报告编号：CERT-R-2023-591

报告来源：360CERT

报告作者：360CERT

更新日期：2023-12-18

0x01   事件导览

本周收录安全热点59项，话题集中在安全分析、网络攻击、恶意软件，主要涉及的实体有：Valve、PyPI、迪拜出租车公司（DTC）等，主要涉及的黑客组织有：Star Blizzard、APT-C-55(Kimsuky)、Volt Typhoon（青铜剪影）等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

研究人员揭示 GuLoader 恶意软件的最新反分析技术

日期: 2023-12-11
标签: 信息技术, GuLoader

Elastic Security Labs 研究员 Daniel Stepanic揭露了一种名为 GuLoader 的恶意软件所采用的最新技巧，虽然 GuLoader 的核心功能在过去几年中没有发生巨大变化，但其混淆技术不断更新。GuLoader（又名 CloudEyE）于 2019 年底首次被发现，是一种基于 shellcode 的高级恶意软件下载器，用于分发各种有效负载，例如信息窃取程序，同时结合了一系列复杂的反分析技术来躲避传统的安全解决方案。

详情

Lazarus 黑客组织利用 Log4j 漏洞投放新的 RAT 恶意软件

日期: 2023-12-12
标签: 制造业, 农林牧渔, 信息技术, CVE-2021-44228, Operation Blacksmith

朝鲜黑客组织 Lazarus 继续利用 CVE-2021-44228（又名“Log4Shell”）部署了三个以前未见过的用 DLang 编写的恶意软件。这些恶意软件包含两个名为 NineRAT 和 DLRAT 的远程访问木马 (RAT) 以及一个名为 BottomLoader 的恶意软件下载程序。D 编程语言 在网络犯罪活动中很少见，因此 Lazarus 可能选择它来开发新的恶意软件以逃避检测。思科 Talos 研究人员将该活动代号为“Operation Blacksmith”，该计划于 2023 年 3 月左右开始，针对全球制造、农业和实体安全公司。

详情

美国物流公司Americold披露 4 月份恶意软件攻击后数据泄露

日期: 2023-12-12
标签: 居民服务, 交通运输, Americold

美国冷藏和物流公司 Americold 证实，超过12.9万名员工及其家属的个人信息在4月份的一次攻击中被盗，随后被Cactus勒索软件声称负责。Americold在全球拥有17000名员工，在北美、欧洲、亚太和南美运营着超过24个温控仓库。今年4月的网络入侵导致了该公司运营中断，此前Americold迫使该公司关闭其it网络以遏制入侵，并“重建受影响的系统”。在12月8日发给受数据泄露影响的129611名现任和前任员工(以及家属)的通知信中，该公司透露，攻击者在4月26日从其网络中窃取了一些数据。

详情

Lazarus利用Log4j漏洞分发新恶意软件

日期: 2023-12-13
标签: 政府部门, 制造业, Operation Blacksmith, APT舆情

Cisco Talos最近发现了由Lazarus发起的一项新攻击行动“Operation Blacksmith”，该行动至少使用了三个基于DLang的新恶意软件系列，两个是远程访问木马(RAT)，其中一个使用Telegram机器人和通道作为命令和控制（C2）通信的媒介。Cisco将这种基于Telegram的RAT跟踪为“NineRAT”，将非基于Telegram的RAT跟踪为“DLRAT”。将基于DLang的下载器跟踪为“BottomLoader”。最新发现表明朝鲜APT组织Lazarus的战术发生了明确的转变。在过去的一年半中，Talos披露了三种不同的远程访问木马(RAT)，这些木马在开发过程中使用了不常见的技术，例如QtFramework、PowerBasic和现在的DLang。本次行动的攻击目标是制造业、农业和安全公司。

详情

钓鱼活动通过PDF诱饵传播MrAnon Stealer恶意软件

日期: 2023-12-13
标签: 德国, 政府部门, 信息技术, MrAnon Stealer, 网络钓鱼攻击

研究人员发现一个钓鱼活动通过PDF诱饵传播MrAnon Stealer恶意软件。该恶意软件用于窃取受害者的凭据、系统信息、浏览器会话和加密货币扩展程序。德国是攻击的主要目标。钓鱼邮件附带一个PDF文件，提示收件人下载更新版本的Adobe Flash。这样做会执行.NET可执行文件和PowerShell脚本，最终运行恶意Python脚本，能够从多个应用程序中收集数据并将其转移到公共文件共享网站和威胁行为者的Telegram频道。该活动最初传播Cstealer，但后来转而传播MrAnon Stealer。

详情

恶意软件活动针对招聘HR

日期: 2023-12-13
标签: 信息技术, TA4557, 招聘

Proofpoint公司警告招聘人员，一名攻击者正在通过电子邮件发送恶意软件。这名攻击者被称为TA4557，以追求经济利益为动机，分发More_Eggs后门。TA4557攻击者通过回复第三方招聘网站上的职位列表以及直接针对招聘人员进行攻击。攻击过程中，攻击者回复电子邮件，并发送链接到一个冒充候选人简历的网站，或者发送带有指示访问虚假简历网站的PDF或Word附件。Proofpoint公司呼吁招聘人员更新用户意识培训，以减轻TA4557攻击者带来的威胁。

详情

KV僵尸网络劫持 SOHO 路由器和 VPN 设备

日期: 2023-12-14
标签: 信息技术, Volt Typhoon（青铜剪影）, KV-botnet

2023年12月13日，Lumen Technologies 的 Black Lotus Labs 团队表示，APT 黑客组织 Volt Typhoon（青铜剪影）已与名为“KV-botnet”的复杂僵尸网络相关联。至少从 2022 年开始攻击高价值目标中的 SOHO 路由器。Volt Typhoon 通常以路由器、防火墙和 VPN 设备为目标来代理恶意流量，使其与合法流量混合以保持不被发现。Volt Typhoon 活动的目标是 Netgear ProSAFE 防火墙、Cisco RV320、DrayTek Vigor 路由器以及最近的 Axis IP 摄像机。该僵尸网络的活动自 2023 年 8 月以来显着增加，然后在 2023 年 11 月中旬再次增加。最近观察到的攻击日期是 2023 年 12 月 5 日，因此恶意活动仍在持续。

