报告编号：CERT-R-2024-616

报告来源：360CERT

报告作者：360CERT

更新日期：2024-01-02

0x01   事件导览

本周收录安全热点54项，话题集中在安全分析、网络攻击、恶意软件，主要涉及的实体有：育碧（Ubisoft）、Mint Mobile、Rockstar Games等，主要涉及的黑客组织有：云图（Cloud Atlas）、UAC-0099、APT33等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

Chrome浏览器恶意VPN插件感染150万用户

日期: 2023-12-25
标签: 信息技术, 谷歌（Google）, Chrome浏览器, 恶意插件

Chrome浏览器中发现了三款恶意插件，冒充VPN进行传播，总下载量达150万次。这些插件通过假冒热门视频游戏的种子文件进行传播，主要针对俄语用户。安装后，插件自动在注册表级别强制生效，无需用户干预。它们伪装成VPN用户界面，具有部分功能和付费订阅选项，以制造真实性。插件具有广泛的访问权限，可窃取用户数据、操纵网页请求，甚至禁用浏览器上的其他扩展程序。此外，它们还会禁用其他返利和优惠券扩展程序，以转移利润至攻击者。插件还与C2服务器通信，涉及指令和命令的数据交换、受害者身份识别和敏感数据外泄。这一报告凸显了网页浏览器插件存在的严重安全问题，许多插件都经过高度混淆处理，使其行为难以确定。因此，建议定期检查浏览器中安装的插件，并在Chrome网上应用商店查看新评论，以了解其他用户是否报告了恶意行为。

详情

新型“加密排水器”恶意软件攻击致5900万美元损失

日期: 2023-12-25
标签: 信息技术, Scam Sniffer, 网络钓鱼

安全研究人员发现了一系列新的“加密排水器”恶意软件攻击，通过谷歌和X广告诱使用户访问钓鱼页面，目前已经从受害者那里窃取了5900万美元。Scam Sniffer称自3月以来已观察到约1万个使用排水器的钓鱼网站，并声称60%的X广告将用户带到旨在窃取其虚拟货币的恶意软件。MS Drainer在过去9个月内从63210名受害者那里窃取了5900万美元。与其他类似的完全托管的恶意软件不同，MS Drainer的管理员直接向所有人出售源代码，没有20%的开发者费用。安全研究人员呼吁互联网用户对在线广告保持谨慎，并要求广告行业提高审核流程，以防止恶意行为者利用其服务。

详情

Android银行木马“变色龙”新变种威胁不断升级

日期: 2023-12-26
标签: 信息技术, Android（安卓）, 生物识别, 移动安全

一种新型的Android银行木马病毒出现，可以绕过生物识别安全功能，侵入设备，表明攻击者正在针对更广泛的受害者使用恶意软件。该名为“变色龙”的银行木马首次出现在2023年1月，旨在针对澳大利亚和波兰用户。最新版本还针对英国和意大利的Android用户，通过Dark Web Zombinder应用分享服务传播。该变种具有新功能，包括绕过生物识别操作、利用Android的辅助功能服务进行设备接管攻击以及使用AlarmManager API进行任务调度。这些升级使“变色龙”变得更加危险和灵活，成为移动银行木马领域中更为严重的威胁。攻击Android设备的事件激增，因此移动用户需要警惕下载任何看似可疑或非法应用。威胁分析专家追踪并分析了与更新的Zombinder相关的“变色龙”样本，并发布了相关的威胁指标，以便用户和管理员监测潜在的感染情况。

详情

Carbanak银行恶意软件卷土重来

日期: 2023-12-27
标签: 金融业, 信息技术, Carbanak

被称为Carbanak的银行恶意软件已被观察到用于更新策略的勒索软件攻击。网络安全公司NCC集团在对2023年11月发生的勒索软件攻击的分析中表示，恶意软件已经适应了攻击供应商和技术，以使其有效性多样化。2023年11月，Carbanak通过新的分销链卷土重来，并通过被入侵的网站进行分销，以冒充各种商业相关软件。一些假冒工具包括流行的商业相关软件，如HubSpot、Veeam和Xero。Carbanak至少从2014年就开始在野外被发现，它以数据泄露和远程控制功能而闻名。它最初是一款银行恶意软件，后来被FIN7网络犯罪集团使用。

详情

卡巴斯基:2023年每日恶意文件增加3%

日期: 2023-12-27
标签: 信息技术, 恶意文件

根据卡巴斯基的数据，网络犯罪分子在2023年平均每天释放41.1万个恶意文件，比前一年增加了3%。该公司于2023年12月14日发布的《安全公报:年度统计报告》显示，特定类型的威胁也在升级。一个例子是使用恶意桌面文件(Microsoft Office, PDF…)来传播恶意软件。在卡巴斯基在2023年检测到的1.25亿份文件中，有2.4万份是此类文件，比2022年增加了53%。报告称:“这一增长可能与利用钓鱼PDF文件的攻击增加有关，这些攻击旨在窃取潜在受害者的数据。”

详情

恶意软件Crypto drain通过谷歌和X广告窃取了5900万美元

日期: 2023-12-27
标签: 信息技术, crypto drain

安全研究人员发现了一系列新的“加密耗尽”(crypto drain)恶意软件攻击，这些攻击通过谷歌和X(前身为Twitter)的广告引诱受害者进入网络钓鱼页面，迄今已从受害者那里窃取了5900万美元。该公司表示，受害者通过点击与DeFi世界的关键词(如Zapper、Lido、Stargate、Defillama、Orbiter Finance和Radiant)相关的Google和X广告，被引诱到带有恶意软件的网络钓鱼页面。

