报告编号：CERT-R-2023-382

报告来源：360CERT

报告作者：360CERT

更新日期：2023-09-04

0x01   事件导览

本周收录安全热点56项，话题集中在安全分析、恶意软件、网络攻击，主要涉及的实体有：Juniper、谷歌（Google）、PurFoods等，主要涉及的黑客组织有：UNC4841、Lazarus Group、GREF等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

分析Lazarus组织的新恶意软件CollectionRAT

日期: 2023-08-28
标签: 信息技术, Lazarus Group, APT舆情

Cisco在最近的博客中详细介绍了Lazarus组织的最新攻击行动，该组织正在利用ManageEngine ServiceDesk漏洞CVE-2022-47966来部署多种恶意软件。除了QuiteRAT恶意软件之外，还发现一种名为CollectionRAT的新恶意软件。CollectionRAT具有标准远程访问木马的功能，疑似与Jupiter/EarlyRAT有关。Lazarus组织似乎正在改变其战术，在攻击的初始访问阶段更多的使用开源工具和框架，这种趋势的一个例子是使用开源的DeimosC2框架。在本次活动中发现的DeimosC2代理是一个ELF二进制文件，这表明Lazarus组织打算在针对受感染的Linux端点的初始访问期间部署此植入程序。

详情

Luna Grabber 恶意软件瞄准 Roblox 游戏开发人员

日期: 2023-08-28
标签: 信息技术, Luna Grabber, npm

自2023年8月初以来，ReversingLabs 的研究人员在 npm 公共存储库中发现了许多恶意的多级软件包，这些软件包植入了一种名为 Luna Grabber 的开源信息窃取恶意软件。为了感染受害者，这些软件包会模仿合法软件包，例如 noblox.js。恶意软件包从合法软件包中复制代码，但添加了信息窃取功能。 因此，最终在 Roblox 平台上运行的脚本开发人员可能会无意中成为 Luna Grabber 的牺牲品，据 ReversingLabs 称，Luna Grabber 是一种开源恶意软件，旨在窃取用户本地网络浏览器、Discord 应用程序等信息。

详情

Whiffy Recon恶意软件可跟踪受害者的物理位置

日期: 2023-08-28
标签: 信息技术, Whiffy Recon

研究人员发现了SmokeLoader 僵尸网络部署的“Whiffy Recon”恶意软件，这是一个针对 Windows 系统定制的 Wi-Fi 扫描可执行文件，可跟踪受害者的物理位置。Whiffy Recon 的名字来源于许多欧洲国家和俄罗斯使用的 Wi-Fi 的发音。根据Secureworks Counter Threat Unit 的一份报告，它会在受损系统上寻找 Wi-Fi 卡或加密狗，然后每 60 秒扫描一次附近的 Wi-Fi 接入点 (AP) 。然后，它通过将美联社数据输入谷歌的地理定位 API 来对受感染系统的位置进行三角测量，然后将位置数据发送回未知的攻击者。

详情

新的Android恶意软件MMRat使用 Protobuf 协议窃取用户数据

日期: 2023-08-30
标签: 信息技术, 谷歌（Google）, MMRat, Protobuf 协议, 移动安全

一种名为 MMRat 的新型 Android 银行恶意软件利用很少使用的通信方法（protobuf 数据序列化）来更有效地从受感染的设备窃取数据。MMRat 于 2023 年 6 月下旬首次被趋势科技发现，主要针对东南亚用户，并且在 VirusTotal 等防病毒扫描服务中仍未被发现。MMRat 是通过伪装成官方应用商店的网站分发的。受害者下载并安装携带 MMRat 的恶意应用程序，通常模仿官方政府或约会应用程序，并在安装过程中授予风险权限。该恶意软件会自动滥用辅助功能来授予自己额外的权限，使其能够在受感染的设备上执行各种恶意操作。

详情

DreamBus 恶意软件利用 RocketMQ 漏洞感染服务器

日期: 2023-08-30
标签: 信息技术, DreamBus, CVE-2023-33246, RocketMQ 服务器

新版本的 DreamBus 僵尸网络恶意软件利用 RocketMQ 服务器中的严重远程代码执行漏洞来感染设备。被利用的漏洞被追踪为 CVE-2023-33246，是一个权限验证问题，影响 RocketMQ 5.1.0 及更早版本，允许攻击者在某些条件下执行远程命令。瞻博网络威胁实验室的研究人员发现了最近利用该缺陷的 DreamBus 攻击，他们报告称该活动在 2023 年 6 月中旬出现激增。

详情

Qakbot 僵尸网络在感染超过 70 万台计算机后被拆除

日期: 2023-08-30
标签: 信息技术, 政府部门, QakBot, Qakbot

Qakbot 是迄今为止规模最大、运行时间最长的僵尸网络之一，在 FBI 牵头的多国执法行动（称为“猎鸭行动”）之后被拆除。据保守估计，美国执法部门将僵尸网络（也称为 Qbot 和 Pinkslipbot）与全球至少 40 起针对公司、医疗保健提供商和政府机构的勒索软件攻击联系起来，造成了数亿美元的损失。仅过去18个月，损失就超过5800万美元。多年来，Qakbot 一直充当各种勒索软件团伙及其附属机构或运营商的初始感染载体，包括 Conti、ProLock、Egregor、REvil、RansomExx、MegaCortex 以及Black Basta。

