报告编号：CERT-R-2024-668

报告来源：360CERT

报告作者：360CERT

更新日期：2024-01-29

0x01   事件导览

本周收录安全热点55项，话题集中在安全漏洞、网络攻击、安全分析，主要涉及的实体有：Subway、Tietoevry、特斯拉（Tesla ）等，主要涉及的黑客组织有：Midnight Blizzard、UAC-0050、Blackwood等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

COLDRIVER使用定制后门SPICA攻击西方官员

日期: 2024-01-22
标签: 政府部门, APT舆情

COLDRIVER继续关注针对乌克兰、北约国家、学术机构和非政府组织的凭据网络钓鱼行动。为了获得目标的信任，COLDRIVER经常使用假冒帐户，冒充特定领域的专家或以某种方式与目标有关联。然后，假冒帐户用于与目标建立融洽关系，增加网络钓鱼活动成功的可能性，并最终发送网络钓鱼链接或包含链接的文档。最近，TAG观察到COLDRIVER继续这一演变，不再局限于凭据网络钓鱼，而是通过使用PDF作为诱饵文档来传播恶意软件。

详情

macOS用户遭受DNS记录隐藏恶意软件攻击

日期: 2024-01-23
标签: 信息技术, DNS 记录, Python脚本

黑客利用隐蔽的方法通过 DNS 记录向 macOS 用户传递窃取信息的恶意软件。攻击利用破解的应用程序重新打包成 PKG 文件，伪装成激活工具，诱使用户安装并输入管理员密码，进而运行恶意软件。该恶意软件通过 DNS 服务器获取加密的 Python 脚本，用作后门访问、信息收集和传输，还替换加密货币钱包应用，窃取用户信息。研究人员指出，利用破解应用程序传播恶意软件是黑客获取用户计算机的一种常见手段，而此次攻击显示出威胁行为者能够巧妙地采用新的方式传递恶意载荷。

详情

针对 macOS 用户的破解软件植入恶意软件攻击

日期: 2024-01-24
标签: 信息技术, 苹果 macOS

研究人员发现了一种针对苹果 macOS 用户的恶意软件攻击。攻击者利用破解软件植入了一个能够窃取系统信息和加密货币钱包数据的恶意软件。攻击链利用带有恶意程序的磁盘映像文件（DMG）来传播，用户打开后将激活组件运行，以获取系统管理员权限并执行恶意活动。恶意软件还能够替换加密货币钱包应用，并窃取相关信息。

详情

npm 软件包注册表发现恶意软件包

日期: 2024-01-24
标签: 信息技术, SSH密钥

在 npm 软件包注册表上发现两个恶意软件包，它们利用 GitHub 存储从开发者系统中窃取的经过 Base64 加密的 SSH 密钥。这两个模块分别名为 warbeast2000 和 kodiak2k，在被 npm 维护人员下架之前，分别吸引了412和1,281次下载，其中最近的下载发生在2024年1月21日。安全公司 ReversingLabs 发现，warbeast2000 有八个不同版本，而 kodiak2k 有30多个版本。这两个模块都设计在安装后运行一个 postinstall 脚本，能够检索并执行不同的 JavaScript 文件。warbeast2000 试图访问私有 SSH 密钥，而 kodiak2k 则设计用于查找名为 "meow" 的密钥。此外，kodiak2k 的后续版本发现执行了存储在 GitHub 项目中的恶意脚本，能够利用 Mimikatz 黑客工具从进程内存中转储凭据。研究人员指出，这一行动是恶意软件供应链攻击的最新案例，显示出网络犯罪分子和恶意行为者正在利用开源软件包管理器和相关基础设施支持恶意软件供应链活动，以攻击开发组织和最终用户组织。

详情

CherryLoader威胁行为分析

日期: 2024-01-26
标签: 信息技术, CherryLoader, JuicyPotatoNG

研究人员发现了一种威胁行为者利用新型下载器和特权升级工具从“土豆”系列中取得管理员级别访问权限的方式。这种多阶段、模块化的下载器名为“CherryLoader”，采用Golang编写，试图伪装成合法的“Cherrytree”笔记软件。攻击者使用CherryLoader在两起最近的入侵中，从荷兰的一个IP地址部署了两个知名的特权升级工具，并最终部署了一个bash脚本来消除Windows安全工具的影响。CherryLoader最巧妙的功能在于能够无需重新编译任何代码就无缝切换载荷。攻击者利用CherryLoader的模块灵活性部署了两个公开可用的特权升级工具：PrintSpoofer和JuicyPotatoNG。这些工具帮助攻击者获取了目标系统中的高级别访问权限。最后，攻击者使用user.bat批处理文件执行一系列持久性和反分析功能。整个攻击行为涉及到的实体有CherryLoader、PrintSpoofer、JuicyPotatoNG、Arctic Wolf等。

详情

0x04   数据安全

Trezor硬件钱包数据泄露及钓鱼攻击警报

日期: 2024-01-23
标签: 信息技术, 金融业, Trezor

Trezor（一家知名的硬件加密货币钱包供应商）发现其第三方支持票务门户发生数据泄露的安全警报。据称，大约6.6万名用户的姓名、用户名和电子邮件地址可能已经暴露给未经授权的人员。数据泄露导致攻击者利用41起案例接触用户，试图诱使他们透露恢复种子短语，从而实施不可逆转的加密货币盗窃。Trezor已经联系了所有可能受影响的用户，提醒他们警惕钓鱼攻击，并警告硬件钱包用户绝不应在任何情况下透露其种子短语。

