安全事件周报 2023-11-13 第46周
2023-11-20 15:20

报告编号:CERT-R-2023-533

报告来源:360CERT

报告作者:360CERT

更新日期:2023-11-20

0x01   事件导览

本周收录安全热点57项,话题集中在安全漏洞网络攻击数据安全,主要涉及的实体有:VMware波音公司WordPress等,主要涉及的黑客组织有:Imperial KittenAPT-C-52(焰魔蛇)LockBit等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意软件
Andariel组织滥用资产管理程序传播恶意软件
新恶意软件 BiBi-Windows Wiper 针对 Windows 系统
Python 恶意软件通过 Docker API 错误配置构成 DDoS 威胁
Ducktail 恶意软件瞄准时尚行业
TA402利用IronWind恶意软件攻击中东政府
MySQL 服务器成为“Ddostf”DDoS 即服务僵尸网络的目标
数据安全
LockBit 勒索团伙泄露波音公司数据
美国住房贷款商Mr. Cooper的客户数据泄露
泄露的 DICOM 医疗标准暴露了数百万患者记录
美国药房平台 Truepill 数据泄露影响 230 万客户
多伦多公共图书馆确认数据在勒索软件攻击中被盗
三星遭遇数据泄露,影响英国客户
PJ&A 称网络攻击暴露了近 900 万患者的数据
丰田证实遭受Medusa勒索软件攻击
越南政府邮政泄露 1.2TB 数据
网络攻击
Sandworm组织去年破坏了乌克兰电网
美国缅因政府成为最新的 MOVEit 受害者
伊朗黑客对以色列科技行业发起恶意软件攻击
黑客通过 ScreenConnect 远程访问破坏美国医疗机构
黑客组织Lace Tempest利用零日漏洞攻击 SysAid 客户
响尾蛇针对巴基斯坦政府单位的攻击行动
迪拜环球港务集团 (DP World) 遭受网络攻击导致澳大利亚港口暂停运营
丹麦关键基础设施遭受丹麦历史上最大规模的网络攻击
美国加州长滩遭受网络攻击后 IT 系统关闭
安全漏洞
微软修复了 Outlook 桌面错误导致保存速度缓慢的问题
CISA 警告瞻博网络预授权 RCE 漏洞链被积极利用
OracleIV DDoS 僵尸网络以公共 Docker 引擎 API 为目标来劫持容器
新的 CacheWarp AMD CPU 攻击可让黑客侵入 Linux 虚拟机
WP Fastest Cache 插件漏洞导致 60 万个 WordPress 网站遭受攻击
VMware 披露了关键的 VCD 设备身份验证绕过且无需补丁
新的 Reptar CPU 漏洞影响英特尔台式机和服务器系统
Crucial IT-OT 连接路由器中发现 21 个漏洞
Apache ActiveMQ 漏洞的新 PoC 武器化
Citrix Hypervisor 获得针对新 Reptar Intel CPU 漏洞的修补程序
VMware 警告未修补的 Cloud Director 严重漏洞
四个组织利用 ZIMBRA 零日漏洞窃取政府电子邮件
Fortinet 警告 FortiSIEM 中存在严重命令注入漏洞
安全分析
微软:BlueNoroff 黑客计划新的加密盗窃攻击
攻击者滥用以太坊“Create2”功能窃取了 6000 万美元
桃色陷阱行动:APT-C-52(焰魔蛇)组织针对巴基斯坦的攻击活动
Malwarebytes 警告信用卡盗刷激增
行业动向
阿塞拜疆和土库曼斯坦签署网络合作伙伴协议
欧盟正式对乌克兰提供网络安全支持
美国政府公布首个网络安全人工智能路线图
石油公司沙特阿美将深入研究沙特 ICS 安全
CSA 推出首个零信任认证
勒索攻击
Lorenz勒索组织攻击美国德克萨斯州科格德尔纪念医院
LockBit 勒索软件利用 Citrix Bleed 进行攻击,10K 服务器暴露
FBI 和 CISA 警告警惕 Rhysida 勒索软件攻击
FBI 和 CISA 警告 RHYSIDA 勒索软件团伙发起攻击
其他事件
Caracal Kitten组织在近期在伊朗地区活跃
警方取缔 BulletProftLink 大型网络钓鱼服务平台
新的勒索组织利用 Hive 的源代码和基础设施展开攻击
FBI取缔具有 23,000 个恶意流量代理的 IPStorm 僵尸网络
APT29针对大使馆和国际组织的间谍行动
FBI拆除 IPStorm 僵尸网络代理服务
FBI发布Scattered Spider黑客组织的分析报告

0x03   恶意软件

Andariel组织滥用资产管理程序传播恶意软件

日期: 2023-11-13
标签: 政府部门, Andariel, 鱼叉式网络钓鱼, APT舆情

ASEC分析团队证实,已知隶属于Lazarus组织或其下属组织的Andariel威胁组织最近一直在通过使用特定资产管理程序的攻击来传播恶意软件。Andariel组织在最初的渗透过程中主要使用鱼叉式网络钓鱼攻击、水坑攻击和供应链攻击,在恶意软件安装过程中也存在滥用中央管理解决方案的情况。近期,他们利用Log4Shell、Innorix Agent等各类程序漏洞对韩国多家企业进行攻击。

详情

https://asec.ahnlab.com/ko/58215/

新恶意软件 BiBi-Windows Wiper 针对 Windows 系统

日期: 2023-11-14
标签: 政府部门, BiBi-Windows Wiper, Windows, Linux 系统, 巴以冲突

2023年11月10日,网络安全研究人员警告称,此前曾在针对以色列的网络攻击中观察到针对 Linux 系统的 Windows 版本擦除恶意软件。该擦拭器被黑莓称为BiBi-Windows Wiper ,是BiBi-Linux Wiper的 Windows 版本。2023年10月以色列与哈马斯战争后,亲哈马斯的黑客组织开始使用 BiBi-Linux Wiper。“Windows 变种证实了创建擦除器的攻击者正在继续构建恶意软件,并表明攻击范围已扩大到目标最终用户计算机和应用程序服务器。

详情

https://thehackernews.com/2023/11/new-bibi-windows-wiper-targets-windows.html

Python 恶意软件通过 Docker API 错误配置构成 DDoS 威胁

日期: 2023-11-14
标签: 信息技术, Python, DDoS攻击, Docker Engine API, Docker 容器

Cado 安全实验室研究人员发现了一种新的网络威胁,目标是公开暴露的 Docker Engine API 实例。 在此活动中,攻击者利用错误配置来部署恶意 Docker 容器,其中包含编译为 ELF 可执行文件的 Python 恶意软件。该恶意工具充当分布式拒绝服务 (DDoS) 机器人代理,展示了进行 DoS 攻击的各种攻击方法。安全专家发现的新活动涉及攻击者通过对 Docker API 的 HTTP POST 请求发起访问,从而导致从 Dockerhub 检索恶意 Docker 容器。

