报告编号：B6-2023-011601

报告来源：360CERT

报告作者：360CERT

更新日期：2023-01-16

0x01   事件导览

本周收录安全热点31项，话题集中在恶意程序、网络攻击方面，涉及的组织有：Cisco、Microsoft、Twitter、Cloudflare等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

新的 APT Dark Pink 以鱼叉式网络钓鱼策略袭击亚太地区和欧洲

日期: 2023-01-11
标签: 信息技术, Dark Pink, 

2023年1月11日，Group-IB发布研究报告表示，一个被 Group-IB 称为“Dark Pink”（中国网络安全研究人员称为“Saaiwc Group”）的新高级持续威胁 (APT) 组织被发现针对亚太和欧洲的各种实体，主要使用鱼叉式网络钓鱼技术。Dark Pink 最早于 2021 年年中开始运营，尽管该集团的活动在 2022 年中后期急剧增加。“迄今为止，[我们] 发现了七次由 Dark Pink 发起的确认攻击，”Group-IB的技术报告中写道。“大部分攻击是针对亚太地区的国家进行的，尽管威胁者瞄准了一个欧洲政府部门。”更具体地说，Group-IB 确定了菲律宾和马来西亚的两个军事实体、越南的一个宗教组织以及柬埔寨、印度尼西亚和波斯尼亚和黑塞哥维那的政府机构。安全专家还发现了对总部设在越南的欧洲国家发展机构的未成功攻击。

详情

针对Android用户的StrongPity间谍活动

日期: 2023-01-11
标签: 信息技术, StrongPity, 网络犯罪, 移动安全, Android（安卓）, 

2023年1月11日，网络安全公司 ESET 称，来自 StrongPity 组织的疑似民族国家黑客已经创建了一款恶意 Android 视频聊天应用程序，该应用程序可以记录用户的电话通话、收集短信并从数十种移动应用程序中窃取数据。黑客通过一个模拟真实视频聊天服务 Shagle 的网站分发恶意应用程序，该服务提供陌生人之间的加密通信。然而，真正的 Shagle 完全基于网络，没有官方应用程序。 这个假应用程序基于 Telegram 信使的修改后的开源代码，重新打包了 StrongPity 的后门代码。 这个后门具有多种间谍功能：它可以记录电话、收集短信和联系人列表，如果用户允许 Shagle 访问它们，它还可以从其他移动应用程序（如 Instagram、Twitter、Messenger 和 Snapchat）窃取数据。StrongPity 还试图禁用三星设备上的官方安全应用程序，并关闭所有来自 Shagle 本身的通知，这些通知可能会在应用程序出现错误、崩溃或警告时显示给受害者。 该恶意应用程序于 2021 年 11 月启动，但 ESET 无法识别其任何受害者。研究人员表示，这是因为该活动可能“非常有针对性”。

详情

Gootkit 恶意软件滥用 VLC 通过 Cobalt Strike 感染医疗机构

日期: 2023-01-11
标签: 澳大利亚, 信息技术, 卫生行业, 

2023年1月11日，Trend Micro的研究人员发布了一份新报告，称Gootkit 加载程序恶意软件运营商正在开展一项新的 SEO 中毒活动，该活动滥用 VLC 媒体播放器通过 Cobalt Strike 信标感染澳大利亚医疗保健实体。该活动的目标是在受感染的设备上部署 Cobalt Strike 后期开发工具包，以便初始访问公司网络。从那里，远程操作员可以执行网络扫描，在整个网络中横向移动，窃取帐户凭据和文件，并部署更危险的有效负载，例如勒索软件。

