报告编号：CERT-R-2024-686

报告来源：360CERT

报告作者：360CERT

更新日期：2024-02-06

0x01   事件导览

本周收录安全热点68项，话题集中在安全漏洞、数据安全、网络攻击，主要涉及的实体有：梅赛德斯-奔驰、Europcar、堪萨斯城地区交通管理局（KCATA）等，主要涉及的黑客组织有：UNC4990、UNC5221 (UTA0178)、Pawn Storm等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

巴西联邦警察瓦解Grandoreiro银行恶意软件操作

日期: 2024-01-31
标签: 金融业, Grandoreiro, 巴西联邦警察

巴西联邦警察和网络安全研究人员成功瓦解了自2017年以来一直以金融欺诈为目标的Grandoreiro银行恶意软件操作，该操作一直针对讲西班牙语的国家。该行动得到ESET、国际刑警组织、西班牙国家警察和Caixa银行的支持，他们提供了关键数据，有助于确定和逮捕控制恶意软件基础设施的个人。巴西联邦警察宣布在圣保罗、圣卡塔琳娜、巴拉、戈亚斯和马托格罗索地区逮捕了五人，并进行了十三起搜查和扣押行动。

详情

0x04   恶意软件

新变种FAUST勒索软件利用VBA脚本传播，威胁加密文件安全

日期: 2024-01-30
标签: 信息技术, Bambenek Consulting, Phobos,, VBA脚本

2024年1月下旬，安全研究人员发现了Phobos勒索软件家族的新变种FAUST。Phobos于2019年首次出现，会加密受害者计算机上的文件，并要求支付加密密钥的加密货币赎金。根据上周FortiGuard Labs发布的警报，FAUST变种在一个利用VBA脚本传播勒索软件的Office文档中被发现。攻击者利用Gitea服务存储Base64编码的恶意文件，通过注入到系统内存中，这些文件会发起文件加密攻击。FAUST勒索软件从技术角度来看展现出持久性机制，添加注册表项并将自身复制到特定的启动文件夹。它检查Mutex对象以确保只有一个进程在运行，并包含排除列表以避免双重加密特定文件或加密其勒索信息。加密文件带有“.faust”扩展名，并指示受害者通过电子邮件或TOX消息与攻击者联系进行勒索谈判。

详情

DarkGate恶意软件利用微软Teams进行网络钓鱼攻击

日期: 2024-01-31
标签: 信息技术, DarkGate恶意软件, 网络钓鱼攻击

新的网络钓鱼攻击利用微软Teams群组聊天请求，推送恶意附件，在受害者系统上安装DarkGate恶意软件。攻击者利用一个看起来被入侵的Teams用户（或域）发送了超过1000个恶意Teams群组聊天邀请。受害者接受聊天请求后，威胁行为者诱使他们下载一个使用双重扩展名命名的文件，常见的DarkGate策略。一旦安装，恶意软件将联系其命令和控制服务器，已经被Palo Alto Networks确认为DarkGate恶意软件基础设施的一部分。

详情

黑客利用Ivanti Connect Secure VPN漏洞传播KrustyLoader

日期: 2024-02-01
标签: 信息技术, KrustyLoader, Ivanti Connect Secure VPN漏洞

黑客正在利用最近披露的Ivanti Connect Secure (ICS) VPN设备的零日漏洞来传播KrustyLoader。Ivanti软件公司在2024年初报告称，威胁行为者正在利用Connect Secure (ICS)和Policy Secure中的两个零日漏洞（CVE-2023-46805，CVE-2024-21887）来远程在目标网关上执行任意命令。网络安全公司Synacktiv的研究人员发布了对一种名为KrustyLoader的Rust恶意软件的技术分析，该恶意软件是由利用上述漏洞的威胁行为者传送的。

详情

乌克兰PurpleFox恶意软件感染警告

日期: 2024-02-02
标签: 信息技术, PurpleFox, CERT-UA

乌克兰计算机应急响应团队（CERT-UA）发出警告，称一场名为PurpleFox的恶意软件活动已经感染了该国至少2000台计算机。这种恶意软件是一个模块化的Windows僵尸网络病毒，最早出现于2018年，具有隐藏和在设备重启之间持续存在的rootkit模块。它可以作为下载器，在受感染的系统上引入更强大的第二阶段载荷，为其操作者提供后门功能，并且还可以作为分布式拒绝服务（DDoS）僵尸。最新版本的PurpleFox使用WebSocket进行命令和控制（C2）通信以实现隐蔽。乌克兰CERT-UA使用Avast和TrendMicro共享的IoC来识别乌克兰计算机上的PurpleFox恶意软件感染，并追踪其活动。如果发现感染迹象，建议使用Avast Free AV运行“SMART”扫描并删除所有模块，或者进行手动清理步骤。清理后，为避免再次感染，需要在Windows上启用防火墙并创建规则，阻止来自端口135、137、139和445的入站流量。

详情

Patchwork APT组利用假消息应用进行间谍活动

日期: 2024-02-02
标签: 政府部门, 信息技术, VajraSpy, 间谍活动, Google Play

一项名为VajraSpy的Android远程访问特洛伊木马（RAT）被发现在12个恶意应用程序中，其中有6个从2021年4月1日到2023年9月10日在Google Play上可用。这些恶意应用程序已经从Google Play中移除，但仍然在第三方应用商店中可用，它们伪装成消息或新闻应用。安装这些应用程序的用户会感染VajraSpy，使得恶意软件能够窃取个人数据，包括联系人和消息，并且根据授予的权限，甚至可以录制他们的电话通话。研究人员发现，这次运营活动的操作者是Patchwork APT组，他们主要针对巴基斯坦用户。

详情

APT组织UNC5221利用新漏洞攻击Ivanti VPN设备

日期: 2024-02-02
标签: 信息技术, UNC5221, Ivanti VPN设备

Mandiant发现了一种新的恶意软件，由UNC5221使用，针对Ivanti Connect Secure VPN和Policy Secure设备。攻击者利用CVE-2023-46805和CVE-2024-21887漏洞在未打补丁的Ivanti设备上执行任意命令。Mandiant报告称，攻击者在攻击中使用了多种恶意软件和开源工具，包括新变种的LIGHTWIRE web shell、Python web shell backdoor CHAINLINE和FRAMESTING web shell等。此外，Ivanti也警告了其Connect Secure和Policy Secure解决方案中的两个新高危漏洞CVE-2024-21888和CVE-2024-21893。

详情

Commando Cat活动：Docker API端点遭受新一轮恶意软件攻击

日期: 2024-02-02
标签: 金融业, 信息技术, 加密货币挖矿, Commando Cat活动, Docker API端点

Cado研究人员发布的调查结果显示，他们发现了一起名为“Commando Cat”的恶意软件攻击活动，该活动针对暴露的Docker API端点。这起加密货币挖矿活动自今年年初以来才开始活跃，但已经是第二起针对Docker的攻击活动。研究人员表示，这次攻击活动表明攻击者继续利用该服务并实现各种目标的决心。攻击者利用Docker作为初始访问向量，滥用该服务来挂载主机文件系统，并在主机上直接运行一系列相互依赖的有效负载，构成了一起高度隐蔽和恶意的威胁。

详情

FritzFrog变种通过Log4Shell传播

日期: 2024-02-02
标签: 信息技术, CVE-2021-4034, Log4Shell, 僵尸网络

一种名为“FritzFrog”的高级僵尸网络的新变种通过Log4Shell进行传播。自从Log4j的关键漏洞首次被释放以来已经过去了两年多，但攻击者仍在利用它，因为许多组织仍未修补。与大多数Log4Shell攻击不同，“FritzFrog”——一种基于Golang的点对点僵尸网络——并不针对面向互联网的系统和服务。它的诀窍是在组织内部网络资产中搜索并通过同一漏洞进行传播。除了弱密码，现在它还在搜索Log4Shell漏洞。此外，它还利用CVE-2021-4034进行特权升级，使用TOR支持以及Linux的一些特性来减少被检测的风险。这些技巧共同促成了该僵尸网络自2020年首次发现以来对1500多个受害者进行了20000多次攻击。对于这种拥有如此多武器的广泛恶意软件，最好的缓解方式是设置良好的密码，并修补系统。