详情

https://www.infosecurity-magazine.com/news/python-malware-ddos-threat-docker/

Ducktail 恶意软件瞄准时尚行业

日期: 2023-11-14
标签: 文化传播, 居民服务, Ducktail, 时尚行业, 网络钓鱼攻击

根据卡巴斯基的一份报告,Ducktail 的最新活动瞄准了时尚行业的营销专业人士,攻击者发送的档案中包含来自知名公司的正品图像以及伪装成 PDF 文件的恶意可执行文件。该恶意软件执行后会打开一个真正的嵌入式 PDF,其中详细介绍了工作信息,该攻击旨在吸引积极寻求职业转变的营销专业人士。该恶意软件的目标是安装一个擅长窃取 Facebook 业务和广告帐户的浏览器扩展,其目的可能是出售被盗的凭据。这一战略转变表明 Ducktail 的攻击技术日益复杂,专为利用特定的专业人群而设计。

详情

https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry

TA402利用IronWind恶意软件攻击中东政府

日期: 2023-11-16
标签: 政府部门, TA402, IronWind, 中东政府, APT舆情

2023年中期,Proofpoint研究人员首次发现TA402的攻击行动,利用迷宫般的感染链,通过Proofpoint称为IronWind的新初始访问下载程序来针对中东政府。从2023年7月到10月,TA402利用了该感染链的三种变体——Dropbox链接、XLL文件附件和RAR文件附件,每种变体都会导致下载包含多功能恶意软件的DLL。在这些活动中,TA402还放弃了对Dropbox API等云服务的使用,转而使用由攻击者控制的基础设施进行C2通信。截至2023年10月下旬,Proofpoint研究人员尚未观察到TA402的目标发生任何变化,尽管该地区当前存在冲突,但没有发现任何任务授权发生变化的迹象。随着事件的继续发展,该威胁攻击者仍有可能重新调整其资源。

详情

https://www.proofpoint.com/us/blog/threat-insight/ta402-uses-complex-ironwind-infection-chains-target-middle-east-based-government

MySQL 服务器成为“Ddostf”DDoS 即服务僵尸网络的目标

日期: 2023-11-17
标签: 信息技术, Ddostf, MySQL 服务器

2023年11月中旬,AhnLab 安全应急响应中心 (ASEC) 的研究人员在定期监控针对数据库服务器的威胁时发现,MySQL 服务器正成为“Ddostf”恶意软件僵尸网络的目标。攻击者正在扫描互联网上是否存在暴露的 MySQL 服务器,一旦发现,就会尝试通过暴力破解管理员凭据来进行破坏。ASEC 报告 称,Ddostf 背后的攻击者要么利用未修补的 MySQL 环境中的漏洞,要么暴力破解弱管理员帐户凭据来破坏服务器。

详情

https://www.bleepingcomputer.com/news/security/mysql-servers-targeted-by-ddostf-ddos-as-a-service-botnet/

0x04   数据安全

LockBit 勒索团伙泄露波音公司数据

日期: 2023-11-13
标签: 交通运输, 波音公司, LockBit

LockBit 勒索软件团伙公布了从波音公司窃取的数据,波音公司是为商用飞机和国防系统提供服务的最大航空航天公司之一。在泄密之前,LockBit 黑客表示,波音公司忽视了数据将公开的警告,并威胁要发布约 4GB 的最新文件样本。在波音公司拒绝支付赎金后,LockBit 勒索软件已从波音公司泄露了超过 43GB 的文件。该黑客组织泄露网站上列出的大部分数据都是各个系统的备份,其中最新的数据的时间戳为 10 月 22 日。勒索软件攻击者于 10 月 27 日在其网站上发布了波音公司的信息,并给了该公司 11 月 2 日的最后期限,以与其联系并进行谈判。

详情

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-leaks-gigabytes-of-boeing-data/

美国住房贷款商Mr. Cooper的客户数据泄露

日期: 2023-11-13
标签: 商务服务, Mr. Cooper

美国最大的住房贷款服务商Mr. Cooper表示,它发现了在10 月 31 日披露的一次网络攻击中客户数据被泄露的证据。Mr. Cooper仍在调查受损数据的性质,并将在未来几周内向受影响的客户提供更多信息。目前,攻击者无法访问客户的财务信息,因为受影响的系统不存储此类数据。Mr. Cooper还敦促客户监控他们的信用报告和银行账户,如有任何可疑或未经授权的活动迹象,请立即向银行报告。

详情

https://www.bleepingcomputer.com/news/security/mortgage-giant-mr-cooper-says-customer-data-exposed-in-breach/

泄露的 DICOM 医疗标准暴露了数百万患者记录

日期: 2023-11-13
标签: 卫生行业, 医学数字成像和通信 (DICOM) 协议, 敏感数据泄露

2023年11月,研究人员表示,在过去几十年中,由于医疗设备中使用了遗留协议,大约 6000 万份个人和医疗记录可能被泄露。Aplite 的研究人员研究了医学数字成像和通信 (DICOM) 协议,该协议是国际公认的医学成像传输标准,在全球大多数放射学、心脏病学成像和放射治疗环境中实施。根据题为“数百万患者记录面临风险:遗留协议的危险”的研究,他们发现该协议的用户通常不使用安全控制,该研究将于 12 月在伦敦举行的 Black Hat Europe 上进行展示。Aplite高级IT安全顾问Sina Yazdanmehr和Ibrahim Akkulak检测到互联网上有3800多台使用DICOM协议的服务器,其中30%正在泄露敏感数据。

详情

https://www.darkreading.com/risk/leaky-dicom-medical-protocol-exposes-millions-patient-records

美国药房平台 Truepill 数据泄露影响 230 万客户

日期: 2023-11-15
标签: 美国, 卫生行业, Postmeds, 药房平台

Postmeds(以“Truepill”名义开展业务)正在发送数据泄露通知,通知接收者攻击者访问了他们的敏感个人信息。Truepill 是一个专注于 B2B 的药房平台,使用 API 为美国所有 50 个州的直接面向消费者 (D2C) 品牌、数字健康公司和其他医疗保健组织提供订单履行和交付服务。该公司于 2023 年 8 月 31 日发现未经授权的网络访问。对该事件的调查显示,攻击者在前一天获得了访问权限。根据美国卫生与公众服务部民权违规门户网站的数据,该事件影响了 2,364,359 人。

详情

https://www.bleepingcomputer.com/news/security/pharmacy-provider-truepill-data-breach-hits-23-million-customers/

多伦多公共图书馆确认数据在勒索软件攻击中被盗

日期: 2023-11-16
标签: 加拿大, 文化传播, 多伦多公共图书馆 (TPL) , 多伦多公共图书馆 (TPL)

2023年11月中旬,多伦多公共图书馆 (TPL) 证实,在 10 月 27 日的勒索软件攻击中,员工、客户、志愿者和捐赠者的个人信息从受感染的文件服务器中被盗。据 TPL 称,攻击者“从文件服务器窃取了大量文件”,其中包含多伦多公共图书馆 (TPL) 和多伦多公共图书馆基金会 (TPLF) 员工的数据,时间可追溯到 1998 年。盗取的信息包括姓名、社会保险号码、出生日期和家庭住址等。

详情

https://www.bleepingcomputer.com/news/security/toronto-public-library-confirms-data-stolen-in-ransomware-attack/

三星遭遇数据泄露,影响英国客户

日期: 2023-11-16
标签: 信息技术, 三星(Samsung), 三星, 数据泄露

2023年11月13日,三星发现了数据泄露事件,并确定这是黑客利用该公司使用的第三方应用程序中的漏洞造成的。该公司表示,此次网络攻击仅影响在 2019 年 7 月 1 日至 2020 年 6 月 30 日期间从三星英国在线商店购物的客户。给客户的通知称,暴露的数据可能包括姓名、电话号码、邮政和电子邮件地址。该公司强调,凭证或财务信息并未受到该事件的影响。

