报告编号：B6-2022-121903

报告来源：360CERT

报告作者：360CERT

更新日期：2022-12-19

0x01   事件导览

本周收录安全热点51项，话题集中在恶意程序、网络攻击方面，涉及的组织有：微软、Gemini、VMware、Fortinet等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

微软发现新的DDoS平台MCCrash

日期: 2022-12-16
标签: 信息技术, 微软（Microsoft）, 

微软安全团队发现MCCrash是新出现的跨平台 DDoS 僵尸网络服务商。其主要通过SSH传播并且试图攻击网络上私人的Minecraft服务器。

详情

Flutter手机应用中隐藏着MoneyMonger勒索软件

日期: 2022-12-16
标签: 信息技术, MoneyMonger, 网络犯罪, 移动安全, 

一个名为 MoneyMonger 的 Android 恶意软件活动被发现隐藏在使用 Flutter 开发的借贷应用程序中。根据 Zimperium zLabs 团队的研究，该恶意软件使用多层社会工程来利用其受害者，并通过恶意软件从个人设备中窃取私人信息，然后使用该信息对用户实施勒索。

详情

Royal勒索软件拥有新的加密策略

日期: 2022-12-15
标签: 信息技术, 卫生行业, 金融业, 网络犯罪, 勒索攻击, Royal, 

安全研究人员发现Royal 通过基于可针对目标定制的百分比加密策略，从而使检测更具挑战性。并且同时使用了多线程加密来提升加密的速度。

详情

Cado实验室发现了第一个针对AWS Lambda的恶意软件

日期: 2022-12-15
标签: AWS, 云计算, 

Denonia更新了新的针对AWS Lambda的攻击方式，它利用基于 HTTPS 的 DNS、二进制填充和内存中执行来进行加密劫持并且在攻击成功后使用XMRig实施挖矿。

详情

经过微软 Windows 硬件开发人员计划认证的驱动证书被恶意使用

日期: 2022-12-14
标签: 信息技术, 网络犯罪, 

微软获悉，这些驱动程序通过Microsoft Windows硬件开发人员程序的Authenticode签名验证。这些签名是需要经过微软 Windows 硬件开发人员计划认证后才会被微软签发。截至目前发现了一种恶意利用的工具包被多方利用，该工具包由两个名为 STONESTOP（加载程序）和 POORTRY（内核模式驱动程序）该工具包中附带的签名来源尚不明确，微软也尚未透露恶意驱动程序最初是如何通过审查流程的。

详情

LockBit声称为加州财政部攻击行动负责

日期: 2022-12-14
标签: 加州, 信息技术, 加州财政部, LockBit, 网络犯罪, 

LockBit勒索软件团伙在其泄露网站上发布消息称，他们攻击了加利福尼亚州财政部，并窃取了数据库、机密数据、财务文件和IT文件。

加州财政部一直是LockBit勒索软件团伙声称的网络攻击的目标。

目前加利福尼亚州州长紧急服务办公室已确认财政部已受到网络事件的影响，但没有提供太多细节。

详情

新的GoTrim僵尸网络通过暴力破解WordPress网站管理员帐户来接管服务器

日期: 2022-12-14
标签: 信息技术, 网络犯罪, GoTrim, 僵尸网络, 

一个名为“GoTrim”的新的基于Go的僵尸网络恶意软件正在扫描网络，寻找自行托管的WordPress网站，并试图暴力破解管理员密码并控制网站。

详情

分析COBALT MIRAGE的新恶意软件Drokbk

日期: 2022-12-12
标签: COBALT MIRAGE, C2, APT, 

Secureworks的研究人员正在调查Drokbk恶意软件，该恶意软件由伊朗政府赞助的COBALT MIRAGE的子组织运营。Drokbk是用 .NET 编写的，由dropper和有效载荷组成。该恶意软件具有有限的内置功能，主要从命令和控制服务器执行其他命令或代码。最早出现在2022年2月对美国地方政府网络的攻击行动中，该事件中无法提供Drokbk恶意软件样本进行分析，但Secureworks的研究人员后来发现了上传到VirusTotal的样本。

