安全事件周报 2024-01-01 第1周
2024-01-08 15:37

报告编号:CERT-R-2024-627

报告来源:360CERT

报告作者:360CERT

更新日期:2024-01-08

0x01   事件导览

本周收录安全热点41项,话题集中在网络攻击安全分析行业动向,主要涉及的实体有:阿尔巴尼亚共和国议会澳大利亚维多利亚州法院服务机构(CSV)Xerox Business Solutions(XBS)等,主要涉及的黑客组织有:APT28(Fancy Bear)UNC-0050等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意软件
新型JinxLoader恶意软件传送Formbook和XLoader
数据安全
谷歌无痕模式集体诉讼和解协议
网络犯罪分子盯上社交媒体X的“金牌”账户
Orbit Chain遭受8100万美元加密货币盗窃,专家怀疑涉及朝鲜黑客组织
HealthEC LLC数据泄露事件
HealthEC医疗科技公司披露450万名个人信息数据泄露事件
网络攻击
乌克兰和波兰遭遇APT28网络钓鱼攻击
阿尔巴尼亚遭受网络攻击
网络钓鱼攻击导致加密货币被盗
乌克兰监控摄像头遭到俄罗斯黑客入侵
英国核废料管理公司受黑客攻击
Xerox Business Solutions(XBS)部门遭黑客入侵
澳大利亚维多利亚州法院服务机构遭遇 Qilin 勒索软件攻击
Mandiant Twitter账户被劫持冒充Phantom钱包散布加密货币诈骗
Orange Spain遭黑客入侵导致网络中断
Xerox Business Solutions遭遇网络安全事件
UNC-0050利用新策略攻击乌克兰政府实体
乌克兰Kyivstar电信遭俄黑客入侵
社交媒体认证账号遭黑客攻击,形成黑市交易
Orange Spain的RIPE帐户遭黑客攻击
安全漏洞
APT37利用漏洞进行攻击
SSH协议Terrapin漏洞威胁
Orbit Chain遭遇8600万美元加密货币袭击
CISA发布两个已知被利用漏洞警报
Ivanti 公司修复 Endpoint Management 软件关键漏洞
安全分析
WinSxS文件夹中的DLL搜索顺序劫持威胁
朝鲜网络攻击活动及相关远程就业欺诈分析
iOS设备面临"三角定位"零点击攻击威胁
Ateam安全事件分析
Google OAuth端点漏洞事件
npm注册表遭受严重干扰
Apache OfBiz漏洞及安全补丁研究
行业动向
微软再次禁用ms-appinstaller协议处理程序以防恶意软件传播
Steam停止对Windows 7和8的支持
LastPass强制要求12字符主密码
乌克兰要求停止摄像头广播,以防俄罗斯军事侦察
美国联邦贸易委员会(FTC)启动语音克隆挑战赛
勒索攻击
INC RANSOM勒索软件组织声称侵入施乐公司
Gallery Systems遭遇勒索软件攻击
其他事件
成人网站因新年龄验证法规屏蔽美国部分州访问
Zeppelin 勒索软件源代码出售

0x03   恶意软件

新型JinxLoader恶意软件传送Formbook和XLoader

日期: 2024-01-02
标签: 信息技术, JinxLoader, XLoader

新型的基于Go语言的恶意软件加载器JinxLoader被黑客用来传送Formbook和其后继者XLoader等下一阶段的恶意软件。网络安全公司Palo Alto Networks Unit 42和Symantec披露了这一情况,并强调了通过多步攻击序列导致JinxLoader通过钓鱼攻击部署的情况。此次事件发生之际,ESET披露了感染率激增的情况,传播了另一个新手加载器恶意软件家族Rugmi,以传播各种信息窃取者。此外,还出现了分发DarkGate和PikaBot的活动激增,以及一名被称为TA544(又名Narwal Spider)的威胁行为者利用名为IDAT Loader的新变种加载器恶意软件来部署Remcos RAT或SystemBC恶意软件。

详情

https://thehackernews.com/2024/01/new-jinxloader-targeting-users-with.html

0x04   数据安全

谷歌无痕模式集体诉讼和解协议

日期: 2024-01-03
标签: 信息技术, 无痕模式, 隐私侵犯

根据《Brown et al v. Google LLC》的集体诉讼,原告指控谷歌在“隐私”或“无痕”模式下继续跟踪、收集和识别用户的浏览数据,违反了美国联邦关于窃听和侵犯隐私的法律。双方于12月28日达成和解协议,具体条款尚未公开。原告称,谷歌的做法侵犯了用户的隐私,故意欺骗消费者,并使谷歌成为任何想要侵犯个人隐私、安全或自由的政府、私人或犯罪行为者的“一站式购物中心”。谷歌试图以其浏览器的“无痕”模式功能为辩护,但法官指出,用户并未明确同意谷歌在他们浏览私密模式时收集数据。私密浏览模式并非绝对隐私解决方案,一些浏览器提供更好的追踪保护,但对广告目的的跟踪仍存在局限性。

详情

https://www.darkreading.com/cyber-risk/google-settles-lawsuit-tracking-private-browsing-users