详情

银行恶意软件Carbanak在勒索软件攻击中再次出现

日期: 2023-12-28
标签: 金融业, 信息技术, 银行恶意软件Carbanak

NCC集团的研究人员报告称，在11月，他们观察到银行恶意软件Carbanak在勒索软件攻击中卷土重来。网络安全公司NCC Group报告称，11月份在勒索软件攻击中发现了银行恶意软件Carbanak。卡巴斯基实验室于2015年首次发现了Carbanak团伙，该组织从100家金融机构窃取了至少3亿美元。Carbanak恶意软件至少从2014年开始活跃，并被勒索软件团伙用来渗透金融系统。攻击者使用复杂的网络钓鱼技术攻击银行员工。该恶意软件被用来通过人为操作的活动获得对目标网络的初始访问权限，并控制支付处理服务。专家们观察到了Carbanak威胁行为者采用的一种新的攻击链。该恶意软件通过冒充各种商业相关软件的网站传播，包括HubSpot、Veeam和账户工具Xero。

详情

新型安卓恶意软件Xamalicious分析

日期: 2023-12-28
标签: 信息技术, Xamalicious

McAfee移动研究团队发现了一个名为Xamalicious的安卓后门，它可以完全控制设备并执行欺诈行为。该恶意软件是通过Xamarin实现的，Xamarin是一个开源框架，允许使用。net和c#构建Android和iOS应用程序。Xamalicious依靠社会工程来获得访问权限，然后它连接到C2来评估是否下载第二阶段的有效负载。恶意负载在运行时级别作为汇编DLL动态注入，以完全控制设备并执行广泛的欺诈操作，例如点击广告和安装应用程序。

详情

新的Rugmi恶意软件加载器激增

日期: 2023-12-29
标签: 信息技术, Lumma Stealer

一种新的恶意软件加载器正在被攻击者用来提供广泛的信息窃取程序，如Lumma Stealer(又名LummaC2)， Vidar, RecordBreaker(又名Raccoon Stealer V2)和Rescoms。网络安全公司ESET正在追踪这个名为Win/TrojanDownloader.Rugmi的木马。该公司在其威胁报告H2 2023中表示:“这种恶意软件是一种加载器，有三种组件:下载加密有效载荷的下载器，从内部资源运行有效载荷的加载器，以及从磁盘上的外部文件运行有效载荷的加载器。该公司收集的遥测数据显示，2023年10月和11月，Rugmi装载机的检测数量激增，从每天个位数飙升至每天数百次。

详情

0x04   数据安全

育碧公司调查数据泄露事件

日期: 2023-12-25
标签: 文化传播, 育碧（Ubisoft）, 育碧, 用户数据

育碧公司正在调查是否遭受了数据泄露，因为公司内部软件和开发工具的图片已在网上被泄露。据称，一名攻击者声称已侵入育碧的系统，并计划窃取约900GB的数据。此次入侵涉及育碧的SharePoint服务器、Microsoft Teams、Confluence和MongoDB Atlas面板。攻击者声称曾尝试窃取《彩虹六号：围攻》用户数据，但在被发现后失去了访问权限。此前，育碧曾在2020年遭到Egregor勒索软件团伙的攻击，并在2022年遭受第二次入侵，影响了公司的游戏、系统和服务。

详情

Mint Mobile数据泄露暴露客户个人信息

日期: 2023-12-25
标签: 信息技术, Mint Mobile

Mint Mobile披露了数据泄露事件，客户的个人信息被泄露，包括可用于进行SIM卡交换攻击的数据。Mint是一家提供预付费移动套餐的移动虚拟网络运营商（MVNO）。公司于12月22日开始通过题为“关于您帐户的重要信息”的电子邮件通知客户，称其遭遇安全事件，黑客获取了客户信息。公司表示已解决了此次泄露，并正在与第三方网络安全专家合作以确保其系统安全。泄露的客户数据包括姓名、电话号码、电子邮件地址、SIM卡序列号和IMEI号（类似于序列号的设备标识）以及购买的服务计划简要描述。

详情

尼桑澳大利亚遭网络攻击

日期: 2023-12-25
标签: 澳大利亚, 交通运输, 制造业, 尼桑 (Nissan)

尼桑澳大利亚遭遇网络攻击，Akira勒索软件团伙声称入侵并窃取了大约100GB的文件。尼桑尚未确认攻击影响范围，正在调查此次事件。公司已启动系统恢复工作，并提醒客户注意异常网络活动。此次事件已通报澳大利亚和新西兰网络安全中心、相关隐私监管机构和执法部门。

详情

Rockstar Games 源代码泄露

日期: 2023-12-26
标签: 信息技术, Rockstar Games, Lapsus$, SIM 卡交换攻击

游戏公司 Rockstar Games 的源代码据称在圣诞前夕泄露，此前 Lapsus$ 黑客入侵了 Rockstar Games 并盗取了公司数据。源代码下载链接在 Discord、暗网网站和 Telegram 频道分享，频道所有者“Phil”在 Telegram 泄露了源代码链接，并向 Lapsus$ 黑客 Arion Kurtaj 致敬。Lapsus$ 黑客组织曾入侵 Rockstar Games 的内部 Slack 服务器和 Confluence wiki，声称窃取了 GTA 5 和 GTA 6 的源代码和资产。Lapsus$ 黑客组织以社交工程和 SIM 卡交换攻击著称，攻击对象包括 Uber、Microsoft、Okta、Nvidia、T-Mobile、Ubisoft、Vodafone 和 Samsung。

