报告编号：B6-2022-082901

报告来源：360CERT

报告作者：360CERT

更新日期：2022-08-29

0x01   事件导览

本周收录安全热点52项，话题集中在安全漏洞、网络攻击方面，涉及的组织有：APT29、Kimsuky、MERCURY、Twilio等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

伪造的“Cthulhu World”P2E项目用于推送信息窃取恶意软件

日期: 2022-08-27
标签: 文化传播, AsyncRAT, RedLine, 游戏社区, 

黑客创建了一个虚假的“克苏鲁世界”（Cthulhu World）游戏赚取社区，包括网站，Discord组，社交帐户和Medium开发人员网站，以将浣熊窃取者，AsyncRAT和RedLine密码窃取恶意软件感染分发给毫无戒心的受害者。为了推广“项目”，威胁参与者正在向Twitter上的用户发送直接消息，询问他们是否愿意对新游戏进行测试。作为测试和推广游戏的回报，威胁参与者承诺在以太坊中获得奖励。当 cthulhu-world.com 网站时，用户会看到一个精心设计的网站，其中包含有关项目的信息和游戏环境的交互式地图。克苏鲁世界的网站目前已关闭，但他们的Discord仍然活跃。目前尚不清楚此Discord上谁知道该网站正在分发恶意软件，但一些用户显然认为这是一个合法的项目。

详情

微软警告：APT29 携新工具 MagicWeb 回归

日期: 2022-08-26
标签: 美国, 信息技术, 微软（Microsoft）, APT29, MagicWeb, 

2022年8月26日，微软发布报告称，SolarWinds 供应链攻击的幕后黑手APT29再次出现，并在他们的攻击清单中加入了最新的武器。该武器被称为 MagicWeb，是一种后渗透工具，用于保持对被破坏环境的持续访问和横向移动。MagicWeb 超越了 FoggyWeb 的收集能力，能直接进行隐蔽访问，操纵用于身份验证的用户身份验证证书。微软的研究人员表示，黑客正在使用MagicWeb 瞄准企业网络。MagicWeb非常复杂，即使在防御者试图驱逐他们之后，黑客也可以控制受害者的网络。

详情

Adobe Acrobat Pro等盗版工具传播恶意软件

日期: 2022-08-23
标签: 信息技术, 谷歌（Google）, Adobe, 3DMark, 盗版软件, 

2022年8月23日，网络安全研究人员发现了多个正在进行的恶意软件分发活动，这些活动针对寻求下载盗版软件副本的互联网用户。该活动使用 SEO 投毒和恶意广告将恶意共享软件站点放置在 Google 搜索结果中，推广假冒软件以及破解和产品激活密钥生成器。据Zscaler 称，用于引诱受害者的软件包括以下内容：Adobe Acrobat Pro、3DMark、3DVista 虚拟旅游专业版、7-数据恢复套件、MAGIX 声力专业版、Wondershare Fone 博士。在许多情况下，伪装成承诺软件安装程序的恶意可执行文件托管在文件托管服务上，因此登录页面会将受害者重定向到其他服务以下载文件。建议用户避免下载盗版软件、产品激活程序、破解程序、序列密钥生成器以及任何承诺无需付费即可访问付费软件的内容。

详情

四款山寨安卓手机感染恶意程序

日期: 2022-08-23
标签: 制造业, 信息技术, 华为, 小米, 移动安全, 山寨机, 

2022年8月23日，网络安全公司Doctor Web发布报告称，流行的智能手机品牌山寨机的 Android 设备型号感染了许多针对 WhatsApp 和 WhatsApp Business 消息应用程序而设计的木马。Doctor Web 于 2022 年 7 月在至少四款不同智能手机的系统分区中发现了恶意软件，这四个品牌分别是P48pro、redmi note 8、Note30u 和 Mate40。这些恶意软件的危害在于它们的运行方式实际上是成为了目标应用程序的一部分。因此，它们可以访问受攻击应用程序的文件并可以读取聊天、发送垃圾邮件、拦截和收听电话以及执行其他恶意操作，具体取决于下载模块的功能。另外，恶意程序还会窃取有关受感染设备的详细元数据，并使用 Lua 脚本在用户不知情的情况下下载和安装其他软件。建议用户仅从官方商店和合法经销商处购买移动设备。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

LastPass 称源代码在数据泄露中被盗

日期: 2022-08-25
标签: 信息技术, LastPass, 数据泄露, 

密码管理软件公司 LastPass 遭遇数据泄露，导致源代码和专有技术信息被盗。该公司由 GoTo（前身为 LogMeIn）拥有，该公司在8月25日发布的在线通知中披露了违规行为，但坚称客户主密码或任何加密的密码保险库数据没有受到损害。

LastPass 首席执行官 Karim Toubba 表示，该公司的安全团队两周前在 LastPass 开发环境的部分区域内检测到异常活动，并启动了一项调查，确认源代码被盗。Toubba 表示，该公司正在评估进一步的缓解技术，以加强其环境。调查显示没有证据表明在 LastPass 生产环境中未经授权访问加密的保险库数据或客户数据。  最新的黑客攻击紧随 LastPass 用户成为“凭据填充”攻击的目标，这些攻击使用从第三方违规获取的电子邮件地址和密码。

详情

错误配置的 Meta Pixel 暴露了 130 万患者的医疗保健数据

日期: 2022-08-22
标签: 美国, 卫生行业, Novant Health, Meta Pixel, Meta（原Facebook）, 用户隐私, 

2022年8月22日，美国医疗保健提供商 Novant Health 披露了一起影响 1,362,296 人的数据泄露事件，这些用户的敏感信息被 Meta Pixel 广告跟踪脚本错误地收集了。Meta Pixel（以前称为 Facebook Pixel）是一种 JavaScript 跟踪脚本，Facebook 广告商可以将其添加到他们的网站以跟踪广告效果。患者的数据泄漏始于 2020 年 5 月，当时 Novant 开展了涉及 Facebook 广告的 COVID-19 疫苗接种宣传活动。为了衡量广告效果，Novant在他们的网站上添加了 Meta Pixel 代码。而Meta pixel 在 Novant Health 的网站和“MyChart”门户上被错误配置，将隐私信息传输给 Meta 及其广告合作伙伴。可能通过 Meta Pixel 暴露的信息包括：电子邮件地址、电话号码、IP地址、紧急联系信息、入选医师等。

