安全事件周报 2023-10-30 第44周
2023-11-06 16:02

报告编号:CERT-R-2023-506

报告来源:360CERT

报告作者:360CERT

更新日期:2023-11-06

0x01   事件导览

本周收录安全热点62项,话题集中在恶意软件网络攻击行业动向,主要涉及的实体有:谷歌(Google)F5微软(Microsoft)等,主要涉及的黑客组织有:Lazarus GroupAPT34(OilRig、COBALT GYPSY、IRN2、HELIX KITTEN)Pensive Ursa(又名Turla、Uroburos)等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意软件
Lazarus 黑客多次入侵开发环境以部署 SIGNBT 恶意软件
Hunters International 恶意软件与 Hive 勒索软件有关
Lazarus在新攻击行动中使用SIGNBT恶意软件
BiBi-Linux恶意软件针对以色列公司进行数据破坏
恶意软件STRIPEDFLY隐匿感染了 100 万台设备
恶意 NuGet 包滥用 MSBuild 安装恶意软件
分析Kimsuky组织的FastViewer新变种
Arid Viper将移动间谍软件伪装成Android应用程序的更新
分析Turla组织Kazuar后门的新变种
俄罗斯黑客组织Turla的Kazuar后门升级
DoNot利用新Android恶意软件攻击印度克什米尔地区的个人
Lazarus利用新macOS恶意软件攻击区块链工程师
WhatsApp Mods中发现间谍模块
Kill Switch扰乱物联网僵尸网络Mozi
数据安全
黑客通过电子邮件将窃取的美国学区学生数据发送给家长
CLOP 勒索组织窃取了约632,000名美国联邦雇员的电子邮件地址
Okta 警告员工数据泄露
网络攻击
针对俄罗斯白俄罗斯的未知APT行动
新型APT组织“双异鼠” 针对我国的大规模网络攻击行动
Tortoiseshell通过水坑攻击部署IMAPLoader
Higaisa组织针对中国用户的网络钓鱼行动
乌克兰IT军队中断了被俄罗斯占领地区的互联网服务
多伦多公共图书馆遭受网络攻击
大英图书馆因网络攻击而瘫痪
波音公司确认遭受网络攻击导致系统受损
朝鲜黑客用 Kandykorn 攻击 macOS 加密工程师
MuddyWater用先进战术攻击以色列实体
安全漏洞
研究人员发现基于 XMPP 的即时消息服务的窃听活动
F5 修复 BIG-IP 身份验证绕过漏洞
Wyze Cam v3存在安全漏洞,可被远程控制和入侵
阿联酋网络委员会就 Google Chrome 漏洞发出警告
Atlassian 警告 Confluence 严重漏洞会导致数据丢失
微软365中SketchUp 3D 库出现多个漏洞
CISA将BIG-IP漏洞添加到其漏洞目录中
Apache ActiveMQ 漏洞 CVE-2023-46604出现在野利用
安全分析
与加沙冲突相关的黑客活动减少
Wiki-Slack 攻击 可将业务专业人员重定向到恶意网站
Arid Viper 活动针对阿拉伯语用户
通过 DNS 数据发现大规模网络犯罪 URL 缩短服务
Flipper Zero 蓝牙垃圾邮件攻击移植到新的 Android 应用程序
APT34针对中东政府、军队和电信部门的间谍行动
疑似APT-C-36(盲眼鹰)组织投放Amadey僵尸网络木马活动分析
攻击者利用AI发起更复杂的社会工程攻击
行业动向
谷歌宣布扩大其漏洞奖励计划(VRP)
英国安全机构为学校推出保护性 DNS
阿联酋与美国开展网络安全国际合作
美国FTC修订《安全措施规则》要求非银行金融机构报告数据泄露事件
数十个国家将承诺停止向勒索软件团伙支付费用
三星 Galaxy 推出 Auto Blocker 反恶意软件功能
加拿大禁止政府设备上使用微信和卡巴斯基产品
全球28个国家签署《布莱切利宣言》共同应对前沿AI风险
美国政府成立美国人工智能安全研究所
其他事件
奥地利盗版 IPTV 网络被捣毁并缴获 174 万美元
SolarWinds因隐瞒网络安全问题被SEC指控欺诈投资者
LastPass数据库泄露导致黑客窃取440万美元加密货币
Avast 误将 Google 应用标记为 Android 手机上的恶意软件
英国 GDPR 监管机构谴责了英国国民保健服务(NHS)
Mozi僵尸网络突然停运
研究人员揭露Prolific Puma的地下链路缩短服务
伊朗网络间谍组织的目标是中东的金融和政府部门
英国银行警告量子计算将危及国家支付系统
俄罗斯安全部门逮捕疑似乌克兰黑客

0x03   恶意软件

Lazarus 黑客多次入侵开发环境以部署 SIGNBT 恶意软件

日期: 2023-10-30
标签: 信息技术, SIGNBT, Lazarus

尽管开发人员提供了多个补丁和警告,朝鲜 Lazarus 黑客组织还是利用易受攻击的软件中的漏洞多次攻击软件供应商。Lazarus 多次攻击同一受害者的事实表明,黑客的目的是窃取源代码或尝试供应链攻击。卡巴斯基于 2023 年 7 月发现了这次攻击,观察到 Lazarus 使用了多种感染链和妥协后工具集。卡巴斯基将这次攻击归入了 Lazarus 在 2023 年 3 月至 2023 年 8 月期间针对多家软件供应商的攻击活动的更广泛范围内。

详情

https://www.bleepingcomputer.com/news/security/lazarus-hackers-breached-dev-repeatedly-to-deploy-signbt-malware/

Hunters International 恶意软件与 Hive 勒索软件有关

日期: 2023-10-30
标签: 信息技术, Hunters International, Hive

一个名为 Hunters International 的新勒索软件即服务出现,该品牌使用 Hive 勒索软件操作使用的代码。对新加密器的分析显示两个勒索软件团伙之间存在多个代码重叠。安全研究人员分析 Hunters International 恶意软件样本后发现,其与 Hive 勒索软件攻击中使用的代码惊人相似。恶意软件分析师和逆向工程师 rivitna最先发现了新的加密器,并得出结论:Hunters International 恶意软件是 Hive 勒索软件版本 6 的样本。

详情

https://www.bleepingcomputer.com/news/security/new-hunters-international-ransomware-possible-rebrand-of-hive/

Lazarus在新攻击行动中使用SIGNBT恶意软件

日期: 2023-10-31
标签: 信息技术, Lazarus Group, SIGNBT, APT舆情, Lazarus

2023年早些时候,一家软件供应商受到通过未修补的合法软件传播的Lazarus恶意软件的攻击。值得注意的是,这些软件漏洞并不新鲜,尽管供应商发出了警告和补丁,但许多供应商的系统仍然继续使用有缺陷的软件,从而使威胁攻击者能够利用它们。经过进一步调查,研究人员发现开发被利用软件的软件供应商此前曾多次成为Lazarus的受害者。这种反复发生的攻击行为表明,威胁攻击者持续且坚定,其目标可能是窃取有价值的源代码或篡改软件供应链,并且他们在针对其他软件制造商的同时,继续利用公司软件中的漏洞。攻击者表现出高度的复杂性,采用先进的规避技术并引入SIGNBT恶意软件来控制受害者。此外,内存中发现的其他恶意软件包括Lazarus著名的LPEClient,其主要功能是收集受害者信息并从远程服务器下载额外载荷运行,此前曾在针对国防承包商和加密货币行业的攻击中观察到过该工具。

详情

https://securelist.com/unveiling-lazarus-new-campaign/110888/

BiBi-Linux恶意软件针对以色列公司进行数据破坏

日期: 2023-10-31
标签: 以色列, 信息技术, BiBi-Linux, Linux系统

一种名为BiBi-Linux的新恶意软件被发现用于攻击以色列公司的Linux系统,以销毁数据。该恶意软件通过覆盖文件内容来破坏数据和操作系统,而不是使用勒索信或与攻击者协商支付解密器的方式。目前只有两个安全厂商的恶意软件扫描引擎将其检测为恶意。