详情

加沙网络团伙针对巴勒斯坦实体推出新的 Pierogi++ 恶意软件

日期: 2023-12-15
标签: 政府部门, Pierogi++

加沙网络黑客团伙最近使用更新的后门Pierogi++对巴勒斯坦实体进行攻击。这一发现来自SentinelOne，该恶意软件采用C++编程语言实现，与之前的版本不同。安全研究人员指出，自2012年以来，加沙网络黑客团伙一直活跃，并一直瞄准中东地区的目标，特别是以色列和巴勒斯坦。

详情

PyPI 存储库中发现 116 个恶意软件包感染 Windows 和 Linux 系统

日期: 2023-12-15
标签: 信息技术, PyPI

ESET 研究人员在 Python 包索引 (PyPI) 存储库中发现了一组 116 个恶意包，这些包旨在通过自定义后门感染 Windows 和 Linux 系统。在某些情况下，最终的有效负载是W4SP Stealer的变体，或者是用于窃取加密货币的简单剪贴板监视器。 软件包自 2023 年 5 月以来估计已被下载超过 10,000 次。

详情

新的 NKAbuse 恶意软件滥用 NKN 区块链进行隐秘通信

日期: 2023-12-15
标签: 金融业, NKAbuse, CVE-2017-5638

卡巴斯基报告称发现了一种名为 NKAbuse 的新型恶意软件，该恶意软件主要针对墨西哥、哥伦比亚和越南的 Linux 桌面。NKN 是一种相对较新的去中心化点对点网络协议，利用区块链技术来管理资源并维护安全透明的网络运营模型。卡巴斯基发现的一个 NKAbuse 感染涉及利用旧的 Apache Struts 漏洞(CVE-2017-5638) 来攻击一家金融公司。尽管大多数攻击针对 Linux 计算机，但恶意软件可以危害物联网并支持 MIPS、ARM 和 386 架构。NKAbuse 滥用 NKN 发起 DDoS（分布式拒绝服务）攻击，这些攻击很难追溯到特定的基础设施，并且由于源自大多数安全工具未主动监控的新颖协议而不太可能被标记。

详情

伊朗国家资助的 OilRig 集团部署 3 个新的恶意软件下载程序

日期: 2023-12-15
标签: 伊朗, 以色列, 政府部门, 制造业, 卫生行业, 云服务

伊朗政府支持的攻击组织OilRig在2022年使用了三种新的下载器恶意软件来持续攻击以色列的组织。它们利用了微软的云服务API进行命令与控制通信，以掩盖攻击的痕迹。受害组织包括医疗部门、制造公司和地方政府，这些组织都曾是该攻击组织的目标。

详情

0x04   数据安全

Norton Healthcare 披露数据泄露事件

日期: 2023-12-11
标签: 卫生行业, Norton Healthcare

2023年12月初，美国肯塔基州卫生系统 Norton Healthcare 已确认 5 月份的勒索软件攻击泄露了属于患者、员工和家属的个人信息。Norton Healthcare 在大路易斯维尔、印第安纳州南部和肯塔基州的 40 多家诊所和医院为成人和儿童患者提供服务。2023 年 5 月 9 日，Norton Healthcare 发现一起网络安全事件，后来确定为勒索软件攻击。调查确定，未经授权的攻击者在 2023 年 5 月 7 日至 2023 年 5 月 9 日期间获得了对某些网络存储设备的访问权限，但未访问 Norton Healthcare 的医疗记录系统或 Norton MyChart。攻击者获得了许多敏感信息，包括姓名、联系信息、社会安全号码、出生日期、健康信息、保险信息和医疗识别号码。

详情

丰田遭美杜莎勒索组织攻击勒索

日期: 2023-12-12
标签: 制造业, 交通运输, 丰田, 美杜莎勒索软件

丰田金融服务公司(Toyota Financial Services)警告客户，该公司遭受了数据泄露，称敏感的个人和财务数据在攻击中暴露。2023年11月，该公司证实，它在欧洲和非洲的一些系统中发现了未经授权的访问，此前美杜莎勒索软件声称成功入侵了这家日本汽车制造商的部门。攻击者要求丰田支付800万美元删除被盗数据，并给丰田10天的时间对他们的勒索做出回应。据推测，丰田还没有与网络犯罪分子谈判赎金支付，目前，所有数据都已经在黑暗网络上的Medusa勒索门户上泄露。

详情

迪拜出租车公司（DTC）数据泄露

日期: 2023-12-13
标签: 居民服务, 交通运输, 迪拜出租车公司（DTC）

迪拜出租车公司（DTC）的应用程序存在数据库开放给公众的隐患，导致敏感的客户和司机数据被曝光。超过19.7万名应用程序用户和近2.3万名司机的信息被曝光。泄露的数据包括客户数据、司机个人身份信息、注册和银行详细信息以及乘客订单详细信息。此外，还有涉及支持对话、客户投诉和司机应用程序日志的数据。这种泄露可能导致未经授权的账户访问和其他风险。

详情

美国核研究实验室数据泄露影响 45,000 人

日期: 2023-12-15
标签: 科研服务, 政府部门, 美国爱达荷国家实验室 (INL) 

2023年12月中旬，美国爱达荷国家实验室 (INL) 证实，攻击者于2023年11月突破其基于云的 Oracle HCM HR 管理平台后，窃取了超过 45,000 人的个人信息。INL 是美国能源部 (DOE) 17 个国家实验室之一，拥有 6,100 名研究人员和支持人员，从事国家安全和核研究。研究实验室表示，攻击者窃取了数据45,047 名现任和前任员工（包括博士后、研究生和实习生）及其家属和配偶。尽管 INL 并未将此次攻击归咎于特定组织，但 SiegedSec 黑客活动分子声称于 11 月 20 日发起了此次攻击，并在一个黑客论坛上泄露了被盗的人力资源数据。

