报告编号：B6-2022-081501

报告来源：360CERT

报告作者：360CERT

更新日期：2022-08-15

0x01   事件导览

本周收录安全热点51项，话题集中在恶意程序、网络攻击方面，涉及的组织有：Killnet、DeathStalker、Andariel、Bitter等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

SOVA恶意软件增加了勒索软件功能来加密Android设备

日期: 2022-08-13
标签: 金融业, SOVA, 勒索软件, 

SOVA Android银行木马继续发展，具有新功能，代码改进以及添加新的勒索软件功能，可加密移动设备上的文件。随着最新版本的发布，SOVA恶意软件现在针对200多个银行，加密货币交易所和数字钱包应用程序，试图从中窃取敏感的用户数据和cookie。此外，它具有重构和改进的代码，可帮助其在受感染的设备上更隐蔽地运行，而其最新版本5.0则增加了勒索软件模块。目前，第五个版本尚未广泛流传，其VNC模块在早期样本中缺失，因此该版本可能仍在开发中。根据Cleafy的说法，即使在目前未完成的形式下，SOVA v5也已准备好进行大规模部署，因此建议所有Android用户保持警惕。

详情

DeathStalker对外汇和加密货币交易所的持续攻击

日期: 2022-08-11
标签: 信息技术, 金融业, DeathStalker, VileRAT, APT舆情, C2, 

VileRAT是一个Python植入物，是针对外汇和加密货币交易公司高度复杂的攻击活动的一部分。卡巴斯基在2020年第2季度发现了它，作为Evilnum作案手法更新的一部分，并将其归因于DeathStalker。自2020年6月首次确定以来，DeathStalker确实一直在不断利用和更新其VileRAT工具链来针对相同类型的目标。在撰写本文时，该活动不仅正在进行中，而且DeathStalker最近可能更频繁的使用此工具链来攻击目标。

详情

Andariel组织部署DTrack和Maui勒索软件

日期: 2022-08-10
标签: 日本, 信息技术, Andariel, 勒索攻击, 

卡巴斯基可以确认2022年的Maui勒索软件事件归因,并将Maui的“首次发现”日期从CISA报告的2021年5月延长至2021年4月15日，同时攻击目标增加日本企业。卡巴斯基发现攻击者在将Maui部署到初始目标系统的前十个小时，还在该系统上部署了DTrack恶意软件的变种，因此以中低置信度归因于讲韩语的Andariel组织。

详情

一个新的SolidBit勒索软件变体攻击了著名的游戏

日期: 2022-08-10
标签: 文化传播, GitHub, 勒索软件, 

网络安全研究人员报告了一种新的高级SolidBit勒索软件变体，该变体正在使著名游戏（英雄联盟）和社交媒体平台的受众受害。恶意软件被上传到GitHub，在那里它被伪装成不同的应用程序和Instagram关注者机器人来吸引受害者。Solidbit勒索软件是一种计算机病毒，它将恶意代码执行到Windows中以加密位于其上的所有个人文件并锁定所有个人文件。SolidBit的勒索软件参与者目前可能与Yashma勒索软件的原始开发人员合作，并可能修改了Chaos构建器中的一些功能，将其更名为SolidBit。GitHub上的英雄联盟帐户检查器上传了一个包含指令工具的文件，但是，它不包括图形用户界面（GUI）或与其假定功能相关的任何其他行为，它只是对用户的诱饵。

详情

毛伊岛勒索软件操作与朝鲜“Andariel”黑客有关

日期: 2022-08-09
标签: 俄罗斯, 越南, 朝鲜, 信息技术, Andariel, 勒索软件, 

毛伊岛的勒索软件行动与朝鲜国家赞助的黑客组织“Andariel”有关，Andariel（又名Stonefly）与网络攻击有关，以进行间谍活动，数据盗窃，数据擦除以及为朝鲜政府增加收入的行动。该组织以利用恶意网络活动创收并在韩国引起不和谐而闻名。国家支持的朝鲜黑客因出于经济动机策划活动而臭名昭着，因此运行自己的勒索软件操作符合他们的总体战略目标。毛伊岛和安达里尔之间的联系是由卡巴斯基的研究人员建立的，他们将其归因于中等可信度。卡巴斯基的最新报告以之前的揭露为基础，并提供了毛伊岛早些时候对一家日本房地产公司的攻击以及随后在印度，俄罗斯和越南发生的无属性攻击的证据。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

AT&T否认与2300万个SSN的数据库连接

日期: 2022-08-12
标签: 美国, 信息技术, AT&T, 移动网络运营商, 

密尔沃基网络安全公司Hold Security的Brian Krebs首次报道说，它在一个暗网平台上发现了一个3.6 GB的文件，其中包含社会安全号码和属于2300万人的信息。这家安全公司告诉克雷布斯，有大量证据表明该数据库与AT&T有关，包括以“att.net”，“SBCGLobal.net”或“Bellsouth.net”结尾的电子邮件地址，以及指向的AT&T宽带服务和位置数据的链接，将信息与AT&T运营的21个州联系起来。但是电信巨头AT&T否认与包括2300万美国人的社会安全号码在内的被盗信息数据库有任何连接。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

Killnet发布其攻击洛克希德·马丁公司的“证据”

日期: 2022-08-11
标签: 俄罗斯, 乌克兰, 信息技术, 俄乌战争, 

8月1日，洛克希德·马丁公司据称成为亲俄黑客组织Killnet提供的DDoS攻击的目标。该信息来自莫斯科时报，该报报道了Killnet声称的责任。Killnet是一个亲俄组织，专门从事DoS和DDoS攻击。它被认为是在2022年3月成立的，其主要动机是对俄罗斯的敌人进行报复。据信，它应对罗马尼亚，摩尔多瓦，捷克共和国，意大利，立陶宛，挪威和拉脱维亚以及2022年欧洲歌唱大赛的政治动机袭击负责。据报道，2022年8月11日，Killnet在其Telegram群组上分享了一段视频，声称描绘了洛克希德·马丁公司员工的PII。DDoS攻击有时用于伪装和启用数据泄露，因此这种说法并不超出合理性的界限。

