报告编号：B6-2022-102401

报告来源：360CERT

报告作者：360CERT

更新日期：2022-10-24

0x01   事件导览

本周收录安全热点49项，话题集中在恶意程序、数据安全方面，涉及的组织有：Domestic Kitten、Emennet Pasargad、Killnet、Lapsus$等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

使用RomCom恶意软件对乌克兰国家组织的网络攻击

日期: 2022-10-22
标签: 乌克兰, 俄罗斯, 政府部门, 信息技术, RomCom, 俄乌战争, 

2022年10月21日，乌克兰CERT-UA计算机紧急事件的政府响应小组披露了电子邮件分发的事实，据称代表乌克兰武装部队总参谋部新闻服务，参考了下载“订单”的第三方网络资源。上述网页包含有关需要软件更新（PDF阅读器）的消息。如果单击“下载”按钮，可执行文件“AcroRdrDCx642200120169_uk_UA.exe”将下载到计算机。因此，运行上述文件将解码并运行“rmtpak.dll”文件。后者被归类为RomCom恶意软件。鉴于RomCom后门的使用以及链接文件的其他功能，认为可以将检测到的活动与热带天蝎座（Unit42）组（又名UNC2596（Mandiant）的活动联系起来。

详情

Typosquat活动利用仿造域名传播Windows、Android恶意软件

日期: 2022-10-21
标签: 金融业, 信息技术, 谷歌（Google）, 微软（Microsoft）, TikTok（抖音）, PayPal, Snapchat, VidMate, ERMAC, 域名仿造, 域名抢注, 

2022年10月18日，网络情报公司 Cyble发布报告，称发现了一场大规模的恶意活动Typosquat。该活动使用 200 多个假冒域名，冒充 27 个品牌，诱骗访问者下载各种 Windows 和 Android 恶意软件。这些恶意网站会模仿流行的 Android 应用商店（如 Google Play、APKCombo 和 APKPure）、PayPal、VidMate、Snapchat 和抖音的域，此活动中使用的域名与真实域名非常接近，例如对单个字母进行位置交换。受害者通常会通过在浏览器的 URL 栏中错误输入他们想要访问的网站名称来访问这些网站。同时，用户也可能通过网络钓鱼电子邮件或短信、直接消息、恶意社交媒体和论坛帖子以及其他方式被引导到这些网站。这场活动相关的恶意软件是ERMAC，这是一种银行木马，针对来自 467 应用程序的银行账户和加密货币钱包。为防受到此类攻击，建议用户直接在搜索引擎中搜索特定品牌，以找到合法网站。

详情

黑客利用VMware漏洞部署勒索软件

日期: 2022-10-23
标签: 金融业, 信息技术, VMware, Mira, RAR1Ransom, DDoS, 漏洞利用, CVE-2022-22954, 网络犯罪, 僵尸网络, 

2022年10月23日，网络安全公司 Fortinet 的研究人员观察到有恶意活动利用 VMware Workspace One Access 中的一个关键漏洞来传播各种恶意软件，包括将文件锁定在受密码保护的档案中的 RAR1Ransom 工具。攻击中利用的漏洞是 CVE-2022-22954，这是一个通过服务器端模板注入触发的远程代码执行漏洞。研究人员称，在新观察到的攻击活动中，攻击者部署了 Mira 僵尸网络进行分布式拒绝服务 (DDoS) 攻击、GuardMiner 加密货币矿工和 RAR1Ransom 工具。当该漏洞在2022年4月6日被披露时，VMware 发布了安全更新。后来概念证明 (PoC) 漏洞利用公开，该产品很快成为众多攻击者的目标。在该漏洞披露后的两周内，BleepingComputer 报告了 APT35（又名 Rocket Kitten）主动利用 CVE-2022-22954 攻击服务器。尽管 VMware 发布了针对 CVE-2022-22954 的修复程序，但 Fortinet 的报告表明许多系统仍然存在漏洞。

详情

Domestic Kitten使用新的FurBall恶意软件监视伊朗公民

日期: 2022-10-20
标签: 伊朗, 信息技术, APT-C-50, FurBall, Domestic Kitten, 

ESET研究人员最近发现了一种新版本的Android恶意软件FurBall，用于APT-C-50小组进行的Domestic Kitten（国内小猫）活动。众所周知，国内小猫运动对伊朗公民进行移动监视行动，而这个新的FurBall版本在目标方面没有什么不同。自2021年6月以来，它已通过伊朗网站的模仿者作为翻译应用程序分发，该网站提供翻译文章，期刊和书籍。恶意应用程序被上传到VirusTotal，在那里它触发了YARA规则之一（用于分类和识别恶意软件样本），这使研究人员有机会对其进行分析。此版本的 FurBall 具有与以前版本相同的监视功能;但是，威胁参与者会稍微混淆类和方法名称、字符串、日志和服务器 URI。此更新还需要在 C&C 服务器上进行一些小的更改 - 确切地说，是服务器端 PHP 脚本的名称。由于此变体的功能未更改，因此此更新的主要目的似乎是避免被安全软件检测到。但是，这些修改对 ESET 软件没有影响。ESET 产品将此威胁检测为安卓/间谍代理。

详情

黑客使用新的隐形PowerShell后门攻击60多名受害者

日期: 2022-10-19
标签: 信息技术, PowerShell, 

从未被记录且完全无法检测到的 PowerShell 后门正被针对至少 69 个实体的威胁参与者积极使用。根据其功能，该恶意软件是为网络间谍活动而设计的，主要涉及受感染系统的数据泄露。攻击始于网络钓鱼电子邮件的到来，其中包含一个名为“应用 Form.docm”的附加恶意文档。根据文件内容和元数据，它可能以基于LinkedIn的作业应用程序为主题。该文档包含恶意宏，这些宏删除并执行“updater.vbs”脚本，该脚本创建计划任务以模拟例行 Windows 更新。然后，VBS 脚本执行两个 PowerShell 脚本“脚本.ps1”和“Temp.ps1”，这两个脚本都以模糊处理的形式存储在恶意文档中。当安全破坏首次发现这些脚本时，病毒总数上的任何防病毒供应商都没有检测到 PowerShell 脚本是恶意的。此 PowerShell 后门是用于攻击政府、企业和私人用户系统的未知隐身威胁的典型示例。

