报告编号：B6-2022-082201

报告来源：360CERT

报告作者：360CERT

更新日期：2022-08-23

0x01   事件导览

本周收录安全热点54项，话题集中在安全漏洞、网络攻击方面，涉及的组织有：BlackByte、Lazarus、LockBit、MURENSHARK等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

在 Google Play 中再次发现35款Android 恶意软件应用

日期: 2022-08-18
标签: 美国, 信息技术, 谷歌（Google）, 移动安全, 供应链安全, Android, 

2022年8月18日，Bitdefender 的安全研究人员在 Google Play 商店中发现了35个包含恶意软件 Android 应用程序，这些应用程序的下载量从 1 万到 10 万不等，总下载量超过 200 万次。这些应用程序会遵循标准策略，通过提供一些伪造的特殊功能来诱使用户进行安装，但在安装后会立即更改其名称和图标，使其难以被找到和卸载。自此，恶意应用程序开始通过滥用 WebView 向用户提供侵入性广告，为其运营商带来广告收入。这些应用程序包含Walls light 、Big Emoji 、Grand Wallpapers、Engine Wallpapers和Stock Wallpapers等。建议用户做好自查与防范。

详情

用于传递恶意软件的规避DarkTortilla Crypter

日期: 2022-08-18
标签: 信息技术, DarkTortilla, 

一个.基于NET的规避密码器DarkTortilla已被威胁行为者用于分发广泛的商品恶意软件以及Cobalt Strike和Metasploit等目标有效载荷。它还可以提供'附加包'，例如额外的恶意有效载荷，良性诱饵文档和可执行文件。它具有强大的抗分析和防篡改控制功能，使检测、分析和根除具有挑战性。加密器提供的恶意软件包括信息牛排和远程访问木马（RAT），例如Agent Tesla，AsyncRat，NanoCore和RedLine Stealer。DarkTortilla的交付是通过恶意垃圾邮件进行的，这些垃圾邮件包含带有初始加载器可执行文件的存档，该可执行文件用于解码和启动嵌入在其内部或从文本存储站点（如Pastebin）获取的核心处理器模块。

详情

BlackByte勒索软件团伙以新的勒索策略回归

日期: 2022-08-17
标签: 信息技术, 勒索软件, 

BlackByte勒索软件的操作版本为2.0，包括一个新的数据泄漏站点，利用从LockBit借来的新勒索技术。在短暂消失后，勒索软件行动现在正在黑客论坛上推广一个新的数据泄露网站，并通过威胁行为者控制的Twitter帐户。威胁行为者正在将他们的操作称为BlackByte版本2.0的新迭代，虽然目前尚不清楚勒索软件加密器是否也发生了变化，但该团伙已经推出了一个全新的Tor数据泄漏站点。数据泄露网站目前只包括一名受害者，但现在有新的勒索策略，允许受害者付费将其数据的发布时间延长24小时（5，000美元），下载数据（200，000美元）或销毁所有数据（300，000美元）。这些价格可能会根据受害者的规模/收入而变化。

详情

恶意PyPi软件包将Discord变成密码窃取恶意软件

日期: 2022-08-17
标签: 信息技术, Main.exe, Discord, 

已经发现了十几个恶意PyPi软件包，安装恶意软件，该恶意软件修改Discord客户端成为信息密封后门，并从Web浏览器和Roblox窃取数据。这十二个软件包于2022年8月1日由一位名为“scarycoder”的用户上传到Python软件包索引（PyPI），并由Snyk的研究人员发现。与常见的拼写错误抢注方法相反，这些软件包使用自己的名称并承诺各种功能，以向感兴趣的开发人员推广自己。8月 17日， ，卡巴斯基发布了一份报告，其中介绍了另外两个包含信息窃取恶意软件的PyPi软件包，并且还修改了Discord客户端。这些软件包中的窃取者专注于从加密货币钱包，Steam和Minecraft收集帐户凭据，而注入的脚本则监视电子邮件地址，密码和账单信息等输入。

详情

恶意软件开发者已经绕过 Android 13 的新安全功能

日期: 2022-08-17
标签: 信息技术, 谷歌（Google）, BugDrop, Android, 移动安全, 

2022年8月17日，Threat Fabric 的分析师表示，恶意软件作者已经在开发 Android 恶意软件投放器，以绕过谷歌在新发布的 Android 13 中引入的新的“受限设置”安全功能，并提供在用户设备上享有高特权的有效载荷。该恶意软件被命名为 “BugDrop”，仍在开发中。基于会话的安装用于在 Android 设备上执行恶意软件的 多阶段安装 ，方法是将包 (APK) 拆分为更小的部分，并为它们提供相同的名称、版本代码和签名证书。这样一来，Android 不会将有效负载安装视为旁加载 APK，因此 Android 13 的辅助功能服务限制将不适用。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

超过 1900 个Signal用户数据被暴露

日期: 2022-08-16
标签: 信息技术, 

参与最新Twilio数据泄露的攻击者可能已经获取了1，900个Signal用户的电话号码和短信注册码。在1，900个电话号码中，攻击者明确搜索了三个号码，他们的帐户被重新注册。Twilio为Signal提供电话号码验证服务（通过SMS）。本月早些时候，Twilio的几名员工被欺骗接收似乎来自公司IT部门的短信。攻击者可以访问与125个Twilio客户帐户有关的信息，包括Signal的帐户。Signal 正在通过 SMS 立即联系此漏洞的潜在受影响用户。该企业已在这 1，900 名用户现在正在使用的所有设备上取消注册 Signal（或者攻击者已为其注册），并要求他们在首选设备上使用电话号码重新注册 Signal。

详情

医疗保健提供商Novant发出数据泄露警告

日期: 2022-08-15
标签: 美国, 卫生行业, Novant Health, Meta（原Facebook）, 数据泄露, 

美国医疗保健提供商Novant Health警告患者，由于Facebook背后的公司对在线跟踪工具的错误配置，可能会发生数据泄露。Novant在北卡罗来纳州经营着50多家医疗机构，该公司表示，它在其网站上放置了一段JavaScript代码，作为冠状病毒大流行早期阶段促销活动的一部分。该代码是针对Meta Pixel的，Meta Pixel是一种数字跟踪工具，可供组织使用，以帮助他们衡量Facebook营销活动的成功。然而，该公司表示，有问题的跟踪像素“配置不正确，可能允许某些私人信息从Novant Health网站和患者门户传输到Meta”。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

