报告编号：CERT-R-2023-578

报告来源：360CERT

报告作者：360CERT

更新日期：2023-12-11

0x01   事件导览

本周收录安全热点57项，话题集中在恶意软件、安全分析、安全漏洞，主要涉及的实体有：WordPress、Apple、Meta等，主要涉及的黑客组织有：Forest Blizzard、TA422、AeroBlade等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

Agent Racoon 后门针对中东、非洲和美国的组织

日期: 2023-12-04
标签: 信息技术, 教育行业, 房地产, 批发零售, Agent Racoon

2023年12月1日，Palo Alto Networks Unit 42 研究员表示，中东、非洲和美国的组织已成为未知攻击者的目标，该组织正在传播名为 Agent Racoon 的新后门。该恶意软件系列是使用 .NET 框架编写的，并利用域名服务 (DNS) 协议创建隐蔽通道并提供不同的后门功能。攻击目标涵盖教育、房地产、零售、非营利组织、电信和政府等各个领域。尽管根据受害者模式以及所使用的检测和防御规避技术，该活动被评估为民族国家，但尚未归因于已知的攻击者。该网络安全公司正在以 CL-STA-0002 的名称跟踪该集群。目前尚不清楚这些组织是如何被破坏的以及攻击发生的时间。

详情

新的代理恶意软件通过盗版软件瞄准 Mac 用户

日期: 2023-12-04
标签: 信息技术, Mac

网络犯罪分子利用新的代理木马恶意软件瞄准 Mac 用户，该恶意软件与warez 网站上提供的流行的受版权保护的 macOS 软件捆绑在一起。代理木马恶意软件会感染计算机，将其转变为流量转发终端，用于匿名恶意或非法活动，例如黑客攻击、网络钓鱼和非法商品交易。

详情

Linux版本的Qilin勒索软件主要针对VMware ESXi

日期: 2023-12-04
标签: 信息技术, Qilin, VMware ESXi

Qilin 勒索软件团伙的 VMware ESXi 加密器样本已经被发现，它可能是迄今为止最先进、可定制的 Linux 加密器之一。企业越来越多地转向虚拟机来托管服务器，因为虚拟机可以更好地利用可用的 CPU、内存和存储资源。因此，几乎所有勒索软件团伙都创建了专用的 VMware ESXi 加密器来针对这些服务器。虽然许多勒索软件操作 利用泄露的 Babuk 源代码 来创建自己的加密器，但也有少数勒索软件（例如 Qilin）创建了自己的加密器来目标 Linux 服务器。

详情

Kimsuky组织使用AutoIt创建恶意软件

日期: 2023-12-05
标签: 政府部门, Kimsuky, APT舆情

ASEC正在监控Kimsuky组织使用LNK恶意软件进行的攻击案例，并不断在其博客上发布已确认的攻击案例。在最初的渗透过程之后，Kimsuky组织会安装远程控制恶意软件来控制受感染的系统。Kimsuky组织使用的恶意软件包括自产类型，如AppleSeed和PebleDash，以及开源或出售的恶意软件，如XRat、HVNC、Amadey和Metasploit Meterpreter。夺取控制权后，它最终使用RDP或安装Google的Chrome远程桌面从受感染的系统中窃取信息。本报告分析的是最近被确认分发的Amadey和RftRAT恶意软件。Amadey和RftRAT在2023年期间一直与XRat一起使用，但最近发现的形式是用AutoIt制作的。还介绍了Kimsuky组织另外使用远程控制恶意软件安装的信息窃取恶意软件。虽然远程控制目的的恶意代码正在不断变化，但使用它们安装的恶意代码在2023年期间没有大的变化，一直稳定地用于攻击。

详情

恶意广告攻击依靠 DANABOT 木马传播 CACTUS 勒索软件

日期: 2023-12-05
标签: 政府部门, 信息技术, Storm-0216（Twisted Spider，UNC2198）, DanaBot 

Microsoft 发现使用 DanaBot 特洛伊木马 (Storm-1044) 来部署 CACTUS 的持续恶意广告攻击勒索软件。 Microsoft 针对勒索软件运营商 Storm-0216（Twisted Spider，UNC2198）发起了攻击活动。Storm-0216 历史上曾使用Qakbot 恶意软件进行初始访问，但在删除 Qakbot 后已改用其他恶意软件进行初始访问。当前的 Danabot 活动于 11 月首次被发现，微软研究人员注意到攻击者使用了流行的信息窃取恶意软件的私人版本，而不是恶意软件即服务产品。

详情

P2Pinfect 恶意软件的隐秘版本以 MIPS 设备为目标

日期: 2023-12-05
标签: 信息技术, P2Pinfect 

2023年12月初，Cado Security 分析师报告称，P2Pinfect 僵尸网络的最新变体目前专注于感染具有 32 位 MIPS（无互锁流水线阶段的微处理器）处理器的设备，例如路由器和物联网设备。MIPS 芯片广泛应用于路由器、住宅网关和视频游戏机等嵌入式系统中。P2Pinfect 是 Palo Alto Networks 分析师（Unit 42）于 2023 年 7 月发现的一种基于 Rust 的新型蠕虫， 以 Redis 服务器为目标。

详情

微软警告恶意广告计划传播 CACTUS 勒索软件

日期: 2023-12-05
标签: 信息技术, CACTUS

微软警告称，新一波 CACTUS 勒索软件攻击利用恶意广告诱饵部署 DanaBot 作为初始访问媒介。DanaBot 感染导致“勒索软件运营商 Storm-0216（Twisted Spider，UNC2198）的键盘操作活动，最终导致 CACTUS 勒索软件的部署。DanaBot是一款多功能工具，类似于 Emotet、TrickBot、QakBot 和 IcedID，具有强大的功能充当窃取者和下一阶段有效负载的入口点。研究人员此前已观察到攻击者使用 IcedID 感染端点以部署 Maze 和 Egregor 等勒索软件系列。

