安全事件周报 2024-02-19 第8周
2024-02-26 10:58

报告编号:CERT-R-2024-705

报告来源:360CERT

报告作者:360CERT

更新日期:2024-02-26

0x01   事件导览

本周收录安全热点58项,话题集中在恶意软件安全漏洞安全分析,主要涉及的黑客组织有:Charming KittenWinter Vivern等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意软件
Anatsa银行木马新攻击活动观察
分析Kimsuky的新恶意软件Troll Stealer
安装安全程序时感染Kimsuky的TrollAgent
与哈马斯有关的SAMECOIN恶意软件
Python软件包索引(PyPI)发现恶意软件包
新型恶意软件攻击利用Redis服务器进行加密货币挖矿
新型Migo恶意软件针对Redis服务器进行加密货币挖矿
Lazarus利用PyPI传播恶意软件
谷歌云Run服务被滥用分发银行木马
SSH-Snake:自修改蠕虫工具
越南Facebook广告商遭受VietCredCare信息窃取软件的攻击
Konni RAT远程访问木马植入俄罗斯外交部工具安装程序
谷歌云运行被滥用用于分发银行木马
SSH-Snake:一种新型SSH网络蠕虫
数据安全
Knight 3.0 勒索软件源代码在黑客论坛上出售
FTC指控Avast收集并出售消费者浏览数据
网络攻击
两架前往以色列El Al航班遭遇通信劫持事件
伊朗黑客组织Charming Kitten发动中东政策专家网络攻击
Optum旗下Change Healthcare遭网络攻击
安全漏洞
KeyTrap漏洞威胁及相关修复措施
SolarWinds修补ARM解决方案中的RCE漏洞
CISA在勒索软件攻击中发现 CISCO ASA/FTD 漏洞 利用
Ivanti软件遭新漏洞影响
SolarWinds Access Rights Manager (ARM)解决了关键漏洞
VMware 敦促管理员删除易受攻击的身份验证插件
ConnectWise ScreenConnect服务器存在严重漏洞
Joomla CMS存在五个远程执行漏洞
ConnectWise披露的ScreenConnect漏洞已出现在野利用
开源Wi-Fi软件发现身份验证绕过漏洞
CVE-2024-21410漏洞影响28,000个Microsoft Exchange服务器
Joomla CMS多个漏洞修复
Joomla漏洞警报:远程代码执行风险
安全分析
欧盟内部组织成为钓鱼攻击目标
Sticky Werewolf攻击波兰组织
分析CharmingCypress近期使用的攻击工具
Meta Platforms揭露跨国监视公司恶意活动
TAG-70利用Roundcube漏洞进行网络间谍活动
加密货币伪造趋势加剧
英国呼吁教育儿童警惕低级网络犯罪
无线充电器“VoltSchemer”攻击揭示安全漏洞
北朝鲜黑客组织发动全球国防部门网络间谍活动
分析Turla组织的新样本
乌克兰网络攻击事件分析
揭秘“跨境诈骗”:新型尼日利亚诈骗案例分析
卡巴斯基揭露专门针对中小型企业的新钓鱼攻击活动
行业动向
Google新功能保护私人网络安全
Signal开始允许用户选择自定义用户名
微软扩展Purview Audit标准版客户的免费日志记录功能
微软扩展Purview Audit客户的免费日志记录功能
勒索攻击
Blackcat勒索团伙攻击美国贷款公司LoanDepot
PSI Software SE遭遇勒索软件攻击
其他事件
Winter Vivern利用Roundcube漏洞进行网络间谍活动
朝鲜黑客Lazarus开始利用YoMix比特币混合器洗钱
乌克兰网络警察逮捕暗网网络犯罪分子
Turla监视波兰非政府组织
国际行动成功打击LockBit勒索软件运营
欧盟对TikTok展开DSA违规调查
美国发布水务设施网络安全防御措施

0x03   恶意软件

Anatsa银行木马新攻击活动观察

日期: 2024-02-20
标签: 信息技术, Anatsa

安卓银行木马Anatsa在2023年11月扩大了其攻击范围,包括斯洛伐克、斯洛文尼亚和捷克。这次活动涉及五个下载量超过10万次的dropper应用,成功绕过了安卓13的辅助功能限制。Anatsa被称为TeaBot和Toddler,通过谷歌应用商店上看似无害的应用进行传播,可绕过谷歌的安全措施,利用dropper应用安装恶意软件。最新观察到的Anatsa变种伪装成名为“Phone Cleaner - File Explorer”的清理应用,并通过版本更新引入恶意行为。该dropper应用专门针对三星设备进行定制,而其他dropper应用则不受制造商限制。安卓安全领域、银行木马、恶意应用、谷歌Play Store、Anatsa、TeaBot、Toddler、ThreatFabric、Fortinet FortiGuard Labs、SpyNote远程访问木马。

详情

https://thehackernews.com/2024/02/anatsa-android-trojan-bypasses-google.html

分析Kimsuky的新恶意软件Troll Stealer

日期: 2024-02-20
标签: 信息技术, 政府部门, APT舆情

S2W威胁研究和情报中心Talon在VirusTotal上搜寻并分析了据信来自Kimsuky组织的新恶意软件样本。该恶意软件是一种用Go语言编写的信息窃取恶意软件,它会从受感染的系统中窃取信息,该恶意软件是通过伪装成SGA Solutions安全程序安装文件(TrustPKI、NX_PRNMAN)的Dropper投放并执行的。S2W Talon将恶意软件命名为“Troll Stealer”。Troll Stealer 能够窃取受感染系统上的GPKI文件夹,这表明该行动可能针对韩国行政和公共组织内的设备。除了Troll Stealer之外,还发现了使用相同合法证书签名的其他恶意软件,因此使用该证书签名的恶意软件将来可能会传播。

详情

https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-cfa5d54314e2

安装安全程序时感染Kimsuky的TrollAgent

日期: 2024-02-20
标签: 信息技术, APT舆情

ASEC(AhnLab安全情报中心)最近证实,在韩国一家建筑相关协会的网站上尝试安装安全程序时,恶意代码被下载。使用网站提供的服务需要登录,并且为了安全起见,必须安装各种安装程序才能登录。在登录提示安装的程序中,有一个安装程序含有恶意代码,如果用户下载并安装它,不仅会安装安全程序,还会安装恶意代码。通过此过程安装的恶意代码包括可以通过接收外部攻击者的命令来执行恶意操作的后门恶意软件以及收集有关受感染系统信息的信息窃取恶意软件。

详情

https://asec.ahnlab.com/ko/61666/

与哈马斯有关的SAMECOIN恶意软件

日期: 2024-02-20
标签: 政府部门, 信息技术, APT舆情, SameCoin

在IntezerLab发布了有关他们称为“SameCoin”的攻击行动的帖子后,我们分析了他们发现的样本,并发现了一些相同的变体。感染媒介似乎是一封冒充以色列国家网络管理局的电子邮件,它会诱骗读者下载以“安全补丁”形式出现的恶意文件。下载并执行链接文件的受害者会被擦除器感染,在某些情况下,该擦除器还可能感染网络中的其他主机。总的来说,与哈马斯有联系的威胁攻击者正在掌舵这场行动。虽然无法识别与其他已知恶意行动或攻击者重叠的任何技术指标,但所描述的部分活动和技术符合通常与哈马斯有关的Arid Viper APT组织。也就是说,看到了目标的相似性、与恶意软件缺乏复杂性形成鲜明对比的高级引诱内容,以及目标系统(Android 和 Windows)和所使用的编程语言的多样性。

