报告编号：CERT-R-2023-563

报告来源：360CERT

报告作者：360CERT

更新日期：2023-12-04

0x01   事件导览

本周收录安全热点53项，话题集中在网络攻击、安全漏洞、勒索攻击，主要涉及的实体有：Apple、日本宇宙航空研究开发机构 (JAXA)、北德克萨斯市政水区 (NTMWD)等，主要涉及的黑客组织有：IntelBroker、Lazarus Group、Cyber Av3ngers等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

基于 Rust 的 SysJoker 后门与哈马斯黑客有关

日期: 2023-11-27
标签: 信息技术, Gaza Cybergang, SysJoker

名为“SysJoker”的新版本多平台恶意软件在一场攻击行动中出现，其特点是用 Rust 编程语言重写了完整的代码。SysJoker 是一种隐蔽的 Windows、Linux 和 macOS 恶意软件，由 Intezer 于 2022 年初次记录。该后门的特点是内存中的有效负载加载、大量的持久性机制。这次行动涉及一系列针对以色列的网络攻击，据信是由哈马斯附属威胁组织“Gaza Cybergang”精心策划的。

详情

Atomic Stealer 恶意软件通过虚假浏览器更新攻击 macOS

日期: 2023-11-27
标签: 信息技术, Apple, Atomic Stealer (AMOS), EtherHiding, macOS

ClearFake虚假浏览器更新活动已扩展到 macOS，针对带有 Atomic Stealer (AMOS) 恶意软件的 Apple 计算机。ClearFake 活动 于2023年 7 月开始 ，旨在通过 JavaScript 注入在被破坏的网站上显示虚假的 Chrome 更新提示来瞄准 Windows 用户。 2023 年 10 月， Guardio Labs 发现了 恶意操作的重大进展，该操作利用币安智能链合约隐藏其恶意脚本，支持区块链中的感染链。通过这种被称为“EtherHiding”的技术，运营商分发了针对 Windows 的有效负载，包括 RedLine、Amadey 和 Lumma 等信息窃取恶意软件。

详情

摩诃草组织（APT-Q-36）借Spyder下载器投递Remcos木马

日期: 2023-11-29
标签: 信息技术, Spyder Loader, Spyder, APT舆情

Spyder恶意软件与摩诃草组织存在关联，主要功能是下载并运行C2服务器下发的可执行文件。奇安信威胁情报中心观察到自7月以来，Spyder至少经过了两轮更新，并发现攻击者借助Spyder向目标主机植入Remcos木马。根据捕获的恶意样本，相关攻击活动有如下特点：

Spyder下载器中一些关键字符串不再以明文形式出现，而是经过异或加密处理，以避开静态检测，同时恶意软件与C2服务器的通信数据格式也做了调整；

植入的Remcos木马采用的都是当时能获取到的最新版；

通过Spyder样本的名称和配置信息，可以推测受害者包括巴基斯坦、孟加拉国、阿富汗等国的目标。

详情

新型Android 木马加强了对伊朗银行的攻击

日期: 2023-11-29
标签: 金融业, 伊朗银行, Android 木马

2023年11月下旬，Zimperium 恶意软件分析师发现，针对伊朗主要银行的 Android 手机银行木马活动仍在持续和扩大。 该活动最初于 2023 年 7 月发现，不仅持续存在，而且还不断发展，功能不断增强。四个模仿伊朗主要银行的凭证收集应用程序，这些应用程序在 2022 年 12 月至 2023 年 5 月之间传播。这些应用程序可以窃取银行登录凭据和信用卡信息，隐藏应用程序图标以防止卸载，并拦截短信- 时间密码 (OTP) 代码。研究人员识别出与同一攻击者相关的 245 个新应用程序变体。值得注意的是，其中 28 个变体仍未被行业标准扫描工具检测到。

详情

DJVU 勒索软件的最新变种“Xaro”伪装成破解软件

日期: 2023-11-30
标签: 信息技术, DJVU

据观察，一种名为 DJVU 的勒索软件变种以破解软件的形式进行传播。虽然这种攻击模式并不新鲜，但已观察到涉及 DJVU 变体的事件，该变体将 .xaro 扩展名附加到受影响的文件并要求解密器赎金，与许多各种商品加载程序和信息窃取程序一起感染系统，美国网络安全公司将新变种的代号命名为“Xaro”。DJVU 本身是 STOP 勒索软件的变种，通常会伪装成合法服务或应用程序到达现场。它还作为 SmokeLoader 的有效负载提供。在 Cybereason 记录的最新攻击链中，Xaro 作为来自可疑来源的存档文件进行传播，该来源伪装成提供合法免费软件的网站。

详情

GoTitan 僵尸网络发现利用最近的 Apache ActiveMQ 漏洞

日期: 2023-11-30
标签: 信息技术, CVE-2023-46604, Apache ActiveMQ

2023年11月下旬披露的影响 Apache ActiveMQ 的严重安全漏洞正被攻击者积极利用，以分发名为 GoTitan 的新的基于 Go 的僵尸网络以及名为 PrCtrl Rat 的 .NET 程序，该程序能够远程控制受感染的主机。包括 Lazarus Group 在内的各种黑客组织利用已被武器化的远程代码执行漏洞（CVE-2023-46604，CVSS 评分：10.0），发起了多次攻击。成功入侵后，攻击者从远程服务器上投放下一阶段的有效负载，其中之一是 GoTitan，这是一个僵尸网络，旨在通过 HTTP、UDP 等协议策划分布式拒绝服务 (DDoS) 攻击、TCP 和 TLS。

