报告编号：CERT-R-2024-749

报告来源：360CERT

报告作者：360CERT

更新日期：2024-03-18

0x01   事件导览

本周收录安全热点55项，话题集中在安全漏洞、恶意软件、网络攻击，主要涉及的实体有：Change Healthcare、美国网络安全和基础设施安全局 (CISA)、MarineMax等，主要涉及的黑客组织有：DarkGate、NGC2180、Midnight Blizzard（又名 NOBELIUM）等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

WordPress网站遭受Popup Builder插件漏洞攻击

日期: 2024-03-11
标签: 信息技术, WordPress, CVE-2023-6000

WordPress网站遭到黑客攻击，利用Popup Builder插件旧版本的漏洞，感染了超过3,300个网站。攻击利用的漏洞被跟踪为CVE-2023-6000，是一个跨站脚本（XSS）漏洞，影响Popup Builder 4.2.3及更旧版本。攻击利用这一漏洞感染了超过6,700个网站，显示许多网站管理员没有及时打补丁。最近三周内，Sucuri发现了一场新的攻击活动，针对WordPress插件的相同漏洞，感染了3,329个网站。攻击通过在WordPress管理界面的自定义JavaScript或自定义CSS部分进行感染，并将恶意代码存储在'wp_postmeta'数据库表中。恶意代码的主要功能是作为Popup Builder插件事件的事件处理程序，例如'sgpb-ShouldOpen'、'sgpb-ShouldClose'等。这些攻击的主要目的似乎是将感染网站的访问者重定向到恶意目的地，如钓鱼页面和恶意软件下载站点。

详情

Magnet Goblin利用1-day 漏洞入侵服务器

日期: 2024-03-11
标签: 信息技术, Magnet Goblin

一个名为 Magnet Goblin 的出于经济动机的黑客组织利用各种 1-day 漏洞来破坏面向公众的服务器，并在 Windows 和 Linux 系统上部署自定义恶意软件。1-day 漏洞是指已经发布了补丁的公开披露的漏洞。黑客攻击的部分设备或服务包括 Ivanti Connect Secure（CVE-2023-46805、CVE-2024-21887、CVE-2024-21888、CVE-2024-21893.、Apache ActiveMQ、ConnectWise ScreenConnect、Qlik Sense（CVE -2023-41265、CVE-2023-41266、CVE-2023-48365) 和 Magento (CVE-2022-24086)。

Magnet Goblin 利用这些缺陷使用自定义恶意软件（特别是 NerbianRAT 和 MiniNerbian）以及 WARPWIRE JavaScript 窃取程序的自定义变体来感染服务器。

详情

日本将 PyPI 供应链网络攻击归咎于朝鲜黑客

日期: 2024-03-11
标签: 信息技术, 政府部门, Lazarus Group, PyPI 软件存储库, 供应链攻击

日本网络安全官员警告称，朝鲜 Lazarus Group 黑客团队最近针对 Python 应用程序的 PyPI 软件存储库发动了供应链攻击。威胁参与者上传了名为“pycryptoenv”和“pycryptoconf”等受污染的包，其名称与合法的 Python 加密工具包“pycrypto”类似。被诱骗将恶意软件包下载到 Windows 计算机上的开发人员会感染一种名为 Comebacker 的危险特洛伊木马。日本 CERT表示，“此次确认的恶意 Python 软件包已被下载约 300 至 1,200 次。” “攻击者可能会针对用户的拼写错误来下载恶意软件。

详情

Leather加密货币钱包警告假应用

日期: 2024-03-12
标签: 金融业, Wallet drainers, Leather加密货币钱包

Leather 加密货币钱包的开发者警告称，苹果应用商店中存在一款假冒应用程序，用户报告称该应用程序，窃取了他们的数字资产。Wallet drainers是一些应用程序或恶意脚本，它们会诱骗用户输入秘密密码或执行恶意交易，从而使攻击者能够从用户的钱包中窃取所有数字资产，包括 NFT 和加密货币。Wallet drainers在过去一年中变得越来越普遍，威胁行为者会 侵入 拥有大量关注者的 社交媒体帐户，以推广包含恶意网站的网络钓鱼网站，或取出广告 以吸引访问者访问诱骗用户进入其网站。

详情

新银行木马 CHAVECLOAK 通过网络钓鱼策略瞄准巴西用户

日期: 2024-03-12
标签: 巴西, 信息技术, CHAVECLOAK, 银行木马

巴西用户成为了一个新的银行木马CHAVECLOAK的目标，该木马通过带有PDF附件的钓鱼邮件进行传播。这种复杂的攻击涉及PDF下载ZIP文件，然后利用DLL侧加载技术执行最终的恶意软件。攻击链包括使用合同主题的DocuSign诱饵诱使用户打开PDF文件，其中包含一个按钮，用于阅读和签署文件。实际上，单击按钮会导致从远程链接检索安装程序文件，该链接使用Goo.su URL缩短服务缩短。安装程序中包含一个名为"Lightshot.exe"的可执行文件，该文件利用DLL侧加载加载"Lightshot.dll"，这是CHAVECLOAK恶意软件，用于窃取敏感信息。这包括收集系统元数据并运行检查，以确定受损机器是否位于巴西。

详情

恶意软件活动利用 Popup Builder WordPress 插件感染 3,900 多个网站

日期: 2024-03-13
标签: 信息技术, WordPress

一个新的恶意软件活动正在利用 WordPress 的 Popup Builder 插件中的高严重性安全漏洞来注入恶意 JavaScript 代码。据 Sucuri 称，该活动在过去三周内已感染了 3,900 多个网站。安全研究员 Puja Srivastava在 3 月 7 日的一份报告中表示：“这些攻击是由不到一个月的域名精心策划的，注册日期可以追溯到 2024 年 2 月 12 日。”感染序列涉及利用 CVE-2023-6000，这是 Popup Builder 中的一个安全漏洞，可被利用来创建恶意管理员用户并安装任意插件。

