安全事件周报 (10.31-11.06)
2022-11-07 15:07

报告编号:B6-2022-110701

报告来源:360CERT

报告作者:360CERT

更新日期:2022-11-07

0x01   事件导览

本周收录安全热点52项,话题集中在恶意程序网络攻击方面,涉及的组织有:KillnetJeppesenCheggOPERA1ER等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意程序
研究人员发现了 29 个针对开发人员的恶意 PyPI 包
奥利奥制造商亿滋解决NotPetya“战争行为”保险诉讼
RomCom RAT 恶意软件活动冒充 KeePass、SolarWinds NPM、Veeam
新型剪贴板窃取程序Laplas Clipper
黑巴斯塔勒索软件团伙与FIN7黑客集团有关联
Emotet僵尸网络在中断5个月后再次回归
在 Google Play 上发现安装量为 1M+ 的恶意安卓应用
新的SandStrike间谍软件通过恶意VPN应用程序感染Android设备
谷歌广告 GIMP.org 通过类似网站提供信息窃取恶意软件
被指控的 “浣熊” 恶意软件开发商被起诉
数据安全
沃达丰意大利在经销商被黑客入侵后披露数据泄露
网络攻击
Transparent Tribe使用新的TTP和工具攻击印度政府组织
FBI:Hacktivist DDoS攻击对关键组织的影响很小
美国财政部再次阻止亲俄黑客组织Killnet的DDoS攻击
ALMA天文台因网络攻击关闭运营
澳大利亚国防部遭受网络攻击
源于南亚的APT组织:Bahamut最新移动端攻击活动披露
"南亚之蟒"针对印度国防部投递新型Python,开展持久间谍活动
安全漏洞
CloudSEK披露的导弹供应商MBDA漏洞
OpenSSL发布两个严重漏洞的补丁
黑客窃取Dropbox的130个GitHub存储库
Microsoft修复了影响Azure Cosmos DB的RCE严重漏洞
安全分析
疑似Lazarus组织针对韩国的攻击活动分析
其他事件
黑客滥用MS Dynamics 365Customer Voice窃取用户凭据
美国国土安全部承认曾试图为特朗普制造假恐怖分子
德国警方逮捕运营暗网的学生
乌克兰遭受通信中断,1,300个SpaceX卫星单元因资金问题而脱机
ACE 查获了 42 个足球和直播电视盗版网络域名
英国政府正在扫描在英国托管的所有互联网设备
波音子公司Jeppesen受到潜在的勒索软件攻击
LockBit勒索软件声称对汽车巨头Continental的攻击
新型BEC诈骗活动冒充律师事务所
“海莲花”组织运营的物联网僵尸网络Torii分析
OPERA1ER黑客从银行和电信公司窃取了超过1100万美元
微软发布“LockSmith”工具,可释放锁定文件
250多家美国新闻网站被安装恶意软件
法国国防公司否认遭受勒索软件攻击
恶意概念验证(poc)使 GitHub 用户暴露于恶意软件中
美国政府员工面临来自过时的Android,iOS的移动攻击
美国指控8人涉嫌网络犯罪、税务欺诈
美国政府举办“反勒索软件倡议”面对面会议
美国司法部起诉网络犯罪集团RICO
英国政府证实其情报机构正在帮助保卫乌克兰
CISA发布关于应用MFA的指导意见
黑客以400万美元的价格出售576个企业网络的访问权限
Chegg在3年内遭受四次数据泄露后被FTC起诉
美国政府发布供应链安全保障建议指南
澳大利亚医疗行业近几月屡次遭受网络攻击
美国政府发布DDoS攻击应对指南
英国官员呼吁调查疑似被掩盖的外交官员电话窃听事件
香港:43名涉嫌透过网上购物诈骗及爱情诈骗向受害人诈骗港币1200万元被捕
印第安纳波利斯住房管理局受到勒索软件攻击

0x03   恶意程序

研究人员发现了 29 个针对开发人员的恶意 PyPI 包

日期: 2022-11-05
标签: 美国, 信息技术, PyPI, W4SP Stealer, 恶意包, 

2022网11月5日,软件供应链安全公司 Phylum的网络安全研究人员发布报告表示,在 Python 编程语言的官方第三方软件存储库 Python 包索引 (PyPI) 中发现了 29 个包,这些包旨在用名为W4SP Stealer的恶意软件感染开发人员的机器。W4SP Stealer是一种基于 Python 的开源木马,具有窃取感兴趣文件、密码、浏览器 cookie、系统元数据、Discord 令牌以及来自 MetaMask、Atomic 和 Exodus 加密钱包的数据的功能。违规软件包包括typesutil、typestring、sutiltype、duonet、fatnoob、strinfer、pydprotect、incrivelsim、twyne、pyptext等。这些软件包已被下载超过 5,700 次,其中一些库(例如 twyne 和 colorsama)依赖于域名抢注来诱骗受害者进行下载。欺诈模块通过在包的“ setup.py ”脚本中插入恶意导入语句来重新利用现有的合法库,以启动一段从远程服务器获取恶意软件的 Python 代码。

详情

http://urlqh.cn/n0qo4

奥利奥制造商亿滋解决NotPetya“战争行为”保险诉讼

日期: 2022-11-04
标签: 乌克兰, 金融业, 信息技术, 制造业, 奥利奥(Oreos), 丽思饼干(Ritz Crackers), 亿滋国际(Mondelez International), 

奥利奥(Oreos)和丽思饼干(Ritz Crackers)的制造商亿滋国际(Mondelez International)已经解决了针对其网络保险公司的诉讼,此前该提供商拒绝支付2017年庞大的NotPetya勒索软件攻击造成的数百万美元的清理费用。这家零食巨头最初于2018年对苏黎世美国保险公司提起诉讼,NotPetya完成了对主要跨国公司的全球网络洗劫,此后此案一直在法庭上被捆绑。NotPetya在2018年被美国政府称为“历史上最具破坏性和最昂贵的网络攻击”,它最初是破坏乌克兰的目标,然后蔓延到全球,最终影响了65个国家的公司,并造成了数十亿美元的损失。由于在攻击链中使用了EternalBlue蠕虫漏洞,它迅速传播,这是一种泄露的NSA武器,允许恶意软件使用Microsoft SMB文件共享在系统之间自我传播。这次攻击的著名受害者包括联邦快递、航运巨头马士基和制药巨头默克等。

详情

http://urlqh.cn/n1JTo

RomCom RAT 恶意软件活动冒充 KeePass、SolarWinds NPM、Veeam

日期: 2022-11-03
标签: 信息技术, RomCom, 网络犯罪, 

2022年11月3日,BlackBerry的研究人员发布报告,称发现RomCom RAT(远程访问木马)背后的攻击者更新了其攻击向量,正在滥用知名软件品牌进行分发。 RomCom 的攻击者创建了克隆 SolarWinds Network Performance Monitor (NPM)、KeePass 密码管理器和 PDF Reader Pro 的官方下载门户的网站,将恶意软件伪装成合法程序。此外,Unit 42发现攻击者创建了一个冒充 Veeam Backup and Recovery 软件的站点。除了复制 HTML 代码来重现真实站点外,黑客还注册了拼写错误的“相似”域,以进一步增加恶意站点的真实性。BlackBerry的研究人员此前还检测到用于攻击 乌克兰军事机构的 RomCom 恶意软件。报告提到古巴勒索软件和工业间谍可能与此次行动有关。然而,RomCom 攻击者背后的动机仍不清楚。

