报告编号：B6-2022-051601

报告来源：360CERT

报告作者：360CERT

更新日期：2022-05-16

0x01   事件导览

本周收录安全热点50项，话题集中在恶意程序、网络攻击方面，涉及的组织有：Microsoft、NVIDIA、哥斯达黎加政府、欧盟等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Microsoft Exchange服务器中发现新型恶意软件IceApple

日期: 2022-05-14
标签: 美国, 信息技术, 微软（Microsoft）, IceApple, Microsoft Exchange, 

CrowdStrike发现了一种新的后利用框架IceApple，可以使 Microsoft Exchange 服务器受到损害。CrowdStrike称，截至 2022 年 5 月，IceApple 正在积极开发中，有 18 个模块在多个企业环境中运行。IceApple 的独特之处在于它是一个内存框架，这意味着攻击者希望保持较低的取证足迹并避免检测，创建看似来自 Microsoft 的 IIS Web 服务器的文件。虽然大多数恶意软件都存在于 Microsoft Exchange 服务器上，但 IceApple 可以在任何 Internet 信息服务 (IIS) Web 应用程序下运行，这使其成为一种危险的威胁。由于框架的各种组件，该恶意软件可以定位和擦除文件和目录、写入数据、收集凭据、搜索 Active Directory 以及传输敏感数据。这些组件的构建时间戳可以追溯到 2021 年 5 月。

详情

微软：Sysrv僵尸网络以Windows和Linux服务器为目标

日期: 2022-05-13
标签: 信息技术, 微软（Microsoft）, Sysrv-K, 

2022年5月13日，微软表示，Sysrv 僵尸网络正在利用 Spring Framework 和 WordPress 中的漏洞，在易受攻击的 Windows 和 Linux 服务器上部署加密恶意软件。Sysrv-K的新变种已升级更多功能，包括扫描未修补的 WordPress 和 Spring 部署，并且可以通过利用各种漏洞来控制 Web 服务器。Sysrv 正在互联网上扫描易受攻击的 Windows 和 Linux 企业服务器 ，并用 Monero (XMRig) 矿工和自我传播恶意软件有效负载感染它们。在杀死竞争的加密货币矿工并部署自己的有效负载后，Sysrv 还使用从受感染服务器上不同位置收集的 SSH 私钥（例如，bash 历史记录、ssh 配置和 known_hosts 文件）通过暴力攻击自动传播到网络上。

详情

密码窃取者使用NFT内容作为诱饵进行GitHub链接传播

日期: 2022-05-12
标签: 金融业, RedLine Stealer, 

研究人员发现了一项新的活动：通过一系列利用全球对NFT的兴趣的YouTube视频来传播RedLine Stealer-一种在地下论坛上出售的低成本密码窃取者。诱饵是机器人的提供，允许用户在Binance NFT神秘盒子可用时自动购买它们。不过，这个机器人是假的。YouTube页面上的视频描述导致受害者在不知不觉中从GitHub链接下载RedLine Stealer。4月份，部署恶意软件的黑客对150多个国家和地区的系统发起了数千次攻击。RedLine允许攻击者访问系统信息，如用户名，硬件，安装的浏览器和防病毒软件，然后窃取密码，信用卡，加密钱包和VPN登录到远程命令和控制服务器。借助RedLine Stealer，黑客可以在地下市场销售之前从Web浏览器，FTP客户端，电子邮件应用程序，即时消息客户端和VPN中提取登录凭据。

详情

BPFdoor：隐形Linux恶意软件绕过防火墙进行远程访问

日期: 2022-05-12
标签: 信息技术, BPFDoor, 

最近发现的一种名为BPFdoor的后门恶意软件一直在潜行攻击Linux和Solaris系统，而五年多来都没有被注意到。BPFdoor是一个Linux/Unix后门，允许威胁行为者远程连接到Linux shell，以获得对受感染设备的完全访问权限。恶意软件不需要打开端口，它不能被防火墙阻止，并且可以响应来自网络上任何IP地址的命令，使其成为企业间谍活动和持续攻击的理想工具。

详情

在持续的攻击中发现的新的隐形Nerbian RAT恶意软件

日期: 2022-05-11
标签: 卫生行业, 世界卫生组织（WHO）, Nerbian RAT, UpdateUAV.exe, MoUsoCore.exe, 

2022年5月12日，Proofpoint的研究人员发现发布了一份关于新的Nerbian RAT恶意软件的报告。一种名为Nerbian RAT的新型远程访问木马，其中包括一组丰富的功能，包括逃避研究人员检测和分析的能力。新的恶意软件变体是用Go编写的，使其成为跨平台的64位威胁，目前通过小规模的电子邮件分发活动分发，该活动使用带有宏的文档附件。分发Nerbian RAT的恶意软件活动冒充世界卫生组织（WHO），据称该组织正在向目标发送COVID-19信息。

详情

Bitter网络间谍以新的恶意软件瞄准南亚政府

日期: 2022-05-11
标签: 孟加拉国, 政府部门, Bitter, 漏洞利用, CVE-2017-11882, CVE-2018-0798, CVE-2018-0802, 

Bitter是一个专注于网络间谍活动的APT组织，针对孟加拉国政府的新恶意软件具有远程文件执行功能。思科Talos的威胁分析师对其间谍活动进行了研究分析：思科观察到两个感染链，这两个感染链都是从鱼叉式网络钓鱼电子邮件开始的。

这些消息通过欺骗性的电子邮件地址发送，使它们看起来像是来自巴基斯坦政府组织。猜测是通过利用 Zimbra 邮件服务器中的一个漏洞来实现的，该漏洞允许攻击者从不存在的电子邮件帐户/域发送邮件。通过利用漏洞获取有效负载由漏洞利用程序创建的两个计划任务执行，这些任务在初始感染后每五分钟运行一次，以连接到托管服务器并下载特洛伊木马。

