报告编号:B6-2022-032801
报告来源:360CERT
报告作者:360CERT
更新日期:2022-03-28
0x01 事件导览
本周收录安全热点49
项,话题集中在恶意程序
、网络攻击
方面,涉及的组织有:Okta
、Kimsuky
、Anonymous
、VMware
等。对此,360CERT建议使用360安全卫士
进行病毒检测、使用360安全分析响应平台
进行威胁流量检测,使用360城市级网络安全监测服务QUAKE
进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 事件目录
恶意程序 |
---|
针对Android和iOS设备的修补钱包中的加密恶意软件 |
Okta修改了原始声明,称有366名客户受到Lapsus$违规行为的影响 |
BitRAT恶意软件作为Windows 10许可证激活器传播 |
Android密码窃取恶意软件感染了100000名Google Play用户 |
数据安全 |
---|
HubSpot黑客攻击导致著名加密货币公司的数据泄露 |
黑客组织Anonymous泄露俄罗斯能源巨头Transneft的数据 |
网络攻击 |
---|
Kimsuky使用关于加密货币的Word文件进行APT攻击 |
UAC-0026使用HeaderTip恶意软件发起网络攻击 |
雀巢否认网络攻击,称被盗数据来自商业测试网站 |
黑客组织Anonymous入侵俄罗斯联邦中央银行 |
勒索软件DeadBolt再次出现并攻击 QNAP |
黑客攻击克罗地亚日报,发布俄乌相关文章 |
FBI发现俄罗斯黑客对美国能源公司的兴趣与日俱增 |
Okta证实其工程师的笔记本电脑在一月份被黑客入侵 |
勒索团伙RansomEXX袭击苏格兰心理健康慈善机构 |
新的后门Serpent通过开源软件包安装程序 |
黑客组织ATW攻击雀巢 |
俄罗斯社交媒体 VK 遭遇黑客攻击 |
安全漏洞 |
---|
Sophos 防火墙漏洞允许远程执行代码 |
CISA 将 66 个漏洞添加到攻击中利用的错误列表中 |
朝鲜黑客使用Chrome 0-day漏洞针对新闻媒体,软件供应商等 |
VMware修补了Carbon Black App Control中的严重漏洞 |
戴尔修补高严重性UEFI漏洞 |
安全分析 |
---|
Dragonfly针对美国能源公司的战术、技术和过程 |
深入分析GIMMICK的macOS变种 |
DEV-0537 (LAPSUS$)针对组织进行数据泄露和销毁的犯罪分析 |
乌克兰CERT-UA发布新型恶意雨刷软件DoubleZero的分析 |
赛博空间的魔眼(续):PROMETHIUM伪装为WinRar.exe的攻击活动分析 |
其他事件 |
---|
超过450家公司已从俄罗斯撤出,但仍有一些公司留存 |
特洛伊木马应用程序被用来从iOS和Android用户窃取加密货币 |
美国和欧盟签署数据传输协议以缓解隐私问题 |
美国司法部起诉四名俄罗斯黑客 |
朝鲜黑客利用Chrome 0Day漏洞(CVE-2022-0609) |
伦敦警方逮捕7名Lapsus$黑客团伙青少年成员 |
南非希望通过生物识别检查来对抗SIM卡交换攻击 |
俄罗斯100多个电梯控制器易受远程黑客攻击 |
FBI正式通缉23岁俄罗斯黑客 |
美国财政部制裁多个俄罗斯实体 |
俄罗斯禁止谷歌新闻提供有关乌克兰战争的"不可靠"信息 |
澳大利亚网络安全中心(ACSC)警告各公司可能会有围绕新域名的欺诈活动 |
西方阻止俄罗斯获取天气数据 |
美国司法部起诉俄罗斯公民,其涉嫌经营网络犯罪市场 |
白宫发布清单以应对俄罗斯网络攻击 |
俄罗斯考虑建立网络部队 |
IT安全团队平均负责超过16万项资产 |
拜登警告俄罗斯正暗地里针对美国进行网络攻击活动 |
苹果的宕机影响了iMessage、Apple Music、iCloud和其他服务 |
微软调查Lapsus$入侵源代码存储库事件 |
APT35 使用 ProxyShell 自动执行初始访问 |
0x03 恶意程序
针对Android和iOS设备的修补钱包中的加密恶意软件
日期: 2022-03-24 标签: [ 中国 金融业 信息技术 Android iOS ]
2022年3月24日,ESET Research 发现了一个复杂的计划,该计划分发伪装成流行加密货币钱包的木马 Android 和 iOS 应用程序。这些恶意应用程序的主要目标是窃取用户的资金,主要针对中国用户。恶意应用程序的行为因操作系统而异。在 Android 上,恶意程序针对那些未安装过合法钱包应用程序的用户。恶意程序虽然与合法应用程序名字相同,但使用不同的证书进行签名。这意味着,如果官方钱包已经安装在 Android 智能手机上,恶意应用程序无法覆盖它。然而在 iOS 上,因为恶意程序和合法程序不共享相同的捆绑 ID,受害者可以同时安装这两个程序。建议用户从官方渠道进行下载。
详情
https://t.co/7saiktfKkvOkta修改了原始声明,称有366名客户受到Lapsus$违规行为的影响
日期: 2022-03-23 标签: [ 信息技术 Okta Lapsus$ 远程控制 Okta Lapsus$ ]
2022年3月23日,Okta首席安全官David Bradbury上午透露,366名客户受到勒索组织Lapsus$最近造成的违规行为的影响。Okta此前将其归因于为一家未透露姓名的第三方提供商工作的客户支持工程师的违规行为可以追溯到总部位于迈阿密的联络中心公司Sitel。据称,攻击者在登录到Okta时通过远程桌面协议访问了工程师的设备。从 1 月 16 日至 1 月 21 日,通过 Sitel 访问了 366 家拥有 Okta 帐户的公司。Okta周二晚间发布了一份更新的声明,宣布该身份和访问管理公司2.5%的客户受到违规行为的影响。该公司拥有超过15,000名客户,包括美国司法部。
