报告编号：CERT-R-2023-441

报告来源：360CERT

报告作者：360CERT

更新日期：2023-10-08

0x01   事件导览

本周收录安全热点48项，话题集中在安全分析、恶意软件、数据安全，主要涉及的实体有：江森自控国际公司、Mixin Network、TEAMCITY等，主要涉及的黑客组织有：Gelsemium、UAC-0154、APT29等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

新型隐秘模块化恶意软件 Deadglyph 针对中东政府机构

日期: 2023-09-25
标签: 政府部门, Deadglyph, 网络间谍攻击

一种名为“Deadglyph”的新颖而复杂的后门恶意软件被用于针对中东政府机构的网络间谍攻击。Deadglyph 恶意软件归因于 Stealth Falcon APT（又名 Project Raven 或 FruityArmor），这是一个来自阿拉伯联合酋长国 (UAE) 的国家资助的黑客组织。近十年来，该黑客组织 因针对活动人士、记者和持不同政见者而闻名。在 LABScon 网络安全会议上发布的一份新报告中，ESET 研究员 Filip Jurčacko 分享了对新型模块化恶意软件及其感染 Windows 设备的分析。

详情

研究人员发现新型“Deadglyph”后门

日期: 2023-09-26
标签: 信息技术, Stealth Falcon, Deadglyph

2023年9月下旬，安全研究人员发现了一个复杂的新型模块化后门，他们认为这是阿拉伯联合酋长国 Stealth Falcon 组织的作品。该恶意软件被 ESET 命名为“Deadglyph”，根据后门中发现的工件名称，加上同形文字攻击的存在，即使用相似的字符来欺骗 URL 或代码。ESET 表示，它在调查针对中东政府客户的网络间谍攻击后发现了该样本。尽管供应商只能检索到后门的三个模块（包括进程创建器、文件读取器和信息收集器），但它声称已经看到足够多的信息，知道该恶意软件非常复杂。

详情

Xenomorph Android 恶意软件针对美国银行和加密钱包

日期: 2023-09-26
标签: 信息技术, 金融业, Xenomorph, Android 恶意软件, 加密货币

安全研究人员发现了一项新活动，该活动向美国、加拿大、西班牙、意大利、葡萄牙和比利时的 Android 用户分发新版本的 Xenomorph 恶意软件。Xenomorph 于 2022 年初首次出现，作为银行木马运行，通过屏幕覆盖网络钓鱼针对 56 家欧洲银行。它通过 Google Play 分发，安装量超过 50,000 次。网络安全公司 ThreatFabric 的分析师自 2022 年 2 月以来一直在跟踪 Xenomorph 活动，并指出新活动于 8 月中旬启动。最新版本的 Xenomorph 针对的是加密货币钱包和各种美国金融机构的用户。

详情

EvilBamboo恶意软件瞄准手机

日期: 2023-09-26
标签: 信息技术, EvilBamboo, 网络间谍活动

网络安全公司 Volexity 发现了名为 EvilBamboo（以前称为 Evil Eye）的攻击者发起的一场长期且持续的网络间谍活动。这项广泛的行动针对藏族、维吾尔族和台湾的个人和组织。Volexity 的监控工作历时五年多，追踪了 EvilBamboo 活动的演变。2019 年 9 月，观察到旨在渗透维吾尔族和藏族社区的侦察框架和定制 Android 恶意软件。 此外，2020 年 4 月，EvilBamboo 通过部署 Safari 漏洞来升级攻击，将 iOS 恶意软件植入维吾尔族用户的设备中。Volexity 上周五发布的一份新报告的内容包括 2023 年 6 月发送给 Volexity 威胁情报客户并在 LABScon 2023 上展示的几份报告的信息。

详情

超过 30 家美国银行成为新 Xenomorph 恶意软件攻击的目标

日期: 2023-09-27
标签: 金融业, 信息技术, Xenomorph

2023年9月末，Xenomorph 恶意软件在新的分发活动中重新出现，其范围扩大至 30 多家美国银行以及全球各金融机构。 ThreatFabric 的网络安全分析师发现了这种情况，它依靠伪装成 Chrome 更新的欺骗性网络钓鱼网页来诱骗受害者下载恶意 APK。Xenomorph 于 2022 年 2 月首次引起专家的注意。该恶意软件以使用覆盖层捕获用户名和密码等个人身份信息 (PII) 而闻名。值得注意的是，它具有先进的自动传输系统（ATS）引擎，可实现广泛的操作和模块，从而增强其适应性。最新活动的地域范围不断扩大，在西班牙和美国记录了数千次 Xenomorph 下载，反映出恶意软件家族瞄准大西洋彼岸新市场的更广泛趋势。

详情

在 Bitwarden 假冒安装包中发现 ZenRAT 恶意软件

日期: 2023-09-27
标签: 信息技术, ZenRAT, 模块化远程访问木马 (RAT)

