报告编号：CERT-R-2023-603

报告来源：360CERT

报告作者：360CERT

更新日期：2023-12-25

0x01   事件导览

本周收录安全热点58项，话题集中在安全漏洞、安全分析、恶意软件，主要涉及的实体有：Google、Twitter、Westpole等，主要涉及的黑客组织有：Smishing Triad、Storm-0539、Gonjeshke Darande等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

QNAP VioStor NVR 漏洞被恶意软件僵尸网络利用

日期: 2023-12-18
标签: 信息技术, InfectedSlurs, QNAP VioStor NVR设备

一个名为“InfectedSlurs”的Mirai基础的僵尸网络正在利用QNAP VioStor NVR设备中的远程代码执行漏洞进行DDoS攻击。Akamai的安全团队在2023年10月发现了这个僵尸网络，观察到了路由器和NVR设备中两个零日漏洞的利用。随着安全更新发布，厂商发布了两份跟进报告以填补原始报告中的空白。其中一个漏洞影响了WiFi路由器，另一个影响了运行QVR固件4.x的QNAP VioStor NVR型号。

详情

Qbot 恶意软件再次出现，攻击酒店行业

日期: 2023-12-18
标签: 住宿餐饮业, QakBot, 酒店行业

2023年12月中旬，微软警告称，QakBot恶意软件在2023年7月被执法部门打击后，又开始在网络钓鱼活动中传播。在八月份，一次名为“Operation Duck Hunt”的跨国执法行动访问了QakBot管理员的服务器，并绘制了僵尸网络的基础设施。FBI利用获得的加密密钥接管了僵尸网络，以推送自定义的Windows DLL模块到感染设备上，从而终止了QakBot恶意软件。虽然用于分发Qbot恶意软件的网络钓鱼服务自从扰乱以来一直有活动，但直到本周一新的网络钓鱼活动开始之前，QakBot恶意软件并未传播。微软现在警告称，QakBot再次在伪装成来自IRS员工的电子邮件的网络钓鱼活动中传播。微软表示，他们首次观察到这种网络钓鱼攻击是在12月11日，目标是酒店行业的一次小规模活动。

详情

Rhadamanthys Stealer 恶意软件不断发展

日期: 2023-12-18
标签: 信息技术, Rhadamanthys, C++ 信息窃取软件

Rhadamanthys 信息窃取恶意软件的开发者最近发布了两个重大版本，全面增加了改进和增强，包括新的窃取能力和增强的规避功能。Rhadamanthys 是一种 C++ 信息窃取软件，最早出现在 2022 年 8 月，针对电子邮件、FTP 和在线银行服务账户凭据。这款窃取软件以订阅模式出售给网络犯罪分子，因此通过各种渠道分发给目标，包括恶意广告、带有恶意软件的种子下载、电子邮件、YouTube 视频等。尽管在拥挤的信息窃取市场中最初并未引起太多关注，Rhadamanthys 不断改进，利用其模块化特性根据需要添加新功能。Check Point 的研究人员调查了 Rhadamanthys 的两个最新版本，并报告了大量变化和功能的增加，扩展了其窃取能力和间谍功能。

详情

NKAbuse恶意软件利用区块链隐藏在 Linux、物联网机器上

日期: 2023-12-18
标签: 信息技术, NKAbuse, Linux桌面系统, DDoS攻击

一种名为NKAbuse的恶意软件被研究人员发现，它既可以作为洪水式攻击器，又可以作为后门，针对哥伦比亚、墨西哥和越南的Linux桌面系统。这种跨平台威胁利用Go语言编写，利用NKN区块链导向的点对点网络协议。NKAbuse可以感染Linux系统以及类似MISP和ARM的Linux派生架构，这也将使物联网设备面临风险。它还作为后门，用于未经授权访问，并且可以启动破坏性的分布式拒绝服务（DDoS）攻击。为了防范此类威胁，建议及时更新操作系统、应用程序和杀毒软件，并部署终端检测和响应（EDR）解决方案。

详情

Gaza Cybergang利用新Pierogi++恶意软件攻击巴勒斯坦实体

日期: 2023-12-18
标签: 信息技术, Pierogi++, APT舆情

Gaza Cybergang至少自2012年起就开始活跃，疑似与哈马斯结盟，其行动主要针对巴勒斯坦实体和以色列，重点是情报收集和间谍行动。作为以色列-哈马斯战争背景下感兴趣的威胁攻击者，研究人员将Gaza Cybergang视为一个由多个相邻子组织组成的组织，自2018年以来观察到这些子组织共享受害者、TTP并使用相关恶意软件。其中包括Gaza Cybergang 1（Molerats）、Gaza Cybergang Group 2（Arid Viper、Desert Falcons、APT-C-23）和Gaza Cybergang Group 3（Parliament行动背后的组织）。本篇文章的目标有两个：为了突出近期和历史行动之间的关系，提供连接Gaza Cybergang组织的新的共同背景。提供最近的调查结果和以前未报告的IOC，这增加了该组织积累的知识并支持进一步集体跟踪Gaza Cybergang的行动。

详情

网络钓鱼活动传播QakBot恶意软件

日期: 2023-12-19
标签: 住宿餐饮业, QakBot

微软发现了一波新的网络钓鱼攻击，传播QakBot恶意软件。攻击于2023年12月11日开始，主要针对酒店业。攻击者发送冒充IRS员工的PDF文件，其中包含下载恶意软件的链接。QakBot能够收集敏感信息并传送额外的恶意软件。这次QakBot的回归类似于Emotet，表明组织需要避免成为垃圾邮件攻击的受害者。

