报告编号：B6-2022-062001

报告来源：360CERT

报告作者：360CERT

更新日期：2022-06-20

0x01   事件导览

本周收录安全热点54项，话题集中在恶意程序、网络攻击方面，涉及的组织有：Microsoft、GitHub、Docker、SeaFlower等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

部署在哈萨克斯坦的Android间谍软件Hermit

日期: 2022-06-16
标签: 哈萨克斯坦, 意大利, 叙利亚, 政府部门, 谷歌（Google）, Hermit, 情报窃取, 移动安全, Android, 

Lookout 威胁实验室的研究人员发现了哈萨克斯坦政府在其境内使用的企业级Android间谍软件，名为Hermit。Hermit据称是由意大利间谍软件制造商RCS Lab开发，最近该恶意软件被发现在哈萨克斯坦、意大利和叙利亚使用。Hermit 以攻击者的命令和控制(C2)使用的一个独特的服务器路径命名，它是一个模块化的监视软件，在部署后将其恶意功能隐藏在下载的包中。这些模块以及核心应用程序拥有的权限使Hermit能够利用根设备，录制音频，拨打和重定向电话，以及收集通话日志、联系人、照片、设备位置和短信等数据。据分析，该恶意软件是通过假装来自合法来源的短信发布的。RCS 实验室被称为“合法拦截”公司，它们声称只向情报和执法机构等合法使用监控软件的客户销售产品。实际上，这些工具经常被以国家安全为幌子滥用，以监视企业高管、人权活动人士、记者、学者和政府官员。

详情

多国联合拆除俄罗斯“RSOCKS”僵尸网络

日期: 2022-06-16
标签: 德国, 荷兰, 英国, 美国, 政府部门, 信息技术, 制造业, 文化传播, 住宿餐饮业, 居民服务, 美国联邦调查局 (FBI), 美国司法部（DoJ）, 国际行动, RSOCKS僵尸网络, 

美国司法部与德国、荷兰和英国的执法合作伙伴一起拆除了俄罗斯僵尸网络的基础设施，该网络被称为 RSOCKS，该网络入侵了全球数百万台计算机和其他电子设备。僵尸网络是一组被黑客入侵的互联网连接设备，在所有者不知情的情况下作为一个组被控制，通常用于恶意目的。RSOCKS 僵尸网络最初以物联网 (IoT) 设备为目标，现在已经扩展到入侵其他类型的设备，包括 Android 设备和传统计算机。RSOCKS 僵尸网络的受害者通常是一些大型公共和私人实体，包括大学、酒店、电视演播室和电子制造商，以及家庭企业和个人。FBI表示，这次行动还打击了一个高度复杂的俄罗斯网络犯罪组织，该组织在美国和国外进行网络入侵。

详情

MaliBot：一种在野利用的新Android银行木马

日期: 2022-06-15
标签: 俄罗斯, 西班牙, 意大利, 金融业, MaliBot, Sality, Android, 

在西班牙和意大利的网上银行和加密货币钱包客户中，已经发现了一种新的Android恶意软件，就在几周前，一场协调的执法行动拆除了FluBot。F5 Labs代号为MaliBot的信息窃取木马的功能与其同类产品一样丰富，允许它窃取凭据和cookie，绕过多因素身份验证（MFA）代码，并滥用Android的可访问性服务来监控受害者的设备屏幕。MaliBot主要将自己伪装成加密货币挖掘应用程序，例如Mining X或The CryptoApp，这些应用程序通过欺诈性网站分发，旨在吸引潜在访问者下载它们。MaliBot的命令和控制（C2）位于俄罗斯，似乎使用与用于分发Sality恶意软件相同的服务器。它是SOVA恶意软件的大量修改的重做，具有不同的功能，目标，C2服务器，域和打包方案。

详情

Panchan：基于Golang的点对点新型僵尸网络，针对Linux服务器

日期: 2022-06-15
标签: 信息技术, Panchan, Golang, 

自2022年3月出现以来，已经发现了一个新的基于Golang的点对点（P2P）僵尸网络，该僵尸网络已被发现积极瞄准教育领域的Linux服务器。该恶意软件由 Akamai Security Research 称为 Panchan，“利用其内置的并发功能来最大化传播性并执行恶意软件模块”，并“收集 SSH 密钥以执行横向移动”。Panchan是用Golang编写的，Golang是一种通用的编程语言，可以更容易地针对不同的系统架构。Akamai 对恶意软件进行了逆向工程以对其进行映射，发现了 209 个受感染的系统，其中 40 个系统目前处于活动状态。大多数受损机器位于亚洲（64台），其次是欧洲（52台），北美（45台），南美洲（11台），非洲（1台）和大洋洲（1台）。

详情

Google Play Store 上的 Android 恶意软件获得 200 万次下载

日期: 2022-06-14
标签: 美国, 信息技术, 谷歌（Google）, Wild & Exotic Animal Wallpaper, ZodiHoroscope, PIP Camera 2022, 放大镜手电筒, PIP Pic Camera Photo Editor, Google Play Store, Android, 

网络安全研究人员上个月在 Google Play 商店中发现了广告软件和信息窃取恶意软件，其中至少有 5 个仍然可用，下载量已超过 200 万次。广告软件感染显示不需要的广告，这些广告可能特别具有侵入性、降低用户体验、耗尽电池、产生热量，甚至导致未经授权的收费。目前这5个仍然可用的恶意软件包括：PIP Pic Camera Photo Editor、Wild & Exotic Animal Wallpaper、ZodiHoroscope、PIP Camera 2022、放大镜手电筒。这些软件通常试图通过在主机设备上伪装成其他东西来隐藏，并通过强迫受害者查看或点击附属广告来为远程操作员赚钱。

详情

PureCrypter恶意软件加载程序分析

日期: 2022-06-14
标签: 微软（Microsoft）, Remcos, Nanocore RAT, Agent Tesla, Loki Password Stealer, PureCrypter, 

网络安全研究人员详细介绍了被称为PureCrypter的全功能恶意软件加载程序的工作原理，网络犯罪分子正在购买该恶意软件加载程序，以提供远程访问木马 (RAT) 和信息窃取程序。PureCrypter加载程序是一个使用 SmartAssembly 混淆的 .NET 可执行文件，并利用压缩、加密和混淆来逃避防病毒软件产品。使用 PureCrypter 分发的一些恶意软件系列包括Agent Tesla、Arkei、AsyncRAT、AZORult、DarkCrystal RAT (DCRat)、LokiBot、NanoCore、RedLine Stealer、Remcos、Snake Keylogger和Warzone RAT。加密器充当针对逆向工程的第一层防御，通常用于打包恶意负载。PureCrypter 还具有将嵌入式恶意软件注入本机进程的高级机制和各种可配置选项，以实现持久性和隐蔽性。PureCrypter还提供了一个 Microsoft Office 宏构建器和一个下载器，突出了可用于传播恶意软件的潜在初始感染途径。

