报告编号：CERT-R-2024-722

报告来源：360CERT

报告作者：360CERT

更新日期：2024-03-04

0x01   事件导览

本周收录安全热点56项，话题集中在网络攻击、行业动向、安全分析，主要涉及的实体有：Change Healthcare、加拿大皇家骑警、LabHost等，主要涉及的黑客组织有：APT28（Fancy Bear）、SPIKEDWINE、LockBit等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

深入分析TinyTurla-NG的工具和命令控制

日期: 2024-02-27
标签: 信息技术, TinyTurla-NG, APT舆情

Cisco Talos与CERT.NGO合作，发现了Turla APT使用的新恶意组件。Talos的新发现说明了之前披露的攻击中使用的受感染WordPress服务器上部署的命令和控制(C2)脚本的内部工作原理。Talos还说明了TinyTurla-NG后门的操作者进行的后渗透活动向受感染的端点发出命令。Talos还发现使用通过初始植入TinyTurla-NG部署的另外三个恶意模块来维护这些组件之一是来自Chisel的修改后的代理/客户端，Chisel是一个开源攻击框架，用于与单独的C2服务器通信以在受感染的系统上执行任意命令。对此次活动中使用的Chisel客户端的分析表明，可能已经创建了另一个修改过的Chisel植入程序，该植入程序使用类似但不同的证书。这一评估与Turla在这次活动中使用多个恶意软件系列变体（包括TinyTurla-NG、TurlaPower-NG和其他基于PowerShell的脚本）的情况相符。

详情

针对俄罗斯外交部部署KONNI恶意软件

日期: 2024-02-27
标签: 政府部门, APT舆情

今年早些时候，DCSO观察到一个有趣的恶意软件样本，该样本于2024年1月中旬首次上传到VirusTotal，研究人员认为该样本是针对俄罗斯外交部的与朝鲜相关活动的一部分。该恶意软件本身似乎是KONNI，被捆绑到一个有后门的俄语软件安装程序中。虽然无法找到该工具的任何公开引用，但根据安装程序中捆绑的安装路径、文件元数据和用户手册，怀疑该软件旨在供俄罗斯外交部(MID)内部使用 ，专门用于通过安全通道将海外领事馆的年度报告文件转发到MID领事部。在这篇博文中，将评估俄罗斯后门安装程序及其可能的影响，记录观察到的KONNI变体的功能。

详情

UAC-0184利用IDAT加载程序向位于芬兰的乌克兰实体分发Remcos RAT

日期: 2024-02-28
标签: 政府部门, 信息技术, UAC-0184, APT舆情

Morphisec威胁实验室最近发现了与UAC-0184有关的多个攻击指标。这一发现揭示了臭名昭著的IDAT加载程序向位于芬兰的乌克兰实体分发Remcos远程访问木马(RAT)的情况。本博客探讨了攻击的更广泛的执行过程，强调了关键的独特方面，包括IDAT加载程序的使用以及针对芬兰的乌克兰实体的攻击。CERT-UA和Uptycs之前已审查了相关Remcos RAT攻击的详细技术发现，描述了入侵指标(IoC)和详细的TTP。

详情

乌克兰实体遭遇IDAT Loader分发的Remcos RAT恶意软件活动

日期: 2024-02-28
标签: 政府部门, 信息技术, IDAT Loader

Morphisec Threat Labs的研究人员观察到一场新的恶意软件攻击活动，针对芬兰的一家乌克兰实体，通过称为IDAT Loader的加载器分发Remcos RAT远程访问木马。乌克兰计算机应急响应团队（CERT-UA）将这些攻击与一个名为UAC-0184的威胁行动者联系起来。攻击者利用隐写术将恶意载荷隐藏在图像中，以逃避基于特征的检测。

详情

Hugging Face平台发现100多个恶意AI ML模型

日期: 2024-02-29
标签: 信息技术, Hugging Face, 恶意模型

Hugging Face平台发现了至少100个恶意AI ML模型，其中一些可以在受害者的机器上执行代码，为攻击者提供持久的后门。JFrog的安全团队发现，该平台上托管的约100个模型具有恶意功能，存在数据泄震和间谍攻击的重大风险。尽管Hugging Face采取了安全措施，包括恶意软件、pickle和秘密扫描，以及审查模型功能以发现不安全的反序列化行为，但仍然发生了这种情况。AI ML模型可能带来重大安全风险，并且利益相关者和技术开发人员尚未充分重视或讨论这些问题。JFrog的发现凸显了这一问题，并呼吁加强警惕和积极措施，以保护生态系统免受恶意行为者侵害。

详情

新Linux变种Bifrost RAT采用欺骗性域名和ARM版本

日期: 2024-03-01
标签: 信息技术, Bifrost RAT, 远程访问木马

研究人员发现了一种新型的Linux变种Bifrost远程访问木马（RAT），采用了几种新颖的逃避技术，包括使用一个欺骗性域名，使其看起来是VMware的一部分。Bifrost是一个持续时间最长的RAT威胁之一，通过恶意电子邮件附件或载荷投放站感染用户，然后从主机收集敏感信息。Unit 42研究人员报告称，他们最近观察到Bifrost活动的增加，进行了调查，发现了一个新的更隐蔽的变种。该变种包括使用类似于合法VMware域的C2服务器域名、编译二进制文件时去除调试信息以增加分析难度、以及发现了ARM版本的Bifrost。这些发现表明，攻击者正在努力将Bifrost改进为一个更隐蔽的威胁，能够针对更广泛的系统架构。

详情

0x04   数据安全

索尼子公司Insomniac Games员工遭遇数据泄露

日期: 2024-02-26
标签: 信息技术, Insomniac Games, Rhysida勒索软件, 游戏开发

Insomniac Games是索尼子公司，员工个人信息在11月份Rhysida勒索软件攻击后被盗窃并泄露在网上，目前正在向受影响的员工发送数据泄露通知信。这家总部位于加利福尼亚的游戏开发商在2019年8月被索尼收购，最近的项目是为PlayStation 5发布的《漫威蜘蛛侠2》，目前正在制作同平台的《漫威金刚狼》。索尼表示他们正在调查Rhysida勒索软件团伙声称已经侵入Insomniac Games并从其网络中窃取了超过130万个文件的情况。公司已经向受影响员工提供了两年额外的免费信用监控和身份恢复服务。此外，他们也建立了一个专门的呼叫中心，以回答受影响员工可能有关11月份勒索软件攻击的任何问题。