详情

https://www.bleepingcomputer.com/news/security/samsung-hit-by-new-data-breach-impacting-uk-store-customers/

PJ&A 称网络攻击暴露了近 900 万患者的数据

日期: 2023-11-16
标签: 卫生行业, PJ&A (Perry Johnson & Associates) , 患者数据

PJ&A (Perry Johnson & Associates) 警告称,2023 年 3 月的一次网络攻击泄露了近 900 万患者的个人信息。PJ&A 为美国的医疗保健组织提供医疗转录服务。该公司表示,攻击者入侵了他们的网络,并在 2023 年 3 月 27 日至 5 月 2 日期间进行了访问。其调查显示,以下信息已暴露给攻击者:全名、出生日期、病历号、医院账号、入院诊断、服务日期和时间、社会安全号码 (SSN)、保险信息等。PJ&A 于 2023 年 10 月 31 日开始发送数据泄露通知,提醒受影响的个人他们的敏感医疗信息已被泄露。在 PJ&A 将相关信息提交给美国卫生与公众服务部民权办公室的违规门户网站之前,受此网络事件影响的确切人数仍不得而知,目前该数字已确认为 8,952,212 名 患者。

详情

https://www.bleepingcomputer.com/news/security/pj-and-a-says-cyberattack-exposed-data-of-nearly-9-million-patients/

丰田证实遭受Medusa勒索软件攻击

日期: 2023-11-17
标签: 制造业, 丰田金融服务公司 (TFS) , 汽车制造商

2023年11月16日,日本汽车制造商丰田金融服务公司 (TFS) 证实,在 Medusa 勒索软件声称对该公司发起攻击后,该公司在欧洲和非洲的一些系统上检测到未经授权的访问。2023年11月16日,Medusa 勒索软件团伙将 TFS 列入其暗网上的数据泄露网站,要求支付 800 万美元才能删除据称从这家日本公司窃取的数据。攻击者发布了样本数据,其中包括财务文件、电子表格、购买发票、哈希帐户密码、明文用户 ID 和密码、协议、护照扫描、内部组织结构图、财务绩效报告、员工电子邮件地址等。

详情

https://www.bleepingcomputer.com/news/security/toyota-confirms-breach-after-medusa-ransomware-threatens-to-leak-data/

越南政府邮政泄露 1.2TB 数据

日期: 2023-11-17
标签: 政府部门, 越南邮政公司, Kibana

2023年11月中旬研究人员发现,越南政府拥有的邮政服务机构越南邮政公司将其安全日志和员工电子邮件地址留给外部网络窥探者。如果被攻击者访问,暴露的敏感数据可能会带来麻烦。10 月 3 日,Cybernews 研究团队发现了一个属于越南邮政公司的开放 Kibana 实例。Kibana 是一个用于数据搜索和分析的可视化仪表板,帮助企业处理大量数据。在发现时,数据存储包含 2.26 亿个记录事件,产生 1.2 TB 的数据,并且正在实时更新。泄露的信息还包括员工姓名和电子邮件。10 月 6 日发现这一情况后不久,越南邮政公司在网络新闻研究人员联系他们之前取消了公众访问权限。

详情

https://securityaffairs.com/154271/data-breach/vietnam-post-data-leak.html

0x05   网络攻击

Sandworm组织去年破坏了乌克兰电网

日期: 2023-11-13
标签: 政府部门, 俄罗斯, 乌克兰关键基础设施组织, APT舆情

2022年底,Mandiant响应了一起破坏性网络物理事件,与俄罗斯有关的威胁组织Sandworm针对乌克兰关键基础设施组织进行了攻击。该事件是一次多事件网络攻击,利用一种影响工业控制系统(ICS)/操作技术(OT)的新技术。该攻击者首先使用OT级LotL技术来触发受害者的变电站断路器,导致意外停电,同时乌克兰各地的关键基础设施遭到大规模导弹袭击。Sandworm随后在受害者的IT环境中部署了CADDYWIPER的新变种,从而实施了第二次破坏性事件。

详情

https://www.mandiant.com/resources/blog/sandworm-disrupts-power-ukraine-operational-technology

美国缅因政府成为最新的 MOVEit 受害者

日期: 2023-11-13
标签: 政府部门, 缅因州政府, MOVEit

2023年11 月 9 日,美国缅因州政府确认,一群网络犯罪分子利用MOVEit 文件传输工具中的漏洞,在 5 月 28 日至 29 日期间访问属于缅因州的文件。据缅因州政府网站称,此次网络事件仅限于缅因州的 MOVEit 服务器,属于该州的其他网络或系统没有受到影响。然而,此次泄露暴露了 130 万人的信息,每个人受影响的数据类型各不相同。可能受到影响的信息包括姓名、社会安全号码 (SSN)、出生日期、驾照或州身份证号码、纳税人身份证号码、医疗信息和健康保险信息。

详情

https://www.darkreading.com/attacks-breaches/state-maine-latest-moveit-victim

伊朗黑客对以色列科技行业发起恶意软件攻击

日期: 2023-11-13
标签: 伊朗, 政府部门, 信息技术, 能源业, 商务服务, Imperial Kitten, 网络钓鱼

网络安全公司 CrowdStrike 的研究人员追踪了 Imperial Kitten 针对运输、物流和技术公司的一项新活动。研究人员表示,Imperial Kitten 在 10 月份发起了网络钓鱼攻击,其电子邮件中包含恶意 Microsoft Excel 附件,使用“工作招聘”主题。Imperial Kitten 也被称为 Tortoiseshell、TA456、Crimson Sandstorm 和 Yellow Liderc,多年来它一直使用Marcella Flores名称。它是与伊朗武装部队分支伊斯兰革命卫队 (IRGC) 有联系的黑客组织,至少自 2017 年以来一直活跃对各个领域的组织进行网络攻击,包括国防、技术、电信、海事、能源、咨询和专业服务。

详情

https://www.bleepingcomputer.com/news/security/iranian-hackers-launch-malware-attacks-on-israels-tech-sector/

黑客通过 ScreenConnect 远程访问破坏美国医疗机构

日期: 2023-11-13
标签: 美国, 信息技术, 卫生行业, Metasploit, 医疗机构, ScreenConnect

托管安全平台 Huntress 的研究人员警告称,黑客正在通过滥用 ScreenConnect 远程访问工具来瞄准美国的多个医疗机构。攻击者利用了 Transaction Data Systems (TDS) 使用的本地 ScreenConnect 实例,TDS 是一家遍布全美 50 个州的药品供应链和管理系统解决方案提供商。Huntress 的研究人员称在两个不同的医疗机构的端点上看到了这些攻击,并且活动表明网络侦察正在准备攻击升级。入侵是在 2023 年 10 月 28 日至 11 月 8 日期间观察到的,而且很可能仍在发生。

详情

https://www.bleepingcomputer.com/news/security/hackers-breach-healthcare-orgs-via-screenconnect-remote-access/

黑客组织Lace Tempest利用零日漏洞攻击 SysAid 客户

日期: 2023-11-13
标签: 信息技术, SysAid, Lace Tempest(又名 DEV-0950、FIN11 和 TA505), CVE-2023-47246, 零日漏洞

