报告编号：CERT-R-2023-462

报告来源：360CERT

报告作者：360CERT

更新日期：2023-10-16

0x01   事件导览

本周收录安全热点52项，话题集中在安全漏洞、安全分析、恶意软件，主要涉及的实体有：Flagstar Bank、微软（Microsoft）、加拿大航空等，主要涉及的黑客组织有：QakBot、Lazarus Group、APT28（Fancy Bear）等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

Mirai DDoS 恶意软件变体利用 13 个路由器漏洞扩大目标范围

日期: 2023-10-11
标签: 信息技术, IZ1H9, Linux

一个名为 IZ1H9 的基于 Mirai 的 DDoS（分布式拒绝服务）恶意软件僵尸网络添加了 13 个新的有效负载，以针对基于 Linux 的路由器以及 D-Link、Zyxel、TP-Link、TOTOLINK 等公司的路由器。

Fortinet 研究人员报告称，观察到 9 月第一周左右的利用率达到峰值，针对易受攻击的设备进行了数万次利用尝试。

IZ1H9 危害设备，将其加入其 DDoS 群，然后对指定目标发起 DDoS 攻击，大概是按照租用其火力的客户的命令。DDoS 恶意软件针对的设备和漏洞越多，就越有可能构建一个大型且强大的僵尸网络，能够对网站进行大规模打击。

详情

Badbox 恶意软件以 Android 设备为欺诈目标

日期: 2023-10-11
标签: 信息技术, Badbox, Android 设备

在研究人员发现 Android TV 流媒体盒（称为 T95）感染了预装的恶意软件后，Human Security 的研究人员发布了有关受感染设备的范围以及恶意方案如何与这些损坏的产品连接的信息。 Human Security 将该行动描述为“一个全球消费产品网络，通过正常的硬件供应链安装和销售固件后门”。一旦激活，设备上的恶意软件就会连接到命令和控制（C2）服务器以获取进一步的指令。与此同时，名为 Peachpit 的僵尸网络与 Badbox 集成，从事广告欺诈、住宅代理服务、虚假电子邮件/消息帐户以及未经授权的远程代码安装。200 种不同型号的Android 设备可能受到影响，全球至少有 74,000 台Android 设备可能受到 Badbox 感染的影响。Human Security 建议用户避免使用非品牌设备，并警惕可能感染其设备的克隆应用程序。

详情

新的 WordPress 后门创建管理员来劫持网站

日期: 2023-10-12
标签: 信息技术, WordPress

一种新的恶意软件冒充合法的缓存插件来攻击 WordPress 网站，允许攻击者创建管理员帐户并控制网站的活动。该恶意软件是一个具有多种功能的后门，可以管理插件并隐藏自己以避开受感染网站上的活动插件、替换内容或将某些用户重定向到恶意位置。WordPress Wordfence安全插件的制造商 Defiant 的分析师 在 7 月份清理网站时发现了这种新恶意软件。仔细观察后门，研究人员发现它“带有专业的开头注释”，伪装成缓存工具，这通常有助于减少服务器压力并缩短页面加载时间。

详情

DarkGate 运营商使用 Skype、Teams Messages 分发恶意软件

日期: 2023-10-13
标签: 信息技术, Skype, Microsoft Teams

2023年10月，研究人员观察到黑客正在使用受损的 Skype 和 Microsoft Teams 帐户来分发 DarkGate，这是一种与多种恶意活动相关的加载程序，包括信息盗窃、键盘记录、加密货币挖掘程序和 Black Basta 等勒索软件。据跟踪该活动的趋势科技研究人员称，该活动似乎于 8 月份开始，其中 41% 的目标是美洲的组织。趋势科技还表示，其研究人员观察到 DarkGate 的开发商开始在地下论坛上宣传该恶意软件，并以恶意软件即服务的方式将其出租给附属攻击者。经过多年的单独行动，这次转向导致 DarkGate 活动在相对平静之后最近激增。

详情

恶意 Solana、Kucoin 软件包通过 SeroXen RAT 感染 NuGet 开发人员

日期: 2023-10-13
标签: 信息技术, NuGet , SeroXen

恶意 NuGet 软件包的下载量似乎超过 200 万次，它们冒充加密钱包、加密货币交易所和 Discord 库，利用 SeroXen 远程访问木马感染开发人员。NuGet 是一个开源包管理器和软件分发系统，它运行包托管服务器，使用户能够下载它们并将其用于他们的开发项目。Phylum研究人员发现了名为“Disti”的用户在 NuGet 上上传的恶意软件包 ，他们于2023年10月12日发布了一份报告，对这一威胁发出警告。这些软件包模仿流行的加密货币项目、交易所和平台，甚至带有官方徽标来欺骗用户。

详情

研究人员发现冒充 WordPress 缓存插件的恶意软件

日期: 2023-10-13
标签: 信息技术, WordPress 插件

Wordfence的网络安全研究人员发现了一种新型复杂恶意软件，该恶意软件伪装 WordPress 插件，秘密创建管理员帐户并远程控制受感染的网站。完整的外观专业的开头注释暗示它是一个缓存插件，这个流氓代码包含许多功能，添加过滤器以防止自身被包含在激活的插件列表中，并且具有 ping 功能，允许恶意行为者检查是否脚本仍然可以运行，并且具有文件修改功能。

详情

ToddyCat 黑客使用“一次性”恶意软件瞄准亚洲电信公司

日期: 2023-10-13
标签: 信息技术, 政府部门, 哈萨克斯坦, 乌兹别克斯坦, 巴基斯坦, 越南, Stayin' Alive, 鱼叉式网络钓鱼

自 2021 年以来，一项新发现的名为“Stayin' Alive”的活动一直针对亚洲各地的政府组织和电信服务提供商，使用各种“一次性”恶意软件来逃避检测。网络安全公司 Check Point 发现该活动的大部分目标都位于哈萨克斯坦、乌兹别克斯坦、巴基斯坦和越南，而该活动仍在进行中。这些攻击似乎源自名为“ToddyCat”的间谍活动，该活动依靠携带恶意附件的鱼叉式网络钓鱼消息来加载各种恶意软件加载程序和后门。研究人员解释说，威胁行为者使用许多不同类型的自定义工具，他们认为这些工具是一次性的，可以帮助逃避检测并防止相互关联的攻击。

