报告编号：CERT-R-2024-762

报告来源：360CERT

报告作者：360CERT

更新日期：2024-03-26

0x01   事件导览

本周收录安全热点53项，话题集中在安全分析、恶意软件、安全漏洞，主要涉及的实体有：GitHub、AT&T、Firebase等，主要涉及的黑客组织有：APT-C-55（Kimsuky）、APT28（Fancy Bear）等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

| 自 2016 年以来，美国国防部收到 50,000 份漏洞报告

|自 2016 年以来，美国国防部收到 50,000 份漏洞报告|

||

0x03   恶意软件

GitHub存储库提供RisePro信息窃取软件

日期: 2024-03-18
标签: 信息技术, GitHub, RisePro

研究人员发现了一些GitHub存储库，提供破解软件，用于传送一种名为RisePro的信息窃取程序。这一名为gitgub的活动包括17个存储库，涉及11个不同的账户。这些存储库已被微软旗下的子公司下架。存储库中包含README.md文件，承诺提供免费破解软件，并添加了四个绿色Unicode圆圈，伪装成自动构建状态。这些存储库指向包含RAR归档文件的下载链接，需要受害者提供README.md文件中提到的密码。RAR归档文件包含一个安装程序文件，解压后会释放一个大小为699 MB的可执行文件，用于干扰IDA Pro等分析工具。实际文件内容仅为3.43 MB，作为一个加载器注入RisePro（版本1.6）到AppLaunch.exe或RegAsm.exe中。RisePro最早在2022年末引起关注，当时使用一种名为PrivateLoader的按安装次数付费的恶意软件下载服务进行传播。该程序使用C++编写，旨在收集信息。

详情

新的恶意软件活动利用HTML 走私技术

日期: 2024-03-19
标签: 信息技术, HTML 走私技术

Netskope 威胁实验室研究员 Jan Michael Alcantara发现了一种新的恶意软件活动，该活动利用伪造的 Google 站点页面和 HTML 走私来分发名为AZORult的商业恶意软件，以促进信息盗窃。AZORult 也称为 PuffStealer 和 Ruzalto，是一种信息窃取程序，首次在 2016 年左右被发现。它通常通过网络钓鱼和恶意垃圾邮件活动、盗版软件或媒体的木马安装程序以及恶意广告进行分发。它使用一种非正统的 HTML 走私技术，其中恶意负载嵌入到外部网站上托管的单独 JSON 文件中。网络钓鱼活动尚未归因于特定的威胁行为者或组织。该网络安全公司称这种行为本质上很普遍，其目的是收集敏感数据并在地下论坛上出售。

详情

新的 DEEP#GOSU 恶意软件活动利用高级策略瞄准 Windows 用户

日期: 2024-03-19
标签: 信息技术, VBScript 恶意软件

研究人员观察到一种新的精心设计的攻击活动，利用 PowerShell 和 VBScript 恶意软件来感染 Windows 系统并获取敏感信息。网络安全公司 Securonix 将该活动称为“DEEP#GOSU”，表示该活动可能与朝鲜国家资助的名为Kimsuky的组织有关。 DEEP#GOSU中使用的恶意软件有效负载代表了一种复杂的多阶段威胁，旨在在 Windows 系统上秘密运行。它的功能包括键盘记录、剪贴板监控、动态有效负载执行和数据泄露，以及使用 RAT 软件进行完全远程访问、计划任务以及使用作业自动执行 PowerShell 脚本的持久性。

详情

RISEPRO 信息窃取程序针对 GITHUB 用户

日期: 2024-03-19
标签: 信息技术, RISEPRO

G-Data 研究人员发现至少 13 个此类 Github 存储库托管着旨在提供 RisePro 信息窃取程序的破解软件。专家注意到，该活动被其运营者命名为“gitgub”。研究人员根据 Arstechnica关于恶意 Github 存储库的故事开始了调查 。专家们创建了一个威胁追踪工具，使他们能够识别参与此活动的存储库。研究人员注意到，所有存储库都是新创建的存储库，导致相同的下载链接。

详情

新型 AcidPour 数据擦除器针对 Linux x86 网络设备

日期: 2024-03-20
标签: 信息技术, Linux x86 网络设备

一种名为 AcidPour 的新型破坏性恶意软件被发现，该恶意软件具有数据擦除功能，针对 Linux x86 IoT 和网络设备。数据擦除器是一类恶意软件，旨在进行破坏性攻击，删除目标设备上的文件和数据。此类恶意软件通常用于出于政治原因破坏组织的运营，或作为对 更大规模攻击的转移注意力。SentinelLabs 安全研究员 Tom Hegel 发现的新恶意软件 AcidPour 被认为是 AcidRain 数据擦除器的变种。 AcidRain 是一种数据擦除恶意软件，旨在擦除路由器和调制解调器上的文件。该恶意软件被用于 针对卫星通信提供商 Viasat 的网络攻击，影响了乌克兰和欧洲的服务可用性。

详情

Kimsuky向韩国公共机构分发伪装成安装程序的恶意软件

日期: 2024-03-21
标签: 信息技术, Kimsuky, APT舆情

安实验室安全情报中心(ASEC)最近证实，Kimsuky组织向韩国公共机构分发了伪装成安装程序的恶意软件。所涉及的恶意软件是一个植入程序，它会创建Endoor后门恶意软件。虽然实际攻击中使用的植入式恶意软件的历史尚未得到证实，但使用植入式恶意软件生成的后门恶意软件的攻击案例在与植入式恶意软件的收集日期相似的时间得到了确认。攻击者使用后门下载额外的恶意软件或安装窃取屏幕截图的恶意软件。此外，Endor不断被用于攻击，过去曾与通过鱼叉式网络钓鱼攻击传播的Nikidoor一起使用。