详情

黑客出售BlackLotus Windows UEFI bootkit

日期: 2022-10-17
标签: 信息技术, BlackLotus, 犯罪市场, 

2022年10月中旬，一位匿名黑客在黑客论坛上出售声称是名为 BlackLotus 的新 UEFI 引导包。BlackLotus 的UEFI 引导包是一种恶意工具，其功能通常与国家支持的APT组织相关联。UEFI bootkits 植入系统固件中，对操作系统内运行的安全软件不可见，因为恶意软件在引导序列的初始阶段加载。该黑客表示 BlackLotus 具有集成的安全启动绕过功能，具有内置的 Ring0/Kernel 保护以防止被删除，并将在恢复或安全模式下启动BlackLotus 声称带有反虚拟机 (anti-VM)、反调试和代码混淆功能来阻止恶意软件分析尝试。并且，安全软件无法检测和杀死 bootkit，因为它在合法进程中的 SYSTEM 帐户下运行。卡巴斯基首席安全研究员 Sergey Lozhkin表示： “以前这些威胁和技术只有开发高级持续威胁的人才能访问，主要是政府。现在这些工具掌握在整个论坛的犯罪分子手中 。”这将是一个令人担忧的趋势，因为 BlackLotus 也可用于加载可用于自带驱动程序 (BYOVD) 攻击的未签名驱动程序。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

澳大利亚第三大电力公司遭受网络攻击

日期: 2022-10-21
标签: 澳大利亚, 信息技术, 能源业, EnergyAustralia, 网络犯罪, 

2022年10月21日，澳大利亚第三大能源公司 EnergyAustralia电力公司宣称遭受了严重的网络攻击。 EnergyAustralia 称，攻击者可以访问 323 名住宅和小型企业客户的信息，但“没有数据泄露的证据”。 被泄露的数据存储在公司的在线平台 My Account 上，包括客户姓名、地址、电子邮件地址、电费和煤气费、电话号码以及信用卡的前六位和后三位数字。2022年10月21日， EnergyAustralia表示此次网络攻击发生在2022年9月30日，并称密码、银行信息、驾驶执照和护照没有被泄露，因为它们没有存储在平台上。2022年10月2日，该公司通知了受影响的用户，并将事件报告给了澳大利亚的监管部门和执法部门。

详情

微软披露65000家公司的数据泄露

日期: 2022-10-23
标签: 信息技术, SOCRadar, 微软（Microsoft）, 

2022年9月24日，当网络安全情报公司SOCRadar发现数据泄漏时，与IT巨头进行了联系。根据 SOCRadar 的说法，TB 的特权数据（如姓名、电话号码、电子邮件地址、公司名称以及包含概念验证文档、销售数据和产品订单等信息）的已连接文件，可能是由于 Azure Blob 存储遭到入侵而暴露的，SOCRadar 声称已将其调查结果通知了 Microsoft。微软强调，B2B泄漏没有安全漏洞可归咎于B2B漏洞，这是“由未在整个微软生态系统中使用的端点上的意外错误配置产生的”。但是，Microsoft 对问题的范围提出异议，声称相关信息包括姓名、电子邮件地址、电子邮件内容、公司名称、联系电话以及与此类用户或 Microsoft 授权合作伙伴之间的交易相关的附件。被称为BlueBleed第一部分的泄漏包含来自111个国家的65，000多家公司的关键数据。到目前为止，泄漏事件已经暴露了548，000人，133，000个项目和超过335，000封电子邮件。

详情

谷歌因未经同意收集生物特征数据被起诉

日期: 2022-10-20
标签: 美国, 商务服务, 信息技术, 谷歌（Google）, 公民隐私, 

美国德克萨斯州总检察长Ken Paxton起诉谷歌涉嫌在未经适当同意的情况下收集和使用属于数百万德克萨斯公民的生物特征数据。Texas AG 表示，自 2015 年以来，谷歌据称使用谷歌照片、谷歌助手和 Nest Hub Max 等产品和服务来收集大量生物识别标识符，包括声纹和面部几何记录。这违反了该州的 生物识别隐私法 （又名生物识别标识符的捕获或使用法），该法案要求公司在收集其生物识别标识符（即“视网膜或虹膜扫描、指纹、声纹）时征得用户同意。Ken Paxton还对谷歌提起了其他诉讼，指控谷歌在使用其产品和服务时侵犯了德克萨斯公民的隐私。

详情

医疗系统Aurora Health数据泄露，影响300万患者

日期: 2022-10-20
标签: 卫生行业, Aurora Health（AAH）, 

Aurora Health（AAH）是威斯康星州和伊利诺伊州的一家拥有26家医院的医疗保健系统，正在通知其患者一起数据泄露事件，该数据泄露了300万名患者的个人数据。该事件是由于在AAH网站上不当使用Meta Pixel造成的，患者登录并输入敏感的个人和医疗信息。Meta Pixel（元像素）是一个JavaScript跟踪器，可帮助网站运营商了解访问者如何与网站互动。AAH的数据泄露通知说，以下信息可能已经通过元像素暴露：IP地址、预定的日期、时间和地点、位置、医疗服务提供者信息、任命或程序的类型、MyChart 用户之间的通信，其中可能包括名字和姓氏以及医疗记录编号、保险信息、代理帐户信息。

详情

iDealwine遭遇数据泄露

日期: 2022-10-19
标签: 法国, 香港, 英国, 批发零售, iDealwine, 数据泄露, 

受欢迎的国际优质葡萄酒在线零售商iDealwine在10月中旬遭受了数据泄露，尚未透露受影响的客户数量。它的电子商店仍处于离线状态，显示了简短的解释性信息，并且该公司已通过电子邮件（也通过公司博客）通知了所有可能受影响的客户有关网络攻击的信息。iDealwine是一家总部位于法国的电子商户，在香港和伦敦设有办事处。它专门从事优质葡萄酒的在线拍卖和固定价格销售，并提供有关葡萄酒行业新闻和趋势的信息。它已通知其客户，他们的姓名，地址，电话号码和电子邮件地址可能已被泄露。客户的信用卡/银行信息没有受到损害，因为它没有存储在公司服务器上。根据通知，客户的密码（经过加密）也没有受到损害，尽管该公司仍然敦促客户更改密码并提防意外的电子邮件和未经请求的电话。

详情

Verizon通知预付费客户的帐户遭到入侵

日期: 2022-10-18
标签: 信息技术, Verizon, 网络犯罪, 数据泄露, 

Verizon警告预付费客户，攻击者可以访问Verizon帐户，并在SIM卡交换攻击中使用暴露的信用卡信息。Verizon在10月中旬发布的警报中说：在2022年10月6日至10月10日期间，第三方演员访问了用于在客户的帐户上进行自动付款的信用卡的最后四位数字，使用该信用卡的最后四位数字，第三方能够访问Verizon帐户，并且可能已在收到链接到此通知的短信的预付费线路上处理了未经授权的SIM卡更改。Verizon补充说，它阻止了对其客户帐户的进一步未经授权的访问，并且没有发现任何证据表明这种恶意活动仍在进行中。该公司还“非常谨慎”地为未公开数量的客户重置了帐户安全代码（PIN）。Verizon表示，威胁行为者可能已经访问了被盗帐户的名称，电话号码，账单地址，价格计划和其他与服务相关的信息。