详情

Google Play 上的 SpyLoan Android 恶意软件下载量达 1200 万次

日期: 2023-12-06
标签: 信息技术, SpyLoan, 恶意贷款应用程序

2023年，十多个恶意贷款应用程序（通常称为 SpyLoan）从 Google Play 的下载量已超过 1200 万次，但由于第三方商店和可疑网站上也有这些应用程序，因此该数字要大得多。SpyLoan Android 威胁会窃取设备的个人数据，其中包括所有帐户列表、设备信息、通话记录、已安装的应用、日历活动、本地 Wi-Fi 网络详细信息以及图像中的元数据。研究人员表示，风险还延伸到联系人列表、位置数据和短信。它们伪装成合法的个人贷款金融服务，承诺“快速、轻松地获得资金”。然而，他们诱骗用户接受高息付款，然后威胁受害者付款。自2023年年初以来，网络安全公司 ESET（致力于检测和根除 Google Play 恶意软件的应用防御联盟成员）已发现 18 个 SpyLoan 应用。

详情

BlueNoroff利用新木马攻击macOS用户

日期: 2023-12-07
标签: 信息技术, BlueNoroff, macOS, RustBucket, APT舆情

卡巴斯基的研究人员最近发现了一种针对macOS的新型恶意加载程序，可能与BlueNoroff APT组织及其正在进行的名为RustBucket的行动有关。众所周知，该组织会攻击金融组织，特别是与加密货币有关系的公司，以及持有加密资产或对该主题感兴趣的个人。早期的RustBucket版本通过伪装成PDF查看器的应用程序传播其恶意载荷。相比之下，新版本是在一个ZIP存档中发现的，其中包含一个名为“加密资产及其对金融稳定的风险”的PDF文件，并有一个显示相应标题页的缩略图。存档的具体传播方式尚不清楚，可能会像过去一样通过电子邮件将其发送给目标。

详情

分析Sea Turtle组织的新恶意软件SnappyTCP

日期: 2023-12-08
标签: 信息技术, SnappyTCP, APT舆情

普华永道持续追踪一个能力超强的土耳其威胁组织Teal Kurma，又名Sea Turtle、Marbled Dust、Cosmic Wolf。该组织主要关注整个欧洲和中东地区的非政府组织(NGO)、信息技术(IT)和电信部门。此后，威胁攻击者继续以类似的行业为目标，但改变了其攻击手法，可能是试图逃避检测。2021年至2023年间，该组织使用了SnappyTCP，这是一种适用于Linux/Unix的简单反向TCP shell，具有基本的C2功能，也用于在系统上建立持久性。至少有两个主要变种：一种使用明文通信，另一种使用TLS进行安全连接。该组织很可能使用了可公开访问的GitHub帐户中的代码。

详情

Krasue RAT 恶意软件使用嵌入式 Rootkit 隐藏在 Linux 服务器上

日期: 2023-12-08
标签: 信息技术, Krasue, Linux 系统

安全研究人员发现了一种远程访问木马，他们将其命名为 Krasue，该木马针对电信公司的 Linux 系统，自 2021 年以来一直没有被发现。他们发现 Krasue 的二进制文件包含 Rootkit 的七个变体，该变体支持多个 Linux 内核版本，并且基于来自三个开源项目的代码。网络安全公司 Group-IB 的研究人员表示，该恶意软件的主要功能是维持对主机的访问，这可能表明它是通过僵尸网络部署的，或者由初始访问代理出售给寻求访问特定目标的攻击者。目前，Krasue 的目标似乎仅限于泰国的电信公司。

详情

Linux 木马“Krasue”攻击泰国电信公司

日期: 2023-12-08
标签: 信息技术, Krasue

据观察，至少从2021年起，一种名为Krasue的此前不为人知的Linux远程访问木马就开始攻击泰国的电信公司，并主要秘密访问受害者网络。这款恶意软件能够在初始化阶段隐藏自己的存在。目前还不知道用于部署Krasue的确切初始访问向量，尽管它可能是通过漏洞利用、证书暴力攻击，或作为伪造软件包或二进制文件的一部分下载的。该恶意软件的核心功能是通过一个rootkit实现的，它可以在不引起任何注意的情况下在主机上保持持久性。该rootkit来源于Diamorphine、Suterusu和Rooty等开源项目。

详情

0x04   数据安全

算命网站WEMYSTIC暴露1300万+用户记录

日期: 2023-12-04
标签: 居民服务, WeMystic, 敏感数据

WeMystic 是一个关于占星学、数字命理学、塔罗牌的网站，Cybernews 研究团队发现有关该平台用户的 34GB 敏感数据被暴露。据Cybernews 研究团队称，WeMystic 留下了一个开放且无密码的 MongoDB 数据库，其中包含与该服务相关的 34 GB 数据，作为 MongoDB 基础设施的一部分。企业使用 MongoDB 来组织和存储大量面向文档的信息。虽然 WeMystic 此后关闭了数据库，但研究人员表示，这些数据至少可以访问五天。暴露实例中名为“用户”的数据集合之一包含多达 1330 万条记录。被曝光的记录包括：名称、电子邮件地址、出生日期、IP地址、性别、星座运势等。