详情

http://urlqh.cn/n0p8i

新型剪贴板窃取程序Laplas Clipper

日期: 2022-11-03
标签: 金融业, 信息技术, Laplas Clipper, 加密货币, 

2022年11月3日,Cyble的安全研究人员发布报告,称在野外发现的一个名为 Laplas Clipper 的新剪贴板窃取程序正在使用看起来像受害者预期收件人地址的加密货币钱包地址。Laplas Clipper与其他同类恶意软件不同,后者通常只是信息窃取恶意软件的附加组件。Laplas Clipper是一个功能丰富的工具,可以让黑客进行更精细的控制并更好地了解他们的操作效率。Cyble的安全研究人员指出,在大约一周内,在野外发现的 Laplas Clipper 样本数量从每天不到 20 个增加到上个月底的 55 个。目前,Laplas 通过 Smoke Loader 和 Raccoon Stealer 2.0 分发,可见其已引起网络犯罪社区的关注。为防范此类攻击,建议用户避免从不知名的网站下载可执行文件或运行通过电子邮件收到的附件,并在进行加密货币交易之前多花一点时间验证收款人的地址。

详情

http://urlqh.cn/n2u9C

黑巴斯塔勒索软件团伙与FIN7黑客集团有关联

日期: 2022-11-03
标签: 信息技术, 网络犯罪, 

Sentinel Labs的安全研究人员发现了将Black Basta勒索软件团伙与出于经济动机的黑客组织FIN7(也称为“Carbanak”)联系起来的证据。在分析勒索软件团伙在攻击中使用的工具时,研究人员发现有迹象表明,自 2022 年 6 月以来,FIN7 的开发人员还编写了 Black Basta 独家使用的 EDR(端点检测和响应)规避工具。将两者联系起来的进一步证据包括 FIN7 在 2022 年初使用的 IP 地址和特定的 TTP(策略、技术和程序),几个月后在实际的 Black Basta 攻击中看到。虽然这些技术上的相似之处表明Fin7成员是Black Basta行动的一部分,但目前尚不清楚他们是否只是该组织,运营商或附属机构的开发人员,在攻击期间使用自己的工具。

详情

http://urlqh.cn/n2dHq

Emotet僵尸网络在中断5个月后再次回归

日期: 2022-11-02
标签: 信息技术, 

2022年11月2日,Cryptolaemus的研究人员报告说,在美国东部时间2022年 11 月 2 日凌晨 4:00 左右,Emotet 突然再次活跃起来,并开始向全球发送电子邮件地址。 Emotet 在过去被认为是分布最广的恶意软件,但它在 2022 年 6 月 13 日突然停止发送垃圾邮件。在经历了近五个月的“假期”之后,Emotet 恶意软件操作再次向恶意电子邮件发送垃圾邮件。Emotet 是一种恶意软件感染,通过包含恶意 Excel 或 Word 文档的网络钓鱼活动传播。研究人员表示,2022年11月初的 Emotet 电子邮件活动正在使用被盗的电子邮件回复链来分发恶意 Excel 附件。从上传到 VirusTotal的样本中,研究人员发现以各种语言和文件名针对全球用户的附件,伪装成发票、扫描件、电子表格和其他诱饵。

详情

http://urlqh.cn/n15w2

在 Google Play 上发现安装量为 1M+ 的恶意安卓应用

日期: 2022-11-01
标签: 信息技术, 

在Android系统的官方商店Google Play中可用的一组四个恶意应用程序正在引导窃取敏感信息或为运营商产生“按点击付费”收入的用户网站。其中一些网站为受害者提供下载虚假安全工具或更新的机会,以诱骗用户手动安装恶意文件。这些应用仍以名为“移动应用组

(Mobile apps Group)”的开发者帐户存在于Google Play上,并且总安装量超过一百万。这次发现的四个恶意应用程序是:

• 蓝牙自动连接,安装量超过 100万次

• 蓝牙应用发送器,安装量超过 5万次

• 驱动程序:蓝牙,Wi-Fi,USB,安装量超过1万次

• 移动传输:智能交换机,安装量超过 1000 次

如果您的Android设备上存在上述应用程序之一,建议您删除它们并使用Play Protect或信誉良好的供应商提供的移动防病毒套件运行完整的系统扫描。

详情

http://urlqh.cn/n2Z0g

新的SandStrike间谍软件通过恶意VPN应用程序感染Android设备

日期: 2022-11-01
标签: 伊朗, 中东, 信息技术, SandStrike, 移动安全, 

黑客正在使用新发现的间谍软件,称为SandStrike,并通过恶意VPN应用程序来针对Android用户。他们的目标是在伊朗和中东部分地区发展起来的宗教。为了传播恶意VPN应用程序,他们使用社交媒体帐户将潜在受害者重定向到 Telegram 频道,该频道将为他们提供下载和安装诱杀 VPN 的链接。使用SandStrike的黑客建立了拥有1000多名粉丝的Facebook和Instagram帐户,并设计了有吸引力的宗教主题材料,为这种信仰的追随者设置了一个有效的陷阱。该恶意软件将窃取各种类型的信息,例如通话记录和联系人列表,还将监视受感染的Android设备,以帮助其创建者跟踪受害者的活动。

详情

http://urlqh.cn/n2xgr

谷歌广告 GIMP.org 通过类似网站提供信息窃取恶意软件

日期: 2022-11-01
标签: 信息技术, 谷歌(Google), 网络犯罪, 

2022年10月底,在谷歌上搜索“GIMP”会向访问者展示“GIMP.org”的广告,这是著名的图形编辑器GNU图像处理程序的官方网站。

此广告似乎是合法的,因为它将“GIMP.org”作为目标域。但是点击它使访问者进入一个类似的网络钓鱼网站,该网站为他们提供了一个伪装成 GIMP 的 700 MB 可执行文件,实际上是恶意软件。这种恶意广告活动将访问者带到一个类似的网络钓鱼页面,该页面提供恶意的“设置.exe”,似乎是Windows的GIMP实用程序。在整个过程使用了一个名为VIDAR的信息窃取木马。Vidar变体试图从受感染的计算机中窃取的数据包括以下内容:

• 所有流行的浏览器信息,例如密码、cookie、历史记录和信用卡详细信息。

• 加密货币钱包。

• 根据 TA 给出的正则表达式字符串的文件。

• Windows 版本的电报凭据。

• 文件传输应用程序信息(WINSCP,FTP,FileZilla)

• 邮寄申请信息。

详情

http://urlqh.cn/n1IyO

被指控的 “浣熊” 恶意软件开发商被起诉

日期: 2022-10-31
标签: 乌克兰, 俄罗斯, 信息技术, Raccoon Stealer, 网络犯罪, 俄乌战争, 

一名26岁的乌克兰男子正在等待从荷兰引渡到美国,罪名是他是Raccoon的核心开发人员,Raccoon是一种流行的“恶意软件即服务”产品,帮助付费客户窃取数百万网络犯罪受害者的密码和财务数据。KrebsOnSecurity了解到,被告在俄罗斯入侵后的几周内逃离乌克兰的义务兵役后,于2022年3月被逮捕。德克萨斯州西区的美国检察官在10月底公布了一份起诉书,将乌克兰国民马克·索科洛夫斯基(Mark Sokolovsky)命名为浣熊信息窃取者业务的核心开发商,该业务从2019年开始在几个俄语网络犯罪论坛上销售。Raccoon本质上是一个基于Web的控制面板,客户每月只需200美元就可以获得最新版本的Raccoon Infostealer恶意软件,并与受感染的系统实时交互。安全专家表示,浣熊恶意软件窃取的密码和其他数据经常被转售给参与部署勒索软件的团体。

详情

http://urlqh.cn/n1ZU2

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

沃达丰意大利在经销商被黑客入侵后披露数据泄露

日期: 2022-11-02
标签: 意大利, 信息技术, FourB S.p.A., KelvinSecurity, 

沃达丰意大利公司正在向客户发送数据泄露通知,告知其商业合作伙伴之一FourB S.p.A.(该公司在该国作为电信服务经销商运营)遭受了网络攻击。根据通知,网络攻击发生在9月的第一周,导致敏感用户详细信息泄露。公开的信息包括订阅详细信息、包含敏感数据的身份证件和联系方式。沃达丰意大利敦促通知的接收者对传入的通信保持警惕,因为成为网络钓鱼行为者和诈骗者目标的风险现在已经增加。FourB已关闭对被破坏服务器的访问,并在其系统上实施了更高级别的安全性,以防止将来发生类似事件。2022 年 9 月 3 日,一个自称为 KelvinSecurity 的黑客组织声称对这家电信公司进行了攻击。KelvinSecurity提出出售295,000个文件,总计310 GB的数据,据称他们从Vodafone Italia窃取了这些信息,并在消息传递平台和至少一个黑客论坛上宣传缓存。虽然目前尚不清楚这是否与沃达丰此次的披露有关.

