报告编号：B6-2022-080101

报告来源：360CERT

报告作者：360CERT

更新日期：2022-08-01

0x01   事件导览

本周收录安全热点49项，话题集中在恶意程序、网络攻击方面，涉及的组织有：LockBit 3.0、Gamaredon、SharpTongue、Facebook等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

卡巴斯基发现四个恶意npm软件包

日期: 2022-07-28
标签: 俄罗斯, 信息技术, npm, Volt Stealer, Lofy Stealer, 供应链安全, 

2022年7月28日，安全公司卡巴斯基发布研究报告，称在npm门户软件包上发现了四个恶意npm软件包。这些恶意软件包部署了基于Python和JS的恶意软件Volt Stealer和Lofy Stealer，能够窃取Discord令牌和银行卡数据。卡巴斯基将此恶意活动称为“LofyLife”。Python 恶意软件是名为 Volt Stealer 的开源令牌记录器的修改版本。它旨在从受感染的机器上窃取 Discord 令牌以及受害者的 IP 地址，并通过 HTTP 上传它们。“Lofy Stealer”的 JavaScript 恶意软件是为了感染 Discord 客户端文件而创建的，以监控受害者的行为。它检测用户何时登录、更改电子邮件或密码、启用/禁用多因素身份验证 (MFA) 并添加新的支付方式，包括完整的银行卡详细信息。收集的信息也会上传到地址被硬编码的远程端点。

详情

微软SQL服务器被黑客入侵以窃取代理服务的带宽

日期: 2022-07-28
标签: 韩国, 信息技术, AhnLab, 微软（Microsoft）, Peer2Profit, IPRoyal, 

2022年7月28日，韩国公司Ahnlab的研究人员发布的一份新报告表明，已经出现了新的恶意软件活动，这些活动安装了代理软件，以通过共享受害者的网络带宽来赚钱。攻击者通过为用户设置电子邮件地址来获得带宽补偿，而受害者可能只会注意到一些连接速度变慢。Ahnlab观察到通过广告软件捆绑包和其他恶意软件株为Peer2Profit和IPRoyal等服务安装代理软件。恶意软件会检查代理客户端是否在主机上运行，如果它被停用，它可以使用“p2p_start（）”功能启动它。根据Ahnlab的报告，恶意软件运营商使用此方案来产生收入，也针对易受攻击的MS-SQL服务器来安装Peer2Profit客户端。

详情

SharpTongue部署邮件窃取浏览器扩展“SHARPEXT”

日期: 2022-07-28
标签: 朝鲜, 信息技术, Kimsuky, SHARPEXT, APT舆情, 

Volexity的安全研究人员观察到朝鲜的威胁组织Kimsuky正在使用恶意浏览器扩展程序“SHARPEXT”窃取Google Chrome或Microsoft Edge用户的电子邮件，以阅读他们的网络邮件。SHARPEXT与“Kimsuky”攻击者以前记录的扩展不同，因为它不会尝试窃取用户名和密码。相反，恶意软件在受害者浏览网络邮件帐户时直接检查并泄露数据。自发现以来，该扩展已经发展，目前版本为3.0，基于内部版本控制系统。它支持三种网络浏览器以及从Gmail和AOL网络邮件中窃取邮件。这是Volexity首次观察到恶意浏览器扩展程序被用作入侵后利用阶段的一部分。通过在用户已登录会话的上下文中窃取电子邮件数据，攻击对电子邮件提供商是隐藏的，这使得检测非常具有挑战性。同样，扩展程序的工作方式意味着，如果他们查看可疑活动，则不会记录在用户的电子邮件“帐户活动”状态页面中。

详情

针对Facebook业务和广告帐户的Ducktail恶意软件

日期: 2022-07-27
标签: 芬兰, 信息技术, Meta（原Facebook）, Ducktail, Facebook Business, 

Facebook业务和广告帐户处于一项名为Ducktail的持续活动的接收端，该活动旨在作为财务驱动的网络犯罪行动的一部分来夺取控制权。威胁行为者的目标是访问带有信息窃取者恶意软件的Facebook Business帐户的个人和员工。该恶意软件旨在窃取浏览器cookie，并利用经过身份验证的Facebook会话从受害者的Facebook帐户中窃取信息，并最终劫持受害者具有足够访问权限的任何Facebook Business帐户。据称，这些攻击归因于越南威胁行为者，始于2021年下半年，主要目标是在公司中担任管理，数字营销，数字媒体和人力资源角色的个人。

详情

更多的攻击者使用即时通信软件构建恶意软件框架

日期: 2022-07-27
标签: 信息技术, 英特尔（Intel）, 信息窃取, 

英特尔 471 研究人员发现了数个恶意软件用于信息窃取，它们依赖于 Discord 或 Telegram 的功能。将窃取到的信息通过即时通信软件进行回传，进而绕过网络监控。

详情

CosmicStrand rootkit隐藏在UEFI固件

日期: 2022-07-27
标签: 中国, 俄罗斯, 越南, 伊朗, 信息技术, 华硕, 技嘉, CosmicStrand, UEFI 固件攻击, 

卡巴斯基研究人员研究了一种新版本的CosmicStrand rootkit，他们在改进的UEFI（统一可扩展固件接口）固件中找到了它——该代码首先加载，并在计算机开机时启动操作系统引导过程。研究表明这个rootkit背后的攻击者可以远程感染UEFI。

