安全事件周报 2024-03-25 第13周
2024-04-01 18:42

报告编号:CERT-R-2024-775

报告来源:360CERT

报告作者:360CERT

更新日期:2024-04-01

0x01   事件导览

本周收录安全热点62项,话题集中在安全分析恶意软件安全漏洞,主要涉及的实体有:Hot Topic等,主要涉及的黑客组织有:TA450等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意软件
StrelaStealer恶意软件大规模入侵
SentinelOne揭示俄罗斯军事情报部门使用的新型擦除型恶意软件变种
俄罗斯威胁行为者利用WINELOADER后门攻击德国政党
SentinelLabs发现AcidPour恶意软件新变种
Kimsuky利用CHM文件传送恶意软件关键词
AcidRain的新型嵌入式擦除器变种AcidPour在乌克兰出现
分析Peach Sandstorm组织的FalseFont后门
Konni组织针对虚拟货币行业投递AutoIt恶意软件
首个针对AMD Zen架构CPU的Rowhammer攻击变种ZenHammer问世
TheMoon 恶意软件在 72 小时内感染了 6,000 台华硕路由器以提供代理服务
与工业间谍活动有关的恶意 NuGet 软件包瞄准开发人员
警报:新的网络钓鱼攻击会发送伪装成银行付款通知的键盘记录程序
Linux 版本的 DinodasRAT 在多个国家/地区的网络攻击中被发现
新的 ZenHammer 攻击绕过了 AMD CPU 上的 RowHammer 防御
数据安全
INC RANSOM 窃取了苏格兰国家医疗服务体系 (NHS) 的 3TB 数据
网络攻击
Panera Bread遭遇全国性IT系统故障
Top.gg Discord bot社区遭受供应链攻击
APT29使用WINELOADER攻击德国政党
白俄罗斯政府遭UAC-0050攻击
INC Ransom 威胁泄露 3TB 苏格兰 NHS 被盗数据
黑客利用冒充空军邀请函的恶意软件攻击印度国防和能源部门
芬兰指责黑客组织 APT31 对议会网络攻击负责
零售连锁店 Hot Topic 遭遇新的凭证填充攻击
安全漏洞
Pwn2Own Vancouver 2024竞赛中Firefox零日漏洞被解决
CISA和FBI发布“安全设计指南”以应对SQL注入漏洞
苹果M系列芯片存在GoFetch漏洞
德国警告称,1.7 万台易受攻击的 Microsoft Exchange 服务器已在线暴露
Fortinet、Ivanti 和 Nice 产品中的漏洞正受到积极利用
谷歌:2023 年 50% 零日漏洞背后是间谍软件供应商
CISA 将 Microsoft SharePoint RCE 漏洞标记为正在被利用
Google 修复了 Pwn2Own 2024 上被利用的 Chrome 零日漏洞
CISA 警告:黑客正在积极攻击 Microsoft SharePoint 漏洞
Microsoft Edge 漏洞可能允许攻击者悄悄安装恶意扩展程序
尚未修补的 Ray AI 平台关键漏洞被利用进行加密货币挖矿
已有十年历史的 Linux“墙”漏洞可帮助制造虚假的 SUDO 提示并窃取密码
安全分析
揭示TinyTurla的完整杀伤链
APT-C-09(摩诃草)组织以巴基斯坦联邦税务局为诱饵的攻击活动分析
中东地区网络欺诈活动激增
TA450攻击大型跨国组织的以色列员工
Tycoon 2FA:新型钓鱼攻击工具
Google新算法推荐欺诈网站
Google Play 上的免费 VPN 应用将 Android 手机变成代理
黑客在 Telegram 上出售名为“GEOBOX”的定制 Raspberry Pi 软件
黑客利用 Ray 框架漏洞入侵服务器、劫持资源
针对俄罗斯公司的网络间谍组织PhantomCore
APT-C-43(Machete)组织疑向更多元化演变
新的 Darcula 网络钓鱼服务通过 iMessage 攻击 iPhone 用户
APT37组织的RoKRAT无文件攻击行动
APT组织疑似利用OA漏洞批量攻击国内资产预警
Darcula 网络钓鱼网络利用 RCS 和 iMessage 逃避检测
思科警告针对 VPN 服务的密码喷洒攻击
行业动向
微软计划限制俄罗斯组织对云产品的访问
苹果新功能推动欧盟用户增长164%
葡萄牙强制暂停世界币收集生物特征数据
indows 11 KB5035942 更新启用 Moment 5 功能
澳大利亚政府在遭受重大攻击后加大网络安全力度
NIST 宣布成立新联盟运营国家漏洞数据库
PyPI 暂停新用户注册以阻止恶意软件活动
其他事件
德国当局成功摧毁非法地下市场"Nemesis Market"
美国制裁三家加密货币交易所
美国男子因数千次骚扰电话被罚款 990 万美元
CISA和FBI敦促技术制造公司高管加强软件安全防护

0x03   恶意软件

StrelaStealer恶意软件大规模入侵

日期: 2024-03-25
标签: 信息技术, StrelaStealer

一场新的大规模StrelaStealer恶意软件活动已经影响了美国和欧洲的100多家组织,试图窃取电子邮件账户凭据。StrelaStealer最初于2022年11月被记录为一种新的信息窃取恶意软件,从Outlook和Thunderbird中窃取电子邮件账户凭据。该恶意软件的一个显著特征是使用多语言文件感染方法来规避安全软件的检测。根据Palo Alto Networks的Unit42最近的报告,StrelaStealer最初瞄准西班牙语用户。然而,现在该恶意软件的目标已经转向美国和欧洲人。StrelaStealer通过钓鱼活动传播,2023年11月显示出显著增加,有些日子针对美国的组织超过250家。钓鱼邮件的分发量持续增加到2024年,Unit42分析人员在2024年1月底至2月初记录到了显著的活动高峰。在此期间的某些日子,美国的攻击次数超过了500次,而Unit42表示他们已经确认了至少100起在美国和欧洲的受损情况。恶意软件运营商使用英语和其他欧洲语言来调整他们的攻击。大多数受攻击的实体属于“高科技”领域,其次是金融、法律服务、制造业、政府、公用事业和能源、保险和建筑等行业。

详情

https://www.bleepingcomputer.com/news/security/over-100-us-and-eu-orgs-targeted-in-strelastealer-malware-attacks/

SentinelOne揭示俄罗斯军事情报部门使用的新型擦除型恶意软件变种

日期: 2024-03-25
标签: 信息技术, AcidPour, 擦除型恶意软件

研究人员发现了俄罗斯军事情报部门在2022年2月入侵乌克兰之前使用的更危险、更普遍的擦除型恶意软件的变种。这个新变种名为"AcidPour",与之前的版本有多个相似之处,但是针对X86架构编译,而不是像之前的"AcidRain"那样针对MIPS架构系统。SentinelOne的研究人员发现,新的擦除型软件也包括用于攻击比"AcidRain"更广泛范围目标的功能。

详情

https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware

俄罗斯威胁行为者利用WINELOADER后门攻击德国政党

日期: 2024-03-25
标签: 信息技术, WINELOADER后门

俄罗斯关联的威胁行为者最近利用WINELOADER后门发动攻击,针对德国政党。2023年2月底,Mandiant研究人员发现,与俄罗斯有关的APT29组织利用WINELOADER后门的新变种,以CDU主题诱饵攻击德国政党。这是Mandiant首次观察到APT29子集群针对政党进行攻击,表明他们对典型的外交任务以外的目标产生了兴趣。被攻击实体收到伪装成邀请参加3月1日晚宴招待会的钓鱼邮件,邮件中附有德国基民盟(CDU)的标志。

详情

https://securityaffairs.com/160975/apt/russia-apt29-german-political-parties-wineloader.html

