报告编号：CERT-R-2023-298

报告来源：360CERT

报告作者：360CERT

更新日期：2023-07-24

0x01   事件导览

本周收录安全热点55项，话题集中在安全漏洞、行业动向、安全分析，主要涉及的实体有：谷歌（Google）、Meta（原Facebook）、微软（Microsoft）等，主要涉及的黑客组织有：Turla、FIN8、Mallox（TargetCompany/Fargo/Tohnichi）等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

LokiBot 恶意软件在 Office 文档攻击中针对 Windows 用户

日期: 2023-07-17
标签: 信息技术, LokiBot

Windows 用户再次成为名为 LokiBot 的复杂恶意软件的目标，该恶意软件通过恶意 Office 文档进行传播。 LokiBot 是一种自 2015 年以来一直活跃的臭名昭著的木马，专门从受感染的计算机中窃取敏感信息，主要针对 Windows 系统。根据Fortinet安全研究员 Cara Lin 的最新报告，攻击者正在利用CVE-2021-40444和CVE-2022-30190等已知漏洞在 Microsoft Office 文档中嵌入恶意宏。 一旦执行，这些宏就会将 LokiBot 恶意软件投放到受害者的系统上，从而使攻击者能够控制和收集敏感信息。

详情

Sorillus RAT 和网络钓鱼攻击利用 Google Firebase 托管

日期: 2023-07-18
标签: 信息技术, 谷歌（Google）, Sorillus, 网络钓鱼

据观察，攻击者使用 Sorillus 远程访问木马 (RAT) 和网络钓鱼攻击来利用 Google Firebase 托管基础设施。eSentire 的安全运营中心 (SOC) 在制造客户的网络中检测到可疑代码时，发现了这种新威胁。安全专家在2023 年 7 月 13 日发布的公告中描述了这一新威胁，他们表示攻击者一直在使用 Firebase Hosting，因为它能够掩盖恶意内容。攻击始于受害者打开一封网络钓鱼电子邮件，诱使他们打开一个看似无害的税务主题文件。该附件隐藏了一个 Java 有效负载，该有效负载在受害者的系统上执行 Sorillus RAT。此外，调查还发现了一个严重依赖 Google Firebase Hosting 的错综复杂的网络钓鱼工具包。该网络钓鱼活动利用了多种云服务（包括 Cloudflare）来制作令人信服的 Microsoft 365 登录页面。

详情

新的 P2PInfect 蠕虫恶意软件针对 Linux 和 Windows Redis 服务器

日期: 2023-07-21
标签: 信息技术, P2022PInfect, P2P

2023年7月初，安全研究人员发现了一种新的点对点（P2P）恶意软件，该恶意软件具有自我传播功能，针对在互联网暴露的Windows和Linux系统上运行的Redis实例。Unit 42 研究人员在 7 月 11 日发现了基于 Rust 的蠕虫（名为 P2022PInfect），他们还发现它入侵了 Redis 服务器，这些服务器容易受到 CVE-2022-0543 Lua 沙盒逃逸漏洞的影响。据研究人员称，虽然在过去两周内发现了超过互联网暴露的307000台Redis服务器，但只有934个实例可能容易受到这种恶意软件的攻击。

详情

0x04   数据安全

VirusTotal 数据泄露影响超过 5000 名用户

日期: 2023-07-19
标签: 信息技术, 谷歌（Google）, 数据泄露

VirusTotal 是 Google 旗下的在线服务，用于分析可疑文件和 URL以检测恶意材料或恶意软件，该服务遭遇了数据泄露，导致 5,600 名用户的数据遭到泄露，其中包括一些非常知名的人士。德国《明镜周刊》从谷歌证实，泄露的数据包括来自不同背景的员工的姓名和电子邮件地址，其中包括来自美国和德国情报机构的员工；荷兰、台湾和英国的官方机构；以及宝马、奔驰等德国大型知名企业。

详情

游戏平台Roblox 再次出现数据泄露

日期: 2023-07-21
标签: 文化传播, Roblox

影响在线游戏平台Roblox的数据泄露暴露了数千名用户的敏感信息。泄露的列表以CSV格式共享，包含4000个唯一的电子邮件地址，以及姓名，用户名，出生日期，电话号码以及物理和IP地址等个人详细信息。泄漏最初是在 2021 年发布的，但“并没有蔓延到 Roblox 内部的小众作弊社区之外”，“Roblox 从未公开披露此泄漏或提醒受影响的人”。该泄漏于2023年7月在一个公共黑客论坛上重新发布，在那里它获得了更多的关注。由于此次泄密，知名用户已经开始收到恶意电话，短信和电子邮件。

详情

0x05   网络攻击

新黑客组织对乌克兰和波兰发起网络攻击

日期: 2023-07-17
标签: 政府部门, UNC1151

据观察，一个新的威胁组织针对乌克兰和波兰的政府实体、军事组织和平民用户进行了一系列网络攻击。 根据Cisco Talos的最新报告，恶意活动于 2022 年 4 月开始，目前正在进行中。他们的主要目的是窃取有价值的信息并建立持久的远程访问。

乌克兰计算机紧急响应小组 (CERT-UA)将 7 月份的活动归咎于威胁组织UNC1151。这些攻击采用复杂的多级感染链，初始入口涉及恶意 Microsoft Office 文档，尤其是 Excel 和 PowerPoint 格式的文档。这些文件利用隐藏的可执行下载程序和嵌入图像文件中的有效负载，使检测变得更具挑战性。这些活动的主要焦点是乌克兰和波兰的政府和军事实体。威胁行为者采用社会工程技术，使用看起来真实的图像和文本。