2023年9月，一种名为 ZenRAT 的新型恶意软件已经出现，隐藏在假冒的 Bitwarden 安装包中。ZenRAT 由 Proofpoint 发现，是一种模块化远程访问木马 (RAT)，专门针对 Windows 用户，主要关注信息盗窃。虽然分发恶意软件的确切方法尚未公开，但过去类似威胁的实例通常利用 SEO 中毒、广告软件捆绑或电子邮件活动。Proofpoint 强烈敦促用户仅从信誉良好的来源下载软件。

详情

GitHub 存储库受到伪装成 Dependabot 的恶意软件的攻击

日期: 2023-09-28
标签: 信息技术, GitHub, Dependabot

2023年9月末，研究人员发现黑客正在破坏 GitHub 帐户并插入伪装成 Dependabot 贡献的恶意代码，以窃取开发人员的身份验证机密和密码。该活动于 2023 年 7 月展开，当时研究人员在数百个公共和私人存储库中发现了伪造的 Dependabot 承诺中的异常承诺。Dependabot 是 GitHub 提供的自动化工具，可扫描项目中是否存在易受攻击的依赖项，然后自动发出拉取请求以安装更新版本。这些虚假的 Dependabot 贡献是使用被盗的 GitHub 访问令牌实现的，攻击者的目标是注入恶意代码以窃取项目的秘密。

详情

假冒 Bitwarden 网站推送新的 ZenRAT 密码窃取恶意软件

日期: 2023-09-28
标签: 信息技术, ZenRAT, Bitwarden 网站

假冒的 Bitwarden 网站正在推送据称是开源密码管理器的安装程序，该管理器携带一种新的密码窃取恶意软件，安全研究人员将其称为 ZenRAT。该恶意软件通过模仿合法 Bitwarden 网站的网站分发给 Windows 用户，并依靠误植来愚弄潜在受害者。ZenRAT 的目的是收集浏览器数据和凭据以及有关受感染主机的详细信息，这种行为与信息窃取者一致。网络犯罪分子可以使用这些详细信息创建受感染系统的指纹，该指纹可用于访问帐户，就像合法用户登录一样。

详情

0x04   数据安全

美国国家学生信息交换所数据泄露影响 890 所学校

日期: 2023-09-25
标签: 美国, 教育行业, 美国教育非营利组织国家学生信息交换所 (National Student Clearinghouse), 数据泄露事件

美国教育非营利组织国家学生信息交换所 (National Student Clearinghouse) 披露了一起数据泄露事件，影响了全美 890 所使用其服务的学校。攻击者于 5 月 30 日获得了对其 MOVEit 托管文件传输 (MFT) 服务器的访问权限，并窃取了包含大量个人信息的文件。被盗文件中包含的个人身份信息 (PII) 包括姓名、出生日期、联系信息、社会安全号码、学生 ID 号码以及一些与学校相关的记录（例如入学记录、学位记录和课程级别数据 ）。

详情

加拿大航空披露员工数据泄露事件

日期: 2023-09-25
标签: 交通运输, 加拿大航空

2023年9月下旬，加拿大最大的航空公司和旗舰航空公司加拿大航空披露了一起网络安全事件，加拿大航空新闻网站 9 月 20 日星期三发表的一份声明称：“未经授权的组织短暂获得了对加拿大航空内部系统的有限访问权限，该系统涉及部分员工的有限个人信息和某些记录。”据该航空公司称，该事件导致部分员工的有限个人信息和“某些记录”被盗。客户数据未受影响。

详情

加密货币公司 Nansen 紧急要求部分用户重置密码

日期: 2023-09-25
标签: 金融业, 信息技术, Nansen, 区块链

以太坊区块链分析公司 Nansen 在其身份验证提供商最近发生数据泄露事件后，要求部分用户重置密码。Nansen 是加密货币领域的一个受欢迎的实体，为用户提供有关以太坊钱包活动的见解。Nansen 在发给受影响用户的一封信中表示，他们于 9 月 20 日获悉，他们的一个第三方供应商遭遇了数据泄露。该未透露姓名的供应商受到了攻击者的攻击，该攻击者以某种方式获得了管理面板的访问权限，该管理面板控制着 Nansen 客户对分析平台的访问。所有受影响的用户均已通过电子邮件通知得知此次泄露事件，而 Nansen 的支持人员也已联系他们，请求采取密码重置操作。

详情

美国 BORN 安大略省儿童登记数据泄露影响 340 万人

日期: 2023-09-26
标签: 卫生行业, Clop, MOVEit 攻击

由美国安大略省政府资助的医疗保健组织 Better Outcomes Registration & Network (BORN) 宣布，它是 Clop 勒索软件 MOVEit 黑客攻击的受害者之一。MOVEit 攻击利用 Progress MOVEit Transfer 软件中的零日漏洞(CVE-2023-34362) 来破坏和窃取全球数千个组织的数据。BORN 于 5 月 31 日首次意识到安全漏洞，并在其网站上发布公告，同时通知有关当局）。该公司与网络安全专家合作，隔离受影响的服务器并遏制威胁，从而使其运营得以继续。调查显示，攻击者复制了包含约 340 万人敏感信息的文件，其中主要是新生儿和怀孕护理患者，这些人在 2010 年 1 月至 2023 年 5 月期间受益于 BORN 服务。

