报告编号：CERT-R-2023-341

报告来源：360CERT

报告作者：360CERT

更新日期：2023-08-14

0x01   事件导览

本周收录安全热点54项，话题集中在安全分析、安全漏洞、网络攻击，主要涉及的实体有：微软（Microsoft）、美国网络安全和基础设施安全局 (CISA)、特斯拉（Tesla ）等，主要涉及的黑客组织有：Clop、Lazarus、BlueCharlie（又名 Blue Callisto、Callisto、COLDRIVER、Star Blizzard（以前称为SEABORGIUM）、ColdRiver和TA446）等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

隐秘的 npm 恶意软件暴露开发者数据

日期: 2023-08-07
标签: 信息技术, NPM, 供应链安全

在流行的 JavaScript 包管理器 npm 上发现了一种隐秘恶意软件，该恶意软件会暴露敏感的开发人员数据，从而构成严重威胁。该调查结果来自网络安全公司 Phylum，该公司表示，他们的自动风险检测平台于 2023 年 7 月 31 日就 npm 上的可疑活动发出了警报。在几个小时的时间里，十个看似无害的“测试”包发布了。经过仔细检查，Phylum 的研究人员发现这些软件包是复杂且有针对性的恶意软件攻击的一部分，旨在窃取敏感的开发人员源代码和机密信息。这次攻击展示了精心设计的开发周期，攻击者通过多次迭代完善了恶意软件的功能。最终的“生产”软件包使用听起来合法的名称进行伪装，可能会诱骗受害者在不知情的情况下安装它们。

详情

一种新的复杂 SkidMap 变体针对不安全的 Redis 服务器

日期: 2023-08-08
标签: 信息技术, SkidMap, Redis 服务器

一项新的活动针对 Redis 服务器，这次攻击中使用的恶意软件是 SkidMap 恶意软件的新变种。Skidmap 是趋势科技于 2019 年 9 月检测到的一款针对 Linux 机器的加密挖矿程序。恶意代码使用内核模式rootkit来逃避检测，它与类似的挖矿程序不同，因为它加载恶意内核模块的方式不同。Trustwave 研究人员发现了一种新的、改进的、危险的 Skidmap 变体，该变体旨在针对各种 Linux 发行版，包括阿里巴巴、Anolis、openEuler、EulerOS、Steam、CentOS、RedHat 和 Rock。研究人员分析的变体仅针对开放的 Redis 实例（所谓的“无身份验证”，没有观察到暴力攻击。

详情

针对 MacOS 用户的强效木马分析

日期: 2023-08-11
标签: 信息技术, Apple, macOS

根据 Bitdefender 的macOS 威胁态势报告，黑客越来越多通过 MacOS 定制的恶意软件瞄准 Mac 用户。该报告发现，2022 年 Mac 用户主要成为木马、潜在有害应用程序 (PUA) 和广告软件这三种主要威胁的目标，其中木马占检测到的威胁的一半以上 (51.8%)。2022 年针对 MacOS 的最常见木马家族是 EvilQuest (52.7%)，其次是通用木马 (22.4%)、Exploit (8.2%)、Flashback (2.7%) 和 Empire (2.6%)。虽然报告指出其中一些可以被视为“遗留恶意软件”，但由于许多用户未能配置正确的安全设置和/或部署专用的安全解决方案，它们仍然被证明是有效的。除了保持最新的操作系统版本并应用最新的安全补丁之外，研究人员还建议用户永远不要从非官方来源（例如 torrent 和warez 网站）下载软件。

详情

新型信息窃取程序Statc Stealer 正在感染 Windows 设备

日期: 2023-08-11
标签: 信息技术, 制造业, 微软（Microsoft）, Statc Stealer, Windows 设备

Zscaler ThreatLabz 研究人员发现了一种新的信息窃取恶意软件，称为 Statc Stealer，它可以从 Windows 设备窃取广泛的信息。该恶意软件可以从各种网络浏览器窃取敏感信息，包括登录数据、cookie、网络数据和偏好设置。恶意代码还针对加密货币钱包，可以捕获凭证、密码，甚至来自 Telegram 等消息应用程序的数据。Statc Stealer是用C++编写的，它支持文件名差异检查以避免在沙箱中执行和逆向工程分析。Statc Stealer 针对最流行的 Windows 浏览器，包括 Chrome、Microsoft Edge、Brave、Opera、Yandex 和 Mozilla Firefox。

详情

Gafgyt 恶意软件利用 EoL Zyxel 路由器漏洞传播

日期: 2023-08-11
标签: 信息技术, Gafgyt, CVE-2017-18368, 僵尸网络

Fortinet 已发出警报，称 Gafgyt 僵尸网络恶意软件正在积极尝试利用已报废的 Zyxel P660HN-T1A 路由器中的漏洞进行数千次日常攻击。该恶意软件利用的漏洞的是 CVE-2017-18368，这是设备远程系统日志转发功能中的一个严重严重性（CVSS v3：9.8）未经身份验证的命令注入漏洞，Zyxel 于 2017 年修复了该漏洞。Zyxel 此前 在 2019 年强调了当时新的 Gafgyt 变种的威胁，敦促仍在使用过时固件版本的用户升级到最新版本，以保护他们的设备免遭接管。然而，自 2023 年 7 月以来，Fortinet 平均每天仍遭受 7,100 次攻击，并且如今的攻击仍在持续。

详情

0x04   数据安全

美国科罗拉多州高等教育部警告大规模数据泄露

日期: 2023-08-07
标签: 教育行业, 数据泄露

美国科罗拉多州高等教育部 (CDHE) 在 6 月份遭受勒索软件攻击后，披露了一起影响学生、往届学生和教师的大规模数据泄露事件。在 CDHE 网站上发布的“数据事件通知”中，该部门表示他们于 2023 年 6 月 19 日遭受了勒索软件攻击。调查显示，威胁行为者在 6 月 11 日至 6 月 19 日期间访问了他们的系统。在此期间，威胁行为者从该部门的系统中窃取了 2004 年至 2020 年 13 年的数据。被盗信息包括全名、社会安全号码、出生日期、地址、地址证明（对账单/账单）、政府身份证复印件，对于某些人来说，还包括警方报告或有关身份盗窃的投诉。