详情

纺织公司Sferra披露数据泄露

日期: 2022-08-22
标签: 意大利, 批发零售, 制造业, 数据泄露, 

Sferra 成立于 1891 年，设计和销售意大利制造的豪华亚麻产品，包括豪华床单、桌布和床上用品系列，以及装饰性家居饰品。Sferra Fine Linens 在8月19日宣布，它已开始通知个人涉及其个人信息的网络安全事件。Sferra 已宣布它在 4 月 24 日发现了该事件，但在此之前的大约两周内，威胁行为者可以访问其服务器。受影响的个人信息包括姓名、地址、出生日期、护照信息、驾驶执照数据、社会安全号码、财务账户信息、医疗和/或健康保险数据、电子/数字签名和账户凭证。根据被泄露数据的类型，它似乎主要属于 Sferra 员工。但是，该公司尚未分享有关受影响个人数量的信息。目前尚不清楚这是否是勒索软件团伙进行的攻击。SecurityWeek 已经检查了主要团体的泄密网站，但没有发现任何提及 Sferra 的内容。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

Twilio遭受攻击后暴露了Okta的数据

日期: 2022-08-28
标签: 美国, 信息技术, Twilio, Okta, 

2022年8月4日，云通信公司 Twilio 发现未经授权的攻击者访问了其系统和客户信息。2022年8月8日，Okta 获悉针对Twilio的攻击暴露了“与 Okta 相关的未指定数据”。2022年8月下旬，Okta发布报告称攻击Twilio的幕后黑手利用他们的访问权限窃取了 Okta 身份和访问管理公司客户通过 SMS 提供的一次性密码 (OTP)。Okta 为其客户提供多种形式的服务身份验证，包括通过 Twilio 通过 SMS 提供的临时代码。通过访问 Twilio 控制台，攻击者可以访问属于 Okta 客户的手机号码和 OTP。攻击者使用 Twilio 的管理门户搜索了 38 个与 Okta 相关的电话号码，其中显示了通过 Okta 的 Twilio 帐户传递的最新 50 条消息。来自 Twilio的最新研究调查显示，黑客还访问了 Authy 2FA 帐户并注册了他们的设备以获取临时令牌。

详情

黑山安全机构报告俄罗斯对其实施的大规模网络攻击

日期: 2022-08-26
标签: 俄罗斯, 政府部门, 恶意攻击, 俄乌战争, 

黑山安全机构在2022年8月26日发出警告，来自俄罗斯的黑客已经对这个小国政府及其服务发动了大规模，协调的网络攻击。国家安全局（ANB）表示，黑山“目前正处于混合战争之下”。亚得里亚海国家曾被认为是俄罗斯的强大盟友，尽管莫斯科强烈反对，但于2017年加入北约。它还加入了西方对俄罗斯入侵乌克兰的制裁。黑山政府早些时候报告了对其服务器的一系列网络攻击中的第一次，但表示它设法防止了任何损害。但是，攻击似乎正在进行中。ANB在一份声明中说“协调的俄罗斯服务是网络攻击的幕后黑手，这种袭击是黑山首次发生，并且已经准备了很长时间‘’。政府官员杜尚·波洛维奇（Dusan Polovic）说：“我可以肯定地说，黑山最近经历的这次袭击直接来自俄罗斯。这次袭击可能包括对公用事业，交通（包括边境口岸和机场）和电信部门的破坏。‘’

详情

DoorDash披露数据泄露

日期: 2022-08-26
标签: 美国, 制造业, 批发零售, 交通运输, DoorDash, Twilio, 

2022年8月25日，食品配送公司 DoorDash 发布安全公告，披露了一项数据泄露事件，该事件与 Twilio 的网络攻击有关。黑客使用从有权访问其系统的第三方供应商处窃取的凭据获得了对公司内部工具的访问权限。黑客利用这种对 DoorDash 内部工具的访问权限来访问消费者和员工的数据。暴露的信息包括其员工和消费者的姓名、电子邮件地址、送货地址和电话号码。此外，对于一小部分客户，黑客访问了基本订单信息和部分信用卡信息。虽然 DoorDash 没有提及第三方供应商的名称，但表示此次事件与最近对 Twilio 进行网络攻击的攻击者有关。

详情

Kimsuky的GoldDragon集群及其C2运营

日期: 2022-08-25
标签: 朝鲜, 信息技术, Kimsuky, APT舆情, 

卡巴斯基发现了Kimsuky组织的新攻击活动，向受害者发送带有宏的Word文档的鱼叉式网络钓鱼邮件。不同的Word文档显示了与朝鲜半岛地缘政治问题相关的不同诱饵内容。该组织利用HTA感染受害者，偶尔使用韩文诱饵文档。在最初的感染后，会分发给受害者一个VBS脚本。在此过程中，滥用合法的博客服务来托管具有编码格式的恶意脚本。植入的VBS文件能够收集受感染机器的信息，并下载有效载荷。最后阶段是Windows可执行文件类型的恶意软件，它能够窃取受害者的信息，例如文件列表、键盘记录和存储的Web浏览器登录凭据。

详情

MERCURY 利用 Log4j 2 漏洞来针对以色列组织

日期: 2022-08-25
标签: 伊朗, 信息技术, MERCURY, Log4J, 

Microsoft 情报威胁中心 (MSTIC) 和 Microsoft 365 Defender 研究团队检测到伊朗的威胁者 MERCURY使用SysAid应用程序中的Log4j 2 漏洞攻击所有以色列的组织。MSTIC 高度自信地评估，MERCURY 观察到伊朗情报和安全部（MOIS）的活动。MERCURY 过去曾使用过使用 j2 漏洞，例如在易受攻击的应用程序上，但在 VMware 的 Log 4 上，没有使用 SysAid 应用程序作为初始访问权限的应用程序。获得访问后，MERCURY使用自定义和识别目标黑客以及组合操作系统在组织内建立工具、转储工具并利用移动设备进行手动攻击。该博客对这些改进的详细介绍进行了详细介绍和 Microsoft Defender for Endpoint 中实施针对 MERCURY 工具的检测。与任何观察到的国家行为者活动一样，Microsoft 会通知其已成为目标直接受到威胁的客户，为或提供保护帐户所需的信息。

详情

研究人员发现 Kimsuky Infra以韩国政治家和外交官为目标

日期: 2022-08-25
标签: 朝鲜, 韩国, 政府部门, Kimsuky, APT舆情, 

朝鲜民族国家组织  Kimsuky与 2022 年初针对其南部政治和外交实体的新一波邪恶活动有关。 该集群由俄罗斯网络安全公司卡巴斯基代号为 GoldDragon，其感染链导致实施 Windows 恶意软件，旨在文件列表、用户击键和存储的 Web 浏览器登录凭据。韩国大学教授、智库研究人员和政府官员是潜在的受害者。7月末，网络安全公司 Volexity 将该攻击者与一项情报收集任务联系起来，该任务旨在使用恶意 Chrome 浏览器扩展程序 Sharpext 从 Gmail 和 AOL 中窃取电子邮件内容。最新的活动采用了类似的策略，攻击序列由鱼叉式网络钓鱼消息发起，其中包含宏嵌入的 Microsoft Word 文档，据称包含与该地区地缘政治问题相关的内容。据说替代的初始访问路线也使用 HTML 应用程序 (HTA) 和编译的 HTML 帮助 (CHM) 文件作为诱饵来破坏系统。该攻击的独特之处在于，如果收件人单击电子邮件中的链接以下载其他文档，它会将受害者的电子邮件地址发送到命令和控制 (C2) 服务器。如果请求不包括预期的电子邮件地址，则返回无害的文档。