详情

亲俄黑客组织Killnet关闭了拉脱维亚议会网站

日期: 2022-08-11
标签: 俄罗斯, 乌克兰, 拉脱维亚, 政府部门, Killnet, DDoS, 俄乌战争, 

2022年8月11日，在拉脱维亚议会议员指定俄罗斯为“恐怖主义国家赞助者”后，亲俄黑客团伙Killnet关闭了拉脱维亚议会网站。议会的网站在遭到分布式拒绝服务 (DDoS) 攻击后关闭了几个小时，该攻击使网站充斥着垃圾流量，使其无法访问。Killnet在其官方 Telegram 频道上发布关于这次攻击的文章，并发布了一张截图，确认该网站已关闭，宣称对此次攻击负责。但根据拉脱维亚计算机应急响应小组(CERT.LV)的说法，这次袭击并未扰乱议会的工作，因为之前准备了防御解决方案。

详情

Bitter组织正在分发Dracarys安卓间谍软件

日期: 2022-08-10
标签: 信息技术, Bitter, APT舆情, 

在日常威胁狩猎中，Cyble发现Facebook提到Bitter组织正在分发Android间谍软件“Dracarys”。Bitter正在积极参与桌面和移动恶意软件活动，并使用鱼叉式网络钓鱼电子邮件等技术，利用已知漏洞分发远程访问木马（RAT）和其他恶意软件家族。Dracarys安卓间谍软件冒充真正的应用程序，如Signal、Telegram、WhatsApp、YouTube和其他聊天应用程序，并通过网络钓鱼网站分发。在分析过程中，观察到其中一个网络钓鱼网站仍然处于活动状态并且正在分发Dracarys。网络钓鱼网站模仿真正的Signal网站，并分发木马化的Signal应用程序。

详情

汽车供应商在2周内被3个勒索软件团伙破坏`

日期: 2022-08-10
标签: 批发零售, 勒索攻击, 双重勒索, 

一家汽车供应商在五月份的两周内被三个不同的勒索软件团伙破坏了系统，文件被加密，其中两次攻击在短短两个小时内发生。这些攻击是在2021年12月可能的初始访问代理（IAB）对公司系统进行初步破坏之后发生的，该代理利用防火墙配置错误使用远程桌面协议（RDP）连接破坏域控制器服务器。Sophos X-Ops事件响应者在8月10日发布的一份报告中表示：虽然双重勒索软件攻击越来越普遍，这是见过的第一起事件，其中三个独立的勒索软件参与者使用相同的入口点攻击单个组织。LockBit，Hive和ALPHV / BlackCat分支机构分别于4月20日，5月1日和5月15日获得了受害者网络的访问权限。

详情

ista在勒索软件攻击后系统离线

日期: 2022-08-10
标签: 信息技术, 

ista International GmbH是一家跨国公司，负责管理数据和流程，使建筑气候友好，安全和舒适。ista发布的公告表示：目前，ista的IT系统已成为外部网络攻击的受害者。作为一项直接措施，并帮助防止对我们的IT基础设施造成损害，公司所有可能受影响的IT系统都已脱机。因此，您将暂时受到限制或无法使用某些功能和服务。对于由此给您带来的不便，我们深表歉意，并请您在我们尝试解决问题时继续耐心等待。8月9日，daxin将ista的名字添加到他们的黑暗网站泄漏网站上，并列出了三个文件列表。8月10日，他们开始泄露一些数据。

详情

思科被勒索团伙“阎罗王”入侵，2.75GB数据被盗

日期: 2022-08-10
标签: 美国, 信息技术, 思科（Cisco）, 勒索, 社会工程, 

2022年8月10日，思科（Cisco）证实，勒索软件团伙“阎罗王”（Yanlouwang）在2022年5下旬入侵了其公司网络，并且试图以在线泄露被盗文件对思科进行威胁勒索。Yanluowang声称窃取了 2.75GB 的数据，其中包括大约 3,100 个文件。其中许多文件是保密协议、数据转储和工程图纸。Yanluowang 在劫持员工的个人 Google 帐户（包含从其浏览器同步的凭据）后，使用员工被盗的凭据获得了对思科网络的访问权限。随后进入 Citrix 环境，破坏了一系列 Citrix 服务器，并最终获得了对域控制器的特权访问。思科表示，目前未发现此事件对其业务造成任何影响，包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。

详情

网络钓鱼活动滥用Google搜索排名结果

日期: 2022-08-10
标签: 美国, 信息技术, 金融业, 微软（Microsoft）, 谷歌（Google）, 比特币基地（Coinbase）, MetaMask, Kraken, Gemini, 网络钓鱼, 搜索排名, 

2022年8月10日，Netskope 的分析师发现一起新型大规模网络钓鱼活动正在滥用 Google Sites 和 Microsoft Azure Web App 创建欺诈性网站，针对 Coinbase、MetaMask、Kraken 和 Gemini 用户。黑客通过控制机器人在合法网站上发布评论来推广这些网络钓鱼页面。在各种合法网站上发布网络钓鱼页面的链接旨在增加流量并提升恶意网站的搜索引擎排名。此外，由于网络钓鱼站点托管在 Microsoft 和 Google 服务中，它们不会被自动版主系统标记，从而增加恶意信息在评论区的停留时长。目前，黑客通过网络钓鱼活动试图窃取 MetaMask 钱包和加密货币交易所的凭证，例如 CoinBase、Kraken 和 Gemini。建议用户不应完全信任搜索结果排名靠前的网站，并使用 MFA 保护加密货币兑换账户，将大部分加密投资放在更难破解的冷钱包中。

详情

洛克希德马丁公司遭受网络攻击

日期: 2022-08-11
标签: 俄罗斯, 乌克兰, 信息技术, 俄乌战争, 

8月11日早些时候，“Топор Live”报道了亲俄黑客组织Killnet，Anonymous Russia和CarbonSec已成功入侵洛克希德马丁公司，泄露其数据并禁用了他们的安全徽章。