详情

FluBot Android恶意软件在新的短信活动中以芬兰为目标

日期: 2022-05-10
标签: 芬兰, 金融业, 芬兰国家网络安全中心（NCSC-FI）, FluBot Android, 

芬兰国家网络安全中心（NCSC-FI）已发出警告，称由于一项依赖短信和彩信分发的新活动，FluBot Android恶意软件感染正在增加。FluBot正在寻求通过在合法的银行和加密货币应用程序之上叠加网络钓鱼页面来窃取其受害者的财务帐户凭据。此外，除了常规登录凭据外，它还可以访问SMS数据，执行电话呼叫并监视传入通知以获取临时身份验证代码，例如一次性密码（OTP）。

详情

黑客在Windows事件日志中隐藏恶意软件

日期: 2022-05-09
标签: 信息技术, DLL 劫持, 渗透测试, DDoS攻击, SilentBreak, 

安全研究人员注意到一种恶意活动，该活动使用Windows事件日志来存储恶意软件，这种技术以前从未公开记录过野外攻击。该方法使攻击背后的威胁参与者能够在文件系统中植入无文件恶意软件，攻击中充满了旨在使活动尽可能隐蔽的技术和模块。调查显示，该恶意软件是“非常针对性”活动的一部分，并依赖于大量定制和商业工具。攻击中最有趣的部分之一是将 shellcode 有效负载注入密钥管理服务 （KMS） 的 Windows 事件日志中，这是由自定义恶意软件丢弃程序完成的操作。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

俄克拉荷马市印度诊所数据泄露影响40000人

日期: 2022-05-12
标签: 卫生行业, 俄克拉荷马城印第安人诊所（OKCIC）, 

根据该诊所网站上发布的通知，5月12日，俄克拉荷马城印第安人诊所（OKCIC）发现了一起影响其计算机系统的数据安全事件。暴露了近40，000人的个人身份信息（PII）。OKCIC透露，受损文件包括客户的姓名，出生日期，治疗信息，处方信息，医疗记录，医生信息，健康保险单号，电话号码，部落身份证号码，社会安全号码和驾驶执照号码。据报道，多达38，239人受到违规行为的影响。

详情

2100万用户的个人数据在电报上暴露

日期: 2022-05-12
标签: 信息技术, SuperVPN, GeckoVPN, ChatVPN, Telegram, 数据泄露, 暗网, 

根据 Hackread.com，包含2100万永不的个人信息和登录密码的数据库于2022年5月7日在Telegram频道上曝光。VPN客户的数据也在违规行为中暴露出来，包括SuperVPN，GeckoVPN和ChatVPN等著名VPN。该数据库以前去年可以在暗网上出售，但现在可以在Telegram上免费获得。据VPNMentor分析师称，被黑客入侵的文档包含10GB的数据，并暴露了2100万条唯一记录。包括以下详细信息：

• 全名

• 用户名

• 国家名称

• 账单明细

• 电邮地址

• 随机生成的密码字符串

• 保费状况及有效期

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

COBALT MIRAGE对美国进行勒索软件攻击

日期: 2022-05-13
标签: 美国, 伊朗, 信息技术, COBALT MIRAGE, BitLocker, DiskCryptor, 网络钓鱼, APT舆情, C2, 

Secureworks的研究人员正在调查伊朗威胁组织COBALT MIRAGE发起的攻击行动，该组织至少自2020年6月以来一直在活跃。COBALT MIRAGE与同样来自伊朗的威胁组织COBALT ILLUSION有关，主要利用持续性的网络钓鱼活动来获取初始访问权限。这两个组织有可能共享间谍情报技术和访问权限。COBALT MIRAGE的活动也被称为PHOSPHOROUS和TunnelVision。根据从Secureworks事件响应和公开报告中获得的情报，研究人员确定了两个不同的COBALT MIRAGE攻击集群。在A集群中，威胁组织使用BitLocker和DiskCryptor进行投机性的勒索软件攻击以获取经济利益。而B集群则专注于针对性的攻击，以获取访问权限和收集情报，但其中一些活动也尝试使用了勒索软件。

详情

Lazarus组织利用Log4Shell漏洞分发NukeSped恶意软件变种

日期: 2022-05-13
标签: 韩国, Lazarus, NukeSped, Log4Shell, APT舆情, C2, 

ASEC分析团队正在监测Lazarus组织针对韩国目标的攻击行动，该组织利用log4j漏洞分发NukeSped恶意软件变种。并利用NukeSped安装其他信息窃取恶意软件。2个已识别的恶意软件都是控制台类型的程序，窃取的数据不会保存为单独的文件。因此，攻击者可能已经远程控制了用户PC的GUI屏幕或以管道的形式渗漏了数据。

详情

UAC-0010使用GammaLoad.PS1_v2攻击乌克兰

日期: 2022-05-13
标签: 乌克兰, 政府部门, 乌克兰计算机应急响应小组（CERT-UA）, UAC-0010(Armageddon), 邮件钓鱼, APT舆情, C2, 俄乌战争, 

乌克兰CERT-UA收到了主题为“在赫尔松复仇！”的电子邮件，其中包含名为“Plan Kherson.htm”的附件。HTM文件将在受害者的计算机上解码并创建“Herson.rar”，其中包含名为“План підходу та закладання вибухівки на об'єктах критичної інфростурктури Херсона.lnk”的快捷方式文件。点击LNK文件将加载和启动HTA文件“precarious.xml”，将创建和执行“desktop.txt”和“user.txt”。最终，恶意程序GammaLoad.PS1_v2将被下载到计算机。该攻击行动由UAC-0010(Armageddon) 组织执行。