2023年11月9日,微软公布了一项新的威胁活动,该活动利用了流行的 SysAid IT 帮助台软件中的零日漏洞。该攻击组织名为 Lace Tempest(又名 DEV-0950、FIN11 和 TA505),与 MOVEit 数据盗窃和勒索活动的负责人是同一组织。微软向 SysAid 通报了该问题 (CVE-2023-47246),SysAid立即修复了该问题。利用该漏洞后,攻击者将通过 SysAid 发出命令,向受害者系统传送 Gracewire 恶意软件的加载程序。SysAid公司敦促客户立即升级到版本 23.3.36,进行全面评估以检查妥协指标 (IoC)、检查相关日志并审查可能已暴露给威胁行为者的任何凭据或其他信息。

详情

https://www.infosecurity-magazine.com/news/moveit-gang-targets-sysaid-zeroday/

响尾蛇针对巴基斯坦政府单位的攻击行动

日期: 2023-11-14
标签: 巴基斯坦, 政府部门, SideWinder(RattleSnake/Razor Tiger/T-APT-04/APT-C-17/Hardcore Nationalist), APT舆情, APT-C-17

近期,深信服深瞻情报实验室监测到APT组织对巴基斯坦政府单位的最新攻击动态,经分析研判后,将该样本归因为响尾蛇组织发起的攻击。响尾蛇组织, 又称SideWinder、APT-C-17、T-APT-04,是一个来自于南亚地区的境外APT组织。该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。近期捕获到响尾蛇组织采用中英双语内容的钓鱼文件,以备受关注的“国际货币基金组织《世界经济展望报告》发布会邀请函”为内容对巴基斯坦伊斯兰共和国驻华大使馆商务部等相关部门进行钓鱼攻击。

详情

https://mp.weixin.qq.com/s/CRx7NLPE4zzGwHEoWe8_bA

迪拜环球港务集团 (DP World) 遭受网络攻击导致澳大利亚港口暂停运营

日期: 2023-11-14
标签: 澳大利亚, 交通运输, DP World Australia

针对国际物流公司 DP World Australia 的网络攻击严重扰乱了澳大利亚多个大型港口的正常货运。DP World负责运营40个国家的82个海运和内陆码头,每年处理由 70,000 艘船只运送的约 7,000 万个集装箱,相当于全球集装箱运输量的约 10%。2023年11 月 10 日星期五的一次网络攻击扰乱了其港口的陆路货运业务。随后,该公司启动了应急计划,并与网络安全专家合作,以解决该事件造成的问题。目前正在测试恢复正常业务运营所需的关键系统。此次预计损失达数百万美元,因为许多滞留集装箱内装有血浆、和牛和龙虾等对时间敏感的货物。

详情

https://www.bleepingcomputer.com/news/security/dp-world-cyberattack-blocks-thousands-of-containers-in-ports/

丹麦关键基础设施遭受丹麦历史上最大规模的网络攻击

日期: 2023-11-15
标签: 丹麦, 政府部门, 关键基础设施, 零日漏洞

丹麦关键基础设施部门计算机安全事件响应小组 (CSIRT) SektorCERT 报告称,5 月份,丹麦关键基础设施面临该国有记录以来最大规模的网络攻击。第一波攻击于 5 月 11 日发起,短暂停顿后,第二波攻击于 5 月 22 日开始。SektorCERT 于 5 月 22 日意识到这些攻击。SektorCERT 报告称,攻击者破坏了 22 家从事能源基础设施运营的公司的网络。报告称,11 家公司立即受到损害。攻击者利用了丹麦许多关键基础设施运营商使用的 Zyxel 防火墙中的零日漏洞。

详情

https://securityaffairs.com/154156/apt/denmark-critical-infrastructure-record-attacks.html

美国加州长滩遭受网络攻击后 IT 系统关闭

日期: 2023-11-17
标签: 美国加利福尼亚州长滩市, 政府部门

2023年11月15日,美国加利福尼亚州长滩市警告称,他们于2023年11月14日遭受了网络攻击,导致他们关闭了部分 IT 网络以防止攻击蔓延。长滩拥有约 46 万人口,是加州人口第七大城市。预计城市电子邮件和电话系统将保持可用,市政厅和其他面向公众的城市设施将按计划开放。有关特定数字服务当前运营的更新将在不久的将来提供。目前尚不清楚发生了何种类型的网络攻击以及数据是否被盗,也没有攻击组织声称对此次攻击负责,通常要到安全事件发生一周或更长时间后,他们才会公开开始勒索企图。

详情

https://www.bleepingcomputer.com/news/security/long-beach-california-turns-off-it-systems-after-cyberattack/

0x06   安全漏洞

微软修复了 Outlook 桌面错误导致保存速度缓慢的问题

日期: 2023-11-13
标签: 信息技术, 微软(Microsoft), Microsoft, Outlook

Microsoft 解决了导致 Microsoft 365 客户在 Outlook 桌面中保存附件时出现严重延迟的已知问题。该错误已知会影响试图将附件保存到网络共享的 Outlook 用户。遇到此问题的用户会看到“尝试连接”对话框,从而导致“另存为”对话框的加载时间延长。已确认此问题会影响 Microsoft 365 应用,特别是当前频道版本 2304(内部版本 16327.20214)和每月企业频道版本 2304(内部版本 16327.20324)。虽然微软现在已经有了修复程序,但目前仅向内部人员推出。要解决此已知问题,用户必须恢复到早期的 M365 Apps 版本并禁用 WebClient Windows 服务在登录时启动。

详情

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-outlook-desktop-bug-causing-slow-saving-issues/

CISA 警告瞻博网络预授权 RCE 漏洞链被积极利用

日期: 2023-11-14
标签: 信息技术, 瞻博网络, CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847

2023年11月13日,CISA 警告美国联邦机构,要在2023年11月17日之前保护其网络上的瞻博网络设备免受目前用于远程代码执行 (RCE) 攻击的四个漏洞的影响,这些漏洞是预身份验证漏洞利用链的一部分。2023年11月初,瞻博网络更新了公告,通知客户瞻博网络 J-Web 界面中发现的漏洞(追踪为 CVE-2023-36844、CVE-2023-36845、CVE-2023-36846 和 CVE-2023-36847) )已在野外成功利用。发出警告之前,ShadowServer 威胁监控服务透露,它已于 8 月 25 日检测到漏洞利用尝试.根据 Shadowserver 数据,超过 10,000 台 Juniper 设备的易受攻击的 J-Web 接口暴露在网上,其中大部分来自韩国(Shodan 发现超过 13,600 台暴露在互联网上的 Juniper 设备)。

建议管理员立即通过将 JunOS 升级到最新版本来保护其设备,或者作为最低限度的预防措施,限制对 J-Web 界面的互联网访问以消除攻击媒介。

详情

https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-juniper-pre-auth-rce-exploit-chain/

OracleIV DDoS 僵尸网络以公共 Docker 引擎 API 为目标来劫持容器

日期: 2023-11-15
标签: 信息技术, OracleIV DDoS 僵尸网络, Python 恶意软件

2023年11月中旬,Cado 研究人员 Nate Bill 和 Matt Muir表示,公开访问的 Docker Engine API 实例正成为攻击者的攻击目标,旨在将这些机器纳入名为OracleIV的分布式拒绝服务 (DDoS) 僵尸网络的活动。攻击者正在利用这种错误配置来提供恶意 Docker 容器,该容器由名为‘oracleiv_latest’的映像构建,并包含编译为 ELF 可执行文件的 Python 恶意软件。