详情

俄罗斯 Gamaredon 黑客组织攻击分析

日期: 2023-07-17
标签: 政府部门, 俄乌战争

乌克兰计算机紧急响应小组 (CERT-UA) 警告称，Gamaredon 黑客攻击会进行快速攻击，在一小时内从被破坏的系统中窃取数据。Gamaredon，又名 Armgeddon、UAC-0010 和 Shuckworm，是一个 俄罗斯国家资助的 网络间谍黑客组织，其网络安全研究人员将其与 FSB（俄罗斯联邦安全局）联系起来，其成员是叛逃到俄罗斯的前 SSU 军官2014年。自俄罗斯入侵开始以来，据信威胁行为者对乌克兰政府和其他重要公共和私人组织进行了数千次攻击。这些攻击的数据积累使 CERT-UA 能够概述该组织的攻击，并共享这些数据以帮助防御者检测和阻止网络渗透尝试。

详情

挪威采矿公司Tomra遭受网络攻击

日期: 2023-07-20
标签: 能源业, Tomra, 供应链安全

挪威回收和采矿跨国公司Tomra在一份简短声明中表示，“广泛”的网络攻击直接影响了其一些“数据系统”，该公司于7月16日上午发现了这一攻击。该公司补充说，它已经通知了有关当局，并调动了所有资源来“遏制和消除事件”。Tomra的大多数数字服务都被设计为离线运行一段时间，但在此期间可能会减少功能。该公司的食品和回收业务“照常”运营，但由于数字服务离线，功能有限。其反向自动售货机（RVM）在澳大利亚和北美在线工作，而大多数在欧洲和亚洲继续离线运行。然而，Tomra的内部IT和后台应用程序处于离线状态，影响了供应链管理。

详情

APT41黑客使用WyrmSpy，DragonEgg间谍软件瞄准Android用户

日期: 2023-07-21
标签: 信息技术, APT41, WyrmSpy, DragonEgg, 移动安全

APT41黑客组织正在针对Android设备，使用Lookout安全研究人员称为WyrmSpy和DragonEgg的两种新发现的间谍软件。APT41 是最古老的国家黑客组织之一，拥有针对美国、亚洲和欧洲各个行业的历史。他们以对各行各业的实体进行网络间谍活动而闻名，包括软件开发、硬件制造、智库、电信公司、大学和外国政府。虽然APT41黑客通常通过易受攻击的Web应用程序和暴露在Internet上的端点来破坏目标的网络，但Lookout表示，该组织还针对具有WyrmSpy和DragonEgg间谍软件的Android设备。这两种恶意软件还共享重叠的Android签名证书，从而加强了它们与单个黑客的联系。

详情

美国企业软件公司JumpCloud遭到朝鲜Lazarus Group黑客攻击

日期: 2023-07-21
标签: 信息技术, JumpCloud , Lazarus Group

据SentinelOne，CrowdStrike和Mandiant的安全研究人员称，总部位于美国的企业软件公司JumpCloud遭到朝鲜Lazarus Group黑客的破坏。SentinelOne高级威胁研究员汤姆·黑格尔（Tom Hegel）根据该公司在最近的一份事件报告中分享的多个妥协指标，将朝鲜威胁组织与JumpCloud黑客联系起来。2023年6月27日，JumpCloud 发现了一起安全事件，其中“一个复杂的民族国家赞助的威胁行为者”通过鱼叉式网络钓鱼攻击破坏了其系统。尽管没有立即证据表明客户受到影响，但作为预防措施，JumpCloud 主动轮换凭据并重建受感染的基础设施。在 2023年7月12日发布的公告中，JumpCloud 分享了事件的详细信息并发布了入侵指标 （IOC），以帮助合作伙伴保护其网络免受来自同一组的攻击。截至目前，JumpCloud尚未披露受攻击影响的客户数量，也没有将违规行为背后的APT组织归因于特定状态。

详情

GitHub警告Lazarus黑客针对恶意项目的开发人员

日期: 2023-07-21
标签: 信息技术, GitHub, 加密货币, 区块链

GitHub警告说，一场针对区块链，加密货币，在线赌博和网络安全领域开发人员帐户的社会工程活动，用恶意软件感染他们的设备。该活动与朝鲜国家支持的Lazarus黑客组织有关，该组织也被称为Jade Sleet（Microsoft威胁情报）和TraderTraitor（CISA）。Lazarus集团正在破坏合法帐户或创建虚假角色，假装是GitHub和社交媒体上的开发人员和招聘人员。这些角色用于与加密货币、在线赌博和网络安全行业的开发人员和员工联系和发起对话。在与目标建立信任后，威胁参与者邀请他们在项目上进行协作，并克隆以媒体播放器和加密货币交易工具为主题的 GitHub 存储库。但是这些项目利用恶意的NPM依赖项将更多的恶意软件下载到目标的设备。

详情

0x06   安全漏洞

Zimbra 零日漏洞要求紧急手动更新

日期: 2023-07-17
标签: 信息技术, 零日漏洞

Google TAG 研究人员警告称，Zimbra 电子邮件服务器中的一个漏洞已被广泛利用。敦促运行 Zimbra Collaboration Suite 版本 8.8.15 的团队对最近发现的零日漏洞进行手动修复，该漏洞正在被广泛利用。Zimbra 云套件提供电子邮件、日历功能和其他企业协作工具。该公司在安全公告中表示，该漏洞危及 Zimbra 服务器上数据的安全。该公司表示：“Zimbra 协作套件版本 8.8.15 中出现了一个安全漏洞，可能会影响数据的机密性和完整性。”尽管 Zimbra 有修复程序，但要等到预定的 7 月更新后才会自动推出，建议用户尽快进行手动更新。