网络犯罪分子盯上社交媒体X的“金牌”账户

日期: 2024-01-04
标签: 文化传播, 推特(Twitter), 社交媒体, CloudSEK

社交媒体服务X的“金牌”账户遭到网络犯罪分子的攻击,被出售到暗网上,价格高达每个2000美元。CloudSEK的研究发现,这些账户在地下市场上出现了“淘金热”,“金牌”标志表示该服务已经独立验证了账户的合法性,属于高调组织或名人。犯罪分子通过暴力破解密码和恶意软件窃取凭证,获取现有的“金牌”账户,或者升级长期未使用的非“金牌”账户。暗网上充斥着出售Twitter“金牌”账户的广告,价格从35美元到2000美元不等。这些账户被用于托管钓鱼链接、发起虚假信息宣传和金融诈骗,以及发布损害品牌声誉的内容。组织应定期监控Twitter上的品牌提及,并实施强密码政策以防止账户被篡改。

详情

https://www.darkreading.com/application-security/cybercriminals-flood-dark-web-x-twitter-gold-accounts

Orbit Chain遭受8100万美元加密货币盗窃,专家怀疑涉及朝鲜黑客组织

日期: 2024-01-04
标签: 金融业, Orbit Chain

加密平台Orbit Chain遭受了一起网络攻击,威胁行为者盗窃了价值8100万美元的加密货币。该平台是一个多资产区块链平台,通过区块链间通信(IBC)连接各种区块链,旨在成为不同区块链生态系统之间资产和数据无缝转移的中心。韩国国家警察局和韩国互联网与安全局已展开调查,Orbit Chain还雇佣了区块链安全公司ChainLight。未经授权的交易始于2023年12月31日,专家怀疑这次袭击可能与朝鲜黑客组织有关。Orbit Chain正在与其他加密货币交易所合作,试图冻结被盗的加密资产。来自区块链安全公司CertiK的研究人员也提醒了多资产区块链平台存在可疑提款。

详情

https://securityaffairs.com/156832/cyber-crime/orbit-chain-security-breach.html

HealthEC LLC数据泄露事件

日期: 2024-01-04
标签: 卫生行业, HealthEC LLC, 医疗保健

HealthEC LLC是一家提供健康管理解决方案的公司,近450万名接受其客户服务的个人受到数据泄露的影响。公司提供人群健康管理平台,用于数据整合、分析、协调护理、患者参与、合规性和报告。该公司于2023年12月22日披露,其系统在2023年7月14日至23日遭受未经授权的访问。调查结果显示,入侵者窃取了包括姓名、地址、出生日期、社会安全号码、纳税人识别号、医疗记录号等在内的文件。公司建议个人保持警惕,定期检查账单和信用报告,及时报告可疑活动。此次数据泄露影响了17家医疗服务提供商和州级卫生系统,包括Corewell Health、HonorHealth、Beaumont ACO等。

详情

https://www.bleepingcomputer.com/news/security/data-breach-at-healthcare-tech-firm-impacts-45-million-patients/

HealthEC医疗科技公司披露450万名个人信息数据泄露事件

日期: 2024-01-05
标签: 卫生行业, 医疗科技, HealthEC

医疗科技公司HealthEC披露了一起数据泄露事件,泄露了450万名个人的个人信息。泄露的信息包括姓名、地址、出生日期、社会安全号码、纳税人识别号、病历号、医疗信息、健康保险信息和账单索赔信息。该公司的业务伙伴包括多家医疗机构和健康管理组织。泄露事件发生后,HealthEC建议受影响的个人保持警惕,定期审核账单和福利报告,并监测信用报告,及时报告可疑活动。

详情

https://securityaffairs.com/156911/data-breach/healthec-disclosed-data-breach.html

0x05   网络攻击

乌克兰和波兰遭遇APT28网络钓鱼攻击

日期: 2024-01-02
标签: 政府部门, APT28(Fancy Bear), APT28

乌克兰计算机应急响应团队(CERT-UA)警告称,俄罗斯APT28组织发起了一场新的网络钓鱼活动,旨在利用OCEANMAP、MASEPIE和STEELHOOK等未记录的恶意软件收集敏感信息。该活动于2023年12月15日至25日间被发现,瞄准乌克兰政府机构和波兰组织,通过电子邮件诱使接收者点击链接查看文件。

详情

https://thehackernews.com/2023/12/cert-ua-uncovers-new-malware-wave.html

阿尔巴尼亚遭受网络攻击

日期: 2024-01-02
标签: 政府部门, 阿尔巴尼亚共和国议会

阿尔巴尼亚共和国议会和电信公司 One Albania 最近遭受网络攻击,国家电子认证和网络安全管理局(AKCESK)本周透露了此事。AKCESK 表示,根据现行立法,这些基础设施目前未被列为关键或重要信息基础设施。另外,AKCESK 还指出,这些入侵并非源自阿尔巴尼亚 IP 地址,并且成功实时识别了潜在案例。此外,伊朗黑客组织 Homeland Justice 宣称对此负责,并声称已侵入阿尔巴尼亚国家航空公司 Air Albania。这一事件促使 AKCESK 对其网络安全策略进行审查和加强。