详情

乌克兰计算机应急响应小组发布报道乌克兰政府机构和国家铁路遭受了新一波的网络钓鱼攻击

日期: 2022-12-13
标签: 乌克兰, 信息技术, 乌克兰铁路, 乌克兰政府, DolphinCape, 恶意软件, 

乌克兰计算机应急响应小组 (CERT-UA) 上周报道，乌克兰政府机构和国家铁路是新一波网络钓鱼攻击的最新受害者。被 CERT-UA 追踪为 UAC-0140 的攻击者使用电子邮件分发使用 Delphi 编程语言开发的 DolphinCape 恶意软件。这种恶意软件收集被攻击电脑的信息，包括主机名、用户名、比特率和操作系统版本，运行可执行文件，提取其他数据，并对目标设备进行屏幕截图。该报告是研究人员第一次提到DolphinCape。

详情

新的基于 Go 的僵尸网络Zerobot利用数十个物联网漏洞来扩展其网络

日期: 2022-12-12
标签: 信息技术, Zerobot, Botnet, 

通过利用物联网 (IoT) 设备和其他软件中的近两打安全漏洞，人们观察到一种名为Zerobot的新型基于 Go 的僵尸网络在野外扩散。

Fortinet FortiGuard 实验室研究员 Cara Lin表示，僵尸网络包含多个模块，包括自我复制、针对不同协议的攻击和自我传播 。它还使用 WebSocket 协议与其命令和控制服务器通信。

该活动据说在 2022 年 11 月 18 日之后开始，主要针对 Windows 和 Linux 操作系统来控制易受攻击的设备。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

黑客接管了15000名澳大利亚电信公司TPG的商业客户的邮箱账户

日期: 2022-12-16
标签: 澳大利亚, 信息技术, TPG, 网络犯罪, 

澳大利亚 TPG 电信本周宣布，有攻击者已获得对其托管 15,000 名客户电子邮件帐户的服务的邮件账户的控制权限。

详情

Gemini 加密货币交易所疑似泄露570万用户数据

日期: 2022-12-16
标签: Gemini, 

黑客论坛上出现多个帖子提出出售据称来自 Gemini 的数据库，该数据库包含 570 万用户的电话号码和电子邮件地址。

详情

Social Blade确认了遭受黑客攻击，并且其用户数据库遭到泄露

日期: 2022-12-16
标签: 美国, 信息技术, Social Blade, 网络犯罪, 

社交媒体分析平台 Social Blade 证实，在其数据库遭到破坏并在黑客论坛上出售后，他们遭受了数据泄露。

Social Blade 是一个分析平台，可为 YouTube、Twitter、Twitch、Daily Motion、Mixer 和 Instagram 帐户提供统计图表，让客户可以查看预估收入和项目。

该公司提供了一个 API，允许客户将 Social Blade 数据直接集成到他们自己的平台中。

详情

FBI 项目InfraGard相关人员联系信息泄露

日期: 2022-12-15
标签: 美国, 信息技术, 美国联邦调查局 (FBI), FBI, InfraGard, 

Breached论坛中发布了，InfraGard的用户数据库售卖的帖子，该数据库中包括数万名Infra Gard成员的姓名和联系信息。

InfraGard是美国联邦调查局（FBI）运行的一个项目，旨在与私营部门建立网络和物理威胁信息共享合作伙伴关系。

详情

2022 年 10 大医疗保健数据泄露事件

日期: 2022-12-13
标签: 美国, 信息技术, 卫生行业, 医疗, 数据泄露, 

SC Media整理了2022年10大医疗保健行业的数据泄露事件，主要涉及以下厂商

Eye Care Leaders、Advocate Aurora Health、Connexin software、Shields Health Care Group、Professional Finance Company、Baptist Medical Center 和Resolute Health Hospital、OneTouchPoint、Community Health Network、Novant Health、Broward Health