详情

0x04   数据安全

华盛顿选举委员会确认选民数据在网站黑客攻击中被盗

日期: 2023-10-09
标签: 政府部门, 美国哥伦比亚特区选举委员会 (DCBOE) , 选民数据

2023年10月，美国哥伦比亚特区选举委员会 (DCBOE) 正在调查一起涉及未知数量选民记录的数据泄露事件，此前，RansomedVC 攻击者声称其数据泄露。DCBOE 作为哥伦比亚特区政府内的一个自治机构运作，负责监督选举、管理选票访问和处理选民登记流程。对这些指控的调查显示，攻击者通过华盛顿特区选举机构的托管提供商 DataNet 的网络服务器访问了这些信息。 值得注意的是，此次泄露并未涉及 DCBOE 服务器和内部系统的直接危害。2023年10月5日，DCBOE 意识到涉及华盛顿特区选民记录的网络安全事件。虽然该事件仍在调查中，但 DCBOE 的内部数据库和服务器并未受到损害。

详情

Flagstar 银行数据泄露事件影响了 800,000 名客户

日期: 2023-10-09
标签: 金融业, Flagstar Bank, MOVEit

2023年10月初，Flagstar 银行警告称，由于第三方服务提供商Fiserv的违规行为，超过 800,000 名美国客户的个人信息被网络犯罪分子窃取。Flagstar 现为纽约社区银行旗下，是一家总部位于密歇根州的金融服务提供商。Flagstar 间接受到 Fiserv 的影响，Fiserv 是该公司用于支付处理和移动银行服务的供应商。Fiserv 在广泛的CLOP MOVEit Transfer 数据盗窃攻击中遭到破坏 ，该攻击影响了全球超过 6400 万人和 2000 个组织 。攻击者 利用 MOVEit Transfer 产品中的零日漏洞 访问 Fiserv 的系统，并从那里窃取供应商用于提供服务的 Flagstar 客户数据。美国受此事件影响的 Flagstar 银行客户总数为 837,390 名。

详情

Flagstar 银行 MOVEit 违规影响 80 万客户记录

日期: 2023-10-11
标签: 金融业, Flagstar Bank, Flagstar, Fiserv

Flagstar 银行是一家总部位于密歇根州的著名金融服务提供商，已向其 837,390 名美国客户发出关于第三方服务提供商 Fiserv 发生的数据泄露事件的警告。 此次泄露暴露了大量客户的个人信息。它可以追溯到 MOVEit Transfer 中的漏洞，MOVEit Transfer 是 Fiserv 用于支付处理和移动银行服务的文件传输软件。 未经授权的活动发生在 2023 年 5 月 27 日至 31 日期间，即漏洞被公开披露之前，允许攻击者访问和获取客户信息，包括姓名和其他数据元素。该公司建议所有受影响的个人保持警惕，监控其信用记录，审查账户报表并向金融机构报告任何可疑活动。

详情

欧洲航空公司遭遇数据泄露

日期: 2023-10-11
标签: 交通运输, 欧洲航空公司 (Air Europa) , 信用卡, 数据泄露

2023年10月9日，西班牙第三大航空公司、天合联盟成员西班牙欧洲航空公司 (Air Europa) 警告客户取消信用卡，因为攻击者在最近的一次数据泄露中获取了客户的信用卡信息。泄露事件中暴露的信用卡详细信息包括卡号、有效期以及支付卡背面的 3 位 CVV（卡验证值）代码。欧洲航空公司还警告受影响的客户，要求银行取消在该航空公司网站上使用的卡，因为“存在卡欺骗和欺诈的风险”，并“防止可能的欺诈使用”。欧洲航空公司还建议客户不要向通过电话或电子邮件联系他们的任何人提供其个人信息或卡 PIN 码，也不要打开电子邮件或消息中警告他们涉及其卡的欺诈操作的任何链接。

详情

Shadow PC 警告游戏玩家信息泄露

日期: 2023-10-13
标签: 文化传播, Shadow, 数据泄露

高端云计算服务提供商 Shadow PC 向客户发出数据泄露警告，威胁者声称正在向超过 500,000 名客户出售被盗数据，导致客户的私人信息被泄露。

Shadow（影子）是一项云游戏服务，为用户提供流式传输到本地设备（个人电脑、笔记本电脑、智能手机、平板电脑、智能电视）的高端 Windows PC，使他们能够在虚拟计算机上运行要求较高的 AAA 游戏。根据攻击描述，下载的恶意软件是一种信息窃取程序，它成功窃取了身份验证 cookie，使黑客能够登录该公司的 SaaS（软件即服务）提供商之一的管理界面。利用此访问权限，攻击者滥用 API 来提取客户的全名、电子邮件地址、出生日期、帐单地址和信用卡到期日期。Shadow的通知澄清，该事件并未导致账户密码或其他敏感支付/银行数据泄露。

详情

0x05   网络攻击

ALPHV 勒索团伙声称袭击了美国佛罗里达州巡回法院

日期: 2023-10-10
标签: 政府部门, 商务服务, ALPHV, 美国佛罗里达州巡回法院

ALPHV (BlackCat) 勒索软件团伙声称2023年10月初发生了一次影响佛罗里达州西北部各州法院（第一司法巡回法院的一部分）的攻击。

据称，攻击者获得了包括法官在内的员工的社会安全号码和简历等个人详细信息。此外，ALPHV 声称拥有法院系统的全面网络地图，包括本地和远程服务凭证。勒索软件团伙通常威胁要在网上泄露被盗数据，以迫使受害者进行谈判或重新展开讨论。