详情
https://t.co/ahOUCWzwLrBitRAT恶意软件作为Windows 10许可证激活器传播
日期: 2022-03-21 标签: [ 信息技术 BitRAT 远程控制 BitRAT 暗网 Windows ]
一项新的BitRAT恶意软件分发活动正在进行中,针对使用非官方Microsoft许可证激活器免费激活盗版Windows操作系统版本的用户。
BitRAT是一款功能强大的远程访问木马,在网络犯罪论坛和暗网市场上出售,任何想要它的网络犯罪分子都可以低至20美元(终身访问)。
因此,每个买家都遵循自己的恶意软件分发方法,包括网络钓鱼,水坑或特洛伊木马化软件。在AhnLab的研究人员发现的一项新的BitRAT恶意软件分发活动中,威胁行为者正在将恶意软件作为Windows 10 Pro许可证激活器在Webhards上分发。
详情
https://t.co/uCOlOXZ4zHAndroid密码窃取恶意软件感染了100000名Google Play用户
日期: 2022-03-21 标签: [ 信息技术 Google Play商店 FaceStealer Android FaceStealer ]
一个窃取Facebook凭据的恶意Android应用程序已经通过Google Play商店安装了超过100000次,该应用程序仍然可以下载。该恶意软件伪装成一个名为"Craftsart卡通照片工具"的卡通化器应用程序,允许用户上传图像并将其转换为卡通渲染。
在过去的一周里,安全研究人员和移动安全公司Pradeo发现Android应用程序包含一个名为" FaceStealer"的木马程序,该木马程序显示Facebook登录屏幕,要求用户在使用该应用程序之前登录。
详情
https://t.co/c5gh3nG1Jg相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
5. 各主机安装EDR产品,及时检测威胁
6. 注重内部员工安全培训
7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
0x04 数据安全
HubSpot黑客攻击导致著名加密货币公司的数据泄露
日期: 2022-03-23 标签: [ 金融业 HubSpot HubSpot 数据泄露 ]
HubSpot是一个营销和销售平台,周末遭受了数据泄露,影响了包括Circle,BlockFi,Pantera Capital和NYDIG在内的多家公司。在给客户的电子邮件中,这些公司透露他们的业务没有受到影响,他们的国债也没有风险。虽然用户信息被泄露给黑客,但密码和其他内部信息并没有被盗。
HubSpot在一篇博客文章中解释说,威胁行为者从30个HubSpot门户窃取了数据,该公司已通知所有受影响的公司,终止了该帐户,并重新设计了其帐户权限,以确保此类事情不会重复。
详情
https://t.co/xBdLe9Yowh黑客组织Anonymous泄露俄罗斯能源巨头Transneft的数据
日期: 2022-03-21 标签: [ 俄罗斯 乌克兰 能源业 Transneft Anonymous(匿名者) 俄乌战争 ]
Transneft世界上最大的管道公司,在俄罗斯和独联体国家运输石油和石油产品。2022年3月21日,据称从俄罗斯国有石油管道公司 Transneft 窃取的大约 79 GB 的电子邮件出现在泄露托管网站 Distributed Denial of Secrets上。泄露的数据包含多个 Transneft 员工账户的电子邮件,以及包括发票、产品运输信息等在内的附件。这些泄露的数据疑似是从 Transneft 的多学科研发部门 OMEGA 公司泄露的。Anonymous宣称对此次事件负责,并声称是为了应对俄罗斯入侵乌克兰而入侵了 Transneft。
详情
https://t.co/3AM2pLmdu7相关安全建议
1. 及时备份数据并确保数据安全
2. 合理设置服务器端各种文件的访问权限
3. 严格控制数据访问权限
4. 及时检查并删除外泄敏感数据
5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
0x05 网络攻击
Kimsuky使用关于加密货币的Word文件进行APT攻击
日期: 2022-03-25 标签: [ 韩国 金融业 Kimsuky ]
3月21日,ASEC分析团队发现了Kimsuky组织使用包含加密货币信息的Word文件的APT攻击活动。总共发现了三个Word文件,这些文件被用作攻击的诱饵。宏的作者及其执行流程与3月17日ASEC博客文章中介绍的内容相同。似乎三个文件都是包含恶意宏代码的Word文件,并且内容与加密货币有关,所以攻击者一定是针对加密货币公司的。
详情
https://asec.ahnlab.com/en/32958/UAC-0026使用HeaderTip恶意软件发起网络攻击
日期: 2022-03-23 标签: [ 政府部门 俄乌战争 ]
乌克兰CERT-UA发现了名为“关于保存俄罗斯联邦军队犯罪行为的视频记录.rar”的RAR压缩文件,其中包含同名的EXE文件。运行可执行文件会在电脑上创建一个诱饵文件,以及一个带MZ头文件的DLL文件和BAT文件。上述DLL文件被称为HeaderTip,其主要目的是下载和执行其他DLL文件。CERT-UA将该活动跟踪为UAC-0026。
详情
https://cert.gov.ua/article/38097雀巢否认网络攻击,称被盗数据来自商业测试网站
日期: 2022-03-23 标签: [ 批发零售 雀巢(Nestlé ) Anonymous(匿名者) Nestlé 数据泄露 ]