详情

Dragos：第二季度针对工业系统的勒索软件攻击共125次

日期: 2022-08-09
标签: 非洲, 信息技术, 制造业, 批发零售, 能源业, 勒索攻击, 

根据安全公司Dragos收集的数据，对工业系统的勒索软件攻击在今年第二季度继续有增无减，该公司在此期间统计了125起事件。第二季度对工业系统的勒索软件攻击略有下降，但有几起攻击造成了毁灭性的影响。在第二季度，针对工业组织和基础设施的所有勒索软件攻击中，近40%发生在欧洲，北美以36起事件排名第二。在亚洲发生了大约32起事件，在南美洲，中东和非洲发生了其他袭击事件。根据Dragos的数据，86次攻击针对制造组织的系统，而10次针对食品和饮料行业以及能源公司。分解后，对制造业的大多数攻击都涉及汽车公司，金属制品组织以及其他从事建筑材料和服装工作的公司。Dragos表示，对于第三季度，预计勒索软件集团将继续瞄准工业运营，“通过将OT杀伤流程集成到勒索软件株中，扁平化网络允许勒索软件传播到OT环境中，或者通过运营商预防性关闭OT环境以防止勒索软件传播到OT系统。

详情

阿根廷卫生服务计划受到LockBit的打击

日期: 2022-08-09
标签: 阿根廷, 卫生行业, 勒索攻击, 

OSDE是阿根廷的一个医疗保健服务和提供者网络。人们可以参加预付费健康计划，并在需要医疗护理或帮助时在线联系OSDE。根据其网站，OSDE目前拥有超过200万会员，8，000多家药店，以及近400个需要亲自医疗或个性化关注的会员中心。据报道，OSDE在6月25日遭受了网络攻击。这次攻击导致OSDE在几个小时内无法在线使用。6月27日，OSDE证实了这次攻击，但没有证实这是一起勒索软件事件。7月22日，LockBit将OSDE添加到他们在暗网上的专用泄漏站点，价格标签为300，000美元，用于购买或删除所有数据，一个证明包（文件样本），截止日期为8月6日。

详情

Cloudflare员工受到黑客攻击

日期: 2022-08-09
标签: 信息技术, Cloudflare, T-Mobile, 漏洞利用, Twilio, 

Cloudflare表示，其一些员工的凭据也在SMS网络钓鱼攻击中被盗，类似于上周导致Twilio网络遭到破坏的攻击。尽管攻击者掌握了Cloudflare员工的帐户，但在他们尝试使用它们登录后，未能破坏其系统，因为他们无法访问受害者的公司发布的符合FIDO2的安全密钥。Cloudflare还透露，在网络钓鱼页面上输入凭据后，AnyDesk远程访问软件会自动下载到他们的计算机上，以允许威胁行为者远程控制他们的计算机（如果已安装）。从T-Mobile电话号码发送给76名员工及其家人的网络钓鱼消息将目标重定向到Cloudflare Okta登录页面克隆，该克隆托管在cloudflare-okta[。com 域。该域名是通过Porkbun域名注册商注册的，该域名也用于注册用于托管Twilio攻击中看到的登录页面的Web域名。

详情

金融加密平台deBridge Finance被朝鲜黑客组织Lazarus攻击

日期: 2022-08-08
标签: 朝鲜, 金融业, 信息技术, deBridge Finance, Lazarus Group, 网络钓鱼, 加密货币, 

2022年8月8日，研究人员发现，疑似来自朝鲜的黑客组织Lazarus试图从金融加密平台deBridge Finance 窃取加密货币。2022年8月4日，黑客针对 deBridge Finance 员工发送了一封声称来自公司联合创始人 Alex Smirnov 的电子邮件，据称该电子邮件分享了有关工资变化的新信息。该网络钓鱼电子邮件诱骗公司员工启动恶意软件，该恶意软件从 Windows 系统收集各种信息，并允许为后续攻击阶段提供额外的恶意代码。攻击者收集了有关受感染系统的详细信息，例如用户名、操作系统、CPU、网络适配器和正在运行的进程。

详情

Twilio在遭受网络钓鱼攻击后披露数据泄露

日期: 2022-08-08
标签: 美国, 政府部门, Twilio, 

Twilio是一款受政治竞选活动欢迎的通信软件，它披露了一项影响“有限数量”客户的违规行为。该公司8月7日在一篇博客文章中表示，它仍处于调查的早期阶段。Twilio表示，它于8月4日意识到了黑客攻击，并已与其客户联系，并正在与受该事件影响的客户合作。该公司拥有超过150，000名客户，包括政治运动和政府机构。在政治组织的情况下，该公司的平台用于自动与客户或选民进行电话，短信和其他通信。Twilio的政府客户包括退伍军人事务部和政府服务管理局等。Twilio表示，它正在与美国电话运营商和托管服务提供商合作，关闭攻击者使用的基础设施。

详情

丹麦的7-Eleven商店因网络攻击而关闭

日期: 2022-08-08
标签: 丹麦, 美国, 批发零售, 7-Eleven, 

丹麦的7-Eleven商店在8月8日遭受网络攻击而关闭，因为网络攻击扰乱了全国各地商店的支付和结账系统。该公司在Facebook上发帖称他们可能“受到黑客攻击”。7-Eleven的员工也证实了网络攻击，称他们在结账系统停止工作后被迫关闭商店。目前，没有关于攻击的进一步细节，包括是否涉及勒索软件，这已成为导致大规模中断的最常见的网络攻击。

详情

黑客利用开放重定向漏洞进行LogoKit网络钓鱼活动

日期: 2022-08-08
标签: 金融业, 信息技术, Snapchat, TA, LogoKit, 

根据网络安全研究人员Resecurity的新数据，攻击者（TA）利用在线服务和应用程序中的开放重定向漏洞来绕过垃圾邮件过滤器并交付网络钓鱼内容。特别是，TA将使用高度受信任的服务域（如Snapchat和其他在线服务）来创建特殊URL，然后通过网络钓鱼工具包导致恶意资源。Resecurity表示，作为这些攻击的一部分使用的工具是LogoKit的一部分，LogoKit以前曾用于对国际上几家金融机构和在线服务的攻击。LogoKit的峰值已经在八月初左右被发现，当时已经注册了多个冒充流行服务的新域名，并与Open Redirects一起利用。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

CVE-2021-30873：一个可以破坏所有macOS安全层的进程注入漏洞

日期: 2022-08-12
标签: 美国, 信息技术, Apple, 

2022年8月12日，安全人员发布研究报告，描述了macOS中的一个进程注入漏洞。在 macOS 12.0.1 Monterey 中存在一个进程注入漏洞，被追踪为CVE-2021-30873，影响所有基于 macOS AppKit 的应用程序。在当前 macOS 的安全架构中，进程注入是一种强大的技术。一个通用的进程注入漏洞可用于逃逸沙箱、将权限提升到 root 并绕过 SIP 的文件系统限制。研究人员还在报告中演示了如何在加载应用程序的保存状态时使用不安全的反序列化来注入任何 Cocoa 进程。而Apple官方已经在 macOS Monterey 更新中解决了这个漏洞。