详情

黑客利用 Windows SmartScreen 漏洞投放 DarkGate 恶意软件

日期: 2024-03-14
标签: 信息技术, DarkGate, Windows SmartScreen 漏洞

DarkGate 恶意软件操作发起的新一波攻击利用现已修复的 Windows Defender SmartScreen 漏洞来绕过安全检查并自动安装虚假软件安装程序。SmartScreen 是一项 Windows 安全功能，当用户尝试运行从 Internet 下载的无法识别或可疑文件时，它会显示警告。 被追踪为 CVE-2024-21412 的漏洞是 Windows Defender SmartScreen 漏洞，允许特制的下载文件绕过这些安全警告。攻击者可以通过创建指向远程 SMB 共享上托管的另一个 .url 文件的 Windows Internet 快捷方式（.url 文件）来利用该漏洞，这将导致最终位置的文件自动执行。

详情

PixPirate Android 恶意软件使用新策略隐藏在手机上

日期: 2024-03-14
标签: 信息技术, PixPirate 银行木马

研究人员发现适用于 Android 的最新版本的 PixPirate 银行木马采用了一种新方法，可以隐藏在手机上，同时保持活动状态，即使其滴管应用程序已被删除。PixPirate 是一种新的 Android 恶意软件，由 Cleafy TIR 团队上个月首次记录，针对拉丁美洲银行。IBM 的一份新报告解释说，与恶意软件试图隐藏其图标的标准策略（在 Android 9 及以下版本中可能存在这种策略）相反，PixPirate 不使用启动器图标。这使得恶意软件能够在所有最新的 Android 版本（最高版本 14）中保持隐藏状态。

详情

PixPirate：巧妙隐藏的巴西银行木马病毒

日期: 2024-03-14
标签: 信息技术, 金融业, PixPirate

巴西一款高级银行木马病毒利用了一种新颖的方法来在安卓设备上隐藏自己的存在。名为"PixPirate"的多面手恶意软件专门针对巴西中央银行开发的用于进行银行转账的应用Pix进行利用。Pix成为巴西境内网络犯罪分子的目标，因为尽管只有短短3年的历史，但已经整合到大多数巴西银行的在线平台，并且根据Statista的数据拥有超过1.5亿用户。每个月，Pix处理大约30亿笔交易，总额约为2500亿巴西雷亚尔。PixPirate最新的强大技巧是在安卓设备上巧妙地隐藏自己——没有应用图标，似乎完全没有任何痕迹——尽管谷歌工程师设计了防止这种特定情况发生的保护机制。专家警告称，类似的策略也可能被用于针对美国和欧盟的银行恶意软件。PixPirate的传播方式是通过伪装成银行认证应用的方式传播，通过WhatsApp或短信发送给潜在受害者。点击链接会下载一个下载器，然后提示用户进一步下载一个“更新”版本的伪装应用（即PixPirate的载荷）。一旦舒适地嵌入到安卓手机中，该恶意软件会等待用户打开真正的银行应用。此时，它会立即采取行动，获取用户输入的登录凭据并将其发送到攻击者控制的C2服务器。随着账户访问权限，它会覆盖一个虚假的第二屏幕来欺骗用户。

详情

黑客通过 AWS 和 GitHub 部署 VCURMS 和 STRRAT 木马

日期: 2024-03-14
标签: 信息技术, VCURMS, STRRAT

据观察，新的网络钓鱼活动通过基于 Java 的恶意下载程序传播 VCURMS 和 STRRAT 等远程访问木马 (RAT)。攻击者将恶意软件存储在 Amazon Web Services (AWS) 和 GitHub 等公共服务上，并使用商业保护程序来避免检测到恶意软件。该活动的一个不寻常的方面是 VCURMS 使用 Proton Mail 电子邮件地址（“sacriliage@proton[.]me”）与命令和控制 (C2) 服务器进行通信。攻击链以一封网络钓鱼电子邮件开始，敦促收件人单击按钮来验证付款信息，从而导致下载 AWS 上托管的恶意 JAR 文件（“Payment-Advice.jar”）。执行 JAR 文件会导致检索另外两个 JAR 文件，然后分别运行这两个文件来启动这两个特洛伊木马。

详情

DarkGate恶意软件利用Windows SmartScreen绕过漏洞进行网络钓鱼活动

日期: 2024-03-15
标签: 信息技术, DarkGate, Windows SmartScreen绕过漏洞

DarkGate恶意软件运营商利用一个已修补的Windows SmartScreen绕过漏洞进行网络钓鱼活动，通过分发假冒的微软软件安装程序来传播恶意代码。Trend Micro研究人员发现了一个零日漏洞，被追踪为CVE-2024-21412，这个漏洞可以绕过Internet Shortcut Files安全特性，微软在今年早些时候作为二月份的“补丁星期二”更新的一部分对其进行了修补。不过在此之前，攻击者如Water Hydra就利用它进行了恶意目的的攻击。现在Trend Micro研究人员发现，DarkGate运营商在一月中旬的一次网络钓鱼活动中利用了这个漏洞，诱使用户点击包含Google DoubleClick数字营销（DDM）开放重定向的PDF文件。这些重定向将受害者引导到托管Microsoft Windows SmartScreen绕过CVE-2024-21412的受损网站，进而导致恶意的微软（.MSI）安装程序。