详情

分析Patchwork的间谍软件VajraSpy

日期: 2024-02-04
标签: 信息技术, APT舆情, Android间谍应用程序

ESET研究人员已发现12个Android间谍应用程序共享相同的恶意代码：其中6个可在Google Play上找到，另外6个是在VirusTotal上发现的。除了伪装成新闻应用程序的应用程序外，所有观察到的应用程序都被宣传为消息传递工具。这些应用程序在后台秘密执行名为VajraSpy的远程访问木马(RAT)代码，该代码被Patchwork APT组织用于有针对性的间谍行动。VajraSpy具有一系列间谍功能，可以根据授予与其代码捆绑的应用程序的权限进行扩展。它会窃取联系人、文件、通话记录和短信，甚至可以提取WhatsApp和Signal消息、录制电话以及用相机拍照。根据研究，该Patchwork APT行动主要针对巴基斯坦的用户。

详情

0x05   数据安全

乌克兰:黑客清除了俄罗斯研究中心2PB的数据

日期: 2024-01-29
标签: 乌克兰, 俄罗斯, 政府部门, 乌克兰主要情报总局, 俄罗斯太空水文气象中心

乌克兰国防部的乌克兰主要情报总局声称，亲乌黑客侵入了俄罗斯太空水文气象中心“planeta”（планета），并抹掉了2PB的数据。Planeta是一个国家研究中心，利用空间卫星数据和雷达等地面信息源提供有关天气、气候、自然灾害、极端现象和火山监测的信息和准确预测。该机构隶属于俄罗斯航天局Roscosmos，并支持军事、民航、农业和海事等领域。乌克兰政府声称，这次攻击对Planeta造成了灾难性影响，估计损失高达1000万美元，影响了超级计算机集群的运行以及多年的研究。此外，这次网络攻击还瘫痪了Planeta主楼的所有暖通空调和供电系统，并切断了位于波尔什维克岛的站点与网络的连接。乌克兰政府宣称他们并未参与这次攻击，但承认在之前的几个月里曾进行类似的破坏行动。

详情

23andMe证实遭黑客攻击泄露健康数据

日期: 2024-01-29
标签: 信息技术, 居民服务, 科研服务, 23andMe, 基因检测

23andMe确认黑客从4月29日至9月27日进行了持续五个月的凭证填充攻击，盗取了受影响客户的健康报告和原始基因型数据。攻击者使用在其他数据泄露中盗取的凭证或先前被黑的在线平台上使用的凭证来侵入客户账户。泄露的信息包括100万名阿什肯纳兹犹太人和410万名居住在英国的人的数据。黑客还可能获取了客户使用23andMe的DNA亲属功能的信息，包括祖先报告、自述位置、祖先出生地点和家庭姓名等。23andMe已要求所有客户重置密码，并要求所有新老客户在登录时使用双因素认证以阻止未来的凭证填充尝试。公司还更新了使用条款，使客户更难以加入对23andMe的集体诉讼。这些变化旨在使仲裁过程更高效，更易于客户理解。

详情

美国国家安全局（NSA）承认购买美国公民互联网浏览记录

日期: 2024-01-30
标签: 信息技术, 政府部门, 美国国家安全局（NSA）

美国国家安全局（NSA）承认从数据经纪商购买互联网浏览记录，监控美国人的在线活动。俄勒冈州民主党参议员罗恩·怀登（Ron Wyden）发布文件证实，国家安全局（NSA）未经法院命令购买美国人的互联网浏览记录。情报机构获取的数据可以显示美国公民访问的网站和他们使用的应用程序。怀登呼吁美国政府命令情报机构停止购买通过数据经纪商非法获取的美国人个人数据。

详情

梅赛德斯-奔驰源代码泄露事件

日期: 2024-01-30
标签: 交通运输, 梅赛德斯-奔驰, RedHunt Labs

RedHunt Labs的研究人员发现，梅赛德斯-奔驰无意中将一个私钥公开在网上，从而暴露了包括公司源代码在内的内部数据。目前尚不清楚这次数据泄露是否暴露了客户数据。RedHunt Labs与TechCrunch分享了他们的发现，并通过媒体通知了汽车制造商。安全公司发现，一个属于梅赛德斯员工的认证令牌被无意中留在了一个公开的GitHub存储库中。该发现是在一次常规的互联网扫描中于一月份发现的。调查揭示，这个令牌自2023年9月下旬以来一直暴露在网上。然而，目前尚不清楚是否有其他人未经授权地访问了汽车制造商的数据。梅赛德斯拒绝透露是否知道有第三方访问了被暴露的数据，或者公司是否拥有技术能力（如访问日志）来确定是否有任何非法访问其数据存储库。

详情

Keenan & Associates数据泄露通知

日期: 2024-01-30
标签: 商务服务, Keenan & Associates, 保险经纪和咨询

Keenan & Associates是一家总部位于加利福尼亚的保险经纪和咨询公司，近期发生数据泄露事件，向150万客户发出通知，警告黑客已经访问其个人信息。该公司是AssuredPartners NL的一部分，后者是美国最大的经纪公司之一。数据泄露包括客户和员工的个人信息，如姓名、出生日期、社会安全号码、护照号码、驾驶证号码、健康保险信息和一般健康信息。泄露可能导致身份盗窃、金融欺诈、网络钓鱼攻击和健康保险欺诈等风险。公司已经采取措施加强网络、内部系统和应用程序的安全，并正在评估潜在的额外步骤。受影响的人员被建议利用Experian提供的免费两年身份盗窃保护服务，并对可疑账户活动和未经请求的通讯保持警惕。

详情

意大利监管机构指责OpenAI违反欧盟数据隐私规定

日期: 2024-01-31
标签: 意大利, 信息技术, OpenAI, 意大利数据保护监管机构Garante

意大利数据保护监管机构Garante表示，ChatGPT违反了欧盟数据保护法规GDPR。2023年4月初，意大利数据保护监管机构暂时禁止了ChatGPT，因为它非法收集个人数据，并且没有系统来验证未成年人的年龄。监管机构指出，OpenAI未通知用户其正在收集其数据。隐私监管机构称，没有法律依据支持大规模收集和处理个人数据以“训练”平台所依赖的算法。监管机构对服务进行了一些测试，并确定其提供的信息并不总是与事实情况相符，因此会处理不准确的个人数据。监管机构声称，尽管该服务旨在回应年龄在13岁以上的用户，但ChatGPT会向未成年人展示不适当的回应。OpenAI声称已在4月30日之前满足了意大利数据保护监管机构的要求，因此聊天机器人的禁令被解除。意大利隐私监管机构根据其“事实调查活动”的结果确定，受欢迎的聊天机器人ChatGPT违反了欧盟隐私规定。意大利当局给予OpenAI 30天时间回应指控。

详情

芬兰心理诊所数据泄露攻击者揭露

日期: 2024-01-31
标签: 居民服务, 卫生行业, Vastaamo, 数据泄露

芬兰最大的心理治疗诊所Vastaamo遭遇了2018年的数据泄露和勒索事件。嫌疑人Julius Aleksanteri Kivimäki被跟踪到利用Monero交易，由芬兰国家调查局（KRP）和Binance合作追踪支付路径。Monero是一种隐私导向的加密货币，但KRP声称通过启发式分析推断出了资金的最可能路径。Kivimäki被指控涉及超过21,000人的严重数据泄露和勒索行为，检方要求判处其7年监禁。Kivimäki否认指控，称KRP报告内容有争议。