详情

英国选举委员会遭受网络攻击，选民数据暴露

日期: 2023-08-09
标签: 政府部门, 选举

英国选举委员会透露其遭受了网络攻击，数百万英国选民的个人信息被泄露。该委员会透露，在其系统上检测到可疑活动后，该攻击于 2022 年 10 月被识别。该委员会在 2023 年 8 月 8 日发布的通知中报告称，随后的调查发现，攻击者于 2021 年 8 月首次访问了其服务器。恶意行为者获取了委员会出于研究目的而持有的选举登记册的“参考副本”，并对政治捐款进行许可性检查。其中包含 2014 年至 2022 年间在英国登记投票的任何人的个人数据，包括姓名和家庭住址。登记为海外选民的姓名也被曝光。

详情

美国密苏里州遭受MOVEit攻击后医疗数据泄露

日期: 2023-08-10
标签: 卫生行业, Clop, MOVEit

2023年8月8日，美国密苏里州社会服务部警告称，在 IBM 遭受 MOVEit 数据盗窃攻击后，受保护的医疗补助医疗保健信息在数据泄露中暴露。此次 攻击是由 Clop 勒索软件团伙发起的，该团伙 于 5 月 27 日开始使用追踪为 CVE-2023-34362 的零日漏洞攻击 MOVEit Transfer 服务器。这些攻击使威胁行为者能够窃取 全球 600 多家公司的数据，包括公司、教育组织、联邦政府机构和地方国家机构。勒索软件团伙预计将从 这些攻击中获利 75-1 亿美元。

详情

北爱尔兰警察局（PSNI）在职警察的数据泄露

日期: 2023-08-11
标签: 政府部门, 数据泄露

北爱尔兰警察局 (PSNI) 应信息自由 (FOI) 请求，错误地共享了所有 10,000 名在职警察的敏感数据。该请求旨在确定 PSNI 官员的人数。信息自由请求是个人或组织向政府机构或公共机构提出的正式询问，以获得该实体持有的记录、文件或信息的访问权限。信息自由请求的目的是通过允许公民请求和获取有关政府机构的运作、决策和活动的信息来促进透明度、问责制和开放政府。暴露的数据包括所有 10,000 名在职警察的姓名和级别。泄露的数据给官员带来了严重的风险。

详情

0x05   网络攻击

黑客利用 Reptile Rootkit 攻击韩国的 Linux 系统

日期: 2023-08-07
标签: 韩国, 政府部门, 信息技术, Reptile, Linux

研究人员观察到威胁行为者正在使用名为 Reptile 的开源 rootkit 来针对韩国的系统进行攻击。Reptile是一个开源内核模块 Rootkit，旨在针对 Linux 系统，与其他 Rootkit 不同，它还提供反向 shell。该恶意软件支持端口敲门，它会在受感染的系统上打开特定端口，并等待攻击者发送的 Magic Packet 来建立 C2 连接。

详情

俄罗斯黑客对西班牙网站发起DDoS攻击

日期: 2023-08-08
标签: 居民服务, 信息技术, 住宿餐饮业, 金融业, 文化传播, NoName057, DDoS攻击

经过长达数周的似乎出于地缘政治动机的 DDoS 攻击，西班牙一家领先的研究机构成为该国最新一个遭受俄罗斯网络攻击的组织。当地 报道称 ，黑客组织 NoName057 对 DDoS 闪电战负责，7 月 19 日至 30 日期间至少影响了 72 个网站。据信，银行、电信提供商、媒体和旅游公司都受到了袭击的影响，此前总理佩德罗·桑切斯前往基辅表达了政府对乌克兰的支持。受害者网站包括总理官邸 La Moncloa、宪法法院、司法部和领土政策部以及国防部机构 Isdefe。

详情

美国多个州医疗服务因网络攻击而关闭

日期: 2023-08-08
标签: 卫生行业, 医院

针对医院计算机系统的广泛网络攻击已在美国各地造成严重破坏，导致美国多个州的急诊室关闭和救护车改道。 该事件始于 8 月 3 日，目标是 Prospect Medical Holdings 运营的设施，该公司是一家总部位于加利福尼亚州的公司，在德克萨斯州、康涅狄格州、罗德岛州和宾夕法尼亚州设有医院和诊所。为了应对此次攻击，Prospect Medical Holdings 将其系统下线，并在第三方网络安全专家的协助下启动了调查。

详情

朝鲜黑客“ScarCruft”入侵俄罗斯导弹制造商

日期: 2023-08-08
标签: 政府部门, 科研服务, 制造业, ScarCruft

朝鲜国家支持的黑客组织 ScarCruft 与对俄罗斯太空火箭设计公司和洲际弹道导弹工程组织 NPO Mashinostroyeniya 的 IT 基础设施和电子邮件服务器的网络攻击有关。NPO Mashinostroyeniya 是一家俄罗斯设计商和制造商，为俄罗斯和印度军队提供轨道飞行器、航天器以及战术防御和攻击导弹。美国财政部 (OFAC) 自 2014 年起对该公司实施制裁 ，因其在俄罗斯-乌克兰战争中的贡献和作用。SentinelLabs 报告称 ，ScarCruft 是对 NPO Mashinostroyeniya 电子邮件服务器和 IT 系统进行黑客攻击的幕后黑手，攻击者在其中植入了一个名为“OpenCarrot”的 Windows 后门，用于远程访问网络。虽然此次攻击的主要目的尚不清楚，但 ScarCruft (APT37) 是一个网络间谍组织，以监视和窃取组织数据作为其网络活动的一部分而闻名。

详情

ScarCruft和Lazarus攻击俄罗斯导弹制造商

日期: 2023-08-09
标签: 俄罗斯, 政府部门, APT 37（Reaper，Red Eyes，Erebus，ScarCruft）, Lazarus, 国防工业实体, APT舆情

SentinelLabs发现俄罗斯国防工业实体遭到攻击，特别是导弹工程组织NPO Mashinostroyeniya。调查结果确定了两个与朝鲜有关的案例，这些案例涉及同一家俄罗斯DIB组织内部敏感的IT基础设施，包括一个特定的电子邮件服务器，以及使用一个名为OpenCarrot的Windows后门。研究人员通过分析将电子邮件服务器的入侵归因于ScarCruft。还确定了使用Lazarus组织的后门来危害其内部网络。目前，无法确定两个威胁组织之间关系的潜在性质，只发现两个与朝鲜有关的威胁组织之间存在潜在的共享关系，并且该目标可能足够重要，才会将任务分配给多个独立的威胁组织。