详情

俄罗斯恶意软件劫持 ADFS 以在 Windows 中以任何人身份登录

日期: 2022-08-25
标签: 俄罗斯, 政府部门, 信息技术, APT29, APT舆情, 

微软发现了俄罗斯黑客组织 APT29（又名 NOBELIUM，Cozy Bear）使用的一种新恶意软件，该恶意软件可以在受感染的网络中对任何人进行身份验证。作为国家资助的网络间谍活动参与者，APT29 利用新功能隐藏其在其目标网络上的存在，通常是欧洲、美国和亚洲的政府和关键组织。被称为“MagicWeb”的新恶意工具是“ FoggyWeb ”的演变，它允许黑客窃取受感染的 Active Directory 联合服务 (ADFS) 服务器的配置数据库，解密令牌签名和令牌解密证书，并获取额外的有效负载来自命令和控制 (C2) 服务器。MagicWeb 工具将 ADFS 使用的合法 DLL 替换为恶意版本，以操纵用户身份验证证书并修改受感染服务器生成的令牌中传递的声明。由于 ADFS 服务器促进了用户身份验证，MagicWeb 可以帮助 APT29 验证该服务器上任何用户帐户的身份验证，从而为他们提供持久性和大量旋转机会。

详情

泄露的文档显示间谍公司以 800 万美元的价格提供 iOS、Android 黑客服务

日期: 2022-08-25
标签: 信息技术, Intellexa, 间谍软件, 

泄露的文件显示了一家鲜为人知的间谍软件公司Intellexa以 800 万欧元（约合 800 万美元）的价格提供包括 Android 和 iOS 设备漏洞利用在内的服务。提供恶意软件源代码和其他网络安全资源的 Vx-undergroud 8月24日在 Twitter 上发布了一些屏幕截图，其中显示了几份显然代表 Intellexa 商业提案的文件。这些文件被标记为专有和机密，描述了从 Android 和 iOS 设备远程数据提取的服务。具体来说，该产品适用于远程、一键式基于浏览器的漏洞利用，允许用户将有效负载注入 Android 或 iOS 移动设备。简短的描述表明受害者必须单击一个链接才能传递漏洞利用。该优惠包括针对 iOS 和 Android 设备的 10 次并发感染，以及“100 次成功感染的杂志”。泄露的文件还显示了部分 Android 设备列表，据称可以针对这些设备进行攻击。

详情

Twilio 黑客在大规模 Okta 网络钓鱼攻击中攻击了 130 多个组织

日期: 2022-08-25
标签: 金融业, 文化传播, 信息技术, KuCoin, TTEC, Slack, 推特（Twitter）, Evernote, HubSpot, AT&T, Binance, 比特币基地（Coinbase）, Riot Games, 微软（Microsoft）, Epic Games, Verizon Wireless, MetroPCS, T-Mobile, Best Buy, Twilio, 

与最近一系列网络攻击有关的黑客，包括 Twilio、MailChimp 和 Klaviyo 上的攻击，在同一个网络钓鱼活动中破坏了 130 多个组织。该网络钓鱼活动利用代号为“0ktapus”的网络钓鱼工具包窃取 9,931 个登录凭据，然后黑客利用这些凭据通过 VPN 和其他远程访问设备访问公司网络和系统。根据 Group-IB 的一份报告，至少从 2022 年 3 月开始，0ktapus 活动就一直在进行，旨在窃取 Okta 身份凭证和 2FA 代码，并利用它们进行后续的供应链攻击。这些攻击非常成功，导致在Twilio、MailChimp和Klaviyo上报告了一系列数据泄露事件，并阻止了针对Cloudflare的企图攻击。此外，这些违规行为还导致对使用这些服务（例如 Signal 和 DigitalOcean）的客户进行供应链攻击。根据该活动中创建的网络钓鱼域，攻击者针对多个行业的公司，包括加密货币、技术、金融和招聘。

目标公司包括 T-Mobile、MetroPCS、Verizon Wireless、AT&T、Slack、Twitter、Binance、KuCoin、CoinBase、微软、Epic Games、Riot Games、Evernote、HubSpot、TTEC 和 Best Buy。

详情

Charmer Kitten使用新工具HYPERSCRAPE窃取受害者的电子邮件数据

日期: 2022-08-24
标签: 信息技术, Charmer Kitten, APT舆情, 

2021年12月，谷歌TAG发现了Charmer Kitten组织的一个新型工具HYPERSCRAPE，用于从Gmail、Yahoo！和Microsoft Outlook帐号窃取用户数据。攻击者在自己的计算机上运行HYPERSCRAPE，以使用以前获取的凭据下载受害者的收件箱。谷歌TAG已经观察到它被部署在伊朗的二十多个帐号。已知最古老的样本来自2020年，该工具仍在积极开发中。

详情

黑客组织Anonymous入侵克里米亚媒体

日期: 2022-08-25
标签: 乌克兰, 俄罗斯, 克里米亚, 信息技术, 文化传播, Miranda-Media, Anonymous（匿名者）, 乌克兰IT军队, 俄乌战争, 

2022年8月25日，黑客组织Anonymous在社交媒体Twitter声称和乌克兰IT军队一起入侵了克里米亚最大的俄罗斯互联网提供商之一 Miranda-Media。该公司由俄罗斯最大的互联网服务提供商 Rostelecom 的前高管经营。并附上了一张图片，图片中显示其攻下了Miranda-Media的官方网站，并且在其页面显示了乌克兰的地图。

详情

Quantum勒索软件攻击多米尼加共和国政府机构

日期: 2022-08-24
标签: 多米尼加共和国, 政府部门, Instituto Agrario Dominicano, 

多米尼加共和国的 Instituto Agrario Dominicano 遭受了 Quantum 勒索软件攻击，该攻击对整个政府机构的多个服务和工作站进行了加密。Instituto Agrario Dominicano (IAD) 是农业部的一部分，负责执行多米尼加共和国的土地改革计划。当地媒体报道称，勒索软件攻击发生在 8 月 18 日，影响了该机构的运作。多米尼加共和国国家网络安全中心 (CNCS) 表示，攻击者的 IP 地址来自美国和俄罗斯。Quantum 勒索软件操作是这次攻击的幕后黑手，声称已经窃取了超过 1TB 的数据，并要求该机构支付 650,000 美元的赎金。Instituto Agrario Dominicano表示其信息完全被泄露，因为数据库、应用程序、电子邮件等都受到了影响。