详情

http://urlqh.cn/n1SYF

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

0x05   网络攻击

Transparent Tribe使用新的TTP和工具攻击印度政府组织

日期: 2022-11-04
标签: 巴基斯坦, 印度, 政府部门, Transparent Tribe, APT舆情, 

Transparent Tribe是一个巴基斯坦的高级持续威胁组织,主要针对在印度政府组织工作的用户。Zscaler发现该组织滥用Google广告来进行恶意广告活动以分发Kavach多身份验证(MFA)应用程序的后门版本。该组织还伪装成印度政府官方网站进行了非常少量的凭据收集攻击,并引诱用户输入他们的凭据。还发现了该组织正在使用的新数据渗漏工具“Limepad”。

详情

http://urlqh.cn/mZbZF

FBI:Hacktivist DDoS攻击对关键组织的影响很小

日期: 2022-11-04
标签: 美国, 俄罗斯, 乌克兰, 信息技术, DDoS, 网络犯罪, 

联邦调查局(FBI)11月4日表示,由黑客组织协调的分布式拒绝服务(DDoS)攻击对他们所针对的服务影响很小。正如执法机构在发布的私营行业通知中所解释的那样,发生这种情况是因为他们针对面向公众的基础设施,如网站,而不是实际服务,导致有限的中断。该机构表示:恰逢俄罗斯入侵乌克兰,联邦调查局意识到亲俄黑客组织利用DDoS攻击针对关键基础设施公司,但收效甚微。这些攻击本质上通常是机会主义的,并且通过DDoS缓解步骤,对受害者的运营影响最小;然而,黑客行动主义者经常会在社交媒体上宣传和夸大攻击的严重性。此类组织通常针对备受瞩目的或关键基础设施组织,如金融机构、紧急服务、机场以及政府、卫生和医疗机构。

详情

http://urlqh.cn/n1apJ

美国财政部再次阻止亲俄黑客组织Killnet的DDoS攻击

日期: 2022-11-02
标签: 俄罗斯, 美国, 信息技术, Killnet, DDoS, 网络犯罪, 

2022年11月2日,美国财政部再次阻止了俄罗斯黑客组织 Killnet的分布式拒绝服务 (DDoS) 攻击。俄罗斯黑客组织 Killnet声称对2022年10月10日十几个美国机场的网站下线负责。但大规模 DDoS 攻击并未中断航空旅行或对机场造成任何运营损害。2022年10月11日,俄罗斯黑客组织 Killnet又声称他们在摩根大通释放了另一支机器人大军。 据路透社称,Killnet 的DDoS 攻击对该机构的运营工作没有造成任何影响。同样在2022年 10 月,Killnet 声称对关闭科罗拉多州、肯塔基州、密西西比州和其他州的美国州政府网站负责。美国财政部报告表明,勒索软件继续对美国关键基础设施、企业和公众构成重大威胁,并且大量勒索软件攻击似乎与俄罗斯的来源有关。

详情

http://urlqh.cn/n3qwz

ALMA天文台因网络攻击关闭运营

日期: 2022-11-03
标签: 智利, 科研服务, ALMA, 

智利阿塔卡马大型毫米波阵列 (ALMA) 天文台在 2022 年 10 月 29 日星期六发生网络攻击后暂停了所有天文观测操作,并使其公共网站下线。天文台的电子邮件服务目前有限,IT专家正在努力恢复受影响的系统。该组织11月3日在推特上向公众通报了这一安全事件,称目前,鉴于该事件的性质,无法估计恢复正常运营的日期。天文台还澄清说,这次攻击没有损害ALMA天线或任何科学数据,表明没有未经授权的数据访问或泄露的迹象。ALMA天文台由66个直径为12米的高精度射电望远镜组成,排列在两个阵列中,位于Chajnantor高原海拔5,000米(16,400英尺)处。该项目耗资14亿美元,是世界上最昂贵的地面望远镜,它是在美国、欧洲、加拿大、日本、韩国、台湾和智利等国共同努力下开发的。

详情

http://urlqh.cn/n3N4F

澳大利亚国防部遭受网络攻击

日期: 2022-11-02
标签: 澳大利亚, 信息技术, 澳大利亚国防部, 网络犯罪, 

2022年11月2日,澳大利亚国防部表示,担心在军方使用的一个通信平台遭到勒索软件攻击后,国防部等人员的个人信息可能被泄露。 黑客组织攻击了由外部信息和通信技术 (ICT) 提供商运营的 ForceNet 服务。 该黑客组织一开始告诉国防部,没有前任或现任人员的数据被泄露。但澳大利亚国防部认为,入伍日期和 DoB 等个人信息可能已被盗,并表示这个问题正在“非常严肃地”处理。此次攻击事件涉及 ForceNet,但澳大利亚国防部确信 ForceNet 的黑客攻击并非针对该部门的 IT 系统。

详情

http://urlqh.cn/n4e7e

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

日期: 2022-11-01
标签: 阿根廷, 澳大利亚, 德国, 印度, 荷兰, 俄罗斯, 新加坡, 瑞典, 阿联酋, 孟加拉国, 英国, 信息技术, Bahamut, APT舆情, 

近期,安天移动威胁情报团队监控到多例隶属于Bahamut的移动端攻击样本,并通过该系列样本拓线出多个隶属于Bahamut的C2服务器后台。其中一例C2后门服务器的受害者分析:其最早的受害者数据上传于2022年4月,因此推测此次攻击活动始于2022年4月之前;且该服务器中共存有65名受害者信息,受害者所处地域分布较散,包含阿根廷、澳大利亚、德国、印度、荷兰、俄罗斯、新加坡、瑞典、阿联酋、孟加拉国和英国等,其中位于印度,新加坡和荷兰的受害者居多。

详情

http://urlqh.cn/n2FY0

"南亚之蟒"针对印度国防部投递新型Python,开展持久间谍活动

日期: 2022-10-31
标签: 印度, 信息技术, 政府部门, CVE-2017-0199, 

近日,猎影实验室捕获到南亚地区“网络冲突间谍战”中的恶意文档文件,文件运行后将加载远程模板中的宏代码执行,后续在本地释放PyInstaller打包的文件窃密器。 此次捕获攻击活动主要包含以下特点:

• 活动针对印度国防部下设的CSD部门(Canteen Stores Department,南亚地区多个国家国防部均设此部门,专为武装部队人员、退役军人和国防文职人员购买日用产品所设,提供曲别针、汽车等4千多种产品);

• 活动通过CVE-2017-0199漏洞利用样本下发后续包含宏代码的远程模板文件;

• 活动最后阶段部署Python后门对目标人群进行持久化文件窃取。

详情

http://urlqh.cn/n4Lmn

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

CloudSEK披露的导弹供应商MBDA漏洞

日期: 2022-11-02
标签: 能源业, MBDA, 

在线别名Adrastea运营的黑客声称已经违反了MBDA。黑客组织将自己描述为一个由独立网络安全专家和研究人员组成的团队。根据Adrastea的说法,他们已经获取了60 GB的敏感数据,并发现了该组织基础设施中的重大缺陷。根据攻击者的说法,被盗材料包括有关参与军事计划,商业企业,合同协议以及与其他企业的通信的剩余劳动力的详细信息。CloudSEK的安全研究人员发布了有关针对MBDA的可疑黑客活动的新公告。10月31日发布的博客网站声称,CloudSEK的研究人员成功地找到并解密了受密码保护的ZIP文件,该文件包含数据泄露的证据。该文件夹包含概述MBDA员工私人个人身份信息(PII)的文件以及许多标准操作程序(SOP),支持北约反情报部门防止与恐怖主义,间谍活动,破坏和颠覆(TESS)相关的威胁。由于这是该黑客的第一次已知活动,因此很难确定发布的材料是否准确。