详情

新网络注入活动窃取全球5万人的银行数据

日期: 2023-12-20
标签: 金融业, 银行数据

2023年3月出现了一场新的恶意软件攻击活动，利用JavaScript网页注入来窃取北美、南美、欧洲和日本40家银行的5万多名用户的银行数据。攻击者通过从其服务器加载的脚本，针对多家银行常见的特定页面结构，截取用户凭据和一次性密码（OTP）。这种新的注入方式使攻击更加隐秘，同时使用类似于合法JavaScript内容交付网络的域名来逃避检测。IBM报告称，这一活动仍在进行中，提醒使用在线银行门户和应用时要保持警惕。

详情

Qakbot恶意软件再次出现

日期: 2023-12-20
标签: 信息技术, QakBot, 钓鱼邮件, Qakbot

Qakbot恶意软件在美国和国际执法部门摧毁其分发基础设施不到四个月后再次出现。最新的钓鱼邮件针对酒店行业的组织，目前邮件数量相对较少，但Qakbot运营商以往的顽强表现表明数量很快就会增加。微软威胁情报组估计新活动始于12月11日，Qakbot的新版本被发现。Qakbot是一种恶意软件，自2007年以来一直存在，最初用作银行木马，近年来转向恶意软件即服务模式。尽管执法部门在8月份摧毁了部分基础设施，但Qakbot的最新发现证实了执法行动对其影响有限。安全公司Lumu称在9月份共有1581次针对其客户的Qakbot攻击，而后续几个月的活动水平保持不变。

详情

新型JaskaGO信息窃取恶意软件威胁分析

日期: 2023-12-21
标签: 信息技术, JaskaGO, 信息窃取, 浏览器凭据

研究人员发现了一种名为JaskaGO的新型基于Go语言的信息窃取恶意软件，它针对Windows和Apple macOS系统。这是一种复杂的恶意软件，支持多种命令，并能以不同方式保持持久性。该恶意软件首次在2023年7月被发现，通过盗版正版软件的安装程序进行传播。它能够避免在虚拟化环境中执行，并具有多种数据窃取和持久性机制。该恶意软件还能够窃取浏览器凭据、历史记录、Cookie、密码加密密钥等敏感信息，并具有反分析和持久性机制。

详情

加密货币窃取工具“MS Drainer”通过Google和Twitter广告大肆传播

日期: 2023-12-22
标签: 信息技术, 金融业, ScamSniffer, Google, Twitter, 加密货币

2023年12月下旬，研究人员发现了通过Google和Twitter广告推广的名为“MS Drainer”的加密货币盗窃工具，已经从63210名受害者那里窃取了5900万美元。这个工具是一个恶意智能合约，用于从用户的加密货币钱包中未经许可地转移资金。它通过欺骗用户批准恶意合约，自动执行未经授权的交易，将受害者的资金转移到攻击者的钱包地址。此外，该工具的源代码售价为1500美元，还收取20%的盗窃款项作为费用。此外，PhishLab还出售额外模块，为恶意软件增加新功能，价格在500至1000美元之间。

详情

安卓银行木马“变色龙”再次升级，采用新技术绕过生物识别

日期: 2023-12-22
标签: 信息技术, 安卓木马, 生物识别, Zombinder服务, Android 13

安卓银行木马“变色龙”再次升级，采用新技术绕过指纹和面部解锁，窃取设备PIN码。最新版本具备在Android 13及更高版本上展示HTML页面以获取无障碍服务权限的能力，并能中断生物识别操作，强制使用PIN或密码验证。此外，新增通过AlarmManager API进行任务调度的功能。恶意软件通过Zombinder服务伪装成Google Chrome进行传播，可绕过Google Play Protect警报和反病毒产品。为防范“变色龙”威胁，应避免从非官方来源获取APK文件，保持Play Protect处于开启状态，并定期扫描设备。

详情

0x04   数据安全

Mr. Cooper数据泄露影响了1470万人

日期: 2023-12-19
标签: 商务服务, Mr. Cooper

Cooper 公司在十月底遭受网络攻击，导致 14.7 万客户的个人信息泄露，包括姓名、地址、电话号码、社保号码、出生日期和银行账号。虽然财务信息未曝光，但被盗取的数据可能导致钓鱼、欺诈和身份盗用。公司已采取措施锁定系统、更改密码，并提供 24 个月的身份保护服务。暂未透露具体网络攻击类型，也没有勒索软件团伙对此负责。

详情

洛杉矶汽车商Blink Mobility的22,000名用户数据泄露

日期: 2023-12-22
标签: 交通运输, 制造业, Blink Mobility

一家位于美国洛杉矶的电动汽车共享提供商Blink Mobility的超过22,000名用户的个人数据遭到泄露，包括电话号码、电子邮件地址、加密密码等敏感信息。这是由于Blink Mobility的MongoDB数据库配置错误，导致数据被搜索引擎索引并被发现。泄露的信息可能被黑客用于身份盗窃、钓鱼攻击等恶意行为。Cybernews研究人员建议用户立即终止活动会话、更改密码并开启多重身份验证，同时密切监视账户以防止可疑活动。此外，他们呼吁MongoDB管理员加强网络安全措施以避免类似事件再次发生。

详情

0x05   网络攻击

MongoDB 公司的企业系统遭到入侵

日期: 2023-12-18
标签: 信息技术, MongoDB

MongoDB 公司的企业系统遭到入侵，客户数据在网络攻击中被暴露。公司表示，他们在周三晚上（12月13日）发现系统被黑，并开始调查事件。尽管公司认为黑客并未访问存储在 MongoDB Atlas 中的客户数据，但 MongoDB 称黑客在被发现之前一段时间内一直可以访问其系统。公司建议所有客户启用多因素身份验证，更改密码，并提高警惕，以防备潜在的有针对性的网络钓鱼和社会工程攻击。他们表示将继续在 MongoDB 警报网页上发布有关此次入侵的更新。