详情

黑客组织Killnet攻击多个意大利政府网站

日期: 2022-05-13
标签: 意大利, 政府部门, 意大利计算机安全事件响应小组 (CSIRT), Killnet, DDoS, 慢速 HTTP, 

2022年5月13日，意大利的计算机安全事件响应小组 (CSIRT) 披露了最近几天针对该国重要政府网站的 DDoS 攻击。亲俄黑客组织Killnet声称对这些攻击负责，该黑客组织还攻击了对罗马尼亚门户网站 和美国布拉德利机场。CSIRT称此次攻击使用了所谓的“慢速 HTTP ”技术。此方法基于一次向网络服务器发送一个 HTTP 请求，但将请求设置为非常慢的传输速率或使其不完整，从而使服务器等待下一个请求。服务器检测传入的通信并分配专用于等待剩余数据的资源。当这些类型的请求太多时，服务器会不堪重负，无法再进行任何连接，从而使站点无法访问。

详情

哥斯达黎加宣布持续网络攻击进入紧急状态

日期: 2022-05-12
标签: 哥斯达黎加, 政府部门, 金融业, Conti, 

经过一个月的严重勒索软件攻击，哥斯达黎加已宣布进入紧急状态。2022年5月8日总统罗德里戈·查韦斯（Rodrigo Chaves）将紧急声明作为他的第一批行动之一。并于5月11日发布。Conti团伙声称对这次袭击负责，美国国务院向提供Conti领导人身份识别或位置的人员提供了1000万美元的奖励

。这次袭击始于4月，当时财政部是第一个报告其许多系统受到影响的人，包括税收和海关。袭击还针对社会保障机构的人力资源系统和劳动部。哥斯达黎加政府尚未报告攻击的扩大，但一些系统，特别是财政部的系统，仍然无法正常运行。政府也没有对袭击造成的损失进行估计。

详情

意大利议会、军事和国家卫生研究所的网站遭到网络攻击

日期: 2022-05-12
标签: 俄罗斯, 乌克兰, 西班牙, 意大利, 美国, 波兰, 政府部门, 信息技术, 卫生行业, Killnet, DDoS, 俄乌战争, 

2022年5月12日，意大利议会，军方和国家卫生研究所的网站遭受到一个亲俄黑客组织Killnet的破坏，该组织此前曾涉嫌对罗马尼亚政府的类似网络攻击。这次袭击还影响了意大利汽车俱乐部和其他几个意大利机构。Killnet专门从事DDoS攻击，此前曾攻击过与美国，爱沙尼亚，波兰，捷克共和国和其他北约成员国政府相连的网站。在Telegram上，Killnet的成员表示，对意大利的袭击并不像他们对罗马尼亚的袭击那么严重。他们对意大利和西班牙政府进行了几次激烈的嘲讽。

详情

伊朗黑客在勒索软件攻击中利用BitLocker和DiskCryptor

日期: 2022-05-12
标签: 伊朗, 美国, 欧洲, 澳大利亚, 信息技术, Cobalt Illusion（APT35Charming KittenNewscasterPhosus）, BitLocker, DiskCryptor, 勒索攻击, PowerPoint, 

一个与伊朗业务有联系的勒索软件组织已关联到一系列针对以色列，美国，欧洲和澳大利亚组织的文件加密恶意软件攻击活动。网络安全公司Secureworks将这些入侵归于绰号为Cobalt Mirage的威胁行为者，该公司称其与名为Cobalt Illusion（APT35,Charming Kitten,Newscaster,Phosus）。据说威胁行为者进行了两组不同的入侵，其中一组与机会主义勒索软件攻击有关，涉及使用BitLocker和DiskCryptor等合法工具获得经济利益。第二组攻击更具针对性，其主要目标是保护访问和收集情报，同时在特定情况下部署勒索软件。

详情

针对日本公司的针对性攻击活动

日期: 2022-05-11
标签: 日本, 信息技术, DarkHotel, 

自2022年4月中旬以来，多个组织一直在针对日本公司进行有针对性的攻击活动。 这次攻击活动于2022年3月开展，也可能于2021年10月发生。 因此，攻击可能会继续，而不是短期或一次性攻击行动。 本文对这次攻击行动进行了详细的分析，并探讨了攻击主体的归属，列出了四个怀疑的组织。考虑到本文未提及的各种因素，归因于DarkHotel的可能性更高，但由于没有决定性因素，因此置信度较低。

详情

APT34利用新Saitama后门攻击约旦外交部官员

日期: 2022-05-11
标签: 中东, 伊朗, 政府部门, 金融业, 能源业, 制造业, APT34（OilRig、COBALT GYPSY、IRN2、HELIX KITTEN）, Saitama, 

4月26日，Malwarebytes发现了一封针对约旦外交部政府官员的可疑电子邮件。该电子邮件包含一个恶意的Excel文档，该文档释放了一个名为Saitama的新后门。经过调查，能够将这次攻击行动归因于已知的伊朗组织APT34。APT34也被称为OilRig、COBALT GYPSY、IRN2、HELIX KITTEN，至少自2014年以来一直针对中东和全球的受害者。众所周知，该组织专注于金融、政府、能源、化工和电信部门。这篇文章描述了攻击流程并分享了有关Saitama后门的详细信息。