SentinelLabs发现AcidPour恶意软件新变种

日期: 2024-03-25
标签: 信息技术, AcidPour恶意软件

SentinelOne的威胁情报团队SentinelLabs发现了AcidRain的新变种AcidPour。AcidRain是一种破坏性的擦除型恶意软件,被归属于俄罗斯军事情报部门。2022年5月,AcidRain被用于针对乌克兰Viasat的KA-SAT卫星的大规模网络攻击。这种恶意软件使乌克兰的KA-SAT调制解调器失效,并在俄罗斯入侵初期在整个欧洲造成了额外的破坏。AcidPour与AcidRain有相似之处,但它似乎扩展了AcidRain的能力和破坏潜力,包括对Linux Unsorted Block Image (UBI)和Device Mapper (DM)逻辑的攻击。技术分析表明,AcidPour的扩展功能使其能够更好地禁用运行Linux x86发行版的嵌入式设备,包括网络、物联网(IoT)、大型存储(RAIDs),可能还包括工业控制系统(ICS)设备。

详情

https://www.infosecurity-magazine.com/news/acidpour-wiper-linux-ukraine/

Kimsuky利用CHM文件传送恶意软件关键词

日期: 2024-03-25
标签: 信息技术, Kimsuky, CHM文件

与朝鲜有关的威胁行为者Kimsuky(又称Black Banshee、Emerald Sleet或Springtail)改变了其策略,利用编译的HTML帮助(CHM)文件作为传送恶意软件的载体,用于窃取敏感数据。Kimsuky自2012年以来一直活跃,以韩国为目标,并且还瞄准了北美、亚洲和欧洲的机构。攻击链通常利用武器化的Microsoft Office文档、ISO文件和Windows快捷方式(LNK)文件,同时该组织还使用CHM文件在受感染的主机上部署恶意软件。据Rapid7称,该公司以中等的信心将这一活动归因于Kimsuky,并指出过去观察到了类似的技术手法。Rapid7表示,这些攻击正在持续发展,并且瞄准了韩国的机构。此外,该公司还发现了一种利用CHM文件作为起点的替代感染序列,该序列使用批处理文件来收集信息,并使用PowerShell脚本连接到C2服务器并传输数据。

详情

https://thehackernews.com/2024/03/n-korea-linked-kimsuky-shifts-to.html

AcidRain的新型嵌入式擦除器变种AcidPour在乌克兰出现

日期: 2024-03-25
标签: 信息技术, APT舆情

SentinelLabs发现了AcidRain的一种新型恶意软件变体,该擦除器使Eutelsat KA-SAT调制解调器在乌克兰无法运行,并在俄罗斯入侵开始时在整个欧洲造成了额外的干扰。新恶意软件AcidPour扩展了AcidRain的功能, 破坏性潜力现在包括Linux未排序块映像(UBI)和设备映射器(DM)逻辑,更好地针对RAID阵列和大型存储设备。分析证实了AcidRain和AcidPour 之间的联系,有效地将其与之前公开归因于俄罗斯的威胁集群连接起来。CERT-UA还将这一活动归因于Sandworm子集群。AcidPour的具体目标尚未得到最终验证。

详情

https://www.sentinelone.com/labs/acidpour-new-embedded-wiper-variant-of-acidrain-appears-in-ukraine/

分析Peach Sandstorm组织的FalseFont后门

日期: 2024-03-25
标签: 信息技术, APT舆情

本文回顾了最近发现的FalseFont后门,该后门被疑似与伊朗有关联的威胁组织使用,Unit 42将其追踪为Curious Serpens。Curious Serpens是一个著名的间谍组织,此前曾以航空航天和能源领域为目标。FalseFont是Curious Serpens武器库中的最新工具。分析的样本显示了威胁组织如何模仿合法的人力资源软件,使用虚假的工作招聘流程来欺骗受害者安装后门。本文重点分析新发现的FalseFont后门及其功能。

详情

https://unit42.paloaltonetworks.com/curious-serpens-falsefont-backdoor/

Konni组织针对虚拟货币行业投递AutoIt恶意软件

日期: 2024-03-26
标签: 信息技术, Konni, APT舆情

近期奇安信威胁情报中心发现以虚拟货币行业监管条例和法律文档为诱饵的攻击样本,疑似针对韩国地区的虚拟货币行业参与者。Zip压缩包中包含两个文件,其中一个为正常文档,另一个是伪装为文档的LNK(快捷方式)文件。如果受害者因为试图查看文档内容而点击LNK文件,LNK文件将暗中释放并执行一系列恶意脚本,收集受害者信息回传C2服务器,同时从C2服务器下载AutoIt恶意软件。根据攻击者使用的攻击手法和恶意代码的特点,将此次攻击活动归为Konni组织。

详情

https://mp.weixin.qq.com/s/JBX6AGPPGEPzo4SqcN9n9A

首个针对AMD Zen架构CPU的Rowhammer攻击变种ZenHammer问世

日期: 2024-03-26
标签: 信息技术, AMD Zen CPU

近期,学术研究人员开发了ZenHammer,这是首个针对基于AMD Zen微架构的CPU的Rowhammer DRAM攻击变种,能够映射到DDR4和DDR5内存芯片的物理地址。AMD Zen芯片和DDR5内存模块此前被认为对Rowhammer攻击的脆弱性较低,因此最新的研究结果对此观点提出了挑战。

详情

https://www.bleepingcomputer.com/news/security/new-zenhammer-memory-attack-impacts-amd-zen-cpus/

TheMoon 恶意软件在 72 小时内感染了 6,000 台华硕路由器以提供代理服务

日期: 2024-03-27
标签: 信息技术, TheMoon

人们发现“TheMoon”恶意软件僵尸网络的新变种感染了 88 个国家的数千台过时的小型办公室和家庭办公室 (SOHO) 路由器和物联网设备。TheMoon 与“Faceless”代理服务相连,该服务使用一些受感染的设备作为代理,为希望匿名进行恶意活动的网络犯罪分子路由流量。Black Lotus Labs 的研究人员监测了最新的 TheMoon 活动,该活动于 2024 年 3 月初开始,他们发现在不到 72 小时内就有 6,000 台华硕路由器成为攻击目标。

详情

https://www.bleepingcomputer.com/news/security/themoon-malware-infects-6-000-asus-routers-in-72-hours-for-proxy-service/

与工业间谍活动有关的恶意 NuGet 软件包瞄准开发人员

日期: 2024-03-27
标签: 信息技术, SqzrFramework480

威胁搜寻者在NuGet 包管理器中发现了一个可疑包,该包很可能是针对使用由一家专门从事工业和数字设备制造的中国公司所制造的工具的开发人员而设计的。该软件包是SqzrFramework480 ,ReversingLabs 表示它于 2024 年 1 月 24 日首次发布,已被下载2,999 次。该软件供应链安全公司表示,没有发现任何其他表现出类似行为的软件包。然而,理论上,该活动很可能被用于在配备摄像头、机器视觉和机械臂的系统上进行工业间谍活动。

详情

https://thehackernews.com/2024/03/malicious-nuget-package-linked-to.html

警报:新的网络钓鱼攻击会发送伪装成银行付款通知的键盘记录程序

日期: 2024-03-28
标签: 信息技术, 键盘记录器

研究人员观察到一项新的网络钓鱼活动,它利用一种新型的加载器恶意软件来投放名为Agent Tesla 的信息窃取程序和键盘记录器。Trustwave SpiderLabs 表示,它在 2024 年 3 月 8 日发现了一封带有此攻击链的网络钓鱼电子邮件。该消息伪装成银行付款通知,敦促用户打开存档文件附件。该档案(“Bank Handlowy w Warszawie - dowód wpłaty_pdf.tar.gz”)隐藏了一个恶意加载器,该加载器会激活在受感染主机上部署 Agent Tesla 的程序。