ALPHV 网站上佛罗里达州第一司法巡回法院的数据泄露页面表明，法院要么没有与勒索软件运营商进行谈判，要么坚决拒绝满足该团伙的要求。

详情

新的“HTTP/2 快速重置”零日攻击打破了 DDoS 记录

日期: 2023-10-11
标签: 信息技术, HTTP/2 快速重置, DDoS

自 8 月份以来，一种名为“HTTP/2 快速重置”的新 DDoS（分布式拒绝服务）技术已被作为零日漏洞积极利用，其规模打破了之前的所有记录。2023年10月10日，Amazon Web Services、Cloudflare 和 Google 联合发布了有关零日技术的消息，他们报告称，缓解攻击的速度达到每秒 1.55 亿个请求 (Amazon)、2.01 亿个 rps (Cloudflare) 和破纪录的 398 个请求。百万 rps（谷歌）。Cloudflare 表示，它所缓解的攻击规模比 2023 年 2 月以来的记录（7100 万 rps）大三倍，而且这是使用由 20,000 台机器组成的相对较小的僵尸网络实现的。随着更多攻击者使用更广泛的僵尸网络以及这种新的攻击方法，HTTP/2 快速重置攻击将继续打破更大的记录。

详情

BianLian勒索组织声称侵入加拿大航空

日期: 2023-10-12
标签: 加拿大, 交通运输, 加拿大航空

2023年10月初，BianLian勒索组织声称在侵入加拿大航空（该国最大的航空公司、星空联盟创始成员）的网络后窃取了 210GB 数据。BianLian是一个自 2022 年 6 月以来针对美国和澳大利亚关键基础设施组织的勒索软件组织。尽管该公司在 9 月份发布的一份声明中表示，此次泄露中受到损害的系统包括“部分员工的有限个人信息和某些记录”，但攻击者现在声称被盗文件包含更广泛的信息。BianLian声称窃取了从 2008 年到 2023 年的技术和运营数据，包括有关公司技术和安全挑战的详细信息、SQL 备份、员工的个人信息、有关供应商和供应商的数据、机密文件以及公司数据库的档案。

详情

辛普森制造公司在网络攻击后关闭 IT 系统

日期: 2023-10-12
标签: 制造业, 信息技术, 辛普森制造有限公司, 业务中断

2023 年 10 月 10 日，辛普森制造有限公司的信息技术 (IT) 基础设施和应用程序因网络安全事件而中断 ，预计这种情况将持续下去。辛普森制造公司是一家美国建筑和结构材料生产商，也是北美结构连接件和锚栓的主要制造商之一。该公司表示，2023年10月3日检测到 IT 问题和应用程序中断，但很快意识到这是由网络攻击引起的。针对这种情况，辛普森关闭了所有受影响的系统，以防止攻击蔓延。

详情

0x06   安全漏洞

Supermicro 的 BMC 固件被发现存在多个严重漏洞

日期: 2023-10-09
标签: 信息技术, Supermicro, CVE-2023-40284, CVE-2023-40290

Supermicro 基板管理控制器 (BMC) 的智能平台管理接口 ( IPMI ) 固件中已披露多个安全漏洞，这些漏洞可能导致受影响系统上的权限升级和恶意代码执行。Binarly 表示，从 CVE-2023-40284 到 CVE-2023-40290 追踪的七个漏洞的严重程度从“高”到“严重”不等，使未经身份验证的攻击者能够获得对 BMC 系统的 root 访问权限。Supermicro 已发布BMC 固件更新来修复这些漏洞。

BMC是服务器主板上的特殊处理器，支持远程管理，使管理员能够监控温度等硬件指标、设置风扇速度以及更新UEFI系统固件。更重要的是，即使主机操作系统离线，BMC 芯片也能保持运行，这使得它们成为部署持久性恶意软件的有利可图的攻击媒介。

详情

IT 网络受到关键 Confluence 零日攻击

日期: 2023-10-09
标签: 信息技术, Atlassian, CVE-2023-22515, Confluence Server

2023年10月4日，Atlassian表示，不法分子利用 Confluence Server 和 Confluence Data Center 本地实例中的一个严重漏洞在企业 Colab 软件中创建和滥用管理员帐户。 权限提升漏洞（编号为 CVE-2023-22515）影响版本 8.0.0 至 8.5.1。8.0.0 之前的版本不受该漏洞的影响。公共互联网上的实例尤其面临风险，因为此漏洞可以匿名利用。IT 组织必须采取措施确定是否发生了泄露，并清除未经授权的管理员、撤消已发生的任何损害、找出已访问的内容等。

详情

D-Link WiFi 范围扩展器容易受到命令注入攻击

日期: 2023-10-10
标签: 信息技术, CVE-2023-45208, D-Link DAP-X1860 WiFi 6

流行的 D-Link DAP-X1860 WiFi 6 范围扩展器容易受到允许 DoS（拒绝服务）攻击和远程命令注入的漏洞的影响。该产品目前已在 D-Link 网站上上市，并在亚马逊上有数千条评论，因此成为消费者的热门选择。发现该漏洞（编号为 CVE-2023-45208）的德国研究人员团队 (RedTeam) 报告称，尽管他们多次尝试向 D-Link 发出警报，但供应商始终保持沉默，并且尚未发布任何修复程序。

详情

攻击者可通过通过文件下载攻击GNOME Linux 系统

日期: 2023-10-10
标签: 信息技术, GNOME, libcue

开源 libcue 库中的内存损坏漏洞可让攻击者在运行 GNOME 桌面环境的 Linux 系统上执行任意代码。

libcue 是一个专为解析提示表文件而设计的库，已集成到 Tracker Miners 文件元数据索引器中，默认情况下包含在最新的 GNOME 版本中。GNOME 是一种在各种 Linux 发行版（例如 Debian、Ubuntu、Fedora、Red Hat Enterprise 和 SUSE Linux Enterprise）中广泛使用的桌面环境。