详情

Builder 泄露后 LockBit 3.0 勒索软件变种激增

日期: 2023-08-30
标签: 信息技术, LockBit 3.0

LockBit 3.0 勒索软件构建器的泄露引发了个性化变种的激增，影响了各个组织。LockBit 3.0，也称为 LockBit Black，首次出现于 2022 年 6 月，由于其加密的可执行文件、随机密码和未记录的 Windows 功能，给安全分析师和自动防御系统带来了挑战。2022 年 9 月，LockBit 3.0 构建器的失控泄露事件浮出水面，使网络犯罪分子能够创建定制的勒索软件菌株。该构建器出现了两个版本，每个版本都有细微的变化。随后，利用这些定制的 LockBit 变种进行的攻击有所增加，在勒索票据和通信渠道等方面偏离了通常的 LockBit 操作。

详情

Google Play 上的木马 Signal 和 Telegram 应用程序传播间谍软件

日期: 2023-08-31
标签: 信息技术, 政府部门, 谷歌（Google）, GREF, BadBazaar, Signal, Telegram

一个名为 GREF 的APT 黑客组织将包含 BadBazaar 间谍软件的特洛伊木马 Signal 和 Telegram 应用程序上传到 Google Play 和三星 Galaxy Store。 ESET 的遥测显示，这一次攻击者的目标是乌克兰、波兰、荷兰、西班牙、葡萄牙、德国、香港和美国的用户。BadBazaar 的功能包括跟踪设备的精确位置、窃取通话记录和短信、录音电话、使用相机拍照、泄露联系人列表以及窃取文件或数据库。

详情

网络犯罪分子联手升级“SapphireStealer”恶意软件

日期: 2023-09-01
标签: 信息技术, SapphireStealer, 信息窃取

网络犯罪分子正在挖掘名为“SapphireStealer”的开源信息窃取软件的功能，开发出大量变体。自从2022年年底一位名叫 Roman Maslov 的俄语黑客首次将其发布到公共网络上以来，黑客们一直在采用 SapphireStealer，对其进行修改，并将新版本发布到公共存储库中。 2023年下半年，SapphireStealer 的新变体开始出现，它清理了代码，并改进了其核心功能。例如，某些变体扩展了 SapphireStealer 可以从中提取的文件格式列表。

详情

0x04   数据安全

法国就业机构 PÔLE EMPLOI 数据泄露影响 1000 万人

日期: 2023-08-28
标签: 法国, 政府部门, Pôle emploi, 就业, 数据泄露

法国政府失业登记和经济援助机构 Pôle emploi 通报了一起数据泄露事件，涉及 1000 万人的数据被泄露。尽管该机构没有具体说明受影响的人数，但 《巴黎人报》 报道估计有 1000 万人受到影响。暴露的信息包括全名和社会安全号码，而电子邮件地址、电话号码、密码和银行数据并未受到此次数据泄露的影响。

详情

金融公司Kroll遭遇数据泄露

日期: 2023-08-28
标签: 信息技术, 金融业, Kroll, 数据泄露

2023年8月，社交媒体上的多篇报道警告称，金融和风险咨询公司 Kroll 发生数据泄露事件，导致一些信贷索赔人的个人数据暴露给未经授权的第三方。Kroll 正在协助公司FTX、BlockFi和Genesis Global Holdco提出索赔，他已证实其一名员工是 SIM 卡交换攻击的受害者。黑客窃取了Kroll员工的电话号码，并用它来访问一些包含破产申请人个人数据的文件。

详情

伦敦警察局遭遇数据泄露

日期: 2023-08-29
标签: 政府部门, 伦敦警察局

2023年8月末，伦敦警察局已收到警告，他们的信息（姓名、级别、身份证号码、审查级别和照片）被黑客窃取，此次泄露影响了 47,000 名警察和工作人员。 黑客闯入了一家负责打印授权卡和员工通行证的承包商的 IT 系统。由于高度保密的高级官员和官员受到影响，国家犯罪局 (NCA) 已介入评估和调查这一情况。

详情

Mom's Meals 披露数据泄露影响 120 万人

日期: 2023-08-29
标签: 居民服务, 卫生行业, PurFoods, Mom's Meals

PurFoods 在美国开展“Mom's Meals”业务，120 万客户和员工的个人信息在勒索软件攻击中被盗，该公司发出数据泄露警告。Mom's Meals 是一项医疗送餐服务，为自费客户或有资格通过医疗补助和美国老年人法案计划获得政府援助的人士提供服务。该公司警告称，它于 2023 年 2 月 22 日发现其网络上存在可疑活动，当时其系统上的文件已被勒索软件加密。调查确定，PurFoods在 2023 年 1 月 16 日至 2023 年 2 月 22 日期间经历了一次网络攻击，其中包括对PurFoods网络中的某些文件进行加密。

详情

南非国防部否认数据被盗

日期: 2023-08-30
标签: 南非, 政府部门, 数据泄露

2023年8月，研究人员在泄露站点上发现了包含南非国防部人员详细信息的 1.6TB 文件。“Snatch”组织声称对数据泄露负责，并在Telegram 消息中表示，这个庞大文件包含“价值数十亿美元的合同、将军的呼号和个人信息的独家信息”。Orange Cyberdefense 的研究人员看到的泄露文件显示了姓名列表，以及固定电话和手机号码、电子邮件地址、出生日期和职位。所有电话号码均来自国防部所在地比勒陀利亚地区。而南非国防部发言人西菲韦·德拉米尼 (Siphiwe Dlamini) 否认有任何数据泄露。

