报告编号：CERT-R-2023-282

报告来源：360CERT

报告作者：360CERT

更新日期：2023-07-17

0x01   事件导览

本周收录安全热点58项，话题集中在安全漏洞、安全分析、行业动向，主要涉及的实体有：SonicWall、思科（Cisco）、Zimbra等，主要涉及的黑客组织有：TA453、Group123、Storm-0558等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

| Fortinet 修复 FortiOS 和 FortiProxy 中的严重漏洞

|Fortinet 修复 FortiOS 和 FortiProxy 中的严重漏洞|

||

0x03   恶意软件

美国和加拿大当局警告 Truebot 活动增加

日期: 2023-07-10
标签: 信息技术, Truebot

美国和加拿大当局于 2023 年 7 月 6 日发布了关于涉及新策略、技术和程序 (TTP) 的 Truebot 恶意软件活动增加的警告。网络安全和基础设施安全局 ( CISA )、联邦调查局 (FBI)、多州信息共享和分析中心 (MS-ISAC) 以及加拿大网络安全中心 (CCCS) 的联合咨询指出，威胁在美国和加拿大，攻击者正在利用新发现的 Truebot 恶意软件变体通过新技术来攻击组织。建议组织采取多种措施来减轻 Truebot 带来的日益增加的威胁，包括监视和控制软件的执行以及向 Netwrix Auditor 应用供应商补丁。

详情

新活动使用恶意 npm 软件包来支持网络钓鱼工具包

日期: 2023-07-10
标签: 信息技术, npm

开源存储库中的多个恶意 npm 软件包已被用于供应链攻击和网络钓鱼活动。ReversingLabs研究人员在发布的博客文章中表示，这些软件包构成双重威胁，影响应用程序最终用户，同时还支持基于电子邮件的网络钓鱼攻击，主要针对 Microsoft 365 用户。软件威胁研究员 Lucija Valentić 表示，该团队发现了 5 月 11 日至 6 月 13 日期间发布的十多个恶意 npm 软件包。这些软件包模仿合法模块，例如 jquery，每周下载量达数百万次。尽管恶意包被下载了大约 1000 次，但在检测后很快就从 npm 中删除了。 ReversingLabs 将此活动命名为“Operation Brainleeches”，因为该活动使用了旨在窃取受害者数据的恶意基础设施。

详情

RomCom RAT 攻击者的目标是支持乌克兰加入北约的团体

日期: 2023-07-11
标签: 政府部门, RomCom

黑莓威胁研究团队发现了一起针对支持乌克兰的组织的钓鱼攻击活动。攻击者使用RomCom RAT远控工具，通过发送钓鱼邮件和伪造网站诱骗受害者。他们冒充乌克兰世界大会发送支持乌克兰加入北约的文件，并利用漏洞攻击微软的支持诊断工具。这次攻击与RomCom威胁组织的攻击活动有相似之处。该攻击活动发生在即将举行的北约峰会之前，可能与乌克兰加入北约的讨论有关。黑莓团队建议加强安全意识培训和使用安全软件来防御此类钓鱼攻击。

详情

新的 PyLoose Linux 恶意软件直接从内存中挖掘加密货币

日期: 2023-07-13
标签: 金融业, PyLoose, 无文件恶意软件

一种名为 PyLoose 的新无文件恶意软件一直以云工作负载为目标，劫持其计算资源以进行门罗币加密货币挖掘。PyLoose 是一个相对简单的 Python 脚本，带有预编译的、base64 编码的 XMRig 挖矿程序，这是一种被广泛滥用的开源工具，它使用 CPU 能力来解决加密挖矿所需的复杂算法。Wiz 的研究人员表示，PyLoose 从内存中直接执行，使其极其隐蔽，并且很难被安全工具检测到。Wiz 的安全研究人员于 2023 年 6 月 22 日首次在野外检测到 PyLoose 攻击，此后已确认至少 200 起此类新型恶意软件造成的危害。

详情

BlackLotus Windows UEFI 恶意软件源代码在 GitHub 上泄露

日期: 2023-07-14
标签: 信息技术, BlackLotus, 源代码泄露

BlackLotus UEFI bootkit 的源代码已在网上泄露。BlackLotus 是一款针对 Windows 的 UEFI bootkit，它可以 在完全修补的 Windows 11 安装上绕过安全启动、逃避安全软件、持续存在于受感染的系统上，并以操作系统中最高级别的权限执行有效负载。其功能包括削弱 BitLocker 数据保护功能、Microsoft Defender 防病毒功能和虚拟机管理程序保护的代码完整性 (HVCI) - 也称为内存完整性功能，可防止尝试利用 Windows 内核。2023年7月，BlackLotus UEFI bootkit 的源代码已 被用户“Yukari”在 GitHub 上泄露。使该工具广泛可供任何人使用。源代码已被修改以消除 Baton Drop 漏洞，并改用 bootlicker UEFI rootkit，该 rootkit 基于 CosmicStrand、 MoonBounce和 ESPECTRE UEFI APT rootkit 。

详情

0x04   数据安全

Twitter 用户揭露 Nickelodeon 数据泄露

日期: 2023-07-10
标签: 文化传播, 信息泄露

据报道，尼克儿童频道（Nickelodeon）的机密信息泄露事件引发关注。约500GB的动画文件被泄露，包括未发布的电视节目、剧本和材料。尼克儿童频道尚未确认泄露内容的真实性，但表示可能与制作文件相关。没有发现长篇内容、员工数据或用户数据受到泄露。Twitter用户GhostyTongue披露了与泄露事件相关的敏感信息。泄露源于尼克儿童频道的“消费产品和体验”门户的认证问题。据称，盗取的尼克儿童频道文件和视频在Discord频道和私人在线社区中分享。尼克儿童频道的CEO表示对事件的反应不满，强调了企业积极的安全措施的重要性，并提到了个人数据被攻击者利用的风险。