详情

新安卓恶意软件应用在谷歌Play被下载超过1000万次

日期: 2022-07-27
标签: 美国, 信息技术, 谷歌（Google）, Neon Theme Keyboard, Android, 

谷歌Play商店中发现了一批新的充满广告软件和恶意软件的恶意Android应用程序，这些应用程序在移动设备上被下载了近千万次。

其中有一款恶意软件“Neon Theme Keyboard”，尽管有1.8星的分数和许多负面评论，但它的下载量仍超过了100万。

详情

基于 Rust 的信息窃取器的源代码在黑客论坛中流传

日期: 2022-07-25
标签: 美国, 信息技术, Luca stealer, 信息窃取, Rust, 

用 Rust 编码的信息窃取恶意软件Luca stealer的源代码已在黑客论坛上免费发布，安全分析师已经报告说该恶意软件被积极用于攻击。该恶意软件非常隐蔽，VirusTotal 返回的检测率约为 22%。由于信息窃取器Luca stealer是用 Rust （一种跨平台语言）编写的，它允许攻击者瞄准多个操作系统。然而，目前Luca stealer只针对 Windows 操作系统。执行时，Luca stealer会尝试从 30 个基于 Chromium 的 Web 浏览器中窃取数据，从而窃取存储的信用卡、登录凭据和 cookie。Luca stealer还针对一系列“冷”加密货币和“热”钱包浏览器插件、Steam 帐户、Discord 代币、Ubisoft Play 等。安全研究人员已经看到至少 25 个 Luca Stealer 实例在野外使用，目前尚不清楚这种新型恶意软件是否会大规模部署。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

俄罗斯邮政遭遇数据泄漏

日期: 2022-07-29
标签: 俄罗斯, 交通运输, 俄罗斯邮政, 俄乌战争, 

2022年7月29日，俄罗斯邮政客户的数据出现在互联网上。发布的样本包含：跟踪号（货件的跟踪号）、发件人/收件人的全名（或公司名称）、收件人的电话号码、发件人/收件人的城市/邮政编码、重量/ 装运状态、出发日期/时间。但俄罗斯邮政称他们没有被黑客攻击，数据来自第三方承包商，是其承包商的用户数据部分泄露，客户的银行数据没有受到影响。目前也尚未调查出此次事件背后的黑客。

详情

黑客组织DESORDEN再次攻击多个泰国实体

日期: 2022-07-31
标签: 泰国, 信息技术, 政府部门, Frasers Property Thailand Public Company Limited, Srikrung Broker, Union Auction Public Company Limited, Srikrung Broker Co. Ltd., DESORDEN, 

2022年7月31日，DataBreaches.net 发布报告称，黑客组织DESORDEN泄露了多个泰国实体的数据。这些实体包含：Frasers Property Thailand Public Company Limited、Union Auction Public Company Limited、Srikrung Broker Co., Ltd.、Srikrung Broker。几十万的客户数据以及人力资源、财务和公司数据都遭遇泄漏。2022年7月下旬，DESORDEN 开始向黑客相关论坛的成员免费提供勒索软件版本，但声称他们在大多数攻击中都没有使用勒索软件。

详情

Meta与美国医院因在医疗门户网站上跟踪患者而被美国政府起诉

日期: 2022-07-30
标签: 美国, 卫生行业, Meta（原Facebook）, 信息窃取, 

2022年7月30日，美国加利福尼亚北区已针对 Meta (Facebook)、UCSF 医疗中心和 Dignity Health 医疗基金会提起集体诉讼，指控这些组织非法收集有关患者的敏感医疗数据以进行定向广告。据称，这种跟踪和数据收集发生在医疗门户网站中，患者在那里输入关于自己、他们的状况、医生、处方药等的高度敏感信息。根据诉讼，即使Meta 和医疗保健提供者都知道他们的数据收集操作是非法的，但医院和 Meta 都没有告知患者有关数据收集的信息，也没有请求用户同意，也没有明显的迹象表明这一过程。这项行为违反了美国的医疗信息机密性、不当得利、违反合同、计算机数据访问和欺诈法 (CDAFA) 以及还有联邦窃听法。

详情

OneTouchPoint 披露影响 30 多家医疗保健公司的数据泄露事件

日期: 2022-07-29
标签: 卫生行业, 金融业, OneTouchPoint, 邮件客户端, 

邮件和打印服务供应商 OneTouchPoint 披露了影响 30 多家医疗保健提供商和健康保险公司的数据泄露事件。OneTouchPoint 总部位于威斯康星州哈特兰，为医疗保健行业的组织提供印刷、营销执行和供应链管理服务。该公司7月底透露，它最近成为勒索软件攻击的受害者，该攻击导致存储在其系统上的个人身份信息 (PII) 遭到破坏，OneTouchPoint 表示，它于 4 月 28 日在其部分系统上发现了加密文件，并立即开始调查此事件。它后来发现攻击者在 4 月 27 日访问了其网络，但无法确定攻击者访问了其网络中的哪些文件。该公司表示，它后来确定受感染的系统包含其客户提供的 PII，包括姓名、地址、出生日期、服务日期、服务描述、诊断代码、作为健康评估的一部分提供的信息以及会员 ID。目前尚不清楚有多少人可能在此次事件中受到影响。

详情

DDoSecrets：俄罗斯数据泄露“基地”