详情

美国 CISA 对罗克韦尔自动化 ControlLogix 漏洞发出警告

日期: 2023-07-17
标签: 信息技术, CVE-2023-3595, CVE-2023-3596

美国网络安全和基础设施安全局 (CISA) 警告称，存在两个影响罗克韦尔自动化 ControlLogix EtherNet/IP (ENIP) 通信模块模型的漏洞，这些漏洞可被利用来实现远程代码执行并触发拒绝服务条件。第一个漏洞编号为CVE-2023-3595 （CVSS 评分：9.8），是一个越界写入缺陷，影响 1756 EN2和 1756 EN3产品。攻击者可以通过向易受攻击的设备发送恶意制作的通用工业协议（CIP ）消息来触发该漏洞，从而在目标系统上持久执行任意代码。第二个漏洞编号为CVE-2023-3596 （CVSS 评分：7.5），是一个越界写入缺陷，影响 1756 EN4* 产品。攻击者可以通过向易受攻击的设备发送恶意制作的 CIP 消息来触发该缺陷，从而导致 DoS 情况。

详情

微软7月补丁修复了多达129个漏洞

日期: 2023-07-18
标签: 信息技术, 微软（Microsoft）, 微软补丁日

微软的 2023 年 7 月补丁星期二更新是今年迄今为止最大的一次更新，修复了多达 129 个漏洞，其中 4 个修复了被频繁利用的零日漏洞，另外 9 个修复了“严重”评级。这些漏洞影响多种 Microsoft 产品，包括 Windows、Office、.NET、Azure Active Directory、打印机驱动程序、DMS 服务器和远程桌面。它们对企业带来的风险类型也多种多样：存在大量远程代码执行 (RCE) 错误、大量安全绕过和权限升级问题、信息泄露坏人以及拒绝服务漏洞。

详情

思科修复了 SD-WAN vManage 中的一个严重漏洞

日期: 2023-07-18
标签: 信息技术, CVE-2023-20214

思科解决了一个严重的未经身份验证的 REST API 访问漏洞，编号为 CVE-2023-20214（CVSS 评分 9.1），影响其 SD-WAN vManage。未经身份验证的远程攻击者可以利用该漏洞获取受影响实例配置的读取权限或有限的写入权限。该漏洞是由于使用 REST API 功能时请求验证不足造成的。攻击者可以通过向受影响的 vManage 实例发送精心设计的 API 请求来利用此漏洞。该安全漏洞仅影响REST API，不会影响基于Web的管理界面或CLI。

详情

Adobe 警告称有一个严重的 ColdFusion RCE 出现在野利用

日期: 2023-07-18
标签: 信息技术, Adobe, CVE-2023-29300

Adobe 警告客户存在一个严重的 ColdFusion 预身份验证远程代码执行漏洞，该漏洞被追踪为CVE-2023-29300（CVSS 评分 9.8），该漏洞在野外攻击中被积极利用。未经身份验证的访问者可以利用该漏洞在易受攻击的 Coldfusion 2018、2021 和 2023 服务器上远程执行命令。该问题是由 CrowdStrike 的安全研究员 Nicolas Zilio 发现的不受信任数据的反序列化。Adobe 尚未披露该问题的技术细节，也没有透露威胁者在野外利用该问题的方式。

详情

CISA 命令政府机构缓解 Windows 和 Office 零日漏洞

日期: 2023-07-19
标签: 政府部门, 信息技术, 零日漏洞

CISA 命令联邦机构减少影响 Windows 和 Office 产品的远程代码执行零日漏洞，俄罗斯 RomCom 网络犯罪组织在北约网络钓鱼攻击中利用了这些漏洞。这些安全漏洞（统称为 CVE-2023-36884）也已于周一添加到 CISA 的已知利用漏洞列表中。根据 2021 年 11 月发布的具有约束力的操作指令 (BOD 22-01)，美国联邦民事行政部门 (FCEB) 现在需要保护其网络上的 Windows 设备免受利用 CVE-2023-36884 的攻击。截至 8 月 8 日，美国联邦机构有三周的时间通过实施 微软一周前分享的缓解措施来保护其系统。虽然该漏洞尚未得到解决，但微软已承诺通过每月发布流程或带外安全更新来提供补丁。

详情

黑客利用谷歌云构建漏洞发起供应链攻击

日期: 2023-07-19
标签: 信息技术, 供应链安全

云安全公司 Orca Security 在 Google Cloud Build 服务中发现了一个严重的设计漏洞，这个漏洞可以让攻击者升级特权，让他们几乎可以完全未经授权地访问 Google Artifact Registry 代码仓库。这个被称为 Bad.Build 的漏洞可能使威胁行为者能够冒充 Google Cloud Build 托管的持续集成和交付 (CI/CD) 服务的服务帐户，以针对工件注册表运行 API 调用并控制应用程序映像。这使得他们能够注入恶意代码，在客户环境中部署恶意应用程序后，导致应用程序易受攻击并可能遭受供应链攻击。

详情

NetScaler ADC 和 NetScaler Gateway的严重漏洞出现在野利用

日期: 2023-07-19
标签: 信息技术, Citrix, CVE-2023-3519

2023年7月18日，Citrix 向客户发出警报，称 NetScaler ADC 和 NetScaler Gateway 中存在一个严重漏洞 (CVE-2023-3519)，该漏洞已在野外被利用，并“强烈敦促”立即安装更新版本。这两款 NetScaler 产品以前称为 Citrix ADC 和 Citrix Gateway，Citrix 推出了其新版本，以缓解三个漏洞。其中最严重的得分为 9.8 分（满分 10 分），编号为 CVE-2023-3519。攻击者可以利用它在无需身份验证的情况下远程执行代码。该公司指出，NetScaler ADC 和 NetScaler Gateway 版本 12.1 已达到生命周期结束阶段，客户应升级到该产品的较新版本。

