报告编号：CERT-R-2024-640

报告来源：360CERT

报告作者：360CERT

更新日期：2024-01-15

0x01   事件导览

本周收录安全热点56项，话题集中在网络攻击、安全漏洞、恶意软件，主要涉及的实体有：Mandiant、Cofense电子邮件安全公司、loanDepot等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

朝鲜APT组织TA444发布新型macOS恶意软件“SpectralBlur”

日期: 2024-01-08
标签: 政府部门, 信息技术, TA444, macOS

TA444，朝鲜国家支持的威胁行为者，利用名为“SpectralBlur”的新型恶意软件针对macOS用户进行攻击。这款定制工具是该高级持续性威胁（APT）组织不断生成的专有恶意软件系列中的最新产品，这一特点使其与其他朝鲜支持的威胁有所区别。根据Proofpoint威胁研究员Greg Lesnewich的说法，TA444于8月推出了SpectralBlur恶意软件。他在个人博客中解释说，这是一个“中等能力的后门，可以根据从命令与控制服务器发出的命令上传/下载文件，运行shell，更新配置，删除文件，休眠或睡眠”。SpectralBlur只是设计用来攻击macOS用户的最新工具之一，成为朝鲜国家支持的攻击者特别关注的对象。

详情

Google Chrome API 被恶意软件滥用

日期: 2024-01-08
标签: 信息技术, Google Chrome

恶意软件利用未记录的 Google Chrome API 生成新的身份验证 Cookie。这些 Cookie 能够在先前被盗取的 Cookie 过期后恢复，进而被用于获取感染用户的 Google 账户。恶意软件利用 Google OAuth "MultiLogin" API 端点滥用功能，生成新的有效身份验证 Cookie。Google 对此表示认识，并称这是常见的恶意软件基于 Cookie 的盗取行为，而不是利用漏洞。Google 的解决方案是让用户从受影响的设备中注销 Chrome 浏览器或终止所有活动会话，从而使刷新令牌无效。此外，用户应谨慎更改 Google 密码，并采取其他安全措施以防止恶意软件感染。

详情

恶意加密货币广告泛滥，X广告平台收入骤降

日期: 2024-01-08
标签: 信息技术, 加密货币欺诈

网络犯罪分子利用某广告平台进行加密货币欺诈活动。该广告平台在用户感兴趣的领域展示广告，但近期出现了大量针对加密货币用户的恶意广告，包括推广泵炼和倾销、网络钓鱼页面以及加密货币欺诈网站。恶意广告的数量急剧增加，引发了安全研究人员的关注。一些用户已经在广告上留下社区备注，警告其他用户这些广告是欺诈。报道还提到了一款名为“MS Drainer”的加密货币欺诈软件，据称已经从63,210名受害者那里窃取了5900万美元。对于这些广告，用户普遍感到失望，并认为该广告平台缺乏审核措施。报道还指出，该广告平台的广告收入预计将下降25亿美元，这引发了用户对该平台是否故意放任恶意广告以增加广告收入的猜测。涉及实体包括该广告平台、安全研究人员和网络犯罪分子。

详情

分析TA444的SpectralBlur恶意软件

日期: 2024-01-09
标签: 政府部门, APT舆情

本报告是一篇关于TA444（又名Sapphire Sleet、BLUENOROFF、STARDUST CHOLLIMA）的Macho系列的文章，研究人员在8月份发现了SpectralBlur，以及偶然发现了KANDYKORN（又名 SockRacket）的早期版本。来自Censys的互联网扫描数据提示了一个可疑域，该域与Interception集群有初步链接（已将其与数据集中的TA444合并）。在 VirusTotal上监控该域，并观察到从auth子域下载了一个名为.macshare的文件。

详情

分析TA444的CosmicRust恶意软件

日期: 2024-01-09
标签: 信息技术, CosmicRust, APT舆情

本篇报告分析了TA444的（又名Sapphire Sleet、BLUENOROFF、STARDUST CHOLLIMA）Macho家族，称之为 CosmicRust。是用Rust编写的，感觉像是RustBucket的一个不太成熟的版本——主要区别是CosmicRust使用WebSockets进行通信。CosmicRust使用了临时证书，并将自己称为机器人客户端，并重新使用了之前TA444样本中找到的一些路径。

详情

新型Mirai Botnet变种NoaBot引发加密货币挖矿活动

日期: 2024-01-11
标签: 信息技术, NoaBot

研究人员发现一个名为NoaBot的基于Mirai的新型僵尸网络，该网络自2023年初以来被威胁行为者用于加密货币挖矿活动。NoaBot具有自我传播能力和SSH密钥后门，可下载和执行额外的二进制文件或传播到新的受害者。该网络可能与另一个名为P2PInfect的Rust-based恶意软件家族相关联，并且其传播模块利用SSH扫描程序搜索易受字典攻击的服务器。NoaBot还包括混淆策略，最终部署了修改版的XMRig加密货币挖矿程序。该变种的独特之处在于其不包含有关挖矿池或钱包地址的信息，使得评估非法加密货币挖矿计划的盈利性变得不可能。截至目前，Akamai已经确认了849个受害者IP地址，这些受害者分布在全球各地，其中在中国的攻击数量最多。

详情

Babuk勒索软件变种Tortilla解密工具发布

日期: 2024-01-11
标签: 信息技术, Babuk勒索软件

Cisco Talos发布了Tortilla变种的解密工具，使受害者能够恢复文件访问权限。该解密工具的更新得益于与荷兰执法部门共享的威胁情报，并与Avast共享了加密密钥。此外，德国网络安全公司Security Research Labs也发布了一款名为Black Basta Buster的解密工具，利用了加密漏洞来恢复文件。然而，Bleeping Computer报道称，Black Basta开发人员已修复了这个漏洞，阻止了该工具对新型感染的有效性。