详情

新型 BunnyLoader 恶意软件变种具备模块化攻击功能

日期: 2024-03-21
标签: 信息技术, BunnyLoader

网络安全研究人员发现了一种名为BunnyLoader的窃取程序和恶意软件加载器的更新变种，该变种将其各种功能模块化并允许其逃避检测。BunnyLoader 正在动态开发恶意软件，能够窃取信息、凭证和加密货币，以及向受害者发送其他恶意软件。新版本被称为 BunnyLoader 3.0，由其开发商 Player（或 Player_Bunny）于 2024 年 2 月 11 日发布，重写了数据盗窃模块、减少了有效载荷大小并增强了键盘记录功能。BunnyLoader于 2023 年 9 月首次由 Zscaler ThreatLabz 记录，描述为恶意软件即服务 (MaaS)，旨在收集凭证并协助加密货币盗窃。

详情

AndroxGh0st 恶意软件瞄准 Laravel 应用程序窃取云凭证

日期: 2024-03-22
标签: 信息技术, AndroxGh0st

网络安全研究人员揭示了一种名为AndroxGh0st的工具，该工具用于攻击 Laravel 应用程序并窃取敏感数据。它的工作原理是扫描 .env 文件并从中提取重要信息，从而揭示与 AWS 和 Twilio 相关的登录详细信息。 它被归类为 SMTP 破解程序，使用各种策略来利用 SMTP，例如凭证利用、Web shell 部署和漏洞扫描。AndroxGh0st 自 2022 年以来就已在野外被发现，威胁行为者利用它访问 Laravel 环境文件并窃取各种基于云的应用程序（如 Amazon Web Services (AWS)、SendGrid 和 Twilio）的凭据。据了解，涉及 Python 恶意软件的攻击链利用 Apache HTTP Server、Laravel Framework 和 PHPUnit 中已知的安全漏洞来获取初始访问权限以及实现权限提升和持久性。

详情

Evasive Sign1 恶意软件活动感染了 39,000 个 WordPress 网站

日期: 2024-03-22
标签: 信息技术, Evasive Sign1, Sign1

过去六个月中，一个名为 Sign1 的未知恶意软件活动感染了超过 39,000 个网站，导致访问者看到不必要的重定向和弹出广告。威胁行为者将恶意软件注入 WordPress 网站上的自定义 HTML 小部件和合法插件中，以注入恶意 Sign1 脚本，而不是修改实际的 WordPress 文件。网站安全公司 Sucuri 在客户的网站随机向访问者显示弹出式广告后发现了这一活动。

详情

0x04   数据安全

AT&T否认涉及7100万人的数据泄露来源于其系统

日期: 2024-03-18
标签: 信息技术, AT&T, 数据泄露

AT&T表示，影响7100万人的大量数据并非源自其系统，而是一名黑客在网络犯罪论坛上泄露的，并声称这些数据是在2021年公司遭受入侵时被盗取的。虽然BleepingComputer未能确认数据库中所有数据的真实性，但已确认其中一些条目是准确的，包括那些数据不公开可供抓取的条目。据称这些数据来自一起2021年AT&T数据泄露事件，一名威胁行为者ShinyHunters试图在RaidForums数据窃取论坛上以20万美元的起始价格和每次递增3万美元的报价出售。该黑客表示愿意立即以100万美元的价格出售。

详情

爱尔兰HSE门户意外暴露百万公民个人健康信息

日期: 2024-03-18
标签: 卫生行业, COVID

爱尔兰卫生服务执行局（HSE）在COVID大流行期间意外暴露了超过一百万名爱尔兰公民的个人健康信息和个人细节，根据AppOmni安全研究人员的说法。这些信息包括个人的疫苗接种状态和接种类型，任何在2021年底之前注册到HSE COVID疫苗接种门户的人都可以访问到这些信息。门户的配置错误还导致内部HSE文件公开可见。这些暴露的健康和个人信息包括：全名、疫苗接种预约日期（过去/现在/未来）、接种预约地点、接种管理站点（疫苗注射方式）、接种疫苗原因、拒绝接种疫苗的原因、疫苗类型（品牌/批号/剂量）。Costello在2021年12月发现了这个问题，HSE证实已于2022年1月17日修复。没有证据表明未经授权的个人恶意访问了这些信息。

详情

黑客泄露了 70,000,000 多条据称从 AT&T 窃取的记录

日期: 2024-03-19
标签: 信息技术, AT&T

vx-underground 研究人员报告称，来自 AT&T 某个未指定部门的超过 70,000,000 条记录被泄露给 Breached。研究人员证实泄露的数据是合法的，但目前尚不清楚这些信息是否是从与 AT&T 相关的第三方组织窃取的。卖家以 MajorNelson 的名义在网上声称，这些数据是 @ShinyHunters于 2021 年从一个未透露姓名的 AT&T 部门获得的。该档案包含 73.481.539 条记录。

详情

苏格兰国家医疗服务体系 (NHS) 遭遇数据泄露

日期: 2024-03-19
标签: 卫生行业, 苏格兰国家医疗服务体系 (NHS) 