详情

黑客窃取视频游戏AXIE INFINITY 联合创始人1000 万美元

日期: 2024-02-26
标签: 文化传播, 金融业, 加密货币

网络犯罪分子从 Jeff“Jihoz”Zirlin 的钱包中窃取了约 1000 万美元，Jeff“Jihoz”Zirlin是视频游戏Axie Infinity 和相关 Ronin Network的联合创始人之一。2024 年 2 月 23 日，区块链网络安全公司 PeckShield 的研究人员就 Ronin Bridge 上的“鲸鱼钱包”入侵发出警报。专家报告称，攻击者窃取了约 3,248 ETH（约合 970 万美元）。网络窃贼将被盗资金转移到Tornado Cash加密货币混合器中。调查表明，3,248 ETH 的赃物最初被分割并转移到三个不同的钱包中。这些资金最终进入了 Tornado Cash。

详情

澳大利亚电信提供商Tangerine遭受数据泄露影响23万人

日期: 2024-02-26
标签: 信息技术, TANGERINE

澳大利亚电信提供商 Tangerine 披露了一起影响约 23 万人的数据泄露事件。

Tangerine 遭受数据泄露，大约 23 万人的个人信息被泄露。此次安全事件发生于 2024 年 2 月 18 日（星期日），但 Tangerine 管理层于 2024 年 2 月 20 日星期二意识到该事件。 该电信公司通知了澳大利亚网络安全中心和澳大利亚信息专员办公室。

该电信提供商指出，没有任何财务信息（信用卡或借记卡号码、银行详细信息）受到泄露。该公司还确认，此次攻击并未影响其 nbn® 或移动服务的可用性或运行。 暴露的信息包括全名、出生日期、手机号码、电子邮件地址、邮政地址和 Tangerine 帐号。

详情

Tornado Cash治理提案中隐藏恶意代码导致数据泄露

日期: 2024-02-28
标签: 信息技术, Tornado Cash, JavaScript代码

一段恶意的JavaScript代码隐藏在Tornado Cash治理提案中，已经泄露存款备注和数据至私人服务器近两个月。这一泄漏威胁了通过IPFS部署（如ipfs.io、cf-ipfs.com和eth.link网关）进行的所有资金交易的隐私和安全性，自1月1日起。安全研究人员Gas404发现并报告了这段恶意代码，敦促利益相关者否决这些恶意治理提案。

详情

Golden Corral披露数据泄露事件

日期: 2024-03-01
标签: 信息技术, Golden Corral

美国餐饮连锁企业Golden Corral披露了一起数据泄露事件，攻击者在8月份的网络攻击中窃取了超过18万人的个人信息。Golden Corral在43个美国州和波多黎各的298个地点提供自助餐和烧烤服务（24个地点因未透露的原因暂时关闭）。公司表示，攻击者在8月11日至8月15日期间访问了其系统，并窃取了“现任和前任员工以及受益人”的敏感数据。Golden Corral在向缅因州总检察长提交的文件中透露，有183,272人在这次攻击中的数据被盗。被盗信息可能包括员工、受托人和受益人姓名、社会安全号码、财务账户信息、驾驶执照号码、医疗信息、用户名和密码以及健康保险信息。餐厅警告称，尽管他们不知道被影响个人信息的滥用情况，但个人应保持警惕，及时查看账单和福利解释，如发现异常活动应及时向保险公司、医疗机构或金融机构报告。

详情

AI服务Cutout.Pro遭遇数据泄露

日期: 2024-03-01
标签: 信息技术, Cutout.Pro, 密码哈希值

AI服务Cutout.Pro遭遇数据泄露，泄露了2000万会员的个人信息，包括电子邮件地址、哈希和盐加密的密码、IP地址和姓名。泄露的数据还包括用户ID和头像、API访问密钥、账户创建日期、电子邮件地址、用户IP地址、手机号码、密码哈希值和盐、用户类型和账户状态等信息。泄露的数据在黑客论坛上被发布，并且在黑客的个人Telegram频道上广泛传播。虽然Cutout.Pro尚未通过官方声明证实安全事件，但已经有数据泄露监控和警报服务Have I Been Pwned（HIBP）确认了此次泄露事件。建议所有Cutout.Pro用户立即重置其密码，并提高警惕，以防受到针对性的网络钓鱼欺诈。

详情

0x05   网络攻击

PyPI软件包遭受信息窃取恶意软件Nova Sentinel攻击

日期: 2024-02-26
标签: 信息技术, Nova Sentinel, PyPI软件包

Python 包索引 (PyPI) 存储库上的一个休眠包在近两年后进行了更新，以传播名为 Nova Sentinel 的信息窃取恶意软件。据软件供应链安全公司 Phylum 称，该软件包名为django-log-tracker ，于 2022 年 4 月首次发布到 PyPI，并于 2024 年 2 月 21 日检测到该库的异常更新。虽然链接的 GitHub 存储库自 2022 年 4 月 10 日以来一直没有更新，但恶意更新的引入表明属于开发人员的 PyPI 帐户可能受到损害。Django-log-tracker迄今为止已被下载 3,866 次，其中流氓版本 (1.0.4) 在发布之日下载了 107 次。该软件包不再可以从 PyPI 下载。