跨国食品集团雀巢(Nestlé)否认在与黑客组织Anonymous相关的Twitter帐户泄露的有关雀巢的数据,据称其中包括电子邮件,密码和客户信息。
雀巢发言人告诉The Record,这些数据来自二月份发生的一次情况。发言人表示:这种对雀巢进行网络攻击以及随后的数据泄露的说法是没有根据的。它与今年2月的一个案例有关,当时一些随机且主要公开的B2B性质的测试数据无意中在单个商业测试网站上在线访问了一小段时间。
详情
https://t.co/vaOPBLIljs黑客组织Anonymous入侵俄罗斯联邦中央银行
日期: 2022-03-24 标签: [ 俄罗斯 政府部门 金融业 俄罗斯中央银行(the Central Bank of Russia) Anonymous(匿名者) 俄乌战争 ]
2022年3月24日,黑客组织Anonymous在Twitter上声称其入侵了俄罗斯中央银行,并且将在48小时内通过秘密协议发布超过35.000 个文件。并附上一些扫描件截图。
详情
https://t.co/qy1TheVKNp勒索软件DeadBolt再次出现并攻击 QNAP
日期: 2022-03-23 标签: [ 中国台湾 信息技术 QNAP DeadBolt ]
2022年3月中旬,DeadBolt 勒索软件重新浮出水面,对 QNAP 进行新一波的攻击。研究人员观察到 QNAP 设备上的 DeadBolt 感染从2022年3月16日开始缓慢上升,当天共有 373 起感染。到 3 月 19 日,共有 1,146 台设备受到感染。此次感染似乎并非针对特定组织或国家。此次攻击的行为与 1 月份的DeadBolt攻击QNAP相似,要求的赎金相同。
详情
https://t.co/vRXe7EPGWu黑客攻击克罗地亚日报,发布俄乌相关文章
日期: 2022-03-22 标签: [ 克罗地亚 文化传播 克罗地亚新闻网站Slobodna Dalmacija 俄乌战争 ]
2022年3月22日,克罗地亚新闻网站Slobodna Dalmacija遭到黑客攻击,黑客在该网站上用亲俄罗斯的文章替换了大约十篇原来的内容。替换后的文章是诸如“西方欺骗机器”、“你站在哪一边?”、 “美国承认他们在乌克兰有隐藏实验室”等。目前克罗地亚警方的网络犯罪部门正在进行调查,相关文章已被删除。
详情
https://t.co/NnarADVBiBFBI发现俄罗斯黑客对美国能源公司的兴趣与日俱增
日期: 2022-03-22 标签: [ 俄罗斯 美国 金融业 能源业 俄乌战争 ]
FBI警告说,自俄罗斯对乌克兰战争开始以来,俄罗斯黑客对能源公司的兴趣日益浓厚,尽管它没有提供任何迹象表明计划进行特定的网络攻击。2022年3月22日,美联社获得的联邦调查局公告称,俄罗斯黑客已经扫描了至少五家能源公司的漏洞,以及至少18家其他公司,包括国防工业基地和金融服务。该公告未识别任何公司。2022年3月21日,白宫表示,有"不断发展的情报"表明,俄罗斯正在考虑对美国的关键基础设施发动网络攻击,白宫负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)在白宫新闻发布会上表示沮丧,一些关键的基础设施实体未能修复可能被俄罗斯黑客利用的已知软件漏洞。
详情
https://t.co/KG40fkkRbAOkta证实其工程师的笔记本电脑在一月份被黑客入侵
日期: 2022-03-22 标签: [ 信息技术 Okta Lapsus$ Lapsus$ ]
访问管理系统的主要提供商Okta表示,2.5%或大约375名客户受到Lapsus$数据勒索组织声称的网络攻击的影响。该公司宣布了其结论,称其客户不应采取任何纠正措施。
2022年3月22日,Okta证实,他们在一月份遭受了一起安全事件,当时黑客入侵了其一名支持工程师的笔记本电脑,该笔记本电脑可以为客户启动密码重置。对违规行为的调查显示,威胁行为者可以访问笔记本电脑五天,在此期间他们能够访问Okta的客户支持面板和公司的Slack服务器。
详情
https://t.co/TlAlQMS5aB勒索团伙RansomEXX袭击苏格兰心理健康慈善机构
日期: 2022-03-21 标签: [ 苏格兰 英国 国际组织 SAMH(苏格兰心理健康协会) RansomEXX 勒索攻击 ]
2022年3月21日,RansomEXX勒索团伙袭击了SAMH(苏格兰心理健康协会),并且泄漏12 GB数据,这些数据包括敏感信息,例如姓名地址、电子邮件地址和护照扫描件。此次攻击影响了SAMH的 IT 系统,包括电子邮件和一些电话线路。RansomEXX 勒索软件于 2018 年首次被发现,也是一种无文件勒索软件,以禁用安全产品以更容易感染目标机器而闻名。RansomEXX 始于Windows,但最近也发展为运行Linux变体。
详情
https://t.co/YUf3doqLFQ新的后门Serpent通过开源软件包安装程序
日期: 2022-03-21 标签: [ 政府部门 建筑业 房地产 Serpent Serpent Chocolatey Windows ]
研究人员揭露了一项针对法国建筑,房地产和政府部门有针对性的电子邮件活动,该活动利用Chocolatey Windows软件包管理器在受感染的系统上提供名为Serpent的后门。
企业安全公司Proofpoint根据观察到的策略和受害者模式,将这些攻击归因于可能的高级威胁参与者。该活动的最终目标目前尚不清楚。Proofpoint研究人员在与黑客新闻分享的一份报告中说:"威胁行为者试图在潜在受害者的设备上安装后门,这可以实现远程管理,命令和控制(C2),数据盗窃或提供其他额外的有效载荷,”
详情
https://t.co/Ct2sZViYwg黑客组织ATW攻击雀巢
日期: 2022-03-21 标签: [ 批发零售 雀巢 AgainstheWest AgainstheWest 俄乌战争 ]