详情

https://www.bleepingcomputer.com/news/security/new-bibi-linux-wiper-malware-targets-israeli-orgs-in-destructive-attacks/

恶意软件STRIPEDFLY隐匿感染了 100 万台设备

日期: 2023-10-31
标签: 信息技术, StripedFly, TOR 网络隧道

卡巴斯基实验室的研究人员发现了一种名为 StripedFly 的复杂恶意软件,该恶意软件伪装成加密货币挖矿软件,在长达五年的时间里一直未被发现。2022 年,研究人员在 WININIT.EXE 进程中检测到与 NSA 关联的Equation恶意软件相关的旧代码。进一步分析显示,该恶意软件至少从 2017 年就开始使用。卡巴斯基发现 2017 年至 2022 年之间的检测此前曾被错误分类为加密货币挖矿程序。恶意代码具有复杂的模块化结构,同时支持Linux和Windows。恶意代码依赖于内置的 TOR 网络隧道进行 C2 通信,它支持通过 GitLab、GitHub 和 Bitbucket 等可信服务进行更新和交付功能。 卡巴斯基研究人员发现,自 2017 年以来,StripedFly已从 C2 基础设施下载了超过一百万个更新。

详情

https://securityaffairs.com/153208/malware/stripedfly-complex-malware.html

恶意 NuGet 包滥用 MSBuild 安装恶意软件

日期: 2023-11-01
标签: 信息技术, MSBuild, NuGet

新的 NuGet 错字仿冒活动会推送恶意包,这些包滥用 Visual Studio 的 MSBuild 集成来秘密执行代码并安装恶意软件。NuGet 是一个开源包管理器和软件分发系统,使开发人员能够为其项目下载并包含可立即运行的 .NET 库。ReversingLabs 于 2023 年 10 月 15 日发现了最新的 NuGet 活动,该活动利用不同的拼写错误软件包来安装恶意软件。针对 npm 和 PyPI 等软件分发系统的攻击者最近对 NuGet 表现出了兴趣,NuGet 主要针对 Windows 用户,并且在软件开发人员中非常流行。

详情

https://www.bleepingcomputer.com/news/security/malicious-nuget-packages-abuse-msbuild-to-install-malware/

分析Kimsuky组织的FastViewer新变种

日期: 2023-11-01
标签: 政府部门, APT-C-55(Kimsuky), Kimsuky, APT舆情, FastViewer

S2W威胁分析团队最近发现了Kimsuky APT组织的一个新FastViewer样本,发现该组织似乎正在使用FastViewer变种。该恶意应用程序的具体分发路线尚未确定,但据信与去年相同,伪装成合法应用程序。FastViewer负责下载和加载FastSpy,这是实际的远程控制模块,但新发现的变种将FastViewer的一些功能与FastSpy集成在一起, 不会下载额外的恶意软件。该变种具有与旧版FastViewer相同的所有功能,包括字符串混淆、类名、识别受害者的生成值以及土耳其语言的使用。Kimsuky组织继续利用伪装成韩国主要门户网站和流行应用程序的移动恶意软件。

详情

https://medium.com/s2wblog/fastviewer-variant-merged-with-fastspy-and-disguised-as-a-legitimate-mobile-application-f3004588f95c

Arid Viper将移动间谍软件伪装成Android应用程序的更新

日期: 2023-11-02
标签: 政府部门, 信息技术, APT-C-23(Arid Viper/Desert Falcon), APT舆情, 移动间谍软件, Android(安卓)

自2022年4月以来,思科Talos一直在跟踪由Arid Viper组织针对阿拉伯语Android用户发起的恶意活动。在此活动中,攻击者利用定制的移动恶意软件从目标收集敏感信息,并将其他恶意软件部署到受感染的设备上。虽然Arid Viper据信位于加沙,但Cisco Talos没有证据表明或反驳这一行动与以色列-哈马斯战争有任何关系。该活动中使用的移动恶意软件与非恶意在线约会应用程序Skipped有相似之处。该恶意软件在应用程序的开发平台上使用相似的名称和相同的共享项目。 这种重叠表明Arid Viper要么与Skipped的开发人员有联系,要么以某种方式非法访问了共享项目的数据库。Arid Viper的 Android恶意软件具有许多功能,使攻击者能够禁用安全通知、收集用户的敏感信息以及在设备上部署其他恶意应用程序。

详情

https://blog.talosintelligence.com/arid-viper-mobile-spyware/

分析Turla组织Kazuar后门的新变种

日期: 2023-11-02
标签: 信息技术, 政府部门, Pensive Ursa(又名Turla、Uroburos), APT舆情, 俄罗斯联邦安全局(FSB), 乌克兰国防部门

在追踪Pensive Ursa(又名Turla、Uroburos)的进化过程中,Unit 42的研究人员发现了Kazuar的一种新的升级变种。Kazuar是一种先进且隐秘的.NET后门,Peptic Ursa通常将其用作第二阶段的有效载荷。Plenty Ursa是一个总部位于俄罗斯的威胁组织,至少自2004年以来一直在活动,与俄罗斯联邦安全局(FSB)有关。乌克兰CERT于2023年7月报告称,该版本的Kazuar的目标是乌克兰国防部门。该变种背后的威胁组织正在追踪敏感资产,例如信号消息、源代码控制和云平台数据中发现的资产。

详情

https://unit42.paloaltonetworks.com/pensive-ursa-uses-upgraded-kazuar-backdoor/

俄罗斯黑客组织Turla的Kazuar后门升级

日期: 2023-11-02
标签: 俄罗斯, 政府部门, Turla, Kazuar后门, 乌克兰国防部门

根据Palo Alto Networks的报告,最新版本的Kazuar后门可能比以前想象的更加复杂。俄罗斯黑客组织Turla在2023年7月使用Kazuar后门针对乌克兰国防部门进行攻击。Palo Alto的威胁情报团队Unit 42的研究人员发现了Kazuar最新版本中以前未记录的功能,这是一个.NET后门,Turla将其用作第二阶段的有效负载,与其他工具一起交付。新功能显示了Kazuar代码结构和功能的显著改进。

详情

https://www.infosecurity-magazine.com/news/palo-alto-features-russian-turla/

DoNot利用新Android恶意软件攻击印度克什米尔地区的个人

日期: 2023-11-03
标签: 信息技术, SQLite数据库, Android(安卓), APT舆情

Cyble研究与情报实验室(CRIL)发现了DoNot APT组织使用的新版Android恶意软件,可能针对印度克什米尔地区的个人。DoNot APT组织利用GitHub上提供的开源项目并添加了恶意代码将应用程序武器化。更新后的恶意软件现在包括附加功能,例如记录VoIP呼叫、从短信和社交媒体应用程序收集消息以及收集各种其他类型的数据。该恶意软件采用由Firebase云消息传递组成的命令和控制架构(FCM)服务器与另外两个命令和控制(C&C)服务器一起维持通信。恶意软件将窃取的信息存储在SQLite数据库中。

详情

https://cyble.com/blog/donot-apt-expands-its-arsenal-to-spy-on-victims-voip-calls/

Lazarus利用新macOS恶意软件攻击区块链工程师

日期: 2023-11-03
标签: 信息技术, Lazarus Group, 区块链安全, APT舆情, macOS

Elastic Security Labs披露了针对加密货币交易平台的区块链工程师的新攻击行动。该行动利用了定制和开源功能的组合来进行初始访问和后渗透。事件捕获源自攻击者试图将二进制文件加载到内存中这个macOS 的非典型行为,最后追溯到一个Python应用程序,该应用程序冒充加密货币套利机器人,通过公共Discord服务器上的直接消息传递。Elastic Security Labs根据对技术、网络基础设施、代码签名证书和Lazarus组织定制的检测规则的分析,将此活动归因于Lazarus组织。