详情

澳大利亚零售商MyDeal数据泄露影响220万用户

日期: 2022-10-17
标签: 澳大利亚, 信息技术, MyDeal, Woolworths, 网络犯罪, 

2022年10月14日，Woolworths 的子公司MyDeal 披露了一起影响 220 万客户的数据泄露事件，黑客试图在黑客论坛上出售被盗数据。MyDeal 是一个澳大利亚零售市场。MyDeal 表示，在黑客使用泄露的用户凭据访问公司的客户关系管理 (CRM) 系统后，其系统遭受了破坏，攻击者可以查看和导出客户信息。该公司表示，有 220 万客户受到数据泄露的影响，泄露的数据包括姓名、电子邮件地址、电话号码、送货地址等信息。但MyDeal 声明没有泄露任何支付信息、政府 ID 或帐户密码。MyDeal 已经开始向受影响的客户发送数据泄露通知，并表示未收到通知的客户不受影响。2022年10月16日，此次攻击MyDeal的黑客开始在一个黑客论坛上以 600 美元的价格出售被盗数据，还发布了MyDeal公司的 Confluence 服务器和公司 AWS 账户的单点登录提示的屏幕截图。2022年10月17日，攻击者发布了被盗数据的样本，包含286 名 MyDeal 客户的个人信息。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

法国巴黎一家医院遭受网络攻击

日期: 2022-10-18
标签: 法国, 卫生行业, Pierre-Rouquès-Les Bluets, 

2022年10月18日，法国Vice Society 组织声称，位于巴黎第 12 区的 Pierre-Rouquès-Les Bluets 医院于2022年10月16日晚遭受了网络攻击。Pierre-Rouquès-Les Bluets 医院表示，医院的运营受到很大影响，电子邮件系统崩溃，但仍然可以访问大多数医疗记录。目前该医院只能通过Doctolib平台进行院内预约，部分会诊暂停。除了影响医院的正常运营之外，此次网络攻击的幕后黑手还窃取了几名患者的个人健康数据。但医院表示目前不知道有关数据的确切性质，也不知道受影响人员的身份。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

Microsoft Azure SFX漏洞让黑客劫持Service Fabric群集

日期: 2022-10-19
标签: 信息技术, 

攻击者可以利用服务结构资源管理器中现已修补的欺骗漏洞（CVE-2022-35829

）来获取管理员权限并劫持 Azure 服务结构群集。服务结构是一个业务关键型应用程序的平台，托管超过 100 万个应用，并为许多微软产品提供支持，包括但不限于微软 Intune、Dynamics 365、Skype 商业版、小娜、微软 Power BI 和多个核心 Azure 服务。服务结构资源管理器 （SFX） 是一种开源工具，可用作托管解决方案或桌面应用，允许 Azure 管理员管理和检查 Azure 服务结构群集中的节点和云应用程序。研究人员发现具有通过仪表板'创建新应用程序'的单一权限的 Deployer 类型用户可以使用此单一权限创建恶意应用程序名称，并滥用管理员权限来执行各种调用和操作。这包括执行群集节点重置，这将删除所有自定义设置，例如密码和安全配置，从而允许攻击者创建新密码并获得完全的管理员权限

详情

CISA警告研华R-SeeNet和日立能源APM Edge设备中的严重漏洞

日期: 2022-10-19
标签: 美国, 信息技术, 美国网络安全和基础设施安全局 (CISA), R-SeeNet, APM Edge, 工业漏洞, 

美国网络安全和基础设施安全局（CISA）10月18日发布了两项工业控制系统（ICS）咨询，涉及研华R-SeeNet和日立能源APM Edge设备的严重缺陷。这包括 R-SeeNet 监视解决方案中的三个弱点，成功利用这些弱点“可能导致未经授权的攻击者远程删除系统上的文件或允许远程执行代码”。影响 R-SeeNet 版本 2.4.17 及更早版本的问题列表如下 ：

• CVE-2022-3385 和 CVE-2022-3386（CVSS 评分：9.8） - 两个基于堆栈的缓冲区溢出缺陷，可能导致远程执行代码

• CVE-2022-3387（CVSS 评分：6.5） - 一种路径遍历缺陷，可使远程攻击者删除任意 PDF 文件

补丁已在 2022 年 9 月 30 日发布的 R-SeeNet 版本 2.4.21 中提供。

详情

Oracle2022年10月补丁日

日期: 2022-10-18
标签: 美国, 信息技术, Oracle, 

2022年10月18日，Oracle发布了2022年7月份的风险通告。此次安全更新发布了370个漏洞补丁，包含74个针对 Oracle Communications 的安全补丁，其中 64 个漏洞无需身份验证即可远程利用，即无需用户凭据即可通过网络利用。此次更新还包含 27 个适用于 Oracle Communications Applications 的新安全补丁，其中 21 个漏洞无需身份验证即可远程利用。另外还有 3 个适用于 Oracle Commerce 的新安全补丁，其中 2 个漏洞无需身份验证即可远程利用。建议客户立即应用重要补丁更新安全补丁。

详情

Apache Commons Text中的严重漏洞

日期: 2022-10-18
标签: 信息技术, Apache, 

研究人员正在密切跟踪Apache Commons Text中一个新的关键漏洞，该漏洞为未经身份验证的攻击者提供了一种在运行具有受影响组件的应用程序的服务器上远程执行代码的方法。该漏洞 （CVE-2022-42889） 的严重性等级已分配为 9.8（在 CVSS 量表上可能的 10.0），并且存在于 Apache Commons 文本的 1.5 到 1.9 版本中。该漏洞的概念验证代码已经可用，尽管到目前为止还没有漏洞利用活动的迹象。Apache软件基金会（ASF）于9月24日发布了该软件的更新版本（Apache Commons文本1.10.0）。基金会将缺陷描述为源于Apache Commons Text执行变量插值时不安全的默认值，这基本上是在包含占位符的代码中查找和评估字符串值的过程。从版本1.5开始一直到1.9，默认的查找实例集包括可能导致任意代码执行或与远程服务器联系的插值器。到目前为止，跟踪该漏洞的研究人员在评估其潜在影响时一直持谨慎态度。