详情

FjordPhantom Android 恶意软件利用虚拟化来逃避检测

日期: 2023-12-01
标签: 信息技术, 金融业, FjordPhantom, Android 恶意软件

2023年11月末，研究人员发现了一种名为 FjordPhantom 的新 Android 恶意软件，它利用虚拟化在容器中运行恶意代码并逃避检测。研究人员表示，该恶意软件目前通过电子邮件、短信和消息应用程序传播，目标是印度尼西亚、泰国、越南、新加坡和马来西亚的银行应用程序。受害者被诱骗下载看似合法的银行应用程序，但其中包含在虚拟环境中运行的恶意代码，以攻击真正的银行应用程序。FjordPhantom 旨在窃取在线银行帐户凭据并通过执行设备欺诈来操纵交易。

详情

通过 ScrubCrypt 规避工具部署的 RedLine Stealer 恶意软件

日期: 2023-12-01
标签: 信息技术, ScrubCrypt

欺诈传感器网络 Human Security 警告称，新版本的 ScrubCrypt 混淆工具正被用来针对带有 RedLine Stealer 恶意软件的组织。ScrubCrypt 是攻击者用来通过将可执行文件转换为批处理文件来避免检测的工具。 Human 的 Satori 威胁情报团队表示，他们发现了在暗网市场上出售的新版 ScrubCrypt，并观察到它被用来通过 RedLine Stealer 对其客户发起帐户接管和欺诈攻击。

详情

0x04   数据安全

Kubernetes 配置机密暴露

日期: 2023-11-27
标签: 信息技术, Kubernetes, 供应链安全

2023年11月下旬，Aqua 安全研究人员警告称，公开暴露的 Kubernetes 配置机密可能会使组织面临供应链攻击的风险。这些编码的 Kubernetes 配置机密已上传到公共存储库。受影响的部分包括两家顶级区块链公司和其他多家财富 500 强公司。在可能持有有效注册表凭据的 438 条记录中，有 203 条记录（约占 46%）包含提供对相应注册表的访问权限的有效凭据。其中 93 个密码是由个人手动设置的，而 345 个密码是计算机生成的。

详情

乌克兰情报部门入侵俄罗斯联邦航空运输局 ROSAVIATSIA

日期: 2023-11-28
标签: 俄罗斯, 乌克兰, 交通运输, 俄罗斯联邦航空运输局“Rosaviatsia”, 俄罗斯联邦航空运输局, 俄乌战争

2023年11月下旬，乌克兰国防部下属的情报部门声称，他们入侵了俄罗斯联邦航空运输局“Rosaviatsia”。Rosaviatsia 是负责监督俄罗斯民航业、保存飞行或紧急事件记录的机构。据乌克兰公告称，在侵入俄罗斯机构并窃取文件后，他们确定俄罗斯航空部门因制裁和无法正常维修飞机而遭受损失。这次网络攻击是一个国家公开承认国家级黑客攻击的史无前例的案例，乌克兰政府将其描述为“网络空间的复杂特别行动”。乌克兰在一个文件共享网站上泄露了被盗数据，该网站已不再可用。因此，除了乌克兰政府报告中共享的样本之外，无法审查文件来验证其合法性。

详情

DP World 证实数据在网络攻击中被盗

日期: 2023-11-29
标签: 交通运输, 迪拜环球港务集团

国际物流巨头迪拜环球港务集团 (DP World) 证实，2023年11月早些时候发生的一次网络攻击导致其在澳大利亚的运营中断，数据被盗。然而，该公司表示，没有在受攻击的系统上发现任何勒索软件部署的迹象。2023 年 11 月 10 日，处理美国 40% 集装箱贸易的 DP World Australia 遭到黑客攻击， 扰乱了陆路货运业务中断。此次中断导致 30,137 个集装箱滞留，可用存储空间已满。DP World Australia表示港口运营已于11月13日恢复，并于11月17日恢复正常状态。积压的三万多个集装箱已于2023年11月20日完全清除。

详情

Dollar Tree 遭遇第三方数据泄露，影响 200 万人

日期: 2023-11-30
标签: 批发零售, Zeroed-In Technologies

服务提供商 Zeroed-In Technologies 遭到黑客攻击后，折扣连锁店 Dollar Tree 受到第三方数据泄露的影响，影响了 1,977,486 人。Dollar Tree 是一家折扣零售公司，在美国和加拿大的 23,000 个地点经营 Dollar Tree 和 Family Dollar 商店。 根据官方通告，Dollar Tree 的服务提供商 Zeroed-In 于2023 年 8 月 7 日至 8 日期间遭受了网络攻击，攻击者窃取了包含 Dollar Tree 和 Family Dollar 员工个人信息的数据。