详情

Tipalti 调查勒索软件攻击中数据被盗的指控

日期: 2023-12-05
标签: 商务服务, Tipalti, ALPHV

Tipalti 表示，他们正在调查有关 ALPHV 勒索软件团伙破坏其网络并窃取 256 GB 数据的指控，其中包括 Roblox 和 Twitch 的数据。Tipalti 为会计、支付处理、电子商务以及附属和影响者计划提供技术解决方案，拥有众多知名客户，包括 Twitch、Roblox、ZipRecruiter、Roku、GoDaddy、Canva 和 X。2023年11月末，ALPHV 勒索软件团伙（又名 BlackCat）声称他们获得了属于 Tipalti 及其客户的机密信息。Tipalti 正在彻底调查此次事件。

详情

HTC 全球服务数据泄露后证实遭受网络攻击

日期: 2023-12-06
标签: 信息技术, ALPHV

2023年12月4日，IT 服务和商业咨询公司 HTC Global Services 发布公告证实，在 ALPHV 勒索软件团伙开始泄露被盗数据的屏幕截图后，他们遭受了网络攻击。HTC Global Services 是一家托管服务提供商，为医疗保健、汽车、制造和金融行业提供技术和商业服务。在此公告发布之前，ALPHV (BlackCat) 勒索软件团伙将 HTC 列在其数据泄露网站上，并附上了据称被盗数据的屏幕截图。泄露的数据包括据称在袭击期间被盗的护照、联系人名单、电子邮件和机密文件。

详情

商业会计应用程序GST敏感数据暴露

日期: 2023-12-07
标签: 商务服务, 信息技术, GST Invoice Billing Inventory

GST Invoice Billing Inventory 是一款面向中小型企业的商业会计应用程序，下载量超过 100 万次，该应用程序的数据库保持开放状态，敏感的个人和公司数据可供获取。这意味着攻击者可以获取 API（应用程序编程接口）密钥、Google 存储桶和未受保护的数据库，并只需分析有关应用程序的公开可用信息即可利用这些信息。该应用程序的下载量超过 100 万次，企业可以使用该应用程序发送发票、账单和估算、跟踪费用和收据、管理库存以及发送财务报表等。

详情

Android WebView 中的漏洞、密码管理器可能会泄露用户凭据

日期: 2023-12-07
标签: 信息技术, 密码管理器, Android WebView

研究人员展示了最广泛使用的密码管理器如何在使用移动操作系统的 WebView 自动填充恶意应用程序时泄露安卓设备的证书。在2023年12月初的 Black Hat Europe 会议上，国际信息技术协会(IIIT)的 Ankit Gangwal 展示了使用 WebView 控件的移动应用程序如何泄露许多密码管理器的凭证。Gangwal 表示，排名前 10 位的密码管理器 容易出现 AutoSpill，当调用WebView时，其中应用可能会泄露用户名和密码凭据。 因此，当用户无意加载恶意应用程序时就会出现问题。

详情

剑桥医院承认两起基于 Excel 的数据泄露事件

日期: 2023-12-08
标签: 卫生行业, 剑桥医院

2023年12月6日，剑桥 NHS 信托机构承认发生了两起历史性数据泄露事件，起因是应信息自由 (FOI) 要求意外泄露了 Excel 电子表格中的患者数据。这些数据涉及 2016 年 1 月 2 日至 2019 年 12 月 31 日期间在 Rosie 医院预订产科护理的 22,073 名患者。其中包括患者的姓名、医院号码及其出生结果。这些数据的泄露方式与2023年早些时候北爱尔兰警察局 (PSNI) 发生的更严重的泄露事件几乎相同。为了响应 FOI 请求，警方还意外地与 What Do They Know 共享了敏感信息，这些数据被数据透视表隐藏。

详情

0x05   网络攻击

APT-C-28（ScarCruft）组织针对韩国部署Chinotto组件的活动分析

日期: 2023-12-04
标签: 政府部门, APT舆情

APT-C-28（ScarCruft）亦被称为APT37（Reaper）、Group123等，是一个来自朝鲜半岛的APT组织。该组织自被披露以来，其攻击活动一直持续至今，并维持着较高的活跃度。APT-C-28的主要目标是韩国等亚洲国家，且在多个领域开展网络间谍活动，其中涵盖化学、电子、制造、航空航天、汽车和医疗保健等行业。近期，360高级威胁研究院发现该组织托管在某网站后台的恶意攻击文件，涉及携带载荷的ZIP和RAR类型的压缩包文件，这些载荷通过释放或远端加载恶意脚本，进而无文件加载Powershell类型的Chinotto木马进行窃密行动，并且加载的木马远控指令有所增加，说明该组织在不断优化更新其载荷，以达到窃密目的。

详情

美国证实伊朗黑客袭击美国水厂

日期: 2023-12-05
标签: 居民服务, 政府部门, Unitronics

美国网络安全和基础设施安全局（CISA）透露，伊朗伊斯兰革命卫队（IRGC）是2023年11月下旬针对美国水厂的一系列袭击的幕后黑手。在 CISA、FBI、NSA、环境保护局 (EPA) 和以色列国家网络管理局 (INCD) 的联合报告中，IRGC 的“CyberAv3ngers”角色被指责为针对 Unitronics 可编程逻辑控制器 (PLC) 的攻击。至少自 2023 年 11 月 22 日起，攻击者就在持续性破坏 Unitronics 设备中的默认凭据。

详情

俄罗斯黑客组织针对乌克兰、美国和德国发起AI虚假信息行动

日期: 2023-12-06
标签: 文化传播, 信息技术, AI

与俄罗斯有关的名为“Doppelganger”的黑客组织通过不真实的新闻网站和社交媒体帐户的结合，瞄准了乌克兰、美国和德国的受众。这些活动旨在放大旨在破坏乌克兰的内容，并宣传反 LGBTQ+ 情绪、美国军事能力以及德国的经济和社会问题。Doppelganger，是一个亲俄罗斯网络，以传播反乌克兰宣传而闻名。它至少自 2022 年 2 月起就开始活跃，与两家名为 Structura National Technologies 和 Social Design Agency 的公司有联系。最新活动的特点还在于使用先进的混淆技术，包括“操纵社交媒体缩略图和战略性第一阶段和第二阶段网站重定向以逃避检测，以及可能使用生成人工智能 (AI)”创造不真实的新闻文章。