详情

http://urlqh.cn/n0vaz

OpenSSL发布两个严重漏洞的补丁

日期: 2022-11-01
标签: 美国, 信息技术, OpenSSL, 

2022年11月2日,OpenSSL 项目在其用于加密通信通道和 HTTPS 连接的开源密码库中修补了两个严重安全漏洞。这些漏洞(CVE-2022-3602 和 CVE-2022-3786 ) 影响 OpenSSL 3.0.0 及更高版本,并已在 OpenSSL 3.0.7 中得到解决。CVE-2022-3602 是任意 4 字节堆栈缓冲区溢出,可能触发崩溃或导致远程代码执行 (RCE),而 CVE-2022-3786 可被攻击者通过恶意电子邮件地址利用来触发拒绝服务状态通过缓冲区溢出。在补丁发布之前,该漏洞在安全社区中引发了一阵恐慌,担心这可能是另一个Heartbleed bug,这是OpenSSL加密软件库中最危险的漏洞之一,允许攻击者窃听通信并直接从服务中窃取数据。OpenSSL 还提供了一些缓解措施,要求管理员操作 TLS 服务器禁用 TLS 客户端身份验证,直到应用了补丁更新。

详情

http://urlqh.cn/mZLLV

黑客窃取Dropbox的130个GitHub存储库

日期: 2022-11-01
标签: 信息技术, GitHub, Dropbox, 

Dropbox 披露了一个安全漏洞,因为黑客在使用网络钓鱼攻击中窃取的员工凭据访问其一个 GitHub 帐户后窃取了 130 个代码存储库。该公司发现攻击者在 10 月 14 日破坏了该帐户,当时 GitHub 通知它在发送警报前一天开始的可疑活动。Dropbox在11月1日透露:迄今为止,调查发现,这个威胁行为者访问的代码包含一些凭据 - 主要是API密钥 - 由Dropbox开发人员使用。代码及其周围的数据还包括属于Dropbox员工,当前和过去客户,销售线索和供应商的数千个姓名和电子邮件地址(例如,Dropbox拥有超过7亿注册用户)。在窃取了Dropboxers的凭据后,攻击者获得了Dropbox的一个GitHub组织的访问权限,并窃取了其130个代码存储库。该公司表示这些库是内部原型以及安全团队使用的一些工具和配置文件。

详情

http://urlqh.cn/mZ4gN

Microsoft修复了影响Azure Cosmos DB的RCE严重漏洞

日期: 2022-11-01
标签: 美国, 信息技术, 微软(Microsoft), 云计算, 

2022年11月1日,Orca Security的分析师发布研究报告,称发现了一个影响Azure Cosmos DB的关键漏洞,该漏洞允许对容器进行未经身份验证的读写访问。名为 CosMiss 的安全漏洞存在于 Azure Cosmos DB 内置的 Jupyter Notebooks,它集成到 Azure 门户和 Azure Cosmos DB 帐户。Azure Cosmos DB 是 Microsoft 完全托管的 NoSQL 数据库,它为各种规模的应用程序提供广泛的 API 类型支持。Jupyter Notebooks 是一个基于 Web 的交互式平台,允许用户访问 Cosmos DB 数据。Cosmos DB Jupyter Notebooks缺少身份验证检查,如果它们具有Notebooks工作区的UUID,则可以防止未经授权的访问,甚至可以修改容器。Orca 的研究人员于 2022 年 10 月 3 日向 Microsoft 报告了他们的发现,软件供应商在 2022 年 10 月 5 日的两天内解决了该严重漏洞。

详情

http://urlqh.cn/n1uNl

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

0x07   安全分析

疑似Lazarus组织针对韩国的攻击活动分析

日期: 2022-11-02
标签: 韩国, 信息技术, Lazarus, APT舆情, 

近期,安天CERT发现一起针对韩国的攻击活动,诱饵文档标题为“Sogang KLEC.docx”(西江大学韩国语言教育中心.docx)。对获取到的样本以及关联到的恶意载荷进行分析研判,最终将其关联到Lazarus组织。此次攻击活动的攻击流程大致如下所示:

• 采用模板注入的方式,等待诱饵文档被打开后将攻击者构造的恶意模板下载到主机执行。

• 模板中的宏代码请求指定的URL,下载恶意载荷并将其注入到WINWORD.exe中执行。

• 下载到的恶意载荷主要用于释放下载工具IEUpdate.exe并执行,以及将其添加至注册表RUN中实现持久化。

• IEUpdate.exe得到执行后发送消息获取后续通信使用的C2,根据回传的信息下载不同恶意载荷执行。

• 目前已知存在两种载荷hvncengine.dll和shellengine.dll,用于与C2通信以实现远程控制。

详情

http://urlqh.cn/n1Xpz

0x08   其他事件

黑客滥用MS Dynamics 365Customer Voice窃取用户凭据

日期: 2022-11-05
标签: 信息技术, 微软(Microsoft), 网络犯罪, 

2022年11月5日,Check Point 软件公司 Avanan发布研究报告,分享了黑客如何试图滥用Dynamics 365 Customer Voice 的详细信息。根据 Avanan 的研究,攻击者滥用 Microsoft 通知中看似真实的链接来提供凭据窃取页面。攻击者伪装成 Dynamic 365 的调查功能发送恶意电子邮件,通知受害者有新的语音邮件消息。还有另一封电子邮件包含来自 Microsoft 的合法客户语音链接。 然而,当受害者点击播放语音邮件时,他们会被重定向到一个看起来与 Microsoft 登录页面完全一样的页面的网络钓鱼链接。由于客户语音链接是合法的,扫描仪将电子邮件作为合法传递。这一切都从播放语音邮件按钮开始,因为此按钮重定向到网络钓鱼链接。Avanan 研究人员透露,攻击者使用静态高速公路来接触最终用户。这种技术利用合法站点绕过安全扫描器,因为链接来自受信任的来源,因此扫描器无法检测到它们的恶意行为。

详情

http://urlqh.cn/n4jFj

美国国土安全部承认曾试图为特朗普制造假恐怖分子

日期: 2022-11-06
标签: 美国, 政府部门, 

2022年11月6日,美国国土安全部发布调查报告,详细说明了将在波特兰被捕的抗议者与特朗普虚构的反法阴谋联系起来的命令。美国俄勒冈州民主党参议员罗恩·怀登(Ron Wyden)本月公开了一份内部调查报告,详细介绍了国土安全局律师对特朗普代理国土安全部长查德·沃尔夫(Chad Wolf)此前未公开的一项行动的调查结果,其中涉及特朗普的代理国土安全部部长查德·沃尔夫此前未公开的在波特兰收集美国人的秘密档案。该报告描述了高级官员试图将抗议者与想象中的恐怖阴谋联系起来,显然是为了提高特朗普的连任几率,这引发了人们对现任总统是否有能力为他们的总统征用价值数十亿美元的国内情报资产的担忧。国土安全部的报告全面描述了官员抗议遏制幕后发生的情报活动。Ron Wyden表示,特朗普政府官员宣传“毫无根据的阴谋论”,为总统的“政治利益”制造国内恐怖主义威胁,这是“扭曲的努力”。