详情

Okta：10 月份数据泄露影响所有客户支持系统用户

日期: 2023-11-30
标签: 信息技术, Okta

Okta 上个月对其帮助中心环境遭到破坏的调查显示，黑客获取了属于所有客户支持系统用户的数据。该公司指出，攻击者还访问了其他报告和支持案例，其中包含所有 Okta 认证用户的所有联系信息。2023年11 月初，该公司披露，一名攻击者未经授权访问了其客户支持系统内的文件，早期证据表明有限的数据泄露.根据当时发现的详细信息，黑客使用 134 名客户（不到公司客户的 1%）的 cookie 和会话令牌访问了 HAR 文件，这些文件可用于劫持合法用户的 Okta 会话。进一步调查显示，攻击者下载了一份报告，其中包含所有 Okta 客户支持系统用户的姓名和电子邮件地址。

详情

0x05   网络攻击

美国General Electric调查网络攻击和数据盗窃事件

日期: 2023-11-27
标签: 能源业, General Electric, IntelBroker

General Electric正在调查有关攻击者在网络攻击中破坏该公司开发环境并泄露据称被盗数据的指控。通用电气 (GE) 是一家美国跨国公司，业务涉及电力、可再生能源和航空航天行业。2023年11月初，一个名为 IntelBroker 的攻击者试图出售通用电气“开发和软件管道”的访问权限。其他出售的数据包括大量与 DARPA 相关的军事信息、文件、SQL 文件、文档等。GE 已证实遭受黑客攻击，并正在调查所谓的数据泄露事件。

详情

英韩两国指控朝鲜黑客利用零日漏洞攻击供应链

日期: 2023-11-27
标签: 英国, 韩国, 政府部门, 信息技术, Lazarus Group, 供应链安全, Lazarus, 零日漏洞, MagicLine4NX

英国国家网络安全中心 (NCSC) 和韩国国家情报院 (NIS) 警告称，朝鲜 Lazarus 黑客组织利用 MagicLine4NX 软件中的零日漏洞对企业进行供应链攻击。MagicLine4NX是韩国Dream Security公司开发的一款安全认证软件，用于组织机构的安全登录。根据联合网络安全咨询，朝鲜的黑客组织利用产品中的零日漏洞来破坏其目标，主要是韩国机构。

详情

网络攻击影响了数十家英国律师事务所

日期: 2023-11-27
标签: 英国, 商务服务, 律师事务所

2023年11月下旬，针对英国法律行业律师事务所和其他组织的领先托管服务提供商 (MSP) 的 CTS 遭受网络攻击，导致严重中断，影响了该国众多律师事务所和购房者。该公司正在努力恢复受到网络攻击影响的在线服务，但暂无法确定恢复时间。虽然 CTS 尚未透露受影响客户的数量或攻击的性质，但迄今为止共享的信息表明这是一次勒索软件攻击。根据 CTS 客户分享的估计，80 至 200 家律师事务所可能受到影响。

详情

伊朗黑客组织 CYBER AV3NGERS 入侵美国阿里基帕市水务局

日期: 2023-11-28
标签: 居民服务, 能源业, 阿里基帕市水务局 (MWAA), Cyber Av3ngers

2023年11月下旬，伊朗的攻击者入侵了阿里基帕市水务局 (MWAA)，并控制了其中一个增压站。当局指出，此次袭击并未影响该设施的运营、供水和饮用水。阿利基帕市政水务局 (MWAA) 是一家公用事业公司，为宾夕法尼亚州阿利基帕的居民和企业提供供水服务。 宾夕法尼亚州警方目前正在调查针对阿里基帕市政水务局的袭击事件。KDKA-TV 发布的图像表明，攻击者接管了 Unitronics Vision 系统。与此同时，Cyber Av3ngers 在其 Telegram 频道上宣布，它已经瞄准了以色列供水设施的多个 SCADA 系统。=

详情

CTS 遭到黑客攻击，影响数百家英国律师事务所

日期: 2023-11-28
标签: 商务服务, CTS, 律师事务所

CTS 是英国法律部门的 IT 服务提供商。该公司宣布正在调查导致服务中断的网络攻击，影响了部分服务。此次安全事件可能影响了数百家英国律师事务所。该公司正在网络取证公司的帮助下调查这一事件。该公司计划全面恢复服务，但目前无法提供全面恢复的准确时间表。目前至少有一家律师事务所直接受到 CTS 安全漏洞的影响。Estate Agent Today 报告攻击者涉嫌利用CitrixBleed 漏洞 (CVE-2023-4966)。该漏洞允许攻击者获得对组织基础设施的初始访问权限。

详情

富达国家金融集团遭受网络攻击

日期: 2023-11-28
标签: 金融业, 富达国家金融公司（FNF）

2023 年 11 月 19 日，富达国家金融公司（FNF）披露了一起网络安全事件，促使该公司关闭了某些系统。正在进行的调查显示，未经授权的第三方访问了特定的 FNF 系统并获取了凭证。 Fidelity National Financial 正在积极评估该事件的影响以及对公司的潜在重大影响。与此同时， Alphv/BlackCat 勒索软件组织声称对此次攻击负责，并宣布 FNF 已被纳入其泄露网站。 攻击者没有明确说明是否从目标网络中获取了任何数据，并声称如果 FNF 拒绝满足其赎金要求，这些信息将在稍后披露。