详情

超过1300个假冒AnyDesk网站推送Vidar信息窃取恶意软件

日期: 2023-01-10
标签: 信息技术, 网络犯罪, 

一场使用 1,300 多个域冒充 AnyDesk 官方网站的大规模活动正在进行中，所有活动都重定向到最近推送 Vidar 信息窃取恶意软件的 Dropbox 文件夹。AnyDesk 是适用于 Windows、Linux 和 macOS 的流行远程桌面应用程序，全球有数百万人使用它来实现安全的远程连接或执行系统管理。由于该工具的流行，恶意软件分发活动经常滥用 AnyDesk 品牌。例如，2022 年 10 月，  Cyble 报告 称，Mitsu Stealer 的运营商正在使用 AnyDesk 网络钓鱼站点来推送他们的新恶意软件。SEKOIA 威胁分析师crep1x发现了新的正在进行的 AnyDesk 活动 ，他在 Twitter 上发出警告并分享了 完整的恶意主机名列表。所有这些主机名都解析为相同的 IP 地址 185.149.120[.]9。主机名列表包括 AnyDesk、MSI Afterburner、7-ZIP、Blender、Dashlane、Slack、VLC、OBS、加密货币交易应用程序和其他流行软件的错别字。

详情

StrongPity 黑客分发木马化 Telegram 应用程序以瞄准 Android 用户

日期: 2023-01-10
标签: 信息技术, 移动安全, 

名为StrongPity的高级持续性威胁 (APT) 组织通过一个冒充名为Shagle的视频聊天服务的虚假网站，以木马化版本的 Telegram 应用程序针对 Android 用户。“一个模仿 Shagle 服务的山寨网站被用来分发 StrongPity 的移动后门应用程序，”ESET 恶意软件研究员 Lukáš Štefanko在一份技术报告中说。“该应用程序是开源 Telegram 应用程序的修改版本，使用 StrongPity 后门代码重新打包。”StrongPity，也被称为 APT-C-41 和 Promethium，是一个至少从 2012 年开始活跃的网络间谍组织，其大部分行动集中在叙利亚和土耳其。卡巴斯基于 2016 年 10 月首次公开报告了该组织的存在。此后，威胁行为者的活动范围扩大到涵盖非洲、亚洲、欧洲和北美的更多目标，入侵利用水坑攻击和网络钓鱼消息来激活杀伤链。

详情

黑客用伪造Shagle视频聊天应用程序攻击Android用户

日期: 2023-01-10
标签: 信息技术, 网络犯罪, 移动安全, 

2023年1月上旬，StrongPity APT 黑客组织正在分发一个伪造的 Shagle 聊天应用程序，该应用程序是 Telegram for Android 应用程序的木马化版本，并添加了后门。Shagle 是一个合法的随机视频聊天平台，允许陌生人通过加密的通信渠道交谈。但是，该平台完全基于网络，不提供移动应用程序。自 2021 年以来，人们发现 StrongPity 使用虚假网站，该网站冒充实际的 Shagle 网站来诱骗受害者下载恶意 Android。安装后，此应用程序使黑客能够对目标受害者进行间谍活动，包括监控电话、收集短信和获取联系人列表。

详情

意大利用户警告针对敏感信息的恶意软件攻击

日期: 2023-01-10
标签: 意大利, 金融业, 信息技术, 微软（Microsoft）, 加密货币, 网络犯罪, 

已观察到针对意大利的新恶意软件活动，其网络钓鱼电子邮件旨在在受感染的 Windows 系统上部署信息窃取程序。Uptycs 安全研究员 Karthickkumar Kathiresan在一份报告中说： “信息窃取恶意软件从受害机器窃取敏感信息，如系统信息、加密钱包和浏览器历史记录、cookie 以及加密钱包凭证。”无论启动哪个文件，攻击链都保持不变，因为打开快捷方式文件会获取相同的批处理脚本，该脚本旨在从GitHub存储库安装信息窃取器有效负载。一旦安装，基于C#的恶意软件就会收集系统元数据，以及来自数十个网络浏览器（例如，cookie、书签、信用卡、下载和凭证）的信息，以及几个加密货币钱包，所有这些信息都会传输到一个参与者控制的域。

