安全事件周报 2023-10-23 第43周
2023-10-30 15:11

报告编号:CERT-R-2023-492

报告来源:360CERT

报告作者:360CERT

更新日期:2023-10-30

0x01   事件导览

本周收录安全热点55项,话题集中在网络攻击安全漏洞数据安全,主要涉及的实体有:思科(Cisco)VMwareInstagram等,主要涉及的黑客组织有:YoroTrooperWinter VivernTA2725等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意程序
恶意广告活动利用 GoPIX 恶意软件瞄准巴西 PIX 支付系统
恶意软件
DarkGate 恶意软件活动与越南网络犯罪分子有关
“Grandoreiro”木马瞄准全球银行客户
入侵的思科设备的后门被黑客修改以逃避检测
StripedFly 恶意软件框架感染 100 万台 Windows、Linux 主机
伊朗组织 Tortoiseshell 发起新一波 IMAPLoader 恶意软件攻击
数据安全
黑客出售 FACEBOOK 和 INSTAGRAM 警察门户网站的访问权限
美国华盛顿选举委员会表示黑客可能盗取了其整个选民名册
费城提醒公众注意最近的数据泄露
黑客利用俄罗斯国家和工业组织后门窃取数据
法国职业篮球队ASVEL确认勒索软件攻击后数据泄露
新英格兰生物实验室敏感数据泄露
NextGen Mirth Connect 的关键漏洞可能会暴露医疗数据
网络攻击
OilRig针对中东政府的新攻击行动
国际刑事法院(ICC)系统因网络间谍活动而遭到破坏
美国家庭保险公司遭受网络攻击
TetrisPhantom 黑客组织从政府系统的安全 USB 驱动器中窃取数据
神秘组织利用WinRAR最新漏洞,俄方政府再遭网络攻击
美国密歇根大学的员工和学生数据在网络攻击中被盗
1Password 披露与 Okta 泄露相关的安全事件
针对医疗服务提供商的网络攻击影响了加拿大 5 家医院
三星 Galaxy S23 在多伦多 Pwn2Own 首日遭到两次黑客攻击
哈萨克斯坦黑客组织伪装成阿塞拜疆人袭击前苏联国家
俄罗斯黑客组织利用 Roundcube Webmail 零日漏洞攻击欧洲政府实体和智库
Winter Vivern利用Roundcube Webmail服务器的零日漏洞攻击欧洲政府和智库
法国称俄罗斯国家黑客入侵了许多关键网络
新的 iLeakage 攻击利用 SAFARI 窃取 APPLE 设备数据
安全漏洞
思科零日漏洞被利用在数千台设备上植入恶意 Lua 后门
Okta 的支持系统漏洞将暴露客户数据
严重的 SolarWinds RCE 漏洞可导致未经授权的网络接管
Citrix 警告管理员立即修补 NetScaler CVE-2023-4966 漏洞
思科修补了用于攻击 50,000 多台设备的 IOS XE 零日漏洞
API 安全漏洞影响了 Grammarly、Video 和 Bukalapak
VMware 警告管理员注意 vRealize RCE 漏洞的公开利用
Grammarly、Video 和 Bukalapak 平台中发现的关键 OAuth 漏洞
Citrix Bleed 漏洞可让黑客劫持 NetScaler 帐户
VMware修复了vCenter Server中的关键代码执行漏洞
矛头持续指向印度国防部,Sidecopy加入CVE-2023-38831漏洞利用攻击队列
破纪录的 1 亿 RPS DDoS 攻击利用 HTTP/2 快速重置漏洞
安全分析
以色列与哈马斯战争中出现巴勒斯坦加密货币捐赠骗局
QuasarRAT 部署先进的 DLL 侧面加载技术
过去七年中,勒索软件攻击对美国医疗行业造成 780 亿美元损失
与哈萨克斯坦有关的YoroTrooper将攻击来源伪装成阿塞拜疆
Octo Tempest金融黑客组织分析
行业动向
谷歌浏览器新的“IP保护”将隐藏用户的IP地址
Flipper Zero 现可通过蓝牙警报向 Android、Windows 用户发送垃圾邮件
CISA 发布医疗保健网络安全工具包
勒索攻击
美国能源公司分享 Akira 勒索软件入侵其系统过程
智利电信巨头 GTD 遭罗BabLock勒索团伙袭击
日本钟表制造商Seiko遭遇勒索攻击,客户数据泄露
其他事件
欧洲刑警组织拆除 Ragnar Locker 勒索软件基础设施
西班牙国家警察局捣毁贩卖400万人数据的网络犯罪组织
美国前国家安全局雇员承认向俄罗斯泄露机密数据
尼日利亚警方捣毁网络犯罪指导中心
Google Play 上的 Android 广告软件应用安装量已达 200 万次

0x03   恶意程序

恶意广告活动利用 GoPIX 恶意软件瞄准巴西 PIX 支付系统

日期: 2023-10-26
标签: 金融业, 信息技术, GoPIX, 巴西PIX即时支付系统

巴西PIX即时支付系统的普及使其成为攻击者的目标,他们希望利用名为GoPIX的新型恶意软件获取非法利润。卡巴斯基自 2022 年 12 月以来一直在跟踪活跃的活动,该公司表示,这些攻击是通过潜在受害者在搜索引擎上搜索“WhatsApp web”时投放的恶意广告发起的。点击广告的用户将通过隐藏服务进行重定向,该服务旨在过滤沙箱、机器人和其他不被视为真正受害者的内容。

详情

https://thehackernews.com/2023/10/malvertising-campaign-targets-brazils.html

0x04   恶意软件

DarkGate 恶意软件活动与越南网络犯罪分子有关

日期: 2023-10-23
标签: 越南, 信息技术, 政府部门, DarkGate

2023年10月下旬,WithSecure 研究人员表示,越南的网络犯罪分子是使用 DarkGate 恶意软件进行攻击的幕后黑手,这些恶意软件自 2018 年以来一直针对英国、美国和印度的组织。WithSecure 研究人员使用 Ducktail infostealer 追踪到了活跃的网络犯罪分子集群的这些攻击,该攻击已在最近针对元企业帐户的活动中使用。根据研究人员观察到的非技术指标,DarkGate 和 Ducktail 活动被联系在一起。其中包括诱饵文件、主题、定位和交付方法。WithSecure 还分析了相关元数据,包括 LNK 文件元数据、使用 Canva 设计服务/工具创建的 PDF 以及使用未经许可版本的 EXEMSI 创建的 MSI 文件。

详情

https://www.infosecurity-magazine.com/news/darkgate-malware-vietnam/

“Grandoreiro”木马瞄准全球银行客户

日期: 2023-10-24
标签: 西班牙, 巴西, 墨西哥, 金融业, TA2725, Grandoreiro

2023年10月下旬,研究人员表示,TA2725 发起了一项针对西班牙、巴西和墨西哥客户的新活动,名为“Grandoreiro”的巴西银行恶意软件已经开始传播。过去两年,拉丁美洲的暗网活动激增,主要集中在两个国家。据 SOCRadar 称,2022 年该地区将发生 3600 亿次网络攻击尝试,其中墨西哥和巴西分别受到1870 亿次和 1030 亿次网络攻击的影响。现在越来越多的证据表明拉丁美洲的网络犯罪正在向外蔓延。

详情

https://www.darkreading.com/threat-intelligence/grandoreiro-trojan-targets-global-banking-customers

入侵的思科设备的后门被黑客修改以逃避检测

日期: 2023-10-25
标签: 信息技术, 制造业, 思科(Cisco), CVE-2023-20198, CVE-2023-20273, 思科设备, 零日漏洞