详情

游戏发行商育碧(Ubisoft)调查数据泄露事件

日期: 2023-12-27
标签: 文化传播, 育碧(Ubisoft)

知名电子游戏发行商育碧(Ubisoft)正在调查有关潜在数据泄露的报道，此前知名研究人员vx-underground披露了相关证据。研究人员报告说，在2023年12月20日，一个未知的攻击者可以访问育碧的基础设施大约48小时。管理员在发现攻击后将入侵者锁定在门外。目前尚不清楚攻击者是如何入侵该公司的，他们试图窃取R6围攻的用户数据，但没有成功。攻击者表示，他们计划从游戏公司窃取约900GB的数据。

详情

医疗保健提供商ESO遭受勒索软件攻击，270万人受到影响

日期: 2023-12-27
标签: 卫生行业, ESO Solutions

ESO Solutions是一家面向应急响应人员和医疗保健实体的数据和软件提供商，已启动针对270万受勒索软件攻击影响个人的通知程序。这起事件发生在9月28日，迫使ESO暂时关闭了系统，以遏制事件的影响。尽管攻击者访问并加密了内部系统，但ESO表示，他们使用备份恢复了这些系统。该公司表示，未经授权的第三方可能已经获得了个人数据，他们正在积极配合联邦执法部门的调查。包括姓名、地址和健康详细信息在内的患者信息遭到泄露，社会安全号码等敏感信息可能会被泄露。

详情

网络犯罪分子在暗网上发起了“leaksmas”活动，泄露大量数据

日期: 2023-12-29
标签: 信息技术, 暗网

在平安夜，网络安全公司Resecurity发现，有多家黑客在暗网上发布了大量数据泄露。超过5000万条包含世界各地消费者个人身份信息的记录被泄露。这一活动造成的实际损失可能高达数百万美元。由于个人数据和数字身份之间错综复杂的联系，减轻这种损害尤其具有挑战性。

详情

0x05   网络攻击

UAC-0099继续攻击乌克兰

日期: 2023-12-25
标签: 政府部门, UAC-0099, APT舆情

2023年5月，乌克兰CERT发布了关于“UAC-0099”威胁组织的公告。该通报简要介绍了该组织的活动和工具。自5月份CERT-UA发布以来，Deep Instinct已识别出“UAC-0099”针对乌克兰目标发起的新攻击，该组织利用CVE-2023-38831漏洞攻击在乌克兰境外公司工作的乌克兰员工。这篇博文将进一步介绍该威胁组织最近的攻击，这些攻击采用常见的TTP，包括使用捏造的法院传票来诱骗乌克兰的目标执行恶意文件。

详情

Operation RusticWeb：针对印度政府的网络钓鱼行动

日期: 2023-12-25
标签: 政府部门, APT舆情

自2023年10月以来，SEQRITE Labs APT-Team发现了针对多名印度政府人员的网络钓鱼行动。还在12月发现了针对国防部门的政府和私人实体的网络钓鱼行动。新的基于Rust的有效载荷和加密的PowerShell命令已被用来将机密文档渗漏到基于Web的服务引擎，而不是专用的命令和控制(C2)服务器。通过积极修改其武器库，它还使用假域名来托管恶意载荷和诱饵文件。该行动被追踪为RusticWeb，其中多个TTP与巴基斯坦相关的APT组织透明部落(APT36)和SideCopy重叠。这也与思科在2021年发布的“Operation Armor Piercer”报告有相似之处。

详情

印度政府和国防部门遭受网络钓鱼和恶意软件攻击

日期: 2023-12-25
标签: 政府部门, 印度政府, Operation RusticWeb

印度政府机构和国防部门遭受网络钓鱼攻击，攻击者使用Rust基础的恶意软件进行情报搜集。此活动被SEQRITE企业安全公司命名为“Operation RusticWeb”，于2023年10月首次发现。攻击采用新的Rust基础载荷和加密的PowerShell命令，将机密文件传输至网络服务引擎，而非专用的C2服务器。攻击活动与Transparent Tribe和SideCopy有战术上的重叠，这两者被认为与巴基斯坦有关联。攻击方式包括利用社交工程技术发送网络钓鱼邮件，利用恶意PDF文件传送Rust基础的载荷，以及使用特制RAR存档进行远程访问和控制。

详情

俄罗斯企业遭受云图网络间谍组织的钓鱼攻击

日期: 2023-12-26
标签: 信息技术, F.A.C.C.T, 云图（Cloud Atlas）, CVE-2017-11882, 网络钓鱼攻击

针对俄罗斯企业的一系列钓鱼攻击被指向云图（Cloud Atlas）威胁行动组。F.A.C.C.T.报告指出，云图是一个来源不明的网络间谍组织，自2014年以来一直活跃，以其持久的网络攻击而闻名。最新的攻击链类似于Positive Technologies描述的一种方式，通过RTF模板注入成功利用CVE-2017-11882漏洞，为负责下载和运行模糊化HTA文件的shellcode铺平了道路。受害者包括俄罗斯农业工业企业和一家国有研究公司。恶意HTML应用程序随后启动Visual Basic Script（VBS）文件，最终负责从远程服务器检索和执行未知的VBS代码。有消息称至少有20家位于俄罗斯的组织已经被入侵。