详情

加拿大皇家骑警遭受网络攻击

日期: 2024-02-26
标签: 政府部门, 加拿大皇家骑警

加拿大皇家骑警(RCMP)，加拿大的国家警察力量，最近披露其网络遭受了一次网络攻击。该联邦机构已经展开刑事调查，以确定安全漏洞的范围。据加拿大广播公司报道，RCMP的首席安全官保罗·L·布朗表示，警察部队正在处理一场“网络事件”，并告诫员工保持警惕。RCMP发言人在一份媒体声明中表示：“目前，这一事件对RCMP的运作没有影响，也没有对加拿大人的安全构成已知威胁。”这次网络攻击没有证据表明外国警察和情报机构受到影响。隐私专员办公室已经被通知了这次网络攻击。RCMP的网站目前无法访问，并显示HTTP 404（未找到）错误消息。请求会被重定向到一个不存在的install.php页面。BleepingComputer还观察到，RCMP网站可能在使用WordPress和Drupal等CMS产品。他们已经联系RCMP媒体办公室以更好地了解这个问题是否与正在进行的网络事件有关。

详情

俄罗斯黑客因入侵当地电网而面临审判

日期: 2024-02-26
标签: 能源业, 发电厂

一名俄罗斯公民（49 岁）被指控对当地一家发电厂进行网络攻击，导致沃洛格达地区 38 个村庄大范围停电。这次袭击发生在一年前，该男子面临最高八年的监禁。塔斯社报道称，俄罗斯当局已根据当地刑法第274.1条第4部分对这起事件立案刑事立案。 当地有关部门已完成调查并将证据送交法院作出最终判决。 目前尚不清楚被告是否是黑客组织的成员，或者此次攻击是否是针对俄罗斯政府入侵乌克兰的黑客行动。

详情

五眼联盟警告：俄罗斯黑客转向云服务攻击

日期: 2024-02-27
标签: 政府部门, APT29

2024年2月26日，五眼联盟成员发出警告，称APT29俄罗斯外交情报局（SVR）黑客现在转而攻击其受害者的云服务。APT29（也被称为舒适熊、午夜暴风雪、公爵）在三年多前发动的SolarWinds供应链攻击后，入侵了多个美国联邦机构。俄罗斯网络间谍还侵入了属于北约国家内部的多个Microsoft 365帐户，以获取外交政策相关数据，并针对欧洲的政府、大使馆和高级官员进行了一系列网络钓鱼攻击。五眼联盟的成员发现，APT29黑客现在通过利用通过暴力破解或密码喷射攻击获取的访问服务帐户凭据，获得对其目标云环境的访问权限。他们还使用从未在目标组织离职后被删除的休眠帐户，以及在系统范围内重置密码后重新获得访问权限。

详情

乌克兰实体遭受UAC-0184黑客组织攻击

日期: 2024-02-27
标签: 信息技术, 乌克兰, UAC-0184

乌克兰在芬兰运营的实体遭到了一个名为'UAC-0184'的黑客组织的攻击。这个组织利用隐写术将Remcos远程访问木马（RAT）隐藏在图像文件中进行传递。Morphisec分析师发现，这个威胁组织最新的活动开始于2024年初，扩大了他们的目标范围，不仅针对乌克兰的组织，还针对与其战略目标有关的国外组织。攻击链包括精心设计的钓鱼邮件、恶意快捷方式文件、模块化恶意软件加载器和远程访问木马等。这些攻击手法旨在规避基于签名的安全解决方案的检测。攻击最终目的是在受感染的系统上部署远程访问木马，以窃取数据和监视受害者活动。

详情

过时CMS编辑器被利用进行恶意重定向活动

日期: 2024-02-27
标签: 信息技术, 政府部门, 开放重定向

黑客正在利用一个在14年前停止更新的CMS编辑器来攻击全球的教育和政府机构，以在搜索结果中植入恶意网站或诈骗信息。开放重定向是指网站允许任意重定向请求，将用户从原始网站带到外部URL，而没有足够的验证或安全检查。攻击者滥用这些开放重定向进行钓鱼攻击、分发恶意软件或欺诈用户，同时似乎源自合法域名。这些URL托管在受信任的域上，可能会绕过安全产品使用的URL过滤器。此外，搜索引擎爬虫会索引这些重定向，并在Google搜索结果中列出它们，这使它们成为SEO投毒活动的有效策略，利用受信任的域名为特定查询使恶意URL排名更高。由于开放重定向URL并不直接托管恶意内容，而只是指向它，它们可能会在搜索结果中保持活跃和可见很长时间，直到被举报下架。然而，包括谷歌和微软在内的许多公司并不认为开放重定向是一个缺陷，并且可能不会修复它们，除非它们导致更严重的漏洞。威胁行为者利用已过时的FCKeditor插件进行恶意重定向活动，主要针对教育机构、政府和公司网站。攻击者利用静态HTML页面和FCKeditor进行SEO投毒活动，并通过重定向到恶意站点来欺骗用户。

详情

蒂森克虏伯汽车部门遭网络攻击

日期: 2024-02-27
标签: 制造业, 能源业, 德国钢铁企业

德国钢铁巨头蒂森克虏伯（ThyssenKrupp）确认，上周黑客侵入了其汽车部门的系统，迫使他们关闭了IT系统作为其应对和遏制行动的一部分。蒂森克虏伯AG是全球最大的钢铁生产商之一，拥有逾10万名员工，年收入超过444亿美元（2022年）。该公司是使用钢铁作为材料的产品的全球供应链中的重要组成部分，涉及机械、汽车、电梯和扶梯、工业工程、可再生能源和建筑等各个领域。蒂森克虏伯表示，上周遭受了网络攻击，影响了其汽车车身生产部门。攻击已得到控制，他们正在逐步恢复正常运营。德国新闻媒体《萨尔布吕肯报》报道称，蒂森克虏伯的萨尔兰工厂受到了直接影响。蒂森克虏伯已确认生产已经停止，但尚未影响客户供应。