详情

https://thehackernews.com/2023/11/alert-oracleiv-ddos-botnet-targets.html

新的 CacheWarp AMD CPU 攻击可让黑客侵入 Linux 虚拟机

日期: 2023-11-15
标签: 信息技术, CacheWarp, 身份验证

一种新的基于软件的故障注入攻击 CacheWarp 可以让攻击者通过针对内存写入来升级权限并获得远程代码执行,从而侵入受 AMD SEV 保护的虚拟机。这种新的攻击利用了 AMD 安全加密虚拟化-加密状态 (SEV-ES) 和安全加密虚拟化-安全嵌套分页 (SEV-SNP) 技术中的漏洞, CacheWarp是一种针对 AMD SEV-ES 和 SEV-SNP 的基于软件的新故障攻击,它利用了在架构上将来宾虚拟机修改后的缓存线恢复到之前(陈旧)状态的可能性。攻击者可以将用于身份验证的变量恢复到以前的版本,从而使他们能够劫持以前经过身份验证的会话。此外,利用 CacheWarp 使攻击者能够操纵堆栈上的返回地址,从而改变目标程序的控制缺陷。

详情

https://www.bleepingcomputer.com/news/security/new-cachewarp-amd-cpu-attack-lets-hackers-gain-root-in-linux-vms/

WP Fastest Cache 插件漏洞导致 60 万个 WordPress 网站遭受攻击

日期: 2023-11-15
标签: 信息技术, WordPress, WP Fastest Cache, SQL 注入漏洞

2023年11月14日,Automattic 的 WPScan 团队 披露了一个 SQL 注入漏洞的详细信息,该漏洞的编号为 CVE-2023-6063,严重程度为 8.6,影响该插件 1.2.2 之前的所有版本。当软件接受直接操作 SQL 查询的输入时,就会出现 SQL 注入漏洞,从而导致运行检索私人信息或命令执行的任意 SQL 代码。该漏洞可能允许未经身份验证的攻击者读取站点数据库的内容。WP Fastest Cache 是一个缓存插件,用于加速页面加载、改善访问者体验并提高网站在 Google 搜索上的排名。根据 WordPress.org 统计,超过一百万个网站使用它。WordPress.org 的下载统计数据显示,超过 600,000 个网站仍然运行该插件的易受攻击版本,并面临潜在的攻击。

详情

https://www.bleepingcomputer.com/news/security/wp-fastest-cache-plugin-bug-exposes-600k-wordpress-sites-to-attacks/

VMware 披露了关键的 VCD 设备身份验证绕过且无需补丁

日期: 2023-11-15
标签: 信息技术, VMware, CVE-2023-34060, VMware Cloud Director Appliance

2023年11月中旬,VMware 披露了一个未修补的严重身份验证绕过漏洞,影响 Cloud Director 设备部署。未经身份验证的攻击者可以在不需要用户交互的低复杂性攻击中远程利用该漏洞。在 VMware Cloud Director Appliance 10.5 的升级版本上,具有设备网络访问权限的恶意行为者可以在端口 22 (ssh) 或端口 5480(设备管理控制台)上进行身份验证时绕过登录限制。身份验证绕过安全漏洞仅影响运行之前从旧版本升级的 VCD Appliance 10.5 的设备。CVE-2023-34060 不会影响新的 VCD Appliance 10.5 安装、Linux 部署和其他设备。

详情

https://www.bleepingcomputer.com/news/security/vmware-discloses-critical-vcd-appliance-auth-bypass-with-no-patch/

新的 Reptar CPU 漏洞影响英特尔台式机和服务器系统

日期: 2023-11-15
标签: 制造业, 信息技术, 英特尔(Intel), CVE-2023-23583, CPU 漏洞

英特尔修复了其现代台式机、服务器、移动和嵌入式 CPU 中的一个高严重性 CPU 漏洞,包括最新的 Alder Lake、Raptor Lake 和 Sapphire Rapids 微架构。攻击者可以利用该漏洞(追踪为CVE-2023-23583并被描述为“冗余前缀问题”)来升级权限、获取敏感信息的访问权限或触发拒绝服务状态(这对于云提供商来说可能代价高昂) )。该公司还发布了微代码更新来解决其他 CPU 的问题,建议用户更新其 BIOS、系统操作系统和驱动程序,以便从原始设备制造商 (OEM)、操作系统供应商 (OSV) 和虚拟机管理程序供应商。

详情

https://www.bleepingcomputer.com/news/security/new-reptar-cpu-flaw-impacts-intel-desktop-and-server-systems/

Crucial IT-OT 连接路由器中发现 21 个漏洞

日期: 2023-11-15
标签: 信息技术, 制造业, 工业路由器

2023年11月中旬,研究人员在一个流行品牌的工业路由器中发现了 21 个漏洞。2023年12 月 7 日,Forescout 的分析师将在 Black Hat Europe 上揭露影响运营技术 (OT)/物联网品牌的漏洞,其中包括 CVSS 等级中的 9.6 级“严重”严重性之一和 9 级“高”严重性(物联网)路由器在医疗和制造领域尤其常见。新发现的漏洞中有七个存在于路由器的内部组件中。其中 14 个源自开源组件,特别是 Wi-Fi 网络的强制门户和 XML 处理库。这些漏洞的性质多种多样:跨站点脚本攻击 (XSS)、拒绝服务 (DoS)、远程代码执行 (RCE)、未经授权的访问和身份验证绕过。OT/IoT 路由器通过 3G 和 4G 蜂窝网络将更广泛的互联网与内部网络连接起来。它们最常见于交通、政府和水处理等关键部门。破坏这些设备可能会导致网络内的横向移动、恶意软件部署、间谍活动、服务中断等等。

详情

https://www.darkreading.com/vulnerabilities-threats/21-vulnerabilities-discovered-crucial-it-ot-connective-routers

Apache ActiveMQ 漏洞的新 PoC 武器化

日期: 2023-11-16
标签: 信息技术, Apache, Apache ActiveMQ, PoC

网络安全研究人员展示了一种新技术,该技术利用 Apache ActiveMQ 中的关键安全漏洞来实现内存中的任意代码执行。该漏洞的编号为CVE-2023-46604(CVSS 评分:10.0),是一个远程代码执行错误,可能允许攻击者运行任意 shell 命令。Apache 在上个月末发布的 ActiveMQ 版本 5.15.16、5.16.7、5.17.6 或 5.18.3 中对此漏洞进行了修补。此后,勒索软件组织积极利用该漏洞 来部署 HelloKitty 等勒索软件、与 TellYouThePass 以及名为 SparkRAT 的远程访问木马有相似之处的病毒。根据VulnCheck 的新发现,将该漏洞武器化的攻击者依赖于最初于 2023 年 10 月 25 日披露的公开概念验证 ( PoC ) 漏洞。

