报告编号：CERT-R-2023-241

报告来源：360CERT

报告作者：360CERT

更新日期：2023-06-26

0x01   事件导览

本周收录安全热点49项，话题集中在安全分析、网络攻击、恶意软件，主要涉及的实体有：曼彻斯特大学、Camaro Dragon等，主要涉及的黑客组织有：killnet、APT28等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

新版本的GravityRAT间谍软件正作为消息应用程序BingeChat和Chatico进行分发

日期: 2023-06-19
标签: 信息技术, APT舆情

ESET研究人员已经确定了一个新版本的Android GravityRAT间谍软件正在作为消息应用程序BingeChat和Chatico进行分发。GravityRAT是一种远程访问工具，至少从2015年开始使用，之前曾用于针对印度的针对性攻击。据Cisco Talos、Kaspersky和Cyble先前的报告，有Windows、Android和macOS版本。GravityRAT背后的攻击者者仍然未知，ESET在内部将该组织跟踪为SpaceCobra。

详情

被杀的沙特记者的遗孀对 Pegasus 间谍软件制造商提起诉讼

日期: 2023-06-19
标签: 政府部门, 间谍软件, Saudi

被杀的沙特记者 Jamal Khashoggi 的遗孀Hanen Elatr Khashoggi投诉间谍软件提供商NSO Group，指控其通过在她的手机上安装Pegasus软件用于监视她，导致她不得不停止工作，担心家人的安全，并且“不断后顾之忧”。她在诉讼中寻求未明确的赔偿，并指控NSO Group通过向专制国家销售其高度隐蔽的间谍软件，违反了联邦和弗吉尼亚州的黑客法。自卡舒吉遇害案件发生以来，Pegasus软件引起了国际社会的关注，并最近出现在针对西班牙、希腊、波兰、匈牙利等国的异见人士、反对派政治家和记者的攻击活动中。

详情

"Mystic Stealer"恶意软件分析

日期: 2023-06-19
标签: 信息技术, 暗网

一种名为"Mystic Stealer"的新信息窃取恶意软件自2023年4月以来在黑客论坛和暗网市场上广泛传播，很快在网络犯罪社区中获得了持续的关注。该软件价格为每月150美元，可攻击40个Web浏览器、70个浏览器扩展、21种加密货币应用程序、9个MFA和密码管理应用程序、55个加密货币浏览器扩展、Steam和Telegram凭据等。该软件穿透力极强，尽管其尚处于开发早期状态，但已被业内资深人士证实其高效可靠。其运作方式也有所不同，不同于传统信息窃取恶意软件，Mystic直接将窃取数据发送到C2服务器而非先存放在硬盘，同时采用了多个反虚拟化检查。由于其具有攻击性，建议用户在从互联网上下载可疑软件时保持极度警觉。

详情

Android 间谍软件伪装成 VPN，Google Play 上的聊天应用程序

日期: 2023-06-20
标签: 信息技术, 移动安全

一组声称为印度网络犯罪组织 “DoNot” 的网络犯罪分子，利用三个 Android 应用程序搜集了大量的情报数据，例如定位数据和联系人列表。该攻击活动似乎聚焦于巴基斯坦等南亚目标，且其攻击方式涉及到谷歌应用商店，并持续从2018年以来对东南亚高知名度企业进行监视。在此次攻击行动中，该组织使用的应用程序名称为 nSure Chat和iKHfaa VPN。研究人员发现，两个应用程序都会索要涉及隐私的权限，似乎搜集那些特定用户的机密数据。此外，这次袭击行动似乎还使用单纯钓鱼电子邮件和消息不同的方式伪装交互。

详情

黑客使用伪造的 OnlyFans 图片来植入窃取信息的恶意软件

日期: 2023-06-20
标签: 信息技术, OnlyFans

针对 OnlyFans 平台的恶意软件攻击正在使用假内容和成人诱饵，以安装名为“DcRAT”的远程访问木马，让威胁行为人员可以窃取数据和凭据或在受感染的设备上部署勒索软件。这是对 OnlyFans 的恶意攻击不止一次，攻击者还利用该平台的漏洞，在 UK 站点上重定向游客到假 OnlyFans 网站。新发现的攻击活动从 2023 年 1 月开始，利用 ZIP 文件传播 VBScript 加载器，受害者被欺骗手动执行，以为它们即将访问高级 OnlyFans 收藏。DcRAT 功能强大，可进行记录按键、监视摄像头、文件操作、远程访问和窃取凭据和 cookie 等高风险行为。

详情

新的 Condi 恶意软件利用 TP-Link AX21 路由器构建 DDoS 僵尸网络

日期: 2023-06-21
标签: 信息技术, DDoS

一个名为 Condi 的僵尸网络已经出现，它由运行 TP-Link Archer AX21 (AX1800) Wi-Fi 路由器的家庭设备构建而成，主要由小型办公室、商店、咖啡馆和家庭用户使用。 Condi 利用了 AX1800 中基于 API 的漏洞，该漏洞是今年早些时候发现的，并于 3 月份由索尼进行了更新。该恶意软件通过寻找开放端口 80 或 8080 的公共 IP 来扫描易受攻击的路由器，并发送硬编码的利用请求以下载和执行感染新设备的远程 shell 脚本。研究表明 Condi 背后的黑客出售该恶意软件的源代码。 DDoS 恶意软件支持与 Mirai 类似的各种 TCP 和 UDP 泛洪方法。