详情

Microsoft 警告 Storm-0539 攻击行动

日期: 2023-12-18
标签: 信息技术, Storm-0539

微软警告称，他们正在追踪一个名为Storm-0539的新威胁集群，该集群利用高度复杂的电子邮件和短信钓鱼攻击，在假日购物季节针对零售实体进行礼品卡诈骗和盗窃。攻击的目标是传播陷阱链接，将受害者引导至中间人（AiTM）钓鱼页面，从而窃取其凭据和会话令牌。微软在X（前身为Twitter）上发布的一系列帖子中表示：“在获得初始会话和令牌访问权限后，Storm-0539会为随后的二次身份验证提示注册他们自己的设备，绕过多重身份验证保护，并使用完全被攻击的身份在环境中持续存在。”

详情

Citrix 服务器被黑之后，Xfinity 披露数据泄露事件

日期: 2023-12-19
标签: 信息技术, Xfinity

康卡斯特电缆通信（Xfinity）披露，攻击者在十月份入侵了其Citrix服务器，并窃取了客户敏感信息。攻击利用了Citrix Bleed漏洞（CVE-2023-4966），并导致未披露数量的客户数据泄露。尽管Xfinity要求用户重置密码以保护账户，但客户却在上周收到了重置密码请求，却没有得到解释。

详情

FBI发布Play勒索软件分析报告

日期: 2023-12-19
标签: 信息技术, Play勒索软件团伙

美国联邦调查局（FBI）表示，Play勒索软件团伙自2022年6月至2023年10月入侵了约300家全球组织，包括一些关键基础设施。该团伙与CISA和澳大利亚网络安全中心合作发布了警告。他们使用电子邮件进行谈判，并在系统上留下勒索注释，威胁将窃取的数据在线上泄露。此外，他们还使用自定义VSS复制工具来窃取文件。

详情

鞋类公司VF遭遇勒索软件攻击

日期: 2023-12-19
标签: 制造业, 批发零售, VF

美国全球服装和鞋类巨头VF公司披露了一起安全事件，导致运营中断。该公司拥有Supreme、Vans、Timberland和The North Face等品牌。在提交给美国证券交易委员会的8-K表格中，VF公司通知股东发生了一起于2023年12月13日的网络攻击。攻击者加密了公司的部分计算机并窃取了个人数据。公司表示，事件对业务运营产生了重大影响，预计将对业务产生持久影响。VF公司正在评估安全漏洞的全部影响以及对财务和运营的潜在影响。此次事件发生在圣诞购物季，可能会加剧情况。

详情

伊朗石油站遭Gonjeshke Darande黑客组织攻击

日期: 2023-12-20
标签: 伊朗, 政府部门, 能源业, Gonjeshke Darande, 伊朗石油部门, 石油站

伊朗石油站遭受网络攻击，伊朗指责美国和以色列。据报道，石油部长贾瓦德·奥吉表示，该国70%的石油站受到影响。疑似与国家有关的黑客组织“Gonjeshke Darande”声称对袭击负责，称此举是对伊朗及其代理人在该地区侵略的回应。此次攻击可能旨在促使德黑兰干预红海地区快速升级的危机，专家认为这可能迅速导致全球通货膨胀。该黑客组织表示攻击是受控的，并向全国紧急服务发出警告，确保一部分加油站免受影响。此前，该组织还曾与去年一起导致伊朗钢铁厂火灾的网络攻击有关。

详情

Cloud Atlas攻击俄罗斯一家农业企业和一家国有研究公司

日期: 2023-12-21
标签: 俄罗斯, 政府部门, 农林牧渔, Cloud Atlas, APT舆情

Cloud Atlas是一个亲政府的APT组织，专门从事网络间谍和窃取机密信息。据研究人员称，该组织自2014年以来一直活跃。主要目标是俄罗斯、白俄罗斯、阿塞拜疆、土耳其和斯洛文尼亚的工业和国有企业。攻击的主要向量是带有恶意附件的钓鱼邮件。研究人员发现了针对俄罗斯农业工业公司和国有研究公司的新攻击行动，该组织使用流行的电子邮件服务注册的邮箱antonowadebora@yandex.ru和mil.dip@mail.ru和两个相关主题。

详情

Muddywater攻击北非和东非的电信组织

日期: 2023-12-21
标签: 以色列, 信息技术, Seedworm, APT舆情, MuddyC2Go

Seedworm组织在2023年11月对非洲的电信组织发起了攻击。鉴于埃及靠近以色列（Seedworm 的常见目标），此次攻击行动中的一个受害者组织总部位于埃及。该组织在攻击行动中使用了多种工具，包括利用Deep Instinct最近发现并记录的MuddyC2Go基础设施。还使用SimpleHelp远程访问工具和Venom Proxy，以及使用定制的键盘记录工具和其他公开可用的工具。

详情

微软报告：APT33伊朗网络间谍组织利用FalseFont后门攻击国际防务承包商

日期: 2023-12-22
标签: 政府部门, 金融业, APT33

微软报告指出，APT33伊朗网络间谍组织利用新发现的FalseFont后门恶意软件攻击全球防务承包商。该组织自2013年以来一直活跃，目标覆盖美国、沙特阿拉伯和韩国等国家的政府、国防、研究、金融和工程领域。FalseFont提供远程访问、文件执行和传输功能，首次在2023年11月初被发现。建议网络防御者重置受到密码喷洒攻击的账户凭证，并使用多因素认证保护账户和远程桌面协议或Windows虚拟桌面终端。微软还警告称，APT33组织自2023年2月以来展开了大规模密码喷洒攻击，导致少数受害者的数据被窃取。此外，微软威胁情报中心的研究人员还指出，两年前，一名名为DEV-0343的与伊朗有关的黑客组织曾袭击美国和以色列的国防技术公司。此外，俄罗斯、朝鲜和中国等国家的国家黑客组织也频繁瞄准了世界各地的国防机构和承包商。