详情

澳大利亚Telstra数据泄露事件影响13.2万客户

日期: 2022-12-13
标签: 澳大利亚, 信息技术, Telstra, 数据泄露, 

澳大利亚最大的电信公司Telstra Corp Ltd报告称，由于内部技术错误，已有132000名用户的数据泄露。

澳大利亚电信总共拥有1880万客户账户，超过澳大利亚人口的一半。

详情

照明巨头 Acuity Brands 披露了两起数据泄露事件

日期: 2022-12-12
标签: 信息技术, Conti, 网络犯罪, 

照明巨头 Acuity Brands 总部位于佐治亚州亚特兰大，拥有大约 13,000 名员工，业务遍及北美、欧洲和亚洲。

在最近几天发布的数据安全事件通知中，Acuity Brands 表示，它在 2021 年 12 月上旬意识到未经授权访问其系统和数据被盗。对该事件的调查显示，2020 年 10 月发生了一起单独的、无关的违规事件，这也涉及尝试从受感染的系统复制文件。

一项调查显示，在这两起事件中泄露的信息属于 Acuity 健康计划的现任和前任员工以及成员。没有迹象表明客户信息被盗。

这些信息包括姓名、社会安全号码、Acuity 健康计划信息、驾照号码、财务账户信息、有限健康信息以及与就业相关的其他详细信息。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

FuboTV称网络攻击导致其世界杯流媒体中断

日期: 2022-12-16
标签: 美国, 信息技术, 文化传播, FuboTV, 

FuboTV 已确认，导致用户无法观看 2022 年卡塔尔世界杯半决赛法国与摩洛哥之间的流媒体中断是由网络攻击引起的。

详情

俄罗斯VTB 银行遭受大规模的DDOS攻击

日期: 2022-12-14
标签: 俄罗斯, 信息技术, 政府部门, 金融业, VTB, IT Army of Ukraine, 网络犯罪, 俄乌战争, DDoS攻击, 

总部位于圣彼得堡的 VTB 金融机构遭受大规模的DDOS攻击，尽管该银行的在线门户网站无法访问，但所有其他核心银行服务仍在照常运行。据报告在社交媒体上有名称为IT Army of Ukraine的黑客组织发表声明为本次攻击负责。

详情

Cloud Atlas针对俄罗斯和白俄罗斯的攻击活动

日期: 2022-12-12
标签: 俄罗斯, 白俄罗斯, Cloud Atlas, C2, APT, 

Cloud Atlas（或 Inception）是一个网络间谍组织。自2014年被发现以来，该组织针对关键基础设施发起了多次高度针对性的攻击。 多年来，该组织的战术、技术和过程 (TTP) 一直保持相对稳定。 但自从2021年俄乌冲突迅速升级，特别是2022年2月爆发战争后，该组织的攻击范围明显缩小，明确将重点放在俄罗斯、白俄罗斯、乌克兰和摩尔多瓦的冲突地区。在监视该组织的最新活动时发现的一些证据表明，该组织进行了几次成功的入侵，并设法获得了对某些目标环境的完全访问权限。在本报告中，讨论了去年Cloud Atlas的工具、TTP和受害者学。

详情

Deathstalker针对中东的攻击活动

日期: 2022-12-12
标签: 中东, 金融业, 旅游业, 法律, Deathstalker, 

在寻找使用Janicab恶意软件系列的Deathstalker攻击行动时，发现了一个新的Janicab变体，该变体在整个2020年期间用于针对中东的法律实体，可能在2021年仍然活跃，并可能追溯到2015年初的针对中东和欧洲的法律、金融和旅行社的攻击行动。

