报告编号：B6-2022-101701

报告来源：360CERT

报告作者：360CERT

更新日期：2022-10-17

0x01   事件导览

本周收录安全热点48项，话题集中在恶意程序、网络攻击方面，涉及的组织有：POLONIUM、Killnet、Telegram、DeadBolt等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Venus勒索软件针对公开暴露的远程桌面服务

日期: 2022-10-16
标签: 信息技术, 网络犯罪, 

Venus勒索软件背后的威胁行为者正在入侵公开的远程桌面服务以加密Windows设备。Venus勒索软件似乎已于2022年8月中旬开始运行，此后已在全球范围内加密了受害者。但是，自2021年以来，还有另一个勒索软件使用相同的加密文件扩展名，但目前尚不清楚它们是否相关。恶意软件执行时，Venus勒索软件将尝试终止与数据库服务器和微软Office应用程序关联的三十九个进程。目前，Venus勒索软件相当活跃，每天都有新的提交上传到ID勒索软件。由于勒索软件似乎针对公开的远程桌面服务，即使是在非标准TCP端口上运行的服务，因此将这些服务放在防火墙后面至关重要。理想情况下，任何远程桌面服务都不应在互联网上公开，并且只能通过 VPN 访问

详情

新的PHP信息窃取恶意软件以Facebook帐户为目标

日期: 2022-10-16
标签: 越南, 信息技术, Meta（原Facebook）, Ducktail, 网络犯罪, 

一项新的Ducktail网络钓鱼活动正在传播一种前所未见的Windows信息窃取恶意软件，这些恶意软件用PHP编写，用于窃取Facebook帐户，浏览器数据和加密货币钱包。Ducktail网络钓鱼活动由WisSecure的研究人员于2022年7月首次披露，他们将攻击与越南黑客联系起来。这些活动依赖于通过LinkedIn进行的社会工程攻击，推动伪装成PDF文档的.NET Core恶意软件，据称其中包含有关营销项目的详细信息。该恶意软件针对存储在浏览器中的信息，专注于Facebook商业帐户数据，并将其渗透到充当C2服务器的私人电报频道。然后，这些被盗的凭据将用于金融欺诈或进行恶意广告。Zscaler发现涉及刷新的Ducktail活动的新活动的迹象，该活动使用PHP脚本充当Windows信息窃取恶意软件。

详情

警方欺骗DeadBolt勒索软件团伙交出了155个解密密钥

日期: 2022-10-14
标签: 荷兰, 金融业, 信息技术, Responders.NU, QNAP, 加密货币, 网络犯罪, 

荷兰国家警察与网络安全公司 Responders.NU 合作，通过伪造赎金付款，欺骗DeadBolt勒索软件团伙交出了155个解密密钥。DeadBolt是自1月份以来活跃的勒索软件操作，在加密了数千台QNAP和华芸网络附加存储（NAS）设备（全球20，000台，荷兰警方至少1，000台）后，要求0.03比特币赎金而闻名。支付赎金后，DeadBolt创建一个比特币交易到相同的比特币赎金地址，其中包含受害者的解密密钥（解密密钥可以在交易的OP_RETURN输出下找到）。当受害者将此密钥输入赎金记录屏幕时，它将被转换为SHA256哈希，并与受害者解密密钥的SHA256哈希和DeadBolt主解密密钥的SHA256哈希进行比较。如果解密密钥与 SHA256 哈希值之一匹配，则 NAS 硬盘驱动器上的加密文件将被解密。

详情

新Prestige勒索软件针对乌克兰、波兰的组织

日期: 2022-10-14
标签: 乌克兰, 波兰, 信息技术, HermeticWiper, 网络犯罪, 俄乌战争, 

微软表示，新的Prestige勒索软件正被用于在正在进行的攻击中针对乌克兰和波兰的运输和物流组织。这种新的勒索软件于10月11日首次在野外使用，在一小时内检测到的攻击。攻击者被看到在受害者的企业网络中部署勒索软件有效载荷，这种策略在针对乌克兰组织的攻击中很少见。该活动与最近的俄罗斯国家一致的活动共享受害者学，特别是在受影响的地区和国家，并与FoxBlade恶意软件（也称为HermeticWiper）的先前受害者重叠。目前，微软尚未将Prestige勒索软件攻击与特定威胁参与者联系起来，并暂时将此活动集群跟踪为DEV-0960。Redmond正在努力通知所有已遭到入侵并使用此勒索软件加密其系统的客户。

详情

Magniber勒索软件通过JavaScript脚本文件感染Windows用户

日期: 2022-10-13
标签: 信息技术, 网络犯罪, Windows 10, 

Magniber勒索软件的恶意活动一直以Windows家庭用户为目标，提供虚假的安全更新。在9月份创建的威胁参与者网站，用于推广Windows 10的虚假防病毒和安全更新。下载的恶意文件（ZIP存档）包含JavaScript，该脚本引发了对文件加密恶意软件的复杂感染。惠普威胁情报团队的一份报告指出，Magniber勒索软件运营商要求家庭用户支付高达2，500美元的费用，以接收解密工具并恢复他们的文件。该压力明确地集中在Windows 10 和Windows 11 内部版本上。恶意脚本包括：SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js、SYSTEM.Security.Database.Upgrade.Win10.0.jse、 Antivirus_Upgrade_Cloud.29229c7696d2d84.jse、ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js。这些文件经过模糊处理，并使用“DotNetToJScript”技术的变体在系统内存中执行 .NET 文件，从而降低主机上可用的防病毒产品检测到的风险。

详情

BazaCall网络钓鱼攻击不断发展其社交工程策略

日期: 2022-10-12
标签: 美国, 中国, 加拿大, 日本, 印度, 中国台湾, 菲律宾, 英国, 信息技术, 社会工程学, 网络犯罪, 

BazaCall回拨网络钓鱼方法背后的运营商继续发展，更新了社交工程策略，以在目标网络上部署恶意软件。最新攻击波的主要目标包括美国、加拿大、中国、印度、日本、台湾、菲律宾和英国。BazaCall，也称为BazarCall，因其通过操纵潜在受害者拨打诱饵电子邮件中指定的电话号码来分发BazarBackdoor（又名BazarLoader）恶意软件的新方法，于2020年首次获得普及。这些电子邮件诱饵旨在制造一种虚假的紧迫感，通知收件人有关续订防病毒服务的试用订阅的信息。这些消息还敦促他们联系其支持人员以取消该计划，否则可能会自动收取该软件的高级版本费用。这些攻击的最终目标是以终止假定的订阅或安装安全解决方案以清除计算机中的恶意软件为幌子，实现对端点的远程访问，从而有效地为后续活动铺平道路。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