详情

俄罗斯Sandworm组织试图入侵乌克兰武装部队的规划作战系统

日期: 2023-08-11
标签: 俄罗斯, 乌克兰, 政府部门, 信息技术, Sandworm, 俄乌战争, APT舆情

SBU网络专家阻止了俄罗斯军事情报部门访问乌克兰武装部队作战数据交换系统的尝试。经过调查，俄罗斯黑客旨在渗透乌克兰军事网络并收集情报。SBU行动响应阻止俄罗斯情报部门获取敏感信息，包括武装部队的活动、国防军的部署、技术供应等。此次网络攻击归因于俄罗斯军事情报黑客组织Sandworm。调查结果使SBU网络专家得出结论，敌人在战场上捕获了乌克兰平板电脑，其目的是传播恶意软件并滥用可用访问权限来渗透系统。

详情

0x06   安全漏洞

微软修复了 Power Platform 的漏洞

日期: 2023-08-07
标签: 信息技术, 微软（Microsoft）, Power Platform

2023年8月初，微软解决了其 Power Platform 中的一个严重漏洞，此前该公司因延迟采取行动保护其平台而受到批评。2023 年 3 月 30 日，Tenable 根据协调漏洞披露 (CVD)向 Microsoft 报告了该漏洞 。该安全漏洞影响使用自定义代码的 Power Platform 自定义连接器。该功能允许客户为自定义连接器编写代码。Microsoft 确认攻击者可以触发该漏洞来访问用于 Power Platform 自定义连接器的自定义代码函数。如果自定义代码功能中嵌入了机密或其他敏感信息，则该漏洞可能会导致信息泄露。

详情

大量 TETRA 零日漏洞危及工业通信

日期: 2023-08-09
标签: 制造业, 信息技术, 摩托罗拉, TETRA

在为全球工业控制系统提供支持的 TETRA 通信协议中发现漏洞后，研究人员公布了一项新研究，显示摩托罗拉基站和系统芯片中存在多个额外的零日漏洞。两者都需要运行和解密 TETRA 通信算法，这可能会暴露敏感信息。TETRA（即地面集群无线电）是加密双向通信的全球标准，由公共安全专家在欧洲电信标准协会 (ETSI) 的支持下制定。TETRA 系统用于公共安全和工业商业领域，例如公用事业公司、铁路和地铁线路、发电站、炼油厂和化工厂。研究人员表示基站有一个可信执行环境 (TEE)，旨在保护加密原语和密钥从渗漏。通过对 TEE 进行旁道攻击，研究人员能够解密该模块并获得 AES 密钥，该密钥可用于进一步解密流经设备的通信。

详情

微软 2023 年 8 月补丁日

日期: 2023-08-09
标签: 信息技术, 微软（Microsoft）, 微软补丁日

2023年8月8日，微软发布了 2023 年 8 月补丁，针对 87 个漏洞进行了安全更新，其中包括两个被主动利用的漏洞和 23 个远程代码执行漏洞。虽然修复了 23 个 RCE 漏洞，但微软仅将其中 6 个评为“严重”。 此次更新包含的漏洞类别为：18 个特权提升漏洞、3 个安全功能绕过漏洞、23 个远程代码执行漏洞、10个信息泄露漏洞、8 个拒绝服务漏洞和12 个欺骗漏洞。

详情

Microsoft Office 更新打破了被积极利用的 RCE 攻击链

日期: 2023-08-09
标签: 信息技术, 微软（Microsoft）, 零日漏洞

2023年8月8日，Microsoft 发布了 Microsoft Office 的深度防御更新，可防止利用被追踪为 CVE-2023-36884 的远程代码执行 (RCE) 漏洞，威胁行为者已在攻击中利用该漏洞。在 微软 8 月补丁中，该更新帮助修复了 7 月份披露的安全问题 CVE-2023-36884，微软当时没有修补该问题，但提供了缓解建议。最初，该漏洞被报告为 Microsoft Office 中的 RCE，但进一步审查后将其归类为 Windows Search 远程代码执行。黑客利用该漏洞作为零日漏洞，在 RomCom 威胁组织的攻击中使用恶意 Microsoft Office 文档远程执行代码 ，以达到财务和间谍目的。

详情

Microsoft Visual Studio Code 漏洞可让扩展窃取密码

日期: 2023-08-09
标签: 信息技术, 微软（Microsoft）, Microsoft Visual Studio Code

Microsoft 的 Visual Studio Code (VS Code) 代码编辑器和开发环境包含一个漏洞，允许恶意扩展检索存储在 Windows、Linux 和 macOS 凭据管理器中的身份验证令牌。这些令牌用于与各种第三方服务和 API（例如 Git、GitHub 和其他编码平台）集成，因此窃取它们可能会对受损组织的数据安全造成严重后果，可能导致未经授权的系统访问、数据泄露、 ETC。该漏洞是 由 Cycode 研究人员发现的，他们将其连同他们开发的有效概念验证 (PoC) 报告给了 Microsoft。然而，微软决定不解决这个问题，因为扩展预计不会从环境的其他部分沙箱化。

详情

废弃设备可能会导致 Wi-Fi 网络遭到黑客攻击

日期: 2023-08-10
标签: 信息技术, 制造业, Wi-Fi安全

处理旧设备（例如旧手机、电脑、打印机和智能手表）时，务必记住清除存储的 Wi-Fi 网络信息。卡巴斯基发表了关于泄露 Wi-Fi 访问的新文章，这些数据通常不受保护，并且很容易从废弃的小工具中检索。Wi-Fi信息经常被威胁行为者从废弃技术中窃取。犯罪分子首先确定谁拥有该设备：如果它被出售，买家知道它来自谁；如果它被出售，买家知道它来自谁；如果它被回收，联系方式可能仍留在设备上。如果设备被扔掉，很可能是被扔到离上次使用设备的地方很近的地方。威胁行为者甚至可以在恢复出厂设置后通过留下的线索（包括 Wi-Fi 网络名称或手机名称（例如 Jane 的 iPhone））访问和窃取 Wi-Fi 网络。当 Wi-Fi 网络遭到破坏时，威胁行为者就可以侵入任何连接到该网络的设备。除了垃圾邮件或 DDoS 攻击之外，被黑设备的所有者还可能会遇到网速变慢、IP 地址被列入黑名单的情况，严重时甚至会面临 ISP 的屏蔽。