新型木马攻击西班牙各行业

日期: 2022-08-21
标签: 西班牙, 墨西哥, 制造业, 交通运输, 建筑业, Grandoreiro, 网络钓鱼, 

2022年8月21日，安全团队Zscaler发布报告称，发现一场针对墨西哥和西班牙的网络钓鱼活动，该活动旨在传播 Grandoreiro 银行木马。在这次活动中，黑客冒充墨西哥城总检察长办公室和公共部的政府官员，以鱼叉式网络钓鱼电子邮件的形式引诱受害者下载并执行木马Grandoreiro。Grandoreiro 是一个模块化后门，具有大量功能，使其能够记录击键、执行任意命令、模拟鼠标和键盘移动、限制对特定网站的访问、自动更新以及通过 Windows 注册表更改建立持久性。Grandoreiro自 2016 年以来一直很活跃，并且专门针对拉丁美洲的用户。此次钓鱼活动始于 2022 年 6 月，据研究人员观察发现，黑客通过多个感染链针对墨西哥的汽车、民用和工业建筑、物流和机械行业以及西班牙的化学品制造业。

详情

TA558攻击酒店和旅游公司

日期: 2022-08-21
标签: 居民服务, 交通运输, TA558, Xtreme RAT, AsyncRAT, Loda, BluStealer, Revenge RAT, 网络钓鱼, 

2022年8月21日，Proofpoint的研究人员发现，一个被追踪为 TA558 的黑客组织在2022年较为活跃，并针对酒店和旅游领域的多家酒店和公司开展了网络钓鱼活动，这可能与近两年疫情过后旅游业的复苏有关。TA558在钓鱼活动中使用了 15 个不同的恶意软件，通常是远程访问木马 (RAT)，来访问目标系统、执行监视。在使用 RAT 恶意软件入侵酒店系统后，TA558 深入网络以窃取客户数据、存储信用卡详细信息，并修改面向客户的网站以转移预订付款。研究人员称，TA558 的其他赚钱方式是出售或使用被盗的信用卡详细信息、出售客户 PII、敲诈高利益个人，或将受感染酒店网络的访问权出售给勒索软件团伙。

详情

黑客利用0day漏洞从比特币 ATM 中窃取加密货币

日期: 2022-08-20
标签: 加拿大, 金融业, General Bytes, 漏洞利用, 加密货币, 

2022年8月20日，研究人员发现黑客利用 General Bytes 比特币 ATM 服务器中的0day漏洞从客户那里窃取加密货币。当客户通过 ATM 存入或购买加密货币时，资金将被黑客窃取。比特币ATM的制造商是General Bytes ，且由远程加密应用服务器 (CAS) 控制。根据2022年8月18日发布的 General Bytes 安全公告，攻击是利用该公司加密应用服务器 (CAS) 中的零日漏洞进行的。攻击者能够通过 CAS 管理界面通过页面上的 URL 调用远程创建管理员用户，该页面用于服务器上的默认安装并创建第一个管理用户。此漏洞自 20201208 版本以来一直存在于 CAS 软件中。目前仍有 18 个通用字节加密应用服务器暴露在互联网上，其中大部分位于加拿大。目前尚不清楚有多少服务器被此漏洞破坏，以及有多少加密货币被盗。

详情

Lazarus攻击苹果的M1芯片，通过虚假的工作机会吸引受害者

日期: 2022-08-20
标签: 朝鲜, 信息技术, Apple, Lazarus, APT舆情, 

与朝鲜相关的高级持续性威胁（APT）Lazarus正在通过当前的In（ter）标题活动来增加其攻击基础，该活动针对的是带有Apple M1芯片的Mac。国家赞助的组织继续以虚假工作机会的伪装发动网络钓鱼攻击。ESET（端点检测提供商）的威胁专家提醒说，他们发现了一个Mac可执行文件，伪装成着名加密货币交易所运营商Coinbase的工程经理职位的工作细节。ESET在推特上的警告说，Lazarus将虚假的工作机会发布到巴西的Virus total。Lazarus对恶意软件进行了最新的重建，Interception.dll，通过加载三个文件在Mac上部署 - FinderFontsUpdater.app 和safarifontsagent，伪造的Coinbase工作机会和两个可执行文件。二进制文件可以利用装有英特尔处理器和Apple新M1芯片组的Mac。

详情

俄罗斯APT29黑客滥用Azure服务来破解Microsoft 365账户

日期: 2022-08-19
标签: 俄罗斯, 政府部门, 信息技术, 微软（Microsoft）, APT29, Microsoft 365, 

国家支持的俄罗斯网络间谍组织Cozy Bear在2022年特别多产，针对北约国家的Microsoft 365帐户，并试图访问外交政策信息。Microsoft 365 是一个基于云的生产力套件，主要由企业和企业实体使用，可促进协作、通信、数据存储、电子邮件、办公等。Mandiant一直在跟踪Cozy Bear（又名APT29和Nobelium）的活动，他报告说，俄罗斯黑客一直在间谍活动中大力针对Microsoft 365帐户。在8月19日发布的一份报告中，Mandiant强调了APT29的一些高级战术和一些最新的TTP（战术，技术和程序）。其使用更高级别的 E5 许可证的 Microsoft 365 用户可享受名为“权限审核”（以前称为“高级审核”）的安全功能。启用后，每次独立于程序（Outlook、浏览器、图形 API）访问电子邮件时，此功能都会记录用户代理、IP 地址、时间戳和用户名。

详情

爱沙尼亚击退了自2007年以来最大的网络攻击

日期: 2022-08-19
标签: 爱沙尼亚, 俄罗斯, 政府部门, 俄乌战争, 

爱沙尼亚政府透露，在激怒莫斯科之后，该国处于15年来“最广泛”的DDoS攻击的接收端。据报道，前苏联国家本周从塔林广场拆除了一座红军纪念碑，而东部城市纳尔瓦的一辆苏联时代的坦克被拆除。政府已承诺在俄罗斯入侵乌克兰后的年底前拆除数百个此类古迹。作为回应，亲俄网络犯罪组织Killnet据报道声称对公共和私营部门组织的网站发起一系列DDoS攻击负责。爱沙尼亚政府首席信息官Luukas Ilves在Twitter上驳斥了该组织声称有200多个网站被搁置的说法。这些攻击是无效的。E-Estonia已经启动并运行。服务没有中断。除了一些短暂和次要的例外，网站全天保持完全可用。