详情

美国第二大房地产保险公司遭遇网络攻击

日期: 2023-12-22
标签: 房地产, First American Financial Corporation, 房地产保险

First American Financial Corporation，美国第二大房地产保险公司，因网络攻击而被迫下线部分系统。公司成立于1889年，提供金融和结算服务给购房者、卖家、房地产专业人士以及其他涉及住宅和商业房地产交易的个体。去年，该公司的总收入达76亿美元，员工超过21,000人。此前，First American因2019年5月的一次数据泄露事件支付了100万美元的罚款。另一家美国房地产保险提供商Fidelity National Financial也在上个月披露其网络受到“网络安全事件”的影响，并采取了遏制措施。

详情

0x06   安全漏洞

Apache Struts 2的RCE漏洞需要立即修补

日期: 2023-12-18
标签: 信息技术, Apache Struts 2

近期披露的Apache Struts 2存在严重的远程代码执行（RCE）漏洞，引发了广泛关注。该漏洞影响范围广泛，可远程执行，攻击者已经积极利用。许多厂商和安全实体建议立即升级到Struts版本2.5.33或Struts 6.3.0.2以上。尽管该漏洞可能不易被大规模利用，但由于Apache Struts广泛应用于各种关键系统，仍然存在严重的安全风险。

详情

零点击 Outlook RCE 漏洞的新细节披露

日期: 2023-12-19
标签: 信息技术, CVE-2023-35384, CVE-2023-36710, 零点击漏洞

微软 Windows 中已经修复了两个安全漏洞，这些漏洞可以被攻击者串联起来，实现对 Outlook 电子邮件服务的远程代码执行，而无需用户交互。这两个安全问题分别是 CVE-2023-35384 和 CVE-2023-36710。CVE-2023-35384 是一个安全功能绕过漏洞，可以被利用来窃取 NTLM 凭据，并与 CVE-2023-36710 结合使用，通过 Outlook 的提醒声音功能实现零点击代码执行。为了降低风险，建议组织使用微分段技术阻止向远程公共 IP 地址的 SMB 连接，并禁用 NTLM 或将用户添加到受保护用户安全组中。

详情

微软在 Perforce Helix Core 服务器中发现严重的 RCE 漏洞

日期: 2023-12-19
标签: 信息技术, CVE-2023-45849

Perforce Helix Core Server发现了四个漏洞，其中一个被评为关键。这些漏洞主要涉及拒绝服务（DoS）漏洞，最严重的漏洞允许未经身份验证的攻击者以LocalSystem身份进行任意远程代码执行。建议用户升级到2023.1/2513900版本以减轻风险。漏洞详情包括通过RPC头滥用进行未经身份验证的（DoS）攻击，未经身份验证的远程代码执行以LocalSystem身份等。CVE-2023-45849是最危险的漏洞，允许未经身份验证的攻击者从“LocalSystem”执行代码，可能导致系统完全被控制。

详情

Comcast Xfinity数据泄露事件暴露CitrixBleed漏洞威胁

日期: 2023-12-20
标签: 信息技术, CVE-2023-4966, CitrixBleed漏洞, Comcast Xfinity

数据泄露事件暴露了庞大的安全漏洞，影响了庞大的Comcast Xfinity客户群体。攻击者利用CVE-2023-4966（即CitrixBleed）漏洞侵入了Comcast Xfinity系统，获取了客户数据，包括用户名、哈希密码、个人信息和安全问题答案。尽管Comcast Xfinity声称已及时修补并减轻了系统漏洞，但实际上该漏洞持续了三天，给攻击者大量时间窃取数据。CitrixBleed漏洞的持续存在对组织构成了重大威胁，尤其是对于未及时采取措施的组织而言。

详情

Outlook安全漏洞揭露及利用方式分析

日期: 2023-12-20
标签: 信息技术, CVE-2023-35384, CVE-2023-36710, Microsoft Outlook

研究人员披露了Microsoft Outlook中两个安全漏洞的细节，当两者被串联时，攻击者可以在受影响的系统上执行任意代码而无需用户交互。这两个漏洞都可以通过声音文件触发。其中一个漏洞（CVE-2023-35384）是Akamai研究人员为Outlook中的关键特权升级漏洞发现的第二个绕过补丁。另一个漏洞（CVE-2023-36710）是Windows Media Foundation中的远程代码执行漏洞，与Windows解析声音文件的方式有关。攻击者可以利用这些漏洞创建零交互远程代码执行攻击。Microsoft已发布了针对CVE-2023-35384的补丁，但研究人员指出，该修复措施增加了攻击面。攻击者可以利用这些漏洞构建强大的零交互远程代码执行漏洞。

详情

Google发布紧急更新修复Chrome浏览器中的零日漏洞

日期: 2023-12-21
标签: 信息技术, 零日漏洞, WebRTC框架

2023年12月下旬，Google发布紧急更新修复Chrome浏览器中的零日漏洞，这是今年修复的第八个零日漏洞。漏洞由Google的威胁分析小组发现并报告，发现者Clément Lecigne和Vlad Stolyarov。该漏洞是由于WebRTC框架中的堆缓冲区溢出漏洞，影响了多个浏览器。Google已发布更新，但可能需要几天或几周才能覆盖所有用户。该漏洞被利用来部署间谍软件，之前Google已修复七个类似的零日漏洞。这表明该行业面临着严重的网络安全威胁，需要密切关注和及时更新。