详情

朝鲜APT组织利用RustBucket投递KandyKorn有效载荷

日期: 2023-11-29
标签: 政府部门, macOS, APT舆情

针对macOS的朝鲜攻击者在2023年度过了忙碌的一年，迄今为止发生了两项主要的攻击行动：RustBucket和KandyKorn。最初的RustBucket行动使用了一种名为“SwiftLoader”的第二阶段恶意软件，该恶意软件在外部充当PDF查看器，作为发送到目标的诱饵文档。当受害者看到诱饵时，SwiftLoader检索并执行了用Rust编写的下一阶段的恶意软件。与此同时KandyKorn行动是针对加密货币交易平台的区块链工程师的多阶段行动。Python脚本被用来投递劫持主机安装的Discord应用程序的恶意软件，随后交付了一个用C++编写的KandyKorn后门RAT。对这些行动的分析表明，朝鲜威胁攻击者现在正在“混合和匹配”这些行动中的组件，并使用SwiftLoader投放程序来传递KandyKorn有效载荷。

详情

利用SysJoker攻击以色列关键部门的新APT组织WildCard

日期: 2023-11-29
标签: 以色列, 教育行业, WildCard, APT舆情

Intezer的研究团队发现了一个新的APT组织WildCard，最初是通过使用SysJoker恶意软件检测到的，该恶意软件于2021年针对以色列教育部门。此后，WildCard扩大了其影响范围，创建了伪装成合法软件的复杂恶意软件变体，并且最近开发了恶意软件RustDown，用Rust编写，具有潜在的操作优势。与ElectricPowder行动的联系表明了WildCard的先进能力，重点关注以色列境内的关键部门。

详情

新的 BLUFFS 攻击可让攻击者劫持蓝牙连接

日期: 2023-11-29
标签: 信息技术, 蓝牙

Eurecom 的研究人员开发了六种新攻击，统称为“BLUFFS”。这可能会破坏蓝牙会话的保密性，从而允许设备模拟和中间人 (MitM) 攻击。BLUFFS 利用了蓝牙标准中两个先前未知的缺陷，这些缺陷与如何导出会话密钥来解密交换数据有关。这些漏洞并非特定于硬件或软件配置，而是架构性的，这意味着它们从根本上影响蓝牙。考虑到完善的无线通信标准的广泛使用以及受漏洞影响的版本，BLUFFS 可以适用于数十亿设备，包括笔记本电脑、智能手机和其他移动设备。

详情

日本航天局 JAXA 遭到黑客攻击

日期: 2023-11-30
标签: 政府部门, 交通运输, 日本宇宙航空研究开发机构 (JAXA)

日本宇宙航空研究开发机构 (JAXA) 在2023年上半年遭到黑客攻击，这可能使敏感的太空相关技术和数据面临风险。攻击者获得了该机构的访问权限。 Active Directory (AD) 服务器是监督 JAXA 网络运营的关键组件。该服务器可能包含员工凭证等关键信息，从而显着增加了漏洞的潜在影响。日本宇宙航空研究开发机构（JAXA）目前正在与政府网络安全专家和执法部门合作，以确定安全损害的程度。

详情

黑客通过暴露的 Unitronics PLC 入侵美国供水设施

日期: 2023-11-30
标签: 能源业, 政府部门, 供水设施, 基础设施

2023年11月下旬，CISA（网络安全和基础设施安全局）警告称，攻击者通过侵入在线暴露的 Unitronics 可编程逻辑控制器 (PLC) 破坏了美国的供水设施。PLC 是工业环境中至关重要的控制和管理设备，黑客入侵它们可能会造成严重后果，例如通过操纵设备改变化学品剂量来污染供水、供水中断，以及水泵超载或开关阀门对基础设施造成物理损坏。CISA 证实，黑客已经通过入侵这些设备入侵了美国的供水设施。然而，这次袭击并没有损害所服务社区的饮用水安全。

详情

美国Capital Health遭受网络攻击导致 IT 中断

日期: 2023-12-01
标签: 卫生行业, Capital Health

2023年11月末，非营利组织 Capital Health 的网络遭到网络攻击，新泽西州各地的 Capital Health 医院和医生办公室的 IT 中断。Capital Health 证实，两家医院目前正在根据系统停机协议接收入院患者，包括急诊室和所有其他地点。该公司目前正在与执法部门以及第三方取证和 IT 专家合作，以恢复受影响的服务。

详情

Cactus 勒索软件利用 Qlik Sense 漏洞破坏网络

日期: 2023-12-01
标签: 信息技术, Qlik Sense

Cactus 勒索软件一直在利用 Qlik Sense 数据分析解决方案中的关键漏洞来获取对企业网络的初始访问权限。Qlik Sense 支持多个数据源，并允许用户创建可用于决策过程的自定义数据报告或交互式可视化。8 月下旬，供应商针对影响 Windows 版本平台的两个关键漏洞发布了安全更新。其中一个漏洞是跟踪为 CVE-2023-41266 的路径遍历漏洞，可被利用来生成匿名会话并向未经授权的端点执行 HTTP 请求。第二个漏洞的编号为 CVE-2023-41265 ，严重程度为 9.8，不需要身份验证，可以利用提升权限并在托管应用程序的后端服务器上执行 HTTP 请求。