2022年3月20日,黑客组织AgainstheWest攻击并破坏了雀巢法国分公司的网站fr[.]nestle.com。目前,该站点已关闭。而其他子域和地址 www.nestle.com - 响应正常。此外,黑客组织ATW还发布了一份 Pastebin 的地址,其中披露了 15 名雀巢高管的个人详细信息,但这些被暴露信息的高管都是来自美国的,没有一个来自法国。黑客组织称这样做的目的是迫使雀巢停止在俄罗斯的业务活动,而雀巢也一直面临停止在俄罗斯运营的压力。该组织还发出威胁,称当前的攻击只是开始。
详情
https://t.co/WPq1IYxSxN俄罗斯社交媒体 VK 遭遇黑客攻击
日期: 2022-03-21 标签: [ 俄罗斯 乌克兰 信息技术 文化传播 俄罗斯社交媒体VK 俄乌战争 ]
2022年3月21日,俄罗斯社交媒体VK据称遭到黑客攻击。根据网上发布的屏幕截图,VK 的用户已收到来自社交网络官方账户的消息,告知他们俄罗斯对乌克兰战争的真实伤亡和影响。该消息还指出,所有用户信息已被访问,支持战争的人将受到惩罚。
详情
https://twitter.com/KyivIndependent/status/1505674263159881730相关安全建议
1. 积极开展外网渗透测试工作,提前发现系统问题
2. 减少外网资源和不相关的业务,降低被攻击的风险
3. 做好产品自动告警措施
4. 及时对系统及各个服务组件进行版本升级和补丁更新
5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
6. 注重内部员工安全培训
0x06 安全漏洞
Sophos 防火墙漏洞允许远程执行代码
日期: 2022-03-27 标签: [ 信息技术 Sophos CVE-2022-1040 漏洞修补 ]
Sophos 已修复其 Sophos 防火墙产品中的一个允许远程执行代码 (RCE) 的关键漏洞。跟踪为 CVE-2022-1040,Sophos 防火墙的用户门户和 Webadmin 区域中存在身份验证绕过漏洞。
2022年3月25日,Sophos披露了一个关键的远程代码执行漏洞,该漏洞影响了Sophos防火墙版本18.5 MR3(18.5.3)及更早版本,该公司发布了该漏洞的修补程序。
详情
https://t.co/E49DjVfx7lCISA 将 66 个漏洞添加到攻击中利用的错误列表中
日期: 2022-03-26 标签: [ 网络安全和基础设施安全局(CISA) CVE-2022-26143 CVE-2022-21999 CVE-2022-26318 CISA 漏洞修补 ]
网络安全和基础设施安全局(CISA)在其"已知被利用的漏洞"目录中添加了大量66个被积极利用的漏洞。这些新漏洞集的披露日期在2005年至2022年之间,涵盖了广泛的软件和硬件类型和版本。
这些漏洞已在针对组织的实际网络攻击中观察到,因此发布这些漏洞是为了提高系统管理部门的认识,并作为应用相应安全更新的官方建议。
在这种情况下,CISA允许联邦机构在2022年4月15日之前修补列出的漏洞并降低成为网络攻击受害者的风险。
详情
https://t.co/Q915FbvoxS朝鲜黑客使用Chrome 0-day漏洞针对新闻媒体,软件供应商等
日期: 2022-03-25 标签: [ 信息技术 谷歌(Google) 谷歌威胁分析小组(TAG) CVE-2022-0609 Chrome 0-day ]
谷歌发布了一份报告,确定了两起利用谷歌Chrome 0-day的朝鲜政府黑客活动。
谷歌威胁分析集团(Google Threat Analysis Group)的亚当·魏德曼(Adam Weidemann)解释说,2月10日,该公司发现了两个不同的朝鲜活动——他们将其归因于"Operation Dream Job”("梦想工作行动")和"Operation Dream Job "("苹果犹太人行动")——利用CVE-2022-0609。研究人员至少从2020年8月开始就知道"梦想工作行动",至少从2018年开始了解"AppleJeus行动"。谷歌在二月份强调了该漏洞并进行了修补,但他们指出,他们知道有报道称,野外存在利用该漏洞的情况。
详情
https://t.co/sXw8G3r3srVMware修补了Carbon Black App Control中的严重漏洞
日期: 2022-03-24 标签: [ 美国 信息技术 VMware CVE-2022-22951 CVE-2022-22952 ]
VMware 本周发布了其 Carbon Black App Control 产品中两个严重漏洞的软件更新。Carbon Black App Control是一种应用程序允许列表解决方案,允许安全团队通过锁定企业系统来保护企业系统,以防止不必要的更改。其中,CVE-2022-22951是由于未正确验证用户输入,可能导致远程代码执行的操作系统命令注入问题。想要利用该漏洞的攻击者需要作为高权限用户进行身份验证,并且需要对 App Control 界面进行网络访问才能在服务器上执行命令。而CVE-2022-22952 是一个文件上传漏洞,具有 App Control 管理访问权限的攻击者可以利用该漏洞上传特制文件并执行任意代码。这两个漏洞的 CVSS 评分均为 9.1,并已可以通过更新安全补丁进行修复。
详情
https://t.co/muvmmlqAng戴尔修补高严重性UEFI漏洞
日期: 2022-03-22 标签: [ 制造业 戴尔(Dell ) CVE-2022-24415 CVE-2022-24416 CVE-2022-24419 CVE-2022-24420 CVE-2022-24421 安全漏洞 ]