详情

超过 10 万台受感染设备将 ChatGPT 帐户泄露到暗网

日期: 2023-06-21
标签: 信息技术, ChatGPT

根据网络安全研究公司 Group-IB 的数据，在过去一年中，至少有 100,000 台感染了各种信息窃取恶意软件的设备将 ChatGPT 凭据泄露到暗网。 ChatGPT 是 OpenAI 开发的人工智能语言模型。最多产的信息窃取恶意软件是 Raccoon，这是一种俄罗斯设计的工具，研究人员追踪到至少 78,348 个暴露的凭据。其他罪魁祸首包括 Vidar 和 Redline，巴西、印度和巴基斯坦是受影响最大的国家。网络安全专家警告说，这种类型的恶意软件通常会在很长一段时间内被忽视，在此期间，包括个人信息、账户凭证和系统配置在内的数据可能会被黑客收集并出售。

详情

Camaro Dragon 将 USB 驱动器用作特洛伊木马

日期: 2023-06-25
标签: 卫生行业, Camaro Dragon, 间谍软件

网络安全公司Check Point Research（CPR）发现了新型间谍软件，该软件通过感染的USB驱动器快速传播。该软件工具是CPR作为攻击欧洲医疗机构的一部分而发现的，并在周四发布了一份公告。CPR揭示，这起攻击由间谍威胁行动者Camaro Dragon实施，也被称为Mustang Panda和LuminousMoth。该威胁行为者传统上专注于东南亚国家，但本次事件揭示了他们的全球范围。感染者会使用一种被称为“SSE”的工具集。其中，WispRider是主要变体之一。它可以通过 USB 驱动器进行传播，使用 HopperTick 启动器，并具有额外的功能。该恶意软件还使用 DLL 欺骗，使用安全软件和两个主要的游戏公司的组件进行逃避。CPR警告：“一个成功的感染的影响是双重的：恶意软件不仅在受感染的机器上建立后门，而且还将自己传播到新连接的可移动驱动器。”

详情

美国国家安全局（NSA）警告提防BlackLotus恶意软件的攻击

日期: 2023-06-25
标签: 政府部门, 信息技术, BlackLotus, Windows系统

美国国家安全局（NSA）敦促系统管理员采取更多措施保护Windows 10和11机器免受BlackLotus引导程序恶意软件的攻击。 BlackLotus是一种在Dark Web上售价为5000美元的恶意软件，具有成功绕过Microsoft的统一可扩展固件接口（UEFI）安全启动保护的荣誉。 NSA建议基础架构所有者采取额外步骤加强其系统的安全性，比如加强审查用户可执行策略、监测启动分区的完整性、自定义安全启动策略等。目前，Microsoft计划在2024年早期发布更全面的补丁来解决这个问题。尽管NSA提供了大量的防护建议，但John Gallagher称，“实施NSA的指导需要一个过程”，因为大多数组织发现他们没有足够的资源来全面解决这种漏洞。

详情

美国陆军人员中出现疑似携带恶意软件的智能手表

日期: 2023-06-25
标签: 政府部门, 军队, 智能手表

美国陆军犯罪调查处（CID）警告服役人员不要接收无主智能手表，因为这些手表可能携带恶意软件，允许未经授权地访问敏感系统。使用时，智能手表可以自动连接到当地的Wi-Fi网络并连接到手机，从而允许访问用户的数据。 CID警告称，这些携带恶意软件的手表可以让威胁行为者访问、保存或传输银行信息、账户信息或个人联系人等数据，这些内容具有较高的私密性，将被用于利用受害者。收到此类未知发送者的手表应不要打开并报告给当地的反情报机构。另外，这些神秘的手表可能也会被用于所谓的“刷单”行为。

详情

0x04   数据安全

英国大学220万份被盗凭据在暗网上出售

日期: 2023-06-20
标签: 教育行业, 暗网

Crossword Cybersecurity 的风险监控服务 Trillion 发现了 220 万份属于英国大学的被盗凭据在暗网上出售。超过一半的泄露凭证（54%）属于著名的罗素集团机构。违规行为使员工、学生及其数据处于危险之中。 Trillion 强调研究的潜在风险，特别是在核能和国防敏感领域有政府资助项目的大学中，如果威胁行为者可以获得受损凭证。英国排名前 30 位的大学与其他排名前 100 位的大学相比，违反证书的可能性高出 50%。超过 68,000 个被破坏的登录名属于国际学生，目前还没有关于受影响的个人中有多少人仍在上大学的信息。

详情

美国爱荷华州最大学区确认遭受勒索软件攻击和数据盗窃

日期: 2023-06-20
标签: 教育行业, 勒索攻击

美国爱荷华州最大的学区Des Moines Public Schools在2023年1月9日遭到勒索软件攻击，不得不关闭所有网络系统。攻击者是一家不知名的勒索软件团伙，要求支付赎金，但被该学区拒绝。此次数据泄露影响了近6,700人，他们将在本周接到关于个人信息泄露的详情通知。该学区取消了1月10日的所有课程，因为在对事件进行调查期间，互联网和网络服务也都被关闭。Brett Callow是Emsisoft的威胁分析师，他最近表示，自年初以来，勒索软件团伙已经攻击了美国至少37个K-12学区。根据Emsisoft的统计， 2022年美国教育部门遭受了89次勒索软件攻击。其中44次攻击影响了大学和学院，45次攻击则针对了学区。在这些事件中，攻击者成功从受害者网络中窃取了数据，至少58个事件中出现了这种情况。