详情

UAC-0099组织利用WinRAR漏洞攻击乌克兰

日期: 2023-12-26
标签: 乌克兰, 政府部门, UAC-0099, LONEPAGE, WinRAR漏洞, CVE-2023-38831, LONEPAGE恶意软件

UAC-0099黑客组织利用WinRAR漏洞传播LONEPAGE恶意软件对乌克兰进行攻击。攻击手段包括利用WinRAR漏洞CVE-2023-38831传送LONEPAGE恶意软件，以及发送伪装邮件进行网络钓鱼。攻击链路利用HTA、RAR和LNK文件附件，最终传播Visual Basic Script (VBS)恶意软件LONEPAGE。深度洞察报告指出，UAC-0099组织的攻击手法简单而有效，利用PowerShell创建定时任务执行VBS文件，而WinRAR漏洞的利用也是其攻击的一部分。该漏洞可欺骗安全意识较强的受害者，而WinRAR需要手动更新，意味着即使有补丁，许多人可能仍在使用易受攻击的WinRAR版本。WinRAR已于2023年8月2日发布6.23版本修复了该漏洞。

详情

伊朗APT33组织利用FalseFont后门攻击国防承包商

日期: 2023-12-26
标签: 政府部门, 卫生行业, 制造业, APT33, 密码喷洒攻击, 国防工业基地

微软报告称，伊朗APT33组织正在利用FalseFont后门针对全球的国防承包商进行攻击。该伊朗网络间谍组织自2013年以来一直活跃，最近使用了新发现的FalseFont后门恶意软件进行攻击。此次攻击主要针对国防工业基地（DIB）部门的组织，其中包括航空业和能源公司。FalseFont后门支持远程控制感染系统和获取敏感信息的多种功能。此外，微软研究人员还观察到了伊朗APT33组织进行的密码喷洒攻击，主要针对卫星、国防和制药行业的组织。微软评估称，这些攻击可能是为了支持伊朗国家利益的情报收集。

详情

伊朗APT33以虚假后门瞄准国防工业基础部门

日期: 2023-12-27
标签: 政府部门, FalseFont, 国防

微软报告称，与伊朗有关的APT33组织正在用“FalseFont”攻击全球的国防承包商。

微软表示，伊朗网络间谍组织APT33(又名Peach Sandstorm、Holmium、Elfin和Magic Hound)正在使用最近发现的假字体后门恶意软件攻击国防工业基地(DIB)部门的组织。APT33组织至少自2013年以来一直存在，自2016年年中以来，该组织的目标是与石化生产有关的航空工业和能源公司。大多数攻击目标都在中东，还有一些在美国、韩国和欧洲。

详情

澳大利亚医疗服务提供商st vincent 's health Australia遭受网络攻击

日期: 2023-12-28
标签: 卫生行业, 澳大利亚

澳大利亚最大的医疗保健提供商澳大利亚圣文森特健康中心(St Vincent’s Health Australia)在一次网络攻击后遭遇数据泄露。澳大利亚圣文森特健康中心是该国最大的非营利性医疗保健提供商，该医疗保健系统遭到网络攻击，导致数据泄露。澳大利亚圣文森特卫生部向地方当局报告了这一事件，并正在与澳大利亚政府合作，以减轻安全事件。

详情

Rhysida勒索软件组织攻击了约旦abdali医院

日期: 2023-12-28
标签: 卫生行业, Rhysida勒索软件组织

Rhysida勒索软件组织声称攻击了位于约旦的多专科医院Abdali医院，并将其添加到其Tor泄露网站的受害者名单中。阿卜杜里医院是一家多专科医院，位于约旦安曼阿卜杜里现代化开发区。该组织公布了被盗文件的图片作为黑客攻击的证据。泄露的图片包括身份证、合同等。该勒索软件组织声称窃取了大量“敏感数据”，并以10比特币的价格拍卖。该团伙将在公告发布后的7天内公布相关数据。

详情

Lockbit 3.0攻击德国医院

日期: 2023-12-29
标签: 卫生行业, Lockbit 3.0

德国医院网络Katholische Hospitalvereinigung Ostwestfalen (KHO)宣布，三家医院(Bielefeld、Rheda-Wiedenbrück和Herford)的服务在Lockbit勒索软件攻击后中断。由于医疗紧急情况中断，安全事件可能对当地居民产生严重影响。该组织在其网站上发布的一份声明中透露，该勒索软件团伙在圣诞节前夕袭击了KHO，并获得了专门加密的数据。KHO关闭了受影响的系统，以防止威胁蔓延。初步调查显示，这可能是一次由Lockbit 3.0发起的网络攻击，具体时间还无法预测。

详情

0x06   安全漏洞

Ivanti敦促客户修补13个关键漏洞

日期: 2023-12-27
标签: 信息技术, Avalanche

安全厂商Ivanti发布了Avalanche移动设备管理(MDM)产品的更新，修复了22个漏洞，其中13个被评为严重漏洞。Ivanti Avalanche是一个企业MDM解决方案，能够管理超过100,000个移动设备的分布式部署——包括从仓库扫描仪到手持平板电脑的任何设备。2023年12月下旬发布的Avalanche 6.4.2版本修复了13个漏洞，CVSS评分为9.8。它们是基于堆栈的缓冲区溢出远程代码执行(RCE)漏洞、基于堆的缓冲区溢出RCE和未经身份验证的缓冲区溢出的混合。

