报告编号：B6-2022-101001

报告来源：360CERT

报告作者：360CERT

更新日期：2022-10-10

0x01   事件导览

本周收录安全热点71项，话题集中在恶意程序、网络攻击方面，涉及的组织有：Prilex、Bl00dy、Lazarus、APT28等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Meta检测到400个安卓和iOS应用程序窃取用户登录凭据

日期: 2022-10-07
标签: 信息技术, Meta（原Facebook）, Android, iOS, 

Meta在10月7日透露，它已经在Android和iOS上发现了400多个恶意应用程序，称这些应用程序针对在线用户，目的是窃取他们的Facebook登录信息。这些应用程序被列在Google Play商店和苹果的App Store上。42.6%的流氓应用程序是照片编辑器，其次是商业实用程序（15.4%），手机实用程序（14.1%），游戏（11.7%），VPN（11.7%）和生活方式应用程序（4.4%）。有趣的是，大多数iOS应用程序都冒充了Meta及其Facebook子公司的广告管理工具，以诱骗人们下载它们。这些应用程序最终通过显示“使用Facebook登录”提示来窃取用户输入的凭据。所有有问题的应用程序都已从两个应用程序商店中删除。

详情

伪造成人网站传播虚假勒索软件

日期: 2022-10-09
标签: 美国, 信息技术, 

2022年10月6日，情报公司cyble发布报告称发现一个伪造成人网站在分发一个伪造的勒索软件可执行文件。这个伪造的勒索软件不加密文件，而是更改文件名及其扩展名，丢弃赎金票据，并威胁受害者像通常的勒索软件系列一样支付赎金。Cyble 称，这些网站在打开后重定向用户下载假勒索软件。下载的可执行文件具有双重扩展名，即 SexyPhotos.JPG.exe 并伪装成图像文件。该伪造勒索软件要求受害者在三天内支付 300 美元的比特币，并威胁在 7 天的延长期限内将其翻倍至 600 美元，之后将在攻击者的服务器上永久删除所有文件。实际上，这个伪造勒索软件并没有窃取任何数据，而且恶意软件作者不太可能开发出恢复文件的工具。该恶意软件不是勒索软件，其设计目的只是使用虚假加密作为诱饵，同时删除驱动器上的几乎所有文件。解决这个问题的最快方法是重新安装操作系统，所以建议用户定期备份重要数据。

详情

永恒集团黑客向网络犯罪分子提供新的LilithBot恶意软件

日期: 2022-10-06
标签: 信息技术, LilithBot, 

被称为永恒集团的恶意软件即服务（MaaS）背后的威胁行为者与名为LilithBot的新恶意软件有关。它具有先进的功能，可用作矿工，偷窃者和剪刀以及其持久性机制。该组织一直在不断增强恶意软件，增加了反调试和反虚拟机检查等改进。永恒项目今年早些时候出现，在电报频道上宣传其wareez和产品更新。提供的服务包括窃取者，矿工，剪刀，勒索软件，USB蠕虫和DDoS机器人。LilithBot是此列表中的最新成员。与其同行一样，多功能恶意软件机器人以订阅方式出售给其他网络犯罪分子，以换取加密货币付款。成功入侵后，通过机器人收集的信息（浏览器历史记录、Cookie、图片和屏幕截图）将被压缩到 ZIP 存档（“报告.zip”）中，并渗透到远程服务器。

详情

伊朗黑客使用新型间谍软件RatMilad瞄准Android用户

日期: 2022-10-06
标签: 伊朗, 信息技术, 谷歌（Google）, AppMilad, RatMilad, 移动安全, Android, 

2022年10月初，移动安全公司 Zimperium Inc. zLabs 的威胁分析师详细介绍了一种新发现的 Android 间谍软件，该软件可用于针对中东的企业设备。 该间谍软件的原始版本被称为“RatMilad”，被识别为隐藏在名为 Text Me 的 VPN 和电话号码欺骗应用程序后面。在发现间谍软件后，研究人员还发现了通过 NumRent（Text Me 的更新版本）分发的恶意软件系列的实时样本。据 Zimperium 称，一个名为 AppMilad 的伊朗黑客组织正在通过社交媒体和 Telegram 等通信工具上的链接分发电话欺骗应用程序，诱使毫无戒心的用户侧载该应用程序并授予其广泛的权限。此外，黑客设计了一个产品网站来分发该应用程序，并诱使用户相信它是一个真实的应用程序。由于恶意应用程序可以诱骗用户获得广泛的权限，因此它可以访问敏感设备数据，例如位置和 MAC 地址，以及用户数据，包括电话、联系电话、媒体文件和 SMS 消息。一旦该恶意软件被安装，用户手机受到控制，攻击者就可以访问摄像头拍照、录制视频和音频、获取精确的 GPS 位置、查看设备中的图片等等。

详情

飞马间谍软件攻击目标是记者和激进分子

日期: 2022-10-05
标签: 墨西哥, 信息技术, 政府部门, Pegasus（飞马间谍软件）, 网络犯罪, 

在现任总统安德烈斯·曼努埃尔·洛佩兹·奥夫拉多尔（Andres Manuel Lopez Obrador）任期内的2019年至2021年期间，至少有两名记者和一名人类生命捍卫者的手机被黑客入侵并用Pegasus间谍软件访问，尽管政府保证不再使用间谍软件技术。研究结果是在Citizen Lab进行的，这是一个位于多伦多大学蒙克全球事务和公共政策学院的数字监督组织。据检测，间谍软件实际上属于以色列的NSO集团。据报道，Pegasus闯入了受害者的手机，为攻击者提供了访问其设备的权限，然后与政府和执法部门进行了交易。这份新报告明确表明，墨西哥总统安德烈斯·曼努埃尔·洛佩斯·奥夫拉多尔不能再躲在指责他的前任在墨西哥广泛使用飞马，墨西哥当局必须立即透明地调查在他执政期间使用飞马和其他间谍软件针对记者的情况，并推动更多法规，结束对媒体使用这项技术。