详情

游戏装备公司 Razer 调查数据泄露索赔并重置用户会话

日期: 2023-07-11
标签: 文化传播, 游戏装备公司

游戏装备公司 Razer 对最近发生大规模数据泄露的传闻做出了回应，在 Twitter 上发表了简短声明，让用户知道他们已开始对此事进行调查。Razer 是一家颇受欢迎的美国-新加坡科技公司，专注于游戏硬件、销售高品质外设、功能强大的笔记本电脑和服装。2023年7月9日，有关该公司潜在数据泄露的信息出现，有人在黑客论坛上发帖称，他们窃取了该公司主要网站 Razer.com 的源代码、数据库、加密密钥和后端访问登录信息。该用户提出以价值 10 万美元的 Monero (XMR) 加密货币出售这些数据，并敦促感兴趣的个人直接与他联系以完成交易。该帖子的发布者没有设置任何限制或排他性，这意味着任何愿意支付请求金额的人都将获得整个数据集。

详情

德意志银行确认提供商违规暴露了客户数据

日期: 2023-07-12
标签: 金融业, 德意志银行 (Deutsche Bank AG), 数据泄露

德意志银行 (Deutsche Bank AG) 已证实，其一家服务提供商的数据泄露已导致其客户数据在可能的 MOVEit Transfer 数据盗窃攻击中暴露。声明中写道：“除了我们的服务提供商之外，我们了解到 40 多个国家的 100 多家公司可能受到影响。”并暗示该事件与 Clop 勒索软件的 MOVEit 攻击浪潮有关。这家德国公共银行是全球最大的银行之一。该银行表示，由于安全事件，仅暴露了有限数量的个人数据。受影响的客户数量尚未确定，但德意志银行表示，他们都已被告知直接影响以及应针对暴露的数据采取哪些预防措施。同时，该行正在调查数据泄露的原因，并采取有针对性的行动，完善数据安全防范措施，避免未来类似事件影响客户。

详情

孟加拉国政府网站泄露个人数据

日期: 2023-07-12
标签: 孟加拉国, 政府部门, 个人信息

孟加拉国出生和死亡登记总登记办公室网站意外泄露了孟加拉国公民的个人信息。根据TechCrunch的研究，并得到南非公司 Bitcrack Cyber Security 的证实，泄露的数据包括孟加拉国公民的全名、电话号码、电子邮件地址和身份证号码。Bitcrack 网络安全研究员 Viktor Markopoulos 表示，他在 6 月下旬意外发现了此次泄露，随后联系了孟加拉国电子政务计算机事件响应小组 (CIRT)。他告诉 TechCrunch，泄露的数据包括数百万孟加拉国公民的数据，然而，泄露的数据在五天后被删除。

详情

1100 万 HCA 医疗保健患者受到数据泄露的影响

日期: 2023-07-12
标签: 卫生行业, HCA Healthcare

HCA Healthcare 是美国和英国大型医院和医疗保健服务网络的运营商，每年为 3500 万医疗消费者提供服务，该公司宣布其遭到入侵，导致超过 1100 万患者的个人数据被盗。有关泄露的消息首次传出是在 7 月 5 日，当时有报道称，被盗的 HCA Healthcare 数据在暗网黑客论坛上出售。HCA Healthcare 承认， 包括姓名、联系信息、出生日期、预约详细信息等在内的患者数据在网络攻击中被盗。HCA Healthcare 补充说，泄露的数据不包括任何财务信息，如医疗诊断或治疗、信用卡号码、密码或社会安全号码。HCA 表示调查仍在进行中，目前尚不清楚肇事者是谁。

详情

0x05   网络攻击

UNC1151使用PicassoLoader/njRAT对政府机构进行针对性的网络攻击

日期: 2023-07-11
标签: 政府部门, APT舆情

乌克兰CERT-UA发现了两个XLS文件，其中包含解码、持久化和启动PicassoLoader恶意软件的宏。同时，单独检查已安装的安全工具：如果在计算机上检测到Avast、FireEye、Fortinet产品，不会创建任何恶意软件。在研究时，PicassoLoader提供了njRAT恶意软件的下载、解密和执行。该活动由UNC1151组织（UAC-0057）组织发起。

详情

微软缓解了 Storm-0558 的攻击

日期: 2023-07-13
标签: 政府部门, Storm-0558

微软宣布，它已经缓解了Storm-0558发起的攻击，该攻击针对的是客户电子邮件。Storm-0558 威胁参与者主要针对西欧的政府机构，并被发现进行网络间谍活动、数据盗窃和凭证访问攻击。一位客户于 2023 年 6 月 16 日报告了此次攻击。调查显示，攻击始于 2023 年 5 月 15 日，当时 Storm-0558 获得了影响大约 25 个组织的电子邮件帐户的权限，其中包括政府机构以及相关消费者帐户可能与这些组织有关联的个人。

详情

APT29攻击乌克兰境内的外交使团

日期: 2023-07-14
标签: 政府部门, Cloaked Ursa, APT舆情

最近，Unit 42的研究人员观察到Cloaked Ursa使用诱饵针对外交官本身的攻击行动，而不是他们所代表的国家。攻击者利用外交官轮换而新任外交官需要可靠交通工具的特点， 通过销售汽车的诱饵文档发起攻击。 Cloaked Ursa的目标是乌克兰境内的外交使团，攻击了位于基辅的80多个外国使团中的至少22个。

详情

DangerousPassword攻击加密货币交易服务提供商的开发人员

日期: 2023-07-14
标签: 金融业, DangerousPassword, 加密货币, APT舆情

5月底，JPCERT/CC确认了针对加密货币交易服务提供商的开发人员的攻击行动，被认为与自2019年6月以来持续实施攻击的攻击组织DangerousPassword有关。该攻击针对的是计算机上安装了Python或Node.js的Windows、macOS和Linux环境。本篇报告分析了JPCERT/CC确认的攻击以及所使用的恶意软件。