详情

加拿大战斗机训练公司遭受勒索软件攻击

日期: 2022-05-11
标签: 加拿大, 德国, 政府部门, 制造业, Top Aces, 供应链, 

一家为空中训练演习提供战斗机的加拿大公司Top Aces遭到LockBit 勒索软件组织攻击。2022年5月11日，Top Aces 证实它正在调查这起事件。Top Aces是加拿大和德国武装部队的独家航空供应商。专家表示，即使攻击背后的个人只是以营利为目的的网络犯罪分子，他们也可能会出售数据或以其他方式将其提供给可能包括敌对政府在内的第三方。近年来，国防工业基础领域的公司遭受了多次攻击，政府确实需要找到一种方法来增强其供应链的安全性。LockBit 勒索软件组织向 Top Aces 提供了 5 月 15 日的最后期限，然后才泄露其据称窃取的 44GB 数据。

详情

医疗保健技术提供商 Omnicell 披露勒索软件攻击

日期: 2022-05-11
标签: 美国, 卫生行业, Omnicell, 

医疗保健技术公司Omnicell在向美国证券交易委员会（SEC）提交的一份文件中透露，它最近成为勒索软件攻击的受害者。Omnicell是一家美国跨国公司，为医疗机构制造自动化药物管理系统，以及为药房生产患者参与软件。在向美国证券交易委员会提交的最新10-Q表格文件中，该公司指出，其一些内部系统在2022年5月4日受到勒索软件攻击的影响。该公司表示，它立即采取措施遏制这一事件，并实施了“恢复和支持继续运营”的计划。

详情

APT组织Bitter瞄准孟加拉国政府

日期: 2022-05-11
标签: 孟加拉国, 政府部门, 孟加拉国警察快速行动营 (RAB), Bitter, ZxxZ, 网络钓鱼, APT舆情, 

以间谍活动为中心的APT组织Bitter以袭击中国、巴基斯坦和沙特阿拉伯而闻名，目前正将目标对准孟加拉国的政府组织，作为 2021 年 8 月开始的持续活动的一部分。Bitter（又名 APT-C-08 或 T-APT-17）被怀疑是一个南亚黑客组织，其主要动机是收集情报，该行动由 BitterRAT、ArtraDownloader 和 AndroRAT 等恶意软件推动。突出的目标包括能源、工程和政府部门。针对孟加拉国政府实体的最新活动涉及向孟加拉国警察快速行动营 (RAB) 的高级官员发送鱼叉式网络钓鱼电子邮件。这些邮件旨在引诱收件人打开武器化的 RTF 文档或 Microsoft Excel 电子表格，利用该软件中先前已知的缺陷来部署一个名为“ZxxZ”的新木马。专家表示，在这次最新的活动中，他们扩大了对孟加拉国的影响力。东南亚任何新的国家成为 Bitter APT 的目标都不足为奇。

详情

朝鲜APT组织利用伪装成针对脱北者的调查问卷发起攻击

日期: 2022-05-10
标签: 朝鲜, 信息技术, 

研究人员发现了与朝鲜有关的HWP恶意文档，该恶意文档伪装成针对脱北者的调查问卷，并利用了HWP韩文文档中的OLE功能。当收件人执行文档时，攻击者会启动一个虚假的消息窗口，例如“此文档是在更高版本中创建的”，以诱使用户单击它，当用户按下“确定”按钮时，攻击者会尝试通过HWP文件中插入的OLE函数通过批处理文件和Powershell命令与该国家/地区的特定服务器进行通信。这次攻击中使用的HWP攻击技术、战术和以前与朝鲜有关的网络攻击案例一致，其背后是一个朝鲜网络威胁组织。

详情

黑客袭击与美国俄勒冈州选举有关的供应商

日期: 2022-05-10
标签: 美国, 政府部门, 商务服务, C&E Systems, Opus Interactive, 选举, 

美国俄勒冈州选举部门表示，2022年5月9日获悉，竞选金融公司 C&E Systems 使用的网络托管服务提供商Opus Interactive遭到勒索软件攻击。Opus Interactive 和某些 Opus 托管的客户虚拟服务器和备份受到了加密服务器磁盘文件的勒索软件攻击。C&E 的数据库遭到破坏，其中包括他们客户的 ORESTAR 帐户登录凭据。国务卿办公室表示，它要求所有 1,100 名受影响的用户重置密码。

但 C&E Systems 称受影响用户较少，只有大约 300 名。根据国务卿的非官方选票统计，截至202年5月10日上午，已从超过 290 万登记选民中退回了 288,337 张已完成的选票。

详情

俄罗斯多个媒体在“胜利日”当天被黑客入侵

日期: 2022-05-09
标签: 俄罗斯, 文化传播, Yandex, RuTube, 俄乌战争, 

2022年5月9日，在俄罗斯胜利日这天，俄罗斯智能电视台、Yandex搜索引擎和RuTube（俄罗斯的YouTube）遭受黑客入侵，显示各种反战信息。目前，相关厂商正在努力恢复正常服务，安全专家也对事件进行了定位。但目前这些平台仍无法访问，其背后攻击者尚未查明。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

Zyxel 防火墙中的严重漏洞(CVE-2022-30525)允许访问公司网络

日期: 2022-05-13
标签: 信息技术, 网络设备公司合勤科技（Zyxel）, CVE-2022-30525, 

2022年5月13日，一个影响多种Zyxel防火墙模型的严重漏洞 (CVE-2022-30525) 以及利用该漏洞的 Metasploit 模块已被公开披露。CVE-2022-30525 是一个命令注入漏洞，未经身份验证的远程攻击者可能会利用该漏洞通过易受攻击的防火墙的管理 HTTP 接口（如果暴露在 Internet 上）将命令注入操作系统，从而允许他们修改特定文件并执行操作系统命令。该由 Rapid 7 研究员 Jake Baines 发现并于 4 月 13 日向 Zyxel 披露，该公司已在 4 月 28 日发布补丁修复了该问题，但该公司直到现在还没有通过相关的 CVE 或安全咨询公开承认该问题。