通过利用 IOS XE 软件中的两个零日漏洞植入到思科设备上的后门已被攻击者修改,以便通过以前的指纹识别方法逃避可见性。NCC Group 的 Fox-IT 团队表示:“对受感染设备的网络流量进行的调查表明,攻击者已升级植入程序以进行额外的标头检查。 ” “因此,对于很多设备来说,植入程序仍然处于活动状态,但现在只有在设置了正确的授权 HTTP 标头时才会响应。”这些攻击需要将CVE-2023-20198(CVSS 分数:10.0)和CVE-2023-20273(CVSS 分数:7.2)构建成一个漏洞利用链,使攻击者能够访问设备、创建特权帐户、并最终在设备上部署基于 Lua 的植入程序。

详情

https://thehackernews.com/2023/10/backdoor-implant-on-hacked-cisco.html

StripedFly 恶意软件框架感染 100 万台 Windows、Linux 主机

日期: 2023-10-27
标签: 信息技术, StripedFly, EternalBlue SMBv1  漏洞

一个名为 StripedFly 的复杂跨平台恶意软件平台在网络安全研究人员的监视下潜伏了五年,在此期间感染了超过一百万个 Windows 和 Linux 系统。卡巴斯基去年发现了该恶意框架的真实本质,发现了该框架自 2017 年开始活动的证据,该恶意软件被错误地归类为门罗币加密货币挖矿程序。StripedFly具有基于 TOR 的复杂流量隐藏机制、来自受信任平台的自动更新、类似蠕虫的传播功能以及在公开披露缺陷之前创建的自定义 EternalBlue SMBv1 漏洞。虽然尚不清楚该恶意软件框架是否用于创收或网络间谍活动,但卡巴斯基表示,其复杂程度表明这是一种 APT(高级持续威胁)恶意软件。

详情

https://www.bleepingcomputer.com/news/security/stripedfly-malware-framework-infects-1-million-windows-linux-hosts/

伊朗组织 Tortoiseshell 发起新一波 IMAPLoader 恶意软件攻击

日期: 2023-10-27
标签: 以色列, 伊朗, 交通运输, 金融业, Tortoiseshell, 水坑攻击

被称为Tortoiseshell的伊朗攻击组织被归因于新一波水坑攻击,这些攻击旨在部署名为 IMAPLoader 的恶意软件。普华永道威胁情报分析表示,IMAPLoader 是一种 .NET 恶意软件,能够使用本机 Windows 实用程序对受害者系统进行指纹识别,并充当进一步有效负载的下载程序。它使用电子邮件作为[命令和控制]渠道,能够执行从电子邮件附件中提取的有效负载,并通过新服务部署来执行。Tortoiseshell 至少自 2018 年以来一直活跃,有利用战略性网站入侵作为促进恶意软件传播的策略的历史。2023年 5 月初,ClearSky将该组织与以色列航运、物流和金融服务公司相关的 8 个网站的入侵联系起来。

详情

https://thehackernews.com/2023/10/iranian-group-tortoiseshell-launches.html

0x05   数据安全

黑客出售 FACEBOOK 和 INSTAGRAM 警察门户网站的访问权限

日期: 2023-10-23
标签: 政府部门, Meta(原Facebook), Instagram, 警察门户网站

2023年10月下旬,Hudson Rock 联合创始人兼首席技术官、网络安全研究员 Alon Gal 报告称,黑客正在出售 Facebook 和 Instagram 警察门户网站的访问权限。该门户允许执法机构请求与用户相关的数据(IP、电话、私信、设备信息)或请求删除帖子和禁止帐户。黑客以 700 美元的价格提供访问权限,并且似乎可以拥有多个该门户的现有帐户。黑客可以出于多种目的滥用对门户的访问,包括未经授权的数据请求、骚扰和人肉搜索、虚假执法行动以及身份盗窃的风险,所有这些都会给用户带来严重的隐私和安全问题。

详情

https://securityaffairs.com/152811/cyber-crime/facebook-and-instagrams-police-portal-access.html

美国华盛顿选举委员会表示黑客可能盗取了其整个选民名册

日期: 2023-10-24
标签: 美国, 政府部门, 美国哥伦比亚特区选举委员会 (DCBOE), DataNet Systems, 选举数据

2023年10月23日,美国哥伦比亚特区选举委员会 (DCBOE) 表示,10 月初入侵 DataNet Systems 托管提供商运营的网络服务器的攻击者可能已经获取了所有注册选民的个人信息。可能已暴露的整个选民名册包含广泛的个人身份信息 (PII),包括驾驶执照号码、出生日期、部分社会安全号码以及电话号码和电子邮件地址等联系信息。DataNet Systems 无法查明该文件是否或何时被访问,或者有多少(如果有的话)选民记录被访问。出于谨慎考虑,DCBOE 将联系所有登记选民。此外,DCBOE 将与网络安全咨询公司 Mandiant 合作,协助开展后续步骤。

详情

https://www.bleepingcomputer.com/news/security/dc-board-of-elections-hackers-may-have-breached-entire-voter-roll/

费城提醒公众注意最近的数据泄露

日期: 2023-10-25
标签: 政府部门, 卫生行业, 美国费城, 数据泄露, 未经授权访问

美国费城已于 2023 年 10 月 20 日发布通知,报告最近发生的一次安全漏洞,可能会影响多个人的个人数据。 该漏洞首次于 2023 年 5 月 24 日被发现,研究人员在该市的电子邮件系统中发现了可疑活动。第三方网络安全专家确定在 2023 年 5 月 26 日至 7 月 28 日期间发生了对某些电子邮件帐户的未经授权的访问。2023 年 8 月 22 日,该市还发现这些被泄露的电子邮件帐户包含受保护的健康信息信息(PHI)。目前正在对受影响的电子邮件帐户进行全面审查,以识别任何潜在的个人信息泄露行为。迄今为止已识别的受损数据包括: 人口统计信息,例如姓名、地址、出生日期、医疗记录,例如诊断和其他治疗相关信息等。

详情

https://www.infosecurity-magazine.com/news/philadelphia-alert-may-data-breach/

黑客利用俄罗斯国家和工业组织后门窃取数据

日期: 2023-10-25
标签: 俄罗斯, 政府部门, Go, 间谍活动

俄罗斯的几个国家和主要工业组织受到基于 Go 的定制后门的攻击,该后门执行数据盗窃,可能被用于间谍活动。卡巴斯基于 2023 年 6 月首次检测到该活动,而在 8 月中旬,该网络安全公司发现了新版本的后门,该后门引入了更好的规避功能,表明攻击正在进行优化。目前负责此次活动的攻击者尚不清楚。

详情

https://www.bleepingcomputer.com/news/security/hackers-backdoor-russian-state-industrial-orgs-for-data-theft/

法国职业篮球队ASVEL确认勒索软件攻击后数据泄露

日期: 2023-10-25
标签: 法国, 文化传播, 法国职业篮球队 LDLC ASVEL (ASVEL), 法国职业篮球队ASVEL

法国职业篮球队 LDLC ASVEL (ASVEL) 证实,NoEscape 勒索软件团伙声称袭击了该俱乐部后,数据被盗。ASVEL 表示,继 2023 年 10 月 9 日将其添加到 NoEscape 勒索软件的勒索门户后,他们于 10 月 12 日通过媒体收到了潜在违规警报。攻击者声称窃取了 32 GB 的数据,包括玩家的个人数据、护照和身份证,以及许多与财务、税务和法律事务有关的文件。保密协议、合同、机密信件。据称,与玩家的合同协议也包含在被盗数据集中。NoEscape 勒索软件团伙正在利用这些被盗数据,威胁要在 2023 年 10 月 20 日之前公布这些数据,除非 ASVEL 联系他们协商支付赎金。