详情

伊朗APT组织UNC3890攻击以色列航运、医疗保健、政府和能源部门

日期: 2022-08-18
标签: 金融业, 政府部门, 交通运输, 能源业, 卫生行业, UNC3890, APT舆情, 

在过去的一年里，Mandiant一直在跟踪UNC3890，这是一系列针对以色列航运、政府、能源和医疗保健组织的活动。鉴于对航运的强烈关注以及伊朗与以色列之间持续的海上冲突，Mandiant以适度的信心评估该组织与伊朗有关。该组织专注于情报收集，但收集的数据可能被用来支持各种活动。这篇报告详细介绍了UNC3890的活动，包括其专有恶意软件、以前伊朗组织从未使用过的TTP，以及在调查中发现的公开可用的工具。

详情

Kasablanka（卡萨布兰卡）组织针对中东地区政治团体和公益组织的攻击行动

日期: 2022-08-18
标签: 政府部门, Kasablanka, APT舆情, 

近期，360高级威胁研究院在日常情报挖掘中发现并捕获到了Kasablanka组织针对Windows和Android两个平台的攻击活动。Windows端利用军事经济热点事件伪装成PDF文档并使用LodaRAT发起攻击。Android端则利用钓鱼网站等针对也门政治团体或公益组织进行攻击，并且攻击工具开始使用SpyNote家族。通过对攻击活动的分析，推测该组织不简简单单是为了获取经济利益，其动机似乎更倾向于信息收集和间谍活动。

详情

勒索团伙 LockBit 攻击安全公司Entrust

日期: 2022-08-18
标签: 信息技术, Entrust, 勒索攻击, 

2022年8月18日，LockBit 勒索软件团伙声称对 6 月份针对数字安全巨头 Entrust 的网络攻击负责。2022年6月，BleepingComputer 曾爆料Entrust 在 2022 年 6 月 18 日遭受勒索软件攻击。虽然 Entrust 证实他们遭受了网络攻击并且数据是从内部系统被盗的，但没有承认这是一次勒索软件攻击。2022年8月18日，LockBit 在他们的网站上为 Entrust 创建了一个专门的数据泄露页面，并表示他们将在2022年8月18日晚公布所有被盗数据。这表明 Entrust 尚未与勒索软件操作进行谈判或拒绝了勒索要求。

详情

爱沙尼亚阻止俄罗斯黑客组织Killnet的网络攻击

日期: 2022-08-18
标签: 爱沙尼亚, 政府部门, 信息技术, 交通运输, Killnet, 俄乌战争, 

2022年8月18日，爱沙尼亚数字化转型的副部长 Luukas Ilves表示，已经挫败了俄罗斯黑客组织Killnet针对爱沙尼亚公共和私人机构的网络攻击。2022年8月16日，爱沙尼亚遭受了自 2007 年以来最广泛的网络攻击，尝试的 DDoS 攻击同时针对公共机构和私营部门，包括警察、政府和一家物流公司的网站。俄罗斯黑客组织 Killnet 声称对此负责，称其采取行动是为了报复波罗的海国家本周拆除苏联时代的二战纪念碑。但Luukas Ilves表示：“攻击无效。E-Estonia 已经启动并运行。服务没有中断。”爱沙尼亚的相关部门和服务几乎没有受到干扰。

详情

谷歌阻止了迄今为止最大的HTTPS DDoS攻击

日期: 2022-08-18
标签: 美国, 信息技术, 谷歌（Google）, DDoS, 

自2021年开始，破纪录的大规模 DDoS 攻击时代就开始了，一些僵尸网络利用少量强大的设备攻击各种目标。2022年6月，Google Cloud Armor 客户遭受了基于 HTTPS 协议的分布式拒绝服务 (DDoS) 攻击，该攻击达到了每秒 4600 万次请求 (RPS)，这是有记录以来同类攻击中规模最大的一次。在短短两分钟内，攻击从 100,000 RPS 升级到创纪录的 4600 万 RPS，比之前的记录（Cloudflare 在 6 月份缓解了 2600 万 RPS 的 HTTPS DDoS ）高出近 80%  。攻击于太平洋时间 6 月 1 日上午 09:45 开始，整整持续了69分钟。Google表示高峰期攻击的规模相当于在 10 秒内将所有日常请求都发送到维基百科。攻击背后的恶意软件尚未确定，但使用的服务的地理分布指向一个 Mēris。Mēris是一个负责 DDoS 攻击的僵尸网络，峰值为 1720 万 RPS 和 2180 万 RPS，两者均创下当时的记录。攻击流量来自分布在 132 个国家/地区的 5,256 个 IP 地址，并利用了加密请求 (HTTPS)，这表明发送请求的设备具有相当强大的计算资源。

详情

加密货币收割机：Lazarus APT组织近期不断攻击加密货币行业

日期: 2022-08-17
标签: 金融业, Lazarus, APT舆情, 

从今年年初开始，安恒信息中央研究院猎影实验室频繁捕获到针对加密货币领域的相关攻击，经研究人员分析，这些攻击归属于Lazarus组织。该组织多年来一直持续的攻击加密货币与区块链相关领域，并且技术上不断进行迭代。而近日捕获的样本，其攻击手法有所变化，采用了MSI文件执行嵌入脚本的方式来执行其恶意载荷，并使用多种方法来逃避检测。

详情

Lazarus APT针对使用 macOS系统的用户

日期: 2022-08-16
标签: 朝鲜, 信息技术, Lazarus, Mac, 

朝鲜APT Lazarus正在通过网络间谍活动来应对其旧伎俩，该活动针对工程师，并发布了试图传播macOS恶意软件的虚假招聘信息。该活动中使用的恶意Mac可执行文件针对Apple和Intel芯片的系统。研究人员透露，该活动由ESET Research Labs的研究人员确定，并在8月16日发布的一系列推文中透露，在一份职位描述中冒充加密货币交易商Coinbase，声称要寻求产品安全的工程经理。研究人员表示，该恶意软件类似于ESET在五月份发现的样本，其中还包括伪装成职位描述的签名可执行文件，为苹果和英特尔编译，并删除了PDF诱饵。但是，根据其时间戳，最新的恶意软件已于7月21日签名，这意味着它要么是新恶意软件，要么是以前恶意软件的变体。