详情

索尼调查网络攻击后的数据泄露事件

日期: 2023-09-27
标签: 信息技术, 制造业, 索尼

2023年9月下旬，索尼表示，正在调查有关网络攻击的指控，因为不同的黑客已站出来声称对这起黑客攻击负责。虽然声称攻击索尼系统的最初是由一个名为 RansomedVC 的勒索组织发起的，但另一个威胁参与者自称是攻击者，并反驳了 RansomedVC 的说法。到目前为止，超过 3.14 GB 的未压缩数据（据称属于索尼）已被泄露到黑客论坛上。

详情

SickKids 受到 BORN Ontario 数据泄露影响，涉案人数达 340 万

日期: 2023-09-27
标签: 加拿大, 卫生行业, SickKid, 儿科医院

2023年9月25日星期一，加拿大顶级儿科医院SickKid透露其受到 BORN Ontario 数据泄露事件影响。BORN Ontario 数据泄露事件是由于利用 Progress MOVEIt Transfer 软件中的著名零日漏洞 ( CVE-2023-34362 ) 造成的。BORN Ontario 成为影响 340 万人的安全事件的受害者，SickKids 警告其患者和同事也可能受到影响。受 BORN Ontario 数据泄露影响的暴露数据至少包括：全名、家庭地址、邮政编码、出生日期、健康卡号码等。

详情

数字风险保护公司 DARKBEAM 泄露数十亿电子邮件和密码

日期: 2023-09-28
标签: 信息技术, DARKBEAM

数字风险保护公司 DarkBeam 未对 Elasticsearch 和 Kibana 界面进行保护，从而暴露了之前报告和未报告的数据泄露事件中的用户电子邮件和密码记录。据最先发现泄漏事件的 SecurityDiscovery 首席执行官 Bob Diachenko 称，现已关闭的实例包含超过 38 亿条记录。DarkBeam 显然一直在收集信息，以便在发生数据泄露时向客户发出警报。该事件很可能不仅仅影响 DarkBeam 用户。此次数据泄露事件首次于 9 月 18 日被发现，在 Diachenko 向公司通报该问题后立即关闭。

详情

0x05   网络攻击

英国百慕大政府将网络攻击与俄罗斯黑客联系起来

日期: 2023-09-25
标签: 百慕大, 俄罗斯, 政府部门, 服务中断

英国海外领土百慕大政府将周四以来影响其所有部门 IT 系统的网络攻击与来自俄罗斯的黑客联系起来。政府目前正在经历互联网/电子邮件和电话服务中断。所有部门都受到影响，信息和数字技术部（IDT）正在迅速恢复服务。调查尚未找到攻击者从受影响系统中窃取数据的证据。百慕大政府表示：“我们的初步迹象是它来自外部来源，很可能来自俄罗斯，我们正在与各机构合作，以确保我们能够识别任何特定的挑战，并确保尽快恢复服务。”

详情

美国国家学生信息交换所遭受MOVEit攻击

日期: 2023-09-26
标签: 教育行业, 美国国家学生信息交换所, 数据泄露

在一家教育非营利组织透露与该组织签约的 890 所美国学校遭到入侵后，MOVEit 事件继续造成更多受害者。美国国家学生信息交换所提供学位和入学验证服务等，其网络由 3600 所参与的学院和大学以及 22,000 所高中组成。然而，在美国加州总检察长办公室网站上发布的一封泄露通知信中，该非营利组织首次披露了 5 月份数据泄露事件对其中许多成员造成影响的规模。未经授权的第三方获得的相关文件包括姓名、出生日期、联系方式、社会保障号、学生证号等个人信息以及某些与学校相关的记录。

详情

GELSEMIUM 针对东南亚政府展开定向攻击

日期: 2023-09-26
标签: 政府部门, 教育行业, 信息技术, Gelsemium, CL-STA-0046, 东南亚政府

Palo Alto Unit42 研究人员发现 APT 组织的目标是Gelsemium，其目标是东南亚政府。专家们将该集群追踪为 CL-STA-0046，该恶意活动在 2022 年至 2023 年之间持续了 6 个多月。该活动的特点是结合使用罕见的工具和技术来访问目标网络并从敏感的 IIS 服务器收集情报。Gelsemium 是一个专注于网络间谍活动的组织，至少自 2014 年以来一直活跃。之前与该组织相关的活动针对东亚和中东的政府、教育和电子制造商。