2024年3月15日，苏格兰国家医疗服务体系 (NHS) 信托机构警告称，在受到威胁行为者破坏后，服务可能会中断，数据可能会泄露。目前尚不清楚威胁行为者的最终目标是什么，也不清楚违规的规模有多大。

详情

E-Root 市场管理员因出售 35 万份被盗凭证被判处 42 个月监禁

日期: 2024-03-20
标签: 信息技术, 计算机欺诈

美国司法部宣布，一名 31 岁的摩尔多瓦国民因经营一个名为 E-Root Marketplace 的非法市场而在美国被判处 42 个月监禁，该市场出售数十万个受损凭证。桑杜·鲍里斯·迪亚科努被指控合谋实施访问设备和计算机欺诈以及持有 15 台或以上未经授权的访问设备。他于 2023 年 12 月 1 日认罪。E-Root 市场在一个广泛分布的网络中运营，并采取措施隐藏其管理员、买家和卖家的身份。买家可以在 E-Root 上搜索受损的计算机凭证，例如用户名和密码，这些凭证允许买家访问远程计算机，以窃取私人信息或操纵远程计算机的内容。

详情

Firebase 实例配置错误，泄露 1900 万个明文密码

日期: 2024-03-20
标签: 信息技术, Firebase

三名网络安全研究人员发现，由于 Firebase（Google 用于托管数据库、云计算和应用程序开发的平台）实例配置错误，近 1900 万个明文密码被暴露在公共互联网上。该三人扫描了超过 500 万个域名，发现 916 个组织的网站没有启用安全规则或安全规则设置不正确。发现超过 1.25 亿条敏感用户记录，包括电子邮件、姓名、密码、电话号码以及包含银行详细信息的账单信息。

详情

0x05   网络攻击

APT28利用欧洲和亚洲政府组织进行钓鱼活动

日期: 2024-03-18
标签: 政府部门, APT28（Fancy Bear）, APT28, 钓鱼活动

俄罗斯APT28威胁行动组织涉及多起钓鱼活动，伪装成欧洲、南高加索、中亚以及北美和南美的政府和非政府组织，使用诱饵文档进行多起持续中的攻击。IBM X-Force报告指出，这些诱饵包括内部和公开文档，可能还有与金融、关键基础设施、高管会议、网络安全、海事安全、医疗保健、商业和国防工业生产相关的虚构文档。该威胁行动组织被追踪并命名为ITG05，也被称为Blue Athena、BlueDelta、Fancy Bear、Fighting Ursa、Forest Blizzard（前身为Strontium）、FROZENLAKE、Iron Twilight、Pawn Storm、Sednit、Sofacy、TA422和UAC-028。

详情

GhostRace攻击利用speculative execution机制绕过操作系统检查

日期: 2024-03-18
标签: 信息技术, GhostRace攻击

研究人员在IBM和VU阿姆斯特丹大学开发了一种新的攻击，利用现代计算机处理器中的 speculative execution 机制来绕过操作系统中针对所谓的 race condition 的检查。攻击利用了研究人员发现的影响英特尔、AMD、ARM和IBM处理器的漏洞（CVE-2024-2193）。它适用于任何实现同步原语（或针对 race condition 的集成控制）的操作系统、虚拟化程序和软件。研究人员将他们的攻击称为 "GhostRace"，并在本周发布了一篇技术论文来描述它。虽然操作系统供应商已经实现了所谓的 speculative primitives 来控制和同步对共享资源的访问，但IBM和VU阿姆斯特丹的研究人员发现了一种绕过这些机制的方法，即通过瞄准现代处理器中的 speculative execution 或乱序处理功能。

详情

ShadowSyndicate利用aiohttp漏洞进行攻击

日期: 2024-03-18
标签: 信息技术, ShadowSyndicate

据观察，勒索软件攻击者“ShadowSyndicate”正在扫描易受 CVE-2024-23334（aiohttp Python 库中的目录遍历漏洞）影响的服务器。Aiohttp 是一个构建在 Python 异步 I/O 框架 Asyncio 之上的开源库，用于处理大量并发 HTTP 请求，而无需传统的基于线程的网络。2024 年 1 月 28 日，aiohttp 发布了 版本 3.9.2，解决了 CVE-2024-23334，这是一个 高严重性 路径遍历漏洞，影响 3.9.1 及更早版本的所有 aiohttp 版本，允许未经身份验证的远程攻击者访问易受攻击的服务器上的文件。该漏洞是由于当静态路由的“follow_symlinks”设置为“True”时验证不充分，从而允许未经授权访问服务器静态根目录之外的文件。2024 年 2 月 27 日，一名研究人员在 GitHub 上发布了 CVE-2024-23334 的概念验证 (PoC) 漏洞 利用，并 于 3 月初在 YouTube 上发布了 展示分步利用说明的详细视频 。

详情

白宫和环保署警告黑客入侵供水系统

日期: 2024-03-20
标签: 能源业, 关键基础设施

美国国家安全顾问杰克·沙利文和环境保护署 (EPA) 局长迈克尔·里根警告各州长，黑客正在“攻击”全国水利部门的关键基础设施。在周二发出的一封联名信中，他们请求各州长提供支持，以确保各州的水系统能够充分防御网络攻击，并且在遭到入侵后能够恢复。国家安全委员会 (NSC) 和环境保护署 (EPA) 已邀请各州长于 3 月 21 日参加虚拟会议，以加强政府实体和水系统之间的合作并建立水部门网络安全工作组。