详情

F5 BIG-IP 严重漏洞被用于破坏性攻击

日期: 2022-05-10
标签: 信息技术, F5, 漏洞利用, 

F5 BIG-IP 漏洞CVE-2022-1388已被用于破坏性攻击，试图擦除设备的文件系统并使服务器无法使用。研究人员开始在Twitter和GitHub上公开发布漏洞，威胁行为者很快就会在互联网上使用它们进行攻击。虽然大多数攻击都被用来丢弃webshell以进行初始访问网络，窃取SSH密钥并枚举系统信息，但SANS Internet Storm Center看到了两次以更邪恶的方式针对BIG-IP设备的攻击。SANS告诉BleepingComputer，他们的蜜罐看到了来自IP地址177.54.127.111的两次攻击。该ip 在目标 BIG-IP 设备上执行“rm -rf /*”命令，此命令将尝试在执行时擦除 BIG-IP 设备的 Linux 文件系统上的所有文件。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   安全分析

Lyceum组织针对高科技芯片行业攻击活动的简要分析

日期: 2022-05-11
标签: 中东, 非洲, 能源业, 信息技术, 360, Lyceum, APT34（OilRig、COBALT GYPSY、IRN2、HELIX KITTEN）, 

Lyceum是一个很少被曝光的威胁组织，在仅有的几次攻击披露中，主要以中东和非洲为主要目标。该组织的活动最早可追溯到2018年4月，因为攻击中东石油和天然气、电信公司而逐渐被发现。在针对其最近的活动分析后发现，Lyceum主要针对突尼斯进行了集中的信息窃取。同时也发现Lyceum与APT34等伊朗威胁组织具有高度相似性。360高级威胁研究院在之前的威胁情报分析中发现并捕获到了Lyceum的Milan后门，此次又发现了新的IOC并在本文中加以补充说明。

详情

Operation（龙）EviLoong：“无国界”黑客的电子派对

日期: 2022-05-10
标签: 信息技术, 金融业, 文化传播, 制造业, APT-Q-29, APT舆情, C2, 

奇安信威胁情报中心在日常威胁发现过程中发现一个专门针对游戏公司、制药行业、区块链、互联网金融、企业财务、运维人员等目标的团伙，盗用了多个公司的白证书，样本大部分使用了VMP壳进行了保护，执行过程中会将带有签名的驱动样本加载入内核对三环的样本提供保护，攻击手法极为高超，具备0day/Nday攻击能力，样本由于带有白签名，全程免杀，较难发现。本文是对APT-Q-29组织在过去一段时间内攻击手法做一个分享，不讨论受害单位。

详情

0x08   其他事件

欧盟同意为关键服务组织制定新的网络安全立法

日期: 2022-05-13
标签: 欧洲, 信息技术, 制造业, 交通运输, 政府部门, 卫生行业, 居民服务, 欧盟（EU Lawmakers）, 

2022年5月13日，欧盟 (EU) 已就新立法达成政治协议（NIS 2），该立法将对关键行业组织实施共同的网络安全标准。NIS 2 指令将涵盖在关键领域运营的中型和大型组织，包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。新立法的规定包括在 24 小时内向当局报告网络安全事件、修补软件漏洞和准备风险管理措施。它还旨在制定更严格的执法要求并协调成员国之间的制裁制度。

详情

欧洲各国确认俄罗斯是2月网络攻击的幕后黑手

日期: 2022-05-13
标签: 乌克兰, 俄罗斯, 美国, 英国, 德国, 法国, 匈牙利, 意大利, 波兰, 希腊, 政府部门, 科研服务, 交通运输, 美国卫星互联网通信供应商Viasat, 欧盟（EU Lawmakers）, 英国国家网络安全中心 (NCSC-UK), 俄乌战争, 

自俄乌战争以来，欧盟、英国、美国和其他盟国最终确认俄罗斯一直是网络攻击的幕后黑手。2022年2月针对 Viasat 在乌克兰的商业通信网络的分布式拒绝服务 (DDoS) 攻击就发生在俄罗斯全面入侵乌克兰的同一天。而这次攻击在整个欧洲产生了更大的影响，扰乱了风电场和互联网用户。bigblu卫星互联网服务公司Eutelsat称，Viasat 的中断影响了近三分之一的bigblu欧洲客户，包括德国、法国、匈牙利、希腊、意大利和波兰。欧盟表示，这次黑客攻击归咎于俄罗斯的军事情报部门。联合情报咨询表示，此次攻击的主要目标是乌克兰军方。英国国家网络安全中心 (NCSC) 称，俄罗斯军事情报部门可能参与了 1 月 13 日对乌克兰官方网站的攻击以及 Whispergate 有害恶意软件的分发。

详情

乌克兰黑客因在暗网出售被盗证件而被判入狱四年

日期: 2022-05-13
标签: 美国, 乌克兰, 波兰, 政府部门, 美国司法部（DoJ）, 僵尸网络, 暗网, 

2022年5月12日，美国司法部 (DoJ) 表示，来自乌克兰切尔诺夫策的 Glib Oleksandr Ivanov-Tolpintsev因运行旨在暴力攻击服务器的僵尸网络而被判处联邦监狱监禁。僵尸网络是由受感染的计算机和其他设备组成的从属网络。运营商可以引导这些网络通过流量猛烈攻击在线服务，称为分布式拒绝服务(DDoS) 攻击。根据美国司法部的文件，Ivanov-Tolpintsev 的僵尸网络被用来“同时解密大量计算机登录凭据”。每周最多大约有 2,000 台机器成为目标并受到攻击。Ivanov-Tolpintsev 被追踪到波兰 Korczowa，并于 2020 年 10 月 3 日被当地执法部门逮捕。随后他被引渡到美国，并承认密谋贩卖未经授权的访问设备和计算机密码。