详情

0x05   网络攻击

APT28利用Outlook零日漏洞攻击多个欧洲北约成员国

日期: 2023-12-11
标签: 国际组织, 政府部门, CVE-2023-23397, APT舆情

今年年初，乌克兰网络安全研究人员发现Fighting Ursa利用了Microsoft Outlook中的零日漏洞CVE-2023-23397。Unit 42研究人员观察到该组织在过去20个月中使用CVE-2023-23397漏洞来攻击14个国家内的至少30个组织，这些组织可能对俄罗斯政府及其军队具有战略情报价值。在此期间，Fighting Ursa至少开展了两次利用此漏洞的行动。Unit 42研究人员发现了第三个最近活跃的行动，也利用了此漏洞。该组织在2023年9月至10月期间开展了最近一次行动，目标至少是七个国家的9个组织。在所有三项行动的14个目标国家中，除乌克兰、约旦和阿拉伯联合酋长国的实体外，所有国家都是北约成员国内的组织。

详情

爱尔兰自来水公司遭受黑客攻击，供水中断

日期: 2023-12-11
标签: 爱尔兰, 居民服务, 自来水公司

2023年12月上旬，黑客入侵了爱尔兰的一家小型自来水公司，导致供水中断两天。此次袭击的受害者是 Erris 地区的一家私人集团自来水公司，该事件影响了 180 名房主。Binghamstown/Drum 的居民周四和周五停水。受影响公用事业公司的人员致力于修复受到网络攻击的Eurotronics水泵系统。管理员到达泵房时，屏幕上出现了一个标志‘你已被黑客攻击’。上面写着“打倒以色列”以及黑客攻击的公司名称。报道称，攻击者出于政治动机，之所以选择这些设备，是因为该设备源自以色列。

详情

朝鲜 Kimsuky 通过后门攻击韩国研究机构

日期: 2023-12-11
标签: 政府部门, APT-C-55(Kimsuky), Kimsuky

2023年12月初，AhnLab 安全紧急响应中心 (ASEC) 表示，名为 Kimsuky 的朝鲜攻击者将韩国的研究机构作为目标，在受感染的系统上分发后门。攻击链以导入声明诱饵开始，该诱饵实际上是一个恶意 JSE 文件，其中包含混淆的 PowerShell 脚本、Base64 编码的有效负载和诱饵 PDF 文档。下一阶段需要打开 PDF 文件作为牵制策略，同时 PowerShell 脚本在后台执行以启动后门。恶意软件本身被配置为收集网络信息和其他相关数据（即主机名、用户名和操作系统版本）并将编码的详细信息传输到远程服务器。它还能够运行命令、执行额外的有效负载并终止自身，从而将其变成远程访问受感染主机的后门。

详情

俄罗斯APT28利用欧洲机构文件进行定向攻击

日期: 2023-12-13
标签: 政府部门, APT28（Fancy Bear）, APT28

俄罗斯APT28威胁行动组织使用与以色列-哈马斯战争有关的诱饵，以传递名为HeadLace的定制后门。该组织对全球至少13个国家的目标进行攻击，利用联合国、以色列银行、美国国会研究服务、欧洲议会等机构的真实文件进行欺骗，主要针对欧洲实体，以及与人道主义援助分配直接相关的机构。攻击使用RAR存档来传播HeadLace，该后门最初在针对乌克兰关键基础设施的攻击中被披露。

详情

乌克兰军方称其入侵了俄罗斯联邦税务局(FNS)

日期: 2023-12-13
标签: 俄罗斯, 乌克兰, 政府部门, 金融业, 俄罗斯联邦税务局(FNS), 乌克兰情报总局(GUR), 俄乌战争

乌克兰政府的军事情报机构表示，他们入侵了俄罗斯联邦税务局(FNS)，删除了该机构的数据库和备份副本。这次行动由乌克兰国防情报部门内部的网络单位执行，军事情报官员侵入了俄罗斯联邦税务服务中心服务器和遍布俄罗斯和占领乌克兰领土的2300个区域服务器。这次入侵导致所有被入侵的FTS服务器都被恶意软件感染，一家为FNS提供数据中心服务的俄罗斯IT公司也被黑客攻击。据报道，这次攻击还导致对俄罗斯庞大的税收系统的功能至关重要的配置文件被完全删除，主数据库及其备份副本都被清除。乌克兰情报总局(GUR)表示，该事件导致俄罗斯一个重要的政府机构几乎崩溃，与税收相关的数据大量丢失，以及俄罗斯与税收相关的互联网流量落入乌克兰军方黑客之手。

详情

乌克兰最大电信运营商Kyivstar遭受网络攻击导致服务中断

日期: 2023-12-13
标签: 乌克兰, 信息技术, Kyivstar

根据查询结果显示，乌克兰最大的电信服务提供商Kyivstar遭遇了一次网络攻击，导致移动和数据服务中断。官方网站已经下线，但公司通过社交媒体渠道通知用户，称其于2023年12月12日遭到黑客攻击，导致技术故障影响了移动通信和互联网接入。乌克兰安全局已介入调查此次事件，并已根据乌克兰刑法的8项条款立案侦查。尽管乌克兰和俄罗斯之间的冲突仍在持续，俄罗斯黑客策划此次攻击的可能性较高，但攻击的确切来源尚未得到证实。受此停机影响的用户可以使用其他运营商的漫游服务来恢复移动服务。此外，乌克兰内政部长表示，在任何情况下，乌克兰人可以使用紧急号码101、102和112，并可以通过访问最近的警察局或消防部门与亲属取得联系。网络观测机构NetBlocks报告称，Kyivstar的停机影响了乌克兰各地的互联网接入，并阻碍了人们获取关于来袭轰炸袭击的及时通知的空袭警报网络。

详情

黑客活用有关加沙的信息中断阿联酋电视直播

日期: 2023-12-14
标签: 阿拉伯联合酋长国（UAE）, 文化传播, 居民服务, 电视直播

2023年12月10日晚，在阿拉伯联合酋长国（UAE），黑客接管了全国各地的电视直播，播放人工智能传递的有关加沙战争的信息。此次攻击影响了“欧洲直播频道”在 HK1 RBOX（一款基于 Android 的机顶盒）上进行流媒体播放。研究人员表示根本原因可能在于流媒体设备：HK1 RBOX。 RBOX 提供互联网协议电视 (IPTV) 服务，该服务可能涉及通过互联网进行未经许可的直播和点播节目流。