攻击者可以利用 Tracker Miners 自动索引所有下载文件来更新 GNOME Linux 设备上的搜索索引，从而成功利用相关漏洞 (CVE-2023-43641) 来执行恶意代码。

发现该漏洞的GitHub 安全研究员 Kevin Backhouse 表示：“由于跟踪矿工的使用方式，libcue 中的此漏洞成为一键式 RCE。如果您使用 GNOME，请立即更新。”

详情

“Looney Tunables”Linux 漏洞的PoC不断增加

日期: 2023-10-10
标签: 信息技术, CVE-2023-4911, Looney Tunables, PoC

继2023年10月初披露 GNU C 库 (glibc) 中发现的关键缓冲区溢出漏洞之后，针对安全漏洞 CVE-2023-4911 的概念验证 (PoC) 漏洞（称为 Looney Tunables）已经在各种 Linux 发行版中开发出来。该漏洞对运行 Fedora、Ubuntu、Debian 和其他几个主要 Linux 发行版的系统带来了未经授权的数据访问、系统更改和潜在数据盗窃的重大风险，可能会授予攻击者无数 Linux 系统的 root 权限。

独立安全研究员 Peter Geissler；Will Dormann，卡内基梅隆软件工程研究所的软件漏洞分析师；埃因霍温理工大学的一名荷兰网络安全学生也在GitHub 和其他地方发布了PoC 漏洞，这表明广泛的攻击可能很快就会随之而来。

详情

微软 2023 年 10 月补丁日修复了104 个漏洞

日期: 2023-10-11
标签: 信息技术, 微软补丁日

微软的 2023 年 10 月补丁日中，针对 104 个漏洞进行了安全更新，其中包括三个被积极利用的零日漏洞。虽然修复了 45 个远程代码执行 (RCE) 漏洞，但 Microsoft 仅将 12 个漏洞评为“严重”，所有这些漏洞都是 RCE 漏洞。

下面列出了每个漏洞类别中的错误数量：

26 特权提升漏洞

3 安全功能绕过漏洞

45 个远程代码执行漏洞

12 信息泄露漏洞

17 拒绝服务漏洞

1 欺骗漏洞

104 个漏洞中不包括编号为 CVE-2023-5346 的 Chromium 漏洞，该漏洞已于 10 月 3 日由 Google 修复并移植到 Microsoft Edge。

详情

Citrix NetScaler 的严重漏洞暴露了“敏感”数据

日期: 2023-10-11
标签: 信息技术, CVE-2023-4966, CVE-2023-4967, Citrix NetScaler

Citrix NetScaler ADC 和 NetScaler Gateway 受到严重漏洞的影响，该漏洞允许从易受攻击的设备泄露敏感信息。该漏洞被追踪为 CVE-2023-4966 ，CVSS 评级为 9.4，无需高权限、用户交互或高复杂性即可远程利用。但是，设备必须配置为网关（VPN 虚拟服务器、ICA 代理、CVPN、RDP 代理）或 AAA 虚拟服务器，否则容易受到攻击。该漏洞的利用可能导致“敏感信息泄露”。同一份公告中披露的第二个漏洞是 CVE-2023-4967，这是一个高严重性（CVSS 评分：8.2）漏洞，具有相同的先决条件，可能会导致易受攻击的设备上出现拒绝服务 (DoS)。

详情

微软：Storm-0062自 9 月份以来一直在利用 Confluence 零日漏洞

日期: 2023-10-12
标签: 信息技术, Storm-0062, CVE-2023-22515, Atlassian Confluence

微软表示，自 2023 年 9 月 14 日以来，一个被追踪为“Storm-0062”（又名 DarkShadow 或 Oro0lxy）的黑客组织一直在 Atlassian Confluence 数据中心和服务器中利用关键权限升级零日漏洞。Atlassian 在 2023 年 10 月 4 日披露CVE-2023-22515 时已向客户通报了 CVE-2023-22515 的活跃利用状态。 不过，该公司并未透露有关利用该漏洞的威胁组织的具体细节。2023年10月11日，Microsoft 威胁情报分析师分享了有关 Storm-0062 参与 CVE-2023-22515 漏洞利用的更多信息，并在 Twitter 上的一个帖子中发布了四个违规 IP 地址。

详情

攻击者已开始利用Adobe Acrobat Reader 漏洞发起攻击

日期: 2023-10-12
标签: 信息技术, CVE-2023-21608, Adobe Acrobat Reader

2023年10月上旬，美国网络安全基础设施和安全局 (CISA) 本周在其已知利用漏洞目录中添加了Adobe Acrobat Reader 释放后使用漏洞。Adobe Acrobat 和 Reader Document Cloud 版本 22.003.20282 和 22.003.20281 及更早版本包含该漏洞 ( CVE-2023-21608)，Adobe Acrobat 和 Reader 20.005.30418 及更早版本也包含该漏洞。释放后使用漏洞允许攻击者在受感染的帐户上远程执行恶意代码，并在受害者打开被操纵的 PDF 文件时执行漏洞利用。CISA 建议对受影响的软件应用最新更新，该软件已于今年 1 月修复。发现并报告该漏洞的研究人员在 2023 年 2 月的一篇博客文章中分享了他们的发现细节。

详情

Curl 发布了高严重性漏洞的修复程序

日期: 2023-10-12
标签: 信息技术, CVE-2023-38545, CVE-2023-38546, curl

2023年10月11日，流行的开源工具curl背后的团队宣布发布了两个漏洞的修复程序：CVE-2023-38545和CVE-2023-38546。 Curl 是一种支持各种网络协议的数据传输命令行工具，在无数应用程序中发挥着至关重要的作用，全球安装量超过 200 亿。高严重性漏洞CVE-2023-38545影响curl和libcurl，可能导致SOCKS5代理握手中的堆缓冲区溢出。此漏洞可能在特定条件下被利用并构成重大安全风险。