详情

黑客利用热门文档发布网站进行网络钓鱼攻击

日期: 2024-03-20
标签: 信息技术, 网络钓鱼攻击

攻击者正在利用托管在 FlipSnack、Issuu、Marq、Publuu、RelayTo 和 Simplebooklet 等平台上的数字文档发布 (DDP) 网站进行网络钓鱼、凭证窃取和会话令牌盗窃。在 DDP 网站上托管网络钓鱼诱饵会增加网络钓鱼攻击成功的可能性，因为这些网站通常享有良好的声誉，不太可能出现在网络过滤器黑名单中，并且可能会让那些认为它们熟悉或合法的用户产生一种虚假的安全感。虽然攻击者过去曾使用过流行的基于云的服务（例如 Google Drive、OneDrive、Dropbox、SharePoint、DocuSign 和 Oneflow）来托管网络钓鱼文档，但最新的进展标志着旨在逃避电子邮件安全控制的攻击行为的升级。

详情

比利时大奖赛官方邮箱被黑客劫持

日期: 2024-03-21
标签: 信息技术, 比利时大奖赛

一起赛车活动的官方联系邮箱遭到黑客劫持，被用来诱骗粉丝访问一个承诺提供€50礼品券的假网站。比利时斯帕大奖赛是一项举办在比利时斯塔夫洛特的斯帕-弗朗科尔朝赛道的一级方程式世界锦标赛比赛。比赛组织者表示，邮箱账户于2024年3月17日星期日被劫持，随后威胁行为者向未透露人数的人发送了欺诈邮件。邮件通知收件人可以通过点击嵌入链接来领取用于购买F1大奖赛门票的€50礼品券。链接重定向到一个伪造的网站，看起来像斯帕大奖赛的官方门户网站，在那里要求他们提供个人信息，包括银行信息。

详情

POKEMON COMPANY 重置部分用户的密码

日期: 2024-03-21
标签: 信息技术, Pokemon Company

Pokemon Company 在检测到黑客攻击后宣布已重置部分账户密码。该公司很可能是凭证填充攻击的目标。凭证填充 是一种攻击，黑客利用自动化和被盗用户名和密码列表来破坏身份验证和授权机制，最终目的是接管账户 (ATO) 和/或数据泄露。不法分子会收集被泄露的用户名和密码列表，并将它们与所需的登录名进行对比，直到找到一些可行的登录名。然后，他们进入这些账户，目的是滥用权限、窃取数据。

详情

俄罗斯黑客利用 TinyTurla-NG 入侵欧洲非政府组织系统

日期: 2024-03-22
标签: 信息技术, TinyTurla-NG

与俄罗斯有关的威胁行为者 Turla 感染了某个未具名的欧洲非政府组织 (NGO) 的多个系统，以部署名为TinyTurla-NG的后门。思科表示：“作为入侵后的初步行动的一部分，攻击者入侵了第一个系统，建立了持久性并为在这些端点上运行的防病毒产品添加了排除项。”Turla 随后通过 Chisel 开辟了额外的通信渠道，以窃取数据并转向网络中其他可访问的系统。有证据表明，受感染的系统早在 2023 年 10 月就已被攻破，Chisel 于 2023 年 12 月部署，一个月后，即 2024 年 1 月 12 日左右，数据通过该工具泄露。

详情

Windows 11、Tesla 和 Ubuntu Linux 在 Pwn2Own Vancouver 上遭到黑客攻击

日期: 2024-03-22
标签: 信息技术, 特斯拉

Pwn2Own 温哥华 2024 大赛第一天，参赛选手演示了 Windows 11、特斯拉、Ubuntu Linux 和其他设备和软件中的 19 个零日漏洞。Theori 安全研究人员 Gwangun Jung 和 Junoh Lee 逃离 VMware Workstation VM，利用针对未初始化变量错误、UAF 弱点和基于堆的缓冲区溢出的攻击链，在主机 Windows 操作系统上以 SYSTEM 身份执行代码。Haboob SA 的 Abdul Aziz Hariri 使用 Adobe Reader 漏洞，结合 API 限制绕过和命令注入漏洞在 macOS 上执行代码。Synacktiv 利用整数溢出在 30 秒内破解了带有车辆 (VEH) CAN 总线控制的特斯拉 ECU。在 Pwn2Own 上演示零日漏洞后，供应商有 90 天的时间针对所有已报告的漏洞创建和发布安全补丁，之后趋势科技的零日漏洞计划才会将其公开披露。

详情

0x06   安全漏洞

Argo 中发现的三个新的严重漏洞

日期: 2024-03-19
标签: 信息技术, Argo

安全研究人员在 Argo 中发现了三个严重漏洞，Argo 是 Kubernetes 设置中使用的一种流行的 GitOps 持续交付工具。 KTrust 内部研究人员发现的这些漏洞对系统安全构成重大风险，包括绕过速率限制和强力保护机制、触发拒绝服务 (DoS) 攻击以及危及用户帐户安全。