详情

黑客可利用新的 BitForge 加密货币钱包漏洞窃取加密货币

日期: 2023-08-10
标签: 金融业, 信息技术, 加密货币, BitForge

在 GG-18、GG-20 和 Lindell 17 等广泛使用的加密协议的实施中，多个名为“BitForge”的零日漏洞影响了流行的加密货币钱包提供商，包括 Coinbase、ZenGo、Binance 等。这些漏洞可能允许攻击者在几秒钟内窃取受影响钱包中存储的数字资产，而无需与用户或供应商交互。这些漏洞由 Fireblocks 密码学研究团队于 2023 年 5 月发现，并将其统称为“BitForge”。2023年8月9日，分析师公开披露了 BitForge，此时 Coinbase 和 ZenGo 已应用修复程序来解决该问题。然而，币安和其他数十家钱包提供商仍然容易受到 BitForge 的攻击，Fireblocks 为项目创建了一个状态检查器，以检查它们是否因不正确的多部分计算 (MPC) 协议实现而面临风险。

详情

Dell Compellent 硬编码密钥暴露 VMware vCenter 管理员信息

日期: 2023-08-11
标签: 信息技术, 制造业, 戴尔（Dell ）, CVE-2023-39250, 硬编码加密密钥漏洞

戴尔 Compellent Integration Tools for VMware (CITV) 中存在未修复的硬编码加密密钥漏洞，攻击者可利用该漏洞解密存储的 vCenter 管理员凭据并检索明文密码。该漏洞编号为 CVE-2023-39250，是由所有安装共享的静态 AES 加密密钥引起的，该密钥用于加密程序配置文件中存储的 vCenter 凭据。Dell Compellent 是一系列企业存储系统，提供数据处理、实时卷、精简配置、数据快照和克隆以及集成管理等功能。该软件支持与 VMware vCenter 的存储集成，VMware vCenter 是一种广泛使用的管理 ESXi 虚拟机的平台。

详情

0x07   安全分析

Python PyPI中出现的新恶意活动VMConnect

日期: 2023-08-07
标签: 信息技术, VMConnect, 供应链安全

Python Package Index (PyPI) 开源存储库中发现了一个新的恶意活动，涉及 24 个恶意软件包，这些软件包密切模仿三种流行的开源工具：vConnector、eth-tester 和数据库。该活动被称为 VMConnect，由 ReversingLabs 发现，于 2023 年 7 月 28 日左右开始，每天不断发布新的恶意 PyPI 包。与之前的供应链攻击相比，攻击者展示了更复杂的方法。 根据 ReversingLabs 发布的一份报告，攻击者创建了相应的 GitHub 存储库，并配有看似合法的描述和链接的源代码，以使他们的包看起来值得信赖。然而，GitHub 存储库中忽略了该恶意行为。

详情

新的声学攻击可窃取击键数据，准确率高达 95%

日期: 2023-08-07
标签: 信息技术, 旁道攻击

来自英国大学的一组研究人员训练了一种深度学习模型，该模型可以从使用麦克风记录的键盘击键中窃取数据，准确率高达 95%。当使用 Zoom 训练声音分类算法时，预测准确率下降到 93%，这仍然是危险的高水平，并且是该媒体的记录。此类攻击会严重影响目标的数据安全，因为它可能会将人们的密码、讨论、消息或其他敏感信息泄露给恶意第三方。此外，与其他需要特殊条件并受到数据速率和距离限制的旁道攻击相反，由于大量可以实现高质量音频捕获的麦克风承载设备，声学攻击变得更加简单。

详情

特斯拉信息娱乐系统越狱分析

日期: 2023-08-07
标签: 制造业, 特斯拉（Tesla ）, 特斯拉

柏林工业大学的研究人员开发了一种方法，可以对所有最新特斯拉车型中使用的基于 AMD 的信息娱乐系统进行越狱，并使其运行他们选择的任何软件。研究人员能够使用基于该团队之前的 AMD 研究的技术来破解信息娱乐系统，该研究发现了故障注入攻击的可能性，可以从平台中提取秘密。此外，此次黑客攻击还允许研究人员提取特斯拉在其服务网络中用于汽车身份验证的独特硬件绑定 RSA 密钥，以及电压故障以激活特斯拉汽车的座椅加热和“加速提升”等软件锁定功能。

详情

自芬兰加入北约，针对芬兰的勒索软件攻击数量增加了四倍

日期: 2023-08-08
标签: 芬兰, 俄罗斯, 政府部门, 北约

自 2023 年芬兰开始加入北约以来，针对芬兰的勒索软件攻击数量增加了四倍，这些攻击行动主要针对居住在芬兰的西方国家组织和个人。Recorded Future News 报道了这一消息，并采访了芬兰国家网络安全中心 (NCSC) 副主任 Sauli Pahlman。芬兰官员认为，袭击次数激增是出于政治动机。弗拉基米尔·普京多次警告称，如果北约在芬兰加入联盟后在芬兰建立军事基础设施，俄罗斯将做出同样的回应。

详情

Lazarus首次针对加密货币行业发起开源供应链攻击

日期: 2023-08-09
标签: 金融业, Lazarus, APT舆情

上个月，Checkmarx一直在监控一项针对性很强的行动。于2023年4月上旬开始跟踪这个威胁攻击者，当时标记了几个可疑的npm软件包。后来GitHub证实，该威胁攻击者与Jade Sleet和TraderTraitor（也称为Lazarus Group）有关，隶属于朝鲜。该行动主要针对区块链和加密货币领域的公司，利用社会工程和恶意npm包依赖项的结合来渗透其软件供应链。

详情

揭秘南亚新 APT 组织 APT-K-47 “神秘象”

日期: 2023-08-09
标签: 巴基斯坦, 政府部门, BITTER（“蔓灵花”）, APT舆情

2023年3月知道创宇404高级威胁情报团队捕获到一个全新APT组织的武器后门ORPCBackdoor，并把该武器后门定位为 BITTER（“蔓灵花”）使用的最新武器，然而，近日卡巴斯基发布报告称他们于第二季度发现了一个全新的APT组织，该组织的主要攻击目标为巴基斯坦，将其命名为“Mysterious Elephant（神秘象）”。该组织主要特点是使用了一个全新的后门，该后门通过恶意RTF文档传递到受害者机器上。恶意RTF文档通过钓鱼邮件进行投递。这个全新的后门通过RPC与C2服务器进行通信，并有在受控机器上执行文件或者命令的能力，同时该后门也可以从C2服务器上接收文件和命令并执行。