佐治亚州律师协会披露数据泄露事件

日期: 2022-10-13
标签: 信息技术, 居民服务, 网络犯罪, 

佐治亚州律师协会表示，其成员的个人信息，社会安全号码，驾驶执照号码和直接存款信息在四月份的网络攻击中泄露。州律师协会由佐治亚州最高法院授权对该州的律师进行道德调查，并制裁那些违反州规则的人。该组织还为该州的律师以及律师名录提供指导和帮助。在一个多星期的时间里，佐治亚州律师协会的官员对一次网络攻击做出了回应，这次攻击破坏了该组织的网络、网站和电子邮件系统。目前该组织表示，它完成了对这一事件的调查，并发现存在信息泄露，包括姓名，地址，出生日期，社会安全号码，驾驶执照号码，直接存款信息和姓名更改信息。这些信息来自现任和前任雇员以及州律师协会的一些成员，该协会拥有53，000多名成员。州律师协会正在通过Transunion向那些信息泄露的人提供免费的信用监控和身份保护服务，但没有回应澄清服务将提供多长时间的请求。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

印度能源公司塔塔电力公司的IT基础设施受到网络攻击的打击

日期: 2022-10-15
标签: 印度, 能源业, 信息技术, 网络犯罪, 

2022年10月15日，印度最大的综合电力公司塔塔电力有限公司证实，它成为网络攻击的目标。对IT基础设施的入侵影响了“一些IT系统”，该公司在向印度国家证券交易所（NSE）提交的文件中表示。它进一步表示，它已采取措施检索和恢复受影响的机器，并为面向客户的门户设置了安全护栏，以防止未经授权的访问。总部位于孟买的电力公司是塔塔集团集团的一部分，没有透露有关袭击性质或发生时间的任何进一步细节。据说网络入侵的目标是“至少七个印度州负荷调度中心（SLDC），负责在这些州内进行电网控制和电力调度的实时操作。这些攻击归因于一个新兴的威胁集群，记录的未来正在以TAG-38的名义进行跟踪。

详情

俄罗斯DDoS攻击项目向贡献者分配奖金

日期: 2022-10-13
标签: 乌克兰, 美国, 俄罗斯, 信息技术, Killnet, dosia.exe, 网络犯罪, 俄乌战争, DDOSIA, 

DDOSIA项目是于8月中旬由一个名为“NoName057（16）”的团体发起，该小组于2022年3月出现。该组织于9月初首次公开记录在网络安全公司Avast的一份报告中。DDOSIA在电报上推出，运营商在其中共享了一个指向GitHub页面的链接，其中包含针对潜在志愿者的说明。该频道今天拥有超过13，000名会员。在其存在的整个过程中，DDOSIA与亲俄帮派KillNet设定的目标保持一致，并为最近针对美国大型机场的DDoS攻击浪潮做出了贡献。DDOSIA的志愿者需要通过电报注册才能接收带有恶意软件的ZIP存档（“dosia.exe”），其中包含每个用户的唯一ID。会员可以将此ID链接到加密货币钱包，并获得参与DDoS攻击的钱，付款与他们提供的火力成正比。每波攻击中的顶级贡献者将获得80，000卢布（1，250美元），第二名攻击者获得50，000卢布（800美元），第三名贡献者将获得20，000卢布（300美元）的补偿。在对美国机场的攻击中，DDOSIA宣布他们将向前十名贡献者分配奖金，增加贡献者的奖励。

详情

黑客组织POLONIUM使用多种恶意软件针对以色列

日期: 2022-10-12
标签: 以色列, 信息技术, Polonium, 

2022年10月12日，安全研究人员揭示了网络间谍黑客组织“POLONIUM”使用的以前未知的恶意软件，这些黑客组织似乎专门针对以色列组织。据 ESET 称，POLONIUM 对以色列的工程、IT、法律、通信、营销和保险公司使用了广泛的自定义恶意软件。截止2022年10月中旬，该组织的活动仍在进行中。微软的威胁情报团队于 2022 年 6 月首次记录了该组织的恶意活动，将黎巴嫩的 POLONIUM 黑客组织与伊朗情报和安全部 (MOIS) 联系起来。ESET 报告称 POLONIUM 只对网络间谍活动感兴趣，不会部署数据擦除器、勒索软件或其他文件破坏工具。自 2021 年 9 月以来，黑客组织POLONIUM至少使用了七种自定义后门变体，其中包括四个新的无证后门，称为“TechnoCreep”、“FlipCreep”、“MegaCreep”和“PapaCreep”。POLONIUM的专用网络基础设施隐藏在虚拟专用服务器 (VPS) 和合法的受感染网站后面，因此映射该组织的活动仍然很模糊。

详情

一连串针对澳大利亚电信公司的攻击活动仍在继续

日期: 2022-10-11
标签: 澳大利亚, 信息技术, 网络犯罪, 

澳大利亚IT服务提供商Dialog宣布了一项违规行为，使其成为该地区第三家在不到一个月的时间内遭到入侵的电信公司。首先是奥普图斯，其次是澳洲电信。现在，第三家澳大利亚电信公司披露了它被攻破了——这次是Dialog，一家信息技术服务提供商，在公共和私营部门的澳大利亚客户中都占有相当大的市场份额。新加坡电信的子公司Dialog表示，其服务器于9月10日遭到入侵，尽管初步调查显示没有泄露数据的迹象，但在10月7日，该公司员工个人数据的样本在暗网上可用。目前仍在调查该事件。

详情

专家称，Killnet可能还有进一步攻击活动

日期: 2022-10-11
标签: 美国, 政府部门, 信息技术, 交通运输, Killnet, 

2022年10月10日，亲俄黑客组织Killnet在对至少 24 个不同州的机场网站发起分布式拒绝服务 (DDoS) 攻击并威胁对美国实体采取更多行动。尽管攻击范围很大，但网络安全专家表示，媒体的报道与实际造成的损害不成比例。他们指出，DDoS 攻击不会造成持久的损害，而且 Killnet 运营商明确寻求能够引起媒体兴趣的攻击。Critical Insight 总裁迈克尔·汉密尔顿表示，俄罗斯志愿者并非没有技术很强网络攻击者，对基础设施进行更复杂的攻击可能只是时间问题。2022年10月11日，Killnet将注意力转向了针对摩根大通和几个相关实体的 DDoS 攻击。他们还敦促成员对美国民用网络基础设施发起攻击，如海运码头和物流设施、天气监测中心、公共交通系统等。Killnet的创始人 KillMilk 还表示，他们可能正在计划进一步的攻击，涉及更严重的技术，包括旨在破坏数据的擦除器攻击。

详情

美国机场网站遭亲俄黑客组织“KillNet”的DDoS攻击而被迫关闭

日期: 2022-10-10
标签: 美国, 俄罗斯, 交通运输, Killnet, DDoS, 

2022年10月10日，亲俄黑客组织“KillNet”声称对美国几个主要机场的网站进行大规模分布式拒绝服务 (DDoS) 攻击，使其无法访问。DDoS 攻击已经通过垃圾请求使托管这些网站的服务器无法运作，使旅客无法连接并获取有关其定期航班或预订机场服务的更新。返回数据库连接错误的其他机场包括芝加哥奥黑尔国际机场 (ORD)、奥兰多国际机场 (MCO)、丹佛国际机场 (DIA)、凤凰城天港国际机场 (PHX)，以及肯塔基州、密西西比州和夏威夷的一些机场。2022年10月9日，KillNet在其 Telegram 频道上列出了这些域名，他们依靠定制软件生成针对目标的虚假请求和垃圾流量，目的是耗尽目标资源并使合法用户无法使用它们。在这种情况下，DDoS 攻击不会影响航班，但它们仍然对关键经济部门的功能产生不利影响，可能会破坏或延迟相关服务。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