详情

https://www.elastic.co/security-labs/elastic-catches-dprk-passing-out-kandykorn

WhatsApp Mods中发现间谍模块

日期: 2023-11-03
标签: 阿塞拜疆, 沙特阿拉伯, 也门, 土耳其, 埃及, 信息技术, WhatsApp, 间谍模块, WhatsApp模组

2023年11月初,卡巴斯基表示,几个流行的WhatsApp模组被发现包含一个间谍模块,识别为trojan - spy . android . canesspy。间谍模块通过利用木马客户端清单中的可疑组件来运行,包括WhatsApp官方客户端中不存在的服务和广播接收器。这些组件监听各种系统和应用程序事件,例如电话充电、文本消息和文件下载。一旦被激活,接收器就会触发间谍模块。

卡巴斯基表示,仅在10月5日至31日期间,其网络安全解决方案就在100多个国家拦截了超过34万次与WhatsApp间谍模块相关的攻击,其中阿塞拜疆、沙特阿拉伯、也门、土耳其和埃及等国家的攻击次数最多。

详情

https://www.infosecurity-magazine.com/news/spy-module-whatsapp-mods/

Kill Switch扰乱物联网僵尸网络Mozi

日期: 2023-11-03
标签: 中国, 印度, 信息技术, Mozi僵尸网络, Kill Switch

2023年11月初,ESET在一份分析报告中表示,2023年8月与Mozi僵尸网络相关的恶意活动意外下降与Kill Switch有关。Mozi是一个物联网僵尸网络,它来自几个已知恶意软件家族的源代码,如Gafgyt、Mirai和IoT Reanner。它于2019年首次被发现,众所周知,它利用弱和默认的远程访问密码以及未修补的安全漏洞进行初始访问。2023年8月8日,印度出现了这种下降。2023年8月16日,中国也出现这种情况。Kill Switch有效载荷剥夺了Mozi僵尸网络的大部分功能,并在其中保持了持久性。印度和中国相继成为打击目标表明,这次打击是有预谋的。

详情

https://thehackernews.com/2023/11/mysterious-kill-switch-disrupts-mozi.html

0x04   数据安全

黑客通过电子邮件将窃取的美国学区学生数据发送给家长

日期: 2023-10-30
标签: 教育行业, 美国内华达州克拉克县学区 (CCSD), Google Workspace

2023年10月下旬,美国内华达州克拉克县学区 (CCSD) 正在处理潜在的大规模数据泄露事件,黑客通过电子邮件向家长发送了据称在最近的网络攻击中被盗的孩子数据。CCSD 是美国第五大学区,拥有超过 300,000 名学生和 15,000 名教师。2023年10 月 16 日,CCSD 证实2023年10月早些时候遭受了网络攻击,称攻击者获得了该学区电子邮件服务器的访问权限。为了应对此次攻击,CCSD 禁止外部帐户访问其 Google Workspace,并强制重置所有学生的密码。家长们收到了来自攻击者的电子邮件,警告他们孩子的数据已被泄露。

详情

https://www.bleepingcomputer.com/news/security/hackers-email-stolen-student-data-to-parents-of-nevada-school-district/

CLOP 勒索组织窃取了约632,000名美国联邦雇员的电子邮件地址

日期: 2023-11-03
标签: 政府部门, 美国国防部, 美国司法部(DoJ), 联邦雇员, 电子邮件地址

俄语系勒索软件集团 Clop 窃取了美国国防部和司法部约63.2万名联邦雇员的电子邮件地址。攻击者利用 OPM 的服务提供商 Westat 公司使用的系统中的 MOVEit 漏洞获取了数据。MOVEit 运动还针对更多的美国机构,包括卫生与公众服务部、农业部和总务管理局。2023年7月,美国联邦网络安全官员向众议院科学、空间和技术委员会(House Science,Space and Technology Committee)报告了政府部门遭受攻击的消息。一名未经授权的攻击者获得了政府电子邮件地址、人事管理办公室管理的政府雇员调查链接以及人事管理办公室内部追踪代码。受影响的员工来自司法部和国防部的各个部门: 空军、陆军、美国陆军工兵(印度)、国防部长办公室、联合参谋部和国防机构以及实地活动。

详情

https://securityaffairs.com/153486/data-breach/clop-group-us-federal-employees.html

Okta 警告员工数据泄露

日期: 2023-11-03
标签: 信息技术, 卫生行业, Okta, 员工数据, 第三方数据泄露

云身份和访问管理解决方案提供商 Okta 警告近5000名员工,由于第三方供应商莱特威医疗(Right way Healthcare)的数据泄露,他们的个人信息被暴露。2023年10月12日,一名未经授权的攻击者获得了该服务提供商为 Okta 提供服务时所保存的资格普查文件。莱特威医疗(Right way Healthcare)表示未经授权的活动发生在2023年9月23日公开的数据包括姓名、社会安全号码以及健康或医疗保险计划号码。通知指出,该公司不知道任何滥用公开的个人信息的情况。根据数据泄露通知,安全漏洞影响了总共4961名员工。

详情

https://securityaffairs.com/153478/data-breach/okta-data-breach-third-party-vendor.html

0x05   网络攻击

针对俄罗斯白俄罗斯的未知APT行动

日期: 2023-10-30
标签: 白俄罗斯, 俄罗斯, 信息技术, CVE-2023-38831, APT舆情

近期,深信服深瞻情报实验室在日常的威胁狩猎活动中,发现多个来源为白俄罗斯,俄罗斯的压缩包文件。经过分析发现这些压缩包文件均为精心构造的,利用WinRAR漏洞(CVE-2023-38831)进行恶意攻击的样本。此次攻击事件中,攻击者所使用的精心构造的欺骗性文档,以及针对不同的攻击目标而使用不同的加密密码,对官方文档进行日期的替换修改等均展现出来攻击者的专业性。从捕获到的样本来看,攻击者似乎并没有成熟的武器库,最初的攻击行为略显青涩,但其后续快速迭代的能力,以及钓鱼话术及钓鱼文档的使用上,最新漏洞的成熟利用,专业化C2工具的使用上,目标的精确选取上,不符合网络犯罪组织的行为特征,因此认为该次攻击事件为未知APT攻击。

详情

https://mp.weixin.qq.com/s/vO3csfK--C9Z98K2lMTVMA

新型APT组织“双异鼠” 针对我国的大规模网络攻击行动

日期: 2023-10-30
标签: 政府部门, APT舆情

近期,绿盟科技伏影实验室在威胁狩猎过程中确认了一个未知来源的新型APT攻击,攻击者策划发动了一场持续时间六个月以上的针对我国的大型网络攻击行动。该攻击者具有较高的黑客技术水平以及极高的攻击破坏能力。伏影实验室在持续调查过程中发现了该攻击者的数次网络攻击活动与两种独有武器工具,并关联确认了该攻击者针对国内多个目标的入侵行为。

详情

https://mp.weixin.qq.com/s/FnUMSdLlV24SnYfPvj-HVA

Tortoiseshell通过水坑攻击部署IMAPLoader

日期: 2023-10-30
标签: 信息技术, 交通运输, 科研服务, Yellow Liderc(又名Imperial Kitten、Tortoiseshell、TA456、Crimson Sandstorm), APT舆情, 水坑攻击

自2019年以来,普华永道一直在追踪一个位于伊朗的威胁组织Yellow Liderc(又名Imperial Kitten、Tortoiseshell、TA456、Crimson Sandstorm)。 该组织仍然对许多行业和国家构成积极和持续的威胁,包括地中海地区的海事、航运和物流部门;美国和欧洲的核工业、航空航天工业和国防工业;以及中东的IT管理服务提供商。2022年至2023年间,威胁组织实施了水坑攻击,嵌入JavaScript,对网站访问者进行指纹识别并捕获受害者用户位置、设备信息和访问时间。这些攻击的目标主要集中在海事、航运和物流领域,一些受害者受到了后续恶意软件IMAPLoader的攻击。