详情

0x06   安全漏洞

CISA 警告政府机构修补被频繁利用的 Android 驱动程序漏洞

日期: 2023-07-10
标签: 信息技术, 内核驱动程序

美国国土安全部网络安全与基础设施安全局（CISA）要求联邦机构修补一个高危漏洞，该漏洞是Arm Mali GPU内核驱动程序的特权升级漏洞，已被列为正在被利用的漏洞，并在本月的Android安全更新中得到修复。漏洞可能导致攻击者提升为root权限或获取受攻击Android设备上的敏感信息。CISA还要求联邦机构在7月28日之前保护其Android设备。此外，CISA还警告称，这类漏洞是恶意网络行为者频繁利用的攻击向量，对联邦机构和私营企业都构成重大风险。

详情

谷歌解决了3个在安卓系统中被积极利用的漏洞

日期: 2023-07-10
标签: 信息技术, 移动安全

Google发布了7月份的安卓安全更新，修复了40多个漏洞，其中包括三个正在被积极利用的漏洞。这些漏洞包括Arm Mali GPU内核驱动程序信息泄露漏洞、Arm Mali GPU内核驱动程序的高危漏洞以及Skia图形库的整数溢出漏洞。这些漏洞可能导致敏感数据泄露、提权攻击和远程代码执行。Google发布了两个补丁级别，分别修复了Framework和System组件中的漏洞以及内核和闭源组件中的漏洞。这些安全更新旨在提高安卓设备的安全性和稳定性。

详情

Revolut US 支付漏洞导致2000万美元损失

日期: 2023-07-11
标签: 金融业, Revolut支付系统

据多个未透露姓名的消息来源，2022年初，Revolut支付系统存在零日漏洞，导致黑客窃取了超过2,000万美元。问题源于美国和欧洲支付系统的差异。当某些交易被拒绝时，公司错误地使用自己的资金退款给账户。黑客利用此问题窃取了约2,300万美元，其中部分金额被追回，净损失约2,000万美元。被盗金额相当于Revolut 2021年净利润的近三分之二。该问题发生在2021年，黑客在2022年开始利用该漏洞，通过购买高价物品并在ATM机上提取退款。此问题似乎在网络犯罪生态系统中已知。Revolut发言人拒绝置评。2022年9月，Revolut遭受了一次“高度针对性”的网络攻击，黑客获得了约0.16%的客户个人信息（约5万用户）。安全团队及时锁定了入侵威胁。

详情

专家发布了针对 Ubiquiti EdgeRout 漏洞的 PoC 漏洞

日期: 2023-07-11
标签: 信息技术, CVE-2023-31998

Ubiquiti EdgeRouter存在CVE-2023-31998漏洞，影响EdgeRouters 2.0.9-hotfix.6及更早版本和AirCube固件版本2.8.8及更早版本。该漏洞是堆溢出问题，攻击者可以通过LAN利用漏洞执行任意代码和中断UPnP服务。漏洞位于miniupnpd服务中，需要满足特定配置和漏洞要求才能成功利用。漏洞报告公司SSD Secure Disclosure发布了技术细节和成功测试的PoC。Ubiquiti已发布软件更新以解决此漏洞，并表示尚未发现实际攻击。漏洞可能存在于其他网络设备中。

详情

微软：未打补丁的 Office 零日漏洞在北约峰会攻击中被利用

日期: 2023-07-12
标签: 信息技术, CVE-2023-36884

2023年7月12日，微软披露了多个 Windows 和 Office 产品中未修补的零日安全漏洞，该漏洞被广泛利用以通过恶意 Office 文档获取远程代码执行。未经身份验证的攻击者可以在高复杂性攻击中利用该漏洞（跟踪号为CVE-2023-36884 ），而无需用户交互。成功利用该漏洞可能会导致机密性、可用性和完整性完全丧失，从而使攻击者能够访问敏感信息、关闭系统保护并拒绝访问受感染的系统。虽然该漏洞尚未得到解决，但微软表示将通过每月发布流程或带外安全更新为客户提供补丁。

详情

VMware 警告客户影响 vRealize 的 RCE 漏洞的poc已公开可用

日期: 2023-07-12
标签: 信息技术, poc

VMware 警告客户，VMware Aria Operations for Logs 分析工具（以前称为 vRealize Log Insight）中存在严重 RCE 漏洞 CVE-2023-20864 的利用代码。VMware Aria Operations for Networks （以前称为 vRealize Network Insight）是一款网络监控工具，可帮助组织构建优化、高度可用且安全的网络基础架构。漏洞 CVE-2023-20864（CVSSv3 基本得分为 9.8）是一个反序列化问题，具有 Aria Operations for Logs 网络访问权限的未经身份验证的攻击者可以利用该漏洞以 root 身份执行任意代码。现在该公司已经更新了最初的安全公告，以确认上述问题的漏洞利用代码的可用性。该公司敦促客户立即修复该漏洞。

详情

用户称苹果的快速零日补丁导致 Safari 出现问题

日期: 2023-07-12
标签: 信息技术, 制造业, Apple, Safari

据报道，在对一个被广泛利用的零日安全漏洞发布紧急修复后不到 24 小时，苹果公司推出的补丁就破坏了 Safari 中的某些网站。该漏洞存在于 Apple 的 WebKit 浏览器引擎 (CVE-2023-37450) 中，允许在完全修补的 iPhone、Mac 和 iPad 上执行任意代码。它可以通过引诱目标到诱杀网页来进行路过式攻击。该公司在2023年7月10日的快速安全响应 (RSR) 公告中表示：“苹果公司已获悉有关该问题可能已被积极利用的报告。”