Aruba修复了EdgeConnect中的RCE和身份验证绕过漏洞

日期: 2022-10-13
标签: 信息技术, Aruba, 

2022年10月11日，Aruba 发布了 EdgeConnect Enterprise Orchestrator 的安全更新，解决了多个严重的严重漏洞，这些漏洞使远程攻击者能够破坏主机。Aruba EdgeConnect Orchestrator 是一种广泛使用的 WAN 管理解决方案，可为企业用户提供优化、管理、自动化以及实时可见性和监控功能。最新 Aruba 补丁中修复的漏洞如下：CVE-2022-37913和CVE-2022-37914 (CVSS评分9.8分)，是EdgeConnect Orchestrator 基于 Web 的管理界面中的身份验证绕过漏洞，允许未经身份验证的远程攻击者绕过身份验证。成功利用此漏洞会导致攻击者在没有凭据的情况下将其权限提升为管理员，从而打开了完全入侵主机的途径。另一个漏洞是CVE-2022-37915 (CVSS v3.1 – 9.8)，是EdgeConnect Orchestrator 的基于 Web 的管理界面存在缺陷，允许在底层主机上执行任意命令并导致系统完全受损。此产品中的严重漏洞易于利用，会给系统和网络带来风险，因此管理员应尽快对应用进行安全更新。

详情

新的Alchimist攻击框架针对Windows、macOS、Linux系统

日期: 2022-10-13
标签: 信息技术, 微软（Microsoft）, Redhat, Apple, Alchimist, 网络犯罪, Windows, macOS, Linux, 

2022年10月13日，Cisco Talos的网络安全研究人员称发现了一种名为“Alchimist”的新攻击框架，该框架似乎被积极用于针对 Windows、Linux 和 macOS 系统的攻击。该框架及其所有文件都是用 GoLang 编写的 64 位可执行文件，GoLang 是一种使不同操作系统之间的交叉兼容性变得更加容易的编程语言。Alchimist 提供了一个使用简体中文语言的基于 Web 的界面，它与 Manjusaka （2022年10月出现的后利用攻击框架）非常相似。Alchimist 为攻击者提供了一个易于使用的框架，使他们能够生成和配置放置在受感染设备上的有效负载，以远程截取屏幕截图、运行任意命令并执行远程 shellcode。该框架支持构建自定义感染机制以在设备上删除“Insekt”远程访问木马 (RAT)，并通过为 RAT 部署生成 PowerShell（适用于 Windows）和 wget（适用于 Linux）代码片段来帮助攻击者。

详情

GitLab 修补了 RCE 导入函数中的错误

日期: 2022-10-13
标签: 信息技术, Gitlab, GitHub, 漏洞修补, 

GitLab 中的一个漏洞CVE-2022-2884允许攻击者对 GitLab 服务器（包括云托管的 GitLab.com 平台）发起各种攻击。安全研究人员“yvvdwf”报告的该错误是由GitLab从GitHub导入数据的方式引起的，攻击者可以利用这种方式在主机服务器上运行命令。在独立的 GitLab 安装中，攻击者可以利用命令注入错误从 Redis 升级到 Bash，并将命令发送到操作系统。任何潜在的攻击者都将具有对主机进程的特权的主机的远程执行代码 （RCE） 访问权限。虽然RCE漏洞在 GitLab.com 不起作用，但能够使用其他Redis命令将数据从 GitLab.com 复制到具有公共IP的独立服务器。他们还能够通过相同的机制毒害GitLab项目，并使其无法访问。具有独立 GitLab 安装和 API 访问令牌的攻击者可以使用此漏洞来窃取信息、注入恶意代码以及对 GitLab.com 执行其他恶意操作。

详情

严重的VM2漏洞允许攻击者在沙箱外部运行代码

日期: 2022-10-12
标签: 信息技术, VMware, 沙盒逃逸, 

研究人员警告说，“vm2”中存在一个关键的远程代码执行缺陷，这是一个JavaScript沙箱库，每月通过NPM包存储库下载超过1600万次。vm2 漏洞被跟踪为 CVE-2022-36067，其严重等级为 10.0（CVSS 系统中的最高分），因为它可能允许攻击者逃离沙盒环境并在主机系统上运行命令。沙盒应该是一个与操作系统的其余部分隔离开来的隔离环境。但是，由于开发人员通常使用沙盒来运行或测试可能不安全的代码，因此从这种受限环境中“逃脱”并在主机上执行代码的能力是一个巨大的安全问题。Oxeye的研究团队于2022年8月16日发现了这个关键问题，并在几天后向VM2团队报告了这个问题，后者证实他们已经启动了调查。最终，流行库的作者于2022年8月28日发布了3.9.11版本，解决了沙箱逃逸和代码执行问题。敦促软件开发人员尽快更新到最新的VM2版本并替换其项目中的旧版本。对于最终用户，请务必注意，依赖于 VM2 的虚拟化软件工具可能需要一段时间才能应用可用的安全更新。如果使用沙盒解决方案，请检查它是否依赖于 VM2 以及它是否使用最新版本。

详情

去年披露的 VMware vCenter Server 漏洞仍未修复

日期: 2022-10-11
标签: 信息技术, VMware, CVE-2021-22048, 

2022年10月11日，VMware通知客户，vCenter Server 8.0（最新版本）仍在等待补丁来解决 2021 年 11 月披露的高严重性特权提升漏洞。这个安全漏洞 (CVE-2021-22048) 是由 CrowdStrike 的 Yaron Zinar 和 Sagi Sheinfeld 在 vCenter Server 的 IWA（集成 Windows 身份验证）机制中发现的，它还影响 VMware 的 Cloud Foundation 混合云平台部署。具有非管理访问权限的攻击者可以利用它在未打补丁的服务器上将权限提升到更高权限组。VMware 表示，只有使用与目标服务器相邻的向量网络的攻击者才能利用此漏洞，该攻击仅需要低权限且无需用户交互。尽管VMware曾在 2022 年 7 月发布了安全更新，但仅解决了当时运行最新可用版本（vCenter Server 7.0 Update 3f）的服务器的漏洞，但它在 11 天后撤回了这些补丁，因为它们没有修复漏洞并导致 Secure打补丁时令牌服务 (vmware-stsd) 崩溃。为了阻止攻击尝试，VMware 建议 管理员从受影响的集成 Windows 身份验证 (IWA) 切换到 Active Directory over LDAPs 身份验证或 AD FS 身份提供程序联合身份验证（仅限 vSphere 7.0）。