详情

https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/yellow-liderc-ships-its-scripts-delivers-imaploader-malware.html

Higaisa组织针对中国用户的网络钓鱼行动

日期: 2023-10-30
标签: 信息技术, 网络钓鱼攻击, APT舆情

Cyble研究与情报实验室(CRIL)发现了一个新的APT攻击行动,其重点是通过模仿知名软件应用程序的网络钓鱼网站来引诱毫无戒心的受害者。在此次攻击行动中,攻击者将钓鱼网站伪装成专为中国用户定制的OpenVPN软件,并充当传播恶意负载的主机。执行后,安装程序会在系统上投放并运行基于Rust的恶意软件,随后触发Shellcode。Shellcode执行反调试和解密操作。然后,它与远程威胁攻击者建立加密的命令和控制(C&C)通信。该恶意软件的特征与Higaisa APT组织在过去的行动中使用的特征相似。

详情

https://cyble.com/blog/higaisa-apt-resurfaces-via-phishing-website-targeting-chinese-users/

乌克兰IT军队中断了被俄罗斯占领地区的互联网服务

日期: 2023-10-30
标签: 政府部门, 信息技术, 乌克兰IT 军队

乌克兰IT 军队暂时中断了被俄罗斯占领地区的互联网服务。该组织对俄罗斯三家互联网提供商“Miranda-media”、“Krimtelekom”和“MirTelekom”进行了DDoS攻击。IT Army邀请支持者通过安装其软件参与行动。这次攻击不仅影响了克里米亚,还影响了赫尔松、扎波罗热、顿涅茨克和卢甘斯克等被占领地区的通信。俄罗斯的Miranda Media ISP在周五宣布,自10月27日以来,他们遭受了来自乌克兰黑客组织的前所未有的DDoS攻击,导致其服务暂时不可用。

详情

https://securityaffairs.com/153192/hacktivism/it-army-of-ukraine-hit-russia-isp.html

多伦多公共图书馆遭受网络攻击

日期: 2023-10-31
标签: 加拿大, 信息技术, 文化传播, 多伦多公共图书馆(TPL), 数据暴露

加拿大最大的公共图书馆系统——多伦多公共图书馆(TPL)在上周六(10月28日)遭受了一次网络攻击,导致其多项在线服务中断。目前,TPL的官方网站仍然无法访问,其中包括“您的账户”功能、数字收藏、公共计算机和打印服务等。然而,图书馆分馆仍然开放,并按照预定时间表运行,人们可以像往常一样借还书籍。此外,托管在其他地方的在线服务,如Kanopy、Digital Archive、Digital Archive Ontario、TPL Kids和“Ready for Reading”,仍然可用。TPL尚未透露有关此次网络安全事件的详细信息,但表示目前没有证据表明员工或客户的数据已暴露。TPL强调其快速响应和积极的安全措施,并请求用户耐心等待,因为完全恢复系统可能需要一些时间。

详情

https://www.bleepingcomputer.com/news/security/toronto-public-library-services-down-following-weekend-cyberattack/

大英图书馆因网络攻击而瘫痪

日期: 2023-11-01
标签: 文化传播, 大英图书馆

2023年10 月 28 日星期六,一场“网络事件”影响了大英图书馆的系统,导致其网站和许多服务遭受重大 IT 中断。此次中断影响大英图书馆的在线系统和服务、网站以及包括阅览室在内的现场服务,但设施,包括供个人学习的阅览室仍在运行。该图书馆尚未提供有关攻击性质以及恶意行为者如何破坏其系统的详细信息。

详情

https://www.bleepingcomputer.com/news/security/british-library-knocked-offline-by-weekend-cyberattack/

波音公司确认遭受网络攻击导致系统受损

日期: 2023-11-02
标签: 交通运输, 制造业, Lockbit, 波音公司

10月27日,在泄密网站上的一篇帖子中,Lockbit勒索软件集团宣布其入侵了波音公司的系统,并要求波音公司在11月2日之前支付赎金或公布敏感文件。Lockbit勒索软件集团声称它能够通过零日漏洞进入波音公司的系统。就在Lockbit勒索软件集团声称其入侵了波音公司的系统几天后,这家航空公司已经证实其系统确实遭到了入侵。波音公司表示这起网络事件正在影响其零部件和分销业务。

详情

https://www.darkreading.com/endpoint/boeing-confirms-system-compromise-alerting-customers

朝鲜黑客用 Kandykorn 攻击 macOS 加密工程师

日期: 2023-11-02
标签: 信息技术, 金融业, REF7001, Kandykorn

据观察,怀疑与 Lazarus 集团有关联的朝鲜黑客利用一种名为 Kandykorn 的新 MacOS 恶意软件攻击参与加密货币交换平台的区块链工程师。这次入侵被 Elastic Security Labs 追踪为 REF7001,利用自定义和开源功能的结合,在 macOS 系统上获得初始访问和后期开发。入侵始于攻击者在公共 Discord 服务器上假扮区块链工程社区的成员,说服受害者下载并解压包含恶意代码的 ZIP 档案。

详情

https://www.infosecurity-magazine.com/news/north-korea-crypto-engineers/

MuddyWater用先进战术攻击以色列实体

日期: 2023-11-03
标签: 以色列, 政府部门, MuddyWater, 鱼叉式网络钓鱼

2023年11月1日,Deep Instinct Threat Research团队表示,“MuddyWater”组织发起了一场新的社会工程活动,目标是两个以色列实体。MuddyWater是一个自2020年以来以鱼叉式网络钓鱼电子邮件而闻名的组织,它历来使用链接和pdf、rtf和HTML附件,将受害者引导到托管在不同文件共享平台上的档案。在以色列-哈马斯冲突期间,MuddyWater重复使用了这些已知的远程管理工具,并利用了一种名为“storyblock”的新文件共享服务。2023年10月30日,Deep Instinct在storyblock上发现了两个档案,其中包括一种新的多阶段感染载体。该矢量隐藏文件,包括启动感染的LNK文件和执行高级监控代理(远程管理工具)的可执行文件。这标志着MuddyWater首次公开报告使用这种特殊的远程管理工具。

详情

https://www.infosecurity-magazine.com/news/muddywater-targets-israeli-entities/

0x06   安全漏洞

研究人员发现基于 XMPP 的即时消息服务的窃听活动

日期: 2023-10-30
标签: 德国, 信息技术, Let's Encrypt服务

一项新的研究发现,有攻击者试图通过在德国的Hetzner和Linode(Akamai的子公司)服务器上托管的服务器,秘密拦截来自jabber[.]ru(又名xmpp[.]ru)的XMPP即时通讯服务的流量。攻击者使用Let's Encrypt服务签发了几个新的TLS证书,用于劫持端口5222上的加密STARTTLS连接。这次攻击是由于其中一个中间人证书过期而被发现的。目前的证据表明,流量重定向是在托管提供商网络中配置的,排除了服务器入侵或欺骗攻击的可能性。据估计,这次窃听活动持续了长达六个月,从2023年4月18日持续到2023年10月19日。

详情

https://thehackernews.com/2023/10/researchers-uncover-wiretapping-of-xmpp.html

F5 修复 BIG-IP 身份验证绕过漏洞

日期: 2023-10-30
标签: 信息技术, F5, CVE-2023-46747, F5 BIG-IP

F5 BIG-IP 配置实用程序中存在一个严重漏洞(编号为 CVE-2023-46747),允许远程访问配置实用程序的攻击者执行未经身份验证的远程代码执行。该漏洞的 CVSS v3.1 评分为 9.8,评级为“严重”,因为无需身份验证即可在低复杂性攻击中利用该漏洞。此漏洞可能允许未经身份验证的攻击者通过管理端口和/或自身 IP 地址对 BIG-IP 系统进行网络访问,从而执行任意系统命令。 攻击者只能利用具有暴露于互联网的流量管理用户界面 (TMUI) 的设备,并且不会影响数据平面。 然而,由于 TMUI 通常在内部暴露,已经危害网络的攻击者可能会利用该漏洞。