详情

俄罗斯推动法律强制出租车应用程序与间谍机构共享数据

日期: 2022-05-12
标签: 乌克兰, 俄罗斯, 莫斯科, 政府部门, 联邦安全局（FSB）, 俄乌战争, 

俄罗斯政府已经提出了一项法律，强制叫车应用程序让FSB情报机构实时访问他们的数据。自2月24日莫斯科在乌克兰发动攻势以来，俄罗斯当局一直在加大对公共自由的限制。下议院国家杜马在一份声明中表示：“该文件规定了出租车订购服务的义务，即为FSB提供对用于接收，存储，处理和传输出租车订单的信息系统和数据库的自动远程访问，”到目前为止，如果FSB向出租车服务部门提出正式请求，FSB可以获得这些信息，出租车服务机构有权在30天内做出回应。

详情

NVIDIA 已公开其 Linux GPU 内核驱动程序

日期: 2022-05-12
标签: 信息技术, 英伟达（NVIDIA）, 

NVIDIA发布了R515驱动程序的Linux内核模块的源代码，允许开发人员为Linux发行版提供更高的集成度，稳定性和安全性。源代码已在结合GPL和MIT许可证的双重许可模式下发布到NVIDIA的GitHub存储库，使模块可以合法地重新分发。这些驱动程序支持的产品包括2018年后发布的所有基于图灵和安培架构构建的型号，包括GeForce 30和GeForce 20系列，GTX 1650和1660，以及数据中心级A系列，特斯拉和Quadro RTX。

详情

Frappo：新的网络钓鱼服务平台

日期: 2022-05-12
标签: 信息技术, 网络钓鱼, Frappo, 暗网, 

Resecurity HUNTER小队发现了“Frappo”，这是暗网上提供的一种新的地下服务。“Frappo”是一个网络钓鱼即服务平台，允许欺诈者托管和开发高质量的网络钓鱼网站，模仿重要的网上银行，电子商务，知名商店和在线服务，以窃取客户信息。网络犯罪分子创建了该平台，以便使用垃圾邮件活动来传播专业的网络钓鱼信息。“Frappo”在暗网和Telegram上广泛宣传，它拥有超过1，965名成员，黑客讨论他们在针对各种在线网站用户方面的成功。该服务于2021年3月22日首次出现在暗网上，并已进行了大量更新。该服务的最新版本于2022年5月1日注册。

详情

报告：法国2021年的个人数据泄露事件激增

日期: 2022-05-11
标签: 法国, 信息技术, 法国数据保护监管机构（CNIL）, 勒索攻击, 

2022年5月11日，法国数据保护监管机构CNIL的最新报告发现，法国的个人数据泄露通知创下历史记录，比2020年增长79%。CNIL 总裁 Marie-Laure Denis 表示，这一增长反映了公司对报告义务的意识增强，但也反映了网络攻击的增加，并警告称这一数字仍“远低于实际情况”。在通知的数据泄露中，58% 是计算机攻击的结果，尤其是勒索软件（与 2020 年相比增加了 128%）。这些攻击的首选目标是中小型企业 (43%) 和非常小型企业 (26%)。

详情

英国男子被控入侵美国银行电脑窃取数百万美元

日期: 2022-05-10
标签: 美国, 英国, 金融业, 信息技术, 政府部门, 

一名英国男子Mustapha在纽约被指控未经授权的计算机入侵、证券欺诈、电汇欺诈和其他罪行，造成超过 500 万美元的损失。根据2022年5月10日公开的10 项投诉，32 岁的英国公民 Idris Dayo Mustapha 和其他人在 2011 年 1 月至 2018 年 3 月期间使用网络钓鱼和其他手段获取用户凭据。投诉显示，Mustapha 获得了美国计算机的访问权限，包括电子邮件服务器和属于美国金融机构的计算机，以从在线银行账户和证券经纪账户中窃取资金。如果罪名成立，Mustapha将因各种电汇欺诈、证券欺诈和洗钱指控面临最高 20 年的监禁，并因严重的身份盗窃而被判处两年徒刑。

详情

五角大楼负责人表示：美国和乌克兰的数字合作在多个层面上都取得了成功

日期: 2022-05-11
标签: 美国, 乌克兰, 政府部门, 美国网络司令部司令, 俄乌战争, 

2022年5月11日，美国国防部长劳埃德·奥斯汀（Lloyd Austin）表示，美国网络司令部与网络空间对手保持持续联系的原则正在为美国和乌克兰的网络防御者“带来红利”。上个月，网络司令部司令兼国家安全局局长保罗·中曾根（Paul Nakasone）上将作证说，面对俄罗斯的入侵，军方的精英数字战部门已经“加紧”了加强乌克兰网络的努力。奥斯汀指出，拜登政府已要求为国防部2023财年的网络安全需求提供超过110亿美元，包括加强自己的系统。

详情

五眼情报联盟警告称，针对托管服务提供商（MSP）的网络攻击有所增加

日期: 2022-05-11
标签: 美国, 英国, 澳大利亚, 加拿大, 新西兰, 政府部门, 信息技术, 英国国家网络安全中心 (NCSC-UK), 澳大利亚网络安全中心（ACSC）, 加拿大网络安全中心（CCCS）, 新西兰网络安全中心（NCSC-NZ）, 美国网络安全和基础设施安全局 (CISA), 美国国家安全局（NSA）, 美国联邦调查局 (FBI), 供应链, 