详情

Mixin Network 在遭受黑客攻击后暂停运营

日期: 2023-09-26
标签: 金融业, Mixin Network, 区块链

Mixin Network 是一个开源、点对点的数字资产交易网络，2023年9月25日在 Twitter 上宣布，由于该平台咋2023年9月22日遭受了 2 亿美元的黑客攻击，存款和提款立即暂停。该事件发生在2023年9月23日凌晨，据称攻击目标是Mixin云服务提供商的数据库。由于黑客攻击造成大量损失，这种情况严重困扰了平台用户。PeckShield和Lookonchain等区块链追踪器已识别出约 1.41 亿美元的被盗资产，其中 9350 万美元为 ETH，2350 万美元为 DAI（从 USDT 换来），2330 万美元为 BTC。

详情

新APT攻击者ATLASCROSS以红十字会为诱饵的网络攻击活动

日期: 2023-09-26
标签: 信息技术, 政府部门, 钓鱼文档, APT舆情

近期，绿盟科技伏影实验室在日常威胁狩猎过程中发现了一种依托钓鱼文档的新型攻击流程，并通过深入研究确认了两种新型木马程序以及多种少见的攻击技战术。伏影实验室认为该新型攻击流程来自一个新型攻击者，该攻击者具备较高技术水平与谨慎的攻击态度，而本次捕获到的钓鱼攻击活动是该攻击者对特定目标进行定向打击的一部分，是其实现域内渗透的主要手段。伏影实验室将该攻击者命名为AtlasCross，并将新型木马程序分别命名为DangerAds与AtlasAgent。

详情

0x06   安全漏洞

最近修补的 Apple、Chrome 零日漏洞在间谍软件攻击中被利用

日期: 2023-09-25
标签: 信息技术, 政府部门, CVE-2023-41991, CVE-2023-41992, CVE-2023-41993, WhatsApp

2023年9月22日周五，公民实验室和谷歌威胁分析小组 (TAG) 的安全研究人员透露，苹果周四修补的三个零日漏洞被滥用，作为安装 Cytrox Predator 间谍软件的漏洞利用链的一部分。2023 年 5 月至 9 月期间，攻击者在宣布计划后，利用诱饵 SMS 和 WhatsApp 消息进行攻击，利用这些漏洞（CVE-2023-41991、CVE-2023-41992 和 CVE-2023-41993 ）来针对参加2024年埃及总统选举的前埃及议员 Ahmed Eltantawy。。

详情

攻击者利用带有苹果零日漏洞的Predator间谍软件攻击埃及前议员

日期: 2023-09-26
标签: 政府部门, APT舆情, 零日漏洞

2023年5月至9月期间，前埃及议员Ahmed Eltantawy通过短信和WhatsApp发送的链接成为Cytrox的Predator间谍软件的攻击目标。2023年8月和2023年9月Eltantawy的Vodafone Egypt移动连接持续被选择通过网络注入作为攻击目标；当Eltantawy访问某些不使用HTTPS的网站时，安装在沃达丰埃及网络边界的设备会自动将他重定向到恶意网站，从而用Cytrox的Predator间谍软件感染他的手机。高度确信该间谍软件是Cytrox Predator间谍软件。鉴于埃及是Cytrox Predator间谍软件的已知客户， 由于该间谍软件是通过位于埃及境内的设备通过网络注入进行传播的，因此高度确信网络注入攻击是埃及政府所为。

详情

TEAMCITY 服务器出现身份验证绕过漏洞

日期: 2023-09-26
标签: 信息技术, TEAMCITY, CVE-2023-42793

JetBrains TeamCity 是一款流行且高度可扩展的持续集成 (CI) 和持续交付 (CD) 服务器，由以其开发工具而闻名的软件开发公司 JetBrains 开发。Sonar 的漏洞研究团队在 TeamCity 中发现了一个严重的安全漏洞，编号为 CVE-2023-42793（CVSS 评分为 9.8）。该漏洞是一个 身份验证绕过漏洞，影响 TeamCity 的本地版本。攻击者可以利用该缺陷窃取目标组织的源代码以及存储的服务机密和私钥。通过注入恶意代码，攻击者还可以破坏软件版本的完整性并影响所有下游用户。

详情

黑客大肆利用 Openfire 漏洞来加密服务器

日期: 2023-09-27
标签: 信息技术, Openfire, CVE-2023-32315

2023年9月末，黑客正在大肆利用 Openfire 消息传递服务器中的一个高严重性漏洞，使用勒索软件加密服务器并部署加密挖矿程序。Openfire 是一种广泛使用的基于 Java 的开源聊天 (XMPP) 服务器，下载量达 900 万次，广泛用于安全的多平台聊天通信。该漏洞编号为 CVE-2023-32315，是一种影响 Openfire 管理控制台的身份验证绕过方式，允许未经身份验证的攻击者在易受攻击的服务器上创建新的管理员帐户。尽管 Openfire在 2023 年 5 月发布的版本 4.6.8、4.7.5 和 4.8.0 中修复了该问题 ，但 VulnCheck 报告称，到 2023 年 8 月中旬，超过 3,000 台 Openfire 服务器仍在 运行易受攻击的版本。