详情

AMI BMC 漏洞导致接管和物理损坏，可能影响数百万台设备

日期: 2023-07-21
标签: 信息技术, 制造业, Eclypsium

固件和硬件安全公司 Eclypsium 披露了其研究人员在 American Megatrends (AMI) MegaRAC 基板管理控制器 (BMC) 软件中发现的两个新漏洞的信息。Eclypsium 披露了2022 年 12 月在同一研究项目中发现的其他缺陷。分析重点是 2021 年针对 AMI 供应链合作伙伴主板制造商技嘉发起勒索软件攻击而泄露的信息。网络安全公司在 AMI BMC 中发现的漏洞统称为 BMC&C。BMC 软件使管理员能够远程监视和控制设备，而无需通过操作系统或在其上运行的应用程序。它可用于更新固件、安装操作系统和分析日志。虽然这些功能使 BMC 非常有用，但它们也可能使其成为黑客的诱人目标。AMI制造的BMC存在于全球数以百万计的设备中，应用于安培、华擎、华硕、Arm、戴尔、技嘉、HPE、华为、浪潮、联想、Nvidia、高通、广达、泰安等大公司的产品中。

详情

Zyxel漏洞被Linux系统上的DDoS僵尸网络利用

日期: 2023-07-21
标签: 信息技术, DDoS僵尸网络

分布式拒绝服务（DDoS）僵尸网络已被用于主动利用合勤防火墙模型中发现的关键漏洞。该漏洞被 Fortinet 安全研究人员确定为 CVE-2023-28771，明确影响 Linux 平台。利用此漏洞，远程攻击者可以对易受攻击的系统进行未经授权的控制，从而能够进行DDoS攻击。在Fortinet的研究揭露了该漏洞后，合勤科技于2023年4月25日迅速发布了安全公告。美国网络安全和基础设施安全局（CISA）在5月份将该漏洞添加到其已知利用漏洞（KEV）目录中，表明在野外被积极利用。为了响应漏洞的披露，Fortinet 观察到恶意活动有所增加，尤其是在 5 月份。通过捕获漏洞利用流量，Fortinet 能够确认在中美洲、北美、东亚和南亚观察到的攻击。

详情

黑客可利用AMI MegaRAC 严重漏洞攻击服务器

日期: 2023-07-21
标签: 信息技术, 制造业, MegaRAC

在硬件和软件公司American Megatrends International制造的MegaRAC底板管理控制器（BMC）软件中发现了两个新的严重漏洞。MegaRAC BMC 为管理员提供“带外”和“无人值守”远程系统管理功能，使他们能够对服务器进行故障排除，就像他们在设备前面一样。该固件被十几家服务器制造商使用，这些制造商为许多云服务和数据中心提供商提供设备。受影响的供应商包括AMD，华硕，ARM，戴尔EMC，技嘉，联想，英伟达，高通，惠普企业，华为，安培计算，华擎等。Eclypsium 安全研究人员在分析了 RansomEXX 勒索软件团伙在破坏计算机硬件巨头技嘉（AMI 的业务合作伙伴之一）的网络后窃取的 AMI 源代码后发现了这些漏洞（跟踪为 CVE-2023-34329 和 CVE-2023-34330）。

详情

0x07   安全分析

Lazarus攻击Windows服务器并利用其分发恶意软件

日期: 2023-07-17
标签: 信息技术, 政府部门, APT舆情

AhnLab安全紧急响应中心(ASEC)证实，Lazarus组织正在攻击Windows Internet信息服务(IIS)Web服务器并将其用作恶意代码分发服务器。众所周知，Lazarus使用水坑技术作为初始渗透方法。首先，通过入侵国内网站，操纵该网站提供的内容。此后，当使用INISAFE CrossWeb EX V6的易受攻击版本通过网络浏览器访问该站点时，会利用INISAFECrossWebEXSvc.exe的漏洞从恶意代码分发站点安装Lazarus恶意软件。INITECH漏洞已得到修补，但针对未修补系统的攻击直到最近才出现。Lazarus组织攻击IIS Web服务器并获得控制权后，将其用作分发恶意软件的服务器。

详情

APT-C-28（ScarCruft）组织针对能源方向投放Rokrat后门活动分析

日期: 2023-07-17
标签: 信息技术, APT-C-28, APT舆情

近期，360高级威胁研究院捕获到APT-C-28（ScarCruft）组织的一起以能源方向诱饵文件投递Rokrat后门木马的攻击活动，攻击者投递内嵌恶意代码和PDF文档的LNK文件，LNK文件运行后从第三方云服务中下载Rokrat后门注入到PowerShell中运行。Rokrat木马是APT-C-28组织武器化后门软件，Rokrat木马可具备获取计算机敏感信息、上下发文件运行、捕获屏幕截图和键盘输入等功能，且惯用云储存API实现后门指令和文件的下发。

详情

中东和非洲的品牌假冒诈骗大幅增长

日期: 2023-07-17
标签: 信息技术, 网络诈骗

2022年，检测到的与中东和非洲知名品牌有关的假冒和诈骗网站数量增加了 135%。Group-IB 的研究定义为盗用品牌形象和徽标的实例数量，发现该地区整体品牌假冒诈骗检测增加了 162% 。网络钓鱼会以受害者可能不知道的方式窃取个人信息，而“诈骗”类别是指网络犯罪分子试图欺骗受害者自愿交出金钱或敏感信息的任何行为。Group-IB 数字风险保护分析团队负责人 Sharef Hlal 表示，中东和非洲的诈骗数量增幅低于亚太地区，而亚太地区的这一数字在 2022 年增长了 211%。

详情

AWS 云凭证窃取活动蔓延至 Azure、Google Cloud

日期: 2023-07-18
标签: 信息技术, 亚马逊（Amazon ）, 谷歌（Google）, TeamTNT, Amazon Web Services (AWS), 加密挖矿

研究人员表示，TeamTNT 黑客组织似乎正在为更广泛的云蠕虫攻击奠定基础。过去几个月针对 Amazon Web Services (AWS) 环境的复杂云凭证窃取和加密挖矿活动现已扩展到 Azure 和 Google Cloud Platform (GCP)。研究人员确定，该活动中使用的工具与 TeamTNT 相关的工具有相当大的重叠。据SentinelOne 和Permiso的研究人员称，更广泛的目标似乎已于 6 月开始，并且与该活动背后的威胁行为者自去年 12 月开始一系列攻击以来一直对其进行的一系列持续渐进式改进是一致的。针对 Azure 和谷歌云服务的攻击涉及其背后的威胁组织在 AWS 活动中使用的相同核心攻击脚本。

