报告编号：CERT-R-2023-311

报告来源：360CERT

报告作者：360CERT

更新日期：2023-07-31

0x01   事件导览

本周收录安全热点55项，话题集中在安全漏洞、安全分析、恶意软件，主要涉及的实体有：微软（Microsoft）、Group-IB、Ivanti等，主要涉及的黑客组织有：Lazarus Group、UNC4899、SiegedSec等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

Lazarus 黑客劫持 Microsoft IIS 服务器传播恶意软件

日期: 2023-07-25
标签: 信息技术, Lazarus Group, IIS 服务器

朝鲜国家资助的 Lazarus 黑客组织正在破坏 Windows Internet 信息服务 (IIS) 网络服务器，以劫持它们来分发恶意软件。IIS 是 Microsoft 的 Web 服务器解决方案，用于托管网站或应用程序服务，例如 Microsoft Exchange 的 Outlook on the Web。ASEC 的韩国安全分析师此前报告称，Lazarus 的目标是 IIS 服务器 以初始访问 企业网络。2023年7月24日，该网络安全公司表示，威胁组织还利用保护不力的 IIS 服务 来分发恶意软件 。该技术的主要优点是可以轻松感染网站访问者或受信任组织拥有的被破坏的 IIS 服务器上托管的服务的用户。

详情

新的 Realst macOS 恶意软件会窃取用户的加密货币钱包

日期: 2023-07-26
标签: 金融业, Realst, 加密货币

一种名为“Realst”的新型 Mac 恶意软件正在针对 Apple 电脑的大规模活动中使用，其一些最新变体包括对仍在开发中的 macOS 14 Sonoma 的支持。该恶意软件首先由安全研究人员 iamdeadlyz发现，以虚假区块链游戏的形式分发给 Windows 和 macOS 用户，使用的名称包括 Brawl Earth、WildWorld、Dawnland、Destruction、Evolion、Pearl、Olymp of Reptiles 和 SaintLegend。这些游戏在社交媒体上进行推广，威胁行为者使用直接消息来共享从相关网站下载虚假游戏客户端所需的访问代码SentinelOne 分析了 iamdeadlyz 发现的 Realst 恶意软件的 59 个 Mach-O 样本，重点关注其 macOS 版本，发现了几个明显的差异。研究人员识别出了 macOS 恶意软件的 16 个变体，这是其活跃和快速发展的标志。

详情

Decoy Dog恶意软件升级包含新功能

日期: 2023-07-26
标签: 信息技术, 政府部门, Decoy Dog

2023年7月25日，Infoblox在发布的新威胁报告中公布了“Decoy Dog”远程访问木马 (RAT) 工具包的重要更新。 Decoy Dog最初于 2023 年 4 月被发现并披露，事实证明它比之前想象的更加复杂，它使用 DNS 进行命令和控制 (C2)，并被怀疑用于正在进行的民族国家网络攻击。Infoblox 披露该工具包后，威胁行为者迅速做出反应，调整他们的系统以保持对受感染设备的访问。该恶意软件还扩大了其影响范围，目前至少有三个不同的攻击者在操作它。虽然 Decoy Dog 基于开源 RAT Pupy，但它是一种新的、以前未知的恶意软件，具有在受感染设备上持久存在的高级功能。

详情

Nitrogen恶意软件活动利用 Google 和 Bing 搜索广告来传播虚假软件网站

日期: 2023-07-27
标签: 信息技术, 谷歌（Google）, 恶意软件活动, 搜索排名

一种新的“Nitrogen”初始访问恶意软件活动利用 Google 和 Bing 搜索广告来推广虚假软件网站，这些网站会利用 Cobalt Strike 和勒索软件有效负载感染毫无戒心的用户。Nitrogen 恶意软件的目标是为威胁行为者提供对企业网络的初始访问权限，使他们能够进行数据盗窃、网络间谍活动，并最终部署 BlackCat/ALPHV 勒索软件。2023年7月26日，Sophos 发布了一份有关 Nitrogen 活动的报告 ，详细介绍了该活动如何主要针对北美的技术和非营利组织，模仿 AnyDesk、Cisco AnyConnect VPN、TreeSize Free 和 WinSCP 等流行软件。

详情

暗网市场出现新的 FraudGPT AI 工具

日期: 2023-07-27
标签: 信息技术, AI

网络安全专家发现了一种名为“FraudGPT”的新人工智能工具，自 2023 年 7 月 22 日以来在暗网和 Telegram 频道上流传。 FraudGPT 被宣传为针对网络犯罪分子的一体化解决方案。它的一些功能包括制作鱼叉式网络钓鱼电子邮件、创建无法检测的恶意软件、生成网络钓鱼页面、识别易受攻击的网站，甚至提供有关黑客技术的教程。FraudGPT 的订阅费从每月 200 美元到每年 1700 美元不等，该工具拥有超过 3000 条已确认的销售和评论。 为了应对这种不断升级的威胁，专家强调需要在网络安全防御方面不断创新。

详情

0x04   数据安全

坦帕综合医院数据泄露影响 120 万患者

日期: 2023-07-25
标签: 卫生行业, 数据泄露事件

坦帕综合医院 (TGH) 披露了一起数据泄露事件，可能影响了约 120 万患者的信息。TGH 在其网站上发布通知称，它于 2023 年 5 月 31 日首次检测到其计算机系统出现异常活动。在调查过程中，研究人员确认2023年5月12日至5月30日期间发生了未经授权的访问，导致包含敏感患者数据的特定文件被提取。TGH 表示，泄露的信息因个人而异，包括姓名、地址、电话号码、出生日期、社会安全号码、健康保险详细信息、病历号码、患者账号、服务日期以及用于业务运营的有限治疗信息。

详情

澳大利亚政府的安全报告意外暴露个人信息

日期: 2023-07-26
标签: 政府部门, 澳大利亚内政部, 数据泄漏

据报道，澳大利亚内政部因意外泄露政府网络安全报告参与者的个人信息。2023年7月24日，澳大利亚大约 50 名企业主和员工参加了“了解小型企业和网络安全”研究会。据透露，在回答影子网络安全和内政部长詹姆斯·帕特森的问题时，他们的姓名、公司名称、电话号码和电子邮件被错误地发布在议会网站上。内政部发言人表示“意识到可能无意的数据泄露”，并且正在“考虑”根据《隐私法》规定的义务联系受影响的个人。