日期: 2022-07-27
标签: 俄罗斯, 乌克兰, 信息技术, 政府部门, DDoSecrets, 俄乌战争, 

美国调查记者艾玛·贝斯特（Emma Best）与名为 The Architect 的匿名合作伙伴一起于 2018 年创立DDoSecrets。 从那时起，它已经分发了来自 200 多个实体的黑客和泄露数据，包括美国执法机构、法西斯团体、空壳公司、避税天堂以及极右翼社交媒体网站 Gab 和 Parler。 2022年3月，DDoSecrets从负责该国审查的俄罗斯政府机构Roskomnadzor泄露了817GB 的被黑数据。Emma Best透露，自乌克兰战争开始以来，已收到超过 1200 万份泄露的俄罗斯文件，并且DDoSecrets 收到的大部分数据都来自俄罗斯。与此同时，包括乌克兰网络联盟和 CyberHunta 在内的其他组织多年来一直在向 DDoSecrets 发送俄罗斯泄密信息。DDoSecrets 的大部分资料来自私人数据集收集者、泄密者和黑客活动家。它审查数据，然后根据“公共利益”决定是否应该发布。它的成员不从事黑客活动。

详情

优步承认掩盖涉及 5700 万用户的数据泄露事件

日期: 2022-07-27
标签: 美国, 政府部门, 优步（Uber）, 美国司法部（DoJ）, 信息窃取, 

优步已与美国司法部就其掩盖2016年11月的数据泄露达成协议。

该次数据泄露共计包括乘客和司机在内的 5700 万人的个人信息。攻击者通过获得了私密的源代码存储库的访问权并获得了访问密钥，然后利用该凭据来窃取数据。

详情

勒索团伙LockBit 3.0瞄准意大利税务局

日期: 2022-07-25
标签: 意大利, 政府部门, 金融业, l'Agenzia delle Entrate, 网络犯罪, 勒索攻击, 

2022年7月25日早些时候，最活跃的勒索软件集团之一LockBit 3.0在其网站上发布了一条通知，声称其从意大利税务机构l'Agenzia delle Entrate窃取了100GB的数据，包含公司文件、扫描、财务报告、合同等，以及声称是文件样本六张截图。安全厂商Palo Alto Networks 曾发布报告称，截至2022年5月，LockBit 3.0占 2022 年所有与勒索软件相关的违规事件的 46%，并在全球范围内造成 850 多名受害者。但LockBit 也曾提出过虚假声明，例如声称从一个实体窃取的信息实际上是来自另一个实体的数据。2022年7月25日，据意大利安莎社报道，意大利当局正在调查此次数据被盗事件。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

商业卫星的繁荣使太空容易受到黑客的攻击

日期: 2022-07-29
标签: 美国, 交通运输, 科研服务, 卫星, 

根据联合国外层空间事务办公室的 数据，随着越来越多的国家和个人实体有能力将航天器送入轨道，环绕地球的卫星数量猛增至7,895颗。当年是民间通信卫星，现在被用来提供互联网接入点，这可以成为隔离或当地基础设施在中断时的线。 太空中也已经充满了碎片。NASA 2021年报告称，它正在追踪超过 27,000件太空垃圾，这些太空垃圾已经给太空飞行带来了挑战，并且可能会级联——这是一种被称为“凯斯勒综合症”的污染问题，原因是 NASA 科学家唐纳德·凯斯勒在 1970 年代提出了对风险的担忧。保护卫星涉及保护轨道上的物体以及用于与其通信的地面控制站。地面站通常更容易成为数字攻击者的目标，但两者都可能容易受到攻击，Suloway 向航天和航空小组委员会作证。Suloway 作证支持通过自愿合作来激励商业部门的信息共享，而不是通过监管方法让私营部门参与进来——她说，部分原因是担心商业航天公司会选择从世界其他地方发射他们不必遵守。

详情

Akamai阻止了针对其客户的欧洲最大DDoS攻击

日期: 2022-07-28
标签: 欧洲, 信息技术, Akamai, DDoS攻击, 

2022年7月初，欧洲有史以来最大的分布式拒绝服务（DDoS）攻击袭击了东欧的一个组织。该目标是网络安全和云服务公司 Akamai 的客户，在过去 30 天内一直受到攻击，面临数十轮 DDoS 攻击。在Akamai的一份报告中指出，破纪录的攻击发生在7月21日，在14小时内达到853.7 Gbps（千兆位每秒）和659.6 Mpps（百万数据包每秒）的峰值。Akamai表示，DDoS攻击源于受感染设备的“高度复杂的全球僵尸网络”。能够进行破纪录的DDoS攻击的强大僵尸网络最近出现在新闻中。攻击 Akamai 客户的原因尚不清楚。但是东欧的DDoS事件被认为具有政治色彩，因为它们经常被用作黑客行动主义的一种形式。

详情

Gamaredon使用GammaLoad.PS1_v2攻击乌克兰

日期: 2022-07-27
标签: 俄罗斯, 乌克兰, 政府部门, 俄乌战争, 

乌克兰CERT-UA检测到大量以 "信息公告 "和 "战斗命令 "为主题的电子邮件，特别是来自乌克兰国家安全局学院的电子邮件。邮件包含一个HTM Dropper，打开后将在计算机上创建RAR文件，其中包含一个LNK文件，其名称与受害者相关，启动LNK文件将下载和执行HTA文件，可能包含VBScript代码。使用PowerShell，将解码并启动恶意软件GammaLoad.PS1_v2。乌克兰CERT-UA将本次活动归因于Gamaredon。