详情

SubdoMailing恶意活动揭露

日期: 2024-02-27
标签: 信息技术, 恶意活动

研究人员发现了一起名为SubdoMailing的恶意活动。ResurrecAds威胁组织利用超过8,000个品牌和机构的域名和13,000个子域名进行了精密的分发架构，用于垃圾邮件传播和点击变现。这些域名被用来发送虚假包裹送货通知和钓鱼邮件，以获取账户凭证。该活动还利用了大量废弃的域名和子域名，通过CNAME接管技术进行恶意操作。文章还提到了该活动绕过了标准安全阻挡，并且能够规避多种邮件认证方法，如SPF、DKIM和DMARC。为了应对这一威胁，Guardio提供了SubdoMailing Checker工具，帮助域名管理员和网站所有者检测受到威胁的迹象。

详情

IntelBroker黑客成功入侵Los Angeles International Airport数据库

日期: 2024-02-27
标签: 交通运输, Los Angeles International Airport

黑客IntelBroker通过利用Los Angeles International Airport的CRM系统中的一个漏洞，成功入侵了机场系统并窃取了包括机主的机密数据。这位黑客之前曾被认为是DC Health Link、Volvo Cars和Hewlett Packard Enterprise (HPE)等公司的入侵者，并最近泄露了Facebook Marketplace数据库。他声称已经获得了包含250万条记录的数据库，其中包括机主的全名、CPA号码、电子邮件地址、公司名称、飞机型号和尾号。安全漏洞并未对旅客产生影响。IntelBroker在BreachForums上宣布了这次入侵，并声称他们对数据泄露负全责。

详情

FBI警告：俄罗斯军方黑客利用Ubiquiti EdgeRouter进行网络攻击

日期: 2024-02-28
标签: 政府部门, 信息技术, APT28（Fancy Bear）, Ubiquiti EdgeRouter, 网络间谍

美国联邦调查局（FBI）与国家安全局（NSA）、美国网络司令部及国际合作伙伴发布联合警报称，俄罗斯军方黑客利用被入侵的Ubiquiti EdgeRouter来规避检测。俄罗斯军事单位26165部队的网络间谍，被追踪为APT28和Fancy Bear，利用这些被劫持的流行路由器建立庞大的僵尸网络，帮助他们窃取凭据、收集NTLMv2摘要，并代理恶意流量。这些活动针对全球军事、政府和其他组织进行隐秘的网络攻击。

详情

攻击者利用PhaaS平台LabHost对加拿大银行发起钓鱼攻击

日期: 2024-02-28
标签: 金融业, LabHost, 网络钓鱼即服务 (PhaaS)

Phishing as a Service（PhaaS）平台“LabHost”帮助网络犯罪分子针对北美银行，尤其是加拿大金融机构，引发活动增加。该平台提供成熟的钓鱼工具包、托管页面的基础设施、电子邮件内容生成以及活动概述服务，以月度订阅的形式交给网络犯罪分子使用。LabHost在2023年上半年为加拿大银行推出定制钓鱼工具包后，其受欢迎程度激增。尽管LabHost在2023年10月初遭受破坏性故障，但其活动已恢复到显著水平，每月发起数百次攻击。

详情

美国医药公司Cencora遭受网络攻击

日期: 2024-02-28
标签: 卫生行业, Cencora

医药巨头Cencora表示他们遭受了一次网络攻击，攻击者从公司IT系统中窃取了数据。Cencora，之前被称为AmerisourceBergen，专注于医药服务，为医生诊所、药房和动物保健提供药品分销和解决方案。在提交给美国证券交易委员会的8-K表格中，Cencora披露他们遭受了一次导致数据被盗的网络攻击。公司表示他们已经控制住了事件，并正在与执法部门、外部网络安全专家和外部律师合作进行调查。他们还表示尚未确定此事件是否会对其财务或运营产生实质影响。同时，他们确认这次网络攻击与Optum Change Healthcare勒索软件攻击无关。目前尚不清楚是谁侵入了Cencora，也没有勒索软件团伙承认责任。此外，一个名为Lorenz的勒索软件组织此前声称已于2023年2月侵入了Cencora，当时该公司还是作为AmerisourceBergen运营，声称他们窃取了与动物保健部门相关的数据。

详情

UNC1549攻击以色列和中东的航空航天和国防部门

日期: 2024-02-29
标签: 政府部门, 信息技术, APT舆情

Mandiant发现了针对中东国家（包括以色列和阿拉伯联合酋长国，可能还有土耳其、印度和阿尔巴尼亚）的航空航天和国防工业的涉嫌与伊朗有联系的间谍行动。Mandiant将这一行动归因于伊朗攻击者UNC1549，该攻击者与Tortoiseshell 重叠，Tortoiseshell是一个已公开与伊朗伊斯兰革命卫队(IRGC)有联系的威胁攻击者。Tortoiseshell此前曾试图通过针对国防承包商和IT提供商来破坏供应链。这一可疑的行动至少自2022年6月以来一直活跃，并且截至2024年2月仍在持续。虽然其本质上是区域性的，并且主要集中在中东，但目标包括在全球运营的实体。Mandiant观察到该活动部署了多种规避技术来掩盖他们的活动，最突出的是广泛使用Microsoft Azure云基础设施以及社会工程方案来传播两个独特的后门：MINIBIKE和MINIBUS。

详情

SPIKEDWINE组织利用新后门WINELOADER攻击欧洲外交官

日期: 2024-02-29
标签: 信息技术, 政府部门, APT舆情

Zscaler的ThreatLabz发现了一个2024年1月30日从拉脱维亚上传到VirusTotal的可疑PDF文件。该PDF文件伪装成印度大使的邀请函，邀请外交官参加2024年2月的品酒活动。该PDF还包括一个虚假的调查问卷链接，将用户重定向到托管恶意ZIP存档的受感染网站上，从而启动感染链。进一步的威胁追踪使ThreatLabz发现了另一个类似的PDF文件，该文件于2023年7月从拉脱维亚上传到VirusTotal。本博客提供了有关之前未记录的后门WINELOADER的详细信息。ThreatLabz认为，是一个民族国家威胁组织有意利用印度与欧洲国家外交官之间的地缘政治关系实施了这次攻击。该攻击的特点是攻击量非常小，并且在恶意软件和命令与控制(C2)基础设施中采用了先进的TTP。虽然尚未将此次攻击归咎于任何已知的APT组织，但已根据攻击链不同阶段使用的与葡萄酒相关的主题和文件名，将此威胁组织命名为SPIKEDWINE。