详情

https://harfanglab.io/insidethelab/samecoin-malware-hamas/

Python软件包索引(PyPI)发现恶意软件包

日期: 2024-02-21
标签: 信息技术, NP6HelperHttptest

研究人员在Python软件包索引(PyPI)存储库上发现了两个恶意软件包,这两个软件包利用了DLL侧加载技术来规避安全软件的检测并运行恶意代码。这两个软件包分别名为NP6HelperHttptest和NP6HelperHttper,在被下架之前分别被下载了537次和166次。这一发现表明软件供应链威胁的范围正在扩大。这两个软件包是NP6HelperHttp和NP6HelperConfig的错别字版本,目的是欺骗开发人员下载它们的恶意替代品。软件包中包含一个setup.py脚本,旨在下载两个文件,一个是来自北京金山软件的易受DLL侧加载攻击的实际可执行文件("ComServer.exe"),另一个是要侧加载的恶意DLL("dgdeskband64.dll")。通过侧加载DLL,旨在避免对恶意代码的检测。这些软件包似乎是更广泛活动的一部分,该活动涉及分发易受DLL侧加载攻击的类似可执行文件。安全研究人员指出,开发组织需要意识到与供应链安全和开源软件包存储库相关的威胁。即使他们不使用开源软件包存储库,威胁行为者也可能滥用它们来冒充公司及其软件产品和工具。

详情

https://thehackernews.com/2024/02/new-malicious-pypi-packages-caught.html

新型恶意软件攻击利用Redis服务器进行加密货币挖矿

日期: 2024-02-21
标签: 信息技术, 金融业, 加密货币挖矿

一次新型的恶意软件攻击活动针对Redis服务器进行了观察,其初始目标是在受损的Linux主机上进行加密货币挖矿。这一攻击活动使用了多种新型系统削弱技术,其中包括名为Migo的Golang ELF二进制恶意软件,该恶意软件具有编译时混淆和在Linux机器上持久存在的能力。攻击者通过禁用一系列配置选项来降低安全防御,然后设置两个Redis密钥,一个指向受攻击者控制的SSH密钥,另一个指向从名为Transfer.sh的文件传输服务中检索恶意主要载荷的cron作业。此外,Migo还执行一系列步骤以建立持久性,终止竞争矿工,并启动挖矿程序。该恶意软件还包括隐藏进程和磁盘文件的功能。这一攻击活动表明,云安全攻击者正在不断改进其技术,提高其利用面向网络的服务的能力。

详情

https://thehackernews.com/2024/02/new-migo-malware-targeting-redis.html

新型Migo恶意软件针对Redis服务器进行加密货币挖矿

日期: 2024-02-21
标签: 信息技术, 加密货币挖矿, Redis服务器

安全研究人员发现了一个新的针对Linux主机上的Redis服务器的攻击活动,使用名为“Migo”的恶意软件进行加密货币挖矿。攻击者利用系统弱化命令关闭Redis安全功能,使加密货币挖矿活动持续进行。Migo还使用用户模式rootkit隐藏其进程和文件,同时设置防火墙规则和修改系统文件,以进一步隐藏其活动。攻击者通过命令行操作关闭Redis的关键安全功能,允许执行恶意命令并使副本可写。Migo的主要功能是从GitHub的CDN上获取、安装和启动修改后的XMRig(Monero)挖矿程序,并确保其持久性运行。攻击者还设置了定时任务,下载来自Pastebin的脚本,并在受感染的终端上执行Migo的主要负载。整个攻击链显示出背后的威胁行为者对Redis环境和操作有很强的理解。

详情

https://www.bleepingcomputer.com/news/security/new-migo-malware-disables-protection-features-on-redis-servers/

Lazarus利用PyPI传播恶意软件

日期: 2024-02-22
标签: 信息技术, PyPI, APT舆情

JPCERT/CC已确认Lazarus攻击组织已在官方Python包存储库PyPI上发布了恶意Python包。pycryptoenv和pycryptoconf的包名与Python包pycrypto类似,用于在Python中使用加密算法,攻击者会在用户安装同名包时针对拼写错误来启动恶意软件。

详情

https://blogs.jpcert.or.jp/ja/2024/02/lazarus_pypi.html

谷歌云Run服务被滥用分发银行木马

日期: 2024-02-22
标签: 信息技术, 谷歌云Run, 银行木马

安全研究人员警告称,黑客正在滥用谷歌云Run服务来分发大量的银行木马,如Astaroth、Mekotio和Ousaban。谷歌云Run允许用户部署前端和后端服务、网站或应用程序,处理工作负载,无需管理基础架构或扩展。研究人员观察到从2023年9月开始,谷歌的服务被滥用以分发恶意软件,巴西黑客利用MSI安装程序文件进行恶意软件负载的部署。这些攻击通过钓鱼邮件开始,链接指向谷歌云Run上托管的恶意网络服务。恶意软件包括Astaroth/Guildma、Mekotio和Ousaban三种银行木马,它们旨在偷偷渗透系统、建立持久性,并窃取敏感的金融数据。

详情

https://www.bleepingcomputer.com/news/security/hackers-abuse-google-cloud-run-in-massive-banking-trojan-campaign/

SSH-Snake:自修改蠕虫工具

日期: 2024-02-22
标签: 信息技术, 自修改蠕虫

一位威胁行为者正在使用名为SSH-Snake的开源网络映射工具,以寻找未被察觉的私钥并在受害者基础设施上进行横向移动。SSH-Snake是由Sysdig威胁研究团队(TRT)发现的,他们将其描述为“自修改蠕虫”,通过避开传统SSH蠕虫通常与脚本攻击相关的模式来进行区分。该工具可自动进行基于SSH的网络遍历,起始于一个系统并显示通过SSH连接的其他主机之间的关系。它通过搜索各种位置中的私钥,包括shell历史文件,然后使用这些私钥在网络上隐秘地传播到新系统。研究人员表示,SSH-Snake采用各种直接和间接方法来发现受损系统上的私钥,并且已被用于大约100个受害者。该工具被视为恶意软件的一次进化,因为它针对了企业环境中广泛使用的安全连接方法。

详情

https://www.bleepingcomputer.com/news/security/new-ssh-snake-malware-steals-ssh-keys-to-spread-across-the-network/

越南Facebook广告商遭受VietCredCare信息窃取软件的攻击

日期: 2024-02-22
标签: 信息技术, 文化传播, VietCredCare

越南的Facebook广告客户成为了一个名为VietCredCare的先前未知信息窃取者的目标,至少自2022年8月以来。这种恶意软件能够自动过滤出从受感染设备中窃取的Facebook会话cookie和凭证,并评估这些帐户是否管理商业资料和是否保持正面的Meta广告信用余额。它通过大规模的恶意软件分发计划来实现占领企业Facebook帐户的最终目标,通过针对管理知名企业和组织Facebook资料的越南个人进行攻击。成功夺取的Facebook帐户随后由操作背后的威胁行为者用于发布政治内容或传播钓鱼和联盟诈骗以获取金钱利益。

