报告编号：CERT-R-2023-548

报告来源：360CERT

报告作者：360CERT

更新日期：2023-11-27

0x01   事件导览

本周收录安全热点55项，话题集中在恶意软件、网络攻击、数据安全，主要涉及的实体有：彭博社、加拿大政府、Welltok等，主要涉及的黑客组织有：APT29、Appin Software Security（又名 Appin Security Group）、Bitter等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Kinsing 恶意软件利用 Apache ActiveMQ RCE 植入 rootkit

日期: 2023-11-21
标签: 信息技术, Kinsing, CVE-2023-46604, Apache ActiveMQ

2023年11月20日，TrendMicro 的一份报告指出，Kinsing 被添加到利用 CVE-2023-46604 的攻击组织名单中，他们的目标是在易受攻击的服务器上部署加密货币挖矿程序。Kinsing 恶意软件运营商正在积极利用 Apache ActiveMQ 开源消息代理中的 CVE-2023-46604 严重漏洞来危害 Linux 系统。该漏洞允许远程执行代码，并于 10 月底得到修复。 Apache 的披露解释称，该漏洞允许利用 OpenWire 协议中的序列化类类型运行任意 shell 命令。研究人员发现， 数千台服务器 在补丁发布后仍面临攻击。

详情

0x04   恶意软件

8BASE 勒索软件运营商使用 PHOBOS 勒索软件的新变种

日期: 2023-11-20
标签: 美国, 巴西, 金融业, 信息技术, 政府部门, 8Base

Cisco Talos 研究人员观察到8Base 勒索软件背后的攻击者在最近的攻击中使用 Phobos 勒索软件的变体。Phobos 变体通常由 SmokeLoader 分发，但在 8Base 活动中，它的加密负载中嵌入了勒索软件组件。然后勒索软件组件被解密并加载到 SmokeLoader 进程的内存中。6 月份，VMware Carbon Black 研究人员观察到与名为 8Base 的秘密勒索软件组织相关的活动有所加剧。该集团自 2022 年 3 月以来一直活跃，专注于多个行业的中小企业，包括金融、制造、商业服务和 IT。安全专家将 2023 年 5 月的 67 起攻击归因于该组织，大多数受害者位于美国和巴西。VMware 研究人员首先注意到 Phobos 勒索软件 对加密文档使用“.8base”文件扩展名，这种情况表明可能存在指向8Base 组织或其勒索软件使用相同的代码库。

详情

Gamaredon 的 LittleDrifter USB 恶意软件已蔓延至乌克兰以外地区

日期: 2023-11-21
标签: 政府部门, 信息技术, Gamaredon, LittleDrifter, 关键基础设施

2023年11月中旬的一种被研究人员称为 LittleDrifter 的蠕虫病毒已通过 USB 驱动器传播，感染多个国家的系统，这是 Gamaredon 国家资助的间谍组织活动的一部分。Gamaredon，也称为 Shuckworm、Iron Tilden 和 Primitive Bear，是一个与俄罗斯相关的网络间谍威胁组织，该组织至少在十年来一直针对乌克兰多个部门的组织，包括政府、国防和关键基础设施。 恶意软件研究人员在美国、乌克兰、德国、越南、波兰、智利和香港发现了妥协的迹象，这表明威胁组织失去了对 LittleDrifter 的控制，从而达到了非预期目标。根据 Check Point 的研究，该恶意软件是用 VBS 编写的，旨在通过 USB 驱动器传播，是Gamaredon 的 USB PowerShell 蠕虫病毒的演变。

详情

Lumma Stealer 恶意软件使用三角学来逃避检测

日期: 2023-11-21
标签: 信息技术, Lumma Stealer, 鼠标移动

Lumma 信息窃取恶意软件现在使用一种新的策略来逃避安全软件的检测：使用三角学测量鼠标移动来确定恶意软件是在真实机器上运行还是在防病毒沙箱上运行。Lumma（或 LummaC2）是一种恶意软件即服务信息窃取程序。该恶意软件允许攻击从 Windows 7-11 上运行的网络浏览器和应用程序窃取数据，包括密码、cookie、信用卡和加密货币钱包中的信息。该恶意软件系列于 2022 年 12 月首次在网络犯罪论坛上可供购买，几个月后， KELA 报告 它已经开始在地下黑客社区中流行起来。

详情

针对政府和商业部门的NetSupport RAT 感染呈上升趋势

日期: 2023-11-21
标签: 信息技术, 政府部门, 商务服务, NetSupport RAT

攻击组织利用名为 NetSupport RAT 的远程访问木马瞄准教育、政府和商业服务部门。VMware Carbon Black 研究人员表示，过去几周检测到不少于 15 起与 NetSupport RAT 相关的新感染。NetSupport RAT 的交付机制包括欺诈性更新、偷渡式下载、利用恶意软件加载程序（例如GHOSTPULSE）以及各种形式的网络钓鱼活动。虽然 NetSupport Manager 最初是一个合法的远程管理工具，用于提供技术援助和支持，但攻击组织已滥用该工具为自己谋取利益，将其作为后续攻击的工具。

详情

DarkGate 和 PikaBot 恶意软件在新的网络钓鱼攻击中重现QakBot策略

日期: 2023-11-21
标签: 信息技术, DarkGate, PikaBot, QakBot, 网络钓鱼攻击

利用DarkGate 和 PikaBot 等恶意软件系列的网络钓鱼活动所采用的策略与之前利用现已失效的 QakBot 木马进行攻击时所使用的策略相同。Cofense的研究人员表示，这些包括作为初始感染的劫持电子邮件线程、限制用户访问的具有独特模式的 URL，以及与他们在 QakBot 交付中看到的几乎相同的感染链。

