安全事件周报 2023-11-06 第45周
2023-11-13 17:06

报告编号:CERT-R-2023-520

报告来源:360CERT

报告作者:360CERT

更新日期:2023-11-13

0x01   事件导览

本周收录安全热点54项,话题集中在安全漏洞恶意软件网络攻击,主要涉及的实体有:微软(Microsoft)谷歌(Google)Veeam等,主要涉及的黑客组织有:farnetworkHive0127(又名 UNC2565)Sandowrm等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意程序
新恶意软件变体 BlueNoroff 瞄准加密货币交易所
恶意软件
Socks5Systemz 代理服务感染全球 10,000 个系统
网络犯罪服务SecuriDropper绕过 Android 安全性来安装恶意软件
黑客利用 Looney Tunables Linux 漏洞窃取云信用
SpyNote 木马伪装成 Roblox 游戏的 mod
Arid Viper继续利用SpyC23恶意软件攻击Android设备
新恶意软件变体 GootLoader 逃避检测并迅速传播
Microsoft Store 中的假 Ledger Live 应用程序窃取了 768,000 美元的加密货币
PyPI 上的 Python 包中发现 BlazeStealer 恶意软件
新的恶意广告活动使用虚假的 Windows 新闻门户传播恶意程序
新的 Kamran 间谍软件针对巴基斯坦乌尔都语用户
“BlazeStealer”Python 恶意软件可完全接管开发人员设备
数据安全
荷兰黑客因勒索、在 RaidForums 上出售窃取的数据而被判入狱
2023年医疗数据泄露影响 8800 万美国人
新加坡滨海湾金沙酒店数据泄露影响 665,000 名顾客
TransForm 称勒索软件数据泄露影响了 267,000 名患者
网络攻击
与伊朗有关的 Agrius APT 集团瞄准以色列教育和科技行业
攻击者使用 GOOGLE CALENDAR RAT 滥用日历服务作为 C2 基础设施
BlueNoroff再次发起新的macOS恶意软件攻击
巴勒斯坦黑客组织Soldiers of Solomon攻击以色列最大面粉生产厂
俄罗斯国有储蓄银行遭受 100 万次 RPS DDoS 攻击
Sidecopy利用CVE-2023-38831攻击印度政府
俄罗斯最大银行 SBERBANK 遭受大规模 DDOS 攻击
伊朗APT利用新 C2 框架MuddyC2Go攻击以色列
安全漏洞
Microsoft Exchange 新的零日漏洞可造成 RCE 和数据盗窃攻击
攻击者利用Looney Tunables 漏洞攻击云环境
Atlassian 发现严重漏洞的公开利用
TellYouThePass 勒索软件利用 Apache ActiveMQ RCE 进行攻击活动
QNAP 警告 QTS 操作系统和应用程序存在严重命令注入漏洞
Cerber 勒索软件攻击中利用的关键 Atlassian Confluence 漏洞
Veeam 警告 Veeam ONE 监控平台存在严重漏洞
SideCopy 利用 WinRAR 漏洞攻击印度政府实体
Veeam ONE IT 监控软件中发现的严重漏洞
Sumo Logic 披露安全漏洞,建议重置 API 密钥
Lace Tempest 利用 SysAid IT 软件漏洞发起攻击
CISA 警报:高严重性 SLP 漏洞现已被积极利用
安全分析
专家揭露 Farnetwork 的勒索软件即服务商业模式
研究人员利用 Microsoft Azure 自动化服务开发了无法检测的加密货币挖矿程序
OpenAI 确认 ChatGPT 持续中断背后存在 DDoS 攻击
俄罗斯 APT 沙虫利用新型 OT 技术破坏了乌克兰的电力
行业动向
Google Play 为 Android VPN 应用添加安全审核徽章
Discord 将切换到临时文件链接以阻止恶意软件传递
Microsoft 将针对管理门户访问推出 MFA 强制策略
WhatsApp 推出新隐私功能以保护通话中的 IP 地址
微软在新的 Windows 11 版本中放弃了 SMB1 防火墙规则
勒索攻击
美国航空飞行员工会遭受勒索软件攻击
专家警告勒索软件黑客利用 Atlassian 和 Apache 漏洞
FBI:勒索软件团伙通过第三方游戏供应商入侵赌场
美国电子元件制造商KAVX遭受勒索攻击,影响39,000 人
其他事件
苹果“Find My”网络可能被滥用来窃取键盘记录的密码
美日韩联合打击朝鲜网络活动
美国制裁为 Ryuk 勒索软件关联公司洗钱的俄罗斯公民
疑似响尾蛇组织利用Nim后门刺探南亚多国情报
ChatGPT 在严重中断影响 OpenAI 系统后短暂关闭

0x03   恶意程序

新恶意软件变体 BlueNoroff 瞄准加密货币交易所

日期: 2023-11-08
标签: 信息技术, 金融业, BlueNoroff, 加密货币交易所

Jamf 威胁实验室的安全研究人员发现了一种新的恶意软件变体,据信与 BlueNoroff 高级持续威胁 (APT) 组织有关。 BlueNoroff 以其经济动机的活动而闻名,通常针对加密货币交易所、风险投资公司和银行。 Jamf 研究员 Ferdous Saljooki 表示,该活动与 BlueNoroff 的 Rustbucket 活动一致,在该活动中,APT 组织将自己伪装成投资者或猎头,以获取其目标。

详情

https://www.infosecurity-magazine.com/news/bluenoroff-malware-targets/

0x04   恶意软件

Socks5Systemz 代理服务感染全球 10,000 个系统

日期: 2023-11-06
标签: 信息技术, Socks5Systemz, PrivateLoader, Amadey

2023年11月初,研究人员表示,名为“Socks5Systemz”的代理僵尸网络已通过“PrivateLoader”和“Amadey”恶意软件加载程序感染全球计算机,目前已统计有 10,000 台受感染设备。该恶意软件会感染计算机,并将其转变为恶意、非法或匿名流量的流量转发代理。它将这项服务出售给每天支付 1 至 140 美元加密货币的订阅者。BitSight 的一份报告详细介绍了 Socks5Systemz ,该报告表示代理僵尸网络至少自 2016 年以来就已存在,但直到2023年11月才相对低调。

详情

https://www.bleepingcomputer.com/news/security/socks5systemz-proxy-service-infects-10-000-systems-worldwide/

网络犯罪服务SecuriDropper绕过 Android 安全性来安装恶意软件

日期: 2023-11-07
标签: 信息技术, SecuriDropper, 滴管即服务 (DaaS) , Android(安卓)

一种名为“SecuriDropper”的新型滴管即服务 (DaaS) 网络犯罪操作已经出现,它使用绕过 Android 中“受限设置”功能的方法在设备上安装恶意软件并获取对辅助功能服务的访问权限。受限设置是 Android 13 中引入的一项安全功能,可防止从 Google Play 外部安装的旁加载应用程序(APK 文件)访问辅助功能设置和通知侦听器等强大功能。这两种权限通常被恶意软件滥用,因此该功能旨在通过在请求这些权限时显示警告来阻止请求的批准,从而保护用户。

详情

https://www.bleepingcomputer.com/news/security/cybercrime-service-bypasses-android-security-to-install-malware/