详情

Realtek SDK漏洞影响全球多个供应商的路由器

日期: 2022-08-12
标签: 中国台湾, 制造业, 信息技术, Realtek, 路由器, 

中国台湾半导体公司 Realtek 生产的eCos SDK存在严重漏洞，可能使许多供应商的网络设备受到远程攻击。该安全漏洞被跟踪为 CVE-2022-27255 ，并被评为“高严重性”，被描述为基于堆栈的缓冲区溢出，远程攻击者可利用此漏洞导致服务器崩溃或在使用 SDK 的设备上执行任意代码。并且攻击者还可以使用特制的 SIP 数据包通过 WAN 接口执行攻击。安全研究人员进行了 Shodan 搜索，发现了 60,000 多个易受攻击的路由器，其管理面板暴露在外。此外，根据产品页面上显示的销售柜台显示，拉丁美洲最大的电子商务网站 Mercadolibre 已售出 130,000 台受此漏洞影响的设备。建议用户立即进行修复。

详情

黑客利用Zimbra安全漏洞破坏全球超1000台ZCS电子邮件服务器

日期: 2022-08-11
标签: 信息技术, Zimbra, 漏洞利用, 

威胁情报公司Volexity发现，黑客利用能绕过身份验证的 Zimbra 安全漏洞（CVE-2022-27925）来破坏全球的 Zimbra Collaboration Suite (ZCS) 电子邮件服务器。Zimbra 是一个电子邮件和协作平台，被来自 140 多个国家/地区的 200,000 多家企业使用，其中包括 1,000 多个政府和金融组织。Volexity称，早在2022年6月底，攻击者就一直在滥用ZCS远程代码执行漏洞（CVE-2022-27925），需要借助身份验证绕过漏洞进行身份验证（被追踪为CVE-2022-37042，并于2022年8月10日修补）。通过扫描，Volexity 在全球范围内发现了 1,000 多个 ZCS 实例，这些实例被后门入侵并受到攻击，受感染服务器的真实数量可能更高。这些 ZCS 实例属于各种全球组织，包括政府部门和部委、军事部门以及拥有数十亿美元收入的全球企业。建议用户尽快进行补丁升级。

详情

OT安全公司警告Alerton建筑系统漏洞带来的安全风险

日期: 2022-08-11
标签: 制造业, 建筑业, Alerton, Honeywell, OT, 建筑管理系统, 物联网安全, 

OT 和物联网网络安全公司 SCADAfence 在工业巨头霍尼韦尔 (Honeywell) 旗下品牌 Alerton 制造的建筑管理系统Alerton Compass中发现了潜在的严重漏洞。Alerton Compass中一共包含四个漏洞，分别影响产品的人机界面 (HMI)、Ascent 控制模块 (ACM) 和 Visual Logic 组件。其中两个漏洞的风险等级被评为“高严重性”，可以通过向目标系统发送特制数据包来利用。未经身份验证的远程攻击者可以在控制器上进行配置更改或编写未经授权的代码，这两者都可能导致控制器功能发生变化。如果攻击者在控制器上写入恶意代码，受害者需要重写程序才能恢复原来的操作功能。黑客可以针对建筑物的管理系统造成“灾难性破坏”，例如篡改医疗保健、制药或食品生产设施中的关键温度因素，还可以远程关闭通风系统，这可能会给使用危险化学品的制造设施带来安全风险。

详情

英特尔修补固件、管理软件中的严重漏洞

日期: 2022-08-10
标签: 信息技术, 制造业, 英特尔（Intel）, 漏洞修补, 

英特尔在8月10日发布了27个安全公告，详细介绍了固件、软件库以及端点和数据中心管理产品中的大约60个漏洞。其中最严重的错误（基于其 CVSS 分数）是英特尔维护的 Open AMT 云工具包（一种用于集成 OOB 管理解决方案的开源工具包）中的权限提升错误。跟踪为 CVE-2022-25899（CVSS 得分为 9.9），该漏洞被描述为未经身份验证的攻击者可能通过网络利用的身份验证绕过。英特尔建议更新到 Open AMT 云工具包版本 2.0.2 或 2.2.2，以解决安全问题。英特尔本周发布的其余12个公告涉及中低严重漏洞。CVE-2022-21233（也称为ÆPIC Leak）是一种针对英特尔处理器的新攻击方法，可能允许攻击者泄露潜在的敏感信息。

详情

Adobe发布多个漏洞的安全更新

日期: 2022-08-09
标签: 美国, 信息技术, Adobe, 微软（Microsoft）, Apple, CVE-2022-35665, CVE-2022-35666, CVE-2022-35667, CVE-2022-35668, CVE-2022-35670, CVE-2022-35671, CVE-2022-35678, 

2022年8月9日，软件制造商Adobe 发布了针对 AdobeAcrobat 和针对 Windows 和 macOS 的 Reader 的安全更新。受这些漏洞影响的产品包含：Acrobat DC、Acrobat Reader DC、Acrobat 2020、Acrobat Reader 2020、Acrobat 2017等。此次更新解决了25个漏洞，漏洞的cve编号包含：CVE-2022-35665、CVE-2022-35666、CVE-2022-35667、CVE-2022-35668、CVE-2022-35670、CVE-2022-35671、CVE-2022-35678等。这些漏洞可能导致任意的代码执行和内存泄漏。

详情

CISA 警告 Windows 和 UnRAR 漏洞的在野利用

日期: 2022-08-09
标签: 美国, 信息技术, 政府部门, 美国网络安全和基础设施安全局 (CISA), 微软（Microsoft）, Linux, 在野利用, Metasploit, UnRAR, Unix, 