详情

https://www.bleepingcomputer.com/news/security/f5-fixes-big-ip-auth-bypass-allowing-remote-code-execution-attacks/

Wyze Cam v3存在安全漏洞,可被远程控制和入侵

日期: 2023-10-31
标签: 制造业, 信息技术, Wyze Cam v3, DTLS认证绕过, 堆栈缓冲区溢出

2023年10月,安全研究人员发现了Wyze Cam v3设备的最新固件中存在两个漏洞,可以链在一起实现对受影响设备的远程代码执行。第一个漏洞是'iCamera'守护程序中的DTLS认证绕过问题,允许攻击者使用任意预共享密钥来绕过安全措施。第二个漏洞出现在建立了经过DTLS认证的会话之后,当客户端发送一个JSON对象时,iCamera代码解析该对象时可能会受到攻击,导致堆栈缓冲区溢出。这些漏洞使得攻击者可以利用受影响的设备作为后门,并进一步入侵网络中的其他设备。

详情

https://www.bleepingcomputer.com/news/security/rce-exploit-for-wyze-cam-v3-publicly-released-patch-now/

阿联酋网络委员会就 Google Chrome 漏洞发出警告

日期: 2023-10-31
标签: 信息技术, Google Chrome

阿拉伯联合酋长国网络安全委员会已就 Google Chrome 中的高风险漏洞发出警告,该漏洞可能允许攻击者远程执行代码。阿拉伯联合酋长国网络安全委员会在 X(前身为 Twitter)上发布了一份声明,警告浏览器中存在漏洞。所涉及的漏洞是CVE-2023-5472,它会影响 Profiles 组件中的未知功能,这将允许远程攻击者通过精心设计的 HTML 页面来潜在地利用堆损坏。阿联酋网络安全委员会建议用户将 Chrome 浏览器更新到最新版本,以防范任何潜在威胁。

详情

https://www.darkreading.com/dr-global/uae-cyber-council-warns-google-chrome-vulnerability

Atlassian 警告 Confluence 严重漏洞会导致数据丢失

日期: 2023-11-01
标签: 信息技术, CVE-2023-22518

澳大利亚软件公司 Atlassian 警告管理员立即修补暴露在互联网上的 Confluence 实例,以防止严重的安全漏洞,成功利用该漏洞可能会导致数据丢失。该漏洞被描述为影响 Confluence Data Center 和 Confluence Server 软件所有版本的不当授权漏洞,被跟踪为 CVE-2023-22518,并使可公开访问的实例面临严重风险。该公司修复了 Confluence 数据中心和服务器版本 7.19.16、8.3.4、8.4.4、8.5.3 和 8.6.1 中的严重 CVE-2023-22518 漏洞。Atlassian 警告管理员立即升级到固定版本,如果不可能,则采取缓解措施,包括备份 未修补的实例 并阻止互联网访问,直到升级为止。

详情

https://www.bleepingcomputer.com/news/security/atlassian-warns-of-critical-confluence-flaw-leading-to-data-loss/

微软365中SketchUp 3D 库出现多个漏洞

日期: 2023-11-02
标签: 信息技术, 微软(Microsoft), CVE-2023-28285, CVE-2023-29344, CVE-2023-3314

微软在2022年6月将对 SketchUp 3D Library 的支持加入到微软365中,这给该公司基于云的生产力和协作工具套件带来了许多漏洞。微软为这些漏洞分配了三个 CVE 标识符,分别是 CVE-2023-28285、 CVE-2023-29344和 CVE-2023-33146,并在5月和6月的安全更新中发布了这些漏洞的补丁。然而,ThreatLabz 的研究人员开发了一个修复的旁路,致使微软在2023年6月禁用对 SketchUp 的支持。CVE-2023-28285、 CVE-2023-29344和 CVE-2023-3314都是与 SketchUp (.Skp)文件解析。Microsoft 已经评估了这些漏洞的严重性,从补救优先级的角度来看,这些漏洞的严重性通常比关键的严重性漏洞低一级。攻击者只能通过欺骗潜在受害者运行恶意文件来利用的漏洞。

详情

https://www.darkreading.com/vulnerabilities-threats/more-than-100-vulnerabilities-in-microsoft-office-tied-to-sketchup-3d-library

CISA将BIG-IP漏洞添加到其漏洞目录中

日期: 2023-11-02
标签: 信息技术, CVE-2023-46747, CVE-2023-46748, BIG-IP

美国网络安全和基础设施安全局(CISA)将BIG-IP漏洞CVE-2023-46747和CVE-2023-46748添加到其已知利用漏洞目录中。

CVE-2023-46747 F5 BIG-IP身份验证绕过漏洞- F5 BIG-IP配置实用程序包含使用替代路径或通道漏洞的身份验证绕过,该漏洞是由于未公开的请求,可能允许未经身份验证的攻击者通过管理端口和/或自身IP地址访问BIG-IP系统以执行系统命令。此漏洞可以与CVE-2023-46748一起使用。

CVE-2023-46748 F5 BIG-IP SQL注入漏洞—F5 BIG-IP配置实用程序包含一个SQL注入漏洞,该漏洞可能允许经过身份验证的攻击者通过BIG-IP管理端口和/或自身IP地址进行网络访问,以执行系统命令。此漏洞可以与CVE-2023-46747一起使用。

专家警告称,在PoC漏洞披露后不到五天,攻击者就开始利用F5 BIG-IP安装中的关键漏洞CVE-2023-46747。

详情

https://securityaffairs.com/153374/hacking/f5-big-ip-flaws-known-exploited-vulnerabilities-catalog.html

Apache ActiveMQ 漏洞 CVE-2023-46604出现在野利用

日期: 2023-11-03
标签: 信息技术, Apache, CVE-2023-46604, ApacheActiveMQ, 在野利用

2023年11月初,Rapid7的网络安全研究人员警告称,Apache ActiveMQ 中最近披露的关键漏洞 CVE-2023-46604可能遭到了利用。ApacheActiveMQ 是一个开源的消息代理软件,作为一个面向消息的中间件(MOM)平台。Rapid7发现了利用 CVE-2023-46604漏洞在两个不同的客户环境中部署 HelloKitty 勒索软件的企图。攻击者试图部署 HelloKitty 勒索软件,其源代码在10月初的一个网络犯罪论坛上被泄露。CVE-2023-46604是一个影响 ApacheActiveMQ 的远程代码执行漏洞。对代理具有网络访问权限的远程攻击者可以利用这一漏洞运行“任意的 shell 命令,方法是操纵 OpenWire 协议中的序列化类类型,使代理实例化类路径上的任何类。Apache 在2023年10月25日发布了新版本的 ActiveMQ,从而解决了这个问题。研究人员指出,概念验证的开发代码和漏洞细节都是公开的。

详情

https://securityaffairs.com/153454/hacking/apache-activemq-cve-2023-46604-hellokitty-ransomare.html

0x07   安全分析

与加沙冲突相关的黑客活动减少

日期: 2023-10-30
标签: 政府部门, 信息技术, 以色列-哈马斯冲突

根据Security Scorecard发布的研究,围绕以色列-哈马斯冲突的黑客活动已经显著放缓。一些组织不再策划此类攻击,而另一些则将注意力转向以色列以外的目标。例如,亲巴勒斯坦的Dark Storm Team曾在2023年8月在暗网论坛上声称将“攻击以色列基础设施”,并在10月初表示正在准备针对以色列的欧洲盟友的攻击。然而,截至10月20日,该组织已转而推广其DDoS服务选项。此外,许多黑客组织曾威胁要发动破坏性攻击,但自10月8日以来,波斯语系的亲巴勒斯坦黑客频道Solomon's Ring没有宣布任何攻击行动。尽管该频道自2022年10月以来一直活跃,并声称从以色列数据中心窃取数据,但没有证据表明这一点,也没有泄露任何数据。