详情

美国航空、西南航空披露影响飞行员的数据泄露事件

日期: 2023-06-25
标签: 交通运输, 航空公司

美国两大航空公司——美国航空公司(American Airlines)和西南航空公司(Southwest Airlines)于周五披露，其飞行员申请和招聘门户网站的管理方Pilot Credentials遭到黑客攻击，在无权访问人员的情况下取走了所有申请人员提交的包括身份证件号码、生日、护照号码的信息。虽然没有发现受影响人员的信息被专门针对性地攻击和利用，但两家航空公司觉得不安全，并指向了该事情，于是从现在起，它们将直接通过自己的内部门户网站来过滤申请人。而美国航空公司在2022年9月也曾经因为涉及到邮件账户的钓鱼而披露过敏感数据泄露。

详情

0x05   网络攻击

Killnet 威胁即将对 SWIFT 和世界银行发起攻击

日期: 2023-06-19
标签: 金融业, killnet

Killnet，以亲俄的黑客组合而闻名，声称正在与复苏的臭名昭著的恶意软件ReVIL勒索软件帮派共同行动，目标是对西方金融系统发起攻击。攻击据称即将到来，但鉴于Killnet过去最多只进行了轻微的分布式拒绝服务攻击，目前还不清楚这些威胁是否会更多的口号喊叫。然而，Killnet在6月16日发布的一段俄语视频中针对SWIFT银行系统、Wise国际电汇系统、SEPA欧洲内部支付服务、欧洲和美国的中央银行（即美联储）等机构发出了威胁。关于合作伙伴的声明，匿名苏丹是一个新兴的DDoS攻击者，而ReVIL是被捕后解散的俄罗斯黑客组。 零狐安全公司的研究人员指出，这可能只是一种获得关注和恶名的尝试，或是对西方政府和金融机构进行骚扰，但如果这些威胁是真实的，由于基础设施的复杂性和保护措施的完善，这次攻击不太可能会对西方的金融基础设施造成大规模或持久的停机。

详情

微软确认 Azure、Outlook 中断是由 DDoS 攻击造成的

日期: 2023-06-19
标签: 信息技术,  DDoS

微软确认其Azure、Outlook和OneDrive Web门户最近的停机是由第7层DDoS攻击所导致。微软追踪到的威胁行为者名为Storm-1359，自称为匿名苏丹。这些攻击发生在6月初，Outlook.com网门户在6月7日受到攻击，OneDrive在6月8日，微软Azure在6月9日。微软没有在当时透露遭受了DDoS攻击，但似乎暗示了可能的原因，称“正在采取负载平衡措施以减轻问题”。微软最近在一篇初步的根本原因报告中进一步暗示了DDoS攻击，称网络流量激增导致了Azure的故障。微软警告称，匿名苏丹采用了3种第7层DDoS攻击方法: HTTP (S) flood attacks、Cache bypass和Slowloris。每种DDoS攻击方法都可以通过大量请求来反复进攻网络服务，从而耗尽所有的现有连接，使其无法接受新请求。尽管暴力攻击持续异常，但微软尚未发现客户数据已被访问或被攻击者利用的证据。

详情

黑猫(Alphv)勒索软件团伙承认在二月份发动了对Reddit的网络攻击

日期: 2023-06-19
标签: 信息技术, 黑猫(Alphv)勒索软件团伙

黑猫(Alphv)勒索软件团伙声称在二月份发动了对Reddit的网络攻击，并窃取了公司的80GB数据。Reddit于2月9日披露称，该网站的系统受到了钓鱼攻击，使得黑客们能够获取访问权限，窃取Reddit的内部文件、源代码、员工数据以及有限的有关广告商的数据。Reddit表示不会支付数据赎金。黑猫的攻击并未加密设备。据推测，同一攻击团伙于2023年3月攻击了Western Digital，导致其My Cloud云服务发生了大规模故障。在得到Western Digital的攻击时，黑猫勒索软件团伙得手后曾以1百万美元的价格在黑客论坛上出售数据。

详情

GhostWriter对乌克兰国家组织进行网络攻击

日期: 2023-06-20
标签: 政府部门, APT舆情

乌克兰政府计算机应急响应小组CERT-UA发现了PPT文件“daewdfq342r.ppt”，其中包含一个宏和一个缩略图，上面有以Ivan Chernyakhivskyi命名的乌克兰国防大学校徽。如果打开文档并激活宏，则会在受害者的计算机上创建一个可执行文件，以及一个旨在运行后者的快捷方式文件。文件“glkgh90kjykjkl650kj0.dll”被归类为PicassoLoader恶意软件，通常由UAC-0057(GhostWriter)组织使用，旨在下载图像、解密图像并启动生成的有效载荷。PPT文档的程序编译和创建日期表明，攻击发起时间不晚于2023年6月9日。

详情

美国阿肯色州费耶特维尔市遭遇网络攻击

日期: 2023-06-20
标签: 政府部门, 数字化服务

美国阿肯色州费耶特维尔市遭遇网络攻击，迫使市政管理部门暂时关闭了大部分数字化服务。该市政府在其官网上确认了此事件的发生，但市长和市议会拒绝置评。该市是阿肯色州的第二大城市，拥有近10万居民，并是拥有575000居民的西北阿肯色都市圈的一部分。截至目前，警局、消防局和911紧急服务尚未受到影响。该市政府表示，包括电子邮件、在线付款、检查调度和网络应用在内的大多数在线/基于网络的市政服务都已被暂停，预计将在几天内恢复。人们需要亲自前往缴纳水电气费，可以使用现金或支票，但是在网络故障期间，政府不会切断公用事业。此外，在网络故障期间，市政府取消了在线参会选项，并雇用了三家网络安全公司来协助应对该事件。