详情

https://thehackernews.com/2024/03/alert-new-phishing-attack-delivers.html

Linux 版本的 DinodasRAT 在多个国家/地区的网络攻击中被发现

日期: 2024-03-29
标签: 信息技术, DinodasRAT

卡巴斯基的最新发现显示,一种名为DinodasRAT的多平台后门的 Linux 版本已被发现在野外针对中国、台湾、土耳其和乌兹别克斯坦。DinodasRAT,也称为 XDealer,是一种基于 C++ 的恶意软件,能够从受感染的主机收集大量敏感数据。2023 年 10 月,斯洛伐克网络安全公司 ESET透露,圭亚那的一个政府实体已成为代号为“Jacana 行动”的网络间谍活动的目标,旨在部署该植入程序的 Windows 版本。

详情

https://thehackernews.com/2024/03/linux-version-of-dinodasrat-spotted-in.html

新的 ZenHammer 攻击绕过了 AMD CPU 上的 RowHammer 防御

日期: 2024-03-29
标签: 信息技术, RowHammer DRAM

苏黎世联邦理工学院的网络安全研究人员开发出了 RowHammer DRAM(动态随机存取存储器)攻击的新变种,尽管采取了目标行刷新 (TRR) 等缓解措施,该攻击仍首次成功攻击了 AMD Zen 2 和 Zen 3 系统。研究人员表示:“这一结果证明,AMD 系统与英特尔系统一样容易受到 Rowhammer 的攻击,考虑到 AMD 目前在 x86 台式机 CPU 上的市场份额约为 36%,这大大增加了攻击面。 ”该技术的代号为ZenHammer,它还首次能够在 DDR5 设备上触发 RowHammer 位翻转。RowHammer于 2014 年首次公开披露,是一种众所周知的攻击,它利用 DRAM 的存储单元架构,通过反复访问特定行(又称锤击)来改变数据,导致单元的电荷泄漏到相邻单元。

详情

https://thehackernews.com/2024/03/new-zenhammer-attack-bypasses-rowhammer.html

0x04   数据安全

INC RANSOM 窃取了苏格兰国家医疗服务体系 (NHS) 的 3TB 数据

日期: 2024-03-29
标签: 信息技术, 卫生行业, INC Ransom

INC Ransom 勒索团伙将苏格兰国家医疗服务体系 (NHS) 列入其 Tor 泄密网站的受害者名单。该网络犯罪团伙声称窃取了 3TB 的数据,并威胁要泄露这些数据。苏格兰 NHS,即国家医疗服务体系,是苏格兰的公共医疗体系。它提供广泛的医疗服务,包括医院、全科医生 (GP)、心理健康服务和社区医疗保健。苏格兰政府负责监督苏格兰的 NHS,其运作独立于英格兰、威尔士和北爱尔兰的 NHS 系统。“3 TB 的数据即将发布。NHSScotland 目前拥有约 140,000 名员工,他们分布在 14 个地区 NHS 委员会、7 个特别 NHS 委员会和一个公共卫生机构。每个 NHS 委员会都对苏格兰部长负责,并得到苏格兰政府卫生和社会保健局的支持。地区 NHS 委员会负责保护和改善其人口的健康,并提供一线医疗服务。特别 NHS 委员会通过提供一系列重要的专业和国家服务来支持地区 NHS 委员会。”INC Ransom 集团发布的公告写道。

详情

https://securityaffairs.com/161143/data-breach/inc-ransom-hacked-national-health-service-of-scotland.html

0x05   网络攻击

Panera Bread遭遇全国性IT系统故障

日期: 2024-03-26
标签: 住宿餐饮业, Panera Bread

美国食品连锁巨头Panera Bread自上周六以来一直经历着全国性的系统故障,影响了其包括在线订购、POS系统、电话和各种内部系统在内的IT系统。员工报告称,所有门店仍然营业,但只接受现金支付,而且奖励计划会员无法兑换积分。此外,员工排班等内部系统也无法访问。尽管公司在Facebook上向顾客致歉并表示正在努力解决问题,但网站和移动应用程序自周六以来也一直无法使用。此外,客服电话也无法接通。尽管Panera尚未就此事发表正式声明,但事件发生的时间和受影响的服务范围表明可能是遭受了网络攻击。由于周末员工较少,网络监控和异常行为检测也相对薄弱,因此网络犯罪分子常常选择在周末对组织进行攻击。

详情

https://www.bleepingcomputer.com/news/security/panera-bread-experiencing-nationwide-it-outage-since-saturday/#google_vignette

Top.gg Discord bot社区遭受供应链攻击

日期: 2024-03-26
标签: 信息技术, 供应链攻击

Top.gg Discord bot社区成员超过17万人,受到供应链攻击的影响,旨在感染开发人员的恶意软件窃取敏感信息。攻击者多年来一直使用多种策略、技术和程序(TTPs),包括劫持GitHub账户、分发恶意Python包、使用虚假的Python基础设施和社会工程。研究人员发现,攻击者最近的受害者之一是Top.gg,这是一个受欢迎的搜索和发现平台,用于Discord服务器、机器人和其他社交工具,旨在提高参与度和改善功能。Checkmarx研究人员发现了这一活动,并指出主要目标很可能是通过出售窃取的信息来进行数据盗窃和变现。

详情

https://www.bleepingcomputer.com/news/security/hackers-poison-source-code-from-largest-discord-bot-platform/

APT29使用WINELOADER攻击德国政党

日期: 2024-03-26
标签: 信息技术, WINELOADER, APT舆情

2024年2月下旬,Mandiant发现APT29正在开展针对德国政党的网络钓鱼活动。与可追溯到2021年的APT29行动一致,该行动利用了APT29的主要第一阶段有效载荷ROOTSAW(又名EnvyScout)来提供一个公开跟踪为WINELOADER的新后门变体。值得注意的是,这项行动背离了APT29初始访问集群以政府、外国大使馆和其他外交使团为目标的典型职权范围,也是Mandiant首次发现该APT29子集群对政党有业务兴趣。此外,虽然APT29之前使用过带有德国政府组织标志的诱饵文件,但这是第一次看到该组织使用德语诱饵内容——这可能是由于两次行动的目标差异(即国内与国外)造成的。

详情

https://www.mandiant.com/resources/blog/apt29-wineloader-german-political-parties

白俄罗斯政府遭UAC-0050攻击

日期: 2024-03-26
标签: 信息技术, APT舆情

自2022年俄乌冲突爆发后,网络攻击已经成为这场军事战争的家常便饭,交战双方以及其他国家都遭受了不同程度的网络攻击。近日,瑞星威胁情报中心捕获到一起针对白俄罗斯政府的APT攻击事件。攻击者伪装成俄罗斯特殊材料公司会计,向白俄罗斯布雷斯特市政府人员发送钓鱼邮件,企图窃取敏感信息。通过分析攻击手法发现,此次事件的攻击者为UAC-0050组织,该组织曾以攻击乌克兰政府机构而闻名,惯用手法就是通过网络钓鱼攻击来传播恶意软件,达到窃密和远程控制的目的

详情

https://mp.weixin.qq.com/s/QaU7h-OOLeHz0UM6iB2_5w

INC Ransom 威胁泄露 3TB 苏格兰 NHS 被盗数据

日期: 2024-03-28
标签: 信息技术, INC Ransom

INC Ransom 勒索团伙威胁要公布其在入侵苏格兰国家医疗服务体系 (NHS) 后窃取的 3TB 数据。网络犯罪分子在昨天的一篇帖子中分享了多张包含医疗详细信息的图片,并表示除非 NHS 支付赎金,否则他们“很快”就会泄露数据。苏格兰的 NHS 是该国的公共卫生系统,提供包括初级保健、医院护理、牙科护理、药品和长期护理等服务。INC Ransom 是 2023 年 7 月出现的数据勒索行动,目标是公共和私营部门的组织。受害者包括教育、医疗保健和政府组织,以及 雅马哈摩托车等工业实体。

详情

https://www.bleepingcomputer.com/news/security/inc-ransom-threatens-to-leak-3tb-of-nhs-scotland-stolen-data/