详情

研究人员：AiTM攻击的目标是Google G-Suite企业用户

日期: 2022-08-24
标签: 美国, 信息技术, 谷歌（Google）, 微软（Microsoft）, 网络钓鱼, 社会工程, 

2022年8月下旬，Zscaler 研究人员 Sudeep Singh 和 Jagadeeswar Ramanukolanu发现针对 Microsoft 电子邮件服务的企业用户的大规模中间攻击 (AiTM) 网络钓鱼活动也针对 Google Workspace 用户。AiTM 网络钓鱼攻击于 2022 年 7 月中旬开始，使用与社会工程活动类似的方法，旨在窃取用户 Microsoft 凭据甚至绕过多因素身份验证。调查结果表明，仅靠多因素身份验证保护措施不足以防御高级网络钓鱼攻击，因此用户必须在输入凭据之前仔细检查 URL，并避免打开附件或单击来自不受信任或未知来源的电子邮件中的链接。

详情

Plex遭受数据泄露，警告用户重置密码

日期: 2022-08-24
标签: 美国, 文化传播, Plex, 数据泄漏, 

2022年8月24日，美国流媒体平台Plex向其所有用户发送了一封电子邮件，建议他们尽快更改密码。Plex表示，它于2022年8月23日星期二在其一个数据库中发现了可疑活动。“我们立即开始调查，似乎第三方能够访问有限的数据子集，包括电子邮件、用户名和加密密码。即使所有可能被访问的帐户密码都按照最佳实践进行了散列和保护，但出于谨慎考虑，我们要求所有 Plex 帐户重置密码。”Plex 写道。自 Plex 发送电子邮件警告用户密码泄露以来，Plex 网站的速度普遍变慢，可能是由于大量用户急于更改密码。该流媒体平台没有确认是否有任何个人身份信息 (PII) 或私人媒体库被泄露，但确实提到所有可能被访问的帐户密码都是安全的。目前背后的攻击者尚未查明。

详情

俄乌战争迫使三分之二的企业改变网络战略

日期: 2022-08-24
标签: 俄罗斯, 美国, 乌克兰, 信息技术, 政府部门, 俄乌战争, 

在乌克兰经历了六个月的战争之后，国家支持的网络战仍然是安全决策者的头等大事。根据Venafi于 2022 年 8 月 24 日星期三发布的一份报告，近三分之二 (64%) 的组织认为他们已成为民族国家网络攻击的目标或至少受到影响。在国家支持的网络攻击中，机器身份工具（如数字证书和加密密钥）的损坏正在增加。Venafi发现，虽然 64% 的人认为实体战争的威胁在他们的国家比网络战争更令人担忧，但 68% 的人在应对俄罗斯/乌克兰冲突时与其董事会和高级管理层进行了更多关于网络安全的对话。总体而言，66% 的组织已更改其网络安全策略以直接应对冲突。

详情

勒索团伙RansomEXX声称对制造商Sea-Doo的攻击负责

日期: 2022-08-23
标签: 

2022年8月23日，RansomEXX勒索软件团伙声称对2022年8月8日披露的针对庞巴迪娱乐产品（BRP）的网络攻击负责。RansomEXX团伙在其泄密网站上列出了庞巴迪娱乐产品，以及据称从该公司窃取的29.9GB文件。提供的样本包括保密协议、护照和身份证、材料供应协议、合同续签等。数据泄露似乎不包括敏感的客户数据，但上述文件的曝光仍然对 BRP 造成损害。当时，这家加拿大制造商 Ski-Doo 雪地摩托、Sea-Doo 摩托艇、全地形车、摩托车、船只都停止了生产，导致与客户和供应商的某些交易出现延误。BRP 拥有超过 20,000 名员工，年销售额接近 60 亿美元，并在 120 多个国家/地区分销各种产品，因此即使生产中的最小中断也会产生严重的财务影响。

详情

黑客结合AiTM攻击与网络钓鱼针对Microsoft 365帐户进行BEC诈骗

日期: 2022-08-24
标签: 美国, 信息技术, 微软（Microsoft）, AiTM, 网络钓鱼, BEC, 

2022年8月24日，Mitiga 的研究人员发现一项新的商业电子邮件泄露 (BEC) 活动将复杂的鱼叉式网络钓鱼与中间对手 (AiTM) 策略相结合，以入侵企业高管的 Microsoft 365 帐户，甚至是受 MFA 保护的帐户。通过访问大型组织的 CEO 或 CFO 等高级员工的账户，黑客可以监控通信并在适当的时候回复电子邮件，从而将大笔交易转移到他们的银行账户。这是典型的商业电子邮件泄露攻击，黑客在最后时刻从受感染账户发送电子邮件，请求交易的授权成员更改银行账户目的地。Mitiga 的研究人员在一次事件响应案例中发现了这一新活动，并报告称其现在很普遍，并且还会针对每笔高达数百万美元的交易。Windows 管理员可以通过Azure Active Directory 审核日志监控用户帐户的 MFA 更改。

详情

伊朗黑客利用Hyperscrape攻击Gmail、Outlook等收件箱

日期: 2022-08-23
标签: 伊朗, 信息技术, 谷歌（Google）, 雅虎, 微软（Microsoft）, Charming Kitten, 

2022年8月23日，谷歌威胁分析集团的研究人员 Ajax Bash发布报告称，一个据称来自伊朗的政府支持的黑客组织Charming Kitten（也称为 APT35）正在使用一种新型工具（名为“Hyperscrape”）来窃取 Gmail、Yahoo! 和 Microsoft Outlook 收件箱。黑客组织Charming Kitten是伊朗主要的网络间谍组织之一，据称在对伊朗军事情报部门进行监视。Charming Kitten利用“Hyperscrape”可以从 Gmail、Yahoo! 和 Microsoft Outlook 帐户中窃取用户数据，并使用先前获得的凭据下载收件箱。

详情

法国医院遭受1000万美元勒索软件攻击

日期: 2022-08-23
标签: 卫生行业, 勒索攻击, 

距离巴黎市中心28公里的医院南弗朗西斯利安中心（CHSF）遭受了网络攻击，导致医疗中心将患者转诊到其他机构并推迟手术预约。CHSF为60万居民提供服务，因此其运营中的任何中断都可能危及医疗紧急情况下人们的健康，甚至生命。这种对计算机网络的攻击使得医院的商业软件，存储系统（特别是医学成像）以及与患者入院相关的信息系统暂时无法访问。据来自该国执法机构信息的Le Monde报道，袭击CHSF的勒索软件行为者要求支付10，000，000美元的赎金以换取解密密钥。法国网络安全记者Valéry Riess-Marchive发现了LockBit 3.0感染的迹象，并提到国家宪兵的处理是指向该方向的线索，因为该服务处理Rangar Locker和LockBit攻击。