详情

堪萨斯州MSP关闭云服务以抵御网络攻击

日期: 2022-07-26
标签: 美国, 信息技术, NetStandard, 云服务, 

美国托管服务提供商NetStandard遭受了网络攻击，导致该公司关闭了其MyAppsAnywhere云服务，其中包括托管的Dynamics GP，Exchange，Sharepoint和CRM服务。根据发送给Reddit上的MyAppsAnywhere客户的一封电子邮件，该公司在7月26日上午检测到网络攻击的迹象，并迅速关闭云服务，以防止攻击的传播。公司表示只有MyAppsAnywhere服务受到影响，但这次攻击似乎产生了更广泛的影响，该公司的主要网站也关闭了。目前尚不清楚是哪种类型的攻击，但研究人员认为这可能是勒索软件攻击。并根据相关的线索猜测为讲俄语的勒索组织。

详情

发现了用于挖矿的WebAssembly攻击

日期: 2022-07-27
标签: 美国, 信息技术, 网页劫持挖矿, 

安全研究员发现目前存在利用WebAssembly进行网页劫持挖矿的攻击方式，攻击者通过看似无害的js文件注入到服务器中，使得访问网站的用户成为了“矿工”。

详情

欧洲议员被Cytrox Predator间谍软件攻击

日期: 2022-07-27
标签: 欧洲, 政府部门, 间谍软件, 

欧洲议会的一项安全审计发现，有人试图在一名希腊议员的手机上植入高端监控软件，有报告称，黑客疑似与已知的北马其顿间谍软件供应商有关。

在欧洲议会开始检查议员的设备是否有高端监视间谍软件感染的迹象后，才发现这起黑客攻击事件。

详情

PrestaShop确认零日攻击电子商务服务器

日期: 2022-07-25
标签: 信息技术, PrestaShop, 网络犯罪, 

开源PrestaShop电子商务平台背后的团队发布了一份公开咨询，警告零日SQL注入攻击会袭击商家服务器并植入能够窃取客户支付信息的代码。PrestaShop的紧急公告警告说，黑客正在利用“已知和未知安全漏洞的组合”在运行PrestaShop软件的电子商务网站上注入恶意代码。PrestaShop表示：“新发现的漏洞可能允许远程攻击者控制您的商店，”并指出安全缺陷可能使多达300，000名第三方商家暴露于暴露敏感数据的服务器妥协中。PrestaShop拥有备受瞩目的谷歌合作伙伴关系，并用于美国和欧洲的商店，已经发布了软件补丁来覆盖已知的漏洞。

详情

研究人员发现位于美国的俄罗斯勒索软件网络

日期: 2022-07-26
标签: 俄罗斯, 美国, 信息技术, 网络犯罪, 俄乌战争, 

据攻击面管理公司 Censys 的研究人员称，一个俄罗斯的勒索软件命令和控制网络已被发现存在于至少一个美国网络中。 Censys 的研究人员在2022年6月下旬扫描了数百万个位于俄罗斯的主机，当时他发现两台主机包含 Rapid7 开发工具 Metasploit 和一个名为 Deimos 的命令和控制 (C2) 工具C2。勒索软件组织无法从俄罗斯基础设施发起攻击，他们通常会寻找大型数据中心供应商、大学或其他拥有大量具有不同安全级别的服务器的地方。那些受感染的服务器被用作重定向。

详情

黑客利用 PrestaShop 0Day漏洞入侵在线商店

日期: 2022-07-25
标签: 美国, 信息技术, PrestaShop, 网络犯罪, 0day, 

黑客正瞄准使用 PrestaShop 平台的网站，利用以前未知的漏洞链来执行代码并窃取客户的支付信息。2022年7月22日，PrestaShop 团队发出紧急警告，敦促使用其软件的 300,000 家商店的管理员在发现针对该平台的网络攻击后做好资产自查。攻击过程如下：黑客向易受攻击的端点发送一个 POST 请求，然后向主页发送一个无参数的 GET 请求，该请求在根目录中创建一个“blm.php”文件。blm.php 文件似乎是一个 Web shell，它允许攻击者远程在服务器上执行命令。接着，攻击者使用这个 web shell 在商店的结账页面上注入一个虚假的支付表单，并窃取客户的支付卡详细信息。攻击完成后，黑客还清除了他们的踪迹。攻击首先针对易受 SQL 注入攻击的模块或旧平台版本。PrestaShop 的团队目前尚未确定这些漏洞存在于何处，并警告称该漏洞也可能是由第三方组件引起的。

详情

Magecart入侵食品订购系统，窃取300多家餐厅的支付数据

日期: 2022-07-25
标签: 信息技术, 金融业, MenuDrive, Harbortouch, InTouchPOS, MageCart, 网络犯罪, 网络欺诈, 

Magecart入侵了三个餐厅订购平台MenuDrive，Harbortouch和InTouchPOS，导致至少311家餐厅沦陷。这三起违规行为导致这些受感染餐厅的50，000多条支付卡记录被盗，并被发布在暗网上出售。Magecart攻击者有用JavaScript撇油器感染电子商务网站的历史，以窃取在线购物者的支付卡数据，账单信息和其他个人身份信息（PII）。据信，第一组活动已于 2022 年 1 月 18 日左右开始，并一直持续到 5 月 26 日阻止该活动中使用的恶意域。另一方面，InTouchPOS活动自2021年11月12日以来一直保持活跃。值得注意的是，美国联邦调查局（FBI）在2022年5月的一次闪光警报中也发现了用于MenuDrive和Harbortouch感染的数据泄露域。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