详情

微软警告俄罗斯 APT28 利用 Outlook 漏洞进行攻击

日期: 2023-12-06
标签: 政府部门, Forest Blizzard, CVE-2023-23397

2023年12月4日，微软表示，它检测到克里姆林宫支持的民族国家活动利用其 Outlook 电子邮件服务中现已修补的关键安全漏洞来获取对受害者的未经授权的访问权限。 Exchange 服务器内的帐户。微软将入侵归咎于Forest Blizzard（以前称为 Strontium），也以 APT28、BlueDelta、Fancy Bear、FROZENLAKE、Iron Twilight、Sednit、Sofacy 和 TA422 等名称广泛追踪。相关安全漏洞为 CVE-2023-23397（CVSS 评分：9.8），这是一个严重的权限提升错误，可能会导致攻击者可以访问用户的 Net-NTLMv2 哈希，然后使用该哈希对另一个服务进行中继攻击以验证用户身份。 Microsoft 于 2023 年 3 月修复了该漏洞。

详情

AeroBlade攻击组织针对美国航空航天进行间谍攻击

日期: 2023-12-06
标签: 交通运输, 政府部门, 航空航天

一名此前未登记在案的攻击者与针对美国一家航空航天组织的网络攻击有关。BlackBerry 威胁研究和情报团队正在跟踪活动集群AeroBlade。目前其来源未知，也不清楚攻击是否成功。攻击者使用鱼叉式网络钓鱼作为传递机制：以电子邮件附件形式发送的武器化文档，包含嵌入式远程模板注入技术和恶意 VBA 宏代码，以将下一阶段传递到最终阶段有效负载执行。据称，用于攻击的网络基础设施已于 2022 年 9 月左右投入使用，入侵的进攻阶段发生在近一年后的 2023 年 7 月，但在此之前，对手采取措施临时改进其工具集，使其在攻击中更加隐蔽。

详情

APT28利用漏洞攻击欧洲和北美的目标

日期: 2023-12-07
标签: 政府部门, 信息技术, TA422, CVE-2023-23397, APT舆情

从2023年3月开始，Proofpoint研究人员观察到俄罗斯APT组织TA422很容易利用已修补的漏洞来针对欧洲和北美的各种组织。虽然TA422在此期间利用Mockbin和InfinityFree进行URL重定向，开展了传统的针对性攻击，但Proofpoint观察到，利用CVE-2023-23397（Microsoft Outlook特权提升漏洞）的行动中发送的电子邮件量与预期存在明显的偏差。这包括攻击者从单一电子邮件提供商发送到国防、航空航天、技术、政府和制造实体的10000多封电子邮件，偶尔还向高等教育、建筑和咨询实体发送少量的电子邮件。Proofpoint研究人员还发现了利用WinRAR远程执行漏洞CVE-2023-38831的攻击行动。

详情

美国海军承包商Austal USA证实数据泄露后遭受网络攻击

日期: 2023-12-07
标签: 政府部门, Austal USA, the Hunters

美国造船公司 Austal USA 是美国国防部 (DoD) 和国土安全部 (DHS) 的承包商，证实遭受了网络攻击，目前正在调查该事件的影响。该公司总部位于澳大利亚，专门生产高性能铝制容器。其美国子公司 Austal USA 签订了多项项目合同，其中包括为美国海军建造独立级濒海战斗舰，2023年12月6日，the Hunters勒索组织声称入侵了 Austal USA 并泄露了一些信息作为入侵的证据。the Hunters将在接下来的几天内公布从奥斯塔系统窃取的更多数据，包括合规文件、招聘信息、财务详细信息、认证和工程数据。Austal USA公司没有透露攻击者是否能够访问有关工程原理图或其他美国海军专有技术的数据。

详情

日本汽车制造商Nissan调查网络攻击和数据泄露

日期: 2023-12-07
标签: 制造业, 交通运输, Nissan

日本汽车制造商Nissan正在调查针对其位于澳大利亚和新西兰的系统的网络攻击，该攻击可能让黑客访问了个人信息。此次攻击的详细信息尚未公布，但该公司已向日产大洋洲部门的客户通报了潜在的数据泄露事件，并警告他们未来几天存在诈骗风险。通知称，该公司已部署全球事件响应团队来确定网络攻击的影响。

详情

0x06   安全漏洞

美国卫生部敦促医院修补严重的 Citrix Bleed 漏洞

日期: 2023-12-04
标签: 信息技术, 美国医疗组织, Citrix Bleed

2023年11月30日，美国卫生与公众服务部 (HHS) 警告医院修补严重的“Citrix Bleed”漏洞，该漏洞已出现在野利用。勒索软件团伙已经在使用 Citrix Bleed（追踪为 CVE-2023-4966）来破坏其目标。通过规避登录要求和多因素身份验证保护来攻击网络。美国政府机构敦促所有美国医疗保健组织保护易受攻击的 NetScaler ADC 和 NetScaler Gateway针对勒索软件团伙的设备攻击。