第一个漏洞 CVE-2024-21662 涉及通过使缓存系统过载来绕过速率限制和暴力保护，从而重置保护并使系统容易受到攻击。

第二个漏洞 CVE-2024-21652 利用多个弱点，通过应用程序崩溃绕过暴力保护，导致内存数据丢失，并允许无限制地重复登录尝试。

第三个漏洞 CVE-2024-21661 具有高严重性风险。它允许由于多线程环境中不正确的数组操作而导致 DoS 攻击。

详情

国际货币基金组织的电子邮件帐户遭到泄露

日期: 2024-03-19
标签: 政府部门, 国际货币基金组织（IMF）

国际货币基金组织 (IMF) 披露了一项安全漏洞，今年早些时候，威胁行为者入侵了 11 个电子邮件帐户。该机构于 2024 年 2 月 16 日发现了这一事件，并立即在网络安全专家的帮助下展开调查。调查确定 11 个国际货币基金组织电子邮件帐户遭到入侵。受影响的电子邮件帐户已重新受到保护。目前，专家没有任何迹象表明这些电子邮件帐户之外还有进一步的泄露。对这一事件的调查仍在继续。

详情

Fortra 修补 FileCatalyst 传输工具中的关键 RCE 漏洞

日期: 2024-03-19
标签: 信息技术, CVE-2024-25153

Fortra 发布了一个现已修补的关键安全漏洞的详细信息，该漏洞影响其FileCatalyst文件传输解决方案，该解决方案可能允许未经身份验证的攻击者在易受攻击的服务器上远程执行代码。该漏洞的编号为 CVE-2024-25153，CVSS 评分为 9.8 分（满分 10 分）。FileCatalyst 工作流门户网站‘ftpservlet’内的目录遍历允许通过特制的 POST 请求将文件上传到预期的‘uploadtemp’目录之外。在文件成功上传到门户网站 DocumentRoot 的情况下，可以使用特制的 JSP 文件来执行代码，包括 Web shell。

详情

Oracle 警告称 macOS 14.4 更新会破坏 Apple CPU 上的 Java

日期: 2024-03-20
标签: 信息技术, Oracle

Oracle 警告 Apple 客户推迟安装最新的 macOS 14.4 Sonoma 更新，因为它会破坏 Apple Silicon CPU 上的 Java。在配备 M1、M2 和 M3 处理器的受影响 Mac 上，此问题频繁且间歇性地导致 Jave 进程毫无警告地终止。它影响所有 Java 版本，从 Java 8 到 JDK 22 的最新早期访问版本，目前尚无可用的解决方法。

详情

Ivanti公司警告修补Standalone Sentry和Neurons for ITSM漏洞

日期: 2024-03-21
标签: 信息技术, Standalone Sentry

Ivanti公司警告客户立即修补由北约网络安全中心研究人员报告的关键严重性的Standalone Sentry漏洞。Standalone Sentry部署为组织的Kerberos密钥分发中心代理（KKDCP）服务器，或者作为ActiveSync启用的Exchange和Sharepoint服务器的守门人。被标识为CVE-2023-41724的安全漏洞影响所有支持的版本，允许在相同物理或逻辑网络内的未经身份验证的恶意行为者进行低复杂性攻击执行任意命令。此外，Ivanti还修复了其Neurons for ITSM IT服务管理解决方案中的第二个关键漏洞（CVE-2023-46808），该漏洞使具有低权限帐户访问权限的远程威胁行为者能够“在Web应用程序用户的上下文中”执行命令。虽然此补丁已经应用于所有Ivanti Neurons for ITSM云环境，但本地部署仍然容易受到潜在攻击。

详情

新型Loop DoS攻击利用UDP漏洞引发拒绝服务

日期: 2024-03-21
标签: 信息技术, UDP漏洞

一种名为“Loop DoS”的新型拒绝服务攻击针对应用层协议，可以将网络服务配对成无限通信循环，从而产生大量流量。该攻击利用了UDP协议，由德国信息安全CISPA Helmholtz中心的研究人员设计，影响约30万个主机及其网络。攻击利用UDP协议的漏洞（CVE-2024-2169），易受IP欺骗攻击且未提供足够的数据包验证。攻击者利用漏洞创建自我持续的机制，生成无限量的流量，导致目标系统或整个网络出现拒绝服务（DoS）状态。该攻击依赖IP欺骗，可以从单个主机触发，并可能导致服务超载、网络骨干部分的DoS攻击以及放大型攻击。研究人员指出，受影响的协议既包括过时的（QOTD、Chargen、Echo），也包括现代的（DNS、NTP、TFTP），这些协议对于基本的互联网功能（如时间同步、域名解析和文件传输）至关重要。

详情

FORTINET 的 FORTICLIENT EMS 严重漏洞遭广泛利用

日期: 2024-03-22
标签: 信息技术, Fortinet

Horizon3 的安全研究人员发布了针对 Fortinet 的 FortiClient 企业管理服务器 (EMS) 软件中一个严重漏洞的概念验证 (PoC) 漏洞，该漏洞被追踪为CVE-2023-48788（CVSS 评分 9.3）。该漏洞目前在野外攻击中被积极利用。漏洞CVE-2023-48788 是位于 DAS 组件中的一个严重的普遍性 SQL 注入问题。FortiClientEMS 中的 SQL 命令（“SQL 注入”）漏洞 [CWE-89] 中使用的特殊元素未得到适当处理，可能允许未经身份验证的攻击者通过特制的请求执行未经授权的代码或命令。