详情

乌克兰国家核电公司称被俄罗斯黑客攻击

日期: 2022-08-17
标签: 乌克兰, 俄罗斯, 能源业, Energoatom, 俄乌战争, 

2022年8月17日，乌克兰国家核电公司 Energoatom表示，俄罗斯黑客对该公司的官方网站发起了“前所未有的”网络攻击。声称拥有 8,200 多名志愿者成员的俄罗斯黑客组织“人民网络军”使用 725 万个机器人帐户向 Energoatom 的网站发起攻击，导致其网站上充斥着垃圾流量，无法访问。此次攻击持续了三个小时，但对公司的运营影响较小。Energoatom在一份声明中表示，它设法迅速重新控制了该网站并限制了攻击。这些攻击中的大多数没有持久的影响，但可以暂时扰乱企业及其客户，例如在遭受DDoS 攻击时用户无法购买火车票、订餐或在线观看电影等。

详情

伊朗黑客攻击多个以色列实体

日期: 2022-08-17
标签: 以色列, 伊朗, 政府部门, 能源业, 卫生行业, Meta（原Facebook）, Instagram, UNC3890, 

Mandiant 一直在分析 UNC3890，这是一群利用社会工程和水坑来针对以色列海事、政府、能源和医疗机构的黑客。Mandiant 以航运和当前伊朗与以色列之间的海上战争为重点，以低置信度将UNC3890归属于伊朗。尽管专家认为UNC3890主要对收集情报感兴趣，但这些数据用于协助一系列行动，从黑客和泄漏到启用动能战打击等。Mandiant  表示：“海运业或全球供应链极易受到破坏，尤其是在已经存在低级别冲突状态的国家。”此外，研究人员还发现了一个 UNC3890 服务器，其中包括被欺骗的 Facebook 和 Instagram 帐户数据，这些数据可能已被用于社会工程尝试。

详情

UAC-0010的攻击活动分析

日期: 2022-08-15
标签: 俄罗斯, 乌克兰, 政府部门, UAC-0010, 俄乌战争, 

乌克兰CERT-UA正在监控UAC-0010组织的攻击活动。在2022年上半年，该组织实施攻击的主要方法是通过电子邮件分发HTM dropper，释放GammaLoad.PS1到受害者的计算机，攻击者的目的之一是窃取文件。通常，利用计划任务、注册表以及环境变量来建立持久化和启动有效载荷。

详情

DoNot组织更新YTY框架

日期: 2022-08-15
标签: 信息技术, DoNot（APT-C-35）, 

DoNot是至少自2016年以来一直活跃的APT组织，针对南亚的个人和组织进行了许多攻击活动。Morphisec Labs跟踪了该组织的活动，现在专门详细介绍该组织Windows框架的最新更新。本篇报告简要讨论了DoNot组织的历史，并介绍了最新在野攻击变化。

详情

Cl0p勒索软件团伙入侵英国的关键基础设施

日期: 2022-08-15
标签: 英国, 能源业, 居民服务, 公共环保, 泰晤士河供水公司, 勒索, 关键基础设施, 

2022年8月15日，Cl0p勒索软件团伙入侵了英国的关键基础设施公司泰晤士河供水公司。泰晤士河供水公司负责伦敦、卢顿、泰晤士河流域、萨里等地的公共供水和废物管理。Cl0p勒索软件团伙声称自己不是政治组织，不会攻击关键基础设施或卫生组织。因此决定不对泰晤士河供水公司进行加密，但Cl0p勒索软件团伙表示可以访问更多 5TB 的数据，并且可以控制系统，每个系统包括 SCADA 和能控制水中化学物质的系统。

详情

阿根廷的科尔多瓦司法系统遭到勒索软件攻击

日期: 2022-08-15
标签: 阿根廷, 政府部门, 商务服务, 阿根廷科尔多瓦司法机构, 勒索, 

阿根廷科尔多瓦司法机构在遭受勒索软件攻击后关闭了其 IT 系统，据报道幕后黑手是“Play”勒索软件团伙。攻击发生在2022 年 8 月 13 日星期六，导致司法机构关闭 IT 系统及其在线门户，工作人员只能使用笔和纸来提交官方文件。2022年8月15日，阿根廷科尔多瓦司法机构证实它受到了勒索软件的攻击，并与微软、思科、趋势科技和当地专家合作调查此次攻击。这次攻击影响了司法机构的 IT 系统及其数据库，使其成为“历史上对公共机构最严重的攻击”。

详情

微软破坏俄罗斯黑客对北约目标的行动

日期: 2022-08-15
标签: 俄罗斯, 乌克兰, 信息技术, SEABORGIUM（ColdRiver，Proofpoint，TA446）, 俄乌战争, 

微软威胁情报中心（MSTIC）已经破坏了一项与俄罗斯有关的黑客和社会工程操作。SEABORGIUM，也被谷歌称为ColdRiver，Proofpoint称为TA446，主要针对北约国家，但在波罗的海，北欧和东欧地区（包括乌克兰）进行了活动。SEABORGIUM通过电子邮件，社交媒体和LinkedIn帐户创建在线角色，这些帐户用于针对目标个人和组织的社交工程活动。使用虚假角色，威胁行为者联系感兴趣的个人以发起对话并建立融洽关系，最终以发送网络钓鱼附件为首。微软表示，他们已经采取行动，通过禁用用于监视，网络钓鱼和电子邮件收集的帐户来破坏SEABORGIUM的活动。微软还共享了六十九个据信与威胁参与者的网络钓鱼活动相关的域，这些活动用于窃取微软，ProtonMail和Yandex帐户的凭据。

详情

俄罗斯黑客Gamaredon以乌克兰为目标

日期: 2022-08-15
标签: 俄罗斯, 乌克兰, 政府部门, 信息技术, Gamaredon, 俄乌战争, 

监控乌克兰网络攻击的威胁分析师报告说，臭名昭着的俄罗斯国家支持的黑客组织“Gamaredon”的行动继续严重针对这个饱受战争蹂躏的国家。Gamaredon（又名Armageddon或Shuckworm）是一群俄罗斯黑客，据信是俄罗斯联邦安全局FSB第18届信息安全中心的一部分。根据博通软件公司旗下赛门铁克8月15日发布的一份报告，Gamaredon的活动在战争的第六个月继续有增无减，最近的一波攻击浪潮跨越了2022年7月15日至8月8日。最新的感染媒介涉及携带自解压 7-Zip 存档的网络钓鱼邮件，该存档自 2022 年 5 月以来从与 Gamaredon 关联的“xsph.ru”子域中获取 XML 文件。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