黑客利用 Looney Tunables Linux 漏洞窃取云信用

日期: 2023-11-07
标签: 信息技术, CVE-2023-4911, Looney Tunables, 云信用, Linux

Kinsing 恶意软件背后的攻击者瞄准的云环境中的系统容易受到“Looney Tunables”的影响,这是一个被识别为 CVE-2023-4911 的 Linux 安全漏洞,允许本地攻击者获得系统的 root 权限。Looney Tunables 是 glibc 动态加载器 (ld.so) 中的缓冲区溢出,于 2021 年 4 月在 glibc 2.34 中引入,但于2023 年 10 月上旬披露。披露几天后,概念验证 (PoC) 漏洞就公开了。

详情

https://www.bleepingcomputer.com/news/security/hackers-exploit-looney-tunables-linux-bug-steal-cloud-creds/

SpyNote 木马伪装成 Roblox 游戏的 mod

日期: 2023-11-07
标签: 信息技术, 文化传播, SpyNote, Android(安卓)

据观察,SpyNote 木马以 Android 用户为目标,伪装成 Roblox 游戏的 mod。 这种移动恶意软件可以记录击键、记录屏幕、从手机摄像头传输视频并冒充 Google 和 Facebook 应用程序来欺骗用户泄露密码。攻击者的策略涵盖一系列攻击,包括网络漏洞、分布式拒绝服务 (DDoS) 攻击、加密货币挖掘和复杂的木马或网络钓鱼活动。在此期间,卡巴斯基的解决方案发现了 4,076,530 次尝试下载 30,684 个伪装成流行游戏、模组、作弊和其他游戏相关软件的独特文件。这些尝试影响了全球 192,456 名用户。

详情

https://www.infosecurity-magazine.com/news/spynote-unveiled-in-attacks-on/

Arid Viper继续利用SpyC23恶意软件攻击Android设备

日期: 2023-11-08
标签: 政府部门, APT-C-23(Arid Viper/Desert Falcon), Arid Viper, APT舆情, Android恶意软件家族

Arid Viper是一个以间谍活动为动机的网络威胁组织,其利益与哈马斯一致。Arid Viper的工具包是多平台的,包括自2017年出现以来持续使用和开发的移动间谍软件。在2022年和2023年,该攻击者通过冒充Telegram或约会应用程序的武器化应用程序分发Android间谍软件系列SpyC23。最新的SpyC23版本与其2017年的版本之间存在重叠,将多个Arid Viper Android恶意软件家族联系在一起。

详情

https://www.sentinelone.com/labs/arid-viper-apts-nest-of-spyc23-malware-continues-to-target-android-devices/

新恶意软件变体 GootLoader 逃避检测并迅速传播

日期: 2023-11-08
标签: 信息技术, Hive0127(又名 UNC2565), GootLoader, GootBot

2023年11月,IBM X-Force 研究人员表示,GootLoader 恶意软件的新变体(称为 GootBot)被发现可以促进受感染系统上的横向移动并逃避检测。GootLoader,是一种恶意软件,能够在使用搜索引擎优化 (SEO) 中毒策略引诱潜在受害者后下载下一阶段的恶意软件。它与追踪为 Hive0127(又名 UNC2565)的攻击者相关联。GootLoader 组织将自己的自定义机器人引入到其攻击链的后期阶段,是为了在使用现成的 C2 工具(例如 CobaltStrike 或 RDP)时避免检测到。这个新变种是一种轻量级但有效的恶意软件,允许攻击者在整个网络中快速传播并部署更多的有效负载。

详情

https://thehackernews.com/2023/11/new-gootloader-malware-variant-evades.html

Microsoft Store 中的假 Ledger Live 应用程序窃取了 768,000 美元的加密货币

日期: 2023-11-08
标签: 信息技术, 金融业, 加密货币资产, Ledger Live

2023年11月初,在多名用户损失了至少价值 768,000 美元的加密货币资产后,微软从其商店中删除了一款用于加密货币管理的欺诈性 Ledger Live 应用程序。该假冒应用程序以 Ledger Live Web3 的名称发布,似乎自 10 月 19 日起就出现在 Microsoft Store 中,但2023年11月初才开始报道加密货币失窃事件。区块链爱好者 ZachXBT 于 11 月 5 日向加密货币社区发出警报,称 Microsoft Store 中存在欺诈性 Ledger Live 应用程序 从安装它的用户那里窃取了近 600,000 美元 。微软当天做出反应,从商店下架了该应用程序,但欺诈者已经从受害者那里转移了超过 768,000 美元。

详情

https://www.bleepingcomputer.com/news/security/fake-ledger-live-app-in-microsoft-store-steals-768-000-in-crypto/

PyPI 上的 Python 包中发现 BlazeStealer 恶意软件

日期: 2023-11-09
标签: 信息技术, BlazeStealer, 恶意 Python 包, PyPI, 敏感信息

一组新的恶意 Python 包已进入 Python 包索引 (PyPI) 存储库,最终目的是从受感染的开发人员系统中窃取敏感信息。这些软件包伪装成看似无害的混淆工具,但却隐藏着名为BlazeStealer的恶意软件。BlazeStealer运行 Discord 机器人,使威胁行为者能够获取广泛的信息,包括来自 Web 浏览器和屏幕截图的密码、执行任意命令、加密文件以及停用受感染主机上的 Microsoft Defender 防病毒软件。

详情

https://thehackernews.com/2023/11/beware-developers-blazestealer-malware.html

新的恶意广告活动使用虚假的 Windows 新闻门户传播恶意程序

日期: 2023-11-10
标签: 信息技术, 文化传播, Citrix, 虚假网站, Notepad++, VNC Viewer

2023年11月中旬,研究人员发现,一种新的恶意广告活动利用伪装成合法 Windows 新闻门户的虚假网站来传播名为 CPU-Z 的流行系统分析工具的恶意安装程序。从其基础设施(域名)和用于避免检测的伪装模板中可以看出,该活动针对 Notepad++、Citrix 和 VNC Viewer 等其他实用程序。此次恶意广告活动目标是通过提供恶意广告来欺骗在 Google 等搜索引擎上搜索 CPU-Z 的毫无戒心的用户,点击这些广告后,会将他们重定向到虚假门户 (workspace-app[.]online)。

详情

https://thehackernews.com/2023/11/new-malvertising-campaign-uses-fake.html

新的 Kamran 间谍软件针对巴基斯坦乌尔都语用户

日期: 2023-11-10
标签: 巴基斯坦, 文化传播, Kamran, 水坑攻击, 间谍软件

2023年11月9日,ESET 恶意软件研究员 Lukas Stefanko表示,地区新闻网站 Hunza News 遭受了水坑攻击,该网站发布有关巴基斯坦管理的有争议地区吉尔吉特-巴尔蒂斯坦的新闻。 此次攻击针对该地区的乌尔都语用户,并部署了以前未知的名为 Kamran 的间谍软件。此次攻击主要影响访问罕萨新闻网站乌尔都语版本的移动用户,该网站提供看似良性的 Android 应用程序可供下载。然而,该应用程序具有恶意间谍功能,在用户授予某些权限时收集敏感数据。该间谍软件已危害至少 20 台移动设备。

Kamran 间谍软件的特点是其独特的代码组成。在用户授予权限后,它会收集各种形式的敏感数据,包括短信、联系人、位置信息等。然后,它将此信息上传到 Firebase 命令和控制 (C2) 服务器。