详情

攻击者利用微软Office漏洞传送Agent Tesla木马

日期: 2023-12-21
标签: 信息技术, CVE-2017-11882, Agent Tesla, Office

研究人员在一起最新的网络攻击事件中发现，攻击者利用了微软Office存在的6年漏洞进行远程代码执行，并通过恶意Excel附件传送间谍软件。攻击者通过电子邮件发送与业务活动相关的诱饵，引诱接收者打开包含CVE-2017-11882漏洞的文件，以加载Agent Tesla远程访问木马和高级键盘记录器。这一攻击手法独特之处在于结合了长期存在的漏洞与新的复杂逃避策略，呈现出攻击者感染方法的适应性。重要的是，组织需时刻关注不断演变的网络威胁，以保护其数字化环境。

详情

物理门禁系统漏洞暴露建筑物访问风险

日期: 2023-12-21
标签: 信息技术, 制造业, 物理门禁系统, PACS, OSDP

研究人员在Black Hat Europe 2023闭门会议上展示了他们如何利用现代物理门禁系统（PACSs）的漏洞来获取未经授权的建筑物访问权限并直接侵入内部IP网络。特别是使用开放监督设备协议（OSDP）的PACSs存在特别高的风险。研究人员成功地绕过了最新的物理门禁系统，揭示了未经授权的建筑物访问的潜在风险，并呼吁安全团队对正在使用的PACS进行全面的渗透测试审查，以防止数据外泄、勒索软件等发生。

详情

Ivanti发布Avalanche企业MDM解决方案安全更新

日期: 2023-12-21
标签: 信息技术, Ivanti, Avalanche, 远程代码执行

Ivanti发布了安全更新，修复了Avalanche企业移动设备管理（MDM）解决方案中的13个关键安全漏洞。这些漏洞由Tenable安全研究人员和趋势微的零日倡议报告的WLAvalancheService堆栈或基于堆栈的缓冲区溢出漏洞引起。未经身份验证的攻击者可以利用这些漏洞进行低复杂度攻击，无需用户交互即可在未打补丁的系统上获得远程代码执行权限。Ivanti建议尽快下载Avalanche安装程序并升级到最新的Avalanche 6.4.2版本，因为这些漏洞影响了所有受支持的产品版本，包括Avalanche 6.3.1及以上版本。旧版本/发布版也存在风险。

详情

ChatGPT数据外泄漏洞分析

日期: 2023-12-22
标签: 信息技术, OpenAI, ChatGPT

安全研究人员发现了ChatGPT存在数据外泄漏洞，OpenAI已进行了部分修复，但仍存在风险。攻击者可以利用这一漏洞窃取对话细节，并且iOS移动应用尚未实施安全检查。研究人员公开了这一发现，并展示了一个名为“The Thief!”的恶意GPT。OpenAI已通过客户端检查和验证API进行修复，但仍存在不确定性。

详情

ESET 产品存在SSL/TLS协议扫描漏洞

日期: 2023-12-22
标签: 信息技术, SSL/TLS 协议

安全厂商 ESET 发现并修复了其产品中的一个高危漏洞，该漏洞存在于安全流量扫描功能中的 SSL/TLS 协议扫描特性。攻击者可利用此漏洞使网页浏览器信任本不应被信任的网站。问题出在未正确验证服务器证书链，导致浏览器在启用 ESET 安全流量扫描功能时可能会信任使用过时和不安全算法签名的证书的网站。ESET 已发布安全补丁，并通过自动产品更新进行了分发。受影响产品包括 ESET NOD32 Antivirus、ESET Internet Security 等多款产品。截至目前，ESET 尚未发现有人利用该漏洞进行实际攻击。

详情

Agent Tesla恶意软件利用CVE-2017-11882漏洞进行攻击

日期: 2023-12-22
标签: 信息技术, CVE-2017-11882, Microsoft Office

2023年12月下旬，研究人员发现攻击者利用微软Office的一个旧漏洞（CVE-2017-11882）传播Agent Tesla恶意软件。Agent Tesla是一种间谍软件，用于通过收集受感染系统的按键记录、系统剪贴板、截屏和凭据来监视受害者。该漏洞影响了过去17年发布的所有Microsoft Office版本，包括最新的Microsoft Office 365，以及Windows操作系统的所有版本。攻击者通过钓鱼邮件使用诸如“订单”和“发票”等词语来诱使受害者打开武器化的Excel文档。尽管该漏洞在2017年修补，但微软专家仍然发现攻击者的在野利用，而最近几周攻击数量达到高峰。

详情

DarkGate威胁行动及其演变分析

日期: 2023-12-22
标签: 信息技术, CVE-2023-36025

安全研究人员警告称，黑客组织BattleRoyal利用CVE-2023-36025漏洞进行远程访问木马和加载程序攻击。该集群采用多种攻击链，包括电子邮件和虚假更新诱骗，最终传送DarkGate和NetSupport恶意软件。这一新趋势凸显了网络犯罪威胁行为者采用更多样化、创意攻击链的趋势。

详情

0x07   安全分析

OilRig利用3个新恶意软件攻击以色列

日期: 2023-12-18
标签: 政府部门, 制造业, 卫生行业, OilRig, APT舆情

OilRig在2022年积极开发并使用了一系列具有类似逻辑的新下载器：ODAgent、OilCheck、OilBooster和SC5k。下载器使用各种合法的云服务API进行C&C通信和数据渗漏：Microsoft Graph OneDrive API、Microsoft Graph Outlook API和Microsoft Office EWS API。OilRig的攻击目标全部位于以色列，包括医疗保健部门的组织、制造公司、地方政府组织和其他组织。所有目标此前均受到多个OilRig攻击行动的影响。