详情

Ripple联合创始人加密钱包被盗

日期: 2024-02-01
标签: 金融业, 信息技术, Ripple XRP, 加密货币

一群诈骗犯罪分子从Ripple联合创始人克里斯·拉森的加密钱包中窃取了价值约1.12亿美元的Ripple XRP。拉森指出，诈骗犯罪分子入侵了他的个人XRP账户，但@Ripple未受影响。他的公司迅速发现了欺诈行为，并在其他交易所的支持下冻结了受影响的地址，并立即通知了执法部门。据TechCrunch报道，加密安全研究员ZachXBT首先发现了这一黑客攻击，并报告称，诈骗犯罪分子试图通过多个加密交易所和平台洗钱。

详情

印度COVID通行证数据泄露

日期: 2024-02-02
标签: 卫生行业, 信息技术, COVID-19

印度旅行者的护照、手机号码和电子邮件地址泄露，350万人面临身份盗窃风险。去年，由于COVID-19感染人数增加，印度南部泰米尔纳德邦（人口7900万）要求旅行者必须申请COVID电子通行证。这意味着所有跨区旅行者需要在线申请，并输入大量个人身份信息（PII）。但最近Cybernews研究团队的调查显示，至少350万人的敏感信息被公开。虽然数据来自疫情高峰期（2020-2021年），但泄露的人仍面临身份盗窃等恶意活动的风险。Cybernews在例行调查中发现了这些无保护的数据。这些数据是由第三方服务提供商泄露的。泄露的数据包括：姓名、护照号码和/或复印件、性别、手机号码和电子邮件地址、旅行细节和旅行原因（由于疫情期间的旅行限制，人们必须具体说明）、车辆号码。

详情

欧洲租车公司Europcar否认数据泄露

日期: 2024-02-04
标签: 交通运输, Europcar, 虚假信息

欧洲租车公司Europcar表示，他们并未遭受数据泄露，一名威胁行为者声称正在出售5000万客户的个人信息，但Europcar称这些数据是虚假的。周日，有人声称在一个知名黑客论坛上出售48606700名Europcar.com客户的数据。帖子中包括31名被指控的Europcar客户的被盗数据样本，包括姓名、地址、出生日期、驾驶执照号码等信息。Europcar表示，他们经过彻底检查后确认这是虚假的数据，并且认为这些数据是使用人工智能生成的。安全研究人员Troy Hunt指出，虽然大部分数据显然是虚假的，但他并不相信这是使用人工智能创建的。他指出，电子邮件地址与用户名不匹配，并且一些地址根本不存在。此外，一些地址和电话号码属于美国地区，而关联的电子邮件却是其他国家的。

详情

0x06   网络攻击

微软确认俄罗斯黑客组织入侵事件

日期: 2024-01-29
标签: 政府部门, 午夜暴风雪（Nobelium或APT29）, 俄罗斯外交情报局（SVR）

微软证实，俄罗斯外交情报局的黑客组织“午夜暴风雪”在2023年11月成功入侵其高管的电子邮件账户，并作为恶意活动的一部分侵入了其他组织。据信，“午夜暴风雪”是与俄罗斯外交情报局（SVR）有关的国家支持的网络间谍组织，主要针对美国和欧洲的政府机构、非政府组织、软件开发商和IT服务提供商。微软发现，这些黑客在2023年11月入侵了其系统，并窃取了来自领导层、网络安全和法律团队的电子邮件。他们利用住宅代理和“密码喷洒”暴力攻击来入侵账户，其中一个测试账户没有启用多重身份验证（MFA），并获得了对微软企业环境的提升访问权限。黑客组织利用这一权限创建了恶意OAuth应用程序，进一步获取对企业邮箱的访问权限。微软通过检索交换Web服务（EWS）日志和已知的俄罗斯国家支持黑客组织的战术和程序，识别出这些恶意活动，并提供了防御建议。

详情

详细分析Midnight Blizzard针对微软的攻击行动

日期: 2024-01-30
标签: 信息技术, Midnight Blizzard, APT舆情

Microsoft安全团队于2024年1月12日检测到对其企业系统的民族国家攻击。Microsoft威胁情报调查确定威胁攻击者为Midnight Blizzard，这是俄罗斯国家资助的攻击者，也称为NOBELIUM。Microsoft通过检查Exchange Web服务(EWS)活动并使用审核日志记录功能，并结合对Midnight Blizzard的丰富知识，能够在日志数据中识别这些攻击。在博客中，提供了有关Midnight Blizzard的更多详细信息、对他们所使用的技术的初步和持续分析。利用从Microsoft对Midnight Blizzard的调查中获得的信息，Microsoft Threat Intelligence发现同一攻击者已将其他组织作为目标。

详情

疑似APT28攻击欧洲和高加索地区的政府组织

日期: 2024-02-01
标签: 政府部门, APT28（Fancy Bear）, APT舆情, APT28

2023年12月28日，乌克兰政府计算机紧急情况和事件响应小组(CERT-UA)描述了一场针对乌克兰政府组织的恶意间谍行动。CERT-UA将该活动归因于APT28组织。该恶意行动利用鱼叉式网络钓鱼诱骗用户访问远程HTML页面并打开Windows快捷方式，从而部署远程执行工具MASEPIE和OCEANMAP、凭据窃取程序STEELHOOK以及公开可用的侦察和凭证收集工具Impacket。Harfanglab发现了其他恶意文件和基础设施，非常有信心地认为它们是同一行动的一部分。该行动至少针对乌克兰和波兰（也可能包括阿塞拜疆）的政府组织，最迟于2023年12月13日开始，并滥用合法的Ubiquity网络设备作为基础设施。Harfanglab无法将所描述的行动与APT28特别可靠地联系起来。

详情

美国乔治亚州富尔顿县遭遇网络攻击和停电

日期: 2024-02-01
标签: 信息技术, 政府部门, 安全策略

美国乔治亚州富尔顿县遭遇网络攻击和停电，政府系统下线，恢复时间未知。法院文件、税收处理和其他服务，包括电话、互联网服务和法院网站也受影响。2020年起诉特朗普总统等人的地方检察官法尼·威利斯受到网络攻击影响，但尚未发现任何关联。县官员罗布·皮茨表示，目前尚不清楚是否泄露了公民或员工的敏感信息，但将继续对此进行仔细调查。据称，该县系统可能要到下周才能恢复正常运行。PKI Solutions的创始人马克·库珀指出，富尔顿县的网络攻击凸显了需要采用深度评估核心系统和关键基础设施的自适应安全策略，如身份和加密。官员建议居民如有疑问可通过电子邮件联系县的客户服务办公室。

详情

金融黑客滥用合法在线平台进行恶意软件攻击

日期: 2024-02-01
标签: 信息技术, 金融业, UNC4990, USB设备感染

一名以金融为动机的黑客利用USB设备进行初始感染，被发现滥用GitHub、Vimeo和Ars Technica等合法在线平台，以托管编码的载荷，潜藏在看似无害的内容中。攻击者将这些载荷隐藏在明处，将它们放置在科技新闻网站的论坛用户资料或媒体托管平台的视频描述中。这些载荷对访问这些网页的用户并不构成风险，因为它们只是简单的文本字符串。然而，在整个攻击链中，它们对于下载和执行恶意软件至关重要。攻击者被追踪为UNC4990，自2020年以来一直活跃，主要针对意大利用户。