详情

Konni Campaign 部署具有 UAC 绕过功能的高级 RAT

日期: 2023-11-22
标签: 信息技术, Konni,  UAC 绕过功能

2023年11月20日，Fortinet 安全研究员 Cara Lin表示，在正在进行的 Konni 活动中检测到带有恶意宏的俄语 Word 文档。 尽管创建日期为 2023 年 9 月，但 FortiGuard Labs 的内部遥测显示该活动的命令与控制 (C2) 服务器上持续存在活动。 这个长期运行的活动利用远程访问特洛伊木马 (RAT)，该木马能够提取信息并在受感染的设备上执行命令，并采用多种策略在受害者网络中进行初始访问、有效负载传输和持久性。

详情

新的 Agent Tesla 恶意软件变体在电子邮件攻击中使用 ZPAQ 压缩

日期: 2023-11-22
标签: 信息技术, Agent Tesla, ZPAQ 压缩格式

2023年11月20日，G Data 恶意软件分析师 Anna Lvova发布研究报告表示，已观察到 Agent Tesla 恶意软件的新变种是通过带有 的诱饵文件传递的ZPAQ 压缩格式，用于从多个电子邮件客户端和近 40 个网络浏览器收集数据。ZPAQ 是一种文件压缩格式，与 ZIP 和 RAR 等广泛使用的格式相比，它提供更好的压缩比和日志功能。Agent Tesla 首次出现于 2014 年，是一个键盘记录器和远程访问木马 (RAT) 用 .NET 编写，作为恶意软件的一部分提供给其他威胁行为者服务（MaaS）模型。它通常用作第一阶段的有效负载，提供对受感染系统的远程访问，并用于下载更复杂的第二阶段工具，例如勒索软件。

详情

Lumma 恶意软件据称可以恢复过期的 Google 身份验证 cookie

日期: 2023-11-22
标签: 信息技术, 谷歌（Google）, Lumma, Google 身份验证 cookie

Lumma 信息窃取恶意软件（又名“LummaC2”）正在推广一项新功能，据称该功能允许网络犯罪分子恢复过期的 Google cookie，从而可用于劫持 Google 帐户。会话 Cookie 是特定的 Web Cookie，用于允许浏览会话自动登录网站的服务。由于这些 cookie 允许拥有它们的任何人登录所有者的帐户，因此出于安全原因，它们的使用寿命通常有限，以防止被盗时被滥用。恢复这些 cookie 将使 Lumma 操作员能够未经授权访问任何 Google 帐户，即使合法所有者已注销其帐户或会话已过期。

详情

新的僵尸网络恶意软件利用两个零日漏洞感染 NVR 和路由器

日期: 2023-11-23
标签: 信息技术, InfectedSlurs, 零日漏洞, 远程代码执行 (RCE) 漏洞

一个名为“InfectedSlurs”的新的基于 Mirai 的恶意软件僵尸网络一直在利用两个零日远程代码执行 (RCE) 漏洞来感染路由器和录像机 (NVR) 设备。该恶意软件劫持这些设备，使其成为 DDoS（分布式拒绝服务）群的一部分。Akamai 的安全情报响应团队 (SIRT) 于 2023 年 10 月首次发现该僵尸网络，注意到一个很少使用的 TCP 端口针对其蜜罐的异常活动。

详情

新的 WailingCrab 恶意软件加载程序通过以运输为主题的电子邮件传播

日期: 2023-11-24
标签: 信息技术, 交通运输, 电子邮件

2023年11月下旬，IBM X-Force 研究人员表示，以交付和运输为主题的电子邮件被用来传递名为 WailingCrab 的复杂恶意软件加载程序。恶意软件本身分为多个组件，包括加载器、注入器、下载器和后门，并且通常需要成功请求 C2 控制的服务器才能检索下一阶段。WailingCrab，也称为 WikiLoader，于 2023 年 8 月由 Proofpoint 首次记录，详细介绍了针对意大利组织的活动，这些组织最终使用该恶意软件进行部署Ursnif（又名 Gozi）木马。该恶意软件是一个名为 TA544 的攻击者开发的，该攻击者也被追踪为 Bamboo Spider 和 Zeus Panda。 IBM X-Force 已将该集群命名为 Hive0133。

详情

CLEARFAKE 活动传播 MACOS AMOS 信息窃取程序

日期: 2023-11-24
标签: 信息技术, Atomic macOS Stealer, tomic Stealer (AMOS) macOS 信息窃取程序, CLEARFAKE 活动

Malwarebytes 研究人员警告称，Atomic Stealer (AMOS) macOS 信息窃取程序现在通过跟踪为 ClearFake 的虚假浏览器更新链进行传播。该恶意软件主要针对 macOS，旨在从受感染的系统中窃取敏感信息。Atomic macOS Stealer 可让攻击者从受感染的机器中窃取各种信息。这包括钥匙串密码、系统详细信息、桌面文件和 macOS 密码。

该恶意软件能够从多个浏览器窃取数据，包括自动填充、密码、cookie、钱包和信用卡信息。

详情

InfectedSlurs 僵尸网络使用零日漏洞

日期: 2023-11-24
标签: 信息技术, InfectedSlurs, 零日漏洞

Akamai 安全事件响应团队 (SIRT) 检测到针对其全球蜜罐中很少使用的 TCP 端口的活动有所增加。2023 年 10 月下旬进行的调查揭示了一个特定的 HTTP 漏洞利用路径，确定了两个在野外积极利用的零日漏洞。 第一个漏洞针对闭路电视和安全摄像头设备中使用的网络录像机 (NVR)，而第二个漏洞则影响酒店和住宅应用中基于插座的无线 LAN 路由器。Akamai SIRT 确定该活动源自 Mirai 僵尸网络活动集群，主要使用旧版 JenX Mirai 恶意软件变体。