详情

https://www.darkreading.com/dr-global/hacktivist-activity-related-to-gaza-conflict-dwindles

Wiki-Slack 攻击 可将业务专业人员重定向到恶意网站

日期: 2023-10-31
标签: 信息技术, Slack, Wiki-Slack 攻击, 重定向

eSentire 威胁响应单元 (TRU) 安全研究人员发现了一种名为 Wiki-Slack 攻击的新攻击技术,可用于将业务专业人员重定向到恶意网站。攻击者在维基百科中选择潜在受害者可能感兴趣的主题,然后他们将转到维基百科条目的第一页并编辑该页面。这个技巧包括在条目中添加合法的引用脚注。当文章在 Slack 上共享时,脚注可以为格式错误做好准备。一旦满足某些附加条件(通过对维基百科文章进行小的语法更改即可轻松实现),Slack 将呈现原始维基百科文章中不可见的链接。研究人员指出,脚注本身并无恶意,但在某些附加条件下,由于维基百科文章的语法发生微小变化,Slack 会呈现原始维基百科文章中不可见的链接。

详情

https://securityaffairs.com/153245/hacking/wiki-slack-attack.html

Arid Viper 活动针对阿拉伯语用户

日期: 2023-11-01
标签: 信息技术, Arid Viper

2023年10月31日,思科 Talos 的网络安全专家曝光了间谍驱动的 Arid Viper 高级持续威胁 (APT) 组织的最新行动。这项新活动自 2022 年 4 月开始活跃,一直针对讲阿拉伯语的 Android 用户。Arid Viper 的作案手法涉及以 Android 包 (APK) 格式部署定制的移动恶意软件。围绕“Arid Viper”活动的关键谜团之一是攻击者与以色列-哈马斯冲突之间可能存在的联系。然而,没有具体证据证实或否认这种联系。

详情

https://www.infosecurity-magazine.com/news/arid-viper-targets-arabic-speaking/

通过 DNS 数据发现大规模网络犯罪 URL 缩短服务

日期: 2023-11-01
标签: 信息技术, Prolific Puma 活动, DNS

Infoblox 是一家专注于 DNS 的安全供应商,每天都会查看 700 亿条 DNS 查询,六个月前,在检测到用于为恶意 URL 缩短服务创建域名的注册域生成算法 ( RDGA ) 后,首次观察到 Prolific Puma 活动。“Prolific Puma”的攻击者已经向网络犯罪分子提供链接缩短服务至少四年了,同时保持足够低调以使其操作不被发现。在不到一个月的时间里,Prolific Puma 注册了数千个域名,其中许多位于美国顶级域名 (usTLD),以帮助传播网络钓鱼、诈骗和恶意软件。

详情

https://www.bleepingcomputer.com/news/security/massive-cybercrime-url-shortening-service-uncovered-via-dns-data/

Flipper Zero 蓝牙垃圾邮件攻击移植到新的 Android 应用程序

日期: 2023-11-01
标签: 信息技术, Flipper Zero 蓝牙垃圾邮件攻击

Flipper Zero 蓝牙垃圾邮件攻击已移植到 Android 应用程序中,允许更多数量的设备实施这些烦人的垃圾邮件警报。受到之前对该主题的研究以及 针对 iOS 设备以及后来的 Android 和 Windows 的Flipper Zero 小程序的启发,软件开发人员 Simon Dankelmann 开发了一款能够处理相同蓝牙垃圾邮件的 Android 应用程序。这款名为“ Bluetooth-LE-Spam”的 Android 应用程序可以生成 BLE(蓝牙低功耗)广告包,将各种设备欺骗到附近的 Windows 和 Android 设备,从而无需使用 Flipper Zero。该项目仍处于早期开发阶段。该应用程序可以以高达 1 秒的频率设置时间间隔广播连接请求,目标是 Android 上的“快速配对”或 Windows 上的“快速配对”。

详情

https://www.bleepingcomputer.com/news/security/flipper-zero-bluetooth-spam-attacks-ported-to-new-android-app/

APT34针对中东政府、军队和电信部门的间谍行动

日期: 2023-11-02
标签: 金融业, 信息技术, APT34(OilRig、COBALT GYPSY、IRN2、HELIX KITTEN), 间谍活动, APT舆情, LIONTAIL

Check Point Research正在监测伊朗情报与安全部(MOIS)下属的Scarred Manticore正在进行的间谍行动。这些攻击依赖于LIONTAIL,这是一种安装在Windows服务器上的高级被动恶意软件框架。出于隐蔽目的,LIONTIAL植入程序利用对Windows HTTP堆栈驱动程序HTTP.sys的直接调用来加载驻留在内存中的有效载荷。当前的活动在2023年中期达到顶峰,并至少持续了一年。该行动针对中东地区的知名组织,重点关注政府、军队和电信部门,此外还有IT服务提供商、金融组织和非政府组织。

详情

https://research.checkpoint.com/2023/from-albania-to-the-middle-east-the-scarred-manticore-is-listening/

疑似APT-C-36(盲眼鹰)组织投放Amadey僵尸网络木马活动分析

日期: 2023-11-02
标签: 厄瓜多尔, 巴拿马, 政府部门, APT-C-36(盲眼鹰), APT舆情

APT-C-36(盲眼鹰)是一个疑似来自南美洲的APT组织,主要目标位于哥伦比亚境内,以及南美的一些地区如厄瓜多尔和巴拿马。该组织自2018年被发现以来,持续发起针对哥伦比亚国家的政府部门、金融、保险等行业以及大型公司的定向攻击。在对APT-C-36组织追踪过程中,360高级威胁研究院发现该组织在不断尝试新的攻击流,尝试将Amadey僵尸网络木马加入到武器库中。

详情

https://mp.weixin.qq.com/s/-7U1-NTP0EdVOtptzbHUsg

攻击者利用AI发起更复杂的社会工程攻击

日期: 2023-11-03
标签: 信息技术, 网络钓鱼电子邮件, 人工智能(AI)

网络犯罪分子正在利用人工智能(AI)发起更复杂的社会工程攻击,专家警告说,区分真实和人工智能生成的内容变得越来越困难。这一趋势在英国政府的人工智能安全峰会上得到了强调,该峰会的重点是人工智能的风险和减轻风险的策略。网络犯罪分子利用生成式人工智能工具的主要方式是,发送更逼真的网络钓鱼电子邮件,以及利用深度伪造来冒充高级商业领袖的声音,骗取企业巨额资金。

详情

https://www.infosecurity-magazine.com/news/people-hacker-ai-social/

0x08   行业动向

谷歌宣布扩大其漏洞奖励计划(VRP)

日期: 2023-10-30
标签: 信息技术, 谷歌(Google), 漏洞奖励计划(VRP), 生成式人工智能

谷歌宣布扩大其漏洞奖励计划(VRP),以补偿研究人员发现针对生成式人工智能(AI)系统的攻击场景,以提高AI的安全性和安全性。该计划将涵盖一些类别,包括提示注入、训练数据集的敏感数据泄漏、模型操纵、引发误分类的对抗性扰动攻击以及模型盗窃等。此外,谷歌还加强了对AI供应链的安全措施,通过现有的开源安全倡议,如软件工件供应链级别(SLSA)和Sigstore。这些举措旨在提高AI系统的安全性和可靠性。