详情

新的Donut Leaks（甜甜圈泄漏）勒索团伙与最近的勒索软件攻击有关

日期: 2022-08-23
标签: 希腊, 英国, 能源业, 建筑业, Sheppard Robson, Sando, DESFA, 勒索攻击, 

一个名为“甜甜圈泄漏”的新数据勒索组织与最近的网络攻击有关，包括对希腊天然气公司DESFA，英国建筑公司Sheppard Robson和跨国建筑公司Sando的网络攻击。两名受害者披露了这些攻击，但没有提供有关谁参与的信息。这些受害者的数据现在已经出现在一个未知的勒索团伙的数据泄露网站上，该团伙被称为Donut Leaks。此外，在Donut Leaks网站上共享的数据比在勒索软件网站上共享的数据要广泛得多，这表明这个新的威胁行为者参与了攻击。这个新的勒索组织说明了被盗数据如何落入多个小组的手中，每个小组都尝试自己的方法来勒索受害者。它还表明，支付赎金要求可能并不总是能防止您的数据泄露，并且仍然可能导致进一步的勒索要求。

详情

伊朗黑客（UNC3890）以几个以色列组织为间谍活动目标

日期: 2022-08-23
标签: 伊朗, 以色列, 能源业, 政府部门, 交通运输, UNC3890, 间谍软件, 间谍活动, 

一个可疑的伊朗威胁活动集群与针对以色列航运，政府，能源和医疗保健组织的袭击有关，这是2020年底开始的以间谍为重点的运动的一部分。网络安全公司Mandiant正在以其未分类的绰号UNC3890跟踪该组织，据信该组织开展与伊朗利益一致的行动。收集的数据可能被用来支持各种活动，从黑客和泄漏，到实现动能战攻击，就像近年来困扰航运业的攻击一样。该组织发起的入侵导致部署了两个专有的恶意软件：一个名为SUGARUSH的“小而有效”的后门和一个名为SUGARDUMP的浏览器凭据窃取器，它将密码信息泄露到与Gmail，ProtonMail，Yahoo和Yandex关联的电子邮件地址。

详情

伊朗黑客使用新工具从受害者那里窃取电子邮件

日期: 2022-08-23
标签: 伊朗, 信息技术, Charming Kitten, Hyperscraper, 

国家赞助的伊朗黑客组织Charm Kitten一直在使用一种新工具从目标Gmail，Yahoo和Microsoft Outlook帐户下载电子邮件。该实用程序的名称是Hyperscraper，与许多威胁参与者的工具和操作一样，它远非复杂。但它缺乏技术复杂性与有效性相平衡，允许黑客窃取受害者的收件箱，而不会留下许多入侵迹象。Google TAG研究人员表示，Charming Kitten实用程序的旧变体可以从Google Takeout请求数据，Google Takeout是一项服务，允许用户从他们的Google帐户导出数据以备份数据或将其与第三方服务一起使用。运行时，Hyperscraper 与命令和控制 （C2） 服务器通信，等待确认以启动泄漏过程。操作员可以使用命令行参数或通过最小的用户界面，使用必要的参数（操作模式、有效 cookie 文件的路径、标识符字符串）配置工具。

详情

LockBit 勒索软件对 Entrust 站点进行 DDoS 攻击

日期: 2022-08-22
标签: 信息技术, Entrust, 勒索攻击, 

7 月下旬，数字安全巨头 Entrust 证实了一次网络攻击 ，披露威胁者在 6 月的一次入侵中从其网络中窃取了数据。当时，消息人士告诉 BleepingComputer，这是一次勒索软件攻击，但无法独立确认背后的原因。LockBit 声称对这次攻击负责，并于8月19日晚上开始泄露数据。此次泄露包括据称从 Entrust 窃取的 30 张数据截图，包括法律文件、营销电子表格和会计数据。8月22日，安全研究小组 VX-Underground 从 LockBit 勒索软件操作的面向公众的代表 LockBitSupp 处获悉，他们的 Tor 站点受到了他们认为与 Entrust 有关联的人的攻击。作为对攻击的报复，LockBit 的数据泄露网站现在显示一条消息，警告说勒索软件团伙计划将 Entrust 的所有数据作为洪流上传，这将使其几乎不可能被删除。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

Atlassian Bitbucket Server 易受关键 RCE 漏洞的攻击

日期: 2022-08-26
标签: 美国, 信息技术, Atlassian, CVE-2022-36804, 

2022年8月24日，Atlassian 发布安全公告，警告 Bitbucket 服务器和数据中心用户存在一个严重的安全漏洞，有权访问公共存储库或对私有 Bitbucket 存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。Bitbucket 是一个基于 Git 的代码托管、管理和协作工具，集成了 Jira 和 Trello。该漏洞被跟踪为 CVE-2022-36804  ，是软件产品的多个 API 端点中的命令注入，CVSS 严重性评分为 9.9  （满分为 10.0）。该漏洞影响 6.10.17 之后的所有 Bitbucket Server 和 Data Center 版本，包括 7.0.0 和最高 8.3.0。安全版本已发布，为7.6.17、7.17.10、7.21.4、8.0.3、8.1.3、8.2.2 和 8.3.1。若无法应用安全更新，建议用户通过使用“feature.public.access=false”关闭公共存储库来作为临时缓解措施。

详情

Bitbucket服务器和数据中心中发现关键命令注入漏洞

日期: 2022-08-26
标签: 信息技术, Bitbucket, 安全漏洞, 

研究人员警告说，Bitbucket产品中的一个关键命令注入漏洞可能允许攻击者执行任意代码。Bitbucket是Atlassian拥有的基于Git的源代码存储库托管服务。该漏洞被跟踪为CVE-2022-36804，是Bitbucket Server和Data Center的多个API端点中的命令注入漏洞。此漏洞可能允许对公共或私有 Bitbucket 存储库具有读取权限的远程攻击者通过发送恶意 HTTP 请求来执行任意代码。6.10.17 之后发布的所有版本的服务器和数据中心都会受到影响，这意味着运行 7.0.0 和 8.3.0（含）之间任何版本的所有实例都容易受到攻击。建议用户更新到最新版本。