详情

微软2022年10月补丁日

日期: 2022-10-11
标签: 美国, 信息技术, 微软（Microsoft）, 

2022年10月11日，微软发布了其2022年10月补丁，修复了总共 84 个漏洞，其中有 13 个被归类为“严重”。这些漏洞包括39个提权漏洞、2个安全功能绕过漏洞、20个远程代码执行漏洞、11个信息披露漏洞、8个拒绝服务漏洞、4个欺骗漏洞。在此次补丁更新中，微软修复了两个公开的零日漏洞，一个在攻击中被积极利用，一个公开披露。被积极利用的零日漏洞被跟踪为 CVE-2022-41033 - Windows COM+ 事件系统服务特权提升漏洞，成功利用此漏洞的攻击者可以获得系统权限。公开披露的漏洞被跟踪为 CVE-2022-41043 - Microsoft Office 信息泄露漏洞，攻击者可以利用此漏洞获取用户身份验证令牌的访问权限。建议用户尽快进行补丁升级和安全更新。

详情

用于销售虚假微软交易所漏洞的GitHub存储库

日期: 2022-10-10
标签: 越南, 信息技术, GTSC, 微软（Microsoft）, CVE-2022-41040, CVE-2022-41082, 漏洞利用, 

研究人员已经检测到黑客组织冒充安全研究人员，并针对最近发现的微软Exchange零日漏洞出售概念验证代理NotShell漏洞。GTSC是一家越南网络公司，上周证实他们的客户正在使用微软Exchange中的两个新的零日漏洞进行攻击。在收到有关此漏洞的通知后，Microsoft确认这些错误正在攻击中被利用，并且正在加速时间表上工作以发布安全更新。微软和GTSC透露，黑客组织通过创建GitHub存储库来滥用Exchange漏洞。此后，微软一直在跟踪CVE-2022-41040和CVE-2022-41082等缺陷，并将第一个漏洞描述为服务器端请求伪造（SSRF）错误。而第二种允许诈骗者通过强盾进行远程代码执行（RCE）攻击。由于安全研究人员将漏洞利用的技术细节保密，因此似乎只有少数黑客在利用此漏洞。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   其他事件

CISA发布RedEye：红队活动可视化和报告工具

日期: 2022-10-14
标签: 美国, 信息技术, RedEye, 

CISA发布了RedEye。RedEye是由CISA和美国能源部太平洋西北国家实验室开发的开源分析工具，用于协助红队可视化和报告指挥和控制活动。该工具于 2022 年 10 月在 GitHub 上发布，允许操作员评估和显示复杂数据，评估缓解策略，并针对红队评估做出有效决策。该工具解析日志，例如来自钴罢工的日志，并以易于消化的格式呈现数据。然后，用户可以标记工具中显示的活动并添加注释。操作员可以使用 RedEye 的演示模式向利益相关者展示结果和工作流程。红眼可以帮助操作员有效地：

• 重播并演示红队的评估活动，而不是手动倒入数千行日志文本。

• 显示和评估复杂的评估数据，以实现有效的决策。

• 在红队评估或渗透测试期间，更清楚地了解所采用的攻击路径和受到损害的主机。

详情

五名嫌疑人被指控盗窃价值250万美元的NFT

日期: 2022-10-16
标签: 法国, 美国, 金融业, Yuga Labs, 加密货币, 网络犯罪, 

2022年10月12日，法国的五名加密诈骗者面临合作网络钓鱼诈骗的指控，因此被指控。据称，嫌疑人大胆地收购并转售了价值250万美元NFT。网络钓鱼骗局突出针对无聊的猿游艇俱乐部（BAYC）和突变的猿游艇俱乐部（MAYC）所有者。据检方称，涉嫌嫌疑人利用网络钓鱼诈骗来窃取资产，通过虚假网站诱惑受害者，同时承诺激活他们的NFT，法新社（AFP）在巴伦斯的一篇文章中报道。被指控的嫌疑人年龄在18至24岁之间，是巴黎，卡昂和图尔的居民。五名诈骗者中的两名被指控制造欺诈性网络钓鱼网站，导致盗窃。其余三人被指控负责网络钓鱼的广告和洗钱方面。这一消息让无聊的猿猴系列背后的公司Yuga Labs因其商业行为而受到调查。尽管该组织尚未被指控犯有任何不当行为，但美国证券交易委员会（SEC）目前正在调查这家初创公司，以检查彭博社报道的匿名消息来源是否属实。

详情

英国发布关于新兴供应链攻击的新网络安全指南

日期: 2022-10-16
标签: 英国, 政府部门, 金融业, 供应链安全, 

网络安全专家就供应链黑客的危险发出了新的警告。英国网络安全机构已建议企业采取额外的预防措施来防止供应链攻击。为了应对最近供应链威胁的增加，国家网络安全中心（NCSC）为企业提供了新的建议。虽然该建议适用于所有行业的企业，但它是与跨市场运营弹性小组（CMORG）合作发布的，该小组促进了金融部门运营弹性的增强。该建议旨在帮助中型和大型企业，评估与供应商合作的网络风险，并确认缓解技术对与供应商开展业务相关的漏洞有效。该建议分为五个阶段，分别解决为什么企业应该关注供应链网络安全，在开发方法时如何识别和保护自己的私人数据，如何将该方法应用于新供应商，如何将其应用于与现有供应商的合同以及持续改进。

详情

超过45000台VMware ESXi服务器生命周期结束

日期: 2022-10-15
标签: 信息技术, VMware, 

Lansweeper 清点的 45，000 多台 VMware ESXi 服务器刚刚达到生命周期结束 （EOL），除非公司购买延长的支持合同，否则 VMware 不再提供软件和安全更新。该公司分析了来自 6，000 个客户的数据，发现了 79，000 台已安装的 VMware ESXi 服务器。在这些服务器中，36.5%（28，835）运行2018年4月发布的6.7.0版，21.3%（16，830台）运行2016年11月发布的6.5.0版。截至目前，共有 45，654 台 VMware ESXi 服务器已结束使用寿命Lansweeper的发现令人震惊，因为除了57%进入风险上升期外，还有另外15.8%的安装运行较旧的版本，范围从3.5.0到5.5.0，这在很久以前就达到了EOL。2022年，ESXi虚拟机成为Black Basta, RedAlert, GwisinLocker, Hive, Cheers勒索软件团伙的目标。Mandiant发现黑客发现了一种在VMware ESXi虚拟机管理程序上建立持久性的新方法，使他们能够在不被发现的情况下控制服务器和托管的虚拟机。总而言之，ESXi已经得到了威胁参与者的充分关注，因此运行过时且易受攻击的软件版本无疑是一个可怕的想法。