详情

http://urlqh.cn/n1I44

德国警方逮捕运营暗网的学生

日期: 2022-11-05
标签: 德国, 信息技术, 网络犯罪, 暗网, 

2022年10月,一名22岁的学生被抓获,德国联邦警察怀疑他是最大的德语暗网论坛之一的负责人。被告的身份尚未披露,他被控经营一个犯罪交易平台,如果罪名成立,将面临最高 10 年的监禁。 嫌疑人于2022年 10 月被捕,当时巴伐利亚中央网络犯罪办公室 (ZCB) 的官员和联邦警察检查了两所房屋并没收了系统、智能手机和其他证据。根据德国执法部门透露,这名学生来自下巴伐利亚州,自 2018 年 11 月以来一直担任德国第三个变种“im Deep Web”的运营商。2017年,德国警方关闭了Deutschland im Deep Web,并在此期间抓获了该运营商,该运营商于2018年被判入狱七年。

详情

http://urlqh.cn/n0qEA

乌克兰遭受通信中断,1,300个SpaceX卫星单元因资金问题而脱机

日期: 2022-11-04
标签: 乌克兰, 俄罗斯, 英国, 政府部门, 信息技术, 俄乌战争, 

乌克兰对其部队可能无法使用埃隆·马斯克(Elon Musk)至关重要的Starlink互联网服务的担忧在过去11月初加深,此前该军方的1,300个卫星单位离线。马斯克的私人火箭公司SpaceX制造的小型,易于使用的卫星天线被普遍誉为乌克兰军方改变游戏规则的通信来源,即使手机和互联网网络在与俄罗斯的战争中被摧毁,它也能战斗并保持在线状态。

但最近对SpaceX可靠性的担忧有所增加,因为关于资金的讨论被揭露,并且据报道在前线附近发生了中断。最近的停电始于10月24日,一位了解情况的人将其描述为乌克兰军方的 “巨大问题”。这位知情人士说,由于缺乏资金,航站楼已经断开连接。停电影响了乌克兰3月份从一家英国公司购买的1,300个终端,用于与战斗相关的行动。

详情

http://urlqh.cn/n1viZ

ACE 查获了 42 个足球和直播电视盗版网络域名

日期: 2022-11-04
标签: 文化传播, 创意与娱乐联盟(ACE), 网络犯罪, 

创意与娱乐联盟(ACE)已经关闭了42个盗版电视足球比赛和直播电视的网站,没收了他们的域名并取缔了非法流媒体服务。这些现已解散的网站在过去六个月中累计访问量超过3.08亿次。由于即将于 2022 年 11 月 20 日在卡塔尔举行的 2022 年 FIFA 世界杯,人们的兴趣稳步增长。两个著名的盗版平台“futbollibre.net”和“televisionlibre.net”每月分别有4290万和790万访问者。所有42个网站都由一名阿根廷人运营,大部分流量来自拉丁美洲国家,提供未经授权的阿根廷职业足球联赛,西甲联赛,欧洲冠军联赛等的现场比赛。这些网站链接到已获得合法转播体育赛事许可的频道的现场直播,对这些媒体集团造成了重大的经济损失。

详情

http://urlqh.cn/n4WgS

英国政府正在扫描在英国托管的所有互联网设备

日期: 2022-11-04
标签: 英国, 政府部门, 信息技术, 网络犯罪, 

英国国家网络安全中心(NCSC)是领导该国网络安全任务的政府机构,现在正在扫描英国托管的所有互联网暴露设备以查找漏洞。目标是评估英国对网络攻击的脆弱性,并帮助互联网连接系统的所有者了解其安全状况。这些活动涵盖了在英国境内托管的任何互联网可访问系统,以及由于其高影响而常见或特别重要的漏洞。NCSC使用收集的数据来概述英国在披露漏洞后面临的漏洞,并随着时间的推移跟踪其补救措施。NCSC 的扫描使用托管在专用云托管环境中的工具执行,这些工具来自 scanner.scanning.service.ncsc.gov.uk 和两个 IP 地址(18.171.7.246 和 35.177.10.231)。从这些扫描中收集的数据包括在连接到服务和 Web 服务器时发回的任何数据,例如完整的 HTTP 响应(包括标头)。请求旨在收集检查扫描的资产是否受到漏洞影响所需的最少信息量。如果无意中收集了任何敏感或个人数据,NCSC表示将“采取措施删除数据并防止将来再次捕获数据”。

详情

http://urlqh.cn/n05QY

波音子公司Jeppesen受到潜在的勒索软件攻击

日期: 2022-11-03
标签: 美国, 信息技术, 交通运输, Jeppesen, 

2022年11月3日,提供导航和飞行计划工具的全资波音子公司Jeppesen证实,它正在处理导致一些航班中断的网络安全事件。11月2日,该公司的网站上增加了一条红色横幅,警告这家总部位于科罗拉多州的公司正在遇到“一些产品,服务和沟通渠道的技术问题”。波音公司的一位发言人告诉媒体,这是一个网络安全事件,该公司仍在努力恢复服务。发言人表示:子公司Jeppesen经历了影响某些飞行计划产品和服务的网络事件。有一些飞行计划中断,但没有理由相信这一事件对飞机或飞行安全构成威胁。目前正在与客户和监管机构进行沟通,并努力尽快恢复全面服务。中断的程度尚不清楚,但该事件至少影响了当前和新的空中任务通知(NOTAMs)的接收和处理。最近几个月,美国运输安全管理局(TSA)试图要求航空公司经历的所有网络安全事件在24小时内报告给网络安全和基础设施安全局(CISA)。

详情

http://urlqh.cn/n1ztR

LockBit勒索软件声称对汽车巨头Continental的攻击

日期: 2022-11-03
标签: 德国, 制造业, 信息技术, 交通运输, Continental, LockBit, 网络犯罪, 

LockBit勒索软件团伙声称对针对德国跨国汽车集团大陆(Continental)集团的网络攻击负责。据称,LockBit还从大陆集团的系统中窃取了一些数据,并威胁说,如果该公司在接下来的22小时内不屈服于他们的要求,他们将在他们的数据泄漏网站上发布这些数据。该团伙尚未提供有关其从大陆集团网络泄露哪些数据或何时发生违规行为的任何详细信息。由于 LockBit 表示将发布“所有可用”数据,这表明大陆集团尚未与勒索软件操作进行谈判,或者已经拒绝遵守要求。大陆集团表示:在发现攻击后,大陆集团立即采取了一切必要的防御措施,以恢复其IT系统的全部完整性。在外部网络安全专家的支持下,该公司正在对事件进行调查。调查正在进行中。这家汽车跨国公司尚未分享其调查结果。

详情

http://urlqh.cn/n2Z0p

新型BEC诈骗活动冒充律师事务所

日期: 2022-11-03
标签: 商务服务, 信息技术, BEC, 网络犯罪, 

2022年11月3日,Abnormal Security 的分析师发布报告,称一个名为“Crimson Kingsnake”的商业电子邮件泄露 (BEC) 组织已经出现,该组织冒充国际知名律师事务所,诱骗收件人批准逾期发票付款。这种方法为 BEC 攻击奠定了坚实的基础,因为收件人在收到来自大型律师事务所(如诈骗中冒充的律师事务所)的电子邮件时可能会受到威胁。Abnormal Security 的分析师于 2022 年 3 月首次发现了 Crimson Kingsnake 活动,他们报告称已经确定了 92 个与攻击者相关的域,所有这些域都类似于真正的律师事务所网站,这些律师事务所都是全球性的大型跨国公司。BEC 攻击趋势正在上升,根据 FBI 的数据,从 2016 年到 2019 年,报告的 BEC 引起的损失案件达 430 亿美元,而仅在 2021 年,IC3 就记录了 19,954 个实体因 BEC 诈骗而损失的 24 亿美元。