详情

超过 80,000 台未打补丁的海康威视摄像机被收购

日期: 2022-08-24
标签: 英国, 越南, 中国, 美国, 信息技术, Hikvision, 摄像机安全, 

网络安全公司 Cyfirma 已经确定了 80,000 多台海康威视摄像头，这些摄像头尚未针对在野外利用的关键代码执行漏洞进行修补。该漏洞被跟踪为 CVE-2021-36260，可导致 root 访问，并允许攻击者完全控制设备并可能危及整个网络。超过 70 款海康威视设备型号受到影响。该安全漏洞的 CVSS 等级为 9.8，因为该漏洞利用只需要访问 HTTP(S) 服务器端口（通常为 80/443），无需身份验证。CVE-2021-36260 的修复程序自 2021 年 9 月以来一直可用，但数以万计的海康威视摄像机和 NVR 仍未修补。这家网络安全公司在一份报告 ( PDF )中表示，100 多个国家/地区的 2,000 多个组织可能会受到攻击，特别是因为许多易受攻击的设备还打开了多个端口。数量最多的易受攻击设备位于中国（约 12,700 台）、美国（约 10,000 台）、越南（约 7,300 台）、英国（约 4,800 台）和乌克兰（约 3,000 台）。

详情

GitLab强烈建议修补关键RCE漏洞

日期: 2022-08-24
标签: 美国, 信息技术, Gitlab, 

2022年8月22日，GitLab发布安全公告，敦促用户为其社区版和企业版的分支 15.1、15.2 和 15.3 安装安全更新，以修复可能使攻击者能够通过 Github 导入执行远程命令的关键漏洞。GitLab 是一个基于 Web 的 Git 存储库，适用于需要远程管理其代码的开发人员团队。它拥有大约 3000 万注册用户和 100 万付费客户。此安全更新解决的漏洞被跟踪为 CVE-2022-2884，并分配了 9.9 的 CVSS v3 关键性分数。它影响从 11.3.4 到 15.1.4 的所有版本，以及 15.2 和 15.2.3 之间的版本以及 15.3。利用此漏洞，黑客可以控制服务器、窃取或删除源代码、执行恶意提交等。解决该问题的最新 GitLab 版本是 15.3.1、15.2.3 和 15.1.5，建议用户立即升级到这些版本。

详情

VMware修复了VMware工具中的权限提升漏洞

日期: 2022-08-23
标签: 美国, 信息技术, VMware, CVE-2022-31676, 

2022年8月23日，虚拟化技术软件公司VMware发布安全公告，修复其 VMware Tools 实用程序套件中的一个严重安全漏洞。VMware Tools 是一套软件工具，用于提高虚拟机客户操作系统的性能以及虚拟机本身的资源管理。该漏洞被跟踪为 CVE-2022-31676，CVSS 基本评分为 7.0，可能被具有本地非管理访问权限的黑客利用，并以 root 用户身份升级权限虚拟机 (VM)。该漏洞影响了 Windows 和 Linux 系统上的软件，是与虚拟化安全相关的固有风险的一个典型示例。CVE-2022-31676 已在 VMware 在 Windows 的 12.1.0 版本和 Linux 机器的 10.3.25 版本中修补。

详情

超过80000台海康威视摄像机易受到严重漏洞影响

日期: 2022-08-22
标签: 荷兰, 美国, 泰国, 南非, 越南, 英国, 中国, 罗马尼亚, 法国, 乌克兰, 制造业, 海康威视, 漏洞利用, CVE-2021-36260, 摄像头, 

2022年8月22日，网络安全公司CYFIRMA的安全研究人员发现超过 80,000 台海康威视摄像机容易受到严重的命令注入漏洞的影响，该漏洞可通过发送到易受攻击的 Web 服务器的特制消息轻松利用。该漏洞被跟踪为 CVE-2021-36260，并由海康威视在 2021 年 9 月通过固件更新解决。然而，根据 CYFIRMA 发布的白皮书，100 个国家/地区的 2,300 个组织使用的数万个系统仍未应用安全更新。在对 285,000 个面向互联网的海康威视 Web 服务器的分析样本中，CYFIRMA发现大约 80,000 个仍然容易受到攻击。其中大部分位于中国和美国，而越南、英国、乌克兰、泰国、南非、法国、荷兰和罗马尼亚的易受攻击端点均超过 2,000 个。建议用户优先安装最新的可用固件更新，使用强密码，并使用防火墙或 VLAN 将 IoT 网络与关键资产隔离。

详情

CISA 警告在野严重 PAN-OS DDoS 漏洞

日期: 2022-08-22
标签: 美国, 信息技术, Palo Alto Networks, 美国网络安全和基础设施安全局 (CISA), 漏洞利用, RDoS, CVE-2022-0028, 

2022年8月中旬在 Palo Alto Networks 的 PAN-OS 中发现的一个漏洞已被添加到美国网络安全和基础设施安全局 (CISA) 的已知可利用漏洞目录中。Palo Alto Networks PAN-OS URL 过滤策略配置错误被识别为 CVE-2022-0028 ，漏洞等级为严重，允许基于网络的攻击者进行反射和放大的 TCP 拒绝服务 (RDoS) 攻击，而无需进行身份验证。支持 PA 系列、VM 系列和 CN 系列设备的多个 PAN-OS 版本易受 CVE-2022-0028 攻击。目前，Palo Alto Networks 已为所有这些版本发布了补丁。利用该漏洞的攻击者可能会隐藏其原始 IP 地址，从而使修复变得更加困难。建议用户立即进行更新修复。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   安全分析

诱饵“土耳其海军主力型潜艇”！疑似新APT组织针对土耳其海军发起钓鱼攻击

日期: 2022-08-23
标签: 土耳其, 政府部门, OceanDoge, APT舆情, 

近期，安恒信息中央研究院猎影实验室捕获到数个针对土耳其海军的钓鱼文档样本，攻击者通过将文档加密诱骗受害者启用宏脚本，启用宏后文档中的内容将被解密并运行恶意vba代码。经分析此次行动与2021年4月26日绿盟披露的 “Actor210426”行动攻击手法高度重合，推断两次行动极有可能来自同一组织。为方便追踪，安恒将其命名为OceanDoge。OceanDoge组织至少从2021年4月开始活动，通过发布的加密文档诱导受害者运行宏脚本，观察到的两次攻击先后针对狗狗币关注者和土耳其海军发起钓鱼攻击。

详情

0x08   其他事件

LockBit勒索软件团伙使用三重勒索策略进行攻击

日期: 2022-08-27
标签: 信息技术, Entrust, DDoS, LockBitSupp, 勒索攻击, 

LockBit勒索软件团伙宣布，它正在改善对分布式拒绝服务（DDoS）攻击的防御，并努力将操作提高到三倍的勒索水平。该团伙最近遭受了DDoS攻击，据称是代表数字安全巨头Trust进行的，该攻击阻止了对其公司泄漏网站上发布的数据的访问。LockBit勒索软件行动的面向公众的数字LockBitSupp宣布，该集团已通过更大的基础设施重新开展业务，以允许访问不受DDoS攻击影响的泄漏。LockBitSupp表示，勒索软件运营商现在正在寻求在加密数据并泄漏数据的基础上添加DDoS作为勒索策略。LockBit的发言人表示，他们将与任何与他们联系的人私下共享Entrust数据泄漏，然后再通过洪流提供。在8月27日发布了一个名为“entrust.com”的种子，其中包含343GB的文件。