详情

https://www.bleepingcomputer.com/news/security/asvel-basketball-team-confirms-data-breach-after-ransomware-attack/

新英格兰生物实验室敏感数据泄露

日期: 2023-10-26
标签: 科研服务, 卫生行业, 新英格兰生物实验室 (NEB) , 敏感信息

2023年9月18日,Cybernews 研究团队发现了两个归属于新英格兰生物实验室 (NEB) 的公开托管环境文件 (.env)。它们包含大量敏感信息,例如数据库凭据、SMTP 服务器的登录信息、企业支付处理信息等。这两个文件都指定用于生产环境,这意味着它们很可能在实时场景中用于处理该公司加拿大分公司的操作。如果网络犯罪分子首先找到这些文件,他们就能够代表组织发送电子邮件、访问和利用敏感数据,甚至尝试授权付款。

详情

https://securityaffairs.com/152995/data-breach/new-england-biolabs-leak-sensitive-data.html

NextGen Mirth Connect 的关键漏洞可能会暴露医疗数据

日期: 2023-10-27
标签: 卫生行业, CVE-2023-43208, Mirth Connect, 医疗数据

在发现未经身份验证的远程代码执行漏洞后,NextGen HealthCare 的开源数据集成平台Mirth Connect敦促用户更新到最新版本。Mirth Connect 是一种跨平台接口引擎,用于医疗保健行业,以标准化方式在不同系统之间通信和交换数据。该漏洞编号为CVE-2023-43208,已在2023 年 10 月 6 日发布的4.4.1 版本中得到解决。这是一个易于利用、未经身份验证的远程代码执行漏洞,攻击者很可能利用此漏洞进行初始访问或破坏敏感的医疗数据。”

详情

https://thehackernews.com/2023/10/critical-flaw-in-nextgens-mirth-connect.html

0x06   网络攻击

OilRig针对中东政府的新攻击行动

日期: 2023-10-23
标签: 中东, 伊朗, 政府部门, Crambus(又名OilRig、MuddyWater、APT34), APT舆情

伊朗Crambus间谍组织(又名OilRig、MuddyWater、APT34)在2023年2月至9月期间对中东政府进行了长达八个月的入侵。在入侵过程中,攻击者窃取了文件和密码,并在一个案例中, 安装了一个PowerShell后门PowerExchange,用于监控从Exchange服务器发送的传入邮件,以便执行攻击者以电子邮件形式发送的命令,并秘密地将结果转发给攻击者。至少12台计算机上发生了恶意活动,有证据表明攻击者在另外数十台计算机上部署了后门和键盘记录程序。除了部署恶意软件之外,攻击者还经常使用公开的网络管理工具Plink在受感染的计算机上配置端口转发规则,从而通过远程桌面协议(RDP)实现远程访问。还有证据表明,攻击者修改了Windows防火墙规则以启用远程访问。

详情

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/crambus-middle-east-government

国际刑事法院(ICC)系统因网络间谍活动而遭到破坏

日期: 2023-10-23
标签: 商务服务, 国际刑事法院(ICC)

2023年10月,国际刑事法院(ICC)提供了有关网络攻击的更多信息,称这是一次出于间谍目的的有针对性的行动。该政府间组织 在检测到其信息系统存在异常活动几天后,于 9 月 19 日披露了此次泄露事件。作为一个国际法庭,国际刑事法院(ICC)设在荷兰海牙,其职责是调查犯有国际社会关注罪行的个人并追究其责任。国际刑事法院在一份声明中表示,目前的证据不足以认定这起袭击事件,并补充说荷兰执法部门正在进行刑事调查。目前尚不清楚此次攻击的影响,目前还没有证据表明委托给法院的数据受到损害。一旦出现此类证据,法院将立即通过直接消息联系受影响的各方。

详情

https://www.bleepingcomputer.com/news/security/international-criminal-court-systems-breached-for-cyber-espionage/

美国家庭保险公司遭受网络攻击

日期: 2023-10-23
标签: 金融业, 美国家庭保险公司 (American Family Insurance) , 保险公司

2023年10月中旬,保险巨头美国家庭保险公司 (American Family Insurance) 确认,在客户报告网站整周中断后,该公司遭受了网络攻击,并关闭了部分 IT 系统。美国家庭保险公司 (AmFam) 是一家专注于商业和个人财产、意外伤害、汽车和人寿保险,以及提供投资和退休计划的保险公司。美国家庭保险公司证实,他们检测到网络上存在异常活动,并关闭了 IT 系统以防止网络攻击的蔓延。

详情

https://www.bleepingcomputer.com/news/security/american-family-insurance-confirms-cyberattack-is-behind-it-outages/

TetrisPhantom 黑客组织从政府系统的安全 USB 驱动器中窃取数据

日期: 2023-10-23
标签: 政府部门, TetrisPhantom, USB 驱动器

2023年10月,安全研究人员在一场针对亚太地区政府的攻击活动中发现了部署在安全 USB 设备上的 UTetris 应用程序的木马版本,该攻击活动已经运行了至少几年。一种名为“TetrisPhantom”的新黑客组织一直在使用受损的安全 USB 驱动器来攻击亚太地区的政府系统。安全 USB 驱动器将文件存储在设备的加密部分中,并用于在系统(包括气隙环境中的系统)之间安全地传输数据。该软件根据用户提供的密码解密内容。UTetris.exe 就是此类软件之一,它捆绑在 USB 驱动器的未加密部分上。TetrisPhantom 使用各种工具、命令和恶意软件组件,表明威胁组织复杂且资源充足。

详情

https://www.bleepingcomputer.com/news/security/new-tetrisphantom-hackers-steal-data-from-secure-usb-drives-on-govt-systems/

神秘组织利用WinRAR最新漏洞,俄方政府再遭网络攻击

日期: 2023-10-24
标签: 俄罗斯, 白俄罗斯, 政府部门, 国防部门, APT舆情, WinRAR

最近,安恒猎影实验室在日常的网络狩猎中成功捕获了多个针对俄罗斯、白俄罗斯政府及国防部门的攻击样本。通过仔细的样本分析和追溯,发现这些攻击事件共享相同的攻击组件和模式,因此确定该类攻击背后的幕后黑手为同一组织。鉴于该组织攻击手法的独特性,将该组织命名为“骷髅狼”(Skeleton Wolf)。“骷髅狼”组织具有以下特征:1. 目前已发现的该组织攻击目标包括俄罗斯、白俄罗斯的政府、国防部门。2. 使用WinRAR最新漏洞(CVE-2023-38831)执行恶意指令,具有很强的隐蔽性。3. 最终加载基于Mythic平台的Athena后门,该后门支持执行各类恶意指令。

详情

https://mp.weixin.qq.com/s/FogOQzCcNv1Z1yoWMUHMlA

美国密歇根大学的员工和学生数据在网络攻击中被盗

日期: 2023-10-24
标签: 教育行业, 美国密歇根大学

2023年10月23日,美国密歇根大学在一份声明中表示,黑客于 8 月份闯入该大学网络并访问了包含学生、申请人、校友、捐赠者、员工、患者和研究参与者信息的系统后,该大学遭受了数据泄露。该大学表示,未经授权的服务器访问持续时间为 8 月 23 日至 27 日,暴露的数据包括个人、财务和医疗详细信息。在八月份检测到可疑活动后,密歇根大学将其整个校园网络与互联网隔离,以尽量减少影响。

详情

https://www.bleepingcomputer.com/news/security/university-of-michigan-employee-student-data-stolen-in-cyberattack/