详情

疑似Kasablanka组织针对纳卡地区的攻击活动分析

日期: 2023-12-18
标签: 政府部门, 信息技术, APT舆情

Kasablanka（卡萨布兰卡）是由思科命名的一个APT组织，攻击对象主要集中在中东、中亚以及东欧等地区。该组织开发出了LodaRAT等木马，并同时拥有Windows和Android双平台攻击能力。近期，360高级威胁研究院发现疑似该组织的钓鱼攻击活动，针对目标为纳卡地区（纳戈尔诺-卡拉巴赫），一个横在阿塞拜疆和亚美尼亚归属争议的地方，两国也常年因为争论此地爆而发冲突。本次攻击者利用携带宏的doc附件作为载体，通过层层下载的方式内存加载VenomRAT木马，从而完成信息窃取活动。

详情

WordPress 托管服务 Kinsta 成为 Google 网络钓鱼广告的目标

日期: 2023-12-18
标签: 信息技术, WordPress, 钓鱼网站

WordPress 托管提供商 Kinsta 警告客户，称谷歌广告被用于推广钓鱼网站，以窃取托管凭据。攻击者利用谷歌广告针对之前访问过 Kinsta 官方网站的用户，创建与 Kinsta 类似的赞助网站来诱使用户点击，以收集 MyKinsta 登录凭据。用户被告知不要点击任何非 kinsta.com 的链接或访问欺诈性网站。

详情

Konni组织以邮件安全检查手册为诱饵的窃密行动分析

日期: 2023-12-19
标签: 信息技术, Konni, APT舆情

Konni最开始是Cisco Talos团队于2017年披露的一类远控木马，活动时间可追溯到2014年，攻击目标涉及俄罗斯、韩国地区。2018年，Palo Alto发现该类恶意软件与APT37（别名Reaper、Group123、Scarcruft）有关的木马NOKKI存在一些关联。2019年起，韩国安全厂商ESTsecurity将Konni单独作为疑似具有东亚背景的APT组织进行报告和披露，并发现该组织与Kimsuky有一定联系。近期奇安信威胁情报中心发现一些针对韩国地区的恶意LNK文件，LNK文件运行后释放诱饵文件和VBS脚本，其中一个样本使用的诱饵HWP文档为关于如何进行电子邮件安全检查的指导手册。进一步分析释放的VBS脚本后续行为和C2通信特点后，发现恶意样本与Konni组织关联更加紧密，这也表明Konni组织近期开始调整LNK类文件的攻击手法。

详情

新型SMTP走私技术绕过了DMARC和电子邮件保护

日期: 2023-12-19
标签: 信息技术, SMTP协议

攻击者可以利用SMTP协议的漏洞，通过一种名为“SMTP走私”的技术发送虚假邮件，绕过常规的电子邮件安全检查。这种方法可以欺骗DMARC、SPF和DKIM等电子邮件保护协议，使恶意邮件看起来是合法的。受影响的服务包括微软Exchange Online、GMX和Cisco Secure Email Cloud Gateway。微软和GMX已经修补了漏洞，但Cisco认为这是一个特性而不是漏洞。建议组织定期进行安全测试，并对员工进行意识培训以避免通过这种方式受到威胁。

详情

Sidewinder针对尼泊尔政府官员的攻击行动

日期: 2023-12-20
标签: 政府部门, SideWinder（RattleSnake/Razor Tiger/T-APT-04/APT-C-17/Hardcore Nationalist）, APT舆情, Sidewinder

本报告深入研究了最近一次涉及配备嵌入式宏的恶意Word文档的行动，揭示了Sidewinder组织精心策划的复杂网络威胁，可能针对尼泊尔政府官员。该威胁始于发送带有恶意Word文档的鱼叉式网络钓鱼电子邮件。下载并打开文档后，嵌入的宏就会执行，操纵受害者启用宏。这会触发一系列复杂的事件，涉及各种脚本的创建和执行以及持久性机制的建立。分析揭示了旨在隐藏活动、建立持久性和执行恶意负载的多阶段攻击。

详情

Smishing Triad团伙冒充阿联酋官方进行诈骗活动

日期: 2023-12-20
标签: 阿联酋, 政府部门, 阿联酋联邦身份和公民权局, Smishing Triad, 数字身份保护, 身份欺诈

有关Smishing Triad团伙冒充阿联酋联邦身份和公民权局进行诈骗活动。他们通过发送恶意短信/ iMessage文本假冒阿联酋居留和外国人事务总局，针对在阿联酋居住或访问的居民和外国人的数字身份和支付数据。受害者表示他们最近更新了居留签证，但之前从未收到过类似信息。这表明犯罪分子可能通过第三方数据泄露、企业电子邮件被篡改、在暗网购买的泄露数据库或其他来源获取了有关阿联酋居民和外国人的信息。该团伙利用URL缩短服务发送恶意链接，针对iOS和Android用户。这种方法隐藏了发送者的身份，使检测变得困难。