详情

新的 Inception 攻击泄露 AMD Zen CPU 的敏感数据

日期: 2023-08-09
标签: 信息技术, 瞬态执行攻击, Inception, AMD Zen CPU

研究人员发现了一种名为“Inception”的新型强大瞬态执行攻击，该攻击可以使用所有 AMD Zen CPU（包括最新型号）上的非特权进程泄露特权秘密和数据。瞬态执行攻击利用了所有现代处理器上都存在的一项名为推测执行的功能，该功能通过猜测在较慢的操作完成之前接下来将执行的内容来显着提高 CPU 的性能。如果猜测正确，CPU 会通过不等待操作完成来提高性能；如果猜测错误，它只会回滚更改并使用新结果继续操作。推测执行的问题在于，它可能会留下攻击者可以观察或分析的痕迹，以检索本应受到保护的有价值的数据。

详情

针对英特尔 CPU 的新 Downfall 攻击窃取加密密钥和数据

日期: 2023-08-09
标签: 信息技术, 制造业, 英特尔 CPU, Downfall

谷歌的一位高级研究科学家设计了新的 CPU 攻击，以利用名为 Downfall 的漏洞，该漏洞影响多个英特尔微处理器系列，并允许从共享同一台计算机的用户窃取密码、加密密钥和私人数据，例如电子邮件、消息或银行信息。该漏洞被追踪为 CVE-2022-40982，是一个瞬态执行侧通道问题，会影响基于 Intel 微架构 Skylake 到 Ice Lake 的所有处理器。利用该安全漏洞的威胁行为者可以提取受 Software Guard eXtensions (SGX)保护的敏感信息，SGX 是英特尔基于硬件的内存加密，可将内存代码和数据与系统上的软件分开。SGX 目前仅在服务器中央处理单元上受支持，并为甚至操作系统都无法访问的软件提供可信的隔离环境。

详情

Rhysida 勒索组织疑似与 Vice Society 勒索组织相关

日期: 2023-08-10
标签: 信息技术, 政府部门, 卫生行业, Vice Society, Rhysida

Rhysida 勒索软件组织是日益增长的威胁组织，自今年 5 月出现以来，已涉及一系列高影响力的攻击，并与 Vice Society 有联系，Vice Society 是一个自 2021 年以来一直高度活跃的已知勒索软件组织。Rhysida 的目标包括智利陆军和 Prospect Medical Holdings。该组织最近发起的袭击影响了美国 17 家医院和 166 家诊所。 根据美国卫生与公众服务部 Check Point 事件响应小组 (CPIRT) 和 Check Point 研究中心 (CPR) 发布的新报告，Rhysida 已被正式标记为对医疗保健行业的重大威胁。安全专家最近的分析还发现，Rhysida 和 Vice Society 使用的技术、策略和工具 (TTP) 存在惊人的相似之处。研究表明，后者可能已采用 Rhysida 作为其首选勒索软件有效负载之一。对教育和医疗保健部门的共同关注进一步巩固了这种联系。Rhysida 和 Vice Society 部署的策略包括远程桌面协议 (RDP) 连接、远程 PowerShell 会话 (WinRM) 以及使用 PsExec 等工具进行横向移动。

详情

0x08   行业动向

谷歌宣布为 Android 14 推出新的蜂窝安全功能

日期: 2023-08-09
标签: 信息技术, 谷歌（Google）, 移动安全, 蜂窝网络

谷歌宣布为其即将推出的 Android 14 推出新的蜂窝安全功能，预计将于2023年8月晚些时候推出，旨在保护业务数据和通信。Android 14 将允许消费者和企业关闭其设备或托管设备群上对 2G 的支持，并在调制解调器级别禁用对空密码（未加密）蜂窝连接的支持。谷歌表示，Android 是第一个为消费者和企业引入先进的蜂窝安全缓解措施的移动操作系统。Android 14 引入了对 IT 管理员的支持，以在其托管设备群中禁用 2G 支持，并且还引入了禁用对空加密蜂窝连接的支持的功能。

详情

新网络安全AI工具vuln_GPT发布

日期: 2023-08-10
标签: 信息技术, vuln_GPT, AI

2023年8月9日，自主端到端漏洞修复平台 vRx 的制造商 Vicarius 在黑帽大会上公布了 vuln_GPT，这是一种基于 ChatGPT 的新型大型语言模型，可以自动查找和修复软件漏洞。而在2022年的黑帽大会上，研究人员才展示了ChatGPT如何通过自动化来提高网络安全性。vuln_GPT是其自己的生成式 AI 工具，该工具将允许安全团队通过简单的查询生成用于修复漏洞的脚本。阻止利用的措施可能包括关闭某些端口、删除文件、禁用协议或创建补偿控制，例如关闭TETRA 无线电上的后门。当供应商处理补丁时，或者当安全部门检查和测试补丁的稳定性时，或者修复无法修补的错误时，此类操作可以限制损害。该公司表示，用户可以在其安全研究人员社区vsociety上发布和访问脚本，并通过其 vRx 平台进行部署。所有脚本在发布到任何一个地方之前都将由Vicarius 的人员进行验证。

详情

美国国防高级研究计划局投资打造修复漏洞的人工智能工具

日期: 2023-08-10
标签: 信息技术, 政府部门, 美国国防高级研究计划局 (DARPA) , 人工智能工具

美国国防高级研究计划局 (DARPA) 将赞助一项为期两年的竞赛，旨在创建新一代网络安全工具，以更好地保护软件安全。DARPA 是美国国防部 (DoD) 的一个研发机构，负责开发供军方使用的新兴技术。名为人工智能网络挑战赛(AIxCC)，其目的是创建人工智能驱动的系统，以帮助解决网络安全问题并确保软件更安全。该竞赛将于 2025 年在 DEF CON 上结束，挑战参赛者设计人工智能系统，以快速查找并修复关键代码中的漏洞。