CISA 警告 Atlassian Confluence 硬编码凭证漏洞被利用

日期: 2022-07-29
标签: 美国, 信息技术, Atlassian, 思科（Cisco）, 漏洞利用, 

2022年7月29日，美国网络安全和基础设施安全局 (CISA) 将最近披露的 Atlassian 安全漏洞添加到其已知利用漏洞目录中。该漏洞被跟踪为CVE-2022-26138，涉及在 Confluence Server 和数据中心实例中启用 Questions For Confluence 应用程序时使用硬编码凭据。远程未经身份验证的攻击者可以使用这些凭据登录 Confluence 并访问 confluence-users 组中的用户可以访问的所有内容。成功利用该缺陷可能会导致敏感信息的泄露。尽管 Atlassian 软件公司上周在 2.7.38 和 3.0.5 版本中解决了该漏洞，但此后一直受到积极利用。随着该漏洞现已添加到目录中，美国联邦民事执行局 (FCEB) 被要求在 2022 年 8 月 19 日之前应用补丁，以减少其遭受网络攻击的风险。

详情

黑客可利用Nuki智能锁漏洞打开大门

日期: 2022-07-27
标签: 美国, 制造业, Nuki, 漏洞利用, 物联网安全, 智能门禁, 

NCC 集团的安全研究人员报告了 11 个影响 Nuki 智能锁产品的漏洞，这些漏洞可让黑客直接打开大门。两个受影响的智能锁产品是Nuki Smart Lock 和 Nuki Bridge。使用这些智能锁产品时，用户只需在范围内走动就可以使用智能手机解锁门。Nuki Smart Lock 和 Nuki Bridge 都缺乏 SSL/TLS 证书验证，允许攻击者执行中间人攻击并拦截网络流量，该漏洞被跟踪为 CVE-2022-32509。安全研究人员还发现了两个缓冲区溢出漏洞（CVE-2022-32504 和 CVE-2022-32502），可利用这些漏洞在易受攻击的设备上执行任意代码。另外，Nuki 的低功耗蓝牙 (BLE) API 实施缺乏适当的访问控制 (CVE-2022-32507)，从而允许攻击者发送他们不应发送的高权限命令。2022年4月，Nuki被告知这些漏洞，2022年7月，相关补丁发布。

详情

微软点名一家奥地利雇佣黑客公司

日期: 2022-07-27
标签: 美国, 奥地利, 信息技术, 谷歌（Google）, 微软（Microsoft）, Adobe, 英特尔（Intel）, Meta（原Facebook）, DSIRF, Subzero, 漏洞利用, 黑客雇佣行业, 黑产产业链, 0day, 

2022年7月27日，Microsoft 威胁情报中心 (MSTIC) 和 Microsoft 安全响应中心 (MSRC)发布报告，称抓获了一家奥地利雇佣黑客公司DSIRF，该公司利用 Windows 和 Adobe 软件产品中的零日漏洞对欧洲和中美洲计算机用户进行“有限且有针对性的攻击”。这家名为 DSIRF 的公司与一个名为“Subzero”的恶意软件套件相关联，并且其漏洞利用还与 2021 年与 Adobe Reader 漏洞利用 (CVE-2021-28550) 一起使用的两个 Windows 特权提升漏洞利用 (CVE-2021-31199 和 CVE-2021-31201) 相关联。总部位于奥地利的 DSIRF 属于网络雇佣军的一类，他们通过各种商业模式销售黑客工具或服务，并执行黑客雇佣定向攻击行动。黑客雇佣行业在2022年一整年都备受关注，微软、Facebook、苹果和谷歌等大型科技公司通过研究报告点名雇佣黑客团队来引领反击。

详情

Open Xchange修复了 OX 应用套件中 RCE、SSRF 错误的 Open-Xchange 漏洞

日期: 2022-07-27
标签: 信息技术, 漏洞修复, 

多元化技术和基础设施软件提供商Open-Xchange已经发布了针对影响OX App Suite的几个安全漏洞的修复程序。OX App Suite可作为内部部署解决方案或组织云产品的一部分，是为电信公司，网络托管公司和服务提供商设计的安全电子邮件和协作软件。最新的修补程序版本包括对软件的文档转换器组件中发现的两个远程执行代码 （RCE） 漏洞的修复。CVE-2022-23100和CVE-2022-24405分别获得了8.2和7.3的CVSS分数。还修复了文档转换器API隐藏着服务器端请求伪造（SSRF）漏洞（CVE-2022-24406），该漏洞可能允许攻击者预测多部分表单数据边界并覆盖其内容。

详情

FileWave 修复了影响 1,000 多个组织的两个漏洞

日期: 2022-07-27
标签: 教育行业, 信息技术, 政府部门, FileWave, 漏洞利用, 

在 FileWave 的移动设备管理 (MDM) 系统中发现了 CVE-2022-34907 和CVE-2022-34906漏洞，并影响了许多家使用该系统的公司。研究中发现，1,100 个多个 FileWave MDM 实例受到该漏洞影响，包括大公司、学校和教育机构、政府机构以及中小型企业。