详情

美国娱乐公司派拉蒙遭受数据泄露

日期: 2023-08-31
标签: 文化传播, 派拉蒙全球公司 (Paramount Global) , 数据泄露

美国娱乐巨头派拉蒙全球公司 (Paramount Global) 在其系统遭到黑客攻击且攻击者获取了个人身份信息 (PII) 后披露了一起数据泄露事件。派拉蒙表示，攻击者在 2023 年 5 月至 6 月期间访问了其系统。泄露的个人信息可能包括用户的姓名、出生日期、社会安全号码或其他政府颁发的身份证号码（例如驾驶执照号码或护照号码）等。发现该事件后，该公司采取措施保护受影响的系统，并开始调查以确定违规的程度和范围。

详情

服装公司 Forever 21 遭遇数据泄露

日期: 2023-09-01
标签: 批发零售, Forever 21

2023年8月29日，Forever 21 服装和配饰零售商正在向超过 50 万名个人信息暴露给网络入侵者的个人发送数据泄露通知。该公司在全球经营着 540 个门店，拥有约 43,000 名员工。Forever 21公司于 3 月 20 日检测到其多个系统遭到网络攻击。调查显示，今年 1 月至 3 月期间，黑客间歇性访问 Forever 21 系统，并利用这种访问窃取数据。

详情

0x05   网络攻击

云和托管提供商 LEASEWEB 在网络攻击后关闭系统

日期: 2023-08-28
标签: 信息技术, Leaseweb, 云安全

全球托管和云服务提供商 Leaseweb 在2023年8月下旬发现安全漏洞后禁用了一些“关键”系统。该公司通知客户，目前正在修复这些系统。根据发送给客户的事件通知，8 月 22 日，该公司在调查客户门户停机问题时发现部分系统出现“异常”活动。为了应对这一事件，该公司关闭了一些受影响的系统以遏制威胁，并对该事件展开了调查。

详情

美国密歇根大学遭受网络攻击后网络关闭

日期: 2023-08-30
标签: 教育行业, 美国密歇根大学

2023年8月，美国密歇根大学为了应对网络安全事件，已将所有系统和服务下线，在开课前一天晚上对在线服务造成了广泛影响。密歇根大学 (UM) 是美国历史最悠久、规模最大的教育机构之一，拥有 30,000 多名学术和行政人员，大约有 51,000 名学生。从2023年8月27日开始，该大学网站上发布了一系列公告 ，一次网络安全事件导致 IT 中断，并中断了对重要在线服务的访问，包括 Google、Canvas、Wolverine Access 和电子邮件。

详情

勒索组织FIN8开始攻击未打补丁的 Citrix NetScaler 设备

日期: 2023-08-30
标签: 信息技术, CVE-2023-3519

Citrix NetScaler ADC 和 NetScaler Gateway 遭受勒索软件组织机会性攻击的风险很高，该勒索软件组织可能与出于经济动机的 FIN8 威胁行为者有关。该关键代码注入漏洞被跟踪为CVE-2023-3519，影响多个版本的 Citrix 应用程序交付、负载平衡和远程访问技术。Citrix于7 月 18 日首次披露了该漏洞，并建议组织立即将其系统更新为该软件的修补版本。自该披露以来，多家供应商报告称观察到针对该漏洞的恶意活动。

详情

UNC4841 黑客组织利用 BARRACUDA ESG 漏洞攻击了美国政府电子邮件服务器

日期: 2023-08-31
标签: 信息技术, 政府部门, UNC4841, BARRACUDA ESG 漏洞

研究人员发现黑客利用梭子鱼 ESG 零日攻击入侵了世界各地的政府组织。2023年6月，Mandiant 研究人员将黑客组织 UNC4841 与利用最近修补的 Barracuda ESG 零日漏洞的攻击联系起来。2023年5月底，网络安全解决方案提供商梭子鱼 (Barracuda )警告客户，其部分电子邮件安全网关 (ESG) 设备最近遭到攻击者利用现已修补的零日漏洞的攻击。该漏洞编号为 CVE-2023-2868，存在于电子邮件附件筛选模块中，该问题于 5 月 19 日被发现，该公司于 5 月 20 日和 21 日发布了两个安全补丁来修复该问题。

详情

Earth Estries攻击通过定制恶意软件袭击政府和技术

日期: 2023-08-31
标签: 信息技术, 政府部门, Earth Estries, 网络间谍组织

一个新发现的黑客组织Earth Estries正在悄悄窃取全球政府和技术组织的信息。根据趋势科技的一份新报告，这个之前不为人知的组织至少从 2020 年就已经存在，并且与另一个网络间谍组织 FamousSparrow有一定程度的重叠。尽管目标往往来自同一几个行业，但它们遍及全球，从美国到菲律宾、德国、台湾、马来西亚和南非。Earth Estries 喜欢使用 DLL 侧载来运行其三种自定义恶意软件中的任何一种（两个后门和一个信息窃取程序）以及 Cobalt Strike 等其他工具。Earth Estries 背后的威胁行为者正在利用高级资源，并在网络间谍和非法活动方面拥有复杂的技能和经验。

