报告编号：B6-2022-090501

报告来源：360CERT

报告作者：360CERT

更新日期：2022-09-05

0x01   事件导览

本周收录安全热点53项，话题集中在数据安全、网络攻击方面，涉及的组织有：三星、Akasa Air、Kimsuky、Bahamut等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

SharkBot恶意软件潜入Google Play窃取用户登录信息

日期: 2022-09-04
标签: 西班牙, 奥地利, 波兰, 德国, 美国, 信息技术, 谷歌（Google）, SharkBot, 移动安全, 

2022年9月4日，NCC 集团旗下 Fox IT的研究人员发布文章表示，SharkBot 恶意软件的新升级版本已再次潜入Google 的 Play 商店，目标是通过安装数万次的应用程序登录 Android 用户的银行业务。该恶意软件存在于两个 Android 应用程序中，这些应用程序在提交给 Google 的自动审查时没有任何恶意代码。SharkBot 是在用户安装并启动 dropper 应用程序后发生的更新中添加的。这两个恶意应用程序是“Mister Phone Cleaner”和“Kylhavy Mobile Security”，安装量总计 60,000 次。目前，这两个应用程序已从 Google Play 中删除，但安装它们的用户仍面临风险，应手动删除它们。在调查期间，Fox IT 在欧洲（西班牙、奥地利、德国、波兰）和美国观察到新的 SharkBot 活动。随着该恶意软件的改进版本可用，Fox IT 预计 SharkBot 活动将继续进行，并且该恶意软件会不断发展。

详情

CodeRAT源代码在GitHub上泄露

日期: 2022-09-03
标签: 伊朗, 信息技术, CodeRAT, 源代码泄露, 

在恶意软件分析师就使用该工具的攻击与开发人员对峙后，名为“CodeRAT”的远程访问木马（RAT）的源代码已在GitHub上泄露。该恶意操作似乎起源于伊朗，针对波斯语软件开发人员，其中包含Microsoft Dynamic Data Exchange（DDE）漏洞的Word文档。该漏洞从威胁参与者的GitHub存储库下载并执行CodeRAT，为远程操作员提供广泛的感染后功能。CodeRAT支持大约50个命令，并具有广泛的监控功能，针对Webmail，Microsoft Office文档，数据库，社交网络平台，Windows Android的集成开发环境（IDE），甚至是PayPal等单个网站。网络安全公司SafeBreach报告说，该恶意软件还监视Visual Studio，Python，PhpStorm和Verilog等工具的敏感窗口 - 一种用于建模电子系统的硬件描述语言。为了与其运营商通信并泄露被盗数据，CodeRAT使用基于电报的机制，该机制依赖于公共匿名文件上传API，而不是更常见的命令和控制服务器基础架构。

详情

黑客传播ModernLoader、XMRig Miner恶意软件

日期: 2022-09-01
标签: 俄罗斯, 保加利亚, 波兰, 匈牙利, 金融业, 信息技术, DCRat, Discord, XMRig, RedLine Stealer, SystemBC, 

在 2022 年 3 月和 2022 年 6 月期间，思科 Talos 研究人员发现了三个不同但相互关联的活动，这些活动正在向受害者传播各种恶意软件，包括 ModernLoader 机器人、RedLine 信息窃取程序和加密货币矿工。根据 Cisco Talos 研究员 Vanja Svajcer 的一份报告，黑客通过 PowerShell、.NET 程序集、HTA 和 VBS 文件在目标网络上传播，然后发布更多恶意软件，如 SystemBC 特洛伊木马和 DCRat，以启用其不同阶段的攻击。Cisco Talos 进一步表示，这些感染是由以前身份不明但讲俄语的间谍软件引起的，该间谍软件使用了商业软件。保加利亚、波兰、匈牙利和俄罗斯的用户是潜在目标。尽管归因尚不明确，但该公司报告称，威胁参与者在所有三个活动中都使用 ModernLoader 作为最终有效载荷。然后，此有效负载通过收集系统数据并提供更多模块来充当远程访问木马 (RAT)。此外，思科的分析还发现了 2022 年 3 月以来的两次较早的攻击。这些活动使用 ModerLoader 作为其主要的恶意软件 C2 通信工具，并传播其他恶意软件，例如 XMRig、RedLine Stealer、SystemBC、DCRat 和 Discord 令牌窃取程序等。

详情

黑客在詹姆斯·韦伯望远镜图像中隐藏恶意软件

日期: 2022-08-30
标签: 美国, 信息技术, 微软（Microsoft）, Golang, GO#WEBBFUSCATOR, 

2022年8月30日，Securonix 的研究人员发现了一个名为“GO#WEBBFUSCATOR”的新恶意软件活动，该活动依赖网络钓鱼电子邮件、恶意文档和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。该恶意软件是用 Golang 编写的，Golang 是一种在网络犯罪分子中越来越受欢迎的编程语言，因为它是跨平台的（Windows、Linux、Mac），并且对逆向工程和分析的抵抗力更强。攻击者会在 VirusTotal 扫描平台上投放当前未被防病毒引擎标记为恶意的有效负载。C2 可以通过设置连接请求之间的时间间隔、更改 nslookup 超时或发送命令以通过 Windows cmd.exe 工具执行来响应恶意软件。研究人员还表示，用于该活动的域名是最近注册的，最早的注册时间是 2022 年 5 月 29 日。

详情

土耳其恶意软件通过虚假谷歌翻译链接感染 11 个国家的机器

日期: 2022-08-29
标签: 土耳其, 信息技术, 谷歌（Google）, 

2022年8月29日，网络安全公司 Check Point发布报告称，土耳其黑客组织正在通过免费软件下载网站传播加密挖掘恶意软件，其中包括一个提供假谷歌翻译桌面应用程序的网站。Check Point在 7 月底发现了该活动，并将其命名为 Nitrokod。研究人员表示，它可能已经用恶意软件感染了 11 个国家的数千台设备。该恶意软件劫持设备的处理器并强制其验证比特币等货币交易。这些程序有一个延迟机制，可以在几天或几周后部署恶意软件，同时还会删除原始安装的任何痕迹，这使该活动能够逃过监控成功运行。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

三星宣布第二次客户数据泄露

日期: 2022-09-04
标签: 韩国, 制造业, 信息技术, 三星（Samsung）, 数据泄漏, 

2022年9月4日，电子产品和智能手机生产商三星报告了其系统中的数据泄露事件。该公司在 2022 年 7 月下旬遭到网络攻击。2022年8月4日前后，该公司再次发现一组威胁参与者访问了其系统并泄露了客户个人数据。黑客可以访问三星客户的个人详细信息，包括联系人、产品注册数据、出生日期和人口统计信息。然而，该公司表示，社会保障或信用卡号码不会受到安全漏洞的影响。目前，三星声称已检测到由攻击引起的系统漏洞，并已采取措施保护受影响的系统。此外，该公司聘请了一家领先的网络安全公司来调查此事并将其报告给执法部门。