详情

PrestaShop CMS发布CVE-2022-36408漏洞的安全更新

日期: 2022-07-27
标签: 美国, 信息技术, PrestaShop, 0day, 

PrestaShop CMS发布安全更新，用于解决一个正在被积极利用的零日漏洞（CVE-2022-36408）。

详情

思科修补Nexus仪表板上的三个危险漏洞

日期: 2022-07-25
标签: 信息技术, 思科（Cisco）, 漏洞修补, 

Cisco Nexus 仪表板中的严重漏洞为攻击者提供了以 root 身份执行任意命令、上传容器映像文件或执行跨站点请求伪造 （CSRF） 攻击的可行途径。通过内部测试发现，三个未经身份验证的错误： 一个关键，两个高严重性，已经在数据中心管理平台的最新软件更新中进行了修补。最严重的问题（CVSS 关键分数为 9.8）可能允许攻击者访问在数据网络中运行的易受攻击的 API并执行任意命令 （CVE-2022-20857）。漏洞（CVE-2022-20861）可以通过“说服基于Web的管理界面的经过身份验证的管理员单击恶意链接”来利用。漏洞（CVE-2022-20858）暴露了在数据和管理网络中管理容器映像的服务。

详情

1000多家组织受到FileWave MDM漏洞的远程攻击

日期: 2022-07-25
标签: 信息技术, FileWave, 漏洞利用, 

根据工业网络安全公司Claroty的说法，来自FileWave的移动设备管理（MDM）产品的漏洞使许多组织面临远程攻击。Claroty研究人员最近发现FileWave MDM产品受到两个关键安全漏洞的影响：身份验证绕过问题（CVE-2022-34907）和硬编码加密密钥（CVE-2022-34906）。供应商迅速修补了这些缺陷。身份验证绕过漏洞可能允许远程攻击者实现“super_user”访问并完全控制连接到 Internet 的 MDM 实例。从那里，攻击者可以破解使用FileWave产品管理的所有设备，包括窃取敏感信息和传递恶意软件。研究人员确定了1100多个易受攻击的MDM服务器的互联网暴露实例，包括公司，教育机构，政府机构和中小企业安装的实例。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   安全分析

Charming Kitten 的新工具和 OPSEC 错误分析

日期: 2022-07-31
标签: 伊朗, 信息技术, 交通运输, Cobalt Illusion（APT35Charming KittenNewscasterPhosus）, OPSEC错误, 

Yellow Garuda（也称Charming Kitten、PHOSPHORUS、UNC788）是可能至少从 2012 年开始活跃的威胁行为者。它可能是过去十年中最活跃、最持久的伊朗威胁行为者之一，主要以欺骗合法网络邮件服务的登录页面以从其目标收集凭据。威胁行为者也有操作安全 (OPSEC) 错误的历史，导致其工具、技术和程序 (TTP) 被泄露，包括将 Android 恶意软件添加到其扩展工具集中。2021 年末与 Yellow Garuda 操作相关的 OPSEC 错误导致发现了用于枚举目标 Telegram 帐户数据的新工具。还发现了一个与早期基于伊朗的行动有关的别名，以及一份可能由黄鹰航空运营商撰写的监视报告。此外，普华永道分析师观察到威胁行为者最近在 2022 年 3 月使用启用宏的模板文件，这是一种以前与 Yellow Garuda 无关的新 TTP。

详情

新瓶装老酒--近期APT32（海莲花）组织攻击活动样本分析

日期: 2022-07-25
标签: 信息技术, APT34（OilRig、COBALT GYPSY、IRN2、HELIX KITTEN）, APT舆情, 

近日知道创宇APT威胁情报团队捕获了海莲花组织最新的一次攻击活动，此次捕获的木马有如下3个新的特征是在之前的攻击活动中未发现的：

• 使用Nim语言编写的开源loader NimPacket。

• 未使用原始的NimPacket的有bug的获取进程方法，通过自定义的createprocess方法来获取进程，说明该组织对nimpacket进行了研究并非简单的使用。

• NimPacket loader中默认加入Shellycoat，用于unhook安全软AV/NGAV/EDR/Sandboxes/DLP等，以此做到免杀。

详情

0x08   其他事件

澳大利亚指控家暴施暴者使用监控软件

日期: 2022-07-30
标签: 澳大利亚, 信息技术, Imminent Monitor, 监视, 

2022年7月30日，澳大利亚联邦警察 (AFP) 宣布，他们指控一名 24 岁的澳大利亚男子开发和销售即时监视器 (IM5) 软件 Imminent Monitor。这是一种远程访问木马，用于远程监视受害者的设备。远程访问木马是一种允许完全远程访问受感染设备的恶意软件，包括执行命令、记录击键、窃取文件和数据、安装附加软件、截取屏幕截图，甚至从设备的网络摄像头录制视频的能力。这些类型的恶意软件在黑客中非常流行，因为其价格低廉并且可以不受限制地访问受感染的设备。然而，它们也很受家暴施暴者的欢迎，他们利用它们来监视受害者。截止调查结束，该男子将Imminent Monitor卖给了 128 个国家的 14,500 多人。

详情

美国政府警告美国公民短信网络钓鱼攻击上升

日期: 2022-07-30
标签: 美国, 政府部门, 信息技术, 网络钓鱼, 

2022年7月30日，美国联邦通信委员会 (FCC) 警告美国公民，称旨在窃取个人信息和金钱的 SMS（短消息服务）网络钓鱼攻击有所增加。此类攻击也称为 smishing 或 robotsexts，其背后的黑客可能会利用各种诱惑来欺骗用户，从而披露敏感信息。美国通信监管机构的 Robocall 响应小组表示：“近年来，关于不需要的短信的投诉稳步上升，从 2019 年的约 5,700 件、2020 年的 14,000 件、2021 年的 15,300 件到 2022 年 6 月 30 日的 8,500 件。”此外，一些独立报告估计每月有数十亿条机器人文本。建议用户不要回复来自未知号码或任何其他可疑的短信、切勿通过文本分享敏感的个人或财务信息、留意源自电子邮件地址的拼写错误或文本。