2022年8月9日，美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中增加了两个漏洞。这两个安全漏洞的严重程度都很高，并且是目录遍历漏洞，可以帮助攻击者在目标系统上植入恶意软件。第一个漏洞是Windows DogWalk漏洞，被官方跟踪为CVE-2022-34713，是MSDT 中的安全漏洞，允许攻击者将恶意可执行文件放入 Windows 启动文件夹。第二个漏洞是UnRAR 漏洞，被跟踪为CVE-2022-30333，是 Linux 和 Unix 系统的 UnRAR 实用程序中的路径遍历错误。攻击者可以利用它在解压操作期间将恶意文件提取到任意位置，从而在目标系统上植入恶意文件。2022年8月初，两个漏洞的利用代码已添加到 Metasploit 渗透测试软件中。美国的联邦机构预计将在 8 月 30 日之前应用供应商的更新。

详情

微软 2022 年 8 月补丁日

日期: 2022-08-09
标签: 美国, 信息技术, 微软（Microsoft）, 微软补丁日, 

2022年8月9日，微软发布了2022 年 8 月的补丁更新，此次安全更新发布了121个漏洞的补丁，主要覆盖了以下组件：Active Directory Domain Services、Azure Site Recovery、Microsoft Edge (Chromium-based)、Microsoft Exchange Server、Microsoft Office Excel、Remote Access Service Point-to-Point Tunneling Protocol、Microsoft Windows Support Diagnostic Tool (MSDT)等等。其中包含64 提权漏洞，6 个安全功能绕过漏洞，31个远程代码执行漏洞，12个信息披露漏洞，7个拒绝服务漏洞，1个欺骗漏洞。此次更新还修复了被积极利用的“DogWalk”零日漏洞。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   其他事件

超过 9，000 台 VNC 服务器无密码在线暴露

日期: 2022-08-14
标签: 公共环保, VNC, 

研究人员已经发现了至少9，000个暴露的VNC（虚拟网络计算）端点，无需身份验证即可访问和使用，从而使威胁行为者可以轻松访问内部网络。VNC（虚拟网络计算）是一个独立于平台的系统，旨在帮助用户连接到需要监控和调整的系统，通过网络连接通过RFB（远程帧缓冲协议）提供对远程计算机的控制。如果这些终结点未使用密码进行正确保护（这通常是由于疏忽、错误或为方便而做出的决定造成的），则它们可以作为未经授权的用户（包括具有恶意意图的威胁参与者）的入口点。根据暴露的VNC背后的系统，例如水处理设施，滥用准入的影响可能对整个社区造成毁灭性的影响。研究人员建议VNC管理员永远不要将服务器直接暴露给互联网，如果它们必须远程访问，至少将它们放在VPN后面以保护对服务器的访问。

详情

英特尔推出了可调谐复制电路（TRC）以防止物理故障注入攻击

日期: 2022-08-12
标签: 美国, 制造业, 英特尔（Intel）, 

2022年8月11日，英特尔宣布了可调谐副本电路 (TRC)，这是第 12 代英特尔酷睿处理器中的一种新故障注入保护，旨在识别非侵入性物理故障攻击和电磁故障注入。故障注入攻击允许攻击者执行恶意指令，并可能通过时钟引脚、电磁和电压故障泄漏数据。TRC 旨在补充现有的软件缓解措施，依靠基于硬件的传感器来检测电路中的动态变化，并且可以进行微调以仅检测由攻击引起的时序违规。英特尔表示，它已将新的保护应用于平台控制器集线器 (PCH)，这是一种与 CPU 隔离的芯片组，旨在提高系统信任根的安全性。

详情

谷歌因收集 Android 位置数据被罚款 6000 万美元

日期: 2022-08-13
标签: 澳大利亚, 信息技术, 制造业, 谷歌（Google）, 澳大利亚竞争与消费者委员会 (ACCC), 移动安全, 数据隐私, Android, 

2022年8月13日，澳大利亚竞争与消费者委员会 (ACCC) 宣布，谷歌因在 2017 年 1 月至 2018 年 12 月的近两年时间里在收集和使用其位置数据方面误导澳大利亚 Android 用户而被罚款 6000 万美元。澳大利亚竞争监管机构表示，尽管用户在设备设置中禁用了“位置历史记录”，但谷歌仍然在跟踪其部分用户的 Android 手机。设备设置中的“位置禁用”让用户误认为该设置会禁用位置跟踪，但默认情况下后台会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。ACCC 表示，根据现有数据，估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。

详情

新黑客论坛DUMPS采取亲乌克兰的立场

日期: 2022-08-11
标签: 乌克兰, 俄罗斯, 信息技术, 政府部门, 俄乌战争, 

一个名为DUMPS的独特政治动机网站仅关注针对俄罗斯和白俄罗斯的威胁活动。研究人员发现，一个新的黑客论坛正在采取独特的政治立场来支持乌克兰与俄罗斯的战争，只关注针对俄罗斯和白俄罗斯的话题和威胁活动。该论坛目前约有100名成员，其中有交易非法材料，梳理，恶意软件和建立对目标网络的访问权限的部分，并公开邀请任何人加入。研究人员写道，仔细观察该论坛，可以发现其独特的意识形态，即采取坚定的政治立场来支持乌克兰，因为它保护自己免受俄罗斯入侵。目前在网站上讨论的大部分活动都是为了共享数据泄漏。其他热门话题宣传DDoS攻击服务，伪造和被盗的身份证件以及匿名和防弹托管服务，所有网络犯罪活动都针对俄罗斯和白俄罗斯的目标。

详情

美国政府以1000万美元悬赏Conti成员信息

日期: 2022-08-11
标签: 美国, 政府部门, 美国国务院, 黑客悬赏, 

2022年8月11日，美国国务院宣布悬赏 1000 万美元，以获取五名Conti 勒索软件团伙成员的信息，并且还首次公开了一个名为“Target”的Conti成员面孔。其他四名成员的代号分别是“Tramp”、“Dandis”、 “Professor”和“Reshaev”。正义奖赏计划是美国国务院的一项计划，奖励影响美国国家安全的黑客组织相关的信息。该计划最初是为了收集以美国利益为目标的恐怖分子的信息，后来扩大到为网络犯罪分子的信息提供奖励，例如 俄罗斯沙虫黑客、  REvil 勒索软件和 Evil Corp 黑客组织。为了收集情报信息，美国国务院还建立了一个 专用的 Tor SecureDrop 服务器 ，可用于匿名提交有关被通缉的 Conti 成员的信息。