1Password 披露与 Okta 泄露相关的安全事件

日期: 2023-10-24
标签: 信息技术, 1Password, Cloudflare, Okta

1Password 是一个被超过 100,000 家企业使用的流行密码管理平台,在黑客获得其 Okta ID 管理租户的访问权限后爆出安全漏洞。2023年9 月 29 日,1Password在用于管理面向员工的应用程序的 Okta 实例上检测到可疑活动。1Password立即终止了该活动,进行了调查,发现用户数据或其他敏感系统(无论是面向员工还是面向用户)都没有受到损害。2023年10月20日,Okta 披露, 攻击者使用被盗凭证破坏了其支持案例管理系统。Cloudflare 还在 10 月 18 日(即 Okta 披露该事件的前两天)检测到其系统上存在恶意活动。与 BeyondTrust 一样,攻击者使用从 Okta 支持系统窃取的身份验证令牌进入 Cloudflare 的 Okta 实例并获得管理权限。

详情

https://www.bleepingcomputer.com/news/security/1password-discloses-security-incident-linked-to-okta-breach/

针对医疗服务提供商的网络攻击影响了加拿大 5 家医院

日期: 2023-10-25
标签: 加拿大, 卫生行业, Windsor Regional Hospital, Hotel Dieu Grace, Hospice of Windsor-Essex, Erie Shores Healthcare, Chatham-Kent Health Alliance, TransForm, 医院

2023年10月23日,针对共享服务提供商 TransForm 的网络攻击影响了加拿大安大略省五家医院的运营,影响了患者护理并导致预约重新安排。TransForm 是一家非营利性共享服务组织,由安大略省伊利圣克莱尔的五家医院创立,用于管理其 IT、供应链和应付账款。该组织表示正在调查事件的原因和范围,目前尚未确定是否有患者信息受到影响。受此情况影响的五家医院是:Windsor Regional Hospital、Hotel Dieu Grace、Erie Shores Healthcare、Hospice of Windsor-Essex、Chatham-Kent Health Alliance。

详情

https://www.bleepingcomputer.com/news/security/cyberattack-on-health-services-provider-impacts-5-canadian-hospitals/

三星 Galaxy S23 在多伦多 Pwn2Own 首日遭到两次黑客攻击

日期: 2023-10-25
标签: 信息技术, 三星 , Pwn2Own, 三星 Galaxy S23, 零日漏洞

在加拿大多伦多举行的Pwn2Own 2023 黑客大赛的第一天,安全研究人员对三星 Galaxy S23 进行了两次黑客攻击。他们还演示了针对小米 13 Pro 智能手机以及来自 Western Digital、QNAP、Synology、Canon、Lexmark 和 Sonos 的打印机、智能扬声器、网络附加存储 (NAS) 设备和监控摄像头的零日漏洞利用和漏洞链。

Pentest Limited 是第一个 在三星旗舰 Galaxy S23 设备上演示 零日漏洞的公司,通过利用不正确的输入验证漏洞来获得代码执行,赢得了 50,000 美元和 5 个 Pwn 大师积分。

STAR Labs SG 团队还利用允许输入的许可列表破解了三星 Galaxy S23,赢得了 25,000 美元(针对同一设备的第二轮半奖)和 5 个 Pwn 大师积分。

详情

https://www.bleepingcomputer.com/news/security/samsung-galaxy-s23-hacked-twice-on-first-day-of-pwn2own-toronto/

哈萨克斯坦黑客组织伪装成阿塞拜疆人袭击前苏联国家

日期: 2023-10-26
标签: 阿塞拜疆, 哈萨克斯坦, 俄罗斯, 亚美尼亚, 白俄罗斯, 摩尔多瓦, 政府部门, YoroTrooper, 网络钓鱼

一个惯用发送网络钓鱼消息的哈萨克斯坦攻击组织YoroTrooper正在伪装成阿塞拜疆公民进行攻击活动。YoroTrooper 于 2022 年 6 月首次被发现,通常针对前苏联共和国,包括俄罗斯、亚美尼亚、白俄罗斯和摩尔多瓦以及阿塞拜疆,并且通常针对政府实体。研究人员还表示,YoroTrooper 通过将大部分基础设施托管在阿塞拜疆,同时仍以该国的机构为目标,做出了许多努力来掩盖其来源。

详情

https://www.darkreading.com/dr-global/kazakh-attackers-disguised-as-azerbaijanis-hit-former-soviet-states

俄罗斯黑客组织利用 Roundcube Webmail 零日漏洞攻击欧洲政府实体和智库

日期: 2023-10-26
标签: 政府部门, Winter Vivern, CVE-2023-5631, 零日漏洞, Roundcube Webmail, 网络钓鱼攻击

至少自 10 月 11 日起,俄罗斯 Winter Vivern 黑客组织就一直在利用 Roundcube Webmail 零日漏洞攻击欧洲政府实体和智库。Roundcube 开发团队发布了安全更新,修复了ESET 研究人员于 10 月 16 日报告的存储跨站脚本 (XSS) 漏洞 ( CVE-2023-5631 )。根据 ESET 的调查结果,网络间谍组织(也称为 TA473)使用包含精心制作的 SVG 文档的 HTML 电子邮件来远程注入任意 JavaScript 代码。他们的网络钓鱼邮件冒充 Outlook 团队,试图诱骗潜在受害者打开恶意电子邮件,自动触发利用 Roundcube 电子邮件服务器漏洞的第一阶段有效负载。攻击中投放的最终 JavaScript 有效负载帮助攻击者从受感染的网络邮件服务器获取和窃取电子邮件。

详情

https://www.bleepingcomputer.com/news/security/european-govt-email-servers-hacked-using-roundcube-zero-day/

Winter Vivern利用Roundcube Webmail服务器的零日漏洞攻击欧洲政府和智库

日期: 2023-10-27
标签: 政府部门, Winter Vivern, CVE-2020-35730, APT舆情

ESET Research一年多以来一直在密切跟踪Winter Vivern组织的网络间谍行动,在例行监控中,发现该组织于2023年10月11日开始利用Roundcube Webmail服务器中的零日XSS漏洞。根据研究,该漏洞与CVE-2020-35730不同,但也被Winter Vivern组织利用。根据ESET的遥测数据,该攻击行动针对的是属于欧洲政府实体和智库的Roundcube Webmail服务器。

详情

https://www.welivesecurity.com/en/eset-research/winter-vivern-exploits-zero-day-vulnerability-roundcube-webmail-servers/

法国称俄罗斯国家黑客入侵了许多关键网络

日期: 2023-10-27
标签: 法国, 俄罗斯, 政府部门, 法国国家信息系统安全局ANSSI, APT28(Fancy Bear), CVE-2023-38831, CVE-2023-23397

根据法国国家信息系统安全局ANSSI(国家信息系统安全局)最新发布的一份报告称,自 2021 年下半年以来,俄罗斯 APT28 黑客组织(又名“Strontium”或“Fancy Bear”)一直以法国政府实体、企业、大学、研究机构和智库为目标。该威胁组织被认为是俄罗斯军事情报服务 GRU 的一部分,最近与利用CVE-2023-38831(WinRAR 中的远程代码执行漏洞)和 CVE-2023-23397(零日特权提升漏洞)有关。ANSSI 绘制了 APT28 的 TTP(技术、策略和程序),报告称该威胁组织使用暴力破解和泄露的数据库,其中包含破坏目标网络上的帐户和 Ubiquiti 路由器的凭据。

详情

https://www.bleepingcomputer.com/news/security/france-says-russian-state-hackers-breached-numerous-critical-networks/