详情

Apache OfBiz ERP系统的严重零日漏洞分析

日期: 2023-12-28
标签: 信息技术, CVE-2023-49070, 零日

在开源企业资源规划(ERP)系统Apache OfBiz中发现了一个新的零日安全漏洞，可以被利用来绕过身份验证保护。该漏洞被追踪为CVE-2023-51467，位于登录功能中，是本月早些时候发布的另一个严重漏洞(CVE-2023-49070, CVSS分数:9.8)的不完整补丁的结果。CVE-2023-49070指的是影响18.12.10之前版本的预认证远程代码执行漏洞，如果成功利用，可能会允许威胁行为者获得对服务器的完全控制并窃取敏感数据。这是由于Apache OFBiz中废弃的XML-RPC组件造成的。

详情

Barracuda修复了被UNC4841组织积极利用的ESG零日漏洞

日期: 2023-12-28
标签: 信息技术, UNC4841

安全公司Barracuda解决了一个新的零日漏洞，影响了其电子邮件安全网关(ESG)设备，该设备被UNC4841组织积极利用。2023年12月21日，网络和电子邮件网络安全公司Barracuda开始发布安全更新，以解决电子邮件安全网关(ESG)设备中的零日漏洞CVE-2023-7102。该漏洞已被黑客组织UNC4841积极利用。12月21日，该供应商还发布了安全更新，以修复已经受到威胁的ESG设备的问题，这些设备中安装了SeaSpy和Saltwater恶意软件。

详情

专家警告Apache OfBiz存在严重的零日漏洞

日期: 2023-12-29
标签: 信息技术, CVE-2023-49070, Apache OfBiz

专家警告说，一个身份验证绕过零日漏洞会影响开源企业资源规划(ERP)系统Apache OfBiz。攻击者可以触发CVE-2023-51467漏洞，绕过身份验证来实现简单的服务器端请求伪造(SSRF)。该漏洞存在于登录功能中，并且是由预认证RCE漏洞CVE-2023-49070 (CVSS分数:9.8)的不完整补丁导致的。SonicWall的研究人员指出，Apache OfBiz是知名软件供应链的一部分，比如Atlassian的JIRA(被超过12万家公司使用)。

详情

谷歌云解决了影响Kubernetes服务的特权升级漏洞

日期: 2023-12-29
标签: 信息技术, Google Cloud

Google Cloud解决了其平台中的一个中等严重性安全漏洞，该漏洞可能被已经访问Kubernetes集群的攻击者滥用，以提升他们的权限。攻击者破坏了Fluent Bit日志容器，可以将访问权限与Anthos Service Mesh(在启用它的集群上)所需的高权限相结合，从而提升集群中的权限。发现并报告了该漏洞的Palo Alto Networks Unit 42表示，对手可以将其武器化，实施“数据盗窃，部署恶意隔离舱，并扰乱集群的运行”。

详情

Apache OfBiz ERP系统的严重零日漏洞影响众多企业

日期: 2023-12-29
标签: 信息技术, CVE-2023-49070

在开源企业资源规划(ERP)系统Apache OfBiz中发现了一个新的零日安全漏洞，可以被利用来绕过身份验证保护。该漏洞被追踪为CVE-2023-51467，位于登录功能中，是2023年12月早些时候发布的另一个严重漏洞(CVE-2023-49070, CVSS分数:9.8)的不完整补丁的结果。发现该漏洞的SonicWall Capture Labs威胁研究团队表示，为修补CVE-2023-49070所采取的安全措施没有破坏根本问题，因此身份验证绕过仍然存在。

详情

0x07   安全分析

Kimsuky的AppleSeed恶意软件攻击趋势分析

日期: 2023-12-25
标签: 政府部门, APT舆情

Kimsuky组织通常使用鱼叉式网络钓鱼攻击作为初始渗透路线，但最近许多攻击案例都是使用LNK格式的快捷方式恶意软件进行的。当然，LNK恶意软件在近期攻击中所占比例很高，但利用JavaScript恶意软件或恶意文档文件进行攻击的案例也不断得到证实。本篇报告将介绍最近攻击中使用的恶意软件与之前报告相比的特征。例如，AppleSeed本身的使用方式相同，但会检查一些因素来干扰分析，并使用名为AlphaSeed的AppleSeed恶意软件变种。此外，与过去主要在安装AppleSeed后使用RDP控制受感染系统不同，最近安装Chrome远程桌面的案例频繁出现。

详情

欧洲刑警组织揭露400多个网站遭恶意脚本攻击

日期: 2023-12-25
标签: 信息技术, 政府部门, 欧洲刑警组织（Europol）, 欧洲刑警组织, 电子商务

欧洲刑警组织通知了超过400个网站，它们的在线商店遭到黑客攻击，植入恶意脚本窃取顾客的信用卡和借记卡信息。这些恶意脚本可以在结账页面悄无声息地截取付款卡号、过期日期、验证号码、姓名和送货地址，并将信息上传至攻击者的服务器。攻击者利用窃取的数据进行未经授权的交易，或在暗网市场转售。这些攻击可能数周甚至数月未被察觉，且根据被侵犯的电子商务平台的流行程度，网络犯罪分子可以窃取大量付款卡信息。由欧洲刑警组织牵头，希腊发起的一项为期两个月的国际行动，涉及17个国家的执法机构和私人实体，如Group-IB和Sansec，发现了443个网站上的恶意脚本感染。