详情

FCC调查结果显示，大多数顶级移动运营商保留地理位置数据两年

日期: 2022-08-26
标签: 美国, 信息技术, 居民服务, AT&T, Best Buy Health, Charter, Comcast, Consumer Cellular, C-Spire, DISH Network, Google FI, H2O Wireless, Lycramobile, Mint Mobile, Red Pocket, T-Mobile, U.S. Cellular, Verizon r, 运营商安全, 

根据美国联邦通信委员会在2022年8月25日公布的电信公司的信息，前15家移动运营商（AT&T，Best Buy Health，Charter，Comcast，Consumer Cellular，C-Spire，DISH Network，Google FI，H2O Wireless，Lycramobile，Mint Mobile，Red Pocket，T-Mobile，U.S. Cellular和Verizon r

）中有10家收集地理位置数据，且消费者无法选择退出。这些信息和地理位置数据非常敏感。它记录了我们去过的地方和我们是谁。这就是为什么FCC正在采取措施确保这些数据受到保护。地理位置数据为用户的生活提供了一个详细的窗口，包括从他们购物的地方到他们寻找的医疗服务提供者的所有内容。该机构并不听信运营商的回应。Rosenworcel要求该机构的执法局进行后续调查，以确保运营商遵守FCC规则，这些规则要求他们披露他们如何使用和共享地理位置数据。

详情

奥地利：谷歌违反欧盟法院命令

日期: 2022-08-26
标签: 奥地利, 信息技术, 谷歌（Google）, 

2022年8月24日，奥地利倡导组织 noyb.eu 向法国数据保护机构投诉称，谷歌直接向 Gmail 用户的收件箱发送未经请求的广告电子邮件，违反了欧盟法院的判决。欧洲数据监管机构之一的法国 CNIL 已对谷歌处以了较为严重的罚款。奥地利倡导组织 noyb.eu还向 CNIL 提供了用户收件箱顶部显示广告消息的屏幕截图，上面显示了法语单词“annonce”或“ad”和一个绿色框被用来标识这些广告邮件。但noyb.eu表示，根据欧盟的规则，只有在用户同意的情况下，这种广告邮件才能被显示。欧盟数据隐私政策的一个重要原则以及 CNIL 的主要目标都是互联网用户事先同意使用 cookie，这将有助于减少针对性广告。

详情

NOBELIUM组织的后入侵工具MagicWeb

日期: 2022-08-25
标签: 美国, 政府部门, NOBELIUM, APT舆情, 

微软安全研究人员发现了NOBELIUM组织的后入侵工具MagicWeb，该工具用来持久化。NOBELIUM仍然非常活跃，同时针对美国、欧洲和中亚的政府组织、非政府组织（NGO）、政府间组织（IGO）和智库开展多项攻击行动。MagicWeb是一个恶意DLL，通过部署到ADFS服务器，使攻击者能够在需要权限访问的系统上执行任何恶意活动。

详情

“Kimsuky”黑客如何确保他们的恶意软件只到达有效目标

日期: 2022-08-25
标签: 朝鲜, 信息技术, Kimsuky, APT舆情, 

朝鲜的“Kimsuky”威胁参与者正在竭尽全力确保他们的恶意有效载荷仅由有效目标下载，而不是安全研究人员的系统上。

根据8月25日卡巴斯基发布的报告，该威胁组织自 2022 年初以来一直在采用新技术过滤无效下载请求，当时该组织发起了针对朝鲜半岛各种目标的新活动。Kimsuky 实施的新保护措施非常有效，以至于卡巴斯基报告称即使在它们成功连接到威胁参与者的命令和控制服务器后也无法获取最终有效载荷。Kimsuky 是一个非常老练的威胁攻击者，最近有人看到它部署自定义恶意软件并使用Google Chrome 扩展程序窃取受害者的电子邮件。卡巴斯基强调的活动说明了韩国黑客采用的复杂技术来阻碍分析并使他们的跟踪更加困难。

详情

黑客滥用 Genshin Impact 反作弊系统禁用杀毒软件

日期: 2022-08-25
标签: 文化传播, Genshin Impact, 

黑客正在滥用广受欢迎的 Genshin Impact 游戏的反作弊系统驱动程序来禁用防病毒软件，同时进行勒索软件攻击。驱动程序/模块“mhypro2.sys”不需要目标系统来安装游戏，它可以独立运行，甚至可以嵌入恶意软件中，为威胁参与者提供了一个强大的漏洞，可以禁用安全软件。 在趋势科技的一份新报告中，研究人员已经看到了自 2022 年 7 月下旬以来威胁行为者滥用该驱动程序的证据，勒索软件行为者使用它来禁用其他正确配置的端点保护解决方案。威胁参与者对目标端点使用“secretsdump”和“wmiexec”，然后使用抢夺的管理员凭据通过 RDP 连接到域控制器。趋势科技警告说，黑客对反作弊模块的部署可能会增加，因为即使供应商做出回应并修复了漏洞，旧版本的漏洞也会继续传播。

详情

Talos 在独立日更新对乌克兰的网络安全支持

日期: 2022-08-25
标签: 俄罗斯, 乌克兰, 政府部门, 信息技术, 思科（Cisco）, 俄乌战争, 

思科 Talos在乌克兰独立日之际提供了有关其继续为乌克兰提供网络安全支持的最新信息。Talos 的高级威胁情报研究员 Dmytro Korzhevin、Talos 的国家情报负责人 JJ Cummings 和该公司的战略情报负责人 Ashlee Benge在8月24日的网络研讨会上讨论了他们过去几个月在该地区的工作。其中包括针对乌克兰正在进行的网络攻击的执行指导文件，以及一些专门分析对乌克兰网络基础设施的攻击的建议，这些攻击据信是由俄罗斯国家支持的行为者执行的。此外，所有这些文件都已由 Talos 翻译成乌克兰语。网络研讨会还看到乌克兰国民 Korzhevin 传达了希望和独立的信息。网络研讨会和乌克兰独立日是在该国国家特殊通信和信息保护局 (SSSCIP) 表示今年第二季度针对乌克兰的网络攻击的频率和数量都激增之后的几周。

详情

微软发布Windows 默认终端

日期: 2022-08-24
标签: 美国, 信息技术, 微软（Microsoft）, 

2022年8月24日，微软发布了 Windows 11 'Dev' 预览版 25188 ，将Windows 终端设置为启动命令行应用程序或 PowerShell 脚本时的默认控制台。在 Windows 10 和 Windows 11 中，打开控制台程序会导致操作系统使用“cmd.exe”命令行解释器在控制台窗口中启动该程序。同样，PowerShell 将在其自己的命令行界面中打开以执行命令。在 Windows 10 Insider 版本和 Windows 11 中，微软已经将 Windows Terminal 支持集成到操作系统中，其作为默认控制台终端。要进行此更改，用户必须安装 Windows Terminal 1.15 或更高版本，并且至少打开过一次程序。一旦设置为默认终端，任何控制台程序现在都将在 Windows 终端中自动启动。