详情

Windows 标记的 Web 绕过零日漏洞获得非官方补丁

日期: 2022-10-17
标签: 信息技术, 0patch, 漏洞利用, 

0patch 平台发布了一个免费的非官方补丁，以解决 Web 的 Windows 标记 （MotW） 安全机制中一个被积极利用的零日漏洞。此漏洞使攻击者能够阻止 Windows 对从互联网下载的 ZIP 存档中提取的文件应用 （MotW） 标签。Windows使用特殊的“Zone.Id”备用数据流，自动将MotW标志添加到从不受信任的来源下载的所有文档和可执行文件中，包括从下载的ZIP存档中提取的文件。这些MotW标签告诉Windows，微软Office，Web浏览器和其他应用程序，应该对该文件进行怀疑，并将导致向用户显示警告，指出打开文件可能会导致危险行为，例如设备上安装的恶意软件。自从7月份向微软报告了零日漏洞以来，已被检测为在攻击中被利用，以在受害者的系统上提供恶意文件。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   安全分析

“海莲花”APT近期攻击样本分析报告

日期: 2022-10-18
标签: 信息技术, APT-C-00（海莲花), APT舆情, 

近日，安恒信息分子实验室反APT小组（九维团队-暗队）在日常的威胁狩猎中捕获到了“海莲花”的攻击活动样本。当用户打开WINWORD.EXE时，会加载恶意文件（MSVCR100.dll），该恶意文件会释放3个文件，分别执行持久化、下载下一阶段后门和信息收集并回传，该样本采用白+黑的方式实现防御规避，通过创建计划任务实现持久化。通过对样本进行逆向分析，根据样本行为特征、C2以及结合开源情报，发现此次攻击活动背后的组织为“海莲花”。

详情

0x08   其他事件

英国汽车经销商被LockBit勒索软件团伙入侵

日期: 2022-10-21
标签: 英国, 信息技术, Pendragon, 网络犯罪, 

2022年10月21日，英国最大的汽车经销商之一彭德拉贡（Pendragon）表示，它被LockBit勒索软件团伙黑客入侵并勒索赎金。LockBit勒索软件团伙要求6000万美元解密该公司的文件，这是有史以来最大的勒索软件需求之一。Pendragon 的 IT 服务器遭到黑客攻击，黑客窃取了 5% 的数据库。Pendragon 表示，他们拒绝了支付赎金，并补充说他们已采取措施保护其系统的其余部分。目前，Pendragon已经向英国国家网络安全中心、信息专员办公室、FCA 和警方报告了此事。2022年10月21日周五晚，Pendragon 表示已获得针对黑客的临时禁令。

详情

研究人员发现针对沙特政府服务门户网站的新网络钓鱼活动

日期: 2022-10-21
标签: 沙特, 信息技术, 政府部门, Absher, 社会工程学, 网络钓鱼, 网络钓鱼攻击, 

2022年10月20日，CloudSEK 网络安全研究人员发布报告称，发现了多个模仿沙特政府服务门户网站 Absher 的网络钓鱼域，这些网络钓鱼网站向公民提供欺诈性服务并窃取凭据。攻击者想受害者发送短信和链接，敦促他们在 Absher 门户上更新信息。在虚假“登录”后，网站上会出现一个弹出窗口，要求受害者将四位数的一次性密码 (OTP) 发送到注册的手机号码中，这很可能用于在合法的 Absher 门户上绕过多因素身份验证 (MFA)。为了减轻这些攻击的影响，CloudSEK 敦促政府组织监控针对公民的网络钓鱼活动，并告知公民有关危险。

详情

批发巨头麦德龙遭受网络攻击

日期: 2022-10-21
标签: 德国, 法国, 奥地利, 批发零售, 麦德龙（METRO）, 

国际批发巨头麦德龙（METRO）在最近的网络攻击之后，正在经历基础设施中断和商店支付问题。该公司的IT团队目前正在外部专家的帮助下调查该事件，以发现这种持续中断的原因。自10月17日以来，IT中断一直影响着奥地利，德国和法国的商店。尽管其商店仍在运营，但麦德龙表示，它被迫建立线下支付系统，在线订单被推迟。麦德龙是一家为HoReCa（酒店、餐饮）行业客户提供服务的国际批发公司，业务遍及30多个国家，在全球拥有95，000多名员工。它经营着661家批发店（截至2022年9月30日），以麦德龙和MAKRO品牌经营。目前，该公司没有分享有关此网络攻击性质的信息，但IT基础架构中断通常与勒索软件攻击有关。

详情

俄罗斯对石油和天然气行业构成“真实而严重”的网络威胁

日期: 2022-10-21
标签: 俄罗斯, 挪威, 能源业, 俄乌战争, 

挪威总理乔纳斯·加尔·斯托雷（Jonas Gahr Støre）10月20日警告说，俄罗斯对该国的石油和天然气行业构成了“真实而严重的威胁”，因为有人批评斯堪的纳维亚国家的行动太慢，无法保护其石油部门免受网络攻击。在解释这些威胁的演讲中，Støre宣布该国的反间谍和网络安全机构“现在更紧密地合作，以保护我们免受数字威胁”。在最近七名俄罗斯人在挪威被捕后，他谈到了无人机在主要能源设施上空飞行的事件，并警告说：“如果将来有更多这样的逮捕，我们绝不能感到惊讶。”他认为“针对该行业的重大网络事件”不太可能发生，并指出“有更简单的方法来破坏天然气流动，但显然挪威天然气出口现在对欧盟非常重要，并且在冬季将变得更加重要。目前的情况“俄罗斯天然气出口暂停或缩短，挪威天然气出口对欧洲至关重要，经济依赖性被广泛武器化，这或多或少是我们在2018年考虑的最坏情况，在可预见的未来，这就是我们所处的位置。

详情

BlackByte勒索软件使用新的数据盗窃工具进行双重勒索

日期: 2022-10-21
标签: 信息技术, 网络犯罪, 

BlackByte勒索软件分支机构正在使用一种名为“ExByte”的新自定义数据窃取工具来快速从受感染的Windows设备中窃取数据。Exbyte是由赛门铁克的安全研究人员发现的，他们说，威胁行为者使用基于Go的外泄工具将被盗文件直接上传到Mega云存储服务。执行时，该工具会执行反分析检查，以确定它是否在沙盒环境中运行，并检查调试器和防病毒进程。BlackByte勒索软件二进制文件也实现了这些相同的测试，但外泄工具需要独立运行它们，因为数据泄露发生在文件加密之前。如果测试是干净的，Exbyte 将枚举违规系统上的所有文档文件，并使用硬编码的帐户凭据将它们上传到 Mega 上新创建的文件夹。接下来，Exbyte 枚举受感染计算机上的所有文档文件，例如.txt、.doc和.pdf文件，并将完整路径和文件名保存到 %APPDATA%\dummy。然后，列出的文件将上传到恶意软件在 Mega.co.nz 上创建的文件夹中。所使用的 Mega 帐户的凭据被硬编码为 Exbyte。

