报告编号：CERT-R-2023-397

报告来源：360CERT

报告作者：360CERT

更新日期：2023-09-11

0x01   事件导览

本周收录安全热点56项，话题集中在安全漏洞、数据安全、恶意软件，主要涉及的实体有：微软（Microsoft）、Apple、MSSQL等，主要涉及的黑客组织有：Storm-0558、APT28（Fancy Bear）、Labyrinth Chollima等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

分析Sandworm组织针对Android设备的Infamous Chisel恶意软件

日期: 2023-09-04
标签: 信息技术, Infamous Chisel, Android设备, 移动安全, APT舆情

美国网络安全和基础设施安全局(CISA)发现Sandworm组织在针对乌克兰军方使用的Android设备的行动中使用了一种新的移动恶意软件Infamous Chisel。此前已将Sandworm组织与俄罗斯GRU特殊技术主要中心GTsST关联起来。Infamous Chisel是一组组件，可通过Tor网络持续访问受感染的Android设备，并定期从受感染的设备中整理和窃取受害者信息。窃取的信息是系统设备信息、商业应用信息和乌克兰军方特定应用程序的结合。该恶意软件定期扫描设备以查找感兴趣的信息和文件，并匹配一组预定义的文件扩展名。

详情

开源恶意软件 SapphireStealer 不断扩展

日期: 2023-09-04
标签: 信息技术, SapphireStealer, 开源信息窃取程序

SapphireStealer 是一款开源信息窃取程序，自2022年公开亮相以来，其威胁日益严重。这种恶意软件旨在窃取敏感数据，包括企业凭证，并且已被各种攻击者积极使用和修改。SapphireStealer 最初于 2022 年 12 月 25 日在 GitHub 上发布。该恶意软件针对受感染系统上的浏览器凭据数据库和特定文件类型。思科 Talos 研究团队表示，SapphireStealer 自首次亮相以来经历了重大演变，产生了多种变体。

详情

针对韩国活动人士的新远程访问木马SuperBear

日期: 2023-09-05
标签: 文化传播, 信息技术, SuperBear, APT舆情

2023年8月28日，Interlab收到了发送给一名记者的样本，其中包含高度针对性的内容，诱使收件人打开文档。该文档采用.LNK格式，执行后会加载恶意powershell命令和与该组织相关的合法DOCX。经过分析，Interlab发现，在最初的入侵后，执行了一个AutoIT脚本，该脚本用于使用进程镂空技术执行进程注入。注入的进程包含一种新的RAT，根据代码的命名惯例，将其称为“SuperBear”，这是一项针对社会团体的新攻击行动。

详情

Chaes 恶意软件使用 Google Chrome DevTools 协议来窃取数据

日期: 2023-09-06
标签: 信息技术, Chaes, Google Chrome DevTools 协议

Chaes 恶意软件以一种新的、更高级的变体形式回归，其中包括 Google DevTools 协议的自定义实现，用于直接访问受害者的浏览器功能，从而允许其使用 WebSocket 窃取数据。该恶意软件于 2020 年 11 月首次出现，目标是拉丁美洲的电子商务客户。到 2021 年底，Avast 观察到它使用 800 个受感染的 WordPress 网站来传播恶意软件，其业务显着扩大。感染后， Chaes 会 在受害者的 Chrome 浏览器中安装恶意扩展程序以建立持久性、捕获屏幕截图、窃取保存的密码和信用卡、泄露 cookie 并拦截在线银行凭据。

详情

ScarCruft组织分发CHM恶意软件

日期: 2023-09-06
标签: 信息技术, ScarCruft, CHM, APT舆情

ASEC（AhnLab安全紧急响应中心）分析团队发现，据信是由RedEyes攻击组织创建的CHM恶意软件最近再次传播。最近分发的CHM恶意软件的运行方式与3月份的“冒充国内金融公司安全电子邮件的CHM恶意软件”类似，而这一次，在RedEyes组织的M2RAT恶意软件攻击期间，经确认，“持久化”过程中使用的命令是相同的。本次攻击利用了福岛核电站污水排放的内容，攻击者通过国内问题的话题引起用户的好奇心，诱导用户执行恶意文件。可以在CHM恶意软件执行时创建的帮助窗口中查看相关信息。

详情

Mirai 变种感染低成本 Android 电视盒进行 DDoS 攻击

日期: 2023-09-07
标签: 信息技术, Mirai, DDoS攻击

2023年9月，研究人员发现一种新的 Mirai 恶意软件僵尸网络变种感染了数百万人用于流媒体的廉价 Android 电视机顶盒。据Dr. Web反病毒团队介绍，目前的木马是2015年首次出现的“Pandora”后门的新版本。该活动的主要目标是低成本 Android 电视盒，如 Tanix TX6 电视盒、MX10 Pro 6K 和 H96 MAX X3，这些电视盒配备四核处理器，即使在小群体规模下也能发起强大的 DDoS 攻击。