详情

APT37攻击韩国macOS用户

日期: 2023-06-21
标签: 信息技术, macOS, APT舆情

2023年5月17日，Genians安全中心发现了APT37的新网络威胁行动，该组织被称为与朝鲜有关的黑客组织。经证实是针对在韩国从事朝鲜人权和朝鲜事务的特定人员分两个阶段进行的精心组织的APT攻击。首先，在执行典型的初级网络钓鱼攻击和侦察活动以窃取受害者的电子邮件密码后，使用在此过程中识别的Web浏览器和操作系统信息执行基于macOS的恶意文件攻击。目前已确认多名受害者，并确认他们主要使用MacBook。

详情

COLDRIVER针对乌克兰的网络攻击行动

日期: 2023-06-21
标签: 政府部门, APT舆情

CERT-UA发现了一封电子邮件，包含一个PDF格式的附件。PDF包含一个链接，指向一个模仿邮政服务网页的欺诈性网络资源。在假冒网站上进行身份验证时，用户的登录名和密码将被发送给攻击者，这将为第三方未经授权访问用户的电子邮箱创造条件。CERT-UA采取了额外措施，从2021年开始分析用于执行类似网络攻击的网络基础设施，结果发现了至少118个由“Internet Domain Service BS Corp.”公司注册的相关域名。所描述的活动被命名为UAC-0036，也被称为COLDRIVER、CALLISTO，并且是为了俄罗斯联邦特殊服务的利益而进行的。

详情

黑客用Tsunami僵尸网络恶意软件感染 Linux SSH 服务器

日期: 2023-06-21
标签: 信息技术, Tsunami

不明威胁者正在对Linux SSH服务器进行暴力破解，并安装各种恶意软件，包括海啸DDoS bot、ShellBot、日志清理工具、特权升级工具和一个XMRig（门罗币）矿工。攻击者扫描公开的Linux SSH服务器，然后暴力测试用户名和密码来登录服务器。攻击者在成功入侵后，拉取并执行一系列恶意软件。恶意软件包括DDoS botnets、日志清理软件、加密货币矿工和特权升级工具。为了防止此类攻击，Linux用户应该使用强密码，或更好的安全措施是使用SSH密钥来登录SSH服务器。此外还应该禁用通过SSH的root登录，限制访问服务器的IP地址范围，并更改默认SSH端口。

详情

APT28入侵乌克兰政府的电子邮件服务器

日期: 2023-06-25
标签: 政府部门, 乌克兰政府, APT舆情

乌克兰CERT检测到乌克兰国家组织的信息和通信系统(ICS)与APT28组织相关的基础设施之间存在网络连接，发现一台电子计算机于2023年5月12日进行了上述通信，但是，没有检测到恶意程序对计算机造成损害的迹象。与此同时，在调查计算机用户邮箱内容的过程中，发现了一封主题为“乌克兰新闻”的电子邮件，该电子邮件于2023年5月12日从地址“ukraine_news@meta[.]ua”收到。其中包含来自出版物“NV”(nv.ua)的文章形式的诱饵内容，以及对Roundcube中的CVE-2020-35730(XSS)漏洞的利用，旨在加载的相应JavaScript代码并运行其他JavaScript文件。类似的电子邮件被发送到40多个乌克兰组织的邮箱。

详情

美国曼彻斯特大学遭到勒索攻击

日期: 2023-06-25
标签: 教育行业, 曼彻斯特大学

曼彻斯特大学遭到黑客攻击后，被威胁者开始收到声称是攻击者的电子邮件，要求大学支付勒索金。攻击发生在6月9日，黑客入侵了大学的一些系统。此时威胁者采用了三次勒索的方式，试图让泄露数据的个人要求大学支付赎金。曼彻斯特大学发言人警告所有员工和学生注意不要打开可疑邮件或链接，随后大学将开始调查受到攻击的数据。据Check Point统计数据显示，过去6个月英国的教育/研究领域是勒索软件攻击者的首要目标，每个组织每周平均受到3809次攻击。

详情

0x06   安全漏洞

文件传输工具MOVEit近日发现第三个漏洞

日期: 2023-06-19
标签: 信息技术, MOVEit

一种影响广泛的文件传输工具MOVEit近日发现第三个漏洞。相关安全领域人士认为，该漏洞可能被黑客利用并为应对此漏洞移动采取安全措施很“重要”。MOVEit的初期漏洞导致了诸多安全事件，许多组织披露数据泄露。此外，美国能源部确认其旗下的两个部门受到了影响。农业部的发言人称可能会受到Clop的影响，其侵害行为在本周公布。能源和商业委员会主席凯西·麦克莫里斯·罗杰斯和委员会排名成员弗兰克·帕隆要求白宫和能源部就此问题提供复盘。多个省级机构也已确认与MOVEit互联的数据泄露。俄勒冈州和路易斯安那州的机动车部门亦证实，它们亦受到了攻击。