详情

谷歌提高 Google Chrome 安全更新频率

日期: 2023-08-10
标签: 信息技术, Google, Google Chrome

谷歌已将 Google Chrome 安全更新计划从每两周一次更改为每周一次，以解决日益严重的补丁间隙问题。补丁间隙问题使威胁行为者有更多时间利用已发布的 n 天和零日漏洞。这一新计划将从 Google Chrome 116 开始，计划于2023年8月9日发布。谷歌表示，Chromium 是一个开源项目，任何人都可以查看其源代码并实时审查开发人员的讨论、提交和贡献者所做的修复。然后，这些更改、修复和安全更新将添加到 Chrome 的开发版本（Beta/Canary）中，并在将其推送到稳定的 Chrome 版本之前对其进行稳定性、性能或兼容性问题测试。

详情

美国政府发起人工智能网络挑战赛

日期: 2023-08-11
标签: 信息技术, 政府部门, 人工智能

2023年8月9日，美国政府推出了人工智能网络挑战赛。这项为期两年的竞赛旨在促进创新人工智能系统的开发，以保护关键应用程序免受网络威胁。白宫提供 1850 万美元用于创建新的人工智能系统，可用于保护电网、医院和交通系统等关键基础设施。美国政府要求白帽黑客开发一种新颖的解决方案，以识别并快速解决可能被威胁行为者利用的关键软件中的漏洞。2023年8月9日在拉斯维加斯举行的黑帽网络安全会议上宣布了该竞赛的启动。

详情

0x09   勒索攻击

源自越南的勒索软件操作模仿 WannaCry 特征

日期: 2023-08-09
标签: 越南, 信息技术, 政府部门, 勒索攻击

据观察，一名身份不明的威胁行为者来自越南，据观察参与了2023年6 月 4 日开始的勒索软件活动，并使用 Yashma 勒索软件的变体，与臭名昭著的 WannaCry 勒索软件有相似之处。根据思科 Talos 发布的一份新公告，此次行动的与众不同之处在于提供赎金的新颖方法。Talos 的分析表明，威胁行为者似乎针对英语国家、保加利亚、中国和越南。与攻击者关联的 GitHub 帐户以与这些地区相关的语言提供勒索信息。 此外，线索表明威胁行为者来自越南。GitHub 帐户的名称和电子邮件联系方式模仿了合法越南组织的详细信息，勒索信中指定了 UTC+7 的联系时间，与越南时区一致。目前，攻击者要求以比特币向指定的钱包地址支付赎金，如果受害者未能在三天内付款，则勒索软件价格将翻倍。 然而，钱包中尚未发现任何比特币，赎金金额也未明确，这可能表明该活动还处于早期阶段。

详情

LockBit 勒索组织攻击瓦里安医疗系统

日期: 2023-08-10
标签: 卫生行业, 医疗数据

LockBit 勒索软件组织声称入侵了医疗保健公司瓦里安医疗系统 (Varian Medical Systems)，并威胁泄露癌症患者的医疗数据。瓦里安医疗系统公司在全球范围内设计、制造、销售用于治疗癌症和其他医疗状况的医疗设备和软件产品并提供服务。它通过两个部门运营：肿瘤系统和成像组件。该公司隶属于西门子医疗集团 (Siemens Healthineers)，收入达 30 亿美元。Lockbit 团伙在其 TOR 泄露网站上表示，“所有数据库和患者数据均已被泄露并准备在博客上发布”。Lockbit 将支付赎金的截止日期定为 2023 年 8 月 17 日。如果这一事件得到证实，可能会对癌症患者的隐私产生巨大影响。该公司尚未披露此次安全事件。

详情

Rhysida 勒索软件开始攻击美国医疗行业

日期: 2023-08-11
标签: 卫生行业, 医院

美国卫生与公众服务部 (HHS) 发布了 Rhysida 勒索软件的警报，称Rhysida勒索组织已经在多个国家和行业产生了影响，其中包括美国的一家多州连锁医院。Rhysida 是一个勒索软件即服务 (RaaS) 组织，仍处于早期开发阶段，于 5 月份首次出现。根据警报，该组织通过“网络钓鱼攻击和 Cobalt Strike 投放勒索软件，以破坏目标网络并部署其有效负载”。该组织的受害者遍布西欧、北美、南美以及澳大利亚等多个国家。Rhysida 的目标是教育、政府、制造、技术和管理服务行业，并在最近的扩张中扩展到医疗保健行业。该组织最近对 Prospect Medical Holdings 发起了一次网络攻击，导致全系统中断，影响了加利福尼亚州、康涅狄格州、宾夕法尼亚州和罗德岛州的16 家医院以及美国 160 多家诊所。除此之外，澳大利亚的一家医疗机构也被列在 Rhysida 的暗网站上，并被要求在其被盗数据泄露给公众之前一周内支付赎金。

详情

0x0a   其他事件

美国CISA公布2024-2026年网络安全战略规划

日期: 2023-08-07
标签: 政府部门, 信息技术, 美国网络安全和基础设施安全局 (CISA), 网络安全战略

2023年8月初，美国网络安全和基础设施安全局 (CISA) 发布了 2024-2026 财年战略计划，该计划以白宫发布的网络安全战略为基础。CISA 强调，继拜登-哈里斯政府于 2023 年 3 月宣布的2023 年美国国家网络安全战略中概述的合作愿景之后，美国正处于“机遇时刻” 。该战略计划提出了改变美国国家网络安全风险轨迹的愿景和计划。该文件旨在补充国家战略。该计划指出，威胁行为者的成功往往是由于不安全的环境造成的，在这种环境中，企业太难防御，技术产品太脆弱而难以保护。该文件强调，产品的设计和开发必须改变，以便可利用的漏洞不会进入市场。该计划还强调如何快速检测对手、事件和漏洞，以便在损害发生之前缓解问题。

详情

俄罗斯黑客组织BlueCharlie攻击基础设施

日期: 2023-08-07
标签: 俄罗斯, 政府部门, BlueCharlie（又名 Blue Callisto、Callisto、COLDRIVER、Star Blizzard（以前称为SEABORGIUM）、ColdRiver和TA446）, 基础设施