详情

Wall of Flippers项目：检测蓝牙LE垃圾邮件攻击

日期: 2023-12-25
标签: 信息技术, Flipper Zero, Python项目, Android设备

研究人员发现一个名为“Wall of Flippers”的Python项目，旨在检测Flipper Zero和Android设备发起的蓝牙垃圾邮件攻击。该项目的目标是帮助用户识别攻击源，并采取有针对性的保护措施，同时可能追究肇事者的责任。该项目通过Python脚本实现了对BLE攻击的检测，目前可在Linux和Windows上运行。除了描述项目的功能和特点，还提供了安装和设置指南，并呼吁用户在安装前检查代码以确保安全性。

详情

2023年11月勒索软件受害者数量创新高

日期: 2023-12-26
标签: 金融业, 信息技术, Corvus Insurance, 保险

在2023年12月18日发布的一份报告中，Corvus Insurance指出，11月份勒索软件组织的活动再次激增，创下有史以来最高数量的受害者记录。据Corvus威胁情报观察，11月份在泄露网站上新增了484名勒索软件受害者，较10月份增长了39.08%，较2022年11月份增长了110.43%。这已经是连续第11个月出现勒索软件受害者同比增加，也是连续第9个月受害者数量超过300人。基于历史季节性数据，Corvus威胁情报团队预测，12月份泄露网站上列出的勒索软件受害者数量将高于2022年12月份，但可能不会达到11月份的水平。

详情

云图黑客组织与一系列针对俄罗斯企业的鱼叉式网络钓鱼攻击有关

日期: 2023-12-27
标签: 信息技术, 鱼叉式网络钓鱼

据F.A.C.C.T的一份报告显示，被称为“云图”的黑客组织与一系列针对俄罗斯企业的鱼叉式网络钓鱼攻击有关。“云图”的目标包括一家俄罗斯农工企业和一家国有研究公司。f.a.c.t.t是一家独立的网络安全公司，在Group-IB今年早些时候正式退出俄罗斯后成立。“云图”至少从2014年开始活跃，是一个来历不明的网络间谍组织。该黑客组织也被称为Clean Ursa、Inception、Oxygen和Red October，以其对俄罗斯、白俄罗斯、阿塞拜疆、土耳其和斯洛文尼亚的持续行动而闻名。

详情

2024年网络安全行业就业形势分析

日期: 2023-12-27
标签: 信息技术, 网络安全工作者

众所周知，网络安全工作者数量的巨大缺口导致求职者对该领域抱有很高的期望，但现实往往事与愿违，因为公司的要求和求职者的技能不匹配。一方面，根据劳工分析公司Lightcast提供的数据，企业在招聘有知识的网络安全专业人员方面遇到了困难，只有足够的员工能满足72%的需求，缺口接近50万。但求职者表示，公司的教育、经验和薪资期望都不合理。例如，绝大多数招聘启事(约85%)要求至少拥有计算机科学、网络安全或其他技术学科的学士学位，而历史上只有约60%至70%的网络安全工作者拥有大学学位。结果是，具有正确教育、技术技能、证书和专业网络的网络安全求职者——也就是Lightcast所称的“雇佣兵”——被雇佣的问题不大，但大部分有希望的人却很少成功。

详情

SideCopy组织双平台渗透攻击活动分析

日期: 2023-12-28
标签: 政府部门, SideCopy, APT舆情

SideCopy组织自2020年被披露以来长期处于活跃之中，并主要针对印度国防、外交等部门持续发动网络攻击。近期，360高级威胁研究院发现了该组织针对Windows和Linux系统进行无差别攻击，并且部分载荷是支持Windows和Linux双平台的远控工具。在Linux环境下，初始攻击样本为含有恶意ELF文件的ZIP压缩包文件，运行其中的ELF文件会下载关于印度国防部的诱饵文档，同时下载一个由Python打包的双平台攻击武器,该武器具备完整的远控功能。在Windows环境下，攻击者还是一如既往的含有恶意LNK的ZIP压缩文件，受害者点击其中LNK文件后会下载恶意代码从而开启一段复杂多阶段的攻击链，最终释放远控组件，从而完成窃密活动。

详情

分析报告：网络犯罪将如何左右2024年美国大选

日期: 2023-12-28
标签: 政府部门, 美国大选

国际黑客组织(主要在俄罗斯、伊朗)正在加大努力，在2024年全国选举之前影响美国观众。一个典型的例子是Doppelganger，这家总部位于俄罗斯的影响力机构建立了多个虚假新闻网站和社交媒体账户，传播旨在在大选前夕煽动美国政治和社会分歧的消息。

详情

针对Linux SSH服务器的攻击分析

日期: 2023-12-28
标签: 信息技术, Linux SSH服务器

AhnLab安全应急响应中心(ASEC)的研究人员警告称，针对管理不善的Linux SSH服务器的攻击，主要集中在安装DDoS机器人和CoinMiners。在侦察阶段，攻击者执行IP扫描以查找具有SSH服务或端口22激活的服务器，然后发起暴力破解或字典攻击以获取ID和密码。攻击者还可以安装恶意软件进行扫描，执行暴力攻击，并在暗网上出售被破坏的IP和帐户凭证。