详情

https://thehackernews.com/2024/02/new-vietcredcare-stealer-targeting.html

Konni RAT远程访问木马植入俄罗斯外交部工具安装程序

日期: 2024-02-23
标签: 信息技术, 政府部门, Konni RAT

德国网络安全公司DCSO发现,俄罗斯外交部(MID)领事部门可能使用的一款安装程序被植入远程访问木马Konni RAT(又称UpDog)。DCSO将此活动追溯到朝鲜民主主义人民共和国(DPRK)相关行动者,针对俄罗斯进行攻击。Konni RAT活动集群已经形成一种模式,使用Konni RAT攻击俄罗斯实体,而威胁行为者也与至少自2021年10月以来针对MID的攻击有关。

详情

https://thehackernews.com/2024/02/russian-government-software-backdoored.html

谷歌云运行被滥用用于分发银行木马

日期: 2024-02-23
标签: 信息技术, 谷歌云运行

安全研究人员警告称,黑客滥用谷歌云运行服务来分发大量银行木马,如Astaroth、Mekotio和Ousaban。谷歌云运行允许用户部署前端和后端服务、网站或应用程序,处理工作负载,无需管理基础架构或扩展。Cisco Talos研究人员观察到从2023年9月开始,谷歌的服务被广泛滥用用于恶意软件分发,当时巴西行动者使用MSI安装程序文件启动了恶意软件传播活动。研究人员的报告指出,谷歌云运行最近因其成本效益和绕过标准安全阻挡和过滤器的能力而变得对网络犯罪分子有吸引力。攻击链包括针对潜在受害者的钓鱼邮件,链接到托管在谷歌云运行上的恶意网络服务。恶意软件细节涉及三种银行木马:Astaroth/Guildma、Mekotio和Ousaban。每种木马都设计为悄悄渗透系统、建立持久性,并窃取敏感的金融数据,以便接管银行账户。

详情

https://www.bleepingcomputer.com/news/security/hackers-abuse-google-cloud-run-in-massive-banking-trojan-campaign/

SSH-Snake:一种新型SSH网络蠕虫

日期: 2024-02-23
标签: 信息技术, SSH网络蠕虫

一位黑客正在使用一个名为SSH-Snake的开源网络映射工具,以便在受害者基础设施中寻找私钥并进行横向移动,而这一行为尚未被察觉。SSH-Snake是由Sysdig威胁研究团队(TRT)发现的,他们将其描述为一个“自修改蠕虫”,与传统的SSH蠕虫不同,它能够避开通常与脚本攻击相关的模式。该蠕虫在各种位置搜索私钥,包括shell历史文件,并利用它们在网络中隐秘地传播到新系统。

详情

https://www.bleepingcomputer.com/news/security/new-ssh-snake-malware-steals-ssh-keys-to-spread-across-the-network/

0x04   数据安全

Knight 3.0 勒索软件源代码在黑客论坛上出售

日期: 2024-02-21
标签: 信息技术, 源代码出售

“Knight 3.0”勒索软件源代码被出售,代表Knight勒索软件团伙在RAMP论坛上发布了出售帖子。勒索软件于2023年7月底推出,作为Cyclops行动的重塑版本,针对Windows、macOS和Linux/ESXi系统。勒索软件提供信息窃取器和“精简”版加密器,吸引了一些下层联盟的关注。KELA的威胁分析师在RAMP论坛上发现了这则广告,由一个使用Cyclops别名的人发布,他是Knight勒索软件团伙的代表。该威胁演员没有具体说明价格,但强调源代码只会卖给单一买家,以保持其作为私人工具的价值。出售者提供了Jabber和TOX消息服务的联系地址,以便潜在买家联系并达成最终交易。根据KELA提供的细节,Knight勒索软件运营似乎已经有一段时间没有活动了,因此可能是该团伙打算关闭业务并出售资产。

详情

https://www.bleepingcomputer.com/news/security/knight-ransomware-source-code-for-sale-after-leak-site-shuts-down/

FTC指控Avast收集并出售消费者浏览数据

日期: 2024-02-23
标签: 信息技术, 隐私保护

美国联邦贸易委员会(FTC)指控网络安全公司Avast通过其浏览器扩展和防病毒软件收集消费者的网页浏览数据并出售。FTC称,Avast未经用户同意就将数据出售给广告公司,违反了隐私保护承诺。据称,Avast的子公司Jumpshot在2014年至2020年间向100多家第三方出售了收集的信息。FTC还将对Avast处以1650万美元的罚款,并命令其停止出售或许可任何用于广告目的的网页浏览数据。

详情

https://securityaffairs.com/159499/digital-id/ftc-charged-avast.html

0x05   网络攻击

两架前往以色列El Al航班遭遇通信劫持事件

日期: 2024-02-20
标签: 交通运输, El Al航班

本周两架前往以色列的El Al航班遭遇了通信劫持和飞行偏离的事件。这两架飞机均从泰国飞往以色列本古里安国际机场,飞越中东地区时遭遇“敌对势力”。据以色列《耶路撒冷邮报》引述国家广播公司Kan Reshet B的报道称,黑客企图劫持飞机通信网络,以偏离预设航线。尚无组织声称责任,但有消息称这可能是来自索马里兰(非国际承认的非洲之角国家)的一组行动。飞行员怀疑突然的指令变化,并忽略指令,切换到另一个通信频道,并与空中交通管制再次确认航线。El Al消息人士透露,飞行员接受培训以发现并缓解此类威胁。欧盟航空安全局最近发布了首个《信息安全易用访问规则》(EAR)以加强该行业的网络安全法规。这些规则旨在强制实施最佳安全实践,涵盖了供应商、航空公司、机场、通信基础设施提供商和空中塔台。

详情

https://www.infosecurity-magazine.com/news/israeli-aircraft-survive/

伊朗黑客组织Charming Kitten发动中东政策专家网络攻击

日期: 2024-02-20
标签: 信息技术, Charming Kitten

伊朗来源的威胁行为者Charming Kitten最近被发现利用一个名为BASICSTAR的新后门发动了针对中东政策专家的一系列攻击,通过创建一个虚假的网络研讨会门户网站。Charming Kitten以前曾被称为APT35、CharmingCypress、Mint Sandstorm、TA453和Yellow Garuda,其历史上曾策划了多种社会工程攻击活动,经常将目标范围扩大,通常瞄准智库、非政府组织和记者。他们使用了多种不寻常的社会工程策略,如在通过电子邮件与目标进行长时间对话后再发送恶意内容的链接。此外,他们还利用了伪装成Rasanah International Institute for Iranian Studies (IIIS)的电子邮件账户和多重身份冒充(MPI)等手段进行网络钓鱼攻击,通过RAR档案和LNK文件传播恶意软件。Charming Kitten还利用了多个后门,如PowerLess、BellaCiao、POWERSTAR(又名GorjolEcho)和NokNok。受害者还包括了中东事务的知名人士,他们被部署了MischiefTut和MediaPl(又名EYEGLASS)等恶意软件进行攻击。此外,该组织还利用了一系列伊朗承包公司来进行针对西方国家的网络攻击,并且这些公司还专门从事向伊拉克、叙利亚和黎巴嫩出口监视和进攻性技术的业务。