详情

被称为“NakedPages”的复杂网络钓鱼工具包在网络犯罪论坛上出售

日期: 2022-06-13
标签: 信息技术, NakedPages, 网络钓鱼, 

安全公司CloudSEK的人工智能数字风险平台XVigil 在网络犯罪论坛上发现了一个黑客，在宣传一款名为“NakedPages”的“久经考验的”反向代理/PHP 网络钓鱼应用程序。网络犯罪论坛上的广告声称：“Naked Pages 是任何严重的开发人员//垃圾邮件发送者都需要的网络钓鱼工具，它具有比任何其他反向代理组合或 PHP 网络钓鱼框架组合更多的功能。”NakePages 软件是使用 NodeJS 框架开发的，并使用自动生成的 JavaScript 代码运行。它允许黑客手动接收结果、解码响应、添加 cookie 并从用户 Js 配置中过滤用户。黑客还称Naked Pages已经过实战考验，并且对 Google 和 Microsoft Office 等网络钓鱼实体有效。从钓鱼网站收集的数据可以在暗网上出售，并且这些数据将为恶意行为者提供发动复杂勒索软件攻击所需的详细信息。建议用户监控用户帐户和系统中的异常情况，这可能是可能的帐户接管的指标，并跨账户实施 MFA。

详情

Exchange服务器被黑客入侵以部署BlackCat勒索软件

日期: 2022-06-13
标签: 信息技术, WIZARD SPIDER, Ryuk, REvil, BlackCat, Conti, LockBit, 漏洞利用, 双重勒索, 

微软表示，BlackCat勒索软件分支机构现在正在使用未修补漏洞来攻击Microsoft Exchange服务器。在微软安全专家观察到的至少一起事件中，攻击者在受害者的网络中缓慢移动，窃取凭据并泄露信息以用于双重勒索。在使用未修补的Exchange服务器作为入口向量进行初始入侵两周后，威胁行为者通过PsExec在网络上部署了BlackCat勒索软件有效载荷。此外，虽然微软没有透露在本案例研究中部署BlackCat勒索软件的勒索软件分支机构，但该公司表示，几个网络犯罪组织现在是该勒索软件即服务（RaaS）操作的附属机构，并正在积极将其用于攻击。

详情

新的 Linux rootkit恶意软件Syslogk被用来触发后门

日期: 2022-06-13
标签: 信息技术, Syslogk, Rekoobe, Symbiote, BPFDoor, Linux, 

一种名为“Syslogk”的新Linux rootkit恶意软件正被用于攻击以隐藏恶意进程，使用特制的“魔术数据包”来唤醒设备上处于休眠状态的后门。该恶意软件目前正在大量开发中，其作者似乎将他们的项目基于旧的开源rootkit Adore-Ng。Syslogk可以强制将其模块加载到Linux内核中（支持3.x版本），隐藏目录和网络流量，并最终加载一个名为“Rekoobe”的后门。Linux Rootkit是作为内核模块安装在操作系统中的恶意软件。安装后，它们会截获合法的 Linux 命令，以筛选出它们不希望显示的信息，例如文件、文件夹或进程的存在。Syslogk rootkit是最近在最近发现的Symbiote和BPFDoor之上添加的Linux系统高度规避恶意软件的另一个例子，它们都使用BPF系统来监控网络流量并动态操纵它。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

暗网中被泄露的凭据两年内增加65%

日期: 2022-06-18
标签: 信息技术, 弱密码, 暗网, 

根据 Digital Shadows 的一项新研究，暗网上有240 亿个用户名和密码 ——在短短两年内增加了 65%。即使在删除重复项后，Digital Shadows 仍然发现存在 67 亿个唯一凭据——两年内增加了约 17 亿个或 34%。登录凭据最初是通过网络钓鱼攻击被盗的，并且经常使用专业的网络钓鱼工具包和另一个重要的凭据盗用载体。Digital Shadows 报告称，通过网络犯罪论坛和市场销售被盗凭证仍十分猖獗。建议用户改用密码管理器，并向他们的在线帐户添加多因素身份验证，这样仅凭密码（即使被泄露）也不足以获得访问权限。

详情

BeanVPN泄露2500万条用户记录

日期: 2022-06-15
标签: 信息技术, BeanVPN, VPN, 

根据Cybernews的调查表示，免费VPN软件提供商BeanVPN

泄露近20GB的连接日志，其中18.5GB连接日志的缓存包含超过2500万条记录，包括用户设备和Play服务ID，连接时间戳，IP地址等。根据VPN提供商的网站，其隐私政策明确规定他们不会收集用户活动日志，包括不记录浏览历史记录，流量目的地，数据内容或DNS查询。隐私政策还规定，BeanVPN不会收集IP地址，传出VPN IP地址，连接时间戳或会话持续时间。这些说法将与Cybernews据称获得的信息形成鲜明对比，Cybernews调查的数据基本上将包含BeanVPN表示不收集的所有用户数据。

详情

数以千计的 GitHub、AWS、Docker 令牌在 Travis CI 日志中公开

日期: 2022-06-15
标签: 信息技术, Travis CI, GitHub, 亚马逊（Amazon ）, Docker, 数据泄露, 

在不到一年的时间里，用于软件开发和测试的Travis CI平台第二次公开了包含身份验证令牌的用户数据，这些令牌可以访问GitHub，Amazon Web Services和Docker Hub上的开发人员帐户。Aqua Security的研究人员发现，“数以万计的用户令牌”通过Travis CI API公开，这些API提供对超过7.7亿个日志的访问，其中包含属于免费层用户的各种类型的凭据。研究人员发现，Travis CI没有对日志号实施足够的保护，并且能够运行枚举脚本来检索“从零到无穷大”的字符串。在分析了800万个日志的样本后，研究人员发现了大约73，000个敏感字符串，其形式为令牌，机密以及与GitHub，Amazon Web Services（AWS）和Docker Hub等云服务相关的各种凭据。