详情

美国政府承包商 Maximus 数据泄露影响 800 万人

日期: 2023-07-28
标签: 政府部门, Maximus, MOVEit

美国政府服务承包商 Maximus 披露了一起数据泄露警告，称黑客在最近的 MOVEit Transfer 数据盗窃攻击中窃取了 8 至 1100 万人的个人数据。Maximus 是一家承包商，负责管理和管理美国政府资助的项目，包括联邦和地方医疗保健项目以及学生贷款服务。该公司拥有 34,300 名员工，年收入约为 42.5 亿美元，业务遍及美国、加拿大、澳大利亚和英国。在向美国证券交易委员会 (SEC) 提交的 8-K 表格中，Maximum 透露，由于MOVEit 文件传输应用程序中存在零日漏洞 (CVE-2023-34362)，数据被盗 。Clop 勒索软件团伙广泛利用此缺陷，攻击了全球数百家知名公司。在调查此次漏洞后，Maximus 没有发现任何迹象表明黑客的进展超出了 MOVEit 环境，MOVEit 环境立即与公司网络的其他部分隔离。

详情

BreachForums 数据库和私人聊天记录因黑客数据泄露而被出售

日期: 2023-07-28
标签: 信息技术, BreachForums, 黑客数据

Breached 网络犯罪论坛的数据库正在出售，并且会员数据与 Have I Been Pwned 共享。Breached 是一个大型黑客和数据泄露论坛，因托管、泄露和出售从全球被黑客入侵的公司、政府和组织窃取的数据而闻名。2023年7月26日，Have I Been Pwned数据泄露通知服务宣布，访问者可以在 Breached 网络犯罪论坛的数据泄露事件中检查自己的信息是否被泄露。此次泄露暴露了 212k 条记录，包括用户名、IP 和电子邮件地址、网站成员之间的私人消息以及存储为 argon2 哈希值的密码。

详情

0x05   网络攻击

挪威政府部门遭受网络攻击

日期: 2023-07-25
标签: 挪威, 政府部门, 网络攻击

2023年7月24日，挪威政府报告称，该国 12 个部委已成为网络攻击的受害者。 在2023年7月24日早些时候的新闻发布会上，负责向各部委提供服务的政府机构负责人埃里克·霍普透露，网络攻击可追溯到政府供应商之一的漏洞。 霍普还表示，通过监控供应商平台上的异常流量，可以检测到攻击。 尽管自 7 月 12 日发现事件以来警方一直在进行调查，但部长并未透露该事件的具体细节。挪威政府内部的一些关键实体，包括总理办公室以及外交部、国防部和司法部，没有受到影响。这些部委在不同的 IT 平台上运作，这是一种保护措施。

详情

NHS 救护车信托基金遭受供应链攻击

日期: 2023-07-28
标签: 卫生行业, 供应链攻击

针对 NHS 供应商的网络攻击导致两家为数百万人提供服务的救护车信托机构无法访问电子病历。瑞典医疗保健 IT 公司Ortivus在一份声明中表示，7 月 18 日的攻击导致使用其托管数据中心的英国客户受到影响。电子病历目前无法使用，在另行通知之前将使用手动系统进行处理。没有患者受到直接影响。没有其他系统受到攻击，托管数据中心之外的客户也没有受到影响。Ortivus 目前正在与受影响的客户密切合作，以恢复系统和数据。受影响的客户是在托管环境中使用 MobiMed ePR（电子病历系统）的客户。BBC称，中南救护车服务处（SCAS）和西南救护车服务处（SWASFT）均受到此次事件的影响。

详情

加拿大医疗商CardioComm遭受网络攻击

日期: 2023-07-28
标签: 卫生行业, CardioComm Solutions, 心脏监测

CardioComm Solutions 是一家加拿大消费者心脏监测和医疗心电图软件解决方案医疗提供商，2023年7月25日披露了该公司服务器上发生的网络安全事件。为了解决这一问题，CardioComm 表示正在与 KPMG-EGYDE、相关当局和第三方网络安全专家密切合作。 该公司向客户保证，没有证据表明他们的健康信息受到损害，因为他们的软件在单独的客户端服务器环境上运行，并且他们不收集患者的健康数据。

详情

0x06   安全漏洞

研究人员观察到多个针对 Zyxel 设备的 DDoS 僵尸网络

日期: 2023-07-24
标签: 信息技术, CVE-2023-28771, DDoS攻击

Fortinet FortiGuard 实验室研究人员警告称，多个 DDoS 僵尸网络正在利用影响多个 Zyxel 防火墙的漏洞。该漏洞编号为CVE-2023-28771（CVSS 评分：9.8），是一个命令注入问题，可能允许未经授权的攻击者在易受攻击的设备上执行任意代码。该漏洞的原因是 Zyxel ZyWALL/USG 系列固件版本 4.60 至 4.73、VPN 系列固件版本 4.60 至 5.35、USG FLEX 系列固件版本 4.60 至 5.35 以及 ATP 系列固件版本 4.60 至 5.35 中错误消息处理不当。未经身份验证的远程攻击者可以通过向受影响的设备发送特制数据包来触发该漏洞。合勤科技于 4 月下旬修复了该漏洞，并建议客户安装提供的补丁。美国 CISA 根据主动利用的证据，将该漏洞添加到其已知被利用的漏洞目录中。

详情

超过 15K Citrix 服务器可能容易受到利用漏洞 CVE-2023-3519 的攻击

日期: 2023-07-24
标签: 信息技术, CVE-2023-3519 

美国网络安全和基础设施安全局 (CISA) 本周警告称，可能会利用最近发现的零日漏洞 CVE-2023-3519 对 Citrix NetScaler 应用交付控制器 (ADC) 和网关设备发起网络攻击。 该机构表示，威胁行为者针对的是关键基础设施组织网络中部署的 NetScaler ADC 设备。该漏洞编号为 CVE-2023-3519 （CVSS 评分：9.8），是一种代码注入，可能导致未经身份验证的远程代码执行。这家 IT 巨头警告称，在针对未受缓解的设备的攻击中已观察到该漏洞可能被利用。该公司补充说，成功利用该漏洞需要将设备配置为网关（VPN 虚拟服务器、ICA 代理、CVPN、RDP 代理）或 AAA 虚拟服务器。