详情

Hive声称窃取美国领事馆健康数据

日期: 2023-01-09
标签: 美国, 信息技术, 卫生行业, Consulate Health Care, Hive, 网络犯罪, 

Hive 勒索软件威胁组织声称从 Consulate Health Care 窃取了 550 GB 的数据。在领事馆网站上发布警告患者可能会访问其数据的通知的同时，黑客的暗网帖子也出现了。Consulate Health 在全国拥有 140 家养老院，还提供其他养老服务。8 月份的一份 STAT 报告显示，该公司近年来一直在处理财务问题，包括在其六个护理场所申请破产。该组织的规模可能会对数据产生广泛影响，但卫生与公众服务部违规报告工具尚未列出患者人数。Consulate Health 也没有确认供应商事件是否与 Hive 发布有关。

详情

Kinsing Cryptojacking通过错误配置的PostgreSQL攻击Kubernetes集群

日期: 2023-01-09
标签: 信息技术, 

Kinsing加密劫持操作背后的威胁行为者被发现利用配置错误和暴露的 PostgreSQL 服务器来获取对 Kubernetes 环境的初始访问权限。Microsoft Defender for Cloud 的安全研究员桑德斯布鲁斯金上周在一份报告中表示，第二种初始访问向量技术需要使用易受攻击的图像。Kinsing密码劫持操作背后的威胁参与者被发现利用错误配置和暴露的PostgreSQL服务器来获得对Kubernetes环境的初始访问。根据微软的说法，Kinsing演员加入了PostgreSQL服务器中的错误配置，以获得最初的立足点，该公司观察到“大量集群”以这种方式感染。错误配置与信任身份验证设置有关，如果该选项设置为接受来自任何 IP 地址的连接，则可能会滥用该设置来连接到没有任何身份验证的服务器并实现代码执行。

详情

恶意 PyPI 包使用 Cloudflare 隧道潜入防火墙

日期: 2023-01-09
标签: 信息技术, 恶意包, Python, 

在另一个针对 Python 包索引 (PyPI) 存储库的活动中，发现了六个恶意包在开发人员系统上部署信息窃取程序。Phylum 在 2022 年 12 月 22 日至 12 月 31 日期间发现的现已删除的软件包包括 pyrologin、easytimestamp、discorder、discord-dev、style.py 和 pythonstyles。越来越多的恶意代码隐藏在这些库的安装脚本 (setup.py) 中，这意味着运行“pip install”命令足以激活恶意软件部署过程。该恶意软件旨在启动检索 ZIP 存档文件的 PowerShell 脚本，安装 pynput、pydirectinput 和 pyscreenshot 等侵入性依赖项，并运行从存档中提取的 Visual Basic 脚本以执行更多 PowerShell 代码。这些流氓软件包还能够从 Google Chrome、Mozilla Firefox、Microsoft Edge、Brave、Opera、Opera GX 和 Vivaldi 浏览器中收集 cookie、保存的密码和加密货币钱包数据。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

Twitter 声称 2 亿用户的泄露数据并非从其系统中窃取

日期: 2023-01-11
标签: 美国, 信息技术, 推特（Twitter）, 网络犯罪, 

2023年1月11日，Twitter 最终回应了有关与数亿 Twitter 用户相关的电子邮件地址数据集被泄露并在网上出售的报道，称没有证据表明该数据是通过利用其系统中的漏洞获取的。 该公司表示：“针对近期媒体关于 Twitter 用户数据被在线出售的报道，我们进行了彻底调查，没有证据表明最近被出售的数据是利用 Twitter 系统的漏洞获得的 。 ”2022年8 月，该公司 确认影响 540 万 Twitter 用户 的 数据泄露 是由威胁行为者利用 2022 年 1 月修复的漏洞造成的。这个缺陷使攻击者能够将电子邮件地址和电话号码链接到 Twitter 用户的帐户。2023年1月11日，Twitter 表示，另一个数据集包含与 2 亿 Twitter 用户相关的电子邮件地址，据报道本月早些时候在网上泄露，该数据集不是通过利用 2022 年 1 月修补的漏洞获得的。