黑客利用冒充空军邀请函的恶意软件攻击印度国防和能源部门

日期: 2024-03-28
标签: 信息技术, 政府部门, HackBrowserData

印度政府实体和能源公司已成为未知威胁行为者的目标,其目的是提供一种名为 HackBrowserData 的开源信息窃取恶意软件的修改版本,并在某些情况下使用 Slack 作为命令和控制 (C2) 窃取敏感信息。EclecticIQ 研究员 Arda Büyükkaya表示:“信息窃取者通过网络钓鱼电子邮件发送,伪装成印度空军的邀请函。”“恶意软件执行后,攻击者利用 Slack 频道作为泄露点来上传机密内部文件、私人电子邮件消息和缓存的网络浏览器数据。”这家荷兰网络安全公司从 2024 年 3 月 7 日开始观察这一活动,其代号为 Operation FlightNight,指的是对手运营的 Slack 频道。恶意活动的目标涉及印度多个政府实体,其中包括与电子通信、IT 治理和国防相关的实体。据称,威胁者已成功入侵私营能源公司,窃取财务文件、员工个人信息以及石油和天然气钻探活动的详细信息。在整个攻击过程中,总共窃取了约 8.81 GB 的数据。

详情

https://thehackernews.com/2024/03/hackers-target-indian-defense-and.html

芬兰指责黑客组织 APT31 对议会网络攻击负责

日期: 2024-03-29
标签: 政府部门, APT31

芬兰警察局 (又名 Poliisi) 正式指控一名被追踪为 APT31 的中国民族国家行为者策划了 2020 年针对该国议会的网络攻击。据当局称,此次入侵发生在 2020 年秋季至 2021 年初之间。该机构称,正在进行的刑事调查既艰巨又耗时,涉及对“复杂的犯罪基础设施”进行广泛的分析。该漏洞于 2020 年 12 月首次披露,当时芬兰安全情报局 (Supo)将其描述为国家支持的网络间谍行动,旨在渗透议会的信息系统。

详情

https://thehackernews.com/2024/03/finland-blames-chinese-hacking-group.html

零售连锁店 Hot Topic 遭遇新的凭证填充攻击

日期: 2024-03-29
标签: 批发零售, Hot Topic

美国零售商Hot Topic披露,11月份的两波凭证填充攻击暴露了受影响客户的个人信息和部分支付数据。Hot Topic 快时尚连锁店在美国和加拿大拥有超过 630 家门店、公司总部和两个配送中心,员工人数超过 10,000 名。在凭证填充攻击中,网络犯罪分子使用自动化工具,利用用户名和密码对列表触发数百万次登录尝试。当用户在多个平台上重复使用相同的登录信息时,这种技术尤其有效。

详情

https://www.bleepingcomputer.com/news/security/retail-chain-hot-topic-hit-by-new-credential-stuffing-attacks/

0x06   安全漏洞

Pwn2Own Vancouver 2024竞赛中Firefox零日漏洞被解决

日期: 2024-03-25
标签: 信息技术, CVE-2024-29944, CVE-2024-29943, 零日漏洞

Mozilla在Pwn2Own Vancouver 2024黑客竞赛中解决了两个Firefox零日漏洞问题。研究人员Manfred Paul在比赛中利用了这两个漏洞,分别被跟踪为CVE-2024-29944和CVE-2024-29943。Paul通过使用OOB Write进行RCE和暴露的危险功能漏洞,成功演示了对Mozilla Firefox的沙盒逃逸,并因此获得了10个Pwn大师积分和10万美元的奖金。Mozilla发布了Firefox 124.0.1和Firefox ESR 115.9.1来解决这两个问题。Pwn2Own Vancouver 2024黑客竞赛共有29个独特的零日漏洞被展示,参与者共赚取了113.25万美元的奖金。研究人员Manfred Paul赢得了Pwn大师的称号,并获得了20.25万美元的奖金和25个积分。

详情

https://securityaffairs.com/160966/hacking/mozilla-fixed-firefox-zero-day-pwn2own-vancouver-2024.html

CISA和FBI发布“安全设计指南”以应对SQL注入漏洞

日期: 2024-03-26
标签: 信息技术, SQL注入漏洞

CISA和FBI本周表示,新的“安全设计指南”是对最近广泛利用MoveIT文件传输应用程序中的SQLi漏洞的直接回应。SQL注入漏洞允许威胁行为者将其自己的数据注入到SQL命令中,从而执行任意查询以访问数据库中的敏感信息。联合的“安全设计警报”表示:“尽管过去20年来广泛了解和记录了SQLi漏洞,以及有效缓解措施的可用性,但软件制造商仍在开发具有此缺陷的产品,这将使许多客户处于危险之中。” "自2007年以来,像SQLi这样的漏洞一直被其他人视为'不可原谅'的漏洞。尽管有这一发现,SQL漏洞(如CWE-89)仍然是一种普遍存在的漏洞类别。"

详情

https://www.darkreading.com/cyberattacks-data-breaches/cisa-seeks-to-stem-unforgivable-sql-injection-defects

苹果M系列芯片存在GoFetch漏洞

日期: 2024-03-26
标签: 信息技术, GoFetch漏洞

苹果M系列芯片存在安全漏洞,名为GoFetch,利用数据内存相关预取器(DMP)进行微架构侧信道攻击,窃取用于加密操作的密钥。该漏洞可针对常数时间的加密实现,并从CPU缓存中获取敏感数据。来自伊利诺伊大学厄巴纳-香槟分校、德克萨斯大学、乔治亚理工学院、加州大学伯克利分校、华盛顿大学和卡内基梅隆大学的七名学者小组于2023年12月发现了该漏洞,并通知了苹果公司。攻击者可以利用恶意应用程序诱使目标下载并利用GoFetch漏洞。这种攻击需要受害者和攻击者位于同一台机器的同一CPU集群上。

详情

https://thehackernews.com/2024/03/new-gofetch-vulnerability-in-apple-m.html

德国警告称,1.7 万台易受攻击的 Microsoft Exchange 服务器已在线暴露

日期: 2024-03-27
标签: 信息技术, Microsoft Exchange 服务器

德国国家网络安全机构周二警告称,发现德国至少有 17,000 台 Microsoft Exchange 服务器暴露在网上,并且存在一个或多个严重的安全漏洞。据德国联邦信息安全局 (BSI) 称,德国约有 45,000 台 Microsoft Exchange 服务器已启用 Outlook Web Access (OWA),可通过互联网访问。其中约 12% 的服务器仍在使用过时的 Exchange 版本(2010 或 2013),这些版本分别自 2020 年 10 月和 2023 年 4 月以来未收到安全更新。

详情

https://www.bleepingcomputer.com/news/security/germany-warns-of-17k-vulnerable-microsoft-exchange-servers-exposed-online/

Fortinet、Ivanti 和 Nice 产品中的漏洞正受到积极利用

日期: 2024-03-27
标签: 信息技术, Fortinet

美国网络安全和基础设施安全局 (CISA) 周一在其已知被利用漏洞 ( KEV ) 目录中添加了三个安全漏洞,并指出有证据表明存在主动利用的情况。

添加的漏洞如下 -

CVE-2023-48788(CVSS 评分:9.3)- Fortinet FortiClient EMS SQL 注入漏洞

CVE-2021-44529(CVSS 评分:9.8)- Ivanti Endpoint Manager 云服务设备 (EPM CSA) 代码注入漏洞

CVE-2019-7256(CVSS 评分:10.0)- Nice Linear eMerge E3 系列操作系统命令注入漏洞

详情

https://thehackernews.com/2024/03/cisa-alerts-on-active-exploitation-of.html

谷歌:2023 年 50% 零日漏洞背后是间谍软件供应商

日期: 2024-03-28
标签: 信息技术, 零日漏洞

谷歌威胁分析小组 (TAG) 和谷歌子公司 Mandiant 表示,他们观察到 2023 年攻击中利用的零日漏洞数量显著增加,其中许多与间谍软件供应商及其客户有关。去年,攻击中利用的零日漏洞数量达到 97 个,与前一年的 62 个漏洞相比增长了 50% 以上。尽管有所增加,但这一数字仍低于 2021 年利用的 106 个零日漏洞的峰值。Mandiant 和 TAG 共同发现了 97 个漏洞中的 29 个,其中 61 个影响最终用户平台和产品(包括移动设备、操作系统、浏览器和各种其他应用程序)。其余 36 个漏洞则针对安全软件和设备等以企业为中心的技术。