详情

https://www.infosecurity-magazine.com/news/kamran-spyware-targets-urdu/

“BlazeStealer”Python 恶意软件可完全接管开发人员设备

日期: 2023-11-10
标签: 信息技术, BlazeStealer, PyPI 代码存储库, 开发人员, Python

2023年11月8日,Checkmarx 的研究人员警告称,伪装成合法代码混淆工具的恶意 Python 包通过 PyPI 代码存储库瞄准开发人员。他们将该恶意软件称为“BlazeStealer”,该恶意软件可以泄露主机数据、窃取密码、启动键盘记录程序、加密文件和执行主机命令。BlazeStealer 有效负载可以从外部源提取恶意脚本,使攻击者能够完全控制受害者的计算机。根据 Gelb 的说法,恶意 BlazeStealer 有效负载一旦安装到受感染的系统上就会激活。

详情

https://www.darkreading.com/application-security/-blazestealer-python-malware-complete-takeover-developer

0x05   数据安全

荷兰黑客因勒索、在 RaidForums 上出售窃取的数据而被判入狱

日期: 2023-11-06
标签: 荷兰, 信息技术, 网络安全专业人士

一名前荷兰网络安全专业人士因对荷兰和全球十几家公司进行黑客攻击和勒索而被判处四年监禁。犯罪嫌疑人是来自赞德沃特的 21 岁男子,名叫 Pepijn Van der Stap,已被判多项罪名成立,包括侵入受害者的计算机、敲诈勒索以及用加密货币洗钱至少 250 万欧元。法院判处他四年有期徒刑,有条件监禁一年,缓刑三年。据荷兰检察院称,2020 年 8 月至 2023 年 1 月期间,范德斯塔普及其同伙参与了一系列针对国内外公司和机构的网络犯罪。在搜查他的计算机时,执法人员发现了各种恶意工具和从数百万人那里窃取的个人信息,这些工具和个人信息是通过黑客攻击、购买或与其他网络犯罪分子交换而获得的,并在各种黑客论坛上出售。

详情

https://www.bleepingcomputer.com/news/security/dutch-hacker-jailed-for-extortion-selling-stolen-data-on-raidforums/

2023年医疗数据泄露影响 8800 万美国人

日期: 2023-11-06
标签: 卫生行业, 美国, 美国患者数据, 医疗数据

根据美国卫生与公众服务部 (HHS) 发布的新数据,到2023年11月为止,攻击者已经泄露了数千万美国患者的敏感健康数据。HHS 表示,过去四年中向其民权办公室 (OCR) 报告的“大型违规行为”增加了 239%,勒索软件增加了 278%。仅 2023 年就可以观察到同样的趋势,大型违规行为影响了超过 8800 万人,同比 (YoY) 增长 60%。HHS 表示,在这些报告的违规行为中,77% 是黑客行为造成的。勒索软件攻击越来越普遍,并且针对医疗保健系统。这使得医院及其患者容易受到数据和安全漏洞的影响。该行业的勒索软件攻击已成为对健康和安全的严重威胁。

详情

https://www.infosecurity-magazine.com/news/healthcare-data-breaches-88-million/

新加坡滨海湾金沙酒店数据泄露影响 665,000 名顾客

日期: 2023-11-08
标签: 住宿餐饮业, 新加坡滨海湾金沙集团, 顾客数据

新加坡滨海湾金沙集团透露,该公司遭遇安全事件,665,000 名顾客的个人数据被泄露。根据度假村发布的声明,该事件发生于 10 月 19 日至 20 日,涉及未经授权的第三方访问其非赌场客户的忠诚度计划会员数据。泄露的数据包括个人身份信息(PII),例如客户姓名、电子邮件地址、电话号码、居住国家、会员号码和级别。这些信息可用于针对某些上述客户的网络钓鱼活动。据称,赌场奖励计划金沙奖励俱乐部的数据未受影响。

详情

https://www.infosecurity-magazine.com/news/data-breach-singapores-marina-bay/

TransForm 称勒索软件数据泄露影响了 267,000 名患者

日期: 2023-11-08
标签: 加拿大, 卫生行业, TransForm, 患者数据

共享服务提供商 TransForm 发布了最近影响加拿大安大略省多家医院运营的网络攻击的最新信息,澄清这是一次勒索软件攻击。该组织确认,攻击者成功窃取了一个数据库,其中包含 560 万名患者就诊信息,相当于大约 267,000 个不同的个人。网络攻击发生于 10 月下旬,影响了该组织旗下运营的五家医院,其中包括 Bluewater Health,这也是一家位于安大略省的医院,关于 Transform 的服务。该事件造成运营中断,迫使医疗保健提供者重新安排预约,并将非紧急病例转移到该地区的其他诊所。DAIXIN 团队声称对此次攻击负责,黑客逐渐开始泄露从医院网络窃取的数据样本 。

详情

https://www.bleepingcomputer.com/news/security/transform-says-ransomware-data-breach-affects-267-000-patients/

0x06   网络攻击

与伊朗有关的 Agrius APT 集团瞄准以色列教育和科技行业

日期: 2023-11-08
标签: 以色列, 伊朗, 教育行业, 信息技术, Agonizing Serpens(又名 Agrius、BlackShadow、Pink Sandstorm 和 DEV-0022)

2023年全年,以色列高等教育和技术部门遭受了一系列攻击,窃取个人信息并禁用端点。Palo Alto Networks 的Unit 42发现了攻击者,并将其识别为高级持续威胁 (APT) Agonizing Serpens(又名 Agrius、BlackShadow、Pink Sandstorm 和 DEV-0022),与伊朗有关 ,能够利用面向互联网的 Web 服务器,并将多个 Web shell 部署到其目标中,以便在网络。Agonizing Serpens 的典型攻击涉及窃取包括 PII 和知识产权在内的敏感信息,然后将这些信息发布在社交媒体或 Telegram 频道上,“散布恐惧或造成声誉损害”。在以色列最近的一系列袭击中,该组织窃取了身份证号码、护照扫描件以及电子邮件和邮政地址。

详情

https://www.darkreading.com/dr-global/iran-linked-agrius-apt-group-israeli-education-tech-sectors

攻击者使用 GOOGLE CALENDAR RAT 滥用日历服务作为 C2 基础设施

日期: 2023-11-08
标签: 信息技术, 谷歌(Google), C2 基础设施, Google Calendar

Google 警告多个攻击者共享名为 Google Calendar RAT 的公开概念验证 (PoC) 漏洞,该漏洞依赖于用于托管命令和控制 (C2) 基础设施的日历服务。Google Calendar RAT 是 Google Calendar Events 上的命令与控制 (C2) PoC,它是由红队活动开发的。要使用 GRC,只需要 Gmail 帐户。该脚本通过利用 Google 日历中的事件描述来创建一个‘隐蔽通道’。目标将直接连接到谷歌。Google 迄今为止尚未观察到 GCR 在野外的使用情况,但根据第八次威胁视野报告,Mandiant 已经发现多个攻击者在地下论坛上分享公开的概念验证。

详情

https://securityaffairs.com/153700/hacking/google-calendar-rat-attacks.html

BlueNoroff再次发起新的macOS恶意软件攻击

日期: 2023-11-09
标签: 金融业, BlueNorOff, APT舆情, BlueNoroff, macOS

Jamf威胁实验室发现了BlueNoroff APT组织的新恶意软件变种,与RustBucket活动具有相同的特征。BlueNoroff的行动是出于经济动机,经常针对加密货币交易所、风险投资公司和银行。在例行威胁追踪过程中,发现了一个Mach-O通用二进制文件与Jamf之前归类为恶意的域进行通信。而且在进行分析时,VirusTotal上尚未检测到该可执行文件。