详情

HSE 网络攻击使爱尔兰遭受近8300万美元损失

日期: 2022-12-13
标签: 爱尔兰, 卫生行业, HSE, 邮件钓鱼, 网络犯罪, 

HSE 首席信息官 Fran Thompson对2021年遭受到的网络攻击进行了总结统计。自2021年开始总计遭受近8300万美元损失。

据信，此次网络攻击是由俄罗斯国家黑客发起的，攻击者通过网络钓鱼电子邮件发送的恶意 Microsoft Excel 文件进一步控制了HSE内部的计算机。该恶意文件于2021 年 3 月在 HSE 工作站打开。该恶意软件潜伏了两个月，之后被信息部门发现了异常行为。

详情

伊朗黑客使用供应链攻击钻石行业

日期: 2022-12-12
标签: 信息技术, Agrius, 供应链攻击, 供应链安全, 网络犯罪, 

名为Agrius的伊朗高级持续威胁 (APT) 攻击者被认为是针对南非、以色列和香港钻石行业的一系列数据清除攻击的幕后黑手。

该数据清除软件被 ESET 称为 Fantasy，据信是通过针对以色列软件套件开发商的供应链攻击交付的，这是 2022 年 2 月开始的攻击活动的一部分。

受害者包括以色列的人力资源公司、IT 咨询公司和一家钻石批发商、在钻石行业工作的南非实体和一家总部设在香港的珠宝商。

详情

印度最大医院遭遇网络攻击

日期: 2022-12-12
标签: 网络攻击, 医疗行业, 

目前尚不清楚是谁对全印度医学科学研究所进行了攻击，也不清楚它起源于何处，医院当局没有回应。在网络攻击导致其运营瘫痪近两周后，医院逐渐恢复正常运营

详情

“Scattered Spider”网络犯罪组织瞄准移动运营商

日期: 2022-12-12
标签: 信息技术, 恶意攻击, 移动网络运营商, 

自 2022 年 6 月以来，人们观察到Scattered Spider是一个出于经济动机的威胁行为者，它越来越多地瞄准电信行业，建立持久性机制，甚至恢复已实施的缓解措施以重新获得对受感染网络的访问权限。

根据 CrowdStrike 的说法，Scattered Spider 一直在不懈地尝试访问受害网络，通常在获得访问权限后执行日常操作。可以看到威胁行为者部署了虚拟专用网络 (VPN) 和远程监控和管理 (RMM) 工具。

这家网络安全公司解释说，在成功遏制 Scattered Spider 对一个组织的入侵后，威胁行为者转移到同一垂直领域的另一家公司，使用相同的策略、技术和程序 (TTP)。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

微软已经将SPNEGO Extended Negotiation 问题重新分类为严重

日期: 2022-12-16
标签: 信息技术, 微软（Microsoft）, 

微软将SPNEGO Extended Negotiation 问题重新分类为严重，因为可以利用它通过使用身份验证的Windows应用程序协议（如HTTP、SMB和RDP）执行RCE攻击。

详情

乐高BrickLink漏洞

日期: 2022-12-16
标签: 信息技术, 乐高, 网络犯罪, 

安全分析师在 BrickLink.com 发现了两个 API 安全漏洞，BrickLink.com 是 LEGO Group 的官方二手和古董乐高积木市场。Salt Security 发现的两个 API 安全问题可能允许攻击者接管会员帐户、访问和窃取存储在平台上的个人身份信息 (PII)，甚至访问内部生产数据并破坏内部服务器。

详情

CISA发布通告督促修复Veeam 产品漏洞

日期: 2022-12-16
标签: 信息技术, 金融业, 能源业, Veeam, CVE-2022-26500, CVE-2022-26501, 

Veeam中存在两处严重漏洞，漏洞编号为CVE-2022-26500 和 CVE-2022-26501未经身份验证的远程攻击者可以利用它们执行任意代码，从而导致黑客控制目标系统。Veeam表示，受影响的产品被 70% 的财富 2000 强公司使用，其中包括大众、西门子、德勤、壳牌、富士通、空客和彪马等大公司。

详情

SAP 发布2022年12月安全更新

日期: 2022-12-15
标签: 德国, 信息技术, SAP, CVE-2022-41272, CVE-2022-41267, CVE-2022-42889, SAP补丁日, 