详情

FBot：一种针对云端和SaaS的新型Python黑客工具

日期: 2024-01-12
标签: 信息技术, FBot, Python

研究人员发现一种名为FBot的新型基于Python的黑客工具，它针对的目标包括Web服务器、云服务、内容管理系统（CMS）以及诸如Amazon Web Services（AWS）、Microsoft 365、PayPal、Sendgrid和Twilio等SaaS平台。FBot的关键特性包括凭证窃取、AWS账户劫持工具，以及对PayPal和各种SaaS账户进行攻击的功能。该工具的最终目标是劫持云端、SaaS和Web服务，并通过出售访问权限来获利。此外，FBot还具有生成AWS和Sendgrid的API密钥、生成随机IP地址、运行反向IP扫描器、验证PayPal账户和相关电子邮件地址等功能。该工具还能够从Laravel环境文件中提取凭证。研究人员表示，他们发现了从2022年7月到最近的样本，这表明该工具正在野外积极使用。然而，目前尚不清楚该工具是否得到积极维护，以及它是如何分发给其他参与者的。

详情

0x04   数据安全

Zeppelin勒索软件源代码在俄罗斯网络犯罪论坛上出售

日期: 2024-01-08
标签: 信息技术, Zeppelin

一位攻击者以500美元的价格在俄罗斯网络犯罪论坛上出售了Zeppelin勒索软件的源代码和破解版构建工具。此举可能标志着RaaS（勒索软件即服务）模式下的Zeppelin勒索软件的复苏，而在此之前，许多人已经认为该恶意软件已经基本失效。以色列网络安全公司KELA的研究人员发现了这一情报，并指出了该威胁行为者使用的论坛和其它活动。该软件曾在美国多个关键基础设施行业和企业中发动过多次攻击。Victoria Kivilevich表示，尚不清楚威胁行为者是如何获取Zeppelin的代码和构建工具的，但他已明确表示自己并非该恶意软件的作者。该情报还提到，Zeppelin勒索软件的源代码可能已经修复了原始版本中的多个加密漏洞，并且该威胁行为者在其他网络犯罪论坛上已经建立了一定的信誉。这项情报预示着Zeppelin源代码的购买者可能会将其用于进一步的网络攻击行动。

详情

沙特工业和矿产资源部（MIM）敏感数据曝光

日期: 2024-01-09
标签: 政府部门, 沙特工业和矿产资源部（MIM）

沙特工业和矿产资源部（MIM）的环境文件曝光。研究团队发现，敏感数据在15个月内对任何人都是可访问的，其中包括数据库凭据、邮件凭据和数据加密密钥等重要信息。这些泄露可能导致攻击者进行账号劫持、勒索软件攻击以及敏感信息泄露等安全威胁。

详情

瑞士空军文件泄露事件暴露安全公司数据泄露风险

日期: 2024-01-09
标签: 交通运输, 瑞士空军, 暗网

瑞士空军的文件在美国安全公司遭受数据泄露后被泄露到暗网上。Ultra Intelligence & Communications公司遭受黑客组织BlackCat的数据侵袭，导致瑞士空军的敏感文件被盗取，其中包括了与Ultra Intelligence & Communications公司价值近500万美元的合同文件。瑞士国防部对此展开了调查，确认了军队的操作系统未受到影响。此外，还介绍了BlackCat/ALPHV勒索软件团伙的活动情况，以及FBI对其泄露网站的查封情况。

详情

FTC禁止数据经纪商出售敏感位置数据

日期: 2024-01-10
标签: 信息技术, FTC

美国联邦贸易委员会（FTC）禁止数据经纪商Outlogic（前身为X-Mode Social）出售美国人的原始位置数据，该数据可能被用于跟踪目的。FTC的投诉揭示了Outlogic向各行各业的数百个客户出售消费者位置数据的历史，包括房地产、金融和政府部门。此外，Outlogic的不完善技术保障导致忽视某些安卓用户拒绝跟踪和个性化广告的请求。FTC主席Lina Khan表示：“随着AI模型进一步激励公司收集个人数据，限制公司跟踪和使用敏感信息至关重要。”

详情

Fidelity National Financial遭网络攻击泄露130万客户数据

日期: 2024-01-11
标签: 房地产, Fidelity National Financial（FNF）

Fidelity National Financial（FNF）证实了一起11月份的网络攻击事件，导致130万客户数据泄露。FNF是美国的一家房地产和抵押贷款行业的标题保险和交易服务提供商，是美国规模最大的公司之一，年收入超过100亿美元，市值133亿美元，员工超过23,000人。在12月中旬，该公司警告称已遭受网络攻击，威胁者使用盗窃的凭证访问了网络。攻击发生在2023年11月19日，持续了7天，被成功遏制。调查揭示入侵者窃取了130万客户数据。FNF已通知受影响的客户和适用的州检察长和监管机构，并提供信用监控、网络监控和身份盗窃恢复服务。该事件未对FNF系统造成扩散，不会对其财务状况和业务产生实质影响。

详情

Halara时尚休闲服装品牌遭遇数据泄露事件

日期: 2024-01-12
标签: 批发零售, Halara

一家名为Halara的时尚休闲服装品牌遭遇数据泄露事件。据称，该公司近95万名客户的数据在黑客论坛上被泄露。黑客声称通过Halara网站的API漏洞获取了数据，并未向Halara公司报告，而是免费发布泄露的信息。此外，黑客还警告Halara客户要提防针对其进行的短信钓鱼攻击。BleepingComputer已经确认了部分泄露数据的准确性，但尚未确认所有数据的准确性。该事件可能导致Halara客户面临更多的网络安全威胁。