详情

0x04   数据安全

Okta否认公司数据泄露

日期: 2024-03-12
标签: 信息技术, 数据泄露

Okta否认其公司数据在2023年10月的网络攻击后被泄露。2024年3月9日，一名化名“Ddarknotevil”的网络犯罪分子声称要发布一个 Okta 数据库，其中包含在去年的违规事件中被盗的 3,800 名客户的信息。2023 年 9 月，IT 服务管理公司 Okta 遭遇数据泄露，导致 3800 名客户支持用户遭到泄露。泄露的数据包括用户 ID、全名、公司名称、办公室地址、电话号码、电子邮件地址、职位/角色和其他信息。

详情

超过 15,000 个Roku 帐户数据泄露

日期: 2024-03-12
标签: 信息技术, 撞库攻击

2024年3月8日，Roku 披露了一起数据泄露事件，该事件影响了超过 15,000 名客户，原因是黑客账户被用于欺诈性购买硬件和流媒体订阅。攻击者以每个帐户低至 0.5 美元的价格出售被盗帐户，从而允许购买者使用存储的信用卡进行非法购买。一旦帐户遭到破坏，攻击者就可以更改该帐户的信息，包括密码、电子邮件地址和送货地址。

详情

宏碁证实菲律宾员工数据在黑客论坛上泄露

日期: 2024-03-13
标签: 信息技术, 制造业, 菲律宾, 宏碁

宏碁菲律宾公司证实，在黑客论坛上泄露数据后，管理该公司员工出勤数据的第三方供应商遭到攻击，员工数据被盗。宏碁是一家台湾计算机硬件和电子产品制造商。2024年3月12日，一个名为“ph1ns”的攻击者在黑客论坛上发布了一个链接，可以免费下载包含 Acer 员工数据的被盗数据库。攻击者表示没有涉及勒索软件或加密，这只是一次纯粹的数据盗窃攻击。

详情

2023 年GitHub 上泄露了超过 1200 万个身份验证秘密和密钥

日期: 2024-03-13
标签: 信息技术, GitHub

2023 年，GitHub 用户意外暴露了超过 300 万个公共存储库中的 1280 万个身份验证和敏感机密，其中绝大多数在五天后仍然有效。这是GitGuardian网络安全专家的说法 ，他们向那些泄露秘密的人发出了 180 万封免费电子邮件警报，发现只有极小的 1.8% 的人采取了快速行动来纠正错误。暴露的秘密包括帐户密码、API 密钥、TLS/SSL 证书、加密密钥、云服务凭证、OAuth 令牌和其他敏感数据，这些数据可能使外部参与者无限制地访问各种私有资源和服务，从而导致数据泄露和财务损失。2023 年 Sophos 报告强调，凭证泄露 占 上半年记录的所有攻击根本原因的 50%，其次是漏洞利用，这是 23% 案例中的攻击方法。

详情

日产欧洲遭受勒索软件攻击，10万人受影响

日期: 2024-03-15
标签: 制造业, 交通运输, 数据泄露

日产欧洲在2023年12月遭受了勒索软件攻击，大约10万名个人受到影响。日产欧洲是跨国汽车制造商的地区部门，其总部位于日本。公司已启动调查，并通知了澳大利亚和新西兰的网络安全中心。攻击者声称窃取了100GB的信息，包括公司文件和个人信息。日产拒绝支付赎金，但数据仍被泄露。目前，公司已开始通知受影响的个人，包括客户、经销商和现任/前任员工。此次数据泄露还影响了三菱、雷诺、天际线、英菲尼迪、LDV和RAM品牌金融业务的客户。

详情

0x05   网络攻击

NGC2180利用DFKRAT植入程序攻击俄罗斯政府机构

日期: 2024-03-11
标签: 政府部门, NGC2180, APT舆情, DFKRAT植入程序

2023年底，Solar 4RAYS团队作为入侵评估的一部分，发现其中一个行政机构受到了攻击。已经识别出多阶段恶意软件的样本，这些恶意软件在最后阶段会在目标系统上部署植入程序DFKRAT。该恶意软件是为间谍目的而开发的，它允许攻击者从受害者的文件系统中窃取数据等。经过广泛的研究，发现了其他技术上不同的样本，但在2021年至2023年期间被同一组攻击者用于攻击俄语目标。目前，无法将此活动归因于任何已知的分组，因此将其指定为NGC2180。

详情

黑客利用 Ivanti 漏洞攻击CISA

日期: 2024-03-11
标签: 政府部门, 美国网络安全和基础设施安全局 (CISA), Ivanti

美国网络安全和基础设施安全局 (CISA) 在 2 月份遭到黑客攻击。CISA 发言人和了解该事件的美国官员表示，为了应对这一安全漏洞，该机构不得不关闭两个关键系统。被黑客入侵的系统是基础设施保护（IP）网关和化学安全评估工具（CSAT）。CSAT 托管敏感的工业信息，包括高风险化学设施的顶部屏幕工具、站点安全计划和安全漏洞评估。该机构没有提供有关此次攻击的详细信息，也没有将其归因于特定的攻击者。

详情

针对俄罗斯机械工程领域企业的针对性攻击

日期: 2024-03-13
标签: 信息技术, 网络钓鱼电子邮件, APT舆情

2023年10月，一家俄罗斯机械工程企业联系Doctor Web，怀疑其一台计算机上存在恶意软件。专家对这一事件进行了调查，确定受影响的公司遭遇了有针对性的攻击。在这次攻击中，恶意攻击者发送了带有附件的网络钓鱼电子邮件，其中包含负责初始系统感染并在系统中安装其他恶意工具的恶意程序。这次攻击的目的是收集有关员工的敏感信息以及有关公司基础设施和内部网络的数据。此外，检测到数据已从受感染的计算机上传，包括存储在计算机上的文件以及恶意软件运行时拍摄的屏幕截图。