详情

https://www.bleepingcomputer.com/news/security/google-spyware-vendors-behind-50-percent-of-zero-days-exploited-in-2023/

CISA 将 Microsoft SharePoint RCE 漏洞标记为正在被利用

日期: 2024-03-28
标签: 信息技术, Microsoft SharePoint

CISA 警告称,攻击者目前正在利用 Microsoft SharePoint 代码注入漏洞,该漏洞可以与严重的权限提升漏洞相结合,发动预先认证的远程代码执行攻击。该 SharePoint Server 漏洞编号为CVE-2023-24955,可使具有站点所有者权限的经过身份验证的攻击者在易受攻击的服务器上远程执行代码。第二个漏洞(CVE-2023-29357)允许远程攻击者通过使用欺骗性的 JWT 身份验证令牌绕过身份验证,获取易受攻击的 SharePoint 服务器上的管理员权限。

详情

https://www.bleepingcomputer.com/news/security/cisa-tags-microsoft-sharepoint-rce-bug-as-actively-exploited/

Google 修复了 Pwn2Own 2024 上被利用的 Chrome 零日漏洞

日期: 2024-03-28
标签: 信息技术, Chrome 网络浏览器

谷歌周二修复了 Chrome 网络浏览器中的七个安全漏洞,其中包括在 Pwn2Own 温哥华 2024 黑客大赛期间利用的两个零日漏洞。第一个漏洞(编号为 CVE-2024-2887)是WebAssembly (Wasm) 开放标准中的一个高严重性类型混淆漏洞。Manfred Paul在 Pwn2Own 的第一天演示了此漏洞,它是使用精心设计的 HTML 页面进行的双击远程代码执行 (RCE) 攻击的一部分,目标是 Chrome 和 Edge。第二个零日漏洞被追踪为 CVE-2024-2886,由 KAIST 黑客实验室的 Seunghyun Lee 在CanSecWest Pwn2Own 竞赛的第二天利用。该漏洞被描述为 WebCodecs API 中的一个释放后使用(UAF) 漏洞,该 API 由 Web 应用程序用来编码和解码音频和视频内容,它允许远程攻击者通过精心设计的 HTML 页面执行任意读/写操作。

详情

https://www.bleepingcomputer.com/news/security/google-fixes-chrome-zero-days-exploited-at-pwn2own-2024/

CISA 警告:黑客正在积极攻击 Microsoft SharePoint 漏洞

日期: 2024-03-28
标签: 信息技术, CVE-2023-24955

美国网络安全和基础设施安全局 (CISA)根据在野外主动利用的证据,将影响 Microsoft Sharepoint Server 的安全漏洞添加到其已知被利用漏洞 ( KEV )目录中。该漏洞的编号为 CVE-2023-24955(CVSS 评分:7.2),是一个严重的远程代码执行漏洞,允许具有站点所有者权限的经过身份验证的攻击者执行任意代码。

详情

https://thehackernews.com/2024/03/cisa-warns-hackers-actively-attacking.html

Microsoft Edge 漏洞可能允许攻击者悄悄安装恶意扩展程序

日期: 2024-03-28
标签: 信息技术, Microsoft Edge 网络浏览器

Microsoft Edge 网络浏览器中现已修补的安全漏洞可能被滥用在用户系统上安装任意扩展并执行恶意操作。Guardio Labs 安全研究员 Oleg Zaytsev 在与 The Hacker News 分享的新报告中表示:“该漏洞可能让攻击者利用最初用于营销目的的私有 API,在用户不知情的情况下秘密安装具有广泛权限的额外浏览器扩展。 ”该漏洞被编号为CVE-2024-21388(CVSS 评分:6.5),微软在 2023 年 11 月负责任地披露该漏洞后,于 2024 年 1 月 25 日发布的 Edge 稳定版本 121.0.2277.83 中解决了该问题。

详情

https://thehackernews.com/2024/03/microsoft-edge-bug-could-have-allowed.html

尚未修补的 Ray AI 平台关键漏洞被利用进行加密货币挖矿

日期: 2024-03-28
标签: 信息技术, Anyscale Ray 

网络安全研究人员警告称,威胁行为者正在积极利用名为 Anyscale Ray 的开源人工智能 (AI) 平台中“有争议的”且未修补的漏洞,劫持计算能力进行非法加密货币挖掘。Oligo Security 研究人员 Avi Lumelsky、Guy Kaplan 和 Gal Elbaz表示:“该漏洞允许攻击者接管公司的计算能力并泄露敏感数据。”“过去七个月来,这一漏洞一直受到积极利用,影响到教育、加密货币、生物制药等领域。”该活动自 2023 年 9 月开始,由以色列应用安全公司代号为ShadowRay。这也是 AI 工作负载首次因 AI 基础设施的缺陷而成为攻击目标。

详情

https://thehackernews.com/2024/03/critical-unpatched-ray-ai-platform.html

已有十年历史的 Linux“墙”漏洞可帮助制造虚假的 SUDO 提示并窃取密码

日期: 2024-03-29
标签: 信息技术, WallEscape

Linux 操作系统的util-linux软件包中的wall命令 存在一个漏洞,可能允许非特权攻击者窃取密码或更改受害者的剪贴板。该安全问题被标记为CVE-2024-28085,又被称为 WallEscape ,在过去 11 年中一直存在于该软件包的每个版本中,直到昨天发布的2.40 版。尽管该漏洞是一个有趣的例子,说明攻击者如何欺骗用户提供管理员密码,但利用该漏洞可能仅限于某些场景。攻击者需要访问已经有多个用户通过终端同时连接的 Linux 服务器,例如学生可能连接以完成作业的大学。

详情

https://www.bleepingcomputer.com/news/security/decade-old-linux-wall-bug-helps-make-fake-sudo-prompts-steal-passwords/

0x07   安全分析

揭示TinyTurla的完整杀伤链

日期: 2024-03-25
标签: 信息技术, TinyTurla-NG, APT舆情

思科Talos提供了其最近两份报告的最新信息,该报告涉及俄罗斯间谍组织Turla部署的TinyTurla-NG(TTNG)植入程序。现在掌握了该攻击者使用的整个杀伤链的新信息,包括用于从受害者那里窃取有价值信息并通过受感染企业传播的TTP。Talos与CERT.NGO合作进行的分析表明,Turla感染了欧洲非政府组织(NGO)受感染网络中的多个系统。攻击者破坏了第一个系统,建立了持久性,并为这些端点上运行的防病毒产品添加了排除项,作为其初步的后渗透行动的一部分。Turla随后通过Chisel打开了额外的通信渠道,用于数据泄露并转向网络中其他可访问的系统。

详情

https://blog.talosintelligence.com/tinyturla-full-kill-chain/

APT-C-09(摩诃草)组织以巴基斯坦联邦税务局为诱饵的攻击活动分析

日期: 2024-03-25
标签: 信息技术, 金融业, APT舆情

APT-C-09(摩诃草)又称、白象、Patchwork、Dropping Elephant,是一个具有南亚国家背景的APT组织,从2015年至今,该组织一直处于活跃状态,长期针对若干周边国家进行网络攻击活动,以窃取敏感信息为主。近期360高级威胁研究院再次发现了该组织针对周边国家的攻击样本,并捕获到基于C#的后门载荷,说明该组织正在对其武器库进行丰富和扩展。这类载荷在摩诃草历史攻击中比较少见,通过分析代码,发现该类组件应该是摩诃草组织新开发的第一阶段恶意后门,鉴于此情况,本文重点披露这类组件。