详情

美国国税局数据泄露暴露了120，000名纳税人的个人信息

日期: 2022-09-03
标签: 美国, 政府部门, 数据泄露, 

美国国税局意外泄露了大约120，000名纳税人的机密信息，这些纳税人提交了990-T表格作为纳税申报表的一部分。IRS表格990T用于报告支付给免税实体的“不相关业务收入”，例如非营利组织（慈善机构）或IRA和SEP退休账户。该收入通常来自与非营利组织核心目的无关的销售或将收入支付到个人退休账户的房地产投资。对于普通纳税人来说，这些表格是保密的，只有美国国税局才能看到。但是，对于非营利组织，990-T表格必须在三年内可供公众检查。9月2日，美国国税局披露，除了为慈善机构共享990-T表格数据外，他们还意外地包括了纳税人IRA的数据，这些数据本来就不应该公开。美国国税局表示，这些数据已被删除，他们将在未来几周内向受影响的纳税人发送通知。

详情

黑客进入游戏公司Neopets系统18个月才被发现

日期: 2022-09-01
标签: 信息技术, 文化传播, Neopets, 游戏, 

2022年9月1日，线上宠物游戏公司Neopets 发布了其数据泄露事件的详细信息，该事件暴露了超过 6900 万会员的个人信息。2022 年 7 月 20 日启动的调查结果显示，攻击者可以在 2021 年 1 月 3 日至 2022 年 7 月 19 日期间访问 Neopets IT 系统。在一名黑客提出以四个比特币 的价格出售 Neopets 数据库后，Neopets才获悉该漏洞。黑客声称该数据库包含 460MB 的源代码和 6900 万会员的敏感个人信息，包括姓名、电子邮件地址、用户名、出生日期、性别、IP 地址、Neopets PIN、哈希密码等。密码现已重置，Neopets 现在正致力于实施多因素身份验证作为附加防御层。Neopets建议所有玩家在将密码回收到其他在线平台或服务时更改密码，并对要求他们提供敏感信息（例如与银行账户相关的信息）的电子邮件保持警惕。

详情

俄罗斯流媒体平台确认数据泄露影响750万用户

日期: 2022-08-30
标签: 俄罗斯, 文化传播, start.ru, 数据泄露, 

俄罗斯媒体流媒体平台“START”（start.ru）证实了有关数据泄露影响数百万用户的谣言。该平台的管理员分享说，网络入侵者设法从其系统中窃取了2021年的数据库，现在正在在线分发样本。被盗数据库包含电子邮件地址、电话号码和用户名。START将其描述为对大多数网络犯罪分子不感兴趣，因为它不能用于接管帐户。财务信息、银行卡数据、浏览历史记录或用户密码未受到影响，因为这些详细信息不存在于数据库中。关于影响START的数据泄露的谣言首次出现在8月28日星期日，当时一个包含近4400万用户信息的72GB MongoDB JSON转储开始通过社交网络分发。其中许多条目涉及测试帐户。但是，转储包含 7，455，926 个唯一电子邮件地址，这可能接近暴露用户的实际数量。记录日期最近为 2022 年 9 月 22 日，因此此事件不会影响在该日期之后注册该服务的用户。

详情

黑客出售导弹公司 MBDA 的机密数据

日期: 2022-08-30
标签: 欧洲, 英国, 西班牙, 法国, 意大利, 制造业, MBDA Missile Systems, 

一个网络犯罪团伙正在出售从 MBDA Missile Systems（一家欧洲公司）窃取的机密数据。MBDA 是一家制造导弹和其他武器的欧洲公司，是世界第二大导弹制造商。未知黑客（使用俄语和英语）声称他们在成功的数据攻击后从 MBDA 访问了机密军事数据，并以 15 比特币（约 294,000 美元）的价格出售了大约 80 GB 的被盗数据。2022年8月29日，该黑客组织将价值 70GB 数据的价格降至 1BTC（19,000 美元）。同日，BBC、MBDA 承认其部分数据在破坏外部硬盘后被黑客入侵。目前，北约已对在线销售绝密武器和导弹数据文件展开调查。而MBDA 正在与意大利的调查当局合作展开调查。

详情

Akasa Air 披露数据泄露事件

日期: 2022-08-30
标签: 印度, 交通运输, Akasa Air, 漏洞利用, 

一些 Akasa Air 乘客的私人信息，包括姓名、性别、电子邮件地址和电话号码，都暴露给了未经授权的个人。印度最新的运营商声称它自己向政府授权的负责处理此类案件的节点组织——印度计算机应急响应小组 CERT-In 报告了这一事件。该公司表示，通过完全关闭参与黑客攻击的系统组件，它能够阻止未经授权的访问。它表示，在实施新的保障措施以解决该问题后，登录和注册服务已恢复。此外，Akasa 表示正在做更多的评估，以加强其系统在未来抵御类似攻击的能力。除了上述信息外，还明确表示没有暴露任何与旅行相关的数据、旅行记录或支付数据。该航空公司宣布已进行额外检查，以确保其所有系统的安全性得到进一步加强。该航空公司预计到 9 月底每周将运行 150 个航班。

详情

泰国新冠肺炎数据在暗网上出售

日期: 2022-08-29
标签: 泰国, 卫生行业, 政府部门, COVID-19, 

2022年8月29日，美国加利福尼亚网络安全公司Resecurity称，网络犯罪分子从泰国医学科学部窃取了 PII 数据，这些数据包含有关 COVID-19 症状患者的信息。这些数据在几个暗网市场上出售，并可通过不良行为者创建的 Telegram 频道进一步购买。Resecurity已将该事件与泰国 CERT 共享。研究人员称，黑客攻击了泰国医学科学部提供的 WEB 应用程序 (https://longcovidcheckin.dms.go.th)，该应用程序用于对该国公民和游客的 COVID-19数据进行在线调查和数据收集。黑客能够未经授权访问政府门户，从而非法管理用户和记录。在发现违规行为时，黑客可能已经访问了至少 5,151 条详细记录，潜在暴露总数为 15,000 条。Resecurity已与相关当局和执法部门共享暴露的泄露数据，以确保受影响的公民在泰国现有的隐私法和数据保护法规的范围内受到保护。

详情

美国FTC起诉软件公司Kochava出售敏感位置信息

日期: 2022-08-29
标签: 美国, 信息技术, Kochava, 美国联邦贸易委员会 (FTC), 数据隐私, 

2022年8月29日，美国联邦贸易委员会 (FTC)对软件公司 Kochava 提起诉讼，指控该公司出售数亿移动设备的精确地理定位数据——在该机构所说的不公平或不公平的情况下泄露了潜在的敏感信息。欺骗性的消费者行为。根据 FTC 的投诉，总部位于爱达荷州的 Kochava “收集了大量关于人们及其移动设备的信息”，包括从其他数据经纪人那里购买信息，并出售定制的信息流。出售的信息包括与独特营销 ID 相关联的精确地理位置信息，该 ID 可用于揭示对敏感地点的访问，例如礼拜场所和医疗保健提供者。通过观察诸如定期睡眠和工作地点等模式，这些数据也可以相对容易地与个人联系起来。