详情

Trello API泄露导致1500万用户数据泄露

日期: 2024-01-24
标签: 信息技术, Trello, Atlassian

Trello的API存在漏洞，导致私人电子邮件地址与Trello账户关联，使得数百万数据档案中包含公开和私人信息。尽管数据大部分为公开信息，但与档案相关的电子邮件地址并非公开。黑客利用公开API查询了500万个电子邮件地址，以确认其是否与Trello账户关联。Trello已加强了API的安全性，但仍对任何创建免费账户的用户开放。

详情

Jason's Deli数据泄露通知

日期: 2024-01-24
标签: 信息技术, 凭据填充攻击, Jason's Deli

Jason's Deli在通知其在线平台客户时警告称，他们的个人数据在凭据填充攻击中被泄露。攻击者于2023年12月21日使用从其他来源获取的Jason's Deli会员账户凭据进行了攻击。泄露的信息可能包括客户的姓名、地址、电话号码、生日、偏好的Jason's Deli门店、账户号码、Deli Dollar积分、可兑换金额和奖励，以及部分信用卡和礼品卡号码。Jason's Deli表示，他们无法确定有多少个账户受到影响，但出于谨慎起见，他们向所有潜在受影响的账户持有人发送了此通知。受影响的客户将收到密码重置提示，并被要求选择新的复杂密码。Jason's Deli还表示，如果适用，将恢复从受影响账户中未经授权使用的Deli Dollar奖励积分，以免客户遭受损失。根据缅因州总检察长办公室的一份名单，可能受影响的客户总数为344,034人。

详情

iOS应用利用推送通知收集用户设备数据

日期: 2024-01-26
标签: 信息技术, 数据隐私保护

iOS 应用程序利用推送通知触发后台进程来收集用户设备数据，可能用于创建指纹识别档案以进行跟踪。研究人员Mysk发现，这些应用程序绕过了苹果的后台应用程序活动限制，构成了iPhone用户的隐私风险。苹果将在2024年春季开始加强对使用API获取设备信号的限制，要求应用程序明确声明其使用这些API的目的。在此之前，希望避免指纹识别的iPhone用户应该完全禁用推送通知。

详情

0x05   网络攻击

微软企业邮件账户被俄罗斯黑客组织入侵

日期: 2024-01-22
标签: 信息技术, Midnight Blizzard, Nobelium

微软公司在一份报告中警告称，俄罗斯政府支持的黑客组织“午夜风暴”（Midnight Blizzard）成功侵入了部分企业邮件账户并窃取了数据。微软在1月12日发现了这次攻击，调查结果显示这是由俄罗斯威胁行为者Nobelium或APT29进行的。攻击者于2023年11月通过密码喷洒攻击方式侵入系统，进而访问了微软的企业邮件账户。黑客利用这些账户窃取了微软领导团队成员和网络安全、法律部门员工的邮件和附件。微软表示，这次侵入并非由于产品和服务漏洞，而是由于账户的密码攻击。黑客组织Nobelium是一支俄罗斯政府支持的黑客组织，被认为隶属于俄罗斯外国情报局（SVR），曾多次发动攻击，包括2020年的SolarWinds供应链攻击以及2021年对微软企业账户的入侵。

详情

Facebook上出现广泛的网络钓鱼攻击

日期: 2024-01-22
标签: 信息技术, Facebook

研究人员发现了一起针对Facebook用户的广泛网络钓鱼活动。攻击者利用被盗的账户发布虚假消息，诱使用户点击链接，进入窃取Facebook凭据的虚假网站。该网络钓鱼活动已持续约一年，Facebook难以完全阻止，但会封禁相关链接。建议用户启用双因素认证。

详情

TA866黑客组织再次活跃，展开大规模钓鱼攻击

日期: 2024-01-22
标签: 政府部门, TA866, OneDrive链接

一个名为TA866的威胁行为者重新出现，并展开了一场大规模的钓鱼活动，利用已知的恶意软件家族，如WasabiSeed和Screenshotter。这次攻击主要通过发送成千上万封伪装成发票的电子邮件，其中包含装有OneDrive链接的PDF文件，点击链接后会引发多步感染链，最终导致恶意软件的传播。

详情

Midnight Blizzard攻击微软企业系统

日期: 2024-01-23
标签: 信息技术, 政府部门, APT舆情

Microsoft安全团队于2024年1月12日检测到对其企业系统的民族国家攻击，并立即启动响应流程来调查、破坏恶意活动、减轻攻击并拒绝威胁攻击者进一步访问。微软已将威胁攻击者确定为Midnight Blizzard，这是俄罗斯国家资助的攻击者，也称为Nobelium。从2023年11月下旬开始，威胁攻击者使用密码喷洒攻击来破坏旧的非生产测试租户帐户并获得立足点，然后使用该帐户的权限访问极小比例的Microsoft企业电子邮件帐户，包括以下成员：高级领导团队和网络安全、法律和其他职能部门的员工，并窃取了一些电子邮件和附件。调查表明，他们最初的目标是通过电子邮件帐户获取与Midnight Blizzard本身相关的信息。

详情

SEC X账户遭受SIM卡交换攻击

日期: 2024-01-23
标签: 信息技术, SIM卡交换攻击

美国证券交易委员会（SEC）的X账户遭受SIM卡交换攻击，导致黑客发布了虚假公告。SEC确认攻击者通过欺骗手机运营商将账户关联的电话号码转移到其控制的设备上，然后重置了@SECGov账户的密码，发布了虚假公告。SEC强调黑客并未能够进入机构的内部系统、数据、设备或其他社交媒体账户，并且表示他们正在与执法部门合作调查此次攻击。