详情

大多数银行仍在使用大型机

日期: 2022-10-15
标签: 美国, 金融业, 谷歌（Google）, 云计算, 

Google Cloud正在为企业引入一种更简单，更规避风险的方式，将其遗留的大型机资产迁移到云中。谷歌云新推出的服务基于桑坦德银行最初开发的技术，旨在简化规划和执行。因此，客户可以在过渡到 Google 云平台作为主要系统之前执行实时测试，以确保其云工作负载按预期运行、安全运行并满足法规遵从性要求，而不会停止应用或对用户体验产生负面影响。大型机工作负载的并行实例是通过双重运行在 Google 云平台 （GCP） 上使用虚拟机创建的。正如 Mehta 所描述的那样，启动器/拆分器是一种架构，由必要的机制组成，用于在驱动传入请求或触发计划工作负载的每个接口上复制活动并返回系统的“主要”响应，并且可以处理这两者。目前处于预览阶段的 Dual Run 设备是为广泛的行业开发的，包括金融服务、医疗保健、制造和零售行业以及公共部门。根据Mehta的数据，大约90%的北美最大银行仍在使用大型机，而美国25家最大的零售商中有23家也使用大型机。

详情

Mango Markets加密平台损失近1亿美元

日期: 2022-10-13
标签: 金融业, 信息技术, 加密货币, 网络犯罪, 

芒果市场 (一个加密货币交易平台)在10月11日晚被抢购超过1亿美元，此前一名黑客使用紧急贷款攻击来利用该平台。这次攻击是最近一系列备受瞩目的盗窃事件之一，这些事件来自整个行业的平台，这些事件在整个行业中引发了冲击波。紧急贷款攻击涉及黑客借入不需要抵押品的资金，购买大量加密货币以人为地提高其价格，然后卸载硬币。贷款偿还，借款人保留任何利润。芒果市场在Twitter上告诉用户，它正在调查一起事件。

该公司表示，它正在禁用存款，并要求第三方冻结被盗资金。它还为黑客提供了一个bug赏金，以返还资金。几个小时后，该公司证实，黑客使用两个账户，在短短几分钟内就人为地将MNGO币的价格提高了各种交易所原始价格的五到十倍。

详情

美国最大的非营利医疗保健连锁店之一遭到勒索攻击

日期: 2022-10-13
标签: 卫生行业, 网络犯罪, 

CommonSpirit Health是美国最大的非营利性医疗保健系统之一，2022年10月12日晚证实，它遭到了勒索软件攻击，导致十月初全国各地医院的广泛IT中断。在发现勒索软件攻击后，CommonSpirit的工作人员联系了执法部门，并聘请了网络安全专家来处理响应并遏制事件。10月初，CommonSpirit Health宣布它正在“管理IT安全问题”，影响全国各地的几个电子健康记录系统。该组织在21个州的1，000多个护理点和140家医院中的几个设施报告了计算机系统的广泛中断和问题。一些设施很难获得患者病史，据报道，药房无法验证订单或打印官方标签。一些医院现在不得不使用传真机来分享处方。据该帖子称，员工从媒体获得的有关该事件的信息比从CommonSpirit获得的要多。目前该组织仍然在调查此安全事件

详情

新的npm定时攻击可能导致供应链攻击

日期: 2022-10-13
标签: 信息技术, npm, 供应链攻击, 供应链安全, 网络犯罪, 

2022年10月13日，Aqua Security 威胁研究团队发现了一种 npm 定时攻击，该攻击揭示了私有包的名称，因此攻击者可以公开发布恶意克隆，以诱使开发人员使用。与存储库中不存在的包相比，在搜索私有包时，该攻击依赖于返回“404 Not Found”错误的微小时间差。虽然响应时间差只有几百毫秒，但足以判断是否存在私有包进行包冒充攻击。保持私有包 的私密 性对于使用它们的组织至关重要 。否则，攻击者可以创建克隆或仿冒软件包，攻击者可能会诱使组织员工下载并在软件项目中使用。如果开发人员和内部软件测试人员没有发现IOC，恶意软件可能会到达最终用户，从而实现供应链攻击。研究人员还称，目前攻击者越来越关注供应链攻击，从而推动 2021 年相关活动增加了 300%。

详情

YoWhatsApp被发现窃取用户帐户

日期: 2022-10-13
标签: 信息技术, YoWhatsApp, 密钥窃取, 网络犯罪, 移动安全, 

2022年10月13日，卡巴斯基的威胁分析师发布报告称，发现一个名为“YoWhatsApp”的非官方 WhatsApp Android 应用程序的新版本窃取用户帐户的访问密钥YoWhatsApp 是一款功能齐全的即时通讯应用程序，它使用与标准 WhatsApp 应用程序相同的权限，并通过流行的 Android 应用程序（如 Snaptube 和 Vidmate）上的广告进行推广。研究人员发现 YoWhatsApp v2.22.11.75 窃取了 WhatsApp 密钥，修改后的应用程序将用户的 WhatsApp 访问密钥发送到开发人员的远程服务器，使攻击者能够控制用户的帐户。这些密钥可用于 开源实用程序 ，以用户身份连接和执行操作，而无需实际客户端。目前尚不清楚被盗的访问密钥是否被滥用，但它们可能导致账户被接管、泄露敏感通信以及冒充亲密联系人。

详情

Signal 将在 Android 上移除对 SMS 文本消息的支持

日期: 2022-10-12
标签: 美国, 信息技术, Signal, 谷歌（Google）, Android（安卓）, 

2022年10月12日，Signal发布公告表示，它将开始从其 Android 应用程序中逐步淘汰 SMS 和 MMS 消息支持，以简化用户体验并优先考虑安全和隐私。此更改只会影响将 Signal 设置为默认 SMS 应用的 Android 用户。Signal 将开始通知他们导出 SMS 消息并切换到新的默认应用程序来管理他们的 SMS 消息。当 Signal 用作统一的 Android 消息应用程序时，Signal 和非 Signal 联系人都会显示在联系人列表中，Signal 联系人用蓝色字母标记。此举主要是由于纯文本 SMS 消息不安全，因为它们可以使用各种方法被拦截，并允许全球移动运营商访问消息元数据。此外，该公司表示，在同一界面中将未加密的 SMS 消息与安全 Signal 消息相邻也很容易导致混淆。

详情

美国财政部对加密货币平台Bittrex处以2928万美元罚款

日期: 2022-10-11
标签: 美国, 金融业, 信息技术, 美国财政部金融犯罪执法网络（FinCEN）, 加密货币, 

2022年10月11日，美国财政部金融犯罪执法网络 (FinCEN)判决Bittrex违反《银行保密法》(BSA) 和 FinCEN 的实施条例，对其处以 29,280,829.20 美元的民事罚款。FinCEN 的调查发现，从 2014 年 2 月到 2018 年 12 月，Bittrex 未能维持有效的反洗钱计划，其计划未能适当解决与其提供的产品和服务相关的风险，包括增强匿名性的加密货币。Bittrex 未能在其交易平台上实施有效的交易监控，仅依靠两名受过最少反洗钱培训和经验的员工手动审查所有交易中的可疑活动。Bittrex 与受 OFAC 全面制裁的司法管辖区的实体和个人进行了超过 116,000 笔交易，价值超过 2.6 亿美元。 在 2014 年 2 月至 2017 年 5 月期间，Bittrex 未能提交任何 SAR，时间超过三年。该公司还未能就涉及受制裁司法管辖区的大量交易提交 SAR，包括处理 200 多笔交易，涉及价值 140,000 美元的虚拟资产——几乎是 Bittrex 平台上平均取款或存款的 100 倍——以及 22 笔交易涉及价值超过 100 万美元的虚拟资产。