详情

Nelnet 服务漏洞暴露了 250 万个学生贷款账户的数据

日期: 2022-08-29
标签: 教育行业, Nelnet Servicing, 漏洞利用, 

在黑客入侵技术服务提供商 Nelnet Servicing 的系统后，来自俄克拉荷马州学生贷款管理局 (OSLA) 和 EdFinancial 的超过 250 万人的学生贷款数据被曝光。OSLA 和 EdFinancial 使用 Nelnet Servicing 的技术服务（包括一个门户网站）为在线访问学生提供贷款访问其贷款账户的权限。在6 月，身份不明的入侵者入侵了 Nelnet Servicing，并在其系统上一直呆到 7 月 22 日。黑客很可能在利用漏洞后入侵了公司的网络。大约 2,501,324 人受到了违规行为的影响。作为数据泄露披露过程的一部分，向缅因州总检察长办公室发送的受影响各方的样本通知信 已通知 OSLA 和 EdFinancial，后者正在通知其客户。尽管 Nelnet 表示它在检测到违规行为后立即阻止了网络攻击，但随后于 2022 年 8 月 17 日完成的调查确定某些学生贷款账户注册信息可能已被访问。公开的信息包括以下内容：全名、实际地址、电子邮件地址、电话号码、社会安全号码。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

APT组织Evilnum发起新一轮针对在线交易的网络攻击

日期: 2022-09-02
标签: 信息技术, Evilnum, APT舆情, 

近期，绿盟科技伏影实验室捕获到一系列互相关联的钓鱼攻击活动。经过分析，确认这些活动来自APT组织Evilnum，是该组织近期网络攻击行动DarkCasino的延续。本轮网络攻击活动发生在7月下旬至8月上旬。攻击者在活动中继续使用其常用的攻击思路，包括pif类型和压缩包类型的诱饵文件、围绕自研木马程序DarkMe构建的攻击链、以及各式第三方工具等。

详情

黑客组织Anonymous攻击俄罗斯出租车公司，造成交通堵塞

日期: 2022-09-04
标签: 俄罗斯, 乌克兰, 信息技术, 交通运输, Yandex, Anonymous（匿名者）, 俄乌战争, 

2022年9月1日，莫斯科西部地区出现了不寻常的出租车聚集，造成交通严重堵塞。调查显示，有黑客将所有可用的Yandex出租车都预订到了同一个地址，因此发生了大规模的持续了三个小时的交通拥堵。黑客组织 Anonymous 声称对此次攻击负责，承认入侵了 Yandex Taxi 应用程序。Anonymous避开了公司的安全机制，发出了多份虚假订单，将所有司机定向到一个位置。自俄乌战争以来，俄罗斯一直是黑客的主要目标之一。此次支持乌克兰的黑客组织Anonymous就入侵了打车服务 Yandex Taxi。 该消息首先在 reddit.com 上发布。Yandex Taxi 隶属于俄罗斯领先的 IT 公司 Yandex，也被称为俄罗斯谷歌。

详情

来自数百家印度尼西亚和马来西亚餐馆的客户数据被DESORDEN黑客入侵

日期: 2022-09-02
标签: 印度尼西亚, 住宿餐饮业, Putu Made, Kimukatsu, Pepper Lunch, Paradise Inn, Onokabe, Shaburi, Bakerzin, Paradise Dynasty, Kintan Buffet, DESORDEN, 数据泄露, 

被称为DESORDEN的黑客已经袭击了另一家印度尼西亚大企业。这一次，他们的受害者是BOGA集团，该集团在印度尼西亚和马来西亚经营着200多家餐厅和商店，品牌包括Bakerzin，Pepper Lunch，Paradise Dynasty，Paradise Inn，Shaburi，Kintan Buffet，Onokabe，Putu Made，Kimukatsu，Yakiniku Like，Ocean 8，Sushi Kaiyo和Boga Kitchen。博加集团还经营波加餐饮，这是一项高级餐饮服务。黑客获取了超过400，000条客户记录和16，000条员工记录。DESORDEN最近还告诉DataBreaches，预计韩国，台湾，越南和日本将出现更多违规行为，并对泰国的数据继续感兴趣。DESORDEN表示，目前的市场正在从这些国家寻找个人信息。

详情

Kimsuky攻击与国防和朝鲜有关的个人

日期: 2022-09-01
标签: 朝鲜, Kimsuky, APT舆情, 

ASEC分析小组发现，Kimsuky组织不断针对与国防和朝鲜有关的个人分发恶意Word文件。大多数已确认的Word文件的文件名都包含与朝鲜有关的个人的姓名，这种攻击很可能是针对与该领域有关的人。Word文件包含恶意VBA宏代码，当宏运行时，会下载其他脚本，用来收集用户的PC信息。

详情

国际移民政策发展中心（ICMPD）遭受网络攻击

日期: 2022-08-31
标签: 国际组织, 国际移民政策制定中心（ICMPD）, 

2022年8月31日，国际移民政策制定中心（ICMPD）证实，它遭受了网络攻击，并导致了数据泄漏。ICMPD 在 90 个国家开展以移民为中心的研究、项目和活动。ICMPD目前有 19 个成员国，其中大部分是欧洲国家，并且还与多个联合国和欧洲机构以及非洲、亚洲和南美洲的国家合作。此次针对 ICMPD 攻击的幕后黑手是 Karakurt 勒索组织，该组织在 Telegram 上声称窃取财务文件、银行数据和个人信息。ICMPD 的通信协调员 Bernhard Schragl 没有说明攻击发生的时间，但表示，攻击者设法获得了对保存数据的单个服务器的“有限访问”。在Karakurt的泄密网站上，Karakurt声称窃取了 375 GB 数据，其中包括合同通信、合同扫描、项目预算、财务和保险文件、发票、护照、组织主要成员的邮箱等等。目前，ICMPD 已经通知任何受攻击影响的组织采取保护措施。

详情

智利称政府机构遭受勒索软件攻击

日期: 2022-08-31
标签: 智利, 政府部门, 

2022年8月31日，智利网络安全事件响应小组表示，其政府机构正在处理针对该组织的Microsoft工具和VMware ESXi服务器的勒索软件攻击。 智利 CSIRT 表示，袭击最初于2022年8月25日开始，并且在攻击期间，该部门系统中的所有文件都添加了扩展名“.crypt”。Recorded Future 的勒索软件分析师 Allan Liska 表示，该扩展与 Thanos 勒索软件有关，但也与其他一些变种有关。智利网络安全机构表示，攻击者能够完全控制受害者的系统并留下赎金记录，提供通信渠道和联系方式。 该勒索软件加密了各种文件，还包括从浏览器获取凭据、列出连接的设备和驱动器并具有防病毒规避功能的信息窃取器特征。