固件安全公司Binarly本周披露了影响多个戴尔企业笔记本电脑型号的统一可扩展固件接口(UEFI)的几个漏洞的详细信息。
在3月10日,戴尔宣布对UEFI(BIOS固件接口的继任者)中的五个SMM漏洞进行补丁,这些漏洞适用于45种设备型号,包括多个Alienware,Inspiron和Vostro笔记本电脑型号。
这些高严重性安全漏洞(CVSS 评分为 8.2 分)跟踪为 CVE-2022-24415、CVE-2022-24416、CVE-2022-24419、CVE-2022-24420 和 CVE-2022-24421,被描述为输入验证不当问题,可能允许经过身份验证的本地攻击者在易受攻击的系统上执行任意代码。目前已解决的三个问题 - 即CVE-2022-24419,CVE-2022-24420和CVE-2022-24421 - Binarly的安全研究人员确定,这些漏洞实际上是2016年最初详述的UsbRt漏洞的版本。
详情
https://t.co/dY1rYl98I1相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
0x07 安全分析
Dragonfly针对美国能源公司的战术、技术和过程
日期: 2022-03-25 标签: [ 俄罗斯 美国 能源业 网络安全和基础设施安全局(CISA) 联邦调查局(FBI) 能源部(DOE) ]
网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和能源部(DOE)共同撰写的联合网络安全咨询(CSA)提供了有关2011年至2018年由国家赞助的俄罗斯网络组织针对美国和国际能源组织进行的多次攻击活动的信息。CISA、FBI和DOE正在分享这些信息,以突出该组织用来攻击美国和国际能源组织的战术、技术和过程(TTP)。
详情
https://www.cisa.gov/uscert/ncas/alerts/aa22-083a深入分析GIMMICK的macOS变种
日期: 2022-03-23 标签: [ 信息技术 ]
2021年底,Volexity在一个环境中发现了一次攻击活动。Volexity检测到系统运行frp,或称为快速反向代理,随后检测到内部端口扫描。该流量被确定为未经授权的,系统是运行macOS 11.6 (Big Sur)的MacBook Pro,被隔离以进行进一步的取证分析。Volexity获取系统内存(RAM),并从机器中选择感兴趣的文件进行分析,发现了一个恶意软件植入物的macOS变种——GIMMICK。
详情
https://www.volexity.com/blog/2022/03/22/storm-cloud-on-the-horizon-gimmick-malware-strikes-at-macos/DEV-0537 (LAPSUS$)针对组织进行数据泄露和销毁的犯罪分析
日期: 2022-03-22 标签: [ 信息技术 政府部门 文化传播 批发零售 卫生行业 微软(Microsoft) Lapsus$ Lapsus$ ]
微软安全团队一直在积极跟踪针对多个组织的大规模社会工程和勒索活动,其中一些看到了破坏性元素的证据。研究人员观察到的活动归因于微软跟踪的威胁组DEV-0537,也称为LAPSUS$。DEV-0537以使用纯粹的勒索和破坏模型而不部署勒索软件有效负载而闻名。DEV-0537开始针对英国和南美的组织,但扩展到全球目标,包括政府,技术,电信,媒体,零售和医疗保健部门的组织。DEV-0537还已知会接管加密货币交易所的个人用户帐户,以消耗加密货币的持有量。
详情
https://t.co/gTMXJCoPY5乌克兰CERT-UA发布新型恶意雨刷软件DoubleZero的分析
日期: 2022-03-23 标签: [ 乌克兰 政府部门 信息技术 乌克兰计算机应急响应小组(CERT-UA) DoubleZero 俄乌战争 ]
2022年3月23日,乌克兰计算机应急响应小组(CERT-UA)发布新型恶意雨刷软件DoubleZero的分析。DoubleZero,是继WhisperGate、HermeticWiper 、IsaacWiper后出现的第四个新型数据擦除器。DoubleZero是基于C#进行编写的,破坏了乌克兰企业的信息系统,该程序旨在覆盖所有非系统文件并使机器无法运行。
详情
https://t.co/Vchy9jK9ZQ赛博空间的魔眼(续):PROMETHIUM伪装为WinRar.exe的攻击活动分析
日期: 2022-03-21 标签: [ PROMETHIUM PROMETHIUM ]
近日,研究人员在日常的威胁狩猎中捕获了PROMETHIUM组织伪装成常用压缩软件WinRAR.exe安装包进行情报刺探的攻击活动样本。经研判,本次攻击活动的特点如下:
- 使用水坑进行攻击,此次攻击样本内嵌WinRAR.exe签名的软件安装包,并使用WinRAR.exe图标伪装自身;
- 硬编码字符串‘v28_kt32p0’,疑似版本更迭至v28;
- 收集指定类型文件压缩加密后回传C2服务器;
详情
https://mp.weixin.qq.com/s/6zyIMophMtfWvi3CIflfhQ0x08 其他事件
超过450家公司已从俄罗斯撤出,但仍有一些公司留存
日期: 2022-03-27 标签: [ 俄罗斯 信息技术 金融业 文化传播 卫生行业 俄乌战争 ]
自入侵乌克兰开始以来,已有450多家公司宣布从俄罗斯撤军,但一些公司继续在俄罗斯运营,没有受到威慑。将公司分为以下五类:退出 - 彻底决裂;暂停 - 保持回报选择的开放性;缩减规模 - 减少活动;购买时间 - 推迟新的投资/发展;深入挖掘 - 无视退出要求。
详情
https://t.co/VdGNECkwct特洛伊木马应用程序被用来从iOS和Android用户窃取加密货币