详情

乌克兰军方遭受俄罗斯APT网络攻击

日期: 2024-02-02
标签: 政府部门, PowerShell, 乌克兰军方

俄罗斯高级持久威胁（APT）针对乌克兰军方发起了有针对性的PowerShell攻击活动。这次攻击很可能是由与Shuckworm相关的攻击者执行的，这次恶意活动被Securonix追踪并命名为STEADY#URSA，利用了一种新发现的基于PowerShell的SUBTLE-PAWS后门来渗透和 compromise 目标系统。这种后门允许攻击者未经授权地访问、执行命令并在被入侵的系统中保持持久性。攻击方法包括通过钓鱼邮件传送压缩文件中的恶意载荷，以及通过USB驱动器进行恶意软件的分发和横向移动，从而不需要直接访问网络。这份报告指出，由于乌克兰采用了类似 Starlink 的空隙通信技术，这种攻击手段可能会变得更加困难。该活动与Shuckworm恶意软件存在相似之处，并且融合了以往针对乌克兰军方的网络攻击中观察到的独特战术、技术和程序（TTPs）。

详情

Cloudflare内部Atlassian服务器遭国家级攻击者入侵

日期: 2024-02-02
标签: 信息技术, Cloudflare, 云计算

Cloudflare披露其内部Atlassian服务器遭到涉嫌的“国家级攻击者”入侵，对其Confluence wiki、Jira bug数据库和Bitbucket源代码管理系统进行了访问。攻击者于11月14日首次获取了Cloudflare的自托管Atlassian服务器的访问权限，然后在一次侦察阶段后访问了公司的Confluence和Jira系统。攻击者使用了从2023年10月Okta泄露事件中窃取的一个访问令牌和三个服务账户凭据来访问系统。Cloudflare在11月23日发现了恶意活动，于11月24日早上切断了黑客的访问权限，并在11月26日开始调查事件。公司表示，此次入侵并未影响Cloudflare的客户数据或系统，也未影响其服务、全球网络系统或配置。根据行业和政府同行的合作，他们认为这次攻击是由国家级攻击者执行的，目的是获取对Cloudflare全球网络的持久和广泛访问权限。Cloudflare在2023年10月和2022年8月分别经历了Okta实例被入侵和员工凭据被盗用的事件。

详情

Clorox确认2023年9月网络攻击造成4900万美元损失

日期: 2024-02-04
标签: 制造业, 批发零售, Clorox

Clorox确认2023年9月的网络攻击已经给公司造成了4900万美元的费用，主要用于响应事件。Clorox是一家美国消费品和专业清洁产品制造商，2023年营收接近75亿美元，员工数量为8700人。8月11日，Clorox遭受网络攻击，导致公司运营受到严重影响，生产减少，消费品供应减少。根据Clorox在周四提交给SEC的收益报告，公司在2023年底前已经因网络攻击产生了4900万美元的费用。

详情

APT-LY-1009使用VenomRAT以及Telegram Bot针对亚美尼亚政府的攻击

日期: 2024-02-04
标签: 政府部门, APT-LY-1009, APT舆情

在2023年9月，猎影实验室首次捕获亚美尼亚首都耶烈万上传的包含有恶意宏代码的文档，宏代码运行后将下载用于执行脚本指令的恶意文件，最后在内存中加载Venom RAT。鉴于23年9月与今年1月捕获的两条攻击链的目标相似性、攻击武器一致性，以及网络基础设施存在的关联性，该组织可以作为未知威胁组织进行跟踪及披露，并将此事件背后的威胁组织标记为APT-LY-1009（暗爪鹰、Darkclaw Eagle）并进行跟踪。跟踪发现，APT-LY-1009（暗爪鹰、Darkclaw Eagle）的几次攻击活动均针对亚美尼亚共和国政府工作人员。

详情

0x07   安全漏洞

Jenkins关键漏洞PoC利用已公开

日期: 2024-01-29
标签: 信息技术, Jenkins, PoC利用

多个针对Jenkins关键漏洞的PoC利用已公开发布，允许未经身份验证的攻击者读取任意文件，一些研究人员报告称攻击者正在积极利用这些漏洞进行攻击。Jenkins是一个广泛用于软件开发的开源自动化服务器，特别是用于持续集成（CI）和持续部署（CD）。SonarSource研究人员发现了Jenkins中的两个漏洞，可能使攻击者能够在受影响的服务器上访问数据并在特定条件下执行任意CLI命令。这些漏洞已经得到修复，但由于攻击者可以获取到大量关于漏洞的信息，因此一些研究人员已经在GitHub上发布了工作中的PoC利用。攻击者已经开始利用这些漏洞，因此对于Jenkins服务器管理员来说，尽快应用安全更新至关重要。

详情

Jenkins实例暴露严重漏洞

日期: 2024-01-30
标签: 信息技术, CVE-2023-23897, Jenkins

研究人员发现大约45,000个Jenkins实例在网络上暴露，存在CVE-2023-23897漏洞，这是一个关键的远程代码执行（RCE）漏洞，已有多个公开的PoC利用程序在传播中。2024年1月24日，该项目发布了版本2.442和LTS 2.426.3，以修复CVE-2023-23897，这是一个任意文件读取问题，可能导致执行任意命令行接口（CLI）命令。安全研究人员警告称，CVE-2023-23897存在多个有效利用程序，这极大地提高了未打补丁的Jenkins服务器的风险，并增加了野外利用的可能性。监测Jenkins蜜罐的研究人员观察到类似真正利用的活动，尽管目前还没有确凿的证据。威胁监控服务Shadowserver报告称，其扫描器已经"捕捉"到大约45,000个未打补丁的Jenkins实例，显示了一个巨大的攻击面。大多数易受攻击的互联网暴露实例位于中国（12,000）和美国（11,830），其次是德国（3,060）、印度（2,681）、法国（1,431）和英国（1,029）。

详情

微软调查Outlook.com账户连接问题

日期: 2024-01-30
标签: 信息技术, 微软（Microsoft）, Outlook, Microsoft

微软正在调查一个问题，该问题导致Outlook和其他电子邮件客户端无法连接Outlook.com账户。自1月23日以来，用户报告在使用POP、IMAP和Exchange连接时，使用Outlook 2013、Outlook 2016、Outlook for Microsoft 365、Thunderbird和移动电子邮件应用程序时遇到连接问题。一些用户报告称，使用应用密码进行连接可以解决问题，但后来又会回到断开状态。受影响的客户在Microsoft的社区平台和Reddit等社交网络上报告了自上周二以来与此问题相关的登录问题。当受影响的用户尝试连接Outlook.com账户时，会弹出要求输入密码并提供“记住我的凭据”选项的弹出窗口。然而，即使输入了正确的密码，对话框仍会弹出，应用程序仍在尝试连接到该账户。Outlook团队目前正在努力解决此问题，并将在解决方案或更多详细信息可用时分享更多信息。建议无法使用客户端连接Outlook.com账户的受影响客户在解决问题之前使用Outlook.com网页版。

详情

Ivanti VPNs零日漏洞导致KrustyLoader后门恶意软件大规模攻击

日期: 2024-01-31
标签: 信息技术, UNC5221 (UTA0178), Ivanti VPNs

攻击者利用Ivanti VPNs中的一对关键的零日漏洞部署了基于Rust的后门，随后下载了一个名为“KrustyLoader”的后门恶意软件。这两个漏洞分别是CVE-2024-21887和CVE-2023-46805，允许未经身份验证的远程代码执行（RCE）和绕过身份验证，影响了Ivanti的Connect Secure VPN设备。尽管这两个零日漏洞已经在野外被积极利用，但高级持续性威胁（APT）行动者（UNC5221，又名UTA0178）在公开披露漏洞后迅速利用了这些漏洞，进行了全球范围内的大规模利用尝试。Ivanti承诺在1月22日发布补丁。

详情

Linux多个发行版存在glibc本地提权漏洞

日期: 2024-01-31
标签: 信息技术, Linux, glibc, 本地提权漏洞

新披露的GNU C库（glibc）本地权限提升（LPE）漏洞（CVE-2023-6246）影响了多个主要Linux发行版的默认配置，使得非特权攻击者可以获得root访问权限。该漏洞存在于glibc的__vsyslog_internal()函数中，通过广泛使用的syslog和vsyslog函数将消息写入系统消息记录器。该漏洞源于glibc 2.37中在2022年8月意外引入的堆基础缓冲区溢出弱点，并在解决较不严重的漏洞CVE-2022-39046时被后移至glibc 2.36。该漏洞对Debian、Ubuntu和Fedora系统产生影响，研究人员还发现了其他潜在的安全问题。CISA下令美国联邦机构加固其Linux系统，防范CVE-2023-4911攻击。