详情

据称旧金山交通警察的敏感文件被泄露

日期: 2023-01-11
标签: 美国, 信息技术, 网络犯罪, 

2023年1月11日，据称，威胁行为者在利用美国旧金山湾区快速交通系统 (BART) 警察局的漏洞后在线发布了大量敏感文件。据NBC 新闻报道，泄露的文件包括大约 120,000 份文件，其中包含虐待儿童的具体指控、受害者的姓名和生日，在某些情况下，还包括成人描述和涉嫌虐待的信息。泄密事件还包括曾参与 BART 项目的承包商的姓名和驾照号码、警方报告指出各种犯罪嫌疑人的姓名，以及为未来警官招聘的文件。这次攻击并未中断运输系统的服务，但据SafeBreach CISO Avishai Avivi 称，它确实引发了有关数据安全和隐私的问题。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

英国快递公司Royal Mail服务中断

日期: 2023-01-11
标签: 英国, 信息技术, 交通运输, Royal Mail, 

2023年1月11日，英国邮政和快递公司皇家邮政 (Royal Mail) 宣布，在发生“网络事件”后，该公司“经历了严重的服务中断”。事件的性质尚未披露，但该公司表示，其团队“正在全天候工作以解决这一中断问题，我们会在获得更多信息后立即通知您。”中断仅限于皇家邮政的国际出口服务，但使其“暂时无法将物品运送到海外目的地”。英国国家网络安全中心（National Cyber Security Centre）的一位发言人表示：“我们了解到皇家邮政集团有限公司（Royal Mail Group Ltd）受到了影响，我们正在与该公司以及国家犯罪局（National Crime Agency）合作，以充分了解其影响。”

详情

多家丹麦银行被DDoS网络攻击中断

日期: 2023-01-10
标签: 丹麦, 信息技术, 网络犯罪, 

2023年1月10日，丹麦中央银行和包括 Jyske Bank 和 Sydbank 在内的七家私人银行遭到分布式拒绝服务(DDoS) 攻击，导致其运营中断。据路透社报道，央行发言人表示，其网站2023年1月10日下午运行正常。据报道，此次攻击还影响了 IT 金融行业解决方案开发商 Bankdata，但并未影响银行的其他系统或日常运营。然而，它影响了对上述私人银行网站的访问，在 Bankdata 遭到 DDoS 攻击后，这些私人银行网站在2023年1月10日短暂受到限制。VMware首席网络安全策略师Rick McElroy表示：“最近针对丹麦央行和一家IT合作伙伴的DDoS攻击再次证明，金融服务业是网络犯罪分子的首要目标。”。

详情

美国爱荷华州最大的学区之一因网络攻击关闭学校

日期: 2023-01-10
标签: 美国, 教育行业, 

2023年1月10日，美国爱荷华州最大的学区之一计划在2023年1月10日因网络攻击取消课程后于2023年1月11日再次关闭。 2023年1月9日，拥有 30,000 名学生和近 5,000 名教职员工的得梅因公立学校表示，它关闭了学区的互联网和网络服务，以应对“网络上的异常活动”。学区的 IT 人员和外部网络安全顾问开始进行调查，但学校建筑和学区办公室的互联网、WiFi 和各种网络系统的访问受到限制。 2023年1月10日早上，该地区表示其网络系统在努力解决中断问题时仍处于离线状态。 他们表示，他们的目标是从他们的系统中“消除所有威胁”，并确保所有设备都是“干净的”。2023年1月10日，对包含学生信息、教育计划和众多操作功能的系统的访问仍然处于离线状态。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