日期: 2022-03-27 标签: [ 金融业 加密货币 ]
防病毒制造商和互联网安全公司ESET已经发现并溯源了一个复杂的恶意加密货币活动,该活动针对使用Android或iOS操作系统(iPhone)的移动设备。根据ESET的说法,恶意软件作者正在通过虚假网站分发恶意应用程序,模仿合法的钱包服务,如Metamask,Coinbase,Trust Wallet,TokenPocket,Bitpie,imToken和OneKey。随后,攻击者使用放置在合法网站上的带有误导性文章的广告来推广分发这些恶意钱包应用程序的虚假网站。
详情
https://t.co/cRyRKSInVt美国和欧盟签署数据传输协议以缓解隐私问题
日期: 2022-03-25 标签: [ 美国 国际组织 欧盟(EU Lawmakers) 数据传输协议 ]
欧盟和美国在长达数年的斗争中取得了突破,争夺流经大西洋的数据隐私,在2022年3月25日,达成了一项初步协议,为欧洲人的个人信息存储在美国铺平了道路。
总统乔·拜登(Joe Biden)和欧盟委员会主席乌尔苏拉·冯德莱恩(Ursula von der Leyen)在拜登在布鲁塞尔停留期间宣布了这项协议。
详情
https://t.co/07owImuEk9美国司法部起诉四名俄罗斯黑客
日期: 2022-03-24 标签: [ 美国 俄罗斯 政府部门 信息技术 能源业 美国司法部 美国网络安全和基础设施安全局 (CISA) 美国联邦调查局 (FBI) 制裁 俄乌战争 ]
2022年3月24日,美国司法部公布了两项起诉书,指控四名被告,均为为俄罗斯政府工作的俄罗斯国民,声称他们企图、支持和实施计算机入侵。在 2012 年至 2018 年期间,这些黑客共同针对全球能源部门,攻击大约 135 个国家/地区的数百家公司和组织的数千台计算机。除了公开的起诉书外,美国网络安全和基础设施安全局 (CISA)、联邦调查局(FBI)和能源部发布了一份联合公告,重点介绍了能源公司保护其网络可以采取的历史策略、技术和程序以及缓解措施。
详情
https://t.co/prm0msFY28朝鲜黑客利用Chrome 0Day漏洞(CVE-2022-0609)
日期: 2022-03-24 标签: [ 美国 朝鲜 信息技术 文化传播 金融业 科研服务 谷歌(Google) CVE-2022-0609 0day 漏洞利用 ]
2022年3月24日,谷歌 TAG(威胁分析小组)称,两个不同的朝鲜黑客组织正在共享Chrome 浏览器的0Day漏洞(CVE-2022-0609),并警告称最早的攻击证据可以追溯到今年 1 月初。在谷歌发布该漏洞的补丁之前,朝鲜黑客组织就开始利用该漏洞对新闻媒体、IT 公司、加密货币和金融科技组织进行了网络攻击。受害者通过电子邮件、虚假网站或受感染的合法网站成为目标,这些网站最终将激活 CVE-2022-0609 漏洞利用工具包。朝鲜黑客过去曾以安全研究人员为目标,并在社会工程活动中使用虚假渗透测试公司。美国政府已将朝鲜政府支持的黑客确定为重要对手,并采取“sand-and-friction” 安全策略来增加其运营成本。
详情
https://t.co/2MgAjkdegv伦敦警方逮捕7名Lapsus$黑客团伙青少年成员
日期: 2022-03-24 标签: [ 英国 政府部门 信息技术 英伟达(NVIDIA) 三星(Samsung) 微软(Microsoft) Okta Lapsus$ 黑客落网 ]
2022年3月24日,伦敦市警方表示,他们已经逮捕了七名与该团伙有关的人。Lapsus$黑客组织泄露了来自Nvidia、三星、微软和Okta等知名公司的封闭源代码和专有数据。而一名来自牛津的 16 岁少年被指控为网络犯罪团伙 Lapsus$ 的头目之一,这名少年据称通过黑客攻击积累了 1400 万美元(1060 万英镑)的财富。目前尚不清楚 Lapsus$ 中有多少成员,但他们的Telegram 聊天线索似乎表明 有些成员会说英语、俄语、土耳其语、德语和葡萄牙语。由于Lapsus$被竞争对手黑客攻击,一些 Lapsus$ 成员的真实身份已被披露。
详情
https://t.co/Rvvo3rXseB南非希望通过生物识别检查来对抗SIM卡交换攻击
日期: 2022-03-24 标签: [ 南非 信息技术 南非独立通信管理局 (ICASA) SIM卡交换攻击 生物识别 ]
南非独立通信管理局 (ICASA) 提交了一份提案,以解决该国的 SIM 卡交换攻击问题,建议当地服务提供商应保留手机号码所有者的生物特征数据。通过这样做,像 Vodacom 和 MTN 这样的电信公司将能够使用这些数据来确认请求号码转移行动的人是合法所有者。SIM 交换攻击是全球所有国家和服务提供商面临的数百万个问题,黑客可以将人们的号码转移到攻击者的 SIM 卡上,实质上是用户账户劫持。此攻击旨在绕过基于 SMS 的多因素身份验证步骤,以保护有价值的银行账户和加密货币钱包并控制受害者的资产。ICASA 认为,将手机号码与用户生物特征数据关联起来,最终将填补所有漏洞,解决SIM 交换攻击问题。该提案已在 2022 年 5 月 11 日之前接受公众舆论审查,但并未明确生物识别数据是指纹、面部扫描、语音、虹膜还是这些的组合。
详情
https://t.co/PO2vJpI5Wc俄罗斯100多个电梯控制器易受远程黑客攻击
日期: 2022-03-24 标签: [ 俄罗斯 制造业 交通运输 居民服务 Tekon Avtomatika 俄乌战争 ]