新的 iLeakage 攻击利用 SAFARI 窃取 APPLE 设备数据

日期: 2023-10-27
标签: 信息技术, Apple, iLeakage, Spectre 攻击, Safari

2023年10月,学术研究人员创建了一种新的推测性侧信道攻击,他们将其命名为 iLeakage,该攻击适用于所有最新的 Apple 设备,并且可以从 Safari 网络浏览器中提取敏感信息。iLeakage 是针对 Apple Silicon CPU 和 Safari 浏览器的推测执行攻击的首次演示。它可用于以“近乎完美的准确性”从 Safari 以及 iOS 上的 Firefox、Tor 和 Edge 检索数据。从本质上讲,它是一种无计时器的 Spectre 攻击 ,可以绕过所有浏览器供应商实施的标准侧通道保护。

详情

https://www.bleepingcomputer.com/news/security/new-ileakage-attack-steals-emails-passwords-from-apple-safari/

0x07   安全漏洞

思科零日漏洞被利用在数千台设备上植入恶意 Lua 后门

日期: 2023-10-23
标签: 信息技术, 思科(Cisco), Lua, CVE-2023-20273, CVE-2023-20198, 零日漏洞, Lua 后门

2023年10月20日,思科警告称,IOS XE 中存在新的零日漏洞,未知威胁者已积极利用该漏洞在易受影响的设备上部署基于 Lua 的恶意植入程序。该漏洞被追踪为CVE-2023-20273(CVSS 评分:7.2),与 Web UI 功能中的权限升级漏洞有关,据说与 CVE-2023-20198(CVSS 评分:10.0)一起使用,作为漏洞利用链。攻击者首先利用 CVE-2023-20198 获得初始访问权限,并发出特权 15 命令来创建本地用户和密码组合。这允许用户以普通用户访问权限登录。攻击者随后利用了 Web UI 功能的另一个组件,利用新的本地用户提升 root 权限并将植入程序写入文件系统。这一漏洞已被分配了标识符 CVE-2023-20273。思科将于 2023 年 10 月 22 日开始向客户提供修复程序。在此期间,建议禁用 HTTP 服务器功能。

详情

https://thehackernews.com/2023/10/cisco-zero-day-exploited-to-implant.html

Okta 的支持系统漏洞将暴露客户数据

日期: 2023-10-23
标签: 信息技术, Okta, Okta支持案例管理系统

2023年10月20日,身份服务提供商 Okta 披露了一起新的安全漏洞,身份不明的攻击者可以利用被盗的凭据访问其支持案例管理系统。攻击者能够查看某些 Okta 客户上传的文件。其 Auth0/CIC 案例管理系统并未受到此次泄露的影响,并指出它已直接通知受影响的客户。Okta 警告说:“HAR 文件还可能包含敏感数据,包括 cookie 和会话令牌,恶意行为者可以利用这些数据来冒充有效用户。”该公司进一步表示,它与受影响的客户合作,确保撤销嵌入的会话令牌,以防止其被滥用。Okta 没有透露攻击的规模、事件发生的时间以及何时检测到未经授权的访问。

详情

https://thehackernews.com/2023/10/oktas-support-system-breach-exposes.html

严重的 SolarWinds RCE 漏洞可导致未经授权的网络接管

日期: 2023-10-23
标签: 信息技术, SolarWinds, RCE

2023年10月下旬,研究人员SolarWinds Access Rights Manager Tool (ARM) 中新发现八个漏洞(其中三个被认为严重程度很高),攻击者可利用这些漏洞在任何未修补的系统中获得最高级别的权限。ARM 工具最能体现其监督和影响企业网络关键组件的能力,管理员使用该工具来配置、管理和审核用户对数据、文件和系统的访问权限。这些漏洞中最严重的一个是允许未经身份验证的远程攻击者在系统级别执行任意代码,攻击者可以完全接管受影响的系统。

详情

https://www.darkreading.com/vulnerabilities-threats/critical-solarwinds-rce-bugs-enable-unauthorized-network-takeover

Citrix 警告管理员立即修补 NetScaler CVE-2023-4966 漏洞

日期: 2023-10-24
标签: 政府部门, 信息技术, Citrix, CVE-2023-4966

2023年10月23日,Citrix 警告管理员立即保护所有 NetScaler ADC 和 Gateway 设备免受利用 CVE-2023-4966 漏洞的持续攻击。该公司两周前修补了这个关键的敏感信息泄露漏洞(追踪为CVE - 2023-4966 ),并将其严重性评级为 9.4/10,因为未经身份验证的攻击者可以在不需要用户交互的低复杂性攻击中远程利用该漏洞。网络安全公司Mandiant表示,自 2023 年 8 月下旬以来,攻击者一直在利用 CVE-2023-4966 作为零日漏洞来窃取身份验证会话和劫持帐户,这可以帮助攻击者绕过多因素身份验证或其他强身份验证要求。即使在修补后,受感染的会话仍然存在,并且根据受感染帐户的权限,攻击者可以在网络上横向移动或危及其他帐户。此外,Mandiant 还发现了利用 CVE-2023-4966 渗透政府实体和技术公司基础设施的实例。

详情

https://www.bleepingcomputer.com/news/security/citrix-warns-admins-to-patch-netscaler-cve-2023-4966-bug-immediately/

思科修补了用于攻击 50,000 多台设备的 IOS XE 零日漏洞

日期: 2023-10-24
标签: 信息技术, 思科(Cisco), CVE-2023-20273, CVE-2023-20198, 零日漏洞

2023年10月23日,思科解决了黑客在过去一周利用这两个漏洞(CVE-2023-20198 和 CVE-2023-20273)危害数以万计的 IOS XE 设备的问题。在该免费软件发布之前,攻击者利用零日安全漏洞来危害并完全控制超过 50,000 台 Cisco IOS XE 主机。思科将这两个漏洞跟踪为CSCwh87343,它们位于运行 IOS XE 软件的思科设备的 Web UI 中。CVE-2023-20198 的严重性评级最高 (10/10),而 CVE-2023-20273 的严重性评分为 7.2。通过利用 CVE-2023-20273,攻击者将新本地用户的权限提升为 root,并向文件系统添加恶意脚本。该植入程序不提供持久性,重新启动会将其从系统中删除。

详情

https://www.bleepingcomputer.com/news/security/cisco-patches-ios-xe-zero-days-used-to-hack-over-50-000-devices/

API 安全漏洞影响了 Grammarly、Video 和 Bukalapak

日期: 2023-10-25
标签: 信息技术, OAuth, 令牌传递攻击, API 安全

Salt Security 公布的研究揭示了 Grammarly、Vidio 和 Bukalapak 等流行在线平台的 OAuth 协议实现中的关键 API 安全漏洞。 这些漏洞现已得到解决,有可能损害用户凭据并导致帐户被完全接管,从而危及数十亿用户。OAuth 是一种广泛采用的用户授权和身份验证技术,允许用户使用其社交媒体帐户登录网站,从而简化了登录过程。这些实现中的安全漏洞使攻击者能够插入来自另一个站点的令牌作为经过验证的令牌,这种技术称为“令牌传递攻击”。这些漏洞带来了严重的风险,包括为网络犯罪分子提供对用户帐户的无限制访问,可能导致未经授权访问敏感的财务和个人信息。它们还使用户面临潜在的身份盗窃和财务欺诈。

详情

https://www.infosecurity-magazine.com/news/api-security-flaw-grammarly-vidio/

VMware 警告管理员注意 vRealize RCE 漏洞的公开利用

日期: 2023-10-25
标签: 信息技术, VMware, CVE-2023-34051, VMware Aria Operations for Logs

2023年10月23日,VMware 警告客户,概念验证 (PoC) 漏洞代码现已可用于 vRealize Log Insight(现称为 VMware Aria Operations for Logs)中的身份验证绕过漏洞。该漏洞追踪为CVE-2023-34051,如果满足某些条件,未经身份验证的攻击者可以使用 root 权限远程执行代码。成功的利用取决于攻击者破坏目标环境中的主机并拥有添加额外接口或静态 IP 地址的权限。安全研究人员还发布了PoC 漏洞和妥协指标 (IOC) 列表,网络防御者可以使用它们来检测其环境中的漏洞尝试。该 POC 滥用 IP 地址欺骗和各种 Thrift RPC 端点来实现任意文件写入。