详情

微软在 7 月份大量安全更新中披露了 5 个零日漏洞

日期: 2023-07-12
标签: 信息技术, 零日漏洞

Microsoft 7 月份的安全更新包含对多达 130 个独特漏洞的修复，其中 5 个漏洞已被攻击者积极利用。该公司将其中 9 个漏洞评为“严重”，将其中 121 个漏洞评为“中等”或“严重”。这些漏洞影响广泛的 Microsoft 产品，包括 Windows、Office、.Net、Azure Active Directory、打印机驱动程序、DMS 服务器和远程桌面。该更新包含常见的远程代码执行 (RCE) 缺陷、安全绕过和权限升级问题、信息泄露错误和拒绝服务漏洞。其中最严重的是CVE-2023-36884，这是 Office 和 Windows HTML 中的远程代码执行 (RCE) 错误，微软在本月的更新中没有针对该错误的补丁。该公司发现了一个正在跟踪的威胁组织 Storm-0978，该组织利用该漏洞开展针对北美和欧洲政府和国防组织的网络钓鱼活动。

详情

流行的 Ghostscript 开源 PDF 库中发现严重 RCE 漏洞

日期: 2023-07-13
标签: 信息技术, Ghostscript

Ghostscript 是 Linux 中广泛使用的 PostScript 语言和 PDF 文件的开源解释器，被发现容易受到严重程度的远程代码执行缺陷的影响。该漏洞被追踪为 CVE-2023-3664，CVSS v3 评级为 9.8，影响 10.01.2 之前的所有 Ghostscript 版本，这是三周前发布的最新可用版本。Kroll 的分析师G. Glass 和 D. Truman 开发了针对该漏洞的概念验证 (PoC) 漏洞，根据他们的说法，打开恶意的特制文件即可触发代码执行。 考虑到许多 Linux 发行版中默认安装了 Ghostscript，并被 LibreOffice、GIMP、Inkscape、Scribus、ImageMagick 和 CUPS 打印系统等软件使用，因此在大多数情况下触发 CVE-2023-3664 的机会很多。

详情

SonicWall 警告管理员立即修补严重的身份验证绕过漏洞

日期: 2023-07-13
标签: 信息技术, SonicWall

2023年7月13日，SonicWall 警告客户紧急修补多个影响该公司全球管理系统 (GMS) 防火墙管理和分析网络报告引擎软件套件的关键漏洞。SonicWall 总共解决了 15 个安全漏洞，其中包括那些可以让威胁行为者访问运行 GMS 9.3.2-SP1 或更早版本以及 Analytics 2.5.0.4-R7 或更早版本的易受攻击的本地系统的漏洞。绕过身份验证。SonicWall表示：“这套漏洞的细节已披露，其中包括四 (4) 个 CVSSv3 评级为“严重”的漏洞，攻击者可以利用这些漏洞绕过身份验证，并可能导致敏感信息暴露给未经授权的行为者。”

详情

未修补的 Office 零日漏洞已被积极利用

日期: 2023-07-13
标签: 信息技术, 零日漏洞

微软披露了多个 Windows 和 Office 产品中未修补的零日漏洞，该漏洞已被广泛利用。该问题被追踪为 CVE-2023-36884，被民族国家行为者和网络犯罪分子利用，通过恶意 Office 文档获取远程代码执行。微软正在调查有关影响 Windows 和 Office 产品的一系列远程代码执行漏洞的报告。该公司透露，它意识到存在高针对性的攻击，这些攻击试图通过特制的 Office 文档来利用这些漏洞。微软正在努力解决该漏洞，专家指出，可以通过带外补丁修复该漏洞，该补丁可以在八月补丁星期二之前发布。

详情

Fortinet 修复 FortiOS 和 FortiProxy 中的严重漏洞

日期: 2023-07-13
标签: 信息技术, Fortinet

Fortinet 披露了一个严重漏洞，编号为 CVE-2023-33308（CVSS 评分 9.8），影响 FortiOS 和 FortiProxy。远程攻击者可以利用该漏洞在易受攻击的设备上执行任意代码。该问题是一个基于堆栈的溢出漏洞，可以通过精心设计的数据包到达代理策略或具有代理模式的防火墙策略以及 SSL 深度数据包检查来利用该漏洞。建议对代理策略或具有代理模式的防火墙策略使用的 SSL 检查配置文件禁用 HTTP/2 支持。美国 CISA发布警报 ，敦促组织更新其安装。

详情

Citrix 修复了 Ubuntu 安全访问客户端中的严重漏洞

日期: 2023-07-13
标签: 信息技术, Citrix

Citrix 解决了一个严重漏洞，编号为CVE-2023-24492（CVSS 评分为 9.6），影响 Ubuntu 的 Secure Access 客户端，可利用该漏洞实现远程代码执行。攻击者可以通过诱骗受害者打开特制链接并接受进一步提示来触发该漏洞。该漏洞影响 Ubuntu 23.5.2 之前的 Citrix Secure Access 客户端版本，该问题已在 23.5.2 及更高版本中得到解决。

详情

思科 SD-WAN vManage 受到未经身份验证的 REST API 访问的影响

日期: 2023-07-14
标签: 信息技术, 思科（Cisco）, Cisco SD-WAN vManage

Cisco SD-WAN vManage 管理软件受到一个漏洞的影响，该漏洞允许未经身份验证的远程攻击者获得对受影响实例的配置的读取或有限的写入权限，编号为 CVE-2023-20214。思科 SD-WAN vManage 是一种基于云的解决方案，允许组织跨多个位置设计、部署和管理分布式网络。vManage 实例是可能用于集中网络管理、设置 VPN、SD-WAN 编排、设备配置部署、策略实施等的部署。该漏洞是由于使用 REST API 功能时请求验证不足造成的，可以通过向受影响的 vManage 实例发送特制的 API 请求来利用该缺陷。这可能使攻击者能够从受感染的系统中读取敏感信息、修改某些配置、破坏网络操作等。