详情

ASUS发布固件更新以解决多个路由器型号中的安全漏洞

日期: 2023-06-20
标签: 信息技术, ASUS

ASUS发布固件更新以解决多个路由器型号中的安全漏洞，包括高级和关键漏洞，其中最严重的是CVE-2022-26376和CVE-2018-1160。ASUS建议受影响的用户立即更新设备或限制WAN访问，直到安全更新完成。受影响的设备型号包括GT6、GT-AXE16000、GT-AX11000 PRO、GT-AX6000、GT-AX11000、GS-AX5400、GS-AX3000等。ASUS强烈建议为无线网络和路由器管理页面创建不同的密码，避免使用相同的密码。ASUS的警告应该得到重视，因为该公司的产品以前曾受到僵尸网络的攻击。

详情

Malwarebytes 修复了被 Windows 11 导致错误的 Chrome KB5027231

日期: 2023-06-20
标签: 信息技术, Chrome

Malwarebytes发布了针对上周发布的Windows 11 22H2 KB5027231累积更新在其客户系统上导致Google Chrome错误的已知问题的修复程序。Malwarebytes的防止漏洞模块会阻止浏览器加载或在安装KB5027231更新后崩溃，导致与Google Chrome的冲突。受此已知问题影响的客户被建议从其Malwarebytes产品的受保护应用程序列表中切换Chrome条目，以作为临时解决方案。受影响的客户可以通过更新到组件版本1.0.2047和Malwarebytes版本4.5.31.270来获取此修复程序。此更新会随时间自动进行。要手动更新，请打开Malwarebytes，单击“设置”>“关于”>“检查更新”。

详情

卡巴斯基研究人员在宠物喂食器中发现了两个漏洞

日期: 2023-06-21
标签: 制造业, MQTT

卡巴斯基研究人员在宠物喂食器中发现了两个漏洞，它们具有消息传递协议 MQTT 的硬编码凭据。黑客可以利用这些来执行未经授权的代码并获得馈线的控制权以对其他网络设备发起攻击。喂食时间表也可能被篡改，可能危及主人的宠物。第二个漏洞与不安全的固件更新过程有关，这会导致未经授权的代码执行以及设备设置的修改和发送到云服务器的信息被盗，包括实时视频源。出于安全原因，卡巴斯基没有透露宠物喂食器制造商的名字，但很快就通知了它。

详情

Zyxel 警告 NAS 设备存在严重的命令注入漏洞

日期: 2023-06-21
标签: 信息技术, Zyxel

Zyxel已经警告NAS (网络附加存储)用户更新其固件以修补一个关键性的命令注入漏洞。发现的漏洞, CVE-2023-27992，是一个预认证命令注入问题，可以允许未经身份验证的攻击者通过发送特制的HTTP请求执行操作系统命令。影响的设备、固件版本和补丁版本已经公布。目前，攻击者利用该漏洞的复杂性和其他条件是未知的，但是利用不需要身份验证，使得此漏洞更容易受到利用。NAS设备是勒索软件攻击的一个特别引人注目的目标。建议用户立即应用可获得的安全更新，并确保NAS设备没有暴露在Internet上，并仅通过本地网络或VPN进行访问，将NAS设备放在防火墙后可显着降低其面临威胁的程度。

详情

VMware 警告 vRealize 的严重漏洞在攻击中被利用

日期: 2023-06-21
标签: 信息技术, VMware

网络分析工具 VMware Aria Operations for Networks 中的一个严重漏洞正在被积极利用进行攻击。 VMware 两周前发布了安全公告，警告远程代码执行漏洞，该漏洞已得到修复。该漏洞可在不需要用户交互的低复杂性攻击中被利用。在 VMware 发表声明大约一周后，网络安全公司 GreyNoise 也发出了自己的警告，强调使用概念验证代码进行大规模扫描活动，旨在启动反向 shell，从而连接回攻击者控制的服务器。这次网络攻击导致 VMware 更新了其公告。目前没有可用的解决方法来帮助消除此缺陷的攻击媒介。

详情

施耐德电表漏洞可能导致设备接管

日期: 2023-06-21
标签: 制造业, 施耐德电表

施耐德电气的 ION 和 PowerLogic 功率计存在一个安全漏洞，它会在每条消息中以明文形式传输用户 ID 和密码。这种未加密的传输可能允许具有被动拦截功能的攻击者获取凭据、访问工程和 HTTP 接口、修改设备固件和更改配置设置。通用漏洞评分系统 (CVSS) 已将此漏洞评为 8.8 分（满分 10 分），这使得黑客攻击特别严重。接管的最坏情况可能会导致多米诺骨牌效应导致停电。 Forescout 安全研究主管 Daniel dos Santos 补充说，该漏洞表明运营技术 (OT) 供应商根本缺乏对安全设计的理解。

详情

CISA 命令各机构修补间谍软件攻击中滥用的 iPhone 漏洞

日期: 2023-06-25
标签: 信息技术, iPhone

美国网络安全与基础设施安全局(CISA)要求联邦机构在7月14日前修补新近被修复的安全漏洞，这些漏洞被零日攻击利用，使Triangulation间谍软件可通过iMessage零点触发攻击部署到iPhone上。该警告是在卡巴斯基(Kaspersky)公布了一份报告后发布的，报告详细介绍了Triangulation恶意软件组件，在Kaspersky跟踪的“三角定位行动”中被使用。根据卡巴斯基公司的说法，这些攻击始于2019年，目前仍在进行中，它们利用了电脑和网络来利用现已修补的iOS零日漏洞程序，达到了无声杀伤。受影响的设备范围广泛，包括较旧和最新的iPhone型号、iPad和iPod touch等设备。Federal agencies被指示必须在指定的时间内修复所有安全漏洞。