详情

新版本的 MACOS ATOMIC STEALER 恶意软件活动分析

日期: 2023-09-08
标签: 信息技术, Atomic Stealer

Malwarebytes 研究人员观察到，一场新的恶意广告活动正在分发流行的Mac版Atomic Stealer (AMOS)的更新版本。Atomic Stealer 于 2023 年 4 月首次出现在威胁环境中。4 月，研究人员报告称，Atomic Stealer 的作者不断对其进行改进。Atomic macOS Stealer 允许操作员从受感染的计算机中窃取各种类型的信息，包括钥匙串密码、完整的系统信息、桌面和文档文件夹中的文件，甚至 macOS 密码。该恶意软件能够从多个浏览器窃取数据，包括自动填充、密码、cookie、钱包和信用卡信息。AMOS 可以针对多种加密钱包，例如 Electrum、Binance、Exodus、Atomic 和 Coinomi。

详情

0x04   数据安全

美国运动器材制造商 Callaway 遭遇数据泄露

日期: 2023-09-04
标签: 制造业, 卡拉威 (Callaway) , Topgolf Callaway（卡拉威）

Topgolf Callaway（卡拉威）在8月初遭遇数据泄露，导致超过100万客户的敏感个人和账户数据被泄露。卡拉威 (Callaway) 是一家美国运动器材制造商和销售商，专注于高尔夫装备和配件，如球杆、球、包、手套和帽子。在2023 年 8 月 29 日发送给受影响个人的信中，该公司解释说，8 月 1 日发生的 IT 系统事件影响了其电子商务服务的可用性，并将某些客户信息暴露给未经授权的实体。根据数据泄露通知，该事件影响了 美国1,114,954 人。

详情

悉尼大学遭遇数据泄露

日期: 2023-09-04
标签: 教育行业, 悉尼大学, 数据泄露

2023年9月初，悉尼大学 (USYD) 宣布，第三方服务提供商的违规行为暴露了最近申请和注册的国际申请者的个人信息。这所公立大学于 1850 年开始运营，拥有近 70,000 名学生和约 8,500 名学术和行政人员。它被认为是澳大利亚最重要的教育机构之一。在数据泄露公告中，该大学表示该事件的影响有限，初步调查没有发现任何证据表明当地学生、教职员工或校友受到了影响。

详情

Freecycle 确认大规模数据泄露影响 700 万用户

日期: 2023-09-05
标签: 居民服务, Freecycle

Freecycle 是一个进行旧货交易在线论坛，该论坛证实了一次大规模数据泄露事件，影响了超过 700 万用户。该非营利组织表示，在 5 月 30 日攻击者将窃取的数据放在黑客论坛上出售几周后，于2023年8月30日发现了这一漏洞，并警告受影响的人立即更换密码。据 Freecycle 称，被盗信息包括用户名、用户 ID、电子邮件地址和 MD5 哈希密码，没有暴露其他信息。

详情

保险公司因两年内泄露 65 万客户数据而被罚款 300 万美元

日期: 2023-09-05
标签: 瑞典, 商务服务, Trygg-Hansa, 保险公司

瑞典隐私保护局 (IMY) 对保险公司 Trygg-Hansa 处以 300 万美元的罚款，原因是该公司在其在线门户网站上泄露了属于数十万客户的敏感数据。Trygg-Hansa 是一家为个人、私营公司和公共组织提供服务的保险公司，同时也是一家资产管理和投资咨询公司。IMY 确认无需身份验证即可访问后端数据库，并且可以通过修改 URL 中的连续客户端 ID 号来浏览其他个人的私人文档。大约 650,000 名客户受到影响。

详情

LockBit 疑似泄露英国军事敏感数据

日期: 2023-09-05
标签: 政府部门, 军事数据

LockBit 勒索软件组织泄露了与英国军事和情报站点相关的数十亿字节的敏感数据。总部位于伍尔弗汉普顿的围栏系统制造商 Zaun 透露，该公司于 8 月 5 日至 6 日遭受了 LockBit 发起的网络攻击。LockBit 于 8 月 13 日声称对此次攻击负责。该团伙要求 Zaun 在 8 月 29 日之前支付一笔未公开的赎金，之后在其泄露网站上发布了一些数据。

详情

印度医疗公司Ayush Jharkhand遭到黑客攻击导致数据泄露

日期: 2023-09-05
标签: 印度, 卫生行业, Ayush Jharkhand, 数据泄露

据观察，名为 Tanaka 的攻击者最近在一个英语黑客论坛上分享了一篇名为“bitsphere.in”的帖子，揭露了一起重大数据泄露事件。 根据 CloudSEK 的一篇新博客文章，受影响的实体是印度Ayush Jharkhand的官方网站，该网站提供有关阿育吠陀、瑜伽和自然疗法、尤纳尼、悉达和顺势疗法药物的重要信息。泄露的数据库大小总计 7.3 MB，包含超过 320,000 条患者记录，包括个人身份信息 (PII) 和医疗诊断。此次泄露还暴露了与该网站相关的医生的登录信息、用户名、密码和电话号码。经调查发现，受损数据显然源自 ayush.jharkhand.gov.in 的服务器，该服务器由 bitsphere.in 开发。