详情

Terrapin攻击可降低OpenSSH连接的安全性

日期: 2023-12-20
标签: 信息技术, Terrapin

学术研究人员开发了一种名为Terrapin的新攻击，通过操纵SSH握手过程中的序列号，破坏了通道的完整性。攻击者可以删除或修改通过通信通道交换的消息，降级用户认证的公钥算法或禁用OpenSSH 9.5中的防御措施。攻击利用了SSH传输层协议的弱点，结合了较新的加密算法和加密模式。攻击需要处于网络层中间人位置，并且连接必须由特定加密方式进行保护。攻击的严重程度取决于握手完成后交换的消息数据。尽管攻击有特定要求，但由于广泛采用的加密模式，攻击在现实场景中是可行的。多个供应商正在逐步减轻这一安全问题，并该团队发布了一个Terrapin漏洞扫描器，以帮助管理员确定SSH客户端或服务器是否容易受到攻击。

详情

Instagram用户面临新版权侵权钓鱼攻击

日期: 2023-12-21
标签: 信息技术, 文化传播, Meta（原Facebook）, 双因素认证, Instagram

Instagram用户面临新的钓鱼攻击，冒充“版权侵权”邮件试图窃取用户的备用代码，以绕过账户上配置的双因素认证。攻击者利用虚假版权侵权邮件诱使用户点击链接，进入伪装成Meta违规投诉门户的钓鱼网站，要求用户输入账户凭据和备用代码。这一攻击威胁了用户的账户安全，需要用户保护备用代码的隐私，并仅在必要时在Instagram官方网站或应用程序中使用。

详情

新型定向钓鱼邮件活动揭露

日期: 2023-12-21
标签: 信息技术, RedLine Stealer, 钓鱼邮件, Sophos X-Ops, Redline Stealer, 云存储服务

Sophos X-Ops的研究人员发现了一起新型的定向钓鱼邮件活动，该活动利用社会工程学策略，在发送恶意链接之前，通过发送关于服务问题的投诉或信息请求来建立与目标的信任。攻击者利用云存储服务共享包含密码保护的存档文件，其中隐藏了恶意软件载荷。这些恶意软件载荷设计成超过600MB的大文件，其中大部分内容是填充零。此外，这些恶意软件还使用了代码验证证书，有些是在活动期间获取的新证书，而另一些则是伪造的。这些恶意软件连接到Telegram频道进行命令和控制，并在不在主机上建立持久性的情况下窃取数据。Sophos X-Ops表示已从与该活动相关的云存储中获取了50多个独特样本，并已在其GitHub代码库中发布了相关的威胁指标。

详情

黑客组织Smishing Triad的新型网络钓鱼攻击

日期: 2023-12-21
标签: 信息技术, 政府部门, Smishing Triad, Resecurity

Smishing Triad最近伪装成阿联酋联邦身份和公民权利局，通过发送恶意短信，试图窃取该国居民和外国人的敏感信息。他们使用短链接服务来随机生成链接，以保护虚假网站的域名和托管位置。该组织还通过iCloud账户发送smishing信息，进行身份盗窃和金融欺诈。他们还出售smishing工具包，进行Magecart式攻击，并利用地理围栏机制仅在阿联酋IP地址和移动设备上加载钓鱼表单。

详情

HamsaUpdate行动：针对以色列的擦除器攻击行动

日期: 2023-12-22
标签: 信息技术, HamsaUpdate行动, 网络钓鱼攻击, APT舆情

12月19日，以色列国家网络管理局针对使用F5网络设备的以色列客户的网络钓鱼行动发布紧急警报。研究人员将此活动标记为HamsaUpdate行动。它部署了针对Windows和Linux服务器的新开发的擦除器恶意软件。该行动利用令人信服的希伯来语电子邮件，并利用复杂的社会工程技术，迫使受害者执行其服务器上的恶意代码。最后的攻击提供了一个复杂的多级加载程序或破坏性擦除器，每个变体都是针对Linux或Windows环境定制的。

详情

0x08   勒索攻击

HUNTERS INTERNATIONAL 勒索软件团伙声称入侵了 FRED HUTCH 癌症中心

日期: 2023-12-18
标签: 卫生行业, 弗雷德·哈钦森癌症研究中心（Fred Hutch）

猎人国际勒索软件团伙声称已经入侵了弗雷德·哈钦森癌症研究中心（Fred Hutch）。他们威胁要泄露所声称窃取的数据，并对受害者进行勒索。弗雷德·哈钦森癌症研究中心是位于华盛顿州西雅图的独立非营利性研究机构，致力于通过研究、临床护理和教育改善全球人民的生活。在此之前，该中心披露了一起于2023年11月19日发生的网络攻击事件。据《西雅图时报》报道，弗雷德·哈钦森癌症研究中心的患者开始收到网络攻击的电子邮件威胁。

详情

意大利云服务提供商遭遇Lockbit 3.0勒索软件攻击

日期: 2023-12-20
标签: 国际组织, 政府部门, Westpole, PA Digitale, 云服务提供商, 意大利公共管理机构

2023年12月8日，意大利云服务提供商Westpole遭遇Lockbit 3.0勒索软件攻击，导致其客户公司PA Digitale的服务受到瘫痪，影响了1300多个公共管理机构和540个市政机构。意大利隐私监管机构Garante della Privacy和警方已介入调查。ACN表示已成功恢复700多个受影响的国家和地方公共机构的数据，并正在努力恢复其余受影响实体的数据。攻击造成的损害难以评估，专家警告受影响的公共管理机构可能难以履行某些服务和对员工的义务。Westpole声称未有数据被外泄，但如果勒索软件攻击得到确认，很难相信Lockbit 3.0这样的高级组织没有外泄任何数据。

详情

0x09   其他事件

工信部推出数据安全事件颜色编码行动计划

日期: 2023-12-18
标签: 政府部门, 信息技术, 工信部, 数据安全事件

2023年12月15日，工业和信息化部（MIIT）公布了一份关于应对数据安全事件的计划草案，其中包括了一个颜色编码系统，用于区分数据安全事件的严重程度。这一计划旨在提高对数据安全事件的综合响应能力，确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失，保护个人和组织的合法权益，维护国家安全和公共利益。草案规定了四个层级的颜色编码，分别对应不同严重程度的数据安全事件。同时，草案还要求受影响的公司进行评估，并在必要时立即向当地工业监管部门报告。这些规定将在2024年1月15日前接受公众意见。