详情

VMware Carbon Black导致Windows的BSOD崩溃

日期: 2022-08-23
标签: 信息技术, VMware, 微软（Microsoft）, 

2022年8月23日，由于 VMware 的 Carbon Black 端点安全解决方案的某些版本引起的问题，数十家组织的 Windows 服务器和工作站开始崩溃。2022年8月23日15:00后，50 多个组织的系统开始显示蓝屏死机 (BSOD)。问题的根源是当日部署到 Carbon Black Cloud Sensor 3.6.0.1979 - 3.8.0.398 的规则集导致设备在启动时崩溃并显示蓝屏，系统拒绝访问。受此问题影响的 Microsoft Windows 操作系统包括 Windows 10 x64、Server 2012 R2 x64、Server 2016 x64 和 Server 2019 x64。在受此问题影响的系统上，停止代码可能会将错误标识为“PFN_LIST_CORRUPT”。

详情

滥用SaaS平台的钓鱼攻击增长了1100%

日期: 2022-08-23
标签: 信息技术, 网络钓鱼, SaaS, 

2022年8月23日，Palo Alto Networks Unit 42发布报告，称黑客越来越多地滥用合法的软件即服务 (SaaS) 平台，如网站建设者和个人品牌空间，以创建窃取登录凭据的恶意网络钓鱼网站。研究人员发现这种滥用行为急剧增加，该公司收集的数据显示，从 2021 年 6 月到 2022 年 6 月，这种滥用行为大幅增加了 1,100%。Unit 42 将被滥用的平台分为六类：文件共享和托管站点、表格和调查构建器、网站构建器、笔记和文档编写平台以及个人档案空间。阻止对合法 SaaS 平台的滥用将非常困难，因为无法针对这些服务实施电子邮件过滤器。

详情

乌克兰和波兰同意共同对抗俄罗斯的网络攻击

日期: 2022-08-22
标签: 乌克兰, 俄罗斯, 波兰, 政府部门, 信息技术, Killnet, 俄乌战争, 

乌克兰和波兰在8月22日签署了一项协议，以加强网络安全合作，因为官员们警告说，与克里姆林宫有关的黑客可能会受到网络攻击。根据乌克兰数字化转型部的数据，两国决定共同打击网络犯罪，并分享他们在打击网络威胁方面的经验，包括来自俄罗斯的网络威胁。波兰是乌克兰最亲密的邻国 - 战争期间有超过120万乌克兰难民搬到那里，其中包括数千名技术专家。由于与乌克兰的密切联系以及对这个饱受战争蹂躏的国家的强大财政支持，波兰已成为俄罗斯黑客的热门目标。在俄罗斯入侵乌克兰后不久，对波兰的网络攻击就开始了，7月，一个名为Killnet的亲克里姆林宫黑客组织摧毁了波兰的主要政府网站。根据协议，乌克兰和波兰将共同参加网络安全会议，并努力防止俄罗斯虚假信息在媒体上传播。

在会议上，两国还同意在其电子政务应用程序中交换数字文档 - 乌克兰迪亚应用程序和波兰mObywatel。

详情

FBI警告黑客在凭证填充攻击中使用住宅代理

日期: 2022-08-22
标签: 美国, 政府部门, 信息技术, 美国联邦调查局 (FBI), 凭据填充, 

2022年8月21日，美国联邦调查局 (FBI) 警告称，网络犯罪分子使用住宅代理进行大规模撞库攻击的趋势正在上升。凭据填充是一种攻击类型，网络犯罪分子使用以前数据泄露中暴露的大量用户名/密码组合来尝试访问其他在线平台。由于人们通常在每个站点上使用相同的密码，因此网络犯罪分子有充分的机会接管帐户，而无需破解密码或钓鱼任何其他信息。利用有效用户凭证的恶意行为者有可能访问多个行业的众多账户和服务——包括媒体公司、零售、医疗保健、餐饮集团和食品配送——以欺诈手段获取商品、服务和访问其他在线资源，如金融以合法账户持有人为代价的账户。建议用户在其帐户上激活 MFA、使用复杂密码以及对网络钓鱼尝试保持警惕

详情

研究人员发现带有后门的假冒手机可以破解 WhatsApp 帐户

日期: 2022-08-22
标签: 信息技术, 智能手机, 

与流行的智能手机品牌相关的假冒版本的廉价 Android 设备型号包含多个木马，旨在针对 WhatsApp 和 WhatsApp Business 消息传递应用程序。Doctor Web 于 2022 年 7 月首次发现木马，在至少四款不同智能手机的系统分区中发现：P48pro、radmi note 8、Note30u 和 Mate40。具体来说，篡改涉及两个文件“/system/lib/libcutils.so”和“/system/lib/libmtd.so”，它们被修改为当任何应用程序使用 libcutils.so 系统库时，它触发包含在 libmtd.so 中的特洛伊木马的执行。如果使用这些库的应用程序是 WhatsApp 和 WhatsApp Business，libmtd.so 会继续启动第三个后门，其主要职责是从远程服务器下载附加插件并将其安装到受感染的设备上。为避免成为此类恶意软件攻击受害者的风险，建议用户仅从官方商店和合法经销商处购买移动设备。

详情

RTLS 系统容易受到中间人攻击和位置篡改

日期: 2022-08-22
标签: 信息技术, AitM 攻击, 

研究人员披露了多个影响超宽带 (UWB) 实时定位系统 ( RTLS ) 的漏洞，使威胁参与者能够发起中间对手 (AitM) 攻击并篡改位置数据。发现的零日漏洞对工业环境中的工人构成了安全风险，如果威胁行为者利用这些漏洞，他们就有能力篡改 RTLS 指定的安全区域，以保护危险区域的工人。RTLS 用于实时自动识别和跟踪物体或人的位置，通常在狭窄的室内区域内。这是通过使用附加到资产的标签来实现的，这些标签将 USB 信号广播到称为锚点的固定参考点，然后确定它们的位置。但 RTLS 解决方案中发现的缺陷——Sewio Indoor Tracking RTLS UWB Wi-Fi Kit和Avalue Renity Artemis Enterprise Kit——意味着它们可以被武器化以拦截锚点和中央服务器之间交换的网络数据包并进行流量操纵攻击。为了补救此类攻击，建议强制实施网络隔离并在现有通信之上添加流量加密层以防止 AitM 攻击。

详情

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x0a   时间线

2022-08-29 360CERT发布安全事件周报