详情

https://thehackernews.com/2023/12/albanian-parliament-and-one-albania.html

网络钓鱼攻击导致加密货币被盗

日期: 2024-01-02
标签: 信息技术, 网络钓鱼攻击

警告:专家发现虚拟货币钱包遭受网络钓鱼攻击,导致资金被盗。一些黑客组织提供“诈骗即服务”,帮助他人窃取加密货币并抽取所盗资金的20%至30%作为报酬。近期,类似服务宣布关闭,但网络钓鱼攻击仍在通过虚假广告和社交媒体消息进行。专家建议用户使用硬件钱包,验证智能合约的合法性,并定期审查钱包授权以防止可疑活动。

详情

https://thehackernews.com/2023/12/beware-scam-as-service-aiding.html

乌克兰监控摄像头遭到俄罗斯黑客入侵

日期: 2024-01-03
标签: 政府部门, 乌克兰安全局, 关键基础设施, 监控摄像头

乌克兰国家安全局(SBU)透露,与俄罗斯有关的威胁行为者黑客入侵了监控摄像头,以窥探基辅的防空部队和关键基础设施。SBU宣布关闭了两台据称被俄罗斯情报部门黑客入侵的监控摄像头。这些摄像头位于居民楼内,用于监视周边区域和停车场。黑客改变了摄像头的视角,并将其连接到YouTube直播平台。俄罗斯军队利用这些画面支持了1月2日对基辅的导弹袭击。乌克兰国家安全局正在实施反制措施,以防止未来黑客入侵监控摄像头进行侦察。自俄罗斯入侵乌克兰以来,SBU已关闭约1万个红外摄像头,这些摄像头可能被俄罗斯军队用于调整对乌克兰的导弹袭击。SBU呼吁监控摄像头的所有者停止设备的在线广播,并敦促公民报告发现的来自这些摄像头的画面。

详情

https://securityaffairs.com/156812/intelligence/russia-hacked-surveillance-cameras-ukraine.html

英国核废料管理公司受黑客攻击

日期: 2024-01-03
标签: 政府部门, Radioactive Waste Management (RWM), 社交工程, LinkedIn, 核废料管理

一组黑客上周针对英国政府拥有的公司放射性废物管理(RWM)展开了攻击,该公司负责英国数十亿美元的地质处置设施(GDF)核废料储存项目。黑客利用社交工程和LinkedIn,试图通过企业合并等变化欺骗目标,但目前尚未造成实质影响。被攻击者拒绝了黑客通过“多层防御”进行的攻击。黑客利用社交媒体网站创建假账户、发送虚假消息和恶意链接,以及收集信息来改善其欺骗手段,以获取企业系统的访问权限。LinkedIn建议用户避免与不熟悉的消息互动、提供个人或财务信息的消息、存在明显语法和拼写错误的消息以及包含过于慷慨或“过于美好以至不真实”的优惠信息的消息,以免成为这类欺骗或社交工程攻击的受害者。

详情

https://www.darkreading.com/ics-ot-security/cyberattackers-target-nuclear-waste-company-via-linkedin

Xerox Business Solutions(XBS)部门遭黑客入侵

日期: 2024-01-03
标签: 信息技术, 施乐公司

美国施乐商业解决方案(XBS)部门遭到黑客入侵,母公司施乐公司发布声明称,少量个人信息可能遭泄露。XBS专注于文档技术和服务,提供打印机、复印机、数字打印系统等产品,并提供相关咨询和供应服务。INC Ransom勒索软件团伙声称已将该公司列入勒索门户,并声称已从其系统中窃取敏感数据和机密文件。施乐表示事件仅限于XBS美国,并正与第三方网络安全专家合作,进行彻底调查并采取必要措施加强XBS IT环境的安全性。公司表示此次攻击对施乐或XBS的运营未造成影响,但初步调查显示少量个人信息遭泄露。数据样本显示泄露的内容包括电子邮件通信(包括内容和地址)、付款详情、发票、填写的申请表格和采购订单。威胁行为者可能持有多个XBS客户、合作伙伴和员工的数据,但目前尚不清楚泄露的程度。施乐承诺将通知所有受影响的个人。

详情

https://www.bleepingcomputer.com/news/security/xerox-says-subsidiary-xbs-us-breached-after-ransomware-gang-leaks-data/

澳大利亚维多利亚州法院服务机构遭遇 Qilin 勒索软件攻击

日期: 2024-01-03
标签: 商务服务, 政府部门, 澳大利亚维多利亚州法院服务机构(CSV), Qilin 勒索软件

澳大利亚维多利亚州法院服务机构(CSV)遭遇了一次 Qilin 勒索软件攻击,导致法庭听证的视频记录遭到泄露。攻击发生于 2023 年 12 月 21 日,但调查发现泄露始于 2023 年 12 月 8 日,影响的记录甚至可追溯到 2023 年 11 月 1 日。泄露的记录中包含公开和机密信息,可能会泄露敏感的法庭案件信息。受影响的法院将向受影响者发出违规通知。尽管 CSV 正在重建受影响系统并加强安全性,维多利亚州的法院运营不会受到影响,预定于 2024 年 1 月的所有案件预计会正常进行。

详情

https://www.bleepingcomputer.com/news/security/victoria-court-recordings-exposed-in-reported-ransomware-attack/