详情

乌克兰 CERT-UA 揭露了 Gamaredon 的快速数据盗窃方法

日期: 2023-07-18
标签: 政府部门, Gamaredon

乌克兰政府的计算机紧急响应小组 (CERT-UA) 最近公布了 APT 的快速数据窃取方法，称为 UAC-0010（又名世界末日、Gamaredon）。CERT-UA 在 2023 年 7 月 13 日发布的一份新公告（乌克兰语）中写道，Gamaredon 包括驻克里米亚的前乌克兰安全局 (SBU) 官员，他们于 2014 年叛逃并开始为俄罗斯联邦安全局服务。Gamaredon 的主要目标是针对乌克兰安全部队进行网络间谍活动，并有证据表明对信息基础设施目标采取了破坏性行动。该组织主要感染政府计算机，特别是在通信系统内，通常使用受感染的帐户和各种策略，例如电子邮件和 Telegram、WhatsApp 和 Signal 消息。

详情

SideCopy组织APT攻击分析

日期: 2023-07-20
标签: 信息技术, SideCopy, APT舆情

这份技术分析报告对SideCopy APT组织所采用的感染链进行了深入分析。该组织采用复杂的攻击方法，从网络钓鱼电子邮件开始，最终在受害者的系统中部署远程访问工具(RAT)。通过阐明该感染链的各个阶段，本报告旨在增强对该组织的战术、技术和过程(TTP) 的理解和认识。

详情

军事话题成焦点：伪猎者APT组织威胁持续曝光

日期: 2023-07-21
标签: 政府部门, 伪猎者, APT舆情

伪猎者APT组织于2021年由国内安全厂商披露，据悉其最早攻击时间可以追溯到2018 年。该组织从2021年12月份至今依然保持活跃。微步情报局近期通过威胁狩猎系统捕获到一起伪猎者组织的攻击活动，经过分析有如下发现：

攻击者通过 .vhd 文件投递恶意文件，使用.lnk文件执行攻击活动，并携带有军事话题诱饵文件 。

攻击者的样本在以往的基础上有所更新，后续载荷调用的路径、文件名、导出函数名、加密参数、字符串等都通过与C2地址通信获取，并通过 AES解密。

详情

Turla组织利用CAPIBAR和KAZUAR恶意软件攻击乌克兰

日期: 2023-07-21
标签: 政府部门, Turla, APT舆情

自2022年以来，乌克兰CERT-UA一直在监控使用CAPIBAR恶意软件（Microsoft：“DeliveryCheck”，Mandiant：“GAMEDAY”）针对国防军的针对性网络攻击，在某些情况下，受影响的计算机上会加载一个复杂的多功能KAZUAR后门，CERT-UA以UAC-0024命名该攻击行动。考虑到战术、技术和过程的特殊性，以及使用KAZUAR恶意软件的事实，有足够的置信度，将所描述的行动UAC-0024归因于Turla组织(UAC-0003，KRYPTON，Secret Blizzard）。

详情

0x08   行业动向

欧盟和美国就数据隐私框架达成协议

日期: 2023-07-17
标签: 政府部门, 数据隐私框架

2023年7月，欧盟和美国就数据隐私框架达成协议，重点关注从欧洲到美国的信息安全传输。 该框架是布鲁塞尔和华盛顿之间多年来围绕谷歌和 Meta 等科技巨头在美国存储的欧洲公民数据安全问题展开的斗争的高潮，而美国的数据隐私规则并不像欧盟那么严格。尽管许多人对新协议表示赞赏，但隐私倡导者对欧盟-美国数据隐私框架并不满意。欧洲非营利隐私组织 Noyb 表示，计划挑战该协议，认为新框架很大程度上是失败的隐私盾的翻版。Noyb 联合创始人兼董事长马克斯·施雷姆斯 (Max Schrems) 指出，“最新交易不是基于实质性变化，而是基于政治利益”。

详情

欧盟敦促为量子网络攻击做好准备

日期: 2023-07-18
标签: 政府部门, 信息技术, 量子安全

一份新的讨论文件向欧盟（EU）提出了如何确保成员国免受量子网络攻击的建议。由欧洲政策中心首席数字政策分析师 Andrea G. Rodríguez 撰写的《欧洲量子网络安全议程》一文强调，迫切需要制定一项新的欧盟协调行动计划，以在“Q 日”之前促进量子安全技术的发展。量子计算机能够突破现有密码算法的临界点。专家认为，这种情况将在未来五到十年内发生，在当前加密协议下，所有数字信息可能容易受到网络威胁行为者的攻击。

详情

CISA 推出帮助企业过渡到云安全的指南

日期: 2023-07-19
标签: 信息技术, 云安全

美国网络安全和基础设施安全局 (CISA) 于 2023 年 7 月 17 日发布了一份全面的情况说明书，以帮助企业过渡到云环境，确保数据安全并保护关键资产。 该情况说明书名为“云环境免费工具”，为网络防御者和事件响应/分析师提供开源工具、方法和指南，用于在云或混合环境中操作时识别、减轻和检测网络威胁、漏洞和异常。根据该文件，云服务平台和提供商（CSP）已经提供内置安全功能，以增强在云环境中运行时的安全性。 CISA 鼓励组织利用这些内置安全功能，并通过该机构及其合作伙伴提供的免费工具对其进行补充，以有效填补任何安全漏洞。

详情

微软升级 Security Copilot AI 助手

日期: 2023-07-19
标签: 信息技术, 微软（Microsoft）, Security Copilot

2023年7月18日，微软宣布将扩大其 Security Copilot服务的访问范围，该服务是基于 GPT-4 的安全运营中心 (SoC) 的人工智能 (AI) 助手，面向更多客户以及一些技术合作伙伴。该聊天机器人将于秋季进入其官方“早期访问预览”窗口，取代微软当前的私人预览并添加一些新功能。现在提供的版本已经纳入了用户反馈，并添加了“提示手册”——常用的人工智能 (AI) 提示序列，为安全专业人员提供分析的起点——以及与常见网络安全工具的集成以简化操作。