Scattered Spider使用旧的英特尔驱动程序绕过EDR

日期: 2023-01-11
标签: 信息技术, 

一个被追踪为 Scattered Spider 的具有经济动机的威胁行为者被发现试图在 BYOVD（自带易受攻击的驱动程序）攻击中部署英特尔以太网诊断驱动程序，以逃避 EDR（端点检测和响应）安全产品的检测。BYOVD 技术涉及威胁参与者使用已知容易受到攻击的内核模式驱动程序作为其攻击的一部分，以在 Windows 中获得更高的特权。由于设备驱动程序具有对操作系统的内核访问权限，因此利用其中的缺陷可以让威胁参与者在 Windows 中以最高权限执行代码。根据 最新的 Crowdstrike 报告，黑客试图使用 BYOVD 方法绕过 Microsoft Defender for Endpoint、Palo Alto Networks Cortex XDR 和 SentinelOne。

详情

Cisco警告EoL路由器中存在公共漏洞的身份验证绕过漏洞

日期: 2023-01-11
标签: 美国, 信息技术, 思科（Cisco）, 

2023年1月11日，思科警告客户注意一个严重的身份验证绕过漏洞，其公开的漏洞代码会影响多个报废 (EoL) VPN 路由器。该安全漏洞 (CVE-2023-20025) 是  由奇虎 360 Netlab 的侯留阳在 Cisco Small Business RV016、  RV042、RV042G和 RV082路由器的基于 Web 的管理界面中发现的。这是由于传入 HTTP 数据包中的用户输入验证不正确造成的。未经身份验证的攻击者可以通过向易受攻击的路由器的基于 Web 的管理界面发送特制的 HTTP 请求来远程利用它来绕过身份验证。成功利用可让他们获得 root 访问权限。通过将其与另一个跟踪为 CVE-2023-2002（思科今天也披露）的漏洞联系起来，他们可以在底层操作系统上执行任意命令。

详情

CISA 命令机构修补被勒索软件团伙滥用的 Exchange 漏洞

日期: 2023-01-10
标签: 美国, 信息技术, 网络犯罪, 

2023年1月10日，美国网络安全和基础设施安全局 (CISA) 在其被利用漏洞目录中又增加了两个安全漏洞。第一个是跟踪为CVE-2022-41080的 Microsoft Exchange 特权提升漏洞，可以将其与 CVE-2022-41082 ProxyNotShell 漏洞联系起来以获得远程代码执行。总部位于美国德克萨斯州的云计算提供商 Rackspace一周前证实，Play 勒索软件团伙利用它作为零日漏洞来绕过 Microsoft 的ProxyNotShell URL 重写缓解措施并提升受感染 Exchange 服务器上的权限。第二个漏洞是 Windows 高级本地过程调用 (ALPC) 中的特权升级零日漏洞 ( CVE-2023-21674 )，被标记为在攻击中被利用并在期间被 Microsoft 修补本月的补丁星期二。建议拥有本地 Microsoft Exchange 服务器的组织立即部署最新的 Exchange 安全更新（最低补丁级别为 2022 年 11 月）或禁用 Outlook Web Access (OWA)，直到他们可以应用 CVE-2022-41080 补丁。

详情

微软2023年1月补丁日

日期: 2023-01-10
标签: 美国, 信息技术, 微软（Microsoft）, 

2023年1月11日，微软发布了补丁日更新，修复了多达 98 个漏洞，其中 11 个被归类为“严重”漏洞。

Microsoft 为这些漏洞指定了严重等级，因为它们允许远程执行代码、绕过安全功能或提升权限。此次安全更新包含：39 个提权漏洞、4 个安全功能绕过漏洞、33 个远程代码执行漏洞、10个信息泄露漏洞、10 个拒绝服务漏洞、2 个欺骗漏洞。