Mandiant Twitter账户被劫持冒充Phantom钱包散布加密货币诈骗

日期: 2024-01-04
标签: 信息技术, 文化传播, Mandiant, Phantom加密钱包

美国网络安全公司曼迪恩特(Mandiant)的Twitter账户今日遭到劫持,冒充Phantom加密钱包并散布加密货币诈骗。劫持者更名为@phantomsolw,并宣传冒充Phantom加密钱包的虚假网站,承诺分发免费的$PHNTM代币作为空投。点击“领取空投”按钮的用户将被重定向至合法网站,并被要求安装Phantom钱包。一旦安装,该钱包将尝试自动清空目标的加密货币钱包。然而,Phantom钱包现已警告称,这些诈骗网站属于网络钓鱼攻击。曼迪恩特的原始Twitter账户现显示“此账户不存在,请尝试搜索其他账户”的错误信息。

详情

https://www.bleepingcomputer.com/news/security/mandiants-account-on-x-hacked-to-push-cryptocurrency-scam/

Orange Spain遭黑客入侵导致网络中断

日期: 2024-01-04
标签: 信息技术, Orange Spain, 网络中断, BGP路由

Orange Spain因黑客入侵其RIPE账户,通过篡改BGP路由和RPKI配置导致互联网中断的事件。黑客修改了公司的IP地址关联的AS号,并在其上启用了无效的RPKI配置,导致网络性能问题。事件中涉及BGP路由协议和RPKI标准的安全漏洞,以及缺乏两步验证等安全措施所带来的风险。Orange Spain已确认RIPE账户遭到不当访问,并开始恢复服务。

详情

https://www.bleepingcomputer.com/news/security/hacker-hijacks-orange-spain-ripe-account-to-cause-bgp-havoc/

Xerox Business Solutions遭遇网络安全事件

日期: 2024-01-04
标签: 信息技术, Xerox Business Solutions(XBS), 施乐(Xerox)

Xerox Business Solutions(XBS)是施乐(Xerox)的子公司,近期遭遇了一起“网络安全事件”,据该公司发布的新闻稿称,这一事件的范围仅限于美国境内的XBS,并已在施乐的网络安全人员发现后得到控制。施乐公司主要生产办公和生产打印机、投影仪、扫描仪等各种办公设备。尽管施乐表示XBS和施乐公司的数据和运营未受影响,但第三方网络安全公司的调查表明,个人信息已在此次事件中被访问。公司尚未透露威胁行为者的信息,但勒索软件团伙INC Ransom在X(前身为Twitter)上将施乐列为受害者之一。施乐计划通知所有在此次事件中个人信息可能受到影响的个人。

详情

https://www.darkreading.com/cyberattacks-data-breaches/ransomware-group-claims-cyber-breach-on-xerox-subsidiary

UNC-0050利用新策略攻击乌克兰政府实体

日期: 2024-01-05
标签: 政府部门, UNC-0050, RemcosRAT

一个名为UNC-0050的攻击者利用RemcosRAT远程监控和控制工具对乌克兰组织进行重复攻击。该攻击者最近采用了新的数据传输策略,旨在在不触发终端检测和响应系统的情况下转移数据。攻击可能是出于政治动机,专注于乌克兰政府实体,并利用工作主题的钓鱼和垃圾邮件作为恶意软件分发方式。UNC-0050利用Windows匿名管道特性进行数据传输,以规避EDR或杀毒软件警报。这种技术虽不算新颖,但标志着该组织策略的显著进步。

详情

https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign

乌克兰Kyivstar电信遭俄黑客入侵

日期: 2024-01-05
标签: 政府部门, 信息技术, Kyivstar

乌克兰最大的电信服务提供商Kyivstar在2023年12月遭受俄罗斯黑客入侵,导致其核心网络系统被全部抹去。此次事件使Kyivstar的移动和数据服务中断,约2500万用户无法上网。乌克兰安全局(SSU)的网络安全部门主管伊利亚·维秋克在接受路透社采访时表示,威胁行动者于2023年5月入侵Kyivstar网络,数月后发动了这次攻击,并且已经至少从11月开始完全掌控了运营商的核心网络。Kyivstar的CEO和SSU暗示俄罗斯黑客可能涉及其中。据乌克兰计算机应急响应团队(CERT-UA)的报告显示,自2023年5月以来,俄罗斯Sandworm黑客已经入侵了11家乌克兰电信服务提供商的网络。

详情

https://www.bleepingcomputer.com/news/security/russian-hackers-wiped-thousands-of-systems-in-kyivstar-attack/

社交媒体认证账号遭黑客攻击,形成黑市交易

日期: 2024-01-05
标签: 文化传播, 信息技术, Twitter(现为X), 社交媒体账号

近期,黑客持续针对X(前身为Twitter)上的政府和商业账号,特别是标有“金色”和“灰色”认证标识的账号展开攻击,以推广加密货币欺诈、钓鱼网站和虚拟货币挖矿网站。这类攻击已导致多家知名机构和个人账号受到影响,包括Mandiant、加拿大参议员Amina Gerba、非营利联盟“The Green Grid”和巴西政治人物Ubiratan Sanderson。黑客甚至在暗网上出售被攻击的认证账号,形成了一个黑市交易。此外,一些黑客还与被攻击的沉寂企业账号合作,将其转化为“金色”认证账号后出售。研究人员建议企业关闭长期未使用的账号,并加强安全设置,包括启用双因素身份验证等措施。

详情

https://www.bleepingcomputer.com/news/security/hackers-hijack-govt-and-business-accounts-on-x-for-crypto-scams/