详情

Lurie儿童医院遭网络勒索攻击

日期: 2024-02-29
标签: 卫生行业, Rhysida勒索软件

Rhysida勒索软件团伙声称对芝加哥Lurie儿童医院的网络攻击负责。该医院是美国领先的儿科急诊医疗机构，每年为20万儿童提供医疗服务。网络攻击迫使医疗机构将IT系统下线，并在某些情况下推迟了医疗服务。Ultrasound和CT扫描结果无法获取，患者服务优先级系统被关闭，医生被迫使用纸笔开处方。Rhysida勒索软件团伙声称已从医院窃取了600GB的数据，并提出以60BTC（370万美元）的价格出售。他们设定了七天的最后期限，之后数据将以更低的价格出售或在其平台上免费泄露。医院仍在受到影响，IT系统恢复工作正在进行中，部分业务仍受到影响。

详情

ALPHV勒索软件团伙攻击美国医疗保健系统

日期: 2024-02-29
标签: 卫生行业, ALPHV, UnitedHealth Group

BlackCat/ALPHV 勒索软件团伙已正式声称对 UnitedHealth Group (UHG) 子公司Optum 的网络攻击负责，此次攻击导致 Change Healthcare 平台持续中断。Change Healthcare 是最大的支付交易平台，全美有 70,000 多家药店使用。 BlackCat 据称从 Change Healthcare 的网络中窃取了属于“数千家医疗保健提供商、保险提供商、药房等”的 6TB 数据。该勒索软件团伙声称他们窃取了 Change Healthcare 解决方案的源代码以及属于许多合作伙伴的敏感信息，其中包括美国军方的 Tricare 医疗保健计划、Medicare 联邦健康保险计划、CVS Caremark、MetLife、Health Net 以及数十种其他医疗保险提供商。

详情

欧盟外交官遭遇利用葡萄酒品鉴活动伪装的后门攻击

日期: 2024-02-29
标签: 政府部门, WineLoader, 外交

最近的威胁活动中，攻击者利用欧洲人喜爱美酒的文化特点，通过伪造葡萄酒品鉴活动邀请信，针对欧盟国家驻印度外交使团的官员进行网络攻击。攻击中使用的后门被称为"WineLoader"，具有模块化设计，采用特定技术规避检测，攻击者展现了高度的技术复杂性。攻击者利用被篡改的网站进行命令与控制，在攻击链的各个阶段都展现出高度的精密度，包括社会工程攻击和恶意软件制作。

详情

新的 SPIKEDWINE APT 组织瞄准欧洲官员

日期: 2024-03-01
标签: 政府部门, SPIKEDWINE

Zscaler 研究人员警告称， 已观察到一个名为SPIKEDWINE 的先前未知的威胁行为者针对欧洲官员。网络间谍使用了一份诱饵 PDF 文档，伪装成印度大使的邀请函，邀请外交官参加 2024 年 2 月的品酒活动。该活动的特点是规模非常小，并且威胁行为者采用了先进的战术、技术和程序 (TTP)。

详情

医药分销商Cencora披露网络安全事件

日期: 2024-03-01
标签: 卫生行业, 数据侵害

医药分销商Cencora披露了一起网络安全事件，其信息系统的数据遭到侵害，可能包含个人信息。该公司专门从事制药服务，分发药品和解决方案给医疗办公室、药房和兽医护理。据透露，该公司在2023财年实现了2622亿美元的收入，拥有约46,000名员工。Cencora表示，截至文件日期，该事件并未对其业务产生实质性影响，其系统仍然正常运行。然而，公司也“尚未确定该事件是否有可能对[其]财务状况或运营结果产生实质性影响。”根据Claude Mandy的说法，Cencora无法确定外泄的数据是否包含个人信息。Cencora表示将根据监管要求提供调查进展更新。

详情

0x06   安全漏洞

WordPress LiteSpeed Cache插件存在XSS漏洞

日期: 2024-02-28
标签: 信息技术, CVE-2023-40000

研究人员警告称，LiteSpeed Cache插件（WordPress的免费版本）存在一个跨站脚本（XSS）漏洞（CVE-2023-40000），可能影响WordPress网站的安全。该漏洞允许未经身份验证的用户通过单个HTTP请求窃取敏感信息或提升权限。Patchstack研究人员指出，该漏洞已在2023年10月发布的5.7.0.1版本中得到修复。

详情

Anycubic 3D打印机遭黑客入侵

日期: 2024-02-29
标签: 信息技术, 3D打印机

研究人员发现来自Anycubic客户的在线报道称，有人黑客入侵了他们的3D打印机，警告设备存在安全漏洞。黑客在受影响的设备中添加了一个名为hacked_machine_readme.gcode的文件，通常包含3D打印指令，提醒用户他们的打印机受到了严重的安全漏洞影响。据称这个漏洞使潜在攻击者可以通过公司的MQTT服务API控制受影响的Anycubic 3D打印机。受影响的设备收到的文件还要求Anycubic开源他们的3D打印机软件，因为公司的软件“存在缺陷”。据称通过这个漏洞，2934635台设备下载了警告信息。建议受影响的客户将打印机断开与互联网的连接。

详情

CISA披露Ivanti VPN漏洞及安全风险

日期: 2024-03-01
标签: 信息技术, 政府部门, Ivanti VPN漏洞

美国网络安全和基础设施安全局（CISA）披露，攻击者利用多个主动利用的漏洞之一，可能在黑客Ivanti VPN设备后甚至在进行了恢复出厂设置后仍能保持根持久性。这些漏洞包括CVE-2023-46805、CVE-2024-21887、CVE-2024-22024和CVE-2024-21893，可绕过身份验证、命令注入、服务器端请求伪造和任意命令执行。CISA发现Ivanti的完整性检查工具（ICT）未能检测到被黑的Ivanti设备，而且黑客甚至可以在进行了恢复出厂设置后仍保持根级持久性。CISA强调需要额外的安全措施来检测威胁，建议联邦机构假定Ivanti VPN设备中的用户和服务账户凭证可能已被黑客获取，并采取相应的安全措施。