详情

Framework Computer数据泄露事件

日期: 2024-01-12
标签: 信息技术, Framework Computer

Framework Computer因其会计服务提供商Keating Consulting Group遭受网络钓鱼攻击而披露了数据泄露事件。Keating Consulting的一名会计在被冒充Framework首席执行官的威胁行为者欺骗后，分享了包含客户个人信息的电子表格。数据泄露包括客户姓名、电子邮件地址和未清余额，可能导致钓鱼风险。Framework已通知受影响客户，并要求其员工接受网络钓鱼和社会工程攻击培训，并对信息请求流程进行审核。

详情

0x05   网络攻击

土耳其黑客组织 Sea Turtle 发起网络间谍活动

日期: 2024-01-08
标签: 信息技术, 网络间谍活动

研究人员发现一起由土耳其相关的威胁行为者Sea Turtle 发起的新型网络间谍活动，目标包括荷兰的电信、媒体、互联网服务提供商、IT服务提供商和库尔德网站。Hunt & Hackett 公司指出，Sea Turtle 利用供应链和岛屿跳跃攻击手段，窃取少数群体和政治异见者的个人信息，可能用于监视或情报收集。Sea Turtle 还被称为 Cosmic Wolf、Marbled Dust、Teal Kurma 和 UNC1326，活动始于2017年，利用 DNS 劫持重定向目标流量，并在2021年被发现使用名为 SnappyTCP 的 Linux/Unix 简易反向 TCP shell 进行攻击。Hunt & Hackett 公司建议组织应采取强密码策略、实施双因素认证、限制登录尝试次数、监控 SSH 流量，并及时更新系统和软件以减轻此类攻击风险。

详情

UNC-0050再次针对乌克兰政府机构发动攻击

日期: 2024-01-08
标签: 政府部门, 乌克兰政府机构

根据Uptycs研究人员的报告，一名威胁行为者（UNC-0050）近期再次针对乌克兰政府机构展开攻击，使用了新的数据传输策略，旨在规避终端检测和响应系统。这一威胁行为者利用RemcosRAT远程监视和控制工具，可能是出于政治动机，专注于收集乌克兰政府机构的特定情报。攻击活动的初始攻击向量可能是伪装成工作主题的钓鱼和垃圾邮件。UNC-0050利用Windows匿名管道进行数据传输，这种策略在威胁行为者中相对罕见，显示了该组织策略的复杂性。乌克兰国家电脑紧急响应队曾多次发出警报，警告该威胁行为者试图向乌克兰目标分发RemcosRAT。

详情

美国抵押贷款公司loanDepot遭受网络攻击

日期: 2024-01-08
标签: 信息技术, 金融业, loanDepot

美国抵押贷款公司loanDepot遭受网络攻击，oanDepot的IT系统被迫下线，导致客户无法在线支付贷款或联系公司。公司确认遭受网络攻击，并正在与执法部门和取证专家合作进行调查。社交媒体上关于网络攻击的回应已消失，但仍然出现在公司的服务门户网站上。该消息指出，自动付款将继续进行，但在付款历史中会有延迟。此外，客户无法通过服务门户网站进行新的付款，应该联系公司的呼叫中心。尚不清楚这次攻击的具体类型，但很可能是勒索软件攻击。倘若是勒索软件攻击，威胁行为者可能在攻击中窃取了公司和客户数据，以此作为要挟公司支付赎金的筹码。由于loanDepot持有客户的敏感信息，客户应警惕潜在的网络钓鱼攻击和身份盗窃。此外，文中还提到了另一家抵押贷款公司Mr. Cooper在2023年遭受网络攻击，并披露14.7万客户个人数据泄露的情况。

详情

多伦多动物园和公共图书馆遭网络攻击

日期: 2024-01-09
标签: 公共环保, 多伦多动物园, 多伦多公共图书馆

多伦多动物园和多伦多公共图书馆遭受了网络安全攻击。动物园表示，动物和日常运营未受影响，网站也未受到影响。图书馆则表示，网站、公共电脑和数字档案等多项服务不可用。攻击者窃取了员工、顾客、志愿者和捐赠者的个人信息文件。两起事件都已报警并正在与网络安全专家合作调查。

详情

Netgear和Hyundai MEA Twitter账户遭黑客加密货币诈骗

日期: 2024-01-09
标签: 文化传播, 信息技术, Netgear, 加密货币诈骗活动

Netgear和Hyundai MEA的Twitter账户被黑客攻击，用来推广加密货币诈骗活动。Hyundai MEA的账户被黑客盗用并更名为Overworld，而Netgear的账户则被用来回复BRCapp的推文，引诱关注者访问恶意网站。被黑客攻击的账户都是经过验证的政府和商业账户，用以增加恶意推文的合法性。

详情

土耳其网络间谍组织Sea Turtle在荷兰进行网络间谍活动

日期: 2024-01-09
标签: 土耳其, 信息技术, Sea Turtle, 网络间谍活动

土耳其支持的网络间谍组织Sea Turtle在荷兰进行了多起间谍活动，主要针对电信公司、媒体、互联网服务提供商（ISPs）和库尔德网站。这一行动是新的网络间谍活动，表明Sea Turtle扩大了其活动范围。研究人员观察到Sea Turtle使用了新的技术和恶意软件，并且这些攻击似乎专注于获取符合土耳其国家利益的经济和政治情报。Sea Turtle使用已知漏洞和被入侵的账户进行初始访问，并且未能有效地隐藏其活动痕迹。此外，他们部署了名为'SnappyTCP'的新工具，用于在受感染的系统上建立持久后门。对于这一威胁，建议采取严格的网络监控、在所有关键账户上启用多因素认证，并将SSH暴露降至最低限度。