详情

国际刑警组织利用新的生物特征筛查数据库逮捕走私者

日期: 2023-12-04
标签: 政府部门, 生物识别

国际刑警组织升级了其生物识别背景调查技术。2023年11月，国际刑警组织利用计划在 196 个成员国部署的新型生物识别安全系统逮捕了一名逃犯。“生物识别中心”将国际刑警组织现有的指纹和面部识别数据整理到一处，使边境管制和前线官员能够实时查询犯罪生物识别记录。该系统得到了某些隐私保证的支持，但其影响范围以及任何组织是否有能力严格控制此类特权数据仍然存在疑问。

详情

严重“LogoFAIL”漏洞影响数百万台电脑

日期: 2023-12-04
标签: 信息技术, LogoFAIL, UEFI

研究人员发现了“LogoFAIL” PC 的统一可扩展固件接口 (UEFI) 生态系统中存在一组严重漏洞。利用这些漏洞会使基本的端点安全措施失效，并使攻击者能够对受影响的系统进行深度控制。这些漏洞源自启动过程中的图像解析库，影响了 x86 和基于 ARM 设备的所有主要设备制造商。研究人员警告说，LogoFAIL 的广泛影响范围加剧了其严重性，并指出它影响整个生态系统，而不仅仅是个别供应商。预计供应商补丁计划于 12 月 6 日发布。

详情

俄罗斯黑客利用 Outlook 漏洞劫持 Exchange 帐户

日期: 2023-12-05
标签: 信息技术, CVE-2023-23397, Outlook

2023年12月4日，微软威胁情报团队发出警告，称俄罗斯国家资助的攻击者 APT28（又名“Fancybear”或“Strontium”）积极利用 CVE-2023-23397 Outlook 漏洞劫持 Microsoft Exchange 帐户并窃取信息敏感信息。目标实体包括美国、欧洲和中东的政府、能源、交通和其他关键组织。微软还强调了同一攻击中利用公开可用的其他漏洞的利用情况，包括 WinRAR 中的 CVE-2023-38831 和 Windows MSHTML 中的 CVE-2021-40444。CVE-2023-23397 是 Windows 版 Outlook 中的一个严重特权提升 (EoP) 漏洞，Microsoft 在 2023 年 3 月路径星期二将其修复为零日漏洞.

详情

黑客利用 Adobe ColdFusion 漏洞入侵美国政府机构

日期: 2023-12-06
标签: 信息技术, CVE-2023-26360

2023年12月6日，美国网络安全和基础设施安全局 (CISA) 警告称，黑客极利用 Adobe ColdFusion 中的一个关键漏洞（CVE-2023-26360）来获取对政府服务器的初始访问权限。该安全漏洞允许在运行 Adobe ColdFusion 2018 Update 15 及更早版本以及 2021 Update 5 及更早版本的服务器上执行任意代码。在 Adobe 在 3 月中旬发布 ColdFusion 2018 Update 16 和 2021 Update 6 修复该问题之前，它曾被用作零日漏洞。

详情

Sierra OT/IoT 漏洞影响关键基础设施路由器

日期: 2023-12-07
标签: 信息技术, 政府部门, 关键基础设施

一组新发现的 21 个漏洞影响 Sierra OT/IoT 路由器，并通过远程代码执行、未经授权的访问、跨站点脚本、身份验证绕过和拒绝服务攻击威胁关键基础设施。Forescout Vedere Labs 发现的漏洞影响 Sierra Wireless AirLink 蜂窝路由器以及 TinyXML 和 OpenNDS（开放网络划分服务）等开源组件。AirLink 路由器凭借高性能 3G/4G/5G 和 WiFi 以及多网络连接，在工业和关键任务应用领域备受推崇。Sierra 路由器广泛应用于政府系统、紧急服务、能源、交通、供水和废水处理设施、制造单位和医疗机构。

详情

CISA 将高通漏洞添加到其已知可利用漏洞目录中

日期: 2023-12-07
标签: 政府部门, 信息技术, 高通

美国网络安全和基础设施安全局 (CISA) 在其已知被利用的漏洞目录中添加了四个高通漏洞。供应商解决了漏洞CVE-2023-33106、CVE-2023-33107 和 CVE-2023-33063 2023 年 10 月。该公司还警告说，其中三个零日漏洞在野外攻击中被积极利用。Google 威胁分析小组和 Google 零计划首先报告CVE-2023-33106、CVE-2023-33107、CVE-2022 -22071 和 CVE-2023-33063 在针对性攻击中被积极利用。专家建议私人组织也查看 目录 并解决其基础设施中的漏洞。CISA 命令联邦机构在 2023 年 12 月 26 日之前修复这些漏洞。

详情

Atlassian 修复多个产品中的 RCE 漏洞

日期: 2023-12-07
标签: 信息技术, Atlassian

Atlassian 发布了针对影响 Confluence、Jira 和 Bitbucket 服务器以及 macOS 配套应用的四个关键远程代码执行 (RCE) 漏洞的安全公告。根据 Atlassian 的内部评估，所有解决的安全问题的严重程度至少为 9.0 分（满分 10 分）。该公司没有将任何安全漏洞标记为在野外被利用。然而，由于 Atlassian 产品的流行及其在企业环境中的广泛部署，系统管理员应优先考虑应用可用的更新。

详情

新型蓝牙漏洞可导致 Android、Linux、macOS 和 iOS 设备被接管

日期: 2023-12-08
标签: 信息技术, 蓝牙安全漏洞

攻击者可能会利用一个关键的蓝牙安全漏洞来控制 Android、Linux、macOS 和 iOS 设备。该漏洞跟踪为 CVE-2023-45866，与身份验证绕过案例相关。攻击者能够连接到易受攻击的设备并注入击键以实现作为受害者的代码执行。多个蓝牙堆栈具有身份验证绕过漏洞，允许攻击者在无需用户确认的情况下连接到可发现的主机并注入击键该攻击利用“未经身份验证的配对机制”来欺骗目标设备，使其认为它已连接到蓝牙键盘。成功利用该漏洞可能会允许物理上非常接近的对手连接到易受攻击的设备并传输击键以安装应用程序并运行任意命令。