详情

研究人员发现了零点击 FACEBOOK 帐户接管行为

日期: 2024-03-01
标签: 信息技术, Facebook

研究人员警告称，Facebook 中的一个严重漏洞可能允许攻击者劫持任何 Facebook 帐户。尼泊尔研究人员 Samip Aryal 将该漏洞描述为 Facebook 密码重置流程特定端点中的速率限制问题。攻击者可能利用该漏洞通过暴力破解特定类型的随机数来接管任何 Facebook 帐户。研究人员于2024年1月30日向Meta报告了该漏洞，该公司于2024年2月2日解决了该问题。该漏洞影响巨大，Meta将其识别为零点击帐户接管漏洞。

详情

0x07   安全分析

APT-C-24（SideWinder）组织新威胁：基于Nim的载荷浮出水面

日期: 2024-02-27
标签: 政府部门, 能源业, APT舆情

APT-C-24 (响尾蛇)是一个活跃于南亚地区的APT组织，最早活跃可追溯到2012年，其主要攻击国家包括巴基斯坦、阿富汗、尼泊尔、不丹、缅甸等数十国，以窃取政府、能源、军事、矿产等领域的敏感信息为主要目的。过去十年该组织展开了多次鱼叉式网络钓鱼活动窃取信息，为了配合这些行动，攻击者使用了各种编程语言（如C++、C#、Go、Python和 VBScript）开发载荷，并且也使用了各种母体文件（如漏洞文档、宏文件、LNK文件）来释放载荷。近期，360高级威胁研究院捕获到了SideWinder针对不丹、缅甸、尼泊尔的攻击样本，这类样本主要是通过宏文档释放Nim语言编译的攻击载荷，这类载荷在响尾蛇历史攻击者中很少见。

详情

Node.js 代码库发现虚假 npm 包

日期: 2024-02-27
标签: 信息技术, Node.js, GitHub

研究显示，在 Node.js 代码库上发现了一组虚假的 npm 包，与朝鲜政府支持的行动者有关联。其中包括了几个名称为 execution-time-async、data-time-utils、login-time-utils、mongodb-connection-utils 和 mongodb-execution-utils 的包。其中，execution-time-async 假冒了一个合法的包 execution-time，被下载了 302 次，内含加密货币和凭证窃取器。攻击者试图隐藏恶意代码，并通过远程服务器获取下一阶段的恶意载荷，从浏览器中窃取凭证，并下载其他脚本。

详情

CISA发布关于SVR网络行动者战术演变的联合咨询

日期: 2024-02-27
标签: 信息技术, SVR

美国国土安全部(CISA)与英国国家网络安全中心(NCSC)等国内外合作伙伴联合发布了一份联合咨询，揭示了俄罗斯外交情报局(SVR)网络行动者不断演变的战术。该组织被称为APT29、午夜暴风雪、公爵或温暖熊等多个别名，被美国确定为网络间谍实体，可能隶属于俄罗斯情报部门SVR的一部分。咨询指出，他们最近的策略包括渗透云环境，这是因为组织日益转向基于云的基础设施。SVR行动者过去主要利用本地网络的漏洞，但现在已经改变策略直接瞄准云服务。他们利用暴力破解、密码喷射和利用休眠账户等技术获取初始访问权限，并利用基于云的令牌认证和住宅代理来维持隐蔽行动和规避检测。咨询强调了实施多因素身份验证(MFA)、定期更改密码和最小权限访问策略等健全的网络安全措施的重要性。

详情

商业代码库中高风险开源漏洞比例上升至74%

日期: 2024-02-28
标签: 信息技术, 开源组件, 开源漏洞

Synopsys的最新研究显示，三分之三的商业代码库包含开源组件，其中存在“高风险”漏洞。该研究分析了来自17个行业的1000多个商业代码库审计结果，发现高风险开源漏洞的比例从2022年的48%增加至74%。计算机硬件和半导体行业拥有最高比例的高风险漏洞（88%），其次是“制造业、工业和机器人技术”（87%）以及“大数据、人工智能、商业智能和机器学习”（66%）。

详情

美国警告俄罗斯APT28利用漏洞攻击Ubiquiti EdgeRouter

日期: 2024-02-29
标签: 信息技术, Ubiquiti EdgeRouter

美国联邦调查局（FBI）、国家安全局（NSA）、美国网络司令部及国际合作伙伴联合发布了一份网络安全咨询（CSA），提醒人们对俄罗斯国家支持的网络行动者利用受损的Ubiquiti EdgeRouter的情况保持警惕。这些行动者被确认为俄罗斯总参谋部主要情报总局（GRU）第85特别服务中心（GTsSS），也被称为APT28、Fancy Bear和Forest Blizzard（Strontium）。他们利用受损的EdgeRouter收集凭据、代理网络流量、托管钓鱼网页和自定义工具。EdgeRouter因默认登录设置脆弱、防火墙设置不足且依赖手动固件更新而特别容易受到攻击。 CSA强调了采取纠正措施的紧迫性，以有效阻止这些恶意活动。同时，还强调了实施建议的缓解措施以保护未来免受威胁，并识别现有威胁的必要性。Ubiquiti EdgeRouter因默认凭据和有限的防火墙保护而成为吸引网络行动者的目标。建议进行硬件工厂重置、更新固件、更改默认凭据和实施强大的防火墙规则来应对这些威胁。 FBI还寻求组织和个人的合作，以报告与APT28在受损EdgeRouter上的活动有关的任何可疑或犯罪活动。