详情

GRU 黑客利用新的 Android 恶意软件攻击乌克兰军方

日期: 2023-09-01
标签: 俄罗斯, 乌克兰, 政府部门, 俄罗斯主要情报局 (GRU), Android

为俄罗斯联邦武装部队总参谋部（通常称为 GRU）工作的黑客一直在使用名为“Inknown Chisel”的新恶意框架瞄准乌克兰的 Android 设备。该工具包通过隐藏在洋葱路由器 (Tor) 匿名网络中的服务为黑客提供后门访问权限，让他们扫描本地文件、拦截网络流量并窃取数据。2023年8月早些时候，乌克兰安全局 (SSU) 就Sandworm 黑客组织渗透军事指挥系统的行为发出警告，首次强调了该恶意软件。2023年8月31日，英国国家网络安全中心(NCSC) 和美国网络安全和基础设施安全局 ( CISA )的报告深入探讨了 Inknown Chisel 的技术细节，展示了其功能并分享了有助于防御它的信息。

详情

Facebook 账户成为越南威胁组织的目标

日期: 2023-09-01
标签: 信息技术, Meta（原Facebook）, Facebook

根据WithSecure发布的一份新报告，针对 Meta Business 和 Facebook 帐户的网络攻击在越南犯罪分子中越来越受欢迎。WithSecure Intelligence 团队观察到，针对这些平台的网络犯罪团伙数量不断增加，这些团伙主要来自越南并在越南开展活动。通常，这些对手会利用通过电子邮件、社交媒体或类似方式共享的各种诱饵主题（涉及 OpenAI 的 ChatGPT、Google 的 Bard 等名称、Notepad++ 等流行软件，甚至工作和广告机会）来操纵受害者让自己感染窃取信息的恶意软件。感染后，恶意软件会窃取各种信息，包括 Facebook 会话 cookie 和登录凭据，从而使攻击者能够访问目标帐户。一些恶意软件植入程序还可以劫持帐户并通过受害者的计算机自动运行欺诈性广告。

详情

网络监控公司 LogicMonitor 遭到黑客攻击

日期: 2023-09-01
标签: 信息技术, 制造业, LogicMonitor

2023年8月31日，网络监控公司 LogicMonitor证实，其 SaaS 平台的部分用户已成为网络攻击的受害者。该公司表示，黑客活动已经袭击了少数用户，并正在与受影响的用户合作，以减轻攻击的影响。虽然 LogicMonitor 没有证实勒索软件攻击袭击了其受影响的客户，但熟悉事件的匿名消息人士表示，攻击者入侵了客户帐户，并“能够创建本地帐户并部署勒索软件”。

详情

Sourcegraph 网站因管理员访问令牌泄露而遭到破坏

日期: 2023-09-01
标签: 信息技术, Sourcegraph, 管理员访问令牌

2023年8月31日，人工智能驱动的编码平台 Sourcegraph 透露，其网站因 7 月 14 日在网上意外泄露的网站管理员访问令牌而遭到破坏。攻击者于 8 月 28 日使用泄露的令牌创建了一个新的站点管理员帐户，并在两天后登录到该公司网站 Sourcegraph.com 的管理仪表板。在获得网站管理仪表板的访问权限后，攻击者多次切换其流氓帐户的权限以探测 Sourcegraph 的系统。

详情

0x06   安全漏洞

针对 Juniper 防火墙漏洞的POC发布

日期: 2023-08-29
标签: 信息技术, Juniper, poc

针对Juniper SRX 防火墙中的漏洞的概念验证利用代码已公开发布，这些漏洞在链接后可允许未经身份验证的攻击者在未修补的设备上的Juniper JunOS 中获得远程代码执行。Juniper披露了其 EX 交换机和 SRX 防火墙中的四个中等严重程度的漏洞，并在两周前发布了安全补丁。这些安全漏洞是在基于 PHP 的 J-Web 界面中发现的，管理员可以使用该界面来管理和配置网络上的Juniper设备。

详情

研究人员发现 Azure 中的回复 URL 接管漏洞

日期: 2023-08-29
标签: 信息技术, Azure

安全研究人员敦促Azure Active Directory (AD)用户监控废弃的回复url，此前微软Power平台发现了一个严重漏洞。Secureworks表示，他们在4月初发现了回复URL接管漏洞，并在24小时内被微软修复。更具体地说，研究人员在与低代码电源平台相关的Azure AD应用程序中发现了一个废弃的回复URL地址。攻击者可以使用URL将授权代码重定向到自己，并将其交换为访问令牌。然后，攻击者可以通过中间层服务调用Power Platform API，并获得提升的权限。

详情

PoC 发布后，黑客利用了Juniper RCE 漏洞链

日期: 2023-08-30
标签: 信息技术, Juniper, CVE-2023-36846, CVE-2023-36845

黑客正在使用关键的漏洞利用链，通过其暴露在互联网上的 J-Web 配置界面来瞄准 Juniper EX 交换机和 SRX 防火墙。成功利用该漏洞使未经身份验证的攻击者能够在未修补的设备上远程执行代码。2023年8月，watchTowr Labs 安全研究人员发布了针对SRX 防火墙错误的概念验证 (PoC) 漏洞（追踪为 CVE-2023-36846 和 CVE-2023-36845）。2023年8月29日，非营利性互联网安全组织 Shadowserver Foundation 的安全研究人员透露，他们在 watchTowr Labs 的 PoC 漏洞发布的同一天就检测到了漏洞利用尝试。