2022年5月12日，五眼情报联盟的网络安全机构警告称，针对托管服务提供商 (MSP) 的网络攻击将会增加。五眼情报联盟的五个组成国家分别是：美国、英国、澳大利亚、加拿大和新西兰。MSP 是为管理 IT 基础设施和提供支持而付费的公司。这些公司通常为缺乏 IT 部门的小型企业提供远程 IT 服务。MSP 提供的服务通常需要受信任的网络连接和访问客户系统的特权。许多组织（从大型关键基础设施组织到中小型企业）都使用 MSP 来管理 ICT 系统、存储数据或支持敏感流程。无论客户的网络环境是在本地还是在外部托管，威胁参与者都可以使用易受攻击的 MSP 作为对多个受害网络的初始访问向量，从而产生全球级联效应。因为黑客以托管服务提供商为目标，这可能会显着增加他们支持的企业和组织的下游风险。

详情

Microsoft Exchange 服务器上部署的新 IceApple 漏洞利用工具集

日期: 2022-05-11
标签: 信息技术, 微软（Microsoft）, 漏洞利用, 

安全研究人员发现了一个新的开发后框架，他们称之为IceApple，主要部署在广泛地理位置的Microsoft Exchange服务器上。IceApple被描述为“高度复杂”，其开发人员优先考虑在针对性攻击中保持低调的长期目标。IceApple被部署：技术，学术和政府部门。根据研究人员的说法，IceApple已经部署在Microsoft Exchange Server实例上，但它也可以在Internet Information Services（IIS）Web应用程序下运行。IceApple很可能拥有未被发现的模块，其开发人员有望进一步推进该框架，以适应检测技术。

详情

ICE监视网收集了四分之三美国人的数据

日期: 2022-05-10
标签: 美国, 政府部门, 信息技术, 交通运输, 美国移民和海关执法机构（ICE）, 公民隐私, 

2022年5月10日，研究报告显示，美国移民和海关执法机构（ICE）在监控技术上的年度支出从 2008 年的大约 7100 万美元激增至如今的 3.88 亿美元。ICE不仅收集移民的个人数据，而且收集了近四分之三的美国人的个人数据。ICE 已经使用面部识别技术扫描了至少三分之一的成年人驾照，并且能够访问大约 75% 的成年人的驾照。ICE 还可以通过他们的公用事业记录找到四分之三的成年人。该报告还展示了在过去十年中，ICE 如何从使用在执法环境中收集的数据和 DMV 记录转变为包括儿童福利数据、水电费账单、医院记录和数据经纪人可用于跟踪个人的其他敏感信息在内的数据。而州立法者几乎不知道他们所在州的 ICE 监视行为，而是通常会从新闻中了解该机构的行动。

详情

英美等多国正式指责俄罗斯对Viasat卫星进行的黑客攻击

日期: 2022-05-10
标签: 美国, 英国, 加拿大, 澳大利亚, 俄罗斯, 乌克兰, 政府部门, 科研服务, 

2022年5月11日，英国国家网络安全中心和欧盟理事会发布协调声明，正式指责俄罗斯政府在入侵乌克兰前数小时内于 2 月 24 日对欧洲的卫星调制解调器进行的黑客攻击。加拿大和澳大利亚政府周二也发表声明，将 Viasat 黑客事件归咎于俄罗斯政府。新西兰政府周二发表声明，宣布制裁“针对虚假信息和对乌克兰网络攻击负责的人”，但没有具体提及 Viasat。乌克兰政府官员长期以来一直将Viasat 黑客攻击归咎于俄罗斯政府，该黑客攻击的目标是调制解调器和由总部位于加利福尼亚的通信公司 Viasat 运营的卫星网络。俄罗斯大使馆没有立即回应置评请求。

详情

英国网络安全中心向组织发送了3300万条警报

日期: 2022-05-10
标签: 英国, 信息技术, 英国国家网络安全中心（NCSC）, 

2022年5月10日，英国国家网络安全中心（NCSC）发布报告称，已经向注册其“预警”服务的组织提供了 3300 万条警报。NCSC透露，2021 年已杜绝了英国超过 270 万起诈骗活动，几乎是 2020 年的四倍。NCSC 针对的诈骗计划包括对加密货币赠品的虚假名人代言、与 COVID-19 相关的活动、冒充 NCSC 或其他国家执法机构的虚假勒索电子邮件以及虚假包裹递送通知。

详情

微软5月补丁日：警告新0day漏洞被利用

日期: 2022-05-10
标签: 美国, 信息技术, 微软（Microsoft）, CVE-2022-29972, CVE-2022-26925, CVE-2022-22713, 微软补丁日, 0day, 

2022年5月10日，微软发布2022年5月补丁，总共修复 75 个漏洞，有 8 个被归类为“严重”。其中还修复了三个0day漏洞，其中一个被积极利用。这个被积极利用的0day漏洞跟踪为“ CVE-2022-26925 - Windows LSA 欺骗漏洞”，是 LSARPC 上的新型NTLM 中继攻击。未经身份验证的攻击者可以调用 LSARPC 接口上的方法并强制域控制器使用 NTLM 对攻击者进行身份验证。使用这种攻击，威胁参与者可以拦截合法的身份验证请求并使用它们来获得提升的权限，甚至可以假设域控制器的身份。另外两个0day漏洞分别是 Hyper-V 拒绝服务漏洞（CVE-2022-22713）和Azure Synapse/Azure 数据工厂远程代码执行漏洞（CVE-2022-29972）。