德国软件制造商SAP本周宣布发布安全更新，用于解决Business Client、BusinessObjects、NetWeaver和Commerce中的关键漏洞。

其中NetWeaver中一个漏洞编号为: CVE-2022-41272，CVSS评分9.9，该漏洞允许未经授权攻击者执行任意代码。

详情

Chrome 108更新修补了多个内存漏洞

日期: 2022-12-15
标签: 信息技术, Google Chrome, Chrome, 

Google Chrome发布安全更新解决了流行浏览器中的八个漏洞，其中包括外部研究人员报告的五个漏洞。Google已确认这些漏洞中尚未发现存在在野利用。

详情

西门子修复了140多个漏洞

日期: 2022-12-15
标签: 信息技术, 西门子, CVE-2022-3602, CVE-2022-3786, 施耐德, 

西门子发布了 20 条新公告，解决了大约 140 个安全漏洞。其中有专门针对Scalance X-200RNA 交换机的 80 多个 OpenSSL 和 OpenSSH 漏洞的补丁，该补丁主要涵盖了2003 年和 2019 年之间的OpenSSL 和 OpenSSH 漏洞。其部分产品受到两个最近修补的 OpenSSL CVE-2022-3602 和 CVE-2022-3786漏洞影响。

详情

亚马逊ECR公共镜像仓库发现严重漏洞

日期: 2022-12-15
标签: 信息技术, 亚马逊（Amazon ）, 云安全, 云计算, 

Amazon Elastic Container Registry (ECR) Public Gallery 中披露了一个严重的安全漏洞，该漏洞可能被利用来发动大量攻击。攻击者可通过利用未公开的内部 ECR 公共 API，在属于其他 AWS 账户的存储库中删除、更新和创建恶意的容器镜像，进而在用户使用该镜像时完成攻击。

详情

Adobe补丁日修复共计38个漏洞

日期: 2022-12-14
标签: 信息技术, Adobe, 

Adobe表示主要修复了Adobe Campaign Classic（ACC）产品中的特权升级问题，并敦促Windows和Linux用户尽快安装的更新。本次更新总计修复38处漏洞

详情

微软于补丁日修复被勒索软件积极利用的Windows漏洞CVE-2022-44698

日期: 2022-12-14
标签: 信息技术, Windows, office, 

微软周二推出了一项重大的Windows更新，以解决全球勒索软件攻击中已经利用的绕过安全功能的问题。

根据微软关于该问题的基本文档，“攻击者可以制作一个恶意文件，以逃避网络标记（MOTW）防御，从而导致安全功能（如Microsoft Office中的受保护视图）的完整性和可用性的有限损失，这些功能依赖于MOTW标记”。

详情

苹果修复了针对iPhone、Mac的攻击中使用的新Webkit 0day漏洞

日期: 2022-12-14
标签: 信息技术, CVE-2022-42856, 移动安全, Apple, iPhone, 

在今天发布的安全更新中，苹果修复了自年初以来针对iPhone或Mac的第十个零日漏洞。漏洞编号为CVE-2022-42856。

该漏洞由谷歌威胁分析小组的ClementLecigne发现，攻击者通过诱使用户访问恶意制作的web内容，可在易受攻击的设备上执行任意代码。

详情

VMware为在GeekPwn 2022黑客大赛上利用的VM逃逸漏洞发布紧急补丁

日期: 2022-12-14
标签: 信息技术, VMware, GeekPwn, 

虚拟化技术巨头VMware周二发布了紧急更新，以修复多个软件产品中的三个安全问题，其中包括在GeekPwn 2022黑客挑战中利用的虚拟机逃脱漏洞。

VMware还发布了修复程序，修复了影响VMware vRealize Network Insight（vRNI）产品的命令注入和目录遍历漏洞。

详情

Fortinet紧急发布FortiOS SSL-VPN CVE-2022-4247漏洞修复补丁

日期: 2022-12-13
标签: 信息技术, Fortinet, ssl-vpn, 漏洞修补, 

Fortinet 周一发布了一个紧急补丁，用于修复其 FortiOS SSL-VPN 产品中的一个严重漏洞，并警告说已经有黑客在野外利用了该漏洞。漏洞编号：CVE-2022-4247。