详情

https://mp.weixin.qq.com/s/SAt5NU-hCbS0D6jI8gkkFQ

中东地区网络欺诈活动激增

日期: 2024-03-25
标签: 信息技术, Ramadan

在Ramadan月期间,Resecurity观察到欺诈活动和诈骗显著增加,与零售和在线交易激增同时出现。中东企业面临更高风险,敦促加强消费者保护和品牌安全。沙特阿拉伯王国的消费支出超过160亿美元,电子商务活动激增,吸引了网络犯罪分子利用平台进行诈骗,对消费者和企业造成重大财务影响。Resecurity在中东为多个客户进行品牌保护,有效阻止了320多个冒充物流提供商和电子政务服务的欺诈资源。网络犯罪分子利用云托管服务创建具有人工智能的网站,以高效扩大操作规模,迅速生成新的欺诈网站。建议不要在可疑网站上分享个人和付款信息,不要相信自称银行或政府工作人员的个人。

详情

https://securityaffairs.com/161009/cyber-crime/cybercriminals-accelerate-scams-ramadan.html

TA450攻击大型跨国组织的以色列员工

日期: 2024-03-25
标签: 信息技术, TA450, APT舆情

Proofpoint研究人员最近观察到TA450组织的新攻击行动,该组织使用与薪酬相关的社会工程诱饵来针对大型跨国组织的以色列员工。TA450以针对以色列实体而闻名,特别是自2023年10月以色列与哈马斯战争爆发以来,这种趋势继续延续,重点关注全球制造、技术和信息安全公司。在从3月7日开始并持续到2024年3月11日这一周的网络钓鱼活动中,TA450发送了带有包含恶意链接的PDF附件的电子邮件。虽然这种方法对TA450来说并不陌生,但攻击者最近依赖于直接在电子邮件正文中包含恶意链接,而不是添加此额外步骤。Proofpoint研究人员观察到,相同的目标会收到多封带有PDF 附件的网络钓鱼电子邮件,这些附件的嵌入链接略有不同。这些链接指向各种文件共享网站,包括Egnyte、Onehub、Sync和TeraBox。这些电子邮件还使用了可能受到损害的.IL发件人帐户,这与该攻击者最近的行动一致。

详情

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta450-uses-embedded-links-pdf-attachments-latest-campaign

Tycoon 2FA:新型钓鱼攻击工具

日期: 2024-03-26
标签: 信息技术, Tycoon 2FA, 双因素身份验证

网络犯罪分子越来越多地使用名为“Tycoon 2FA”的新钓鱼即服务(PhaaS)平台,以针对Microsoft 365和Gmail账户,并绕过双因素身份验证(2FA)保护。

Tycoon 2FA是由Sekoia分析师在2023年10月在例行威胁狩猎中发现的,但自至少2023年8月以来一直活跃,当时Saad Tycoon组通过私人Telegram频道提供了该服务。该PhaaS工具包与其他中间人攻击(AitM)平台(如Dadsec OTT)相似,表明可能存在代码重用或开发者之间的合作。

2024年,Tycoon 2FA发布了一个更隐蔽的新版本,表明了不断改进该工具包的努力。目前,该服务利用了1100个域,并已在数千次钓鱼攻击中观察到。

详情

https://www.bleepingcomputer.com/news/security/new-mfa-bypassing-phishing-kit-targets-microsoft-365-gmail-accounts/

Google新算法推荐欺诈网站

日期: 2024-03-26
标签: 信息技术, SEO毒害活动

Google最新的AI驱动的“搜索生成体验”算法推荐的网站存在欺诈行为,将访问者重定向到不需要的Chrome扩展程序、假iPhone赠品、浏览器订阅垃圾邮件和技术支持诈骗网站。这些网站通过Google搜索生成体验(SGE)推荐,使用.online域名、相同的HTML模板和重定向,显然属于同一SEO毒害活动。

详情

https://www.bleepingcomputer.com/news/google/googles-new-ai-search-results-promotes-sites-pushing-malware-scams/

Google Play 上的免费 VPN 应用将 Android 手机变成代理

日期: 2024-03-27
标签: 信息技术, Google Play

研究人员发现,Google Play 上有超过 15 款免费 VPN 应用使用恶意软件开发工具包,该工具包可将 Android 设备变成不知情的住宅代理,可能用于网络犯罪和购物机器人。用户可能会自愿注册代理服务以获得金钱或其他奖励,但 其中一些代理服务 采用不道德和 阴暗的 手段秘密地在人们的设备上安装代理工具。一旦秘密安装,受害者的互联网带宽将在不知情的情况下被劫持,并可能因成为恶意活动的源头而面临法律麻烦。

详情

https://www.bleepingcomputer.com/news/security/free-vpn-apps-on-google-play-turned-android-phones-into-proxies/

黑客在 Telegram 上出售名为“GEOBOX”的定制 Raspberry Pi 软件

日期: 2024-03-27
标签: 信息技术, 黑客工具

网络犯罪分子正在 Telegram 上出售名为“GEOBOX”的定制 Raspberry Pi 软件,该软件允许缺乏经验的黑客将微型计算机转换为匿名网络攻击工具。GEOBOX 在 Telegram 频道上出售,订阅费用为每月 80 美元,终身许可费用为 700 美元,以加密货币支付。

详情

https://www.bleepingcomputer.com/news/security/700-cybercrime-software-turns-raspberry-pi-into-an-evasive-fraud-tool/

黑客利用 Ray 框架漏洞入侵服务器、劫持资源

日期: 2024-03-27
标签: 信息技术, ShadowRay

一项名为“ShadowRay”的新黑客活动针对流行的开源 AI 框架 Ray 中未修补的漏洞,劫持计算能力并泄露数千家公司的敏感数据。根据应用安全公司 Oligo 的报告,这些攻击至少从 2023 年 9 月 5 日就开始了,目标是教育、加密货币、生物制药和其他领域。Ray 是由 Anyscale 开发的开源框架,用于在机器集群中扩展 AI 和 Python 应用程序,以实现分布式计算工作负载。

详情

https://www.bleepingcomputer.com/news/security/hackers-exploit-ray-framework-flaw-to-breach-servers-hijack-resources/

针对俄罗斯公司的网络间谍组织PhantomCore

日期: 2024-03-28
标签: 信息技术, APT舆情

来自F.A.C.C.T.的专家发现了一个新的网络间谍组织,根据现有数据,该组织的活动始于2024年1月。该组织被命名为PhantomCore,因为攻击者使用一种独特的、以前未描述的远程访问木马PhantomRAT。PhantomCore对俄罗斯公司发起攻击的最初途径是包含受密码保护的RAR存档的网络钓鱼电子邮件。他们利用了WinRAR漏洞的变体CVE-2023-38831,其中使用RAR而不是ZIP存档,存档本身包含一个PDF文档和一个可执行文件所在的同名目录。尝试打开PDF文档后,将启动恶意可执行文件。最后发现的阶段是PhantomRAT远程访问木马。

详情

https://www.facct.ru/blog/phantomcore/

APT-C-43(Machete)组织疑向更多元化演变

日期: 2024-03-28
标签: 信息技术, APT舆情

APT-C-43(Machete)组织最早由卡巴斯基于2014年披露,该组织的攻击活动集中于拉丁美洲具备西班牙语背景的目标,其主要通过社会工程学开展初始攻击,使用钓鱼邮件或虚假博客进行恶意文件传播,其受害者似乎都是西班牙语群体。2020年12月,360高级威胁研究院对该组织意图窃取委内瑞拉军事机密为反对派提供情报支持的攻击活动进行了披露,披露的攻击活动中APT-C-43使用了Python编写的新后门Pyark进行攻击,同样地,此次报告中也会对该组织近年使用的新后门进行披露,同时对该组织的演变提供几分猜想。