详情

Andariel滥用韩国资产管理解决方案进行攻击

日期: 2024-03-13
标签: 信息技术, APT舆情

AhnLab安全情报中心（ASEC）近日证实，Andariel组织正在对韩国企业进行持续攻击。此次确认的攻击的一个特点是，攻击过程中安装了MeshAgent。MeshAgent是一款远程管理工具，提供多种远程控制功能，因此与其他远程管理工具一样，被攻击者滥用的案例也时有发生。与之前的案例一样，攻击者利用国内资产管理解决方案安装恶意代码，最明显的是AndarLoader和ModeLoader。Andariel组织一直在不断滥用韩国公司的资产管理解决方案，在横向移动过程中传播恶意软件。

详情

新的云攻击在发布前针对加密 CDN Meson

日期: 2024-03-13
标签: 信息技术, CDN Meson

在计划于 3 月 15 日解锁加密代币之前，研究人员已观察到一场恶意活动利用基于区块链的 Meson 服务获取非法收益。 该活动由 Sysdig 威胁研究团队 (TRT) 发现，攻击者使用受感染的云帐户迅速创建 6000 个 Meson 网络节点，为与 Sysdig 基础设施内暴露的服务相关的多个 AWS 用户发出警报。攻击者的作案手法涉及利用 Laveral 应用程序中的 CVE-2021-3129 和 WordPress 中的错误配置来获得对云帐户的初始访问权限。 随后，他们利用自动侦察技术来识别和利用受损用户的权限，在多个区域生成许多 EC2 实例。恶意活动最终导致 meson_cdn 二进制文件的执行，给账户所有者带来了巨大的损失。

详情

伊朗黑客对以色列大学进行供应链攻击

日期: 2024-03-14
标签: 教育行业, Lord Nemesis

伊朗黑客活动分子对以色列大学进行了供应链攻击，最初是入侵当地一家面向学术界的技术供应商的系统。自称为“Lord Nemesis”组织在网上吹嘘他们利用从Rashim软件窃取的凭据，成功侵入了供应商的客户——以色列的大学和学院系统。这次黑客攻击始于2023年11月左右，由于这次网络攻击，这所大学的学生数据很可能会被泄露。Rashim的黑客攻击是基于弱访问控制和不牢固的身份验证检查。Rashim在至少一些客户的系统上保留了一个管理员用户账户。攻击者利用这个管理员账户，通过使用依赖Michlol CRM的VPN，成功访问了许多组织，可能危及了这些机构的安全。

详情

游艇零售商 MarineMax遭受网络攻击

日期: 2024-03-14
标签: 交通运输, 制造业, MarineMax

根据 3 月 12 日向美国证券交易委员会 (SEC) 提交的文件，美国船舶和百万美元游艇零售商 MarineMax 遭遇了“网络安全事件”，导致其运营中断。第三方在未经授权的情况下访问了其部分信息环境。MarineMax表示，尽管在执行遏制措施时发生了中断，但“该事件并未对公司的运营产生重大影响”，并且公司并未在其系统中存储任何可能导致公司安全的敏感数据。

详情

APT28在针对全球的攻击行动中使用新后门MASEPIE

日期: 2024-03-14
标签: 信息技术, MASEPIE, APT舆情

截至2024年3月，X-Force正在追踪多个正在进行的ITG05网络钓鱼行动，其特点是精心制作的诱饵文件，旨在模仿欧洲、南高加索、中亚以及北美和南美的政府和非政府组织(NGO)的真实文件。从2023年11月开始，X-Force观察到ITG05使用“search-ms”URI处理程序引导受害者下载托管在攻击者控制的WebDAV服务器上的恶意软件。据观察，ITG05还提供了MASEPIE，这是一个取代Headlace的新后门，以促进后续行动。除了MASEPIE之外，ITG05还开发了另一个新后门OCEANMAP。X-Force分析表明CREDOMAP的代码基础很可能用于创建OCEANMAP。ITG05选择使用名为STEELHOOK的新简化PowerShell脚本来代替CREDOMAP。

详情

Nemesis Kitten针对以色列学术界的供应链攻击

日期: 2024-03-15
标签: 教育行业, APT舆情

伊朗黑客组织Lord Nemesis（也称为“Nemesis Kitten”）于2023年底出现在网络领域，此前曾宣布打算针对以色列组织。该组织首次取得重大成功是在2023年11月下旬，当时他们声称对入侵以色列领先的学术管理和培训管理软件解决方案提供商Rashim Software负责。据称，Lord Nemesis使用从Rashim入侵事件中获得的凭据渗透到该公司的多个客户，包括众多学术机构。据Lord Nemesis称，他们成功获得了对Rashim基础设施的完全访问权限，并利用此访问权限向Rashim的200多名客户和同事发送了电子邮件。该组织声称在此次入侵期间获得了敏感信息，可能会利用这些信息进行进一步的攻击或向受影响的组织施加压力。

详情

美国阿拉巴马州政府和城市政府遭受网络攻击

日期: 2024-03-15
标签: 政府部门, 阿拉巴马州政府, 伯明翰市政府

美国阿拉巴马州近期遭遇网络干扰，攻击者分别针对州政府和城市政府进行网络攻击，美国阿拉巴马州系统至今仍在努力恢复。州长凯·艾维确认，州系统于3月12日遭受网络攻击，但未发生网络或系统数据被泄露的情况。同样地，伯明翰市于3月6日报告称，网络问题影响了城市系统，包括阻碍了执法部门验证被盗车辆或司机是否有逮捕令的能力。此外，阿拉巴马州政府遭到了匿名苏丹的分布式拒绝服务（DDoS）攻击，该组织是由俄罗斯政府支持的已建立的黑客活动组织。此前，匿名苏丹曾对以色列、欧洲和即时通讯应用Telegram发动过DDoS攻击。