详情

GitHub 上数百万个存储库可能容易被劫持

日期: 2023-06-25
标签: 信息技术, GitHub

研究人员发现，Github上数百万企业软件版本库存在repojacking漏洞，黑客攻击者可以利用该漏洞轻松地袭击这些软件库。repojacking 是一种相对简单的软件供应链攻击，攻击者可以将依赖于特定库的项目重定向到恶意库。这项漏洞涉及到Github如何在Github用户或机构更改项目名称或将其所有权转移给另一个实体时处理依赖项的问题。然而，如果组织未能充分保护旧用户名，则攻击者可以重新使用它来创建原始存储库的木马版本，从而使任何依赖于存储库的项目再次从中下载依赖项。研究人员称，黑客攻击者可以使用GHTorrent等工具来轻松查找这些存储库并劫持它们，包括Google和Lyft等公司的存储库。因此，组织应该扫描代码、存储库和依赖项中的GitHub链接，以减轻其攻击面。

详情

0x07   安全分析

Gamaredon针对乌克兰安全部门、军队和政府组织的攻击行动

日期: 2023-06-19
标签: 政府部门, APT舆情

Shuckworm间谍组织继续对乌克兰发动多次网络攻击，最近的目标包括安全部门、军队和政府组织。在某些情况下，Shuckworm已成功发起长期入侵，持续时间长达三个月。攻击者多次试图访问和窃取敏感信息，例如有关乌克兰军人死亡、敌人交战和空袭、军火库库存、军事训练等的报告。为了领先于检测，Shuckworm反复更新其工具集，推出新版本的已知工具和短期基础设施，以及新添加的工具，例如USB传播恶意软件。

详情

SideCopy针对印度国防部门的新攻击行动

日期: 2023-06-19
标签: 政府部门, APT舆情

研究人员已发现SideCopy组织针对印度国防部门的新攻击行动。该组织利用网络钓鱼电子邮件附件和URL作为感染媒介来下载恶意文件，从而部署两种不同的Action RAT有效载荷和一种新的.NET RAT，共使用了三个主题的感染链。自2019年被发现以来，SideCopy一直以印度国防（军队和武装部队）为目标而闻名。

详情

小额贷款应用程序跟踪中东和非洲的 MEA 用户

日期: 2023-06-19
标签: 信息技术, 金融业, 移动安全

Kaspersky的研究表明，中东和非洲的移动用户是第三大最有可能安装可疑金融移动应用的用户，这主要是在该地区微贷服务很受欢迎，许多居民无法获得主流信贷市场的服务。这些看似合法的金融移动应用在提供贷款前会请求访问短信、联系人和照片/视频，如果用户拖延支付债务，它们会收集用户的个人数据作为抵押品。与更合法的微金融选择不同，这些应用的操作员要求使用从智能手机收集的数据，以各种不道德的方式强制用户归还债务。例如，可以将用户的债务信息和相册中的照片发送到所有联系人。Kaspersky的研究表明，在2022年和2023年第一季度，中东、土耳其和非洲地区的用户在安卓手机上安装潜在的非法金融应用的比例为14%。这一比例位居APAC和LATAM之后，排名第三。与此同时，该地区缺少其他地方通常可见的技术保障。Kaspersky称，尽管Android在中东和非洲分别占主导市场份额的78%和80%。

详情

新型侧信道攻击方法“Freaky Leaky SMS”分析

日期: 2023-06-19
标签: 信息技术, SMS

研究人员设计了一种名为“Freaky Leaky SMS”的新型侧信道攻击方法，利用SMS传递报告的时间来推断受信人的位置。攻击者需要首先收集一些测量数据，以建立SMS传递报告和目标位置之间的具体关联。然后，攻击者向目标发送多条SMS，可使用静默短信“Type0”或掩盖成营销信息，然后分析SMS传递报告中的时间数据以确定受信人的位置。这项攻击需要大量的数据和深度机器学习算法，但成为用户的潜在隐私风险。去年，同一研究团队还研究表明可以利用来自消息传递报告的时间信息确定Signal、Threema和WhatsApp这些流行即时通讯应用的用户位置。

详情

针对中东和非洲政府的新APT组织CL-STA-0043

日期: 2023-06-20
标签: 政府部门, APT舆情

Cortex威胁研究团队最近发现了多起针对中东和非洲政府实体的间谍攻击。攻击的主要目标是获取高度机密和敏感的信息，特别是与政客、军事活动和外交部有关的信息。目前将攻击背后的组织跟踪为CL-STA-0043。该组织的复杂程度、适应性和受害者学水平表明其能力很强，并且被怀疑是民族国家威胁组织。在跟踪和分析CL-STA-0043时，发现了攻击者使用的新规避技术和工具，例如用于秘密运行webshell的VBS植入物，以及首次在野发现的凭据窃取技术。

详情

英国国家卫生服务 (NHS) 信托基金缺乏关联资产可见性

日期: 2023-06-20
标签: 金融业, 信息技术, 英国国家卫生服务 (NHS)