详情

分析报告：AI和Android间谍软件主导的2023年下半年威胁格局

日期: 2023-12-28
标签: 信息技术, Android间谍软件, 威胁形势

根据网络安全提供商ESET的数据，2023年下半年的威胁形势十分严峻。在其《威胁报告:2023年H2》中，该公司记录了2023年6月至11月期间的许多重大网络安全事件，这段时间主要是人工智能相关的恶意活动和新的Android间谍软件的出现。根据该报告，在此期间，围绕OpenAI API密钥和ChatGPT名称出现了一种新的经济，吸引了合法参与者和网络犯罪分子。ESET遥测在2023年下半年阻止了超过65万次访问恶意域名的尝试，这些域名的名称包括字符串“chapgpt”或类似的文本，明显引用ChatGPT聊天机器人。

详情

Resecurity发布了2024年网络威胁形势预测

日期: 2023-12-28
标签: 信息技术, 《2024年网络威胁前景预测》

网络安全公司Resecurity发布了《2024年网络威胁前景预测》。总部位于洛杉矶的网络安全公司Resecurity为全球财富100强企业和政府机构提供保护。该公司编制了一份全面的预测报告，概述了即将到来的威胁和新的安全挑战。这些预测源于对暗网上地下经济演变的深入分析，以及对针对企业和政府的重大网络安全事件的彻底调查。主要趋势:1️.针对上市公司的勒索软件活动增加。2️.针对能源(石油和天然气)和核能部门的网络攻击。3️.人工智能(AI)的武器化将飞速发展。4️.智慧城市和日益严峻的网络安全挑战。5️.数字身份成为网络攻击的目标。

详情

AI快速发展，安全标准亟待建立

日期: 2023-12-29
标签: 信息技术, 人工智能(AI)

安全专家警告称，随着人工智能(AI)的创新继续快速发展，2024年将是各组织和管理机构建立安全标准、协议和其他护栏的关键时刻，以防止人工智能超越它们。大型语言模型(llm)由复杂的算法和大量数据集提供支持，展示了非凡的语言理解能力和类似人类的会话能力。到目前为止，这些平台中最复杂的是OpenAI的GPT-4，它拥有先进的推理和解决问题的能力，并支持该公司的ChatGPT机器人。这些模型代表了组织显著提高生产力和效率的巨大潜力，但专家们一致认为，整个行业解决其开发和部署带来的固有安全风险的时机已经到来。事实上，提供基于人工智能的内容写作工具的Writerbuddy AI最近的研究发现，ChatGPT已经有140亿次访问，而且还在不断增加。

详情

“三角测量行动”分析

日期: 2023-12-29
标签: 信息技术, “三角测量行动”(Operation Triangulation), iOS设备

俄罗斯网络安全公司卡巴斯基(Kaspersky)的研究人员发现，“三角测量行动”(Operation Triangulation)背后的攻击者利用了一种未被记录的硬件功能来攻击苹果iOS设备。2023年6月初，卡巴斯基发现了一个以前不为人知的APT组织，该组织利用零点击漏洞攻击iOS设备，这是一个名为“三角测量行动”(Operation Triangulation)的长期行动的一部分。专家们在使用卡巴斯基统一监控和分析平台(KUMA)监控他们自己的移动设备专用企业Wi-Fi网络的网络流量时发现了这次攻击。根据卡巴斯基研究人员的说法，三角测量行动至少在2019年开始，目前仍在进行中。

详情

ESET表示AI相关恶意活动猖獗

日期: 2023-12-29
标签: 信息技术, Android间谍软件, ChatGPT

根据网络安全提供商ESET的数据，2023年下半年的威胁形势十分严峻。该公司记录了2023年6月至11月期间发生的许多重大网络安全事件，这段时间主要是与人工智能相关的恶意活动和新的安卓间谍软件的出现。在此期间，围绕OpenAI API密钥和ChatGPT名称出现了一种新的经济，吸引了网络犯罪分子。ESET遥测在2023年下半年阻止了超过65万次访问恶意域名的尝试，这些域名的名称包括字符串“chapgpt”或类似的文本，明显引用ChatGPT聊天机器人。ESET遥测报告称，Android间谍软件检测数量大幅增加，与上一报告期间相比，2023年下半年增长了89%。

详情

针对苹果iOS设备的间谍软件分析

日期: 2023-12-29
标签: 信息技术, 三角行动

针对苹果iOS设备的“三角行动”间谍软件攻击利用了前所未见的漏洞，甚至可以绕过该公司建立的基于硬件的关键安全保护。俄罗斯网络安全公司卡巴斯基(Kaspersky)在成为目标之一后，于2023年初发现了这一行动，该公司称这是迄今为止观察到的“最复杂的攻击链”。据信，该活动自2019年以来一直很活跃。该漏洞利用了四个零日漏洞，这些漏洞形成了一个链，以获得前所未有的访问权限和后门目标设备，运行iOS版本至iOS 16.2，最终目的是收集敏感信息。

详情

0x08   行业动向

Chrome浏览器安全功能升级

日期: 2023-12-26
标签: 信息技术, Google, Google Chrome, Chrome浏览器, Safe Browsing

Chrome浏览器将引入新的安全功能，包括自动运行的Chrome Safety Check和权限自动收回功能。此外，用户还可以保存标签组，并在不同设备上恢复浏览活动。Chrome还将对性能控制进行升级，提供更多内存使用信息，同时自动将不安全的HTTP请求升级为HTTPS请求。此外，Safe Browsing功能已实现实时钓鱼保护，使用本地存储的恶意URL列表。这些更新将在未来几周内推出。