详情

GNU C库（glibc）发现根访问漏洞

日期: 2024-01-31
标签: 信息技术, CVE-2023-6246, glibc

Qualys研究人员在GNU C库（glibc）中发现了一个根访问漏洞，被标记为CVE-2023-6246，影响多个Linux发行版。该漏洞位于glibc的syslog函数中，攻击者可以利用该漏洞通过特权升级获得root访问权限。该漏洞是在2022年8月引入的，可以通过提供精心制作的输入来触发问题。此外，Qualys还发现了其他三个安全漏洞，包括一个qsort漏洞、一个off-by-one堆缓冲区溢出漏洞和一个整数溢出问题。这些漏洞存在于自1992年以来的所有glibc版本中。这些问题影响了Debian、Ubuntu和Fedora等Linux操作系统发行版。更多细节可以在Qualys Threat Research Unit的Saeed Abbasi发布的帖子中找到。

详情

安卓本地权限提升漏洞PoC利用公开

日期: 2024-02-01
标签: 信息技术, CVE-2023-45779, 安卓设备制造商

一项影响至少七家安卓设备制造商的本地权限提升漏洞的PoC漏洞利用现已在GitHub上公开。该漏洞需要本地访问，因此对研究人员最为有用。漏洞编号为CVE-2023-45779，由Meta的Red Team X于2023年9月初发现，并在2023年12月的安卓安全更新中得到修复。该漏洞存在于使用测试密钥不安全签名APEX模块，允许攻击者向平台组件推送恶意更新，导致本地权限提升。此漏洞并非直接可远程利用，但凸显了CTS和AOSP文档中的弱点，Google计划在即将发布的安卓15版本中加以解决。截至2023年12月5日的安卓安全补丁级别为2023-12-05的设备已受到CVE-2023-45779的保护。

详情

Ivanti Connect Secure和Policy Secure产品存在两个新漏洞

日期: 2024-02-01
标签: 信息技术, Ivanti, CVE-2024-21888, CVE-2024-21893, SAML组件

Ivanti警告其Connect Secure和Policy Secure产品中存在两个新漏洞，其中一个正在被野外积极利用。CVE-2024-21888是Ivanti Connect Secure和Policy Secure中的特权升级问题，CVE-2024-21893是SAML组件中的服务器端请求伪造漏洞。公司警告称，目前情况仍在发展，多个威胁行为者可以迅速调整其战术、技术和程序来利用这些问题。建议采用临时解决方案来解决这两个漏洞。

详情

容器引擎组件中发现四个漏洞“Leaky Vessels”

日期: 2024-02-01
标签: 信息技术, 容器引擎, Docker

研究人员发现了容器引擎组件中的四个漏洞，被称为“Leaky Vessels”，其中三个漏洞可以让攻击者突破容器并在底层主机系统上执行恶意操作。其中一个漏洞影响了Docker和其他容器环境的轻量级容器运行时runC，被指定为CVE-2024-21626，是四个漏洞中最紧急的，CVSS评分为8.6。这些漏洞的利用对云原生开发者来说可能会危及整个Docker或Kubernetes主机系统。另外三个漏洞影响了Docker的默认容器镜像构建工具BuildKit。Snyk建议组织及时升级修复版本。这些漏洞的利用相对简单，但需要高权限访问。容器安全问题已成为企业组织面临的不断增长的问题，相关调查显示了对容器安全认知的变化。

详情

微软修复Outlook.com帐户连接问题

日期: 2024-02-02
标签: 信息技术, Outlook.com, 电子邮件客户端, 应用程序密码

微软已经修复了一个已知问题，该问题导致桌面和移动电子邮件客户端在使用Outlook.com帐户时无法连接。微软表示：“Outlook.com团队在2024年1月31日实施了服务更改，以解决连接问题和意外的身份验证提示。”对于Outlook 2013和Outlook 2016，如果仍然出现身份验证提示，请确保已启用两步验证并创建应用程序密码。在Outlook提示进行身份验证时，请使用应用程序密码代替您的常规密码。受影响的用户开始在微软的社区平台和其他社交网络上分享有关这些登录问题的报告。微软还解决了一些Outlook的其他问题，如电子邮件搜索问题和客户端崩溃问题。

详情

CISA紧急指令要求断开Ivanti Connect Secure和Ivanti Policy Secure产品的连接

日期: 2024-02-02
标签: 信息技术, 政府部门, Ivanti Connect Secure, Ivanti Policy Secure

CISA下令联邦机构在48小时内断开Ivanti Connect Secure和Ivanti Policy Secure产品的连接。这是自成立以来第一次CISA下令联邦机构在48小时内断开所有Ivanti Connect Secure和Ivanti Policy Secure产品的连接。紧急指令要求在2024年2月2日星期五晚上11:59之前断开所有实例。

详情

Bazel存在供应链漏洞，影响GitHub Actions工作流程

日期: 2024-02-04
标签: 信息技术, GitHub Actions, 供应链漏洞

Bazel存在供应链漏洞，影响GitHub Actions工作流程，可能允许恶意行为者向Bazel的代码库中插入有害代码。该漏洞可能影响包括Kubernetes、Angular、Uber、LinkedIn、Databricks、Dropbox、Nvidia和Google在内的数百万项目和用户。Cycode的研究重点在于GitHub Actions的漏洞，特别是组合操作中存在的安全风险。Cycode及时报告了漏洞，并得到了Google的认可和修复。

详情

Mastodon修复关键漏洞

日期: 2024-02-04
标签: 信息技术, CVE-2024-23832

Mastodon是一款自由开源的分布式社交网络平台，最近修复了一个严重漏洞，使攻击者能够冒充并接管任何远程账户。该平台在埃隆·马斯克收购Twitter后变得流行起来，目前拥有近1200万用户分布在11000个实例中。Mastodon的实例是自治的，但通过“联邦”系统相互连接，由提供基础设施并充当服务器管理员的所有者控制其自己的指南和政策。新修复的漏洞被跟踪为CVE-2024-23832，源于Mastodon中不足的来源验证，使攻击者能够冒充用户并接管其账户。该漏洞在CVSS v3.1中评级为9.4，并影响3.5.17、4.0.13、4.1.13和4.2.5之前的所有Mastodon版本。Mastodon已经修复了这个漏洞，并建议所有服务器管理员尽快升级到最新版本以保护其实例的用户。Mastodon已通过显著横幅向服务器管理员发出警报，以便及时了解更新情况并迁移到安全版本。

详情

0x08   安全分析

揭露伊朗IRGC涉及的网络攻击活动

日期: 2024-01-29
标签: 信息技术, 政府部门, IRGC-EWCD, IRGC

新的证据表明，伊朗的情报和军事机构通过其承包公司网络，针对西方国家进行了网络活动。一系列多年的泄露和曝光行动揭露了与伊朗伊斯兰革命卫队(IRGC)有关的实体参与了网络攻击和信息操纵活动。网络威胁情报提供商Recorded Future在2024年1月25日发布的一份新报告中讨论了一些发现。报告显示，至少有四个与IRGC相关的情报和军事组织与大部分网络承包方有联系。这些组织包括IRGC的电子战和网络防御组织、IRGC情报组织、IRGC情报保护组织以及IRGC外国行动组（即圣城军）。