详情

Sea Turtle组织攻击荷兰的IT和电信公司

日期: 2024-01-09
标签: 信息技术, APT舆情

Hunt&Hackett观察到Sea Turtle在荷兰开展了多次攻击。这些攻击的作案手法与威胁情报报告中公布的作案手法和信息基本一致。对其中一次攻击的调查表明，该组织表现出国家支持的网络间谍组织的特征，主要致力于通过间谍活动获取经济和政治情报，以促进土耳其的利益。Hunt&Hackett已开始跟踪该组织，并观察到该威胁攻击者针对荷兰特定组织的更多行动。这些网络攻击据信是由“Sea Turtle”组织精心策划的，其行动符合土耳其的利益，这标志着土耳其在荷兰境内追求目标的升级。在荷兰观察到的行动似乎主要针对电信、媒体、ISP和IT服务提供商，尤其是库尔德网站（以及其他PPK附属网站）。威胁攻击者执行防御规避技术以避免被检测到，并且还观察到威胁攻击者收集潜在的敏感数据，例如电子邮件。他们的作案手法包括拦截受害者网站的互联网流量，并可能授予对政府网络和其他组织的未经授权的访问。

详情

UAC-0184对乌克兰军人进行有针对性的攻击

日期: 2024-01-10
标签: 政府部门, APT舆情

2023年12月22日，趋势科技专家向CERT-UA通报了检测到可疑文件的情况，其中大部分与战争有关。根据收到的信息CERT-UA采取措施调查一系列网络攻击，这些攻击打着为第三独立突击旅和以色列国防军(IDF)招募人员的幌子，针对乌克兰军队的武装部队军人进行攻击。尽管使用了公开可用的工具（这可能会导致识别与其他攻击的相似性），但所描述的攻击行动是基于其他特定功能的独立网络威胁集群，并由UAC-0184标识符进行跟踪。

详情

SEC账户遭黑客攻击发布虚假比特币ETF批准公告

日期: 2024-01-10
标签: 金融业, 信息技术, 加密货币欺诈

美国证券交易委员会（SEC）的账户被黑客攻击，发布了一条虚假的比特币ETF批准公告。该消息迅速传播，导致比特币价格短暂上涨，但随后SEC证实账户被黑客攻击，公告为虚假。此外，还提到了其他组织账户被黑客攻击的情况，以及恶意广告推广加密货币欺诈活动的现象。

详情

巴拉圭Tigo Business遭黑客攻击

日期: 2024-01-10
标签: 信息技术, Tigo Business, 巴拉圭武装部队的信息和通信技术总局, Black Hunt勒索软件

2024年1月初，Tigo Business在巴拉圭遭受了网络攻击，导致云和托管服务受到影响。该公司是巴拉圭最大的移动运营商，其Tigo Business部门为企业提供数字解决方案，包括网络安全咨询、云和数据中心托管以及广域网解决方案。据报道，攻击导致许多公司的网站在Tigo Business托管的服务器上出现故障。尽管Tigo没有提供有关网络攻击的详细信息，但社交媒体上的报告表明，他们遭受了Black Hunt勒索软件的攻击。随后，巴拉圭武装部队的信息和通信技术总局发布了一份警报，警告该国的公司注意Black Hunt勒索软件的攻击。Black Hunt勒索软件于2022年底开始出现，主要针对南美洲的公司进行攻击。该勒索软件会在公司网络中悄无声息地传播，直到获得足够的访问权限，然后加密网络数据。攻击导致超过330台服务器被加密，备份也遭到破坏。

详情

APT-C-56（透明部落）使用RlmRat家族最新攻击活动

日期: 2024-01-11
标签: 政府部门, APT舆情

APT-C-56（透明部落）是南亚一个具有政府背景的高级持续性威胁组织，其长期针对周边国家和地区的军队和政府机构实施定向攻击，目的是收集各类情报。近期，360烽火实验室持续监控到透明部落组织在Android平台的RlmRat家族新样本。通过对这些样本进行分析，发现最近的样本相比此前的同家族样本有了明显的变化，属于RlmRat家族的精简版。这些样本使用了相似的结构设计，以窃取设备各类文件为主，受影响地区主要为印度。

详情

乌克兰黑客组织对俄罗斯互联网服务提供商进行网络攻击

日期: 2024-01-11
标签: 政府部门, 俄乌战争, Kyivstar, M9com

乌克兰黑客组织“Blackjack”声称对俄罗斯互联网服务提供商M9com进行了网络攻击，以回应对Kyivstar移动运营商的攻击。Kyivstar是乌克兰最大的电信服务提供商，其服务在去年12月中受到了来自俄罗斯黑客的攻击，导致服务严重中断。调查发现，俄罗斯黑客组织在去年5月就已经侵入Kyivstar，并在12月进行了大规模的数据删除。此外，“Blackjack”组织还声称成功入侵了莫斯科的主要互联网服务提供商M9com，并窃取了公司的机密数据。该组织还公布了证明他们入侵M9com系统的图像和文本文件。报道称，“Blackjack”组织可能与乌克兰安全局（SBU）有关，并在攻击中删除了约20TB的数据。

详情

网络安全公司Mandiant遭黑客攻击

日期: 2024-01-11
标签: 信息技术, Mandiant

网络安全公司Mandiant及其相关社交媒体账户遭到黑客攻击。攻击者利用社交媒体账户发布链接，引导关注者前往虚假的加密货币页面，以窃取加密货币资产。Mandiant进行了调查，发现攻击者使用了一种名为CLINKSINK的钱包窃取器。此外，文章还提到了一系列类似的攻击事件，涉及到多个社交媒体平台和加密货币领域。