详情

Atlassian 发布修复程序修复 20 多个漏洞

日期: 2024-03-22
标签: 信息技术, CVE-2024-1597

Atlassian 已发布针对二十多个安全漏洞的补丁，其中包括一个影响 Bamboo 数据中心和服务器的严重漏洞，该漏洞无需用户交互即可被利用。该漏洞的编号为CVE-2024-1597，CVSS 评分为 10.0，表示严重程度最高。该漏洞被描述为 SQL 注入漏洞，根源在于名为 org.postgresql:postgresql 的依赖项，因此该公司表示，尽管该漏洞十分严重，但“评估风险较低”。此 org.postgresql：postgresql 依赖性漏洞 [...] 可能允许未经身份验证的攻击者暴露您环境中易受攻击的资产，这会对机密性、完整性和可用性造成严重影响，并且不需要用户交互。

详情

Unsaflok 漏洞可让黑客解锁数百万间酒店的门

日期: 2024-03-22
标签: 住宿餐饮业, 酒店房间

研究人员披露了影响全球 13,000 家酒店和家庭中部署的 300 万个 Saflok 电子 RFID 锁的漏洞，这些漏洞允许研究人员通过伪造一对钥匙卡轻松打开酒店的任何门。这一系列安全漏洞被称为“Unsaflok”，是由研究人员 Lennert Wouters、Ian Carroll、rqu、BusesCanFly、Sam Curry、shell 和 Will Caruana 于 2022 年 9 月发现的。研究人员于 2022 年 11 月向制造商 Dormakaba 披露了他们的发现，从而允许供应商采取缓解措施并在不公开该问题的情况下告知酒店安全风险。然而，研究人员指出，这些缺陷已经存在了 36 年多，因此虽然尚未确认在野利用的案例，但长时间的暴露增加了这种可能性。

详情

0x07   安全分析

针对键盘的新声学侧通道攻击分析

日期: 2024-03-18
标签: 信息技术, 侧信道攻击

研究人员展示了一种新的声学侧信道攻击键盘的方法，可以根据用户的打字模式推断其输入，即使在噪音等恶劣环境中也能实现。该方法的成功率平均为43%，明显低于过去提出的其他方法，但它不需要受控录音条件或特定的打字平台。这使得它在实际攻击中更具适用性，并且根据一些特定目标参数，它可以产生足够可靠的数据，通过一些后期分析来解密目标的整体输入。

详情

APT-C-55（Kimsuky）组织的RandomQuery窃密攻击活动分析

日期: 2024-03-19
标签: 信息技术, APT-C-55（Kimsuky）, APT舆情

APT-C-55（Kimsuky）组织，也被称为Mystery Baby、Baby Coin、Smoke Screen、BabyShark、Cobra Venom等多个别名，最早由Kaspersky在2013年公开披露。近期，在对Kimsuky组织的基础网络架构进行监控和分析的过程中，360高级威胁研究院成功捕获并分析了名为RandomQuery的攻击活动及其相关的信息窃取组件。这一攻击活动通过多阶段载荷的部署，成功窃取了包括系统细节和浏览器相关数据在内的敏感信息。

详情

微软：87% 的英国组织容易遭受代价高昂的网络攻击

日期: 2024-03-19
标签: 信息技术, 研究报告

微软与伦敦大学合作发布的一份新报告显示，只有 13% 的英国组织能够抵御网络攻击，其余组织要么易受攻击 (48%)，要么面临破坏性网络事件的高风险 (39%) 。该报告将弹性组织定义为在其网络中实施安全设计的组织。此外，他们必须采用人工智能安全工具，以便能够更快地检测和响应威胁。研究人员表示，在 48% 的被归类为“脆弱”的组织中，虽然防御系统和流程已经到位，但仍需要额外的投资和支持来增强抵御能力。只有少数人使用人工智能作为安全工具。被视为“高风险”的组织是那些对网络安全关注有限的组织，并且大多数组织根本无法在其业务中使用人工智能。

详情

与Kimsuky有关的多阶段攻击活动DEEP#GOSU

日期: 2024-03-20
标签: 信息技术, DEEP#GOSU

Securonix威胁研究(STR)团队一直在监控一项名为DEEP#GOSU的新攻击行动，可能与Kimsuky组织相关，其中包含一些新代码/stager以及一些过去报告过的回收代码和TTP。虽然Kimsuky组织以前曾以韩国受害者为目标，但从间谍情报技术观察到，该组织显然已转向使用新的基于脚本的攻击链，利用多个PowerShell和VBScript stager来悄悄地感染系统。后期脚本允许攻击者监视剪贴板、击键和其他会话活动。攻击者还使用远程访问木马(RAT)软件来完全控制受感染的主机，而后台脚本则继续提供持久性和监控功能。

详情

自 2016 年以来，美国国防部收到 50,000 份漏洞报告

日期: 2024-03-20
标签: 信息技术, 漏洞报告

美国国防部网络犯罪中心 (DC3) 表示，自 2016 年 11 月成立以来，该中心已处理了由 5,635 名研究人员提交的第 50,000 份漏洞报告。七年半前，在一次名为“黑掉五角大楼”的漏洞赏金活动之后，该联邦机构启动了漏洞披露计划 (VDP)，以收集众包漏洞报告，帮助加强其网络防御。2018年，该计划引入了对提交的报告的自动跟踪和处理系统，大大提高了框架的效率以及道德黑客参与所获得的经验。随着时间的推移，VDP 扩大了其范围，包括联合部队总部国防部信息网络拥有和运营的所有可公开访问的 IT 资产、网站和应用程序中的漏洞。

详情

FTC 警告诈骗分子冒充其员工窃取资金

日期: 2024-03-20
标签: 信息技术, 互联网犯罪投诉中心 (IC3) 