详情

苹果修复了针对 iPhone、Mac 的攻击中使用的新零日漏洞

日期: 2023-07-25
标签: 信息技术, Apple, iPhone, Mac, iPad

2023年7月24日，Apple 发布了安全更新，以解决针对 iPhone、Mac 和 iPad 的攻击中利用的零日漏洞。该公司在一份公告中表示，“苹果公司已获悉该问题可能已被积极利用的报告”，该公告 描述了一个被追踪 为 CVE-2023-37450 的 WebKit 缺陷， 该 缺陷已在本月初的新一轮快速安全响应 (RSR) 更新中得到解决。修补的另一个零日漏洞是一个新的内核缺陷，编号为 CVE-2023-38606，该缺陷在针对运行旧版 iOS 版本的设备的攻击中被利用。该公司表示：“苹果公司已获悉一份报告，称该问题可能已被积极利用于 iOS 15.7.1 之前发布的 iOS 版本 。 ”攻击者可以在未修补的设备上利用它来修改敏感的内核状态。苹果通过改进检查和状态管理解决了这两个弱点。

详情

Ivanti 修复了攻击中利用的 MobileIron 零日漏洞

日期: 2023-07-25
标签: 信息技术, Ivanti, API安全

总部位于美国的 IT 软件公司 Ivanti 已修复了一个被积极利用的零日漏洞，该漏洞影响其 Endpoint Manager Mobile (EPMM) 移动设备管理软件（以前称为 MobileIron Core）。Ivanti 于2023年7月23日发布了针对未经身份验证的远程 API 访问漏洞的安全补丁，该漏洞的编号为 CVE-2023-35078。可以通过升级到 EPMM 11.8.1.1、11.9.1.1 和 11.10.0.2来安装补丁。它们还针对低于 11.8.1.0 的不受支持和已停产的软件版本（例如 11.7.0.0、11.5.0.0）

详情

AMD Zen2 处理器的漏洞可导致敏感数据泄露

日期: 2023-07-25
标签: 信息技术, CVE-2023-20593

Google 安全研究员 Tavis Ormandy 发现了一个影响 AMD Zen2 CPU 的新漏洞，该漏洞可能允许恶意行为者以每个 CPU 核心 30KB/秒的速度窃取敏感数据，例如密码和加密密钥。该漏洞被追踪为 CVE-2023-20593，是由于推测执行期间对名为“vzeroupper”的指令处理不当造成的，推测执行是所有现代处理器中使用的常见性能增强技术。Ormandy 使用模糊测试和性能计数器来发现特定的硬件事件，并使用一种称为“Oracle 序列化”的方法验证他的结果。通过这种方法，作者能够检测到随机生成的程序的执行与其序列化预言之间的不一致，从而在 Zen2 CPU 中发现了 CVE-2023-20593。在触发针对该缺陷的优化利用后，研究人员可以从任何系统操作中泄露敏感数据，包括在虚拟机、隔离沙箱、容器等中发生的操作。

详情

CISA 警告政府机构修补 Ivanti 漏洞

日期: 2023-07-26
标签: 信息技术, 政府部门, Ivanti 漏洞

2023年7月24日，美国网络安全和基础设施安全局 (CISA) 警告美国联邦机构，确保其系统免受 Ivanti 的 Endpoint Manager Mobile (EPMM)（以前称为 MobileIron Core）中最严重的身份验证绕过漏洞的影响。据挪威国家安全局称，该漏洞的编号为 CVE-2023-35078，已被利用作为零日漏洞攻击挪威 12 个部委使用的软件平台。成功利用该漏洞后，未经身份验证的攻击者可以远程访问特定的 API 路径，以窃取个人身份信息 (PII)，包括姓名、电话号码和其他移动设备详细信息。他们还可以在受感染的设备上进行配置更改，包括创建 EPMM 管理帐户，这为他们提供了对易受攻击的系统进行进一步更改所需的权限。Ivanti 还确认该漏洞在攻击中被积极利用，并警告客户“立即采取行动”以确保他们的系统受到充分保护至关重要。

详情

全球紧急服务通信协议中发现零日漏洞

日期: 2023-07-26
标签: 信息技术, 政府部门, CVE-2022-24402, CVE-2022-24401 , 全球紧急服务

研究人员发现，全球紧急服务机构使用的无线电通信协议存在几个严重漏洞，可能会让对手监视或操纵传输。地面集群无线电 (TETRA) 是一种无线电语音和数据标准，主要供警察、消防队和军队等紧急服务部门以及某些工业环境使用。多个 TETRA 安全通道提供密钥管理、语音和数据加密，而 TETRA 加密算法 (TEA1) 则实现实际的加密算法，确保数据在空中进行机密传输。Midnight Blue Labs 的研究人员在TETRA 中发现了五个漏洞，其中 CVE-2022-24402 和 CVE-2022-24401 均被评为严重漏洞。这些零日漏洞统称为“TETRA:BURST”。根据基础设施和设备配置，这些漏洞允许实时或延迟解密、消息注入、用户去匿名化或会话密钥锁定攻击。实际上，这些漏洞允许高端对手监听警察和军事通信、跟踪他们的行动或操纵 TETRA 上传输的关键基础设施网络通信。

详情

VMware 修复了审核日志中暴露 CF API 管理员凭据的漏洞

日期: 2023-07-26
标签: 信息技术, VMware, CVE-2023-20891

VMware 已修复了 VMware Tanzu 虚拟机应用服务（虚拟机 TAS）和隔离段中的一个信息泄露漏洞，该漏洞是由于通过系统审核日志记录和暴露凭据而导致的。 VM 的 TAS 可帮助企业跨本地或公共云和私有云（例如 vSphere、AWS、Azure、GCP、OpenStack）自动部署应用程序。该漏洞编号为 CVE-2023-20891，它允许低权限的远程攻击者在不需要用户交互的低复杂性攻击中访问未修补系统上的 Cloud Foundry API 管理员凭据。利用此漏洞的威胁参与者可以使用窃取的凭据来推送恶意应用程序版本。