详情

WordPress 修复了导致网站遭受 RCE 攻击的 POP 链

日期: 2023-12-08
标签: 信息技术, WordPress

WordPress 已发布 6.4.2 版本，该版本解决了一个远程代码执行 (RCE) 漏洞，该漏洞可能与另一个漏洞关联，允许攻击者在目标网站上运行任意 PHP 代码。WordPress 是一种非常流行的开源内容管理系统 (CMS)，用于创建和管理网站。目前有超过 8 亿个网站使用它，约占互联网上所有网站的 45%。该项目的安全团队发现了 WordPress core 6.4 中引入的面向属性编程 (POP) 链漏洞，该漏洞在某些条件下可能允许执行任意 PHP 代码。

详情

0x07   安全分析

超过 20,000 台易受攻击的 Microsoft Exchange 服务器遭受攻击

日期: 2023-12-04
标签: 信息技术, 远程代码执行漏洞, Microsoft Exchange

欧洲、美国和亚洲暴露在公共互联网上的数万台 Microsoft Exchange 电子邮件服务器容易受到远程代码执行漏洞的影响。ShadowServer Foundation 的互联网扫描显示目前有近 20,000 台 Microsoft Exchange 服务器可通过公共互联网访问，这些服务器已到达终点生命周期 (EoL) 阶段。2023年12月1日数据显示，超过一半的系统位于欧洲。在北美，有 6,038 个 Exchange 服务器，在亚洲有 2,241 个实例。

详情

新黑客组织AeroBlade瞄准美国航空航天领域

日期: 2023-12-05
标签: 政府部门, 交通运输, AeroBlade

一个以前不为人知的网络间谍黑客组织，名为“AeroBlade”。被发现针对的是美国航空航天领域的组织。黑莓发现的该活动分两个阶段展开：2022 年 9 月的测试浪潮和 2023 年 7 月的更高级攻击。这些攻击利用武器化文档进行鱼叉式网络钓鱼，以实现对企业网络的初始访问，并丢弃能够列出文件和窃取数据的反向 shell 有效负载。黑莓以中度到高度的可信度评估，攻击的目标是商业网络间谍活动，旨在收集有价值的信息。

详情

虚假 WordPress 安全公告传播恶意后门

日期: 2023-12-05
标签: 信息技术, WordPress, CVE-2023-45124

WordPress 管理员正在通过电子邮件收到虚假的 WordPress 安全公告，其中涉及一个被追踪为 CVE-2023-45124 的虚构漏洞，该漏洞会通过恶意插件感染网站。这些电子邮件假装来自 WordPress，警告管理员网站上检测到平台中存在新的严重远程代码执行 (RCE) 缺陷，敦促他们下载并安装据称可以解决安全问题的插件。WordPress 安全专家已发现并报告了该活动， Wordfence 和 PatchStack，他们在其网站上发布了警报。

详情

新的 BLUFFS 蓝牙攻击使设备面临中间对手攻击

日期: 2023-12-05
标签: 信息技术, 蓝牙

新的研究发现了多种新型攻击，这些攻击破坏了蓝牙经典的前向保密和未来保密保证，导致两个已连接的对等点之间出现中间对手 (AitM) 场景。这些问题统称为BLUFFS，影响蓝牙核心规范 4.2 至 5.4。它们通过标识符 CVE-2023-24023（CVSS 评分：6.8）进行跟踪，并于 2022 年 10 月披露。这些攻击仅通过泄露一个会话密钥即可实现跨会话的设备模拟和中间机器。

详情

研究人员发现一种破坏苹果“锁定模式”的方法

日期: 2023-12-06
标签: 信息技术, Apple, iOS

研究人员发现了一种破坏“锁定模式”的方法，这是苹果对 iOS 最严格的安全保护。该公司2022年首次推出锁定模式，此前 iPhone 的零点击攻击显著增加。这项新功能旨在通过关闭或大幅减少黑客最喜欢的设备的功能，来保护用户(例如独裁政权瞄准的活动人士和记者)。然而，在实践中，这种模式开启了少量可识别的函数，其中只有一些在设备的内核中得到了新的保护。因此，在12月5日，来自 Jamf Threat 实验室的分析师能够演示如何颠覆锁定模式，提供同样的用户体验，同时仍然允许网络攻击在表面之下持续存在。

详情

美国参议员表示美国政府通过移动通知监视苹果和谷歌用户

日期: 2023-12-07
标签: 政府部门, 信息技术, Apple, 谷歌（Google）, 谷歌用户, 苹果用户, 个人隐私

2023年12月6日，一位美国参议员透露，世界各地的政府机构要求苹果和谷歌用户提供移动推送通知记录，以监视其客户。在参议院情报委员会任职的美国参议员罗恩·怀登（Ron Wyden）致函司法部警告称，世界各国政府一直在要求两家主要科技公司提供推送通知数据之后发布的。这些请求的目标可能是获取将用户与特定帐户或设备关联起来所需的数据的访问权限。应用程序开发人员必须使用苹果和谷歌的通知网关，这些网关使科技巨头能够深入了解其客户的需求。应用程序使用模式，使美国或国际政府更容易通过数据请求监控感兴趣的个人。通过此方法收集的数据有助于将设备链接到 Apple 或 Google 帐户，还可能允许访问未加密的通知内容，包括接收智能手机上显示的文本。