详情

Kiwi Farms 遭受有针对性的 DDoS 攻击

日期: 2022-08-31
标签: 信息技术, Kiwi Farms, DDoS, incels, 

Kiwi Farms 是一个托管用户生成内容和论坛的网站。它被指控进行人肉攻击、网络欺凌和骚扰。Kiwi Farms 已被各种社交媒体网站和域名提供商屏蔽。 然而，自 2022 年 8 月 26 日以来，Kiwi Farms 一直未上线，并显示其管理员的说明，其中说明了该站点为何离线以及 Kiwi Farms 如何受到 DDoS（分布式拒绝服务）和其他类型的网络攻击的攻击。 根据 Kiwi Farm 论坛的说法，在服务中断之前，它受到了“DDoS 攻击”和其他形式的网络中断攻击。 该论坛的管理员认为，正是由于这些网络攻击和保护其他用户，互联网服务提供商被迫禁止他们的网站。该网站因人肉或泄露它认为是“incels”（非自愿独身者）、社会正义战士、女权主义者和其他用户的用户的个人信息而臭名昭著。目前，尚无法确认匿名黑客活动家是否是这次攻击的幕后黑手。

详情

以日本信用卡客户为目标的网络钓鱼攻击活动

日期: 2022-08-31
标签: 美国, 日本, 信息技术, 谷歌（Google）, Adobe, MICARD, SharePoint, 亚马逊（Amazon ）, 网络钓鱼, 

如今，网络犯罪分子正在加大赌注，努力开发复杂的鱼叉式网络钓鱼活动来欺骗潜在用户，同时更频繁地滥用SharePoint、亚马逊 AWS、谷歌和 Adobe 等可信平台。这正是Menlo Labs研究团队在最近分析的针对日本 MICARD 和美国运通用户的网络钓鱼活动中所见证的。该团队发现，有问题的威胁行为者正在向潜在目标发送带有假冒网页链接的欺骗性电子邮件，并使用地理围栏确保只有日本 IP 可以访问其网站。在分析MICARD 和美国运通网络钓鱼页面使用的机制时，发现了许多相似之处。从前者开始，使用的 URL 是“miicarrid[.]co[.]jp.sdsfsee[.]top.)”。访问时，用户将看到一个登录页面，要求他们提交凭据。如果他们继续这样做，他们将被重定向到同一域上的第二个网页，该网页会要求他们提交他们的帐户详细信息和卡号。在美国运通的案例中，欺骗的 URL 是“www1[.]amerxcanexpress[.]tp.bhisjcn[.]jp”，再次向任何潜在的受害者展示一个登录页面，然后是一个请求提交信用卡信息的辅助页面.在这两个活动的情况下，如果任何访问者成为受害者并输入他们的卡信息，他们将被引导到真实网站的主页，而他们的所有凭据都将记录在钓鱼页面的 URL 路径中。

详情

Kimsuky组织正在攻击俄罗斯外交部

日期: 2022-08-29
标签: 俄罗斯, 政府部门, Kimsuky, APT舆情, 俄乌战争, 

研究人员捕获到了Kimsuky组织针对俄罗斯外交部的攻击活动。Kimsuky试图利用俄罗斯驻沈阳总领事馆的帐户对俄罗斯驻日本总领事馆进行攻击。攻击是通过伪装成大使馆会计部门的电子邮件进行的，并带有两个附件，第一个文件包含5月22日举行的朝韩首脑会谈的内容，文件中存在外部地址，但不存在看似恶意的部分。第二个文件包含宏代码，宏内部包含一个名为oup的vbs文件，它添加计划任务，以便该文件每五分钟运行一次。该文件包含攻击者指定的C&C服务器地址，每5分钟运行一次，并等待攻击者的其他命令。

详情

“0ktapus”黑客组织威胁130多家公司

日期: 2022-08-29
标签: 信息技术, Twilio, Cloudflare, Okta, 0ktapus, MFA, 

2022年8月下旬，超过 130 家公司卷入了欺骗多因素身份验证系统的庞大网络钓鱼活动。针对 Twilio 和 Cloudflare 员工的针对性攻击与大规模网络钓鱼活动有关，该活动导致 130 多个组织的 9,931 个帐户遭到入侵。这些活动与研究人员对身份和访问管理公司 Okta 的集中滥用有关，因此研究人员为背后的黑客组织起名 0ktapus 的绰号。黑客组织的主要目标是从目标组织的用户那里获取 Okta 身份凭证和多因素身份验证 (MFA) 代码。这些用户收到的短信包含指向模仿其组织 Okta 身份验证页面的网络钓鱼站点的链接。受影响的有 114 家美国公司，另外还有 68 个国家/地区的受害者。建议用户为 MFA 使用符合 FIDO2的安全密钥。

详情

黑山共和国称俄罗斯黑客攻击国家关键部门

日期: 2022-08-29
标签: 黑山共和国, 俄罗斯, 政府部门, 俄乌战争, 

黑山共和国政府成员表示，该国正遭受复杂且持续的网络攻击，威胁该国的基本基础设施。目标包括电力和供水系统、交通服务、公民用于访问各种国家服务的在线门户网站等等。一些发电厂已经转为手动操作，而国家管理的 IT 基础设施已下线以遏制攻击的影响。黑山公共行政部长 Marash Dukaj 于 8 月 26 日在 Twitter 上发帖警告称，针对各个国家机构的新一波有组织的网络攻击。该国国防部长将这些袭击归咎于俄罗斯行为者，并表示有足够的证据怀疑这次袭击是“由几个俄罗斯部门指挥的”。针对这种情况，美国驻黑山大使馆已发布安全警报，警告在该国的美国公民注意这些网络攻击带来的风险。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

Apple 向旧版设备发布WebKit 零日漏洞补丁

日期: 2022-08-31
标签: 美国, 制造业, 信息技术, Apple, 

2022年8月31日，Apple 发布安全更新通告，表示已针对2022年8月上旬发布的旧版 iPhone 和 iPad 的反向移植补丁发布了新的安全更新，以解决可远程利用的 WebKit 零日漏洞，该漏洞允许攻击者在未打补丁的设备上执行任意代码。这个零日漏洞与 Apple于2022年 8 月 17 日为 macOS Monterey 和 iPhone/iPad 设备以及 8月 18 日为 Safari修补的漏洞相同。该漏洞的编号为 CVE-2022-3289，是 WebKit 中的一个越界写入漏洞，WebKit 是 Safari 和其他应用程序用来访问 Web 的 Web 浏览器引擎。该漏洞允许攻击者通过诱使目标访问其控制下的恶意网站来远程执行任意代码。此次安全更新适用的设备列表包括 iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch（第 6 代），它们都运行 iOS 12.5.6。虽然这个零日漏洞很可能只用于针对性攻击，但仍强烈建议用户尽快安装此次 iOS 安全更新，以阻止潜在的攻击尝试。

详情

Google Chrome 错误导致用户剪贴板风险

日期: 2022-08-31
标签: 美国, 信息技术, 谷歌（Google）, Chrome, 

2022年8月31日，研究人员发现Chrome 版本 104 意外引入了一个错误，导致当用户浏览网页时，该页面可以在用户不知情的情况下删除系统剪贴板的当前内容。此错误不仅限于 Google Chrome。Safari 和 Firefox 还允许网页写入系统剪贴板，但它们具有基于手势的保护。Chrome 开发人员已经发现了这个问题，但尚未修复，因此它仍然存在于当前版本的移动和桌面谷歌 Chrome 浏览器中。系统剪贴板是操作系统上的临时存储位置。它通常用于复制粘贴，并且可能涉及敏感信息，例如银行帐号、加密货币钱包字符串或密码。用任意内容覆盖这个临时存储空间会使用户面临风险，因为他们可能成为恶意活动的受害者。黑客可能会引诱用户访问冒充合法加密货币服务的特制网站。当用户尝试付款并将钱包地址复制到剪贴板时，网站可以将黑客的地址写入剪贴板。考虑到这些操作的常见程度，此权限具有足够的风险，值得修复。