详情

ScarCruft组织针对朝鲜事务专家发起新攻击

日期: 2024-01-23
标签: 信息技术, 朝鲜国家安全部（MSS）, ScarCruft

一个名为ScarCruft的攻击者在2023年12月对媒体机构和朝鲜事务专家发起了一场新的攻击活动。这个组织利用新的感染链进行实验，以欺骗性技术威胁研究报告为诱饵，可能针对网络安全专业人士。这个组织被认为隶属于朝鲜国家安全部（MSS），以潜在的隐秘情报收集为最终目标，利用矛头钓鱼诱饵传送RokRAT和其他后门。最新的攻击链观察结果显示，这个组织正在积极调整其作案方式，可能是为了规避检测，以应对有关其战术和技术的公开披露。

详情

UAC-0050使用RemoteUtilities攻击乌克兰

日期: 2024-01-24
标签: 政府部门, UAC-0050, APT舆情

2024年1月22日，乌克兰政府计算机应急响应小组CERT-UA发现了据称代表乌克兰国家特殊通信服务局和国家紧急服务局的大规模分发电子邮件的事实，其中包含RAR存档或链接，这是一个指向Bitbucket的链接，致力于“病毒清除”和“疏散”。在打开任何文件的情况下，会从上述网络服务下载文件，最后它将执行MSI安装程序，确保在受害者的PC上安装RemoteUtilities远程控制程序。据Bitbucket统计，2024年1月21日23:00至2024年1月22日10:30，恶意文件下载次数超过3000次；成功感染的电脑数量可达数十台。该行动由UAC-0050组织进行。

详情

HPE披露俄罗斯黑客入侵事件

日期: 2024-01-25
标签: 信息技术, Midnight Blizzard

Hewlett Packard Enterprise（HPE）披露称，疑似俄罗斯黑客组织“午夜暴雪”（Midnight Blizzard）已经进入了公司的Microsoft Office 365邮件环境，窃取了来自其网络安全团队和其他部门的数据。HPE表示，他们在2023年5月遭受了此次入侵，而在12月12日才被告知。公司正在与外部网络安全专家和执法部门合作进行调查。

详情

美国金融科技公司EquiLend遭网络攻击

日期: 2024-01-25
标签: 金融业, 信息技术, EquiLend

2024年1月22日，总部位于纽约的全球金融科技公司EquiLend在遭遇网络攻击后，部分系统被关闭，随后发现网络遭到未经授权的访问，目前正全力恢复受影响的服务。公司已经启动调查并雇佣第三方专家来加快恢复努力。此次攻击发生在EquiLend宣布将被美国私募股权公司Welsh, Carson, Anderson & Stowe (WCAS)收购不到一周之后。FBI警告称，勒索软件团伙正瞄准涉及“时间紧迫的金融事件”的公司，包括企业并购，EquiLend正是其中之一。EquiLend成立于2001年，由包括美国银行美林、贝莱德、瑞士信贷、高盛、摩根士丹利、加拿大国家银行、北方信托、美国道富、瑞银在内的十家全球银行和经纪商共同创立。公司在北美、欧洲、亚太地区设有办公室，其服务现在被全球190多家公司使用。

详情

Midnight Blizzard入侵HPE和微软

日期: 2024-01-26
标签: 信息技术, Midnight Blizzard

在2023年5月，俄罗斯黑客组织“午夜暴风雪”（Midnight Blizzard）入侵了惠普企业（HPE）的云托管电子邮件环境，并窃取了来自公司网络安全、营销、业务等部门的一些员工账户中的数据。HPE在2023年12月12日得知入侵事件，并与外部网络安全专家合作，确定了攻击的全面范围和确切时间线。此前，该黑客组织已在2023年6月得到通知，涉及未经授权访问和窃取了一些SharePoint文件。此外，微软上周在博客文章中披露，该黑客组织在11月份入侵了其公司系统，并从高层领导和员工的电子邮件账户中窃取了信息。此次入侵引起了对“午夜暴风雪”的关注，该黑客组织被美国政府正式与俄罗斯外交情报局（SVR）联系起来。

详情

Blackwood使用NSPX30进行网络间谍活动

日期: 2024-01-26
标签: 信息技术, Blackwood, NSPX30, 中间人攻击

一名被追踪为“Blackwood”的先前未知的黑客组织正在利用名为NSPX30的复杂恶意软件进行针对公司和个人的网络间谍攻击。该对手自2018年以来一直活跃，利用NSPX30恶意软件，该恶意软件的代码基于2005年的一个简单后门，随后进行了中间人攻击。研究人员在2020年的一次行动中发现了Blackwood和NSPX30植入物。Blackwood的目标位于中国、日本和英国，通过合法软件的更新机制（如WPS Office办公套件、腾讯QQ即时通讯平台和搜狗拼音文档编辑器）传送恶意软件。根据研究人员的说法，威胁行为者进行中间人攻击，并拦截NSPX30生成的流量，以掩盖其活动并隐藏其命令和控制（C2）服务器。

详情

23andMe遭受黑客攻击，用户健康数据遭泄露

日期: 2024-01-26
标签: 信息技术, 科研服务, 23andMe

23andMe确认遭受了凭证填充攻击，黑客在五个月内未被察觉地从4月29日至9月27日窃取了受影响客户的健康报告和原始基因型数据。攻击者使用的凭证是在其他数据泄露中窃取的，或者是在先前受损的在线平台上使用的。泄露的信息包括100万名阿什肯纳兹犹太人和410万名居住在英国的人的数据。23andMe还披露，黑客可能还获取了一些用户的健康状况信息和DNA亲属信息。此外，他们还下载了690万人的数据，并通过DNA亲属功能和家谱功能获取了550万人和140万人的数据。23andMe已要求所有客户重置密码，并要求所有新老客户在登录时使用双因素认证。