根据安全公司 Armis 的一份报告，英国国家卫生服务 (NHS) 信托基金的许多网络安全领导者都面临着缺乏关联资产可见性的问题。物联网 (IoT) 的采用提供了协助医务人员的新方法，扩大了医疗保健行业 IT 决策者必须应对的攻击面。该报告发现，三分之一的受访信托承认没有跟踪物联网设备的方法，10% 使用手动流程或电子表格来这样做。它还显示，15% 的信托基金没有跟踪联网医疗设备 (IoMT)，五分之一的信托基金使用手动流程或电子表格来跟踪此类资产。可见性不足的主要原因是缺乏资源，38% 的 Trusts IT 决策者承认员工数量不足。根据安全公司 Armis 的一份报告，英国国家卫生服务 (NHS) 信托基金的许多网络安全领导者都面临着缺乏关联资产可见性的问题。物联网 (IoT) 的采用提供了协助医务人员的新方法，扩大了医疗保健行业 IT 决策者必须应对的攻击面。该报告发现，三分之一的受访信托承认没有跟踪物联网设备的方法，10% 使用手动流程或电子表格来这样做。它还显示，15% 的信托基金没有跟踪联网医疗设备 (IoMT)，五分之一的信托基金使用手动流程或电子表格来跟踪此类资产。可见性不足的主要原因是缺乏资源，38% 的 Trusts IT 决策者承认员工数量不足。

详情

Keeper Security：仅25% 的人使用可靠密码

日期: 2023-06-21
标签: 信息技术, 密码

根据 Keeper Security 的密码管理报告，尽管认识到密码已成为在线安全的关键，但只有 25% 的人使用可靠且唯一的密码。该报告发现，34% 的人使用了较小的密码变体，30% 的人使用了简单的密码。其中，44% 的自称密码管理良好的人承认使用过重复变体。该报告还发现，20% 的人承认经历过与密码相关的数据泄露。一项针对美国、英国、法国和德国 8,000 多人的调查还发现，35% 的受访者认为密码管理令人不知所措。只有 10% 的人承认完全忽视了密码管理。

详情

俄罗斯 APT28 黑客入侵乌克兰政府电子邮件服务器

日期: 2023-06-21
标签: 政府部门, APT28

APT28组织是与俄罗斯主要情报总局（GRU）有联系的威胁组，已入侵多个乌克兰组织的Roundcube电子邮件服务器，包括政府机构。该组织利用了俄罗斯和乌克兰之间持续的冲突的消息，以欺骗受信者打开恶意邮件来利用Roundcube Webmail漏洞侵入未打补丁的服务器。攻击成功后，APT28部署了恶意脚本，将目标个人的所有收件人重定向到攻击者控制的电子邮件地址，并用于侦察和窃取受害者的Roundcube地址簿、会话Cookie和Roundcube数据库中存储的其他信息。根据研究所收集的证据，该活动的目标是为了收集和窃取军事情报以支持俄罗斯对乌克兰的入侵。由乌克兰计算机应急响应团队（CERT-UA）和Recorded Future的威胁研究部门Insikt Group共同进行的调查表明，APT28军事黑客在这些攻击中使用的基础设施自2021年11月左右以来一直在运行。

详情

BlueDelta利用乌克兰政府的Roundcube邮件服务器支持其间谍行动

日期: 2023-06-25
标签: 政府部门, APT舆情

Recorded Future的Insikt Group与乌克兰计算机紧急响应小组(CERT-UA)合作，发现了一项针对乌克兰多个知名实体的行动，该行动与Recorded Future网络流量情报发现的鱼叉式网络钓鱼行动存在交叉关联。该行动利用有关俄罗斯对乌克兰战争的新闻来诱导收件人打开电子邮件，并使用CVE-2020-35730漏洞进行攻击。Recorded Future发现该行动与2022年利用Microsoft Outlook零日漏洞CVE-2023-23397的BlueDelta历史行动重叠。也与CERT-UA归因 APT28的行动重叠。

详情

OpenSSH 木马活动针对 IoT 和 Linux 系统

日期: 2023-06-25
标签: 信息技术, OpenSSH

研究人员发现了一种利用定制和开源工具攻击Linux和物联网设备的复杂攻击。根据微软的一篇新博客文章，攻击者利用OpenSSH的修补版本来控制受损设备并安装加密货币挖掘恶意软件。攻击活动涉及一个已建立的犯罪基础设施，该犯罪基础设施使用一个东南亚金融机构的子域作为命令和控制服务器。攻击者采用的后门部署了各种工具，包括rootkit和IRC bot，以窃取设备资源进行加密货币挖掘操作。此外，后门安装了修改版的OpenSSH，允许攻击者劫持SSH凭据、在网络内部移动并隐藏恶意SSH连接。在公告中，微软推荐了几项缓解措施，以保护设备和网络免受此威胁。

详情

Microsoft Teams 漏洞可导致攻击者跳过网络钓鱼直接传播恶意软件

日期: 2023-06-25
标签: 信息技术, 网络钓鱼

研究人员在最新版本的Microsoft Teams中发现了一个漏洞，使得外部来源可以向组织的员工发送文件，尽管该应用程序通常会阻止此类活动。这为威胁行为者提供了一种方法，在无需实施复杂和昂贵的网络钓鱼活动的情况下，向目标组织发送恶意软件。Teams是Microsoft广泛使用的托管消息和文件共享应用程序，但研究人员发现Microsoft默认配置的Teams允许外部用户与该公司的员工联系，从而为黑客攻击者利用该应用程序进行恶意软件传递提供机会。尽管Teams通常用于员工之间的沟通，但研究人员称，利用Teams外部租户功能可以通过绕过几乎所有现代反网络钓鱼保护来悄悄地将恶意软件注入到发送给组织的员工中。研究人员表示，漏洞影响了所有使用默认配置的组织。虽然研究人员已向Microsoft报告该漏洞，但Microsoft表示该漏洞未达到需要立即修补的标准，可能不会马上进行修复。