Recorded Future 的研究人员报告称，与俄罗斯有关的 APT 组织 BlueCharlie（又名 Blue Callisto、Callisto、COLDRIVER、Star Blizzard（以前称为SEABORGIUM）、ColdRiver和TA446）在最近收到有关其活动的报告后，继续改变其攻击基础设施。APT 组织至少自 2017 年以来一直活跃，其活动涉及持续的网络钓鱼和凭据盗窃活动，导致入侵和数据盗窃。APT 主要针对北约国家，但专家们也观察到针对波罗的海国家、北欧和东欧地区（包括乌克兰）的活动。BlueCharlie 主要专注于国防和情报咨询公司、非政府组织 (NGO) 和政府间组织 (IGO)、智囊团和高等教育机构。该组织还针对前情报官员、俄罗斯事务专家和海外俄罗斯公民。最近，Recorded Future Insikt Group 观察到 BlueCharlie 正在构建新的基础设施来发起网络钓鱼活动和/或凭证收集。新的攻击基础设施于 2023 年 3 月开始创建，由 94 个新域组成。

详情

Clop 勒索软件现在使用种子来泄露数据并逃避删除

日期: 2023-08-07
标签: 信息技术, Clop, MOVEit

Clop 勒索软件团伙再次改变勒索策略，现在使用种子来泄露 MOVEit 攻击中窃取的数据。从 5 月 27 日开始，Clop 勒索软件团伙利用MOVEit Transfer 安全文件传输平台中的零日漏洞发起了一波数据盗窃攻击 。6 月 14 日，勒索软件团伙开始勒索受害者，慢慢地在他们的 Tor 数据泄露网站上添加名字，并最终公开发布这些文件。然而，通过 Tor 站点泄露数据也有一些缺点，因为下载速度很慢，在某些情况下，如果更容易访问数据，泄露的破坏性就不会那么大。作为解决这些问题的新方案，Clop 已开始使用种子来分发从 MOVEit 攻击中窃取的数据。Clop已经为 20 名受害者创建了种子，其中包括 Aon、K & L Gates、Putnam、Delaware Life、Zurich Brazil 和 Heidelberg。

详情

针对韩国 Android 用户的隐形广告欺诈活动分析

日期: 2023-08-08
标签: 信息技术, 广告欺诈

网络安全专家发现了一种专门针对韩国 Android 用户的新广告软件活动。 迈克菲移动研究团队的这一发现揭示了一种趋势，即通过 Google Play 分发的某些应用程序会在用户设备屏幕关闭时谨慎加载广告。安全研究人员表示，从表面上看，这似乎是开发商在不让用户受到侵入性广告的情况下赚取利润的一种轻松方式。 然而，这种做法显然违反了 Google Play 开发者政策，该政策规定了广告的展示方式。这种恶意广告加载欺骗了广告商，他们在不知不觉中为隐形广告付费，并以多种方式对用户产生不利影响。该团队发现了 43 个涉及此次广告欺诈的恶意应用程序，总计下载量达 250 万次。受影响的应用程序包括电视/DMB 播放器、音乐下载器、新闻和日历应用程序等热门类别。这些应用程序使用的广告欺诈库技术复杂，采用延迟策略来逃避检测和检查。此外，可以使用 Firebase 存储或消息服务远程修改和推送欺诈行为，从而增加了识别恶意应用程序的复杂性

详情

FBI 警告黑客冒充 NFT 开发人员进行欺诈活动

日期: 2023-08-08
标签: 信息技术, 金融业, NFT

美国联邦调查局 (FBI) 警告称，网络犯罪分子冒充合法的 NFT 开发商，实施旨在针对 NFT 社区内活跃用户的欺诈计划。最终目标是从用户那里窃取加密货币和其他数字资产。诈骗者会破坏 NFT 开发者的社交媒体帐户，或创建几乎相同的帐户来推广新的 NFT 版本。FBI 警告犯罪分子冒充合法 NFT 开发商，实施针对 NFT 社区活跃用户的金融欺诈计划。犯罪分子要么直接访问 NFT 开发者社交媒体帐户，要么创建几乎相同的帐户，以紧迫感推广新的 NFT 版本。骗子利用这些账户分享网站链接，旨在诱骗受害者连接到他们的钱包来购买 NFT。

详情

Mallox 勒索团伙改进恶意软件变体和规避策略

日期: 2023-08-08
标签: 信息技术, Malloz（又名TargetCompany、Fargo 和 Tohnichi）, SQL 服务器

Mallox 勒索软件组织正在加紧对具有易受攻击的 SQL 服务器的组织进行有针对性的攻击。它最近出现了一个新的变体和各种额外的恶意软件工具，以实现持久性并逃避检测，因为它的势头不断增强。Malloz（又名TargetCompany、Fargo 和 Tohnichi）于 2021 年 6 月出现。趋势科技的研究人员在今天的博客文章中透露，在最新的攻击中，它将其定制勒索软件与两种经过验证的恶意软件产品（Remcos RAT和 BatCloak 混淆器）结合起来。尽管如此，该组织用于进入目标组织网络的策略在最新的活动中仍然保持一致——利用易受攻击的 SQL 服务器来持续部署其第一阶段。事实上，Mallox已声称已感染全球制造、零售、批发、法律和专业服务等行业的数百个组织，通常利用 SQL 中的两个远程代码执行 (RCE) 漏洞：CVE- 2020-0618和CVE -2019-1068。

详情

针对 Mac 的暗网黑客数量增加了十倍

日期: 2023-08-08
标签: 信息技术, Mac 电脑

近年来，苹果 Mac 电脑成为攻击目标也就不足为奇了，但攻击 macOS 的暗网威胁参与者数量正在以惊人的速度增长。埃森哲威胁情报部门周一报告称，自 2019 年以来，针对 Mac 的暗网威胁行为者数量增加了十倍，其中大部分是在过去 18 个月内发生的。这些调查结果来自埃森哲网络威胁情报 (ACTI) 及其暗网侦察工作。虽然威胁行为者历来将攻击目标指向 Windows 和 Linux 设备，但 ACTI 团队观察到，一个庞大的暗网社区由熟练的攻击者组成，他们将目光投向了 Mac。企业中的 Mac 通常更容易受到攻击，因为组织不会应用与 Windows 设备相同的条件访问和其他策略。