详情

针对的Microsoft SQL服务器的恶意软件

日期: 2022-10-05
标签: 韩国, 印度, 越南, 中国, 俄罗斯, 泰国, 德国, 美国, 信息技术, 微软（Microsoft）, Maggie, 恶意软件, 

安全研究人员发现了一种针对微软SQL服务器的新恶意软件。这个名为Maggie的后门已经感染了全球数百台机器。Maggie通过SQL查询进行控制，这些查询指示它运行命令并与文件交互。它的功能扩展到暴力破解管理员登录到其他Microsoft SQL服务器，并加倍作为进入服务器网络环境的桥梁头。后门是由德国分析家约翰·艾丁巴斯和DCSO CyTec的阿克塞尔·沃伊尔发现的。遥测数据显示，Maggie在韩国、印度、越南、中国、俄罗斯、泰国、德国和美国更为普遍。对恶意软件的分析显示，它伪装成一个扩展存储过程DLL（“sqlmaggieAntiVirus_64.dll”），由DEEPSoft有限公司（一家似乎位于韩国的公司）进行数字签名。目前，一些细节仍然未知，例如Maggie的感染后使用，恶意软件最初是如何在服务器中植入的，以及谁是这些攻击的幕后黑手。

详情

巴西Prilex黑客恶意软件重新浮出水面

日期: 2022-09-29
标签: 巴西, 信息技术, 金融业, Prilex, 

一家名为Prilex的巴西威胁行为者在经历了长达一年的运营中断后重新出现，该恶意软件通过欺诈易窃取资金。Prilex集团对信用卡和借记卡交易以及用于支付处理的软件如何工作有着高水平的了解。这使得攻击者能够不断更新他们的工具，以便找到一种方法来规避授权策略，允许他们执行攻击。这个网络犯罪集团在南美国家出现了以ATM为重点的恶意软件攻击，使其能够闯入ATM机器执行累积奖金 - 一种旨在非法分配现金的攻击 - 并克隆数千张信用卡以窃取目标银行客户的资金。研究人员说，Prilex正在“直接处理PIN pad硬件协议，而不是使用更高级别的API，在目标软件中进行实时修补，挂钩操作系统库，弄乱回复，通信和端口，以及从基于重放的攻击切换到为其GHOST交易生成密码，甚至来自受CHIP和PIN技术保护的信用卡。

详情

针对Pegasus安卓版的技术分析

日期: 2022-09-29
标签: 信息技术, 逆向工程, 

Pegasus是由NSO组织开发的间谍软件，国际特赦组织和公民实验室反复对其进行分析。在本文中，剖析了Lookout在本文中最初分析的Android版本。在研究安卓飞马系统的过程中，发现供应商错误地将一些未记录的APK文件归因于飞马，正如研究人员在这里强调的那样。由于代码的复杂性和长度，将分析分为3个部分。研究人员还试图尽可能保留Lookout提出的部分名称，以便任何人都可以更轻松地遵循这两种方法。在本文中，将介绍与 C2 服务器的 HTTP 通信、间谍软件通过 SMS 接收的命令、实时音频监视功能以及键盘记录活动。

详情

网络犯罪分子正在使用“Quantum Builder”来提供特斯拉恶意软件

日期: 2022-09-28
标签: 制造业, 信息技术, 特斯拉（Tesla ）, Quantum Builder, 

最近发现的一种名为Quantum Builder（量子构建器）的恶意软件构建器正被用于提供代理特斯拉远程访问特洛伊木马（RAT）。此活动具有增强功能和向LNK（Windows快捷方式）文件的转变。Quantum Builder 在暗网上以每月 189 欧元的价格出售，是一种可自定义的工具，用于生成恶意快捷方式文件以及 HTA、ISO 和 PowerShell 有效负载，以便在目标机器（在本例中为代理特斯拉）上提供下一阶段的恶意软件。多阶段攻击链从鱼叉式网络钓鱼开始，该网络钓鱼包含 GZIP 存档附件，其中包含一个快捷方式，该快捷方式旨在执行 PowerShell 代码，负责使用 MSHTA启动远程 HTML 应用程序 （HTA）。这次特斯拉特工活动是一系列攻击中的最新一次，其中量子构建器已被用于在针对各种组织的活动中创建恶意有效载荷。

详情

“Bl00dy”勒索软件团伙在攻击中使用的LockBit 3.0构建器

日期: 2022-09-28
标签: 乌克兰, 卫生行业, 信息技术, Bl00Dy, LockBit, LockBit 3.0, 网络犯罪, 

9月下旬，LockBit 3.0勒索软件构建器在LockBit运营商与他的开发人员发生争执后在Twitter上泄露。该构建器允许任何人构建功能齐全的加密器和解密器，威胁参与者可以使用该加密器和解密器进行攻击。由于构建器包含一个配置文件，可以轻松自定义以使用不同的赎金记录，统计服务器和功能，因此预测其他威胁参与者将很快使用构建器来创建自己的勒索软件。已观测到一个名为Bl00Dy勒索团伙利用该构建器对乌克兰实体进行攻击。Bl00Dy勒索软件团伙在2022年5月左右开始运作，当时他们的目标是纽约的一群医疗和牙科诊所。与其他人工操作的勒索软件操作一样，威胁参与者会破坏网络，窃取公司数据并加密设备。但是，威胁参与者不是使用Tor数据泄漏站点来勒索受害者并发布被盗数据，而是出于相同的目的使用Telegram频道。