详情

白俄罗斯黑客组织发布了据称是俄罗斯大使馆的白俄罗斯窃听音频

日期: 2022-06-14
标签: 白俄罗斯, 俄罗斯, 政府部门, 白俄罗斯大使馆, Cyber Partisans, 信息窃取, 国家机密, 俄乌战争, 

2022年6月14日，一个白俄罗斯黑客组织Cyber Partisans在其Telegram中发布了据称是白俄罗斯内政部秘密收集的外国驻白俄罗斯大使馆、领事馆和其他电话的窃听音频。第一个版本是一个四分半的发布到YouTube上的视频，其中包含该组织所说的从俄罗斯大使馆和俄罗斯领事馆在 2020 年至 2021 年之间的某个时间的音频。Cyber Partisans表示，“出于对与白俄罗斯独裁政权无关的人的个人对话的尊重”，它没有发布完整的对话并隐藏有关通话参与者的一些数据。该组织还表示他们有大约 1.5 TB 的语音通话，相当于大约 50,000 小时。尽管“大多数”电话与大使馆无关，但系统中的电话号码中“有超过 22,000 个组织和 49,000 人。”

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

AvosLocker勒索软件团伙声称袭击了支付卡软件制造商CR2

日期: 2022-06-17
标签: 非洲, 金融业, CR2, 勒索攻击, 

2022年6月17日，AvosLocker勒索声称攻击了支付卡软件制造商CR2，CR2是数字银行平台市场中世界领先的供应商，在非洲拥有市场领导地位，总部位于爱尔兰，使60个国家的100多家银行能够通过当今最关键的银行渠道与客户无缝连接和互动。

详情

DriftingCloud APT组织利用Sophos防火墙零日漏洞

日期: 2022-06-16
标签: 中国, 信息技术, DriftingCloud APT, 中间人（MITM）攻击, APT舆情, 涉我舆情, 

2022年3月8日，Volexity通过其网络安全监控服务检测到来自客户Sophos防火墙的异常活动。Volexity收到来自其部署的自定义签名的警报，这些警报立即使设备被怀疑受到损害。这导致了一场取证调查，Volexity从Sophos防火墙获取内存，选择性文件和磁盘映像。对数据的分析导致在防火墙上发现了后门，以及可追溯到2022年3月5日的利用证据。Volexity在发现攻击者利用对防火墙的访问权限进行中间人（MITM）攻击后，调查进一步扩大。攻击者使用从这些 MITM 攻击中收集的数据来破坏防火墙所在的网络之外的其他系统。在Volexity的调查之后，Sophos于2022年3月25日发布了一份公告，描述了CVE-2022-1040覆盖的防火墙中的远程执行代码（RCE）漏洞（由第三方提交）。Volexity 认为，这与调查中利用的漏洞相同，因为客户的防火墙是最新的，符合远程利用的标准。Volexity将这些攻击归因于一个中国APT组织，该组织之前以“DriftingCloud”的名义向Volexity Threat Intelligence客户报告。

详情

黑客组织DragonForce对印度政府发动黑客攻击

日期: 2022-06-15
标签: 印度, 政府部门, 印度政府, DragonForce, DDoS, 漏洞利用, CVE-2022-26134, OpsPatuk, 

一个名为 DragonForce 的黑客组织在其他几个威胁组织的协助下，已经开始对印度的众多网站进行无差别扫描、破坏和拒绝服务攻击。DragonForce这种有针对性的活动被称为“OpsPatuk” ，除了DDOS外，还涉及APT组织利用当前的漏洞、破坏网络和泄露数据。新的公告证实，该组织已使用 DDoS 进行“在印度各地进行的大量破坏，将其徽标和消息粘贴到目标网站。该组织还声称从各种政府机构、金融机构、大学、服务提供商和其他几个印度数据库中泄露和泄露了数据DragonForce 曾对中东和亚洲的组织和政府实体发起攻击。他们常攻击的目标是以色列，已经针对该国及其公民发起了多项行动——#OpsBedil、#OpsBedilReloaded 和#OpsRWM。

详情

黑客利用三年前的Telerik漏洞以及Cobalt Strike挖掘门罗币

日期: 2022-06-15
标签: 金融业, 信息技术, Blue Mockingbird, Cobalt Strike, CVE-2019-18935, CVE-2017-11317, CVE-2017-11357, Monero（门罗币）, 加密货币, 

一个被称为“Blue Mockingbird”的黑客组织利用 Telerik UI 的漏洞来破坏其服务器，安装 Cobalt Strike 恶意软件，并通过劫持系统资源来挖掘 Monero（门罗币）。攻击者利用的漏洞是 CVE-2019-18935，这是一种严重严重性 (CVSS v3.1: 9.8) 反序列化，可 导致 在 Telerik UI 库中远程执行 ASP.NET AJAX 的代码。要利用 CVE-2019-18935，攻击者必须获取保护 Telerik UI 在目标上的序列化的加密密钥。这可以通过利用目标 Web 应用程序中的另一个漏洞或使用 CVE-2017-11317 和 CVE-2017-11357 来实现。一旦获得密钥，攻击者就可以编译一个恶意 DLL，其中包含要在反序列化期间执行的代码，并在“w3wp.exe”进程的上下文中运行它。利用Cobalt Strike ，黑客可以在受感染的网络内轻松横向移动、数据泄露、帐户接管以及部署更强大的有效负载（如勒索软件）。

详情

非洲最大的连锁超市Shoprite遭受勒索攻击

日期: 2022-06-15
标签: 南非, 尼日尼亚, 加纳, 马达加斯加, 莫桑比克, 纳米比亚, 刚果, 安哥拉, 批发零售, Shoprite Holdings, RansomHouse, 勒索攻击, 

Shoprite Holdings是非洲最大的连锁超市，在非洲大陆的十二个国家经营着近三千家商店，受到勒索软件攻击的袭击。

Shoprite是非洲最大的连锁超市，收入为58亿美元，拥有149，000名员工。该零售商拥有2，943家商店，为南非，尼日利亚，加纳，马达加斯加，莫桑比克，纳米比亚，刚果民主共和国，安哥拉和其他国家/地区的数百万客户提供服务。2022年6月10日，该公司披露他们遭受了安全事件，警告斯威士兰，纳米比亚和赞比亚的客户，他们的个人信息可能因网络攻击而受到损害。6月15日，被称为RansomHouse的勒索软件团伙对这次攻击负责，发布了一个600GB数据的证据样本，声称它在攻击期间从零售商那里偷走了这些数据。

详情

伊朗Phosphorus APT的新鱼叉式网络钓鱼行动

日期: 2022-06-14
标签: 以色列, 美国, 伊朗, 政府部门, APT35, Charming Kitten, Cleaver, APT舆情, 

安全研究人员发现了一项针对多名以色列和美国高级官员的由国家支持的重大新鱼叉式网络钓鱼行动。Check Point将这场运动追溯到伊朗Phosphorus APT（磷）组织。事件至少可以追溯到2021年12月，针对的是以色列前外交部长兼副总理齐皮·利夫尼（Tzipi Livni）;以色列国防军前少将;以及前美国驻以色列大使。报告称，其他目标包括以色列国防工业的一名高级管理人员和该国领先的安全智囊团之一的主席。早在2019年，微软就声称在破坏磷集团（也称为APT35和Charm Kitten）的努力中产生了“重大影响”，此前法院命令允许其控制该集团使用的99个网络钓鱼域。