详情

Mandiant发布网络钓鱼服务Caffeine的研究报告

日期: 2022-10-11
标签: 美国, 信息技术, Caffeine, 社会工程学, 网络钓鱼, 网络钓鱼即服务 (PhaaS), 犯罪工具, 

2022年10月11日，安全公司Mandiant发布了关于名为“Caffeine”的共享网络钓鱼即服务 (PhaaS) 平台的研究报告。该平台具有直观的界面，成本相对较低，同时为犯罪客户提供多种功能和工具，帮助其进行自动化钓鱼。这些功能包括用于制作定制网络钓鱼工具包的自助服务机制、管理中间重定向页面和最后阶段的诱饵页面、动态生成托管恶意负载的 URL 以及跟踪活动电子邮件活动等。与大多数 PhaaS 平台不同，Caffeine 的独特之处在于它具有完全开放的注册流程，几乎任何人都可以通过电子邮件注册他们的服务。Mandiant在此次报告中深入研究了 Caffeine 网络钓鱼犯罪分子可用的更多技术配置来逃避检测。此外，Mandiant还提供了一组核心检测，旨在识别利用Caffeine的网络犯罪分子以及更普遍的网络钓鱼活动所利用的网络钓鱼活动元素。

详情

格拉斯哥大学学者开发的ThermoSecure系统可实施热攻击

日期: 2022-10-11
标签: 英国, 金融业, 信息技术, University of Glasgow, 热攻击, 加密货币, 网络犯罪, 密码学, 人工智能, 

2022年10月10日，英国格拉斯哥大学的研究人员开发了名为 ThermoSecure 的系统，以展示热像仪价格的下降和机器学习的普及如何为“热攻击”带来新的风险。该系统能够通过分析用户指尖在键盘和屏幕上留下的热量痕迹，在几秒钟内猜出计算机和智能手机用户的密码。用户在计算机键盘、智能手机屏幕或 ATM 键盘上输入密码后，设备无人看管，就会发生热攻击。配备热像仪的路人可以拍摄一张照片，显示他们的手指接触设备的位置的热量特征。热图像中出现的区域越亮，它被触摸的时间越近。通过测量较温暖区域的相对强度，可以确定构成密码的特定字母、数字或符号，并估计它们的使用顺序。从那里，攻击者可以尝试不同的组合来破解用户的密码。专家表示，非专家只需仔细查看在接触表面 30 到 60 秒之间拍摄的热图像，就可以成功猜出密码。

详情

白宫致力于物联网产品的网络安全标签

日期: 2022-10-12
标签: 美国, 德国, 英国, 新加坡, 芬兰, 政府部门, 信息技术, 白宫, 网络安全标签, 

2022年10月11日，白宫在一份新闻稿中表示，它正在制定一个网络安全主题的标签，该标签将应用于智能（IoT）设备，并帮助告知美国人哪些设备“符合最高网络安全标准，以防止黑客攻击和其他网络漏洞”。白宫表示，新的网络安全标签将首先被强制要求用于“最常见，通常风险最大的技术 - 路由器和家用摄像头 - 以最快的速度提供最大的影响。其他设备类型很可能被纳入该计划，这与德国政府采用自己的物联网网络安全标签计划的方法相同，该计划最初于去年推出路由器和电子邮件服务，然后扩展到摄像头，扬声器，清洁和园艺机器人，智能玩具，智能电视，然后从今年秋天开始扩展到所有智能家居消费产品。目前，德国和新加坡似乎拥有最先进的智能设备网络安全标签计划，即使英国和芬兰也存在类似的标签计划。美国的情况肯定比欧盟发展得更快，自2010年代中期以来，欧盟一直在讨论物联网网络安全标签计划，但迄今为止还收效甚微。一些行业组织也制定了自己的网络安全标签计划，但由美国或欧盟批准的计划最有可能在国际上获得比目前在其他地方使用的任何其他产品更多的牵引力。

详情

俄罗斯将Meta标记为“极端主义”组织，向用户发送法律威胁

日期: 2022-10-12
标签: 俄罗斯, 信息技术, Meta（原Facebook）, Instagram, WhatsApp, 

俄罗斯联邦金融监督局罗斯芬监控已将Facebook，Instagram和WhatsApp的所有者Meta添加到其恐怖分子和极端分子名单中。2022年3月，Meta首次在俄罗斯被正式认定为恐怖组织，当时莫斯科法院声称，世界上最受欢迎的社交媒体平台托管了他们所裁定的错误信息。4月份，马克·扎克伯格（Mark Zuckerberg）是几家科技公司高管之一，据称他们因推动“恐俄”议程而被禁止进入俄罗斯。联邦国家对Meta采用“恐怖分子”分类标志着一个新的发展。俄罗斯互联网权利组织Roskomsvoboda与此同时，西方世界已经对俄罗斯的社交媒体平台采取了措施，包括从苹果应用商店中删除所有VKontakte应用程序。虽然这只是遵守对俄罗斯制裁的举动，但该国的互联网监管机构Roskomnadzor要求这家美国科技公司做出解释，并指责其实施歧视性限制。将Meta列入Rosfinitoring名单的含义咨询了其律师，他们表示这一发展不应阻止用户继续使用社交媒体服务。相反，Meta被列入极端主义名单会阻止与该公司及其子公司或品牌的所有金融交易。这意味着俄罗斯用户将无法合法地在Instagram或Facebook上使用货币化选项，在平台上投放广告，或在任一平台上托管的商店进行任何交易。

详情

即使启用VPN，Android也会在连接WiFi时泄露流量

日期: 2022-10-11
标签: 信息技术, 谷歌（Google）, Android（安卓）, 移动安全, 

2022年10月11日，Mullvad VPN 发现，每次设备连接到 WiFi 网络时，Android 都会泄露流量，即使启用了“在没有 VPN 的情况下阻止连接”或“始终在线 VPN”功能也是如此。在 VPN 隧道外泄露的数据包括源 IP 地址、DNS 查找、HTTPS 流量，可能还包括 NTP 流量。此行为内置于 Android 操作系统中，是一种设计选择。 但是，由于Android 文档中对“VPN Lockdown”功能的描述不准确，许多Android 用户都不清楚这一点。在 VPN 连接之外泄露的流量包含可用于派生敏感的去匿名化信息的元数据，例如 WiFi 接入点位置。控制连接检查服务器的一方和观察网络流量的任何实体都可以观察和分析连接检查流量。即使消息的内容仅显示“某些 Android 设备已连接”，元数据（包括源 IP）也可用于获取更多信息，尤其是与 WiFi 接入点位置等数据相结合时。Mullvad 向 Google 报告了该问题，要求添加禁用连接检查的选项。