Amazon Ring 应用程序中的漏洞允许访问私人摄像机录制

日期: 2022-08-18
标签: 居民服务, 摄像头, 

Android 版本的 Ring 应用程序中的一个漏洞用于远程管理 Amazon Ring 室外（可视门铃）和室内监控摄像头，攻击者可能利用该漏洞提取用户的个人数据和设备数据，包括地理位置、地址和记录。Checkmarx的研究人员发现了该漏洞，他们更进一步，并展示了攻击者如何在计算机视觉技术的帮助下分析大量记录，以提取其他敏感信息（例如，从计算机屏幕或纸质文档）和材料（例如，视频记录或儿童图像）中提取。该漏洞是在com.ringapp/com.ring.nh.deeplink.DeepLinkActivity

活动中发现的，该活动被隐式导出到Android Manifest中，因此可以由同一设备上的其他应用程序访问。这将允许他们泄露存储在云中的受害者的个人（姓名，电子邮件，电话号码）和Ring设备数据（地理位置，地址和记录）。

详情

苹果为macOS和iOS发布紧急补丁

日期: 2022-08-17
标签: 美国, 信息技术, Apple, 0day, macOS, iOS, 

2022年8月17日，苹果为其旗舰 macOS 和 iOS 平台中的两个已被利用的零日漏洞推出了紧急补丁，发布了macOS Monterey 12.5.1 和 iOS 15.6.1/iPadOS 15.6.1。这两个漏洞对于所有三个操作系统都是相同的，第一个0day漏洞被跟踪为 CVE-2022-32894。此漏洞是操作系统内核中的越界写入漏洞。应用程序可能能够以内核权限执行任意代码。该漏洞已通过改进边界检查得到解决。第二个0day漏洞是 CVE-2022-32893，是 WebKit（Safari 和其他可以访问 Web 的应用程序使用的 Web 浏览器引擎）中的越界写入漏洞。处理恶意制作的 Web 内容可能会导致任意代码执行。该漏洞已通过改进边界检查得到解决。建议用户尽快进行安全更新。

详情

CISA警告黑客利用Zimbra协作套件中的多个漏洞

日期: 2022-08-17
标签: 信息技术, 美国网络安全和基础设施安全局 (CISA), 

网络安全和基础设施安全局（CISA）发布了一项新的咨询警告，警告威胁行为者积极利用Zimbra协作套件（ZCS）中的五个不同漏洞。第一个发现的漏洞（跟踪的 CVE-2022-27924）是一个高严重性漏洞，使未经身份验证的威胁参与者能够将任意 memcache 命令注入 ZCS 实例并导致任意缓存条目的覆盖。文档中提到的第二个和第三个漏洞是链接的（分别为CVE-2022-27925和CVE-2022-37042），前者使经过身份验证的用户能够将任意文件上传到系统，后者是身份验证绕过漏洞。CISA报告中提到的其余Zimbra漏洞是CVE-2022-30333，Linux和UNIX上的RARLAB UnRAR中的高严重性目录遍历漏洞，以及CVE-2022-24682，一个影响ZCS webmail客户端的中等严重性漏洞。

详情

谷歌修复了今年利用的第五个Chrome零日漏洞

日期: 2022-08-17
标签: 信息技术, 谷歌（Google）, 漏洞修补, 

谷歌已经发布了Chrome浏览器的安全更新，该更新解决了近十几个漏洞，其中包括一个正在野外利用的零日漏洞。此安全更新目前正在 Windows、Mac 和 Linux 上推出。已打开自动更新的用户应在未来几天/几周内收到它。最新的一个被跟踪为CVE-2022-2856，由于“对 Intents中不受信任的输入验证不足”，它被描述为一个高严重性安全问题，该功能允许直接从网页启动应用程序和Web服务。目前被发现在野外利用。其他几个漏洞为：CVE-2022-2294；CVE-2022-1364 – 4 月 14 日；CVE-2022-1096；CVE-2022-0609。由于最新的Google Chrome更新修复了威胁行为者已经利用的漏洞，因此建议尽快切换到最新版本的浏览器。

详情

Realtek严重漏洞影响众多网络设备

日期: 2022-08-16
标签: 制造业, 信息技术, 华硕, 贝尔金, Buffalo, D-Link, Edimax, Realtek, 漏洞利用, CVE-2022-27255, 在野利用, 

2022年8月16日，研究人员发现了 Realtek 用于开源 eCos 操作系统的 SDK 中的严重漏洞的利用代码已在互联网公开。该漏洞被识别为 CVE-2022-27255，是一种基于堆栈的缓冲区溢出，其严重性评分为 9.8（满分 10）。远程攻击者可以利用它来破坏来自各种原始设备制造商 (OEM) 的易受攻击的设备，从路由器和接入点到信号中继器。研究人员指出，CVE-2022-27255 是一个零点击漏洞，不需要用户交互。利用此漏洞的攻击者只需要易受攻击设备的外部 IP 地址。目前尚不清楚有多少网络设备使用 RTL819x 芯片，但 RTL819xD 版本的 SoC 出现在 60 多家供应商的产品中，包括华硕、贝尔金、Buffalo、D-Link、Edimax、TRENDnet、合勤等。

详情

黑客可利用RTLS系统进行位置操纵

日期: 2022-08-16
标签: 信息技术, 制造业, 中间人（MITM）攻击, RTLS, 

2022年8月16日，安全研究人员发现了多个影响 UWB（超宽带）RTLS（实时定位系统）的漏洞，攻击者能够进行中间人攻击并操纵标签地理位置数据。RTLS 技术广泛用于工业环境、公共交通、医疗保健和智慧城市应用。它的主要作用是通过使用跟踪标签、信号接收锚和中央处理系统定义地理围栏区域来协助安全。篡改危险区域的限制或人们在这些环境中的位置可能会对公民的健康和安全产生巨大威胁。建议 RTLS 系统的管理员使用防火墙来限制访问，在网络中添加入侵检测系统，并使用带有数据包同步计数器值的 SSH 隧道进行数据加密。