详情

权限提升漏洞使 900,000 台 MikroTik 设备面临风险

日期: 2023-07-26
标签: 信息技术, CVE-2023-30799

严重的“超级管理员”权限提升漏洞使超过 900,000 个 MikroTik RouterOS 路由器面临风险，可能使攻击者能够完全控制设备并且不被发现。Mikrotik CVE-2023-30799 漏洞于 2022 年 6 月首次在没有标识符的情况下披露，MikroTik 于 2022 年 10 月修复了 RouterOS 稳定版 (v6.49.7) 的问题，并于 2023 年 7 月 19 日修复了 RouterOS 长期版 (v6.49.8) 的问题。该漏洞 CVE-2023-30799允许拥有现有管理员帐户的远程攻击者通过设备的 Winbox 或 HTTP 接口将其权限提升为“超级管理员”。研究人员使用 Shodan 来确定该缺陷的影响，发现有 474,000 台设备容易受到攻击，因为它们远程暴露了基于 Web 的管理页面。然而，由于此漏洞也可通过 Mikrotek 管理客户端 Winbox 进行利用，Baines 发现有 926,000 台设备暴露了此管理端口，影响更大。

详情

Ivanti 修补了被用作攻击挪威政府的零日漏洞

日期: 2023-07-26
标签: 政府部门, 挪威国家网络安全中心（NCSC）, Ivanti

2023年7月24日，挪威国家网络安全中心（NCSC）宣布的重大安全漏洞可追溯到Ivanti安全产品中的零日漏洞，现已提供补丁。NCSC 希望通报Ivanti Endpoint Manager (EPMM) 产品（以前称为 MobileIron Core）中存在一个被积极利用的零日漏洞CVE-2023-35078 。该漏洞影响了该软件的多个版本。NCSC 已通知挪威所有在互联网上拥有 MobileIron Core 的已知系统所有者可用的安全更新。NCSC 建议立即安装安全更新。

详情

Microsoft 消息队列服务中发现三个严重漏洞

日期: 2023-07-26
标签: 信息技术, 微软（Microsoft）, Microsoft 消息队列 (MSMQ) 服务

Microsoft 消息队列 (MSMQ) 服务中发现了三个漏洞，这是一种专有的消息传递协议，旨在实现运行在不同计算机上的应用程序之间的安全通信。第一个漏洞是由于消息头解析器例程中缺乏适当的验证而导致的。攻击者可以利用此漏洞触发越界读取，从而可能通过访问无效内存地址导致拒绝服务攻击。第二个漏洞是由于对任意大小的消息头验证不充分而发生的。 最后一个漏洞是由CompoundMessage 标头中格式错误的数据结构引起的。攻击者利用此漏洞触发越界写入，影响 MSMQ 内核模式组件 MQAC.SYS，可能造成内存损坏和代码执行。发现这些严重漏洞后，FortiGuard Labs 立即通知了微软，微软做出回应，于 2023 年 4 月和 7 月发布了安全更新。 该公司敦促用户及时更新系统，以防范潜在的网络威胁。

详情

近 40% 的 Ubuntu 用户容易受到新的权限提升漏洞的影响

日期: 2023-07-27
标签: 信息技术, Ubuntu

Ubuntu 内核中最近引入的两个 Linux 漏洞为非特权本地用户提供了在大量设备上获得提升特权的可能性。Ubuntu 是使用最广泛的 Linux 发行版之一，在美国尤其受欢迎，大约拥有超过 4000 万的用户群。Wiz 的研究人员S. Tzadik 和 S. Tamari发现的两个最新漏洞 CVE-2023-32629 和 CVE-2023-2640 最近被引入到操作系统中，影响了大约 40% 的 Ubuntu 用户群。

CVE-2023-2640 是 Ubuntu Linux 内核中的一个高严重性（CVSS v3 评分：7.8）漏洞，由权限检查不足导致，允许本地攻击者获得提升的权限。

CVE-2023-32629 是 Linux 内核内存管理子系统中的一个中等严重性（CVSS v3 评分：5.4）缺陷，访问 VMA 时的竞争条件可能导致释放后使用，从而允许本地攻击者执行任意代码执行。

详情

超过 900,000 个 MikroTik 路由器存在严重漏洞

日期: 2023-07-27
标签: 拉脱维亚, 信息技术, MikroTik, 路由器

安全专家警告说，拉脱维亚网络设备制造商 MikroTik 生产的数十万台路由器容易受到严重漏洞的影响，攻击者可以利用该漏洞远程控制受影响的设备。经过身份验证的远程攻击者可以使用 CVE-2023-30799 在 MikroTik RouterOS 路由器上获取 root shell。研究人员 表示，该漏洞本身于 2022 年 6 月首次披露，但在 VulnCheck 发布新漏洞后才分配了 CVE。目前已经有补丁可用，但 Baines 声称全球约有 472,000 个 RouterOS 设备仍然容易通过其 Web 管理界面受到攻击，如果通过 Winbox 管理客户端进行利用，这一数字将上升到 920,000 以上。经过身份验证的远程攻击者可以在 Winbox 或 HTTP 接口上将权限从管理员升级到超级管理员。攻击者可以利用此漏洞在系统上执行任意代码。

详情

Zimbra 修复 XSS 攻击中利用的零日漏洞

日期: 2023-07-28
标签: 信息技术, XSS漏洞, 零日漏洞

在首次披露两周后，Zimbra 发布了安全更新，修复了针对 Zimbra Collaboration Suite (ZCS) 电子邮件服务器的攻击中利用的零日漏洞。该安全漏洞 现已追踪为 CVE-2023-38750 ，是 Google 威胁分析小组的安全研究员 Clément Lecigne 发现的反射跨站脚本 (XSS) 。XSS 攻击构成重大威胁，允许威胁行为者窃取敏感信息或在易受攻击的系统上执行恶意代码。虽然 Zimbra 在首次披露该漏洞并敦促用户手动修复时并未表明该零日漏洞也被利用 ，但 Google TAG 的 Maddie Stone 透露 ，该漏洞是在有针对性的攻击中被利用时发现的。