详情

朝鲜的Lazarus黑客瞄准对加密工作感兴趣的macOS用户

日期: 2022-09-27
标签: 朝鲜, 金融业, 比特币基地（Coinbase）, Lazarus, 加密货币, 网络犯罪, 

Lazarus集团利用未经请求的工作机会来部署针对Apple macOS操作系统的恶意软件的模式。最新的披露建立在斯洛伐克网络安全公司ESET在八月份的先前调查结果的基础上，该公司深入研究了Coinbase加密货币交换平台的类似虚假职位发布。这两个虚假的招聘广告只是一系列被称为Operation In(ter)ception的攻击中的最新一个，而这些攻击又是以Operation Dream Job为名的更广泛活动的组成部分。入侵始于部署一个Mach-O二进制文件，一个启动包含Crypto.com 作业列表的诱饵PDF文档的滴管，同时在后台，它删除终端的保存状态（“com.apple.Terminal.savedState”）。第二阶段的主要目的是提取和执行第三阶段的二进制，wifi分析代理。这些攻击不是孤立的，因为Lazarus集团有对区块链和加密货币平台进行网络攻击的历史，作为逃避制裁的机制，使对手能够未经授权访问企业网络并窃取数字资金。

详情

新型信息窃取恶意软件“Erbium”

日期: 2022-09-26
标签: 金融业, 信息技术, Erbium, 加密货币, 网络犯罪, 

新型信息窃取恶意软件“Erbium”正以盗版流行视频游戏的形式传播，以窃取受害者的证书和加密货币钱包。Erbium是一种新的恶意软件即服务(MaaS)，它为其订阅用户提供一种新的窃取信息的恶意软件，由于其广泛的功能、客户支持和具有竞争力的价格，在网络犯罪社区中越来越受欢迎。自2022年7月以来，Erbium一直在俄语论坛上推广，但到2022年9月下旬为止，它在野外的实际部署还不确定。和其他窃取信息的恶意软件一样，Erbium会窃取存储在web浏览器(铬或基于gecko的)中的数据，如密码、cookie、信用卡和自动填写信息。Erbium还从Trezor Password Manager、EOS Authenticator、Authy 2FA和Authenticator 2FA窃取双因素身份验证码，试图从网络浏览器上作为扩展安装的大量加密货币钱包中窃取数据。为防止盗版软件侵入系统，建议用户避免下载盗版软件，使用反病毒工具扫描所有下载的文件，并安装最新的安全补丁，使软件处于最新状态。

详情

俄罗斯APT28传播Graphite恶意软件

日期: 2022-09-26
标签: 俄罗斯, 政府部门, APT28（Fancy Bear）, Graphite, 俄乌战争, APT舆情, 

2022年9月26日，威胁情报公司 Cluster25 发布研究报告，称俄罗斯黑客已经开始使用一种新的代码执行技术，该技术依赖于 Microsoft PowerPoint 演示文稿中的鼠标移动来触发恶意 PowerShell 脚本。恶意代码不需要恶意宏来执行和下载有效负载，从而进行更隐蔽的攻击。报告称，俄罗斯 GRU  （俄罗斯总参谋部主要情报局）的威胁组织 APT28（又名“Fancy Bear”）最近使用了这种新技术来传播 Graphite 恶意软件。研究人员表示，黑客的目标是欧盟和东欧国家国防和政府部门的实体，并认为间谍活动正在进行中。

详情

卡巴斯基发布关恶意软件释放器NullMixer的报告

日期: 2022-09-26
标签: 俄罗斯, 巴西, 印度, 意大利, 德国, 法国, 埃及, 土耳其, 美国, 信息技术, NullMixer, 

2022年9月26日，卡巴斯基发布了关于NullMixer的报告，这是一个新的恶意软件家族，与一些SEO垃圾邮件活动有关，与大量的恶意软件操作有关。NullMixer 是导致各种恶意软件家族感染链的释放器，会释放各种恶意二进制文件来感染机器，例如后门程序、银行家、下载程序、间谍软件等。NullMixer 的感染媒介基于“用户执行”（MITRE 技术：T1204）恶意链接，该链接要求最终用户单击并下载受密码保护的 ZIP/RAR 存档，其中包含手动提取和执行的恶意文件。自2022年年初以来，卡巴斯基已经发现并阻止了感染全球超过 47,778 名受害者的尝试。一些最受攻击的国家是巴西、印度、俄罗斯、意大利、德国、法国、埃及、土耳其和美国。但目前研究人员无法直接将 NullMixer 归因于任何组织。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