详情

Sticky Werewolf使用Darktrack RAT攻击俄罗斯

日期: 2024-01-12
标签: 政府部门, 信息技术, APT舆情

网络间谍APT组织Sticky Werewolf试图破坏假期，并在新年假期期间攻击俄罗斯组织。因此，1月2日至3日，他们向电信公司发送了大约250封电子邮件。该组织声称代表联邦安全局向目标发送网络钓鱼电子邮件。主题为“关于提供信息”的网络钓鱼邮件要求“根据要求”提供经过认证的文档副本以及下载恶意文件的链接。作为攻击的一部分，攻击者再次使用了Darktrack RAT远程访问木马。

详情

T-Mobile遭遇技术故障

日期: 2024-01-12
标签: 信息技术, T-Mobile

T-Mobile遭遇重大故障，导致客户无法登录其账户和使用公司的移动应用。客户尝试访问其账户时会收到错误警告，称移动运营商的网站被“拔掉”了。同时，T-Mobile的前线团队也在多个应用程序中看到登录和其他错误。这些问题始于太平洋时间下午12:19，影响员工处理激活、升级、账户修改和付款等操作。零售和客户服务T-Mobile员工被要求告知打电话报告这些问题的客户“我们正在经历系统挑战，影响我们几乎所有交易的处理能力”。T-Mobile告诉BleepingComputer，这不是一次网络攻击，而是一次内部技术问题，他们正在迅速解决。

详情

WordPress网站遭受Balada Injector恶意攻击

日期: 2024-01-12
标签: 信息技术, WordPress, Balada Injector

研究人员发现了一个针对WordPress网站的恶意攻击活动，使用了Popup Builder插件的漏洞进行注入。Balada Injector恶意软件被用于在受影响的网站上注入后门，将访问者重定向到虚假支持页面、彩票网站和推送通知欺诈页面。此次攻击活动于2023年12月13日启动，利用Popup Builder的跨站脚本（XSS）漏洞进行攻击。攻击者还使用了次要感染方法，修改wp-blog-header.php文件以注入相同的JavaScript后门。受影响的网站数量已达6700个，攻击者还试图掩盖攻击来源，使用Cloudflare防火墙。防御此类攻击需要WordPress网站管理员及时更新主题和插件，卸载不再受支持或不需要的产品，并尽量减少活跃插件数量以降低攻击面。

详情

0x06   安全漏洞

Kyber密钥封装机制存在安全漏洞

日期: 2024-01-08
标签: 信息技术, 量子安全算法

Kyber的多个实现存在一组名为KyberSlash的漏洞，可能导致秘钥泄露。CRYSTALS-Kyber是Kyber密钥封装机制的官方实现，用于抵御量子计算攻击。KyberSlash漏洞源于Kyber在解封装过程中执行某些除法操作的时间攻击，允许攻击者分析执行时间并推导出可能破坏加密的秘密。研究人员发现了KyberSlash1和KyberSlash2漏洞，并已向Kyber开发人员报告。已经修复了KyberSlash1，但直到12月15日，Cryspen才开始通知受影响的项目升级其Kyber实现。截至2024年1月2日，已确认有多个项目受到影响。

详情

Cacti网络监控框架存在严重漏洞

日期: 2024-01-09
标签: 信息技术, CVE-2023-51448, 网络监控

研究人员发现Cacti网络性能监控框架中的一个严重漏洞CVE-2023-51448，该漏洞存在于Cacti 1.2.25版本中，攻击者可以利用此漏洞泄露整个数据库内容，并且可能实现远程代码执行。该漏洞源于Cacti未能对输入数据进行适当的清理，导致了盲目SQL注入攻击的可能性。攻击者可以利用Shodan等服务轻松发现存在漏洞的Cacti系统，并利用具备特定权限的账户发送特制HTTP GET请求来触发漏洞。虽然盲目SQL注入攻击难以大规模实施，但对于具备所需权限的攻击者而言，利用该漏洞却相对容易。

详情

MSSQL服务器遭受Mimic勒索软件攻击

日期: 2024-01-10
标签: 信息技术, Mimic勒索软件

一组来自土耳其的金融动机黑客团伙，针对全球范围内的Microsoft SQL (MSSQL)服务器进行攻击，使用Mimic (N3ww4v3)勒索软件加密受害者的文件。这些持续的攻击被跟踪为RE#TURGENCE，主要针对欧盟、美国和拉丁美洲地区的目标。黑客通过利用MSSQL数据库服务器的不安全配置和暴力攻击，获取服务器访问权限，并部署了Mimic勒索软件。攻击过程中涉及了多种恶意行为，包括利用xp_cmdshell过程、Cobalt Strike载荷、AnyDesk远程桌面应用程序以及Mimikatz等。最终，黑客部署了Mimic勒索软件，对文件进行加密，并留下了勒索通知。此外，勒索通知中提供的电子邮件地址datenklause0@gmail.com也将这个威胁组织与Phobos勒索软件攻击联系在一起。

详情

CISA添加6个漏洞到已知被利用漏洞目录（KEV）中

日期: 2024-01-10
标签: 信息技术, KEV目录, Apache, 苹果iPhone

美国网络安全与基础设施安全局（CISA）将六个影响苹果、Adobe、Apache、D-Link和Joomla产品的漏洞添加到已知被利用漏洞目录（KEV）中。KEV包含在野外活跃利用的安全问题，对全球组织在漏洞管理和优先处理过程中具有重要价值。CISA要求联邦机构在1月29日之前修补这六个漏洞或停止使用受影响的产品。漏洞包括Apache Superset、Joomla!、苹果iPhone、Adobe ColdFusion和D-Link DSL-2750B设备的安全问题。一些漏洞最近才被披露并被利用，例如CVE-2023-41990在2019年开始的“三角定位”活动中被利用。安全研究人员展示了供应商的补丁可以被绕过，导致CVE-2023-38203和CVE-2023-29300被黑客利用。建议组织和联邦机构检查其资产中的上述漏洞，并根据需要应用可用的安全更新或缓解步骤。