Orange Spain的RIPE帐户遭黑客攻击

日期: 2024-01-05
标签: 信息技术, Snow, Orange Spain

西班牙Orange Spain公司遭受网络攻击,导致互联网服务中断。一个名为“Snow”的黑客入侵了橙色公司的RIPE账户,篡改了BGP路由设置,使客户在1月3日数小时内无法上网。公司证实黑客入侵了其RIPE账户,并启动了调查。黑客通过更改IP地址范围的AS号和启用无效的RPKI配置来实施攻击。RPKI是用于保护互联网路由基础设施的系统,BGP是互联网自治系统间路由流量的关键协议。黑客声称是为了防止其他威胁行为者入侵账户才进行了攻击。RIPE NCC呼吁账户持有者更新密码并启用多因素身份验证,并发起了调查。安全专家推测黑客可能是通过橙色员工在2023年9月计算机感染了Raccoon信息窃取软件获取了凭证。

详情

https://securityaffairs.com/156920/hacking/orange-spain-ripe-account-hacked.html

0x06   安全漏洞

APT37利用漏洞进行攻击

日期: 2024-01-02
标签: 信息技术, APT舆情

Genius安全中心(GSC)检测到许多基于HWP和HWPX的新APT37攻击的迹象。这次攻击从2023年5月左右持续到2023年11月,主要在韩国使用的HWP韩文文档中使用恶意的OLE进行攻击。本报告提供了对过去活动和最近攻击中观察到的TTP的全面分析,旨在根据韩国发生的实际威胁提供见解。此威胁案例使用通常的HWP扩展。此外,Hancom建议使用的HWPX格式作为标准文档格式,在攻击中也被滥用。特别是,攻击者准备了多种战术尝试来有效实施这一威胁,例如不仅使用HWP和HWPX文档类型,还使用LNK、DOCX和XLSX文件同时进行攻击。

详情

https://www.genians.co.kr/hubfs/blogfile/20231229_threat_inteligence_report_market.pdf?hsLang=ko

SSH协议Terrapin漏洞威胁

日期: 2024-01-02
标签: 信息技术, Terrapin漏洞, 安全协议

SSH协议存在漏洞,攻击者可通过Terrapin漏洞降级连接安全性,实施前缀截断攻击。攻击者在握手过程中调整序列号,删除初始安全通道消息而不被客户端或服务器察觉。漏洞影响多款SSH客户端和服务器实现,包括OpenSSH、Paramiko、PuTTY等,需立即采取补丁措施。漏洞可能导致机密数据泄露和攻击者获取管理员权限,对云环境中广泛使用的企业应用至关重要。建议企业及时修补服务器漏洞,并识别和修复整个基础架构中的受影响客户端。

详情

https://thehackernews.com/2024/01/new-terrapin-flaw-could-let-attackers.html

Orbit Chain遭遇8600万美元加密货币袭击

日期: 2024-01-03
标签: 信息技术, Orbit Chain, 加密货币, 区块链

Orbit Chain近期遭受安全漏洞攻击,导致加密货币损失8600万美元,主要涉及以太坊、Dai、Tether和USD Coin。该平台作为多资产枢纽,支持不同区块链、去中心化应用和服务之间的互操作性。攻击发生在2023年12月31日,涉及未经授权的转账和多种资产类型的袭击。据Arkham区块链情报平台报告,Orbit Chain的余额瞬间从1.15亿美元降至2900万美元,损失约8600万美元。攻击手法尚不明确,但据信涉及朝鲜国家赞助的黑客。Orbit Chain已与韩国国家警察局和韩国互联网与安全局合作,这些机构专门针对朝鲜(DPRK)威胁。此次袭击的被盗资金正在追踪中,并已展开大规模行动冻结被盗资产。Orbit Chain警告称,骗子利用X上的认证账户推广虚假网站,冒充退款门户,诱使人们连接其钱包,并窃取所有资产和NFT。

详情

https://www.bleepingcomputer.com/news/security/orbit-chain-loses-86-million-in-the-last-fintech-hack-of-2023/

CISA发布两个已知被利用漏洞警报

日期: 2024-01-04
标签: 政府部门, CISA

美国网络安全和基础设施安全局(CISA)新增了两个已知被利用的漏洞到已知被利用漏洞目录中,其中一个是Google Chrome的一个已修复的漏洞,另一个是影响开源Perl库的一个bug。CISA要求联邦机构在1月23日之前采取措施来减轻这两个安全问题,并根据供应商的指示进行操作或停止使用受影响的产品。这些漏洞可能导致远程代码执行和堆缓冲区溢出,已经被黑客利用。

详情

https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-bugs-in-chrome-and-excel-parsing-library/

Ivanti 公司修复 Endpoint Management 软件关键漏洞

日期: 2024-01-05
标签: 信息技术, CVE-2023-39366, 远程代码执行漏洞

Ivanti 公司修复了其 Endpoint Management 软件(EPM)中的一个关键远程代码执行(RCE)漏洞,该漏洞可能被未经身份验证的攻击者利用,劫持已注册设备或核心服务器。该安全漏洞(CVE-2023-39366)影响所有支持的 Ivanti EPM 版本,已在 2022 服务更新 5 版本中得到解决。攻击者可以利用这一漏洞在目标内部网络中进行低复杂度攻击,无需特权或用户交互。此外,Ivanti 公司还修补了其移动设备管理解决方案中的多个严重安全漏洞。这些产品广泛应用于全球超过 40,000 家公司的 IT 资产和系统管理。