详情

苹果修复了旧款 iPhone 上的 iOS 内核零日漏洞

日期: 2023-10-13
标签: 信息技术, Apple, CVE-2023-42824, CVE-2023-5217

Apple 发布了针对旧款 iPhone 和 iPad 的安全更新，以向后移植 一周前发布的补丁，解决攻击中利用的两个零日漏洞。苹果公司了解到有报告称，iOS 16.6 之前的 iOS 版本可能已积极利用此问题 。

第一个零日漏洞（编号为 CVE-2023-42824）是一个权限提升漏洞，由 XNU 内核中的漏洞引起，可让本地攻击者提升易受攻击的 iPhone 和 iPad 上的权限。苹果现在也在 iOS 16.7.1 和 iPadOS 16.7.1 中修复了该漏洞，并改进了检查。

第二个漏洞被标识为 CVE-2023-5217，是由开源 libvpx 视频编解码器库的 VP8 编码内的堆缓冲区溢出漏洞引起的。成功利用此漏洞陷后，攻击者可能会获得任意代码执行权限。尽管苹果没有确认任何野外利用实例，但谷歌此前已 在其 Chrome 网络浏览器中将libvpx 漏洞修补为零日漏洞。

详情

0x07   安全分析

2023年9月超过 17,000 个 WordPress 网站在 Balada Injector 攻击中遭到黑客攻击

日期: 2023-10-10
标签: 信息技术, Balada Injector 攻击

多个 Balada Injector 活动利用高级主题插件中的已知缺陷危害并感染了超过 17,000 个 WordPress 网站。Balada Injector 是 Dr. Web 于 2022 年 12 月发现的大规模操作，它一直利用已知 WordPress 插件和主题缺陷的各种漏洞来注入 Linux 后门。后门将受感染网站的访问者重定向到虚假技术支持页面、欺诈性彩票中奖和推送通知诈骗。2023 年 4 月，Sucuri 报告称，Balada Injector 自 2017 年以来一直活跃，估计已危害近100 万个 WordPress 网站。

详情

大规模 RCE 活动将僵尸网络带入路由器

日期: 2023-10-10
标签: 信息技术, IZ1H9, 物联网 (IoT) 设备

名为 IZ1H9 的活动能够动态利用新兴漏洞，加大了恶意软件的开发力度，以一系列未打补丁的路由器和物联网 (IoT) 设备为目标，并将它们添加到用于启动的不断扩大的僵尸网络中，进行有针对性的分布式拒绝服务 (DDoS) 网络攻击。

FortiGuard 实验室的研究人员标记了该活动，该活动最近更新了 13 个新的有效负载，利用了 D-Link 设备中的已知漏洞；Netis无线路由器；Sunhillo SureLine；格特布鲁克 IP 摄像机；以及 Yealink 设备管理、Zyxel 设备、TP-Link Artcher、Korenix Jetwave 和 Totolink 路由器。Fortinet 建议组织应用补丁并更改默认登录凭据，以防止进一步的攻击。

详情

Predator 移动间谍软件背后的运作具有“工业规模”

日期: 2023-10-10
标签: 信息技术, Predator, Predator 间谍软件, Android（安卓）, iOS 设备

2023年10月，研究人员表示 Predator 间谍软件的激增是由于灰色地带商业操作，这种商业操作以“工业规模”交换监视操作。这是根据国际特赦组织安全实验室对欧洲调查合作组织 (EIC) 媒体网络收集的数据进行的分析得出的，该分析发现了有关Predator 移动监控工具背后的攻击者如何将其发送到目标 Android 和 iOS 设备的新信息。国际特赦组织表示：“Intellexa 联盟的产品已在欧洲、亚洲、中东和非洲的至少 25 个国家被发现，并被用来破坏全球的人权、新闻自由和社会运动。

详情

沙猁猫组织—针对库尔德斯坦民主党（KDP）活动人士的攻击

日期: 2023-10-12
标签: 政府部门, APT舆情

近日，奇安信病毒响应中心移动安全团队监测到两个伪装成库尔德斯坦民主党（KDP）相关网站移动端应用的样本。经过分析和挖掘，发现其为攻击库尔德斯坦民主党（KDP）活动人士的恶意软件，该恶意软件会窃取受害者的通讯录、短信和其他社交软件资料等敏感信息。综合获取的情报，认为其攻击者较高概率为来自中东某政权背景的组织。该组织虽然与此前公开的Domestic Kitten、Ferocious Kitten和Rampant Kitten等组织有类似的攻击目标，但目前并未发现相关IOC资源和证据表明其归属于某一历史组织，且该组织具有更加明确的攻击目标，更清晰的攻击时间节点。根据该组织的攻击特点和组织特征，将其命名为“沙猁猫”，英文名“Caracal Kitten”。

详情

研究发现针对教育部门的攻击中 29% 是利用漏洞造成的

日期: 2023-10-12
标签: 教育行业, 教育部门

2023年10月11日，托管检测和响应 (MDR) 网络安全解决方案提供商 Critical Start 的最新报告表示，教育部门已被确认为攻击者的主要目标，2023 年，29% 的攻击源自漏洞利用，30% 来自针对 K-12 学校的网络钓鱼活动。该半年度网络威胁情报报告揭示了影响金融、教育、制造以及州和地方政府等各个行业的值得注意的网络威胁和新兴趋势。

该报告的主要发现之一是快速响应 (QR) 代码在网络钓鱼攻击中的使用越来越多。在这些攻击中，网络犯罪分子将自己伪装成 Microsoft 安全通知，并将 QR 码嵌入 PNG 图像或 PDF 附件中来欺骗受害者。