详情

零日漏洞利用和ChatGPT凭证风险上升

日期: 2024-02-29
标签: 信息技术, ChatGPT

安全研究人员警告称，威胁行为者越来越倾向于利用零日漏洞来提高先进定向攻击的成功率。据Group-IB的《2023/2024高科技犯罪趋势报告》显示，2022年至2023年间，公开销售零日漏洞的广告数量增加了70%。零日威胁对于高级网络犯罪组织和国家机构特别受欢迎，尤其是在需要建立持久性并长期监视受害者而不被发现的网络间谍活动中。此外，Group-IB还警告称，在网络犯罪地下世界中对ChatGPT凭证的兴趣不断增长，以此作为接触敏感企业数据的手段。

详情

Savvy Seahorse 通过 DNS 诈骗瞄准投资平台

日期: 2024-03-01
标签: 信息技术, Savvy Seahorse

据观察，以 Savvy Seahorse 为名的 DNS 攻击者采用复杂的策略来引诱受害者进入虚假投资平台，并将资金转移到俄罗斯银行账户。Savvy Seahorse 利用 Facebook 广告，引诱用户访问伪装成合法投资平台的欺诈网站，通常冒充 Tesla 和 Facebook/Meta 等知名公司。 Savvy Seahorse 采用的一项特别不起眼的技术涉及利用 DNS 规范名称 (CNAME) 记录为其金融诈骗活动建立流量分配系统 (TDS)。 因此，Savvy Seahorse 可以控制谁有权访问内容，并可以动态更新恶意活动的 IP 地址。这种使用 CNAME 的技术使攻击者能够逃避安全行业的检测。

详情

0x08   行业动向

微软为所有美国联邦机构扩展免费日志记录功能

日期: 2024-02-26
标签: 信息技术, 政府部门, 日志记录

微软已使用 Microsoft Purview Audit 将免费日志记录功能扩展到所有使用 Microsoft Purview Audit 的美国联邦机构，无论其许可证级别如何。美国网络安全和基础设施安全局 (CISA)表示：“微软将自动启用客户帐户中的日志，并将默认日志保留期限从 90 天增加到 180 天。 ”

详情

苹果iMessage引入PQ3新协议加强通讯安全

日期: 2024-02-26
标签: 信息技术, iMessage, 量子计算

苹果公司在iMessage即时通讯服务中引入了一种名为PQ3的新的后量子密码协议，旨在抵御量子攻击对加密的威胁。iMessage是iOS和macOS操作系统上的默认通讯平台，拥有近10亿用户。其关键特性之一是支持端到端加密（E2EE），确保通讯在发送方和接收方之间保持私密，即使第三方截获了通讯内容。量子计算威胁着现有的加密方案，消息应用如Signal已经采取措施加强防御，添加了NIST认可的量子抗性算法，被认为能在未来数十年内保持安全。苹果公司表示，其新的PQ3协议实现了对量子计算威胁的保护，被称为“Level 3”安全。PQ3不是用椭圆曲线密码学（ECC）取代，而是采用了混合模型，同时采用了Kyber算法来满足其后量子密码学需求。该机制可以在会话开始时创建加密密钥，即使接收方处于离线状态，也能确保安全通讯。PQ3的一个重大创新是定期的后量子重建机制，频繁地生成新的量子抗性密钥，确保最大限度地保障安全性并对用户体验影响较小。

详情

PayPal 申请检测被盗 cookie 的新方法专利

日期: 2024-02-26
标签: 信息技术, Cookie

PayPal 提交了一项新方法的专利申请，该方法可以识别“超级 cookie”何时被盗，这可以改进基于 cookie 的身份验证机制并限制帐户接管攻击。PayPal 希望解决的风险是黑客窃取包含身份验证令牌的cookie来登录受害者帐户，而无需有效凭据并绕过双因素身份验证 (2FA)。该系统通过计算欺诈风险评分来识别电子支付平台上的欺诈登录尝试，并根据风险评估管理身份验证请求，以接受、拒绝或激活额外的安全措施。该专利描述了一种防御网络攻击的方法，确保在身份验证过程中合法使用Cookie。

详情

白宫敦促科技公司采用内存安全编程语言以提高软件安全性

日期: 2024-02-27
标签: 信息技术, 政府部门, 内存安全漏洞

白宫国家网络主任办公室敦促科技公司转向内存安全编程语言，如Rust，以减少内存安全漏洞，提高软件安全性。内存安全漏洞是软件内部的编码错误或弱点，可能导致内存管理问题，包括未经意访问、写入、分配或释放内存。这些漏洞会导致各种安全风险和问题，如缓冲区溢出、释放后使用、未初始化内存的使用和双重释放，攻击者可以利用这些漏洞进行攻击。成功利用漏洞可能导致威胁行为者未经授权地访问数据或以系统所有者的权限执行恶意代码。报告指出，使用内存安全编程语言是减少内存安全漏洞的最有效方法。

详情

NIST发布《网络安全框架》2.0版本

日期: 2024-02-28
标签: 信息技术, 政府部门, 网络安全框架

美国国家标准与技术研究院（NIST）发布了《网络安全框架》（CSF）2.0的最终版本。新框架可供所有组织使用，帮助它们管理和降低网络风险。此版本对以往版本进行了重大改变，最显著的是将CSF的范围扩大至所有组织和行业，而不仅仅是关键基础设施。新增的“治理”支柱涵盖了组织背景，特别是在风险管理和供应链等领域的角色、责任和权限。CSF 2.0还将框架与其他相关的NIST特别出版物进行了交叉链接，使组织更容易找到这些资源。

详情

Kali Linux 2024.1发布，新增四款工具及主题更新

日期: 2024-02-29
标签: 信息技术, Kali Linux, 蓝牙设备

Kali Linux 2024.1发布，新增四款工具及主题更新，适用于网络安全专业人士和道德黑客进行渗透测试、安全审计和研究。新增工具包括蓝牙设备发现服务、TAXII服务器实现、操作Windows PE文件的命令行工具和灵活的网络入侵检测系统。主题更新包括引导菜单和登录显示的重大更新，以及引人入胜的桌面壁纸。此外，内核版本升级至6.6。Xfce用户现在可以轻松复制VPN IP地址到剪贴板，而Gnome用户则有新的图片查看器和速度改进的文件管理器。可通过升级现有安装或直接下载ISO镜像来获取Kali Linux 2024.1。对于运行在Windows子系统上的Kali用户，升级到WSL2以获得更好的体验。