详情

LockBit 泄露从英国国防承包商窃取的文件

日期: 2023-09-06
标签: 政府部门, 制造业, Zaun, LockBit

2023年8月，一家英国周边安全公司遭到 LockBit 组织的攻击。尽管只访问了公司内部网络的一小部分，但黑客似乎泄露了与英国国防部各机构的物理安全有关的敏感文件。2023年8 月初，勒索软件组织向 Zaun Ltd. 发起了攻击，该公司是一家总部位于英格兰伍尔弗汉普顿的物理安全屏障制造商。在9 月 1 日发布的公开披露中，该公司表示，该组织已经攻破了用于控制其一台制造机器的 PC。Zaun 没有透露引发攻击的具体漏洞，但承认受感染的 PC 运行的是 Windows 7。Zaun 称，其网络安全系统阻止其数据被加密。尽管如此，攻击者还是设法从易受攻击的 PC（也可能是其内部服务器）窃取了约 10 GB 的数据（约占公司总存储数据的 0.74%）。

详情

IBM 报告强生子公司患者数据泄露

日期: 2023-09-08
标签: 卫生行业, Janssen CarePath, 患者数据

制药巨头强生公司的子公司 Janssen CarePath 平台遭到破坏后，敏感的患者数据可能已被访问。强生医疗保健系统的服务提供商 IBM 科技公司于 2023 年 9 月 6 日在一份声明中向客户通报了这一事件。IBM 解释说，它收到了一个“技术问题”的警报，该问题可能会导致对支持 Janssen 的第三方数据库进行未经授权的访问。经调查，该公司发现8月2日数据库中的个人信息遭到未经授权的访问。这可能包括客户的姓名、联系信息、出生日期以及敏感的医疗数据，例如健康保险详细信息和药物信息以及提供给 Janssen CarePath 应用程序的相关条件。

详情

0x05   网络攻击

德国联邦金融监管局网站因 DDoS 攻击而中断

日期: 2023-09-05
标签: 金融业, 政府部门, 德国联邦金融监管局 (BaFin) , DDoS攻击

2023年9月4日，德国联邦金融监管局 (BaFin) 宣布，自2023年9月1日以来，持续的分布式拒绝服务 (DDoS) 攻击一直在影响其网站。BaFin是德国的金融监管机构，隶属于联邦财政部，负责监管2700家银行、800家金融和700家保险服务提供商。德国联邦金融监管局已采取所有适当的安全预防措施和防御措施，以保护其业务免受黑客攻击。

详情

英国一所高中遭受网络攻击后被迫停课

日期: 2023-09-05
标签: 英国, 教育行业, 网络攻击

据报道，一所英国中学在新学年开始前几天遭受网络攻击后关闭了其 IT 系统。据英国广播公司报道，萨福克郡私立英格兰教会德本纳姆高中于2023年9月初表示，该事件迫使该校下线，但没有证据表明任何个人信息遭到泄露。

详情

加密货币赌场 Stake.com 因热钱包被入侵导致损失 4100 万美元

日期: 2023-09-06
标签: 金融业, 信息技术, 加密货币

在线加密货币赌场 Stake.com 宣布其 ETH/BSC 热钱包遭到入侵，可以执行未经授权的交易，据报道超过 4000 万美元的加密货币被盗。该平台立即向用户保证，他们的资金是安全的，所有其他未直接受到攻击影响的钱包，包括持有 BTC、LTC、XRP、EOS 和 TRX 的钱包，仍保持全面运行。在此期间，一些用户在 X 上报告说 ，他们受到了这种情况的影响，无法在 Stake.com 上存款或取款。2023年9月5日，Stake.com 通知其社区，其服务已恢复，用户现在可以再次以所有货币进行存取款。

详情

APT28针对乌克兰关键能源基础设施的针对性攻击

日期: 2023-09-07
标签: 能源业, 乌克兰政府计算机应急响应小组CERT-UA, APT28（Fancy Bear）, 俄乌战争, APT舆情

乌克兰政府计算机应急响应小组CERT-UA记录了针对乌克兰关键能源基础设施的一次有针对性的网络攻击。攻击始于一封带有虚假发件人地址和链接的电子邮件。访问该链接会将包含三个JPG图像（诱饵）的ZIP存档和一个BAT文件下载到受害者的计算机上。通过合法服务的API使用“curl”实现命令的远程执行；通过创建计划任务以运行以BAT文件作为参数的VBS脚本来确保持久性。显然，为了绕过保护手段，攻击者继续使用常规程序的功能，并滥用相应的服务来创建命令和控制通道。上述活动由APT28组织进行。

详情

俄罗斯Fancy Bear攻击乌克兰能源设施

日期: 2023-09-07
标签: 俄罗斯, 能源业, APT28（Fancy Bear）, Fancy Bear

2023年9月初，俄罗斯网络间谍组织 Fancy Bear（又名APT28、Strontium 或 Sofacy）被发现攻击乌克兰的一个重要能源设施。乌克兰计算机紧急响应小组（CERT-UA）在一份报告中指出，检测到并调查了这次攻击。CERT-UA 表示，该组织的作案手段是使用来自链接到 .ZIP 存档的虚假地址的批量网络钓鱼电子邮件，以便最终能够访问该组织的系统和数据。