详情

UAC-0113使用CrescentImp恶意软件攻击乌克兰媒体组织

日期: 2022-06-13
标签: 乌克兰, 政府部门, 文化传播, 乌克兰计算机应急响应小组（CERT-UA）, Sandworm, 邮件钓鱼, JavaScript, 

乌克兰CERT-UA发现了针对乌克兰媒体组织（广播电台、报纸、新闻机构等）的大规模网络钓鱼攻击活动。钓鱼邮件包含文件“LIST_of_links_interactive_maps.docx”，打开该文件将加载HTML文件并执行JavaScript代码，从而下载并执行名为CrescentImp的恶意软件。攻击者继续利用CVE-2022-30190漏洞，并且越来越多地利用被入侵的政府电子邮箱发送钓鱼邮件。乌克兰CERT-UA将本次活动跟踪为UAC-0113，疑似与Sandworm组织有关。

详情

黑客组织Anonymous攻击白俄罗斯多个政府部门

日期: 2022-06-13
标签: 俄罗斯, 乌克兰, 政府部门, 白俄罗斯共和国的理事会, 俄罗斯国家众议院, 白俄罗斯最高法院, 白俄罗斯内务部, Spid3r, Anonymous（匿名者）, 俄乌战争, 

2022年6月13日，与黑客组织Anonymous有关的黑客Spid3r在Twitter上声称对白俄罗斯政府进行了网络攻击，并访问白俄罗斯政府的26个部委、中心和银行。同时给出了此次攻击的政府网站名单和截图，其中包含白俄罗斯共和国的理事会、俄罗斯国家众议院、白俄罗斯最高法院、白俄罗斯内务部等多个俄罗斯政府网站。

详情

APT组织GALLIUM使用新的PingPull后门进攻电信、政府和金融部门

日期: 2022-06-13
标签: 中国, 阿富汗, 澳大利亚, 比利时, 柬埔寨, 马来西亚, 莫桑比克, 菲律宾, 俄罗斯, 越南, 金融业, 信息技术, 政府部门, GALLIUM（Softcell）, PingPull, China, APT舆情, 

Unit 42 最近发现了一个名为 PingPull 的新的、难以检测的远程访问木马，该木马正被一个高级持续威胁 (APT) 组织 GALLIUM 使用。PingPull 是用 Visual C++ 编写的，它为攻击者提供了在受感染主机上运行命令和访问反向 shell 的能力。PingPull 的三种变体在功能上都相同，但使用不同的协议与 C2 进行通信：ICMP、HTTP(S) 和原始 TCP。虽然使用 ICMP 隧道不是一项新技术，但 PingPull 使用 ICMP 使其更难检测其 C2 通信，因为很少有组织在其网络上实施 ICMP 流量检查。GALLIUM（也称为 Softcell）的一个集团通过瞄准在东南亚、欧洲和非洲运营的电信公司而建立了声誉。该组织的地理定位、特定行业的重点和技术熟练程度，再加上他们使用已知的中国威胁行为者恶意软件和策略、技术和程序 (TTP)，导致行业评估认为 GALLIUM 很可能是中国政府赞助的组织。

详情

俄罗斯黑客开始利用Follina漏洞攻击乌克兰

日期: 2022-06-13
标签: 乌克兰, 俄罗斯, 文化传播, 信息技术, 美国联邦调查局 (FBI), 微软（Microsoft）, ELECTRUM, TeleBots, Sandworm, Industroyer, 漏洞利用, 邮件钓鱼, Follina, 俄乌战争, 

2022年6月13日，乌克兰计算机应急响应小组 (CERT) 警告说，俄罗斯黑客组织 Sandworm 可能正在利用 Follina，发起一场新的恶意电子邮件活动，目标是乌克兰各媒体组织的500多名收件人，包括广播电台和报纸。Follina 是 Microsoft Windows 支持诊断工具 (MSDT) 中的一个远程代码执行漏洞，目前被跟踪为 CVE-2022-30190，该漏洞通过打开或选择特制文档来触发。这些电子邮件的主题是“交互式地图链接列表”，并带有一个同名的 .DOCX 附件。打开文件时，JavaScript 代码会执行以获取名为“2.txt”的有效负载，CERT-UA 将其归类为“恶意 CrescentImp”。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

包括MetaMask、Brave、Phantom和xDefi在内的众多加密货币钱包存在严重漏洞

日期: 2022-06-19
标签: 美国, 金融业, 信息技术, MetaMask, Phantom, Brave, xDefi, CVE-2022-32969, 加密货币, 

Halborn 的安全研究团队发现了一个影响许多主要加密货币钱包的严重漏洞。受影响的钱包包括 MetaMask、Brave、Phantom 和 xDefi，目前他们已经修复了这个漏洞（CVE-2022-32969），该漏洞代号为“Demonic”。在适当的条件下，该漏洞可以暴露加密钱包用户的秘密恢复短语，进而可以用来重建他们的私钥，从而使攻击者能够访问价值数十亿美元的加密货币和 NFT保存在浏览器扩展钱包中。那些使用秘密恢复短语导入基于浏览器的加密钱包的用户可能会受到该漏洞的影响。目前有效的缓解方法有：迁移到新账户、轮换密码/密钥、将硬件钱包与基于浏览器的钱包结合使用以及启用本地磁盘加密。

详情

Citrix ADM中存在严重漏洞

日期: 2022-06-17
标签: 信息技术, Citrix, CVE-2022-27511, CVE-2022-27512, Citrix ADM, 

2022 年 6 月 14 日，Citrix 发布了安全更新，以解决应用交付管理中可能允许未经身份验证的攻击者以管理员身份登录的漏洞 。所有受支持的 Citrix ADM 服务器和 Citrix ADM 代理版本都受到此漏洞的影响。漏洞会影响 Citrix Application Delivery Management (Citrix ADM)，当被利用时可能会导致以下安全问题：