详情

911 代理服务在披露违规行为后崩溃

日期: 2022-07-29
标签: 信息技术, 911[.]re, 911代理服务, 

911[.]re 是一项代理服务，自 2015 年以来每天出售数十万台Microsoft Windows计算机的访问权限。7月底，由于数据泄露破坏了其业务运营的关键组件，该服务将关闭。突然关闭是在 KrebsOnSecurity 发布了对 911 及其与按安装付费的可疑附属程序的深入研究之后的十天，这些程序秘密地将 911 的代理软件与其他标题捆绑在一起，包括“免费”实用程序和盗版软件。911[.]重新是是最初的“住宅代理”网络之一，它允许某人租用住宅 IP 地址作为他/她的 Internet 通信的中继，提供匿名性和被视为住宅用户在网上冲浪的优势。在事后的几个小时内，911 在其网站顶部发布了一条通知，称：“我们正在审查我们的网络并添加一系列安全措施，以防止滥用我们的服务。代理余额充值和新用户注册已关闭。我们正在审查每一位现有用户，以确保他们的使用是合法的，并且符合我们的服务条款。”

详情

法国结束针对 Facebook 的“Cookies”案

日期: 2022-07-28
标签: 美国, 法国, 信息技术, Meta（原Facebook）, 用户隐私, 

2022年7月28日，在确定Facebook改变了收集用户数据的方式以遵守法律后，法国隐私监管机构结束了针对 Facebook 的案件。2021年12 月，法国监管机构 CNIL 裁定 Facebook 未能允许用户轻松选择退出 cookie，即跟踪在线浏览的微小数据文件，Facebook 被罚款 6000 万欧元（6100 万美元） 。2022年7月28日，监管机构宣布“该公司已遵守发布的禁令”，安装了一个标有“只允许基本 cookie”的按钮。但CNIL进一步表示，这一程序的结束并不排除对 Facebook 的进一步审查，特别是要求向用户提供有关数据收集的“清晰和完整”信息的要求。因此，CNIL 保留在未来检查 facebook.com 网站是否符合这些其他要求的权利，并在必要时采取执法行动。

详情

美国司法部调查美国联邦法院数据泄露事件

日期: 2022-07-28
标签: 美国, 中国, 俄罗斯, 伊朗, 朝鲜, 政府部门, 信息技术, 美国司法部（DoJ）, 

2022年7月28日，美国司法部最高国家安全律师告诉立法者，正在调查涉及联邦法院记录管理系统的网络泄露事件。美国法院行政办公室于 2021 年 1 月表示，在其电子案件管理和归档系统明显受损后，它正在增加新的安全程序以保护机密或密封记录。美国联邦司法机构也一直在努力对其电子案件管理和归档系统以及用于访问记录的相关在线门户网站 PACER 进行现代化改造。。美国司法部国家安全司司长马特·奥尔森（Matt Olsen）在向美国众议院司法委员会通报对“危害公共司法记录的努力”的调查时，暗示了外国网络攻击的威胁。Matt Olsen没有评论谁是这次攻击的幕后黑手，但他指出，他的部门主要关注中国、俄罗斯、伊朗和朝鲜等外国网络攻击的风险。

详情

白宫高级网络官员表示，国会应推动数字安全授权

日期: 2022-07-28
标签: 美国, 政府部门, 网络安全立法, 

2022年7月28日，一位白宫高级官员表示，国会可以采取更多措施为关键基础设施部门制定基本的网络安全标准，以更好地保护它们免受数字威胁。“我们在为基础设施的关键要素制定网络安全要求方面落后于其他国家，其中最重要的——水、电力、管道、该国的医院，以及跨越所有这些要素的技术，”国家安全部副部长 Anne Neuberger表示。美国众议院版本的年度国防政策法案包括将“具有系统重要性的实体”指定给拥有 16 类美国关键基础设施的最重要组织的内容。新标准将要求运营商制定强大的数字安全标准，并与政府共享威胁情报，以换取联邦政府的支持。

详情

CISA与乌克兰签署协议，扩大网络安全合作

日期: 2022-07-28
标签: 乌克兰, 美国, 政府部门, 美国网络安全和基础设施安全局 (CISA), 俄乌战争, 

2022年7月27日，网络安全和基础设施安全局（CISA）与乌克兰的同行签署了一项协议，以加强在共同网络安全优先事项方面的合作。乌克兰网络安全官员正式访问美国与联邦调查局局长克里斯·雷（Chris Wray）和其他美国高级官员进行一系列会议后，СISA发布了该协议。这些会议和备忘录标志着乌克兰与美国之间的关系不断加深，因为两国在与乌克兰的持续战争中越来越多地面临来自俄罗斯的网络威胁。该备忘录概述了新的优先事项，包括分享网络事件响应最佳实践和关键基础设施安全保护数据，以及开展网络安全培训和联合演习。7月28日，乌克兰还与斯洛文尼亚签署了一份网络安全备忘录。其目标是交流与网络安全相关的政策制定，立法，司法，教育和科学实践。