详情

0x06   安全漏洞

针对、VMware SSH 身份验证绕过漏洞的poc已发布

日期: 2023-09-04
标签: 信息技术, CVE-2023-34039

2023 年 9 月 1 日 ，针对 VMware 的 Aria Operations for Networks 分析工具（以前称为 vRealize Network Insight）中的关键 SSH 身份验证绕过漏洞发布了概念验证利用代码。该漏洞（编号为CVE-2023-34039）由 ProjectDiscovery Research 的安全分析师发现，并由 VMware 发布 6.11 版本进行了修补。成功利用该漏洞使远程攻击者能够绕过未修补设备上的 SSH 身份验证，并以低复杂度攻击访问该工具的命令行界面，这些攻击不需要用户交互，因为该公司将其描述为“缺乏独特的加密密钥生成”。为了缓解该漏洞，VMware“强烈建议”应用本支持文档中提供的 Aria Operations for Networks 版本 6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 / 6.7 / 6.8 / 6.9 / 6.10 的安全补丁。

详情

华硕路由器容易遭受远程代码执行漏洞攻击

日期: 2023-09-06
标签: 信息技术, 制造业, 华硕, 华硕路由器

三个严重程度的远程代码执行漏洞影响华硕 RT-AX55、RT-AX56U_V2 和 RT-AC86U 路由器，如果未安装安全更新，可能会允许攻击者劫持设备。这三款WiFi路由器是消费网络市场流行的高端型号，目前在华硕网站上有售，深受游戏玩家和对性能需求较高的用户的青睐。这些漏洞的 CVSS v3.1 得分均为 9.8 分（满分 10.0 分），属于格式字符串漏洞，无需身份验证即可远程利用，可能允许远程代码执行、服务中断以及在设备上执行任意操作。

详情

Atlas VPN 零日漏洞泄露用户真实 IP 地址

日期: 2023-09-06
标签: 信息技术, Atlas VPN Linux API

2023年9月初，一位名为“Educational-Map-8145”的 Reddit 用户 在 Reddit 上发布了一个 PoC 漏洞 ，该漏洞利用 Atlas VPN Linux API 来泄露用户的真实 IP 地址。影响 Linux 客户端的 Atlas VPN 零日漏洞仅通过访问网站即可泄露用户的真实 IP 地址。Atlas VPN是一款VPN产品，提供基于WireGuard的经济高效的解决方案，并支持所有主要操作系统。在 Reddit 上共享的概念验证漏洞中，研究人员描述了 Atlas VPN 的 Linux 客户端（特别是最新版本 1.0.3）如何拥有一个通过端口 8076 侦听本地主机 (127.0.0.1) 的 API 端点。

详情

Mend.io SAML 漏洞暴露

日期: 2023-09-06
标签: 信息技术, Mend.io

2023年9月5日，WithSecure 公布了 Mend.io 应用程序安全平台中的一个新安全漏洞，引发了人们对数据隐私和潜在利用的担忧。 Mend.io 是一家拥有 1000 多家客户的应用程序安全解决方案提供商，已迅速解决了该问题。该漏洞主要针对 Mend.io 安全断言标记语言 (SAML) 登录选项的实现，这是一种跨各种在线服务启用单点登录 (SSO) 身份验证的标准方法。Mend.io 的 SAML 登录缺乏适当的范围，允许恶意的 Mend.io 客户仅通过猜测有效的电子邮件地址即可在未经授权的情况下访问同一软件即服务 (SaaS) 环境中其他客户的数据。

详情

研究人员发现 PHPFusion CMS 中的严重漏洞

日期: 2023-09-06
标签: 信息技术, CVE-2023-2453, PHPFusion CMS

2023年9月4日，安全研究人员在相对广泛使用的 PHPFusion 开源内容管理系统 (CMS) 中发现了严重漏洞。经过身份验证的本地文件包含漏洞（标识为CVE-2023-2453），如果攻击者可以将恶意制作的“.php”文件上传到目标系统上的已知路径，则允许远程执行代码。这是Synopsys 研究人员最近在 PHPFusion 中发现的两个漏洞之一。另一个漏洞（编号为 CVE-2023-4480）是 CMS 中的一个中等严重性错误，它使攻击者能够读取受影响系统上的文件内容，并将文件写入该系统上的任意位置。该漏洞存在于 PHPFusion 9.10.30 及更早版本中。目前还没有针对这两个缺陷的补丁。

详情

Flipper Zero 可用于发起 iOS 蓝牙垃圾邮件攻击

日期: 2023-09-07
标签: 信息技术, Apple, Flipper Zero

Flipper Zero 便携式无线渗透测试和黑客工具可用于在 iPhone 和 iPad 等 Apple iOS 设备上发送蓝牙连接消息。研究人员指出，即使目标设备处于飞行模式，攻击也会起作用，因为苹果没有采取缓解措施或保护措施来防止这种不太可能的滥用情况。

详情

研究人员发现 PHPFusion CMS 中的严重漏洞

日期: 2023-09-07
标签: 信息技术, CVE-2023-2453, CVE-2023-4480

安全研究人员在相对广泛使用的 PHPFusion 开源内容管理系统 (CMS) 中发现了严重漏洞。经过身份验证的本地文件包含漏洞（标识为CVE-2023-2453）如果攻击者可以将恶意制作的“.php”文件上传到目标系统上的已知路径，则允许远程执行代码。这是Synopsys 研究人员最近在 PHPFusion 中发现的两个漏洞之一。另一个漏洞（编号为 CVE-2023-4480）是 CMS 中的一个中等严重程度的错误，它使攻击者能够读取受影响系统上的文件内容，并将文件写入该系统上的任意位置。该漏洞存在于 PHPFusion 9.10.30 及更早版本中。目前还没有针对这两个缺陷的补丁。