详情

美国办公用品供应商Staples证实遭受网络攻击

日期: 2023-12-01
标签: 批发零售, Staples

2023年11 月 27 日，美国办公用品零售商 Staples 在遭受网络攻击后关闭了部分系统，以遏制漏洞影响并保护客户数据。Staples 在美国和加拿大拥有 994 家门店，以及 40 个用于全国产品存储和配送的配送中心。Staples 商店目前已开放并开始运营，但 Staples.com 上的订单仍存在问题。据悉，这次攻击中没有部署勒索软件，也没有文件被加密。

详情

0x06   安全漏洞

Windows Hello 指纹技术遭到黑客攻击

日期: 2023-11-27
标签: 信息技术, 微软（Microsoft）, Windows Hello 指纹技术

在发现多个漏洞后，安全研究人员找到了绕过流行的 Windows Hello 指纹身份验证技术的方法。微软的进攻性研究和安全工程 (MORSE) 要求 Blackwing Intelligence 评估笔记本电脑中嵌入的前三名指纹传感器的安全性。该公司研究了戴尔 Inspiron 15、联想 ThinkPad T14 和 Microsoft Surface Pro X，并研究了 ELAN、Synaptics 和 Goodix 制造的指纹传感器。Blackwing 团队随后对软件和硬件进行了“广泛的逆向工程”，在此期间他们发现了自定义 TLS 中的加密实现漏洞，并破译并重新实现了专有协议。

详情

ownCloud 文件共享应用程序中的严重漏洞暴露了管理员密码

日期: 2023-11-27
标签: 信息技术, OwnCloud, CVE-2023-49103

开源文件共享软件OwnCloud 警告称存在三个严重级别的安全漏洞，其中一个漏洞可能会暴露管理员密码和邮件服务器凭据。OwnCloud 是一款开源文件同步和共享解决方案，专为希望通过自托管平台管理和共享文件的个人和组织而设计。其中一个漏洞被跟踪为 CVE-2023-49103，并获得最高 CVSS v3 分数 10，影响 graphapi 0.2.0 到 0.3.0。该漏洞源于应用程序对第三方库的依赖，该第三方库通过 URL 公开 PHP 环境详细信息，从而暴露 ownCloud 管理员密码、邮件服务器凭据和许可证密钥。

详情

用于 AI/ML 工作负载的 Ray 开源框架中发现严重漏洞

日期: 2023-11-29
标签: 信息技术, Ray, 开源框架

2023年11月下旬，研究人员表示，使用 Ray（用于扩展人工智能和机器学习工作负载的开源框架）的组织可能会受到该技术中三个尚未修补的漏洞的攻击。这些漏洞为攻击者提供了一种方法，其中包括获得对 Ray 集群中所有节点的操作系统访问权限、启用远程代码执行以及提升权限。这些漏洞对将 Ray 实例暴露到互联网甚至本地网络的组织构成威胁。Bishop Fox 的研究人员发现了这些漏洞，并于 8 月份向 Anyscale 报告了这些漏洞。但到目前为止，Anyscale 尚未解决这些咯多那个。

详情

ownCloud 的严重漏洞出现在野利用

日期: 2023-11-29
标签: 信息技术, ownCloud, CVE-2023-49103

黑客正在利用一个名为 CVE-2023-49103 的重大 ownCloud 漏洞，该漏洞会暴露容器化部署中的管理员密码、邮件服务器凭据和许可证密钥。ownCloud 是一种广泛使用的开源文件同步和共享解决方案。2023年11 月 21 日，该软件的开发者 针对三个可能导致数据泄露的漏洞发布了安全公告 ，敦促 ownCloud 管理员立即应用建议的缓解措施。在这三个漏洞中， CVE-2023-49103 获得的最高 CVSS 严重性评分为 10.0，利用 CVE-2023-49103 进行数据盗窃攻击并不复杂。威胁跟踪公司 Greynoise报告 ，它观察到从 2023 年 11 月 25 日开始大规模利用该漏洞。

详情

Google Workspace 中的设计漏洞会导致未授权访问

日期: 2023-11-29
标签: 信息技术, DeleFriend, Google Workspace

网络安全公司 Hunters的安全研究人员详细介绍了一个“严重的设计漏洞”。 Google Workspace 的网域范围授权 (DWD) 功能中存在该功能，攻击者可能会利用该功能来促进权限升级并获取对 Workspace 的未经授权的访问权限没有超级管理员权限的API。此类利用可能会导致 Gmail 电子邮件被盗、Google 云端硬盘数据被泄露，或者 Google Workspace API 中对目标网域中的所有身份执行其他未经授权的操作。该设计漏洞至今仍然存在，代号为 DeleFriend，它能够操纵 Google Cloud Platform 中的现有委托(GCP) 和 Google Workspace，无需拥有超级管理员权限。