详情

https://www.jamf.com/blog/bluenoroff-strikes-again-with-new-macos-malware/

巴勒斯坦黑客组织Soldiers of Solomon攻击以色列最大面粉生产厂

日期: 2023-11-09
标签: 巴勒斯坦, 以色列, 制造业, 巴以冲突

2023年11月初,亲巴勒斯坦黑客组织Soldiers of Solomon宣布,它入侵了以色列面粉厂有限公司生产工厂的基础设施,该公司是一家从事面粉及相关食品加工和销售的跨国公司。Soldiers of Solomon声称破坏了其生产周期。该组织在其 Telegram 频道上发布了一段视频,显示了用于控制该计划流程的系统的几张屏幕截图。

详情

https://securityaffairs.com/153778/security/soldiers-of-solomon-hacked-israel-flour-plant.html

俄罗斯国有储蓄银行遭受 100 万次 RPS DDoS 攻击

日期: 2023-11-09
标签: 金融业, 俄罗斯金融组织 Sberbank, DDoS 攻击

俄罗斯金融组织 Sberbank 在一份新闻稿中表示,两周前,该银行面临近代历史上最强大的分布式拒绝服务 (DDoS) 攻击。俄罗斯联邦储蓄银行是一家国有银行和金融服务公司,也是俄罗斯最大的机构,持有该国约三分之一的资产。俄罗斯入侵乌克兰后,该银行面临国际封锁和制裁,并多次成为西方黑客活动分子的目标。这次攻击达到了每秒 100 万个请求 (RPS),这一数字大约是俄罗斯联邦储蓄银行迄今为止遭遇的最强大 DDoS 攻击规模的四倍。

详情

https://www.bleepingcomputer.com/news/security/russian-state-owned-sberbank-hit-by-1-million-rps-ddos-attack/

Sidecopy利用CVE-2023-38831攻击印度政府

日期: 2023-11-10
标签: 印度, 政府部门, SideCopy, CVE-2023-38831, 印度政府实体, APT舆情, Sidecopy

本报告详细分析了Sidecopy APT组织最近发起的一次网络攻击,据信该组织来自巴基斯坦。Sidecopy的攻击展现了高度的复杂性,并强调了在网络安全领域持续保持警惕的重要性。该攻击主要针对印度政府实体,并采用了多方面的攻击链,利用了WinRAR中的一个关键漏洞CVE-2023-38831,这种复杂的行动利用RAR文件作为初始向量来传递隐藏的有效载荷——恶意AllaKore远程访问木马。

详情

https://threatmon.io/the-anatomy-of-a-sidecopy-attack-from-rar-exploits-to-allakore-rat/

俄罗斯最大银行 SBERBANK 遭受大规模 DDOS 攻击

日期: 2023-11-10
标签: 金融业, 俄罗斯联邦储蓄银行(Sberbank), DDoS, (DDoS) 攻击, SBERBANK

2023年11月上旬,俄罗斯联邦储蓄银行 Sberbank 宣布,最近遭受了创纪录的分布式拒绝服务 (DDoS) 攻击,RPS 达到 100 万次。俄乌战争以来,大多数仍在俄罗斯运营的俄罗斯组织和国际公司成为多个亲乌克兰黑客组织的目标。俄罗斯联邦储蓄银行首席执行官表示,此次是该银行历史上遭受的最强大的攻击。俄罗斯联邦储蓄银行每月面临约十次攻击,但攻击者从未破坏过该银行的系统。然而专家们已经注意到,攻击正变得更加复杂。

详情

https://securityaffairs.com/153888/hacking/russian-bank-sberbank-massive-ddos-attack.html

伊朗APT利用新 C2 框架MuddyC2Go攻击以色列

日期: 2023-11-10
标签: 伊朗, 以色列, 政府部门, MuddyC2Go, (C2) 框架

2023年11月8日,Deep Instinct 安全研究员 Simon Kenin表示,伊朗APT组织使用了一种名为MuddyC2Go的先前未记录的命令与控制 (C2) 框架来攻击以色列实体。该工具被认为是MuddyWater所为,这是一个伊朗APT组织,隶属于该国情报和安全部 (MOIS)。该C2框架的 Web 组件是用 Go 编程语言编写的,可能自 2020 年初以来就已被攻击者使用,最近的攻击利用该框架代替了 PhonyC2。PhonyC2 是 MuddyWater 的另一个定制 C2 平台,于 2023 年 6 月曝光并拥有其源代码泄露了。

详情

https://thehackernews.com/2023/11/muddyc2go-new-c2-framework-iranian.html

0x07   安全漏洞

Microsoft Exchange 新的零日漏洞可造成 RCE 和数据盗窃攻击

日期: 2023-11-06
标签: 信息技术, 零日漏洞, 微软(Microsoft), Exchange 凭据

Microsoft Exchange 受到四个零日漏洞的影响,攻击者可以远程利用这些漏洞执行任意代码或泄露受影响安装的敏感信息。2023年11月2日,趋势科技的零日计划 (ZDI) 披露了这些零日漏洞,并曾于 2023 年 9 月 7 日至 8 日向微软报告了这些漏洞。尽管微软承认了这些漏洞,但其安全工程师认为这些漏洞还不够严重,无法保证立即提供服务,因此推迟了修复。所有这些漏洞都需要身份验证才能利用,CVSS 评级降低到 7.1 到 7.5 之间。但值得注意的是,网络犯罪分子可以通过多种方式获取 Exchange 凭据,包括暴力破解弱密码、执行网络钓鱼攻击、购买凭据或从信息窃取者日志中获取凭据。

详情

https://www.bleepingcomputer.com/news/microsoft/new-microsoft-exchange-zero-days-allow-rce-data-theft-attacks/

攻击者利用Looney Tunables 漏洞攻击云环境

日期: 2023-11-06
标签: 信息技术, CVE-2023-4911, Looney Tunables 漏洞

云安全公司 Aqua 的研究人员观察到攻击者利用最近披露的 Linux 权限升级漏洞Looney Tunables来攻击云环境。Looney Tunables 漏洞(CVE-2023-4911 (CVSS 得分 7.8))是一个缓冲区溢出漏洞,在处理 GLIBC_TUNABLES 环境变量时存在于 GNU C 库的动态加载器 ld.so 中。攻击者可以触发该漏洞以提升权限执行代码。Aqua Nautilus 的研究人员发现了 Kinsing 攻击组织对云环境的实验性入侵。攻击者使用了初级的 PHPUnit 漏洞利用,他们试图操纵 Looney Tunables 漏洞 ( CVE-2023-4911 )。专家指出,这标志着此类漏洞的首次记录。攻击者还通过从云服务提供商 (CSP) 提取凭据来扩大云原生攻击的范围。这一发现表明,Kinsing 攻击者正在迅速向他们的武器库添加新的漏洞,扩大潜在目标。

详情

https://securityaffairs.com/153610/hacking/kinsing-hackers-probe-looney-tunables.html

Atlassian 发现严重漏洞的公开利用

日期: 2023-11-06
标签: 信息技术, Atlassian, CVE-2023-22518, Confluence

澳大利亚软件供应商 Atlassian 发现了有关最近发布的严重漏洞的“公开发布的关键信息”,增加了该漏洞被广泛利用的可能性。该软件漏洞 ( CVE-2023-22518 ) 被列为影响 Confluence 数据中心和服务器所有版本的不当授权漏洞,但通过 atlassian.net 访问的 Atlassian Cloud 站点不受影响。该错误的 CVSS 评分为 9.1,对于组织中管理该软件的任何系统管理员来说,应该将其作为优先修补程序。尽管 CVE 不会让攻击者窃取公司数据,但它可能允许攻击者擦除他们在受影响的 Confluence 环境中找到的任何数据。Atlassian 首席信息安全官 Bala Sathiamurthy 警告称,未经身份验证的攻击者的利用可能会导致“重大数据丢失”。