详情

马拉维护照系统遭遇勒索软件攻击后恢复

日期: 2024-03-15
标签: 政府部门, 马拉维政府

马拉维的护照签发系统在遭受勒索软件攻击数周后重新上线。攻击发生近三周后，总统拉扎勒斯·恰克韦拉指出，黑客要求赎金，但政府无意支付，表明这是一次勒索软件攻击。恰克韦拉总统要求执法机构立即展开调查，并表示要绳之以法。移民局发表声明感谢公民的耐心等待，并指出系统是由本地专家团队恢复的。护照印刷将在本周恢复，首先在利隆圭，其他地区将逐渐跟进。

详情

0x06   安全漏洞

微软称俄罗斯黑客入侵其系统并获取源代码

日期: 2024-03-11
标签: 信息技术, Midnight Blizzard（又名 NOBELIUM）

微软表示，俄罗斯“午夜暴雪”黑客组织最近使用 1 月份网络攻击期间窃取的身份验证机密访问了其部分内部系统和源代码存储库。一月份，微软披露 Midnight Blizzard（又名 NOBELIUM）在进行 允许访问遗留非生产测试租户帐户的密码喷射攻击后，破坏了公司电子邮件服务器。该测试帐户没有启用多重身份验证，从而使威胁行为者能够获得入侵微软系统的权限。此测试租户帐户还可以访问 OAuth 应用程序，该应用程序具有对 Microsoft 企业环境的更高访问权限，允许威胁行为者访问和窃取企业邮箱中的数据，包括 Microsoft 领导团队的成员以及网络安全和法律部门的员工。

详情

15万台Fortinet设备存在严重漏洞

日期: 2024-03-11
标签: 信息技术, CVE-2024-21762, 安全网关

公开网络上的扫描显示，约有15万台Fortinet FortiOS和FortiProxy安全网关系统存在CVE-2024-21762漏洞，这是一个严重的安全问题，允许在没有身份验证的情况下执行代码。美国网络安全局CISA上个月证实，攻击者正在积极利用这个漏洞，并将其列入已知被利用漏洞（KEV）目录。据Shadowserver基金会称，全球范围内有近15万台受影响的设备。据Shadowserver数据显示，大部分受影响的设备超过2.4万台位于美国，其次是印度、巴西和加拿大。目前关于积极利用CVE-2024-21762的威胁行为者的详细信息有限，因为公开平台没有显示此类活动，或者该漏洞正在被更复杂的对手在特定攻击中利用。公司可以通过运行由offensive security公司BishopFox的研究人员开发的简单Python脚本来检查其SSL VPN系统是否存在该问题。

详情

QNAP NAS软件产品存在安全漏洞

日期: 2024-03-11
标签: 信息技术, QNAP NAS软件

QNAP警告其NAS软件产品中存在漏洞，包括QTS、QuTS hero、QuTScloud和myQNAPcloud，可能允许攻击者访问设备。该台湾网络附加存储（NAS）设备制造商披露了三个漏洞，可能导致身份验证绕过、命令注入和SQL注入。最后两个漏洞需要攻击者在目标系统上进行身份验证，这显著降低了风险，而第一个（CVE-2024-21899）可以在未经身份验证的情况下远程执行，并被标记为“低复杂性”。

详情

研究人员揭露了可用于网络攻击的 Microsoft SCCM 错误配置

日期: 2024-03-12
标签: 信息技术, Active Directory 环境

安全研究人员基于 Microsoft 配置管理器的不当设置，创建了攻击和防御技术的知识库存储库，这可能允许攻击者执行有效负载或成为域控制器。配置管理器 (MCM) 以前称为系统中心配置管理器（SCCM、ConfigMgr），存在于许多 Active Directory 环境中，帮助管理员管理 Windows 网络上的服务器和工作站。在 SO-CON 安全会议上 ，SpectreOps 研究人员 Chris Thompson 和 Duane Michael 宣布发布 Misconfiguration Manager，这是一个基于错误 MCM 配置进行攻击的存储库，还为防御者提供资源以强化其安全立场

详情

WordPress网站遭受Popup Builder插件漏洞攻击

日期: 2024-03-12
标签: 信息技术, Popup Builder插件

威胁行为者正在利用旧版本 Popup Builder 插件中的漏洞（编号为 CVE-2023-6000）来攻击 WordPress 网站。研究人员观察到来自新恶意软件活动的攻击激增，该活动同样利用了 Popup Builder 中的相同漏洞。据 PublicWWW 称，威胁行为者已经入侵了 3,300 多个网站。 Sucuri 的 SiteCheck 远程恶意软件扫描程序 已在 1,170 多个站点上检测到 Balada Injector 恶意软件。

详情

黑客组织Magnet Goblin在短短几个小时内就利用了 Ivanti 1-Day Bug

日期: 2024-03-13
标签: 信息技术, Ivanti

黑客组织Magnet Goblin于公开披露漏洞后的第二天就部署了一天的漏洞利用。在近几个月曝光的五个漏洞中，CVE-2024-21887 最为突出。 Ivanti Connect Secure 和 Policy Secure 网关中的命令注入漏洞在 CVSS 评分中被评为“严重”9.1 级（满分 10 分）。