详情

APT28针对13个国家进行持续的网络间谍行动

日期: 2023-12-14
标签: 政府部门, 信息技术, Headlace, APT舆情

截至2023年12月，IBM X-Force已发现多个诱饵文件，主要涉及正在进行的以色列-哈马斯战争，以分发ITG05独有的Headlace后门。新发现的活动针对全球至少13个国家的目标，包括匈牙利、土耳其、澳大利亚、波兰、比利时、乌克兰、德国、阿塞拜疆、沙特阿拉伯、哈萨克斯坦、意大利、拉脱维亚和罗马尼亚。ITG05的基础设施确保只有来自单个特定国家/地区的目标才能接收恶意软件，这表明该活动具有高度针对性。诱饵的性质表明，该行动针对的是对人道主义援助分配有直接影响的实体，主要是那些总部位于欧洲的实体。

详情

Ledger dApp 供应链攻击造成 60 万美元加密货币损失

日期: 2023-12-15
标签: 金融业, 信息技术, Ledger, Web3, 供应链攻击

在“Ledger dApp Connect Kit”遭受供应链攻击后，Ledger 警告用户不要使用 web3 dApp。图书馆被发现在推广 JavaScript 钱包盗取者，窃取了 60 万美元的加密货币和 NFT。Ledger 是一款硬件钱包，可让用户离线购买、管理和安全存储其数字资产，支持多种加密货币，包括比特币和以太坊。2023年12月14日，Ledger 警告用户，其 Ledger Connect Kit 已遭到破坏，包含恶意代码，所有用户目前应避免使用 dApp。添加到库中的恶意代码会自动从连接到应用程序的钱包中窃取加密货币和 NFT。

详情

俄罗斯SVR针对JetBrains TeamCity服务器的攻击活动

日期: 2023-12-15
标签: 政府部门, 俄罗斯外交情报局（SVR）, APT29

俄罗斯外交情报局（SVR）附属的威胁行动者自2023年9月以来一直在广泛攻击未打补丁的JetBrains TeamCity服务器。这一活动与一个名为APT29的国家级组织有关，也被称为BlueBravo、Cloaked Ursa、Cozy Bear、Midnight Blizzard（前身为Nobelium）和The Dukes。这个组织曾在2020年利用供应链攻击瞄准SolarWinds及其客户。CVE-2023-42793是一个严重的安全漏洞，未经身份验证的攻击者可以利用它在受影响的系统上实现远程代码执行。此后，包括与朝鲜有关的黑客组织在内的黑客团伙已开始积极利用此漏洞进行恶意软件传递。

详情

新黑客组织“GambleForce”使用 SQL 注入攻击攻击亚太地区公司

日期: 2023-12-15
标签: 信息技术, GambleForce, SQL 注入攻击

GambleForce是一个以前未知的黑客组织，他们自2023年9月以来对亚太地区的公司进行了一系列SQL注入攻击。该组织利用基本但非常有效的技术，包括SQL注入和利用易受攻击的网站内容管理系统（CMS），来窃取敏感信息，如用户凭据。据估计，他们已经成功攻击了澳大利亚、巴西、中国、印度、印尼、菲律宾、韩国和泰国的24家组织，其中有六次攻击成功。

详情

0x06   安全漏洞

新型攻击5Ghoul影响含有高通、联发科芯片的 5G 手机

日期: 2023-12-11
标签: 信息技术, 5Ghoul

高通和联发科在 5G 调制解调器中发现了一组新漏洞，统称为“5Ghoul”。 Impact 710 5G 智能手机型号来自 Google 合作伙伴 (Android) 和 Apple、路由器和 USB 调制解调器。5Ghoul是由新加坡大学研究人员发现的，由移动通信系统中的14个漏洞组成，其中10个已公开披露，4个出于安全原因而被隐瞒。5Ghoul 攻击的范围从暂时的服务中断到网络降级，从安全角度来看，这可能更为严重。这些漏洞很容易通过冒充合法 5G 基站来进行无线利用。即使攻击者缺乏有关目标 SIM 卡的信息，这也适用，因为攻击发生在 NAS 身份验证步骤之前。攻击者不需要知道目标UE的任何秘密信息，例如UE的SIM卡详细信息，即可完成NAS网络注册。

详情

研究人员发现了 Android 14 和 13 的一个新的锁屏绕过漏洞

日期: 2023-12-11
标签: 信息技术, Android（安卓）

安全研究员 Jose Rodriguez发现了一个新的 Android 锁屏绕过漏洞14 和 13。能够物理访问设备的攻击者可以访问照片、联系人、浏览历史记录等。Jose Rodriguez最近发现可以绕过锁屏，并声称谷歌也已经意识到这个问题至少六个月了，但尚未解决。Jose Rodriguez于 5 月份向谷歌报告了该问题，并指出，截至 11 月底，仍没有预定的安全更新日期。Jose Rodriguez表示，这些漏洞的影响因用户安装和配置谷歌地图而异。如果激活驾驶模式，严重程度会显着升高。

详情

WORDPRESS 6.4.2 修复了远程代码执行 (RCE) 漏洞

日期: 2023-12-11
标签: 信息技术, WordPress, POP 链

WordPress 发布了一个安全更新来解决一个漏洞，该漏洞可能与另一个漏洞相关联以获得远程代码执行。RCE 漏洞在核心中无法直接利用，但是，攻击者可以将其与一些插件链接起来，特别是在多站点安装中，以执行任意代码。该问题存在于 WP_HTML_Token 类中，该类是在 WordPress 6.4 中引入的，用于增强块编辑器中的 HTML 解析。WordPress 网络安全公司 Defiant 的研究人员将该问题标记为 6.4 版本中引入的 POP 链，该链与单独的对象注入漏洞相结合，可能会导致严重级别漏洞。WordPress 通过添加一个名为“__wakeup”的新方法来阻止易受攻击函数的执行，从而修复了该问题。研究人员建议手动检查网站以确保其更新。