详情

2024年数据隐私基准研究显示组织对生成式人工智能使用存在担忧

日期: 2024-01-29
标签: 信息技术, 数据隐私, 生成式人工智能

根据思科2024年数据隐私基准研究，超过四分之一（27%）的组织出于隐私和数据安全风险的考虑，至少是暂时性地禁止员工使用生成式人工智能。绝大多数组织也对这些工具进行了限制，其中近三分之二（63%）限制了可输入的数据内容，61%限制了员工可使用的生成式人工智能工具。尽管存在这些限制，许多组织承认向生成式人工智能应用输入了敏感数据，包括内部流程信息（62%）、员工姓名或信息（45%）、公司的非公开信息（42%）以及客户姓名或信息（38%）。大多数受访者（92%）认为生成式人工智能是一种根本不同的技术，具有新的挑战和关切，需要新的数据和风险管理技术。最大的担忧是这些工具可能损害组织的法律和知识产权（69%），输入的信息可能被公开或分享给竞争对手（68%），以及返回给用户的信息可能是错误的（68%）。此外，91%的安全和隐私专业人士承认他们需要采取更多措施来让客户放心他们在人工智能方面的数据使用。

详情

软件安装包伪装下的Kimsuky（APT-Q-2）窃密行动

日期: 2024-01-31
标签: 信息技术, APT舆情

近期奇安信威胁情报中心发现一批以韩国软件公司SGA旗下产品安装程序为伪装的窃密攻击样本，样本运行后释放正常的安装包迷惑受害者，并暗中执行经过VMProtect处理的恶意DLL，恶意DLL由Go语言实现，收集感染设备上的各类信息回传给攻击者，然后清除攻击痕迹。根据窃密软件样本携带的数字签名关联到另一种用作后门的恶意软件，同样为Go编写，并带有VMProtect保护壳。此后门软件与Kimsuky组织历史攻击样本存在多处特征重叠，因此这两种恶意软件均和Kimsuky组织存在关联。

详情

透明部落针对印度军方新近攻击活动分析

日期: 2024-02-01
标签: 政府部门, 印度军方, APT舆情

本次发现的攻击样本伪装成聊天软件，远程控制工具采用Lazaspy。Lazaspy是基于 XploitSPY 构建的自定义Android RAT，在XploitSPY的基础上定制了关键信息的序列化采集功能，该工具具有窃取通讯录、麦克风录音、实时剪切板、窃取短信和窃取设备文件等功能。在其泄露的受害者用户信息表中，可以看到大部分号码归属地为印度，同时从数据中也可以发现此次攻击从2023年3月持续至今。此次攻击的受害者多来自印度，其中包含印度军人相关，这符合透明部落组织的目标群体及地域分布。此次攻击使用的2个服务器解析域名都属于透明部落组织。

详情

Kimsuky组织利用Dropbox云端实施行动分析

日期: 2024-02-01
标签: 政府部门, Kimsuky, APT舆情

Kimsuky疑似是位于朝鲜半岛地区的威胁组织，作为一个十分活跃的APT组织，其针对南韩的活动次数也愈来愈多，主要针对韩国政府机构、世宗研究所、韩国外交部门、韩国国防分析研究所（KIDA）、韩国统一部、北朝鲜相关研究领域，同时该组织不断的使用hwp文件、Lnk文件、可执行文件，恶意宏文档的方式对目标进行相应的攻击。在本次事件中，攻击者向目标发送伪装成PDF的恶意LNK文件用于下载后续载荷，该文件名称“트레이딩 스파르타코스 강의안-100불남(2차)”翻译为“交易斯巴达克斯讲稿-100美元（第二期）”，疑似攻击目标为数字货币/金融领域相关人士。

详情

以太坊代币市场操纵或导致2.4亿美元利润

日期: 2024-02-04
标签: 金融业, 信息技术, 市场操纵, Chainalysis

Chainalysis称市场操纵者可能通过人为提高以太坊代币价值，2023年赚取了超过2.4亿美元。该区块链分析公司调查了2023年1月至12月间在以太坊上推出的37万个代币，其中有16.86万个至少在一个去中心化交易所（DEX）上交易。Chainalysis称，24%的以太坊代币和54%在DEX上交易的代币符合标准。尽管这仅占以太坊DEX总交易量的1.3%，但可能为市场欺诈者带来了高达2.42亿美元的利润。

详情

0x09   行业动向

Pwn2Own Automotive首届比赛结束

日期: 2024-01-29
标签: 信息技术, Pwn2Own, Automotive

Pwn2Own Automotive首届比赛已经结束，竞争者在1月24日至1月26日期间两次成功黑客入侵特斯拉，并演示了49个零日漏洞，共获得132.3750美元奖金。比赛由Trend Micro的Zero Day Initiative (ZDI)在日本东京举办，期间攻击者针对全面升级的电动汽车(EV)充电器、信息娱乐系统和汽车操作系统展开攻击。获得的零日漏洞将在Pwn2Own之后90天内向厂商公开。Synacktiv团队获得了2024年Pwn2Own Automotive比赛的冠军，获得45万美元现金奖励，fuzzware.io获得17.75万美元，Midnight Blue/PHP Hooligans获得8万美元。Synacktiv团队在比赛中成功黑客入侵特斯拉汽车两次，以及对其他目标系统进行多次成功攻击。此外，ZDI还宣布了Pwn2Own Vancouver 2024比赛将于3月20日开始，奖金池超过100万美元，包括特斯拉Model 3和Model S车型的软件类别和汽车系统的漏洞。

详情

CyberArk发布在线版“White Phoenix”勒索软件解密工具

日期: 2024-01-31
标签: 信息技术, White Phoenix, 解密工具

CyberArk发布了在线版本的“White Phoenix”，这是一个针对使用间歇加密的操作的开源勒索软件解密工具。该公司今天宣布，尽管该工具已经作为Python项目通过GitHub免费提供，但他们认为为不太懂技术的勒索软件受害者提供在线版本是必要的，因为他们不知道如何使用代码。使用在线版的White Phoenix非常简单，只需上传文件，点击“恢复”按钮，然后让工具恢复文件。目前，该工具支持PDF、Word和Excel文档文件、ZIP和PowerPoint。此外，在线版本的文件大小限制为10MB，因此如果要解密更大的文件或虚拟机（VMs），GitHub版本是唯一的选择。

详情

欧盟发布首个网络安全认证方案

日期: 2024-02-01
标签: 信息技术, 欧洲网络与信息安全局（ENISA）, ENISA

欧盟已经采纳了首个网络安全认证方案，作为提升成员国IT产品和服务网络安全的努力的一部分。欧洲网络与信息安全局（ENISA）与成员国协调起草了《关于通用标准的欧洲网络安全方案（EUCC）》，该自愿方案将在过渡期后取代当前的国家网络安全认证。EUCC将允许ICT供应商经历欧盟共同理解的评估流程，以证明数字产品（如技术组件、硬件和软件）的网络安全保障。新的认证方案将根据产品、服务或流程的预期使用风险水平提供两个保障级别，并基于已在17个欧盟成员国使用的SOG-IS通用标准评估框架制定要求。ENISA将发布EUCC下发的证书。欧盟的这一举措是其在网络安全领域立法活动的最新体现，体现了对网络安全规定和标准的不断提高。

详情

美国参议员提出《农业和食品网络安全法案》

日期: 2024-02-01
标签: 农林牧渔, 《农业和食品网络安全法案》

两位美国参议员提出了一项新的跨党派议案，旨在加强食品和农业领域的网络安全。该议案通过后将成为《农业和食品网络安全法案》。该法案旨在识别农业领域的网络安全漏洞，加强涉及该行业的私人和政府实体的网络防御，并增强美国食品供应链的安全保护。该法案要求农业部长每年进行一次针对食品相关网络紧急情况或中断的跨部门危机模拟演习，并与国土安全部长、卫生和人类服务部长以及国家情报总监协调计划。农业部长还必须每两年进行一项关于农业和食品领域网络安全威胁和漏洞的研究，并向国会提交报告。