详情

思科收购云原生安全初创公司Isovalent

日期: 2023-12-26
标签: 信息技术, 思科（Cisco）, 思科, 安全云, Isovalent

网络巨头思科宣布收购云原生安全和网络初创公司Isovalent，以增强其多云网络和安全能力。Isovalent是开发了两个广泛使用的可见性项目eBPF和Cilium的云原生安全和网络初创公司。该收购将加强思科的“安全云”平台，成为其人工智能驱动的、云交付的、集成安全平台的一部分。此外，思科计划继续支持和发展这些开源项目。Isovalent将在收购完成后加入思科安全业务集团，预计收购将在2024年第二季度完成。

详情

新报告:85%的公司面临网络事件，11%来自影子IT

日期: 2023-12-27
标签: 信息技术, 未经授权

在过去两年中，全球85%的公司经历过网络事件，其中11%归因于未经授权使用影子IT。这些数据来自网络安全公司卡巴斯基(Kaspersky)最近进行的一项研究，揭示了企业领域一个令人担忧的模式。根据卡巴斯基的说法，由于在不断扩大的分布式劳动力中，影子IT在员工中越来越普遍，企业正面临着更大的网络事件脆弱性。

详情

0x09   其他事件

英国警告深度伪造技术对大选构成严重威胁

日期: 2023-12-25
标签: 政府部门, 深度伪造技术, 英国大选

英国警告称，深度伪造技术对即将到来的大选构成“明显而紧迫的危险”，可能对英国民主产生严重影响。他指出，这项技术会给“说谎者”带来利益，破坏了信息的可信度，导致选民对任何信息都失去信任。英国国家网络安全中心曾警告称，深度伪造活动将在下一次大选前加剧。此前已出现的伪造视频包括模仿工党领袖基尔·斯塔默和伦敦市长萨迪克·汗的虚假片段。微软也对这项技术在明年美国总统大选前传播虚假信息的能力发出警告，并计划推出多项举措来减轻这一威胁。一些托利党议员已致函科学部长米歇尔·多内兰，要求政府为社交媒体公司提供更清晰的指导，以便遵守旨在打击选举外部干预的新国家安全法律。

详情

英国电信公司EE警告：圣诞节前或遭遇数百万条诈骗短信

日期: 2023-12-25
标签: 居民服务, 信息技术, 诈骗短信, 钓鱼网站

英国电信公司EE发出警告，称12月23日可能会有数百万条诈骗短信，因为诈骗分子希望利用圣诞节临近时进行诈骗。去年同一天，EE屏蔽了300万条短信诈骗，是2022年每日屏蔽量最高的一天。2023年12月22日，EE警告称这一数字可能高达500万。常见的短信诈骗包括虚假的未投递或快递跟踪信息，利用社交工程技术诱使受害者点击链接，从而可能植入恶意软件或带用户前往用于窃取财务和个人信息的钓鱼网站。Group-IB警告称，12月头10天发现冒充快递公司的新钓鱼网站增加了34％。EE表示正在利用人工智能和国际短信阻止等措施来降低风险。BT集团消费者部门监管事务总监Jonny Bunt表示，圣诞购物狂潮中，诈骗分子将寻找机会进行诈骗。他指出，BT和EE已经看到特别是投递诈骗的数量急剧上升。该公司声称今年迄今已屏蔽了4500万条诈骗短信。

详情

欧洲刑警组织和ENISA联合行动揭示数字窃取行动

日期: 2023-12-26
标签: 政府部门, 信息技术, 欧洲刑警组织, ENISA, 数字窃取

欧洲刑警组织（Europol）和欧洲网络与信息安全局（ENISA）联合私人安全公司展开联合执法行动，发现了443个受数字窃取影响的在线商店。这次行动是EMPACT优先事项的一部分，旨在打击在线诈骗犯罪分子。数字窃取是指犯罪分子在网站结账过程中窃取访问者的付款信息的行为。他们利用电子商务平台和内容管理系统的漏洞，将窃取脚本注入到电子商店页面中。欧洲刑警组织与国家执法机构、国家计算机安全事件响应团队和私人行业合作伙伴一起，为受影响的在线商家提供技术支持，解决问题并保护未来客户。此次行动还揭示了23个JS-sniffers家族，包括ATMZOW、health_check、FirstKiss、FakeGA、AngryBeaver、Inter和R3nin等。

详情

英国青少年参与LAPSUS$网络犯罪团伙被判刑

日期: 2023-12-26
标签: 信息技术, 政府部门, LAPSUS$, SIM卡交换攻击

两名英国青少年是LAPSUS$网络犯罪和勒索团伙的成员，因参与一系列针对多家公司的高调攻击而被判刑。这两名被告最初于2022年1月被捕，后于2022年3月再次被捕。攻击活动发生在2020年8月至2022年9月期间，目标公司包括BT、EE、Globant、LG、Microsoft、NVIDIA、Okta、Revolut、Rockstar Games、Samsung、Ubisoft、Uber和Vodafone。LAPSUS$据称由英国和巴西成员组成。美国国土安全部的一份报告披露了该威胁行为者使用SIM卡交换攻击接管受害者账户和渗透目标网络的手段，还利用Telegram频道宣传其操作并勒索受害者。

详情

0x0a   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0b   时间线

2023-12-25 360CERT发布安全周报