丰田数据泄露影响近30万名用户

日期: 2022-10-07
标签: 制造业, 丰田, 数据泄露, 

全球最大的汽车制造商丰田汽车（Toyota Motor）在10月7日表示，它已经确定，大约296，000条客户信息和分配的客户编号是从其T-Connect服务中“错误地”泄露的。这家日本汽车制造商发布了一份声明，警告其客户，他们可能会面临收到垃圾邮件，网络钓鱼诈骗或恶意短信的风险。 受数据泄露影响的用户是通过电子邮件从2017年7月开始注册该服务的用户。据该公司称，总共有296，019个电子邮件地址和客户号码可能被泄露，但客户姓名，电话号码或信用卡信息等私人数据仍未受到损害。丰田也没有报告任何泄露客户信息被滥用的案件。该事件发生在一位未透露姓名的分包商（他是T-Connect网站的设计师）意外上传了2017年12月至今年9月15日具有公共设置的部分源代码之后。然而，根据安全专家的调查，汽车制造商尚未确定第三方对存储信息的数据服务器的访问权限。

详情

英特尔确认泄露的 Alder Lake BIOS 源代码是真实的

日期: 2022-10-09
标签: 美国, 信息技术, 制造业, 英特尔（Intel）, 源代码泄漏, 

2022年10月8日，英特尔已确认 Alder Lake CPU 的 UEFI BIOS 源代码泄漏是真实的，这引发了研究人员对网络安全的担忧。Alder Lake 是英特尔第 12 代英特尔酷睿处理器的名称，于 2021 年 11 月发布。 2022年10月7日，一位名为“freak”的 Twitter 用户发布了据称是英特尔 Alder Lake 的 UEFI 固件源代码的链接，他们声称该固件是由 4chan 发布的。泄漏的数据包含 5.97 GB 的文件、源代码、私钥、更改日志和编译工具，文件的最新时间戳是 22 年 9 月 30 日，可能是黑客或内部人员复制了数据。所有源代码都是由 UEFI 系统固件开发公司 Insyde Software Corp 开发的。泄露的源代码还包含对联想的大量引用，包括与“联想字符串服务”、“联想安全套件”和“联想云服务”集成的代码。目前尚不清楚源代码是在网络攻击期间被盗还是被内部人员泄露。不过，英特尔证实 ，源代码是真实的，是它的“专有 UEFI 代码”。如果泄露的私钥被用于生产，黑客可能会使用它来修改英特尔固件中的启动策略并绕过硬件安全性。

详情

LofyGang分发了约200个恶意NPM软件包来窃取信用卡数据

日期: 2022-10-08
标签: 巴西, 金融业, LofyGang, 数据泄漏, 

在 NPM 开源存储库上分发特洛伊木马化和域名仿冒包的多个活动已被确定为称为 LofyGang 的单个威胁参与者的工作。Checkmarx表示，它发现了199个流氓软件包，总共安装了数千个，该组织运营了一年多，目的是窃取信用卡数据以及与Discord Nitro，游戏和流媒体服务相关的用户帐户。LofyGang运营商在黑客论坛上宣传他们的黑客工具，而一些工具则带有隐藏的后门。攻击者被认为是一个巴西血统的有组织犯罪集团，他们的帐户在GitHub，YouTube上宣传其工具和服务的记录，并在地下黑客论坛上泄露了数千个迪士尼+和Minecraft帐户。众所周知，它使用近一年前在2021年10月31日创建的Discord服务器来提供技术支持并与其成员进行通信。其主要产品之一是销售虚假Instagram粉丝的服务。这些发现再次表明，恶意行为者越来越多地将目光投向开源生态系统，将其作为扩大针对客户的攻击的范围和有效性。

详情

ADATA否认赎金屋网络攻击，称是2021年泄露的数据

日期: 2022-10-08
标签: 中国台湾, 制造业, ADATA, 数据泄漏, 

台湾芯片制造商ADATA否认了RansomHouse网络攻击的说法，因为威胁行为者开始在其数据泄露网站上发布被盗文件。RansomHouse团伙将ADATA文件添加到他们的数据泄露网站上，声称他们在2022年的网络攻击中窃取了价值1TB的文件。威胁行为者还泄露了涉嫌被盗文件的样本，这些文件似乎属于该公司。然而，在给BleepingComputer的一份声明中，ADATA表示，它最近没有遭受网络攻击，泄露的文件来自2021年5月的RagnarLocker勒索软件攻击，当时有1.5 TB的数据被盗。将RansomHouse共享的数据上的时间戳与Ragnar Locker在2021年6月泄露的数据进行比较，两组被盗数据都有相似的时间戳，没有文件比2021年5月更新。然而，RansomHouse继续声称他们最近在数据盗窃攻击中违反了ADATA，并且他们已经与该公司就被盗数据进行了谈判。RansomHouse已经瞄准了其他知名公司，包括AMD和非洲最大的连锁超市Shoprite控股公司。

详情

图森市披露数据泄露影响超过125000人

日期: 2022-10-05
标签: 美国, 信息技术, 教育行业, 数据泄露, 

亚利桑那州图森市披露了一起数据泄露事件，影响了超过123，000人的个人信息。正如发送给受影响人群的数据泄露通知所揭示的那样，攻击者破坏了该市的网络，并泄露了包含敏感信息的未公开数量的文件。威胁行为者在5月17日至5月31日之间访问了网络，并可能访问或窃取了包含123，513个人信息的文件。纽约市于9月23日开始通知可能受影响的个人，在事件期间暴露的敏感个人信息中，攻击者可能已经访问了受影响个人的姓名和社会安全号码。发送给受影响个人的通知信也显示，到目前为止，没有发现任何证据表明这些个人信息已被滥用。建议受数据泄露影响的人监控其信用报告，以发现任何可能暗示涉及其个人信息的身份盗窃和欺诈事件的可疑活动。该市为受影响的个人提供12个月的免费访问益博睿信用监控和身份保护服务，以及有关防范身份盗用的指导。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