详情

AtlasVPN Linux 零日漏洞导致用户断开连接并泄露 IP 地址

日期: 2023-09-07
标签: 信息技术, AtlasVPN Linux 零日漏洞

2023年9月5日，一名安全研究人员发布了适用于 Linux 的 AtlasVPN 的漏洞代码，任何攻击者都可以通过引诱用户访问某个网站来断开用户的连接并泄露他们的 IP 地址。AtlasVPN 是 NordVPN 拥有的“免费增值”虚拟专用网络 (VPN) 服务。据其网站称，尽管它只有 4 年历史，但全球已有超过 600 万人使用。通过简单地复制并粘贴此代码到他们自己的网站，任何黑客都可以断开任何 AtlasVPN 用户与其专用网络的连接，并在此过程中泄露他们的 IP 地址。

详情

攻击者可利用 Microsoft ID 安全漏洞窃取签名密钥

日期: 2023-09-08
标签: 信息技术, 微软（Microsoft）, Storm-0558

微软的调查显示，2023年早些时候，微软方面的几次安全失误导致攻击者伪造了身份验证令牌并访问了约 25 家微软企业客户的用户电子邮件。微软正在追踪的网络间谍组织 Storm-0558 发起的攻击值得注意，因为攻击者使用 Microsoft 帐户 (MSA) 消费者签名密钥伪造 Azure AD 令牌来访问企业电子邮件帐户。MSA 消费者密钥通常用于以加密方式登录 Microsoft 消费者应用程序或服务，例如 Outlook.com、OneDrive 和 Xbox Live。

详情

零日漏洞暴露 Atlas VPN 用户 IP

日期: 2023-09-08
标签: 信息技术, 零日漏洞, Atlas VPN

2023年9月，一位名为“Educational-Map-8145”的 Reddit 用户暴露了一个严重的零日漏洞，该漏洞影响流行的虚拟专用网络服务 Atlas VPN 的 Linux 客户端。 该漏洞影响最新版本的客户端（1.0.3），允许恶意网站断开VPN并泄露用户的IP地址，引发对用户隐私和安全的担忧。该漏洞源于 Atlas VPN Linux 客户端内的 API 端点，该客户端通过端口 8076 监听本地主机 (127.0.0.1)。 该 API 提供了用于各种功能的命令行界面，包括通过特定 URL 断开 VPN 会话。值得注意的是，该 API 缺乏任何形式的身份验证，因此很容易被用户计算机上运行的任何程序（包括 Web 浏览器）滥用。

详情

APACHE SUPERSET 中的两个漏洞可导致攻击者远程攻击服务器

日期: 2023-09-08
标签: 信息技术, Apache, CVE-2023-39265, CVE-2023-37941, Apache Superset

攻击者可以利用 Apache SuperSet 中的几个安全漏洞在易受攻击的系统上远程执行代码。Apache Superset 是一个开源数据可视化和数据探索平台，它是用 Python 编写的，基于 Flask Web 框架。版本 2.1.1解决了两个漏洞，分别为 CVE-2023-39265 和 CVE-2023-37941，可被利用来控制 Superset 的元数据数据库。Horizon3 研究人员指出，Superset 的设计允许特权用户连接到任意数据库并使用 SQLLab 界面执行任意 SQL 查询。通过欺骗 Superset 连接到自己的元数据数据库，攻击者可以通过接口直接读取或写入应用程序配置，从而可能导致凭据收集和远程代码执行。

详情

Apple 在 Blastpass 漏洞利用链中发现 2 个无点击零日漏洞

日期: 2023-09-08
标签: 信息技术, Apple, 零日漏洞, CVE-2023-41064, CVE-2023-41061

Citizen Lab在检查身份不明的个人设备时发现了两个无点击零日漏洞，该设备正在传送来自 NSO Group 的 Pegasus 的雇佣间谍软件。Citizen Lab室立即向苹果 披露了这一信息，并协助调查。Apple 又向此漏洞利用链添加了两个 CVE：CVE-2023-41064 和 CVE-2023-41061。Citizen Lab的研究人员将该漏洞利用链称为“Blastpass”，它可以在没有任何受害者交互的情况下危害运行 iOS 16.6.1 的 iPhone 和运行 iPadOS 16.6.1 的平板电脑。

详情

0x07   安全分析

Lazarus组织疑似与VMConnect供应链攻击有关

日期: 2023-09-04
标签: 信息技术, Labyrinth Chollima, APT舆情, VMConnect

2023年8月初，ReversingLabs发现了一个恶意供应链攻击活动，研究团队将其称为“VMConnect”。该活动包括发布到Python包索引(PyPI)开源存储库的恶意Python包，这些软件包模仿了流行的开源Python工具，包括vConnector。研究团队继续监控PyPI，现在又发现了另外三个恶意Python包，被认为是VMConnect活动的延续：tablediter、request-plus和requestspro。正如ReversingLabs团队早期对VMConnect的研究一样，无法获取此活动中使用的第2阶段恶意软件的副本。然而，对所使用的恶意软件包及其解密的有效载荷的分析揭示了与Labyrinth Chollima先前活动的关联，Labyrinth Chollima是朝鲜国家支持的威胁组织Lazarus的一个分支。