详情

谷歌Chrome测试淘汰第三方Cookie

日期: 2024-02-04
标签: 信息技术, 第三方Cookie

谷歌开始在Chrome上测试淘汰第三方Cookie的举措，影响大约1%的用户，约3000万人。文中详细介绍了如何检查自己是否参与了这项测试，以及一些指示标志。此举标志着网络广告领域的重大变化，要求广告商适应新的隐私保护技术。谷歌正在积极与网页开发者合作，以保护用户隐私的同时确保网络保持活跃和可访问性。根据测试结果和网站显示问题的情况，谷歌将从2024年第三季度开始逐步淘汰其余用户的第三方Cookie。

详情

Google Pixel设备2024年1月更新问题临时解决方案

日期: 2024-02-04
标签: 信息技术, Google Pixel, Google Play系统,

Google为Pixel设备的所有者分享了一个临时解决方案，他们在安装了2024年1月的Google Play系统更新后设备变得无法使用。这个问题影响了各种Google Pixel型号的设备，包括内部存储访问问题、无法打开应用程序或相机，甚至无法截屏。Google已经承认了这个问题，并表示他们正在调查，并建议尚未安装2024年1月Play系统更新的用户暂时不要安装。现在，Google在Pixel支持论坛上分享了一个临时解决方案，可以帮助受影响的用户恢复他们的手机正常工作状态。

详情

0x0a   勒索攻击

KCATA遭受勒索软件攻击

日期: 2024-01-29
标签: 政府部门, KCATA

美国肯萨斯城地区运输管理局（KCATA）于1月23日星期二宣布遭受了勒索软件攻击。KCATA是一家跨州的公共交通机构，服务于密苏里和堪萨斯的七个县，运营78条公交线路和6条MetroFlex线路，拥有300辆公交车。公司报告称，每年有1050万人次使用他们的服务。周三，该机构宣布遭受了一次勒索软件攻击，影响了所有通讯系统。尽管呼叫中心受到了干扰，但KCATA的线路仍然正常运行，因此乘客的交通运营并未受到影响。KCATA正在与外部网络安全专业人员日夜奋战，将尽快恢复系统运行。勒索软件事件中的一个重要关注点是数据窃取的可能性，包括客户的个人和付款信息，这种情况下将暴露使用KCATA服务的许多人。威胁行为者声称Medusa勒索软件对KCATA的攻击负责，并在暗网的勒索门户上发布了据称属于该机构的数据样本。威胁行为者给予KCATA10天时间进行解决，并要求支付200万美元的赎金。此外，Medusa提供了延长将被盗数据公开的最后期限的选项，每天需支付10万美元。

详情

Medusa勒索软件团伙攻击堪萨斯城地区交通管理局（KCATA）

日期: 2024-01-29
标签: 政府部门, 交通运输, 堪萨斯城地区交通管理局（KCATA）, Medusa勒索软件团伙, 公共交通

2023年1月23日，堪萨斯城地区交通管理局（KCATA）遭到了勒索软件攻击，威胁要求支付200万美元的赎金。KCATA是堪萨斯城都会区的公共交通机构，负责在密苏里州的堪萨斯城运营快速巴士服务和78条当地巴士路线。公司已启动调查，并雇佣外部专家恢复受影响的系统。威胁组织Medusa勒索软件团伙声称对KCATA的攻击负责，并在其Tor泄漏网站上发布了所谓的被盗数据样本作为数据泄露的证据。

详情

施耐德电气遭遇仙人掌勒索软件攻击

日期: 2024-01-30
标签: 能源业, 施耐德电气, 仙人掌勒索软件

施耐德电气（Schneider Electric）是一家能源管理和自动化公司，近日遭受了仙人掌勒索软件攻击，导致公司数据被盗。攻击发生在1月17日，影响了公司的可持续发展业务部门，导致其Resource Advisor云平台出现故障。据悉，攻击者窃取了数千兆字节的公司数据，并威胁如果不支付赎金，就会泄露这些数据。受影响的客户包括 Allegiant Travel Company、Clorox、DHL、杜邦、希尔顿、Lexmark、百事可乐和沃尔玛等公司。施耐德电气表示，正在采取措施恢复业务平台，并与相关部门及当局合作进行调查。施耐德电气是一家制造能源和自动化产品的跨国公司，预计将于下个月发布2023年全年财务业绩。该公司之前曾遭受Clop勒索软件团伙的广泛数据窃取攻击。

详情

黑宝石公司疑似遭受勒索攻击而数据泄露

日期: 2024-02-04
标签: 信息技术, 黑宝石公司

黑宝石公司因安全措施不力和数据滥用被指控，导致2020年5月遭受勒索软件攻击和数据泄露，影响了数百万人。美国联邦贸易委员会（FTC）指控该公司未能监控黑客攻击、分隔数据以防止黑客轻易访问网络和数据库、删除不再需要的数据、充分实施多重身份验证，并测试、审查和评估其安全控制。FTC要求该软件提供商改善其安全措施，并确保从其系统中删除任何不再需要的客户数据。黑宝石公司还需禁止不准确描述其数据安全和数据保留协议，并创建信息安全计划以纠正FTC投诉中概述的问题。黑宝石还必须建立一个数据保留时间表，详细说明保留个人数据的理由，并指定删除时间。

详情

0x0b   其他事件

乌克兰黑客被捕，涉嫌向俄罗斯提供情报

日期: 2024-01-29
标签: 政府部门, 乌克兰安全部门, Trickbot恶意软件, 俄罗斯情报

乌克兰安全部门逮捕了一名黑客，据称他涉嫌攻击政府网站，并向俄罗斯提供情报，以便对乌克兰哈尔科夫市进行导弹打击。乌克兰安全部门透露，其网络安全部门已经确定了这名个人，指控他听从俄罗斯情报机构联邦安全局（FSB）的指示。这名黑客据称对乌克兰哈尔科夫市的军事基地进行监视，并向俄罗斯提供情报，包括乌克兰防空和炮兵位置。俄罗斯利用这些信息对该市的民用基础设施进行了两次导弹袭击。此外，这名黑客还被指控遵循FSB的指示准备对乌克兰政府网站进行一系列DDoS攻击。这名嫌疑人是一名IT专家，被FSB通过专门的Telegram频道招募。他被怀疑违反了未经授权传播武器和弹药供应信息的相关法律，可能面临长达12年的监禁。在美国，一名俄罗斯黑客因涉嫌开发和部署Trickbot恶意软件被判处五年零四个月的监禁。这种模块化恶意软件设计用于窃取凭据、安装后门等，对美国的医院、学校和企业造成了数千万美元的损失。美国和英国联合制裁了11名涉嫌与Trickbot恶意软件有关的俄罗斯人。

详情

乌克兰SBU逮捕亲俄黑客组织成员

日期: 2024-01-30
标签: 政府部门, 俄罗斯网络军, 乌克兰SBU

乌克兰安全部门（SBU）逮捕了一名涉嫌是亲俄黑客组织“俄罗斯网络军”的成员。据乌克兰安全部门SBU透露，他们已经确认并逮捕了一名涉嫌是俄罗斯网络军成员的人。该黑客组织以发动针对西方组织和乌克兰政府机构的DDoS攻击而闻名。乌克兰情报部门推测该组织的行动受到克里姆林宫的直接控制。SBU透露，这名男子居住在乌克兰哈尔科夫市，是通过Telegram被俄罗斯情报部门招募的。