恶意行为者正在利用 Chromium 浏览器中的“应用程序模式”进行网络钓鱼攻击

日期: 2022-10-08
标签: 信息技术, 浏览器 （BitB） 攻击, Chromium, macOS, Linux, 

由于采用了新的网络钓鱼技术，恶意行为者只需在应用程序模式下冒充合法的登录表单即可窃取私人详细信息。应用程序模式功能可以在所有基于铬的浏览器中访问，其中包括谷歌浏览器，微软边缘和勇敢。根据安全研究人员mr.d0x的说法，他之前还发现了浏览器中浏览器（BitB）攻击和Microsoft WebView2网络钓鱼方法，桌面应用程序通常更难欺骗，因此，与更广泛地用于网络钓鱼的浏览器窗口相比，受害者不会太注意。Chrome的应用程序模式旨在提供类似本机的体验，使网站在单独的浏览器窗口中启动，同时显示网站的图标并隐藏地址栏。此外，黑客控制的恶意站点可以使用JavaScript执行多种操作，例如在受害者输入凭据时立即关闭窗口，或者调整大小并定位它以获得所需的结果。该方法也适用于其他操作系统，包括macOS和Linux，使其成为可能的跨平台威胁。

详情

网络攻击引发哈特内尔学院服务中断

日期: 2022-10-09
标签: 教育行业, 网络攻击, 

为了应对潜在的网络安全攻击，哈特内尔学院的董事会举行了一次紧急会议，以解决该机构正在进行的网络中断问题。该学院的安全系统在10月9日早上6点检测到异常行为，促使哈特内尔技术副总裁Chelsy Pham采取预防措施，并在8点左右关闭学院的服务器。Pham报告说，该网络的活动水平很高，这是不寻常的。萨利纳斯的主要学校以及东萨利纳斯，索莱达，卡斯特罗维尔和国王城的卫星校园都受到影响。根据Pham的说法，卫星校园的互联网被禁用是出于谨慎。截至目前，该学院的电话系统仍处于关闭状态，但电子邮件和短信仍在发送中。Pham表示，没有确定网络再次完全正常运行的日期，但该学院正在采取额外的努力来恢复系统。

详情

黑客从Binance窃取了价值 5.66 亿美元的加密货币

日期: 2022-10-07
标签: 美国, 信息技术, 金融业, 币安桥（Binance）, 加密货币, 跨链桥, 

2022年10月初，有报道称黑客从币安桥（Binance）窃取了 200 万枚币安币（BNB），价值 5.66 亿美元。此次攻击于2022年10月6日美国东部标准时间下午 2:30 开始的， 攻击者的钱包 收到了两笔交易，每笔交易由 1,000,000 BNB 组成。币安于同日下午 6:19 承认了安全事件，并在调查事件时暂停了 BNB 智能链。Binance 的首席执行官表示，BSC 令牌中心中使用了一个漏洞将 BNB 转移给攻击者，并且他们已要求所有验证者暂停 Binance 智能链。美国东部时间周五凌晨 2:30 左右，Binance 再次恢复 BNB 智能链（BSC）并在 Binance 上启用存款和取款。Binance目前确认有 200 万个 BNB 被利用 BSC Token Hub 上的漏洞窃取。有一个漏洞利用影响了 BNB 信标链（BEP2）和 BNB 智能链（BEP20 或 BSC）之间的本地跨链桥，称为“BSC Token Hub”，总共提取了200万个BNB。该漏洞是通过将低级证明复杂地锻造到一个公共库中来实现的。

详情

Lazarus组织正在将开源软件武器化

日期: 2022-10-05
标签: 美国, 英国, 印度, 俄罗斯, 政府部门, 交通运输, 信息技术, Lazarus, APT舆情, 

近几个月来，微软MSTIC发现了Lazarus组织使用武器化的合法开源软件发起的社会工程活动，主要针对美国、英国、印度和俄罗斯的媒体、国防、航空航天以及IT服务等多个行业组织的员工。从2022年6月开始，Lazarus采用传统的社会工程战术，通过LinkedIn与个人联系，建立信任，之后鼓励其继续通过WhatsApp进行通信，传播恶意有效载荷。MSTIC观察到Lazarus将各种开源软件武器化，包括PuTTY、KiTTY、TightVNC、Sumatra PDF Reader和muPDF/Subliminal Recording软件安装程序。试图横向移动并从受害者网络中渗漏收集到的信息。自2022年6月以来，已成功入侵了许多组织。

详情

澳大利亚安全公司 G4S 被黑，监狱系统被攻击

日期: 2022-10-06
标签: 澳大利亚, 政府部门, G4S, 

2022年10月初，澳大利亚安全公司G4S通知其客户，它遭受了勒索攻击事件，其系统被第三方未经授权访问，且恶意软件程序也已访问 G4S 系统。 G4S 为澳大利亚各地的监狱提供服务。目前该公司客户和员工的个人信息被盗，被盗数据包括员工姓名、出生日期、地址、医疗和警察记录、联系信息、银行账户详细信息、税号、许可证详细信息和医疗保险号码。此次攻击是在澳大利亚发生大规模 Optus 数据泄露事件之后发生的，随后又发生了两次数据泄露事件。据澳大利亚卫报称，它认为该事件是针对菲利普港监狱的勒索软件攻击。2022年7月初，澳大利亚当地的媒体报道了这一事件。虽然此次事件发生在菲利普港监狱，但黑客还是可以访问该公司在澳大利亚的整个网络。