详情

高通骁龙芯片组中发现严重的UEFI固件漏洞

日期: 2023-01-10
标签: 美国, 信息技术, 制造业, 高通, 联想, 半导体, 

2023年1月9日，Binarly Research对高通骁龙芯片组中的多个高危漏洞进行协同漏洞进行了披露。据 Binarly Research 称，这些漏洞是在统一可扩展固件接口 (UEFI) 固件参考代码中发现的，并会影响基于 ARM 的笔记本电脑和使用 Qualcomm Snapdragon 芯片的设备。高通公司在 1 月 5 日披露了这些漏洞以及可用补丁的链接。联想还发布了公告和 BIOS 更新，以解决受影响笔记本电脑中的缺陷。但是，Binarly 指出，其中两个漏洞仍未修复。如果被利用，这些硬件漏洞允许攻击者通过修改非易失性存储器中的变量来获得对系统的控制权，该存储器永久存储数据，即使在系统关闭时也是如此。Binarly 的创始人兼首席执行官亚历克斯·马特罗索夫 (Alex Matrosov) 表示，修改后的变量将危及系统的安全启动阶段，一旦漏洞利用到位，攻击者就可以获得对受损系统的持久访问权。

详情

微软：Kubernetes 集群通过 PostgreSQL 在恶意软件活动中被黑

日期: 2023-01-09
标签: 信息技术, Kinsing, Kubernetes, 

Kinsing 恶意软件现在正通过利用容器映像中的已知弱点和配置错误、暴露的 PostgreSQL 容器来积极破坏 Kubernetes 集群。虽然这些策略并不新颖，但微软的 Defender for Cloud 团队报告称，他们最近发现攻击有所增加，这表明威胁行为者正在积极寻找特定的入口点。Kinsing 是一种 Linux 恶意软件，具有以容器化环境为目标进行加密挖掘的历史，利用被破坏的服务器的硬件资源为威胁参与者创造收入。微软表示，他们发现 Kinsing 操作员用来获得对 Linux 服务器的初始访问权限的两种方法有所增加——利用容器映像中的漏洞或错误配置的 PostgreSQL 数据库服务器。在利用图像漏洞时，威胁行为者会寻找远程代码执行漏洞，使他们能够推送其有效载荷。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   其他事件

APT组织“GroupA21”借政府官方文档攻击巴基斯坦

日期: 2023-01-11
标签: 巴基斯坦, 斯里兰卡, 马尔代夫, 孟加拉国, 政府部门, 科研服务, 教育行业, GroupA21, APT舆情, 

GroupA21组织是疑似来自印度的APT组织，又名 “幼象”、“babyelephant” 等， 该组织至少自2017年开始活跃，持续针对南亚地区的巴基斯坦、斯里兰卡、马尔代夫和孟加拉等国的政府、军事、外交、情报、原子能和高校等行业和机构开展网络间谍活动的APT组织。该组织在攻击方法及资产上喜欢模仿印度组织 “SideWinder”，在归因上也带来一定困难。微步情报局近期通过威胁狩猎系统捕获到一起GroupA21组织的攻击活动，经过分析有如下发现：攻击者利用官方网站的正常PDF文件作为诱饵，在文件内携带恶意LNK文件启动诱饵及木马文件。攻击者使用的最终载荷为WarHawk自研木马以及NetWire、CobaltStrike等公开木马，除此外还发现了部署Sliver的C2服务器。

详情

微软：Kinsing通过容器、PostgreSQL瞄准Kubernetes

日期: 2023-01-11
标签: 美国, 信息技术, 微软（Microsoft）, Kubernetes, 

微软发现，一种通常针对 Linux 环境进行加密货币挖掘的恶意软件找到了一个新目标：易受攻击的图像和 Kubernetes 中配置较弱的 PostgreSQL 容器，可以利用这些容器进行初始访问。Kinsing 是一种基于 Golang 的恶意软件，以其针对 Linux 环境而闻名，但微软研究人员最近观察到Kinsing 恶意软件不断演变其策略，微软安全研究员 Sunders Bruskin 在最近发布的一份报告中透露。研究人员发现，Kinsing 针对 Kubernetes 环境的一种新方法是针对易受远程代码执行 (RCE) 攻击的图像。他们说，这允许具有网络访问权限的攻击者利用容器并运行他们的恶意负载。研究人员为实施Kubernetes环境的企业提供了一般的经验法则，并提供了具体的缓解措施，以避免它们受到针对易受攻击图像和常见PostgreSQL错误配置的攻击。