详情

https://thehackernews.com/2023/11/new-poc-exploit-for-apache-activemq.html

Citrix Hypervisor 获得针对新 Reptar Intel CPU 漏洞的修补程序

日期: 2023-11-16
标签: 信息技术, Citrix Hypervisor, Reptar Intel CPU 漏洞

Citrix 已针对影响 Citrix Hypervisor 的两个漏洞发布了修补程序,其中之一是影响桌面和服务器系统英特尔 CPU 的“Reptar”高严重性漏洞。Citrix Hypervisor(以前称为 XenServer)是用于部署和管理虚拟化环境的企业级虚拟化平台。该修补程序解决了被跟踪为 CVE-2023-23583 和 CVE-2023-46835 的漏洞。英特尔指出,CVE-2023-23583 在现实世界中被利用的可能性很低。英特尔发布了微代码来纠正该问题,并建议立即更新以缓解此问题。

详情

https://www.bleepingcomputer.com/news/security/citrix-hypervisor-gets-hotfix-for-new-reptar-intel-cpu-flaw/

VMware 警告未修补的 Cloud Director 严重漏洞

日期: 2023-11-16
标签: 信息技术, VMware, CVE-2023-34060, VMware Cloud Director Appliance

VMware 警告 Cloud Director 中存在未修补的严重安全漏洞,攻击者可能会利用该漏洞绕过身份验证保护。该漏洞编号为CVE-2023-34060(CVSS 评分:9.8),影响已从旧版本升级到 10.5 版本的实例。在 VMware Cloud Director Appliance 10.5 的升级版本上,具有设备网络访问权限的攻击者可以在端口 22 (ssh) 或端口 5480(设备管理控制台)上进行身份验证时绕过登录限制。端口 443(VCD 提供商和租户登录)上不存在此旁路。在新安装的 VMware Cloud Director Appliance 10.5 上,不存在旁路。

详情

https://thehackernews.com/2023/11/urgent-vmware-warns-of-unpatched.html

四个组织利用 ZIMBRA 零日漏洞窃取政府电子邮件

日期: 2023-11-17
标签: 政府部门, 信息技术, CVE-2023-37580, XSS漏洞, Zimbra Classic Web

谷歌威胁分析小组 (TAG) 研究人员透露,Zimbra Collaboration 电子邮件软件中的一个零日漏洞(编号为CVE-2023-37580 (CVSS 评分:6.1))被四个不同的攻击者利用来窃取电子邮件数据、用户凭据,以及来自政府组织的身份验证令牌。专家观察到,大多数攻击都是在该漏洞的补丁公开披露后发生的。该漏洞是驻留在 Zimbra Classic Web 客户端中的反射跨站脚本 (XSS) 漏洞,它影响 8.8.15 补丁 41 之前的 Zimbra Collaboration (ZCS) 8。Zimbra 于 2023 年 7 月解决了漏洞 CVE- 2023-37580 。

详情

https://securityaffairs.com/154277/apt/zimbra-zero-day-govt-emails.html

Fortinet 警告 FortiSIEM 中存在严重命令注入漏洞

日期: 2023-11-17
标签: 信息技术, Fortinet, CVE-2023-36553, FortiSIEM 报告服务器

2023年11月中旬,Fortinet 警告客户 FortiSIEM 报告服务器中存在一个关键操作系统命令注入漏洞,未经身份验证的远程攻击者可能会利用该漏洞通过特制的 API 请求执行命令。FortiSIEM(安全信息和事件管理)是一种全面的网络安全解决方案,可为组织提供增强的可见性和对其安全状况的精细控制。它适用于医疗保健、金融、零售、电子商务、政府和公共部门的各种规模的企业。Fortinet 的产品安全团队为其指定了 9.3 级的严重严重性评分,现已追踪为 CVE-2023-36553。

详情

https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-command-injection-bug-in-fortisiem/

0x07   安全分析

微软:BlueNoroff 黑客计划新的加密盗窃攻击

日期: 2023-11-13
标签: 政府部门, 信息技术, LinkedIn, BlueNoroff

微软警告称,朝鲜黑客组织BlueNoroff(Sapphire Sleet)正在为 LinkedIn 上即将开展的社会工程活动建立新的攻击基础设施。BlueNoroff黑客在 LinkedIn 上进行初步接触后选择了目标,然后通过部署隐藏在通过各种社交网络上的私人消息推送的恶意文档中的恶意软件来为他们的系统设置后门。Sapphire Sleet 通常在 LinkedIn 等平台上寻找目标,并使用与技能评估相关的诱饵。然后,攻击者将与目标的成功通信转移到其他平台。

详情

https://www.bleepingcomputer.com/news/security/microsoft-bluenoroff-hackers-plan-new-crypto-theft-attacks/

攻击者滥用以太坊“Create2”功能窃取了 6000 万美元

日期: 2023-11-14
标签: 金融业, 信息技术, “Create2”功能, 加密货币

2023年11月上村,“Scam Sniffer”的 Web3 反诈骗专家报告称,攻击者一直在滥用以太坊的“Create2”功能来绕过钱包安全警报并毒害加密货币地址,导致在六个月内从 99,000 人那里窃取了价值 60,000,000 美元的加密货币。Create2 是以太坊中的一个操作码,允许在区块链上创建智能合约。研究人员观察到了多起野外利用该功能的案例,在某些情况下,一个人造成的损失高达 160 万美元。

详情

https://www.bleepingcomputer.com/news/security/ethereum-feature-abused-to-steal-60-million-from-99k-victims/

桃色陷阱行动:APT-C-52(焰魔蛇)组织针对巴基斯坦的攻击活动

日期: 2023-11-16
标签: 政府部门, APT-C-52(焰魔蛇), APT舆情

APT-C-52(焰魔蛇)组织是一个来自南亚的APT组织,主要针对巴基斯坦进行有组织、有计划、针对性的网络攻击行动。该组织攻击活动开始于2021年初,至今仍处于活跃状态。我们获取攻击者服务器泄露的部分数据,受害者主要为巴基斯坦军事人员。APT-C-52(焰魔蛇)组织主要通过Google Play应用商店传播恶意应用,首先利用Facebook获取攻击目标联系方式,然后通过WhatsApp或短信等社交方式传播恶意应用的下载地址,诱导攻击目标安装并使用恶意应用,实现窃取目标隐私数据等敏感信息的目的。

详情

https://mp.weixin.qq.com/s/MhyGLPqOthzG-H2RVeobAw

Malwarebytes 警告信用卡盗刷激增

日期: 2023-11-17
标签: 居民服务, 信用卡盗刷

2023年11月中旬,反恶意软件提供商 Malwarebytes 就信用卡盗刷行为的兴起发出警告。Malwarebytes Labs 在 2023 年 11 月 14 日发布的一篇文章中表示,这种类型的身份盗窃(犯罪分子从 ATM、其他支付终端甚至受感染的网站窃取信用卡信息)预计在未来几周内将会增加。一项名为 Kritec 的信用卡盗刷活动在经历了夏季的平静期后,在 10 月份大幅加快了步伐。Kritec 是一种窃取器,由 Akamai 于 2023 年 3 月首次发现,归因于 Magecart,这是一个模糊的黑客集群,它利用在线窃取技术从网站上窃取个人数据。