研究人员 Jose Bertin 在俄罗斯公司 Tekon Avtomatika 制造的控制器中发现了安全漏洞,该公司专门研究电梯和其他建筑系统的设备和软件。Shodan 目前展示了 117 台设备位于俄罗斯,3 台位于乌克兰。由于使用了默认凭据,这些设备可能会被黑客入侵。默认凭据提供对 Tekon 控制器用户界面的管理员权限访问。研究人员声称通过滥用允许用户添加插件的功能,找到了一种以 root 权限执行代码的方法。研究人员还创建了一个概念验证 (PoC) 脚本,使他能够获得 root 权限并完全控制目标设备,并可能造成重大破坏。攻击者可以利用此漏洞造成严重后果,例如关闭设备或植入后门,目前大约有 100 个设备处于高风险中。
详情
https://t.co/MLZVBPpSF6FBI正式通缉23岁俄罗斯黑客
日期: 2022-03-24 标签: [ 美国 俄罗斯 信息技术 政府部门 美国联邦调查局 (FBI) 俄乌战争 ]
2022年3月24日,一名 23 岁的俄罗斯国民在美国被起诉,并被列入联邦调查局 (FBI) 网络通缉犯名单,原因是他涉嫌担任 Marketplace A 的管理员,这是一个出售被盗登录凭据的网络犯罪论坛,个人信息和信用卡数据。Igor Dekhtyarchuk于 2013 年以化名“floraby”首次出现在黑客论坛上,被指控犯有电汇欺诈、访问设备欺诈和严重身份盗窃等罪名,这些罪行可能导致联邦法院长达 20 年监狱。
详情
https://t.co/O0LrLhQVUR美国财政部制裁多个俄罗斯实体
日期: 2022-03-24 标签: [ 美国 俄罗斯 金融业 政府部门 美国财政部外国资产控制办公室 (OFAC) 俄罗斯联邦储备银行 制裁 俄乌战争 ]
2022年3月24日,美国财政部外国资产控制办公室 (OFAC)发布公告,宣布制裁数十家俄罗斯国防公司、328 名俄罗斯国家杜马成员,以及俄罗斯联邦储备银行首席执行官,并且在公告中列出了受制裁的个人和实体的详细名单。并表示制裁名单中的实体和个人在美国拥有或控制的所有财产和财产权益均被冻结。此外,任何由一名或多名被屏蔽者直接或间接拥有 50% 或更多股份的实体也将被屏蔽。与俄罗斯联邦中央银行有关的任何涉及黄金的交易都受到现行制裁的约束。
详情
https://t.co/R0oyUhFddu俄罗斯禁止谷歌新闻提供有关乌克兰战争的"不可靠"信息
日期: 2022-03-23 标签: [ 俄罗斯 乌克兰 文化传播 俄罗斯电信监管机构Roskomnadzor Google News 俄乌战争 ]
俄罗斯电信监管机构Roskomnadzor已禁止Alphabet的新闻聚合器服务Google News,并阻止访问 news.google.com 域名,以提供对乌克兰正在进行的战争的"不可靠信息"的访问。
"根据俄罗斯总检察长办公室的要求,Roskomnadzor限制了对该国互联网服务News.Google的访问,"俄罗斯互联网监管机构告诉国际文传电讯社。"上述美国互联网新闻资源提供了对众多出版物和材料的访问,其中包含有关乌克兰特别军事行动过程的不可靠,公开的重要信息。
详情
https://t.co/6Z5Kpcd3k6澳大利亚网络安全中心(ACSC)警告各公司可能会有围绕新域名的欺诈活动
日期: 2022-03-24 标签: [ 澳大利亚 政府部门 信息技术 澳大利亚网络安全中心(ACSC) 域名抢注 ]
2022年3月24日,澳大利亚网络安全中心(ACSC)发出警告,新的域名类别可能会让企业或组织面临欺诈性网络活动。从 2022 年 3 月 24 日起,任何与澳大利亚有本地联系的人(包括企业、协会和个人)都将能够注册一个新的域名类别。这些更短更简单的域名将以 .au 结尾。这种新的域名类别允许用户注册更短、更容易记住的在线名称。然而,它也为网络犯罪分子进行欺诈性网络活动创造了另一条途径。投机取巧的网络犯罪分子可能会注册企业的 .au 域名,以进行冒充。为此,澳大利亚网络安全中心(ACSC)宣布,在2022年 9月20日之前,所有澳大利亚企业都可以保留其 .au 等效域名,然后再向公众开放。
详情
https://t.co/xjFU0puzBz西方阻止俄罗斯获取天气数据
日期: 2022-03-23 标签: [ 俄罗斯 德国 科研服务 欧洲气象卫星开发组织(EUMETSAT) 俄乌战争 ]
西方气象相关机构正在限制俄罗斯获取气象数据,因为担心该国可能会利用这些信息用生物或化学武器攻击乌克兰。
各机构希望对俄罗斯保密的数据包括风速和风向,阳光和降水的近乎瞬时的测量。
据总部位于德国的欧洲气象卫星开发组织(EUMETSAT)称,一个由成员国组成的特别委员会周二上午举行会议,选择立即暂停俄罗斯用户的许可证。
理事会还决定暂停与俄罗斯主要气象机构的双边合作协议,该协议允许交换数据和培训活动。
详情
https://t.co/R9TgmfUCzm美国司法部起诉俄罗斯公民,其涉嫌经营网络犯罪市场
日期: 2022-03-22 标签: [ 美国 俄罗斯 信息技术 暗网 ]
2022年3月22日,一名 23 岁的俄罗斯男子Igor Dekhtyarchuk在德克萨斯州东区被起诉,罪名是经营一个网络犯罪市场。根据起诉书,Dekhtyarchuk 经营着 Marketplace A,声称已出售对 48,000 多个受感染电子邮件帐户、39,000 多个受感染在线帐户的访问权限,平均每天访问量约为 5,000 人。Marketplace A 专门销售非法获得的访问设备,用于受感染的在线支付平台、零售商和信用卡账户,包括提供与这些账户相关的数据,例如受害者的姓名、家庭地址、登录凭据和支付卡数据。Marketplace A 的业务在网络犯罪世界中被称为“梳妆店”。
详情
https://t.co/jdSjgkmS6I白宫发布清单以应对俄罗斯网络攻击
日期: 2022-03-21 标签: [ 美国 俄罗斯 信息技术 政府部门 能源业 交通运输 卫生行业 制造业 俄乌战争 ]