详情

https://mp.weixin.qq.com/s/tPVw-fbu3pQvKTYMzxb4Bw

新的 Darcula 网络钓鱼服务通过 iMessage 攻击 iPhone 用户

日期: 2024-03-28
标签: 信息技术, Darcula

一种名为“Darcula”的新型网络钓鱼即服务 (PhaaS) 使用 20,000 个域名来冒充品牌并窃取 100 多个国家的 Android 和 iPhone 用户的凭证。Darcula 已被用来针对各种服务和组织,从邮政、金融、政府、税务部门到电信公司、航空公司、公用事业,为欺诈者提供超过 200 种模板可供选择。该服务的突出特点之一是,它使用 Google Messages 和 iMessage 的富通信服务 (RCS) 协议来接近目标,而不是通过短信发送网络钓鱼消息。

详情

https://www.bleepingcomputer.com/news/security/new-darcula-phishing-service-targets-iphone-users-via-imessage/

APT37组织的RoKRAT无文件攻击行动

日期: 2024-03-28
标签: 信息技术, APT舆情

Genius安全中心(GSC)发现了从2024年2月12日星期一农历新年假期结束到月底期间进行的一系列APT37威胁行动。他们与Lazarus、Kimsuky和 Konni一样,是针对韩国的主要国家支持威胁组织之一。APT37持续针对朝鲜领域工作人员进行鱼叉式网络钓鱼,包括朝鲜人权组织、报道朝鲜的记者、脱北者等,通过对实际案例的深入分析,GSC确认LNK文件中嵌入的PowerShell命令在初始攻击中是一致使用的。从威胁攻击者的角度来看,这可能在某种程度上有效地避免了防病毒检测。此外,加密的RoKRAT恶意软件以无文件方式执行,收集终端信息并秘密渗漏到海外云服务器。

详情

https://www.genians.co.kr/blog/threat_intelligence/rokrat

APT组织疑似利用OA漏洞批量攻击国内资产预警

日期: 2024-03-28
标签: 信息技术, APT舆情

近期,电信安全水滴实验室通过APT狩猎监测发现,东南亚背景APT组织“海莲花”疑似利用某OA(办公自动化)系统任意文件上传漏洞(CNVD-2023-101566)批量攻击境内资产并尝试上传后门,获取攻击对象的OA系统远程控制权限,潜伏伺机展开深度攻击。水滴实验室追踪狩猎发现,“海莲花”疑似通过CNVD-2023-101566漏洞短期内批量攻击国内41个资产,上传webshell后门。追踪发现攻击对象主要分布广东、四川、福建、广西、重庆等省/直辖市/自治区。

详情

https://mp.weixin.qq.com/s/cR-T3nk2qkuBA9SXa2S-bA

Darcula 网络钓鱼网络利用 RCS 和 iMessage 逃避检测

日期: 2024-03-29
标签: 信息技术, Darcula

一个名为Darcula的复杂网络钓鱼即服务 (PhaaS) 平台利用超过 20,000 个假冒域名的庞大网络,将目光瞄准了 100 多个国家的组织,帮助网络犯罪分子发动大规模攻击。Darcula 是一个中文版 PhaaS,在 Telegram 上做广告,支持大约 200 个冒充合法品牌的模板,客户可以每月支付一定费用来设置钓鱼网站并开展恶意活动。大多数模板旨在模仿邮政服务,但也包括公共和私人事业、金融机构、政府机构(例如税务部门)、航空公司和电信组织。这些钓鱼网站托管在专门注册的域名上,这些域名冒充相应的品牌名称,以增加合法性的假象。这些域名由 Cloudflare、腾讯、Quadranet 和 Multacom 提供支持。总共有 11,000 个 IP 地址上检测到了 20,000 多个与 Darcula 相关的域名,自 2024 年初以来,平均每天发现 120 个新域名。以色列安全研究员 Oshri Kalfon 于 2023 年 7 月披露了PhaaS 服务的一些方面。

详情

https://thehackernews.com/2024/03/darcula-phishing-network-leveraging-rcs.html

思科警告针对 VPN 服务的密码喷洒攻击

日期: 2024-03-29
标签: 信息技术, 密码喷洒攻击

思科向客户分享了一系列建议,以缓解针对思科安全防火墙设备上配置的远程访问 VPN (RAVPN) 服务的密码喷洒攻击。该公司表示,此次攻击还针对其他远程访问 VPN 服务,似乎是侦察活动的一部分。在密码喷洒攻击期间,攻击者会尝试使用相同的密码登录多个帐户。思科的缓解指南列出了此活动的危害指标 (IoC),以帮助检测攻击并阻止它们。

详情

https://www.bleepingcomputer.com/news/security/cisco-warns-of-password-spraying-attacks-targeting-vpn-services/

0x08   行业动向

微软计划限制俄罗斯组织对云产品的访问

日期: 2024-03-25
标签: 信息技术, 欧盟制裁

微软计划根据去年12月欧盟监管机构发布的对俄罗斯的制裁要求,将在3月底之前限制俄罗斯组织对超过50款云产品的访问。最初计划于2024年3月20日暂停,但为给受影响的实体更多时间设置替代解决方案,延期至月底。这一即将到来的暂停首次被俄罗斯最大的IT服务提供商之一Softline集团报道。根据微软发布的信函,这些暂停是根据去年12月颁布的欧盟理事会法规2023/2873执行的。微软将在2024年3月20日终止相关订阅,届时将无法访问这些产品或其中存储的任何数据。

详情

https://www.bleepingcomputer.com/news/microsoft/microsoft-to-shut-down-50-cloud-services-for-russian-businesses/

苹果新功能推动欧盟用户增长164%

日期: 2024-03-25
标签: 信息技术, 数字市场法案, 欧朋 Opera

苹果推出符合欧盟数字市场法案(DMA)的新功能后,其在iOS设备上的新欧盟用户数量大幅增长164%。苹果在iOS 17.4中推出了一个新选择屏幕,要求欧盟用户从随机列出的浏览器列表中选择默认的网络浏览器,其中包括欧朋。用户在更新手机后首次打开Safari时,将看到一个列出其地区流行浏览器的列表,以供选择其默认浏览器。

详情

https://www.bleepingcomputer.com/news/technology/opera-sees-big-jump-in-eu-users-on-ios-android-after-dma-update/

葡萄牙强制暂停世界币收集生物特征数据

日期: 2024-03-27
标签: 信息技术, Worldcoin

葡萄牙数据监管机构已要求 Worldcoin 停止收集其公民的生物特征数据 90 天。葡萄牙国家数据保护委员会 (Comissão Nacional de Proteção de Dados,简称 CNPD) 于 3 月 26 日宣布勒令 Worldcoin 暂停其“orb”设备在该国收集数据。

Worldcoin 是一个将加密货币与虹膜扫描技术相结合以创建全球数字身份系统的项目。该项目由 Tools for Humanity (TFH) 于 2019 年启动,该公司由 OpenAI 首席执行官 Sam Altman、Max Novendstern 和 Alex Blania 创立。

详情

https://www.infosecurity-magazine.com/news/portugal-worldcoin-stop-biometric/

indows 11 KB5035942 更新启用 Moment 5 功能

日期: 2024-03-27
标签: 信息技术, Moment 5 功能

微软发布了适用于 Windows 11 23H2 的 2024 年 3 月非安全预览更新 KB5035942,默认启用 Moment 5 功能并修复了 18 个已知问题。KB5035942 将默认为所有用户切换Windows 11“Moment 5”更新中的新功能,包括新的 Windows Copilot 技能和插件、Windows 锁定屏幕上的更多内容、AI 驱动的 Clipchamp 和照片功能、智能 Snap 建议、新的 Windows 365 Boot 企业功能以及改进的语音访问。预览更新还解决了已知问题,例如某些处理器上 USB 音频出现故障以及用于移除蓝牙设备时设置应用程序冻结。