详情

新邮件黑猩猩泄露了 DigitalOcean 客户电子邮件地址

日期: 2022-08-16
标签: 信息技术, DigitalOcean, 

DigitalOcean警告客户，最近的MailChimp的安全漏洞暴露了一些客户的电子邮件地址，少数客户收到了未经授权的密码重置。该公司表示，在MailChimp于8月8日毫无警告的情况下禁用其帐户后，他们首先得知了这一违规行为。DigitalOcean使用此MailChimp帐户向客户发送电子邮件确认，密码重置通知和警报。DigitalOcean表示，在同一天，一位客户通知他们的网络安全团队，他们的密码在未经授权的情况下被重置。经过调查，他们发现来自@arxxwalls.com 域的未经授权的电子邮件地址被添加到他们的MailChimp帐户中，并从8月7日开始用于电子邮件中。DigitalOcean认为他们的MailChimp帐户遭到破坏，他们说他们联系了该公司，但直到8月10日才收到回复，当时他们得知黑客已经获得了MailChimp内部支持工具的访问权限。

详情

DEFCON：针对电子桌面应用的电伏特漏洞暴露

日期: 2022-08-16
标签: 信息技术, Electron, 

Electron是一种广泛使用的开源技术，用于构建应用程序，使其成为一个特别有利可图的攻击目标。在拉斯维加斯举行的DEFCON 30安全会议上，安全研究员Aaditya Purani详细介绍了Electron应用程序中的一系列漏洞，称为Electrovt，他和他的团队在一年的研究过程中发现了这些漏洞。易受攻击的应用程序包括Microsoft Teams，VS Code，Discord，Mattermost，RocketChat，Notion和BaseCamp等。Purani解释说，近年来，基于Electron的应用程序变得越来越普遍。Electron使开发人员能够将Web应用程序封装到桌面应用程序中，该应用程序使用Chromium Web浏览器进行渲染。

详情

多个云供应商受到 PostgreSQL 漏洞的影响

日期: 2022-08-16
标签: 信息技术, PostgreSQL-as-a-Service, 

Wiz Research在各种云供应商的流行“PostgreSQL-as-a-Service”产品中发现了漏洞，这些产品是由云供应商自己引入的。安全部门在Microsoft Azure Database for PostgreSQL Flexible Server中发现了一系列关键漏洞。该漏洞名为#ExtraReplica，它允许对其他客户的PostgreSQL数据库进行未经授权的读取访问，绕过租户隔离。Wiz现在透露，类似的漏洞会影响Google Cloud Platform（GCP），尽管潜在影响不那么严重。PostgreSQL可以追溯到25年前，缺乏适合托管服务的权限模型，导致供应商添加自己的代码。在将Postgres转变为托管服务的过程中，云服务提供商希望为用户提供超级用户权限，而不会通过允许某些被认为危险的功能来冒险他们的服务。

详情

安全引导绕过漏洞影响过去十年制造的计算机

日期: 2022-08-15
标签: 信息技术, 制造业, 固件安全, 

2022年8月15日，固件安全公司 Eclypsium 称，过去 10 年制造的大多数计算机中的引导加载程序都受到安全引导绕过漏洞的影响。安全启动是一种旨在保护设备启动过程免受攻击的机制，绕过它可以让攻击者在操作系统加载之前执行任意代码。这对于安装隐蔽和持久的恶意软件很有用。Eclypsium 已在 Eurosoft (CVE-2022-34301) CVE-2022-34303、New Horizon Datasys (CVE-2022-34302) 和 CryptoPro Secure Disk for BitLocker (CVE-2022-34303) 引导加载程序中发现安全引导绕过漏洞。该公司表示，这些引导加载程序存在于过去十年制造的几乎所有设备中，包括 ARM 和 x86-64 设备。解决这种类型的漏洞通常较为麻烦。除了安装供应商提供的修补引导加载程序外，用户还需要更新他们的 DBX 数据库，其中包含与禁止代码相关的签名列表。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   安全分析

新APT组织穆伦鲨(MURENSHARK) 调查报告：袭向土耳其海军的鱼雷

日期: 2022-08-19
标签: 土耳其, 政府部门, 教育行业, 科研服务, MurenShark, APT舆情, 

2022年第二季度，绿盟科技伏影实验室监测到了一系列针对土耳其的网络攻击活动。基于该威胁实体的活动区域与近期攻击目标（土耳其海军项目“MÜREN”），伏影实验室将其正式命名为穆伦鲨（MurenShark），对应绿盟科技高级威胁组织标识为APT-N-04。已监测活动中，穆伦鲨的主要目标区域包括土耳其和北塞浦路斯地区，攻击范围覆盖高校、研究所和军队等领域的多个敏感目标，尤其对军工项目展现明显的兴趣，已经实施了成功的网络间谍活动。

详情

Trustwave发布了乌克兰战争中使用的“网络武器”（kek）概述

日期: 2022-08-18
标签: 俄罗斯, 乌克兰, 信息技术, APT29, APT28（Fancy Bear）, Sandworm, DRAGONFLY, Gamaredon, UNC2589, InvisiMole, 俄乌战争, 

Trustwave和其他安全研究人员的报告显示，俄罗斯网络攻击者一直保持着压力，发起了一系列攻击，显示恶意软件如何被用来对付乌克兰的组织，以摧毁或控制目标系统。在本文中，总结一些最突出的俄罗斯威胁行为者以及针对乌克兰的网络攻击中使用的恶意软件工具。包括：APT28；APT29；SANDWORM；DRAGONFLY；GAMAREDON；UNC2589；InvisiMole。根据所使用的恶意软件类型，可以根据攻击者的目标区分为2种攻击类型：

• 破坏性攻击旨在破坏数据并使目标系统无法运行。

• 间谍攻击旨在建立立足点并从目标系统泄露数据。攻击中使用的恶意软件通常为攻击者提供后门访问，包括网络摄像头和麦克风捕获，键盘记录以及下载和安装其他组件的可能性。从Web浏览器和其他软件中泄露的数据包括操作系统信息，文档，图片和存储的密码。

详情

南亚Patchwork APT组织新活动特点分析

日期: 2022-08-16
标签: 中国, 巴基斯坦, 教育行业, 政府部门, 科研服务, Patchwork APT, 涉我舆情, 

Patchwork是自 2015 年 12 月以来一直活跃的南亚APT组织。该组织长期针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。PatchWorkAPT是一个比较有意思的名字，源于该组织武器库是基于开源的代码拼凑而成(地下论坛、暗网、github等等)。近日，知道创宇APT威胁情报团队在追踪过程中发现该组织在近期针对国内的攻击活动应用了跟以往不同的攻击工具。