详情

0x06   安全漏洞

CISA发布紧急指令，敦促防范Ivanti产品零日漏洞

日期: 2024-01-22
标签: 信息技术, Ivanti, 零日漏洞, FCEB机构

美国网络安全和基础设施安全局（CISA）发布紧急指令，敦促联邦文职行政部门（FCEB）机构采取措施，防范Ivanti Connect Secure（ICS）和Ivanti Policy Secure（IPS）产品中两个正在被利用的零日漏洞。这些漏洞包括一个身份验证绕过漏洞（CVE-2023-46805）和一个代码注入漏洞（CVE-2024-21887），已经被多个威胁行为者广泛利用。这些漏洞允许恶意行为者构造恶意请求并在系统上执行任意命令。CISA敦促运行ICS的组织应用这些缓解措施，并运行外部完整性检查工具来识别受损迹象。受影响的实体包括Ivanti公司、CISA、FCEB机构、网络安全公司Volexity和Mandiant，以及威胁情报公司GreyNoise。

详情

Apache ActiveMQ漏洞警示

日期: 2024-01-23
标签: 信息技术, Apache ActiveMQ

研究人员发布了关于Apache ActiveMQ中一个已修复的漏洞的警示。该漏洞被利用来传送名为Godzilla的Web Shell，可执行远程代码，且CVSS评分达到10.0。攻击者通过JSP型Web Shell在ActiveMQ的"admin"文件夹中植入恶意文件，该文件具有丰富的后门功能。此外，该文中还提到了攻击链的细节以及建议用户尽快更新至最新版本以减轻潜在威胁。

详情

Atlassian Confluence服务器遭遇远程代码执行漏洞攻击

日期: 2024-01-23
标签: 信息技术, CVE-2023-22527

安全研究人员观察到针对Atlassian Confluence服务器的CVE-2023-22527远程代码执行漏洞的利用尝试。该漏洞影响了旧版本的Confluence服务器，且具有严重的安全风险。攻击者试图利用此漏洞执行恶意代码，并已经在全球范围内发起了数千次攻击。Atlassian已发布修复程序，并呼吁管理员及时更新受影响的服务器版本。此外，报告还指出，有超过11,000个Confluence服务器暴露在公共互联网上，存在潜在安全风险。

详情

Ivanti公司发布警告，零日漏洞导致设备遭受大规模攻击

日期: 2024-01-23
标签: 信息技术, 零日漏洞, Ivanti

Ivanti公司发布了一份警告，要求管理员停止向设备推送新的配置，并在应用了缓解措施后，设备仍然容易受到正在利用的两个零日漏洞的攻击。这是由于在推送配置时存在已知的竞争条件，导致一个Web服务停止运行，应用的缓解措施也停止起作用。CISA发布了紧急指令，要求美国机构立即应用Ivanti Connect Secure和Policy Secure的两个零日漏洞的缓解措施。

详情

苹果发布安全更新解决多个零日漏洞

日期: 2024-01-23
标签: 信息技术, 零日漏洞

苹果发布了安全更新，以解决今年首个被攻击利用的零日漏洞，可能影响到iPhone、Mac和Apple TV。修复的零日漏洞被跟踪为CVE-2024-23222【iOS，macOS，tvOS】，是一个WebKit混淆问题，攻击者可以利用它在目标设备上执行代码。成功利用漏洞可以使攻击者在运行易受攻击的iOS、macOS和tvOS版本的设备上执行任意恶意代码。苹果通过在iOS 16.7.5及更高版本、iPadOS 16.7.5及更高版本、macOS Monterey 12.7.3及更高版本以及tvOS 17.3及更高版本中改进检查来解决CVE-2024-23222。受这个WebKit零日漏洞影响的设备列表相当庞大，因为该漏洞影响新旧型号，包括iPhone 8、iPhone X、iPad Pro等。

详情

Atlassian Confluence安全漏洞CVE-2023-22527受到积极利用

日期: 2024-01-24
标签: 信息技术, Atlassian Confluence, CVE-2023-22527

2024年1月中旬披露的Atlassian Confluence Data Center和Confluence Server关键安全漏洞CVE-2023-22527（CVSS评分：10.0）受到恶意攻击者的积极利用。这一漏洞影响软件过时版本，允许未经身份验证的攻击者在易受攻击的安装上实现远程代码执行。攻击活动主要来自俄罗斯等地，尚在测试回调尝试和'whoami'执行阶段。截至2024年1月21日，超过11,000个Atlassian实例可以通过互联网访问，但目前尚不清楚其中有多少个容易受到CVE-2023-22527的影响。

详情

GoAnywhere MFT软件存在关键认证绕过漏洞

日期: 2024-01-24
标签: 信息技术, Clop勒索软件, CVE-2024-0204

Fortra's GoAnywhere MFT软件中存在关键认证绕过漏洞，使攻击者能够通过管理门户在未打补丁的实例上创建新的管理员用户。Fortra 的 GoAnywhere MFT (托管文件传输)软件中的一个关键的认证绕过漏洞现在可以使用攻击代码，这个漏洞允许攻击者通过管理门户在未打补丁的实例上创建新的管理用户。GoAnywhere MFT 是一个基于 Web 的托管文件传输工具，它帮助组织与合作伙伴安全地传输文件，并保存访问所有共享文件的审计日志。Horizon3攻击团队的安全研究人员发表了一篇关于漏洞的技术分析，并分享了一个概念验证(PoC)漏洞，这个漏洞有助于在在线暴露的易受攻击的 GoAnywhere MFT 实例上创建新的管理员用户。