• CVE-2022-27511 - 未经身份验证的远程用户损坏系统。

• CVE-2022-27512 - ADM 许可服务暂时中断。

详情

Ninja Forms WordPress插件中的关键漏洞

日期: 2022-06-16
标签: 信息技术, WordPress, 

2022 年 6 月 16 日，Wordfence 威胁情报团队注意到 Ninja Forms 中有一个向后移植的安全更新，Ninja Forms 是一个 WordPress 插件，已安装超过 100 万个。与WordPress插件和主题中的所有安全更新一样，安全团队分析了插件，以确定已修补漏洞的可利用性和严重性。发现了一个代码注入漏洞，该漏洞使未经身份验证的攻击者能够在各种 Ninja Forms 类中调用有限数量的方法，包括未序列化用户提供的内容的方法，从而导致对象注入。这可能允许攻击者在存在单独 POP 链的站点上执行任意代码或删除任意文件。有证据表明，此漏洞正在野外被积极利用。此漏洞已在版本3.0.34.2，3.1.10，3.2.28，3.3.21.4，3.4.34.2，3.5.8.4和3.6.11中完全修补。

详情

企业电子邮件平台Zimbra修补了危及用户凭据的memcached注入漏洞

日期: 2022-06-16
标签: 瑞士, 政府部门, 金融业, 信息技术, Zimbra, Sonar, memcached注入漏洞, 

安全研究人员透露，商业网络邮件平台Zimbra中的memcached注入漏洞可能允许攻击者在没有用户交互的情况下窃取登录凭据。Zimbra是电子邮件服务器和协作服务（包括Microsoft Exchange）的开源替代品，据其开发商Synacor称，它被全球20多万家企业和1，000多家政府和金融机构使用。瑞士安全公司Sonar（前身为SonarSource）的漏洞研究员Simon Scannell记录了未经身份验证的攻击者如何毒害毫无戒心的受害者缓存。该漏洞的严重性（CVE-2022-27924

）被列为“高”（CVSS 7.5）而不是“严重”，但一旦邮箱被破坏，“攻击者可能会升级对目标组织的访问，并获得对各种内部服务的访问权限并窃取高度敏感的信息。

详情

SAP修补了高度严重的NetWeaver漏洞

日期: 2022-06-14
标签: 信息技术, SAP, CVE-2022-27668, CVE-2022-31590, CVE-2021-38163, CVE-2016-2386, CVE-2016-2388, SAP补丁日, 

2022年6月14日，SAP在其2022 年 6 月的安全补丁日中发布十个新的安全说明和两个更新的安全说明，包含为 SAP Business Client 中基于 Chrome 的浏览器提供的更新。其中最严重的漏洞涉及 CVE-2022-27668（CVSS 得分为 8.6），这是与 NetWeaver 和 ABAP 平台中的 SAProuter 代理相关的不正确访问控制。2022年6月上旬，美国网络安全和基础设施安全局 (CISA) 在其已知已利用漏洞目录中添加了 SAP NetWeaver 中的三个安全漏洞，即 CVE-2021-38163、CVE-2016-2386 和 CVE-2016-2388。

详情

Microsoft 补丁日修复“Follina”漏洞

日期: 2022-06-14
标签: 美国, 乌克兰, 信息技术, 政府部门, 文化传播, 微软（Microsoft）, CVE-2022-2007, CVE-2022-0778, CVE-2022-32230, CVE-2022-30193, CVE-2022-30189, CVE-2022-30188, CVE-2022-30184, CVE-2022-30180, CVE-2022-30179, CVE-2022-30178, 微软补丁日, Follina, 

2022年6月14日，微软在2022年6月的补丁日更新中修复了 55 个漏洞，包括对 Windows MSDT“Follina”零日漏洞和新的英特尔 MMIO 漏洞的修复。Microsoft此次补丁更新包含了Windows、Office、Azure、Endpoint Configuration Manager、Visual Studio、SQL Server和Microsoft照片中的漏洞。其中，Follina漏洞绕过了所有安全保护措施，包括 Microsoft Office 的受保护视图，只需打开 Word 文档即可执行 PowerShell 脚本。不久之后，黑客开始在广泛的网络钓鱼攻击中使用它，这些攻击 分发了 QBot、针对 美国政府机构和针对 乌克兰媒体组织。而Microsoft在此次补丁日中修复了该漏洞。

详情

Atlassian Confluence漏洞正在被广泛利用

日期: 2022-06-13
标签: 美国, 中国, 德国, 信息技术, 美国网络安全和基础设施安全局 (CISA), Cerber2021, Avoslocker, Cobalt Strike, 漏洞利用, CVE-2022-26134, 

据微软称，勒索软件组织和民族国家行为者已经开始利用5月月底公布的所有受支持的Atlassian Confluence服务器和数据中心版本中普遍存在的零日漏洞(CVE-2022-26134)。瑞士网络安全公司Prodraft的研究人员表示观察到，AvosLocker勒索软件利用该漏洞。发现该漏洞的公司Volexity表示，它已经看到中国的国家支持的黑客正在利用它。Censys的研究人员表示，6月份早些时候在8，347个不同的主机中发现了大约9，325个服务，运行着某种版本的Atlassian Confluence。Censys 仪表板显示，大多数实例都位于美国、中国和德国，每个国家/地区至少有 1，000 个易受攻击的主机。网络安全和基础设施安全局（CISA）发布了有关该漏洞的警告，并立即将其添加到其已知利用漏洞的目录中。

详情

Drupal修补“高风险”第三方库缺陷

日期: 2022-06-13
标签: 信息技术, Drupal, CVE-2022-31042, CVE-2022-31043, 漏洞修补, Guzzle, 

Drupal安全团队发布了一个“关键”的建议，以引起人们对第三方库中严重漏洞的关注，并警告说黑客可以利用这些错误远程劫持Drupal驱动的网站。这些漏洞被跟踪为CVE-2022-31042和CVE-2022-31043，是在Guzzle中发现的并修复的，Guzzle是Drupal用来处理HTTP请求和对外部服务的响应的第三方库。Guzzle将这些漏洞评为高风险漏洞，Drupal警告说，这些漏洞可能会影响Drupal网站上的一些贡献项目或自定义代码。安全团队建议其用户安装最新版本（Drupal 9.2至Drupal 9.4）。重要的是要注意，9.2.x之前的所有Drupal 9版本都是生命周期结束的，并且不接收安全保护。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   安全分析

钓鱼之王 — APT-Q-2（Kimsuky）近期以多个话题针对韩国的鱼叉攻击活动分析

日期: 2022-06-17
标签: 文化传播, Kimsuky, APT舆情, 

近期，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多个鱼叉式钓鱼攻击样本。攻击使用多个诱饵话题进行攻击，例如“第20届脱北者咨询委员会意见收集“、”文化体育观光部韩国政策广播院节目邀请“等话题。在此攻击活动中，攻击者使用带恶意ole对象的hwp文件进行鱼叉攻击，当受害者点击执行诱饵文件之后，将会展示一个提示内容，诱导用户进行交互，以达到执行恶意载荷的目的。