详情

美国推出网络信任标志计划

日期: 2023-07-19
标签: 政府部门, 信息技术, 美国网络信任标志计划

一项名为“美国网络信任标志”的新网络安全认证和标签计划正在制定中，以帮助美国消费者选择更安全、更能抵御黑客攻击的联网设备。根据美国联邦通信委员会的提议，该计划预计将于2024年推出，智能设备供应商将自愿承诺实施。美国主要供应商和制造商已经宣布参与。其中包括亚马逊、谷歌、百思买、LG电子美国、罗技和三星电子。

详情

阿联酋长国的Seed Group宣布与美国网络安全公司Resecurity建立合作

日期: 2023-07-20
标签: 信息技术, 网络安全合作

总部位于阿拉伯联合酋长国的Seed Group宣布与美国网络安全公司Resecurity建立战略合作伙伴关系。根据一份公告，该合作伙伴关系旨在重塑中东的网络安全格局，并为“组织提供先进的工具和技术，以主动应对新出现的威胁”。通过此次合作，Seed Group还将指导Resecurity扩大其在阿联酋和中东地区的业务。两家公司表示，Seed Group将提供有关接触合适受众，接触政府和私营部门最高决策者以及促进Resecurity最新技术创新在该地区的整合的见解。

详情

美国行业专家敦促CISA更新安全设计指南

日期: 2023-07-20
标签: 政府部门, 美国国家网络安全战略

针对美国网络安全和基础设施安全局(CISA)最近发布的安全设计指导文件，一组业内专家发表了一封信函。这封信敦促美国国际安全协会进一步整合并提倡在文件中建立威胁模型，该文件旨在帮助制造商在设计技术产品时优先考虑网络安全实践。2023年4月，CISA、 FBI、美国国家安全局(NSA)以及澳大利亚、加拿大、英国、德国、荷兰和新西兰的网络安全部门联合发布了这份指南，名为《改变网络安全风险的平衡: 设计和默认安全的原则和方法》。它提供了具体的技术建议，并通过设计概述了围绕安全的核心原则，与拜登政府2023年3月发布的《国家网络安全战略》(National Cybersecurity Strategy)中的目标保持一致。

详情

谷歌对 6 种现实世界的 AI 攻击进行了分类

日期: 2023-07-21
标签: 信息技术, 谷歌, AI安全, 人工智能

谷歌研究人员已经确定了六种可能发生针对现实世界人工智能系统的特定攻击，发现这些常见的攻击媒介表现出独特的复杂性，他们需要结合对抗性模拟和人工智能主题专业知识的帮助来构建坚实的防御。微软表示，其专门的人工智能红队已经发现了对快速增长的技术的各种威胁，主要基于攻击者如何操纵大型语言模型（LLM），这些模型驱动ChatGPT，Google Bard等生成AI产品。这些攻击在很大程度上导致该技术产生意想不到甚至恶意驱动的结果，这可能导致与普通人的照片出现在名人照片网站上一样良性的结果，以及更严重的后果，例如规避安全的网络钓鱼攻击或数据盗窃。谷歌的调查结果是在发布安全人工智能框架（SAIF）之后发布的，该公司表示，该框架旨在在为时已晚之前解决人工智能安全问题，因为该技术已经正在经历快速采用，从而产生新的安全威胁。

详情

0x09   勒索攻击

雅诗兰黛被两个勒索软件团伙攻击

日期: 2023-07-20
标签: 卫生行业, 居民服务, 雅诗兰黛, 数据泄露

两个勒索软件参与者ALPHV / BlackCat和Clop在其数据泄漏网站上将美容公司雅诗兰黛列为单独攻击的受害者。2023年7月18日，雅诗兰黛公司证实了其中一次攻击，称威胁行为者获得了对其某些系统的访问权限，并且可能窃取了数据。该公司没有提供有关该事件的太多细节，称其主动采取行动并关闭了一些系统，以防止攻击者在网络上扩展。Clop勒索软件在其数据泄露网站上列出了雅诗兰黛，并附有简单的消息“该公司不关心其客户，它忽略了他们的安全!!”，并指出他们拥有超过131GB的公司数据。

详情

0x0a   其他事件

Azure AD 中的默认来宾设置操作来宾可能导致数据被窃取

日期: 2023-07-17
标签: 信息技术, 数据安全

Azure AD 中的一些默认来宾设置操作和过度混杂的低代码应用程序开发人员连接可能会颠覆数据保护。Azure AD (AAD) 中的来宾帐户旨在为外部第三方提供对公司资源的有限访问。但企业可能在不知不觉中与 Azure AD 中的来宾过度共享对敏感资源和应用程序的访问权限，从而可能产生数据盗窃等后果。访客可以使用未记录的 API 来访问企业 SQL 服务器、SharePoint 站点、KeyVault 机密等；他们还可以创建和控制内部业务应用程序以在组织内横向移动。

详情

Docker Hub 上的数千个图像泄露了身份验证秘密、私钥

日期: 2023-07-17
标签: 信息技术, Docker

德国亚琛工业大学的研究人员发表的一项研究表明，Docker Hub 上托管的数以万计的容器镜像包含机密信息，使软件、在线平台和用户面临巨大的攻击面。Docker Hub 是一个基于云的存储库，供 Docker 社区存储、共享和分发 Docker 镜像。这些容器创建模板包括在 Docker 中轻松部署应用程序所需的所有软件代码、运行时、库、环境变量和配置文件。德国研究人员分析了来自 Docker Hub 和数千个私有注册表的 337,171 个图像，发现大约 8.5% 包含私钥和 API 机密等敏感数据。该论文进一步表明，许多暴露的密钥都被积极使用，破坏了依赖它们的元素的安全性，例如数百个证书。