详情

GitLab漏洞警示：数千实例存安全风险

日期: 2024-01-25
标签: 信息技术, CVE-2023-7028

超过5300个互联网暴露的GitLab实例存在CVE-2023-7028漏洞，该漏洞允许攻击者通过发送密码重置邮件来接管目标账户，虽然不绕过双因素认证（2FA），但对未受此额外安全机制保护的账户构成重大风险。漏洞影响GitLab社区版和企业版的多个版本，GitLab已发布修复程序。目前已有数千个易受攻击的GitLab实例暴露在网上，主要分布在美国、德国、俄罗斯、中国等国家。文章指出了检测攻击迹象的方法和受影响管理员需要采取的措施。尽管目前尚无已确认的CVE-2023-7028漏洞利用案例，但仍需及时采取行动。

详情

2024年1月Google Play系统更新导致Google Pixel手机出现问题

日期: 2024-01-25
标签: 信息技术, Google Pixel

2024年1月份的Google Play系统更新导致部分Google Pixel手机出现内部存储无法访问、相机无法打开、无法截屏以及无法打开应用的问题。这一问题涉及多种Pixel型号，而根本原因尚不清楚，但很可能是与1月份的Play系统更新有关。受影响的用户提出了一些解决方案，但并没有得到官方认可。此外，类似的内存问题在2023年10月也曾出现过，这引发了对Google质量保证流程的质疑。

详情

Fortra GoAnywhere MFT软件认证绕过漏洞披露

日期: 2024-01-25
标签: 信息技术, CVE-2024-0204, Fortra GoAnywhere MFT

Fortra的GoAnywhere Managed File Transfer (MFT)软件存在一个严重的认证绕过漏洞（CVE-2024-0204），使得未经身份验证的远程攻击者可以绕过常规的身份验证检查，创建具有管理员权限的新用户账户。该漏洞被赋予了接近最高可能分数的9.8分，意味着系统几乎可以被完全控制。Fortra在私下通知客户后发布了补丁，但在公开披露漏洞之前已经有攻击者利用该漏洞进行攻击。文章还提到了去年Cl0p勒索软件组织利用GoAnywhere软件中的另一个漏洞进行攻击的案例，并指出了利用该漏洞的易于性。

详情

思科统一通信和联系中心解决方案产品存在远程代码执行漏洞

日期: 2024-01-26
标签: 信息技术, CVE-2024-20253

思科公司警告称，其部分统一通信管理器（CM）和联系中心解决方案产品存在严重的远程代码执行安全漏洞。该漏洞可能允许未经身份验证的远程攻击者在受影响的设备上执行任意代码，影响范围包括企业级语音、视频、消息服务，客户参与和管理。漏洞编号为CVE-2024-20253，由Synacktiv研究员Julien Egloff发现，影响多款产品的默认配置。厂商建议立即应用安全更新，并提出了许多产品的修复方案。为了缓解漏洞带来的风险，管理员还应该在无法立即应用更新时设置访问控制列表（ACLs）。在部署任何缓解措施之前，管理员应评估其适用性和潜在影响，并在受控空间中进行测试。目前尚未发现任何公开公告或恶意利用该漏洞的情况。

详情

WordPress插件“Better Search Replace”存在严重漏洞

日期: 2024-01-26
标签: 信息技术, WordPress插件

近24小时内，研究人员观察到针对WordPress插件“Better Search Replace”的严重漏洞的恶意活动，试图利用该漏洞进行攻击。该插件是一个用于在数据库中进行搜索和替换操作的工具，可帮助网站在迁移至新域名或服务器时进行操作。插件厂商WP Engine上周发布了1.4.5版本，以解决CVE-2023-6933跟踪的严重PHP对象注入漏洞。此漏洞来源于对不受信任输入的反序列化，允许未经身份验证的攻击者注入PHP对象。成功利用可能导致代码执行、访问敏感数据、文件操作或删除，并触发无限循环拒绝服务条件。Wordfence的描述指出，虽然“Better Search Replace”本身并不直接存在漏洞，但如果站点上的其他插件或主题包含POP链，则可以利用它来执行代码、检索敏感数据或删除文件。Wordfence报告称，过去24小时已阻止了超过2500次针对CVE-2023-6933的攻击。建议用户尽快升级至1.4.5版本，因为该漏洞影响所有1.4.4版本及更早版本。

详情

GKE集群身份验证漏洞威胁

日期: 2024-01-26
标签: 信息技术, Google Kubernetes Engine（GKE）, 云安全

谷歌Kubernetes引擎（GKE）中的身份验证机制存在漏洞，允许外部攻击者使用任何谷歌账户访问组织的私有Kubernetes容器集群。Orca Security的研究人员发现，这可能导致严重的云安全事件，如加密货币挖矿、拒绝服务（DoS）和敏感数据的窃取。问题被命名为Sys:All，当用户授予Kubernetes特权给“system:authenticated”组时出现。该组包括所有具有谷歌账户的用户，而不仅限于组织内的用户。研究人员发现大约1300个集群潜在易受攻击，其中108个可能导致立即妥协。Orca已通知谷歌，并提出了安全风险缓解措施，建议组织升级到GKE版本1.28或更高版本，并严格遵循最小权限原则来保护自己。

详情

0x07   安全分析

Instagram假账号问题调查

日期: 2024-01-22
标签: 文化传播, 社交媒体, Instagram

研究人员发现社交媒体平台Instagram上出现滥用他人照片和身份进行欺诈的问题。并且Meta公司未能有效解决假冒账户问题，甚至在有足够证据表明某个账户冒用他人照片和身份时，仍然无法及时删除虚假账户。文章提到了一个案例，描述了一个名为"Santiago Scott"的假账号冒充另一位真实用户Thiago Qualhato的情况，并指出了Instagram对举报此类假账号的处理不力，甚至提到了Meta公司推出的付费认证服务。