详情

“暗象”APT组织：潜藏十年的网络攻击

日期: 2022-06-17
标签: 中国, 巴基斯坦, 印度, 信息技术, 政府部门, DarkElephant Group, APT舆情, 

“暗象”组织（DarkElephant Group）是一个疑似来自印度的APT攻击组织，其主要针对印度境内的社会活动人士、社会团体和在野政党等，同时也会窃取印度周边国家如中国和巴基斯坦等的军事政治目标的重要情报。“暗象”组织的主要攻击手段是使用谷歌/雅虎邮箱或者利用盗取的邮箱，向对方发送极具迷惑性的鱼叉邮件，诱骗对方运行具备多种免杀技巧、包含成熟商用远控木马载荷。至少自2012年以来，该组织针对印度境内的目标，以及包括中国在内的印度周边的目标，发动了长达十年的网络攻击活动。因为该黑客组织在构陷其境内目标时手段十分暗黑（Bhima Koregaon案件中诬陷社会活动人士的执行者），以及结合其组织层面的面貌暗藏十年有逾而鲜有曝光的情况，安天CERT将该组织命名为“暗象”。

详情

游走于中东的魅影-APT组织AridViper近期攻击活动分析

日期: 2022-06-15
标签: 信息技术, APT-C-23（Arid Viper/Desert Falcon）, 

近日，安恒信息中央研究院猎影实验室追踪到一起针对中东地区的网络间谍活动，经研究，此次活动与之前的攻击活动存在许多相似之处，因此背后的攻击组织被归因为Gaza Cybergang Group2：AridViper。在本次攻击活动中，Gaza Cybergang Group2（AridViper）以“法塔赫运动和巴勒斯坦事业的未来”话题为诱饵再次针对巴勒斯坦地区目标进行网络钓鱼活动攻击。

详情

响尾蛇（APT-Q-39）利用Google Play传播的恶意Android软件分析

日期: 2022-06-14
标签: 信息技术, Google Play商店, SideWinder, APT舆情, Secure VPN(, Supereme Allah, Z Cleaner, 

近日，奇安信红雨滴团队在日常高价值样本狩猎过程中，捕获到疑似一批SideWinder组织Android端攻击样本。根据红雨滴研究人员跟踪分析，此次的攻击活动有如下特点：

- 样本托管在Google Play商店，伪装成Secure VPN(VPN加密通信软件)、Supereme Allah、Z Cleaner(手机清理软件)、Secure browser(浏览器软件)，安装人数超过1K+。

- C2地址隐蔽性增强，包括硬编码在样本中、加密保存在google play安装链接参数中、通过firebase后台下发C2。

详情

0x08   其他事件

谷歌Chrome扩展可以通过指纹来在线跟踪用户

日期: 2022-06-18
标签: 美国, 信息技术, 微软（Microsoft）, 谷歌（Google）, 技术创新, 

2022年6月18日，研究人员“z0ccc”分享了一种称为“扩展指纹”的新指纹识别方法，该方法可以根据浏览器安装的Google Chrome扩展生成跟踪哈希。创建 Chrome 浏览器扩展时，可以将某些资产声明为网页或其他扩展可以访问的“网络可访问资源”。这些资源通常是图像文件，它们是使用web_accessible_resources浏览器扩展清单文件中的 ' ' 属性声明的。为了说明这种指纹识别方法，z0ccc 创建了一个 Extension Fingerprints 网站 ，该网站将检查访问者的浏览器是否存在 Google Chrome Web Store 上可用的 1,170 个流行扩展中的 Web 可访问资源。

详情

Android wiping BRATA恶意软件正在演变为一种持久的威胁

日期: 2022-06-19
标签: 美国, 信息技术, 谷歌（Google）, BRATA, 移动安全, 

意大利移动安全公司Cleafy一直在跟踪恶意软件BRATA的活动，并在最近的活动中注意到导致设备持久性更长的变化。在最新版本中，BRATA添加了更多权限，允许其发送和接收短信，这可以帮助攻击者窃取银行发送给客户的一次性密码（OTP）和双因素身份验证（2FA）等临时代码。并且，Cleafy表示，该恶意软件的作案手法现在符合高级持续威胁 (APT) 活动模式。恶意软件本身也更新了新的网络钓鱼技术、请求设备额外权限的新类，现在还从命令和控制 (C2) 服务器中删除了第二阶段的有效负载。BRATA 恶意软件也更具针对性，因为研究人员发现它一次只针对一家金融机构，并且只有在其攻击因对策而变得低效时才会转向另一家金融机构。

详情

研究人员警告针对Microsoft云“版本控制”功能的勒索软件攻击

日期: 2022-06-19
标签: 信息技术, 微软（Microsoft）, Office 365, 

研究人员在Office 365中检测到一项功能，该功能使网络犯罪分子能够勒索存储在SharePoint和OneDrive上的项目。当研究人员通知微软时，他们确信该系统正在按设计运行，这是一个功能而不是漏洞。有两种方法可以使用 Microsoft 版本控制功能（允许用户指定要存储的最大旧版本数）来实现此目的。目前微软表示，版本控制设置功能正常，在微软支持的帮助下，可以检索和恢复以前版本的文件，再延长14天。

详情

研究人员发现Redline InfoStealer新活动

日期: 2022-06-19
标签: 信息技术, Qualys, RedLine Stealer, 

安全研究团队Qualys Threat Research发现了一个新的 Redline InfoStealer 活动，该活动通过 Discord 的内容交付网络 (CDN) 上托管的假破解软件进行传播。 该活动在 2022 年 1 月底至 2022 年 3 月期间十分积极，并利用了一系列的商业恶意软件。该活动的主要目标是获取 Redline 原木以获取金钱收益。由于其广泛的功能和蓬勃发展的结构化地下 MaaS 市场，Redline 已成为使用最广泛的信息窃取者之一。

详情

6 月 Windows 更新中断 Arm 设备上的 Microsoft 365 登录

日期: 2022-06-17
标签: 信息技术, 微软（Microsoft）, Windows, 

Microsoft 正在调查一个新的已知问题，该问题在部署 2022 年 6 月的 Windows 更新后，导致 Arm 设备上出现 Azure Active Directory 和 Microsoft 365 登录问题。该公司在一份服务警报中表示，在安装作为本月补丁星期二的一部分发布的更新后，用户可能会在基于Windows Arm的设备上遇到“登录某些Microsoft 365服务的问题”。根据 Redmond 的服务警报，受影响的方案包括但不限于以下内容：

• 使用 Azure Active Directory （Azure AD） 登录的应用和服务

• VPN 连接

• 微软团队桌面

• OneDrive for Business

• Outlook 桌面客户端

受此新确认的已知问题影响的 Windows 版本的完整列表仅包括以下客户端平台：Windows 11 21H2、Windows 10 21H2、Windows 10 21H1 和 Windows 10 版本 20H2。