详情

https://thehackernews.com/2024/02/iranian-hackers-target-middle-east.html

Optum旗下Change Healthcare遭网络攻击

日期: 2024-02-23
标签: 卫生行业, 美国医疗服务

美国医疗公司 Change Healthcare遭受了网络攻击,导致处方发放给患者的延迟。Optum是美国联合健康集团的子公司,每年处理约150亿笔医疗交易,涉及约三分之一的美国患者。最初的帖子发布于2月21日美国东部时间02:15,透露了一些Change Healthcare的应用程序不可用。Change表示预计中断将持续“至少一整天”。该公司列出了许多应用程序,包括药房、病历、牙科、支付服务和患者参与等领域仍受影响。有报道迅速出现,药房因此中断而无法处理患者处方。Facebook帖子上的更新显示Scheurer的服务现在已经恢复。一些患者通过社交媒体投诉无法获得药物,尽管尚未确定这是否是网络中断的结果。

详情

https://www.infosecurity-magazine.com/news/change-healthcare-cyber/

0x06   安全漏洞

KeyTrap漏洞威胁及相关修复措施

日期: 2024-02-19
标签: 信息技术, KeyTrap漏洞, DDoS攻击

一个名为KeyTrap的严重漏洞,存在于DNSSEC功能中,可被利用来长时间拒绝应用程序的互联网访问。该漏洞影响所有流行的DNS实现或服务,允许远程攻击者通过发送单个DNS数据包,在易受攻击的解析器中引发持久性拒绝服务(DoS)状态。研究人员发现这一设计问题,指出攻击者可以利用这一漏洞发起DNSSEC算法复杂性攻击,延迟DNS解析器的响应时间。已有一些厂商推出修复措施,但解决此问题可能需要重新评估DNSSEC设计理念。

详情

https://www.bleepingcomputer.com/news/security/keytrap-attack-internet-access-disrupted-with-one-dns-packet/

SolarWinds修补ARM解决方案中的RCE漏洞

日期: 2024-02-19
标签: 信息技术, Access Rights Manager

SolarWinds在其Access Rights Manager (ARM)解决方案中修补了五个远程代码执行(RCE)漏洞,其中包括三个允许未经身份验证利用的关键性漏洞。ARM允许公司管理和审计其IT基础架构上的访问权限,以最大程度减少内部威胁影响等。漏洞包括路径遍历弱点和未信任数据反序列化等问题,可能导致攻击者在未打补丁的系统上执行代码。SolarWinds在2023.2.3版的Access Rights Manager中修复了这些漏洞。

详情

https://www.bleepingcomputer.com/news/security/solarwinds-fixes-critical-rce-bugs-in-access-rights-audit-solution/

CISA在勒索软件攻击中发现 CISCO ASA/FTD 漏洞 利用

日期: 2024-02-19
标签: 信息技术, CVE-2020-3259

CISA 警告称,Akira 勒索软件团伙正在利用 Cisco ASA/FTD 漏洞CVE-2020-3259 (CVSS 评分:7.5)进行野外攻击。美国网络安全和基础设施安全局 (CISA)在其已知利用漏洞目录中添加了 一个 Cisco ASA 和 FTD 漏洞,编号为CVE-2020-3259 (CVSS 评分:7.5)。漏洞 CVE-2020-3259 是一个存在于 ASA 和 FTD Web 服务接口中的信息泄露问题。思科于 2020 年 5 月修复了该漏洞。CISA 将该问题列为已知用于勒索软件活动的问题,但该机构没有透露哪些勒索软件组织正在积极利用该问题。

详情

https://securityaffairs.com/159244/cyber-crime/cisa-cisco-cve-2020-3259-akira-ransomware.html

Ivanti软件遭新漏洞影响

日期: 2024-02-19
标签: 信息技术, CVE-2024-22024

犹他州IT软件提供商Ivanti遭遇新漏洞,影响其Connect Secure、Policy Secure和ZTA网关。该漏洞(CVE-2024-22024)涉及安全断言标记语言(SAML)组件,可让远程攻击者绕过身份验证获取受限资源。虽然公司称未发现实际利用,但内容交付网络提供商Akamai观察到恶意活动。另一红队公司WatchTowr进行了CVE-2024-22024的概念验证实验,并发布了结果。Shadowserver Foundation观察到3900多个Ivanti终端存在漏洞。Ivanti否认CVE-2024-22024被利用,并批评媒体报道不实。供应链安全提供商Eclypsium指控Ivanti Pulse Secure运行过时的操作系统。有关人士担心遗留软件在关键基础设施中运行的问题。

详情

https://www.infosecurity-magazine.com/news/new-ivanti-vulnerability-security/

SolarWinds Access Rights Manager (ARM)解决了关键漏洞

日期: 2024-02-20
标签: 信息技术, SolarWinds Access Rights Manager (ARM)

SolarWinds解决了其Access Rights Manager (ARM)解决方案中的三个关键漏洞,包括两个远程代码执行漏洞。Access Rights Manager (ARM)是一种软件解决方案,旨在帮助组织管理和监控其IT基础设施内的访问权限和权限。该工具对于维护安全性、合规性以及对各种资源、系统和数据的用户访问进行高效管理至关重要。

详情

https://securityaffairs.com/159294/security/solarwinds-access-rights-manager-flaws.html

VMware 敦促管理员删除易受攻击的身份验证插件

日期: 2024-02-21
标签: 信息技术, Windows域环境

VMware敦促管理员立即移除已停用的认证插件,该插件暴露于Windows域环境中,存在两个未修补的安全漏洞,可能导致身份验证中继和会话劫持攻击。这些漏洞影响了VMware Enhanced Authentication Plug-in (EAP),可通过Windows认证和基于Windows的智能卡功能实现对vSphere管理界面的无缝登录。为了解决CVE-2024-22245和CVE-2024-22250安全漏洞,管理员需要移除浏览器插件/客户端和Windows服务。

详情

https://www.bleepingcomputer.com/news/security/vmware-urges-admins-to-remove-deprecated-vulnerable-auth-plug-in/

ConnectWise ScreenConnect服务器存在严重漏洞

日期: 2024-02-21
标签: 信息技术, ConnectWise

ConnectWise提醒客户立即对其ScreenConnect服务器进行补丁更新,以防止一种最严重的漏洞,该漏洞可用于远程代码执行(RCE)攻击。这个安全漏洞是由于身份验证绕过漏洞而产生的,攻击者可以利用它来获取机密数据或在易受攻击的服务器上远程执行任意代码,而无需用户交互即可进行低复杂性攻击。该公司还修补了其远程桌面软件中的路径遍历漏洞,只有拥有高权限的攻击者才能滥用该漏洞。

详情

https://www.bleepingcomputer.com/news/security/connectwise-urges-screenconnect-admins-to-patch-critical-rce-flaw/

Joomla CMS存在五个远程执行漏洞

日期: 2024-02-22
标签: 信息技术, 远程代码执行

Joomla内容管理系统存在五个漏洞,可能导致远程执行任意代码。这些安全问题影响多个版本的Joomla,已在5.0.3和4.4.3版本中修复。其中CVE-2024-21725漏洞风险最高,可能被利用的概率也很高。另一个问题是XSS漏洞CVE-2024-21726,影响Joomla的核心过滤组件,虽然影响概率较低,但可能被利用实现远程代码执行。攻击者可以通过诱使管理员点击恶意链接来利用这个问题。虽然利用这个问题需要用户交互,但攻击者可以采用诱骗手段或"喷射式"攻击。Sonar未透露详细技术细节,但强调了及时更新的重要性。建议所有Joomla用户立即更新到最新版本。