美国联邦贸易委员会 (FTC) 警告称，诈骗者正在冒充其员工窃取美国人的数千美元。联邦贸易委员会工作人员收到了大量消费者的报告，他们成为诈骗的受害者，诈骗者利用机构人员的身份，通过电话、电子邮件或短信胁迫他们转账或电汇钱款。过去五年中，这些冒充 FTC 行为造成的平均财务损失激增，从 2019 年的 3,000 美元增至 2024 年的 7,000 美元。

详情

新型网络钓鱼攻击利用巧妙的 Microsoft Office 技巧部署 NetSupport RAT

日期: 2024-03-20
标签: 信息技术, Operation PhantomBlu

一项新的网络钓鱼活动针对美国组织，意图部署名为 NetSupport RAT 的远程访问木马。以色列网络安全公司 Perception Point 正在以Operation PhantomBlu 的名义追踪这一活动。PhantomBlu 操作引入了一种细致入微的利用方法，不同于 NetSupport RAT 的典型交付机制，它利用 OLE（对象链接和嵌入）模板操作，利用 Microsoft Office 文档模板执行恶意代码，同时逃避检测。 NetSupport RAT 是合法远程桌面工具 NetSupport Manager 的恶意分支，允许威胁行为者在受感染的端点上进行一系列数据收集操作。

详情

新的“循环 DoS”攻击影响数十万个系统

日期: 2024-03-21
标签: 信息技术, 拒绝服务 (DoS)

一种新的拒绝服务 (DoS) 攻击媒介被发现针对基于用户数据报协议 (UDP) 的应用层协议，使数十万台主机可能面临风险。这种方法被称为“环路 DoS 攻击”，它将“这些协议的服务器配对，使它们无限期地相互通信”。UDP 在设计上是一种无连接协议，它不验证源 IP 地址，因此容易受到 IP 欺骗。因此，当攻击者伪造多个 UDP 数据包以包含受害者 IP 地址时，目标服务器会响应受害者（而不是威胁行为者），从而创建反射式拒绝服务 (DoS) 攻击。

详情

npm 注册表中出现清单混淆问题

日期: 2024-03-22
标签: 信息技术,  npm 注册表

新的研究发现 npm 注册表中有超过 800 个包与其注册表项存在差异，其中 18 个包被发现利用了一种称为清单混淆的技术。该调查结果来自网络安全公司 JFrog，该公司表示，该问题可能被威胁行为者利用，诱骗开发人员运行恶意代码。清单混淆首次记录于 2023 年 7 月，当时安全研究员 Darcy Clarke 发现清单和包元数据中的不匹配可以被武器化以发起软件供应链攻击。问题源于 npm 注册表未验证 tarball 中包含的清单文件（package.json）是否与在发布过程中通过向包 URI 端点发送 HTTP PUT 请求提供给 npm 服务器的清单数据匹配。因此，威胁行为者可以利用这种缺乏交叉验证的情况来提供包含隐藏依赖项的不同清单，该清单在包安装期间进行处理，以秘密地将恶意依赖项安装到开发人员的系统中。

详情

0x08   行业动向

NIST停止CVE丰富化处理

日期: 2024-03-18
标签: 政府部门, 美国国家漏洞数据库 (NVD) 

自 2024 年 2 月 12 日起，美国国家标准与技术研究院 (NIST) 几乎完全停止丰富其国家漏洞数据库 (NVD) 中列出的软件漏洞，NVD 是全球使用最广泛的软件漏洞数据库。

固件安全提供商 NetRise 的首席执行官 Tom Pace 表示，自该日期以来发布的 2700 个漏洞（称为常见漏洞和暴露 (CVE)）中只有 200 个得到了丰富。未能丰富 CVE 意味着添加到数据库中的 2500 多个漏洞已上传，而没有关键的元数据信息。此信息包括对漏洞和可能导致利用的软件“弱点”的描述（称为常见弱点和暴露，或 CWE）、受影响的软件产品的名称、漏洞的关键性评分 (CVSS) 以及漏洞的修补状态。

详情

微软弹出广告推广Bing搜索引擎

日期: 2024-03-18
标签: 信息技术, Windows 10

微软再次在Windows 10和Windows 11上骚扰Google Chrome用户，弹出桌面广告，推广Bing搜索引擎和其GPT-4 Bing Chat平台。一些用户因广告质量低下而误以为是恶意软件，但实际上是微软的合法广告。点击"是"按钮将会改变Chrome默认搜索引擎为Bing并安装Bing服务。微软声称这是一次性通知，给用户选择将Bing设为默认搜索引擎的机会。Google Chrome具有安全功能，防止恶意扩展劫持搜索引擎，当检测到扩展更改默认搜索引擎时会显示提示。

详情

FCC 同意物联网产品使用网络信任标志

日期: 2024-03-19
标签: 信息技术, 物联网安全

美国联邦通信委员会 (FCC) 已针对无线消费物联网 (IoT) 产品采用自愿网络安全标签计划。该计划将使合格的消费智能设备制造商能够证明其产品已满足 FCC 严格的网络安全标准。其中包括新的“美国网络信任标志”徽标，消费者可以扫描该徽标以获取与产品相关的易于理解的安全信息，例如支持期限的长度以及软件补丁和安全更新是否自动。信任标志徽标由拜登-哈里斯政府于 2023 年 7 月宣布。该计划旨在通过区分市场上的安全产品，帮助消费者将网络安全纳入其购买决策。人们还希望这将为物联网制造商创造市场激励，以提高其产品的安全性。