详情

2023 年网络犯罪将使德国损失 2240 亿美元

日期: 2023-09-05
标签: 信息技术, 政府部门, 德国数字协会 Bitkom, 网络犯罪

德国数字协会 Bitkom 表示，到 2023 年，网络犯罪将对国家经济产生令人担忧的影响。Bitkom 估计，欺诈、网络间谍、盗窃知识产权、破坏和勒索等网络犯罪活动将使德国损失 2060 亿欧元（2240 亿美元）。这些数字是 Bitkom 对 1000 多家公司进行调查的结果，大约四分之三的受访组织在过去 12 个月内遭受过网络攻击，低于去年的 84%。

详情

Okta发现攻击者瞄准 IT 服务台以获得超级管理员权限

日期: 2023-09-05
标签: 信息技术, Okta, MFA, 社会工程攻击

身份和访问管理公司 Okta 发布了针对美国客户 IT 服务台代理的社会工程攻击的警告，试图诱骗他们为高权限用户重置多重身份验证 (MFA)。攻击者的目标是劫持高权限的 Okta 超级管理员帐户，以访问和滥用身份联合功能，从而允许冒充受感染组织的用户。Okta 提供了 7 月 29 日至 8 月 19 日期间观察到的攻击的妥协指标。

详情

VMConnect 再次瞄准 Python 包索引

日期: 2023-09-05
标签: 信息技术, Python 包

ReversingLabs 的网络安全专家公布了VMConnect 活动令人担忧的延续。 这种持续的攻击最初于 8 月初发现，揭示了网络犯罪分子渗透 Python 包索引 (PyPI)（开源 Python 软件存储库）的趋势。VMConnect 活动最初涉及两哥恶意 Python 包，现在已进一步扩大。在这最新一波攻击中，攻击者表现出了非凡的持久性和适应性，引起了网络安全界的严重担忧。现在，ReversingLabs 再次敲响了警报，发现了另外三个恶意 Python 包，这些包被认为是此次扩展活动的一部分：tablediter、request-plus 和 requestspro。

详情

透明部落再现身，伪装成私密聊天应用攻击活动分析

日期: 2023-09-05
标签: 巴基斯坦, 政府部门, Transparent Tribe, APT舆情

透明部落，也被称为Transparent Tribe和APT36，是一个疑似与巴基斯坦有关的高级持续性威胁 (APT) 组织，至少自2013年以来一直活跃，主要针对印度次大陆（特别是印度和阿富汗）政府和军方相关的个人和实体。2022年以来，透明部落一直保持活跃，并且扩大了其受害者网络，瞄准教育行业发起新的攻击活动。安天移动威胁情报团队近期发现伪装成“Wisper Chat”（低语）的聊天应用诱导受害者下载安装，从而窃取受害者隐私数据。通过对样本代码特征和数据回传服务器的分析，判断该样本为透明部落组织最早于2023年3月针对印度地区发起的新的攻击活动。

详情

0x08   行业动向

美国纽约地铁禁用行程历史功能

日期: 2023-09-04
标签: 交通运输, 纽约地铁

2023年9月初，美国纽约大都会交通局 (MTA) 禁用了该市地铁系统的非接触式支付系统的一项功能，此前有一份报告显示，攻击者可以很容易地滥用该功能来获取他人过去 7 天的出行历史记录。任何人只要拥有另一个人可能用来刷卡支付地铁乘车费用的信用卡号，就可以使用该卡来跟踪该人在地铁系统中的活动。人们所需要做的就是将卡号输入 MTA 的 One Metro New York (OMNY) 网站，即可调出相关账户持有人前一周的出行历史记录，无需任何额外验证。

详情

研究人员发布 Key Group 勒索软件解密器

日期: 2023-09-04
标签: 信息技术, 勒索软件解密器

由于 Key Group勒索软件的加密过程存在多个漏洞，EclecticIQ 团队开发了一款免费工具，受害者可以使用该工具恢复数据，而无需支付赎金。2022年 1 月首次出现的俄语勒索软件运营商Key Group是一个“低复杂度”威胁组织。研究人员补充说，安全团队可以通过禁用非必要的远程桌面协议、限制应用程序执行和建立安全备份策略来防范 Key Group 勒索软件网络攻击。

详情

美国政府疑似禁止向中东销售人工智能芯片

日期: 2023-09-04
标签: 信息技术, 人工智能芯片

据报道 ，2023年8月末，美国政府已开始限制芯片制造商的 A100 和 H100 产品的出口，以实施许可要求的形式，以便能够在一些中东国家销售这些产品。但美国商务部发言人否认了禁止 Nvidia 和 AMD 向中东国家销售人工智能 (AI) 芯片的行为。

详情

X 将从其高级用户那里收集生物识别数据

日期: 2023-09-06
标签: 信息技术, 文化传播, X（Twitter）, 生物识别数据

社交媒体平台 X（以前称为 Twitter）更新了其隐私政策，通知其高级用户该公司将收集他们的生物识别数据以遏制欺诈和防止冒充。但是，该政策并未包含有关公司将采用的收集和保留这些数据的流程的任何详细信息。X 还宣布，它可能会收集和使用您的职位申请/推荐（例如用户的工作经历、教育经历、就业偏好、技能和能力、求职活动和参与度等）。