详情

https://www.bleepingcomputer.com/news/security/joomla-fixes-xss-flaws-that-could-expose-sites-to-rce-attacks/

ConnectWise披露的ScreenConnect漏洞已出现在野利用

日期: 2024-02-22
标签: 信息技术, ScreenConnect

2024年2月中旬,ConnectWise披露了两个漏洞的技术细节和概念验证利用。供应商公布安全问题后的第二天,攻击者开始利用这些漏洞进行攻击。CISA已经为这两个安全问题分配了CVE-2024-1708和CVE-2024-1709标识符,供应商评估为影响ScreenConnect服务器23.9.7及更早版本的最大严重性身份验证绕过和高严重性路径遍历漏洞。ConnectWise敦促管理员立即将本地服务器更新到版本23.9.8以减轻风险,并澄清那些在screenconnect.com云或hostedrmm.com上的实例已经得到了保护。

详情

https://www.bleepingcomputer.com/news/security/screenconnect-critical-bug-now-under-attack-as-exploit-code-emerges/

开源Wi-Fi软件发现身份验证绕过漏洞

日期: 2024-02-22
标签: 信息技术, 开源Wi-Fi软件, ChromeOS

研究人员发现了开源Wi-Fi软件中的两个身份验证绕过漏洞,这些软件存在于Android、Linux和ChromeOS设备中。这些漏洞可能欺骗用户加入恶意克隆的合法网络,或者允许攻击者在不需要密码的情况下加入受信任的网络。漏洞分别被跟踪为CVE-2023-52160和CVE-2023-52161,分别是在wpa_supplicant和Intel的iNet Wireless Daemon(IWD)中发现的。这些漏洞允许攻击者欺骗受害者连接到受信任网络的恶意克隆,并拦截其流量,或者加入安全网络而无需密码。这些漏洞已经影响了一些主要的Linux发行版,如Debian、Red Hat、SUSE和Ubuntu,并且已经发布了相关警报。

详情

https://thehackernews.com/2024/02/new-wi-fi-vulnerabilities-expose.html

CVE-2024-21410漏洞影响28,000个Microsoft Exchange服务器

日期: 2024-02-22
标签: 信息技术, CVE-2024-21410, Microsoft Exchange服务器

研究人员发现大约28,000个面向互联网的Microsoft Exchange服务器存在CVE-2024-21410漏洞。该漏洞是一种绕过漏洞,攻击者可以利用它绕过SmartScreen用户体验并注入代码,从而可能获得代码执行权限,导致数据暴露、系统可用性不足或两者兼而有之。微软发布的公告指出,攻击者可以利用NTLM凭证泄漏类型漏洞瞄准NTLM客户端(如Outlook),然后针对Exchange服务器中继泄露的凭证,以受害客户端的特权在受害者名义上执行操作。微软通过2024年2月的补丁更新解决了这个问题。美国网络安全和基础设施安全局(CISA)将这一漏洞添加到其已知被利用漏洞(KEV)目录中。Shadowserver研究人员警告称,上述结果是通过对唯一IP地址的计数总和得出的,这意味着“唯一”IP可能被计算了多次。

详情

https://securityaffairs.com/159424/hacking/28000-vulnerable-microsoft-exchange-servers.html

Joomla CMS多个漏洞修复

日期: 2024-02-23
标签: 信息技术, 安全漏洞

Joomla项目维护者已经解决了流行的内容管理系统(CMS)中的多个漏洞,这些漏洞可能导致执行任意代码。Joomla!项目的维护者发布了Joomla 5.0.3和4.4.3版本。就在最近,Joomla受到了一次攻击,攻击者利用了不当的访问控制漏洞(CVE-2023-23752)针对不同组织。”研究人员指出,攻击者可以利用这些问题通过诱使管理员点击恶意链接来实现远程代码执行。“虽然我们目前不会披露技术细节,但我们要强调及时采取行动以减轻这一风险的重要性。我们强烈建议所有Joomla用户升级到最新版本。已知首个解决漏洞的发布版本是Joomla 5.0.3/4.4.3。”Sonarsource表示,为避免在野外大规模利用这些问题,并未披露有关技术细节。

详情

https://securityaffairs.com/159487/security/joomla-xss-flaws.html

Joomla漏洞警报:远程代码执行风险

日期: 2024-02-23
标签: 信息技术, Joomla内容管理系统

Joomla内容管理系统存在五个漏洞,可利用执行任意代码。这些漏洞影响多个版本的Joomla,修复已经包含在5.0.3和4.4.3版本中。其中CVE-2024-21725是最高严重性的漏洞,有很高的利用概率。另一个问题是XSS漏洞CVE-2024-21726,影响Joomla的核心过滤组件,虽然利用概率和严重性都属于中等,但仍有远程代码执行的风险。攻击者可以通过诱使管理员点击恶意链接来实现远程代码执行。虽然利用这个问题需要用户交互,但攻击者可以使用巧妙的诱饵或"喷射式"攻击来提高成功几率。Sonar未透露漏洞的技术细节,但强调所有Joomla用户应及时更新到最新版本以减轻风险。

详情

https://www.bleepingcomputer.com/news/security/joomla-fixes-xss-flaws-that-could-expose-sites-to-rce-attacks/

0x07   安全分析

欧盟内部组织成为钓鱼攻击目标

日期: 2024-02-19
标签: 信息技术, 钓鱼攻击, 欧盟

欧盟内部组织成为针对欧盟政治和外交事件的钓鱼攻击目标,据欧盟计算机紧急响应团队(CERT-EU)报告称。2023年,钓鱼邮件中包含恶意附件、链接或欧盟事务和政策相关的虚假PDF文件。威胁行为者利用这些手段,诱使涉及欧盟政策和事件的个人和组织点击恶意链接或文件。此外,报告还指出钓鱼攻击主要针对外交、国防和交通等行业,其中包括即时通讯应用和社交媒体等新的沟通渠道。报告还提到了一些其他关键发现,包括威胁行为者的数量、网络间谍活动、勒索软件攻击以及针对各类产品的重大攻击。

详情

https://www.infosecurity-magazine.com/news/hackers-exploit-eu-agenda-spear/

Sticky Werewolf攻击波兰组织

日期: 2024-02-20
标签: 信息技术, 政府部门, APT舆情

专门从事网络间谍行动的亲乌克兰组织Sticky Werewolf似乎已经开始巡回活动:在最近对白俄罗斯公司发起攻击后,攻击者还针对波兰的组织进行了攻击。F.A.C.C.T. 威胁情报部门的专家确定,新的Sticky Werewolf攻击使用了Darktrack RAT远程访问木马的修改版本。

详情

https://habr.com/ru/companies/f_a_c_c_t/news/793418/

分析CharmingCypress近期使用的攻击工具

日期: 2024-02-20
标签: 信息技术, APT舆情

Volexity经常观察来自伊朗的威胁攻击者CharmingCypress(又名Charming Kitten、APT42、TA453)的攻击行动。 Volexity评估CharmingCypress的任务是收集针对外国目标的政治情报,特别是针对智库、非政府组织和记者。在网络钓鱼行动中,CharmingCypress经常采用不寻常的社会工程战术,例如在发送恶意内容链接之前通过电子邮件与目标进行长时间对话。在Volexity观察到的一次特别引人注目的鱼叉式网络钓鱼行动中,CharmingCypress甚至制作了一个完全虚假的网络研讨会平台作为诱饵的一部分。CharmingCypress控制对该平台的访问,要求目标在授予访问权限之前安装充满恶意软件的VPN应用程序。