详情

Ninja Forms 插件中发现严重漏洞

日期: 2023-07-28
标签: 信息技术, WordPress, Ninja Forms

Ninja Forms是一个流行的 WordPress 表单构建器插件，活跃安装量超过 900,000 个，现已发现多个高严重性漏洞。该插件由 Saturday Drive 开发，允许用户创建各种类型的表单，包括联系表单、活动注册、文件上传和付款。第一个漏洞是基于 POST 的反射跨站点脚本 (XSS) 缺陷。利用此漏洞可能允许未经授权的用户窃取敏感信息或在 WordPress 网站上执行恶意代码。该缺陷被指定为CVE-2023-37979，并已在该插件的 3.6.26 版本中修复。第二个和第三个漏洞涉及对经过身份验证（订阅者+）和经过身份验证（贡献者+）角色的表单提交导出功能的访问控制损坏。这些问题将允许订阅者和贡献者级别的用户导出 WordPress 网站上的所有 Ninja Forms 提交内容，无论其预期的访问权限如何。 这些漏洞分别被指定为CVE-2023-38393和CVE-2023-38386 ，并且这两个漏洞也在该插件的 3.6.26 版本中得到了解决。为了减轻这些安全风险，Ninja Forms 用户必须将其插件更新到至少版本 3.6.26。

详情

0x07   安全分析

Lazarus针对科技公司员工的社会工程活动

日期: 2023-07-24
标签: 信息技术, Lazarus Group, APT舆情

GitHub发现了一个小规模的社会工程活动，该活动针对科技公司员工的个人帐户。许多目标账户都与区块链、加密货币或在线赌博行业相关。一些目标也与网络安全部门有关。在此活动中，没有GitHub或npm系统受到损害。GitHub高度确信该活动与一个支持朝鲜目标的组织有关，该组织被微软威胁情报部门称为“Jade Sleet”，被美国网络安全和基础设施安全局(CISA)称为“TraderTraitor”。Jade Sleet主要针对与加密货币和区块链组织相关的用户，但也针对这些公司使用的供应商。

详情

2023年6月份勒索软件攻击同比猛增 221%

日期: 2023-07-24
标签: 信息技术, 政府部门, 勒索软件

NCC 集团全球威胁情报团队的分析显示，2023年6月份勒索软件攻击同比猛增 221%，达到创纪录的 434 起。这家 IT 安全公司声称，这些数字是由于 Clop 通过 MOVEit 漏洞针对全球组织、Lockbit 3.0 等组织的“持续高水平”活动以及自 5 月份以来新组织的出现而导致的。Clop 在上个月的活动中利用了流行的托管文件传输软件 MOVEit 中的 SQL 注入零日漏洞 CVE-2023-34362，这是一次典型的供应链攻击，造成了五分之一 (21%) 的活动。LockBit 3.0 占该期间勒索软件攻击的 14%，较上月下降 21%。然而，该群体仍然是 2023 年迄今为止最多产的群体。

详情

研究人员称Clop 可以通过 MOVEit 活动赚取 1 亿美元

日期: 2023-07-25
标签: 信息技术, Clop, MOVEit

据Coveware称，臭名昭著的 Clop 勒索软件团伙可能从最近的数据勒索活动中赚取高达 1 亿美元的收入，此前少数受害者向该团伙支付了大笔资金。该安全供应商在一份新报告中声称，俄罗斯网络犯罪组织在活动期间“大幅增加”了其平均赎金需求。报告指出：“虽然 MOVEit 活动最终可能会直接影响 1000 多家公司，甚至间接影响一个数量级的公司，但只有极少数受害者不愿意尝试谈判，更不用说考虑付费了。”“那些支付赎金的人支付的赎金远远高于之前的 Clop 活动，是全球平均赎金金额 740,144 美元的数倍（较 2023 年第一季度增加了 126%）。”Coveware 估计 Clop 的总损失为 75-1 亿美元，其中“来自一小部分支付了高额赎金的受害者”。

详情

JumpCloud 黑客攻击与朝鲜黑客组织UNC4899有关

日期: 2023-07-25
标签: 政府部门, UNC4899, JumpCloud

朝鲜侦察总局 (RGB) 的一个黑客单位与 JumpCloud 漏洞有关，因为攻击者犯了操作安全 (OPSEC) 错误，无意中暴露了他们的真实 IP 地址。该黑客组织被 Mandiant 追踪为 UNC4899，此前曾观察到该组织使用商业 VPN 和操作中继盒 (ORB) 的组合，并使用 L2TP IPsec 隧道来隐藏其实际位置。Mandiant 表示，UNC4899 威胁行为者在之前的活动中为此目的使用了许多 VPN 提供商，包括 ExpressVPN、NordVPN、TorGuard 等。 虽然朝鲜国家黑客以使用商业 VPN 服务来掩盖其 IP 地址和实际位置而闻名，但在 JumpCloud 攻击期间，他们使用的 VPN 在连接到受害者网络时发生故障并暴露了其在平壤的位置。

详情

新的开源供应链攻击针对银行

日期: 2023-07-25
标签: 金融业, 供应链安全

应用程序安全提供商 Checkmarx 发现了首次针对银行业的开源软件供应链攻击。在最近的一份报告中，Checkmarx 研究人员分析了两种不同的、复杂的依赖开源工具集的供应链攻击。两次攻击的目标都是银行。第一次攻击始于 2023 年 2 月，当时威胁行为者将一个软件包上传到全球最大的软件注册表 NPM。该软件包包含一个有效负载，旨在锁定目标银行网页上的特定登录表单元素，秘密拦截登录数据，然后将其传输到远程位置。 从 2023 年 4 月上旬观察到的第二次攻击的前提类似，都是威胁行为者将软件包上传到 NPM。这些软件包包含一个预安装脚本，该脚本在安装时执行其恶意目标。

详情

月光鼠组织近期针对中东地区攻击活动分析

日期: 2023-07-25
标签: 信息技术, 月光鼠, APT舆情

安天移动威胁情报团队在2023年4月发现月光鼠组织再次活跃的痕迹，此次捕获到的样本依旧伪装成谷歌应用商店。对比2021年月光鼠组织被披露的三个版本的RAT木马，本次样本属于月光鼠家族的第二代安卓RAT：2018年3月开始出现，恶意功能模块化进行了拆分，c2地址采用了AES加密，并增加了混淆对抗保护。样本使用c2为http://app.pal4u.net，此二级域名在2021年曝光，近期再次被攻击者使用。因攻击者服务器的不安全设置，发现了74名受害者资料，主要受害区域为巴勒斯坦。