详情

三星 Galaxy S22 在 Pwn2Own 的第二天再次被黑

日期: 2022-12-12
标签: 信息技术, Pwn2Own, 

在加拿大多伦多举行的 Pwn2Own 2022 比赛的第二天，参赛者再次入侵了三星 Galaxy S22。

他们还演示了针对 HP、NETGEAR、Synology、Sonos、TP-Link、Canon、Lexmark 和 Western Digital 的路由器、打印机、智能扬声器和网络附加存储 (NAS) 设备中的零日漏洞的攻击。

详情

对于网络攻击者，EDR 工具可以变成破坏性的攻击入口

日期: 2022-12-12
标签: 信息技术, EDR, 

许多受信任的端点检测和响应 (EDR) 技术可能存在漏洞，攻击者可以通过该漏洞操纵产品以擦除已安装系统上的几乎所有数据。

Or Yair 是 SafeBreach 的一名安全研究员，他发现了这个问题，测试了来自不同供应商的 11 种 EDR 工具，发现有 6 种工具——来自总共四家供应商——存在漏洞。易受攻击的产品包括 Microsoft Windows Defender、Windows Defender for Endpoint、TrendMicro ApexOne、Avast Antivirus、AVG Antivirus 和 SentinelOne。

详情

NodeBB原型污染漏洞可能导致账户接管

日期: 2022-12-12
标签: NodeBB, 原型污染, 

NodeBB 是一个用于创建论坛应用程序的 Node.js 平台，它修补了一个原型污染漏洞，该漏洞可能允许攻击者冒充其他用户并接管管理员帐户。

该漏洞是由于 JavaScript 在运行时更改对象原型方面的灵活性处理不当造成的。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   其他事件

2022年僵尸网络数据分析报告

日期: 2022-12-16
标签: 信息技术, Recorded Future, 网络犯罪, 

独特的命令和控制服务器 (C2) 的数量在 2022 年增加了 30%，这表明网络犯罪分子越来越多地使用这些机器进行攻击。Recorded Future在 2022 年检测到超过 17,000 台服务器，高于前一年的 13,629 台。

详情

美国司法部查封48个用于提供DDoS的服务的网站

日期: 2022-12-15
标签: 美国, 政府部门, 美国司法部, 网络犯罪, 

美国司法部查封了48个用于提供DDoS攻击的服务的网站。提供DDoS服务的服务商在包括暗网论坛、聊天平台甚至 youtube上进行宣传和售卖。他们通过 PayPal、谷歌钱包和/或加密货币付款，订阅价格从每月几美元到几百美元不等。这些服务通常根据攻击目标的流量、每次攻击的持续时间以及并发攻击数量来定价。

详情

AT&T针对2023年网络安全预测报告

日期: 2022-12-15
标签: 信息技术, AT&T, 预测, 2023, 

美国通讯巨头ATT的安全团队发布了其对2023年安全发展趋势的预测，其主要围绕着，安全端点化、局部网络安全、数据生命周期、应用程序安全、威胁情报、生物识别安全、网络和物理的交汇安全几个大类进行了总结和预测。

详情

分析师发现的利用自动化批量进行软件包投毒攻击

日期: 2022-12-15
标签: 信息技术, 社会工程学, PyPI, NPM, NuGet, 

Checkmarx和 Illustria 的分析师发现未知的攻击者已在开源包存储库中上传了 144,294 个与网络钓鱼相关的大量包，包括 NPM、PyPi 和 NuGet。这些恶意软件包的上传者具有相同的命名规范，每个软件包具有相似的描述，并使用了90 个域名组成的网站群，托管了超过 65,000 个网络钓鱼页面。