详情

WordPress 迁移插件漏洞可能导致数据泄露

日期: 2023-08-31
标签: 信息技术, WordPress, CVE-2023-40004

All-in-One WP Migration 是一款流行的 WordPress 网站数据迁移插件，拥有 500 万个活跃安装量，它受到未经身份验证的访问令牌操纵的影响，可能允许攻击者访问敏感的网站信息。该漏洞编号为 CVE-2023-40004，允许未经身份验证的用户访问和操纵受影响扩展程序上的令牌配置，从而可能允许攻击者将网站迁移数据转移到自己的第三方云服务帐户或恢复恶意备份。成功利用 CVE-2023-40004 的主要后果是数据泄露，其中可能包括用户详细信息、关键网站数据和专有信息。 PatchStack 的研究员 Rafie Muhammad 于 2023 年 7 月 18 日发现了这个损坏的访问控制漏洞，并向 ServMask 报告进行修复。该供应商于 2023 年 7 月 26 日发布了安全更新，为 init 函数引入了权限和随机数验证。

详情

VMware Aria 容易受到SSH 身份验证绕过漏洞影响

日期: 2023-08-31
标签: 信息技术, VMware,  CVE-2023-34039

VMware Aria Operations for Networks（以前称为 vRealize Network Insight）容易受到严重性身份验证绕过漏洞的影响，该漏洞可能允许远程攻击者绕过 SSH 身份验证并访问专用端点。该漏洞由 ProjectDiscovery Research 的分析师发现，编号为 CVE-2023-34039，CVSS v3 范围为 9.8，评级为“严重”。具有 Aria Operations for Networks 网络访问权限的恶意行为者可以绕过 SSH 身份验证来访问 Aria Operations for Networks CLI。利用 CVE-2023-34039 可能会导致通过产品的命令行界面进行数据泄露或操纵。根据配置的不同，这种访问可能会导致网络中断、配置修改、恶意软件安装和横向移动。供应商尚未提供任何解决方法或缓解建议，因此修复严重漏洞的唯一方法是升级到版本 6.11 或在早期版本上应用 KB94152 补丁。

详情

0x07   安全分析

Flax Typhoon 黑客利用 LOLBins 逃避检测

日期: 2023-08-28
标签: 信息技术, 政府部门, 教育行业, 制造业, Flax Typhoon

微软已经确定了一个新的黑客组织，目前将其追踪为“Flax Typhoon”，该组织针对政府机构和教育、关键制造和信息技术组织进行间谍活动。攻击者不太依赖恶意软件来获取和维护对受害者网络的访问，并且更喜欢使用操作系统上已有的大部分组件，即所谓的 live-off-the-land 二进制文件或 LOLBins 以及合法软件。Flax Typhoon 至少从 2021 年中期开始运营，主要针对台湾的组织，尽管微软在东南亚、北美和非洲也发现了一些受害者。

详情

波兰当局调查针对该国铁路的黑客攻击事件

日期: 2023-08-28
标签: 波兰, 交通运输, 交通中断, 铁路系统

2023年8月末，波兰国内安全局（ABW）和国家警察已对该州铁路网络遭受黑客攻击展开调查。据波兰通讯社报道，2023年8月中旬的袭击导致交通中断。自俄罗斯入侵乌克兰以来，波兰的铁路系统一直是西方国家支持乌克兰的重要过境基础设施。波兰政府官员表示，这些袭击是俄罗斯为破坏波兰稳定而进行的更广泛活动的一部分。

详情

疑似APT37新攻击武器Fakecheck分析报告

日期: 2023-08-28
标签: 信息技术, APT37（Ricochet Chollima）, APT舆情

近期，知道创宇404高级威胁情报团队在日常分析活动中发现多个CHM携带恶意脚本的攻击样本，通过对整个攻击链的分析和溯源，知道创宇404高级威胁情报团队将新发现的木马命名为Fakecheck。在分析过程中，发现有安全研究人员将其归属于APT37，但从跟踪APT37的攻击活动来看，此次捕获的样本及TTP与已掌握的APT37情报无关联，极可能是APT37使用的全新TTPS及木马或者是一个新的攻击组织的活动。

详情

APT34使用SideTwist变种木马开展新一轮网络钓鱼活动

日期: 2023-08-29
标签: 政府部门, APT34（OilRig、COBALT GYPSY、IRN2、HELIX KITTEN）, SideTwist, APT舆情, 网络钓鱼活动

近期，绿盟科技伏影实验室全球威胁狩猎系统捕获了一个新的APT34钓鱼攻击活动。在该活动中，APT34攻击者伪装成一个名为GGMS的市场营销服务公司，向企业目标发动攻击，最终投放一种SideTwist变种木马，实现对受害主机的长期控制。APT34具备较高的攻击技术水平，能够针对不同类型的目标设计不同的入侵方式，并且具备供应链攻击能力。该组织的主要攻击工具曾在2019年的一次泄露事件中披露，此后该组织开始转向开发新型攻击工具，这些新工具包括RDAT、SideTwist、Saitama等。