详情

朝鲜黑客在供应链攻击中传播CyberLink木马

日期: 2023-11-24
标签: 信息技术, CyberLink

朝鲜攻击组织Diamond Sleet正在传播一款由台湾多媒体软件开发商CyberLink开发的合法应用程序的木马版本，通过供应链攻击来针对下游客户。微软威胁情报团队表示，这个恶意文件是一个经过修改的合法的CyberLink应用程序安装程序，其中包含下载、解密和加载第二阶段有效负载的恶意代码。该恶意文件托管在该公司的更新基础设施上，并包含限制执行时间窗口和绕过安全产品检测的检查。据估计，这场运动已经影响了日本、台湾、加拿大和美国的100多个设备。与修改后的CyberLink安装程序文件相关的可疑活动最早可以追溯到2023年10月20日。

详情

0x05   数据安全

加拿大政府披露其承包商遭遇黑客攻击后数据泄露

日期: 2023-11-21
标签: 政府部门, 加拿大政府

加拿大政府表示，其两名承包商遭到黑客攻击，泄露了属于数量不详的政府雇员的敏感信息。 这些违规行为发生在2023年10月，影响了 Brookfield Global Relocation Services (BGRS) 和 SIRVA Worldwide Relocation & Moving Services，两家公司都为加拿大政府雇员提供搬迁服务。 受影响的 BGRS 和 SIRVA 加拿大系统中存储的与政府相关的信息可以追溯到 1999 年，这些信息属于广泛的受影响个人，包括加拿大皇家骑警 (RCMP) 成员、加拿大武装部队人员和加拿大政府雇员。虽然加拿大政府尚未确定该事件的来源，但 LockBit 勒索软件团伙已声称对破坏 SIRVA 系统负责，并泄露了他们声称包含 1.5TB 被盗文件的档案。

详情

美国网络安全实验室遭遇重大数据泄露

日期: 2023-11-22
标签: 科研服务, 爱达荷国家实验室 (INL), 员工数据

2023年下旬，美国爱达荷国家实验室 (INL) 确认他们在“SiegedSec”发布后遭受了网络攻击。黑客活动分子在网上泄露了被盗的人力资源数据。INL 是美国能源部运营的核研究中心，拥有 5,700 名原子能、综合能源和国家安全领域的专家。2023年11月20日，SiegedSec 宣布已获得 INL 数据的访问权限，其中包括“数十万”人的详细信息。员工、系统用户和公民。SiegedSec 泄露的数据包括：全名、出生日期、电子邮件地址、电话号码、社会安全号码 (SSN)、物理地址、就业信息。

详情

汽车制造商 AutoZone 警告 MOVEit 数据泄露

日期: 2023-11-22
标签: 批发零售, 制造业, AutoZone , MOVEit 

2023年11月21日，AutoZone 警告数万名客户，由于 Clop MOVEit 文件传输攻击，该公司遭受了数据泄露。AutoZone 是美国领先的汽车零配件零售商和分销商，在美国以及巴西、墨西哥和波多黎各经营着 7,140 家商店。AutoZone 表示在 2023 年 5 月 28 日的攻击中，该公司遭遇了数据泄露，导致 184,995 人的数据泄露。Clop 勒索软件团伙对今年早些时候对 AutoZone 的攻击负责，并于 2023 年 7 月 7 日公布了他们声称从该公司窃取的所有数据。网络犯罪分子泄露的数据大小约为 1.1GB，包含员工姓名、电子邮件地址、零件供应详细信息、税务信息、工资单文档、Oracle 数据库文件、商店数据、生产和销售信息等。泄露的文件中没有出现客户数据。

详情

美国堪萨斯州法院证实遭受勒索攻击后数据泄露

日期: 2023-11-23
标签: 政府部门, 美国堪萨斯州法院

2023年11月中旬，美国堪萨斯州司法部门发布了2023 年 10 月中旬发生的网络安全事件的最新信息，确认黑客从其系统中窃取了包含机密信息的敏感文件。堪萨斯当局估计需要几周时间才能使所有系统恢复正常状态。它承诺在完成对被盗数据的审查后立即通知受影响的个人。

详情

Welltok 遭受攻击导致 850 万美国患者数据泄露

日期: 2023-11-23
标签: 卫生行业, Welltok, 患者数据

2023年11月中旬，美国医疗保健 SaaS 提供商 Welltok 警告称，该公司使用的文件传输程序在数据盗窃攻击中遭到黑客攻击，导致美国近 850 万名患者的个人数据泄露。Welltok 表示其 MOVEit Transfer 服务器于 2023 年 7 月 26 日遭到破坏。患者数据在泄露期间被暴露，包括全名、电子邮件地址、实际地址和电话号码。对于某些人来说，它还包括社会安全号码 (SSN)、医疗保险/医疗补助 ID 号码和某些健康保险信息。

此次泄露事件影响了多个州的机构，包括明尼苏达州、阿拉巴马州、堪萨斯州、北卡罗来纳州、密歇根州、内布拉斯加州、伊利诺伊州和马萨诸塞州。

详情

韩国 IT 公司 TMAXSOFT 2TB数据泄露

日期: 2023-11-23
标签: 韩国, 信息技术, TmaxSoft

TmaxSoft 是一家开发和销售企业软件的韩国 IT 公司，已泄露超过 5000 万条敏感记录。2TB 容量的 Kibana 仪表板已经曝光两年多了。 Cybernews 研究人员早在 2023 年 1 月就发现了它，并指出这组数据于 2021 年 6 月首次发现。目前包含大量信息宝库的仪表板仍然处于开放状态，这些信息很容易被攻击者利用。数据集中总共有超过 5600 万条记录。