详情

https://www.infosecurity-magazine.com/news/black-friday-malwarebytes-credit/

0x08   行业动向

阿塞拜疆和土库曼斯坦签署网络合作伙伴协议

日期: 2023-11-14
标签: 阿塞拜疆, 土库曼斯坦, 政府部门, 信息技术, 阿塞拜疆国家特殊通信和信息安全局(SSIS), 网络合作, 信息安全

阿塞拜疆和土库曼斯坦的信息安全代表签署了一份关于未来在网络安全问题上合作的谅解备忘录(MOU)。该谅解备忘录是阿塞拜疆国家特殊通信和信息安全局(SSIS)代表与土库曼斯坦运输和通信局代表举行会议时签署的。该协议的具体细节并未披露,但该交易是“在信息安全领域”。此前有报道称,阿塞拜疆企业遭到有针对性的攻击,而以色列则帮助阿塞拜疆网络安全中心培训未来的网络专家。

详情

https://www.darkreading.com/dr-global/azerbaijan-agencies-cyber-partner-deals

欧盟正式对乌克兰提供网络安全支持

日期: 2023-11-14
标签: 乌克兰, 政府部门, 欧盟(EU Lawmakers), 欧盟, 网络安全合作

2023年11月13日,欧盟通过一项旨在改善信息共享和能力建设的新正式协议,巩固了与乌克兰在网络安全合作方面的关系。该协议由欧盟安全机构 ENISA、乌克兰国家网络安全协调中心 (NCCC) 以及乌克兰国家特殊通信和信息保护管理局 (SSSCIP) 签署。这一基础广泛的安排涵盖“短期结构化合作行动”,但也注重长期政策协调。它涵盖三个领域:网络意识和能力建设以增强抵御能力、协调立法和实施、更系统的知识和信息共享,增强态势感知。

详情

https://www.infosecurity-magazine.com/news/eu-formalizes-cybersecurity/

美国政府公布首个网络安全人工智能路线图

日期: 2023-11-16
标签: 信息技术, 政府部门, 美国国土安全部 (DHS) , 美国网络安全和基础设施安全局 (CISA), 人工智能

2023年11月中旬,美国国土安全部 (DHS) 和网络安全和基础设施安全局 (CISA) 公布了首个人工智能 (AI) 路线图。该倡议与拜登总统最近的行政命令相一致,该命令指示国土安全部在全球范围内推广人工智能安全标准,保护美国网络和关键基础设施,并解决人工智能潜在的武器化问题。该路线图包括五个战略工作方向,旨在指导具体举措并阐明 CISA 对网络安全人工智能的负责任方法。

详情

https://www.infosecurity-magazine.com/news/us-gov-first-ai-roadmap-for/

石油公司沙特阿美将深入研究沙特 ICS 安全

日期: 2023-11-16
标签: 沙特阿拉伯, 能源业, 阿美公司, 运营技术(OT)环境

2023年11月中旬,沙特阿拉伯国家石油公司阿美公司表示,它正在探索加强对阿美公司工业资产和基础设施以及对沙特阿拉伯更广泛的关键资产和基础设施的网络保护的方法。 阿美公司正在寻求提高运营技术(OT)环境的安全性,并将与网络安全公司 Dragos 合作,在沙特阿拉伯开设一所学院,为该领域提供培训。

详情

https://www.darkreading.com/dr-global/oil-giant-aramco-drills-down-on-saudi-ics-security

CSA 推出首个零信任认证

日期: 2023-11-17
标签: 信息技术, 云安全联盟(CSA), 零信任能力证书(CCZT), 零信任

云安全联盟(CSA)推出了业界首个权威零信任认证——零信任能力证书(CCZT)。 CSA 表示,该认证旨在应对普及技术不断发展的格局以及传统安全模型的不足。它旨在为安全专业人员提供制定和实施零信任策略所需的知识。CCZT计划提供全面的教育,借鉴行业专家、标准机构和政府认可的最佳实践。值得注意的是,它融合了 CISA 和 NIST 等主要来源的基本原则,以及 CSA Research 的创新见解和零信任先驱 John Kindervag 的专业知识。

详情

https://www.infosecurity-magazine.com/news/csa-launches-zero-trust/

0x09   勒索攻击

Lorenz勒索组织攻击美国德克萨斯州科格德尔纪念医院

日期: 2023-11-14
标签: 美国德克萨斯州, 卫生行业, 德克萨斯州科格德尔纪念医院, Lorenz, 患者数据

2023年11月中旬,Lorenz勒索组织泄露了从德克萨斯州科格德尔纪念医院窃取的数据。11月初,科格德尔纪念医院(斯卡里县医院区)宣布发生计算机网络事件,该事件导致医院无法访问其部分系统,并严重限制了其电话系统的可操作性。医院立即断开网络连接并继续提供大多数常规服务。Lorenz勒索组织声称对此次安全漏洞负责,并将该医院添加到其 Tor 泄露站点中。该组织声称窃取了超过 400GB 的数据,包括内部文件、患者医疗图像以及员工电子邮件通信。Lorenz 勒索软件团伙 自 2021 年 4 月以来一直活跃,袭击了全球多个组织,向受害者索要数十万美元的赎金。

详情

https://securityaffairs.com/154101/data-breach/the-lorenz-ransomware-group-hit-texas-based-cogdell-memorial-hospital.html

LockBit 勒索软件利用 Citrix Bleed 进行攻击,10K 服务器暴露

日期: 2023-11-15
标签: 信息技术, CVE-2023-4966, Lockbit, Citrix Bleed 漏洞

2023年11月中旬,研究人员发现,Lockbit 勒索软件攻击利用 Citrix Bleed 漏洞 (CVE-2023-4966) 的公开漏洞来破坏大型组织的系统、窃取数据和加密文件。尽管 Citrix 在一个多月前就修复了 CVE-2023-4966,超过 10,400 台 Citrix 服务器容易受到 CVE-2023-4966 的攻击。大多数服务器(3,133 台)位于美国,其次是德国 1,228 台、中国 733 台、英国 558 台、澳大利亚 381 台、加拿大 309 台、法国 301 台、意大利 277 台、西班牙 252 台、西班牙 244 台。荷兰 215 家,瑞士 215 家。Sejiyama 的扫描显示了上述国家和许多其他国家的大型关键组织中存在易受攻击的服务器,所有这些服务器在公开披露该关键漏洞后整整一个月都没有修补。

详情

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-exploits-citrix-bleed-in-attacks-10k-servers-exposed/

FBI 和 CISA 警告警惕 Rhysida 勒索软件攻击

日期: 2023-11-16
标签: 信息技术, 卫生行业, 教育行业, 制造业, Rhysida 勒索软件团伙

2023年11月15日,FBI 和 CISA 警告 Rhysida 勒索软件团伙针对多个行业部门(教育、医疗保健、制造、信息技术和政府部门等)的组织发起机会主义攻击。Rhysida 是一家于 2023 年 5 月出现的勒索软件企业,在入侵智利军队 (Ejército de Chile)并在网上泄露被盗数据后迅速出名。2023年11月上旬,美国卫生与公众服务部(HHS)也警告称,Rhysida 团伙应对近期针对医疗机构的袭击事件负责。

详情

https://www.bleepingcomputer.com/news/security/fbi-and-cisa-warn-of-opportunistic-rhysida-ransomware-attacks/