详情

疑似朝鲜黑客组织针对韩国发起的APT攻击

日期: 2023-07-26
标签: 政府部门, APT舆情

近日，瑞星威胁情报平台捕获到两起针对韩国发起的APT攻击事件，通过与以往感染链的对比分析发现，此次事件的攻击者为APT37组织。该组织将恶意文件伪装成压缩包，通过邮件发送给受害者，一旦受害者双击打开快捷方式，便会下载RokRat远控后门，遭到信息被窃、远程控制等攻击。

详情

朝鲜APT组织UNC4899利用SaaS提供商进行针对性的供应链攻击

日期: 2023-07-26
标签: 信息技术, 政府部门, UNC4899, APT舆情

2023年7月，Mandiant对影响一家美国软件解决方案实体的供应链入侵做出了响应。Mandiant认为，这次入侵最终是由于针对JumpCloud的复杂鱼叉式网络钓鱼行动而开始的。Mandiant将攻击归因于UNC4899，这是一个与朝鲜民主主义人民共和国(DPRK)关系密切的威胁组织，该组织有针对加密货币垂直领域内的公司的历史。Mandiant高度确信UNC4899是朝鲜侦察总局(RGB)内以加密货币为重点的部门。根据可信合作伙伴的报告，UNC4899可能对应于TraderTraitor，这是一个出于经济动机的朝鲜威胁组织，主要针对区块链相关公司。

详情

SideCopy组织针对印度政府部门的攻击活动分析

日期: 2023-07-26
标签: 政府部门, SideCopy, APT舆情

SideCopy组织自2020年被披露以来长期处于活跃之中，并主要针对印度国防、外交等部门持续发动网络攻击。近期，360高级威胁研究院发现了该组织针对印度政府部门的最新攻击行动，攻击者利用钓鱼邮件诱导下载含有恶意LNK的ZIP压缩文件，该LNK文件伪装成PDF或DOCX文件，受害者点击执行后会下载恶意代码从而开启一段复杂多阶段的攻击链，最终释放AllaKoreRAT或ReverseRAT远控组件，从而完成窃密活动。

详情

Lazarus 黑客与价值 6000 万美元的 Alphapo 加密货币盗窃案有关

日期: 2023-07-27
标签: 金融业, 信息技术, Alphapo, Lazarus Group, 加密支付

区块链分析师将最近对支付处理平台 Alphapo 的攻击归咎于朝鲜 Lazarus 黑客组织，攻击者窃取了近 6000 万美元的加密货币。Alphapo 是一家为赌博网站、电子商务订阅服务和其他在线平台提供集中式加密支付提供商，于 7 月 23 日星期日遭到攻击，最初被盗金额估计为 2300 万 美元。此次盗窃包括超过 600 万 USDT、108k USDC、1.002 亿 FTN、430k TFL、2.5k ETH 和 1,700 DAI，全部从热钱包中流失，很可能是由于私钥泄露造成的。从 Dune Analytics 数据中可以看出，攻击者还额外盗走了 3700 万美元的 TRON 和 BTC，使 Alphapo 被盗的总金额达到 6000 万美元。

详情

教育行业的勒索软件受害者比例最高

日期: 2023-07-27
标签: 教育行业, 勒索攻击

根据Sophos的一份新报告，2022 年教育部门的勒索软件受害者比例高于其他任何部门。报告显示，过去一年，79% 的高等教育机构和 80% 的“低等”教育机构受到勒索软件的攻击，而 2021 年这一比例分别为 64% 和 56%。Sophos 补充说，针对高等教育组织的勒索软件攻击中，有 77% 是利用漏洞和凭据泄露，而针对低等教育组织的勒索软件攻击则占 65%。因凭证泄露而导致的违规 (37%/36%) 所占比例远高于跨行业平均水平 29%。

详情

VEC 攻击对全球组织构成重大风险

日期: 2023-07-27
标签: 信息技术, VEC 攻击

供应商电子邮件泄露 (VEC) 攻击的威胁不断升级，最近的数据显示此类网络威胁急剧增加。 根据网络安全公司Abnormal Security发布的一份新报告，VEC 攻击（商业电子邮件泄露 (BEC) 的一种变体）对全球组织构成重大风险。这些攻击冒充受害者自己组织内值得信赖的个人。新数据显示，组织成为 VEC 攻击受害者的可能性已从 2022 年 6 月的 45% 上升到 2023 年 5 月的 70%。在最近的一项调查中，Abnormal Security发现了一系列具有独特作案手法的可重复 VEC 攻击。攻击者通过破坏五个供应商电子邮件帐户来针对多个关键基础设施组织。 通过这些帐户，威胁行为者精心策划了针对 5 个客户组织中 15 个人的电子邮件攻击，其中包括两家医疗保健公司、两家物流公司和一家制造公司。该攻击涉及从受感染的帐户发送电子邮件，并尝试按照虚假的更新付款政策将未清和未来的发票重新路由到新的银行帐户。

详情

卡巴斯基报告“神秘大象”黑客组织出现

日期: 2023-07-28
标签: 信息技术, “神秘大象”

2023 年第二季度出现了一种在亚太地区活动、被称为“神秘大象”的新恶意行为者。根据网络安全公司卡巴斯基的一份新报告，“神秘大象”展示了新的后门家族和独特的策略、技术和程序 (TTP) 的组合，这使它们与其他组织区分开来，同时也与诸如 Kongfun 和 SideWinder 等威胁行为者有相似之处（用户早期版本的 Rover 后门）。此外，该报告还揭示了与长期运行的“三角测量行动”活动相关的更多信息，该活动利用了一个以前未知的 iOS 恶意软件平台，通过零点击 iMessage 漏洞进行分发。卡巴斯基研究人员建议采取多种措施来防范针对性攻击，包括及时更新操作系统和软件以及通过专门培训提高网络安全团队的技能。