详情

三名前美国国土安全部雇员因窃取政府软件和数据库被判入狱

日期: 2024-01-30
标签: 政府部门, 美国国土安全部 (DHS), 软件盗窃, 印度软件开发人员

三名前美国国土安全部（DHS）雇员因窃取专有的美国政府软件和包含20万联邦雇员个人数据的数据库而被判入狱。这三人分别是：Charles K. Edwards，前DHS办公室总检察长，被判处1.5年监禁；Sonal Patel，部门IT员工，被判处2年缓刑；Murali Y. Venkata，同样来自IT部门，被判处4个月监禁。他们承认在2019年至2022年期间多次共谋窃取政府财产和欺诈美国，以及盗窃政府财产。这三人曾在美国邮政服务办公室总检察长处工作，共谋窃取美国软件和数据库。他们将窃取的资产与印度软件开发人员共享，以开发类似的商业产品出售给政府机构。其中一个数据库暴露给印度承包商，其中包含美国国土安全部和美国邮政服务总检察长的20万联邦雇员的个人可识别信息（PII）。当Venkata得知调查时，他试图删除证据，如与印度开发人员的通信，这构成了阻碍调查的行为。目前尚不清楚美国执法机关是否会追究涉案的印度开发人员以确保数据安全，并阻止其进一步传播。

详情

FBI警告：犯罪分子利用快递进行诈骗

日期: 2024-01-30
标签: 交通运输, 快递服务

近日，FBI发出警告，称有犯罪分子利用快递服务从科技支持和政府冒名行骗的受害者那里收取钱财和贵重物品。这一公告是针对犯罪分子利用快递收取现金、黄金或白银等贵重金属的举报激增而发布的。犯罪分子冒充科技支持人员、美国政府官员、科技公司员工或金融机构员工，声称受害者的财务账户受到威胁，敦促他们将资产变现或购买贵金属以保护资金。受害者被迫将资产变现或购买贵金属，并被指示将资金汇给金属经销商，然后犯罪分子安排快递员在受害者家中或公共场所接收现金或贵重金属。FBI提醒公众警惕此类诈骗，并提供防范建议，同时敦促受害者立即向FBI举报，并提供尽可能多的犯罪分子信息。此外，FBI还警告称，在2023年5月至12月期间，FBI网络犯罪投诉中心(IC3)收到了这类诈骗活动的增加举报，造成了超过5500万美元的损失。

详情

纽约总检察长因数据安全问题起诉花旗银行

日期: 2024-01-31
标签: 金融业, 政府部门, 花旗银行

纽约总检察长Letitia James对花旗银行提起诉讼，指控其未能保护客户免受黑客和诈骗的侵害，并拒绝在允许诈骗者从客户账户中窃取数百万美元后对受害者进行赔偿。诉讼称，花旗银行的拒绝赔偿欺诈受害者违反了《电子资金转移法》（EFTA），该法规定银行应对客户因未经授权的电子交易而失去或被盗的资金进行赔偿。总检察长指控花旗银行利用法规中的特定例外，拒绝对被黑客入侵或成为诈骗受害者的消费者进行赔偿，造成纽约消费者数百万美元的巨额财务损失。调查发现，花旗银行在应对潜在的欺诈活动方面存在不足，未能有效应对使用未识别设备、从新地点访问账户或更改用户银行凭证的攻击者。

详情

美国司法部逮捕两名DraftKings账户Credential Stuffing攻击嫌疑人

日期: 2024-01-31
标签: 信息技术, Credential Stuffing攻击, 数据泄露

美国司法部逮捕并起诉了两名涉及2022年11月Credential Stuffing攻击事件的嫌疑人，这次攻击导致近68,000个DraftKings账户被黑客入侵。一个月后，DraftKings表示已经退还了被盗的数十万美元，共计67,995名受害客户。2023年5月，第三名被告Joseph Garrison也因涉及同一诈骗案被起诉。他还承认在这次攻击中串通进行计算机入侵，并将于周四受审。被告Nathan Austad和Garrison使用从其他数据泄露中获取的凭证列表，进而黑进DraftKings账户，并将账户访问权限出售给他人，这些人从大约1,600个被黑客入侵的账户中盗走了约63.5万美元。他们还设计了一种方法，允许购买被盗DraftKings账户的人提取所有可用资金。FBI近两年前就曾警告称，自动化工具和聚合的盗取凭证推动了Credential Stuffing攻击的大规模增长。

详情

美国政府因ISIS对两名埃及IT专家实施制裁

日期: 2024-02-01
标签: 信息技术, 恐怖组织ISIS

美国政府宣布对两名埃及IT专家实施制裁，原因是他们为恐怖组织ISIS提供了网络安全支持和培训。这两名埃及国民还帮助ISIS使用加密货币，并协助该组织的在线招募和宣传活动。其中一人被美国财政部外国资产控制办公室（OFAC）确认为Mu’min Al-Mawji Mahmud Salim（Mu’min Al-Mawji），他是ISIS附属平台Electronic Horizons Foundation（EHF）的创始人和领导者。该组织向ISIS支持者提供网络安全指导和培训，帮助他们规避执法部门对其在线活动的监视。此外，Mu’min Al-Mawji还向ISIS领导层提供计算机应用程序的技术支持，并为该组织的支持者提供加密货币专业知识和指导。这些制裁意味着美国公民或在美国境内的人与被制裁个人进行的任何交易都将被禁止，并面临次级制裁的风险。

详情

Pawn Storm利用暴力破解攻击高价值目标

日期: 2024-02-02
标签: 信息技术, 金融业, 政府部门, 商务服务, Pawn Storm, APT舆情

Pawn Storm是一个高级持续威胁(APT)组织，该组织的一些活动涉及重复使用相同类型的技术技巧，有时会同时针对单个组织中的数百人。Pawn Storm随着时间的推移已经危害了数千个电子邮件帐户，其中一些看似重复的攻击经过精心设计且隐蔽。有些还使用高级TTP。大约从2022年4月到2023年11月，Pawn Storm试图通过不同的方式发起NTLMv2哈希中继攻击，目标数量出现巨大峰值，而且所针对的政府部门也存在差异。Pawn Storm恶意鱼叉式网络钓鱼行动的受害者包括处理外交事务、能源、国防和交通的组织。该组织还针对涉及劳工、社会福利、金融、亲子关系的组织，甚至当地市议会、中央银行、法院和国家军事部门的消防部门。目标位于欧洲、北美、南美、亚洲、非洲和中东。

详情

国际刑警组织全球合作“Synergia”行动打击网络犯罪

日期: 2024-02-04
标签: 政府部门, “Synergia”行动

全球50多个国际刑警组织成员国的执法机构联合发起了为期三个月的“Synergia”行动，该行动旨在打击全球钓鱼、恶意软件和勒索软件攻击的上升趋势。在此次行动中，执法人员通过协作努力，确定了1300个可疑IP地址或与恶意活动相关的URL。他们进行了搜查，并查获了服务器和电子设备，共拘留了31人，并确定了另外70名嫌疑人。大多数被关闭的指挥和控制（C2）服务器位于欧洲，导致26人被逮捕。香港和新加坡警方分别拆除了153和86台服务器，而南苏丹和津巴布韦在非洲大陆上报告了最多的关闭行动，导致4名嫌疑人被逮捕。科威特与互联网服务提供商（ISP）密切合作，以确定受害者并减轻影响。70%的C2服务器已被关闭，剩余的正在接受调查。Group-IB表示，他们确定了500多个IP地址托管钓鱼资源和1900个与勒索软件、特洛伊木马和银行恶意软件相关的IP地址。

详情

德国警方没收盗版网站运营商5万比特币

日期: 2024-02-04
标签: 金融业, 信息技术, 盗版网站

德国东部萨克森州警方通过自愿向国家控制的钱包存入的方式，没收了电影盗版网站movie2k.to的前操作员5万比特币。这是该国执法机构的纪录数字，按照今天的比特币兑美元汇率超过21亿美元。Movie2k是一个在法律灰色地带运营的平台，提供英语和德语用户链接来观看或下载电影和电视节目，但不提供任何受版权保护的内容。警方称，被告中的一人自愿将比特币转移到联邦刑事警察局提供的钱包，对这笔巨额资金的利用尚待最终决定。

详情

0x0c   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0d   时间线

2024-01-29 360CERT发布安全周报