详情

https://www.bleepingcomputer.com/news/security/ivanti-warns-critical-epm-bug-lets-hackers-hijack-enrolled-devices/

0x07   安全分析

WinSxS文件夹中的DLL搜索顺序劫持威胁

日期: 2024-01-02
标签: 信息技术, DLL搜索顺序劫持, WinSxS文件夹

安全研究人员披露了一种新的动态链接库(DLL)搜索顺序劫持技术的变种,可用于绕过安全机制,在运行微软Windows 10和Windows 11的系统上执行恶意代码。该方法利用了可信的WinSxS文件夹中常见的可执行文件,并通过经典的DLL搜索顺序劫持技术进行利用。攻击者可以通过移动合法系统二进制文件到非标准目录,并在其中包含恶意DLL,以绕过系统的DLL加载顺序,从而实现对系统的攻击。安全公司Security Joes建议组织应该仔细监视WinSxS文件夹中二进制文件的活动,并检查进程之间的父子关系,特别关注可信二进制文件的活动。该技术可能影响的行业包括信息技术安全和网络安全。相关关键词包括DLL搜索顺序劫持、WinSxS文件夹、安全漏洞、恶意代码执行。

详情

https://thehackernews.com/2024/01/new-variant-of-dll-search-order.html

朝鲜网络攻击活动及相关远程就业欺诈分析

日期: 2024-01-02
标签: 信息技术, 钓鱼攻击

朝鲜国家行动者利用钓鱼攻击手段传送后门和工具,例如AppleSeed、Meterpreter和TinyNuke,控制被感染的机器。韩国网络安全公司AhnLab将此活动归因于一个名为Kimsuky的高级持续威胁组织。Kimsuky活跃时间长达十年,一直以来以韩国为目标,2017年开始扩大到其他地区。该组织上个月被美国政府制裁,因为他们积累情报以支持朝鲜的战略目标。Kimsuky的间谍活动通过包含恶意诱饵文档的钓鱼攻击实现,打开后部署各种恶意软件。这些活动涉及AppleSeed、AlphaSeed、Meterpreter和VNC等后门和恶意软件。同时,Nisos发现一些可能由朝鲜IT工作者在LinkedIn和GitHub上使用的在线身份,用于欺诈性地获取美国公司的远程就业机会,为朝鲜政权提供收入并资助其经济和安全优先事项。

详情

https://thehackernews.com/2023/12/kimsuky-hackers-deploying-appleseed.html

iOS设备面临"三角定位"零点击攻击威胁

日期: 2024-01-02
标签: 信息技术, 移动设备安全

苹果iPhone芯片中发现未记录的硬件功能,可被利用绕过内存保护,成为Kaspersky报告中"三角定位"APT攻击活动的核心。这一iOS间谍活动自2019年以来一直存在,利用多个零日漏洞绕过iPhone的安全措施,对用户隐私和安全构成持续风险。攻击以零点击方式针对iOS 16.2及以下版本的iMessage应用,利用四个零日漏洞进行攻击。攻击过程包括利用RCE漏洞、JavaScriptCore库、整数溢出漏洞等,最终安装间谍软件。这种攻击呈现出前所未有的复杂性,对iOS设备构成严重威胁,难以使用传统安全方法进行检测和分析。建议安全团队定期更新操作系统、应用程序和杀毒软件,安装最新的威胁情报,并采用EDR解决方案进行端点级检测和调查。

详情

https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections

Ateam安全事件分析

日期: 2024-01-03
标签: 文化传播, Ateam, Google Drive

日本游戏开发商Ateam因为在Google Drive配置上犯了一个简单的错误,导致近六年八个月内潜在但不太可能的情况下,将近一百万人的敏感信息暴露出来。这家日本公司是一家移动游戏和内容创作者,拥有多款游戏和工具,如《战神传说》、《暗黑召唤师》、《初音未来-点击奇迹》等。他们发现自2017年3月以来,错误地将Google Drive云存储实例设置为“任何人都可以通过链接查看”。暴露的数据包括个人信息、客户管理号码、设备识别号码等。虽然公司表示没有具体证据表明黑客已盗取暴露的信息,但仍呼吁人们保持警惕。此事件凸显了企业正确保护云服务以防止数据误公开的必要性。安全研究人员和威胁行动者通常会发现暴露的云服务,并下载其中的数据,而CISA已发布了关于如何正确保护云服务的指导。

详情

https://www.bleepingcomputer.com/news/security/android-game-devs-google-drive-misconfig-highlights-cloud-security-risks/

Google OAuth端点漏洞事件

日期: 2024-01-03
标签: 信息技术, OAuth漏洞, Google OAuth

研究人员记录一起利用未记录的Google OAuth端点的安全漏洞事件。攻击者通过操纵令牌来生成持久的Google Cookie,使得用户的Google会话在密码重置后仍然有效,从而保持对Google服务的持续访问权限。此漏洞被发现并利用,导致多个恶意软件集成了该功能,并通过“MultiLogin”端点绕过了典型的安全措施。文章指出了OAuth标准的风险和奖励,以及Prisma发现的Google端点的OAuth漏洞。CloudSEK分析了Lumma和Rhadamanthys等恶意软件对该漏洞的滥用方式,并强调了对新兴网络威胁的监控和应对的重要性。