详情

https://www.infosecurity-magazine.com/news/atlassian-public-exploit-critical/

TellYouThePass 勒索软件利用 Apache ActiveMQ RCE 进行攻击活动

日期: 2023-11-07
标签: 信息技术, Apache, CVE-2023-46604, Apache ActiveMQ, TellYouThePass

暴露于互联网的 Apache ActiveMQ 服务器也是 TellYouThePass 勒索软件攻击的目标,该攻击针对的是先前被用作零日漏洞的关键远程代码执行 (RCE) 漏洞。该漏洞被追踪为CVE-2023-46604,是 ActiveMQ 可扩展开源消息代理中的一个最严重的漏洞,它使未经身份验证的攻击者能够在易受攻击的服务器上执行任意 shell 命令。尽管 Apache 于 10 月 27 日发布了安全更新来修复该漏洞,但网络安全公司ArcticWolf和Huntress Labs发现,至少从 10 月 10 日起,攻击者已经利用该漏洞作为零日漏洞部署 SparkRAT 恶意软件已有两周多的时间。

根据威胁监控服务 ShadowServer 的数据,目前在线暴露的 Apache ActiveMQ 服务器超过 9,200 个,其中超过 4,770 个服务器容易受到 CVE-2023-46604 漏洞的攻击。建议管理员立即升级到 ActiveMQ 版本 5.15.16、5.16.7、5.17.6 和 5.18.3,修补所有易受攻击的系统。

详情

https://www.bleepingcomputer.com/news/security/tellyouthepass-ransomware-joins-apache-activemq-rce-attacks/

QNAP 警告 QTS 操作系统和应用程序存在严重命令注入漏洞

日期: 2023-11-07
标签: 信息技术, CVE-2023-23368, CVE-2023-23369, QNAP Systems

QNAP Systems 发布了针对两个关键命令注入漏洞的安全公告,这些漏洞影响 QTS 操作系统的多个版本及其网络附加存储 (NAS) 设备上的应用程序。

第一个漏洞的编号为 CVE-2023-23368 ,严重程度为 9.8(满分 10)。这是一个命令注入漏洞,远程攻击者可利用该漏洞通过网络执行命令。受安全问题影响的QTS版本为QTS 5.0.x和4.5.x、QuTS Hero h5.0.x和h4.5.x以及QuTScloud c5.0.1。

第二个漏洞被识别为CVE-2023-23369 ,严重程度为 9.0,也可以被远程攻击者利用,达到与前一个漏洞相同的效果。受影响的 QTS 版本包括 5.1.x、4.3.6、4.3.4、4.3.3 和 4.2.x、多媒体控制台 2.1.x 和 1.4.x,以及媒体流加载项 500.1.x 和 500.0.x。

详情

https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-command-injection-flaws-in-qts-os-apps/

Cerber 勒索软件攻击中利用的关键 Atlassian Confluence 漏洞

日期: 2023-11-07
标签: 信息技术, CVE-2023-22518, Atlassian Confluence, Cerber

攻击者正在利用最近修补的严重 Atlassian Confluence 身份验证绕过漏洞,使用 Cerber 勒索软件加密受害者的文件。Atlassian 将该漏洞描述为不正确的授权漏洞,并跟踪为 CVE-2023-22518,该漏洞的严重程度为 9.1/10,它影响所有版本的 Confluence Data Center 和 Confluence Server 软件。Atlassian于2023年11月1日发布了安全更新,警告管理员立即修补所有易受攻击的实例,因为该漏洞也可能被利用来擦除数据。几天后,该公司发布了第二次警告,提醒客户,概念验证漏洞已经在网上可用,尽管没有证据表明该漏洞正在进行。那些无法修补系统的人被敦促采取缓解措施,包括备份未修补的实例并阻止对未修补的服务器的互联网访问,直到它们得到保护。根据威胁监控服务 ShadowServer 的数据,目前有超过 24,000 个 Confluence 实例暴露在网上,但无法得知有多少个实例容易受到 CVE-2023-22518 攻击。

详情

https://www.bleepingcomputer.com/news/security/critical-atlassian-confluence-bug-exploited-in-cerber-ransomware-attacks/

Veeam 警告 Veeam ONE 监控平台存在严重漏洞

日期: 2023-11-07
标签: 信息技术, Veeam, CVE-2023-38547, CVE-2023-38549

2023年11月6日,Veeam 发布了修补程序,以解决该公司 Veeam ONE IT 基础设施监控和分析平台中的四个漏洞,其中两个漏洞非常严重。该公司为关键安全漏洞分配了几乎最高的严重性评级(CVSS 基本分数为 9.8 和 9.9/10),因为这些漏洞让攻击者能够获得远程代码执行 (RCE) 并从易受攻击的服务器窃取 NTLM 哈希值。其余两个是中等严重程度的错误,需要用户交互或影响有限。被追踪为 CVE-2023-38547 的漏洞允许未经身份验证的用户获取有关 Veeam ONE 用于访问其配置数据库的 SQL 服务器连接的信息。这可能会导致在托管 Veeam ONE 配置数据库的 SQL 服务器上远程执行代码。被追踪为 CVE-2023-38549 的安全漏洞可能会让具有高级用户角色的攻击者在跨站点脚本 (XSS) 攻击中窃取管理员的访问令牌。

详情

https://www.bleepingcomputer.com/news/security/veeam-warns-of-critical-bugs-in-veeam-one-monitoring-platform/

SideCopy 利用 WinRAR 漏洞攻击印度政府实体

日期: 2023-11-08
标签: 巴基斯坦, 印度, 政府部门, 信息技术, Transparent Tribe, WinRAR 漏洞, 多平台攻击, 印度政府实体

据观察,与巴基斯坦有关的威胁组织SideCopy被发现在针对印度政府实体的攻击中利用最近的 WinRAR 安全漏洞来传递信息各种远程访问木马,例如 AllaKore RAT、Ares RAT 和 DRat。企业安全公司 SEQRITE 将该活动描述为多平台攻击,这些攻击还旨在通过兼容版本的 Ares RAT 渗透 Linux 系统。SideCopy 至少自 2019 年以来一直活跃,因其攻击而闻名,主要针对印度和阿富汗实体。它被怀疑是 Transparent Tribe(又名 APT36)攻击者的一个子组织。

详情

https://thehackernews.com/2023/11/sidecopy-exploiting-winrar-flaw-in.html

Veeam ONE IT 监控软件中发现的严重漏洞

日期: 2023-11-08
标签: 信息技术, Veeam, CVE-2023-38547, CVE-2023-38548, CVE-2023-38549, CVE-2023-41723

Veeam 已发布安全更新,以解决其 ONE IT 监控和分析平台中的四个漏洞,其中两个漏洞的严重程度被评为严重。虽然 CVE-2023-38547、CVE-2023-38548 和 CVE-2023-41723 影响 Veeam ONE 版本 11、11a、12,但 CVE-2023-38548 仅影响 Veeam ONE 12。过去几个月,Veeam 备份软件中的严重漏洞已被多个攻击者利用,包括FIN7 和 BlackCat 勒索组织,他们将其用于传播恶意软件。建议运行受影响版本的用户停止 Veeam ONE 监控和报告服务,用修补程序中提供的文件替换现有文件,然后重新启动这两项服务。