详情

SonicWall 敦促组织修复 GMS/Analytics 产品中的严重漏洞

日期: 2023-07-14
标签: 信息技术, SonicWall

SonicWall 解决了其全球管理系统 (GMS) 防火墙管理以及分析网络管理和报告引擎中的多个严重漏洞。该公司修复了与 NCCGroup 联合发布的协调漏洞披露 (CVD) 报告中披露的 15 个漏洞。其中四个漏洞被评为严重漏洞，攻击者可利用它们绕过身份验证，并可能将敏感信息暴露给未经授权的参与者。 SonicWall PSIRT 尚未发现利用其披露的漏洞进行的野外攻击，根据该通报，尚未公开 PoC 报告。

详情

Zimbra 敦促客户手动修复其零日漏洞

日期: 2023-07-14
标签: 信息技术, Zimbra, Zimbra Collaboration Suite (ZCS)

Zimbra 敦促客户手动安装更新，以修复在针对Zimbra Collaboration Suite (ZCS) 电子邮件服务器的攻击中被积极利用的零日漏洞。Zimbra 是一个电子邮件和协作平台，被来自 140 多个国家/地区的超过 200,000 家企业使用。Zimbra Collaboration Suite 版本 8.8.15 中出现了一个安全漏洞，可能会影响数据的机密性和完整性。目前问题已得到解决。Zimbra还进行了严格的测试，以确保系统的有效性和稳定性。该修复计划在 7 月份的补丁版本中提供。

详情

0x07   安全分析

ENISA：勒索软件占医疗保健网络威胁的一半以上

日期: 2023-07-10
标签: 卫生行业, 欧盟网络安全局 ( ENISA ), 医疗保健网络威胁

欧盟网络安全局 ( ENISA ) 的一份新报告发现，勒索软件占欧盟卫生部门所有网络威胁的一半以上 (54%) 。该欧盟机构对卫生部门的第一个网络威胁形势分析显示，电子健康记录等患者数据是勒索软件攻击者最有针对性的资产（30%）。此外，近一半 (46%) 的事件旨在窃取或泄露卫生组织的数据。尽管针对医疗保健的勒索软件攻击非常普遍，但报告发现，只有 27% 的受访组织拥有专门的勒索软件防御计划。

详情

新的“Big Head”勒索软件显示虚假的 Windows 更新警报

日期: 2023-07-10
标签: 信息技术, 加密软件

最近发现了一种名为"Big Head"的勒索软件，通过显示假的Windows更新和Microsoft Word安装程序的恶意广告进行传播。该勒索软件使用.NET二进制文件，会在目标系统上安装三个AES加密文件，其中一个用于传播恶意软件，另一个用于Telegram机器人通信，第三个用于加密文件并伪装成Windows更新。该勒索软件会删除阴影副本，加密目标文件，并在文件名后添加".poop"扩展名。它还会终止某些进程，以防止干扰加密过程。此外，它会检查系统语言，并只在不属于独立国家联合体成员国的情况下进行加密。研究人员发现该勒索软件并不复杂，加密方法常见且易于检测，但它主要针对易受骗的消费者或对网络安全风险保护措施了解有限的用户。不同变种的出现表明该勒索软件的创建者在不断发展和改进，尝试不同的方法来优化攻击。

详情

Charming Kitten 黑客在 macOS 上使用新的“NokNok”恶意软件

日期: 2023-07-10
标签: 信息技术, Charming Kitten, macOS系统

Charming Kitten APT组织最近展开了一次针对macOS系统的新攻击活动。他们使用了名为NokNok的恶意软件，通过LNK文件进行感染。攻击开始于5月，与以往不同的是，黑客冒充核专家向目标发送电子邮件，诱骗他们点击恶意链接或下载伪装成VPN应用的ZIP文件。NokNok恶意软件在macOS系统上建立后门，并通过与命令和控制服务器通信来窃取敏感数据。这次攻击显示出迷人的小猫APT组织对目标的灵活适应能力，并凸显了对macOS用户的高级恶意软件攻击的威胁不断增长。

详情

与伊朗有关的 APT TA453瞄准 Windows 和 macOS 系统

日期: 2023-07-10
标签: 政府部门, TA453, macOS, Windows系统

伊朗APT组织TA453与恶意软件攻击有关，目标是Windows和macOS系统。TA453使用LNK感染链进行钓鱼攻击，伪装成核安全专家的邮件诱骗受害者。攻击包括使用新识别的PowerShell后门GorjolEcho和名为NokNok的苹果后门。NokNok通过发送含有Mach-O二进制文件的ZIP归档文件到macOS系统，建立后门访问。这些恶意软件用于TA453的间谍活动，具有模块化结构并保持持久性。研究人员发现了与Charming Kitten和GhostEcho相似的代码和功能。这次攻击显示了TA453持续演进和改进的趋势。

详情

TA453开始部署LNK感染链并使用Mac恶意软件

日期: 2023-07-10
标签: 政府部门, TA453, APT舆情

2023年5月中旬，TA453伪装成皇家联合军种研究所(RUSI)的高级研究员，向公共媒体联系人即美国一家专注于外交事务的智库的核安全专家发送了一条善意的对话诱饵。这封电子邮件请求了有关“全球安全背景下的伊朗”项目的反馈，并请求允许发送草案供审查。最初的电子邮件除了提供酬金外，还提到了TA453此前伪装的其他知名核安全专家的参与。TA453最终使用了各种云托管提供商来提供一种新型感染链，该感染链部署了新识别的PowerShell后门GorjolEcho。当有机会时，TA453分发了该恶意软件，并试图启动一个由Proofpoint称为NokNok的感染链。TA453还在其他间谍任务中采用了多重角色模仿。

详情

分析师：网络安全资金将出现反弹

日期: 2023-07-11
标签: 信息技术, 网络安全

2023年第二季度，网络安全行业的融资和并购活动有所下滑，但分析师对后续持乐观态度。企业在网络安全方面的投资仍持续增加，预计全年将花费约2190亿美元。尽管融资活动总体下降，但具有良好基础的高绩效公司仍在获得大额融资。私募股权公司看中降低估值的机会。市场预计下半年融资和并购活动将逐渐复苏。在2023年第二季度，网络安全公司共筹集了约19亿美元的资金。尽管M&A活动有所下降，但仍有一些重要交易发生。网络安全行业仍然吸引投资者，未来12到18个月内预计将加速增长。