详情

http://urlqh.cn/n33Pr

“海莲花”组织运营的物联网僵尸网络Torii分析

日期: 2022-11-02
标签: 中国, 越南, 政府部门, 能源业, 卫生行业, APT-C-00(海莲花), 

2022年11月2日,微步在线研究响应中心发布研究报告,对“海莲花”组织运营的物联网僵尸网络Torii进行了分析。“海莲花”,又名APT32和OceanLotus,是疑似越南背景的黑客组织。该组织至少自2012年开始活跃,长期针对中国能源行业、海事机构、边防机构、卫生部门、海域建设部门、科研院所和航运企业等进行网络攻击。Torii木马最早由国外Avast安全厂商在2018年所披露,这表明Torii僵尸网络至少在2018年就开始部署,而后在2021年国内友商披露的RotaJakiro(双头龙)和Torii也存在相似的代码设计思路。攻击者利用1Day、NDay漏洞攻击国内外的IoT设备,且使用Torii特马长期控制,受害设备类型至少包括:三星、Vigor、Draytek路由器和物联网摄像头等。微步认为Torii僵尸网络是由“海莲花”组织所实际控制运营的,并且用于APT作战活动中。

详情

http://urlqh.cn/n02PL

OPERA1ER黑客从银行和电信公司窃取了超过1100万美元

日期: 2022-11-03
标签: 阿根廷, 非洲, 巴拉奎, 孟加拉国, 信息技术, OPERA1ER, 网络犯罪, 

研究人员称之为OPERA1ER的黑客组织使用现成的黑客工具从非洲的银行和电信服务提供商那里窃取了至少1100万美元。该黑客组织由在非洲运作的讲法语的成员组成。除了针对非洲的公司外,该团伙还袭击了阿根廷、巴拉圭和孟加拉国的组织。OPERA1ER依靠开源工具,商品恶意软件以及Metasploit和Cobalt Strike等框架来破坏公司服务器。威胁行为者创建了用法语编写的“高质量”鱼叉式网络钓鱼电子邮件。大多数情况下,这些消息冒充政府税务局或西非国家中央银行 (BCEAO) 的招聘代理。使用被盗的凭据,OPERA1ER访问电子邮件帐户并执行横向网络钓鱼,研究内部文档以了解汇款程序和保护机制,并仔细计划最后的兑现步骤。黑客的目标是控制大量资金并使用被盗凭据将资金转移到渠道用户帐户中的运营商帐户,最终将它们转移到他们控制下的订阅者帐户中。在受害银行上,OPERA1ER 瞄准了 SWIFT 报文传送接口软件,该软件传达了金融交易的所有细节,并窃取了他们需要绕过的反欺诈系统的关键信息。

详情

http://urlqh.cn/mZt4T

微软发布“LockSmith”工具,可释放锁定文件

日期: 2022-11-02
标签: 美国, 信息技术, 微软(Microsoft), 

2022年11月2日,Microsoft 为 PowerToys 工具集提供了一个新实用程序,该实用程序将帮助 Windows 用户使用选定的文件查找进程并进行解锁,而无需第三方工具。PowerToys 0.64.0 还添加了一个 Windows 主机文件编辑器和一长串错误修复和更改,以增加稳定性并改进其他内置工具。新的 File Locksmith 实用程序可用于处理无法删除或打开的锁定文件。File Locksmith 列出了哪些进程正在使用选定的文件或目录,并允许关闭这些进程。该版本还捆绑了一个新的 Hosts File Editor 实用程序,该实用程序有助于管理 Windows Hosts 文件的内容,实现强制链接或映射主机名到 IP 地址。该工具将帮助用户向 Hosts 文件添加新条目并更新已经可用的条目。它还具有过滤功能,可以快速筛选大文件并缩小结果列表。

详情

http://urlqh.cn/n1TMV

250多家美国新闻网站被安装恶意软件

日期: 2022-11-02
标签: 美国, 信息技术, 文化传播, TA569, 供应链攻击, 供应链安全, 

2022年11月2日,企业安全公司 Proofpoint Threat Research发现攻击者正在使用一家未公开媒体公司的受损基础设施在美国数百家报纸的网站上部署 SocGholish JavaScript 恶意软件框架(也称为 FakeUpdates)。这次供应链攻击背后的攻击者(Proofpoint 追踪为 TA569)已将恶意代码注入到新闻媒体网站加载的良性 JavaScript 文件中。该恶意 JavaScript 文件用于安装 SocGholish,这将使用伪装成以 ZIP 存档形式提供的虚假浏览器更新的恶意软件有效负载(例如,Chromе.Uрdatе.zip、Chrome.Updater.zip、Firefoх.Uрdatе。 zip、Operа.Updаte.zip、Oper.Updte.zip)通过虚假更新警报。该恶意软件总共安装在 250 多家美国新闻媒体的网站上,其中一些是主要新闻机构。虽然目前尚不清楚受影响的新闻机构的总数,但 Proofpoint 表示,部分来自纽约、波士顿、芝加哥、迈阿密、华盛顿特区等地。

详情

http://urlqh.cn/n1Twt

法国国防公司否认遭受勒索软件攻击

日期: 2022-11-02
标签: 法国, 信息技术, Thales, 网络犯罪, 

2022年10月31日,在黑客组织威胁要泄露从公司窃取的数据后,法国国防和技术公司Thales否认其遭到勒索软件攻击。Thales的一位发言人证实,他们知道 LockBit 勒索软件组织宣布计划于 11 月 7 日在其泄密网站上发布数据。但Thales公司的发言人表示:“Thales尚未发现任何对其信息系统的影响或入侵痕迹。此外,我们还没有收到任何直接的赎金通知。”尽管Thales没有收到任何赎金要求,但他们已经通知了政府的国家网络安全机构 ANSSI。Thales表示,已经请专业的安全专家团队对此次事件进行了系统的调查,并补充表示Thales会仔细监控与数据盗窃相关的每一项指控。

详情

http://urlqh.cn/n15nM

恶意概念验证(poc)使 GitHub 用户暴露于恶意软件中

日期: 2022-11-02
标签: 荷兰, 信息技术, GitHub, 

研究人员发现,恶意概念验证(PoC)可能会使GitHub用户暴露于恶意软件和其他渎职行为。在一篇题为“安全专业人员如何受到攻击:GitHub 中恶意 CVE 概念验证漏洞的研究”的论文中,荷兰莱顿大学的研究人员最近详细介绍了数千个已知漏洞的 PoC 如何包含比计费更多的危险元素。这些漏洞利用不是执行无害的操作,而是可能为潜在攻击打开大门。该团队收集了在GitHub上共享的公开PoC,用于2017年至2021年间发现的CVE。他们总共研究了47,313个存储库,其中包含目标时期至少一个CVE的PoC,他们称之为“对恶意PoC的第一次大规模定性和定量调查”。在他们下载和检查的 47,313 个 GitHub 存储库中,有 4,893 个 (10.3%) 是恶意的。该研究论文还通过分析恶意调用服务器的源代码以及提取包含恶意指令的十六进制有效载荷和Base64编码脚本,“可能是泄露信息,从互联网下载恶意文件或包含后门”,提出了检测恶意PoC的建议。

详情

http://urlqh.cn/n0oJw

美国政府员工面临来自过时的Android,iOS的移动攻击

日期: 2022-11-02
标签: 美国, 信息技术, 移动安全, 

根据一份新的报告,美国州和地方政府雇员使用的基于Android的手机中,几乎有一半正在运行过时的操作系统版本,使他们面临数百个可用于攻击的漏洞。这些统计数据来自网络安全公司 Lookout 的一份报告,该报告基于对 2021 年至 2022 年下半年 2 亿台设备和 1.75 亿个应用程序的分析。该报告还警告说,所有威胁指标都在上升,包括针对政府雇员的网络钓鱼攻击企图,对非托管移动设备的依赖以及关键任务网络中的责任点。过时的移动操作系统版本允许攻击者利用可用于破坏目标、在设备上运行代码、植入间谍软件、窃取凭据等的漏洞。该报告发布在美国中期选举前几天,Trelix和联邦调查局报告说,选举工作人员和选举官员正在成为网络钓鱼活动的目标,以安装恶意软件或窃取凭据。