详情

https://www.bleepingcomputer.com/news/security/vmware-warns-admins-of-public-exploit-for-vrealize-rce-flaw/

Grammarly、Video 和 Bukalapak 平台中发现的关键 OAuth 漏洞

日期: 2023-10-26
标签: 信息技术, Grammarly, Video, Bukalapak, OAuth

2023年10月下旬,Grammarly、Vidio 和 Bukalapak 等流行在线服务的开放授权 (OAuth) 实施中已披露了严重的安全漏洞,这些漏洞建立在Booking[.]com 和 Expo之前发现的漏洞之上。OAuth 是一种通常用作跨应用程序访问机制的标准,允许网站或应用程序访问其在其他网站(例如 Facebook)上的信息。在 2023 年 2 月至 4 月期间披露后,这些漏洞现已由各自公司解决,这些漏洞可能允许攻击者获取访问令牌并可能劫持用户帐户。

详情

https://thehackernews.com/2023/10/critical-oauth-flaws-uncovered-in.html

Citrix Bleed 漏洞可让黑客劫持 NetScaler 帐户

日期: 2023-10-26
标签: 信息技术, Citrix, CVE-2023-4966, PoC, Citrix NetScaler ADC, NetScaler Gateway

2023年10月25日,Assetnote 的研究人员针对“Citrix Bleed”漏洞发布了概念验证 (PoC) 漏洞(编号为 CVE-2023-4966),该漏洞允许攻击者从易受攻击的 Citrix NetScaler ADC 和 NetScaler Gateway 设备检索身份验证会话 cookie。CVE-2023-4966 是一个严重程度极高、可远程利用的信息泄露漏洞,Citrix 已于 10 月 10 日修复 ,但未提供太多详细信息。10 月 17 日,Mandiant 透露,自 2023 年 8 月下旬以来,该缺陷 在有限的攻击中被作为零日漏洞滥用 。10月23日,Citrix 向 NetScaler ADC 和 Gateway 设备的管理员发出了后续警告,敦促他们立即修补该漏洞,因为利用率已开始上升。

详情

https://www.bleepingcomputer.com/news/security/citrix-bleed-exploit-lets-hackers-hijack-netscaler-accounts/

VMware修复了vCenter Server中的关键代码执行漏洞

日期: 2023-10-26
标签: 信息技术, VMware, CVE-2023-34048, vCenter Server

2023年10月下旬,VMware 发布了安全更新来修复一个严重的 vCenter Server 漏洞,该漏洞可用于对易受攻击的服务器进行远程代码执行攻击。vCenter Server 是 VMware vSphere 套件的中央管理中心,可帮助管理员管理和监控虚拟化基础架构。该漏洞 ( CVE-2023-34048 ) 由趋势科技零日计划的 Grigory Dorodnov 报告,是由于vCenter DCE/RPC 协议实现中的越界写入漏洞造成的。未经身份验证的攻击者可以在不需要用户交互的低复杂性攻击中远程利用它。该公司表示,没有证据表明 CVE-2023-34048 RCE 漏洞目前被用于攻击。现在可以通过标准 vCenter Server 更新机制访问解决此问题的安全补丁。由于此错误的严重性,VMware 还为多个不再受到有效支持的停产产品发布了补丁。

详情

https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-code-execution-flaw-in-vcenter-server/

矛头持续指向印度国防部,Sidecopy加入CVE-2023-38831漏洞利用攻击队列

日期: 2023-10-27
标签: 南亚, 政府部门, 信息技术, CVE-2023-38831, WinRAR, APT舆情

Sidecopy是具有南亚某国背景的APT组织,自2019年以来一直活跃,主要针对印度政府、军事机构和国防部相关人员进行网络攻击,下发包括CetaRAT、ReverseRAT、DetaRAT、AllakoreRAT等在内的多款远控木马进行情报收集活动。近日,猎影实验室捕获到Sidecopy组织最新的攻击活动,该活动使用同一C2服务器,但拥有两种攻击链:

利用WinRAR的CVE-2023-38831漏洞,直接触发执行该组织常用的远控木马程序Allakore RAT;

延续此前的攻击手法,以钓鱼邮件分发包含恶意LNK文件的压缩包,LNK文件运行后下载HTA文件,进而释放诱饵文件及远控木马DRAT。

详情

https://mp.weixin.qq.com/s/OZgDgmUDZSML_NX_Wa_C6A

破纪录的 1 亿 RPS DDoS 攻击利用 HTTP/2 快速重置漏洞

日期: 2023-10-27
标签: 信息技术, CVE-2023-44487, 分布式拒绝服务 (DDoS) 攻击, HTTP/2 Rapid Reset 漏洞

2023年10月26日,Cloudflare 表示缓解了数千起超容量 HTTP 分布式拒绝服务 (DDoS) 攻击,这些攻击利用了最近披露的名为HTTP/2 Rapid Reset 的漏洞,其中 89 次攻击超过了每秒 1 亿次请求 (RPS)。与上一季度相比,该活动导致第三季度 HTTP DDoS 攻击流量总体增加了 65% 。本季度 HTTP DDoS 攻击请求总数激增至 8.9 万亿个,高于 2023 年第二季度的 5.4 万亿个和 2023 年第一季度的 4.7 万亿个。2022 年第四季度的攻击请求数量为 6.5 万亿个。

HTTP/2 快速重置 (CVE-2023-44487) 在全行业协调披露后于本月初曝光,该披露深入研究了未知攻击者利用该漏洞针对 Amazon Web Services (AWS) 等各种提供商精心策划的 DDoS 攻击。 )、Cloudflare 和 Google Cloud。

详情

https://thehackernews.com/2023/10/record-breaking-100-million-rps-ddos.html

0x08   安全分析

以色列与哈马斯战争中出现巴勒斯坦加密货币捐赠骗局

日期: 2023-10-24
标签: 以色列, 巴勒斯坦, 文化传播, Telegram, Instagram, X(以前称为 Twitter), 加密货币, 巴以战争, 哈马斯

随着数千名平民在以色列与哈马斯的致命战争中丧生,网络犯罪分子利用这一事件冒充合法慈善机构来筹集捐款。研究人员在 X(以前称为 Twitter)、Telegram 和 Instagram 上发现了多篇帖子,其中诈骗者列出了可疑的加密货币钱包地址,并引诱毫无戒心的受害者向他们发送资金。研究人员还发现了 500 多封自称是慈善机构的实体发送的“筹款”电子邮件。然而,这些主要列出加密钱包地址的账户来源可疑,没有得到官方慈善机构的认可,很可能是骗局。

详情

https://www.bleepingcomputer.com/news/security/palestine-crypto-donation-scams-emerge-amid-israel-hamas-war/

QuasarRAT 部署先进的 DLL 侧面加载技术

日期: 2023-10-24
标签: 信息技术, QuasarRAT

2023年10月下旬,Uptycs的一份研究报告重点介绍了 QuasarRAT 的演变,QuasarRAT 是一种开源远程管理工具 (RAT),以其轻量级特性和一系列恶意功能而闻名。 根据 Uptycs 安全研究员 Tejaswini Sandapolla 的一份报告,该基于 C# 的工具(也称为 CinaRAT 或 Yggdrasil)被发现采用了一种名为 DLL 侧面加载的复杂技术,该技术利用受信任的 Microsoft 文件来执行恶意活动。该技术利用了 Windows 环境中这些文件命令的固有信任,使其成为网络安全领域的重大威胁。据报道,QuasarRAT 已在 GitHub 上公开访问,这给 Windows 用户、系统管理员和网络安全专业人员带来了风险。