详情

思科修补Unity Connection安全漏洞

日期: 2024-01-11
标签: 信息技术, 思科, Unity Connection

思科公司修补了Unity Connection中的关键安全漏洞。该漏洞允许未经身份验证的攻击者在未修补的设备上远程获得root权限，并且还提到了一些相关产品和推荐的替代方案。思科还表示，对于某些已达到生命周期终点的设备，将不会发布固件更新来修补安全漏洞。这些修补措施旨在防止潜在的安全威胁，维护系统的完整性和可靠性。

详情

Ivanti公司披露两个零日漏洞

日期: 2024-01-11
标签: 信息技术, CVE-2023-46805, CVE-2024-21887, 零日漏洞

Ivanti公司披露了两个零日漏洞，这些漏洞已经在野外被攻击者利用，可以让远程攻击者在目标网关上执行任意命令。第一个安全漏洞（CVE-2023-46805）是网关Web组件中的身份验证绕过，使攻击者能够绕过控制检查访问受限资源，而第二个漏洞（CVE-2024-21887）是命令注入漏洞，允许经过身份验证的管理员通过发送特制请求在易受攻击的设备上执行任意命令。Ivanti公司称，这两个零日漏洞已经在野外被攻击者利用。Ivanti公司提到，补丁将根据分阶段时间表提供，直到补丁可用，零日漏洞可以通过导入可通过Ivanti下载门户提供给客户的mitigation.release.20240107.1.xml文件来进行缓解。Kevin Beaumont警告称，这两个零日漏洞正在被利用，并允许多因素认证绕过和代码执行。

详情

微软发布 PowerShell 脚本修复 CVE-2024-20666 漏洞

日期: 2024-01-12
标签: 信息技术, CVE-2024-20666

微软发布了一个 PowerShell 脚本，用于自动更新 Windows Recovery Environment (WinRE) 分区，以修复 CVE-2024-20666 漏洞，该漏洞允许绕过 BitLocker 加密。安全问题已在本月的 Patch Tuesday 中发布的 KB5034441 安全更新中得到解决。

详情

WordPress 插件 POST SMTP Mailer 存在严重漏洞

日期: 2024-01-12
标签: 信息技术, WordPress

研究人员发现两个影响 WordPress 插件 POST SMTP Mailer 的漏洞，该插件是一个邮件传递工具，被 300,000 个网站使用。这两个漏洞可能帮助攻击者完全控制站点认证。第一个漏洞是 CVE-2023-6875，是一个严重的授权绕过漏洞，影响插件的所有版本，可以让攻击者重置 API 密钥和查看敏感日志信息。第二个漏洞是 CVE-2023-7027，是一个跨站脚本（XSS）问题，影响插件的所有版本，可以让攻击者向受影响站点的网页中注入任意脚本。Wordfence 安全研究人员已向插件的供应商报告了这些漏洞，并供应商已发布了包含安全修复的插件版本 2.8.8。

详情

Apache OFBiz关键漏洞CVE-2023-51467分析

日期: 2024-01-12
标签: 信息技术, CVE-2023-51467, Apache OFBiz

Apache OFBiz开源企业资源规划系统中最近披露的关键漏洞CVE-2023-51467的利用代码已经被安全研究人员开发出来，可以用来执行内存中的恶意载荷。漏洞的利用可能绕过认证并远程执行任意代码。尽管已经在最新版本中修复了该漏洞，但仍有威胁行为者试图利用该漏洞。VulnCheck的最新发现显示，CVE-2023-51467可以被利用直接从内存中执行恶意载荷，几乎不留下恶意活动的痕迹。文章还提到了Apache OFBiz过去曾被威胁行为者利用的漏洞，以及对该软件的利用尝试。最后，还介绍了VulnCheck开发的基于Go语言的跨平台利用方案，可以绕过阻止上传任意网络外壳或通过端点运行Java代码的安全防护措施，实现内存中的Nashorn反向Shell载荷执行。

详情

0x07   安全分析

AsyncRAT攻击活动安全情报分析报告

日期: 2024-01-08
标签: 信息技术, AsyncRAT

AsyncRAT恶意软件攻击活动已经持续了至少11个月，使用了数百个独特的加载器样本和100多个域名。AsyncRAT是一个远程访问工具，具有远程命令执行、键盘记录、数据窃取和释放额外载荷的功能。攻击活动采用了一系列欺骗手段，包括恶意电子邮件附件、C2服务器通信和反沙箱检测。攻击者还使用了域名生成算法(DGA)来生成新的C2域名，并采用了匿名加密货币支付服务BitLaunch来托管C2域名。报告提供了一组威胁指标和Suricata网络分析和威胁检测软件的签名，以帮助公司检测与此次AsyncRAT攻击活动相关的入侵。

详情

Stuxnet病毒调查报告：开发成本高达10亿美元

日期: 2024-01-09
标签: 科研服务, 政府部门, 核项目, Stuxnet病毒

荷兰《Volkskrant》报纸的记者发布了一份报告，称该恶意软件的开发成本高达 10 亿美元。报告还指出，荷兰政府利用一名间谍将 Stuxnet 病毒引入伊朗核基础设施。报道详细描述了一名名叫 Van Stabben 的荷兰工程师在伊朗的一个地下核设施安装了 Stuxnet 病毒，从而破坏了核离心机，并使伊朗的核项目遭受了“数年”的挫折。Van Stabben 在迪拜发生摩托车事故后两周去世，目前尚不清楚他是否知晓自己参与了 Stuxnet 的部署。关于 Van Stabben 的死因并没有涉及任何犯罪嫌疑。