详情

WELLTOK 数据泄露影响了美国 850 万名患者

日期: 2023-11-24
标签: 信息技术, WELLTOK, 数据泄露, MOVEit, 患者数据

Welltok 是一家专注于健康优化解决方案的公司，旨在为个人、雇主、健康计划和其他组织提供个性化和优化的健康计划。该公司披露了一起数据泄露事件，该事件暴露了美国近 850 万名患者 (8,493,379) 的个人数据。2023年7月26日，攻击者入侵了该公司的MOVEit Transfer 服务器。攻击者获得了患者数据的访问权限，包括全名、电子邮件地址、实际地址和电话号码。

详情

美国汽车制造商 AUTOZONE 证实数据泄露

日期: 2023-11-24
标签: 制造业, 交通运输, AutoZone, MOVEit

2023年11月中旬，AutoZone 披露了由于其 MOVEit Transfer 安装遭到黑客攻击而导致的数据泄露。AutoZone 是一家美国汽车零部件零售商和分销商，是美国最大的售后汽车零部件零售商之一。 AutoZone通知了 184,995 名个人，大规模的 MOVEit 黑客活动泄露了他们的个人信息。该公司尚不清楚所暴露的个人信息是否有任何滥用行为，但建议用户对欺诈和身份盗用保持警惕。

详情

0x06   网络攻击

Winter Vivern利用Zimbra零日漏洞攻击摩尔多瓦和突尼斯政府

日期: 2023-11-20
标签: 政府部门, Winter Vivern, CVE-2023-37580, 摩尔多瓦, 突尼斯, Zimbra零日漏洞, APT舆情

CVE-2023-37580漏洞的补丁已于2023年7月5日推送到Github。一名攻击者从7月11日开始利用该漏洞整整两周，直到7月25日发布官方补丁。TAG发现了多个针对摩尔多瓦和突尼斯政府组织的漏洞利用URL，每个URL都包含这些政府中特定组织的唯一官方电子邮件地址。TAG将这一活动归因于Winter Vivern(UNC4907)，这是一个在Zimbra和Roundcube中利用XSS漏洞的APT组织。

详情

俄罗斯黑客利用 Ngrok 功能和 WinRAR 漏洞攻击乌克兰大使馆

日期: 2023-11-20
标签: 政府部门, APT29, CVE-2023-38831, 俄乌战争

2023年11月中旬，乌克兰国家安全与国防委员会 (NDSC) 表示，继 Sandworm 和 APT28（称为 Fancy Bear）之后，另一个俄罗斯黑客组织 APT29 正在利用 WinRAR 中的 CVE-2023-38831 漏洞进行网络攻击。APT29 以不同的名称（UNC3524、NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke、SolarStorm）进行追踪，并一直以宝马汽车销售为诱饵瞄准大使馆实体。

详情

俄罗斯网络间谍组织 Gamaredon 使用 USB 蠕虫 LitterDrifter攻击乌克兰

日期: 2023-11-20
标签: 政府部门, Gamaredon（又名 Shuckworm、Actinium、Armageddon、Primitive Bear、UAC-0010 和 Trident Ursa）, LitterDrifter, Gamaredon, 俄乌战争

Check Point 研究人员观察到，与俄罗斯有关的Gamaredon 通过 USB 传播名为“LitterDrifter”的蠕虫病毒，对乌克兰发起攻击。Gamaredon（又名 Shuckworm、Actinium、Armageddon、Primitive Bear、UAC-0010 和 Trident Ursa）自 2014 年以来一直活跃，其活动主要集中在乌克兰。自俄乌战争以来，该网络间谍组织已针对乌克兰目标开展了多次活动。 CERT-UA 监控了 Gamaredon 的行动，并能够收集有关 APT 战术、技术和程序 (TTP) 的情报。

详情

Rhysida勒索团伙声称对大英图书馆的网络攻击负责

日期: 2023-11-21
标签: 英国, 信息技术, 大英图书馆, Rhysida

Rhysida 勒索软件团伙声称对 10 月份对大英图书馆的网络攻击负责，该攻击导致 IT 持续严重中断。Rhysida 正在拍卖据报道从英国国家图书馆系统窃取的数据。该团伙将在未来 7 天内接受感兴趣的各方出价。该勒索软件组织还泄露了一张低分辨率屏幕截图，似乎是从图书馆受损系统中窃取的 ID 扫描结果。作为一种勒索软件即服务 (RaaS) 模式，Rhysida 攻击者已经危害了教育、制造、信息技术和政府部门的组织，支付的赎金将由该组织和附属机构分摊。

详情

网络安全公司高管承认对医院进行黑客攻击

日期: 2023-11-21
标签: 卫生行业, Gwinnett 医疗中心, 患者数据

一家网络安全公司的前首席运营官承认，他于 2021 年 6 月对 Gwinnett 医疗中心 (GMC) 旗下的两家医院进行了黑客攻击，以促进公司业务。Vikas Singla 曾在 Securolytics（一家为医疗保健行业提供服务的网络安全公司）工作，承认入侵德卢斯和劳伦斯维尔 GMC Northside Hospital 医院的系统。在 2018 年 9 月 27 日的攻击中，他中断了医疗服务提供者的电话和网络打印机服务，并从GMC X 光检查机的 Hologic R2 数字化设备中窃取了 200 多名患者的个人信息。