该报告还显示，勒索软件团体的合作比之前想象的更广泛，更详细地分享策略和程序。Critical Start 认为，威胁行为者之间的这种合作方式强调了网络犯罪格局不断变化的性质。

详情

FBI 分享 AvosLocker 勒索软件技术细节和防御技巧

日期: 2023-10-13
标签: 信息技术, AvosLocker

美国政府更新了 AvosLocker 勒索软件附属公司在攻击中使用的工具列表，其中包括开源实用程序以及自定义 PowerShell 和批处理脚本。AvosLocker 勒索软件附属公司使用合法软件和开源代码进行远程系统管理，以破坏和窃取企业网络中的数据。在一份联合网络安全咨询中，联邦调查局 (FBI) 和网络安全和基础设施安全局 (CISA) 还分享了一条 YARA 规则，用于检测伪装成合法网络监控工具的恶意软件。

详情

ShellBot 使用十六进制 IP 来逃避对 Linux SSH 服务器的攻击检测

日期: 2023-10-13
标签: 信息技术, ShellBot, Linux SSH 服务器, DDoS

2023年10月12日，安实验室安全紧急响应中心 (ASEC) 在报告中表示，ShellBot背后的攻击者正在利用转换为十六进制表示法的 IP 地址来渗透管理不善的 Linux SSH 服务器并部署 DDoS 恶意软件。ShellBot，也称为 PerlBot，已知会通过字典攻击的方式破坏 SSH 凭证较弱的服务器，该恶意软件被用作发动 DDoS 攻击和交付加密货币矿工的渠道。该恶意软件用 Perl 开发，使用 IRC 协议与命令和控制 (C2) 服务器进行通信。最新观察到的涉及 ShellBot 的攻击被发现使用十六进制 IP 地址（hxxp://0x2763da4e/，对应于 39.99.218[.]78）安装恶意软件，这被视为试图逃避基于 URL 的检测签名。

详情

0x08   行业动向

英国和日本航天局团队建立轨道遥测网络

日期: 2023-10-09
标签: 科研服务, 政府部门, 交通运输, 英国航天局 (UKSA), 日本宇宙航空研究开发机构 (JAXA) , 运载火箭, 轨道遥测网络

2023年10月，英国航天局 (UKSA) 和日本宇宙航空研究开发机构 (JAXA) 联手建立了名为 InRange 的在轨遥测中继服务，以协助日本最新的运载火箭 H3。JAXA 表示：“通过为 H3 运载火箭使用 InRange 服务，可以在发射的关键阶段消除对地面站视距覆盖的依赖，从而优化发射轨迹。”InRange服务将增加H3飞行轨迹的灵活性，使H3能够满足发射客户的多样化需求。该遥测服务将使用 Inmarsat-Viasat 的对地静止 ELERA L 波段卫星网络，这笔交易价值超过 200 万美元（170 万英镑）。

详情

GitHub 的秘密扫描功能现已覆盖 AWS、微软、谷歌和 Slack

日期: 2023-10-09
标签: 信息技术, GitHub, 秘密扫描功能, Amazon, Microsoft, Google, Slack

GitHub宣布改进其秘密扫描功能，将有效性检查扩展到 Amazon Web Services (AWS)、Microsoft、Google 和 Slack 等流行服务。GitHub推出了有效性检查，可以提醒用户通过秘密扫描发现的暴露令牌是否处于活动状态，从而可以采取有效的补救措施。它首先是针对 GitHub 令牌启用的。基于云的代码托管和版本控制服务表示，打算在未来支持更多代币。要切换设置，企业或组织所有者和存储库管理员可以前往“设置”>“代码安全和分析”>“机密扫描”，然后选中“通过将机密发送给相关合作伙伴来自动验证机密是否有效”选项。

详情

谷歌将密码设置为个人帐户的默认登录方式

日期: 2023-10-11
标签: 信息技术, 谷歌（Google）, 密钥

2023年10月10日，谷歌宣布，密钥现已成为其服务和平台上所有个人谷歌帐户的默认登录选项。设置链接到其设备的密钥后，用户无需输入密码或在登录时使用两步验证 (2SV) 即可登录其 Google 帐户。密钥 与特定设备（例如计算机、平板电脑和智能手机）绑定，并在这些设备上注册了帐户。它们在本地工作，提供比传统密码更安全、更方便的替代方案，并支持使用指纹扫描仪和面部识别等生物识别传感器以及 PIN、硬件安全密钥或屏幕锁定模式来访问网站、在线服务和应用。

详情

微软将在 Windows 中终止 VBScript 以阻止恶意软件传播

日期: 2023-10-11
标签: 信息技术, 微软（Microsoft）, VBScript, Windows

Microsoft 计划在使用 30 年后在未来的 Windows 版本中逐步淘汰 VBScript，使其成为按需功能，直至被删除。VBScript（也称为 Visual Basic Script 或 Microsoft Visual Basic Scripting Edition）是一种类似于 Visual Basic 或 Visual Basic for Applications (VBA) 的编程语言，于 1996 年 8 月推出，已有近 30 年的历史。2023年10月，微软表示VBScript 已被弃用。在 Windows 的未来版本中，VBScript 将作为一项按需功能提供，然后再从操作系统中删除。

详情

美国政府发布关键基础设施开源安全指南

日期: 2023-10-12
标签: 政府部门, 运营技术 (OT) 关键基础设施

2023年10月上旬，美国政府发布了有关在运营技术 (OT) 关键基础设施环境中保护开源软件 (OSS) 的指南。该联合咨询由网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI)、国家安全局 (NSA) 和美国财政部发布，旨在帮助 OT 和工业控制系统 (ICS) 可以更好地管理 OSS 使用带来的风险。该文件概述了关键基础设施组织中网络事件由于相关的生命安全影响而造成的严重后果。此外，这些机构还指出，基本的网络卫生实践（例如在有补丁可用时更新 IT 系统中的软件）可能会对其他相关软件和运营风险产生潜在的不利影响。