详情

备份插件中的严重漏洞影响 5 万个 WordPress 网站

日期: 2023-12-12
标签: 信息技术, CVE-2023-6553, WordPress 插件

安装量超过 90,000 次的 WordPress 插件（备份迁移插件）中存在严重漏洞，攻击者可以通过远程执行代码来完全破坏易受攻击的网站。备份迁移插件可帮助管理员自动将网站备份到本地存储或 Google 云端硬盘帐户。安全漏洞跟踪为 CVE-2023-6553 并评级为 9.8/10严重性评分，该漏洞会影响备份迁移 1.3.6 及之前的所有插件版本，攻击者无需用户交互即可在低复杂性攻击中利用它。

详情

Counter-Strike 2 HTML 注入漏洞暴露了玩家的 IP 地址

日期: 2023-12-12
标签: 文化传播, Valve, HTML注入漏洞, CS2

据报道，Valve已经修复了《CS2》中一个HTML注入漏洞，该漏洞被严重滥用，用于向游戏中注入图像并获取其他玩家的IP地址。虽然最初研究人员认为这是一个更严重的跨站脚本(XSS)漏洞，该漏洞允许在客户端中执行JavaScript代码，但研究人员最终确定这只是一个HTML注入漏洞，允许注入图像。

详情

Apple 紧急更新修复了旧款 iPhone 上的零日漏洞

日期: 2023-12-12
标签: 信息技术, 苹果, 零日漏洞, iOS, iPadOS, tvOS, watchOS

2023年12月11日，苹果公司在iOS 16.7.3、iPadOS 16.7.3、tvOS 17.2和watchOS 10.2中通过改进的输入验证和锁定解决了零日漏洞。这些漏洞出现在较旧的iphone以及一些Apple Watch和Apple TV机型上。这两个漏洞现在被追踪为CVE-2023-42916和CVE-2023-42917，它们是在由苹果公司开发的WebKit浏览器引擎中发现的，并被该公司跨平台(如macOS、iOS和iPadOS)的Safari浏览器使用。它们可以让攻击者通过恶意设计的网页来获取敏感数据并执行任意代码，这些网页旨在利用未修补设备上的越界和内存损坏漏洞。

详情

Sophos修复Sophos Firewall的远程代码执行漏洞

日期: 2023-12-13
标签: 信息技术, Sophos, CVE-2022-3236

Sophos是一家网络安全公司，他们在2022年9月发现了Sophos Firewall的一个代码注入漏洞(CVE-2022-3236)，并在当时发布了安全更新以修复此漏洞。然而，到了2023年1月，仍有超过4000个设备仍然存在安全漏洞，其中许多设备是运行已停用的固件版本的旧设备。黑客利用了这个漏洞进行攻击。Sophos于2023年12月发布了一个更新补丁，以修复这个漏洞，并建议所有组织升级他们的固件和设备以保护自己。如果自动更新选项已被禁用，则建议启用它，并按照指南验证是否已应用热修补程序。

详情

超过1,450个pfSense服务器易受远程代码执行攻击

日期: 2023-12-13
标签: 信息技术, pfSense服务器

pfSense开源防火墙和路由软件存在命令注入和跨站脚本漏洞，可能导致攻击者在设备上执行远程代码。漏洞影响了pfSense 2.7.0及更早版本以及pfSense Plus 23.05.01及更早版本。其中命令注入漏洞的严重性较高，可能以root权限执行恶意命令。尽管跨站脚本漏洞需要用户参与才能生效，但命令注入漏洞更危险。漏洞影响了“gifif”网络接口参数，允许恶意攻击者在参数中注入额外命令，并以root权限执行。这需要攻击者具有接口编辑权限的帐户来实施攻击。Netgate已发布安全更新来解决这些漏洞，但仍有近1500个pfSense实例存在漏洞。

详情

黑客正在使用公共 PoC 来利用 Apache Struts 的关键漏洞

日期: 2023-12-14
标签: 信息技术, CVE-2023-50164

黑客正试图利用 Apache Struts 中最近修复的一个严重漏洞 (CVE-2023-50164)，该漏洞会导致远程代码执行，从而进行依赖公开可用的概念验证漏洞利用代码的攻击。Shadowserver 研究人员观察到少数 IP 地址正在进行利用尝试。Apache Struts 是一个开源 Web 应用程序框架，旨在简化 Java EE Web 应用程序的开发，提供基于表单的界面和广泛的集成功能。12 月 7 日，Apache 发布了 Struts 版本 6.3.0.2 和 2.5.33 ，以解决目前确定为 CVE-2023-50164的漏洞。

详情

Ubiquiti 用户报告可以访问其他人的 UniFi 路由器、摄像头

日期: 2023-12-15
标签: 制造业, Ubiquiti

自2023年12月13日以来，Ubiquiti 网络设备（从路由器到安全摄像头）的用户报告称，通过该公司的 UniFi 云服务看到了其他人的设备和通知。Ubiquiti 是一家流行的网络设备制造商，提供基于云的 UniFi 平台，管理员可以通过单个云门户管理其所有设备。用户表示自己登录并有权访问其他人的 UDM Pro，并被能够管理设备并创建额外的 WiFi 网络。

详情

0x07   安全分析

疑似Lazarus（APT-Q-1）涉及npm包供应链的攻击样本分析

日期: 2023-12-11
标签: 信息技术, APT舆情

奇安信威胁情报中心近期发现一批较为复杂的下载器样本，这类样本经过多层嵌套的PE文件加载，最终从C2服务器下载后续载荷并执行。其中一个C2服务器IP地址在不久前被披露用于一起软件供应链攻击事件，攻击者通过伪装为与加密有关的npm包投递恶意软件。结合上述报告内容和下载器样本自身的信息，可以确认这些下载器恶意软件与此次npm包供应链攻击事件有关。根据下载器和其他相关样本的代码特征，关联到Lazarus组织的历史攻击样本，加上Lazarus常用供应链攻击手段，所以认为此次npm包投毒事件背后的攻击者很可能为Lazarus。