详情

微软打击Storm-1152犯罪团伙

日期: 2023-12-19
标签: 信息技术, Storm-1152

2023年12月中旬，微软的数字犯罪单位摧毁了一个名为Storm-1152的犯罪服务提供组织，该组织注册了超过7.5亿个欺诈的微软账户，并通过在线销售给其他网络犯罪分子，从中牟利数百万美元。他们运营非法网站和社交媒体页面，销售欺诈的微软账户和绕过身份验证软件的工具，为网络犯罪分子提供便利。微软已向美国执法机构提交了这三名主要犯罪分子的刑事举报。他们还获得了一项法院命令，扣押了Storm-1152在美国的基础设施。

详情

前IT经理承认攻击高中网络

日期: 2023-12-19
标签: 教育行业, 高中

Conor LaHiff是新泽西一所公立高中的前IT经理，承认在2023年6月被解雇后对前雇主进行了网络攻击。美国司法部宣布，LaHiff认罪，违反了计算机欺诈和滥用法案，对受保护计算机进行了未经授权的损害。他被指控以报复行为，特别针对苹果和IT管理员账户，造成了学校运营的损害和干扰。LaHiff的行为导致学校至少遭受了5000美元的直接财务损失。他将于2024年3月20日被判刑，最高可能面临10年监禁和高达25万美元的罚款。

详情

FBI成功监视ALPHV勒索软件团伙并获得解密密钥

日期: 2023-12-20
标签: 信息技术, ALPHV

ALPHV/BlackCat勒索软件团伙截至2023年9月已从全球1000多名受害者那里获得了超过3亿美元的赎金支付。FBI表示，他们的联合公告中提供了ALPHV的威胁情报和行动技术，并建议网络防御者采取相应的缓解措施。FBI成功监视了ALPHV的活动并获取了解密密钥，帮助全球500多名受害者免费恢复文件，节省了大约6800万美元的赎金要求。由于FBI和ALPHV都掌握了数据泄露站点的私钥，他们可以相互控制该域名。

详情

国际行动“HAECHI IV”抓获3500名网络犯罪嫌疑人，查获3亿美元

日期: 2023-12-20
标签: 政府部门, 信息技术, HAECHI IV

国际执法行动“HAECHI IV”成功抓获3500名涉嫌网络犯罪的嫌疑人，查获3亿美元非法所得。行动期间重点打击电话诈骗、网络诈骗、投资诈骗等威胁行为。国际刑警组织冻结了82112个银行账户。此次查获中，1.99亿美元为现金，1.01亿美元对应367个NFT。国际刑警组织表示此非法财富积累对全球安全构成严重威胁。

详情

国际执法行动HAECHI IV成功打击跨国在线诈骗活动

日期: 2023-12-21
标签: 信息技术, 金融业, HAECHI IV

一项名为HAECHI IV的国际执法行动成功逮捕约3500名嫌疑人，并查获价值约3亿美元的资产。该行动历时六个月，针对涉及七类在线诈骗的组织展开，包括商业电子邮件欺诈、电子商务欺诈、投资诈骗、语音钓鱼、非法在线赌博的洗钱、恋爱诈骗和在线性敲诈。调查人员利用国际刑警组织的全球快速支付干预系统(I-GRIP)检测在线欺诈交易，并冻结相关的银行和虚拟资产服务提供商（VASP）账户。

详情

德国警方查封暗网市场Kingdom Market

日期: 2023-12-21
标签: 信息技术, Kingdom Market, 暗网市场

德国联邦刑事警察局（BKA）和法兰克福网络犯罪打击组（ZIT）宣布查封了Kingdom Market，这是一个暗网市场，售卖毒品、网络犯罪工具和假政府身份证。此次执法行动还涉及美国、瑞士、摩尔多瓦和乌克兰的执法机构，其中一名管理员在美国被捕。Kingdom Market是一个英语暗网市场，自2021年3月以来一直运营，成员使用比特币、莱特币、门罗币和Zcash等加密货币进行交易。BKA的新闻稿指出，该市场有42,000件出售物品，其中3,600件来自德国。目前已确认逮捕了一人。2023年12月20日，BKA正式宣布查封的消息证实了这次执法行动。Kingdom Market已经下线，其他市场运营商已经开始邀请卖家加入他们的平台。

详情

Lapsus$网络犯罪团伙成员被判处无限期关押

日期: 2023-12-22
标签: 信息技术, Lapsus$, 网络犯罪

一名18岁的Lapsus$网络犯罪团伙成员Arion Kurtaj因涉及Grand Theft Auto VI视频游戏资产泄露等罪名，被英国法官判处无限期关押在“安全医院”。由于他的能力和对网络犯罪的渴望，法官认为他对公众构成“高风险”，因此除非医生认定他不再构成危险，否则他将一直留在安全医院。另一名17岁的Lapsus$成员因涉及BT/EE等公司的勒索活动被判18个月的青少年康复令。Lapsus$团伙曾声称攻击了Okta、Uber、Revolut、Microsoft等知名公司，并声称多次入侵LG Electronics，以及窃取了三星、NVIDIA、Mercado Libre等公司的数据。该团伙与勒索软件不同，他们盗取受害者的数据，并以泄露威胁进行勒索。

详情

0x0a   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0b   时间线

2023-12-18 360CERT发布安全周报