详情

Lorenz 勒索软件团伙植入后门以供数月后使用

日期: 2023-01-10
标签: 信息技术, 

安全研究人员警告说，修补允许访问网络的关键漏洞不足以抵御勒索软件攻击。一些团伙正在利用这些漏洞设计后门，在受害者应用必要的安全更新后很长一段时间内卷土重来。一个案例是 Lorenz 勒索软件攻击，该攻击在黑客利用电话系统中的一个严重漏洞获得对受害者网络的访问权限几个月后完成。全球情报和网络安全咨询公司 S-RM 的研究人员确定，黑客在开始横向移动、窃取数据和加密系统之前五个月已经破坏了受害者网络。S-RM 确定黑客通过利用 CVE-2022-29499 获得初始访问权限，CVE-2022-29499 是 Mitel 电话基础设施中的一个严重漏洞，允许远程代码执行。

详情

特洛伊木马拼图攻击训练AI助手提出恶意代码

日期: 2023-01-10
标签: 美国, 信息技术, 机器学习, 深度学习, 网络犯罪, 人工智能, 

2023年1月10日，美国加利福尼亚大学、弗吉尼亚大学和微软的研究人员设计了一种新的中毒攻击，可以诱使基于 AI 的编码助手建议危险代码。这种名为“特洛伊木马拼图”的攻击因绕过静态检测和基于签名的数据集清理模型而脱颖而出，导致人工智能模型接受训练以学习如何重现危险的有效载荷。鉴于 GitHub 的 Copilot 和 OpenAI 的 ChatGPT等编码助手的兴起，找到一种隐蔽的方式在 AI 模型的训练集中植入恶意代码可能会产生广泛的后果，有可能导致大规模的供应链攻击。

详情

SideCopy组织最新攻击武器披露

日期: 2023-01-09
标签: 印度, 信息技术, SideCopy, Spark RAT, APT舆情, 

SideCopy组织自2020年被披露以来长期处于活跃之中，并主要针对印度等南亚国家持续发动网络攻击。近期，360高级威胁研究院发现了该组织的最新攻击活动，通过对其分析发现本次攻击行动呈现出如下特点：1、反射加载的DLL会向服务器反馈程序的执行流程，即主要功能是否成功执行，若失败则反馈异常;2、恶意文件托管在谷歌云端硬盘，并且其下载链接通过谷歌邮箱传播，极具迷惑性;3、在实际行动中罕见的发现该组织使用了基于Golang语言的Windows平台木马Spark RAT。

详情

暗网毒品市场转向定制 Android 应用程序

日期: 2023-01-09
标签: 德国, 信息技术, 卫生行业, Android（安卓）, 

在暗网上销售毒品和其他非法物质的在线市场已经开始使用定制的 Android 应用程序来增加隐私和逃避执法。除了订购之外，这些应用程序还允许商店客户与药品供应商沟通并提供具体的快递说明。Resecurity 的分析师在 2022 年第三季度初左右观察到了这一新趋势。这被认为是对去年备受瞩目的暗网市场打击行动，尤其是 Hydra Market 行动的回应。Hydra 是药品销售领域的领导者，在全球拥有 19,000 名注册卖家和 1700 万客户。2022 年 4 月，德国当局没收了其服务器，在该领域造成真空。