详情

朝鲜APT组织发起与工作相关的攻击活动

日期: 2023-11-23
标签: 居民服务, APT舆情, Contagious Interview

Unit 42研究人员最近发现了两项针对求职活动的独立攻击行动，疑似与朝鲜国家支持的威胁攻击者有关。Unit 42将第一个行动称为“Contagious Interview”，攻击者冒充雇主，诱骗软件开发人员通过面试过程安装恶意软件。这种恶意软件可能会造成各种类型的数据窃取。研究人员有适度的信心认为“Contagious Interview”是由朝鲜国家支持的威胁攻击者进行的。第二次攻击行动为“Wagemole”，攻击者在美国和世界其他地区的组织中寻求未经授权的就业机会，从而可能获得经济利益和间谍目的。Unit 42高度确信“Wagemole”是朝鲜国家支持的威胁。

详情

微软：Lazarus 黑客组织在供应链攻击中破坏了讯连科技

日期: 2023-11-23
标签: 中国台湾, 文化传播, Diamond Sleet（又名 ZINC、Labyrinth Chollima 和 Lazarus）, Diamond Sleet

2023年11月22日，微软表示，朝鲜黑客组织入侵了中国台湾多媒体软件公司讯连科技，并对其一名安装程序进行木马化，以在针对全球潜在受害者的供应链攻击中推送恶意软件。该木马安装程序托管在讯连科技拥有的合法更新基础设施上，迄今为止已在全球 100 多台设备上检测到，包括日本、台湾、加拿大和美国。微软高度确信此次供应链攻击是由 Redmond 追踪的朝鲜网络间谍组织 Diamond Sleet（又名 ZINC、Labyrinth Chollima 和 Lazarus）发起的。

详情

3D 设计套件 Blender 遭受 DDoS 攻击

日期: 2023-11-23
标签: 信息技术, Blender, DDoS, DDoS攻击

2023年11月22日Blender 已确认，最近的站点中断是由2023年11月18日（周六）开始的持续 DDoS（分布式拒绝服务）攻击造成的。Blender 是一款流行的 3D 设计套件，用于创建动画电影、视频游戏、动态图形、视觉效果、软体和粒子模拟等。该项目团队表示，攻击 从周末开始，导致他们无法处理合法的连接请求，造成严重的网络攻击运营中断。Blender 的统计数据显示，攻击仍在持续，针对该项目服务器的虚假请求超过 2.4 亿。

详情

Lazarus针对中国台湾多媒体软件公司的供应链攻击行动

日期: 2023-11-24
标签: 中国台湾, 信息技术, Diamond Sleet(ZINC), APT舆情, 供应链攻击

Microsoft威胁情报发现朝鲜威胁组织Diamond Sleet(ZINC)发起的供应链攻击行动，涉及由开发多媒体软件产品的软件公司讯连科技(CyberLink Corp.)开发的应用程序的恶意变体。该恶意文件是合法的讯连科技应用程序安装程序，已被修改为包含下载、解密和加载第二阶段有效载荷的恶意代码。该文件使用向讯连科技公司颁发的有效证书进行签名，托管在讯连科技拥有的合法更新基础设施上，并包括限制执行时间窗口和逃避安全产品检测。到目前为止，该恶意行动已影响多个国家/地区的100多台设备，包括日本、台湾、加拿大和美国。微软高度确信这一行动是朝鲜威胁组织Diamond Sleet所为。因为在此行动中观察到的第二阶段有效载荷与先前已被Diamond Sleet入侵的基础设施进行通信。

详情

0x07   安全漏洞

CrushFTP RCE 链漏洞已发布，现已修补

日期: 2023-11-20
标签: 信息技术, CVE-2023-43177, CrushFTP

2023年11月18日，Converge 发布了针对 CVE-2023-43177 漏洞的 概念验证漏洞利用 ，因此 CrushFTP 用户必须尽快安装安全更新。该漏洞是CrushFTP 企业套件中的一个关键远程代码执行漏洞，允许未经身份验证的攻击者访问服务器上的文件、执行代码并获取纯文本密码。该漏洞由 Converge 安全研究人员于 2023 年 8 月发现，编号为 CVE-2023-43177，开发人员连夜在 CrushFTP 10.5.2 版本中发布了修复程序。

详情

谷歌：黑客利用 Zimbra 零日漏洞攻击政府组织

日期: 2023-11-20
标签: 政府部门, 信息技术, Zimbra, CVE-2023-37580, 零日漏洞, 网络钓鱼攻击

Google 威胁分析小组 (TAG) 发现攻击者利用 Zimbra Collaboration 电子邮件服务器中的零日漏洞窃取多个国家/地区政府系统的敏感数据。自2023年 6 月 29 日起，黑客就利用了一个中等严重程度的安全漏洞（现已确定为 CVE-2023-37580，是 Zimbra Classic Web 客户端中存在的 XSS（跨站脚本）漏洞）。据谷歌威胁分析师称，攻击者利用希腊、摩尔多瓦、突尼斯、越南和巴基斯坦政府系统上的漏洞窃取电子邮件数据、用户凭据和身份验证令牌，执行电子邮件转发，并引导受害者网络钓鱼页面。

详情

CISA 警告 Windows、Sophos 和 Oracle 漏洞被积极利用

日期: 2023-11-20
标签: 信息技术, CVE-2023-36584, CVE-2023-1671, CVE-2020-2551

美国网络安全与安全局基础设施安全机构已将影响 Microsoft 设备、Sophos 产品和 Oracle 企业解决方案的三个安全漏洞添加到其已知被利用漏洞 (KEV) 目录中。KEV 目录包含已确认被黑客在攻击中利用的漏洞，并作为所有公司都应该处理的漏洞存储库优先。该机构敦促联邦机构在 12 月 7 日之前针对这三个问题应用可用的安全更新。这三个漏洞的跟踪如下：