详情

APT28通过网络钓鱼攻击获取公共邮件服务的身份验证数据

日期: 2023-07-11
标签: 政府部门, APT舆情

乌克兰CERT-UA发现了模仿邮件服务Web界面的HTML文件，并实现了利用HTTP POST窃取受害者输入的身份验证数据。 与此同时，被盗数据的传输是使用先前受到损害的Ubiquiti设备进行的。需要特别注意的是，其中一个HTML文件包含攻击对象的电子邮件地址，根据现有数据，指定地址属于伊朗伊斯兰共和国驻拉那（阿尔巴尼亚共和国）大使馆。综上所述，可以合理地得出结论，APT28组织于2023年5月对伊朗外交机构进行了有针对性的网络攻击。

详情

未知攻击者利用APT29的TTP攻击中国用户

日期: 2023-07-11
标签: 信息技术, APT舆情

Lab52检测到潜在恶意活动的不同恶意文档样本。最初的访问是通过中文网络钓鱼进行的。该恶意文档似乎是针对中文用户的活动，因为内容是用中文编写的。恶意文档的内容中应用的社会工程技术是冒充一名28岁专业人士的简历，该专业人士专门从事金融领域的银行系统和NCR的软件开发。该感染链与威胁组织APT29类似，但已发现与典型的APT29的感染链存在显着差异，这使得它看起来不是该组织所为。

详情

云中谍影：Group123组织近期攻击活动分析

日期: 2023-07-12
标签: 政府部门, Group123, APT舆情

奇安信威胁情报中心红雨滴团队在对东亚相关APT组织进行追踪时发现Group123组织近期针对韩国的攻击频繁发生。自微软宣布Office应用程序将阻止来自Internet的宏以来，各大APT组织纷纷改变他们的攻击策略和技术手段，以适应新的安全措施。在此背景下，Group123组织积极扩展新的攻击方式，使用伪装成合法文档的LNK文件进行攻击。根据Group123组织常用的TTP进行推测，猜测其初始入口载荷为鱼叉式钓鱼邮件，而部分执行链包含韩语，以及包含Hangul Word Processor（HWP，韩国流行的文档格式）文件，足以说明其以韩国为相关攻击目标。

详情

Transparent Tribe利用恶意PPT对印度政府发起新攻击

日期: 2023-07-13
标签: 政府部门, APT舆情

在广阔的网络安全威胁中，国家支持的网络间谍组织对国家安全构成了重大挑战。其中一个值得注意的威胁攻击者是透明部落，也称为APT36，它一直积极针对印度的政府实体。本报告深入研究了透明部落所采用的攻击链，深入了解他们的TTP。观察到的攻击媒介涉及一个多阶段过程，由网络钓鱼电子邮件发起，然后分发嵌入宏代码的恶意PowerPoint文件，最终部署远程访问木马(RAT)。

详情

研究人员发现至少一名 Cl0p 勒索软件团伙主谋仍居住在乌克兰

日期: 2023-07-13
标签: 信息技术, 政府部门, 俄乌战争

Cybernews 发现，随着 Cl0p 勒索软件团伙继续在全球范围内散布焦虑，影响到 BBC 和德意志银行等知名公司，该团伙的至少一名主谋仍然居住在乌克兰。全球最大的银行之一德意志银行是Cl0p 团伙的最新受害者。黑客利用 MOVEit 漏洞渗透到第三方供应商 Majorel后，该银行的客户数据遭到泄露。欧洲其他主要银行，包括德意志银行旗下的邮政银行、 ING 银行和 Comdirect 也受到了影响。

详情

Mandiant 公布俄罗斯 GRU 针对乌克兰的网络策略

日期: 2023-07-14
标签: 信息技术, 政府部门, 俄乌战争

Mandiant通过追踪自 2022 年 2 月乌克兰入侵邻国以来俄罗斯支持的针对乌克兰的破坏性行动，观察到多个不同的俄罗斯威胁集群在整个战争期间一直在使用相同的、可重复的策略来实现俄罗斯的信息对抗目标。通常情况下，在初步侦察后，俄罗斯的网络行动将开始危害处于“边缘”阶段的系统。然后，对手将在系统中建立立足点，维持其存在并通过“靠土地为生”的方法来升级特权。然后，它将这些方法与组策略对象结合起来，横向移动并在内部系统内进行进一步的侦察。最后，它会部署恶意软件（擦除器、勒索软件……）并发起 Telegram 活动，同时扩大操作的成功率。

详情

2023 年上半年 USB 驱动器恶意软件攻击再次激增

日期: 2023-07-14
标签: 信息技术, 政府部门, USB

研究人员发现 2023 年上半年通过 USB 驱动器分发的恶意软件数量增加了三倍。Mandiant的一份新报告 概述了今年如何观察到两起通过 USB 传送的恶意软件活动：其中一个名为“Sogu”，归属于中国间谍威胁组织“TEMP.HEX”，另一个名为“Snowydrive”，归属于针对亚洲石油和天然气公司的UNC4698。此前，2022 年 11 月，这家网络安全公司强调了一项与中国关系密切的活动，利用 USB 设备通过四种不同的恶意软件系列感染菲律宾的实体 。此外，2023 年 1 月，Palo Alto Network 的 Unit 42 团队发现了 一种 PlugX 变种 ，该变种可能隐藏在 USB 驱动器中并感染其连接的 Windows 主机。

详情

0x08   行业动向

汇丰银行加入英国量子安全网络

日期: 2023-07-10
标签: 信息技术, 金融业, 量子安全

银行业巨头汇丰银行 (HSBC) 宣布将加入英国电信 (BT) 和东芝的突破性量子安全城域网络 (QSMN)。汇丰银行成为第一家连接到英国网络的银行，因为它希望其全球业务能够抵御量子网络威胁。它现在将在网络上试验多种场景，包括金融交易、安全视频通信和一次性密码加密。这将连接两个英国站点——位于金丝雀码头的全球总部和位于 62 公里外的伯克郡的数据中心。此外，它将使用 AWS Snowball Edge 设备测试 AWS 边缘计算功能。