详情

https://thehackernews.com/2023/11/critical-flaws-discovered-in-veeam-one.html

Sumo Logic 披露安全漏洞,建议重置 API 密钥

日期: 2023-11-09
标签: 信息技术, Sumo Logic, AWS(亚马逊网络服务)帐户, API 密钥

安全和数据分析公司 Sumo Logic 在发现其 AWS(亚马逊网络服务)帐户上周遭到入侵后披露了安全漏洞。该公司于 11 月 3 日星期五发现攻击者使用窃取的凭证来访问 Sumo Logic AWS 账户,随后发现了泄露的证据。Sumo Logic 表示,其系统和网络在此次泄露期间没有受到影响,并且“客户数据已经加密并保持加密状态”。Sumo Logic正在继续彻底调查这一事件的起源和程度,已经确定了可能暴露的凭据,并增加了额外的安全措施来进一步保护其系统。

详情

https://www.bleepingcomputer.com/news/security/sumo-logic-discloses-security-breach-advises-api-key-resets/

Lace Tempest 利用 SysAid IT 软件漏洞发起攻击

日期: 2023-11-10
标签: 信息技术, SysAid IT, Lace Tempest, CVE-2023-47246

根据微软的最新调查结果,名为 Lace Tempest 的攻击者与利用 SysAid IT 支持软件中的零日漏洞进行的攻击活动有关。Lace Tempest 以传播 Cl0p 勒索软件而闻名,过去曾利用MOVEit Transfer和PaperCut 服务器中的零日漏洞。该漏洞编号为CVE-2023-47246,涉及路径遍历缺陷,该漏洞可能导致本地安装中的代码执行。SysAid 已在软件版本 23.3.36 中对其进行了修补。利用该漏洞后,Lace Tempest 通过 SysAid 软件发出命令,为 Gracewire 恶意软件提供恶意软件加载程序。 据 SysAid 称,已观察到威胁行为者将包含 Web shell 和其他有效负载的 WAR 存档上传到 SysAid Tomcat Web 服务的 Webroot 中。

详情

https://thehackernews.com/2023/11/zero-day-alert-lace-tempest-exploits.html

CISA 警报:高严重性 SLP 漏洞现已被积极利用

日期: 2023-11-10
标签: 信息技术, CVE-2023-29552, 服务定位协议 (SLP) 

2023年11月8日,美国网络安全和基础设施安全局 (CISA)将服务定位协议 (SLP) 中的一个高严重性缺陷添加到其已知被利用的漏洞 (KEV) 目录中,并引用了主动利用的证据。该漏洞编号为CVE-2023-29552(CVSS 评分:7.5),与拒绝服务 (DoS) 漏洞有关,该漏洞可被武器化以发起大规模 DoS 放大攻击。服务定位协议 (SLP) 是一种允许局域网 (LAN) 上的系统相互发现并建立通信的协议。服务定位协议 (SLP) 包含拒绝服务 (DoS) 漏洞,可能允许未经身份验证的远程攻击者注册服务并使用欺骗性 UDP 流量进行拒绝服务 (DoS) 攻击,造成严重后果。

详情

https://thehackernews.com/2023/11/cisa-alerts-high-severity-slp.html

0x08   安全分析

专家揭露 Farnetwork 的勒索软件即服务商业模式

日期: 2023-11-09
标签: 政府部门, 信息技术, farnetwork, Nokoyawa 勒索软件即服务 (RaaS)

2023年11月初,网络安全公司 Group-IB 的一份报告表示,Nokoyawa 勒索软件即服务 (RaaS) 的运营商是一个被称为“farnetwork”的攻击组织,多年来通过帮助 JSWORM、Nefilim、Karma 和 Nemty 附属计划进行恶意软件开发和运营管理。报告将farnetwork与 2019 年开始的勒索软件操作以及可访问多个企业网络的僵尸网络联系起来。该攻击组织拥有多个用户名(例如 farnetworkl、jingo、jsworm、razvrat、piparkuka 和 farnetworkitand),并且一直活跃在多个俄语黑客论坛上,试图为各种勒索软件招募附属机构运营。

详情

https://www.bleepingcomputer.com/news/security/russian-speaking-threat-actor-farnetwork-linked-to-5-ransomware-gangs/

研究人员利用 Microsoft Azure 自动化服务开发了无法检测的加密货币挖矿程序

日期: 2023-11-09
标签: 信息技术, Azure, 加密货币挖矿程序

网络安全研究人员利用 Microsoft Azure 自动化服务开发了第一个完全无法检测的基于云的加密货币挖矿程序,且无需支付任何费用。网络安全公司 SafeBreach 表示,它发现了三种不同的运行挖矿程序的方法,其中一种可以在受害者的环境中执行而不引起任何注意。各个组织必须主动监控其环境中的每一项资源和执行的每项操作。强烈建议组织自行了解攻击者可能用来创建无法检测的资源的方法和流程,并主动监控表明此类行为的代码执行。

详情

https://thehackernews.com/2023/11/researchers-uncover-undetectable-crypto.html

OpenAI 确认 ChatGPT 持续中断背后存在 DDoS 攻击

日期: 2023-11-10
标签: 信息技术, OpenAI, Anonymous Sudan, DDoS, ChatGPT, DDoS 攻击

2023年11月9日,OpenAI 解决了针对其 API 和 ChatGPT 服务的 DDoS 攻击导致的“周期性中断”问题。虽然该公司没有立即提供有关这些事件根本原因的任何详细信息,但OpenAI 证实,这些事件与正在进行的分布式拒绝服务 (DDoS) 攻击有关。2023年11月8日周三,该公司解决了 另一起 ChatGPT 重大故障 ,该故障也导致其应用程序编程接口 (API) 瘫痪,周二部分 ChatPT 故障, 周一Dall-E错误率升高。虽然 OpenAI 尚未将这些 DDoS 攻击归咎于任何攻击组织,但2023年11月8日,一个名为“Anonymous Sudan”的威胁组织声称对这些攻击负责。

详情

https://www.bleepingcomputer.com/news/security/openai-confirms-ddos-attacks-behind-ongoing-chatgpt-outages/

俄罗斯 APT 沙虫利用新型 OT 技术破坏了乌克兰的电力

日期: 2023-11-10
标签: 俄罗斯, 乌克兰, 政府部门, SCADA, Sandowrm, 关键基础设施, 俄乌战争, OT 技术

2023年11月9日,谷歌旗下的 Mandiant 透露,俄罗斯支持的黑客组织 Sandowrm 在 2022 年底针对乌克兰关键基础设施组织发起了一次破坏性网络攻击。这次入侵始于 2022 年 6 月或之前。这是一次多事件网络攻击,利用了一种影响工业控制系统 (ICS) 和操作技术 (OT) 的新技术。在 2022 年 10 月 10 日至 12 日发生了两起破坏性事件。第一次是停电,第二次是旨在限制任何调查的擦除器攻击。Mandiant 先将其追踪为UNC3810,该攻击者首先使用了 OT 级别的陆上生活 (LotL) 技术。根据横向移动的证据,攻击者可能可以访问 SCADA 系统长达三个月。