详情

2022年电子邮件威胁趋势报告

日期: 2022-12-14
标签: 信息技术, 网络钓鱼, 邮件钓鱼, 卡巴斯基, 电子邮件, 

卡巴斯基发布2022年邮件威胁总结，卡巴指出恶意垃圾邮件的创建者能够将它们伪装成公司之间的内部消息和业务信函，甚至伪装成来自政府机构的通知来诱骗用户点击，恶意邮件的策略越来越贴合真实，唯有加强企业员工安全意识培训可以缓解这一危机。

详情

谷歌推出了OSV Scanner自动扫描项目依赖中的漏洞

日期: 2022-12-14
标签: 信息技术, 谷歌（Google）, OSV Scanner, Google, 

谷歌推出了OSV Scanner，这是一种新工具，允许开发人员扫描项目中使用的开源软件依赖项中的漏洞。

开源软件开发人员在他们的项目中通常依赖于一些已经可用的工具、库和组件，这通常会导致更快地开发更复杂的解决方案。

详情

详细分析APT42组织及与其他伊朗APT组织的关联

日期: 2022-12-13
标签: 伊朗, APT42, C2, APT, 

2022年7月，伊朗威胁组织APT42对阿尔巴尼亚政府进行了网络攻击。 2022年9月，Mandiant发布了一份报告，详细介绍了APT42以及自2015年以来至少30起已证实的网络间谍行动。APT42（也称为Crooked Charms和TA453）是一个与伊朗有关的网络间谍组织。 据称，该组织隶属于伊斯兰革命卫队 (IRGC) 情报组织 (IRGC-IO)，并代表他们开展活动。该组织似乎主要专注于鱼叉式网络钓鱼攻击，从而将该组织与其他伊朗APT组织区分开。

详情

推特确认最近的用户数据泄露是在2021年发生的

日期: 2022-12-13
标签: 信息技术, Twitter, 数据泄露, 

Twitter 表示，其事件响应团队分析了 2022 年 11 月泄露的用户数据，并确认这些数据是在 2022 年 1 月修复之前使用相同的漏洞收集的。并且表示该批数据和2022年8月份在网络上恶意售卖的数据为同一批。

详情

IIS模块和webshell的演变以及如何检测它们

日期: 2022-12-13
标签: 信息技术, 微软（Microsoft）, webshell, IIS, Microsoft, 

Web 漏洞利用和 Web shell 是当前威胁环境中最常见的一些切入点。 Web 服务器提供直接进入公司网络的外部途径，这通常会导致 Web 服务器成为初始入侵媒介或持久性机制。监控利用和 web shell 应该是所有网络的高优先级，虽然这些检测技术是针对恶意 IIS 模块的，但其中许多技术也将提供一般的 web shell 检测。微软安全威胁情报团队对如何检测Webshell和恶意的IIS模块作出了详细的分析。

详情

PLAY勒索软件集团攻击比利时安特卫普

日期: 2022-12-13
标签: 比利时, 信息技术, PLAY, 

PLAY 勒索软件组织已声称对上周对比利时安特卫普市的勒索软件攻击负责。并且目前迪斯特市也确认遭受攻击。PLAY 组织威胁要在 12 月 19 日开始泄露安特卫普被盗的数据。目前尚不清楚哪些数据被盗。

详情

通用攻击方法绕过几家主要供应商的WAF

日期: 2022-12-12
标签: 信息技术, WAF, 

Claroty 的研究人员在分析 Cambium Networks 的无线设备管理平台后发现了该方法。他们发现了一个 SQL 注入漏洞，可用于获取敏感信息，例如会话 cookie、令牌、SSH 密钥和密码哈希值。

利用该漏洞对本地版本有效，但对云版本利用它的尝试被 Amazon Web Services (AWS) WAF 阻止，它将 SQL 注入负载标记为恶意。

进一步分析发现，可以通过滥用JSON数据共享格式来绕过WAF。所有主要的 SQL 引擎都支持 JSON 语法，并且默认启用。

详情

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x09   时间线

2022-12-19 360CERT发布安全事件周报