详情

WordPress 简单会员插件中存在两个新的安全漏洞

日期: 2023-09-28
标签: 信息技术, WordPress, CVE-2023-41957, CVE-2023-41956

2023年9月末，Patchstack 安全研究人员发现流行的 WordPress 简单会员插件中存在两个新的安全漏洞，影响 4.3.4 及以下版本，将会导致潜在的权限升级问题。 该插件由 smp7 和 wp.insider 开发，拥有超过 50,000 个活跃安装量，广泛用于 WordPress 网站上的自定义会员管理。发现的漏洞包括未经身份验证的成员角色权限升级漏洞 (CVE-2023-41957) 和经过身份验证的帐户接管漏洞 (CVE-2023-41956)。在前者中，未经身份验证的用户可以注册任意会员级别的帐户，而后者则允许经过身份验证的用户通过不安全的密码重置过程接管任何会员帐户。

详情

研究人员发布了 SharePoint 新 RCE 漏洞利用链的详细信息

日期: 2023-09-28
标签: 信息技术, CVE-2023-29357, CVE-2023-24955, Microsoft SharePoint Server

2023年9月27日，在 Microsoft SharePoint Server 中发现两个严重漏洞的研究人员发布了他们开发的漏洞利用的详细信息，该漏洞将这两个漏洞链接在一起，以便在受影响的服务器上实现远程代码执行。安全研究人员本周在 GitHub 上发布了一个 SharePoint 漏洞的概念验证代码，展示了攻击者如何利用该漏洞获取易受攻击系统的管理员权限。其中一个漏洞（编号为CVE-2023-29357）是 SharePoint Server 2019 中的权限提升漏洞，微软在6 月份的每月安全更新中针对该漏洞发布了补丁。该漏洞使未经身份验证的攻击者能够使用欺骗性的 JSON Web 令牌 (JWT) 绕过身份验证检查并获得受影响的 SharePoint 服务器的管理员权限。攻击者不需要任何特权，也不需要任何用户交互来利用该漏洞。另一个漏洞被识别为CVE-2023-24955，是微软于 5 月份修补的远程代码执行 (RCE) 漏洞。它允许远程攻击者在 SharePoint Sever 2019、SharePoint Server 2016 和 SharePoint Server 订阅版上执行任意代码。微软将这两个缺陷描述为严重程度极高的漏洞，并且是攻击者在未来几个月更有可能利用的漏洞。

详情

0x07   安全分析

分析OilRig针对以色列组织的Outer Space和Juicy Mix攻击行动

日期: 2023-09-25
标签: 中东, 政府部门, APT舆情

ESET研究人员分析了OilRig APT组织的两项网络间谍行动：Outer Space(2021)和Juicy Mix(2022)，均专门针对以色列组织，这符合该组织对中东的关注，并使用相同的战术：OilRig首先入侵一个合法网站用作C&C服务器，然后使用VBS droppers传递C#/.NET后门给受害者，同时还部署了各种用于在目标系统上进行数据渗漏的后渗透工具。在该组织的Outer Space行动中，OilRig使用了一个简单的、以前未记录的C#/.NET后门Solar，以及一个新的下载程序 SampleCheck5000（或SC5k），该程序使用Microsoft Office Exchange Web服务API进行C&C通信。在Juicy Mix行动中，该组织对Solar后门进行了改进，创建了Mango后门，该后门拥有额外的功能和混淆方法。

详情

APT29针对外交实体的网络钓鱼行动

日期: 2023-09-26
标签: 政府部门, APT29, APT舆情

对APT29组织最近行动的调查发现，以外国驻乌克兰大使馆为中心的行动有所加强。值得注意的是，作为此行动的一部分，发现针对基辅的外交代表机构的网络钓鱼电子邮件。根据APT29针对乌克兰的行动的时间和重点，判断其目的是协助俄罗斯对外情报局（SVR）收集有关当前战争关键阶段的情报。APT29在乌克兰的网络钓鱼活动有所增加，同时该组织针对全球外交实体的常规间谍活动也有所增加。在这些恶意软件交付行动中，APT29继续优先考虑欧洲外交部和大使馆，但它也持续开展全球范围的行动，这体现了俄罗斯在其他地区的深远野心和利益。目前的次要重点集中在亚洲、土耳其、印度和其他对莫斯科具有重要战略意义的地区（例如非洲）的政府。俄罗斯在乌克兰的战争几乎肯定影响了APT29的间谍活动重点，但并没有取代它们。

详情

网络钓鱼活动利用飞行员指挥无人机手册文档针对乌克兰军事实体

日期: 2023-09-26
标签: 政府部门, UAC-0154, 乌克兰军事实体, MerlinAgent

2023年9月下旬，Securonix 研究人员发现了一项网络钓鱼活动，该活动使用飞行员指挥 (PIC) 无人机手册文档作为诱饵，以提供名为 Merlin 的工具包。该活动由 Securonix 代号为 STARK#VORTEX，目标是乌克兰军事实体，CERT-UA 将其归因于追踪为UAC-0154 的攻击者。MerlinAgent 是一个用 Go 编写的开源 C2 工具包，它类似于其他后利用工具，如Cobalt Strike或Sliver。