详情

PDF 中的 MalDoc：在 PDF 文件中隐藏恶意 Word 文档

日期: 2023-08-29
标签: 信息技术, MalDoc, PDF

2023年8月末，日本计算机紧急响应小组 (JPCERT) 分享了 2023 年 7 月检测到的一种新的“PDF 中的 MalDoc”攻击，该攻击通过将恶意 Word 文件嵌入 PDF 来绕过检测。JPCERT采样的文件 是一种多语言文件，被大多数扫描引擎和工具识别为 PDF，但办公应用程序可以将其作为常规 Word 文档 (.doc) 打开。PDF 文档包含一个带有 VBS 宏的 Word 文档，如果在 Microsoft Office 中以 .doc 文件形式打开，则可以下载并安装 MSI 恶意软件文件。

详情

对 Citrix NetScaler 系统的攻击与 FIN8 黑客组织有关

日期: 2023-08-29
标签: 信息技术, Citrix, FIN8, CVE-2023-3519, Citrix NetScaler

据信与 FIN8 黑客组织有关的攻击者利用 CVE-2023-3519 远程代码执行缺陷，在域范围的攻击中危害未修补的 Citrix NetScaler 系统。Sophos 自 8 月中旬以来一直在监控此活动，报告称攻击者执行有效负载注入、使用 BlueVPS 进行恶意软件声明、部署混淆的 PowerShell 脚本，并在受害者计算机上投放 PHP Webshell。由于与今年夏天早些时候 Sophos 分析师观察到的另一次攻击相似，分析师推断这两项活动是相关的，攻击者专门从事勒索软件攻击。

详情

大规模的 MOVEIT 活动已经影响了至少 1,000 个组织和 6,000 万人

日期: 2023-08-29
标签: 信息技术, MOVEIT, CVE-2023-34362

2023年8月末，网络安全公司 Emsisoft 分享了 Cl0p 勒索软件组织最近针对Progress Software Corporation 设计的MOVEit Transfer 文件传输平台进行的大规模黑客活动的细节。据专家称，这些攻击影响了大约 1,000 个组织和 60,144,069 个人。Cl0p 勒索软件团伙利用零日漏洞CVE-2023-34362入侵全球组织使用的平台并窃取其数据。这些数据来源于国家违规通知、SEC 文件和其他公开披露的信息，以及 Cl0p 组织维护的泄露网站，数据截至 2023 年 8 月 25 日。

详情

微软警告网络钓鱼平台上的AiTM技术激增

日期: 2023-08-30
标签: 信息技术, 网络钓鱼

微软在 2023 年 8 月 28 日表示，该公司观察到通过网络钓鱼即服务 (PhaaS) 平台部署的中间对手 (AiTM) 技术激增。一方面，2023 年支持 AiTM 的新 PhaaS 平台数量不断增加；另一方面，成熟的网络钓鱼服务（例如 PerSwaysion）也添加了 AiTM 功能。

详情

APT-C-55（Kimsuky）组织使用韩文域名进行恶意活动

日期: 2023-08-30
标签: 信息技术, APT舆情

近期，360高级威胁研究院在日常情报挖掘中发现并捕获到了Kimsuky组织针对韩国地区的最新攻击行动。该组织一如既往地采用恶意宏文件、LNK文件作为攻击入口点，诱导用户点击恶意文件，从而开启一段复杂多阶段的无文件攻击链，最终窃取用户信息。需要特别说明的是，这轮攻击中Kimsuky组织使用了韩文域名进行恶意载荷下载、通信，并没有使用常规的英文域名。

详情

黑客活动暴力破解思科 VPN 来破坏网络

日期: 2023-08-31
标签: 信息技术, 制造业, 思科（Cisco）, VPN

黑客利用安全防御漏洞（例如不强制执行多重身份验证 (MFA)）进行凭证填充和暴力攻击，以思科自适应安全设备 (ASA) SSL VPN 为目标。2023年8月下旬，BleepingComputer 报道称 Akira 勒索软件团伙正在突破 Cisco VPN进行初始网络访问。2023年8月29日，Rapid7 安全研究人员提供了有关这些事件的更多见解，显示攻击者自今年 3 月以来一直针对这些设备进行暴力攻击，旨在猜测目标的登录凭据。他们还表示，尚未发现这些攻击背后的攻击者绕过正确配置的 MFA 来破坏思科 VPN 的任何实例。

详情

ScarCruft针对韩国金融、高校下发Chinotto后门的攻击活动分析

日期: 2023-09-01
标签: 金融业, 教育行业, ScarCruft, APT舆情

近期，安恒信息猎影实验室发现ScarCruft托管在公开网站的恶意文件，其使用多种手法加载Chinotto（Powershell版）恶意负载，主要针对韩国金融、教育等行业进行网络间谍攻击。活动主要包含以下特点：

窃密活动主要以信用卡、保险账单为主题，针对韩国个人用户。其中部分诱饵文件需要输入目标生日后才得以展示，可见此类攻击精准度极高，攻击者有非常准确的攻击目标，这也是APT攻击活动的特点之一；