详情

Fortinet 警告端点管理软件存在严重 RCE 漏洞

日期: 2024-03-14
标签: 信息技术, FortiClient

Fortinet 修补了其 FortiClient 企业管理服务器 (EMS) 软件中的一个严重漏洞，该漏洞允许攻击者在易受攻击的服务器上获得远程代码执行 (RCE)。FortiClient EMS 使管理员能够管理连接到企业网络的端点，从而允许他们部署 FortiClient 软件并在 Windows 设备上分配安全配置文件。该安全漏洞 ( CVE-2023-48788 ) 是 DB2 Administration Server (DAS) 组件中的 SQL 注入，由英国国家网络安全中心 (NCSC) 和 Fortinet 开发人员 Thiago Santana 发现并报告。它影响 FortiClient EMS 版本 7.0（7.0.1 至 7.0.10）和 7.2（7.2.0 至 7.2.2），并且允许未经身份验证的攻击者在未修补的服务器上以系统权限在低复杂性攻击中获得 RCE需要用户交互。

详情

Kubernetes RCE 漏洞允许完全接管 Windows 节点

日期: 2024-03-14
标签: 信息技术, Kubernetes, CVE-2023-5528

Kubernetes容器管理系统存在安全漏洞，允许攻击者在Windows端点上以系统特权远程执行代码，潜在导致Kubernetes集群内所有Windows节点被完全接管。该漏洞编号为CVE-2023-5528，CVSS评分为7.2，由Akamai安全研究员Tomer Peled发现。攻击者利用Kubernetes卷的漏洞，在Windows节点上创建pod和持久卷，从而提升至节点的管理员特权。受影响范围包括使用in-tree存储插件的默认安装的Kubernetes早于1.28.4版本的集群。建议尽快应用补丁以修复该漏洞。

详情

可导致 Windows 节点接管的 Kubernetes 漏洞分析

日期: 2024-03-15
标签: 信息技术, Kubernetes

Kubernetes存在高危漏洞，攻击者可在特定情况下利用恶意YAML文件实现远程代码执行。CVE-2023-5528影响所有kubelet版本，包括1.8.0及之后版本，已在2023年11月14日发布的更新中得到修复。漏洞源于对Windows节点的权限提升，仅影响使用in-tree存储插件的Kubernetes集群。成功利用漏洞可能导致对所有Windows节点的完全接管。涉及Kubernetes卷功能，特别是本地卷类型的不安全函数调用和用户输入未经过滤。

详情

Fortinet修补了FortiClient EMS中的关键远程代码执行漏洞

日期: 2024-03-15
标签: 信息技术, CVE-2024-48788, FortiClient EMS

Fortinet已修补了其FortiClient Enterprise Management Server (EMS)中的一个关键远程代码执行（RCE）漏洞，用于管理终端设备。该漏洞（CVE-2024-48788）源自服务器中直接附加存储组件的SQL注入错误，使未经身份验证的攻击者能够使用特制请求在受影响的系统上以系统管理员特权执行任意代码和命令。漏洞被评为CVSS评分中的9.3，国家漏洞数据库将其分配了接近最高分的9.8。建议使用受影响版本的组织升级到新修补的FortiClientEMS 7.2.3或更高版本，或者FortiClientEMS 7.0.11或更高版本。Fortinet向其FortiClientEMS开发团队的研究人员和英国国家网络安全中心（NCSC）授予了这一漏洞的功劳。此外，攻击者经常针对Fortinet设备进行攻击，因此组织需要尽快解决漏洞。

详情

思科IOS RX软件多个高危漏洞修复

日期: 2024-03-15
标签: 信息技术, IOS RX软件, 思科8000系列路由器

思科公司解决了IOS RX软件中的多个漏洞，其中包括三个高危漏洞，可能被利用来提升权限并触发拒绝服务（DoS）攻击。

第一个漏洞CVE-2024-20320是思科IOS XR软件SSH特权提升漏洞。该问题存在于思科IOS XR软件的SSH客户端功能中，适用于思科8000系列路由器和思科网络融合系统（NCS）540系列和5700系列路由器。经过认证的本地攻击者可以利用此漏洞在受影响的设备上提升权限。

第二个高危漏洞CVE-2024-20318位于思科IOS XR软件的二层以太网服务中。未经身份验证的邻近攻击者可以触发该漏洞，导致线卡网络处理器重置，从而导致拒绝服务（DoS）攻击。

第三个高危漏洞CVE-2024-20327是PPP over Ethernet中的DoS漏洞。

详情

0x07   安全分析

利用Dropbox基础设施的网络钓鱼攻击成功绕过多因素认证

日期: 2024-03-11
标签: 信息技术, 多因素认证

Darktrace的最新研究显示，一种新型的网络钓鱼攻击利用了正当的Dropbox基础设施，成功绕过了多因素认证（MFA）协议。攻击者正在变得擅长规避标准安全协议，包括电子邮件检测工具和MFA。攻击者常常利用用户对特定服务的信任来模仿他们正常收到的电子邮件，但在这种情况下，威胁行为者进一步利用了正当的Dropbox云存储平台进行网络钓鱼攻击。攻击者于2024年1月25日针对Darktrace的一名客户进行攻击，该组织的SaaS环境中有16名内部用户收到了一封来自‘no-reply@dropbox[.]com’的电子邮件。这是Dropbox文件存储服务使用的合法电子邮件地址。邮件中包含一个链接，将用户引导至Dropbox上托管的一个PDF文件，文件名似乎是该组织的合作伙伴。这个PDF文件包含一个可疑的链接，指向一个以前从未在客户环境中见过的域名‘mmv-security[.]top’。研究人员指出，很难区分恶意或良性电子邮件与正当服务（如Dropbox）使用的自动邮件。因此，这种方法在规避电子邮件安全工具并说服目标点击恶意链接方面非常有效。