详情

Facebook 上出现 Deepfake 人工智能投资骗局

日期: 2023-07-11
标签: 文化传播, AI, Deepfake

最近，金融记者马丁·刘易斯在Facebook上被发现宣传一项投资骗局的深度伪造视频。刘易斯迅速澄清并警告公众。这一事件再次引起人们对深度伪造技术的关注。深度伪造技术利用人工智能和机器学习技术生成逼真的虚假内容，包括视频、音频和图片。这种技术的快速发展引发了担忧，因为它可能被滥用于欺骗、诈骗和信息操纵等恶意活动。刘易斯呼吁政府和监管机构采取措施，限制大型科技公司发布危险的伪造内容，并加强对深度伪造技术的监管和防范。保护公众免受深度伪造的影响变得越来越重要，需要综合的法律、技术和教育手段来解决这一问题。

详情

网络诈骗分子开始利用亚马逊 Prime Day 进行诈骗

日期: 2023-07-11
标签: 批发零售, Prime Day

亚马逊Prime Day即将到来，但网络诈骗分子已经开始利用这个全球购物盛事进行诈骗活动。网络安全专家警告称，在Prime Day前几天，已经看到针对消费者和零售商的恶意活动有所增加。Trend Micro监测到亚马逊诈骗活动在6月28日至7月4日的一周内增加了33%以上，并观察到以DHL为主题的快递诈骗也有所上升。此外，专家还追踪到大量恶意机器人活动，占据了约30%的网站流量，这些机器人旨在迅速抢购热门商品，以高价转售。对于在线零售商来说，这些机器人可能导致网站速度变慢、竞争力下降，并减少收入。

详情

NIST 成立生成人工智能工作组

日期: 2023-07-11
标签: 信息技术, 人工智能

尽管安全公司不断推出利用先进人工智能（AI）的产品和功能，研究人员仍继续警告这种技术带来的安全漏洞和危险。为了更安全地实施生成式AI，国家标准与技术研究院（NIST）成立了一个新的工作组。该工作组将通过制定AI使用案例的配置文件、测试生成式AI以及评估其在健康、气候变化和其他环境问题上的应用来提供指导。生成式AI近来备受关注，特别是ChatGPT的推出。为了了解开发者和安全社区的意见，NIST将于8月11日参加拉斯维加斯的DEF CON 2023。有关NIST生成式AI工作组的更多信息可在其网站上找到，并包括与行业人士的视频对话。

详情

Microsoft 将 Azure Active Directory 更名为 Microsoft Entra ID

日期: 2023-07-12
标签: 信息技术, 微软（Microsoft）, Azure Active Directory

2023年7月11日，微软宣布，将在2023年年底前将其 Azure Active Directory (Azure AD) 企业身份服务更名为 Microsoft Entra ID。Azure AD 提供一系列安全功能，包括单点登录、多重身份验证和条件访问，微软表示它有助于防御 99.9% 的网络安全攻击。虽然独立许可证名称也通过此更名进行了修改，但它不会影响服务的功能，并且一切都将像名称更改之前一样工作。

详情

GitHub 实现无密码，并发布密钥 beta 预览版

日期: 2023-07-13
标签: 信息技术, GitHub

2023年7月12日，GitHub 宣布在公开测试版中引入无密码身份验证支持，允许用户从安全密钥升级到密钥。万能钥匙与计算机、平板电脑或智能手机等个人设备相关联，并通过阻止凭证盗窃和海滩企图来保护用户免受网络钓鱼攻击，从而在最大限度地减少数据泄露的可能性方面发挥着至关重要的作用。它们还允许使用个人识别码 (PIN) 或生物识别身份验证方法（例如面部识别或指纹）登录应用程序和在线平台。通过消除记住和管理每个应用程序和网站的唯一密码的需要，它们还极大地改善了用户体验和安全性。

详情

通用漏洞评分系统 (CVSS 4.0)发布

日期: 2023-07-14
标签: 信息技术, CVSS

事件响应和安全团队论坛 (FIRST) 于 2023 年 7 月 13 日公开发布了新版本的通用漏洞评分系统 (CVSS 4.0)。CVSS 是用于评估计算机系统安全漏洞严重性的开放行业标准，可帮助组织确定其漏洞管理流程的优先级。它提供了一种捕获漏洞主要特征并生成数字分数以证明其严重性的方法。4.0 版本目前正在进行公共预览评论期，该评论期将于 2023 年 7 月 31 日结束。所有反馈将在 2023 年 8 月 31 日之前进行审核和处理，FIRST 的正式发布日期是 2023 年 10 月 1 日。

详情

Google Play 将强制进行业务检查以遏制恶意软件提交

日期: 2023-07-14
标签: 信息技术, 谷歌（Google）, 供应链安全

谷歌正在反击恶意软件在 Google Play 上的不断入侵，要求所有注册为组织的新开发者帐户在提交应用程序之前提供有效的 DUNS 号码。这项新措施旨在增强平台的安全性和遏制新账户提交恶意软件。通常，Google Play 上的恶意应用程序会在没有危险代码或有效负载的情况下提交审核，然后通过安装后阶段的更新来获取这些代码或有效负载。违规应用程序将被报告并从 Play 商店中删除，其开发者也将被禁止。然而，他们创建一个新帐户并以新名称和主题提交相同的危险应用程序相对容易。为了解决这个漏洞，从 2023 年 8 月 31 日开始，Google 将要求所有创建新 Play Console 帐户的开发者提供 有效的 DUNS 号码。向 Dun & Bradstreet请求DUNS 编号的组织必须提交几份文件来帮助验证所提供的信息，并且该过程可能需要长达 30 天才能完成。除上述内容外，谷歌还将更改Play商店中应用程序条目的“联系方式”部分，将其重命名为“应用程序支持”，并添加有关开发者的更多信息。