详情

3AM勒索软件团伙与Conti集团和Royal团伙有密切联系

日期: 2024-01-22
标签: 信息技术, 3AM勒索软件

研究人员发现3AM与Conti集团和Royal勒索软件团伙有密切联系，他们尝试了一种新的勒索手法：通过社交媒体向受害者的关注者分享数据泄露的消息，并使用机器人回复高级账户的留言，指向数据泄露。此外，研究人员还发现了与Conti集团相关的通信渠道、基础设施和攻击策略的重大重叠。他们还发现了一些网络指标，显示出3AM与Cobalt Strike有关。此外，还发现了关于3AM的数据泄露网站在Tor网络上的相关信息。研究人员还发现了该团伙使用Twitter机器人散布攻击消息的手法。总体来说，这份报告提到了3AM勒索软件团伙的活动、攻击手法和其背后的相关团伙。

详情

APT-C-26（Lazarus）组织使用武器化的开源PDF阅读器的攻击活动分析

日期: 2024-01-23
标签: 信息技术, APT-C-26（Lazarus）, APT舆情

在最近的网络安全监测中，360高级威胁研究院发现APT-C-26组织对开源项目SumatraPDF进行了武器化处理，通过植入恶意代码，使其成为攻击工具。特别地，当SumatraPDF处理由攻击者特别设计的PDF文档时，会触发这些恶意代码。这些代码在内存中激活恶意载荷，并与远程控制服务器（C2）建立连接，从而下载后门程序以窃取用户敏感信息。这一发现突显了即使是广泛信赖的开源项目也可能成为网络攻击的工具，对网络安全构成严重威胁。

详情

Parrot TDS系统的安全威胁与演化

日期: 2024-01-23
标签: 信息技术, Parrot TDS

安全研究人员发布了对Parrot TDS系统的分析。Parrot TDS是一个用于定向流量的系统，通过JavaScript注入对WordPress和Joomla网站进行攻击，将用户重定向到恶意网站。研究发现Parrot TDS的演化过程，使得恶意代码更隐蔽，难以被安全机制检测和清除。研究人员观察到Parrot TDS仍然活跃，并且运营者不断努力使其JavaScript注入更难被检测和清除。

详情

ScarCruft收集战略情报并针对网络安全专业人员

日期: 2024-01-24
标签: 信息技术, 政府部门, 教育行业, APT舆情, ScarCruft

SentinelLabs与NK News合作，一直在追踪针对韩国学术界的朝鲜事务专家和一家专注于朝鲜的新闻机构的攻击行动。根据具体的恶意软件、传播方法和基础设施，非常有信心地评估这些行动是由ScarCruft精心策划的。此外，还检索到了恶意软件，这些恶意软件目前正处于ScarCruft开发周期的规划和测试阶段，并且可能会在未来的行动中使用。有趣的是ScarCruft正在测试恶意软件感染链，该感染链使用Kimsuky的技术威胁研究报告作为诱饵文档。Kimsuky是另一个被观察到与ScarCruft共享操作特征的可疑朝鲜威胁组织，例如基础设施和C2服务器配置。鉴于ScarCruft使用与目标个人相关的诱饵文件的做法，怀疑计划中的行动可能会针对技术威胁情报报告的消费者，例如威胁研究人员、网络政策组织和其他网络安全专业人员。

详情

暗网上ChatGPT非法使用引发关注

日期: 2024-01-25
标签: 信息技术, 数字足迹情报, 暗网, ChatGPT

卡巴斯基数字足迹情报服务的研究人员指出，关于在暗网上非法使用ChatGPT和其他大型语言模型的讨论有所增加。这些讨论集中在各种不同的网络安全威胁上，如FraudGPT和恶意聊天机器人。在暗网上有近3000条这类帖子，数量在2023年3月达到峰值。此外，被盗的ChatGPT账户仍然是暗网上热门话题，另有3000多条帖子在售卖这些账户。这些暗网团体共享提示以解锁功能，并合作利用工具实施恶意目的。卡巴斯基建议实施可靠的端点安全解决方案，以防止任何攻击并减轻潜在后果。

详情

网络犯罪新现象：VexTrio流量分发系统

日期: 2024-01-25
标签: 信息技术, VexTrio

2024年1月，研究人员发现一个名为VexTrio的未知流量分发系统，自2017年以来一直活跃，通过其庞大的网络，协助60个联盟伙伴进行网络犯罪活动。VexTrio控制着超过7万个被入侵的网站，通过黑客攻击、利用黑帽SEO等手段向访问者分发恶意内容，并通过与至少60个联盟伙伴的合作，从中获利。此外，VexTrio及其联盟伙伴还滥用合法平台的推荐计划，通过引导受害者访问受信任网站来生成收入。该组织还使用欺诈性通知和CAPTCHA测试等手段，使得其恶意活动更难以察觉和防范。

详情

NCSC警告：人工智能对网络安全的短期影响及其预测

日期: 2024-01-25
标签: 信息技术, 英国国家网络安全中心（NCSC）

英国国家网络安全中心（NCSC）对人工智能（AI）对网络安全的影响发出警告。NCSC认为，AI工具将在短期内对网络安全产生不利影响，帮助加剧勒索软件的威胁。他们指出，AI将使经验不足的威胁行为者、雇佣黑客和技术水平低的网络活动分子能够进行更有效、定制的攻击，而这些攻击通常需要大量时间、技术知识和操作性努力。此外，NCSC还强调了AI对APT（高级持久性威胁）和中级黑客在恶意软件生成、侦察和社会工程方面的影响。最后，NCSC警告称，AI和大型语言模型将使无论经验和技能水平如何，识别网络钓鱼、欺骗和社会工程尝试都变得非常具有挑战性。