详情

全球2000人因网络欺诈在国际执法行动被捕

日期: 2022-06-15
标签: 中国, 新加坡, 巴布亚新几内亚, 葡萄牙, 美国, 信息技术, 金融业, 国际刑警组织, BEC, 社会工程, Operation First Light, 网络欺诈, 

2022年6月15日，国际刑警组织宣布，在国际执法行动“First Light 2022”中，逮捕了两千余人并没收了大量犯罪资产。Operation First Light 是自 2014 年以来国际刑警组织针对电信欺诈和其他类型的社会工程诈骗开展的年度行动。今年的“First Light 2022”行动涉及70多个国家的执法机构，包括中国、新加坡、巴布亚新几内亚和葡萄牙。作为这次行动的一部分，在 3 月 8 日至 5 月 8 日期间，警方突袭了 1,700 多个地点，确定了大约 3,000 名嫌疑人，并逮捕了 2,000 名据信参与非法活动的人。当局还冻结了大约 4,000 个银行账户，并截获了价值 5,000 万美元的非法资金。据称，嫌疑人参与了各种涉及电话或在线通信的计划，包括浪漫诈骗、商业电子邮件泄露 (BEC) 和相关的洗钱活动。

详情

FTC报告警告不要使用人工智能解决在线问题

日期: 2022-06-16
标签: 美国, 政府部门, 美国联邦贸易委员会（Federal Trade Commission）, 人工智能, 

2022年6月16日，美国联邦贸易委员会（Federal Trade Commission）向美国国会发布了一份报告，警告人们不要使用人工智能（AI）来解决网络问题，并敦促决策者在依赖人工智能作为政策解决方案时应当“非常谨慎”。该报告概述了人工智能工具在设计上可能不准确、有偏见和歧视性的严重担忧，并鼓励依赖日益具有侵入性的商业监视形式。FTC发言人还表示：“打击网络伤害需要广泛的社会努力，而不是过于乐观地相信新技术。”

详情

专家称，俄罗斯侵略性信息战的结果好坏参半

日期: 2022-06-16
标签: 乌克兰, 俄罗斯, 美国, 信息技术, 政府部门, MTS, Rostelecom, 俄乌战争, 

2022年6月中旬，乌克兰一名高级网络安全官员表示，俄罗斯持续不断地在乌克兰夺取互联网和电话网络控制权，但与此同时，俄罗斯军队也加强了对电信基础设施的炮击。SSSCIP 表示，自战争开始以来，大约 20% 的乌克兰电信基础设施遭到破坏或摧毁。美国网络司令部的一位前高级领导人表示，俄罗斯人正在同时缩小乌克兰的网络空间和物理地形。但俄罗斯的信息战目标在很大程度上受到了埃隆马斯克的 Starlink 卫星互联网星座以及许多乌克兰人拥有虚拟专用网络 (VPN) 的阻碍。俄罗斯前国家安全委员会主任王尔德说：“如果目标，特别是自 2014 年以来，是利用网络和信息作战来战略性地改变乌克兰的地缘政治轨迹，那么它已被证明是一个代价高昂的失败。”

详情

AIVD阻止俄罗斯情报官员针对国际刑事法院的活动

日期: 2022-06-16
标签: 俄罗斯, 荷兰, 巴西, 国际组织, 荷兰情报部门AIVDAIVD, 俄罗斯GRU军事情报部门, 情报窃取, 

荷兰情报部门AIVD阻止一名俄罗斯情报官员作为实习生进入海牙国际刑事法院（ICC）。该人为俄罗斯军事情报局GRU工作，但他使用巴西掩护身份从巴西前往荷兰。AIVD认为他对国家安全构成威胁，该局在一份官方报告（“ambtsbericht”）中将此告知荷兰移民和归化局。基于这些理由，情报官员于四月被拒绝进入荷兰，并被宣布为不可接受。他被送回巴西。

详情

独家：美国以技术瞄准俄罗斯，以逃避对乌克兰新闻的审查

日期: 2022-06-15
标签: 乌克兰, 美国, 信息技术, nthLink, Psiphon, Lantern, 俄乌战争, 

6月15日， 据五位知情人士透露，自乌克兰冲突开始以来，美国政府已向三家科技公司推出新的，增加的资金，以帮助俄罗斯人避开审查并接触西方媒体。消息人士称，融资工作集中在三家建立虚拟专用网络（VPN）的公司 - nthLink，Psiphon和Lantern - 旨在支持最近俄罗斯用户的激增。根据路透社审查的公开资金文件，在2015年至2021年期间，这三个VPN获得了至少480万美元的美国资金。知情人士告诉路透社，自2月份以来，为应对俄罗斯需求的增长，分配给这些公司的资金总额增加了近一半。资金通过美国全球媒体机构（USAGM）流动 - 一个监督美国政府支持的广播公司的联邦机构，包括美国之音和自由欧洲电台/自由电台 - 以及通过总部位于华盛顿的OTF，该OTF完全由美国政府资助并由USAGM监督。

详情

美国提出数据保护相关立法

日期: 2022-06-15
标签: 美国, 政府部门, 信息技术, 卫生行业, 数据安全, 公民隐私, 

2022年6月15日，美国参议员提出一项立法《健康和位置数据保护法》，旨在控制出售美国公民的敏感信息。美国公民自由倡导者长期以来一直警告说，人们在网上收集的大量数据以及他们在日常生活中的导航可能会泄露敏感信息。这些数据也经常通过围绕数字营销发展起来的复杂经济进行转售。新立法将禁止出售或转让有关位置和健康的信息，还将责成联邦贸易委员会 (FTC) 制定实施禁令的规则，并在未来十年向该机构提供 10 亿美元来执行禁令。FTC、州检察长和个人也可以根据该提案起诉违规者。

详情

微软将收购网络威胁分析公司Miburo

日期: 2022-06-14
标签: 美国, 信息技术, 微软（Microsoft）, Miburo, 收购, 威胁情报, 

2022年6月14日，微软宣布将收购Miburo，这是一家总部位于纽约的网络威胁分析和研究公司，专门从事外国信息业务。Miburo还帮助客户制定降低风险的策略，并为执法、情报、军事和网络安全专业人员提供现场和在线培训。来自 Miburo 的新分析师将使微软能够扩展其威胁检测和分析能力，以应对新的网络攻击并阐明外国参与者使用信息操作与其他网络攻击结合来实现其目标的方式。收购完成后，Miburo 将成为微软客户安全和信任部门的一部分。