详情

黑客可以利用“强制身份验证”窃取 Windows NTLM 令牌

日期: 2023-11-29
标签: 信息技术, 强制身份验证, Windows NTLM 令牌

网络安全研究人员发现了一个“强制身份验证”的案例。该漏洞可通过诱骗受害者打开特制的 Microsoft Access 文件来泄露 Windows 用户的 NT LAN Manager (NTLM) 令牌。攻击利用了数据库管理系统解决方案中的合法功能，该功能允许用户链接到外部数据源，例如远程 SQL Server 表。攻击者可以滥用此功能，通过任何 TCP 端口（例如端口 80）自动将 Windows 用户的 NTLM 令牌泄漏到任何攻击者控制的服务器。只要受害者打开 .accdb 或 .mdb 文件，就可以发起攻击。

详情

Zyxel 警告 NAS 设备存在多个严重漏洞

日期: 2023-12-01
标签: 信息技术, Zyxel

2023年11月30日，Zyxel 已解决多个安全漏洞，其中包括三个关键漏洞，这些漏洞可能允许未经身份验证的攻击者在易受攻击的网络附加存储 (NAS) 设备上执行操作系统命令。Zyxel NAS 系统用于将数据存储在网络上的集中位置。供应商警告这些漏洞会影响运行版本 5.21(AAZF.14)C0 及更早版本的 NAS326 设备，以及版本 5.21(ABAG.11)C0 及更早版本的 NAS542。攻击者可以利用这些漏洞获得未经授权的访问、执行某些操作系统命令、获取敏感系统信息或完全控制受影响的 Zyxel NAS 设备。 为了解决这些风险，建议NAS326用户升级到V5.21(AAZF.15)C0或更高版本。 NAS542的用户应将固件升级至V5.21(ABAG.12)C0或更高版本，以修复漏洞。

详情

苹果紧急修复两个新的 iOS 零日漏洞

日期: 2023-12-01
标签: 信息技术, Apple, 零日漏洞

2023年11月29日，Apple 发布了紧急安全更新，修复了两个被攻击利用并影响 iPhone、iPad 和 Mac 设备的零日漏洞，自今年年初以来已修复的零日漏洞数量达到 20 个。Apple 获悉有一份报告称此漏洞可能已被针对 iOS 16.7.1 之前的 iOS 版本利用。这两个漏洞是在 WebKit 浏览器引擎中发现的（CVE-2023-42916 和 CVE-2023-42917），允许攻击者通过越界读取漏洞访问敏感信息，并通过内存损坏获得任意代码执行通过恶意制作的网页在易受攻击的设备上出现错误。

详情

Zoom Room 中严重漏洞可导致敏感数据泄露

日期: 2023-12-01
标签: 信息技术, Zoom, Zoom Rooms

Zoom Rooms 是 Zoom 视频会议平台的一项功能，旨在增强物理会议空间（例如会议室或小型会议室）中的协作。研究人员于 2023 年 6 月发现了该漏洞，他们警告说，攻击者可以接管 Zoom Room 的服务帐户并获得对受害者组织租户的访问权限。攻击者还可以隐秘访问团队聊天、白板和其他 Zoom 应用程序中的机密信息。该公司及时解决了该漏洞，并澄清该漏洞对生产租户没有影响。

详情

0x07   安全分析

美国黑五购物季期间网络钓鱼活动增加

日期: 2023-11-27
标签: 居民服务, 批发零售, 黑色星期五, 网络钓鱼攻击

安全研究人员警告称，在2023年11月底黑色星期五购物季前，旨在欺骗购物者的网络钓鱼电子邮件数量将出现三位数增长。2023年 11 月 1 日至 11 月 14 日期间，安全供应商Egress检测到专门与黑色星期五和网络相关的网络钓鱼电子邮件增加了 237%。威胁情报分析师发现了一系列攻击，包括大量冒充全球知名品牌的网络钓鱼电子邮件。研究人员预计下周这一数量将进一步增加。

详情

专家发现从 SSH 连接中提取 RSA 私钥的被动方法

日期: 2023-11-28
标签: 信息技术, SSH, CRT-RSA

一项新研究表明，被动网络攻击者有可能通过观察自然发生的计算错误，从易受攻击的 SSH 服务器获取私有 RSA 主机密钥。Secure Shell (SSH) 协议是一种通过不安全的网络安全传输命令和登录计算机的方法。 如果使用 CRT-RSA 的签名实现在签名计算期间出现故障，则观察此签名的攻击者可能能够计算签名者的私钥。研究人员将该方法描述为基于网格的密钥恢复故障攻击，该攻击使他们能够检索与 189 个唯一 RSA 公钥相对应的私钥，这些私钥随后追踪到来自四家制造商的设备：思科、Hillstone Networks、Mocana 和 Zyxel。

详情

0x08   行业动向

全球合作伙伴发布安全人工智能系统开发指南

日期: 2023-11-28
标签: 信息技术, 人工智能

2023年11月下旬，英国和美国以及其他 16 个国家的国际合作伙伴发布了安全人工智能 (AI) 系统开发的新指南。美国网络安全和基础设施安全局 (CISA) 表示，该方法优先考虑客户安全结果的所有权，拥抱彻底的透明度和问责制，并建立以安全设计为重中之重的组织结构。该指南目标是提高人工智能的网络安全级别并帮助确保以安全的方式设计、开发和部署该技术