详情

黑客滥用 Cloudflare Tunnels 进行隐秘连接

日期: 2023-08-08
标签: 信息技术, Cloudflare Tunnels

黑客越来越多地滥用合法的 Cloudflare Tunnels 功能，从受感染的设备创建隐秘的 HTTPS 连接、绕过防火墙并保持长期持久性。这项技术并不是全新的，正如 Phylum 在 2023 年 1 月报道的那样，威胁行为者创建了恶意 PyPI 包，这些包使用 Cloudflare 隧道来秘密窃取数据或远程访问设备。然而， GuidePoint 的 DFIR 和 GRIT 团队报告，似乎有更多的威胁行为者已经开始使用这种策略，并且活动有所增加。

详情

国际刑警组织取缔 16shop 网络钓鱼即服务平台

日期: 2023-08-09
标签: 信息技术, 网络钓鱼即服务平台

国际刑警组织和网络安全公司之间的联合行动逮捕并关闭了臭名昭著的 16shop 网络钓鱼即服务 (PhaaS) 平台。网络钓鱼即服务平台为网络犯罪分子提供了进行网络钓鱼攻击的一站式服务，包括电子邮件分发、知名品牌的现成网络钓鱼工具包、托管、数据代理、受害者概览仪表板以及其他有助于提高运营成功率的工具。这些平台存在重大风险，因为它们降低了缺乏经验的网络犯罪分子的进入门槛，为他们提供了一种简单且经济高效的方式，只需点击几下即可发起网络钓鱼攻击。6shop 平台提供了针对 Apple、PayPal、美国运通、亚马逊和 Cash App 账户等的网络钓鱼工具包。16shop创建了15万个钓鱼页面，主要针对来自德国、日本、法国、美国和英国的用户。来自 43 个国家的至少 70,000 名用户受到通过 16shop 创建的网络钓鱼页面的危害。这些攻击中被盗的数据包括个人详细信息、帐户电子邮件和密码、身份证、信用卡号和电话号码。

详情

EvilProxy 网络钓鱼活动针对 120,000 名 Microsoft 365 用户

日期: 2023-08-10
标签: 信息技术, EvilProxy, 网络钓鱼平台

EvilProxy 正在成为针对受 MFA 保护的帐户的更流行的网络钓鱼平台之一，研究人员发现有 120,000 封网络钓鱼电子邮件发送到一百多个组织，以窃取 Microsoft 365 帐户。EvilProxy 是一个网络钓鱼即服务平台，它使用反向代理在用户（目标）和合法服务网站之间中继身份验证请求和用户凭据。由于网络钓鱼服务器代理合法的登录表单，一旦用户登录其帐户，它就可以窃取身份验证 cookie。 这项新研究来自 Proofpoint，该公司警告说，过去五个月里成功的云帐户接管事件急剧增加，主要影响到高级管理人员。这家网络安全公司观察到由 EvilProxy 支持的大规模活动，该活动结合了品牌假冒、机器人检测规避和开放重定向。

详情

黑客在攻击中使用开源 Merlin 后利用工具包

日期: 2023-08-10
标签: 乌克兰, 信息技术, 政府部门, Merlin

乌克兰警告称，发现有黑客使用“Merlin”（一种开源后利用和指挥与控制框架）针对国家组织发起一波攻击。Merlin 是一个基于 Go 的跨平台开发后工具包，可通过GitHub免费获取 ，为安全专业人员在红队练习中使用提供了大量文档。它提供了广泛的功能，允许红队成员（和攻击者）在受感染的网络上获得立足点。Merlin 现在正被威胁行为者滥用，他们利用它来支持自己的攻击，并通过受损网络横向传播。

详情

美国纽约首次推出全州网络安全战略

日期: 2023-08-11
标签: 信息技术, 政府部门, 网络安全战略

美国纽约州州长 Kathy Hochul 推出了纽约州有史以来第一个全州范围的网络安全战略，并承诺投入 6 亿美元。 该战略成为纽约州的核心优先事项，旨在提高纽约抵御当代网络威胁的能力。该计划旨在保护关键基础设施、数据、网络和技术系统免受恶意攻击。通过联合包括地方政府在内的公共和私人利益相关者，它寻求协调一致的战线来对抗网络对手。该承诺还包括拨款 9000 万美元用于集中网络安全，其中 3000 万美元指定用于加强地方政府网络安全的共享服务。另外 5 亿美元将投资于医疗保健信息技术网络安全基础设施，740 万美元将用于扩大纽约州警察局的网络部门。此外，州长还签署了旨在扩大纽约技术人才库的立法，为雇主获取和留住网络安全专业人员提供必要的资金。

详情

Barracuda ESG 黑客攻击中使用了新的 Whirlpool 后门

日期: 2023-08-11
标签: 信息技术, Barracuda ESG, Whirlpool

美国网络安全和基础设施安全局（CISA）发现了一种名为“Whirlpool”的新后门恶意软件，用于攻击受损的梭子鱼电子邮件安全网关（ESG）设备。2023年5月，厂商梭子鱼透露，一个黑客组织UNC4841 利用CVE-2023-2868 零日漏洞 进行数据盗窃攻击， 破坏了ESG（电子邮件安全网关）设备。CVE-2023-2868 是一个严重程度极高（CVSS v3：9.8）的远程命令注入漏洞，影响 Barracuda ESG 版本 5.1.3.001 至 9.2.0.006。后来发现，这些攻击 始于 2022 年 10 月 ，用于 安装以前未知的 名为 Saltwater 和 SeaSpy 的恶意软件，以及名为 SeaSide 的恶意工具，用于建立反向 shell，以便轻松进行远程访问。梭子鱼没有通过软件更新来修复设备，而是 免费向所有受影响的客户提供 更换设备，这表明这些攻击的破坏性比最初想象的更大。

详情

MoustachedBouncer 黑客利用 AiTM 攻击来监视白俄罗斯外交官

日期: 2023-08-11
标签: 信息技术, MoustachedBouncer, 中间对手 (AitM) 攻击

据观察，一个名为“MoustachedBouncer”的网络间谍组织对 ISP 使用中间对手 (AitM) 攻击来入侵白俄罗斯的外国大使馆。研究人员观察到了五次不同的活动，据信威胁行为者至少自 2014 年以来就一直活跃，自 2020 年以来在白俄罗斯 ISP 中使用 AitM。MoustachedBouncer 在此期间使用的两个签名恶意软件框架是自 2014 年以来的“NightClub”和 2020 年推出的“Disco”，用于支持数据盗窃、捕获屏幕截图、录制音频等。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2023-08-07 360CERT发布安全周报