详情

GitHub推出AI功能加速漏洞修复

日期: 2024-03-21
标签: 信息技术, GitHub

GitHub推出了一项新的AI功能，能够加快编码过程中漏洞修复的速度。这一功能目前处于公共测试阶段，对于GitHub高级安全（GHAS）客户的私人仓库默认启用。这项名为“代码扫描自动修复”的功能由GitHub Copilot和CodeQL提供支持，能够处理JavaScript、TypeScript、Java和Python等语言中超过90%的警报类型。它能够提供潜在的修复建议，据GitHub称，在编码过程中能够解决超过三分之二的发现漏洞，而且几乎不需要进行编辑。该功能还提供了代码建议和解释，包括对当前文件、多个文件以及当前项目依赖项的更改。

详情

美国环保署成立特别工作组保护供水系统免受网络攻击

日期: 2024-03-21
标签: 政府部门, 美国环境保护署 (EPA)

美国环境保护署 (EPA) 表示，正在组建一个新的“水务部门网络安全工作组”，以制定应对该国水务部门所面临的威胁的方法。美国环保署署长迈克尔·里根和国家安全顾问杰克·沙利文强调需要确保供水和废水系统 (WWS) 免受网络攻击，因为这些攻击可能会破坏人们获取清洁和安全饮用水的渠道。

详情

GitHub 推出人工智能自动修复工具

日期: 2024-03-22
标签: 信息技术, GitHub, 代码扫描自动修复

GitHub 周三宣布，它将向所有Advanced Security 客户提供一项名为“代码扫描自动修复”的公开测试版功能，以提供有针对性的建议，避免引入新的安全问题。在GitHub Copilot和CodeQL的支持下，代码扫描自动修复功能覆盖了 JavaScript、Typescript、Java 和 Python 中 90% 以上的警报类型，并提供代码建议，只需进行少量编辑或无需编辑即可修复超过三分之二的已发现漏洞。 此功能于 2023 年 11 月首次预览，利用 CodeQL、Copilot API 和 OpenAI GPT-4 的组合来生成代码建议。这家微软旗下的子公司还表示，计划在未来增加对更多编程语言的支持，包括 C# 和 Go。

详情

0x09   其他事件

麦当劳全球餐厅关闭原因揭秘

日期: 2024-03-18
标签: 住宿餐饮业, 麦当劳

麦当劳将导致其许多快餐店关闭的全球停电归咎于第三方服务提供商的配置更改，而不是网络攻击。麦当劳在通过公司 OTP 门户向员工发送的另一条消息中表示，问题正在得到解决，所有受影响的商店和系统都已恢复上线。大规模 IT 中断影响了世界各地的餐厅，包括美国、英国、日本、澳大利亚、加拿大、荷兰、意大利和新西兰。

详情

乌克兰逮捕试图出售 1 亿个被盗账户的黑客

日期: 2024-03-20
标签: 信息技术, Instagram 帐户

乌克兰网络警察与国家警察 (ГУНП) 调查人员合作，逮捕了三名涉嫌劫持全球超过 1 亿个电子邮件和 Instagram 帐户的个人。三名犯罪嫌疑人年龄在20岁至40岁之间，他们使用专门的软件暴力破解账户密码，然后窃取密码。执法人员在多个城市进行了七次搜查，查获了 70 台计算机和 IT 设备、14 部手机、银行卡和现金。

详情

乌克兰逮捕三名劫持超过 1 亿个电子邮件和 Instagram 账户的黑客

日期: 2024-03-21
标签: 信息技术, 乌克兰网络警察

乌克兰网络警察逮捕了三名涉嫌劫持全球用户超过 1 亿封电子邮件和 Instagram 账户的人员。据称，这些嫌疑人年龄在 20 至 40 岁之间，属于一个有组织犯罪集团，居住在该国不同地区。一旦罪名成立，他们将面临最高 15 年的监禁。当局称，这些账户是通过暴力攻击窃取的，暴力攻击采用反复试验的方法来猜测登录凭据。该团伙在一名头目的指挥下行动，头目将黑客任务分配给其他成员。该网络犯罪集团随后将非法获取的凭证放在暗网论坛上出售，以牟取暴利。

详情

英国面包店 Greggs 受近期 POS 系统中断影响

日期: 2024-03-21
标签: 居民服务, 住宿餐饮业, 英国面包店 Greggs

英国面包连锁店 Greggs 是近期销售点系统中断的最新受害者，过去几周，大型零售连锁店被迫关闭门店。Greggs 是一家在英国拥有 2,300 家分店的面包连锁店。有顾客在社交媒体上反映，他们无法在 Greggs 收银机上使用卡付款，或者在访问当地分行时发现商店已关门。这表明该公司处理购买的销售点（POS）可能存在技术问题。

详情

KDE 建议用户在主题删除 Linux 用户文件后谨防安全问题

日期: 2024-03-22
标签: 信息技术, Linux

2024年3月20日i ，KDE 团队警告 Linux 用户在安装全局主题时要“极其小心”，即使是从官方 KDE 商店安装，因为这些主题会在设备上运行任意代码来定制桌面的外观。KDE 商店目前允许任何人上传新主题和各种其他插件或附加组件，而无需进行任何恶意行为检查。

详情

0x0a   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0b   时间线

2024-03-18 360CERT发布安全周报