详情

AutoSpill 攻击从 Android 密码管理器窃取凭据

日期: 2023-12-11
标签: 信息技术, AutoSpill, Android（安卓）

安全研究人员开发了一种新的攻击攻击方式，他们将其命名为 AutoSpill，在自动填充操作期间窃取 Android 上的帐户凭据。海得拉巴国际信息技术研究所 (IIIT) 的研究人员的测试表明，大多数 Android 密码管理器都容易受到 AutoSpill 的攻击，即使没有 JavaScript 注入。Android 应用通常使用 WebView 控件来呈现 Web 内容（例如应用内的登录页面），而不是将用户重定向到主浏览器。当应用加载 Apple、Facebook、Microsoft 或 Google 等服务的登录页面时，Android 上的密码管理器使用该平台的 WebView 框架自动输入用户的帐户凭据。

详情

超过 50% 的内部攻击使用特权提升漏洞

日期: 2023-12-11
标签: 卫生行业, 特权提升漏洞

特权提升漏洞是企业内部人员在网络上进行未经授权的活动时最常见的漏洞，无论是出于恶意目的还是以危险的方式下载有风险的工具。Crowdstrike 根据 2021 年 1 月至 2023 年 4 月期间收集的数据发布的报告显示，内部威胁正在上升，而利用权限升级漏洞是未经授权活动的重要组成部分。该报告称，该公司记录的内部威胁中有 55% 依赖于权限升级漏洞，而其余 45% 通过下载或滥用攻击性工具无意中引入了风险。

详情

拥有大量文件夹的用户存在 Outlook 电子邮件发送问题

日期: 2023-12-11
标签: 信息技术, Outlook

Microsoft 承认存在一个影响 Microsoft 365 用户 Outlook 的新漏洞，将导致嵌套文件夹过多的用户出现电子邮件发送问题。根据 Redmond 的说法，这可能与涉及超过 500 个共享文件夹的邮箱的旧问题有关，该限制已于 2019 年解除。然而，微软似乎没有考虑到用户的主邮箱中也有那么多文件夹的情况。使用 Outlook 桌面发送电子邮件时，用户收到意外的未送达报告 (NDR)，其中包含错误代码 0x80040305。虽然微软目前正在调查这个新确认的问题，但它还向受影响的客户提供了一些解决电子邮件发送问题的提示。建议包括将具有子文件夹的文件夹数量减少到 500 个以下，并在此问题的持续调查期间最多使用 450 个嵌套文件夹。另一个临时修复方法是让所有邮箱文件夹保持折叠状态而不是展开状态。

详情

俄罗斯FSB的网络攻击组织COLDRIVER继续在全球开展网络钓鱼行动

日期: 2023-12-11
标签: 国际组织, 政府部门, Star Blizzard, APT舆情

俄罗斯黑客Star Blizzard，也称为Callisto Group、TA446、COLDRIVER、TAG-53和BlueCharlie，继续成功地对英国和其他地理区域的目标组织和个人进行鱼叉式网络钓鱼攻击，用于信息收集活动。英国国家网络安全中心（NCSC）、美国网络安全和基础设施安全局（CISA）等评估认为，Star Blizzard几乎肯定隶属于俄罗斯联邦安全局（FSB）的18中心。自2019年以来，该组织的目标领域包括学术界、国防、政府组织、非政府组织、智库和政界人士。英国和美国的目标似乎受到的影响最大，但也观察到其他北约国家和俄罗斯邻国的目标受到了影响。2022年期间，该组织的攻击似乎进一步扩大，包括国防工业目标以及美国能源部设施。

详情

APT-C-56（透明部落）利用OLE对象部署CrimsonRAT木马的攻击活动分析

日期: 2023-12-11
标签: 印度, 政府部门, 教育行业, 金融业, APT舆情

360高级威胁研究院捕获到了一批针对印度国防、金融、大学等单位的攻击样本。当受害者打开这些诱饵文档后，恶意文件将会从自身嵌入的OLE（Object Linking and Embedding）对象中释放出恶意载荷，该载荷为透明部落组织专属的CrimsonRAT远控程序。需要说明的是，该组织前期攻击中喜欢将恶意载荷数据直接嵌入到宏代码中，而最近几轮攻击中偏向通过OLE对象释放恶意载荷，本篇文章主要分析利用OLE对象释放载荷的情况。

详情

“X象”组织针对我国科研机构的钓鱼攻击事件分析

日期: 2023-12-12
标签: 信息技术, 慧眼行动, APT舆情

2023年下半年，安天CERT在日常邮件监测中发现，境外APT攻击组织通过模仿“慧眼行动”官方组织机构，向相关科研机构发送钓鱼邮件，以附件形式投放特洛伊木马，以实施后续攻击。邮件包含一个压缩包附件，压缩包内为一个构造的可执行文件。该文件基于文件名、图标和与正常文件捆绑三种伪装方式，模仿成相关活动的申报客户端。打开可执行文件后，会连接到攻击者服务器下载后续攻击载荷，最终通过后门在受害者机器与攻击者C2服务器之间建立管道SHELL以实现远程控制。安天CERT基于代码、线索分析和综合研判，基本确认相关攻击来自南亚某国，但目前尚无充分信息确定关联到安天已经命名的具备同一国家背景的已知威胁行为体，但也尚不能完全判定其是一个新的攻击组织，按照安天对威胁行为体的命名规则，临时使用“X象”作为其命名。

详情

微软：OAuth 应用程序用于自动化 BEC 和加密货币挖矿攻击

日期: 2023-12-13
标签: 信息技术, OAuth, 多因素身份验证

Microsoft 警告称，出于经济动机的攻击者正在使用 OAuth 应用程序来自动执行 BEC 和网络钓鱼攻击、推送垃圾邮件以及部署虚拟机进行加密挖掘。OAuth（开放授权的缩写）是一种开放标准，用于通过基于令牌的身份验证和授权，根据用户定义的权限授予应用程序对服务器资源的安全委派访问权限，而无需提供凭据。攻击者在网络钓鱼或密码喷射攻击中主要针对缺乏强大身份验证机制（例如多因素身份验证）的用户帐户，重点关注那些有权创建或修改 OAuth 应用程序的用户帐户。然后，被劫持的帐户用于创建新的 OAuth 应用程序并授予它们高权限，从而使它们的恶意活动保持隐藏状态，同时确保即使原始帐户丢失也能继续访问。