详情

谷歌的 Gemini AI 容易受到内容操纵

日期: 2024-03-13
标签: 信息技术, Google Gemini

尽管有所有防护栏和安全协议，但 Google 的 Gemini 大语言模型 (LLM) 与其同类模型一样容易受到攻击，这些攻击可能导致其生成有害内容、泄露敏感数据并执行恶意操作。Google Gemini（以前称为 Bard）是一种多模式人工智能工具，可以处理和生成文本、图像、音频、视频和代码。在一项新的研究中，HiddenLayer 的研究人员发现他们可以操纵谷歌的人工智能技术来生成选举错误信息，详细解释如何热连汽车，并导致其泄漏系统提示。

详情

Tor 的新 WebTunnel 桥模仿 HTTPS 流量来逃避审查

日期: 2024-03-13
标签: 信息技术, WebTunnel, HTTPS 流量

Tor 项目正式推出了 WebTunnel，这是一种新的桥接类型，专门设计用于通过隐藏明显的连接来帮助绕过针对 Tor 网络的审查制度。WebTunnel 是受 HTTPT 抗探测代理启发的抗审查可插拔传输，它采用了不同的方法。通过确保流量与 HTTPS 加密的网络流量混合，阻止 Tor 连接变得更加困难。由于阻止 HTTPS 也会阻止绝大多数与 Web 服务器的连接，因此 WebTunnel 连接也将被允许，从而通过协议允许列表和默认拒绝策略有效地规避网络环境中的审查。

详情

四分之三的网络事件受害者是小型企业

日期: 2024-03-13
标签: 信息技术, 网络事件

根据 Sophos 的一份新报告，2023 年超过四分之三的网络事件影响了小型企业，其中勒索软件对这些公司的影响最大。 LockBit 组织是 Sophos Incident Response 去年处理的小型企业勒索软件事件数量最多的组织，占 27.59%。LockBit 感染率明显高于第二高的群体：Akira (15.52%)、BlackCat (13.79%) 和 Play (10.34%)。该报告还强调了随着 2023 年的进展，勒索软件运营商所使用的不断变化的策略。这包括增加远程加密的使用，攻击者利用组织网络上的非托管设备尝试通过网络文件访问来加密其他系统上的文件。

详情

新型 PoC 攻击导致ChatGPT泄密

日期: 2024-03-14
标签: 信息技术, 谷歌DeepMind, Open AI

谷歌DeepMind、Open AI、苏黎世联邦理工学院、麦吉尔大学和华盛顿大学的研究团队开发了一种新的攻击方法，可以从专有的大型语言模型（LLM）中提取关键的架构信息，如ChatGPT和Google PaLM-2。这项研究展示了对手如何从LLM启用的聊天机器人中提取原本隐藏的数据，以便完全复制或窃取其功能。

详情

阿联酋网络安全报告：15.5万远程可访问资产易受攻击

日期: 2024-03-15
标签: 信息技术, 政府部门, 智慧城市项目, 阿联酋

阿联酋迅速采用信息技术和运营技术，显著增加了其攻击面，近15.5万个最近发现的远程可访问资产因配置错误和不安全应用程序而容易受到攻击。这些易受攻击的资产包括远程访问点、网络管理接口、不安全的网络设备和开放文件共享系统。根据最新发布的《2024年阿联酋网络安全报告》，容易受攻击的公共应用程序占攻击面的比例较小，而内部威胁占比增加。为了加强防御，政策制定者、企业和公民需要共同努力加固国家基础设施，提高整体网络安全。

详情

0x08   行业动向

YouTube取消未登录用户推荐视频

日期: 2024-03-11
标签: 信息技术, YouTube

YouTube现在不再向未登录Google账户或使用无痕模式的用户显示推荐视频，这让人们担心他们被迫总是要登录该服务。这一变化正在逐步推出，导致YouTube首页变得简单，没有任何视频或观看建议。用户在无痕模式下打开YouTube时会看到一条信息，上面写着“开始观看视频，帮助我们构建您喜爱的视频推荐列表”，不再推荐视频。

详情

Tuta Mail 添加了新的抗量子加密技术来保护电子邮件

日期: 2024-03-12
标签: 信息技术, 抗量子加密技术

2024年3月11日，Tuta Mail 宣布推出 TutaCrypt，这是一种新的后量子加密协议，可保护通信免受强大且预期的解密攻击。 Tuta Mail 是一项 开源端到端 加密电子邮件服务，致力于 为政府开发 后量子安全云存储和文件共享解决方案。TutaCrypt 结合了用于后量子密钥封装的 CRYSTALS-Kyber 和用于 Elliptic-Curve-Diffie-Hellmann 密钥交换的 X25519。与Signal 和 Apple (iMessage)等该领域的其他公司一样 ，Tuta 选择了混合模型方法，将最先进的量子安全算法与传统算法相结合，以提供针对当前和未来威胁的全面保护。

详情

非营利组织推出Tazama开源项目

日期: 2024-03-12
标签: 信息技术, 金融业, Tazama开源项目

一家非营利组织推出了第一个开源平台，旨在为非洲以及亚洲和中东部分地区的金融系统提供先进的反欺诈功能。Tazama开源项目是一种实时金融交易监控软件，可以由数字金融服务提供商部署，用于检测和阻止欺诈交易，并保护消费者账户。该项目由Linux基金会慈善基金和比尔及梅琳达·盖茨基金会资助，已在约旦和南非完成了alpha试点项目，并计划扩大部署。该项目已与西非国家中央银行（BCEAO）和菲律宾农村银行合作。