详情

美国众议院主席表示将严厉打击间谍软件

日期: 2022-07-27
标签: 美国, 政府部门, 美国众议院情报委员会, 间谍软件, 间谍活动, 信息窃取, 

2022年7月27日，美国众议院情报委员会主席亚当·希夫 (Adam Schiff)表示，他将更加严厉地打击间谍软件，并称间谍技术对国家安全和个人隐私造成了巨大威胁。Adam Schiff表示，美国必须采取更多措施来应对强大的间谍工具市场，这些工具在公开市场上销售，本质上是作为端到端服务提供复杂的情报。间谍软件对国家安全构成严重威胁，并且该技术的扩散程度可能比人们意识到的要大得多。美国必须考虑全面禁止联邦采购商业间谍软件技术，并考虑实施进一步制裁，以限制间谍软件供应商在美国运营和接受美国投资的能力。

详情

7大工业国集团准备制定俄罗斯石油出口价格上限

日期: 2022-07-27
标签: 中国, 美国, 能源业, 俄乌战争, 涉我舆情, 

7大工业国集团（G7）高层官员7月27日表示，7大富裕经济体力求最迟在12月5日备妥机制，为俄罗斯出口石油制定价格上限，届时欧盟禁止以海路进口俄国原油的制裁措施将生效。7国集团希望俄国原油价格由买方制定，使价格高于俄国生产成本，以激励俄方继续产油，但必须远低于目前的市场高价。如此一来，俄国将面临困难抉择，那就是接受较低但仍可赚取的石油收益，否则在欧盟禁运令12月生效后，将几乎毫无收益可得。 7国集团上月表示，考虑对俄国原油制定价格上限，以限制俄国可投入乌克兰战事的石油收益。此后7国集团便设法争取中国和印度加入，中、印目前是以折扣价向俄罗斯购油。

详情

新型钓鱼活动“Robin Banks”针对美国银行、花旗和富国银行

日期: 2022-07-27
标签: 美国, 澳大利亚, 日本, 金融业, 花旗银行, 美国银行, 富国银行, PNC, 澳大利亚联邦银行, 劳埃德银行, 桑坦德银行, 微软（Microsoft）, Netflix, T-Mobile, Robin Banks, 网络钓鱼, 社会工程, 网络钓鱼即服务 (PhaaS), 黑产产业链, 

据IronNet的一份报告称，一个名为“Robin Banks”的新型网络钓鱼即服务 (PhaaS) 平台已经推出，针对知名银行和在线服务的客户提供现成的网络钓鱼工具包。攻击目标实体包括花旗银行、美国银行、第一资本、富国银行、PNC、美国银行、劳埃德银行、澳大利亚联邦银行和桑坦德银行。此外，Robin Banks 还提供模板来窃取 Microsoft、Google、Netflix 和 T-Mobile 帐户。自2022年6月起，Robin Banks 就已经被部署在大规模钓鱼活动中，通过短信和电子邮件瞄准受害者。类似Robin Banks这样的高质量 PhaaS 平台的出现对互联网用户十分不利，因为它帮助了许多低技能网络犯罪分子进行网络钓鱼。建议用户切勿单击通过短信或电子邮件发送的链接，始终确认登陆的网站是官方网站，并且在所有帐户上启用 2FA ，使用私人电话号码接收一次性密码。

详情

美国提供1000万美元作为提供朝鲜黑客信息的奖励

日期: 2022-07-27
标签: 美国, 朝鲜, 政府部门, 信息技术, APT舆情, 

美国国务院宣布，它将提供高达1000万美元，作为对与臭名昭着的朝鲜国家支持的黑客组织有关的个人信息的奖励。美国政府表示，它对黑客的信息感兴趣，这些黑客是高级持续威胁（APT）参与者的一部分，称为Lazarus Group，Bluenoroff，Andariel，APT38，Guardians of Peace和Kimsuky。国务院宣布：“如果您有与朝鲜政府相关的恶意网络组织（如Andariel，APT38，Bluenoroff，Guardians of Peace，Kimsuky或Lazarus Group）相关的任何个人的信息，并且参与违反”计算机欺诈和滥用法“针对美国关键基础设施，您可能有资格获得奖励。”

详情

恶意IIS扩展-针对服务器的持久后门

日期: 2022-07-27
标签: 美国, 信息技术, 微软（Microsoft）, 

微软发现有越来越多的攻击者利用IIS扩展作为服务器后门，微软对此进行了详细的技术分析以及给出了如何识别和防御的策略。在目标应用程序中注册后，后门可以监视传入和传出的请求，并执行其他任务，例如在用户对web应用程序进行身份验证时在后台运行远程命令或转储凭据。

详情

黑客从区块链音乐平台Audius窃取600万美元

日期: 2022-07-27
标签: 美国, 信息技术, 金融业, 文化传播, Audius, 区块链安全, 

去中心化音乐平台 Audius 在2022年07月23日遭到黑客攻击，攻击者窃取了超过 1800 万个 AUDIO 代币，价值约 600 万美元。

详情

朝鲜唱和俄罗斯：指控美国在乌克兰研发生物武器

日期: 2022-07-25
标签: 俄罗斯, 美国, 乌克兰, 朝鲜, 科研服务, 俄乌战争, 

朝鲜官方的中央通信社（KCNA）7月25日称，俄国已经侦查到，美国无视国际公约，在包括乌克兰在内的数十个国家和地区设立了许多的生物实验室。此前，朝鲜2月直指美国政策是乌克兰危机的根源，7 月朝鲜承认乌克兰东部两个亲俄分离区是独立国家。俄罗斯3月指控美国在乌克兰研制生物武器，当时遭到联合国的驳斥。朝鲜再度就此说法指控美国。朝鲜支持俄国的说法，指控美国在乌克兰研制生物武器。

详情

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x0a   时间线

2022-08-01 360CERT发布安全事件周报