FBI 和 CISA 警告 RHYSIDA 勒索软件团伙发起攻击

日期: 2023-11-17
标签: 政府部门, 信息技术, 教育行业, CVE-2020-1472, Rhysida, Zerologon

FBI 和 CISA 发布了 联合网络安全咨询 (CSA),警告Rhysida勒索软件针对多个行业部门的组织发起攻击。Rhysida 勒索软件团伙自 2023 年 5 月以来一直活跃,根据该团伙的 Tor 泄露网站, 至少有 62 家公司 成为此次行动的受害者。该勒索软件团伙袭击了多个行业的组织,包括教育、医疗保健、制造、信息技术和政府部门。据观察,Rhysida 参与者利用面向外部的远程服务(例如 VPN、RDP)来获得对目标网络的初始访问并保持持久性。该组织依靠泄露的凭据对内部 VPN 接入点进行身份验证。根据该通报,研究人员发现该组织利用Microsoft Netlogon 远程协议中的Zerologon ( CVE-2020-1472 ) 进行网络钓鱼。

详情

https://securityaffairs.com/154224/malware/fbi-cisa-rhysida-ransomware-gang.html

0x0a   其他事件

Caracal Kitten组织在近期在伊朗地区活跃

日期: 2023-11-13
标签: 政府部门, Caracal Kitten, 中东地区, APT舆情

近日中东地区黑客活动频发,山石网科威胁情报小组捕获了Caracal Kitten组织的移动端RAT样本。该RAT程序会收集感染者手机设备信息、通讯录、手机文件等一些列敏感信息回传黑客服务器。

详情

https://mp.weixin.qq.com/s/f6T_ZQHyLcDcJZrHiHDxFA

警方取缔 BulletProftLink 大型网络钓鱼服务平台

日期: 2023-11-13
标签: 马来西亚, 信息技术, BulletProftLink 网络钓鱼即服务 (PhaaS) 平台, 网络钓鱼攻击

2023年11月中旬,马来西亚皇家警察宣布,臭名昭著的 BulletProftLink 网络钓鱼即服务 (PhaaS) 平台已被查获,该平台提供 300 多个网络钓鱼模板。该服务始于 2015 年,但后来引起了研究人员的关注,并自 2018 年以来变得更加活跃,拥有数千名订阅者,其中一些订阅者付费访问批量凭证日志。PhaaS 平台为网络犯罪分子提供工具和资源,通过“即用型”套件和模板、页面托管、自定义选项、凭据收集和反向代理工具来实施网络钓鱼攻击。

详情

https://www.bleepingcomputer.com/news/security/police-takes-down-bulletproftlink-large-scale-phishing-provider/

新的勒索组织利用 Hive 的源代码和基础设施展开攻击

日期: 2023-11-14
标签: 信息技术, Hunters International, 勒索软件即服务 (RaaS) 操作, Hive

一个名为Hunters International 的新勒索软件组织从现已拆除的Hive中获取了源代码和基础设施,以展开攻击行动。Hive 曾经是一个多产的勒索软件即服务 (RaaS) 操作,2023 年 1 月作为协调执法行动的一部分被取缔。研究人员表示,Hive 集团的领导层似乎停止运营并将剩余资产转移给另一个集团 Hunters International 。

详情

https://thehackernews.com/2023/11/new-ransomware-group-emerges-with-hives.html

FBI取缔具有 23,000 个恶意流量代理的 IPStorm 僵尸网络

日期: 2023-11-15
标签: 信息技术, IPStorm, 僵尸网络代理服务

2023年11月14日,美国司法部宣布,联邦调查局取缔了名为 IPStorm 的僵尸网络代理服务的网络和基础设施。IPStorm 使网络犯罪分子能够通过世界各地的 Windows、Linux、Mac 和 Android 设备匿名运行恶意流量。美国司法部的公告将 IPStorm 描述为代理僵尸网络,使网络犯罪分子、诈骗者和其他人能够通过人们家庭或办公室中数千个受感染的设备传输流量来逃避封锁并保持匿名。IPStorm 的受害者除了在不知不觉中、不由自主地成为网络犯罪的推动者之外,还承受着网络带宽被恶意行为者劫持的后果,并面临随时接收更危险的有效负载的风险。

详情

https://www.bleepingcomputer.com/news/security/ipstorm-botnet-with-23-000-proxies-for-malicious-traffic-dismantled/

APT29针对大使馆和国际组织的间谍行动

日期: 2023-11-16
标签: 阿塞拜疆, 希腊, 罗马尼亚, 意大利, 政府部门, APT29, 大使馆, APT舆情

在本报告中,揭露了由APT29策划的复杂网络攻击,APT29是一个与俄罗斯对外情报局(SVR)有联系的高级持续威胁组织。这次攻击的目标跨越多个欧洲国家,包括阿塞拜疆、希腊、罗马尼亚和意大利,其中主要目标是渗透大使馆实体。APT29利用WinRAR中新发现的漏洞CVE-2023-38831来促进入侵。该报告深入研究了这些网络行动的复杂细节,揭示了攻击者的TTP。APT29巧妙地采用了看似良性的诱惑,以诱人的宝马汽车销售照片和文件的形式,精心设计来吸引毫无戒心的受害者。诱饵文档包含利用WinRAR漏洞的隐藏恶意内容,使攻击者能够访问受感染的系统。

详情

https://www.rnbo.gov.ua/files/2023_YEAR/CYBERCENTER/november/APT29%20attacks%20Embassies%20using%20CVE-2023-38831%20-%20report%20en.pdf

FBI拆除 IPStorm 僵尸网络代理服务

日期: 2023-11-16
标签: 信息技术, IPStorm 僵尸网络代理服务

美国当局关闭了一个由数万个受感染端点组成的主要僵尸网络,网络犯罪分子雇佣该僵尸网络发起各种匿名攻击。IPStorm僵尸网络于 2019 年 5 月首次被发现,当时针对 Windows 系统,而不是 Intezer 的专家报告称,该僵尸网络已进化到感染其他平台,包括 Android、Linux 和 Mac 设备。IPStorm僵尸网络继续感染世界各地的系统,其规模从 2019 年 5 月的约 3,000 个受感染系统增加到 2020 年 10 月的超过 13,500 个设备。FBI 敦促设备所有者及时更新最新的安全和软件补丁,以降低其机器受到损害并被纳入此类僵尸网络的风险。

详情

https://www.infosecurity-magazine.com/news/us-dismantles-ipstorm-botnet-proxy/

FBI发布Scattered Spider黑客组织的分析报告

日期: 2023-11-17
标签: 信息技术, Scattered Spider,又名 0ktapus、Starfraud、UNC3944、Scatter Swine、Octo Tempest和Muddled Libra, Scattered Spider

美国联邦调查局和网络安全与基础设施安全局发布了一份关于被追踪为“Scattered Spider”的攻击组织的公告,该组织目前与 ALPHV/BlackCat 俄罗斯勒索软件行动合作。Scattered Spider,又名 0ktapus、Starfraud、UNC3944、Scatter Swine、Octo Tempest和Muddled Libra,擅长社会工程,依靠网络钓鱼、多工厂身份验证推送轰炸(有针对性的 MFA 疲劳)和 SIM 交换来获得初始收益。大型组织的网络访问。据报道,FBI 知道该组织至少 12 名成员的身份,但尚未有人被起诉或逮捕。

详情

https://www.bleepingcomputer.com/news/security/fbi-shares-tactics-of-notorious-scattered-spider-hacker-collective/

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2023-11-13 360CERT发布安全周报