详情

0x09   其他事件

加利福尼亚州水厂前雇员因袭击水厂而被指控

日期: 2023-07-11
标签: 能源业, 加利福尼亚州

加利福尼亚州愉景湾水处理设施的一名前雇员被联邦大陪审团起诉，罪名是故意试图导致该设施的安全和保护系统发生故障。起诉书称，加洛在其雇主的系统和个人电脑上安装了远程控制软件，这使他能够监控仪器读数并控制设施的机电过程。2021 年 1 月，加洛从雇主那里辞职，并使用他的个人电脑远程访问该设施的网络，故意造成伤害。美国司法部的一份新闻稿称，加洛向水处理的计算机发送了远程命令，以卸载负责监控水压、过滤和水中化学物质水平的关键软件工具。

详情

APT35 开发 Mac 定制恶意软件

日期: 2023-07-11
标签: 政府部门, APT35, Mac

伊朗APT35（也称为迷人的小猫、TA453和Tortoiseshell）利用特制的Mac恶意软件对公民社会成员进行有针对性的网络攻击。他们通过发送诱饵电子邮件建立信任，并使用恶意链接和文件传递恶意软件。这次攻击表明APT35在战术上的演变，采用了不同于以往的文件类型，以规避微软的宏保护措施。Proofpoint的研究人员称该组织持续发展，采用更复杂的攻击链来提高恶意软件传递的效果。他们相信APT35是伊朗伊斯兰革命卫队情报组织（IRGC-IO）的支持者，主要针对影响伊朗外交政策的专家。APT35通常以中东的军事、外交和政府人员为目标，并且在社交工程方面表现出复杂性，可能意味着该组织在其他方面也有充足的资源支持。

详情

黑客利用Windows策略加载恶意内核驱动程序

日期: 2023-07-12
标签: 信息技术, Windows

微软阻止了黑客和开发人员主要使用的代码签名证书，通过利用 Windows 策略漏洞在受破坏的系统上签名和加载恶意内核模式驱动程序。内核模式驱动程序在 Windows 上以最高权限级别（Ring 0）运行，允许完全访问目标计算机以实现隐秘持久性、无法检测到的数据泄露以及终止几乎任何进程的能力。即使安全工具在受感染的设备上处于活动状态，内核模式驱动程序也可能干扰其操作、关闭其高级保护功能或执行有针对性的配置修改以逃避检测。

详情

网络犯罪分子开发了针对基于移动操作系统的欺诈的反检测工具

日期: 2023-07-12
标签: 信息技术, 移动安全

Resecurity 已将Enclave 和 McFly 等基于 Android 的对抗性移动工具（称为“移动反检测”）的出现视为欺诈手段演变的新前沿。这些工具被参与网上银行盗窃的犯罪分子用来冒充受感染的账户持有人，并利用移动客户端绕过反欺诈控制。对于欺诈预防团队来说，及时了解这些趋势并实施强有力的安全措施至关重要。这些工具的价格在 700 至 1000 美元之间，目前是为基于 Android 的设备设计的。这两种工具的作者都建议使用 OnePlus 设备来部署移动反检测，或者可能会提供带有预配置软件包的即用型设备。

详情

俄罗斯国家黑客利用宝马汽车广告欺骗西方外交官

日期: 2023-07-13
标签: 政府部门, 网络钓鱼

俄罗斯国家资助的黑客组织“APT29”（又名 Nobelium、Cloaked Ursa）一直在使用汽车列表等非常规诱饵来引诱驻乌克兰的外交官点击传播恶意软件的恶意链接。APT29 与俄罗斯政府的对外情报局 (SVR) 有联系，并负责针对全球高利益个人的众多网络间谍活动。过去两年，俄罗斯黑客 主要针对北约、欧盟和乌克兰目标，利用网络钓鱼电子邮件和带有外交政策主题的文件以及虚假网站，通过 隐形后门感染目标。Palo Alto Network 的 Unit 42 团队发布的一份报告 解释说，APT29 已经改进了其网络钓鱼策略，使用对网络钓鱼电子邮件收件人来说更加个性化的诱饵。

详情

白宫发布实施美国国家网络安全战略的计划

日期: 2023-07-14
标签: 信息技术, 政府部门, 美国国家网络安全战略实施计划 (NCSIP)

2023年7月中旬，美国白宫公布了2023年3月推出的美国国家网络安全战略实施计划。国家网络安全战略实施计划 (NCSIP)于 2023 年 7 月 13 日发布，旨在确保美国联邦政府机构在实现战略中提出的愿景方面的透明度和协调。这一愿景是从根本上改变美国在网络空间中分配角色、责任和资源的方式，并增加对网络安全长期投资的激励。NCSIP 详细介绍了超过 65 项“高影响力”联邦举措，以实现国家网络安全战略的目标，每项举措都分配给一个负责机构，并有完成时间表。这些任务包括提出新立法和现代化技术系统等任务。

详情

伪造的 Linux 漏洞利用会导致窃取数据的恶意软件

日期: 2023-07-14
标签: 信息技术, PoC, Linux

网络安全研究人员和威胁行为者成为虚假概念验证 (PoC) CVE-2023-35829 漏洞的目标，该漏洞安装 Linux 密码窃取恶意软件。Uptycs 分析师在例行扫描期间发现了恶意 PoC，当时检测系统标记了意外网络连接、未经授权的系统访问尝试和非典型数据传输等异常情况。研究人员发现三个存储库托管着恶意假冒 PoC 漏洞，其中两个已从 GitHub 中删除，其余一个仍然存在。Uptycs 报告称，不良 PoC 已在安全研究社区的成员中广泛传播，因此大量计算机上可能存在感染。

详情

0x0a   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0b   时间线

2023-07-10 360CERT发布安全周报