详情

https://www.infosecurity-magazine.com/news/russia-sandworm-disrupted-power/

0x09   行业动向

Google Play 为 Android VPN 应用添加安全审核徽章

日期: 2023-11-06
标签: 信息技术, 谷歌(Google), MASA  (移动应用安全评估), Google Play, Android

2023年11月初,Android 的官方应用商店 Google Play 正在为 VPN 应用程序贴上“独立安全审查”徽章,前提是这些应用程序对其软件和平台进行了独立的安全审核。该标准符合 MASA (移动应用安全评估)。MASA于去年作为应用防御联盟 (ADA) 的一项举措推出,旨在定义一组具体的移动应用安全要求。这些 要求 涉及数据存储和数据隐私实践、加密、身份验证和会话管理、网络通信、平台交互和代码质量。从 VPN 应用程序开始,Google 认为这些应用程序由于处理敏感数据而对用户隐私和安全至关重要,Play 商店将在数据安全部分显示“独立安全审查”徽章。此徽章表明应用程序符合 MASA 标准的情况已经过独立验证,从而提高了透明度并增强了用户信任。

详情

https://www.bleepingcomputer.com/news/security/google-play-adds-security-audit-badges-for-android-vpn-apps/

Discord 将切换到临时文件链接以阻止恶意软件传递

日期: 2023-11-06
标签: 信息技术, Discord, 文件托管

Discord 将在2023年年底前为所有用户切换为临时文件链接,以阻止攻击者使用其 CDN(内容分发网络)托管和推送恶意软件。推出文件托管更改(Discord 称为身份验证强制执行)后,上传到 Discord 服务器的所有文件链接都将在 24 小时后过期。CDN URL 将附带三个新参数,这些参数将添加过期时间戳和唯一签名,这些签名将在链接过期之前保持有效,从而防止使用 Discord 的 CDN 进行永久文件托管。虽然这些参数已经被添加到 Discord 链接中,但它们仍然需要强制执行,并且只有在公司推出身份验证强制更改后,在 Discord 服务器外部共享的链接才会过期。

详情

https://www.bleepingcomputer.com/news/security/discord-will-switch-to-temporary-file-links-to-block-malware-delivery/

Microsoft 将针对管理门户访问推出 MFA 强制策略

日期: 2023-11-07
标签: 信息技术, 微软(Microsoft), Microsoft, 多重身份验证 (MFA)

Microsoft 很快将开始推出条件访问策略,要求管理员在登录 Microsoft Entra、Microsoft 365、Exchange 和 Azure 等 Microsoft 管理门户时进行多重身份验证 (MFA)。该公司还将推出一项政策,要求对所有云应用程序的每用户 MFA 用户进行 MFA,并推出一项要求对高风险登录进行 MFA 的政策(后者仅适用于 Microsoft Entra ID Premium Plan 2 客户)。从2023年11月中旬开始,这些 Microsoft 管理的策略(由 Microsoft 在客户的租户上创建)将逐步以仅报告模式添加到符合条件的 Microsoft Entra 租户。租户收到该功能后,管理员将有 90 天的时间进行审核并选择是否启用。

详情

https://www.bleepingcomputer.com/news/microsoft/microsoft-will-roll-out-mfa-enforcing-policies-for-admin-portal-access/

WhatsApp 推出新隐私功能以保护通话中的 IP 地址

日期: 2023-11-09
标签: 信息技术, 文化传播, WhatsApp, 位置信息, IP 地址

2023年11月初,WhatsApp推出一项新的隐私功能,通过 WhatsApp 服务器中继连接,帮助 Android 和 iOS 用户在通话期间隐藏自己的位置。通过使用该公司的服务器从呼叫者之间的标准点对点直接连接切换到混淆可能包含用户互联网信息的 IP 地址元数据,用户的位置对其他呼叫参与者隐藏服务提供商或广阔的地理位置。通过切换“设置”>“隐私”>“高级”下的“保护通话中的 IP 地址”选项,可以在 iOS 和 Android 设备上启用该新功能。

详情

https://www.bleepingcomputer.com/news/security/whatsapp-now-lets-users-hide-their-location-during-calls/

微软在新的 Windows 11 版本中放弃了 SMB1 防火墙规则

日期: 2023-11-09
标签: 信息技术, 微软(Microsoft), Windows 11, 防火墙规则, SMB 共享

从2023年11月8日的 Canary Channel Insider Preview Build 25992 版本开始,Windows 11 在创建新的 SMB 共享时将不再添加 SMB1 Windows Defender 防火墙规则。在此更改之前以及自 Windows XP SP2 起,创建 SMB 共享会在“文件和打印机共享”组中自动为指定的防火墙配置文件设置防火墙规则。2023年11月8日之后,Windows 11 将配置更新的“文件和打印机共享(限制性)”组,省略入站 NetBIOS 端口 137-139(这是 SMB1 工件)。微软的 Amanda Langowski 和 Brandon LeBlanc表示:“这一变化强制实施了更高程度的网络安全默认设置,并使 SMB 防火墙规则更接近 Windows Server“文件服务器”角色行为。 ”如有必要,管理员仍然可以配置“文件和打印机共享”组,并修改这个新的防火墙组。

详情

https://www.bleepingcomputer.com/news/microsoft/microsoft-drops-smb1-firewall-rules-in-new-windows-11-build/

0x0a   勒索攻击

美国航空飞行员工会遭受勒索软件攻击

日期: 2023-11-06
标签: 交通运输, 美国航空工会飞行员联盟 (APA) 

美国航空工会飞行员联盟 (APA) 披露了其系统遭受的勒索软件攻击。APA工会成立于1963年,是目前世界上最大的独立飞行员工会。攻击发生在10月30日。虽然调查仍在进行中,但美国航空工会飞行员联盟 (APA) 已确定该事件是由勒索软件引起的,并且某些系统已加密。APA 表示,其 IT 团队和外部专家正在努力通过备份恢复受勒索软件攻击影响的系统。该联盟已启动由第三方网络安全专家领导的调查,以评估事件的全部范围及其对受感染系统上存储的数据的影响。APA 尚未透露飞行员的个人信息是否在攻击中受到泄露,也没有透露受影响的具体人数。

详情

https://www.bleepingcomputer.com/news/security/american-airlines-pilot-union-hit-by-ransomware-attack/

专家警告勒索软件黑客利用 Atlassian 和 Apache 漏洞

日期: 2023-11-08
标签: 信息技术, Atlassian, Apache, CVE-2023-22515

多个勒索软件组织已开始积极利用最近披露的 Atlassian Confluence 和 Apache ActiveMQ 中的漏洞。网络安全公司 Rapid7 表示它观察到了 CVE-2023-22518 的利用情况多个客户环境中的 和 CVE-2023-22515,其中一些已用于部署 Cerber(又名 C3RB3R)勒索软件。这两个漏洞都很严重,允许攻击者创建未经授权的 Confluence 管理员帐户并导致数据丢失。Atlassian 于 11 月 6 日更新了其通报,指出它观察到一些活跃的攻击行为以及攻击者使用勒索软件。并将该漏洞的 CVSS 评分从 9.8 修改为 10.0,表明严重程度最高。

详情

https://thehackernews.com/2023/11/experts-warn-of-ransomware-hackers.html

FBI:勒索软件团伙通过第三方游戏供应商入侵赌场

日期: 2023-11-09
标签: 文化传播, “Silent Ransom Group”(SRG) , Luna Moth, 赌场服务器

2023年11月上旬,美国联邦调查局警告称,勒索软件攻击者正在瞄准赌场服务器,并使用合法的系统管理工具来增加其对网络的权限。该机构在一份私营行业通知中表示,第三方供应商和服务是常见的攻击媒介。勒索软件团伙继续依靠第三方游戏供应商来破坏赌场。从 2022 年开始,FBI 注意到针对小型和部落赌场的勒索软件攻击,旨在加密服务器以及员工和顾客的个人身份信息。自 6 月份以来,被称为“Silent Ransom Group”(SRG) 和“Luna Moth”的攻击者一直在进行回调网络钓鱼数据盗窃和勒索攻击。攻击者假称其账户上有待处理的费用,欺骗受害者拨打一个电话号码。如果受害者中了这个诡计,SRG 将说服他们安装一个系统管理工具,该工具随后被用来安装其他也可用于恶意目的的合法实用程序。