详情

https://thehackernews.com/2023/10/google-expands-its-bug-bounty-program.html

英国安全机构为学校推出保护性 DNS

日期: 2023-10-30
标签: 教育行业, 英国国家网络安全中心 (NCSC) , PDNS

2023年10月底,英国国家网络安全中心 (NCSC) 宣布推出一项新产品,旨在防止学校用户访问恶意网站。NCSC 经济和社会副主任 Sarah Lyons 表示,学校 PDNS 完全免费,并将从2023年10月到2024年推出。学校 PDNS 基于 NCSC 主动网络防御战略中长期运行的部分:保护性域名服务 (PDNS)。它由 .uk 注册机构 Nominet 于 2017 年实施,是一个递归解析器 - 查找 DNS 查询的答案并阻止对有风险的网站的访问。PDNS 通过简单地不解析已知的恶意域来阻止其访问。从源头上防止恶意软件、勒索软件、网络钓鱼攻击、病毒、恶意网站和间谍软件的访问可以使网络更加安全。

详情

https://www.infosecurity-magazine.com/news/security-agency-rolls-protective/

阿联酋与美国开展网络安全国际合作

日期: 2023-10-31
标签: 阿拉伯联合酋长国, 美国, 政府部门, 网络安全国际合作

2023年10月末,阿拉伯联合酋长国网络安全委员会已同意与美国建立多项合作伙伴关系,以更好地提高其威胁情报共享能力,包括推进与其他国家的合作。阿联酋签署了一系列谅解备忘录 (MoU),以更好地改善该国境内的网络安全状况,其中包括与美国财政部签署的谅解备忘录。 该国还与摩洛哥签署了一份谅解备忘录,两国将成立一个联合委员会,负责规划和监督应对网络攻击能力的实施(该协议具体要点的详细信息不详),此外还与乍得签署了谅解备忘录,其中两国承诺在网络问题上开展国际合作。

详情

https://www.darkreading.com/dr-global/uae-cyber-future-us-treasury-partnership-collaborations

美国FTC修订《安全措施规则》要求非银行金融机构报告数据泄露事件

日期: 2023-10-31
标签: 政府部门, 金融业, 信息技术, 美国联邦贸易委员会(FTC), 数据泄漏, 安全措施规则

美国联邦贸易委员会(FTC)修订了《安全措施规则》,要求所有非银行金融机构在30天内报告数据泄露事件。这一要求适用于抵押贷款经纪人、汽车经销商、发薪日贷款人、投资公司、保险公司、点对点贷款人和资产管理公司等实体。该要求旨在加强数据安全措施以保护客户信息并加强合规义务。它适用于影响500名或更多消费者的安全事件,特别是如果未经授权的第三方访问了未加密的信息。通知要求不适用于消费者信息已加密的情况,只要攻击者没有访问加密密钥。FTC强调,提交数据泄露报告并不意味着违反《安全措施规则》,也不保证进行调查或执行行动。新的通报要求将在规则在《联邦公报》上发布后的180天生效,因此该规则应从2024年4月开始适用。

详情

https://www.bleepingcomputer.com/news/security/ftc-orders-non-bank-financial-firms-to-report-breaches-in-30-days/

数十个国家将承诺停止向勒索软件团伙支付费用

日期: 2023-11-01
标签: 政府部门, 反勒索软件声明

由 40 个国家组成的联盟将在华盛顿特区举行的第三届国际反勒索软件倡议年度峰会上签署承诺,停止支付网络犯罪组织索要的赎金。这一举措是为了应对全球创纪录的勒索软件风险,其中约 46% 的勒索软件风险以美国为目标。虽然来自 48 个国家、欧盟和国际刑警组织的代表将参加本周的反勒索软件倡议峰会,但并非所有国家都确认将签署本周的反勒索软件声明。

详情

https://www.bleepingcomputer.com/news/security/dozens-of-countries-will-pledge-to-stop-paying-ransomware-gangs/

三星 Galaxy 推出 Auto Blocker 反恶意软件功能

日期: 2023-11-01
标签: 信息技术, Galaxy 设备, Auto Blocker

作为 One UI 6 更新的一部分,三星推出了一项名为“自动拦截器”的新安全功能,为 Galaxy 设备提供增强的恶意软件防护。自动阻止程序是一项 选择性加入的安全功能 ,可防止侧载从 Galaxy Store 和 Google Play 外部下载的有风险的应用程序 (APK)。这是一种保护用户免受社会工程攻击的措施。Auto Blocker 的第二个功能是能够执行由 McAfee 提供支持的应用程序安全检查,以识别潜在的恶意软件。此功能目前在美国运营商型号上不可用。

详情

https://www.bleepingcomputer.com/news/security/samsung-galaxy-gets-new-auto-blocker-anti-malware-feature/

加拿大禁止政府设备上使用微信和卡巴斯基产品

日期: 2023-11-01
标签: 加拿大, 信息技术, 政府部门, 卡巴斯基(Kaspersky), 腾讯(Tencent), 卡巴斯基安全产品, 腾讯微信应用程序

2023年10月31日,加拿大以网络和国家安全问题为由,禁止在政府雇员使用的移动设备上使用卡巴斯基安全产品和腾讯微信应用程序。加拿大担心这两家公司秘密向俄罗斯和中国情报部门输送敏感信息。该禁令将于 2023 年 10 月 30 日起生效,届时所有微信和卡巴斯基软件必须从政府发行的移动设备中删除。在此日期之后,国家将实施阻止下载这些应用程序的阻止,确保该软件不会在设备上重新引入。

详情

https://www.bleepingcomputer.com/news/security/canada-bans-wechat-and-kaspersky-products-on-govt-devices/

全球28个国家签署《布莱切利宣言》共同应对前沿AI风险

日期: 2023-11-02
标签: 英国, 信息技术, 人工智能, 《布莱切利宣言》

英国政府称《布莱切利宣言》是人工智能(AI)未来的“里程碑”决定。该宣言是一项国际协议,列出了关于“前沿AI”系统的全球行动的机会、风险和需求,这些系统带来了最紧迫和危险的风险。包括美国、英国、中国、六个欧盟成员国、巴西、尼日利亚、以色列和沙特阿拉伯在内的28个国家签署了该宣言。

详情

https://www.infosecurity-magazine.com/news/28-countries-bletchley-declaration/

美国政府成立美国人工智能安全研究所

日期: 2023-11-03
标签: 政府部门, 信息技术, 美国人工智能安全研究所(USAISI), 人工智能

2023年11月1日,美国副总统卡玛拉·哈里斯在英国人工智能安全峰会上表示,美国商务部成立了一个新的政府机构——美国人工智能安全研究所(USAISI),以指导美国政府在人工智能安全和信任方面的工作。USAISI将成为美国国家创新与技术研究所(NIST)的一部分。它的任务是促进人工智能模型的安全、保障和测试标准的制定,制定人工智能生成内容的认证标准,并为研究人员提供测试环境,以评估新兴的人工智能风险和解决已知的影响。

详情

https://www.infosecurity-magazine.com/news/ai-safety-summit-biden-launch/

0x09   其他事件

奥地利盗版 IPTV 网络被捣毁并缴获 174 万美元

日期: 2023-10-30
标签: 奥地利, 信息技术, 非法 IPTV 网络

2023年10月,奥地利警方在其全国范围内逮捕了 20 名与非法 IPTV 网络有关的人,该网络在 2016 年至 2023 年间解密了受版权保护的广播内容,并将其重新分发给数千名客户。德国接到投诉后开始对该非法网络进行调查,最终发现了一个由 80 名犯罪者组成的犯罪集团,全部是土耳其公民。该盗版团伙以供应商和经销商的等级制度运作,供应商解密并提供电视信号,经销商以每年 50 美元的价格购买信号使用权,然后以每年 200 美元的价格转售给最终客户。警方公告称,在奥地利发现了 15 家经销商和 3 家供应商。每个经销商都有 300 到 2,500 名客户。

详情

https://www.bleepingcomputer.com/news/security/pirate-iptv-network-in-austria-dismantled-and-174-million-seized/

SolarWinds因隐瞒网络安全问题被SEC指控欺诈投资者

日期: 2023-10-31
标签: 俄罗斯, 美国, 信息技术, 卫生行业, 能源业, 政府部门, SolarWinds, 俄罗斯联邦对外情报局(SVR)