详情

基于 JavaScript 错误扫描程序在 Node.js 库中发现了 100 多个零日漏洞

日期: 2022-08-30
标签: 信息技术, JavaScript, Usenix, 

约翰霍普金斯大学的研究人员开发了一种基于图形的代码分析工具，可以检测JavaScript程序中的各种漏洞。该工具名为ODGen，在今年的Usenix安全研讨会上发表，并解决了限制使用基于图形的安全工具分析JavaScript程序的一些挑战。研究人员通过将ODGen应用于数千个Node.js库来证明ODGen的有效性，在那里它发现了180个零日漏洞并收到了70个CVE。研究人员设计了ODGen来检测应用程序和包级别的漏洞。他们在 330 个记录在案的漏洞上测试了该工具，这些漏洞跨越了 16 个类别，包括跨站点脚本 （XSS）、服务器端和客户端请求伪造 （SSRF/CSRF）、SQL 注入、原型污染和命令注入。该工具能够以非常高的准确度检测13种类型的漏洞，发现330个漏洞中的302个。

详情

FBI：黑客越来越多地利用 DeFi 漏洞窃取加密货币

日期: 2022-08-29
标签: 美国, 金融业, DeFi, 美国联邦调查局 (FBI), 去中心化金融（DeFi）, 

美国联邦调查局 (FBI) 警告投资者，网络犯罪分子越来越多地利用去中心化金融 (DeFi) 平台中的安全漏洞来窃取加密货币。FBI 观察到网络犯罪分子利用管理 DeFi 平台的智能合约中的漏洞来窃取投资者的加密货币。FBI 鼓励怀疑网络犯罪分子窃取其 DeFi 投资的投资者通过互联网犯罪投诉中心或当地的 FBI 外地办事处联系 FBI。8月29日，在 FBI 的互联网犯罪投诉中心 (IC3) 上发布的公共服务公告补充说，在 2022 年 1 月至 2022 年 3 月期间被盗的大约 13 亿美元的加密货币中，其中近 97% 是从 DeFi 平台抢走的。根据 FBI 的计算，这分别比 2021 年的 72% 和 2020 年的约 30% 显着增加。攻击者使用各种方法从 DeFi 平台入侵和窃取加密货币，包括启动触发平台智能合约漏洞利用的闪电贷，以及利用其代币桥中的签名验证缺陷来撤回所有投资。该机构还观察到网络犯罪分子通过利用漏洞链来操纵加密货币价格对，包括 DeFi 平台使用单一价格预言机，然后进行杠杆交易以绕过滑点检查。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   安全分析

APT-C-08 （蔓灵花）最新远控组件wmRAT分析简报

日期: 2022-08-30
标签: 信息技术, 蔓灵花, APT舆情, 

通过长期对蔓灵花APT组织的基础设施行为进行监控，360高级威胁研究院捕获了该组织最新的远程控制组件。根据其释放的路径名“wmservice.exe”，将其命名为“wmRAT”。由于目前在通讯中存在较多无功能的指令，该远控程序还处于研发阶段。当前已有的功能以文件搜索和上传下载等功能为主，这一点与蔓灵花窃取数据信息的任务目的相契合。同时在捕获到的样本中，发现蔓灵花在下发的部分样本中存在重复使用的行为，据此推测在蔓灵花的目标范围中还存在相当一部分设备不具备防御这些远控程序的安全防护功能，或是安全意识较为薄弱的人群。

详情

0x08   其他事件

乌克兰与罗马尼亚签署网络安全防御合作条约

日期: 2022-09-04
标签: 乌克兰, 罗马尼亚, 政府部门, 乌克兰国家特别通信和信息保护局（SSSCIP）, 俄乌战争, 

2022年9月1日，乌克兰国家特别通信和信息保护局（SSSCIP）与罗马尼亚签署网络防御合作谅解备忘录。该条约是在乌克兰与波兰签署类似协议一周后签署的。SSSCIP表示，合作项目旨在增加和进一步加强公共和私营机构的网络防御能力。条约中约定：交流网络防御方面的经验和最佳做法、分享有关网络事故、脆弱性识别方法和应对网络威胁的信息、合作开展新的网络安全研究和教育和培训网络防御专家等。SSSCIP 负责人 Yuii Shchyhol表示：“自俄罗斯开始全面军事入侵以来，乌克兰在抵御网络攻击方面积累了丰富的经验，截至今日，乌克兰发生的网络攻击事件已超过1000起。我们愿意与我们的合作伙伴分享我们的经验并向他们学习。提高我们在网络防御和学习方面的知识对我们的员工、我国公共部门负责网络安全的员工以及在关键基础设施工作的人来说至关重要。”

详情

美联储、npm发布供应链安全警报以避免另一个SolarWinds

日期: 2022-09-04
标签: 美国, 信息技术, 政府部门, OpenSSF, 供应链安全, NPM, 

2022年9月4日，美国网络安全和基础设施局 (CISA)、国家情报局局长办公室 (ODNI) 和国家安全局 (NSA) 发布《Securing the Software Supply Chain for Developers》，总结了从 SolarWinds 软件供应链攻击中吸取的教训，并将这些教训变成了切实的指导，以防止未来的供应链攻击。除了美国政府的建议外，开发者还收到了来自开源安全基金会的npm 最佳实践，以建立供应链安全开源最佳实践。与此同时，OpenSSF 的公告指出，npm 代码存储库已经增长到包含 210 万个包。Security Journey 应用程序安全总监 Michael Burch 等开发人员赞扬了该行业的主动框架，但 Burch 补充说，现在由网络安全部门将这些指导方针付诸行动，特别是实施软件材料清单 (SBOM) 的建议。Burch表示：“我们现在需要的是 AppSec 社区在本指南的支持下团结起来，为 SBOM 创建标准格式和实施，以提高软件供应链的安全性。”

详情

Damart服装店受到Hive勒索软件的打击，要求200万美元

日期: 2022-09-02
标签: 法国, 居民服务, 批发零售, Damart, 勒索攻击, 

Damart是一家法国服装公司，在全球拥有130多家商店，在Hive勒索软件团伙的网络攻击后，它被勒索了200万美元。自8月15日以来，该公司的一些系统已被加密，运营中断。Valéry Marchive的一份报告能够检索到泄露的赎金记录并在LeMagIT上发布详细信息，他指出黑客不愿意谈判并期望母公司Damartex支付全部赎金。威胁行为者没有将受害者发布在他们的勒索网站上，而是选择保持谈判的私密性。8月24日，据报道，Damart的销售网络无法正常运行，中断影响了其92家商店。结果，接受的订单数量减少，客户支持不可用。该公司澄清说，黑客已成功到达Active Directory，并发起了仓促攻击，导致加密了一些系统。根据Damart的说法，服务降级的原因是由于该公司通过关闭系统来保护它们不被加密而采取的主动行动。目前，尚不清楚Hive是否设法在网络入侵期间窃取了任何数据。然而，该团伙却采用了双重勒索策略，在加密阶段之前就泄露了数据。