详情

将目光对准高校——ScarCruft组织的新活动

日期: 2023-09-26
标签: 教育行业, APT 37（Reaper，Red Eyes，Erebus，ScarCruft）, APT舆情

ScarCruft是一个来自半岛地区的APT组织，最早自2012年以来一直参与从事各种网络间谍活动。主要针对韩国及亚洲相关国家的包括化学、电子、制造、航空航天、汽车和医疗保健等多个行业，并且在今年发现针对高校的攻击事件。近期，深信服蓝军高级威胁（APT）团队在日常的威胁猎捕工作中观察到一起利用超大LNK文件传播RokRAT的攻击活动，虽然没有捕获到初始访问向量，但经过关联分析以及结合公开情报信息，认为初始访问入口点为钓鱼邮件。文件内包含一个超大的LNK文件，图标伪装成PDF，执行后会从微软的onedrive服务中下载加密载荷并解密，解密后执行一段shellcode并解密出RokRAT，后续使用pcloud，yandex和dropbox的云存储服务进行远程控制等操作。

详情

ShadowSyndicate 黑客与多个勒索软件有关联

日期: 2023-09-27
标签: 信息技术, ShadowSyndicate

安全研究人员已经确定了属于攻击者ShadowSyndicate的基础设施，该攻击者可能在过去一年的攻击中部署了七个不同的勒索软件系列。Group-IB 分析师与 Bridewell 和独立研究员 Michael Koczwara 合作，发现 ShadowSyndicate 在自 2022 年 7 月以来观察到的多起漏洞中使用 Quantum、Nokoyawa、BlackCat/ALPHV、Clop、Royal、Cactus 和 Play 勒索软件。研究人员的结论基于他们在 85 个 IP 服务器上发现的独特 SSH 指纹，其中大多数服务器被标记为 Cobalt Strike 命令和控制机器。

详情

新的网络钓鱼活动利用ZeroFont攻击方法

日期: 2023-09-27
标签: 信息技术, ZeroFont攻击方法 

黑客正在利用一种新技巧，即在电子邮件中使用ZeroFont，使恶意电子邮件看起来像是被 Microsoft Outlook 中的安全工具安全扫描过的。尽管 ZeroFont 网络钓鱼技术过去曾被使用过，但这是第一次以这种方式使用它。ZeroFont 攻击方法由 Avanan 于 2018 年首次记录，是一种网络钓鱼技术，利用电子邮件安全平台中的人工智能和自然语言处理 (NLP) 系统分析文本的缺陷。在 ISC Sans 分析师 Jan Kopriva 的一份新报告中，研究人员警告说，这种技巧可能会对网络钓鱼操作的有效性产生巨大影响，用户应该意识到它的存在和在野外的使用。

详情

分析Kimsuky组织的多阶段攻击行动

日期: 2023-09-28
标签: 信息技术, APT-C-55(Kimsuky), APT舆情, Kimsuky

Kimsuky组织实施了一场错综复杂的多阶段攻击行动，旨在以最精确的方式渗透目标系统，同时逃避检测。该攻击从看似无害的ITW URL开始，最终导致一个名为“Updater.zip”的zip文件，其中包含dropper DLL和可执行文件。部署批处理脚本来终止“Chrome Updater”任务并设置计划任务以定期执行VBScript。后续阶段使用PowerShell和VBScript来利用Google Drive作为数据渗漏和命令与控制(C2)的通道，同时保持隐蔽。

详情

2023年医疗保健领域的 BEC 攻击增加了 279%

日期: 2023-09-28
标签: 卫生行业, 商业电子邮件泄露 (BEC) 攻击, 网络钓鱼

Abnormal Security 发布的一份新报告显示，2023年医疗保健领域的商业电子邮件泄露 (BEC) 攻击增加了 279%。数据还表明，高级电子邮件攻击增加了 167%，包括 BEC、凭证网络钓鱼、恶意软件和勒索。此外，医疗保健行业每 1000 个邮箱的高级电子邮件攻击平均数量在 2023 年 1 月年初为 55.66 起，并在 3 月份达到峰值超过 100 起。 尽管2023年剩余时间里攻击数量稳定在每 1000 个邮箱约 61.16 次攻击，但历史趋势表明假期期间攻击数量可能会增加。FBI 报告称，每次 BEC 攻击造成的平均经济损失为 125,000 美元。这些攻击越来越危险，因为它们通常是基于文本的、从合法域发送并且缺乏典型的妥协指标。