详情

MITRE 和 CISA 发布 OT 攻击仿真工具

日期: 2023-09-07
标签: 信息技术, 美国网络安全和基础设施安全局 (CISA), MITRE

MITRE 和美国网络安全和基础设施安全局 (CISA) 发布了一款新的开源工具，旨在模拟针对运营技术 (OT) 的网络攻击。MITRE Calder for OT 现已作为 GitHub 上开源 Caldera 平台的扩展公开发布。这将使使用工业控制系统（ICS）的网络专业人员能够运行自动对手模拟练习，以持续测试和增强他们的网络防御。

详情

英国政府放弃反加密立场

日期: 2023-09-08
标签: 政府部门, 信息技术, 《在线安全法案》

2023年9月，英国政府似乎撤回了即将出台的《在线安全法案》中一项有争议的条款，该条款将迫使科技公司窥探用户的信息。这项庞大立法的第 110 条使监管机构 Ofcom 能够强制消息传递提供商使用“认可的技术”来执行所谓的“客户端扫描”。也就是说，他们需要在端到端加密之前扫描消息，以便对内容数据库进行检查。这使得 WhatsApp 和 Signal 等科技巨头与政府发生了冲突。他们表示，如果该法案以目前的形式继续推进，他们将停止在英国提供服务。

详情

卢旺达启动智慧城市投资计划

日期: 2023-09-08
标签: 卢旺达, 信息技术, 政府部门, 智慧城市

2023年9月，卢旺达计划通过一系列智慧城市部署来实现基础设施现代化，专家警告称这些部署将推动新的网络安全要求。官员们在2023年9月初的非洲智慧城市会议上公布了智慧城市中心的概念。该项目旨在建立泛非智慧城市合作，并进一步发展整个非洲大陆的智慧城市，计划到 2100 年建设 100 个智慧城市。

详情

0x09   勒索攻击

MSSQL 数据库遭受 FreeWorld 勒索软件攻击

日期: 2023-09-04
标签: 信息技术, MSSQL

网络安全公司Securonix发现网络攻击活动损害了暴露的 Microsoft SQL Server (MSSQL) 数据库，攻击者使用暴力攻击来传播勒索软件和 Cobalt Strike 有效负载。根据 Securonix 的调查，该活动观察到的典型攻击序列是从暴力破解访问暴露的 MSSQL 数据库开始的。经过初步渗透后，攻击者在目标系统内扩大立足点，并使用 MSSQL 作为滩头阵地，启动多种不同的有效负载。

详情

0x0a   其他事件

Chrome 扩展程序可以从网站窃取明文密码

日期: 2023-09-04
标签: 信息技术, Chrome 扩展程序

2023年8月底，威斯康星大学麦迪逊分校的一组研究人员将一个概念验证扩展上传到 Chrome 网上应用店，该扩展可以从网站的源代码中窃取纯文本密码。对网络浏览器中文本输入字段的检查表明，支持 Chrome 扩展的粗粒度权限模型违反了最小权限和完全中介的原则。研究人员发现，许多拥有数百万访问者的网站（包括一些 Google 和 Cloudflare 门户）在其网页的 HTML 源代码中以明文形式存储密码，允许扩展程序检索。研究人员表示，该问题涉及允许浏览器扩展不受限制地访问其加载的网站的 DOM 树的系统实践，这允许访问潜在的敏感元素，例如用户输入字段。鉴于扩展程序和站点元素之间缺乏任何安全边界，前者可以不受限制地访问源代码中可见的数据，并且可以提取其任何内容。

详情

联合国：东南亚诈骗团伙贩运网络犯罪分子

日期: 2023-09-04
标签: 缅甸, 信息技术, 诈骗

联合国发布的一份关于东南亚网络诈骗活动的新报告详细介绍了数十万人被拐卖从事网络犯罪活动， 从而赚取了数十亿美元。该政府间组织估计，大约有 12 万名受害者被关押在缅甸，10 万名受害者被关押在柬埔寨，另有数千人被关押在老挝、菲律宾和泰国。一旦被引诱并带入，受害者的财物就会被没收，例如护照和手机，如果他们不同意为这些非法网络活动工作，他们就会受到各种威胁，包括酷刑威胁。

详情

黑客利用 MinIO 存储系统破坏企业网络

日期: 2023-09-05
标签: 信息技术, CVE-2023-28432, CVE-2023-28434

黑客正在利用最近的两个 MinIO 漏洞来破坏对象存储系统并访问私人信息、执行任意代码，并可能接管服务器。MinIO 是一种开源对象存储服务，提供与 Amazon S3 的兼容性，并能够存储大小高达 50TB 的非结构化数据、日志、备份和容器映像。Security Joes 事件响应人员在攻击中发现的两个漏洞是 CVE-2023-28432 和 CVE-2023-28434，这两个高严重性漏洞影响 RELEASE.2023-03-20T20-16-18Z 之前的所有 MinIO 版本。这两个漏洞已由供应商于 2023 年 3 月 3 日披露并修复。