详情

微软发现朝鲜黑客组织ZINC针对多国的恶意活动

日期: 2022-09-29
标签: 美国, 英国, 俄罗斯, 印度, 信息技术, WhatsApp, ZINC, 社会工程, 

2022 年 9 月 29 日，微软安全团队MSTIC发布研究报告，称发现了针对美国、英国、印度和俄罗斯各行业组织员工的社会工程活动。MSTIC将此次活动归因于朝鲜黑客组织ZINC，该黑客组织的目标主要集中在间谍活动、侦查数据盗窃、经济利益和网络。在此次恶意活动中，ZINC使用了多种武器化的开源软件。从 2022 年 6 月开始，ZINC 采用传统的社会工程策略，最初与 LinkedIn 上的个人建立联系，建立目标的信任。成功连接后，ZINC 继续通过 WhatsApp 进行通信，作为其负载率传递的手段。ZINC 黑客组织自 2009 年开始活跃，在成功攻击索尼影视娱乐公司后，于 2014 年名声大噪。ZINC 还会使用各种自定义远程访问工具 (RAT) 作为其武器库的一部分，包括被 Microsoft 检测为 FoggyBrass 和 PhantomStar 的工具。

详情

Auth0 警告某些源代码存储库可能已被盗

日期: 2022-09-27
标签: 信息技术, Auth0, 源代码泄漏, 

2022年9月26日，身份验证服务提供商和 Okta 子公司 Auth0 披露了涉及其一些代码存储库的安全事件。Auth0 的身份验证平台每天用于验证来自 30 个国家/地区的 2,000 多家企业客户的超过 4200 万次登录，其中包括 AMD、西门子、辉瑞、马自达和斯巴鲁等公司。2022年8 月下旬，第三方个人通知 Okta，他们拥有 2020 年 10 月及之前的某些 Auth0 代码存储库的副本。但Auth0表示：“最近结束的两项调查都证实，没有证据表明未经授权访问我们或我们客户的环境，也没有任何证据表明有任何数据泄露或持续访问，”Auth0 也采取了“预防措施”来确保与代码捆绑在一起的信息将来不会被用于入侵公司和客户系统，因此不会对其客户造成任何影响。

详情

新的Chaos僵尸网络感染Windows和Linux设备进行DDoS攻击

日期: 2022-09-28
标签: 信息技术, 恶意攻击, Chaos, 路由器, 服务器, 

一个名为Chaos的快速扩展的僵尸网络正在瞄准并感染Windows和Linux设备，以使用它们进行加密挖掘并发起DDoS攻击。这种基于 Go 的恶意软件还可以感染各种体系结构，包括 x86、x86-64、AMD64、MIPS、MIPS64、ARMv5-ARMv8、AArch64 和 PowerPC，这些设备由小型办公室/家庭办公室路由器和企业服务器等各种设备使用。尽管它主要通过攻击未修补的各种安全漏洞和SSH暴力破解的设备进行传播，但Chaos也将使用被盗的SSH密钥来劫持更多设备。建议网络防御者使用GitHub上共享的入侵指标来监控混沌感染和与可疑服务器的连接，并针对恶意软件可能开始定位的新披露的安全漏洞修补其系统。远程工作人员和路由器所有者应尽快安装安全更新和补丁，并在其所有设备上更改默认密码。

详情

孟加拉国黑客组织攻击印度政府网站和服务器

日期: 2022-09-27
标签: 印度, 孟加拉国, 信息技术, 政府部门, Mysterious Team Bangladesh (MT), DragonForce, Hacktivist of Garuda, 网络犯罪, 

2022年9月22日，网络安全公司 CloudSEK 的网络安全研究人员证实了来自孟加拉国的一个黑客组织进行的网络犯罪活动。该黑客组织名为 Mysterious Team Bangladesh (MT)，最近一直针对印度政府网站和服务器发起网络攻击。 几天后，马来西亚黑客组织“龙之队”（DragonForce）和“嘎鲁达黑客组织”（Hacktivist of Garuda）针对印度政府发动了一系列网络攻击。据称，MT 使用了 DragonForce 之前使用的 DDoS（分布式拒绝服务）攻击。此后，孟加拉国黑客组织攻击了几个印度州政府的域和子域以及印度政府托管的 Web 服务器。 研究人员在一份报告中说，受影响的网站属于阿萨姆邦、中央邦、北方邦、古吉拉特邦、旁遮普邦和泰米尔纳德邦政府。政府确认正在密切监控网络活动，因为基础设施的损坏可能导致网站提供的服务崩溃，这将使网站容易受到未来的攻击。

详情

Google Play 和 Apple Store 上出现广告欺诈活动

日期: 2022-09-26
标签: 信息技术, 谷歌（Google）, Apple, 移动安全, 广告欺诈, 

安全研究人员在 Google Play 上发现了 75 个应用程序，在 Apple 的 App Store 上发现了另外10个应用程序涉嫌广告欺诈，它们总共涵盖了 1300 万个安装量。除了向移动用户充斥可见和隐藏的广告外，欺诈性应用程序还通过冒充合法应用程序和展示来产生收入。尽管这些类型的应用程序不被视为严重威胁，但它们的运营商可以将它们用于更危险的活动。来自 HUMAN 的 Satori 威胁情报团队的研究人员确定了一组移动应用程序，这些应用程序是他们命名为“Scylla”的新广告欺诈活动的一部分。研究人员认为，Scylla 是他们在 2019 年 8 月发现的第三波行动，被称为“波塞冬”。第二波被称为“Charybdis”，来自同一黑客组织，其活动在 2020 年底达到顶峰。Satori 团队已将他们的发现通知谷歌和苹果，并且这些应用程序已从官方 Android 和 iOS 商店中删除。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