详情

DeepFakes是网络犯罪的最新业务线

日期: 2022-10-11
标签: 美国, 信息技术, DeepFake, deepfake, 

2022年9月，总部位于加利福尼亚的 Resecurity发现了一个新的地下服务，使黑客能够利用DeepFakes进行网络犯罪。据网络安全专家称，这可能被用于政治宣传、外国影响活动、虚假信息、诈骗和欺诈。加拿大研究人员于 2014 年向公众介绍了生成对抗网络 (GAN)，它通常模仿人的面部、言语和独特的面部手势，它们已被在线社区称为 DeepFakes。2022年9月确定的地下服务“RealDeepFake”，可通过 Telegram 群组轻松获得。只需支付少量费用，该服务就允许黑客使用他们选择的角色创建一个 deepfake 实例，然后从选择的脚本中应用配音，还可以包括效果和文本。该服务利用 VoiceR 和 Lipsing 等技术来改变声音。这些 DeepFake 的例子包括模仿 Elon Musk、Snoop Dog、Donald Trump 和 The Rock 等名人。黑客还使用 DeepFakes 在视频聊天或电话中冒充 C-Suite 高管，向他们的同事和人员发出欺诈性电汇指令。

详情

乌克兰网络安全官员在俄罗斯导弹袭击中丧生

日期: 2022-10-10
标签: 乌克兰, 俄罗斯, 政府部门, 信息技术, 俄乌战争, 

2022年10月10日俄罗斯共向乌克兰发射了 84 枚导弹并发动了 24 次无人机袭击，破坏了 200 个地点，包括关键基础设施、住宅楼、学校、文化机构和医疗保健设施。袭击造成至少20人死亡，108人受伤。据乌克兰网络警察局称，一名 41 岁的乌克兰网络安全官员是在俄罗斯导弹弹幕中丧生的 20 多人之一。Yuriy Zaskoka 是基辅国家警察关键基础设施保护部门的负责人，在乌克兰警方工作了将近 24 年。当俄罗斯向乌克兰首都基辅市中心发射导弹时，他正在开车上班。SSSCIP 还在导弹袭击中失去了四名员工，他们在卢甘斯克东部和第聂伯地区的电信行业和关键基础设施工作，这些地区也受到俄罗斯的猛烈攻击。

详情

微软更新策略阻止对本地管理账户的暴力攻击

日期: 2022-10-11
标签: 美国, 信息技术, 微软（Microsoft）, Windows系统, 

2022年10月11日，微软宣布，IT 管理员现在可以配置任何仍在接收安全更新的 Windows 系统，以通过组策略自动阻止针对本地管理员帐户的暴力攻击。此前，微软企业和操作系统安全副总裁 David Weston 在2022年 7 月份表示， 在最新的 Windows 11 版本上默认启用相同的 Windows 组策略。因此，在 10 分钟内尝试登录失败 10 次后，启用该策略的 Windows 11 系统会自动锁定用户帐户（包括管理员帐户）10 分钟。微软表示，Win11 版本更新了一个默认帐户锁定策略，以减轻 RDP 和其他暴力密码向量，从 2022 年 10 月 11 日或之后的 Windows 累积更新开始，将提供本地策略来启用本地管理员帐户锁定。微软还宣布要求本地管理员帐户使用复杂密码，以增强对暴力攻击的额外防御。

详情

使用加密货币作为伪装的新一轮PayPal 发票诈骗分析

日期: 2022-10-10
标签: 日本, 金融业, PayPal, 发票诈骗, 比特币, 加密货币, 

2022 年 10 月 9 日，日本网络安全供应商趋势科技的安全研究人员发现，新一波 PayPal 发票诈骗以区块链/加密货币相关业务作为伪装。虽然诈骗者使用一种非常常见的方法，冒充 PayPal 卖家通过 PayPal 系统发送随机目标发票，称用户已被收取一定金额的费用并推动他们点击恶意链接，但他们使用的是不同区块链上的知名公司/代币的名称。趋势科技提到的例子包括 Stellar XLM、比特币交易所、Terra Luna Classic、Oasis Network 和 TrueUSD。建议用户仔细检查联系方式和 URL，警惕通过电子邮件收到的任何意外/未经授权的费用，切勿点击链接或电话号码。

详情

俄罗斯导弹袭击乌克兰关键基础设施，造成大规模停电

日期: 2022-10-11
标签: 乌克兰, 俄罗斯, 政府部门, 信息技术, DDoS, 俄乌战争, 

2022年10月10日，在俄罗斯导弹袭击乌克兰，造成乌克兰大范围停电后，乌克兰的互联网和移动通信于2022年10月10日和2022年10月11日中断。Cloudflare的数据显示，2022年10月10日早些时候，乌克兰的互联网可用性比正常水平低 35%。据 Cloudflare 称，截至2022年10月11日上午，由于俄罗斯继续攻击该国的关键基础设施，乌克兰的互联网仍处于中断状态，但大多数地区已恢复连接。据乌克兰政府官员称，一些地区的移动通信中断或部分消失。地方当局要求乌克兰公民限制移动通信和电力的使用，因为该国的大部分电信基础设施和能源设施在乌克兰城市遭到导弹袭击后遭到破坏。在导弹袭击之后，亲俄罗斯的黑客对乌克兰移动银行 Monobank 发起了分布式拒绝服务 (DDoS) 攻击，每分钟发送 600 万次请求。到目前为止，没有黑客组织声称对这次攻击负责。

详情

谷歌推出Chronicle Security Operations，集成云安全产品

日期: 2022-10-11
标签: 美国, 信息技术, 谷歌（Google）, Chronicle Security Operations, 

2022 年 10 月 11 日，谷歌 Cloud Next 部门推出了基于云的软件套件Chronicle Security Operations，称其可以“更好地让网络安全团队以谷歌的速度、规模和智能来检测、调查和应对威胁。”谷歌于 2022 年初以 5 亿美元收购了以色列安全初创公司 Siemplify，并于 9 月完成了对 Mandiant 的 54 亿美元收购，现推出Chronicle Security Operations ，以将其所有云功能进行集成。Chronicle 安全运营将 Chronicle 的安全信息和事件管理 (SIEM) 技术与来自 Google Cloud 的 Siemplify 采集和威胁情报的安全编排、自动化和响应 (SOAR) 解决方案相结合。据谷歌称，收购 Mandiant 将在未来增加更多的事件和风险管理以及威胁情报功能。Siemplify 品牌将被 Chronicle SOAR 取代，该套件的安全分析功能将被命名为 Chronicle SIEM。谷歌表示，SIEM 和 SOAR 功能的“感觉和外观”将统一，以提供集成的用户体验。

详情

Caffeine网络钓鱼服务平台分析

日期: 2022-10-10
标签: 信息技术, 微软（Microsoft）, 网络钓鱼即服务 (PhaaS), Caffeine, 

2022年10月10日，Mandiant 的分析师发布报告，称发现了一个名为“Caffeine”的网络钓鱼即服务 (PhaaS) 平台使黑客可以轻松发起攻击，其特点是开放式注册过程，允许任何人加入并开始自己的网络钓鱼活动。Caffeine不需要邀请或推荐，也不需要获得 Telegram 或黑客论坛管理员的批准。Caffeine 的另一个显着特点是其网络钓鱼模板针对俄罗斯和中国平台，而大多数 PhaaS 平台往往专注于对西方服务的诱饵。Mandiant 的分析师在调查了通过该服务运行的大规模网络钓鱼活动后首次发现了 Caffeine，该活动针对 Mandiant 的一个客户窃取 Microsoft 365 帐户凭据。由于“Caffeine”的网络钓鱼即服务 (PhaaS) 平台进入门槛低且功能丰富，因此可能会成为黑客大规模利用工具。