详情

Raspberry Robin恶意软件与Dridex和Srusy Evil Corp有联系

日期: 2022-09-02
标签: 俄罗斯, 信息技术, DEV-0206, DEV-0243, Evil Corp, Raspberry Robin, Dridex, 恶意攻击, 

研究人员已经确定了Raspberry Robin感染链中使用的恶意组件与Dridex恶意软件加载程序之间的功能相似性，进一步加强了运营商与俄罗斯Evil Corp集团的联系。调查结果显示，Evil Corp可能正在使用Raspberry Robin基础设施进行攻击。Raspberry Robin（又名QNAP Worm）于2021年9月首次由网络安全公司Red Canary发现，近一年来一直是一个谜，部分原因是野外明显缺乏开发后活动。这种情况在2022年7月发生了变化，当时微软透露它观察到FakeUpdates（又名SocGholish）恶意软件通过现有的Raspberry Robin感染提供，DEV-0206和DEV-0243（又名Evil Corp）之间发现了潜在的联系。已知该恶意软件是通过包含恶意的受感染USB设备从受感染的系统传递的。LNK 文件到目标网络中的其他设备。Windows 快捷方式文件旨在从远程服务器检索恶意 DLL。

详情

研究人员发布针对PyPi钓鱼活动的更多细节

日期: 2022-08-31
标签: 信息技术, PyPI, JuiceLedger, 网络钓鱼, 

2022年8月31日，PyPi 披露了第一次针对 Python 开发人员的网络钓鱼攻击的信息，并且这起网络钓鱼攻击与一个更广泛的事件有关，其中包括数百个恶意python软件包。同日，Checkmarx和SentinelOne发布了关于JuiceLedger的更多细节。揭露了此次网络钓鱼攻击背后的攻击者是Juicelegger。网络钓鱼尝试和恶意包由域 linkedopports[.]com 链接，该域出现在恶意包代码中，并且还充当网络钓鱼站点试图将被盗凭据发送到的位置。恶意程序包试图从 URL hxxps://python-release[.]com/python-install.scr 下载并执行文件。该恶意软件异常大，约为 63MB（可能是为了逃避 AV 检测），并且具有有效的签名（于 2022 年 8 月 23 日签署）。

详情

专家警告称会有更多的 Ragnar Locker 袭击

日期: 2022-09-01
标签: 俄罗斯, 能源业, 制造业, 金融业, 政府部门, 信息技术, 关键基础设施, 

2022年9月1日，网络安全公司Cybereason的研究人员发布研究报告称，Ragnar Locker勒索软件团伙可能会继续攻击关键基础设施。Cybereason表示，Ragnar Locker 勒索软件攻击对关键基础设施运营商的威胁级别很高，并指出其在2022年8月下旬对希腊天然气管道 DESFA 的攻击。自 2019 年以来，Ragnar Locker组织一直使用双重勒索策略。Ragnar Locker组织的勒索软件首先检查潜在受害者是否位于独立国家联合体（以前属于苏联集团的一组国家）以及他们的设备上安装了什么样的安全软件。如果受害者在俄罗斯、白俄罗斯或其他前苏联国家，它不会部署。一旦勒索软件确认受害者不在这些国家/地区，它就会开始提取数据，然后对所有内容进行加密并构建勒索记录。而早在2022年3月，美国联邦调查局也发布警报，指出Ragnar Locker对 10 个关键基础设施部门的至少 52 个实体实施了攻击，包括涉及制造、能源、金融服务、政府和信息技术部门的公司。

详情

谷歌表示，它从其庞大的广告展示网络中切断了俄罗斯的虚假信息网站

日期: 2022-09-01
标签: 乌克兰, 俄罗斯, 信息技术, 文化传播, 俄乌战争, 

谷歌表示，它在过去一周采取了额外措施，以便品牌不再在俄罗斯国有网站上看到他们的广告，这些网站是乌克兰战争宣传的常规来源。此举是在一名软件开发商在推特上发布了通过谷歌展示广告服务投放的主要西方公司的广告截图以及散布关于战争的虚假信息的头条新闻之后做出的。8 月 24 日，由新加坡软件工程师 Braedon Vickers发布的 Twitter 帖子激怒了虚假信息专家、数字广告监管机构和美国参议员，他们谴责谷歌继续从投放的广告中获利。谷歌投放的大多数有问题的广告都是所谓的“程序化”广告购买的一个例子，它指的是使用算法软件来买卖在线展示空间。长期以来，谷歌一直因其广告行为助长俄罗斯宣传而受到抨击。在俄罗斯 2 月入侵乌克兰的第二天，华纳给该公司发了一封信，鼓励它“至少”审计谷歌和谷歌姊妹品牌 YouTube 的广告行为，包括其对制裁的遵守情况。华纳在给谷歌母公司 Alphabet 首席执行官的信中断言，谷歌平台“继续成为恶意行为者的关键载体——尤其是那些与俄罗斯政府有关联的人——不仅传播虚假信息，而且从中获利。”

详情

超过 1800 个 Android 和 iOS 应用程序的源代码允许访问 AWS 凭证

日期: 2022-09-01
标签: 信息技术, 谷歌（Google）, Apple, iOS, 移动安全, Android, 

2022年9月1日，Symantec Threat Hunter 团队发布报告称，在 Android 和 iOS 上发现了 1859 个应用程序，其中包含允许访问私有 AWS 云服务的硬编码 Amazon Web Services (AWS) 访问令牌。在安全研究人员分析的所有应用程序中，大约 50% 使用其他应用程序（由其他开发人员和公司维护）中发现的相同 AWS 令牌。研究人员称，“AWS 访问令牌可以追溯到共享库、第三方软件开发工具包 (SDK) 或用于开发应用程序的其他共享组件，”该发现是一个严重的供应链漏洞。研究人员建议在应用程序开发生命周期中添加安全扫描解决方案，如果使用外包提供商，要求和审查移动应用程序报告卡，它可以识别移动应用程序的每个版本的任何不需要的应用程序行为或漏洞，都有助于突出潜在的问题。

详情

研究人员详细介绍了新兴的跨平台 BianLian 勒索软件攻击

日期: 2022-09-01
标签: 信息技术, Golang, 

新兴的跨平台 BianLian 勒索软件的运营商本月增加了他们的命令和控制 (C2) 基础设施，这一发展暗示着该组织的运营节奏加快。使用 Go 编程语言编写的 BianLian 于 2022 年 7 月中旬首次被发现，截至 9 月 1 日已声称有 15 个受害者组织。值得注意的是，双重勒索勒索软件系列与同名的Android 银行木马没有联系，该木马针对移动银行和加密货币应用程序窃取敏感信息。BianLian 还针对 SonicWall VPN 设备进行利用，这是勒索软件组织的另一个常见目标，与另一种名为Agenda的新 Golang 恶意软件不同，BianLian 攻击者从初始访问到实际加密事件的停留时间最长可达 6 周，这一持续时间远高于2021 年报告的 15 天入侵者停留时间的中值。