研究人员发现宜家智能照明系统存在漏洞

日期: 2022-10-07
标签: 制造业, 宜家（IKEA）, 漏洞利用, CVE-2022-39064, CVE-2022-39065, 物联网安全, 

2022年10月7日，Synopsys的网络安全研究员 Kari Hulkko 和 Tuomo Untinen表示，在宜家智能灯系列中发现两个漏洞，攻击者可以利用这些漏洞控制系统并使灯泡快速闪烁，最终恢复出厂设置。他们于 2021 年 6 月向宜家报告了这些漏洞（标注为CVE-2022-39064和CVE-2022-39065）。这些漏洞影响宜家的 Trådfri Gateway 类型 E1526 版本 1.17.44 及更早版本。该产品售价约为 80 美元，通常用于照亮书架和梳妆台。该漏洞允许攻击者通过协议发送恶意帧，使宜家的 TRÅDFRI 灯泡闪烁。如果他们多次重新发送恶意消息，灯泡会执行出厂重置。这会导致灯泡丢失有关 Zigbee 网络和当前亮度级别的配置信息。在遭受攻击后，所有灯都以全亮度亮着，用户无法使用宜家家居智能应用程序或 TRÅDFRI 遥控器控制灯泡。物联网安全公司 Viakoo 的首席执行官 Bud Broomhead 解释说，这样的漏洞利用的危险在于它可能导致工厂重置。

详情

Fortinet 警告管理员立即修补关键身份验证绕过错误

日期: 2022-10-07
标签: 信息技术, Fortinet, CVE-2022-40684, 漏洞利用, 

Fortinet 已警告管理员将 FortiGate 防火墙和 FortiProxy 网络代理更新到最新版本，以解决严重严重性漏洞。安全漏洞（CVE-2022-40684）是管理界面上的身份验证绕过，可能允许远程威胁参与者登录到未修补的设备。在 FortiOS 和 FortiProxy 中使用备用路径或通道 [CWE-88] 的身份验证绕过可能允许未经身份验证的攻击者通过特制的 HTTP 或 HTTPS 请求在管理界面上执行操作。由于能够远程利用此问题，Fortinet强烈建议所有具有易受攻击版本的客户立即执行升级。易受试图利用 CVE-2022-40 漏洞的攻击的产品的完整列表包括：FortiOS：从 7.0.0 到 7.0.6 和从 7.2.0 到 7.2.1；FortiProxy：从 7.0.0 到 7.0.6 和 7.2.0。

详情

黑客利用 Zimbra 协作套件中未修补的 RCE 漏洞

日期: 2022-10-07
标签: 信息技术, Zimbra, CVE-2022-41352, 漏洞利用, 

黑客正在积极利用 Zimbra 协作套件 （ZCS） 中未修补的远程代码执行 （RCE） 漏洞，这是一个广泛部署的 Web 客户端和电子邮件服务器。零日漏洞被跟踪为 CVE-2022-41352，评级为严重（CVSS v3 得分：9.8），并允许攻击者通过“Amavis”（电子邮件安全系统）上传任意文件。成功利用此漏洞可让攻击者覆盖 Zimbra web、植入外壳代码并访问其他用户的帐户。该漏洞是在9月初发现的，当时管理员在Zimbra论坛上发布了攻击的详细信息。此漏洞的根本原因是在 Amavis 扫描文件以查找病毒时使用“cpio”文件存档实用程序提取存档。虽然该漏洞自9月以来一直被积极利用，但Rapid7的一份新报告再次揭示了其积极利用，并包括一个PoC漏洞，允许攻击者轻松创建恶意存档。影响到包括甲骨文 Linux 8、红帽企业版 Linux 8、洛基 Linux 8 和 CentOS 8。Ubuntu较旧的LTS版本18.04和20.04包括Pax，但该软件包在22.04中被删除。

详情

macOS 存档实用程序漏洞细节公开

日期: 2022-10-06
标签: 美国, 信息技术, Apple, CVE-222-32910, macOS, 

2022年10月6日，Jamf 的安全研究人员 Ferdous Saljooki分享了有关 Apple macOS 操作系统中现已解决的安全漏洞的详细信息，该漏洞可能被利用以绕过 Apple 安全措施的方式运行恶意应用程序。该漏洞被追踪为CVE-2022-32910，植根于内置的存档实用程序。攻击者通过使用特制存档，可能导致执行未签名和未经公证的应用程序而不向用户显示安全提示。Apple 将该漏洞描述为一个逻辑问题，它可能允许存档文件绕过 Gatekeeper 检查，该检查旨在确定只有受信任的软件才能在操作系统上运行。目前Apple表示，它通过改进检查已经解决了该漏洞。