详情

https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5035942-update-enables-moment-5-features-for-everyone/

澳大利亚政府在遭受重大攻击后加大网络安全力度

日期: 2024-03-27
标签: 信息技术, 澳大利亚

在一系列震惊澳大利亚、具有重大破坏力的数据泄露事件发生后,澳大利亚政府正在制定计划修改网络安全法律和法规。政府官员最近发布了一份所谓的咨询文件,概述了具体建议,并征求私营部门的意见,所谓的战略是到 2030 年将国家定位为网络安全领域的世界领先者。除了解决现有网络犯罪法的漏洞外,澳大利亚立法者还希望修改该国《2018 年关键基础设施安全(SOCI)法案》,更加重视威胁预防、信息共享和网络事件响应。

详情

https://www.darkreading.com/cyber-risk/australian-government-doubles-down-on-cybersecurity-in-wake-of-major-attacks

NIST 宣布成立新联盟运营国家漏洞数据库

日期: 2024-03-29
标签: 信息技术, 美国国家标准与技术研究院 (NIST) 

现已正式公布:美国国家标准与技术研究院 (NIST) 将把全球使用最广泛的软件漏洞存储库的某些管理工作移交给一个行业联盟。美国商务部下属机构NIST于2005年启动了美国国家漏洞数据库(NVD)并一直运营至今。预计这种情况将会改变,最早从 2024 年 4 月初开始,数据库将交到经过审查的组织的集体手中。NVD 项目经理 Tanya Brewer 在2024 年 3 月 25 日至 27 日于北卡罗来纳州罗利举行的由事件响应和安全团队论坛 (FIRST) 主办的网络安全会议 VulnCon 上正式宣布了这一消息。

详情

https://www.infosecurity-magazine.com/news/nist-unveils-new-nvd-consortium/

PyPI 暂停新用户注册以阻止恶意软件活动

日期: 2024-03-29
标签: 信息技术, PyPI

Python 软件包索引 (PyPI) 已暂时停止用户注册和新项目的创建,以应对正在进行的恶意软件活动。PyPI 是 Python 项目索引,可帮助开发人员查找和安装 Python 包。 由于有数千个软件包可用,该存储库对威胁行为者来说是一个有吸引力的目标,他们经常上传抢注的或虚假的软件包来危害软件开发人员和潜在的供应链攻击。此类活动迫使 PyPI 管理员今天早些时候宣布暂停所有新用户注册,以减轻恶意活动。

详情

https://www.bleepingcomputer.com/news/security/pypi-suspends-new-user-registration-to-block-malware-campaign/

0x09   其他事件

德国当局成功摧毁非法地下市场"Nemesis Market"

日期: 2024-03-25
标签: 信息技术, 金融业, Nemesis Market, 暗网

德国当局宣布成功摧毁了一个名为“Nemesis Market”的非法地下市场,该市场销售毒品、被盗数据和各种网络犯罪服务。德国联邦刑事警察局(BKA)表示,他们查封了位于德国和立陶宛的暗网服务的数字基础设施,并没收了价值94,000欧元(102,107美元)的加密货币资产。此次行动是在2024年3月20日与德国、立陶宛和美国执法机构的合作下进行的,该行动是自2022年10月开始的一项广泛调查的结果。Nemesis Market成立于2021年,据估计在关闭之前拥有超过15万个用户账户和1100个来自世界各地的卖家账户。市场上的商品种类包括毒品、欺诈获得的数据和商品,以及一系列网络犯罪服务,如勒索软件、钓鱼或DDoS攻击。BKA表示,他们目前正在对该平台的犯罪卖家和用户进行进一步调查,但尚未逮捕任何人。这一发展发生在另一次协调的执法行动之后,该行动打击了LockBit勒索软件组,接管了该组织的服务器,并逮捕了来自波兰和乌克兰的三名成员。这次打击迫使该团伙重新启动了其网络勒索活动。近几个月来,德国当局还关闭了Kingdom Market和Crimemarket,这两个市场都拥有数千名用户,提供了广泛的洗钱和网络犯罪服务。

详情

https://thehackernews.com/2024/03/german-police-seize-nemesis-market-in.html

美国制裁三家加密货币交易所

日期: 2024-03-26
标签: 信息技术, 暗网市场

美国财政部外国资产控制办公室(OFAC)制裁了三家加密货币交易所,因其与OFAC指定的俄罗斯暗网市场和银行合作。这三家交易所分别是Bitpapa IC FZC LLC、Obshchestvo S Ogranichennoy Otvetstvennostyu Tsentr Obrabotki Elektronnykh Platezhey(TOEP)和Crypto Explorer DMCC(AWEX)。它们分别与Hydra Market、Garantex、Sberbank、Alfa-Bank等OFAC指定的实体进行了数百万美元的交易,从事虚拟货币兑换、数字支付和现金服务。这些交易所因其涉及俄罗斯金融服务领域而受到制裁。此外,OFAC还指定了多家俄罗斯金融科技公司和它们的所有者,因其与OFAC指定的俄罗斯银行合作,帮助俄罗斯企业和个人逃避制裁。

详情

https://www.bleepingcomputer.com/news/security/us-sanctions-crypto-exchanges-used-by-russian-darknet-market-banks/

美国男子因数千次骚扰电话被罚款 990 万美元

日期: 2024-03-26
标签: 信息技术, 骚扰电话

美国联邦法院对名为Scott Rhodes的个人做出了991.8万美元的罚款和禁令,原因是他向全国各地的消费者发送了数千条“伪装”自动电话。自动电话是使用自动拨号软件向许多接收者传递预先录制的消息。尽管它们有合法用途,包括销售、公共服务公告、慈善请求和政治活动,但威胁行为者利用它们传播诈骗或虚假信息,导致骚扰和损失。美国司法部的声明称Rhodes的行为“非法且恶意”,强调该人偏爱发起针对特定地区的自动电话攻击,内容具有煽动性和令人不安。一些接到这些电话的人向联邦通信委员会(FCC)报告了这种骚扰,当局追踪到这些活动是由居住在爱达荷州和蒙大拿州的Rhodes进行的。美国司法部在2021年9月起诉了Rhodes,并提出了一项简易判决动议。

详情

https://www.bleepingcomputer.com/news/legal/us-fines-man-99-million-for-thousands-of-disturbing-robocalls/

CISA和FBI敦促技术制造公司高管加强软件安全防护

日期: 2024-03-26
标签: 信息技术, SQL注入

CISA和FBI敦促技术制造公司的高管在发货前进行正式审查,实施措施消除SQL注入(SQLi)安全漏洞。SQL注入攻击是指威胁行为者将恶意构造的SQL查询注入到数据库查询中使用的输入字段或参数中,利用应用程序安全漏洞执行意外的SQL命令,例如窃取、操纵或删除存储在数据库中的敏感数据。CISA和FBI建议使用带有预处理语句的参数化查询来防止SQL注入漏洞。这种方法将SQL代码与用户数据分离,使恶意输入无法被解释为SQL语句。SQLi漏洞在2021年至2022年间占据了MITRE软件最危险漏洞前25名中的第三位,仅次于越界写入和跨站脚本。CISA和FBI发出了联合警报,呼吁高管确保他们的组织立即开始实施减轻措施,消除当前和未来软件产品中的所有此类缺陷。他们强调在设计阶段开始并持续进行开发、发布和更新,将此减轻措施纳入其中,可以减少客户的网络安全负担和公众风险。

详情

https://www.bleepingcomputer.com/news/security/cisa-urges-software-devs-to-weed-out-sql-injection-vulnerabilities/#google_vignette

0x0a   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x0b   时间线

2024-03-25 360CERT发布安全周报