详情

关于伊朗黑客组织Emennet Pasargad的网络攻击活动报告

日期: 2022-10-20
标签: 伊朗, 美国, 信息技术, 政府部门, Emennet Pasargad, 

FBI 提供有关信息证实正在进行的黑客和泄密网络行动由伊朗组织 Emennet Pasargad 发起。根据 FBI 的信息，至少从 2020 年开始，Emennet 就主要针对以色列的实体，包括最初的入侵、盗窃和随后的数据泄露，然后是放大通过社交媒体和在线论坛，在某些情况下部署破坏性加密恶意软件。为了规避监测，Emennet 在伪装成多个角色，例如黑客行动主义者或网络犯罪集团。根据 FBI 的信息，伊朗网络威胁组织 Emennet Pasargad对主要在以色列的组织进行黑客和泄密行动。联邦调查局评估这些行动的目的是破坏公众对国家安全的信心受害者的网络和数据，以及使受害者公司和目标国家难堪。这些黑客和泄密活动涉及黑客/盗窃数据和信息的组合通过经济损失和声誉损害影响受害者的操作。类似于Emennet 竞选反对 2020 年美国总统大选，FBI 评判该组织的活动包括计算机入侵活动和夸大或虚构的声称访问受害者网络或被盗数据以增强其心理影响操作。

详情

乌克兰摧毁了一个亲俄宣传的机器人农场

日期: 2022-10-20
标签: 俄罗斯, 乌克兰, 信息技术, 俄乌战争, 

由于在第聂伯罗的调查和行动，俄罗斯特种服务的机器人农场被清算，该机器人通过互联网大规模传播有关欧洲国家社会政治局势的虚假信息。此外，还记录了支持侵略国的大规模鼓动和“驱散”乌克兰夺取国家权力的呼吁的事实。为了对敌人信息进行破坏，占领者通过受控的机器人农场创造了虚假帐户。进行匿名注册，使用了乌克兰，俄罗斯和欧洲移动运营商的SIM卡。根据调查，区域中心的一名居民长期在IT领域工作，参与了非法活动的组织，在她的莫斯科策展人的要求下，她创建了一个敌人的机器人农场。必要的电信设备安装在租来的公寓里。使用特殊的软件，她每天在互联网上注册多达100个虚构的帐户。通过他们，她在社交网络上“生成”了操纵性内容，包括“知名专家”和“政治学家”的虚假评论。为了准备亲克里姆林宫的帖子，罪犯使用了克里姆林宫宣传互联网资源中的材料。

详情

全球互联网连接受到法国断线光纤的影响

日期: 2022-10-19
标签: 法国, 欧洲, 亚洲, 美国, 英国, 信息技术, 光纤中断, 

法国南部的一条主要互联网电缆于10月19日20：30 UTC被切断，影响了与欧洲，亚洲和美国的海底电缆连接，并导致数据包丢失和网站响应延迟增加。云安全公司Zscaler报告说，他们进行了路由调整以减轻影响。但是，由于应用和内容提供商通过受影响的路径路由流量，用户仍会面临问题。在UTC时间23：00，确认该事件影响了三个链接：马赛 - 里昂，马赛 - 米兰和马赛 - 巴塞罗那。UTC01：00，Zscaler的维修人员恢复了其中一条链路，但技术人员继续观察某些目的地的数据包丢失和延迟。在 UTC 时间 18：58：01，Zscaler 发布了一个最终更新，指出问题已得到解决。与此同时，BCC报道说，连接设得兰群岛和苏格兰大陆的海底电缆也遭到破坏，使岛上的网民与世界其他地区隔绝。不仅如此，它还减少了设得兰群岛23，000人口呼叫紧急服务的能力，因为通信总体上受到了影响。对最近这些事件的调查仍在进行中，目前没有任何迹象表明这些是破坏行为。

详情

Netflix可能很快推出云游戏服务

日期: 2022-10-20
标签: 美国, 文化传播, 信息技术, 商务服务, Netflix, 云计算, 游戏, 

2022年10月18日，Netflix 游戏开发副总裁 Mike Verdu 在 TechCrunch Disrupt 活动中证实，Netflix可能很快推出云游戏服务。云游戏允许用户在世界任何地方和任何设备（如移动设备、电视或 PC）上玩 AAA 游戏，而无需投资昂贵的硬件。在进军手机游戏市场后，Netflix 正寻求通过在南加州推出新的云游戏工作室来扩大其影响力。虽然 Verdu 没有透露有关云游戏服务的确切细节，但他表示该公司正在寻求推出的不仅仅是电视上的休闲游戏。他还表示，这些游戏不会依赖电视遥控器进行输入。Verdu 对 Netflix 在云游戏服务领域取得成功抱有希望，因为这将成为公司商业模式的宝贵补充。

详情

谷歌启动 GUAC 开源项目以保护软件供应链

日期: 2022-10-20
标签: 美国, 信息技术, 谷歌（Google）, 供应链安全, GUAC, 

2022年10月20日，谷歌宣布启动一项名为Graph for Understanding Artifact Composition（也称为 GUAC）的新开源计划，以加强对于软件供应链的保护。软件供应链已成为攻击者一个有利可图的攻击媒介，仅利用一个弱点（如SolarWinds和Log4Shell）就能打开一条足够长的路径，以遍历供应链并窃取敏感数据、植入恶意软件、并控制属于下游客户的系统。谷歌的 Brandon Lum、Mihai Maruseac 和 Isaac Hepworth表示： “GUAC 解决了整个生态系统中迅速发展的工作所产生的需求，以生成软件构建、安全和依赖元数据。”GUAC 旨在通过让每个组织（而不仅仅是拥有企业级安全和 IT 资金的组织）自由访问和有用，从而使这些安全信息的可用性民主化。

详情

美国交通安全管理局（TSA）公布新的铁路网络安全指令

日期: 2022-10-20
标签: 美国, 交通运输, 信息技术, 美国交通安全管理局（TSA）, 供应链攻击, 供应链安全, 

2022年10月下旬，美国运输安全管理局 (TSA) 公布了针对客运和货运铁路运营商的新网络安全法规，扩大了关键基础设施行业的名单，并给出了如何保护其系统的具体指导方针。 该指令将于2022年10月24日生效，将持续一年。与此同时，TSA 正在启动“在公众意见征询期后制定铁路部门的监管要求”的流程。交通运营商被要求制定网络分段策略和控制措施，将运营技术系统与其他 IT 系统分开。新指令还要求运营商制定访问控制措施，制定网络威胁检测策略，并及时为操作系统、应用程序、驱动程序和固件实施补丁或更新流程。TSA 还希望交通运营商创建网络安全评估计划，使政府官员能够“主动测试和定期审核网络安全措施的有效性，并识别和解决设备、网络和系统中的漏洞”。