详情

0x08   行业动向

微软宣布推出Win32应用程序隔离的公开预览版

日期: 2023-06-19
标签: 信息技术, Windows 11

微软宣布推出Win32应用程序隔离的公开预览版，这是一项新的Windows 11安全功能，旨在使用Win32 API沙箱处理Windows桌面应用程序。Win32应用程序隔离使用AppContainer提升安全性，减轻受到威胁的应用程序造成的潜在危害，保护用户的隐私，确保应用程序以低权限运行，并实施最小权限原则，以防止未经授权的访问用户信息。Win32应用程序启动时使用AppContainer作为安全边界，无法向任何操作在更高完整性级别的进程注入代码，确保不会引入新的漏洞。如果应用程序漏洞得到利用，AppContainer执行环境确保其仅限于被授权使用的资源。这避免了恶意应用程序控制整个系统，为系统提供了额外的防御层，保护系统免受潜在的威胁。应用程序开发人员可以使用微软的工具实施隔离措施来更新他们的Win32应用程序，以增强软件的整体安全性，防止可能存在的安全漏洞。

详情

英国承诺向乌克兰提供数百万网络防御援助

日期: 2023-06-20
标签: 政府部门, 乌克兰

英国政府额外提供 1600 万英镑，以帮助乌克兰保护其关键的国家基础设施免受俄罗斯的袭击。去年宣布为英国乌克兰网络计划投资 635 万英镑的资金旨在提供专业知识和网络安全，以保护乌克兰的基础设施。总理 Rishi Sunak 希望额外的资金将帮助乌克兰检测和禁用针对他们的恶意软件。 “国际盟友”还应额外提供 900 万英镑，使一揽子计划总额达到 2500 万英镑。英国还将其网络专业知识资金与常规军事资源相匹配。英国已向乌克兰一揽子国际基金捐款 2.5 亿英镑，这笔资金将用于防空。

详情

NSO Group 被美国政府列入黑名单

日期: 2023-06-20
标签: 信息技术, 金融业, NSO

NSO Group 是功能强大的零点击 Pegasus 间谍软件的创建者，最近被美国政府列入黑名单，对其间谍软件采取了法律行动，并在国务院员工的电话中发现了它。该公司面临的日益严峻的困境导致其资产成为投资者的目标，例如多汁水果继承人 William “Beau” Wrigley 和电影制片人 Robert Simonds，据报道他们正在考虑收购。他们资产的潜在出售引起了网络安全社区的关注，因为控制 Pegasus 软件的任何一方，无论他们在网络行业的专业知识如何，都可能导致网络威胁和潜在滥用的增加。随着向开源间谍软件的转变变得越来越普遍，Pegasus 软件的统治地位可能也已经达到顶峰。

详情

0x09   勒索攻击

曼彻斯特大学面临重大数据泄露

日期: 2023-06-21
标签: 教育行业, 曼彻斯特大学

在 6 月 6 日的勒索软件攻击导致学生和教职员工的 7TB 私人信息可能丢失后，曼彻斯特大学可能面临重大数据泄露。在 BleepingComputer 报道的一封电子邮件交流中，威胁行为者警告该大学他们打算发布这些数据。该大学于 6 月 9 日承认了这起袭击事件，但没有透露细节，而事件的来源和幕后人员仍不清楚。据信，该事件与最近的 MOVEit Transfer 攻击无关，但它与最近涉及使用双重勒索策略的勒索软件团伙的其他事件有相似之处。

详情

0x0a   其他事件

美国政府悬赏 1000 万美元以获取有关 Clop 勒索软件的信息

日期: 2023-06-19
标签: 政府部门, Clop

美国国务院“悬赏正义计划”日前公布消息称，将为那些提供将Clop勒索软件攻击与外国政府联系起来的信息提供高达1千万美元的奖励。该计划原旨是为美国利益面临威胁的恐怖分子奖励举报信息，后扩展至包括网络犯罪信息。Clop勒索软件攻击利用了MOVEit Transfer安全文件传输平台的零日漏洞，5月27日起袭击了全球多家公司，最近开始公布公司名单进行勒索。CNN首次报道，多个联邦机构受到攻击，数据很可能被窃取。Clop威胁演员早前告诉BleepingComputer，他们会立即删除从政府窃取的数据。该计划期望通过此悬赏吸引人们提供信息，从而防范未来的攻击。

详情

CISA 和 FBI 出价 1000 万美元获取 Cl0p 勒索软件团伙信息

日期: 2023-06-25
标签: 政府部门, Cl0p

美国联邦调查局(FBI)与网络安全和基础设施安全局(CISA)联合向任何提供针对Cl0p勒索软件团伙情报的人提供高达1,000万美元的奖励。这个俄罗斯团伙挟持受害者的威胁，发布其私人数据，并攻击包括美国政府机构在内的数百个受害者，最近利用了MOVEit的各种漏洞。美国国务院“悬赏”计划在推特上发布的一条消息中宣布了这项奖励，并提到“如果您有证据将Cl0p或任何其他恶意网络行为者与外国政府的针对美国关键基础设施的攻击联系在一起，请向我们提供线索。”同时，由于此类黑客团伙可能会采取报复行动，联邦政府建议人们将信息通过端到端加密的消息系统发送。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2023-06-19 360CERT发布安全周报