SolarWinds被指控在2020年12月与俄罗斯联邦对外情报局(SVR)黑客组织APT29有关的网络安全事件中,隐瞒了网络安全防御问题,欺骗投资者。美国证券交易委员会(SEC)指控SolarWinds未能向投资者披露网络安全风险和不良实践,而只公开了广义和理论性的风险。SolarWinds的首席信息安全官Timothy G. Brown也被指知道这些问题。该事件导致多个美国联邦机构遭到入侵。SolarWinds表示,他们故意选择公开信息以帮助他人提高安全性,并与其他公司分享最佳实践。然而,SEC认为SolarWinds和Brown多年来忽视了关于网络安全风险的多次警示,并试图掩盖公司的网络安全环境,从而剥夺了投资者准确的重要信息。

详情

https://www.bleepingcomputer.com/news/security/sec-sues-solarwinds-for-misleading-investors-before-2020-hack/

LastPass数据库泄露导致黑客窃取440万美元加密货币

日期: 2023-10-31
标签: 金融业, LastPass, 密码管理器

根据密码欺诈研究人员的研究,黑客利用2022年LastPass数据库泄露中的私人密钥和密码短语,于10月25日窃取了价值440万美元的加密货币。MetaMask开发者Taylor Monahan和ZachXBT一直在追踪这些加密盗窃事件。他们发现,许多受害者都使用LastPass作为密码管理器。LastPass在2022年遭受了两次攻击,导致攻击者窃取了源代码、客户数据和云服务中存储的生产备份,其中包括加密的密码保险库。虽然加密的保险库被窃取,但只有客户知道解密所需的主密码。因此,如果遵循LastPass推荐的密码最佳实践,保险库应该是安全的。然而,对于使用较弱密码的用户,建议重置主密码。根据Monahan和ZachXBT的研究,攻击者很可能正在破解这些被盗的密码保险库,以获取存储的加密货币钱包密码短语、凭据和私钥。一旦获得这些信息,他们就可以将这些钱包加载到自己的设备上并清空所有资金。

详情

https://www.bleepingcomputer.com/news/security/lastpass-breach-linked-to-theft-of-44-million-in-crypto/

Avast 误将 Google 应用标记为 Android 手机上的恶意软件

日期: 2023-11-01
标签: 信息技术, 谷歌(Google), Google Android 应用程序

捷克网络安全公司 Avast 证实,自2023年10月28日以来,其防病毒 SDK 已将华为、Vivo 和 Honor 智能手机上的 Google Android 应用程序标记为恶意软件。在受影响的设备上,用户被警告立即卸载谷歌应用程序,因为它可以秘密发送短信,下载和安装其他应用程序,或窃取他们的敏感信息。此安全通知不是由 Google Play Protect 触发的,似乎来自未经 Play Protect 认证的设备,也无权从 Play 正式下载谷歌的核心应用程序。

详情

https://www.bleepingcomputer.com/news/security/avast-confirms-it-tagged-google-app-as-malware-on-android-phones/

英国 GDPR 监管机构谴责了英国国民保健服务(NHS)

日期: 2023-11-02
标签: 卫生行业, 英国 GDPR 监管机构信息专员办公室(ICO), 英国国民保健服务(NHS)

英国 GDPR 监管机构信息专员办公室(ICO)谴责了英国国民保健服务(NHS)的一个信托机构,此前一个 IT 问题导致许多关键的 GP 转诊失踪。数据保护侵权最初是在德比弗罗伦斯·南丁格尔的社区医院被发现的,该医院是德比大学医院和伯顿英国国民健康服务基金会信托基金(UHDB)的一部分。约4768名患者受到数据处理错误的影响,其中4199名患者的转诊延迟。哈里发国际组织透露,其余569名转诊病人完全消失,一些病人被迫等待两年以上才能得到治疗。

详情

https://www.infosecurity-magazine.com/news/nhs-trust-slammed-delays-thousands/

Mozi僵尸网络突然停运

日期: 2023-11-02
标签: 信息技术, Mozi僵尸网络, 物联网安全

2023年8月,以利用大量物联网设备漏洞而闻名的Mozi僵尸网络活动突然减少。ESET安全研究人员发布的一份咨询报告指出,这一突发事件首先于8月8日在印度被发现,随后于8月16日在中国发现,对其运作造成了重大干扰。经过调查,研究人员在9月27日发现了一个隐藏的开关,这是导致僵尸网络功能下降的原因。这个控制负载被识别为在一个用户数据报协议(UDP)消息中,该消息缺少传统的BitTorrent分布式松散哈希表(BT-DHT)协议的封装。

详情

https://www.infosecurity-magazine.com/news/kill-switch-shuts-down-mozi-iot/

研究人员揭露Prolific Puma的地下链路缩短服务

日期: 2023-11-02
标签: 信息技术, Prolific Puma, 短链接

一个被称为Prolific Puma的攻击者一直在过去的四年里,运营一个地下链接缩短服务,并向其他攻击者提供服务。Infoblox在一份来自域名系统(DNS)分析的新分析报告中表示,多产的Puma创建了使用RDGA(注册域名生成算法)的域名,并使用这些域名为其他恶意行为者提供链接缩短服务,帮助他们在分发网络钓鱼、诈骗和恶意软件时逃避检测。

详情

https://thehackernews.com/2023/11/dns-abuse-exposes-prolific-pumas.html

伊朗网络间谍组织的目标是中东的金融和政府部门

日期: 2023-11-02
标签: 伊朗, 信息技术, 政府部门, 科研服务, Scarred Manticore, Storm-0861

据观察,隶属于伊朗情报和安全部(MOIS)的一个攻击者发动了一场针对中东金融、政府、军事和电信部门的复杂的网络间谍活动,时间至少长达一年。以色列网络安全公司 Check Point 与 Sygnia 一起发现了这一行动,目前正在以“疤面狮身人”(Scarred Manticore)的名义追踪这名攻击者。据称,这名攻击者与一个名为 Storm-0861的新兴集群有着密切的交集。 Storm-0861是去年与阿尔巴尼亚政府遭受破坏性袭击有关的四个伊朗组织之一。这次行动的受害者遍布各个国家,如沙特阿拉伯、阿拉伯联合酋长国、约旦、科威特、阿曼、伊拉克和以色列。

详情

https://thehackernews.com/2023/11/iranian-cyber-espionage-group-targets.html

英国银行警告量子计算将危及国家支付系统

日期: 2023-11-03
标签: 英国, 金融业, 信息技术, 量子技术

2023年11月初,英国金融机构在发布的一份新报告中发出了警告:识别和最小化量子技术带来的风险。英国金融业警告称,量子计算可能会破坏用于保护该国整个支付系统的安全措施。英国金融机构呼吁行业和政府在后量子未来更密切地合作。英国金融(UK Finance)负责支付、创新和弹性的董事总经理贾娜•麦金托什(Jana Mackintosh)警告称:“我们不能忽视风险……以及这样一个现实,即当一台与加密相关的量子计算机被开发出来时,它可能会打破支撑所有支付和电子商务的加密。”

详情

https://www.infosecurity-magazine.com/news/uk-banks-quantum-imperil-entire/

俄罗斯安全部门逮捕疑似乌克兰黑客

日期: 2023-11-03
标签: 政府部门, 俄罗斯安全机构联邦安全局(FSB), 俄乌战争

据报道,俄罗斯安全机构联邦安全局(FSB)拘留了两名涉嫌对国内IT资产发动网络攻击以支持乌克兰的男子。据报道,这名男子涉嫌加入乌克兰监管的网络部队,并对“俄罗斯信息基础设施”进行了攻击,攻击方式可能是分布式拒绝服务(DDoS)或网络破坏。警方搜查了这名男子的家,并将他送往莫斯科。

详情

https://www.infosecurity-magazine.com/news/russian-security-services-arrest/

0x0a   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x0b   时间线

2023-10-30 360CERT发布安全周报