CVE-2023-36584 – “网络标记” (MotW) Microsoft Windows 上的安全功能绕过。

CVE-2023-1671 – Sophos Web Appliance 中的命令注入漏洞，允许远程代码执行 (RCE)。

CVE-2020-2551 – Oracle Fusion Middleware 中存在未指定的漏洞，允许未经身份验证的攻击者通过 IIOP 进行网络访问来危害 WebLogic 服务器。

详情

Citrix 警告管理员终止 NetScaler 用户会话以阻止黑客攻击

日期: 2023-11-22
标签: 信息技术, Citrix , CVE-2023-4966, Citrix Bleed

2023年11月21日，Citrix 提醒管理员，在针对 CVE-2023-4966“Citrix Bleed”修补 NetScaler 设备后，他们必须采取额外措施。保护易受攻击的设备免受攻击的漏洞。除了应用必要的安全更新之外，还建议他们擦除所有以前的用户会话并终止所有活动会话。 当前 Citrix Bleed 漏洞利用背后的攻击者一直在窃取身份验证令牌，即使在漏洞被修补后也能访问受感染的设备。

详情

CISA 命令联邦机构修补 Looney Tunables Linux 漏洞

日期: 2023-11-22
标签: 信息技术, Linux, CVE-2023-4911

2023年11月21日，CISA 要求美国联邦机构保护其系统免受主动利用的漏洞的影响，该漏洞可让攻击者获得许多主要 Linux 发行版的 root 权限。此安全漏洞编号为CVE-2023-4911，并跟踪为 Looney Tunables。该安全漏洞影响运行广泛使用的 Linux 平台最新版本的系统，包括默认配置的 Fedora、Ubuntu 和 Debian。鉴于该漏洞目前已被积极利用并且存在多个概念验证 (PoC) 漏洞，因此敦促管理员尽快修补其系统。

详情

Microsoft、Dell、Lenovo 笔记本电脑上的 Windows Hello 身份验证被绕过

日期: 2023-11-23
标签: 信息技术, 嵌入式指纹传感器, 笔记本电脑, Windows Hello 指纹身份验证

Blackwing Intelligence 安全研究人员利用嵌入式指纹传感器中发现的安全漏洞，在攻击中绕过了 Dell Inspiron、Lenovo ThinkPad 和 Microsoft Surface Pro X 笔记本电脑上的 Windows Hello 指纹身份验证。在整个过程中，安全研究人员使用软件和硬件逆向工程，突破了 Synaptics 传感器自定义 TLS 协议中的加密实现漏洞，并解码并重新实现了专有协议。安全研究人员利用定制的 Linux 驱动的 Raspberry Pi 4 设备，在所有三台笔记本电脑上使用中间人 (MiTM) 攻击成功绕过了 Windows Hello 身份验证。

详情

CISA 警告修补 LOONEY TUNABLES LINUX 漏洞

日期: 2023-11-23
标签: 政府部门, 信息技术, CVE-2023-4911,  LOONEY TUNABLES LINUX 漏洞

美国网络安全和基础设施安全局 (CISA) 在其已知的漏洞中添加了 Looney Tunables Linux 漏洞被利用的漏洞 (KEV) 目录。该漏洞 CVE-2023-4911 （CVSS 得分 7.8），又名Looney ，是处理 GLIBC_TUNABLES 环境变量时存在于 GNU C 库的动态加载器 ld.so 中的缓冲区溢出漏洞。攻击者可以触发该漏洞以提升权限执行代码。该缓冲区溢出影响多个 Linux 发行版，包括 Debian、Fedora 和 Ubuntu。

详情

0x08   安全分析

研究人员从 SSH 服务器签名错误中提取 RSA 密钥

日期: 2023-11-20
标签: 信息技术, SSH, RSA 密钥

2023年11月中旬，来自加利福尼亚州和马萨诸塞州大学的学术研究人员团队证明，在某些条件下，被动网络攻击者有可能从自然发生的错误中检索秘密 RSA 密钥，从而导致 SSH（安全外壳）连接尝试失败。SSH 是一种用于安全通信的加密网络协议，广泛应用于远程系统访问、文件传输和系统管理任务。RSA 是 SSH 中用于用户身份验证的公钥加密系统。它使用私有密钥来解密使用公共可共享密钥加密的通信。如果使用 CRT-RSA 的签名在签名计算过程中出现故障，观察到此签名的攻击者可能能够计算出签名者的私钥。

详情

攻击者利用彭博社旧账户进行网络钓鱼攻击

日期: 2023-11-20
标签: 文化传播, 彭博社, 网络钓鱼攻击

2023年11月17日早些时候，Bloomberg Crypto 的官方 Twitter 帐户被用来将用户重定向到一个欺骗性网站，该网站在网络钓鱼攻击中窃取了 Discord 凭据。该凭据含指向拥有 14,000 名成员的 Telegram 频道的链接，进一步促使访问者加入一个拥有 33,968 名成员的虚假 Bloomberg Discord 服务器。2023 年 10 月，彭博社将 Telegram 用户名更新为 @BloombergCrypto。然而，攻击者在此转换过程中夺取了旧的 Telegram 用户名，并将其用作网络钓鱼计划的一部分。