详情

https://www.darkreading.com/cloud-security/attackers-abuse-google-oauth-endpoint-hijack-user-sessions

npm注册表遭受严重干扰

日期: 2024-01-05
标签: 信息技术, npm注册表, everything

npm软件包注册表遭受的一次严重干扰事件。一名开发者发布了名为“everything”的软件包,该软件包的依赖关系导致npm注册表上的所有软件包都无法被删除。这导致了严重的依赖混乱,使得其他开发者无法自由地删除他们的软件包。这个事件引发了对npm软件包管理政策的讨论,以及对开源软件注册表的安全性和稳定性的担忧。

详情

https://www.bleepingcomputer.com/news/security/everything-blocks-devs-from-removing-their-own-npm-packages/

Apache OfBiz漏洞及安全补丁研究

日期: 2024-01-05
标签: 信息技术, CVE-2023-51467, Apache OfBiz

未知组织对Apache的OfBiz企业资源规划(ERP)框架中的零日漏洞发起了调查,这表明了攻击者针对高价值漏洞发布的补丁进行分析的策略。该漏洞(CVE-2023-51467)允许攻击者访问敏感信息并远程执行代码,安全公司SonicWall的分析发现,Apache Software Foundation最初发布的补丁未能防止攻击的其他变体。攻击者利用补丁的不完善性,通过对补丁进行分析,发现了其他利用漏洞的方法。此外,攻击者还利用了Apache OfBiz漏洞进行攻击。谷歌的威胁分析组(TAG)数据显示,攻击者利用零日漏洞攻击已经修补的安全问题的情况有所增加。由于公司通常只对已知攻击向量进行补丁,因此漏洞未能得到完全修复。

详情

https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches

0x08   行业动向

微软再次禁用ms-appinstaller协议处理程序以防恶意软件传播

日期: 2024-01-02
标签: 信息技术, 微软(Microsoft), MSIX应用程序包

微软宣布将再次默认禁用ms-appinstaller协议处理程序,因多个威胁行为者滥用该程序分发恶意软件。这些攻击采用签名的恶意MSIX应用程序包,通过Microsoft Teams或搜索引擎中的恶意广告传播。至少四个以盈利为动机的黑客组织利用App Installer服务作为入口点进行勒索软件活动。这些攻击行为旨在绕过微软Defender SmartScreen等安全机制,对用户造成威胁。此前,微软曾于2022年和2023年禁用过ms-appinstaller协议处理程序。

详情

https://thehackernews.com/2023/12/microsoft-disables-msix-app-installer.html

Steam停止对Windows 7和8的支持

日期: 2024-01-03
标签: 文化传播, 游戏行业

2024年1月1日起,Steam正式停止对Windows 7、Windows 8和Windows 8.1操作系统的支持。这意味着在这些操作系统上安装的Steam客户端将不再接收任何更新,包括安全更新。微软已于2020年1月14日停止对Windows 7的支持,而Windows 8.1于2023年1月10日结束支持。Steam建议用户升级到受支持的Windows版本,如Windows 10或11。此外,Steam警告称,继续使用旧版Steam可能会使系统容易受到新的安全漏洞和窃取信息的恶意软件攻击。为了加强安全保护,Valve应要求开发人员在发布更新之前配置多因素身份验证。这一变化是为了增强Steam平台的安全性,以防止凭证被盗用和恶意游戏更新导致的供应链攻击。

详情

https://www.bleepingcomputer.com/news/security/steam-drops-support-for-windows-7-and-81-to-boost-security/

LastPass强制要求12字符主密码

日期: 2024-01-04
标签: 信息技术, LastPass, 密码管理, 多因素认证

LastPass通知客户,现在必须使用至少12个字符的复杂主密码来提高账户安全性。自2018年起,LastPass一直强调12个字符的主密码要求,但用户仍然可以选择使用更弱的密码。从2023年4月开始,LastPass开始强制要求新账户或密码重置时使用12个字符的主密码,但旧账户仍然可以使用少于12个字符的密码。从本月起,LastPass将对所有账户强制执行12个字符的主密码要求。此外,LastPass还将开始检查新或更新的主密码是否与以前泄露在暗网上的凭证匹配,以确保它们不与已经泄露的账户匹配。如果找到匹配项,客户将通过安全警告弹窗收到警报,并提示选择另一个密码以阻止未来的破解尝试。作为提高账户安全性的努力的一部分,LastPass还在2023年5月开始了强制多因素认证(MFA)重新注册流程,导致许多用户遇到重大的登录问题并被锁定在他们的账户之外。

详情

https://www.bleepingcomputer.com/news/security/lastpass-now-requires-12-character-master-passwords-for-better-security/

乌克兰要求停止摄像头广播,以防俄罗斯军事侦察

日期: 2024-01-04
标签: 乌克兰, 俄罗斯, 政府部门, SSU (Security Service of Ukraine)