详情

OldGremlin黑客使用Linux勒索软件攻击俄罗斯组织

日期: 2022-10-20
标签: 俄罗斯, 信息技术, 金融业, 批发零售, 交通运输, 网络犯罪, Linux, 

OldGremlin是攻击俄罗斯企业网络的少数勒索软件组织之一，它已经扩展了其工具包，为Linux机器提供了文件加密恶意软件。该团伙拥有讲俄语的成员，这些成员至少自2020年3月以来一直在使用自制恶意软件进行操作，重点是物流，工业，保险，零售，房地产，软件开发和银行业的俄罗斯公司。也被称为TinyScouts，由于他们使用的恶意代码中的功能名称，OldGremlin的特点是每年有少量活动，要求百万美元的赎金。2022年，OldGremlin只发起了五项活动，但他们也要求在两年半的活动中支付最高的赎金，即1690万美元。在今年的一次事件响应活动中，Group-IB发现OldGremlin瞄准了一台Linux机器，该机器带有该团伙用来加密Windows机器的TinyCrypt勒索软件的Go变体。OldGremlin揭穿了勒索软件组织对俄罗斯公司漠不关心的神话。根据我们的数据，该团伙的跟踪记录包括近二十次攻击，要求数百万美元的赎金，大公司更频繁地成为他们的首选目标。

详情

Azure Blob Storage服务器配置错误暴露了Microsoft客户数据

日期: 2022-10-19
标签: 美国, 信息技术, 微软（Microsoft）, Azure Blob Storage, 

2022年10月19日，安全研究团队SOCRadar 检测到，由于Azure Blob Storage服务器配置错误，65,000 个实体的敏感数据被公开。泄露的内容包括执行证明 (PoE)和工作说明书 (SoW)文件、用户信息、产品订单/报价、项目详细信息、PII（个人身份信息）数据以及可能泄露知识产权的文件。2022年10月19日，微软安全响应中心表示，一些微软客户的敏感信息被错误配置的服务器泄露。微软表示，这种错误配置可能导致未经身份验证的攻击者访问与微软的某些业务交易数据，例如微软服务的规划或潜在实施和供应。配置错误的端点可在 Internet 上访问，并且不需要身份验证。端点已被保护以要求身份验证，目前微软已通知受影响的客户。

详情

民主国家也开始使用间谍软件

日期: 2022-10-19
标签: 美国, 西班牙, 希腊, 波兰, 匈牙利, 政府部门, 信息技术, 监视, 

2022年10月18日，多伦多大学公民实验室的高级研究员约翰·斯科特-雷尔顿称近年来观察到有民主国家也在考虑使用间谍软件进行监视。曾经只有少数专制政府会使用复杂的监控间谍软件，但随着像以色列公司 NSO Group 的间谍软件Pegasus的出现，间谍软件的使用门槛被降低，任何愿意支付费用的政府都可以获得这种权力。间谍软件允许攻击者监控受害者的智能手机。在欧洲，多个国家涉嫌使用类似Pegasus的间谍软件，包括西班牙、希腊、波兰和匈牙利。欧洲议会也在调查 Pegasus 和类似工具，2022年10月中旬，美国政府将打击商业间谍软件以及数字威权主义作为其国家安全战略的一部分。相关专家表示，滥用行为远远超过了监督，并且可能远远超过了法治，这必须得到纠正。间谍软件行业的潮流已经发生转变，全世界都意识到，在维护国际法规定的人权的同时，不能完全信任任何实体使用这项技术。

详情

巴西警方宣布逮捕 Lapsus$ 成员

日期: 2022-10-19
标签: 巴西, 政府部门, LAPSUS$, 

2022年10月19日，巴西联邦警察局表示，他们在巴西的费拉德桑塔纳市逮捕了Lapsus$ 黑客组织的一名成员。此次逮捕是巴西联邦警察于2022年8月宣布的暗云行动的一部分，旨在调查该组织在巴西境内的所谓行动， 巴西联邦警察在此次行动中执行了八项搜查和扣押令。目前关于嫌疑人的信息很少，巴西警方表示他们准备指控此人犯有与经营犯罪组织、入侵计算机设备、技术干扰等有关的罪行。警方表示：“根据第 9,613/1998 号法律，还发现了未成年人腐败行为、《儿童和青少年法》规定的犯罪以及洗钱行为。”警方官员指出，Lapsus$ 黑客组织除了对微软、思科、三星、英伟达和Okta等发动攻击外，其成员还袭击了巴西卫生部和“联邦政府的数十个其他机构和实体，包括卫生部经济部、联邦总审计长和联邦公路警察。”

详情

纽约金融服务部再次对保险公司EyeMed罚款450万美元

日期: 2022-10-19
标签: 美国, 信息技术, 金融业, EyeMed Vision Care, 网络犯罪, 

2022年10月19日，美国纽约金融服务部对保险公司EyeMed Vision Care 再次处以罚款，原因是该公司在2020年大规模入侵电子邮件和泄露医疗数据。这一次，EyeMed Vision Care公司将为多个安全违规行为支付450万美元的罚款。纽约金融服务部对保险公司EyeMed Vision Care 的调查发现：“EyeMed缺乏合规的网络安全风险评估，无法评估和解决其信息系统和存储在其网络上的非公开信息面临的风险，这使得EyeMed很容易受到黑客的攻击。“该和解协议是纽约金融服务部网络安全法规的一部分，该法规要求为企业制定一套负责任的安全标准。它于 2017 年 3 月生效，“成为其他监管机构的典范”，包括 FTC、多个州和其他安全模型。该法律包括行业合规、消费者数据保护、网络安全控制和及时报告网络安全事件的标准。DFS 对 EyeMed 的调查发现多处违反了这些要求。

详情

微软宣布为中小企业提供企业 DDoS 保护

日期: 2022-10-19
标签: 美国, 信息技术, 微软（Microsoft）, 云计算, DDoS防御, 

2022年10月19日，微软宣布在公共预览版中推出 Azure DDoS IP 保护，这是一种全新的、完全托管的 DDoS 保护按受保护的 IP 付费模式，专为中小型企业 (SMB) 量身定制。在很大程度上，它提供了与 DDoS 网络保护（以前称为 DDoS 保护标准）相同的功能，旨在帮助大型企业和组织防御更大的资源部署。与这个新 SKU 捆绑的基本功能包括 L3/L4 自动攻击检测和缓解、指标和警报、缓解流日志和针对客户应用程序调整的策略。新 SKU 带有 Azure 防火墙管理器、Microsoft Sentinel 和 Microsoft Defender for Cloud 集成。与企业产品不同，DDoS IP 保护不支持 DDoS 快速响应支持、成本保护和 WAF 折扣。