详情

生成式人工智能工具 WormGPT 被黑客用于BEC攻击

日期: 2023-07-17
标签: 信息技术, BEC

根据安全公司SlashNext分享的新发现，生成式人工智能工具 WormGPT 已成为网络犯罪分子手中的强大武器，专门用于发起商业电子邮件泄露 (BEC) 攻击。此类做法的激增凸显了面对顽固的网络犯罪分子维持人工智能安全所面临的日益严峻的挑战。研究人员 还强调了 BEC 攻击的优势，例如电子邮件中完美的语法可以减少怀疑。降低的进入门槛使得技术有限的网络犯罪分子能够执行复杂的攻击，从而使该技术的使用更加民主化。为了防范人工智能驱动的 BEC 攻击，专家认为组织必须实施强有力的预防措施。 这包括制定广泛的培训计划来教育员工有关人工智能增强的 BEC 威胁、实施严格的电子邮件验证流程以及利用系统标记潜在的恶意电子邮件。

详情

暗网市场Genesis Market 被其管理员在黑客论坛上出售

日期: 2023-07-18
标签: 信息技术, 暗网

2023年 6 月 28 日，Genesis Market（GenesisStore）的涉嫌管理员在网络犯罪论坛上宣布该平台可供出售。网络安全公司 Flare 获悉，此次出售包括“拥有所有开发项目的商店”的整体基础设施及其数据，包括客户的详细信息。2023 年 4 月，FBI查获了Genesis Market，这是一个于 2017 年推出的用于窃取凭证的黑市。Genesis Market 是一个仅限邀请的市场，但在网上查找邀请码并不复杂。该平台提供的最有趣的功能之一是访问“浏览器指纹”，允许骗子冒充受害者的网络浏览器，包括 IP 地址、操作系统数据、时区、设备信息、会话 cookie 等。

详情

俄罗斯安全特工被指控走私弹药和军民两用技术

日期: 2023-07-18
标签: 政府部门, 科研服务, 俄罗斯情报部门

一名俄罗斯安全特工被指控走私弹药和军民两用技术，包括帮助克里姆林宫战争机器的各种电子产品。48 岁的塔林人瓦迪姆·科诺什切诺克 (Vadim Konoshchenok) 在爱沙尼亚首都被捕，并于 7 月 13 日被引渡到美国。他被指控通过爱沙尼亚从美国向俄罗斯运送货物，违反了美国出口管制、经济制裁和其他法律。他使用了一家名为 Stonebridge Resources 的幌子公司，但该行动背后的真正参与者被认为是总部位于莫斯科的 Serniya Engineering and Sertal LLC（Serniya Network）。据信，这些公司是在俄罗斯情报部门的指导下采购军民两用技术，以帮助俄罗斯研究和开发核武器和高超音速武器、量子计算和其他军事应用。

详情

黑客论坛BreachForums的管理员对指控认罪

日期: 2023-07-18
标签: 信息技术, 政府部门, BreachForums

康纳·布莱恩·菲茨帕特里克（Conor Brian Fitzpatrick），以“Pompompurin”而闻名，已在美国弗吉尼亚州东区亚历山大分院的地方法院对黑客指控认罪。 对 Fitzpatrick 的指控围绕共谋实施访问设备欺诈和未经授权招揽未经授权的访问设备，涉及贩运和使用未经授权的访问设备获取价值 1000 美元或以上的贵重物品。 BreachForums 的运营使网络犯罪分子能够进行被盗数据交易和其他非法活动，影响了众多美国受害者以及国内外多个被入侵的组织和政府机构。

详情

drIBAN 欺诈活动针对企业银行客户

日期: 2023-07-19
标签: 信息技术, drIBAN

黑客广泛使用名为 drIBAN 的复杂网络注入工具包来策划针对企业银行机构及其客户的欺诈性攻击。根据 Cleafy 安全研究人员的最新报告，drIBAN 于 2019 年首次发现。它使用针对企业银行部门内的各种实体量身定制的 JavaScript 代码。 作为浏览器中间人 (MITB) 攻击的一部分，网络注入允许网络犯罪分子绕过 TLS 协议实时操纵合法网页的内容。黑客能够从受感染的受害者的机器接收资金转账，而无需银行在登录和支付授权阶段通常使用的凭据或双因素身份验证 (2FA) 代码。

详情

FIN8 使用 Sardonic 恶意软件变种部署 ALPHV 勒索软件

日期: 2023-07-19
标签: 批发零售, 住宿餐饮业, 卫生行业, 文化传播, FIN8, Sardonic

据观察，一个出于经济动机的网络犯罪团伙使用改进的 Sardonic 恶意软件版本在后门网络上部署 BlackCat 勒索软件有效负载。该威胁行为者被追踪为FIN8（又名 Syssphinx），至少自 2016 年 1 月以来一直在积极活动，重点针对零售、餐饮、酒店、医疗保健和娱乐等行业。自从 FireEye 首次发现 FIN8 并将其标记为威胁组织以来，FIN8 已与许多具有零星性质的大规模活动有关。然而，他们的攻击影响了众多组织，留下了数百名受害者的足迹。

详情

网络安全公司 Sophos 被勒索软件 SophosEncrypt 冒充

日期: 2023-07-19
标签: 信息技术, 勒索软件即服务

网络安全供应商 Sophos 被一种名为 SophosEncrypt 的新勒索软件即服务冒充，威胁行为者使用该公司名称进行操作。MalwareHunterTeam于2023年7月17日发现了 该勒索软件，最初被认为是 Sophos 红队演习的一部分。然而，Sophos X-Ops 团队在推特上表示，他们没有创建加密器，他们正在调查其发布。此外，ID Ransomware 显示了受感染受害者提交的一份报告，表明该勒索软件即服务操作处于活动状态。