详情

国家网络总监办公室任命三位新的高级领导人

日期: 2022-05-10
标签: 美国, 政府部门, 美国国家网络总监办公室（ONCD）, 白宫, 

2022年5月10日，白宫宣布了其新生的国家网络总监办公室（ONCD）的三名关键人员，微软高管，中央情报局官员和网络政策专家。Kemba Walden（微软高管）此前曾在微软数字犯罪部门担任助理总法律顾问，他将在未来几周内担任ONCD的首席副国家网络总监。她曾担任政府职务，包括担任网络安全和基础设施安全局的网络安全律师。ONCD的两名副国家网络主任：中央情报局前数字创新副主任尼尔·希金斯（Neal Higgins）将监督国家网络安全，而奥巴马政府期间在国家安全委员会网络局任职的政策专家罗布·克纳克（Rob Knake）将负责战略和预算。白宫表示，希金斯和克纳克都已经在ONCD担任了他们的角色。

详情

欧盟发表官方声明：谴责俄罗斯入侵Viasat卫星网络

日期: 2022-05-10
标签: 俄罗斯, 乌克兰, 国际组织, 交通运输, 欧盟（EU Lawmakers）, Viasat KA-SAT, 美国卫星互联网通信供应商Viasat, 俄乌战争, 

2022年5月10日，欧盟发布了一份官方声明表示：欧洲联盟及其成员国及其国际伙伴强烈谴责俄罗斯联邦对乌克兰进行的恶意网络活动，该活动以Viasat运营的KA-SAT卫星网络为目标。网络攻击发生在2022年2月24日俄罗斯无端和无理入侵乌克兰前一小时，从而为军事侵略提供了便利。这次网络攻击产生了重大影响，导致乌克兰几个公共当局，企业和用户的不分青红皂白的通信中断和中断，并影响了几个欧盟成员国。欧洲联盟与其伙伴密切合作，正在考虑采取进一步措施，防止、阻止、威慑和应对网络空间中的这种恶意行为。欧盟将继续向乌克兰提供协调的政治、财政和物质支持，以加强其网络弹性。并表示俄罗斯必须停止这场战争，立即结束毫无意义的人类苦难。

详情

首所因勒索软件攻击而将关闭的学校：林肯学院

日期: 2022-05-09
标签: 美国, 教育行业, Lincoln College, 

林肯学院是一所来自美国伊利诺伊州的文理学院，该学院表示，在其成立 157 年之后，由于 COVID-19 大流行和2021年12月的勒索软件攻击对其财务造成了残酷打击，它将在2022年5月13日关闭。学校已通知伊利诺伊州高等教育部和高等教育委员会这一即将到来的永久关闭，其董事会已投票决定在春季学期结束时停止所有学术活动。根据Emsisoft 的一份报告，虽然这是首次勒索软件攻击导致一所学校关闭，但林肯学院只是去年遭受勒索软件攻击的 1000 多所学校中的一所。2021年，美国有 88 个教育组织直接受到勒索软件的影响，包括全国 62 个学区和 26 所高校的校园，扰乱了 1,043 所学校的学习。

详情

常见的LinkedIn诈骗：谨防网络钓鱼攻击和假工作机会

日期: 2022-05-09
标签: 信息技术, 商务服务, LinkedIn, 

2022年5月9日，安全研究机构ESET发布报告，警告提防常见的 LinkedIn 骗局。如今在大辞职时代，冒充 LinkedIn 的在线欺诈行为继续蓬勃发展。并且，此类欺诈行为数量在最近几个月飙升。ESET列出了几个利用 LinkedIn 的常见骗局的例子。电子邮箱虚假通知：这些钓鱼邮件最终旨在窃取用户的登录凭据或将恶意软件下载到用户的设备上。虚假的工作机会：假猎头以提供高薪的“工作机会”为由，要求用户支付预付费用、填写额外的个人信息（如银行信息）。用户应当注意提防此类骗局。

详情

俄乌战争促使美国加大对软件制造商卡巴斯基的安全调查力度

日期: 2022-05-10
标签: 美国, 俄罗斯, 乌克兰, 信息技术, 政府部门, 卡巴斯基（Kaspersky）, 俄乌战争, 

2022年5月10日，路透社透露，美国政府在2022年早些时候加大了对俄罗斯 AO 卡巴斯基实验室防病毒软件的国家安全调查力度，原因是在莫斯科入侵乌克兰后，人们对俄罗斯网络攻击的担忧加剧。专家认为，随着俄罗斯和西方之间的紧张局势升级，俄罗斯可能会使用具有访问计算机系统特权的防病毒软件从美国计算机窃取敏感信息。美国监管机构已经禁止联邦政府使用卡巴斯基软件。未公开调查显示，美国政府正在深入挖掘卡巴斯基的工具包，以打击俄罗斯，保护美国公民和企业免受俄罗斯网络攻击。路透社报道还称，在俄罗斯入侵乌克兰后的第二天，美国政府开始私下警告一些美国公司，莫斯科可能会操纵卡巴斯基设计的软件造成伤害。

详情

科技贸易组织ITI反对印度网络安全法

日期: 2022-05-09
标签: 印度, 美国, 信息技术, ITI, Cert-In, 

全球科技贸易协会ITI反对印度政府的一项新指令，该指令要求公司在事件发生后六小时内向 CERT-IN 报告网络安全事件。ITI 的会员群包括多家网络安全公司，包括 Fortinet、Palo Alto、NortonLifeLock、Rapid7、Tenable 等。2022年4月28日，印度政府更新了 2000年信息技术 (IT) 法案第 70B 条，增加了几项措施。服务提供商、中介机构、数据中心、公司和政府组织有六个小时的时间向 CERT-IN 报告一系列入侵事件。ITI声称新规则“可能会对印度和全球企业产生负面影响，实际上会破坏印度的网络安全。”ITI认为，对于公司或 Cert-In 来说，花时间收集、传输、接收和存储如此大量的无关紧要的信息是没有用的，要求在“更广泛的利益相关者协商”后推迟和修改规则。

详情

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x0a   时间线

2022-05-16 360CERT发布安全事件周报