详情

北爱尔兰警方数据泄露归咎于安全管理失误

日期: 2023-12-13
标签: 政府部门, 北爱尔兰警察局（PSNI）

2023年8月，北爱尔兰警察局（PSNI）遭遇了一次严重的数据泄露事件，导致9483名警察和文职员工的个人数据被曝光。这起事件是因为在一次信息自由法（FOI）请求后，数据意外地在Excel电子表格中被释放出来。2023年12月中旬的审查报告指出，这次泄露事件不是由于个别人、团队或部门的决策或行为，而是因为PSNI作为组织没有充分保护和安全保管数据。

详情

CISA：俄罗斯黑客自 9 月起就瞄准 TeamCity 服务器

日期: 2023-12-14
标签: 政府部门, 信息技术, CVE-2023-42793, TeamCity 服务器

2023年12月中旬，美国CISA 及合作伙伴网络安全机构和情报机构警告称，自 2023 年 9 月以来，与俄罗斯外国情报局 (SVR) 相关的 APT29 黑客组织一直针对未打补丁的 TeamCity 服务器发起广泛攻击。APT29 还针对北约国家内多个实体的 Microsoft 365 帐户进行攻击，并与针对欧洲各国政府、大使馆和高级官员的一系列网络钓鱼活动相关。他们在这些攻击中利用的 TeamCity 安全漏洞被确定为 CVE-2023-42793 并被评为严重，严重性得分为 9.8/10，未经身份验证的攻击者可以利用该分数进行不需要用户交互的低复杂性远程代码执行 (RCE) 攻击。

详情

BazarCall 攻击滥用 Google Forms 使网络钓鱼电子邮件合法化

日期: 2023-12-14
标签: 信息技术, 文化传播, BazarCall 攻击, Google Forms, 网络钓鱼攻击

新一波 BazarCall 攻击使用 Google Forms 生成付款收据并将其发送给受害者，试图使网络钓鱼尝试显得更加合法。BazarCall， 首次记录于 2021 年，是一种网络钓鱼攻击，利用类似于付款通知或订阅确认的电子邮件来发送安全软件、计算机支持、 流媒体平台等知名品牌。这些电子邮件指出，收件人将自动续订极其昂贵的订阅，如果他们不想付费，则应取消订阅。然而，该电子邮件过去并没有包含网站链接，而是包含了该品牌所谓客户服务代理的电话号码，可以联系该代理来对费用提出争议或取消订阅。这些电话由冒充客户支持的网络犯罪分子接听，通过引导受害者完成欺骗性过程，诱骗受害者在其计算机上安装恶意软件。恶意软件名为 BazarLoader，是一种用于在受害者的设备上安装额外负载的工具系统。

详情

微软警告黑客利用 OAuth 进行加密货币挖掘和网络钓鱼

日期: 2023-12-14
标签: 信息技术, OAuth, 加密货币

微软警告称，攻击者正在使用 OAuth 应用程序作为自动化工具来部署虚拟机 (VM) 进行加密货币挖掘并发起网络钓鱼攻击。攻击者攻击用户帐户以创建、修改 OAuth 应用程序并授予高权限，他们可以滥用这些权限来隐藏恶意活动。滥用 OAuth 还使攻击者能够保持对应用程序的访问，即使他们失去了对最初受损帐户的访问权限。

详情

0x08   行业动向

欧盟就《人工智能法案》达成一项临时协议

日期: 2023-12-12
标签: 政府部门, 欧盟（EU Lawmakers）, 人工智能法案

在欧盟理事会、欧盟委员会和欧洲议会破纪录地进行了长达36小时的“三方”谈判后，欧盟于2023年12月8日就《人工智能法案》达成了一项临时协议。这项具有里程碑意义的法案将规范人工智能系统的使用，包括像ChatGPT这样的生成式人工智能模型，以及政府和执法行动中使用的人工智能系统，包括生物特征监视。

详情

CISA与ENISA签署工作安排加强合作

日期: 2023-12-12
标签: 政府部门, 网络安全合作

2023年12月，欧盟网络安全机构(ENISA)与美国网络安全与基础设施安全局(CISA)签署了一项工作安排，以加强能力建设、最佳做法交流和态势感知方面的合作。这些机构强调了在网络安全威胁领域进行系统信息共享的重要性，以增强利益相关者和社区之间的共享意识。该工作安排是美国与欧盟网络合作的重要里程碑，旨在改善基本网络威胁的事件报告或临时信息交换。

详情

MITRE 首次推出嵌入式系统 ICS 威胁建模

日期: 2023-12-14
标签: 信息技术, 关键基础设施

2023年12月中旬，MITRE 与其他三个组织的研究人员合作，为关键基础设施环境中使用的嵌入式设备制造商发布了新的威胁建模框架草案。新的 EMB3D 威胁模型的目标是让设备制造商对攻击所针对的技术漏洞以及解决这些漏洞的安全机制有一个共同的了解。

详情

社交平台Discord 为所有用户添加了安全密钥多重身份验证 (MFA)

日期: 2023-12-15
标签: 信息技术, Discord, 安全密钥多重身份验证 (MFA), 社交平台

Discord 已为平台上的所有帐户提供安全密钥多重身份验证 (MFA)，为其 5 亿多注册用户带来显着的安全和反网络钓鱼优势。Discord 现已为所有 Discord 用户带来了 WebAuthn 功能，允许用户替换依赖基于时间的一次性密码、8 位一次性备份代码和携带 6 位验证码的 SMS 消息的旧版 MFA 系统。Discord 用户现在可以进入 设置 > 我的帐户 > 注册安全密钥 并使用 WebAuthn 配置 Windows Hello、Apple 的 Face ID 或 Touch ID 以及用于身份验证的硬件安全密钥。这项新功能增强了防止凭据被盗的保护，因为它需要物理设备（无论是计算机还是手机）才能登录用户的 Discord 帐户。