详情

新型 SLAM 攻击可窃取 AMD、未来英特尔 CPU 的敏感数据

日期: 2023-12-07
标签: 信息技术, SLAM 攻击, 英特尔 CPU

学术研究人员开发了一种名为 SLAM 的新侧通道攻击，该攻击利用旨在提高 Intel、AMD 和 Arm 即将推出的 CPU 安全性的硬件功能，从内核内存中获取根密码哈希。SLAM 是一种瞬态执行攻击，它利用内存功能，允许软件使用 64 位线性地址中的未翻译地址位来存储元数据。SLAM 攻击是基于 LAM 的 Spectre 的缩写，由阿姆斯特丹自由大学系统和网络安全小组 (VUSec Group) 的研究人员发现，他们通过在最新一代 Ubuntu 系统上模拟英特尔即将推出的 LAM 功能来证明其有效性。据 VUSec 称，SLAM 主要影响未来满足特定标准的芯片。

详情

黑客可以利用 AWS STS 渗透云帐户

日期: 2023-12-07
标签: 信息技术, Amazon Web Services

黑客可以利用 Amazon Web Services 安全令牌服务 (AWS STS) 作为渗透云帐户并进行后续攻击的方式。2023年12月5日，Red Canary 研究人员 Thomas Gardner 和 Cody Betsworth 表示，该服务使攻击者能够在云环境中冒充用户身份和角色分析。AWS STS 是一项 Web 服务，它使用户能够请求临时的、有限权限的凭证，以便用户访问 AWS 资源，而无需创建AWS 身份。这些 STS 令牌的有效期为 15 分钟到 36 小时。攻击者可以通过恶意软件感染、公开暴露的凭据和网络钓鱼电子邮件等多种方法窃取长期 IAM 令牌，然后通过 API 调用使用它们来确定与这些令牌关联的角色和权限。

详情

Higaisa组织近期活动分析，利用仿冒页面进行钓鱼攻击

日期: 2023-12-08
标签: 信息技术, Higaisa, APT舆情

近期，毒霸安全团队留意到Cyble研究情报实验室最新发布的Higaisa APT威胁活动报告。根据报告内容，该组织采用了仿冒OpenVPN官网的手段，在针对中国网民的钓鱼网站上传送了恶意安装包。通过鹰眼威胁情报中心又发现了该组织的其他多个钓鱼活动，攻击主要将恶意模块与多个常规软件进行捆绑，伪装成正常安装包并通过钓鱼网站、下载站等途径传播。这些安装包在外观设计上与正规软件极为相似，从而有效地诱使用户进行下载安装。用户一旦在本地设备执行，攻击者便可以植入恶意模块并建立后门，再通过后门远程控制受害者计算机、部署木马软件等操作。

详情

Konni分发伪装成与个人信息泄露相关内容的钓鱼邮件

日期: 2023-12-08
标签: 信息技术, Konni, APT舆情

安实验室安全紧急响应中心（ASEC）最近证实，Konni攻击组织正在向个人分发伪装成与个人信息泄露相关数据的恶意exe文件。虽然由于C2关闭而无法确认最终动作，但它是一种后门型恶意软件，接收攻击者发送的混淆命令并以xml格式执行。

详情

报告：超过 40% 的 Google Drive 文件包含敏感信息

日期: 2023-12-08
标签: 信息技术, SaaS 生态系统, Google Drive, 敏感数据

2023年12月6日，数据安全公司 Metomic 的一份报告显示，存储在 Google Drive 上的文件中有 40.2% 包含敏感数据。Metomic 分析了大约 650 万个 Google Drive 文件，并且发现34.2% 的经过审查的文件与公司域外的外部联系人共享，超过 350,000 个文件 (0.5%) 可供公开访问，任何拥有文档链接的人都可以不受限制地访问。 在标记为敏感信息的文件（例如员工合同和带有密码的电子表格）中，有 18,000 个由于高度敏感的数据或不安全的文件权限而被归类为“关键级别”。报告还提到，随着数据泄露频率持续上升，组织全面了解 SaaS 生态系统（尤其是 Google Workspace 应用）变得至关重要。

详情

微软警告黑客组织COLDRIVER的攻击活动

日期: 2023-12-08
标签: 政府部门, SEABORGIUM（ColdRiver，Proofpoint，TA446）, COLDRIVER

被称为COLDRIVER的攻击者继续从事凭据盗窃活动，同时提高其逃避检测的能力，这些活动对俄罗斯有战略利益。微软威胁情报团队以Star Blizzard(前身为SEABORGIUM)的名义跟踪该集群。它也被称为Blue Callisto, BlueCharlie(或TAG-53)， Calisto(交替拼写为Callisto)和TA446。

详情

0x08   行业动向

欧盟理事会和议会就网络弹性法案达成一致

日期: 2023-12-05
标签: 政府部门, 网络弹性法案

欧盟即将出台的旨在提高数字产品安全性的立法《网络弹性法案》(CRA) 现在距正式通过仅一步之遥。经过欧盟机构内部数天的辩论，欧洲议会和欧盟理事会于 12 月 3 日就该立法达成了政治协议。CRA 最初由欧盟委员会于 2022 年 9 月提出，旨在为欧盟内的联网设备制造商引入安全要求。欧盟机构已于 11 月 30 日宣布了一项临时协议，据报道，他们就“法律的大多数技术方面”达成了共识。

详情

Kali Linux 2023.4 发布

日期: 2023-12-06
标签: 信息技术, Kali Linux

Kali Linux 2023.4 是 2023 年的第四个也是最后一个版本，现已可供下载，包含 15 个新工具和 GNOME 45 桌面环境。Kali Linux 是一个 Linux 发行版，专为道德黑客和网络安全专业人士创建，用于执行渗透测试、安全审计和网络研究。Kali 团队表示，在 2023 年的最终版本中，核心操作系统中没有添加太多新功能，但他们发布了 15 个新工具，并且该发行版现在附带 GNOME 45 桌面环境。