详情

https://www.infosecurity-magazine.com/news/quasarrat-deploys-dll-side-loading/

过去七年中,勒索软件攻击对美国医疗行业造成 780 亿美元损失

日期: 2023-10-25
标签: 卫生行业, 美国医疗行业, 勒索软件攻击

根据 Comparitech 的最新研究,在过去七年中,仅勒索软件泄露就给美国经济造成了数百亿美元的经济损失。这家公司分析了 2016 年至 2023 年 10 月中旬影响医疗组织的所有已知勒索软件攻击的数据。在此期间,据报告发生了 539 起针对医疗机构的攻击事件,估计影响了 9780 家医院、诊所和其他组织。报告称,超过 5200 万份患者记录遭到泄露。2023年到目前为止,1568 个医疗机构已发生 66 起勒索软件攻击,导致超过 730 万份患者记录被泄露。距离2023年年底还有三个月的时间,2023 年针对医疗机构的勒索软件攻击很可能会再次激增。 到 2023 年,医疗保健组织平均会出现 18.7 天的停机时间。

详情

https://www.infosecurity-magazine.com/news/healthcare-ransomware-attacks-cost/

与哈萨克斯坦有关的YoroTrooper将攻击来源伪装成阿塞拜疆

日期: 2023-10-27
标签: 阿塞拜疆, 哈萨克斯坦, 政府部门, YoroTrooper, APT舆情

思科Talos高度自信地评估,YoroTrooper是一个于2022年6月首次活跃的专注于间谍行动的威胁组织,根据他们使用哈萨克斯坦货币以及流利的哈萨克语和俄语的情况,很可能由来自哈萨克斯坦的个人组成。该组织似乎还对哈萨克斯坦国有电子邮件服务网站有防御兴趣,并且很少针对哈萨克斯坦实体。YoroTrooper试图混淆其起源,采用各种策略使其恶意活动看起来像是来自阿塞拜疆 ,例如使用该区域本地的VPN出口节点。YoroTrooper的目标似乎集中在独立国家联合体(CIS)国家,在2023年5月至8月期间入侵了这些国家政府官员的多个国有网站和账户。调查结果还表明,除了商业和定制化恶意软件,YoroTrooper继续严重依赖网络钓鱼电子邮件,将受害者引导至凭据收集站点,这一评估与ESET最近的报告一致。

详情

https://blog.talosintelligence.com/attributing-yorotrooper/

Octo Tempest金融黑客组织分析

日期: 2023-10-27
标签: 金融业, 信息技术, 住宿餐饮业, 文化传播, Octo Tempest

2023年10月26日,微软发布了一个以英语为母语的黑客组织的详细资料,该黑客组织具有先进的社会工程能力,被追踪为 Octo Tempest,该黑客组织的目标是进行数据勒索和勒索软件攻击的公司。自 2022 年初以来,Octo Tempest 的攻击稳步发展,将攻击目标扩大到提供有线电信、电子邮件和技术服务的组织,并与 ALPHV/BlackCat 勒索软件组织合作。2022 年底,Octa Tempest 转向网络钓鱼、社会工程、为被入侵服务提供商的客户集体重置密码以及数据盗窃。2023年早些时候,该威胁组织攻击了游戏、酒店、零售、制造、技术和金融领域的公司以及托管服务提供商 (MSP)。成为 ALPHV/BlackCat 附属机构后,Octa Tempest 部署勒索软件来窃取和加密受害者数据。

详情

https://www.bleepingcomputer.com/news/security/microsoft-octo-tempest-is-one-of-the-most-dangerous-financial-hacking-groups/

0x09   行业动向

谷歌浏览器新的“IP保护”将隐藏用户的IP地址

日期: 2023-10-23
标签: 信息技术, “IP 保护”

2023年10月,谷歌准备测试 Chrome 浏览器的新“IP 保护”功能,该功能通过使用代理服务器屏蔽用户的 IP 地址来增强用户的隐私。IP 地址允许网站和在线服务跟踪网站上的活动,从而促进持久用户配置文件的创建。这带来了严重的隐私问题,因为与第三方 cookie 不同,用户目前缺乏逃避此类秘密跟踪的直接方法。“IP 保护”解决方案通过代理路由来自特定域的第三方流量,使用户的 IP 地址对这些域不可见,从而解决了这种双重角色。随着生态系统的发展,IP 保护也会不断发展,以继续保护用户免受跨站点跟踪并向代理流量添加其他域。

详情

https://www.bleepingcomputer.com/news/google/google-chromes-new-ip-protection-will-hide-users-ip-addresses/

Flipper Zero 现可通过蓝牙警报向 Android、Windows 用户发送垃圾邮件

日期: 2023-10-26
标签: 信息技术, Flipper Zero, Xtreme, 蓝牙垃圾邮件攻击

名为“Xtreme”的定制 Flipper Zero 固件添加了一项新功能,可对 Android 和 Windows 设备执行蓝牙垃圾邮件攻击。一名安全研究人员此前针对 Apple iOS 设备演示了该技术 ,激励其他人尝试其对其他平台的潜在影响。垃圾邮件攻击背后的主要思想是利用 Flipper Zero 的无线通信功能来欺骗广告数据包,并将其传输到配对和连接请求范围内的设备。这种类型的垃圾邮件攻击可能会迷惑目标,使其难以区分合法设备和欺骗设备,甚至会在目标设备上不断弹出通知来破坏用户体验。

详情

https://www.bleepingcomputer.com/news/security/flipper-zero-can-now-spam-android-windows-users-with-bluetooth-alerts/

CISA 发布医疗保健网络安全工具包

日期: 2023-10-27
标签: 美国, 卫生行业, 网络安全工具包

2023年10月下旬,美国多家机构联合发布了一套新的医疗保健和公共卫生网络安全工具包,旨在帮助医疗保健行业的 IT 安全领导者改善其组织的安全状况。医疗保健和公共卫生网络安全工具包提供了一系列信息、指导和实用工具,有助于降低该行业的网络风险和“网络入侵成功的可能性”。它由网络安全和基础设施安全局 (CISA)、卫生与公众服务部 (HHS) 和卫生部门协调委员会 (HSCC) 网络安全工作组联合发布。

详情

https://www.infosecurity-magazine.com/news/cisa-releases-cybersecurity/

0x0a   勒索攻击

美国能源公司分享 Akira 勒索软件入侵其系统过程

日期: 2023-10-24
标签: 能源业, 美国能源服务公司 BHI Energy, Akira 勒索软件

2023年10月下旬,美国能源服务公司 BHI Energy 详细介绍了 Akira 勒索软件操作如何于 2023 年 5 月 30 日破坏其网络并窃取数据。BHI Energy 是一家专业工程服务和人员配置解决方案提供商,为私营和政府运营的石油和天然气、核能、风能、太阳能和化石发电装置以及输配电设施提供支持。此次攻击首先由 Akira攻击者发起,他们使用窃取的 VPN 凭证为第三方承包商访问 BGI Energy 的内部网络。攻击者使用该第三方承包商的帐户,通过 VPN 连接到达内部 BHI 网络 。 Akira 勒索软件于 2023 年 6 月 16 日重新访问网络,列举数据将被盗。6 月 20 日至 29 日期间,威胁行为者窃取了 767k 个文件,其中包含 690 GB 的数据,其中包括 BHI 的 Windows Active Directory 数据库。在 2023 年 6 月 29 日,攻击者从 BHI 网络窃取了所有可能的数据后,在所有设备上部署了 Akira 勒索软件来加密文件。此时,BHI 的 IT 团队意识到公司已受到威胁。