详情

https://www.bleepingcomputer.com/news/security/fbi-ransomware-gangs-hack-casinos-via-3rd-party-gaming-vendors/

美国电子元件制造商KAVX遭受勒索攻击,影响39,000 人

日期: 2023-11-10
标签: 信息技术, 制造业, Kyocera AVX Components Corporation (KAVX) , 数据泄露

Kyocera AVX Components Corporation (KAVX) 正在发送数据泄露通知,在勒索软件攻击后,39,111 人的个人信息被泄露。KAVX 是一家美国先进电子元件制造商,是日本半导体巨头京瓷的子公司。KAVX 表示,它于 2023 年 10 月 10 日发现黑客在 2023 年 2 月 16 日至 3 月 30 日期间访问了其系统。2023 年 3 月 30 日,KAVX 经历了一次网络安全事件,影响了位于美国南卡罗来纳州格林维尔和默特尔比奇的服务器,导致有限数量的系统加密和某些服务暂时中断。经过内部调查以确定哪些信息被泄露后,KAVX 确认其中至少包含全名和社会安全号码 (SSN)。KAVX 表示,没有证据表明网络犯罪分子滥用了被盗数据,但提醒收件人注意身份盗窃和欺诈的相关风险,敦促他们保持谨慎。

详情

https://www.bleepingcomputer.com/news/security/kyocera-avx-says-ransomware-attack-impacted-39-000-individuals/

0x0b   其他事件

苹果“Find My”网络可能被滥用来窃取键盘记录的密码

日期: 2023-11-06
标签: 信息技术, 苹果, Find My

Apple 的“Find My”位置网络可能会被恶意行为者滥用,以秘密传输安装在键盘中的键盘记录器捕获的敏感信息。“Find My”网络和应用程序旨在帮助用户定位丢失或放错地方的 Apple 设备,包括 iPhone、iPad、Mac、Apple Watch、AirPods 和 Apple Tags。该服务依靠从全球数百万台 Apple 设备中众包的 GPS 和蓝牙数据来查找报告丢失或被盗的设备,即使这些设备处于离线状态。丢失的设备会不断循环发送蓝牙信号,附近的 Apple 设备会检测到这些信号,然后通过“查找我的”网络将其位置匿名转发给失主。Positive Security 研究人员 Fabian Bräunlein 和他的团队发现,攻击者可滥用 Find My 来传输除设备位置之外的任意数据。分析师在 GitHub 上发布了报告,称为“Send My”,其他人可以利用该实现将任意数据上传到 Apple 的 Find My 网络,并从世界上任何地方的任何支持互联网的设备检索数据。

详情

https://www.bleepingcomputer.com/news/apple/apple-find-my-network-can-be-abused-to-steal-keylogged-passwords/

美日韩联合打击朝鲜网络活动

日期: 2023-11-07
标签: 美国, 日本, 韩国, 信息技术, 政府部门, 朝鲜网络活动

2023年11月,美国、日本和韩国成立了一个高级协商机构,旨在对抗朝鲜的网络活动。据韩国国家安全办公室称,该新组织的一个主要目的是防止用于资助朝鲜武器开发(包括其核计划)的网络攻击和加密货币盗窃。韩国办公室补充说,该协商机构将“加强三个国家共同应对全球网络威胁的能力”。在此框架下,美国、日本和韩国官员将每季度举行会议,以加强该领域的合作。2023 年 8 月在美国戴维营举行的会议上,三个国家达成协议,成立一个新的三边工作组,以应对朝鲜的网络威胁。总统副助理兼美国国家安全委员会 (NSC) 网络和新兴技术副国家安全顾问 Anne Neuberger 于 10 月 10 日在华盛顿同意与韩国和日本同行建立咨询机构。

详情

https://www.infosecurity-magazine.com/news/us-japan-south-korea-north-korea/

美国制裁为 Ryuk 勒索软件关联公司洗钱的俄罗斯公民

日期: 2023-11-07
标签: 信息技术, 金融业, 制裁

美国财政部外国资产控制办公室 (OFAC) 已对俄罗斯公民叶卡捷琳娜·日达诺娃 (Ekaterina Zhdanova) 实施制裁,因为她为包括勒索软件参与者在内的多个个人洗钱数百万美元。Zhdanova 利用她在加密货币和区块链网络方面的专业知识,通过 Garantex(因帮助 Hydra 市场而于 2022 年 4 月受到制裁)等各种平台转移资金,以逃避“反洗钱/打击恐怖主义融资”(AML/CFT) 控制。OFAC 和 Chainaanalysis 均指出,Zhdanova 还利用她与其他洗钱者组成的广泛全球网络的联系,进一步掩盖她的金融活动并接触更传统的客户。

详情

https://www.bleepingcomputer.com/news/security/us-sanctions-russian-who-laundered-money-for-ryuk-ransomware-affiliate/

疑似响尾蛇组织利用Nim后门刺探南亚多国情报

日期: 2023-11-09
标签: 不丹, 南亚, 政府部门, APT-C-24(响尾蛇), BabyElephant, APT舆情, 响尾蛇

近期,奇安信威胁情报中心在日常样本跟踪分析过程中,发现针对不丹的恶意样本。样本使用的诱饵内容直接来自不丹政府网站发布的通告。文档携带的宏代码通过一系列VBS和BAT脚本,最终执行Nim编写的后门。根据该Nim后门的代码特征,关联到针对尼泊尔和缅甸的攻击样本,其中针对缅甸的攻击时间可追溯到去年11月。该Nim后门实际上是2021年底国内安全厂商披露的“幼象”组织C++后门的变种。2023年2月,Group-IB发布报告披露了响尾蛇组织在2021年6月至11月期间的鱼叉式钓鱼攻击活动,根据恶意软件特点和网络基础设施研究者认为当时归为BabyElephant的攻击活动与响尾蛇存在紧密关联,两个攻击团伙有着密切的联系。基于以上开源情报信息,本文将此次发现的攻击活动统一归属为响尾蛇组织。

详情

https://mp.weixin.qq.com/s/iWx2tGCLOR0JtDBnC3FOwQ

ChatGPT 在严重中断影响 OpenAI 系统后短暂关闭

日期: 2023-11-09
标签: 信息技术, OpenAI, ChatGPT

2023年11月8日,OpenAI 的人工智能驱动的 ChatGPT 基于大型语言模型的聊天机器人因持续的重大中断而关闭,该中断还导致该公司的应用程序编程接口 (API) 瘫痪。受这些持续问题影响的客户会看到“似乎出了问题”的错误,ChatGPT 补充说,对其查询“生成响应时出现错误”。OpenAI 在公司官方状态页面上发布的一份事件报告中证实,其工程团队正在调查该问题。2023年11月8日同日更新: OpenAI 表示受影响的服务已恢复上线,正在调查另一起影响 ChatGPT 的重大中断。

详情

https://www.bleepingcomputer.com/news/technology/chatgpt-down-after-major-outage-impacting-openai-systems/

0x0c   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x0d   时间线

2023-11-06 360CERT发布安全周报