详情

我国研究机构解密苹果AirDrop功能

日期: 2024-01-10
标签: 信息技术, 苹果AirDrop

我研究机构王深动健司法鉴定所声称已经发现了解密苹果AirDrop功能的设备日志的方法，从而使政府能够识别共享内容的人的电话号码或电子邮件地址。该研究机构声称已经能够通过彩虹表解密这些字段，以获取发送者的信息，并称政府已经利用这种取证能力“确定了多名涉案嫌疑人”。

详情

研究人员与荷兰警方合作成功破解Babuk勒索软件Tortilla变种

日期: 2024-01-10
标签: 信息技术, ProxyShell漏洞, Babuk, Tortilla

研究人员与荷兰警方合作成功获得了Babuk勒索软件Tortilla变种的解密工具，并分享了相关情报，最终导致了勒索软件的操作者的被捕。Tortilla是Babuk勒索软件的变种，源代码泄露后不久就出现在网络上。该威胁行为者一直在利用ProxyShell漏洞攻击Microsoft Exchange服务器，部署数据加密恶意软件。Avast在新变种出现一个月前发布了Babuk的解密工具，但对Tortilla加密无效，因为它使用了不同的私钥。Cisco Talos与荷兰警方合作获得了Tortilla勒索软件操作者提供给付款受害者的解密工具。根据研究人员的说法，可执行文件包含了一对单一的公钥/私钥对，用于所有攻击。提取密钥后，分析人员与Avast分享了该密钥，以更新其Babuk解密工具。Avast将Tortilla解密密钥添加到从2021年源代码泄露中获得的Babuk解密工具的14个ECDH-25519密钥中。Babuk变种受害者可以免费从Avast网站下载通用解密工具。

详情

伪造401K年终报表被用来窃取美国企业凭证

日期: 2024-01-11
标签: 信息技术, Cofense电子邮件安全公司

攻击者利用个人养老金账户（美国的401（k）计划）、薪酬调整和绩效报告的沟通，窃取公司员工的凭据。Cofense电子邮件安全公司警告说，这些攻击变得越来越频繁，即使拥有良好电子邮件安全实践的组织也难以抵御。攻击手法包括虚假的401k通知、入职登记、薪酬调整通知等。Cofense警告说，去年，他们看到嵌入在钓鱼邮件中的二维码数量急剧上升，将接收者带到设计用来窃取凭据的假登录页面。Cofense建议，公司人力资源部门应安排这些通信并告知员工，以帮助至少过滤掉一些恶意通信。此外，避免在合法业务通信中使用二维码也是一种措施，因为许多钓鱼活动依赖于它们。

详情

芬兰NCSC-FI发布Akira勒索软件警示信息

日期: 2024-01-12
标签: 信息技术, Akira勒索软件

芬兰国家网络安全中心（NCSC-FI）发布了关于Akira勒索软件活动的警示信息。在12月份，Akira勒索软件活动明显增加，主要针对芬兰境内的企业，对其数据进行勒索并删除备份。攻击者利用CVE-2023-20269漏洞获取受害者网络访问权限，进而对网络进行勘察、定位备份和关键服务器、窃取Windows服务器用户名和密码、加密重要文件等恶意行为。NCSC-FI建议组织采用离线备份，并遵循3-2-1备份规则以保护数据安全。此外，建议组织升级至Cisco ASA 9.16.2.11或更高版本以防止该漏洞被利用。

详情

0x08   行业动向

FBI扩大美国驻外网络安全力量

日期: 2024-01-08
标签: 政府部门, FBI

美国联邦调查局（FBI）计划在美国驻外大使馆增设六个新职位，以应对全球网络犯罪问题。这些职位将分布在巴西利亚、新德里和罗马，将使美国驻外使馆中从事网络相关工作的FBI特工总数增至22人（全球网络助理法律专员增加40%）。FBI网络助理法律专员Brian Abellera表示，该计划旨在加强协调的国际执法行动，使60个机构跨越16个国家、10个时区，在一天内能够团结一致地开展联合行动。这些新增职位凸显了FBI和司法部在积极打击跨国网络犯罪方面的增强关注，使得能够更有效地打击这些犯罪威胁行为，减少赎金支付，并在犯罪行为发生时进行定点打击，而非事后追查。

详情

Criminal IP与Tenable建立技术合作伙伴关系

日期: 2024-01-10
标签: 信息技术, Criminal IP, Tenable, 网络安全

Criminal IP（犯罪IP）与Tenable建立了技术合作伙伴关系，旨在为用户提供威胁分析和暴露管理的强大解决方案。合作的关键特点在于将Criminal IP搜索引擎提供的IP地址数据与Tenable漏洞管理进行整合，使用户能够全面了解其资产，并利用Tenable扫描器进行实时漏洞和恶意软件扫描。此外，文章还提到了AI SPERA公司的全球网络安全服务Criminal IP以及其提供的攻击面管理解决方案Criminal IP ASM。该技术合作伙伴关系对于安全经理和相关行业具有重要意义，旨在解决组织面临的安全挑战。

详情

美国FTC禁止Outlogic出售敏感位置数据

日期: 2024-01-11
标签: 信息技术, 美国联邦贸易委员会（FTC）, Outlogic

美国联邦贸易委员会（FTC）周二禁止数据经纪公司Outlogic，前身为X-Mode Social，与第三方分享或出售任何敏感位置数据。此举是针对该公司涉嫌出售精准位置数据，可用于跟踪人们访问敏感场所的指控达成的和解协议的一部分。FTC指控X-Mode Social和Outlogic未能建立足够的保障措施，防止下游客户滥用此类数据。该发展标志着对敏感位置数据的使用和销售首次被禁止。