详情

专家警告针对教育和政府部门的 NETSUPPORT RAT 攻击激增

日期: 2023-11-22
标签: 政府部门, 教育行业, NetSupport RAT

Carbon Black管理检测和检测响应团队警告称，过去几周与 NetSupport RAT 相关的新感染数量激增。受影响最严重的部门是教育、政府和商业服务。NetSupport RAT 是 NetSupport Ltd 开发的一款远程控制和桌面管理软件。据观察，包括 TA569 组织在内的多个威胁参与者将该软件用作远程访问木马 (RAT) 。该软件通过欺诈性更新、偷渡式下载、恶意软件加载程序（即 GhostPulse）和其他形式的网络钓鱼活动进行传播。

详情

ClearFake 活动利用 Atomic Stealer 扩展到 Mac 系统

日期: 2023-11-23
标签: 信息技术, Atomic Stealer（又名 AMOS）, Atomic Stealer, 加密货币钱包

名为 Atomic 的 macOS 信息窃取程序现在通过追踪为 ClearFake 的虚假网络浏览器更新链传递到目标。Malwarebytes’ 的安全研究人员Jérôme Segura表示，此次社会工程活动（以前只针对 Windows）不仅扩展到地理位置，还扩展到操作系统。Atomic Stealer（又名 AMOS）首次记录于 2023 年 4 月，是一个商业窃取恶意软件系列，具有从网络浏览器和加密货币钱包中提取数据的功能。

详情

海莲花APT组织模仿APT29攻击活动分析

日期: 2023-11-24
标签: 信息技术, APT29, 海莲花组织, APT舆情

2023年11月，知道创宇404高级威胁情报团队成功捕获到海莲花组织最新的攻击样本。该样本以购买BMW汽车为主题，诱导攻击目标执行恶意文件。与此同时，该攻击与今年APT29的诱导主题和木马加载流程有相似之处，初步分析表明这可能是攻击者故意模仿的结果。

详情

Rug Pull Schemes骗局导致加密货币投资者损失近 100 万美元

日期: 2023-11-24
标签: 金融业, 信息技术, 加密货币

Check Point 的威胁英特尔区块链系统揭露了一个新骗局Rug Pull Schemes，这是一种给投资者造成经济损失的欺骗策略。 该公司的系统最近发现了与特定钱包地址相关的可疑活动，揭露了一个成功窃取近 100 万美元的复杂计划。该计划的展开是通过创建上述假冒代币（包括 GROK 2.0），然后向代币池注入资金以制造合法性假象。 Check Point 表示，这一事件凸显了加密货币市场的固有风险，强调了持续警惕和尽职调查的重要性。

详情

英国和韩国警告朝鲜软件供应链威胁日益严重

日期: 2023-11-24
标签: 政府部门, 金融业, 信息技术, 供应链攻击, 零日漏洞

2023年11月23日，英国国家网络安全中心 (NCSC) 和韩国国家情报院 (NIS) 于 11 月 23 日发布了一份联合公告称，过去几年，朝鲜黑客发起的软件供应链攻击激增。MagicLine4NX 和 3CX 妥协都是最新的两个例子，均于 2023 年 3 月开始。据 NCSC 和 NIS 称，这些攻击者已被发现利用全球政府机构、金融机构和国防组织常用的第三方软件中的零日漏洞。他们还依靠新发布的漏洞和工具，以及串联利用多个漏洞来精确攻击特定目标。

详情

0x09   行业动向

FCC 采用新规则保护消费者免受 SIM 卡交换攻击

日期: 2023-11-20
标签: 信息技术, 美国联邦通信委员会 (FCC), SIM 交换攻击

2023年11月中旬，美国联邦通信委员会 (FCC) 公布了新规则，以保护消费者免受犯罪分子通过 SIM 交换攻击和转出欺诈劫持其电话号码的侵害。FCC 隐私和数据保护工作组于 7 月推出了新法规。该法规旨在阻止诈骗者通过交换 SIM 卡或将电话号码转移到不同的运营商来获取个人数据和信息。该法规强制无线服务提供商必须实施在将客户的电话号码转移到不同的设备或提供商之前，确保安全的身份验证程序。根据新规定，每当客户的帐户发生 SIM 卡更换或转出请求时，无线公司还必须立即提醒客户。此外，他们必须采取额外的预防措施，以保护客户免受 SIM 交换和移植尝试的影响。

详情

CISA 发布医疗保健网络安全指南

日期: 2023-11-21
标签: 卫生行业, 医疗保健领域关键基础设施, 安全漏洞

2023年11月17日，美国网络安全和基础设施安全局 (CISA) 发布了专门针对医疗保健和公共卫生 (HPH) 行业的缓解指南。新指南概述了防御缓解策略和最佳实践，以应对针对医疗保健领域关键基础设施的普遍网络威胁。指南强调组织需要定期进行漏洞扫描，根据重要性对资产进行优先级排序，并利用威胁情报来解决被主动利用的漏洞。该指南还详细介绍了逐步的漏洞管理生命周期，指导实体从识别到改进。

详情

Microsoft 现已在 Windows 10 设备上推出 Copilot AI 助手

日期: 2023-11-22
标签: 信息技术, 微软（Microsoft）, Copilot AI 助手

2023年11月下旬，Microsoft 向注册 Windows Insider 计划并运行 Windows 10 22H2 家庭版和专业版的合格非托管系统推出 Copilot AI 助手。发布预览通道中的内部人员可以通过导航到“设置”>“开始测试 Copilot”。更新&安全> Windows 更新，激活新添加的“最新更新可用时立即获取”切换，并在安装 Windows 10 22H2 Build 19045.3757 (KB5032278) 后检查更新。Microsoft 将在后续部署阶段将运行 Windows 10 企业版或教育版 22H2 的设备以及由组织管理的专业版设备添加到部署过程中。