详情

数千人在 Instagram 网络钓鱼攻击中被蓝色徽章引诱

日期: 2022-09-01
标签: 信息技术, Instagram, 网络钓鱼, 恶意攻击, 

一项新的 Instagram 网络钓鱼活动正在进行中，试图通过提供蓝标优惠来欺骗流行社交媒体平台的用户。蓝色徽章非常令人垂涎，因为 Instagram 将它们提供给经过验证是真实的、代表公众人物、名人或品牌的帐户。最近观察到的网络钓鱼活动中的鱼叉式电子邮件通知收件人，他们在 Instagram 审查了他们的帐户，并认为他们有资格获得蓝色徽章。被骗的用户被敦促填写表格并在接下来的 48 小时内领取他们的验证徽章。尽管该活动显示出欺诈迹象，但威胁者押注于 Instagram 用户在面临升级其社交帐户状态的机会时的粗心和热情。网络钓鱼攻击者一直在利用许多 Instagram 用户的虚荣心。使用网络钓鱼电子邮件针对社交媒体用户的活动非常受欢迎 ，并且不仅限于 Instagram。

详情

Bahamut组织移动端武器新变种

日期: 2022-08-31
标签: 信息技术, Bahamut, Android, 

2022年8月，奇安信病毒响应中心移动安全团队在高级威胁追踪中发现到Bahamut组织投入了一个近两年其在Android端经常使用的TriggerSpy家族新变种。该变种为第四代，此次攻击仍采用钓鱼网站进行分发。需要注意的是，目前该新变种在VirusTotal上显示暂无其它杀软识别。根据此次的钓鱼网站性质和历史攻击情况，分析认为Bahamut组织此次攻击的目标主要针对的是部分印度人员。

详情

AdGuard 发布基于 Manifest V3 构建的广告拦截器

日期: 2022-08-31
标签: 美国, 文化传播, 信息技术, 谷歌（Google）, AdGuard, 广告拦截, 

2022年8月31日，广告拦截软件开发商 AdGuard 发布了第一个与 Google 的 Manifest V3 兼容的 Chrome 广告拦截器扩展程序。Manifest V3 于 2020 年首次发布，并随着 2021 年 1 月发布的 Chrome 88 的发布而可用。在Manifest V3中，Google 更改了 webRequest API 以阻止扩展程序在数据显示给用户之前对其进行修改，这会严重限制广告拦截器等特殊用途的扩展。尽管 Manifest V3 有限制，AdGuard MV3 仍然可以很好地防止广告和跟踪：主动阻止对跟踪器的请求、隐藏横幅、社交小部件和其他烦人的元素、阻止视频共享平台上的广告，包括 YouTube。AdGuard团队表示，即使在 Manifest V2 停产之后，Google Chrome 用户也将能够通过 AdGuard 浏览器扩展保护自己免受广告和跟踪器的侵害。

详情

Ragnar Locker 勒索软件声称攻击了葡萄牙的旗舰航空公司

日期: 2022-08-31
标签: 葡萄牙, 交通运输, Transportes Aéreos Portugals, 勒索攻击, 

Ragnar Locker 勒索软件团伙声称对葡萄牙的旗舰航空公司 TAP Air Portugal 进行了攻击 。该公司在8月31日表示，攻击已被阻止，并补充说，没有发现任何证据表明攻击者可以访问存储在受影响服务器上的客户信息。TAP 是网络攻击的目标，现已被阻止。运营完整性得到保证。Ragnar Locker 还分享了一张电子表格的屏幕截图，其中包含看似从 TAP 服务器窃取的客户信息，包括姓名、出生日期、电子邮件和地址。TAP（Transportes Aéreos Portugals 的缩写）是葡萄牙最大的航空公司，占 2019 年里斯本国际机场进出港航班的 50% 以上。

详情

为期三天的黑客马拉松发现了雅虎搜索引擎工具 Vespa 中的数百个漏洞

日期: 2022-08-31
标签: 中东, 非洲, 欧洲, 信息技术, 雅虎, 黑客比赛, 

雅虎在8月底举办的为期三天的黑客马拉松在其文本搜索引擎工具 Vespa 中发现了数百个安全漏洞。该活动由漏洞赏金平台 Intigriti 在比利时安特卫普举行，来自欧洲、中东和非洲的 40 名黑客在该开源工具中寻找漏洞。提交了 218 个错误，总奖金为 218,121 美元，最高奖金为 15,000 美元。位居排行榜榜首的是黑客“putsi”，他成功提交了10个漏洞，并在活动中获得了“最有价值黑客”的称号。由黑客“stok”和“p4fg”组成的最高收入团队“Swedish Injection！”，成功发现18个漏洞。参与者是从雅虎的“精英计划”中选出的，该计划是从该公司漏洞赏金计划和之前于 2022 年 5 月举行的黑客活动的一组定期贡献者中选出的。黑客“为雅虎的网络弹性做出了极其宝贵的贡献”。

详情

乌克兰警方破获加密欺诈呼叫中心

日期: 2022-08-31
标签: 乌克兰, 金融业, 乌克兰安全局（SBU）, 加密货币, 俄乌战争, 

乌克兰当局声称已经揭露了该国的一个呼叫中心网络，该网络从事针对国内和欧盟公民的金融欺诈活动。该犯罪集团的“员工”显然使用软件来欺骗电话号码，因此他们似乎是从合法的银行机构打来的。在给受害者打电话后，骗子会假装是这些银行的工作人员，以诱骗他们交出银行卡的详细信息。在似乎是另一个计划中，欺诈者使用虚假网站进行货币、加密货币、证券、黄金和石油的交易，以吸引投资者，保证他们获得巨额利润。NPU 与乌克兰安全局 (SBU) 合作开展调查。官员在多个未命名的地点进行了授权搜查，并没收了确认非法活动的计算机设备、手机和草稿记录。乌克兰当局一直在努力打击网络犯罪，即使他们的国家受到俄罗斯的攻击。

详情

乌克兰抓获从事金融诈骗的网络犯罪集团

日期: 2022-08-30
标签: 乌克兰, 金融业, 金融诈骗, 

2022年8月30日，乌克兰国家警察 (NPU) 关停了一个网络犯罪集团使用的呼叫中心网络，该网络犯罪集团专注于金融诈骗，并以帮助他们追回被盗资金为幌子瞄准加密货币诈骗的受害者。据称，这些非法呼叫中心背后的欺诈者还涉嫌诈骗对加密货币、证券、黄金和石油投资感兴趣的乌克兰和欧盟国家的公民。在整个跨境欺诈行动中，犯罪分子使用了软件和高科技设备，这些设备使得他们能够伪造国有银行机构的电话号码。犯罪分子自称是这些国有银行机构的员工，并勒索了公民银行卡的机密数据。乌克兰执法人员在授权搜查与此次网络犯罪活动相关的多个“呼叫中心”位置并没收计算机设备、手机和数据记录后，证实了这些非法活动。与此欺诈计划有关的人因参与有组织犯罪集团、欺诈和使用恶意软件而受到调查，并将面临最高 12 年的监禁。