详情

https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence/

Meta Platforms揭露跨国监视公司恶意活动

日期: 2024-02-20
标签: 信息技术, 监视软件

Meta Platforms在2023年第四季度的对抗威胁报告中指出,已采取一系列措施遏制意大利、西班牙和阿联酋的八家公司从事的雇佣监视行业的恶意活动。这些间谍软件针对iOS、Android和Windows设备,包括收集和访问设备信息、位置、照片和媒体、联系人、日历、电子邮件、短信、社交媒体和消息应用的能力,以及启用麦克风、摄像头和屏幕截图功能。此外,这些公司还进行了针对Facebook、Instagram、X(前身为Twitter)、YouTube等多个平台的刮取、社会工程和网络钓鱼活动。此外,Meta还揭露了来自中国、缅甸和乌克兰的网络展示的协调不真实行为,并采取了行动。此外,Meta还介绍了针对商业间谍软件滥用的反制措施,并提到了最近出现的一些新的监视工具。这些新工具包括Patternz和MMS Fingerprint,涉及到来自404 Media和Enea的研究成果。

详情

https://thehackernews.com/2024/02/meta-warns-of-8-spyware-firms-targeting.html

TAG-70利用Roundcube漏洞进行网络间谍活动

日期: 2024-02-20
标签: 格鲁吉亚, 信息技术, 政府部门

一起针对格鲁吉亚、波兰和乌克兰等地的80多家组织展开网络间谍活动的威胁行为者与白俄罗斯和俄罗斯的利益相关。据Recorded Future称,这些实体可能利用了Roundcube webmail服务器中的跨站脚本(XSS)漏洞。这次入侵被归因于Winter Vivern,也被称为TA473和UAC0114,这个威胁行为者组织被网络安全公司追踪为威胁活动组70(TAG-70)。Winter Vivern利用Roundcube和软件的安全漏洞,加入了其他与俄罗斯有关的威胁行为者组,如APT28、APT29和Sandworm,这些组织已知会攻击电子邮件软件。攻击链包括利用Roundcube漏洞传递JavaScript负载,旨在窃取用户凭据到命令和控制(C2)服务器。Recorded Future还发现了TAG-70针对伊朗驻俄罗斯和荷兰大使馆以及格鲁吉亚驻瑞典大使馆的攻击迹象。

详情

https://thehackernews.com/2024/02/russian-linked-hackers-breach-80.html

加密货币伪造趋势加剧

日期: 2024-02-20
标签: 信息技术, 金融业, 伪造代币

加密货币领域的安全研究人员发现了一种新兴的伪造趋势,尤其是针对财富100强公司。根据Resecurity研究人员今天发布的报告,这些努力涉及创建伪造的代币,冒充主要品牌、政府机构甚至国家法定货币。在去中心化金融(DeFi)和加密货币领域,骗子正在利用投资者的兴趣,通过地毯式抽屉和逃跑来进行欺诈性计划。Resecurity最近强调的一个案例涉及一种名为“BRICS”的伪造代币,仍然可以交易,利用了BRICS政府间组织周围的投资热潮。这些伪造代币常常冒充重要实体,包括石油公司和国家监管机构。Solidus Labs最近报告称,这些骗局欺骗了超过200万投资者,超过了FTX、Celsius和Voyager等主要加密货币失败的受害者。Resecurity呼吁加强警惕,并建立健全的监管框架来打击欺诈活动。

详情

https://www.infosecurity-magazine.com/news/fake-tokens-exploit-brics-hype/

英国呼吁教育儿童警惕低级网络犯罪

日期: 2024-02-20
标签: 信息技术, 儿童教育

一项新研究显示,英国有五分之一的10至16岁儿童曾在网络上犯罪。其中25%的在线游戏玩家也涉及其中。这些所谓的“低级”犯罪包括下载软件侵入他人设备、试图进入受保护的服务器、使用他人账户的卡信息购物、未经允许在游戏中购买等。国家犯罪局警告称,这些行为可能导致逮捕、刑事记录、设备或笔记本电脑的没收、可能被学校开除、限制上网、国际旅行和职业机会。该机构希望鼓励表现出数字天赋的年轻人以积极的方式发展自己的技能,因为这些技能目前在就业市场上非常受欢迎。英国去年全球网络安全专业人员短缺超过73,400名,是去年同比增长29%。国家犯罪局副局长保罗·福斯特鼓励家长、老师和孩子们访问其网络选择网站以获取更多信息。他强调,无论是故意还是无意识地参与这些行为,都是犯罪行为,可能会面临严重后果。

详情

https://www.infosecurity-magazine.com/news/fifth-british-kids-broken-law/

无线充电器“VoltSchemer”攻击揭示安全漏洞

日期: 2024-02-21
标签: 信息技术, 无线充电器, 智能手机

一组学术研究人员展示了一种名为“VoltSchemer”的新型攻击,可以通过市售无线充电器发出的磁场注入语音命令,从而操纵智能手机的语音助手。该攻击还可以用于对移动设备造成物理损害,并将靠近充电器的物品加热至摄氏280度以上(536华氏度)。这项攻击利用电磁干扰来操纵充电器的行为,揭示了无线充电系统的安全漏洞。攻击可能导致过热/过充、绕过Qi安全标准以及在充电智能手机上注入语音命令等三种潜在攻击方式。此外,攻击还可以绕过Qi标准的安全机制,将能量传输到附近不受支持的物品上,如汽车钥匙、USB存储设备、RFID或NFC芯片、笔记本电脑中的SSD驱动器等。研究人员还测试了通过噪音信号传输无声语音命令给iOS(Siri)和Android(Google助手)助手的第三种攻击类型。然而,这种攻击也存在一些限制,可能在实际场景中不太实用。

详情

https://www.bleepingcomputer.com/news/security/voltschemer-attacks-use-wireless-chargers-to-inject-voice-commands-fry-phones/

北朝鲜黑客组织发动全球国防部门网络间谍活动

日期: 2024-02-21
标签: 信息技术, 政府部门, 软件供应链攻击

北朝鲜国家支持的威胁行为者被指控发动了一场针对全球国防部门的网络间谍活动。德国联邦宪法保护局(BfV)和韩国国家情报院(NIS)联合发布的一份公告中指出,这些攻击的目标是以“成本效益”的方式窃取先进的国防技术。其中,Lazarus Group被指控发动了两起黑客事件,分别利用社交工程和软件供应链攻击渗透国防部门。此外,Kimsuky行动者利用恶意浏览器扩展程序窃取用户的Gmail收件箱。

详情

https://thehackernews.com/2024/02/new-report-reveals-north-korean-hackers.html

分析Turla组织的新样本

日期: 2024-02-22
标签: 能源业, 政府部门, 信息技术, APT舆情

Turla是一个APT组织,据称与俄罗斯联邦情报部门FSB有关。该组织具体属于16中心单位,该单位负责收集通信设施的无线电电子情报。此外,16中心负责拦截、解密和处理电子信息以及危害国外目标的技术操作。Turla的活动可以追溯到2004年。该组织经常对前苏联国家的组织进行剥削活动。Turla通常针对多个部门的组织,例如:政府、研究中心、大使馆、能源、电信和制药等部门。这项研究产生了2024年初在VirusTotal中发现的一组样本。这项调查揭示了Turla如何使用Kazuar的新包装作为其感染链的一部分。并详细介绍了导致Kazuar提取的分析中最突出的方面,以及所识别样本与该领域之前看到的其他样本相比的特点。