详情

https://www.bleepingcomputer.com/news/security/us-energy-firm-shares-how-akira-ransomware-hacked-its-systems/

智利电信巨头 GTD 遭罗BabLock勒索团伙袭击

日期: 2023-10-26
标签: 拉丁美洲, 信息技术, Grupo GTD, 智利计算机安全事件响应小组(CSIRT), 勒索软件攻击

2023年10月25日,智利计算机安全事件响应小组(CSIRT)确认 GTD 遭受勒索软件攻击。智利 Grupo GTD 警告称,网络攻击已影响其基础设施即服务 (IaaS) 平台,导致在线服务中断。Grupo GTD 是一家在整个拉丁美洲提供服务的电信公司。该公司提供各种 IT 服务,包括互联网接入、移动和固定电话、数据中心和 IT 托管服务。2023年10月23日上午,GTD 遭受网络攻击,影响了众多服务,包括数据中心、互联网接入和 IP 语音 (VoIP)。为了防止攻击蔓延,该公司将其 IaSS 平台与互联网断开,从而导致了这些中断。

详情

https://www.bleepingcomputer.com/news/security/chilean-telecom-giant-gtd-hit-by-the-rorschach-ransomware-gang/

日本钟表制造商Seiko遭遇勒索攻击,客户数据泄露

日期: 2023-10-26
标签: 制造业, Seiko , BlackCat, 钟表制造商

2023年10月,日本钟表制造商精工(Seiko)证实,2023年早些时候遭受了黑猫勒索软件攻击,并警告称该事件已导致数据泄露,导致敏感的客户、合作伙伴和人员信息暴露。精工表示,其调查证实,其“集团”(SGC)、“手表”(SWC) 和“仪器”(SII) 部门持有的总共 60,000 项“个人数据”遭到了攻击者的破坏。2023 年 8 月 10 日,该公司 警告称 ,有人于 2023 年 7 月 28 日对其至少一台服务器进行了未经授权的访问。2023 年 8 月 21 日,BlackCat/ALPHV 勒索软件团伙 将 Seiko 添加到其勒索网站,声称窃取了现有和即将推出的 Seiko 手表的生产计划、员工护照扫描、新型号发布计划、专门实验室测试结果以及机密技术原理图。Seiko 于 8 月 22 日发布了一份后续声明,承认与其业务合作伙伴和员工有关的某些信息已被泄露,并承诺在调查结束后对情况提供更准确的评估。

详情

https://www.bleepingcomputer.com/news/security/seiko-says-ransomware-attack-exposed-sensitive-customer-data/

0x0b   其他事件

欧洲刑警组织拆除 Ragnar Locker 勒索软件基础设施

日期: 2023-10-23
标签: 信息技术, Ragnar Locker

2023年10月20日,欧洲刑警组织宣布拆除与 Ragnar Locker 勒索软件相关的基础设施,同时逮捕了法国的一个“关键目标”。Ragnar Locker 于 2019 年 12 月首次出现,以针对全球关键基础设施实体的一系列攻击而闻名。据 Eurojust 称,自 2020 年以来,该组织已对全球 168 家国际公司发动了攻击。该机构表示:“在 10 月 16 日至 20 日期间开展的行动中,在捷克、西班牙和拉脱维亚进行了搜查。 ” 据称,与该勒索软件团伙有关的另外五名同伙已在西班牙和拉脱维亚接受了采访,并在荷兰、德国和瑞典查获了服务器和数据泄露门户。此次行动是捷克、法国、德国、意大利、日本、拉脱维亚、荷兰、西班牙、瑞典、乌克兰和美国当局最新的一次协调行动。

详情

https://thehackernews.com/2023/10/europol-dismantles-ragnar-locker.html

西班牙国家警察局捣毁贩卖400万人数据的网络犯罪组织

日期: 2023-10-24
标签: 马德里, 马拉加, 西班牙, 韦尔瓦, 阿利坎特, 穆尔西亚, 信息技术, 网络钓鱼, 电信诈骗

西班牙国家警察局捣毁了一个网络犯罪组织,该组织实施各种计算机诈骗,窃取超过 400 万人的数据并将其货币化。该国执法部门在马德里、马拉加、韦尔瓦、阿利坎特和穆尔西亚进行了16次有针对性的搜查,逮捕了34名犯罪团伙成员。警方突袭行动没收了枪支和手持武器、四辆高端汽车、8万欧元现金以及包含400万人信息的数据库的计算机。该网络犯罪组织与冒充快递公司和电力供应商的电子邮件和短信网络钓鱼有关。

详情

https://www.bleepingcomputer.com/news/security/spain-arrests-34-cybercriminals-who-stole-data-of-4-million-people/

美国前国家安全局雇员承认向俄罗斯泄露机密数据

日期: 2023-10-25
标签: 俄罗斯, 美国, 政府部门, 美国国家安全局(NSA), 绝密国防信息, 敏感文件

美国国家安全局(NSA)的一名前雇员Jareh Sebastian Dalke承认了指控他试图向俄罗斯传输机密国防信息的指控。Jareh Sebastian Dalke于 2022 年 6 月 6 日至 2022 年 7 月 1 日期间担任美国国家安全局信息系统安全设计师,拥有绝密许可可以访问敏感文件。Jareh Sebastian Dalke承认,在 2022 年 8 月至 9 月期间,他使用加密的电子邮件帐户将三份机密文件的摘录传输给俄罗斯特工。文件传输是通过笔记本电脑在科罗拉多州丹佛市中心的联合车站进行的,包括五个文件,其中四个包含绝密国防信息(NDI)。提供的一些信息涉及美国国家安全局更新未具体说明的加密程序的计划以及与美国敏感防御能力和俄罗斯进攻能力相关的威胁评估。

详情

https://thehackernews.com/2023/10/ex-nsa-employee-pleads-guilty-to.html

尼日利亚警方捣毁网络犯罪指导中心

日期: 2023-10-27
标签: 尼日利亚, 信息技术, 电信诈骗

2023年10月,尼日利亚警方表示,逮捕了六名嫌疑人,并捣毁了一个与网络犯罪活动(包括商业电子邮件泄露、爱情和投资诈骗)相关的指导中心。警方表示,此次行动中他们捣毁了位于联邦首都区 (FCT) 阿布贾的一个网络犯罪招募和辅导中心,并查获了一些据信用于犯罪活动的数字设备。当局称,攻击者承认参与网络犯罪活动,包括身份盗窃、黑客入侵和交易被黑客入侵的 Facebook 帐户、与计算机相关的伪造以及其他与计算机相关的欺诈。

详情

https://www.bleepingcomputer.com/news/security/nigerian-police-dismantle-cybercrime-recruitment-mentoring-hub/

Google Play 上的 Android 广告软件应用安装量已达 200 万次

日期: 2023-10-27
标签: 信息技术, Google Play, Android(安卓)

2023年10月下旬,Doctor Web 的分析师发现,多个安装次数超过 200 万次的恶意 Google Play Android 应用程序向用户推送侵入性广告,同时隐藏其在受感染设备上的存在。研究人员发现了 Google Play 上与“FakeApp”、“Joker”和“HiddenAds”恶意软件系列相关的木马。一旦受害者在设备上安装了这些应用程序,他们就会通过将图标替换为 Google Chrome 的图标或使用透明图标图像在应用程序抽屉中创建空白空间来隐藏。这些应用程序启动后会在后台秘密运行,滥用浏览器来投放广告并为其运营商创造收入。

详情

https://www.bleepingcomputer.com/news/security/android-adware-apps-on-google-play-amass-two-million-installs/

0x0c   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x0d   时间线

2023-10-23 360CERT发布安全周报