详情

Bitwarden宣布用户可使用passkey登录网络保险库

日期: 2024-01-12
标签: 信息技术, Bitwarden, 网络保险库

开源密码管理器Bitwarden宣布用户现在可以使用passkey而不是标准的用户名和密码对登录他们的网络保险库。Passkey是一种更安全的替代方案，是钓鱼攻击抵抗的。Bitwarden的passkey实现目前处于测试阶段，依赖于PRF WebAuthn扩展来认证用户并获取加密密钥。Passkey可以通过硬件安全密钥注册，用于加密用户的保险库数据。PRF扩展不会在硬件上存储密钥，而是使用来自依赖方（网站）的输入数据（盐）来生成密钥。用户还可以通过Bitwarden密码进行解密。此外，Bitwarden提供了一个视频展示新功能在平台上的工作方式以及用户如何从账户设置菜单创建passkey。在测试阶段，Bitwarden允许所有计划的用户在Web应用程序中设置最多五个passkey。该功能目前仅适用于支持PRF WebAuthn的基于Chromium的浏览器，但未来计划将其扩展到更多客户端。

详情

0x09   勒索攻击

美国非银行抵押贷款公司loanDepot遭遇网络勒索软件攻击

日期: 2024-01-09
标签: 金融业, 勒索软件攻击, loanDepot

美国非银行抵押贷款公司loanDepot遭遇网络勒索软件攻击。攻击导致数据加密，客户无法通过其支付门户进行贷款支付或电话联系。公司已将部分系统下线，并在努力恢复正常业务运营。在提交给美国证券交易委员会的8-K文件中，loanDepot确认遭受了网络攻击，攻击者加密了公司系统中的数据，并封锁了部分系统以阻止攻击者访问其他设备。此外，公司已启动调查，并通知相关监管机构和执法机构。此次事件可能对公司产生重大影响，同时，客户需警惕潜在的网络钓鱼攻击和身份盗窃企图。

详情

LockBit勒索软件团伙对Capital Health医院网络进行网络攻击

日期: 2024-01-09
标签: 卫生行业, Capital Health

LockBit勒索软件团伙对新泽西和宾夕法尼亚部分地区的主要医疗服务提供商Capital Health进行了网络攻击，并威胁于明天泄露窃取的数据和谈判记录。Capital Health在去年11月经历了IT系统的停机，警告称此事件将至少影响其一周的运营。医院网站发布了安全事件通知，称所有系统已恢复正常运营，并采取了额外的安全措施以防止类似事件再次发生。Capital Health最新的更新显示他们仍在调查网络攻击是否导致数据被窃取。LockBit勒索软件团伙声称已从医疗数据中窃取了七太字节的敏感数据，并威胁称如果组织不满足其赎金支付要求，他们将在2024年1月9日泄露这些数据。

详情

黑客冒充安全研究人员欺骗勒索软件受害者

日期: 2024-01-10
标签: 信息技术, Royal 勒索软件团伙, Akira 勒索软件团伙

一些组织受到 Royal 和 Akira 勒索软件团伙的攻击，并且有一名攻击者冒充安全研究人员，承诺对原始攻击者进行反击，并删除被盗的受害者数据。Royal 和 Akira 勒索软件团伙都使用双重勒索策略，即在窃取信息后加密受害系统，并威胁泄露数据，除非支付赎金。这些骗局突显了勒索软件攻击给受害者带来的复杂挑战，并构成了对勒索软件受害者的额外风险。

详情

0x0a   其他事件

跨国网络犯罪调查：xDedic市场涉案19人被起诉

日期: 2024-01-09
标签: 信息技术, xDedic市场, 网络犯罪

一项跨国网络犯罪调查涉及到已关闭的xDedic市场。美国司法部指控了19名全球个人，他们参与了xDedic市场的运营。该市场自2014年活跃，提供出售被入侵系统和个人身份信息的地下交易服务。该市场由说俄语的团伙运营，通过Tor网络进行交易，使用比特币进行支付以保护用户匿名性。xDedic市场提供了超过70万个被入侵服务器的出售，并促成了超过6800万美元的欺诈交易。被指控的人员来自不同国家，其中17名已被起诉和/或引渡至美国。他们面临的指控包括邮件和电报欺诈、访问设备和计算机欺诈、以及线路欺诈等。

详情

尼日利亚男子因洗钱犯罪被判刑

日期: 2024-01-10
标签: 信息技术, 尼日利亚

尼日利亚男子Olugbenga Lawal（也被称为Razak Aolugbengela）因参与洗钱阴谋而被判处10年零1个月的监禁。他与其他三名同谋合作，洗钱数百万美元，这些资金来自商业电子邮件欺诈和浪漫骗局。他是尼日利亚黑斧头犯罪集团的成员，该团伙经常以虚假身份欺骗老年人，骗取他们的大笔资金，并通过购买汽车和货币兑换业务将这些欺诈所得返还给尼日利亚。最终，法院判决他不仅要服刑10年零1个月，还要支付超过146万美元的赔偿金。

详情

ShinyHunters黑客组织成员被判三年监禁

日期: 2024-01-11
标签: 信息技术, 电信诈骗, 身份盗用

22岁的法国籍黑客Sebastien Raoult，曾是ShinyHunters黑客组织成员，因串谋电信诈骗和恶意盗用身份罪被判三年监禁，并须赔偿500万美元。他及其同谋在2020年4月至2021年7月期间，通过精心制作的网络钓鱼页面窃取了数百万人的个人信息，并在暗网上出售，导致600万美元以上的财务损失。案件牵涉60多家组织，涉及个人身份信息和财务数据。Raoult承认罪行并表示忏悔，但其纯利益动机令人震惊。他将在监禁后接受监管释放。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2024-01-08 360CERT发布安全周报