详情

http://urlqh.cn/n2RT5

美国指控8人涉嫌网络犯罪、税务欺诈

日期: 2022-11-02
标签: 美国, 信息技术, 金融业, 网络犯罪, 

美国检察官罗杰·汉德伯格(Roger B. Handberg)宣布部分解封起诉书,指控八人犯有敲诈勒索影响和腐败组织(RICO)阴谋。四人还被指控犯有电汇欺诈阴谋和严重身份盗窃罪。如果罪名成立,每个人都因RICO阴谋罪面临最高20年的联邦监禁。他们还因电汇欺诈阴谋罪在联邦监狱中面临最高20年的监禁,并因严重的身份盗窃罪面临连续2年的监禁。被告在暗网服务器上购买了全国注册公共会计(CPA)和税务准备公司的计算机服务器的凭据。他们使用这些服务器凭据远程和秘密地进行计算机入侵,并泄露数千名纳税人的纳税申报表,这些纳税人是这些注册会计师和报税公司的客户。这些纳税申报表包括客户的姓名、出生日期、社会安全号码和财务信息。

详情

http://urlqh.cn/n1Ls1

美国政府举办“反勒索软件倡议”面对面会议

日期: 2022-11-01
标签: 美国, 信息技术, 政府部门, 微软(Microsoft), Mandiant, CrowdStrike, 

2022年11月1日,美国举办了为期两天的“反勒索软件倡议”面对面会议。来自近 40 个国家/地区的政府网络安全领导人联盟重申,将共同努力遏制勒索软件攻击,发起几项旨在更好地应对日益严重的全球威胁的新举措。除了来自 37 个国家的领导人外,还有 13 家私营公司也参加了此次活动,如微软和网络安全公司 Mandiant 和 CrowdStirke。“我们承诺共同努力,优先考虑破坏目标,以利用广泛的权威和工具来更有效地追求艰巨和复杂的目标。我们打算增加我们破坏行动的数量和影响,以便阻止勒索软件攻击者的踪迹,”反勒索软件倡议的成员在拜登政府主办的为期两天的会议结束后发表的联合声明中表示。 ”根据联合声明随附的一份情况说明书,该倡议将建立一个由澳大利亚政府领导的自愿国际反勒索软件工作组,以促进有关威胁的信息共享并追踪勒索软件团伙的财务状况。成员还将举行半年一次的演习,以加强对恶意行为者的抵御能力和威慑力;发布联合公告,详细说明网络犯罪分子使用的策略、技术和程序等。

详情

http://urlqh.cn/mZ86m

美国司法部起诉网络犯罪集团RICO

日期: 2022-11-01
标签: 美国, 信息技术, 金融业, 商务服务, 网络犯罪, 身份盗窃, 

2022年11月1日,美国司法部检察官办公室起诉了多个在全国范围内入侵计算机的网络犯罪分子。根据法庭上共享的起诉书和信息,从 2015 年到 2019 年,被告和许多其他同谋联合起来参与一项复杂的网络犯罪和税务欺诈计划。 这些网络犯罪分子参与了一个名为Racketeer Influenced and Corrupt组织(RICO)的网络犯罪集团。Jenkins、Michel等人在暗网服务器上购买了全国注册会计师 (CPA) 和报税公司计算机服务器的凭证。他们使用这些服务器凭据远程和秘密地进行计算机入侵,并窃取作为这些注册会计师和报税公司客户的数千名纳税人的纳税申报表。这些纳税申报表包括客户的姓名、出生日期、社会安全号码和财务信息。Jenkins和其他同谋随后合作组建了一个企业,他们通过该企业以 9,000 多个身份盗窃的名义提交了数千份虚假纳税申报表受害者。如果罪名成立,每个人都将因 RICO 阴谋罪面临最高 20 年的联邦监狱刑罚。Jacques、Poix、Jenkins 和 Michel 还因电汇欺诈阴谋罪名面临最高 20 年的联邦监狱刑罚,并因严重的身份盗窃罪名面临连续 2 年的监禁。

详情

http://urlqh.cn/n1zup

英国政府证实其情报机构正在帮助保卫乌克兰

日期: 2022-11-01
标签: 俄罗斯, 乌克兰, 英国, 政府部门, 信息技术, 俄乌战争, 

英国政府首次公开证实,其情报和安全机构GCHQ的专家一直在为乌克兰防御俄罗斯的网络攻击做出贡献。在对国家网络安全中心(NCSC)(GCHQ的一部分)进行年度审查的同时宣布的外交部表示,在2月入侵后的几天内,它已经提供了635万英镑(约合730万美元)的支持计划,称为乌克兰网络计划。

政府11月1日在一份声明中表示“该计划直到现在才公开,以保护其运营安全,。该计划涉及向乌克兰政府提供事件响应支持,包括针对Industroyer2恶意软件的保护,以及提供硬件和软件并限制“攻击者访问重要网络”。”外交部负责人表示:“俄罗斯对乌克兰的攻击不仅限于其可怕的陆地入侵。它还不断试图入侵乌克兰的网络空间,威胁关键信息、服务和基础设施。英国正在利用其“世界领先的专业知识来支持乌克兰的网络防御”。将共同确保克里姆林宫在各个领域被击败:在陆地、空中和网络空间。”

详情

http://urlqh.cn/n1RWc

CISA发布关于应用MFA的指导意见

日期: 2022-11-01
标签: 美国, 政府部门, 美国网络安全和基础设施安全局 (CISA), MFA, 

2022年11月1日,美国网络安全和基础设施安全局 (CISA)发布了指导意见,敦促各组织和联邦机构在使用基于移动推送通知的MFA PDF1时推出防钓鱼MFA和号码匹配保护。MFA是一种安全控制,它要求用户提供两个或多个不同的身份验证器的组合,以验证其身份以便登录。在启用MFA的情况下,当一个因素(如密码)被泄露,如果未授权的用户不能同时提供第二个因素,他们将无法访问帐户。然而,并不是所有形式的MFA都同样安全。有些形式容易受到网络钓鱼、“推式炸弹”攻击、利用信令系统7 (SS7)协议漏洞和/或SIM卡交换攻击。这些攻击如果成功,可能会允许攻击者访问MFA认证凭证或绕过MFA并访问MFA保护的系统。该指导意见概述了针对使用MFA的帐户和系统的威胁,并提供了实现抗钓鱼MFA的指导,这是MFA最安全的形式。作为应用零信任原则的一部分,CISA强烈敦促所有组织实施防钓鱼MFA。

详情

http://urlqh.cn/n3fp2

黑客以400万美元的价格出售576个企业网络的访问权限

日期: 2022-10-31
标签: 信息技术, 网络犯罪, 

一份新的报告显示,黑客正在出售对全球576个企业网络的访问权限,累计销售价格为4,00万美元,加剧了对企业的攻击。该研究来自以色列网络情报公司 KELA,该公司发布了 2022 年第三季度勒索软件报告,反映了初始访问销售领域的稳定活动,但产品价值急剧上升。尽管网络接入的销售数量与前两个季度大致相同,但累计要求的价格现已达到 4,00万美元。黑客通常通过凭据盗窃、Webshell 或利用公开暴露的硬件中的漏洞来实现初始访问代理 (IAB)。黑客将此公司访问权限出售给其他黑客,这些黑客使用它来窃取有价值的数据、部署勒索软件或进行其他恶意活动。由于初始访问代理已成为勒索软件攻击链不可或缺的一部分,因此正确保护网络免受入侵至关重要。这包括将远程访问服务器放置在 VPN 后面、限制对公开暴露设备的访问、启用 MFA 以及进行网络钓鱼培训以防止公司凭据被盗。