详情

HHS 向医护人员发出卡拉库尔特勒索软件集团警报

日期: 2022-08-30
标签: 卫生行业, 勒索攻击, 

Karakurt勒索软件团伙的新一波网络攻击被报告给医疗保健提供者。几个月前，CISA和FBI披露了该组织的运营技术数据，以及渗透和模拟赎金记录的证据。一家牙科诊所，一家辅助护理机构，一家供应商和一家医院都受到了袭击的影响。专家断言，医疗保健行业应继续保持高度警惕，并密切关注任何妥协的迹象。根据HC3的说法，卡拉库尔特“针对受害者的大规模网络欺凌努力使他们蒙羞是最令人担忧的。卡拉库尔特（Karakurt）已经看到购买被盗的登录详细信息或获取已经通过第三方入侵代理网络被黑客入侵的用户的访问权限，以便访问受害者机器。

详情

Microsoft Azure 中断在错误更新后使 Ubuntu VM 脱机

日期: 2022-08-30
标签: 信息技术, Ubuntu, 

运行 Ubuntu 18.04 的 Microsoft Azure 客户的虚拟机 （VM） 因系统更新故障导致的持续中断而脱机。中断开始于九小时前，即 UTC 时间 06：00 左右，受影响的客户升级到 systemd 版本 237-3ubuntu10.54，并且其 VM 开始遇到 DNS 错误，受影响的系统上没有可用的 DNS 解析程序地址。

微软在Azure状态页面上发布的事件报告中表示，这些DNS问题仅影响运行Ubuntu 18.04（Bionic Beaver）的虚拟机。该公司透露：“从 2022 年 8 月 30 日大约 06：00 UTC 开始，许多运行 Ubuntu 18.04（仿生）VM 的客户最近升级到 systemd 版本 237-3ubuntu10.54，报告称在尝试访问其资源时遇到 DNS 错误。关于这个问题的报道仅限于这个单一的Ubuntu版本，“根据 Azure 状态页面，目前受此中断影响的全球服务包括 Azure Kubernetes Service （AKS）、Azure Monitor、Azure Sentinel、Azure Container Apps 等。

详情

图书馆服务公司 Baker & Taylor 遭勒索软件攻击

日期: 2022-08-29
标签: 教育行业, Baker & Taylor, 勒索攻击, 

Baker & Taylor 自称是全球最大的图书馆图书分销商，2022年8月29日证实，在遭到勒索软件攻击后，它在努力恢复系统。正如 Baker & Taylor 在 8 月 23 日所说 ，在一次影响公司电话系统、办公室和服务中心的中断后，其服务器停机。一天后，这家图书馆服务提供商 透露 ，该事件导致其关键业务系统的中断将持续一周，而技术团队正在努力恢复受影响的服务器。Baker & Taylor 是一家成立于 190 多年前的私营公司，是美国和全球领先的图书馆内容和软件供应商。它位于北卡罗来纳州夏洛特，目前为 5,000 多个公共和学术图书馆提供服务。目前，没有关于攻击背后是什么勒索软件组织或附属机构的信息。

详情

Cloudflare CDN 客户在奥地利打击盗版网站时陷入困境

日期: 2022-08-29
标签: 奥地利, 信息技术, Salzburg AG, Preis Zone shop, yesss!, Raiffeisen Mobil, SOS Mitmensch, Hutchison Drei Austria GmbH。, Magenta, Cloudflare, 

奥地利正在进行过度和不分青红皂白的封锁，互联网服务提供商 (ISP) 遵守法院命令封锁盗版网站，造成重大附带损害。

该法律案件由版权组织“LSG – Wahrnehmung von Leistungssschutzrechten GesmbH”发起，该组织说服奥地利法院以违反版权法为由屏蔽了 14 个网站。这项措施带来的问题是，禁令还扩展到属于 Cloudflare 服务器的特定 IP 地址，这些服务器支持许多其他不违反版权法的网站。受影响的网站示例包括 Magenta、Salzburg AG、Preis Zone shop、yesss!、Raiffeisen Mobil、SOS Mitmensch 和 Hutchison Drei Austria GmbH。问题的根源在于版权组织提供了 ISP 禁止的 IP 地址列表，而没有检查谁使用它们。事实证明，该列表还包括一组至少九个 IP 地址，Cloudflare 将其用于其 CDN 以向合法网站提供服务（安全性、可靠性、性能）。

详情

美国政府起诉 Kochava 出售敏感的地理位置数据

日期: 2022-08-29
标签: 美国, 信息技术, 数据安全, 

美国联邦贸易委员会 (FTC) 在8月29日宣布，它对总部位于爱达荷州的位置数据经纪人 Kochava 提起诉讼，指控其出售从数亿移动设备收集的敏感且精确的地理位置数据（以米为单位）。正如消费者保护监督机构所说，Kochava 的客户可以使用这些数据来识别和跟踪移动用户往返各个地点的活动，例如生殖健康、心理护理和成瘾康复设施或家庭暴力幸存者或无家可归者的庇护所。该公司通过数据馈送提供对消费者位置数据的访问，其客户在支付 25,000 美元订阅后可以通过在线数据市场访问（免费样本数据集也提供到 2022 年 6 月，其中包含过去 7 天收集的信息）。该数据经纪人还声称，其位置数据馈送“提供原始纬度/经度数据，每月地理交易量约为 94B+，每月活跃用户为 1.25 亿，每日活跃用户为 3500 万，平均每台设备每天观察超过 90 次交易。 “

详情

在25000个WordPress网站上发现恶意插件

日期: 2022-08-29
标签: 教育行业, CodeCanyon, Easy Digital Downloads, ThemeForest, WordPress, 

佐治亚理工学院的研究人员已经在数以万计的 WordPress 网站上发现了恶意插件。对超过 400,000 个唯一网络服务器的夜间备份的分析显示，在近 25,000 个唯一的 WordPress 网站上安装了超过 47,000 个恶意插件。这些插件中的 94% 以上（超过 44,000 个）仍在使用。超过 3,600 个已识别的恶意插件是从 CodeCanyon、Easy Digital Downloads 和 ThemeForest 等合法市场购买的。据研究人员称，攻击者购买流行的免费插件的代码库，然后添加恶意代码并等待用户应用自动更新。还观察到攻击者冒充良性插件作者通过盗版插件分发恶意软件。研究人员还发现了 6,000 多个插件，这些插件模拟了可通过合法市场获得的良性插件，同时为网站所有者提供了试用选项，这在大多数付费插件市场中通常是不可用的。分析结果已报告给 CodeGuard，目前正在努力纠正这种情况。然而，学者们表示，只有 10% 的网站所有者被看到试图清理他们的安装，超过 12% 的清理网站被重新感染。

详情

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x0a   时间线

2022-09-05 360CERT发布安全事件周报