详情

https://lab52.io/blog/pelmeni-wrapper-new-wrapper-of-kazuar-turla-backdoor/

乌克兰网络攻击事件分析

日期: 2024-02-22
标签: 政府部门, 乌克兰政府

研究人员发现了一个新的针对乌克兰的网络攻击活动,利用垃圾邮件传播与战争相关的虚假信息。这一活动由斯洛伐克网络安全公司ESET与俄罗斯相关的威胁行为者联系在一起。他们还发现了一场瞄准乌克兰国防公司和欧盟机构的钓鱼攻击活动,目的是利用虚假登录页面收集Microsoft登录凭据。该操纵行动被称为“Texonto行动”,在2023年11月和12月进行了两波,邮件内容涉及供暖中断、药物短缺和食品短缺。第二波操纵行动将目标扩大到乌克兰以外的欧洲国家的乌克兰语使用者。邮件内容暗示受众进行自残以避免军事征召,并在2024年1月开始利用假加拿大药房网站发送数百封垃圾邮件。

详情

https://thehackernews.com/2024/02/russian-hackers-target-ukraine-with.html

揭秘“跨境诈骗”:新型尼日利亚诈骗案例分析

日期: 2024-02-23
标签: 金融业, 信息技术, 跨境诈骗

安全研究员萨尔瓦多·隆巴多 (Salvatore Lombardo) 分享了有关尼日利亚新诈骗案的详细信息,他将其称为“跨境诈骗”。419 诈骗是 一种诈骗形式,要求接收者预先支付一笔款项,以便稍后获得更大的奖励。该名称源自尼日利亚刑法第 419 条,该条惩罚此类 欺诈行为 ,因此也称为 尼日利亚欺诈。 419诈骗基于欺骗和心理操纵,利用受害者的贪婪、怜悯或好奇心。这是尼日利亚新骗局的一个例子,该骗局完全通过在线和电子邮件进行。

详情

https://securityaffairs.com/159491/cyber-crime/beyond-the-border-scam-nigerian-fraud.html

卡巴斯基揭露专门针对中小型企业的新钓鱼攻击活动

日期: 2024-02-23
标签: 信息技术, SendGrid

网络安全专家在卡巴斯基发现了一起专门针对中小型企业(SMBs)的新钓鱼攻击活动。攻击方法涉及利用电子邮件服务提供商(ESP)SendGrid来获取客户邮寄名单,随后利用窃取的凭据发送令人信服的钓鱼邮件。这些邮件经过精心制作,伪装成真实消息,对毫无戒备的收件人构成重大威胁。卡巴斯基在最新的发现中解释说,通过利用SendGrid的基础设施,攻击者可以增加他们的钓鱼尝试的有效性,利用受信任来源的通信中收件人的信任。欺诈邮件伪装成ESP的合法消息,促使收件人在提高安全性的名义下启用两因素认证(2FA)。然而,提供的链接将用户重定向到一个伪造的网站,模仿SendGrid登录页面,在那里他们的凭据被窃取。这次活动的一个显著特点是其能够绕过传统的安全措施。由于钓鱼邮件通过合法服务路由,并且没有明显的欺诈迹象,它们可能会逃避自动过滤器的检测。卡巴斯基建议为员工实施基本的网络安全培训,利用具有反钓鱼能力的邮件服务器保护解决方案,并部署端点安全解决方案。

详情

https://www.infosecurity-magazine.com/news/smbs-risk-innovative-phishing/

0x08   行业动向

Google新功能保护私人网络安全

日期: 2024-02-19
标签: 信息技术, Private Network Access protections

Google正在测试一项新功能,旨在防止恶意公共网站通过用户的浏览器攻击内部私人网络上的设备和服务。该功能名为“Private Network Access protections”,主要通过检查来自公共网站的请求,以保护用户的私人网络免受潜在威胁。Google的这一安全升级旨在防止恶意网站利用用户内部网络中设备和服务器的漏洞,包括保护用户路由器和本地设备上运行的软件接口免受未经授权访问的威胁。

详情

https://www.bleepingcomputer.com/news/google/new-google-chrome-feature-blocks-attacks-against-home-networks/

Signal开始允许用户选择自定义用户名

日期: 2024-02-21
标签: 信息技术, Signal

Signal终于允许用户选择自定义用户名来与他人联系,同时保护其电话号码隐私。这是一个测试阶段的一部分,该阶段在稳定的Signal消息服务之外的测试环境中进行,该服务是在去年11月宣布的。用户可以在设置>个人资料中创建用户名,该用户名可用于联系他们。用户还可以通过共享唯一链接或二维码来开始快速聊天。用户可以更改用户名,甚至在不想使用时完全删除。用户还可以启用新的隐私设置,要求想要在Signal上与您联系的人使用用户名而不是电话号码。Signal总裁Meredith Whittaker在2022年11月首次提到Signal正在推出用户名支持,这将允许使用加密消息服务而无需透露与账户关联的电话号码。

详情

https://www.bleepingcomputer.com/news/technology/signal-rolls-out-usernames-that-let-you-hide-your-phone-number/

微软扩展Purview Audit标准版客户的免费日志记录功能

日期: 2024-02-22
标签: 信息技术, Purview Audit

微软扩展了Purview Audit标准版客户的免费日志记录功能,包括美国联邦机构,在2023年5月和6月间,中国黑客未被察觉地窃取了美国政府的电子邮件。公司自披露事件以来一直与CISA、管理和预算办公室(OMB)以及国家网络主任办公室(ONCD)合作,确保联邦机构现在可以访问未来检测类似攻击所需的所有日志数据。这项新变化也符合CISA的“设计安全”指导方针,要求所有技术提供商提供“高质量的审计日志”,而不需要额外配置或额外收费。

详情

https://www.bleepingcomputer.com/news/security/microsoft-expands-free-logging-capabilities-after-may-breach/

微软扩展Purview Audit客户的免费日志记录功能

日期: 2024-02-23
标签: 信息技术, 日志记录

微软扩展了Purview Audit标准客户的免费日志记录功能。微软自事件披露以来一直与CISA、OMB和ONCD合作,确保联邦机构现在可以访问到未来检测类似攻击所需的所有日志数据。新变化也符合CISA的“安全设计”指南,要求所有技术提供商提供“高质量的审计日志”,无需额外配置或额外收费。

详情

https://www.bleepingcomputer.com/news/security/microsoft-expands-free-logging-capabilities-after-may-breach/

0x09   勒索攻击

Blackcat勒索团伙攻击美国贷款公司LoanDepot

日期: 2024-02-19
标签: 商务服务, ALPHV/Blackcat团伙

ALPHV/Blackcat 勒索软件团伙声称对财富 500 强公司 Prudential Financial 和抵押贷款机构 LoanDepot 最近发生的网络泄露事件负责。2024 年 2 月 16 日,这两家公司被添加到 ALPHV 的暗网泄露网站中,威胁行为者仍需发布其声明的证据。 ALPHV 计划出售从 LoanDepot 网络窃取的数据,并在谈判失败后免费发布 Prudential 的数据。LoanDepot 于1 月 22 日透露,在1 月 8 日确认的勒索软件攻击中,至少有 1660 万人的个人信息被盗。该公司于1 月 6 日将其披露为“网络事件” 。LoanDepot 是美国最大的非银行零售抵押贷款机构之一,拥有约 6,000 名员工和超过 1,400 亿美元的服务贷款。