详情

23andMe 更新用户协议以防止数据泄露诉讼

日期: 2023-12-08
标签: 卫生行业, 信息技术, 23andMe

由于基因检测提供商 23andMe 因 10 月份的撞库攻击导致客户数据被盗而面临多起诉讼，该公司修改了其使用条款，以加大起诉该公司的难度。2023年10 月份，一名攻击者试图出售 23andMe 客户数据，但未能成功， 泄露了 100 万德系犹太人和410 万英国居民的数据 。23andMe 表示，这些数据是通过撞库攻击获取的，目的是破坏客户帐户。利用这些有限数量的帐户，攻击者使用了“DNA 亲属””，该功能可以抓取数百万人的信息数据。23andMe还表示，共有 690 万人受到此次泄露的影响，其中 550 万人受到 DNA 亲属功能的影响，140 万人受到家谱功能的影响。

详情

Meta 在 Messenger、Facebook 上推出默认的端到端加密

日期: 2023-12-08
标签: 文化传播, Meta, Messenger, Facebook, 端到端加密

2023年12月初，Meta 宣布立即为通过 Messenger 应用以及 Facebook 社交媒体平台进行的所有聊天和通话提供端到端加密。端到端加密 (E2EE) 通过确保只有参与交换的各方才能读取数据来保护清晰的数据。其他任何访问它的人都会得到混乱的信息。它的工作原理是使用唯一的加密密钥对发送者设备上的数据进行加密，以便数据以中间人无法解码的形式在互联网上安全传输。消息的接收者使用仅他们可用的私钥在其设备上本地对其进行解密。

详情

0x09   其他事件

研究人员设计了一种针对 ChatGPT 的攻击技术

日期: 2023-12-04
标签: 信息技术, ChatGPT, AI

来自多所大学和谷歌的研究人员团队展示了一种针对 ChatGPT 的攻击技术，使他们能够提取几兆字节的 ChatGPT 训练数据。研究人员只需花费数百美元即可查询该模型。研究人员表示，通过与该数据集进行匹配，我们以 200 美元的查询成本从 ChatGPT 的训练数据集中恢复了超过一万个示例，并且我们的扩展估计表明，可以通过更多查询提取 10 倍以上的数据。攻击非常简单，专家要求 ChatGPT 永远重复某个单词。流行的聊天机器人会重复这个词一段时间，然后开始提供经过训练的确切数据。而公开的训练数据可能包括电子邮件地址、电话号码和其他唯一标识符等信息。

详情

TrickBot 恶意软件开发者被逮捕定罪

日期: 2023-12-04
标签: 信息技术, TrickBot

美国司法部 (DoJ) 宣布，一名俄罗斯公民因参与开发和部署名为 TrickBot 的恶意软件而被判有罪。Vladimir Dunaev，40 岁，于 2021 年 9 月在韩国被捕。Dunaev 开发了浏览器修改和恶意工具，帮助从受感染的计算机收集凭据和数据挖掘，促进和增强 TrickBot 参与者使用的远程访问，并创建程序代码以防止检测到 TrickBot 恶意软件通过合法的安全软件在 Dunaev 参与该计划期间，俄亥俄州北区的 10 名受害者，包括雅芳学校和北坎顿房地产公司，通过 TrickBot 部署的勒索软件被骗了超过 340 万美元。

详情

多个 NFT 集合因开源库漏洞而面临风险

日期: 2023-12-06
标签: 金融业, 信息技术, Thirdweb, Coinbase, Web3

Web3 领域常见的开源库中的一个漏洞影响了预构建智能合约的安全性，影响了包括 Coinbase 在内的多个 NFT 集合。2023年12月5日，Web3 开发平台 Thirdweb 披露了这一消息。Thirdweb 表示 于 11 月 20 日意识到该安全漏洞，并在两天后推出了修复程序，但没有透露具体名称库的名称以及漏洞的类型或严重性，以防止向攻击者泄露消息。Thirdweb 已与受影响库的维护人员分享了该漏洞的详细信息，并表示尚未发现该漏洞被用于攻击。

详情

GitHub 上 15,000 个 Go 模块存储库容易遭受 Repojacking 攻击

日期: 2023-12-06
标签: 信息技术, GitHub

新研究发现 GitHub 上超过 15,000 个 Go 模块存储库容易受到名为 repojacking 的攻击。由于 GitHub 用户名更改，超过 9,000 个存储库容易受到重新劫持。由于帐户删除，超过 6,000 个存储库容易受到重新劫持。这些存储库总共包含不少于 800,000 个 Go 模块版本。

详情

英国揭露俄罗斯联邦安全局黑客组织Callisto Group

日期: 2023-12-08
标签: 政府部门, Callisto Group

2023年12月7日，英国国家网络安全中心(NCSC)和微软警告称，俄罗斯APT组织Callisto Group正在瞄准世界各地的组织，用鱼叉式钓鱼活动来窃取帐户凭证和数据。Callisto Group是一个进阶持续性渗透攻击组织，自2015年底以来一直活跃在俄罗斯联邦安全局(fSB)的“中央18”部门。2023年12月7日，英国官方将导致英美贸易文件泄露的攻击归咎于Callisto Group。此外，英国表示，该组织是针对来自多个政党、大学、记者、公共部门、非政府组织和其他民间社会组织的圆颅党的证书和数据盗窃攻击的幕后黑手。

详情

0x0a   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0b   时间线

2023-12-04 360CERT发布安全周报