详情

由于Skyguide的系统故障，苏黎世机场目前无法起飞或降落

日期: 2022-06-15
标签: 苏黎世, 交通运输, Skyguide, 

2022年6月15日，苏黎世机场官方推特发文表示：由于Skyguide的系统故障，目前苏黎世机场无法起飞或降落。目前尚不清楚中断将持续多长时间。随后将提供进一步的信息。

详情

揭秘美国间谍机构Tailor Access Operations（TAO）的窃密活动

日期: 2022-06-13
标签: 美国, 信息技术, 美国国家安全局（NSA）, Tailor Access Operations（TAO）, The Shadow Brokers, 

最新的网络安全报告显示，美国军方和政府网络机构在过去30天内远程窃取了超过970亿条全球互联网数据和1240亿条电话记录，这些数据正在成为美国和其他“五眼”国家的主要情报来源。2022年6月13日《环球时报》从网络安全信息平台Anzer获得的报道再次揭示了美国国家安全局（NSA）下属的网络战情报机构Tailor Access Operations（TAO）的“黑手”行动，该机构一直在使用先进的网络攻击武器不分青红皂白地从世界各地的互联网用户那里“抢夺”数据。

详情

新Hertzbleed侧通道攻击影响Intel、AMD系统

日期: 2022-06-14
标签: 信息技术, 英特尔, AMD, CVE-2022-24436, CVE-2022-23823, Hertzbleed, 

一种称为 Hertzbleed 的新侧信道攻击允许远程攻击者通过观察动态电压和频率缩放 （DVFS） 实现的 CPU 频率变化来窃取完整的加密密钥。这是可能在现代英特尔（CVE-2022-24436）和AMD（CVE-2022-23823）x86处理器上，动态频率缩放取决于功耗和正在处理的数据。DVFS 是现代 CPU 使用的电源管理限制功能，用于确保系统在高负载期间不会超过散热和电源限制，并降低低 CPU 负载期间的总体功耗。Hertzbleed由德克萨斯大学奥斯汀分校，伊利诺伊大学厄巴纳 - 香槟分校和华盛顿大学的一组研究人员披露。在最坏的情况下，这些攻击可能允许攻击者从以前认为安全的远程服务器中提取加密密钥。可通过链接下载研究论文（https://www.hertzbleed.com/hertzbleed.pdf）。

详情

新型攻击方式GhostTouch：黑客无需触摸即可触及您手机的触摸屏

日期: 2022-06-14
标签: 中国, 信息技术, 制造业, GhostTouch, 触摸屏, 

根据中国浙江大学和德国达姆施塔特工业大学的安全研究人员的研究，一种叫做GhostTouch的新型攻击方式，可以在最远 40 毫米的距离上在手机屏幕上执行点击和滑动。攻击者可以使用 GhostTouch 执行多种类型的恶意操作，包括发起呼叫和下载恶意软件。当今的智能手机和平板电脑使用电容式触摸屏，提供多点触控功能并可以测量小电场。但是，电容式触摸屏对电磁干扰 (EMI) 和充电器噪声的环境影响很敏感。GhostTouch 背后的核心理念是使用注入到集成到触摸屏中的接收电极的电磁信号来干扰触摸屏的电容测量。GhostTouch 是一种有针对性的攻击。攻击者必须知道受害者手机的型号和品牌才能调整设备。攻击者可能还需要有关手机的额外信息，例如密码等。攻击的主要场景是咖啡馆、图书馆或会议大厅等公共场所，人们可能会将智能手机面朝下放在桌子上。攻击者会将攻击设备嵌入到桌面下进行远程攻击。

详情

美国军事防御承包商L3Harris宣布计划收购NSO集团

日期: 2022-06-14
标签: 美国, 澳大利亚, 新西兰, 加拿大, 英国, 以色列, 信息技术, 政府部门, 国际组织, L3Harris, NSO Group, 收购, 

美国电子战巨头L3Harris是购买前以色列战术拦截领导人NSO的主要候选人。后者受到美国黑名单的严重打击，并被迫重组。在谈判重组时，以色列网络专家NSO集团已与美国国防电子和通信设备巨头L3Harris达成协议，被后者收购。这笔出售给一家美国集团将标志着该公司时代的结束，曾经处于以色列网络外交的最前沿。它反映了华盛顿希望重新获得出口市场对这些技术的控制权。在以色列的网络中心荷兹利亚，L3对NSO的收购被视为UKUSA联盟国家对这些技术的接管 - 被称为五眼联盟（美国，澳大利亚，新西兰，加拿大和英国） - 有效地结束了以色列在这一领域的独立。

详情

苹果首席执行官蒂姆·库克推动参议院隐私立法

日期: 2022-06-13
标签: 美国, 信息技术, Apple, 用户隐私, 立法, 

苹果首席执行官蒂姆库克于2022年6月初致信美国参议院，呼吁在联邦层面加强隐私立法。库克随后表示，苹果公司将继续支持联邦层面的努力，为消费者建立强有力的隐私保护。“我们通过最小化收集的数据、在用户设备上处理尽可能多的数据、让用户了解收集的数据和控制数据的使用方式以及建立强大的系统来保护用户数据来做到这一点，”库克写道。库克表示，虽然公司将继续在隐私领域进行创新，但只有国会才能在国家层面提供强有力的隐私保护。公司有可能在尊重隐私的同时从数字生态系统中创造巨大价值。监管者必须设计规则，使技术能够为人类服务。

详情

黑客组织SeaFlower通过克隆Coinbase、MetaMask移动钱包来窃取加密货币

日期: 2022-06-13
标签: 中国, 金融业, Apple, SeaFlower, 克隆网站, 渗透测试, 分发后门, Coinbase Wallet, MetaMask, TokenPocket, imToken, 涉我舆情, 

一个名为SeaFlower的威胁行为者一直针对Android和iOS用户，该活动模仿官方加密货币钱包网站，旨在分发耗尽受害者资金的后门应用程序。据说这组活动于2022年3月首次被发现。基于macOS用户名，后门代码中的源代码注释以及它对阿里巴巴内容交付网络（CDN）的滥用将其与中国联系起来。Confiant的Taha Karim在对该活动的技术深入研究中表示：截至6月13日，SeaFlower目前的主要目标是使用后门代码修改Web3钱包，最终渗透到主体中，目标应用程序包括Android和iOS版本的Coinbase Wallet，MetaMask，TokenPocket和imToken。SeaFlower的作案手法涉及建立克隆的网站，这些网站充当下载特洛伊版钱包应用程序的渠道，这些版本与原始版本几乎没有变化，除了添加旨在将助记词渗透到远程域的新代码。

详情

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x0a   时间线

2022-06-20 360CERT发布安全事件周报