详情

Microsoft Defender 现可以自动隔离受损帐户

日期: 2023-10-12
标签: 信息技术, Microsoft Defender

Microsoft Defender for Endpoint 现在使用自动攻击中断来隔离受损的用户帐户，并借助公共预览版中新的“遏制用户”功能阻止手动键盘攻击中的横向移动。在此类事件中，例如涉及人为操作的勒索软件的事件，攻击者会渗透网络，通过被盗帐户升级权限后横向移动，并部署恶意负载。据微软称，Defender for Endpoint 现通过暂时隔离攻击者可能利用的受损用户帐户（也称为可疑身份）来防止攻击者在受害者的本地或云 IT 基础设施内进行横向移动尝试。据微软称，当使用来自各种 Microsoft 365 Defender 工作负载（包括身份、端点、电子邮件和 SaaS 应用程序）的信号在端点上检测到人为攻击的初始阶段时，自动攻击中断功能将阻止对端点的攻击。

详情

0x09   勒索攻击

Blackbaud 同意就勒索软件数据泄露达成 4,950 万美元和解协议

日期: 2023-10-09
标签: 信息技术, Blackbaud, 勒索软件攻击

云计算提供商 Blackbaud 与美国 49 个州的总检察长达成了价值 4950 万美元的协议，以和解针对 2020 年 5 月勒索软件攻击及由此引发的数据泄露的多州调查。Blackbaud 是一家领先的软件解决方案提供商，为慈善机构、学校和医疗保健机构等非营利组织提供服务，专门从事捐助者参与和选区数据管理。这些数据包括各种敏感信息，例如人口详细信息、社会安全号码、驾驶执照号码、财务记录、就业数据、财富信息、捐赠历史和受保护的健康信息。攻击者窃取了客户未加密的银行信息、登录凭据和社会安全号码。布莱克鲍德在被告知所有被盗数据已被销毁后，答应了攻击者的赎金要求。

详情

勒索软件攻击针对未修补的 WS_FTP 服务器

日期: 2023-10-13
标签: 信息技术, WS_FTP 服务器

未针对最高严重漏洞修补的暴露于互联网的 WS_FTP 服务器现在成为勒索软件攻击的目标。 正如 Sophos X-Ops 事件响应人员最近观察到的那样，自称为 Reichsadler 网络犯罪组织的攻击者试图部署使用 2022 年 9 月被盗的 LockBit 3.0 构建器创建的勒索软件有效负载，但未成功。攻击者尝试使用开源 GodPotato 工具进行权限升级，该工具允许跨 Windows 客户端（Windows 8 到 Windows 11）和服务器（Windows Server 2012 到 Windows Server 2022）平台将权限升级到“NT AUTHORITY\SYSTEM”。

详情

0x0a   其他事件

Microsoft 365 管理员就新的 Google 反垃圾邮件规则发出警告

日期: 2023-10-09
标签: 信息技术, 微软（Microsoft）, Microsoft 365

2023年10月初，微软警告 Microsoft 365 电子邮件发件人对出站邮件进行身份验证，此举是由于谷歌最近宣布针对批量发件人实施更严格的反垃圾邮件规则而采取的。通过为用户的域设置电子邮件身份验证，用户可以确保您的邮件不太可能被 Gmail、Yahoo、AOL、Outlook.com 等电子邮件提供商拒绝或标记为垃圾邮件。不遵循新发布的电子邮件身份验证标准可能会导致电子邮件被拒绝或被标记为垃圾邮件。微软还警告称，Microsoft 365 服务不应用于批量发送电子邮件，因为不遵守 发送限制的电子邮件将 被 Exchange Online Protection (EOP) 中内置的出站垃圾邮件控件 阻止或发送到特殊的 高风险传递池。

详情

QakBot 攻击者在最新攻击中使用 Ransom Knight 和 Remcos RAT

日期: 2023-10-09
标签: 信息技术, QakBot, 基础设施, Ransom Knight

尽管基础设施遭到破坏，但 QakBot 恶意软件背后的攻击者自 2023 年 8 月初以来一直与持续的网络钓鱼活动有关，该活动导致了 Ransom Knight（又名 Cyclops）勒索软件和 Remcos RAT 的传播。思科 Talos 研究员 Guilherme Venere在2023年10月5日发布的一份新报告中表示，这表明“执法行动可能不会影响 Qakbot 运营商的垃圾邮件传送基础设施，而只会影响他们的命令和控制 (C2) 服务器”。迄今为止，没有证据表明攻击者在基础设施被摧毁后已恢复分发恶意软件加载程序本身。

详情

Lazarus Group黑客组织洗钱 9 亿美元的加密货币

日期: 2023-10-09
标签: 金融业, 信息技术, Lazarus Group, 加密货币

多达 70 亿美元的加密货币通过跨链犯罪被非法洗钱，与朝鲜有联系的 Lazarus Group 在 2022 年 7 月至今年 7 月期间盗窃了其中约 9 亿美元的收益。区块链分析公司 Elliptic在2023年10月发布的一份新报告中表示：“随着混合器等传统实体继续受到查封和制裁审查，向链式或资产跳跃类型转移的加密犯罪也在增加。”根据 Elliptic 收集的数据，Lazarus 集团对跨链桥的使用贡献了通过此类服务发送的资金比例增加 111% 的大部分。

自 2023 年 6 月以来，朝鲜黑客组织对 Atomic Wallet（1 亿美元）、CoinsPaid（3730 万美元）、Alphapo（6000 万美元）、Stake.com（4100 万美元）进行了一系列攻击，估计已窃取近 2.4 亿美元的加密货币）和 CoinEx（3100 万美元）。