详情

卡塔尔网络机构开展国家网络演习

日期: 2023-11-23
标签: 政府部门, 卡塔尔国家网络安全局 (NCSA) , 网络安全演习

卡塔尔国家网络安全局 (NCSA) 正在通过一系列网络演习测试约 170 个关键组织的安全态势。这些测试让卡塔尔最大的组织的高管和决策者能够演练他们的网络安全流程、国家协作和弹性计划。演习旨在确定网络弱点、评估网络准备情况以及衡量应对攻击和威胁的能力。

详情

0x0a   勒索攻击

雅马哈汽车证实菲律宾子公司遭受勒索软件攻击

日期: 2023-11-20
标签: 制造业, 交通运输, 雅马哈, 勒索攻击, 摩托车制造

2023年10月，雅马哈汽车菲律宾摩托车制造子公司遭遇勒索软件攻击，导致部分员工的资料被盗、泄露。个人信息。在2023年10 月 25 日首次发现漏洞后，这家摩托车制造商一直在聘请外部安全专家的帮助下调查这一事件。菲律宾摩托车制造和销售子公司雅马哈汽车菲律宾公司 (YMPH) 管理的服务器之一在未经授权的情况下被第三方访问并受到勒索软件攻击，以及员工的部分泄漏公司存储的个人信息。

详情

0x0b   其他事件

印度雇佣黑客组织十多年来一直瞄准美国、中国等国家

日期: 2023-11-21
标签: 印度, 美国, 巴基斯坦, 中国, 政府部门, 信息技术, Appin Software Security（又名 Appin Security Group）, Appin

2023年11月下旬，SentinelOne的研究人员表示，一个印度雇佣黑客组织十多年来针对美国、中国、缅甸、巴基斯坦、科威特和其他国家进行了广泛的间谍、监视和破坏行动。Appin Software Security（又名 Appin Security Group）最初是一家教育初创公司进攻性安全培训计划，同时至少从 2009 年开始进行秘密黑客行动。2013 年 5 月，ESET 披露了一系列针对巴基斯坦的网络攻击，其中包含信息窃取恶意软件。虽然该活动归因于跟踪为 Hangover（又名 Patchwork 的集群或 Zinc Emerson），有证据表明基础设施由 Appin 拥有和控制。该组织针对涉及具体法律纠纷的高价值个人、政府组织和其他企业进行了黑客行动。

详情

乌克兰解雇两名高级网络官员

日期: 2023-11-22
标签: 乌克兰, 政府部门

乌克兰政府解雇了国家网络安全机构的领导人和副局长，反腐败调查人员对不当行为展开了新的调查。尤Shchyhol 和他的二号人物 Viktor Zhora 均于周一被解雇。他们将暂时由 Dmytro Makovsky 接替。尽管帖子中没有透露解雇原因，但有报道称，乌克兰国家反腐败局正在调查两人在 2020 年至 2022 年间挪用 6200 万乌克兰格里夫纳（170 万美元）的阴谋。据称，策划者合谋以高价从他们控制的两家公司购买软件，且不向其他竞标者出售。

详情

蔓灵花组织投向国产办公软件的目光与winrar漏洞之触

日期: 2023-11-23
标签: 政府部门, 科研服务, 交通运输, Bitter, BITTER, APT舆情, 鱼叉攻击

BITTER组织，又被称“蔓灵花”、“APT-C-08”、“T-APT-17”以及“苦象”，常对南亚周边及孟加拉湾海域的相关国家发起网络攻击，主要针对政府（外交、国防）、核工业、能源、国防、军工、船舶工业、航空工业以及海运等行业进行攻击。该组织在在2021到2023年一直保持活跃的状态。其常用打点技巧为鱼叉攻击，向目标投递带lnk与chm恶意附件的邮件，在2023年中发现该组织开始投递国内相关文档办公软件制作的恶意ppt文档，另外在最近发现的攻击活动中，发现其新增了一个攻击目标蒙古，主要针对其外交部门进行攻击。

详情

美国从“杀猪盘”骗局中查获900万美元

日期: 2023-11-24
标签: 信息技术, 金融业, “杀猪盘”

美国当局宣布扣押了价值数百万美元的加密货币，这些加密货币与“杀猪盘”欺诈团伙有关。美国司法部 (DoJ) 表示，他们扣押了价值 900 万美元的 Tether，这是一种与美元挂钩的加密货币。它通过加密货币地址追踪资金，据称该地址与一个已知的欺诈团伙有关，该团伙利用了 70 多名受害者。“杀猪盘”通常始于社交媒体或约会网站上未经请求的消息。一旦骗子在一段时间内赢得了受害者的信任，他们就会说服受害者进行加密货币投资——而这些投资最终证明是不存在的交易平台。

详情

Konni 组织在最新攻击中使用俄语恶意 Word 文档

日期: 2023-11-24
标签: 信息技术, 政府部门, 网络钓鱼攻击, Microsoft Word 文档

2023年11月下旬，Fortinet FortiGuard 实验室研究员观察到一种新的网络钓鱼攻击利用俄语 Microsoft Word 文档来传播能够从受感染的 Windows 主机获取敏感信息的恶意软件。该活动归因于一个名为 Konni 的黑客组织，据评估，该威胁与跟踪为 Konni 又名 APT43）的朝鲜集群存在重叠。此活动依赖于能够提取信息并在受感染设备上执行命令的远程访问木马 (RAT)。

详情

0x0c   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0d   时间线

2023-11-20 360CERT发布安全周报