详情

https://www.bleepingcomputer.com/news/security/alphv-ransomware-claims-loandepot-prudential-financial-breaches/

PSI Software SE遭遇勒索软件攻击

日期: 2024-02-21
标签: 信息技术, PSI Software SE

PSI Software SE是一家德国软件开发公司,专注于复杂生产和物流流程。该公司确认上周披露的网络事件是一起勒索软件攻击,影响了其内部基础设施。该公司全球运营,拥有2000多名员工,专门为主要能源供应商提供软件解决方案。2月15日,PSI Software宣布遭遇网络攻击,不得不断开包括电子邮件在内的多个IT系统,以减少数据丢失的风险。公司表示,调查迄今尚未发现攻击者转向客户系统的证据。相关机构已被告知,并自2月16日起,德国联邦信息安全局的专家一直在协助PSI的事件响应和应对工作。

详情

https://www.bleepingcomputer.com/news/security/critical-infrastructure-software-maker-confirms-ransomware-attack/

0x0a   其他事件

Winter Vivern利用Roundcube漏洞进行网络间谍活动

日期: 2024-02-19
标签: 信息技术, 政府部门, Winter Vivern

与俄罗斯相关的威胁组织Winter Vivern在欧洲利用Roundcube网络邮件服务器中的跨站脚本(XSS)漏洞进行攻击。该组织主要针对格鲁吉亚、波兰和乌克兰的政府、军事和国家基础设施进行攻击,利用社会工程技术和零日漏洞获取未经授权访问,旨在收集欧洲政治和军事情报。

详情

https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military

朝鲜黑客Lazarus开始利用YoMix比特币混合器洗钱

日期: 2024-02-19
标签: 金融业, 信息技术, 加密货币

朝鲜黑客组织 Lazarus 因多年来实施多次大规模加密货币盗窃而臭名昭著,现已转而使用 YoMix 比特币混合器来洗钱被盗收益。根据区块链分析公司 Chainaanalysis 的一份报告,在政府批准威胁行为者使用的多种比特币混合服务后,Lazarus 调整了其洗钱流程。该公司表示,2023 年,YoMix 出现了大量资金涌入,就是因为 Lazarus 的活动。

详情

https://www.bleepingcomputer.com/news/security/north-korean-hackers-now-launder-stolen-crypto-via-yomix-tumbler/

乌克兰网络警察逮捕暗网网络犯罪分子

日期: 2024-02-19
标签: 政府部门, 信息技术, 乌克兰网络警察

乌克兰网络警察逮捕了一名31岁的男子,他涉嫌在暗网上运营网络犯罪活动,获取了美国和加拿大用户的银行账户信息并进行出售。该嫌疑人通过多个网站分发木马软件,并通过广告宣传活动来吸引用户下载。他还利用这些木马软件侵入受害者设备,窃取敏感数据,并进一步入侵受害者的谷歌账户和在线银行账户。此外,他还与其他网络犯罪分子合作,在暗网上出售被盗账户的访问权限,并通过比特币进行交易。该嫌疑人面临最高8年监禁和财产没收的刑事指控。

详情

https://www.bleepingcomputer.com/news/security/hacker-arrested-for-selling-bank-accounts-of-us-canadian-users/

Turla监视波兰非政府组织

日期: 2024-02-20
标签: 政府部门, APT舆情

Talos与CERT.NGO合作,调查了Turla威胁组织的另一个攻击行动,其中有一个与TinyTurla非常相似的新后门TinyTurla-NG(TTNG)。调查结果表明,波兰非政府组织正在积极成为攻击目标,其中至少有一个组织支持乌克兰。继Crutch和TinyTurla之后,Turla现在扩大了其武器库,包括TinyTurla-NG和TurlaPower-NG恶意软件系列,同时还将其目标网络扩大到非政府组织。这一行动表明对手意图扩大其恶意软件套件以及一系列目标,以支持俄罗斯的战略和政治目标。

详情

https://blog.talosintelligence.com/tinyturla-next-generation/

国际行动成功打击LockBit勒索软件运营

日期: 2024-02-20
标签: 政府部门, 信息技术, LockBit

国际执法行动代号“克罗诺斯行动”成功打击了LockBit勒索软件运营。由11个国家的执法机构联合进行的“克罗诺斯行动”摧毁了LockBit勒索软件运营。英国国家犯罪局(NCA)夺取了Lockbit勒索软件团伙的Tor泄漏网站。

详情

https://securityaffairs.com/159360/cyber-crime/operation-cronos-disrupted-lockbit-operation.html

欧盟对TikTok展开DSA违规调查

日期: 2024-02-20
标签: 信息技术, ByteDance

欧盟对TikTok展开调查,涉及未保护未成年人、广告政策和隐私等问题。调查将重点关注TikTok是否违反了欧盟数字服务法案(DSA)的相关规定,包括算法系统对行为成瘾的影响、未成年人隐私设置、广告透明度和平台透明度等方面。DSA规定了在线平台应对非法内容、保护用户权利和打击虚假信息的义务,违反者最高可面临全球营业额的6%罚款。TikTok作为一个拥有1.359亿月活跃用户的大型在线平台,已被指定为“非常大型在线平台”,并于2023年4月25日起适用DSA。欧盟委员会将由数字服务协调员或其他欧盟成员国的主管机构进行正式调查,以采取进一步的执法措施。

详情

https://www.infosecurity-magazine.com/news/eu-investigation-tiktok-privacy/

美国发布水务设施网络安全防御措施

日期: 2024-02-22
标签: 政府部门, 能源业, 美国水务和废水处理系统(WWS)部门

美国国土安全部(CISA)、联邦调查局(FBI)和环境保护局(EPA)共同发布了一份关于美国水务设施应当实施的防御措施清单,以更好地抵御网络攻击。该信息表格概述了美国水务和废水处理系统(WWS)部门组织可以采取的前八项行动,以减少网络攻击风险,并增强其对恶意活动的韧性。它还详细介绍了可用于支持这些防御措施的免费服务、资源和工具。CISA、EPA和FBI敦促所有WWS部门和关键基础设施组织审阅该信息表,并实施行动,以提高对网络威胁活动的韧性。水务部门建议减少关键资产(包括控制器和远程终端单元等OT设备)对外部互联网的暴露,并定期进行网络安全评估,以了解OT和IT系统中的现有漏洞。此外,它们还应立即更改所有默认或不安全密码,并在可能的情况下实施多因素身份验证(MFA),创建OT/IT资产清单以了解其攻击面,并定期备份OT/IT系统,以便在遭受攻击后更容易进行恢复。WWS设施还建议修补或减轻已知漏洞,以阻止利用企图,制定并执行网络安全事件响应和恢复计划,以便在受到威胁时能够更快做出反应,并进行年度网络安全意识培训,帮助员工了解如何预防和应对网络攻击。

详情

https://www.bleepingcomputer.com/news/security/us-govt-shares-cyberattack-defense-tips-for-water-utilities/

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2024-02-19 360CERT发布安全周报