详情

APT28组织通过mockbin API获取敏感信息

日期: 2023-10-10
标签: 政府部门, APT28（Fancy Bear）, APT舆情

近期疑似APT28攻击组织发起了一轮窃密活动，其特点是利用mockbin API获取受害者的敏感信息。山石网科情报中心获取了一批活动样本。分析显示攻击者通过自定义的Nishang脚本窃取NTLM哈希值，受害者执行脚本后会请求属于攻击者的mockbin API并发送这些信息。

详情

HelloKitty 勒索软件源代码在黑客论坛上泄露

日期: 2023-10-10
标签: 信息技术, HelloKitty 勒索软件源代码

一名攻击者在俄语黑客论坛上泄露了 HelloKitty 勒索软件第一版的完整源代码，声称正在开发一种新的、更强大的加密器。HelloKity 是一种人为操作的勒索软件操作，自 2020 年 11 月就开始活跃，FBI 随后于 2021 年 1 月发布了该组织的 PIN（私营行业通知）。该团伙以侵入企业网络、窃取数据和加密系统而闻名。该漏洞首先由网络安全研究人员 3xp0rt 发现，他发现一个名为“kapuchin0”的攻击者发布了 HelloKitty 勒索软件加密器的“第一个分支”。虽然源代码是由名为“kapuchin0”的人发布的，但攻击者还使用别名“Gookee”。

详情

黑客劫持 Citrix NetScaler 登录页面以窃取凭据

日期: 2023-10-10
标签: 信息技术, CVE-2023-3519, Citrix NetScaler ADC, NetScaler Gateway

黑客正在开展大规模活动，利用 Citrix NetScaler Gateway 中最近的 CVE-2023-3519 漏洞来窃取用户凭据。该漏洞是一个严重的未经身份验证的远程代码执行漏洞， 于 7 月份作为零日漏洞被发现 ，影响了 Citrix NetScaler ADC 和 NetScaler Gateway。截至 8 月初，该漏洞已被利用在至少 640 台 Citrix 服务器中安装后门， 到 8 月中旬这一数字已达到 2,000 台。IBM 的 X-Force 报告称，尽管多次发出更新 Citrix 设备的警告，但攻击面仍然很大，黑客于 9 月份开始利用 CVE-2023-3519 注入 JavaScript 来获取登录凭据。

详情

黑客劫持网上商店的 404 页面以窃取信用卡

日期: 2023-10-10
标签: 信息技术, 金融业, 批发零售, 404 错误页面, Magento, WooCommerce

一种新的 Magecart 银行卡盗取活动劫持在线零售商网站的 404 错误页面，隐藏恶意代码以窃取客户的信用卡信息。该技术是 Akamai 安全情报小组的研究人员观察到的三种变体之一，另外两种变体将代码隐藏在 HTML 图像标签的“onerror”属性和图像二进制文件中，使其显示为 Meta Pixel 代码片段。Akamai 表示，该活动主要针对 Magento 和 WooCommerce 网站，一些受害者与食品和零售行业的知名组织有联系。

详情

黑客组织“Grayling”被指责从事间谍活动

日期: 2023-10-11
标签: 政府部门, 信息技术, Grayling, 间谍活动

安全研究人员分享了一个新的 APT 组织的证据，该组织主要针对中国台湾组织开展了持续至少四个月的网络间谍活动。该组织被赛门铁克称为“Grayling”，其活动从 2023 年 2 月开始，至少持续到 2023 年 5 月，从台湾的制造、IT 和生物医学公司以及美国、越南和太平洋岛屿的受害者那里窃取敏感信息。该组织通过导出的 API“SbieDll_Hook”部署 DLL 旁加载，以加载 Cobalt Strike Stager 等工具，从而催生了流行的后利用工具 Cobalt Strike Beacon。它还安装了“Havoc”——一种开源的后利用命令和控制（C2）框架，其使用方式与 Cobalt Strike 类似。报告指出，Grayling 使用了公开的间谍软件工具 NetSpy，利用了旧版 Windows 特权提升漏洞 CVE-2019-0803，并下载并执行了 shellcode。

详情

LinkedIn Smart Link攻击再次瞄准 Microsoft 帐户

日期: 2023-10-12
标签: 信息技术, LinkedIn, Smart Link, 网络钓鱼

2023年10月，研究人员发现 LinkedIn Smart Link 滥用行为激增，超过 800 封不同主题的电子邮件将广泛的目标引导至网络钓鱼页面。黑客再次在网络钓鱼攻击中滥用 LinkedIn Smart Link来绕过保护措施并逃避检测，试图窃取 Microsoft 帐户凭据。Smart Link是 LinkedIn 销售导航器服务的一部分，用于营销和跟踪，允许企业帐户使用可跟踪链接通过电子邮件发送内容，以确定谁与之互动。此外，由于 Smart Link 使用 LinkedIn 的域名，后跟八个字符的代码参数，因此它们似乎来自可靠的来源并绕过电子邮件保护。

详情

美国加州颁布数据隐私“删除法案”

日期: 2023-10-13
标签: 信息技术, 政府部门, 数据经纪人

2023年10月，美国加州州长加文·纽瑟姆 (Gavin Newsom) 签署了美国第一项法案，强制数据经纪人根据要求删除该州居民的所有个人数据。 这项立法被称为“删除法案”(SB 362)，将为居民提供一个可通过加州隐私保护局 (CPPA) 网站访问的单一“删除按钮”，影响该州大约 113 名注册数据经纪人，并对非数据经纪人实施处罚。根据 Incogni 最近的一份报告，迄今为止，至少发生了 10 起数据经纪人泄露事件，导致超过 4.445 亿条记录被曝光，其中加州是注册数据经纪人数量最多的州，并且在这些数据泄露事件中所占比例很大。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2023-10-09 360CERT发布安全周报