详情

美国国会投票通过禁止TikTok法案

日期: 2024-03-15
标签: 信息技术, 文化传播, 字节跳动（ByteDance）, 字节跳动

继上周众议院能源委员会通过禁止热门社交媒体应用程序 TikTok 后，国会于周三投票支持禁止该应用程序。该法案要求任何由“外国对手”控制的公司必须在 180 天内剥离。该法案提议将 TikTok 剥离给一家美国公司。如果字节跳动拒绝出售，美国的应用程序商店和网络托管服务将被禁止提供该应用程序，公司将因违规而面临罚款。

详情

0x09   勒索攻击

BianLian黑客利用PowerShell实施攻击

日期: 2024-03-12
标签: 信息技术, PowerShell,, BianLian

GuidePoint的研究和情报团队（GRIT）最近发现，BianLian威胁行为者已经转向只进行勒索活动。2023年1月，Avast发布了BianLian的解密工具后，该组织改变了其策略。在最近的一次事件响应中，GRIT与GuidePoint的DFIR团队合作，揭露了BianLian的作案方式的新细节。威胁行为者利用TeamCity服务器的漏洞获得了对受害者环境的初始访问，并利用BianLian GO后门的PowerShell实现执行了一系列恶意命令。入侵始于利用已知的TeamCity漏洞CVE-2024-27198和CVE-2023-42793，使威胁行为者渗透到受害者系统中。一旦进入系统，攻击者使用Windows命令浏览网络环境，最终破坏了两个构建服务器。

详情

EquiLend确认员工数据在勒索软件攻击中被盗

日期: 2024-03-12
标签: 信息技术, 金融业, 金融科技, EquiLend Holdings

EquiLend Holdings是一家总部位于纽约的证券借贷平台，最近确认他们的员工数据在一月份的勒索软件攻击中被盗。这家金融科技公司在1月22日被迫关闭部分系统以遏制被盗事件。虽然EquiLend没有立即披露事件的性质，但LockBit勒索软件声称对此次攻击负责。EquiLend在2月2日通过专门页面披露，一月份的被盗事件是由一起勒索软件攻击引起的。公司表示，虽然尚未发现客户交易数据被访问或外泄的证据，但未知攻击者确实窃取了员工的个人身份信息。EquiLend为受影响的员工提供了两年免费的身份盗窃保护服务。该公司成立于2001年，由包括美国银行美林、贝莱德、瑞士信贷、高盛、摩根大通、摩根士丹利、加拿大国家银行、北方信托、州街银行和瑞银在内的十家全球银行和经纪商共同建立。目前拥有330多名员工。

详情

0x0a   其他事件

美国医疗公司UnitedHealth 恢复部分 Change Healthcare 药房服务

日期: 2024-03-11
标签: 卫生行业, Change Healthcare

2024 年 2 月 21 日，美国联合健康集团 (UnitedHealth Group) 遭受 ALPHV/BlackCat 勒索软件攻击，服务器据称被加密，导致 大范围中断 ，公司关闭了 IT 系统。United Health Group (UHG) 是美国最大的健康保险公司，他们表示，预计关键药房和支付系统将在 3 月 18 日之前恢复并可用。

详情

俄罗斯对外情报局（SVR）指控美国密谋干预总统选举

日期: 2024-03-13
标签: 政府部门, 总统选举

俄罗斯对外情报局（SVR）声称，美国正密谋干预即将于本月举行的总统选举。据路透社报道，SVR 称，美国民族国家行为者计划对俄罗斯投票系统发起网络攻击，以扰乱运行并干扰计票过程。另一方面，俄罗斯政府否认对即将于11月举行的美国总统选举进行任何干预。

详情

韩国公民因网络间谍罪在俄罗斯被拘留

日期: 2024-03-13
标签: 政府部门, 信息技术, 网络间谍罪

俄罗斯当局以网络间谍罪名逮捕了一名韩国公民，这是首起涉及韩国公民的案件。在调查一起间谍案期间，一名韩国公民白元淳在符拉迪沃斯托克被认出并被拘留，并根据法院命令被拘留。他被从符拉迪沃斯托克转移到莫斯科接受进一步调查。俄罗斯情报部门认为白元淳正在向外国情报机构移交机密信息。

详情

LockBit 勒索组织成员被判四年监禁

日期: 2024-03-14
标签: 信息技术, LockBit 勒索软件

俄罗斯裔加拿大网络犯罪分子 Mikhail Vasiliev 因参与 LockBit 勒索软件操作而被安大略省法院判处四年监禁。Vasiliev 于 2022 年 11 月被捕，并于 2024 年 2 月承认八项指控，包括网络勒索、恶作剧和武器犯罪。Vasiliev 据信参与了该勒索软件团伙实施的 1000 起网络攻击，导致赎金要求超过 1 亿美元。2021 年至 2022 年间，Vasiliev 导致系统瘫痪的受害者中有许多是萨斯喀彻温省、蒙特利尔、纽芬兰和加拿大其他州的企业。

详情

美国FCC推出IoT产品网络安全标签计划

日期: 2024-03-15
标签: 政府部门, FCC

美国联邦通信委员会（FCC）将推出一项面向物联网（IoT）产品的自愿性网络安全标签计划，供消费者参考。在2024年3月14日的公开会议上，委员会一致通过了该计划，允许IoT制造商在符合国家标准与技术研究所（NIST）规定的最低标准的产品上贴上美国网络安全信任认证标志。这些标志以及相关的QR码将链接到产品注册表，提供更详细的安全信息，帮助消费者做出更明智的购买决策，同时也有助于企业区别其产品与竞争对手。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2024-03-11 360CERT发布安全周报