详情

美国政府禁止欧洲间谍软件供应商Intellexa和Cytrox

日期: 2023-07-20
标签: 政府部门, 信息技术, 文化传播, 间谍软件

美国政府已禁止欧洲商业间谍软件制造商Intellexa和Cytrox，理由是美国国家安全和外交政策利益面临风险。美国商务部工业和安全局（BIS）在其实体列表中增加了四个商业实体：希腊的Intellexa S.A.，爱尔兰的Intellexa Limited，匈牙利的Cytrox Holdings Zrt和北马其顿的Cytrox AD。做出这一决定的动机是这四家公司参与了贩运网络漏洞，这些网络漏洞用于未经授权访问全球高风险个人的设备，威胁到他们的安全和隐私。据美国国务院称，在全球范围内部署这些监控工具的目的是恐吓政治对手，压制异议，限制言论自由，并跟踪记者和活动家的活动。

详情

乌克兰查封了庞大的俄罗斯机器人农场

日期: 2023-07-20
标签: 信息技术, 机器人农场网络

乌克兰国家警察网络警察局在对近二十多个地点进行搜查后，拆除了另一个与 100 多人相关的大型机器人农场。这些机器人被用来推动俄罗斯的宣传，为俄罗斯在乌克兰的战争辩护，传播非法内容和个人信息，以及各种其他欺诈活动。在一次联合行动中，网络警察和乌克兰国家警察部队在文尼察、扎波罗热和利沃万德执行了 21 次搜查行动。他们没收了计算机设备，手机，超过250个GSM网关以及多个移动运营商的大约150，000张SIM卡。

详情

Facebook行为广告被挪威隐私监管机构禁止

日期: 2023-07-20
标签: 文化传播, Meta（原Facebook）, 用户隐私

挪威数据保护局（DPA）是该国的数据隐私监管机构，已禁止在Meta的Facebook和Instagram社交网络上投放行为广告。该禁令禁止这种做法，除非公司获得挪威用户的明确同意来处理他们的个人数据。据挪威 DPA 称，Meta 广泛监控用户的行为，仔细跟踪他们在其平台上的活动。该公司使用内容偏好、他们在Facebook和Instagram上发布的信息以及他们的位置信息来构建个性化的个人资料，以简化有针对性的广告，这种策略通常被称为行为广告。“挪威数据保护局认为Meta的做法是非法的，因此暂时禁止在Facebook和Instagram上投放行为广告，”数据保护机构表示。不遵守该决定将受到挪威DPA执行的每日约100万美元的罚款。

详情

微软称黑客将Exchange服务器变成恶意软件控制中心

日期: 2023-07-20
标签: 信息技术, 政府部门, Turla, DeliveryCheck, 俄乌战争

Microsoft和乌克兰CERT警告说，俄罗斯国家支持的Turla黑客组织将发动新的攻击，针对乌克兰和东欧的国防部门，并使用新的“DeliveryCheck”恶意软件后门Microsoft Exchange服务器。Turla，又名秘密暴雪，氪和UAC-0003，被认为是与俄罗斯联邦安全局（FSB）相关的高级持续威胁行为者（APT）。多年来，网络间谍一直与针对西方利益的各种攻击有关，包括最近在名为“美杜莎行动”的国际执法行动中被破坏的Snake网络间谍恶意软件僵尸网络。

详情

Meta证实WhatsApp在全球范围内宕机

日期: 2023-07-20
标签: 信息技术, 文化传播, Meta（原Facebook）, WhatsApp

2023年7月19日，全球知名的消息应用程序WhatsApp下线，使其庞大的用户群无法发送或接收消息。这种中断引发了巨大的全球混乱，因为个人和企业严重依赖WhatsApp进行通信。中断首先由用户标记，他们在DownDetector上报告了他们的问题，DownDetector是一个在线平台跟踪服务中断。WhatsApp的母公司Meta Platforms，Inc.已经承认了持续存在的问题，为相关用户提供了一些缓解。

详情

FBI警告美国出现针对老年人的诈骗活动

日期: 2023-07-20
标签: 交通运输, 诈骗

美国联邦调查局警告公众，最近美国全国范围内针对老年人的技术支持诈骗有所增加，诈骗者指示受害者通过运输公司发送包裹在杂志中的现金。技术支持诈骗者通过电话、短信、电子邮件和误导性弹出窗口瞄准老年人，同时冒充合法的公司代表。他们警告目标与其帐户相关的欺诈活动或承诺订阅退款。然后向受害者提供指定的联系电话以寻求帮助，诈骗者在致电后要求访问受害者的计算机以将资金存入他们的银行账户。受害者被说服下载远程访问软件，该软件允许诈骗者控制他们的计算机。然后他们说服他们登录他们的银行账户，这样诈骗者就会故意存入比预期更大的金额，要求他们寄回额外的现金。受害者被指示通过隐藏在杂志或类似物品中的运输公司发送多余的钱，以满足诈骗者的要求。

详情

Mallox 勒索团伙活动异常活跃

日期: 2023-07-21
标签: 商务服务, 制造业, 批发零售, Mallox（TargetCompany/Fargo/Tohnichi）, Mallox

一个擅长通过易受攻击的SQL服务器闯入目标网络的勒索组织在2023年上半年中突然变得非常活跃，并且似乎准备成为比现在更大的威胁。该组织被追踪为 Mallox（又名 TargetCompany、Fargo 和 Tohnichi），于 2021 年首次浮出水面，并声称自那时以来已感染了全球数百个组织。该组织的受害者包括制造、零售、批发、法律和专业服务部门的组织。据Palo Alto Networks的Unit 42威胁情报团队的研究人员称，从2023年早些时候开始，与该组织相关的威胁活动激增。帕洛阿尔托的遥测数据以及其他公开威胁情报来源的遥测数据显示，与 2022 年相比，针对易受攻击的 SQL 服务器的恶意活动激增了 42%。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2023-07-17 360CERT发布安全周报