详情

0x08   行业动向

美国司法部宣布计划重组网络犯罪调查

日期: 2023-07-24
标签: 政府部门, 美国司法部（DoJ）, 勒索团伙

美国司法部 (DoJ) 正在将调查加密货币犯罪的团队规模扩大一倍，打击勒索软件是“当务之急”。2023年7 月 20 日星期四，美国首席副助理司法部长 Nicole M. Argentieri 在战略与国际研究中心发表演讲时宣布，国家加密货币执法小组 (NCET) 并入计算机犯罪和知识产权科 (CCIPS )。Argentieri 解释说，此举将创建“一个单一办公室，整合刑事部门在打击网络犯罪各个方面的专业知识”，这将有助于“将 NCET 提升到一个新的水平”。

详情

Microsoft通过新功能增强了 Windows 11 网络钓鱼防护

日期: 2023-07-24
标签: 信息技术, 微软（Microsoft）, 网络钓鱼

Microsoft通过测试一项新功能来进一步增强Windows 11增强网络钓鱼防护，该功能在用户将Windows密码复制并粘贴到网站和文档中时发出警告。随着 Windows 11 22H2 的发布，Microsoft引入了一项称为增强网络钓鱼防护的新安全功能，通过检测用户 Windows 密码的复制和粘贴，来保护用户的 Windows 和 Active Directory 域凭据不被威胁行为者获取。

详情

美国证券交易委员会要求美国上市公司在四天内披露网络事件

日期: 2023-07-28
标签: 信息技术, 政府部门, 美国证券交易委员会（SEC）, 事件披露

美国证券交易委员会（SEC）通过了新规则，要求上市公司在四天内披露严重事件。监管机构以 3 比 2 的投票结果通过了这些规则。这四天的期限将从网络事件被确定为“重大”之时开始。美国证券交易委员会表示，注册人需要在8-K 表的新第 1.05 项中披露有关事件的性质、范围、时间和影响或“合理可能的重大影响”的详细信息。该规则还引入了 SK 条例第 106 条，要求公司每年描述其评估、识别和管理网络风险的流程，以及任何网络威胁和之前事件的影响。它还要求他们详细说明董事会对网络风险的监督以及他们在评估和管理这些重大风险方面的专业知识。美国证券交易委员会表示，在美国开展业务的外国公司也将被要求遵守相同的规则。

详情

英国NCSC 发布影子 IT 新指南

日期: 2023-07-28
标签: 信息技术, 影子 IT 

英国领先的网络安全机构为系统所有者和技术人员发布了关于如何管理组织中影子 IT 的新指南。影子 IT 是指员工在 IT 部门不知情的情况下用于工作的设备和服务。它们可能包括智能设备、服务器、虚拟机、云存储和未经批准的消息传递或协作工具。NCSC认为，考虑到影子 IT 可能造成的严重影响，技术团队应重点寻找其在组织中存在的位置并解决其根本原因。该文档分享了针对影子 IT 挑战的组织缓解措施和技术解决方案。后者包括网络访问控制、资产管理、网络扫描仪、统一端点管理和云访问安全代理（CASB）工具。该指南还指出了发展良好网络安全文化的重要性，以便员工能够就问题进行公开沟通（包括当前政策或流程阻碍他们有效工作的地方）。

详情

0x09   其他事件

俄罗斯检察官要求对 Group-IB 创始人判处 18 年监禁

日期: 2023-07-24
标签: 信息技术, Group-IB

2023年7月，俄罗斯检察官请求以叛国罪判处该国顶级网络安全公司之一创始人伊利亚·萨奇科夫 (Ilya Sachkov) 18 年监禁。37 岁的萨奇科夫于 2003 年与他人共同创立了 Group-IB 网络安全公司。该公司专门从事网络攻击的检测和预防，并与国际刑警组织和其他几个全球机构合作。莫斯科法院预计将于 7 月 26 日宣布判决。

详情

GitHub 警告开发者朝鲜黑客袭击

日期: 2023-07-24
标签: 信息技术, GitHub, 供应链安全

GitHub 警告称，朝鲜发起了一项新的威胁活动，旨在通过恶意 npm 包依赖项危害受害者。该开发平台在声称，这些攻击针对的是区块链、加密货币、在线赌博和网络安全领域的员工。 GitHub 安全运营副总裁 Alexis Wales 表示，攻击始于威胁行为者使用虚假的 GitHub、LinkedIn、Slack 或 Telegram 个人资料冒充开发人员或招聘人员。在某些情况下，攻击者可能会劫持合法帐户。

详情

微软云黑客攻击暴露的不仅仅是 Exchange、Outlook 电子邮件

日期: 2023-07-24
标签: 信息技术, 微软（Microsoft）, Microsoft Azure AD

云安全初创公司 Wiz 的研究人员向运行 Microsoft M365 平台的组织发出紧急警告：被盗的 Microsoft Azure AD 企业签名密钥使黑客能够访问 Exchange Online 和 Outlook.com 之外的数据。研究员表示，黑客还可能访问了支持“通过 Microsoft 登录”功能的 Microsoft 客户应用程序，以及在某些情况下的多租户应用程序。当微软承认此次黑客攻击和 MSA 密钥被盗时，这家软件巨头表示，Outlook.com 和 Exchange Online 是唯一已知受到令牌伪造技术影响的应用程序，但新的研究表明，这一事件的范围似乎比最初假设的更广泛。该公司在一份提供技术证据的文件中表示，“Wiz Research 发现受损的签名密钥比看起来更强大，并且不仅仅限于这两项服务。”该文件提供了技术证据，表明被盗的 MSA 密钥可能被用来伪造 Azure Active Directory 应用程序、SharePoint、Microsoft Teams 和 Microsoft OneDrive 的访问令牌。

详情

CISA警告美国政府机构修补Adobe ColdFusion服务器

日期: 2023-07-24
标签: 信息技术, Adobe, Adobe ColdFusion服务器

美国网络安全和基础设施安全局 (CISA) 已给联邦机构三周的时间来保护其网络上的 Adobe ColdFusion 服务器免受攻击中利用的两个关键安全漏洞的影响，其中之一是零日漏洞。 根据 CISA 于 2021 年 11 月发布的具有约束力的操作指令 (BOD 22-01)，联邦民事行政部门机构 (FCEB) 必须针对添加到已知利用漏洞 (KEV) 目录中的所有错误修补其系统。 根据最新更新，所有美国 FCEB 机构均已接到指示，在 8 月 10 日之前解决这两个漏洞（CVE-2023-29298 和 CVE-2023-38205）。 虽然该目录的主要重点是联邦机构，但强烈建议私营公司也优先考虑并迅速解决这两个漏洞。 CISA 表示：“这些类型的漏洞是恶意网络行为者的常见攻击媒介，并对联邦企业构成重大风险。”