详情

iPhone和Android中的400个应用程序可能向黑客泄露数据

日期: 2022-10-19
标签: 信息技术, Apple, Meta（原Facebook）, 网络犯罪, 移动安全, 

Android和iPhone用户被告知要从手机中删除特定的应用程序，因为他们可能会窃取他们的数据。据报道，Facebook在发现明显的数据黑客攻击后发出了警告。这似乎已经感染了400多个应用程序，并且似乎一直在从智能手机上窃取敏感的登录信息。由于这些应用程序提供流行的服务，例如照片编辑器，游戏和VPN，因此它们很容易被忽视。这是因为他们倾向于将自己宣传为受欢迎的服务。诈骗应用程序旨在通过要求用户在安装应用程序后通过其Facebook帐户登录来获取敏感的消费者信息。在这种情况下，有官方的谷歌Play商店和苹果应用商店市场，这些应用程序可供下载。这意味着可能已经安装了数千台设备。苹果和谷歌已经从他们的应用程序商店中删除了这些应用程序，但是，它们仍然可以在第三方市场上找到，因此，如果他们之前已经下载了这些应用程序，那么任何已经下载这些应用程序的人仍然可能成为目标。

详情

研究人员称Ransom Cartel勒索团伙与REvil勒索团伙有关

日期: 2022-10-18
标签: 美国, 信息技术, 网络犯罪, 

2022年10月18日，Palo Alto Network Unit 42的研究人员发布报告，将相对较新的 Ransom Cartel 勒索团伙与 REvil 勒索团伙联系起来。报告中详细阐述了这两个网络犯罪团伙之间的联系，他们在技术、策略和程序 (TTP) 方面具有相似之处，并且他们的恶意软件代码有共同点。在分析 Ransom Cartel 的加密器时，研究人员发现恶意软件中嵌入的配置结构有相似之处，尽管存储位置不同。Unit 42 分析的样本显示，Ransom Cartel 缺少一些配置值，这意味着作者要么试图使恶意软件更精简，要么他们的基础是 REvil 恶意软件的早期版本。但Ransom Cartel 样本没有 REvil 的强大混淆功能，这可能意味着新恶意软件的作者不拥有 REvil 的原始混淆引擎。REvil 和 Ransom Cartel 使用的策略、技术和程序 (TTP) 也有相似之处，例如双重勒索攻击、大量赎金要求以及数据泄露站点以迫使受害者支付赎金。但是，Ransom Cartel 使用的一种技术是使用 Windows 数据保护 API (DPAPI) 来窃取凭据，而 REvil 攻击中并未出现这种技术。

详情

美国FBI警告美国学生贷款债务骗局

日期: 2022-10-18
标签: 美国, 政府部门, 金融业, 教育行业, 网络欺诈, 

2022年10月18日，美国联邦调查局（FBI）发布了一项警告，称网络犯罪分子可能针对那些试图加入联邦学生援助计划的个人，窃取他们的个人信息、付款详情和钱款。联邦学生援助计划是一项于 2022 年 8 月宣布的债务减免计划，目标是帮助学生贷款接受者管理他们的债务。该计划为网络犯罪分子提供了一个机会，可以建立模仿申请表的欺诈网站，发送“福利资格”网络钓鱼电子邮件或短信，并尝试多种欺诈渠道来欺骗美国公民。网络犯罪分子和欺诈者可能声称提供进入联邦学生贷款减免计划的机会，通过电话、电子邮件、邮件、短信、网站或其他在线聊天服务联系潜在的受害者。据估计， 美国有 4500 万学生贷款借款人，总共欠债 1.6 万亿美元。

详情

Killnet对保加利亚政府网站进行大规模DDoS攻击

日期: 2022-10-18
标签: 俄罗斯, 保加利亚, 信息技术, 政府部门, Killnet, 网络犯罪, 俄乌战争, 

据保加利亚总检察长伊万·格舍夫（Ivan Geshev）称，亲俄黑客10月16日对保加利亚政府网站进行了“大规模”网络攻击。分布式拒绝服务（DDoS）攻击短暂地摧毁了总统政府，国防部，内政部，司法部和宪法法院的网站。根据保加利亚当地在线出版物Dnevnik的说法，恢复访问后，这些网站的运行速度比平时慢。亲俄黑客组织Killnet声称对这次袭击负责，称这是对“背叛俄罗斯和向乌克兰供应武器”的惩罚。这次攻击只是一系列备受瞩目的Killnet DDoS活动中的最新一次，这些活动通过垃圾流量淹没网站来使网站脱机。这些攻击使网站暂时不可用，但并未造成严重损害。虽然这次袭击没有造成严重后果，也没有敏感数据泄露，但它引起了保加利亚政府官员的强烈反应。格舍夫称这是“一个严重的问题”和“对保加利亚国家的攻击”。

详情

德国网络安全负责人可能与俄罗斯情报部门有联系

日期: 2022-10-18
标签: 俄罗斯, 德国, 乌克兰, 政府部门, 俄乌战争, 

德国内政部在10月18日表示，在有报道称可能与俄罗斯情报部门有联系后，德国国家网络安全局局长已被解雇。据报道，内政部长南希·费泽（Nancy Faeser）在指控后解雇了阿恩·舍恩博姆（Arne Schoenbohm）担任BSI机构负责人，这“损害了公众对其管理层中立性和公正性的必要信心”。Schoenbohm在十年前共同创立了一个网络安全小组，汇集了来自公共机构和私营部门的专家。德国媒体报道说，其一名成员是由一名前俄罗斯情报人员创立的公司，该组织上周表示，该公司已被抛弃。德国越来越担心，由于柏林在战争中对乌克兰的支持，该国的关键基础设施可能会成为俄罗斯的目标。

详情

欧洲刑警组织逮捕出售窃车技术的犯罪集团

日期: 2022-10-17
标签: 法国, 制造业, 网络犯罪, 车联网安全, 

2022年10月17日，据欧洲刑警组织称，警方在欧洲逮捕了一个有组织犯罪集团的 31 名成员，该集团出售犯罪工具，帮助犯罪分子入侵无钥匙车辆。犯罪分子针对的是两家未具名的法国汽车制造商的无钥匙车辆。欧洲刑警组织称，被捕者包括这些工具背后的软件开发人员以及相关的经销商和偷车贼。犯罪集团出售的“技术方案”包括平板电脑、连接器和软件。犯罪分子可以利用这些设备远程“更换车辆的原始软件，无需实际的密钥卡即可打开车门并启动点火装置”。欧洲刑警组织在欧洲 22 个地点的突袭行动中没收了这些设备以及超过 1,098,000 欧元（约合 108 万美元）的犯罪资产和数十把空白车钥匙。