详情

0x08   其他事件

研究人员发现加密的 ZIP 文件可以有两个正确的密码

日期: 2022-08-21
标签: 信息技术, 压缩文件, 密码学, 

2022年8月21日，Positive Technologies 的网络安全研究员Arseniy Sharoglazov发布报告称，加密的 ZIP 文件可能有两个正确的密码，并且在提取 ZIP 时都产生相同的结果。在启用 AES-256 模式生成受密码保护的 ZIP 存档时 ，如果密码太长（指超过 64 个字节），ZIP 格式会使用PBKDF2算法并对用户提供的密码进行哈希处理。这个新计算的哈希值不是用户选择的密码（在本例中为“ Nev1r-G0nna-G2ve-...”），而是文件的实际密码。当用户尝试提取文件并输入超过 64 字节的密码（“ Nev1r-G0nna-G2ve-...  ”）时，用户的输入将再次被 ZIP 应用程序散列并与正确的密码进行比较密码（现在它本身就是一个哈希）。匹配将导致成功的文件提取。

详情

俄罗斯的“Oculus”使用AI扫描网站以获取被禁止的信息

日期: 2022-08-20
标签: 俄罗斯, 信息技术, 政府部门, AI, 

俄罗斯的互联网监管机构Roskomnadzor正在开发一种神经网络，该网络将使用人工智能来扫描网站上的违禁信息。称为“Oculus”的自动扫描仪将分析网站，论坛，社交媒体甚至聊天/信使渠道上的URL，图像，视频和聊天，以找到应该编辑或删除的材料。Oculus针对的信息的例子包括同性恋“宣传”，关于制造武器或毒品的说明，以及诋毁官方国家和军队消息来源的错误信息。该系统还将寻找大规模抗议的呼声，对国家的不尊重，甚至是极端主义和恐怖主义的“迹象”。Oculus的实时扫描能力将是每天200，000张图像，或每秒约2.3张图像，供应商Eksikyushn RDC LLC将使用48台具有强大GPU的服务器。Oculus将被整合到统一分析模块中，这是一个目前正在开发的监控系统网络，旨在让政府牢牢控制信息流。

详情

新型在线工具可检查移动应用网站是否存在隐私风险

日期: 2022-08-19
标签: 美国, 信息技术, 文化传播, Instagram, TikTok, Meta Platforms, Meta（原Facebook）, 数据隐私, 移动安全, 

2022年8月19日，开发人员 Felix Krause推出了一个名为“InAppBrowser”的新型在线工具，可让用户分析嵌入在移动应用程序中的应用程序内浏览器的行为，并确定它们是否将威胁隐私的 JavaScript 注入用户访问的网站。网页中注入的JavaScript跟踪器可以访问用户的浏览历史记录、记录行为特征、记录点击和按键、监控屏幕截图操作，甚至捕获用户在登录表单中输入的密码。研究人员还声称在 TikTok、Instagram、Facebook 和 Messenger 上发现了危险行为。目前，TikTok 承认了这些JavaScript代码存在，但强调它仅用于改善用户体验，而不是跟踪或侵犯用户的隐私。其他公司尚未出面回应。

详情

DoNot Team Hackers 更新了其恶意软件工具包，并改进了功能

日期: 2022-08-19
标签: 印度, 巴基斯坦, 斯里兰卡, 孟加拉国, 政府部门, 信息技术, APT舆情, 

Donot Team威胁行为者已经更新了其Jaca Windows恶意软件工具包，增加了功能，包括一个改进的窃取者模块，旨在从Google Chrome和Mozilla Firefox浏览器中掠夺信息。这些改进还包括一个新的感染链，该链将以前未记录的组件合并到模块化框架中，Morphisec研究人员Hido Cohen和Arnold Osipov在上周发表的一份报告中披露。Donot团队也被称为APT-C-35和总督老虎，至少自2016年以来，它以瞄准印度，巴基斯坦，斯里兰卡和孟加拉国等国的国防，外交，政府和军事实体而闻名。国际特赦组织于2021年10月公布的证据将该组织的攻击基础设施与一家名为Innefu Labs的印度网络安全公司联系起来。

详情

美国政府：越来越多的公司选择网络保险

日期: 2022-08-18
标签: 美国, 信息技术, 勒索, 网络保险, 

根据美国政府部门Accountability Office的数据，近年来企业购买网络保险的比例翻了一番，从 2016 年的 26% 增加到 2020 年的 47%。这种增长使保险公司的专家对网络安全趋势和最困扰企业的漏洞有了独特的洞察力——每当客户提出索赔时，他们都会在幕后查看攻击。远程桌面协议 (RDP) 威胁、勒索软件、商业广告、网络营销、Microsoft Exchange 和 Log4j 常常是攻击者利用的因素。2022 年，中小型企业遭受勒索软件事件的频率远高于大型企业。与年初相比，2021 年下半年对收入低于 2500 万美元的组织的勒索软件攻击增加了 40%，与企业电子邮件泄露相关的事件激增 54%。在这种情况下，选择网络保险的公司比以往任何时候都多。

详情

Fortinet：雨刮器的使用范围从乌克兰扩展到24个国家

日期: 2022-08-17
标签: 俄罗斯, 乌克兰, 信息技术, Fortinet, WhisperKill, HermeticWiper, WhisperGate, IsaacWiper, CaddyWiper, DoubleZero, 俄乌战争, 

根据网络安全巨头Fortinet 8月17日发布的研究，Wiper恶意软件的使用正越来越多地扩展到乌克兰冲突之外，新的变体以前所未有的速度出现。Wiper恶意软件已被支持俄罗斯入侵乌克兰的黑客组织大量使用。Recorded Future的Insikt Group已经跟踪了乌克兰使用的九种不同的雨刷器，包括WhisperKill，WhisperGate，HermeticWiper，IsaacWiper，CaddyWiper和DoubleZero。微软研究人员在四月份表示，他们已经观察到近40起针对乌克兰数百个系统的破坏性网络攻击。Fortinet安全研究员Gergely Révay告诉The Record，雨刷恶意软件越来越多地到达乌克兰以外的目标。虽然以前在乌克兰，日本和以色列已经看到过雨刷恶意软件的版本，但它直到最近才成为真正的全球现象。Révay表示，Fortinet今年上半年在24个国家/地区检测到Wiper恶意软件。