详情

SSH 密钥被恶意 PyPI 和 npm 包窃取

日期: 2023-09-28
标签: 信息技术, npm, PyPi

2023年9月，研究人员发现一系列恶意 npm 和 PyPi 软件包正在窃取平台上软件开发人员的大量敏感数据。该活动于 2023 年 9 月 12 日开始， 首先由 Sonatype 发现，其分析师在 npm 上发现了 14 个恶意软件包。Phylum 报告称，在 9 月 16 日至 17 日短暂的操作中断之后，攻击已恢复并扩展到 PyPI 生态系统。自活动开始以来，攻击者已在 npm (40) 和 PyPI (5) 上上传了 45 个软件包，代码中的变体表明攻击正在迅速演变。

详情

现代 GPU 容易受到新 GPU.zip 侧通道攻击

日期: 2023-09-28
标签: 信息技术, GPU 侧通道攻击

来自四所美国大学的研究人员开发了一种新的 GPU 侧通道攻击，该攻击利用数据压缩在访问网页时泄露现代显卡中的敏感视觉数据。研究人员通过 Chrome 浏览器执行跨源 SVG 过滤器像素窃取攻击，证明了这种“ GPU.zip ”攻击的有效性。研究人员于 2023 年 3 月向受影响的显卡制造商披露了该漏洞。但是，截至 2023 年 9 月，尚未有受影响的 GPU 供应商（AMD、Apple、Arm、NVIDIA、高通）或 Google (Chrome) 推出补丁来解决该问题。

详情

UAC-0154针对乌克兰军事实体的网络钓鱼行动

日期: 2023-09-28
标签: 乌克兰, 信息技术, UAC-0154, APT舆情, STARK#VORTEX, 乌克兰军方

Securonix威胁研究最近发现疑似来自威胁组织UAC-0154的攻击行动，其目标是使用PIC无人机手动文档诱饵来传播恶意软件。Securonix将该攻击行动跟踪为STARK#VORTEX，攻击目标是乌克兰军方。上个月，乌克兰CERT披露了UAC-0154通过电子邮件向乌克兰受害者发送军事主题文档的攻击行动。如今，该组织的战术以及利用MerlinAgent恶意软件感染受害者的一些方法似乎已经发生了变化。

详情

0x08   行业动向

Google 将于 2024 年 1 月停用 Gmail 基本 HTML 视图

日期: 2023-09-26
标签: 信息技术, 谷歌（Google）, Gmail

2023年9月，Google 通知 Gmail 用户，网络邮件的基本 HTML 视图将于 2024 年 1 月弃用，用户将需要现代浏览器才能继续使用该服务。在此日期之后，流行的网络邮件服务的所有用户将自动重定向到更现代的标准视图，该视图支持所有最新的可用性和安全功能。2024 年 1 月之后，标准视图 将是唯一的选项，因此依赖基本 HTML 视图的用户需要做好过渡或切换到桌面电子邮件客户端的准备。

详情

后量子密码学联盟PQC成立

日期: 2023-09-27
标签: 信息技术, 后量子密码学

2023年9月26日，新技术联盟PQC成立，其使命是推动后量子密码学 (PQC) 的采用。PQC 联盟的创始成员包括 Microsoft、IBM Quantum、MITRE、PQShield、SandboxAQ 和滑铁卢大学。目标是提高 PQC 在商业和开源技术中的应用。尽管量子计算机的功能还需要数年时间，但专家们一直警告说，如果它们落入坏人之手，国家和经济安全可能会受到威胁。PQC 联盟成员表示，他们将寻求与 NIST 和国家网络安全卓越中心 (NCCoE) PQC 迁移项目合作，为社区提供技术和指导。

详情

CISA 发布硬件物料清单框架

日期: 2023-09-27
标签: 信息技术, 政府部门, 美国网络安全和基础设施安全局（CISA）, CISA, 供应链安全

2023年9月26日，美国网络安全和基础设施安全局（CISA）发布了新指南，旨在提高供应链中硬件产品相关风险评估的准确性。供应链风险管理硬件物料清单框架 (HBOM) 是信息和通信技术 (ICT) 供应链风险管理 (SCRM) 工作组的成果。 它旨在鼓励组件属性命名、用于识别和提供有关这些组件的信息的格式以及根据 HBOM 的使用目的需要哪些 HBOM 信息的指南的一致性。

详情

英国国家网络安全中心启动网络事件演习计划

日期: 2023-09-28
标签: 政府部门, 信息技术, 英国国家网络安全中心 (NCSC), 事件响应演习

2023年9月末，英国国家网络安全中心 (NCSC) 加大力度鼓励企业开展事件响应演习，并制定了一项新计划来认证有保障的提供商。该机构表示，已选择长期合作伙伴 CREST 和 IASME 作为其交付合作伙伴。他们将评估组织是否适合在新的网络事件演习 (CIE) 计划中成为有保障的服务提供商。事件响应仍然是任何基于最佳实践的安全策略的关键部分。NCSC认为，像这里描述的那样频繁的演习“可以改变组织对网络事件的准备和响应”。