SSU要求乌克兰的摄像头所有者和运营商停止从设备中进行广播,因为俄罗斯的情报机构可能利用这些视频来对战略目标进行军事侦察。最近,俄罗斯特工入侵了基辅的两个住宅摄像头,以获取有关该市防空系统的信息,之后发动了对乌克兰首都的导弹袭击。SSU已经封锁了乌克兰境内约10,000个IP摄像头的运行,以防止俄罗斯利用它们进行导弹攻击。俄罗斯入侵者利用这些摄像头收集数据,为对基辅的打击做准备和调整。乌克兰国家安全机构提醒公民和街道摄像头运营商,禁止发布可能被俄罗斯用于有针对性攻击的视频和图像。

详情

https://www.darkreading.com/ics-ot-security/russian-agents-use-residential-webcams-to-gather-info-for-missile-attack-on-kyiv

美国联邦贸易委员会(FTC)启动语音克隆挑战赛

日期: 2024-01-05
标签: 政府部门, 信息技术, 人工智能, 美国联邦贸易委员会(FTC)

美国联邦贸易委员会(FTC)启动了语音克隆挑战赛,旨在保护消费者免受人工智能(AI)语音克隆技术带来的欺诈危险。该挑战赛旨在寻找方法来对抗语音克隆技术的滥用,以及为了应对人工智能改进所带来的技术飞速发展。语音克隆技术可以通过分析目标的音频剪辑提取独特的声音特征,并使用训练数据生成新的语音。尽管语音克隆技术有合法用途,如个性化文本转语音服务和辅助残障人士的工具,但威胁行为者也可以利用它进行欺诈活动,如语音钓鱼、社会工程和其他类型的基于语音的诈骗。

详情

https://www.bleepingcomputer.com/news/security/ftc-offers-25-000-prize-for-detecting-ai-enabled-voice-cloning/

0x09   勒索攻击

INC RANSOM勒索软件组织声称侵入施乐公司

日期: 2024-01-02
标签: 信息技术, 施乐公司, INC RANSOM

据报道,INC RANSOM勒索软件组织声称已经侵入美国跨国公司施乐公司。施乐公司在全球范围内提供文档管理解决方案,包括桌面黑白和彩色打印机、多功能打印机、复印机、数码印刷机和轻型生产设备;以及为平面传媒市场和大型企业提供的生产打印和出版系统。INC RANSOM勒索软件组织声称对侵入施乐公司负责,并威胁公开所谓的窃取数据。该组织还将施乐公司列入其Tor泄露网站的受害者名单。勒索软件组织发布了八份文件的图片,包括电子邮件和一张发票,作为入侵的证据。目前尚不清楚公司所声称窃取的数据量。INC RANSOM自2023年以来一直活跃,声称迄今已侵入40多家组织。

详情

https://securityaffairs.com/156679/cyber-crime/inc-ransom-ransomware-xerox-corp.html

Gallery Systems遭遇勒索软件攻击

日期: 2024-01-03
标签: 文化传播, Gallery Systems, 博物馆管理软件

Gallery Systems是一家博物馆软件解决方案提供商,最近遭受了勒索软件攻击,导致IT系统瘫痪。攻击加密了计算机系统,并影响了eMuseum平台等服务。著名用户如MoMA和Met也受到了影响。Gallery Systems正在进行内部调查,并已通知执法部门。攻击的影响正在评估中,将向客户提供更新。目前尚不清楚谁是负责攻击的威胁行为者。

详情

https://www.bleepingcomputer.com/news/security/online-museum-collections-down-after-cyberattack-on-service-provider/

0x0a   其他事件

成人网站因新年龄验证法规屏蔽美国部分州访问

日期: 2024-01-04
标签: 信息技术, 成人网站, 年龄验证法规

著名成人媒体公司Aylo因蒙大拿和北卡罗来纳州的新年龄验证法规而屏蔽了其网站,包括PornHub等。这些法规要求成人网站对来自这些州的访问者进行年龄验证。公司表示对于这些法规的合规性,但也指出年龄验证可能存在隐私和儿童安全问题。此举可能导致受影响的州的居民购买VPN绕过限制,而成人网站可能会屏蔽VPN流量以避免法律责任。此外,用户可能转向风险较高的未知VPN产品,从而面临信息窃取和账户风险。

详情

https://www.bleepingcomputer.com/news/security/pornhub-blocks-north-carolina-montana-over-new-age-verification-laws/

Zeppelin 勒索软件源代码出售

日期: 2024-01-05
标签: 信息技术, Zeppelin勒索软件, RaaS, 源代码

一位黑客在网络犯罪论坛上宣布出售Zeppelin勒索软件的源代码和破解版本,售价仅为500美元。威胁情报公司 KELA 发现了这篇帖子,尽管尚未验证这一报价的合法性,但卖家的截图表明该软件包是真实存在的。这一软件包的购买者可以利用该恶意软件开展新的勒索软件即服务(RaaS)业务,或者基于 Zeppelin 家族编写新的锁定程序。卖家使用“RET”作为其身份标识,明确表示自己并非该恶意软件的作者,而是成功破解了该软件的构建器版本。卖家还表示,他们打算将产品出售给单一买家,并将在交易完成之前暂停销售。

详情

https://www.bleepingcomputer.com/news/security/zeppelin-ransomware-source-code-sold-for-500-on-hacking-forum/

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2024-01-01 360CERT发布安全周报