详情

http://urlqh.cn/n4g73

Chegg在3年内遭受四次数据泄露后被FTC起诉

日期: 2022-10-31
标签: 美国, 教育行业, 

美国联邦贸易委员会(FTC)起诉教育技术公司Chegg,此前该公司在自2017年以来遭受的四次数据泄露中暴露了数千万客户和员工的敏感信息。该机构提出的命令将要求Chegg加强数据安全性,实施多因素身份验证(MFA)以帮助用户保护其帐户,限制收集和存储的客户数据,并允许客户访问和删除其数据。Chegg在三年内发生四次违规行为:Chegg于2017年9月在针对多名员工的网络钓鱼攻击后首次遭到破坏;2018 年 4 月,一位前承包商使用登录信息访问了包含数百万用户数据的 Chegg Amazon S3 存储桶;2019年,在Chegg高管的凭据在网络钓鱼攻击中被盗后,威胁行为者获得了对高管电子邮件收件箱以及用户和员工的个人信息(包括财务和医疗信息)的访问权限;2020年,另一名Chegg员工成为网络钓鱼的受害者,允许攻击者访问工资系统并窃取数百名员工的W-2信息(例如,出生日期,社会安全号码)。

详情

http://urlqh.cn/n28Ws

美国政府发布供应链安全保障建议指南

日期: 2022-10-31
标签: 美国, 信息技术, 供应链攻击, 供应链安全, 

2022年10月31日,美国NSA、CISA 和国家情报总监办公室 (ODNI) 发布了供应链安全保障建议指南,软件供应商(供应商)可以遵循指南当中的做法来保护供应链。该指南是通过持久安全框架 (ESF) 制定的,这是一个公私合作伙伴关系,致力于解决对美国国家安全系统和关键基础设施的威胁。美国国家安全局表示:“预防通常被视为软件开发人员的责任,因为他们需要安全地开发和交付代码、验证第三方组件并强化构建环境。但供应商在确保安全性和完整性方面也负有关键责任。毕竟,软件供应商负责客户和软件开发商之间的联络。正是通过这种关系,可以通过合同协议、软件发布和更新、通知和漏洞缓解来应用额外的安全功能。”各企业组织可以在这份指南中找到针对供应商的推荐做法的完整指南,包括安全需求规划和维护软件安全。

详情

http://urlqh.cn/n1H1A

澳大利亚医疗行业近几月屡次遭受网络攻击

日期: 2022-10-31
标签: 澳大利亚, 信息技术, 卫生行业, 

澳大利亚医疗保健行业的数据泄露事件比其他许多行业增长得更快。黑客被医疗保健的巨大攻击面所吸引,其中包括敏感和时间关键的信息。 根据 Darktrace 的最新研究,与 2020 年的数据相比,2021 年针对澳大利亚健康和社会护理部门的网络攻击翻了一番,该行业仍然是 2022 年澳大利亚受攻击最多的行业。在2022年10月,澳大利亚遭遇了两次重大健康数据泄露,一些患者的私人数据——包括银行详细信息和测试结果——被公布在了暗网上。 2022年10月28日,澳大利亚病理学公司临床实验室 (ACL) 披露其子公司 Medlab 进行 COVID-19 测试和其他服务时,在2022年2月遭遇数据泄露,此后发现 223,000 人的数据被泄露。 同一周,Medibank Private 还透露至少 400 万客户的数据遭遇泄漏。专家建议发现数据泄露后,医疗机构需要制定事件响应计划。同时要加强对员工进行常见攻击媒介的教育,例如恶意软件、病毒、电子邮件附件、网页、弹出窗口、即时消息和文本消息,以及如何识别异常活动等。

详情

http://urlqh.cn/n3da3

美国政府发布DDoS攻击应对指南

日期: 2022-10-31
标签: 美国, 信息技术, 政府部门, DDoS, 网络犯罪, 

2022年10月28日,美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和多国信息共享与分析中心(MS-ISAC)发布了应对分布式拒绝服务(DDoS)攻击的联合指南。CISA、FBI和MS-ISAC在其咨询中指出,产生大量流量的DDoS攻击很难响应和恢复。DDoS攻击产生的流量越多,组织面临的困难就越大。并且DDoS攻击的真正源头更难被识别。虽然DDoS攻击不太可能影响系统的保密性或完整性,但它确实通过干扰系统的合法使用来影响可用性。并且攻击者可能会利用DDoS攻击转移注意力,从而掩盖他们正在进行的恶意攻击行为。该指南中还提供了如何避免和防御DDoS攻击的一系列方法。

详情

http://urlqh.cn/n3Di5

英国官员呼吁调查疑似被掩盖的外交官员电话窃听事件

日期: 2022-10-31
标签: 英国, 政府部门, 电话窃听, 网络犯罪, 

2022年10月31日,在有报道称英国政府掩盖了 英国外交官员Liz Truss 电话窃听事件后,英国反对派政客呼吁对政府掩盖安全事件的指控进行“紧急调查”。在Liz Truss 电话黑客事件中,担任外交大臣的利兹·特拉斯的个人电话被“涉嫌为俄罗斯总统弗拉基米尔·普京工作的特工”窃听。据英国媒体报道,攻击者窃取了“长达一年的信息” ,包括“与高级国际外交部长就乌克兰战争进行的高度敏感讨论,以及关于武器运输的详细讨论”。英国内政官员表示:“像这样的敌对国家的袭击引发了极其重要的国家安全问题,我们的情报和安全机构将非常重视。关于这些信息现在为何以及如何被泄露或发布,也存在严重的安全问题,也必须紧急调查。”英国自由民主党的外交事务发言人莱拉·莫兰呼吁“进行紧急调查以揭露真相”,并补充说:“如果事实证明这些信息是为了保护利兹·特拉斯的领导权而向公众隐瞒,那将是不可原谅的。 ”

详情

http://urlqh.cn/n2wB9

香港:43名涉嫌透过网上购物诈骗及爱情诈骗向受害人诈骗港币1200万元被捕

日期: 2022-10-31
标签: 中国香港, 金融业, 网络犯罪, 网络欺诈, 

据报道,作为打击网络犯罪和欺诈行为的一部分,香港拘留了43人,涉嫌在为期一周的行动中参与了一系列全市范围的突击搜查。据警方称,被捕的嫌疑人年龄在17至75岁之间,包括服务员,技术人员,工人和失业人员。在代号为Skyrocket的行动中,警察没收了嫌疑人的手机和银行卡。被告涉及10月20日至26日期间被捕的28名男性和15名女性,涉嫌在包括网络爱情诈骗和购物欺诈在内的37起案件中欺骗受害者1200万港元(150万美元)。嫌疑人因欺骗受害者,特别是通过洗钱获得财产而被捕。他们包括银行账户持有人,他们被用来收集和清洗犯罪收益。在香港,洗黑钱是应受惩罚的罪行,最高刑期为14年,罚款500万港元,而通过欺诈获得财产的最高刑期为10年监禁。

详情

http://urlqh.cn/n0X5D

印第安纳波利斯住房管理局受到勒索软件攻击

日期: 2022-10-31
标签: 印第安纳州, 信息技术, 居民服务, 

据一位高级机构官员称,对印第安纳波利斯管理低收入住房的联邦组织的勒索软件攻击导致向房东分配租金的延迟。在2022年10月初开始的攻击中,印第安纳波利斯住房局的每位员工都阻止了对他们电子邮件的访问。这涉及其执行董事玛西娅·刘易斯(Marcia Lewis),根据她写给印第安纳波利斯星报的一条消息,她几天都无法访问她的电子邮件。印第安纳波利斯有 8,000 个家庭依赖该计划,这是由对印第安纳波利斯住房局的勒索软件攻击造成的。该组织负责监督印第安纳波利斯联邦住房选择券计划的管理,该计划为非常低收入的家庭、老年人和残疾人提供私人市场上住房的租金帮助。截至10月31日,该组织已成功支付了 8 月份房东的所有租金。由于IT系统不可用,该公司不得不在前一周手动发送客户电力限额支票和重要的供应商付款。

详情

http://urlqh.cn/n1Jqx

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。

0x0a   时间线

2022-11-07 360CERT发布安全事件周报