详情

AI 将恶意软件检测率提高 70%

日期: 2023-11-30
标签: 信息技术, 人工智能

威胁情报共享平台 VirusTotal 公布了新的研究成果，展示了网络防御者如何使用人工智能来增强恶意软件分析。通过研究，VirusTotal 发现人工智能在分析恶意代码方面极其有效，识别出的恶意脚本比单独使用传统技术多出 70%。研究人员还观察到，在检测恶意脚本针对具有常见漏洞或漏洞利用的设备的尝试方面，人工智能的准确率比传统技术高出 300%。

详情

微软开始测试新的Windows 11节能功能

日期: 2023-11-30
标签: 信息技术, Windows 11

Microsoft 已开始测试新的 Windows 11 节能器 功能，该功能可帮助客户延长便携式计算机的使用时间和电池寿命。这项新功能目前可供安装了 Windows 11 Insider Preview Build 26002 的 Canary Channel 内部人士使用，它引入了增强的电池节省功能，可以通过减少能源使用和某些系统性能来轻松延长电池寿命。这种节能模式还可以配置为在设备连接到电源时运行，这意味着桌面用户也可以使用它来降低能源费用。

详情

0x09   勒索攻击

Ethyrial游戏遭受勒索攻击，玩家数据被清除

日期: 2023-11-28
标签: 文化传播, 游戏, 玩家数据

2023年11月24日，针对“Ethyrial：Echoes of Yore”的勒索软件攻击MMORPG摧毁了 17,000 个玩家帐户，删除了他们的游戏内物品和游戏进度。Ethyrial: Echoes of Yore 是一款免费的老式 MMORPG，由独立游戏发行商“Gellyberry Studios”开发。游戏官方 Discord 频道表示，勒索软件攻击者攻击了主服务器并加密了所有数据，包括本地备份驱动器，要求付款以换取解密密钥。游戏开发者不相信向攻击者付款就能保证提供解密密钥，因此他们决定手动恢复所有受影响的系统。

详情

医疗公司 Henry Schein 两次遭受 BlackCat 勒索软件攻击

日期: 2023-11-28
标签: 卫生行业, Henry Schein, BlackCat

2023年11月下旬，美国医疗保健公司 Henry Schein 报告了本月 BlackCat/ALPHV 勒索软件团伙发起的第二次网络攻击，该团伙也在 10 月份入侵了该公司的网络。Henry Schein 是一家财富 500 强医疗保健产品和服务提供商，在 32 个国家/地区设有业务和附属机构。该公司于 10 月 15 日首次披露， 必须让部分系统离线 ，以遏制一天前影响其业务的另一次网络攻击。 11 月 22 日，该公司 表示 其部分应用和电子商务平台再次被盗用。2023年11月27日，该公司 透露 目前已恢复其美国电子商务平台，并预计其平台将恢复正常运行加拿大和欧洲的服务也将很快恢复上线。

详情

勒索攻击导致美国 6 个州的医院急诊室中断

日期: 2023-11-28
标签: 美国, 卫生行业, Ardent Health Services

2023年11月27日，Ardent Health Services透露，其系统于2023年11月24日遭到勒索软件攻击。Ardent Health Services 是一家医疗保健提供商，在美国六个州运营着 30 家医院。Ardent Health Services关闭了整个网络，通知执法部门，并聘请外部专家来调查攻击的范围和影响。Ardent 主动关闭其网络，暂停所有用户对其信息技术应用程序的访问，包括公司服务器、Epic 软件、互联网和临床程序。受影响的医院目前正在将所有需要紧急护理的患者转移到其所在地区的其他医院。然而，他们仍然可以为到达急诊室的患者提供医疗筛查和稳定护理。

详情

斯洛文尼亚最大电力供应商 HSE 遭受勒索软件攻击

日期: 2023-11-28
标签: 斯洛文尼亚, 能源业, Holding Slovenske Elektrarne, 电力供应商

斯洛文尼亚电力公司 Holding Slovenske Elektrarne (HSE) 遭受勒索软件攻击，其系统和加密文件受到损害，但该公司表示，该事件并未中断电力生产。HSE是斯洛文尼亚最大的发电公司，约占国内产量的60%，被认为是该国的关键基础设施。HSE 于2023年11月22日遭受勒索软件攻击，该公司最终于11 月 24 日星期五控制住了攻击。所有发电业务并未受到大规模网络攻击的影响，但IT 系统和文件仍然被“锁定”。

详情

Daixin勒索组织声称美国市政水区

日期: 2023-11-29
标签: 居民服务, 政府部门, 北德克萨斯市政水区 (NTMWD) , 公共基础设施

北德克萨斯市政水区 (NTMWD) 是美国德克萨斯州北部的一个区域水区，为以下地区提供批发水、废水处理和固体废物服务。它是一个政府实体，成立的目的是解决其成员社区的供水需求并促进负责任的水资源管理。Daixin勒索组织将 NTMWD 添加到其 Tor 泄露网站的受害者名单中。该团伙声称从该公司窃取了大量敏感数据，并威胁要公开这些数据。该勒索软件团伙声称窃取了董事会会议记录、内部项目文档、人员详细信息、审计报告等。