详情

2023年朝鲜黑客攻击加密平台增多，但盗窃总额下降

日期: 2024-01-26
标签: 政府部门, 信息技术, 加密货币, 加密平台

2023年，朝鲜支持的黑客组织比以往任何时候都更多地入侵了加密平台，但总体上比2022年偷窃的数字货币数量更少。加密研究公司Chainalysis发现，朝鲜对手在2023年偷窃的数字货币总额略高于10亿美元，而2022年大约为17亿美元。2022年的高峰是朝鲜相关威胁行为者从去中心化金融（DeFi）产品上进行了大规模盗窃。当时，朝鲜黑客偷走了约11.9亿美元的DeFi资产，占所有加密货币盗窃的70%。然而，2023年全球DeFi热潮已经减退，朝鲜黑客从攻击DeFi协议中获得的收益显著减少。Chainalysis研究人员解释了这一新趋势的原因，主要是DeFi协议开发人员和维护者提高了操作安全性（OpSec）。此外，2023年DeFi资产价值下降，也影响了全球DeFi黑客攻击的收益。为弥补这一收入损失，朝鲜黑客在2023年扩大了攻击范围，将中心化加密平台和加密钱包（如Atomic Wallet、Alphapo和Coinspaid）列入其受害者名单。

详情

0x08   行业动向

Brave浏览器停用Strict指纹保护模式

日期: 2024-01-22
标签: 信息技术, Brave浏览器, 指纹保护, Strict模式

Brave浏览器宣布将停用“Strict”指纹保护模式，因为它导致许多网站无法正常运行。该浏览器的指纹保护功能旨在通过阻止网站通过指纹识别技术跟踪用户来增强用户隐私。Brave浏览器提供了两种保护模式，“Standard”和“Strict”，分别实施不同级别的阻止已知指纹识别方法。然而，由于Strict模式导致网站无法正常工作，以及只有0.5%的用户使用该模式，Brave团队决定停用Strict模式，而继续优化和加强Standard模式的指纹保护。

详情

X公司宣布iOS用户可使用通行密钥登录账户

日期: 2024-01-24
标签: 信息技术, iOS用户, 通行密钥

X公司（前身为Twitter）宣布，现在美国的iOS用户可以使用通行密钥（passkey）登录其账户。这些通行密钥将与生成它们的iOS设备关联，并将通过提供防范钓鱼攻击和阻止未经授权的访问尝试来显著降低违规风险。它们还将通过消除记忆复杂密码的需求来增强用户体验和安全性。通行密钥采用公钥密码学构建，注册账户时，您的设备会为每个账户生成一对唯一的密钥——一个公钥和一个私钥。公钥被共享并存储在X上，而私钥保留在您的设备上。您的通行密钥永远不会与X共享，以确保最大安全性，并进一步降低未经授权的账户访问可能性。通过iCloud密钥链同步，通行密钥在您的iOS设备之间同步，这样如果您丢失设备，就能确保冗余。虽然X鼓励美国的iOS用户使用通行密钥来增强其账户安全性，但目前登录时尚不强制要求使用通行密钥。

详情

Pwn2Own首日：安全研究人员成功攻破特斯拉Modem和充电站系统

日期: 2024-01-25
标签: 信息技术, 交通运输, 特斯拉（Tesla ）, Pwn2Own Automotive 2024, 特斯拉

2024年Pwn2Own Automotive比赛的首日，安全研究人员在比赛中成功攻破了特斯拉Modem和多个充电站的系统，获得了总计722,500美元的奖金。他们利用了24个独特的零日漏洞和三个漏洞碰撞，成功获取了特斯拉Modem的root权限，并获得了其他奖金。比赛还涉及了多个已修补的电动车充电站和信息娱乐系统，以及针对特斯拉车辆系统的零日漏洞演示。比赛规定，漏洞被利用并报告后，厂商有90天时间发布安全修复程序。比赛的重点是针对汽车技术进行攻击，包括特斯拉车辆系统、电动车充电站和车载操作系统等。

详情

0x09   勒索攻击

芬兰Tietoevry遭受Akira勒索软件攻击

日期: 2024-01-22
标签: 信息技术, Tietoevry, Akira

芬兰IT服务和企业云托管提供商Tietoevry遭受了勒索软件攻击，影响了位于瑞典的其中一个数据中心的云托管客户。攻击由Akira勒索软件团伙发起，导致多家企业和机构在瑞典遭受停机损失，包括电影院、折扣零售连锁店、建筑材料供应商和农业供应商等。此次攻击还影响了Tietoevry的Primula薪资和人力资源系统，该系统被瑞典政府、大学和学院使用。Akira勒索软件团伙此前曾在全球范围内进行双重勒索攻击，而芬兰国家网络安全中心已经披露了2023年发生的12起Akira勒索软件攻击事件。这些攻击通常与安全性薄弱的Cisco VPN实施或未修补的漏洞有关。

详情

LockBit勒索软件团伙声称入侵Subway

日期: 2024-01-22
标签: 住宿餐饮业, Subway, LockBit

LockBit勒索软件团伙声称已经入侵了美国跨国快餐连锁餐厅Subway，并威胁在2024年2月2日21:44:16 UTC之前泄露窃取的敏感数据。该团伙声称已窃取数百GB的敏感数据，包括员工薪资、特许经营费用、总经销佣金支付、餐厅营业额等。他们在Tor泄露网站上发布消息称，给Subway一些时间来保护数据，否则他们将考虑出售给竞争对手。目前尚不清楚LockBit团伙向受害者索要了什么赎金。

详情

新勒索软件Kasseika利用漏洞驱动程序实施攻击

日期: 2024-01-24
标签: 信息技术, Kasseika, 漏洞驱动程序

一个名为“Kasseika”的勒索软件攻击行为。该勒索软件利用“Bring Your Own Vulnerable Driver (BYOVD)”策略来禁用杀毒软件，然后加密文件。攻击链包括钓鱼邮件、滥用Windows PsExec工具执行恶意.bat文件、利用漏洞驱动程序获取权限、加密文件并在受害者计算机上显示勒索通知。受害者需支付50比特币（价值约200万美元），并每延迟24小时需额外支付50万美元，最长支付期限为5天。