2022年3月21日,白宫表示有情报表明俄罗斯将在不久发动对美国的网络攻击,并敦促美国组织加强其网络安全防御。尽管在俄乌冲突中,乌克兰遭到过俄罗斯攻击,但还没有发生过俄罗斯针对美国的攻击。白宫还发布了一份网络安全清单,其中包含组织应该用来加强网络防御的步骤。此外,美国政府于2022年3月中旬与 100 家公司进行了机密简报,以分享敏感的威胁情报和信息,其中许多可能是私营公司运营关键基础设施。美国的关键基础设施 涉及 16 个不同的行业,包括能源、交通、通信、医疗保健、紧急服务、食品和农业以及信息技术。
详情
https://t.co/HUJkW89QSI俄罗斯考虑建立网络部队
日期: 2022-03-22 标签: [ 俄罗斯 政府部门 信息技术 俄乌战争 ]
俄罗斯工业和贸易部副部长瓦西里·什帕克(Vasily Sphak)正在考虑组建“网络部队”,其中将包括来自俄罗斯的开发人员中的“应征入伍者”,这支“网络部队”在某种程度上是乌克兰IT军的克隆。Shpak 指出,网络部队的建立和国家秩序将使俄罗斯的开发人员能够获得就业机会,这种形式将有助于将专家留在俄罗斯。
详情
https://t.co/taZQdoxURKIT安全团队平均负责超过16万项资产
日期: 2022-03-22 标签: [ 信息技术 JupiterOne 云安全 ]
据安全供应商JupiterOne称,IT 安全团队所保护的资产数量过于庞大,尤其是云资产。JupiterOne分析了近 1,300 个组织的 3.7 亿资产,这些网络资产可能包括云工作负载、设备、网络资产、应用程序、数据资产和用户。平均每个安全团队负责管理 165,000 多个网络资产和 32,190 台设备。JupiterOne 对 2000 万个应用程序资产的分析发现,只有 9% 是内部开发的,91% 的代码是由第三方开发的。因此,供应链风险正在增加。
详情
https://t.co/JoR5iGinge拜登警告俄罗斯正暗地里针对美国进行网络攻击活动
日期: 2022-03-21 标签: [ 俄罗斯 美国 政府部门 信息技术 俄乌战争 ]
2022年3月21日,美国总统拜登警告称,有情报表明,俄罗斯正进行潜在的网络攻击活动,以报复美国和其他国家因俄乌冲突对其施加的经济制裁。美国国家安全基础顾问安妮·纽伯格还表示,俄罗斯正在暗地里对美国的关键设施进行网络攻击。
详情
https://t.co/R2Rl4DP0Ls苹果的宕机影响了iMessage、Apple Music、iCloud和其他服务
日期: 2022-03-21 标签: [ 批发零售 Apple Apple ]
2022年3月21日,许多Apple服务在下午大部分时间里都经历了中断。根据Apple的系统状态页面,已确认问题的服务包括iMessage,一些Apple Maps服务,iCloud Mail,iCloud Keychain,App Store,Apple Music,Apple TV Plus和Podcasts。在东部时间下午3:45左右之后,每个服务再次开绿灯,并表示问题已经解决。苹果尚未回应有关可能正在发生的事情的评论请求。
详情
https://t.co/e7DFuIdoSH微软调查Lapsus$入侵源代码存储库事件
日期: 2022-03-21 标签: [ 美国 信息技术 微软(Microsoft) Lapsus$ Lapsus$ ]
2022年3月20日,Lapsus$ 黑客组织声称他们入侵了微软的 AzureDevOps 服务器,并在 Telegram 上发布所谓的内部源代码存储库的屏幕截图,其中包含 Cortana 和各种 Bing 项目的源代码,名为“Bing_STC-SV”、“Bing_Test_Agile”和“Bing_UX”。此外,屏幕截图中还显示了登录用户的首字母“IS”,这可被用来确认被盗帐户。2022年3月21日,微软表示,他们正在调查有关 Lapsus$ 黑客组织攻击其内部 Azure DevOps 源代码存储库并窃取数据的事件。Lapsus$ 不会在受害者的设备上部署勒索软件。相反,他们以大公司的源代码存储库为目标,窃取他们的专有数据,然后试图以数百万美元的价格将这些数据赎回公司。
详情
https://t.co/PSdIDgMArvAPT35 使用 ProxyShell 自动执行初始访问
日期: 2022-03-21 标签: [ 信息技术 APT35 TA453 COBALT ILLUSION Charming Kitten ITG18 Phosphorus Newscaster 漏洞利用 CVE-2021-34473 CVE-2021-34523 CVE-2021-31207 ProxyShell APT35 ]
在 2021 年 12 月,研究人员观察到一个攻击者利用 Microsoft Exchange ProxyShell 漏洞通过多个 Web shell 获取初始访问权限并执行代码。活动和任务的重叠与我们上一份报告"Exchange 漏洞利用导致域范围的勒索软件"中观察到的情况非常相似。
在这次入侵中,研究人员观察到了 ProxyShell 漏洞的初始利用,随后是一些进一步的漏洞开发后活动,其中包括 Web shell、凭据转储和专用有效负载。我们评估此活动与APT35(TA453, COBALT ILLUSION, Charming Kitten, ITG18, Phosphorus, Newscaster)有关,因为TTP镜像了先前报告的活动归因于该组。本文章提供了安全研究人员分析工件和 IOC,例如 pcaps、内存捕获、文件、事件日志(包括 Sysmon、Kape 包等内容。
详情
https://t.co/cpwniE2Juc0x09 产品侧解决方案
若想了解更多信息或有相关业务需求,可移步至http://360.net
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x0a 时间线
2022-03-28 360CERT发布安全事件周报