活动将多种攻击负载托管在了公开网站上，负载以ZIP或RAR压缩包为主，包含执行恶意脚本指令的LNK或CHM文件；

恶意脚本指令执行后下发ChinottoPowershell后门以及信息窃取器，其中Chinotto为ScarCruft已知的恶意组件。但在捕获到的最新版本中，其后门指令由9种增加到了12种。

详情

VMConnect PyPI 恶意活动背后的朝鲜黑客

日期: 2023-09-01
标签: 信息技术, Labyrinth Chollima, VMConnect

2023年8月31日，软件供应链安全公司 ReversingLabs 将VMConnect 攻击活动归咎于朝鲜 Lazarus 黑客的一个子组织 Labyrinth Chollima。该活动将恶意软件包上传到 PyPI（Python 软件包索引）存储库，其中一个模仿 VMware vSphere 连接器模块 vConnector。这些软件包于 8 月初上传，其中一个名为VMConnect 的目标 是寻求虚拟化工具的IT 专业人员。当它从 PyPI 平台中删除时，VMConnect 的下载量为 237 次。另外两个具有相同代码的软件包分别被下载了 253 次和 216 次，它们以“ether”和“quantiumbase”名称发布，并且也冒充流行的软件项目。

详情

新研究揭露 Airbnb 是网络犯罪的温床

日期: 2023-09-01
标签: 旅游业, Airbnb

网络犯罪分子越来越多地利用 Airbnb 平台进行欺诈活动。SlashNext 网络安全专家的一项新分析强调了这些网络犯罪分子用来危害用户帐户并从被盗数据中获利的方法。Airbnb 是旅游行业家喻户晓的品牌，因其在全球的受欢迎程度而成为主要目标。然而SlashNext 表示，这种可访问性也使得网络犯罪分子能够操纵系统来获取利益。

详情

0x08   行业动向

英国 ICO 呼吁社交媒体公司加强用户数据保护

日期: 2023-08-28
标签: 信息技术, 文化传播, 英国信息专员办公室 (ICO) , 社交媒体平台

英国信息专员办公室 (ICO) 与来自世界各地的 11 个数据保护和隐私机构联合发表声明，呼吁社交媒体平台加强对数据抓取的保护。数据抓取是使用机器人等自动化工具从网站提取大量公开数据的过程，收集用户在该平台上发布的信息。尽管收集到的信息已经是公开的，但如果将其与来自其他来源的私人数据或附加数据结合起来，威胁行为者可以利用它来发起有针对性的攻击或进行身份欺诈，并且数据经纪人或营销人员可以创建详细的用户档案。

详情

微软将于今年秋季默认启用 Exchange 扩展保护

日期: 2023-08-29
标签: 信息技术, 微软（Microsoft）, 中间人攻击

2023年8月28日，微软宣布，从2023年秋季开始，安装 2023 H2 累积更新 (CU14) 后，运行 Exchange Server 2019 的服务器将默认启用 Windows 扩展保护。扩展保护 (EP) 是一项增强 Windows Server 身份验证功能的功能，可减轻身份验证中继或“中间人”(MitM) 攻击。

详情

OpenAI 通过 ChatGPT for Business 承诺企业级安全

日期: 2023-08-31
标签: 信息技术, OpenAI, ChatGPT, 人工智能

2023年8月底，ChatGPT 的创建者 OpenAI 推出了 ChatGPT Enterprise，据称这是“迄今为止最强大的 ChatGPT 版本”。该公司还声称，通过新版本的生成式人工智能聊天机器人，用户将获得“企业级安全和隐私”。其他功能包括无限制的高速 GPT-4 访问、用于处理较长输入的较长上下文窗口、高级数据分析功能和自定义选项。OpenAI 表示，它不会对客户的业务数据或对话进行训练。

详情

英国NCSC 针对人工智能聊天机器人发布网络警告

日期: 2023-08-31
标签: 信息技术, 人工智能, LLM

2023年8月底，英国国家网络安全中心 (NCSC) 已就大型语言模型 (LLM) 的网络风险发出警告，其中包括 OpenAI 的 ChatGPT。英国政府机构在一篇新帖子中敦促在将LLM融入服务或企业时要谨慎行事。NCSC 表示，人工智能聊天机器人在我们的理解中占据了“盲点”，全球科技界“尚未完全了解 LLM 的能力、弱点和（至关重要的）漏洞”。

详情

Free Key Group 勒索软件解密器可帮助受害者恢复数据

日期: 2023-09-01
标签: 信息技术, 勒索软件解密

研究人员利用 Key Group 勒索软件加密方案的弱点，开发了一种解密工具，可以让一些受害者免费恢复他们的文件。该解密器由威胁情报公司 EclecticIQ 的安全专家创建，适用于 8 月初构建的恶意软件版本。

详情

0x09   勒索攻击

Rhysida 勒索团伙声称攻击美国医疗公司 Prospect Medical Holdings

日期: 2023-08-28
标签: 卫生行业, Prospect Medical Holdings, 勒索攻击

Rhysida 勒索软件团伙声称对 Prospect Medical Holdings 的大规模网络攻击负责，声称窃取了 500,000 个社会安全号码、公司文件和患者记录。 据信，这次攻击发生在 8 月 3 日，员工在屏幕上发现勒索信，称他们的网络遭到黑客攻击，设备被加密。 Prospect Medical Holdings (PMH) 是一家美国医疗保健公司，在加利福尼亚州、康涅狄格州、宾夕法尼亚州和罗德岛州运营着 16 家医院以及由 166 个门诊诊所和中心组成的网络。 这次网络攻击导致医院关闭了 IT 网络以防止攻击蔓延，迫使医院重新使用纸质图表。