详情

乌克兰政府官员表示俄罗斯的网络入侵缺乏战略

日期: 2022-08-10
标签: 乌克兰, 俄罗斯, 政府部门, 信息技术, 俄乌战争, 

2022年8月10日，乌克兰最高网络安全官员维克托·佐拉（Victor Zhora）表示，俄罗斯对乌克兰的网络攻击整体上是“混乱的”，反映出俄罗斯“缺乏战略”。尽管俄罗斯针对乌克兰的网络攻击很频繁，但似乎很少进行协调或针对重要目标。俄罗斯的大多数攻击是与志愿者一起通过 Telegram 渠道聚集在一起进行 分布式拒绝服务攻击]，或是入侵网络资源、破坏或利用网络中的漏洞，获取访问权限并试图泄露数据并尝试干涉媒体。Victor Zhora还表示：“有‘一大群人‘不断攻击一系列乌克兰目标，但他们的技能各不相同，而且至少到目前为止，主要还没有造成重大影响。“

详情

NHS 与英国网络当局合作调查针对Advanced的勒索软件攻击

日期: 2022-08-11
标签: 英国, 卫生行业, 英国国家卫生局（NHS）, 

2022年8月11日，英国国家卫生局（NHS）表示，它正在与英国国家网络安全中心合作，调查最近针对 IT 供应商Advanced的勒索软件攻击。Advanced 为 NHS 医院和诊所提供多种产品，该公司表示其系统在2022年 8 月 4 日遭到勒索软件攻击。使用 Adastra、Caresys、Odyssey、Carenotes、Crosscare、Staffplan 和 eFinancials 的客户已受到勒索软件攻击的影响。NHS在英国经营着超过 1,229 家医院，平均每天有超过 250,000 人通过 NHS 参加门诊预约。医院内部人士称，此次袭击削弱了他们的管理系统，迫使他们在无法查看病史的情况下就诊。并且最初勒索攻击发生时，NHS 的几个部门的服务都遭遇中断，救护车调度、患者转诊、预约、处方等服务都受到勒索软件攻击的影响。NHS发言人表示，NHS已经“尝试并测试了应急计划”，包括保护自己网络的防御系统，现在正与国家网络安全中心合作，以“充分了解其影响”。

详情

美国联邦贸易委员会着手制定隐私监管法规

日期: 2022-08-11
标签: 美国, 政府部门, 信息技术, 美国联邦贸易委员会 (FTC), 数据隐私, 

2022年8月4日，美国联邦贸易委员会 (FTC) 迈出了编纂商业监控和数据安全规则的第一步，这可能会加强其隐私监管能力。FTC 主席 Lina M. Khan 表示：“公司现在在各种情况下大规模收集个人数据。” “我们经济的日益数字化，并且还有不断收集敏感用户数据的商业模式以及对这些数据多元的使用方式，这些都意味着潜在的非法行为可能很普遍。”但该机构尚未提出具体规则，而是测试推动复杂的监管程序。FTC 的拟议规则制定预先通知 (ANPR) 将有一个公众意见征询期，从发布之日起持续 60 天。据报道，FTC还将在2022年9月就隐私监管问题举行一次虚拟公共论坛，进行进一步讨论。

详情

网络犯罪集团通过跨链桥平台RenBridge洗钱5.4 亿美元

日期: 2022-08-11
标签: 金融业, 信息技术, RenBridge, 跨链桥, 加密货币, 

为避免执法部门追踪和冻结其非法收益，黑客和加密货币犯罪分子最近开始进行所谓的跨链平台洗钱活动。根据根据区块链分析公司 Elliptic在2022年8月上旬发布的研究报告，在过去三年中，一个名为 RenBridge 的平台已被网络犯罪分子用来洗钱，涉及至少 5.4 亿美元的加密货币。RenBridge 是一种相对较新的资产服务，它允许用户在不同的区块链网络之间无缝移动资产——例如将比特币转换为以太坊区块链。而RenBridge的这种特性就被许多网络犯罪集团用来洗钱，例如Conti通过 RenBridge 洗钱超过 5300 万美元，而 Ryuk 洗钱超过 9200 万美元。在过去两年中，RenBridge还被用来清洗从交易所和去中心化金融服务中窃取的至少 2.67 亿美元的加密货币资产。由于没有中央服务提供商可以促进这些跨链交易，RenBridge 等区块链桥梁对监管机构构成了挑战，如何监管此类活动仍有待观察。

详情

CISA推出网络安全工具包保护美国大选免受黑客攻击

日期: 2022-08-11
标签: 美国, 政府部门, 美国网络安全和基础设施安全局 (CISA), 选举, 

2022年8月11日，美国网络安全和基础设施安全局 ( CISA )通过联合网络防御合作组织 (JCDC) 发布了一份免费网络安全工具列表，旨在帮助美国国家实体和公司加强网络安全工作，并提高美国选举基础设施的网络弹性。JCDC 重点关注的工具包资源涉及评估风险和保护通常受到四种不同类型攻击的选举基础设施资产。这些分别是网络钓鱼、勒索软件和分布式拒绝服务 (DDoS) 攻击。CISA 还发布了一些关于如何使用新工具包的指南。该指南还包含上述攻击最常针对的选举基础设施资产列表，其中包括电子投票簿和选民登记数据库、州和地方网站以及选举办公室日常业务功能所依赖的电子邮件系统和网络。

详情

CISA和FBI联合警告美国组织：Zeppelin勒索软件可能在攻击中多次加密设备

日期: 2022-08-11
标签: 美国, 信息技术, 政府部门, 美国网络安全和基础设施安全局 (CISA), 美国联邦调查局 (FBI), 勒索, 

2022年8月11日，美国网络安全和基础设施安全局（CISA）和美国联邦调查局（FBI）警告美国组织，部署Zeppelin勒索软件的攻击者可能会多次加密他们的文件。这两个联邦机构还共享了策略、技术和程序 (TTP) 以及妥协指标 (IOC)，以帮助安全专业人员检测和阻止使用这种勒索软件的攻击。FBI 最初在2022年6月21日检测到 Zeppelin 是一项勒索软件即服务 (RaaS) 操作，其恶意软件经历了多次名称更改，从 VegaLocker 到 Buran、  VegaLocker、  Jamper，现在是 Zeppelin。