详情

0x09   勒索攻击

Royal勒索软件攻击美国德克萨斯州达拉斯市

日期: 2023-09-25
标签: 美国, 政府部门, Royal

2023年9月下旬，美国德克萨斯州达拉斯市表示，Royal勒索软件攻击迫使其关闭所有 IT 系统，原因是账户被盗。Royal 在 4 月初使用被盗的域服务帐户访问了该市的网络，并在 4 月 7 日至 5 月 4 日期间保持了对受感染系统的访问。在此期间，根据市政府官员和外部网络安全专家进行的系统日志数据分析，他们成功收集并窃取了价值 1.169 TB 的文件。

详情

建筑公司江森自控遭受勒索软件攻击

日期: 2023-09-28
标签: 建筑业, 江森自控国际公司

2023年9月26日，江森自控国际公司遭受了所谓的大规模勒索软件攻击，该攻击对公司的许多设备（包括 VMware ESXi 服务器）进行了加密，影响了公司及其子公司的运营。江森自控是一家开发和制造工业控制系统、安全设备、空调和消防安全设备的跨国企业集团。2023年9月27日，Nextron Systems 威胁研究员 Gameel Ali 在推特上发布了 Dark Angels VMware ESXi 加密器的样本，其中包含勒索信，声称该样本是用来针对 Johnson Controls 的。

详情

0x0a   其他事件

Gelsemium 黑客组织被发现对亚洲政府发起攻击

日期: 2023-09-25
标签: 信息技术, 政府部门, 教育行业, 制造业, Gelsemium, 东南亚政府

在 2022 年至 2023 年为期六个月的针对东南亚政府的攻击中，观察到一种被追踪为 Gelsemium 的隐形高级持续威胁 (APT)。Gelsemium 是一个自 2014 年开始运营的网络间谍组织，目标是东亚和中东的政府、教育和电子制造商。Palo Alto Network 的 Unit 42 的一份新报告揭示了新的 Gelsemium 活动如何使用与中等可信度的黑客组织相关的罕见后门。

详情

针对酒店客户的新型信息窃取活动分析

日期: 2023-09-25
标签: 住宿餐饮业, 信息窃取

安全研究人员发现了一种多步骤的信息窃取活动，黑客侵入酒店、预订网站和旅行社的系统，然后利用它们的访问权限来窃取属于客户的财务数据。通过使用这种间接方法和虚假的 Booking.com 付款页面，网络犯罪分子找到了一种组合，可以确保显着提高收集信用卡信息的成功率。在2023年9月下旬的一份新报告中，互联网公司 Akamai 的研究人员表示，此次攻击将目标瞄准了受感染实体的客户。

详情

尼日利亚男子承认企图盗窃价值 600 万美元的 BEC 电子邮件

日期: 2023-09-25
标签: 信息技术, 商业电子邮件泄露 (BEC) 

Kosi Goodness Simon-Ebo 是一名 29 岁的尼日利亚公民，去年 4 月从加拿大引渡到美国，他承认犯有电信欺诈和通过商业电子邮件泄露 (BEC) 洗钱的罪行。西蒙-埃博承认，2017 年，当他居住在南非时，他与美国的其他人合谋入侵了企业和员工的电子邮件帐户。根据认罪协议，诈骗者的成功率很高，约为 1 比 7，在他们试图盗窃的近 700 万件货物中，成功获利 100 万件。Simo-Ebo 目前面临最高 20 年监禁，预计美国马里兰州地方法院将于 2023 年 11 月 29 日做出判决。

详情

新APT组织Sandman利用LuaDream后门攻击电信公司

日期: 2023-09-25
标签: 中东, 信息技术, Sandman, LuaDream, APT舆情

SentinelLabs观察到由未知威胁攻击者发起的新威胁活动集群Sandman，主要针对中东、西欧和南亚次大陆的电信提供商，特点是战略横向移动和最低程度的接触 ，可能会最大限度地减少检测风险。TTP、受害者学和已部署恶意软件的特征表明，此行动很可能具有间谍动机。由于电信提供商持有敏感数据，因此经常成为间谍行动的目标。Sandman利用LuaJIT平台部署了一种新颖的模块化后门LuaDream，似乎与任何已知的威胁组织都没有关系。

详情

AtlasCross 黑客利用美国红十字会作为网络钓鱼诱饵

日期: 2023-09-27
标签: 卫生行业, AtlasCross, 美国红十字会, 网络钓鱼

一个名为“AtlasCross”的新 APT 黑客组织以冒充美国红十字会的网络钓鱼诱饵来攻击组织，以传播后门恶意软件。网络安全公司 NSFocus 发现了两个以前未记录的木马：DangerAds 和 AtlasAgent，它们与新 APT 组织的攻击有关。NSFocus 报告称，AtlasCross 黑客非常狡猾，导致研究人员无法确定其来源。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2023-09-25 360CERT发布安全周报