详情

俄罗斯在非洲开展虚假信息宣传活动

日期: 2023-09-06
标签: 俄罗斯, 文化传播, 政府部门, 信息技术, 虚假信息

微软的一项调查显示，俄罗斯推出了一些媒体，争取反法公众支持，并在动荡的非洲国家建立了虚假的民间社会组织。微软的报告 指出，马里、几内亚、布基纳法索、尼日尔和加蓬的政变给非洲大陆带来了不稳定，俄罗斯正在利用这种不稳定开展一系列影响力活动。

详情

GhostSec 泄露所谓伊朗监控工具的源代码

日期: 2023-09-06
标签: 伊朗, 信息技术, GhostSec, 监视软件

黑客组织 GhostSec 公开了各种软件包的源代码，声称它们是伊朗使用的监视软件。根据一系列Telegram 帖子，该组织声称拥有伊朗 FANAP 组织的软件源代码，并分析了大约 26GB 的压缩数据，一次发布一个文件。2023年9月初，GhostSec 已经发布了代码的各个组件，例如配置文件和 API 数据。

详情

丰田称磁盘存储已满导致日本工厂停工

日期: 2023-09-07
标签: 制造业, 丰田

2023年9月6日，丰田表示，日本生产工厂的运营中断是由于其数据库服务器存储空间不足造成的。2023年8月29日，有 报道 称，由于不明系统故障，丰田汽车在日本的14家汽车组装厂中的12家不得不停止运营。作为全球最大的汽车制造商之一，这种情况导致每天约 13,000 辆汽车的产量损失，并可能影响对全球市场的出口。这次停工直接影响了公司的生产订单系统，导致生产任务无法计划和执行。

详情

W3LL 网络钓鱼工具包劫持了数千个 Microsoft 365 帐户

日期: 2023-09-07
标签: 信息技术, 微软（Microsoft）, W3LL, Microsoft 365

名为 W3LL 的黑客组织开发了一种网络钓鱼工具包，该工具包可以绕过多重身份验证以及其他工具，从而危害了 8,000 多个 Microsoft 365 企业帐户。在 10 个月内，安全研究人员发现 W3LL 的实用程序和基础设施被用来设置约 850 个网络钓鱼活动，针对超过 56,000 个 Microsoft 365 帐户的凭据。W3LL 的定制网络钓鱼工具为至少 500 名网络犯罪分子提供服务，该工具被用于商业电子邮件泄露 (BEC) 攻击，导致数百万美元的经济损失。

详情

密歇根大学要求在网络攻击后重置密码

日期: 2023-09-07
标签: 教育行业, 密歇根大学, 密歇根大学 (UMICH) 

2023年9月5日，密歇根大学 (UMICH) 警告教职员工和学生，在最近的网络攻击后，他们必须重置帐户密码。该大学 CISO 和 CIO 向社区成员发送的电子邮件，要求在 9 月 12 日之前更改密码。如果不遵守这一强制性更改，用户将无法登录自己的帐户，直到他们完成更复杂的忘记密码恢复程序。密歇根大学于 8 月 28 日披露发生网络安全事件后，该大学于2023年9月3日下午关闭了所有系统和服务。

详情

黑客从 Windows 故障转储中窃取了 Microsoft 签名密钥

日期: 2023-09-07
标签: 信息技术, 微软（Microsoft）, Storm-0558

2023年9月，微软表示，Storm-0558 黑客在入侵微软工程师的公司帐户后，从 Windows 故障转储中窃取了用于破坏政府电子邮件帐户的签名密钥。攻击者使用窃取的 MSA 密钥破坏了大约两打组织的 Exchange Online 和 Azure Active Directory (AD) 帐户，其中包括美国政府机构，例如美国国务院和商务部。他们利用了 GetAccessTokenForResourceAPI 中现已修补的零日验证漏洞，这使他们能够伪造签名的访问令牌并冒充目标组织内的帐户。

详情

朝鲜黑客再次针对安全研究人员

日期: 2023-09-08
标签: 信息技术, 零日漏洞, 网络安全

朝鲜国家支持的攻击者正在针对安全研究人员，这是过去几年中的第二次此类活动。谷歌在 2021 年 1 月首次发现朝鲜攻击者并不是针对无辜、易受攻击的个人或组织，而是针对网络安全专业人员本身 。根据谷歌威胁分析小组的一篇新博客文章，现在攻击者卷土重来，利用了全新的零日漏洞、虚假软件工具以及一些非常广泛的网络钓鱼。

详情

武器化的 Windows 安装程序以设计师为目标进行加密货币挖矿

日期: 2023-09-08
标签: 信息技术, 金融业, 加密货币

攻击者在至少自 2021 年 11 月以来一直持续的加密货币挖矿活动中，利用合法 Windows 安装程序工具的恶意版本以 3D 建模者和图形设计师为目标。根据思科 Talos 威胁研究员 Chetan 的报告，该活动滥用高级安装程序（一种用于创建软件包的工具），将恶意软件隐藏在创意专业人士使用的软件的合法安装程序中，例如 Adobe Illustrator、Autodesk 3ds Max 和 SketchUp Pro。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2023-09-04 360CERT发布安全周报