Zeppelin至少自 2019 年以来一直活跃，目标是国防承包商和技术公司等企业和关键基础设施组织，重点关注来自 医疗保健和医疗行业的实体。CISA 和 FBI 还建议组织采取措施防御 Zeppelin 勒索软件攻击，例如：优先修补在野外利用的漏洞、培训员工和用户识别和报告网络钓鱼企图、启用和执行多因素身份验证。

详情

新的暗网市场声称与墨西哥犯罪集团Cartel有关

日期: 2022-08-10
标签: 墨西哥, 信息技术, 政府部门, 暗网, 

2022年8月上旬，DarkOwl的研究人员发现暗网上出现了几个新的市场，声称是墨西哥的犯罪集团Cartel的专用在线门户。DarkOwl的研究人员还发现了一种暗网市场趋势，犯罪分子从吸引执法部门注意力的大型市场转向规模较小、知名度较低的网站。其中，Cartel de Sinaloa（CDS 市场）据称与墨西哥犯罪集团“Cártel de Sinaloa”有关，销售毒品、化学品、武器、恶意软件、洗钱和杀手服务，还拥有托管支付系统。但任何东西都可以在暗网上伪造，因此创建这些市场很容易。专家表示，无论这些新出现的暗网市场真实性如何，它们在暗网上的新地位表明了空间动态的转变，大规模、高知名度暗网市场关闭并被小规模、低知名度暗网市场所取代。

详情

西非国家塞拉利昂经历互联网中断

日期: 2022-08-10
标签: 塞拉利昂, 政府部门, 互联网中断, 

2022年8月10日，西非国家塞拉利昂经历了几乎完全的互联网中断，当时正在举行因生活成本上涨而引发的反政府抗议活动。互联网治理监管机构 NetBlocks 发现，从当地时间中午开始，“全国连通性”下降到正常水平的 5% 左右，多家移动和固网互联网运营商陷入困境。大约两个小时后，连接基本恢复，但服务仍然受到一定影响。此次中断影响了通过塞拉利昂电缆路由的提供商，而该电缆“控制着该国的互联网网关”。互联网中断经常被政府作为压制性工具，以压制异议，并遏制公众示威的图像传播。数字版权组织 Access Now 发现，在2021 年，就有34 个国家/地区的政府中断了 182 次互联网服务。

详情

Google Workspace安全升级：自动阻止对 Workspace 帐户的劫持尝试

日期: 2022-08-10
标签: 美国, 信息技术, 谷歌（Google）, Google Workspace, 安全升级, 

Google Workspace（前身为 G Suite）提升了安全性能，将自动阻止带有身份验证提示的劫持尝试，并将其记录下来以供进一步调查。这一增加的安全层将阻止黑客访问用户帐户，从而保护属于其组织的个人数据和敏感信息。所有 G Suite 客户（包括旧版 G Suite Basic 和 Business 客户）都可以使用增强的帐号保护功能。谷歌将评估尝试该操作的会话，如果认为它有风险，它将受到'验证它是你'提示的挑战。通过第二个可信因素，例如两步验证码，用户可以确认操作的有效性。目前此功能仅支持Google用户阻止在 Google 产品中执行的操作，暂不支持SAML用户。

详情

所有受 OT:Icefall 漏洞影响的ICS 供应商均已发布公告

日期: 2022-08-09
标签: 美国, 制造业, 信息技术, Honeywell, Emerson, JTEKT, Motorola, Siemens, Yokogawa, Phoenix Contact, Baker Hughes (Bentley Nevada), OT:Icefall, 工业控制系统 (ICS), 

2022年8月9日，受最近披露的 OT:Icefall 漏洞影响的几家工业控制系统 (ICS) 供应商已发布公告，告知客户这些漏洞的影响并提供缓解措施。OT:Icefall 是 Forescout 研究人员在 10 家制造运营技术 (OT) 系统的公司的产品中发现的 56 个漏洞集合的名称。这些漏洞与不安全的工程协议、弱加密或损坏的身份验证方案、不安全的固件更新机制和本机功能滥用有关。安全漏洞影响各种类型的 ICS 产品，包括工程工作站、PLC、分布式控制系统、楼宇控制器、安全仪表系统、远程终端单元和 SCADA 系统。利用这些漏洞可能导致远程代码执行、DoS 攻击、固件操作、凭据泄露和身份验证绕过。受影响的供应商包括贝克休斯（Bentley Nevada）、艾默生、霍尼韦尔、捷太格特、摩托罗拉、欧姆龙、菲尼克斯电气、西门子和横河电机。补丁似乎不可用，但受影响的供应商已开始通知客户有关应降低风险或防止利用的缓解措施。

详情

反虚假信息“精灵”的集体为反对俄罗斯的宣传提供了堡垒

日期: 2022-08-09
标签: 乌克兰, 俄罗斯, 芬兰, 德国, 捷克共和国, 波兰, 信息技术, 俄乌战争, 

精灵是一个由来自中欧和东欧的研究人员、活动家、技术专家和志愿者组成的松散组织集体，他们是普通公民，他们联合起来打击俄罗斯关于战争的虚假信息。在芬兰、德国和前东欧集团的其他11个国家，包括爱沙尼亚、捷克共和国、乌克兰和波兰，有几千只精灵。该社区包括网络安全威胁研究人员，心理学家，律师，营销专家和情报专家。精灵们还与提供数据分析和威胁情报的科技公司合作。精灵的一名成员说，他为全球网络安全公司趋势科技工作，能够利用他的专业知识帮助成员掩盖他们的真实身份。迄今为止，精灵已经编目并努力破坏数千个俄罗斯信息行动，开创了一种压制虚假信息的模式，专家称这种模式已经为大西洋理事会的数字法医研究实验室和国务院全球参与中心等组织的工作提供了信息。