详情

美国银行Silvergate加密取款80亿美元

日期: 2023-01-09
标签: 美国, 金融业, 信息技术, 能源业, Silvergate, 加密货币, 

美国加密货币银行 Silvergate 的股票因加密提款而下跌。提供加密货币服务的美国银行 Silvergate 报告称，其客户在过去几周内提取了超过 80 亿美元（67 亿英镑）的加密货币相关存款。 在 2022 年的最后三个月，大约三分之一的银行客户从银行提取了存款。该银行出售了价值 52 亿美元的资产以支付成本并维持流动性。 根据三位美国监管机构的说法，发行或持有加密货币将与安全可靠的银行业务实践相冲突，因为“这种做法很可能会受到损害”。Silvergate首席执行官艾伦·莱恩（Alan Lane）表示，该行已出售资产以支付客户取款，以补偿与数字资产相关的交易风险，“以应对数字资产市场的日益变化”。似乎Silvergate也成为了自去年春季以来吞噬加密货币行业的“加密寒冬”的受害者。

详情

黑客通过Visual Studio Marketplace传播恶意扩展

日期: 2023-01-09
标签: 信息技术, Visual Studio, 

可以利用一种针对 Visual Studio Code 扩展市场的新攻击媒介来上传伪装成其合法对应物的流氓扩展，以发动供应链攻击。Aqua 安全研究员 Ilay Goldman在上周发布的一份报告中表示，该技术“可以作为攻击许多组织的切入点” 。通过 Microsoft 提供的市场策划的 VS Code 扩展允许开发人员向 VS Code 源代码编辑器添加编程语言、调试器和工具，以增强他们的工作流程。“所有扩展都以在没有任何沙箱的情况下打开 VS Code 的用户的权限运行，”Goldman 解释了使用 VS Code 扩展的潜在风险。“这意味着该扩展程序可以在您的计算机上安装任何程序，包括勒索软件、擦除器等。”为此，Aqua 发现，威胁行为者不仅可以通过对 URL 进行细微改动来冒充流行的扩展程序，而且市场还允许对手使用相同的名称和扩展程序发布者详细信息，包括项目存储库信息。

详情

2022年全球网络攻击量激增38%

日期: 2023-01-09
标签: 信息技术, 网络犯罪, 

根据Check Point的数据，去年记录的网络攻击数量比 2021 年观察到的总数量高出近五分之二 (38%) 。该安全供应商声称，这一增长主要是由于对医疗保健组织的攻击激增，其中同比 (YoY) 增幅最大 (74%)，以及更小、更灵活的黑客组织的活动。

总体而言，攻击在第 4 季度达到历史最高水平，平均每个组织每周发生 1168 次攻击。今年平均每周数字最高的是教育部门组织 (2314)、政府和军队 (1661) 以及医疗保健 (1463)。Check Point 数据组经理 Omer Dembinsky 预测，像 ChatGPT 这样的人工智能工具将使不良行为者更快、更容易地生成恶意代码和电子邮件，从而有助于在 2023 年推动攻击的持续激增。

详情

黑客通过Pokemon NFT卡站点传播RAT

日期: 2023-01-09
标签: 韩国, 信息技术, Pokemon, 

安全专家警告说，一种新的网络钓鱼活动利用 Pokemon 和 NFT 的流行来引诱用户无意中下载远程访问工具 (RAT)。韩国的 AhnLab 安全电子响应中心 ( ASEC ) 发现了欺骗性的 Pokemon 纸牌游戏页面。据报道，除了游戏本身，该网站还提供购买口袋妖怪品牌 NFT 的链接。ASEC 表示，位于网络钓鱼页面上的“在 PC 上播放”按钮秘密安装了流行的 RAT NetSupport 版本。但是，供应商将其描述为“恶意软件”，因为该工具“不是以用于正常目的的形式分发的，而是以专为威胁行为者控制受感染系统而设计的形式分发的。”该恶意工具还通过垃圾邮件和其他假冒品牌（例如 Visual Studio）进行分发，显然自 2022 年 12 月左右以来一直在流通。

详情

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x09   时间线

2023-01-16 360CERT发布安全事件周报