详情

研究人员称维基百科被操纵用于俄乌信息战

日期: 2022-10-17
标签: 俄罗斯, 乌克兰, 信息技术, 文化传播, 维基百科, 俄乌战争, 

2022年10月17日，英国战略对话研究所 (ISD) 和社交媒体分析中心 (CSAM)发布研究报告，详细介绍了维基百科上针对俄乌战争页面的可疑编辑，描述了识别操纵维基百科的方法。ISD/CSAM 分析的重点是 86 个一直在编辑俄乌战争页面的账户，这些账户随后因违反其规则而被维基百科禁止。研究人员表示，他们的目标是检查维基百科在哪些方面容易受到针对其他社交媒体平台（包括 Facebook、Twitter、YouTube 和 Reddit）的相同类型的操纵。“众所周知，维基百科对破坏行为具有弹性。所有编辑都是开放的，破坏行为可以快速回滚，页面可以被锁定和保护，并且该网站由机器人和编辑器的组合巡逻，“该研究指出。

详情

澳大利亚保险公司Medibank确认遭受勒索软件攻击

日期: 2022-10-17
标签: 澳大利亚, 金融业, 信息技术, Medibank, 网络犯罪, 

2022年10月17日，澳大利亚保险公司Medibank发布通知确认遭受了勒索软件攻击，导致在线服务中断。Medibank Private Limited 拥有 4,000 名员工，是澳大利亚最大的私人健康保险提供商之一，客户超过 370 万人。该公司于2022年10月12 日星期三首次检测到其网络上的异常活动，并立即关闭了部分系统，包括面向客户的服务，以减少数据丢失的可能性。2022年10月14日，Medibank 发送了大约 280 万封电子邮件和短信，通知其客户有关安全事件并为中断提供解释。首席执行官 David Koczkar 为临时服务中断道歉，确认他们遭受了勒索软件攻击，并告知客户正常运营已经恢复。Koczkar 表示虽然公司遭受了勒索软件攻击，但在攻击期间没有系统被加密，此外没有发现任何证据表明攻击者窃取了客户数据。

详情

OpenAI：学生正在使用AI工具为他们写论文

日期: 2022-10-17
标签: 信息技术, 教育行业, 人工智能, 

大学生使用高级语言生成器和AI语言工具（如OpenAI游乐场）来参加考试。根据Motherboard的说法，这些工具可以帮助学生毫不费力地撰写论文，因为在这些人工智能产生的回复中，很难检测到它是否“不是”由学生自己写的。由于这些反应甚至无法被抄袭软件检测到，学校和大学可能会发现对抗这种下一代颠覆具有挑战性。在接受主板采访时，一名使用Reddit用户名innovative_rye的学生说：“这将是简单的作业，包括扩展的响应。除此之外，innovative_rye还描述了使用人工智能工具如何帮助他专注于他认为重要的事情。虽然人工智能生成的写作是否应该被视为原创作品仍然是一个有争议的话题，因为它在抄袭软件中未被发现，他们将这些人工智能制作的提示视为原创作品。虽然这确实是教师关注的问题，因为这些学生在他们的论文中肯定是作弊的，但人工智能工具也提出了学习是否正在向前发展的问题。

详情

勒索软件攻击阻止一些德国报纸的发行

日期: 2022-10-17
标签: 德国, 信息技术, Heilbronn Stimme, Pressedruck, Echo, 网络犯罪, 

德国报纸“Heilbronn Stimme”在10月14日遭受勒索软件攻击后，以电子纸形式发布了28页期刊。10月15日，该报发布了“紧急”六页版，而所有计划的讣告都发布在网站上。电话和电子邮件通信在周末保持离线状态。

该区域性出版物的发行量约为75，000份，但由于印刷问题，已暂时从其网站上取消了付费墙，该网站每月约有200万访问者。这次袭击影响了整个麦迪恩格鲁普媒体集团，其中包括“Pressedruck”，“Echo”和“RegioMail”公司。这次攻击是由一个着名的网络犯罪组织进行的，到目前为止还没有提出具体的赎金要求。媒体集团正在与警方合作，寻找尽快解决技术问题的方法，并试图找出攻击者。

详情

虚假信息攻击威胁美国中期选举

日期: 2022-10-17
标签: 美国, 朝鲜, 伊朗, 政府部门, 信息技术, 网络犯罪, 

专家表示，外国继续以各种美国公共实体和私营企业为目标进行网络攻击，但即将到来的中期选举正在推动更多的虚假信息而不是黑客攻击。虽然针对美国政府组织的传统网络攻击行动仍然相当一致，但在美国中期选举前夕，外国的影响力和虚假信息攻击有所增加。外国继续对美国公共和私人组织进行各种攻击。除了Budworm（又名水生熊猫）之外，网络安全服务公司CrowdStrike还遇到了朝鲜黑客组织，如星尘乔利马攻击金融机构并窃取加密货币以及伊朗组织，如针对美国政府官员的迷人小猫。距离美国中期选举还有不到一个月的时间，许多虚假信息都集中在试图改变犹豫不决的选民的态度上，并激励支持者下车投票。为了向美国公民保证他们的选票将算数，网络安全和基础设施安全局（CISA）和联邦调查局（FBI）于10月4日发布了一份公告，强调这些机构尚未看到任何重大或成功的对选举制度的攻击。

详情

微软Office 365邮件加密 （OME）中的安全漏洞

日期: 2022-10-17
标签: 金融业, 信息技术, 微软（Microsoft）, 加密货币, 密码学, 

新的研究揭示了Microsoft 365中的安全漏洞，由于使用了损坏的加密算法，该漏洞可能被利用来推断消息内容。消息以不安全的电子密码本（ECB）操作模式进行加密。Office 365 邮件加密 （OME） 是一种安全机制，用于在组织内外的用户之间发送和接收加密的电子邮件，而不会泄露有关通信本身的任何信息。新披露的漏洞的后果是，获得加密电子邮件访问权限的流氓第三方可能能够破译这些消息，从而有效地破坏了机密性保护。电子密码本是最简单的加密模式之一，其中每个消息块由密钥单独编码，这意味着相同的明文块将被转置为相同的密文块，使其不适合作为加密协议。微软则将OME视为遗留系统，该公司建议客户使用名为Purview的数据治理平台，通过加密和访问控制来保护电子邮件和文档。

详情

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0a   时间线

2022-10-24 360CERT发布安全事件周报