详情

ÆPIC Leak：英特尔CPU中的架构缺陷导致受保护数据暴露

日期: 2022-08-09
标签: 美国, 罗马, 制造业, 信息技术, 英特尔（Intel）, 侧信道攻击, 英特尔 CPU, ÆPIC Leak, 

2022年8月9日，来自罗马第一大学、格拉茨科技大学、CISPA 亥姆霍兹信息安全中心和亚马逊网络服务的研究人员披露了一种新的英特尔 CPU 攻击方法，该方法可能允许攻击者获取潜在的敏感信息。这种攻击方法被称为AEPIC Leak（拼写为 ÆPIC Leak），它与高级可编程中断控制器 (APIC) 有关。为了进行 ÆPIC Leak 攻击，攻击者需要对 APIC MMIO 的特权访问（管理员或 root 访问）。ÆPIC Leak（正式跟踪为 CVE-2022-21233）被描述为影响 Intel CPU 的未初始化内存读取问题。与 Meltdown 和 Spectre 是瞬态执行攻击不同，AEPIC Leak 的存在是由于架构错误，导致敏感数据在没有利用任何旁通道的情况下泄露。他们将其描述为“第一个能够在架构上披露敏感数据的 CPU 漏洞”。由于AEPIC Leak不依赖侧通道，因此该攻击非常可靠。将 enclave 应用程序加载到内存中就足以泄露其内容。AEPIC Leaks 可以精确定位应用程序并在不到一秒的时间内完全转储其内存。

详情

具有最新 CPU 的 Windows 设备容易受到数据损坏

日期: 2022-08-08
标签: 美国, 信息技术, 微软（Microsoft）, 加密, Windows, Windows Server 2022, Windows 11, AES, 

2022年8月8日，微软警告称，支持最新矢量高级加密标准 (AES) (VAES) 指令集的 Windows 设备在 Windows 11 和 Windows Server 2022 上容易受到“数据损坏”。受此问题影响的设备在新硬件上使用 AES-XTS（基于 AES XEX 的调整码本模式，带有密文窃取）或 AES-GCM（带有 Galois/计数器模式的 AES）分组密码模式。微软表示，该问题已在更新中得到解决，但这些 Windows 更新也会对性能造成影响，因为基于 AES 的操作在运行 Windows Server 2022 和 Windows 11（原始版本）的受影响系统上安装后可能会慢两倍 (2x)。受性能影响影响的方案可能包括 BitLocker、传输层安全性 (TLS)（特别是负载平衡器）和磁盘吞吐量（尤其是对于企业客户）。建议遇到性能下降的客户为其操作系统版本安装 6 月 23 日预览更新（Windows 11、  Windows Server 2022）或 7 月 12 日安全更新（Windows 11、  Windows Server 2022）。

详情

美国财政部制裁加密货币“洗钱工具”Tornado Cash

日期: 2022-08-08
标签: 美国, 金融业, 信息技术, 美国财政部外国资产控制办公室（OFAC）, Lazarus Group, 加密货币, 

2022年8月8日，美国财政部外国资产控制办公室将虚拟货币混合器 Tornado Cash添加到制裁名单中。该混合器结合了各种类型的加密资产以掩盖其来源，并且被朝鲜黑客组织Lazarus Group 作为首选洗钱工具。混合器技术已成为网络犯罪分子用来处理非法资金的流行工具。2022年7月下旬，未知黑客使用 Tornado Cash 处理了近 800 万美元。自 2019 年以来，该混合器已被用于清洗价值超过 70 亿美元的虚拟货币，其中包括被 Lazarus Group 盗窃的超过 4.55 亿美元。Tornado Cash是2022年美国财政部批准制裁的第二个加密货币混合器，美国财政部曾在2022年5月制裁了 Blender.io，

详情

Meta 打击南亚针对 Facebook 的网络间谍活动

日期: 2022-08-08
标签: 美国, 阿富汗, 印度, 巴基斯坦, 新西兰, 英国, 信息技术, 政府部门, Meta（原Facebook）, APT36, Bitter APT, 间谍活动, 

2022年8月4日，Meta发布了2022年第二季对抗性威胁报告，并在报告中表示，它对南亚的两项网络间谍活动采取了行动：分别是Bitter APT和 APT36。Bitter APT 在南亚地区开展业务，目标是新西兰、印度、巴基斯坦和英国。Bitter APT使用各种恶意策略通过社交工程针对在线用户，并用恶意软件感染他们的设备。虽然该组织在复杂性和运营安全性方面相对较低，但它具有持久性且资源充足。Meta将APT36的行动与巴基斯坦的国家黑客联系起来。APT36的攻击目标是阿富汗、印度、巴基斯坦、阿联酋和沙特阿拉伯的公民，包括军事人员、政府官员、人权和其他非营利组织的雇员和学生。

详情

希腊情报局承认利用间谍软件监视记者

日期: 2022-08-08
标签: 希腊, 政府部门, 间谍活动, 

2022年7月29日，希腊议会委员会召开听证会，处理关于希腊社会主义反对党领导人的手机被间谍软件窃听的申诉问题。在听证会上，希腊情报部门负责人告知议会委员会，希腊情报局一直密切关注为 CNN 希腊工作的财经记者 Thanasis Koukakis，并且承认了监视行为。民主国家的间谍活动难以展开，政府机构需要在很大程度上平衡这些间谍工作透明化要求和保密的需要，并认为他们为保护国家安全所做的大部分工作应该保持机密，以保护消息来源。但欧盟认为对记者使用间谍软件是不可接受的。

详情

研究人员发现针对新加坡的Classiscam诈骗即服务运营

日期: 2022-08-08
标签: 俄罗斯, 美国, 欧洲, 保加利亚, 捷克共和国, 法国, 哈萨克斯坦, 吉尔吉斯, 波兰, 罗马尼亚, 乌克兰, 金融业, 居民服务, 批发零售, Classiscam, 

名为Classiscam的复杂的骗局即服务业务现已渗透到新加坡。Classiscam冒充合法买家的诈骗者接近卖家，要求从他们的列表中购买商品，并最终目的是窃取支付数据。Classiscam指的是一项位于俄罗斯的网络犯罪行动，该行动于2019年夏季首次记录，但仅在一年后才受到关注，同时由于COVID-19爆发后在线购物的增加，活动激增。Classiscam被称为使用最广泛的欺诈计划，针对使用与物业租赁，酒店预订，在线银行转账，在线零售，乘车共享和包裹交付相关的市场和服务的人。最初的目标包括流行的俄罗斯分类广告和市场的用户，然后迁移到欧洲和美国。据信有超过90个活跃的团体使用Classiscam的服务来定位保加利亚，捷克共和国，法国，哈萨克斯坦，吉尔吉斯，波兰，罗马尼亚，乌克兰，美国和乌兹别克斯坦的用户。

详情

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x09   时间线

2022-08-15 360CERT发布安全事件周报