详情

Qilin 勒索组织攻击汽车制造商延锋

日期: 2023-11-29
标签: 制造业, 交通运输, Qilin, 供应链安全

2023年11月27日，Qilin 勒索软件组织声称对全球最大的汽车零部件供应商之一延锋汽车内饰（延锋）的网络攻击负责。延锋是一家专注于内饰零部件的中国汽车零部件开发商和制造商。由于外部供应商的问题，Stellantis 部分工厂的生产受到影响”北美装配厂在 11 月 13 日这一周受到干扰。所有受影响的工厂已于 11 月 16 日全面恢复生产。

详情

Black Basta 勒索软件敲诈勒索金额超过 1 亿美元

日期: 2023-11-30
标签: 俄罗斯, 信息技术, Black Basta

根据 Corvus Insurance 和 Elliptic 的联合研究，与俄罗斯有关的勒索软件团伙 Black Basta 自 2022 年 4 月首次出现以来，已从 90 多名受害者那里收取了至少 1 亿美元的赎金。分析表明，自 2022 年初以来，Black Basta 已收到至少 1.07 亿美元的赎金，涉及 90 多名受害者。收到的最大一笔赎金为 900 万美元，其中至少 18 笔赎金超过 100 万美元。平均赎金金额为 120 万美元。根据截至 2023 年第三季度 Black Basta 泄密网站上列出的已知受害者数量，至少 35% 的已知 Black Basta 受害者支付了赎金。

详情

RHYSIDA 勒索软件组织入侵了伦敦爱德华七世国王医院

日期: 2023-12-01
标签: 卫生行业, Rhysida

2023年11月末，Rhysida 勒索软件组织声称入侵了伦敦爱德华七世国王医院，并将其添加到 Tor 泄露网站的受害者名单中。爱德华七世国王医院是一家私立医院，专注于急症和专科医疗护理。该组织发布了被盗文件的图像作为黑客攻击的证据。Rhysida 勒索软件组织泄露的图像包括医疗报告、登记表、X 光片、医疗处方、医疗报告等。

详情

0x0a   其他事件

黑客使用 Telekopye Telegram 恶意机器人大规模进行网络钓鱼诈骗

日期: 2023-11-27
标签: 信息技术, Telegram, Telekopye, 网络钓鱼, 网络钓鱼诈骗

2023年11月下旬，ESET 安全研究员 Radek Jizba曝光了有关名为 Telekopye 的恶意 Telegram 机器人的更多详细信息，攻击者利用该机器人实施大规模网络钓鱼诈骗。Telekopye 可以制作网络钓鱼网站、电子邮件、短信等。该行动背后的攻击组织（代号为codenamed Neanderthals）将犯罪企业当作合法公司来运营。

详情

国际执法机构在乌克兰捣毁大型勒索团伙

日期: 2023-11-29
标签: 政府部门, 信息技术, 勒索团伙

来自 7 个国家的执法机构与欧洲刑警组织和欧洲司法组织合作，在乌克兰逮捕了与针对 71 个国家的组织的攻击有关的勒索团伙的核心成员。该勒索团伙使用 LockerGoga、MegaCortex、HIVE 和 Dharma 等勒索软件进行攻击。该犯罪网络中的角色差异很大：一些成员破坏了 IT 网络，而另一些成员据报道帮助受害者支付加密货币以解密其文件。调查显示，这个有组织的勒索软件附属团体对大公司的 250 多台服务器进行了加密，导致损失超过数亿欧元。

详情

美国查获朝鲜 Lazarus 黑客使用的 Sinbad 加密货币混合器

日期: 2023-11-30
标签: 信息技术, Lazarus, Sinbad

2023年11月29日，美国财政部外国资产控制办公室 (OFAC) 已对 Sinbad.io (Sinbad) 实施制裁，因为其涉嫌被朝鲜黑客利用，实施大规模加密货币盗窃，导致数亿美元损失。加密货币混合器是一种允许人们存入加密货币的服务器，该服务器将加密货币混合在许多不同的钱包地址中，以帮助防止其被准确追踪。

详情

美国政府制裁朝鲜 Kimsuky 黑客组织

日期: 2023-12-01
标签: 政府部门, 信息技术, APT-C-55(Kimsuky), Kimsuky

2023年11月末，美国财政部外国资产控制办公室 (OFAC) 已对朝鲜的 Kimsuky 黑客组织实施制裁，因为该组织窃取情报以支持该国的战略目标。OFAC 还对八名朝鲜特工实施了制裁，因为他们为逃避制裁提供便利并支持其国家的大规模杀伤性武器 (WMD) 计划。OFAC表示，Kimsuky 自 2012 年以来一直活跃，隶属于联合国和美国指定的侦察总局 (RGB)，这是朝鲜的主要对外情报机构。与 Kimsuky 高级持续威胁相关的恶意网络活动在网络安全行业中也被称为 APT43、Emerald Sleet、Velvet Chollima、TA406 和 Black Banshee。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2023-11-27 360CERT发布安全周报