详情

英国DSIT发布《网络安全治理实践准则》

日期: 2024-02-29
标签: 信息技术, 政府部门, 治理准则

英国科学、创新和技术部（DSIT）将推出未来的《网络安全治理实践准则》，旨在支持董事和业务领导者制定网络治理计划，提高网络安全弹性。该准则将包括五大原则，如风险管理、网络策略、人员、事件规划与响应、保证与监督，并提供具体行动指南。DSIT已征求英国组织的意见，计划在2024年夏季发布公开咨询的回应。

详情

Brave Software推出新隐私保护AI助手"Leo"

日期: 2024-03-01
标签: 信息技术, Brave Software, 人工智能

Brave Software宣布推出新的隐私保护人工智能助手"Leo"，将在其浏览器的Android版本1.63中推出。Leo能够执行多种任务，包括总结网页或视频、回答问题、翻译页面、编写代码、创建音视频转录以及生成文字内容。用户可以通过点击"星星"按钮或在页面聊天中选择"Leo"来召唤助手。Leo将通过版本1.63分阶段推出到Brave浏览器的Android用户，并计划在未来几周内推出到iOS用户。

详情

0x09   勒索攻击

美国联合健康集团子公司Optum遭受BlackCat勒索软件攻击

日期: 2024-02-27
标签: 卫生行业, Change Healthcare

美国联合健康集团子公司Optum遭受网络攻击，攻击导致Change Healthcare支付交换平台持续中断，并被调查人员确认与BlackCat勒索软件组有关。Change Healthcare警告客户部分服务已经因网络安全事件而下线。联合健康集团称这次网络攻击是由疑似“国家级”黑客协调进行的，攻击者入侵了Change Healthcare的IT系统。这次事件导致了广泛的计费中断，因为该平台在美国医疗系统中被广泛使用。BlackCat是一个涉嫌与DarkSide和BlackMatter勒索软件操作有关的新兴勒索软件组织。联合健康集团是一家覆盖全美50个州的健康保险公司，旗下的Optum Solutions运营着Change Healthcare平台，是美国医疗系统中最大的支付交换平台。

详情

ALPHV/Blackcat勒索软件瞄准美国医疗保健机构

日期: 2024-02-28
标签: 政府部门, 卫生行业, ALPHV/Blackcat

美国联邦调查局（FBI）、网络安全与基础设施安全局（CISA）以及卫生与公众服务部（HHS）发出警告，指出ALPHV/Blackcat勒索软件针对美国医疗保健机构发动有针对性的攻击。这是对Blackcat犯罪团伙活动的最新警告，该团伙自2021年11月以来已导致逾60起数据泄露事件，并从1000多名受害者手中勒索至少3亿美元赎金。警告呼吁关键基础设施组织采取必要措施，减少Blackcat勒索软件和数据勒索事件的可能性和影响。

详情

0x0a   其他事件

LockBit黑客组织重新启动勒索软件业务

日期: 2024-02-26
标签: 信息技术, LockBit

LockBit黑客组织在执法部门入侵其服务器不到一周后，以威胁要更多地针对政府部门进行攻击的方式，重新启动了勒索软件业务。他们承认自己的疏忽导致了执法部门的干预，并计划通过加强基础设施安全性来继续运营。LockBit表示他们的服务器因运行过时的PHP版本而被执法部门入侵，他们计划升级安全措施，并提供合作伙伴不同信任级别的访问权限。这则消息看起来像是在控制损失，并试图恢复受损的声誉。黑客组织遭受了重创，即使他们设法恢复了服务器，合作伙伴们也有充分的理由不信任他们。

详情

黑客团伙利用ScreenConnect漏洞发动攻击

日期: 2024-02-28
标签: 信息技术, ScreenConnect漏洞, CVE-2024-1709, Black Basta

黑客团伙Black Basta和Bl00dy加入了广泛的攻击，针对未修补最高严重性认证绕过漏洞的ScreenConnect服务器。该漏洞（CVE-2024-1709）允许攻击者在暴露在互联网上的服务器上创建管理员帐户，删除所有其他用户，并接管任何易受攻击的实例。自ConnectWise发布安全更新后的第二天，多家网络安全公司发布了漏洞利用的概念验证。CVE-2024-1709自上周以来一直处于活跃利用状态，而CVE-2024-1708也已得到解决。CISA还将CVE-2024-1709添加到其已知被利用漏洞目录中，并要求美国联邦机构在2月29日之前保护其服务器。

详情

美国政府禁止向高风险国家大规模传输个人数据

日期: 2024-02-29
标签: 信息技术, 政府部门, 个人数据

美国总统乔·拜登发布了一项行政命令，禁止将公民的个人数据大规模转移到有关国家。白宫在一份声明中表示，该行政命令还“为这些国家获取美国敏感数据的其他活动提供保障”。这包括敏感信息，例如基因组数据、生物识别数据、个人健康数据、地理位置数据、财务数据和某些类型的个人身份信息 (PII)。美国政府表示，攻击者可以利用这些信息来追踪其公民，并将这些信息传递给数据经纪人和外国情报机构，然后将其用于侵入性监视、诈骗、勒索和其他侵犯隐私的行为。

详情

GitHub默认为公共存储库启用推送保护

日期: 2024-03-01
标签: 信息技术, GitHub

GitHub 默认为所有公共存储库启用推送保护，以防止在推送新代码时意外泄露访问令牌和 API 密钥等机密。GitHub 表示，秘密扫描功能通过发现来自 180 多个服务提供商的 200 多种令牌类型和模式（API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭证等），自动防止秘密泄露。当在公共存储库的任何推送中检测到受支持的机密时，用户可以选择从提交中删除该机密。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2024-02-26 360CERT发布安全周报