罪分子使用，以达到匿名访问和发动攻击的目的，也帮助进行DDoS攻击和垃圾邮件等。Paunescu被判有1项计算机侵犯罪名。该病毒能够躲避杀毒软件，在美国已有超过40,000台电脑受到感染，造成巨额财产损失。

详情

MFA 旁路工具包占每月一百万条消息

日期: 2023-06-15
标签: 信息技术, MFA

根据 Proofpoint 的数据，威胁行为者在 2022 年继续发展他们的策略以避开用户防御，多因素身份验证 (MFA) 绕过工具包占了数百万条网络钓鱼消息。最新报告指出，现成的工具包已经帮助黑客群体轻易实施网络钓鱼数年，但专用于绕过多因素认证的工具包是一个相对新的现象。报告还列举了三个流行的工具包：EvilProxy、Evilginx2和NakedPages。EvilProxy是一种高级网络钓鱼服务平台，Evilginx2是红队工具，可对多因素认证进行反向代理攻击，NakedPages是一款现成的网络钓鱼工具包，也使用反向代理技术。报告还指出，电话导向攻击交付（TOAD）威胁也在上升。TOAD威胁通常通过网络钓鱼信息开始，鼓励接收者拨打电话寻求帮助，从而使他们与一个诈骗团伙的电话中心直接联系。一旦在电话中，受害者可能会被欺骗安装恶意软件或赋予操作员访问权限。Proofpoint将BazaCall视为TOAD威胁的早期使用者。

详情

欧洲议会通过最新版《人工智能法案》立法草案

日期: 2023-06-15
标签: 信息技术, 《人工智能法案》

2023年6月14日，欧洲议会通过了最新版《人工智能法案》的立法草案，这意味着该法案即将成为欧洲的法律。该法案旨在严格监管AI服务并降低其带来的风险。最新草案将AI模型分为“低和最小风险”、“有限风险”、“高风险”和“不可接受风险”等四个级别，对“高风险”和“不可接受风险”的AI行为进行严格监管和禁止。该法案还提出，欧盟需要一个包含所有AI系统和风险等级的数据库，并要求免费、公开、易于理解、可机器读取和用户友好。此外，该法案还规定将对非遵守该法案的公司处以高额罚款，最高可达全球利润的6%。与此相比，英国政府采取“创新优先于监管”的态度，关注控制AI的发展。

详情

黑客冒充虚假安全公司创建恶意 GitHub 存储库

日期: 2023-06-15
标签: 信息技术, github

一个未知的组织在 GitHub 上建立了欺骗性的恶意仓库，声称可以提供 Chrome、Exchange 和 Discord 等知名产品的漏洞利用，实际上是感染下载者。同时，这个组织还伪装成为名为“High Sierra Cyber Security”的假公司的安全研究员，创建了一系列账号和 Twitter 配置，使用了著名安全公司 Rapid7 的安全研究员的头像，来为其仓库制造假象和掩护。据 VulnCheck 研究人员说，攻击者“花费了大量精力来创建这些虚假的人物，只为了传递恶意软件”。尽管目前不清楚他们的成功率有多高，但由于在过去一个月中他们的顽强努力，研究人员表示，这个威胁漏洞的攻击者有理由相信，他们“最终会”获得成功。VulnCheck 表示，安全研究人员应当小心从 GitHub 上下载代码，因为攻击者已将其变为了潜在的攻击目标。

详情

美国 CISA和NSA联合发布了保护底板管理控制器 (BMC) 指南

日期: 2023-06-16
标签: 政府部门, BMC

美国网络安全和基础设施安全局 (CISA) 和国家安全局 (NSA) 联合发布了保护底板管理控制器 (BMC) 的指南，警告说它们是恶意行为者试图破坏关键基础设施系统的潜在切入点。 BMC 位于计算机硬件内，支持远程控制和管理，独立于固件和操作系统。这些机构表示，BMC 的高级特权和网络可访问性使其成为黑客的诱人目标，并补充说许多组织甚至无法对其实施基本的安全措施。建议的操作包括 VLAN 分离、强化配置、执行例行 BMC 更新以及将未使用的 BMC 视为潜在安全风险。

详情

美国司法部逮捕LockBit勒索团伙成员

日期: 2023-06-16
标签: 政府部门, lockbit

美国司法部宣布逮捕了俄罗斯公民Astamirov，指控他是LockBit勒索软件团伙的一员。Astamirov被指控在2020年8月至2023年3月期间，参与了五次针对美国和全球不同受害者的勒索软件攻击，其中四次是代表LockBit进行的。Astamirov使用多个电子邮件帐户和其他基础设施发动攻击，包括一个来自俄罗斯的电子邮件提供商、两个来自新西兰的云服务帐户和另一个来自未知国家的帐户，其中一些用于上传被窃取的受害者数据。FBI官员命令Meta、亚马逊和微软提交的记录将这些帐户与Astamirov联系在一起。Astamirov被指控两项与计算机有关的欺诈和电信诈骗阴谋，如被判有罪，其中一个指控最多可判处20年监禁，另一个指控最多可判处5年监禁，以及最高250,000美元的罚款。

详情

0x0c   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0d   时间线

2023-06-12 360CERT发布安全周报