详情

巴西警方针对 Lapsus$ 集团展开调查

日期: 2022-08-16
标签: 巴西, 卫生行业, 政府部门, LAPSUS$, 

2022年8月16日，在调查了2021年12月Lapsus$组织声称对巴西卫生部的攻击事件后，巴西联邦警察发布公告称，对 Lapsus$执行了八项搜查和扣押令。警方没有在公告中具体点名 Lapsus$ Group。然而，描述的细节与 Lapsus$ Group 的攻击一致。公告中写到，调查将这些攻击与一个“跨国犯罪组织”联系起来，该组织专注于“针对巴西、美国、葡萄牙和哥伦比亚的公共和私营实体”的网络犯罪。 除了卫生部之外，攻击者还渗透了其他九个当地实体——包括经济部和国家电力局。

详情

恶意浏览器扩展攻击了近700万人

日期: 2022-08-16
标签: 信息技术, 浏览器扩展, 

2022年8月16日，安全公司卡巴斯基称，自 2020 年以来，近 700 万用户被误导尝试安装恶意浏览器扩展程序，其中 70% 的扩展程序用作广告软件，以向用户投放广告。2022 年上半年，用户尝试安装恶意扩展程序的次数超过 1,300,000 次，与2021年的数字相比有所增加。上半年恶意 Web 浏览器扩展携带的最常见有效载荷属于广告软件系列，用于窥探浏览活动并推广附属链接。建议用户仅从浏览器的官方网络商店下载扩展程序，仔细审查浏览器扩展的隐私政策和数据收集实践。

详情

电子战如何重塑俄罗斯和乌克兰之间的战争

日期: 2022-08-16
标签: 俄罗斯, 乌克兰, 信息技术, 政府部门, 无人机, 俄乌战争, 

无人机在乌克兰与俄罗斯的战争中寻找部队和计划袭击的努力中发挥了巨大的作用。但这些设备越来越多地受到一个看不见的敌人的阻挠：俄罗斯的电子战武库。近几个月来，俄罗斯和乌克兰都使用电子战系统来定位，破坏和干扰来自武器和无人机的电子和GPS信号。这些系统可以被飞机，海军舰艇，地面部队和直升机使用，海军分析中心无人和机器人军事系统分析师兼专家Samuel Bendett说。电子战系统使用雷达、无线电和红外传输等信号来检测、解释和中断通信。这些站检测敌方的电子信号，并攻击发射它们的设备，基本上发出白噪声，这使得它们无法运行。本德特说，尽管两国都利用了这项技术，但俄罗斯尤其投资了广泛的设备——从战术近距离系统到可以破坏数十公里外敌人的系统。俄罗斯越来越多地利用这些系统，因为针对乌克兰通信基础设施的网络攻击和地面打击已被证明影响有限。

详情

LOIC、HOICs等老式DDoS工具卷土重来

日期: 2022-08-16
标签: 俄罗斯, 乌克兰, 信息技术, DDoS, 俄乌战争, 

2022年8月16日，安全研究人员Daniel Smith发布报告称，十年前的老式DDoS工具在今年卷土重来。2010年至2015年，像HOIC、HULK、LOIC和Slowloris这样简单的拒绝服务（DDoS）工具，是全球黑客和黑客组织的首选。当黑客组织在匿名操作等协同攻击中利用这些工具时，可以发起强大的分布式拒绝服务 (DDoS) 攻击。但在 2015 年 BASHLITE 的源代码和 2016 年 Mirai 的源代码发布后，许多黑客组织放弃了这些旧工具。他们开始专注于构建自己的物联网僵尸网络，能够发起更强大的 DDoS 攻击。自 2022 年第一季度以来，全球黑客行为显着增加。虽然这些拒绝服务工具从 2022 年第二季度开始呈下降趋势，但第一季度的飙升非常明显。这比过去两年的 HOIC、HULK、LOIC 和 Slowloris 事件加起来还要多。这种增长主要归因于东欧持续的冲突，俄罗斯和乌克兰双方都出现了大量黑客行为。

详情

在PyPI存储库中发现另外两个恶意Python库

日期: 2022-08-16
标签: 信息技术, PyPI, 供应链安全, 

2022年8月16日，卡巴斯基在 Python 包索引 (PyPI) 存储库中又发现了两个恶意 Python 包。这两个新软件包都伪装成 PyPI 上最受欢迎的开源软件包之一——“requests”。攻击者使用合法“requests”包的描述来诱骗受害者安装恶意包。该软件包在一个月内安装了 2.3 亿次，在 GitHub 上拥有超过 48,000 个“星”。该恶意软件可以窃取 IP 地址，并使用加密技术从浏览器中解密 cookie 和密码。初次感染后，木马开始在不同线程中从浏览器收集 Discord 令牌、保存的 cookie 和密码。注入的脚本会监控受害者的行为，例如更改他们的电子邮件地址、密码或账单信息。更新的信息也会发送到 Discord 频道。

详情

针对OT的新型攻击：Evil PLC Attack

日期: 2022-08-15
标签: 美国, 制造业, Rockwell Automation, Emerson, Schneider Electric, GE, OVARRO, XINJE, B&R, Evil PLC Attack, OT, 

2022年8月15日，安全研究团队Team82 开发了一种新型攻击，将可编程逻辑控制器 (PLC) 武器化，以利用工程工作站并进一步入侵 OT 和企业网络。Team82称其为 “Evil PLC Attack”。攻击的目标是每天在工业网络上工作的工程师，对 PLC 进行配置和故障排除，以确保公用事业、电力、水和废水处理、重工业、制造和汽车等关键行业的流程的安全性和可靠性。“Evil PLC Attack” 研究对七家市场领先的自动化公司进行了有效的概念验证攻击，包括Rockwell Automation, Schneider Electric, GE, B&R, XINJE, OVARRO, 和 Emerson。目前，大多数受影响的公司都修复或缓解了 Team82 在其各自产品中发现的漏洞。

详情

德国政府将强制执行网络浏览器最低安全标准

日期: 2022-08-15
标签: 德国, 政府部门, 

德国要求在政府网络中使用安全、现代的网络浏览器，并提出了目前开放咨询的最低标准提案。联邦信息安全办公室（BSI）于7月发布了一套最低标准草案。该机构希望这些标准能够增强政府的网络弹性，并更好地保护敏感数据。领先的浏览器包含多种功能，可阻止或缓解各种常见的基于 Web 的攻击。拟议的标准涵盖桌面和移动浏览器，而以前的安全指南仅适用于政府PC和工作站上的桌面浏览器。BSI预计最低标准将在政府系统中强制实施。此举将禁止联邦雇员在政府业务上使用不合规的浏览器，例如现已弃用的Internet Explorer。

详情

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x0a   时间线

2022-08-22 360CERT发布安全事件周报