详情

Veolia北美遭遇勒索软件攻击

日期: 2024-01-24
标签: 能源业, 居民服务, Veolia North America

Veolia North America（Veolia北美）是跨国企业Veolia的子公司，披露遭受了勒索软件攻击，影响了其市政水务部门的系统，并导致其账单支付系统遭到破坏。公司已采取防御措施，暂时下线部分系统以遏制入侵，并正与执法部门和第三方取证专家合作，评估攻击对其运营和系统的影响。受影响的后端系统和服务器已经恢复在线，客户的付款不会受到影响。攻击并未干扰Veolia的水处理和污水服务。公司发现受影响的个人信息数量有限，并正与第三方取证公司合作评估攻击对其运营和系统的影响。

详情

芬兰Tietoevry遭Akira勒索软件攻击

日期: 2024-01-25
标签: 信息技术, Tietoevry, Akira勒索软件

芬兰IT服务提供商Tietoevry遭到勒索软件攻击，导致一些瑞典政府机构和商店的在线服务中断。这次Akira勒索软件攻击影响了多个瑞典政府机构、大学和商业活动，袭击源自芬兰IT服务和企业云托管公司Tietoevry。Tietoevry是一家提供企业托管服务和云托管的芬兰跨国信息技术（IT）和咨询公司。攻击发生在瑞典的一个数据中心，影响了公司的服务，包括瑞典最大的电影院连锁Filmstaden和折扣零售连锁Rusta。攻击还影响了公司的Payroll和HR系统Primula，该系统被瑞典政府机构使用。攻击导致公司无法确定完全恢复的时间，可能需要数天甚至数周。此外，芬兰国家网络安全中心（NCSC-FI）报告称，Akira勒索软件攻击在2023年末有所增加，主要针对使用Cisco ASA或FTD设备的组织网络。攻击者利用ASA和FTD的漏洞CVE-2023-20269，对组织网络进行攻击。Akira勒索软件自2023年3月以来一直活跃，威胁行为者声称已经入侵了教育、金融和房地产等多个行业的多个组织。

详情

0x0a   其他事件

德国程序员因披露安全漏洞被指控

日期: 2024-01-22
标签: 信息技术, 数据隐私

一名德国程序员因调查一项IT问题而被指控入侵和被罚款，罪名是未经授权访问外部计算机系统并窥视数据。程序员发现一款管理软件连接了远程服务器，其中不仅包含客户数据，还包括近70万其他客户的数据，构成了重大的数据隐私问题。在发现数据库中包含其他公司的数据后，程序员与一位科技博主合作，帮助通知了软件供应商有关这一网络安全和隐私问题。软件供应商随后关闭了服务器以解决问题，并向警方举报了该程序员。程序员提取了管理软件可执行文件中的明文密码，法庭认定这违反了德国刑法第202c条的规定。

详情

FTC要求Intuit停止误导性免费纳税软件广告

日期: 2024-01-23
标签: 金融业, 免费纳税软件

美国联邦贸易委员会（FTC）要求Intuit停止将其软件产品和服务宣传为“免费”，除非对所有消费者都真正免费。这一命令是在FTC对Intuit如何宣传其纳税软件TurboTax为“免费”产品进行调查后发布的，该广告宣传活动持续多年，包括在超级碗和2022年NCAA篮球锦标赛期间播放的广告。然而，这些广告是误导性的，因为数百万美国人多年来无法免费使用Turbotax来申报税款，发现这只是浪费时间。FTC表示，美国约三分之二的纳税人无法像会计和税务软件提供商所宣传的那样免费使用TurboTax，而是在申报税款时被收取费用。FTC的命令还禁止Intuit提供关于其产品或服务重要方面的虚假信息，包括但不限于定价、退款政策、消费者对税收抵免或减免的资格以及无需依赖TurboTax付费服务即可准确申报税款的能力。

详情

三国联合制裁俄罗斯黑客

日期: 2024-01-24
标签: 信息技术, Medibank

澳大利亚、美国和英国政府宣布对俄罗斯国民亚历山大·格纳季耶维奇·耶尔马科夫实施制裁，因其被认为是2022年Medibank医保公司遭受勒索软件攻击的责任人，同时也是REvil勒索软件团伙的成员。文章提到了医保公司遭受的数据泄露，相关调查和对耶尔马科夫的身份确认，以及美国和英国政府对其实施制裁的协调行动。此外，还提到了Ermakov在网络上使用的多个化名以及其可能的活动。制裁的目的是限制Ermakov的非法活动，包括限制其获得资产和加密货币支付。澳大利亚政府认为这些制裁足以阻止他人与Ermakov进行金融交易。

详情

俄罗斯籍Trickbot恶意软件开发者被判刑

日期: 2024-01-26
标签: 信息技术, Trickbot

俄罗斯籍国民弗拉基米尔·杜纳耶夫因参与创建和传播Trickbot恶意软件，对全球医院、公司和个人进行攻击，被判处五年零四个月监禁。他在恶意软件中负责开发浏览器注入组件。杜纳耶夫于2021年9月因试图离开韩国而被捕，随后被引渡至美国。他承认了与计算机欺诈、身份盗用、电信和银行欺诈相关的指控。此前，美国司法部已经起诉了杜纳耶夫和其他八名共犯。TrickBot恶意软件最初用于窃取银行凭证，后来演变为一种模块化工具，被用于入侵公司网络。与此同时，英美对18名涉及TrickBot和Conti网络犯罪组织的俄罗斯人进行了制裁。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2024-01-22 360CERT发布安全周报