详情

Clop黑客组织泄露了在MOVEit攻击中窃取的数据

日期: 2023-07-24
标签: 商务服务, 信息技术, MOVEit

2023年7月18日，安全研究员Dominic Alvieri表示，Clop勒索软件团伙已开始创建clearweb网站，以泄露在最近广泛的MOVEit Transfer数据盗窃攻击中窃取的数据。Clop 勒索软件团伙正在复制 ALPHV 勒索软件团伙的勒索策略，方法是创建专用于特定受害者的互联网可访问网站，从而更容易泄露被盗数据并进一步迫使受害者支付赎金。这种新方法使访问数据变得更加容易，并可能导致其被搜索引擎索引，从而进一步扩大泄露信息的传播。

详情

数千台 Citrix 服务器遭受零日漏洞攻击

日期: 2023-07-25
标签: 信息技术, Citrix 服务器

Citrix于 7 月 18 日发布了有关该漏洞 (CVE-2023-3519) 的公告以及另外两个漏洞。未经身份验证的远程代码执行漏洞的 CVSS 评分为 9.8，将其标记为严重。它影响 NetScaler ADC（以前称为 Citrix ADC）和 NetScaler Gateway（以前称为 Citrix Gateway），并在威胁行为者在网上发布后于 7 月初作为零日漏洞出现。一家领先的安全非营利组织警告说，除非管理员紧急修补，否则全球超过 15,000 台 Citrix 服务器将面临被入侵的风险。Shadowserver 基金会在互联网上搜寻有关恶意活动的数据。它在周五的Twitter 帖子中透露，在受影响的服务器中，数量最多的是美国（5700 台），其次是德国（1500 台）、英国（1000 台）和澳大利亚（582 台）。

详情

黑客声称从埃及卫生部窃取了敏感医疗记录

日期: 2023-07-26
标签: 埃及, 政府部门, 埃及卫生和人口部, 数据窃取

一名“老牌”威胁行为者声称拥有从埃及卫生和人口部窃取的 200 万条数据记录。网络威胁情报提供商 SOCRadar 和暗网监控公司 Falcon Feeds 于 2023 年 7 月 25 日观察到了黑客论坛 Popürler 上提出的这一指控。根据威胁行为者的帖子，该数据库包含全面的个人患者信息，包括姓名、ID、决定和国家号码、电话号码、地址、程序分类详细信息、诊断和治疗详细信息。黑客提供了数据集样本，其中包含 1000 人的数据。

详情

ALPHV 勒索软件在新勒索策略中添加数据泄露 API

日期: 2023-07-27
标签: 信息技术, BlackCat (ALPHV), api

ALPHV 勒索软件团伙（也称为 BlackCat）正试图通过为其泄漏站点提供 API 来提高其攻击的可见性，从而向受害者施加更大压力，要求其支付赎金。2023年7月，多名研究人员发现 ALPHV/BlackCat 数据泄露网站添加了一个新页面，其中包含使用其 API 及时收集新受害者更新的说明。API（即应用程序编程接口）通常用于根据商定的定义和协议实现两个软件组件之间的通信。恶意软件研究小组 VX-Underground 指出 ALPHV 网站上的新部分，但该“功能”似乎已经部分可用数月了，但尚未向更多受众开放。勒索软件团伙发布了 API 调用，这些调用将有助于获取有关添加到其泄漏网站的新受害者的各种信息或从特定日期开始的更新。

详情

北约调查 SiegedSec 黑客组织窃取军事数据事件

日期: 2023-07-27
标签: 政府部门, 科研服务, SiegedSec, 军事数据

北约已证实，其 IT 团队正在调查有关名为 SiegedSec 的黑客组织对感兴趣社区 (COI) 合作门户进行数据盗窃的指控。COI 合作门户网站 (dnbl.ncia.nato.int) 是军事联盟的非机密信息共享和协作环境，致力于支持北约组织和成员国。2023年7月24日，黑客组织“SiegedSec”在 Telegram 上发布了他们声称从 COI 合作门户窃取的数百份文件。网络安全公司 CloudSEK 分析了泄露的数据，发现其中包括845MB的文件、8000行与用户相关的敏感信息、非机密文档和用户帐户访问详细信息。CloudSEK 的分析表明，数据泄露如果得到证实，将影响北约联盟的 31 个成员国。

详情

Group-IB 创始人因叛国罪在俄罗斯被判 14 年徒刑

日期: 2023-07-27
标签: 政府部门, 信息技术, Group-IB

莫斯科市法院以“叛国罪”判处网络安全提供商 Group-IB 创始人伊利亚·萨奇科夫 14 年监禁。美国美联社于 2023 年 7 月 26 日确认了这一判决，几天前，俄罗斯国家检方要求法院对萨奇科夫判处 18 年监禁。萨奇科夫因批评俄罗斯政府对该国勒索软件攻击的反应而于 2021 年 9 月 29 日被捕。此后，他辞去了在俄罗斯 Group-IB 的职务，并出售了该集团国际分公司（现总部位于新加坡）的股份。他仍然持有俄罗斯法律实体的股份，该实体将继续以新品牌 FACCT（打击网络犯罪技术）运营。该公司的客户包括俄罗斯顶级银行和公司，包括国有银行和公司。

详情

CoinsPaid 指责 Lazarus 黑客盗窃了 37,300,000 美元的加密货币

日期: 2023-07-28
标签: 金融业, 信息技术, CoinsPaid, Lazarus Group, 加密货币

爱沙尼亚加密支付服务提供商 CoinsPaid 宣布于 2023 年 7 月 22 日遭遇网络攻击，导致价值 3720 万美元的加密货币被盗。尽管造成了重大经济损失，并对支付平台的可用性产生了不利影响，但该公司强调，客户资金是安全且完全可用的，因此该事件不会对公司业务产生重大影响。CoinsPaid 将这次攻击归咎于朝鲜黑客组织 Lazarus，称这个有经济动机且有国家支持的老练黑客的目标是获得更高的套现。

详情

0x0a   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0b   时间线

2023-07-24 360CERT发布安全周报