详情

西班牙警告 LockBit Locker 勒索软件网络钓鱼攻击

日期: 2023-08-29
标签: 西班牙, 建筑业, 网络钓鱼攻击

西班牙国家警察警告称，“LockBit Locker”勒索软件活动正在通过网络钓鱼电子邮件针对该国的建筑公司。警方公告中写道：“已经发现了一波向建筑公司发送电子邮件的浪潮，但不排除他们将行动扩展到其他领域。”西班牙网络警察发现，许多电子邮件是从不存在的域名“fotoprix.eu”发送的，并冒充一家摄影公司。攻击者假装是一家新开业的摄影店，要求建筑公司提供设施改造/开发计划和工作成本估算。

详情

0x0a   其他事件

Lazarus组织利用ManageEngine漏洞部署QuiteRAT

日期: 2023-08-28
标签: 卫生行业, APT舆情

Cisco发现了Lazarus组织针对欧洲和美国的互联网基础设施和医疗保健实体的攻击行动。在此行动中，攻击者在PoC发布的五天后开始利用ManageEngine ServiceDesk漏洞(CVE-2022-47966)，旨在传播和部署新的恶意软件QuiteRAT，安全研究人员在2023年2月首次发现了这种植入程序。QuiteRAT具有许多与Lazarus组织更知名的MagicRAT恶意软件相同的功能，但其文件大小要小得多。这两种植入程序均基于Qt框架构建，并包含任意命令执行等功能。

详情

多名攻击者使用泄露的 LOCKBIT 3.0 勒索软件构建器

日期: 2023-08-28
标签: 信息技术, LockBit 3.0

2022 年 LockBit 3.0 勒索软件构建器源代码的泄露使得威胁行为者能够创建新的威胁变体。Lockbit v3（又名Lockbit Black）于 2022 年 6 月被发现，但该变体的构建器于 2022 年 9 月在网上泄露。构建器的可用性允许任何人创建自己的定制版本的勒索软件。卡巴斯基研究人员观察到，至少有两个不同的 Twitter 用户（@protonleaks 和 @ali_qushji）发布了创建不同风格的勒索软件所需的文件。

详情

遭受 MOVEit 网络攻击的金融公司面临诉讼

日期: 2023-08-29
标签: 金融业, MOVEit 零日漏洞

因 MOVEit 零日漏洞而遭受攻击的金融服务公司正面临一系列因敏感客户财务数据泄露而引发的集体诉讼。德美利证券 (TD Ameritrade) 和嘉信理财 (Charles Schwab) 是最新面临诉讼的公司。戴维·舒尔茨 (David Schultz) 于 8 月 23 日提起诉讼，指控这两家公司未能保护个人身份信息 (PII)、不顾后果地保护个人身份信息 (PII)。收集数据和其他违法行为。

详情

索马里政府命令 ISP 屏蔽 Telegram 和 TikTok

日期: 2023-08-30
标签: 信息技术, 文化传播, TikTok（抖音）, Telegram, TikTok

2023年8月底，索马里政府宣布计划关闭一些社交媒体平台，包括 TikTok 和 Telegram。通信与技术部长贾马·哈桑·哈利夫表示此举目的是“维护我们社会的道德和文化”。该命令于 8 月 20 日星期日发布，该国的互联网服务提供商必须在 8 月 24 日星期四之前遵守。

详情

FBI 领导的 Duck Hunt 行动捣毁了 QakBot 恶意软件

日期: 2023-08-31
标签: 信息技术, QakBot, Duck Hunt

FBI 领导了一项多国执法行动，成功捣毁了 QakBot，这是一种被网络犯罪分子用来部署勒索软件的领先恶意软件加载程序。作为“Duck Hunt”的一部分，FBI 获得了对 QakBot 管理计算机的访问权限，这有助于执法部门确定僵尸网络运行中使用的服务器基础设施。此次行动查获了 52 台服务器，称这些服务器将“永久拆除”僵尸网络，并将 QakBot 的流量重定向到该局控制的服务器，指示受害者下载卸载程序。FBI 已在全球范围内发现了超过 70 万台受感染的计算机，其中超过 20 万台位于美国。美国司法部还宣布从 QakBot 网络犯罪组织查获了价值超过 860 万美元的加密货币。这笔钱将退还给受害者。

详情

Classiscam 欺诈即服务针对银行和 251 个品牌

日期: 2023-09-01
标签: 金融业, 信息技术, Classiscam

“Classiscam”欺诈即服务业务已扩大其在全球范围内的影响范围，针对更多品牌、国家和行业，造成比以前更严重的经济损失。与勒索软件即服务操作一样，这个基于 Telegram 的操作招募附属机构，使用该服务的网络钓鱼工具包创建虚假广告和页面，以窃取金钱、信用卡信息以及银行凭证。Group-IB 于 2019 年首次发现该犯罪平台， 研究人员报告称 该平台发展迅速，被 40 个网络犯罪团伙使用，在 2020 年全年获利 650 万美元。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2023-08-28 360CERT发布安全周报