详情

0x09   其他事件

Kelvin Security黑客组织头目在西班牙被捕

日期: 2023-12-12
标签: 信息技术, Kelvin Security

西班牙警方逮捕了黑客组织Kelvin Security的一名头目，该组织被认为自2020年以来对90个国家的组织发动了300次网络攻击。2023年12月10日上午，西班牙国家警察(National Police)的Telegram频道发布了该黑客组织一名领导人被捕的消息，称这些攻击者与针对西班牙、德国、意大利、阿根廷、智利、日本和美国政府机构的袭击有关。Kelvin Security是一个据信自2013年以来一直活跃的黑客组织，利用面向公众系统的漏洞获得有效的用户凭据，并从被破坏的系统中窃取机密数据。该组织的主要目标是关键的基础设施和政府机构，他们袭击了西班牙赫塔菲(马德里)、卡马斯(塞维利亚)、拉哈巴(巴达约斯)和卡斯蒂亚-拉曼查的政府市议会。

详情

警方行动捣毁BlackCat勒索网站

日期: 2023-12-12
标签: 政府部门, AlphaV, alphav

当今最活跃的勒索软件即服务(RaaS)组织之一遭受了网络中断，情报专家将其归因于警方的行动。2023年12月8日，网络威胁情报公司RedSense在X(原Twitter)上的一篇帖子中表示，可以确认属于alphav(又名黑猫)的泄露网站已被执法部门关闭。然而，这一判断似乎不是基于对警方行动的直接了解，而是基于从网络犯罪社区收集的情报。RedSense的首席研究官耶利西·博哈斯拉夫基(Yelisey Bohuslavkiy)证实，alphav(又名黑猫)的泄露网站是由警方执法行动关闭的。

详情

Star Blizzard提高了持续攻击的复杂性和规避能力

日期: 2023-12-12
标签: 政府部门, Star Blizzard, APT舆情

Microsoft威胁情报继续跟踪和破坏由俄罗斯国家资助的组织发起的恶意攻击行动，将其跟踪为Star Blizzard，以前称为SEABORGIUM，也称为COLDRIVER和Callisto Group。自2022年以来，Star Blizzard改进了规避检测能力，同时继续专注于针对相同目标的电子邮件凭据盗窃。Star Blizzard的行动历来支持间谍活动和网络影响，现在继续大量针对参与国际事务、国防和乌克兰后勤支持的个人和组织，以及学术界、信息安全公司和其他符合俄罗斯国家利益的实体。此博客提供有关Star Blizzard的TTP的最新技术信息，攻击者将继续完善其间谍手段以逃避检测。

详情

法国警方逮捕与 Hive 勒索软件有关的俄罗斯嫌疑人

日期: 2023-12-14
标签: 信息技术, Hive

法国当局在巴黎逮捕了一名俄罗斯公民，原因是他涉嫌帮助 Hive 勒索软件团伙洗钱受害者的资金。法国反网络犯罪办公室 (OFAC) 将嫌疑人与数字钱包联系起来，这些钱包根据他在社交网络上的活动从可疑来源接收了数百万美元，随后嫌疑人被捕。警方在 12 月 5 日拘留这名嫌疑人时，还查获了价值 57 万欧元的加密货币资产。

详情

微软查获用于销售欺诈性 Outlook 帐户的域名

日期: 2023-12-14
标签: 政府部门, 信息技术, Storm-1152, 越南网络犯罪组织 (Storm-1152), Outlook 帐户

微软的数字犯罪部门查获了越南网络犯罪组织 (Storm-1152) 使用的多个域名，该组织注册了超过 7.5 亿个欺诈账户，并通过将这些账户在线出售给其他网络犯罪分子赚取了数百万美元。Storm-1152 是一家主要的网络犯罪即服务提供商，也是欺诈性 Outlook 帐户以及其他非法“产品”的第一大卖家。Storm-1152 运行非法网站和社交媒体页面，销售欺诈性 Microsoft 帐户和工具，以绕过知名技术平台的身份验证软件。至少自 2021 年以来，被告一直在实施一项计划，根据一系列虚假陈述以虚构用户的名义获取数百万个 Microsoft Outlook 电子邮件帐户，然后将这些欺诈帐户出售给恶意者用于各种类型网络犯罪者。根据 Microsoft 威胁情报，许多涉及勒索软件、数据盗窃和勒索的网络组织已购买并使用 Storm-1152 提供的帐户进行攻击。

详情

新网络犯罪市场“OLVX”迅速扩张

日期: 2023-12-14
标签: 信息技术, 网络犯罪市场, OLVX

新的网络犯罪市场 OLVX 已经出现，并迅速吸引了希望购买工具来进行在线欺诈和网络攻击的犯罪分子。OLVX 遵循了最近的趋势，即网络犯罪市场越来越多地托管在明网而不是暗网上，这使得更广泛的用户更容易访问它们，并可以通过搜索引擎优化 (SEO) 进行推广。ZeroFox 研究人员于 2023 年 7 月上旬首次发现 OLVX，他们报告说，秋季新市场上的活动大幅增加，卖家和买家的数量均有所增加。

详情

APT29利用CVE-2023-42793的攻击行动

日期: 2023-12-15
标签: 政府部门, 信息技术, TeamCity, APT舆情

2023年9月6日，Sonar的研究人员发现了一个严重的TeamCity On-Premises漏洞CVE-2023-42793的问题。TeamCity是JetBrains的构建管理和持续集成服务器。2023年9月27日，Rapid7发布了针对该漏洞的公开利用。此严重漏洞的CVE评分为9.8，很可能是因为攻击者可以在没有身份验证的情况下部署公开可用的漏洞利用，使用基本的web请求到托管易受攻击应用程序的任何可访问的web服务器即可在受害者服务器上远程执行代码。据观察，该漏洞在野被积极利用，并于2023年10月4日被添加到CISA的“已知被利用的漏洞目录”中。受害者是一家位于美国的生物医学制造行业组织。随后的调查确定，该攻击的初始访问是通过利用CVE-2023-42793漏洞的Python编写的自定义漏洞利用脚本进行的。后渗透中使用的恶意软件的行为与APT29使用的GraphicalProton恶意软件相匹配。

详情

0x0a   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0b   时间线

2023-12-11 360CERT发布安全周报