详情

乌克兰加强与欧盟网络安全机构的合作

日期: 2022-10-10
标签: 乌克兰, 政府部门, 乌克兰国家特殊通信和信息保护局 (SSSCIP), 俄乌战争, 

2022年10月上旬，乌克兰国家特殊通信和信息保护局 (SSSCIP) 和欧盟网络安全局 (ENISA) 的代表在雅典 ENISA 总部举行会议，讨论加强网络合作。除乌克兰专家外，来自亚美尼亚、阿塞拜疆、格鲁吉亚和摩尔多瓦的网络安全机构代表也参加了此次活动。根据 SSSCIP 的公告，对 ENISA 的访问是 EU4Digital：Cybersecurity East Project 的关键组成部分。该项目于 2019 年启动，旨在支持东方伙伴关系国家建设网络安全潜力和改进立法框架，并促进其法律框架、最佳实践和合作的兼容性和近似性。SSSCIP 表示，这次会议对欧洲一体化也很重要，这将是确立 ENISA 特殊合作伙伴地位的重要一步，也是乌克兰国家网络安全立法与欧盟法律协调过程中的一个重要阶段。

详情

关于网络间谍组织Earth Aughisky使用的恶意工具

日期: 2022-10-10
标签: 中国台湾, 日本, 政府部门, 信息技术, 交通运输, 科研服务, 卫生行业, Pitty Tiger（APT24）, Earth Aughisky, GrubbyRAT, K4RAT, LuckDLL, Serkdes, Taikite, Taleret, SiyBot, APT舆情, 

一项新的研究详细介绍了名为地球奥吉斯基（Earth Aughisky）的高级持续性威胁（APT）组织使用的恶意软件工具集的日益复杂的性质。地球奥吉斯基，也被称为Taidoor，是一个网络间谍组织，以其滥用合法帐户，软件，应用程序以及网络设计和基础设施中的其他弱点的能力而闻名。在过去十年中，该组织继续在位于台湾和最近日本的特定目标上调整工具和恶意软件部署。最常见的目标垂直行业包括政府，电信，制造业，重型，技术，运输和医疗保健。该小组安装的攻击链通常利用鱼叉式网络钓鱼作为进入方法，使用它来部署下一阶段的后门。其主要工具是一种名为Taidoor（又名鲁丹）的远程访问木马。该组织还与各种恶意软件家族有关，例如GrubbyRAT，K4RAT，LuckDLL，Serkdes，Taikite和Taleret，作为其不断更新其武器库以逃避安全软件的尝试的一部分。趋势科技将地球奥吉斯基的活动与另一位由空中客车公司代号为Pitty Tiger（又名APT24）的APT组织联系起来，该组织基于在2014年4月至8月期间发生的各种攻击中使用了相同的滴管。

详情

互联网物联网设备面临的安全挑战

日期: 2022-10-10
标签: 信息技术, 物联网安全, 

物联网设备面临着多种安全挑战，这些挑战对使用它们的个人和组织构成了威胁。这包括对设备相关安全威胁的不当管理，这主要是因为这些设备没有定期更新。组织正在使用物联网设备进行数据收集、边缘计算、实时洞察和测量功能。然而，随着这种增长水平的到来，不可避免的安全问题也随之而来。黑客主要使用以下攻击来保护对物联网设备的访问：

•恶意软件攻击：黑客使用恶意软件攻击将恶意代码插入物联网设备并利用其漏洞。这种类型的攻击可以感染设备并允许未经授权的访问。

•网络攻击：在这些类型的攻击中，入侵者通过滥用系统中的安全漏洞来保护对用户物联网设备的访问。

•数据泄漏：当黑客从物联网设备或系统虹吸数据时，会发生数据泄露。这主要发生在存储在物联网设备上的数据没有得到适当保护或错误地在线提供时。

详情

Telegram创始人帕维尔·杜罗夫：用户必须停止使用WhatsApp，因为它是一个间谍工具

日期: 2022-10-10
标签: 信息技术, WhatsApp, Telegram, 

WhatsApp披露了一个影响其Android应用程序的安全漏洞，该漏洞被认为至关重要。《电报》的创作者帕维尔·杜罗夫（Pavel Durov）嘲笑WhatsApp，并建议用户避免使用它。根据Telegram创始人帕维尔·杜罗夫的说法，黑客可以完全访问WhatsApp用户手机的各个方面。此外，他声称WhatsApp在过去13年中一直在监控用户数据，同时声称WhatsApp的安全漏洞是故意策划的。关于安全和隐私，WhatsApp声明，所有文本，聊天和视频通话都提供端到端加密。但是，该程序经常遇到错误和安全问题，这引发了对其隐私的担忧。根据Meta的一份报告，由于视频下载和播放方式存在缺陷，WhatsApp用户容易受到黑客攻击。如果利用此漏洞，黑客将完全访问WhatsApp用户手机上的几乎所有内容。除了用户的电子邮件和图片外，它还包含其他通信，例如来自各种银行的SMS消息以及来自银行和支付应用程序的应用程序数据。

详情

关于Emotet在最近攻击中使用的技术分析报告

日期: 2022-10-10
标签: 美国, 德国, 法国, 韩国, 印度, 泰国, 加纳, 新加坡, 信息技术, TA542（Mummy Spider）, Emotet, 僵尸网络, 

根据VMware的最新研究，与臭名昭着的Emotet恶意软件相关的黑客组织正在不断改变其策略和命令和控制（C2）基础架构，以逃避检测。Emotet被跟踪为木乃伊蜘蛛（又名TA542），于2014年6月作为银行木马出现，然后在2016年演变成一个通用加载程序，能够提供勒索软件等第二阶段有效载荷。Emotet的重新出现也以C2基础设施的变化为标志，黑客组织运营着两个新的僵尸网络集群，称为Epochs 4和Epochs 5。在删除之前，Emotet操作在三个单独的僵尸网络上运行，称为Epochs 1，2和Epochs 3。在2022年3月15日至2022年6月18日期间在野外检测到的10，235个Emotet有效载荷重用了属于Epoch 5的C2服务器。其他重要组件包括垃圾邮件模块和微软Outlook和雷鸟电子邮件客户端的帐户窃取程序。用于托管服务器的大多数IP地址都位于美国，德国和法国。相比之下，大多数Emotet模块都在印度，韩国，泰国，加纳，法国和新加坡托管。为了防范 Emotet 等威胁，建议实施网络分段，强制实施零信任模型，并替换默认身份验证机制，以支持更强大的替代机制。

详情

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x09   时间线

2022-10-17 360CERT发布安全事件周报