详情

攻击者开始利用Microsoft Exchange新0day

日期: 2022-09-29
标签: 美国, 信息技术, 微软（Microsoft）, 漏洞利用, 网络犯罪, 0day, 

2022年9月29日，越南网络安全机构 GTSC 的安全研究人员声称，发现有攻击者正在利用两个尚未披露的 Microsoft Exchange 零日漏洞，该漏洞允许攻击者远程执行代码。攻击者正在利用这两个零日漏洞，以在受感染的服务器上部署 Chinese Chopper web shell ，维持持久性攻击、进行数据盗窃，并横向移动到受害者网络上的其他系统。研究人员表示： “这个漏洞非常严重，以至于攻击者可以在受感染的系统上进行 RCE 。 ”2022年9月29日晚间，趋势科技发布了一份安全公告，确认他们已将 GTSC 发现的两个新的 Microsoft Exchange 零日漏洞提交给了微软。到目前为止，微软尚未披露有关这两个安全漏洞的任何信息，并且尚未分配 CVE ID 来跟踪它们。

详情

以太网VLAN堆叠缺陷让黑客发起DoS、MiTM攻击

日期: 2022-09-28
标签: 信息技术, VLAN, 以太网安全, 

广泛采用的“堆叠 VLAN”以太网功能中的四个漏洞允许攻击者使用定制数据包对网络目标执行拒绝服务 （DoS） 或中间人 （MitM） 攻击。堆叠 VLAN（也称为 VLAN 堆叠）是现代路由器和交换机中的一项功能，允许公司将多个 VLAN ID 封装到与上游提供商共享的单个 VLAN 连接中。这四个漏洞是：

• CVE-2021-27853使用 VLAN 0 报头和 LLC/SNAP 报头的组合，可以绕过第 2 层网络过滤功能，例如 IPv6 RA 防护或 ARP 检查。

• CVE-2021-27854第 2 层网络过滤功能（如 IPv6 RA 防护）可以使用 VLAN 0 标头、以太网到 Wifi 帧转换中的 LLC/SNAP 标头以及反向 Wifi 到以太网的组合来绕过。

• CVE-2021-27861可以使用长度无效的 LLC/SNAP 标头（以及可选的 VLAN0 标头）绕过第 2 层网络过滤功能，例如 IPv6 RA 防护。

• CVE-2021-27862第 2 层网络过滤功能（如 IPv6 RA 防护）可以使用长度无效的 LLC/SNAP 标头和以太网到 Wifi 帧转换（以及可选的 VLAN0 标头）绕过。

通过独立利用这些缺陷中的任何一个，攻击者可以欺骗目标设备，将流量路由到任意目标。建议所有网络管理员仔细检查和限制访问端口上使用的协议，启用所有可用的接口安全控制，检查和阻止路由器通告，并在供应商安全更新可用时立即应用它们。

详情

Sophos Firewall中的RCE被广泛利用

日期: 2022-09-26
标签: 信息技术, Sophos, 

2022年9月26日，Sophos 已在其防火墙解决方案中修补了一个被积极利用的远程代码执行漏洞 (CVE-2022-3236)，并已将修复推送给启用了自动安装修补程序的客户。CVE-2022-3236 是 Sophos Firewall 的用户门户和 Webadmin 中的代码注入漏洞。如果成功利用，它允许在目标易受攻击的安装上执行远程代码执行 (RCE)。该漏洞影响 Sophos Firewall v19.0 MR1 (19.0.1) 及更早版本。Sophos 发布了其中的各种修补程序，并已将修补程序包含在 v18.5 MR5 (18.5.5)、v19.0 MR2 (19.0.2) 和 v19.5 GA 中。CVE-2022-3236 已添加到 CISA 的已知已利用漏洞目录中，这意味着美国联邦民事行政部门机构需要对其进行修复。Sophos 没有透露被攻击者通过 CVE-2022-3236 入侵的组织的名称，但表示他们“直接通知了这些组织中的每一个”。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   安全分析

分析DeftTorero组织的TTP

日期: 2022-10-09
标签: 信息技术, DeftTorero, APT舆情, 

今年早些时候，卡巴斯基开始寻找DeftTorero（又名Lebanese Cedar、Volatile Cedar）组织的新恶意软件。 据信该组织来自中东，并早在2015年就被网络安全社区公开披露。值得注意的是，直到2021年才共享其他情报，这使研究人员推测该组织可能转向更多无文件/LOLBINS技术，以及使用互联网上公开的已知/常见进攻性工具。这篇文章主要关注该组织在2019年末至2021年年中攻击受害者时使用的TTP。

详情

Lazarus针对荷兰和比利时的攻击活动

日期: 2022-10-09
标签: 荷兰, 交通运输, Lazarus, BLINDINGCAN, CVE-2021-21551, APT舆情, 

ESET研究人员发现并分析了Lazarus组织在2021年秋季的攻击活动中使用的一组恶意工具。该攻击活动以包含恶意亚马逊主题文件的鱼叉式网络钓鱼电子邮件开始，针对荷兰一家航空航天公司的一名员工和比利时的政治记者。攻击者的主要目标是窃取数据。该组织首次利用了CVE-2021-21551漏洞，并使用了功能齐全的HTTP(S)后门，称为BLINDINGCAN。

详情

深入分析APT35组织

日期: 2022-09-28
标签: 伊朗, 美国, 法国, 信息技术, Cobalt Illusion（APT35Charming KittenNewscasterPhosus）, APT舆情, 

伊朗组织APT35，也称为Charming Kitten或Phosphorus，自2014年以来一直很活跃，当期该组织通过社交媒体开展了复杂的间谍活动。从那以后，该组织持续对世界各地发起网络攻击。 2019年，APT35攻击了美国、法国和中东地区的几家学术机构。 2020年底，该组织攻击了以色列和美国的医学研究组织。到2021年，APT35开始利用Microsoft Exchange服务器漏洞。截至2022年，观察到APT35使用新战术攻击大量目标，并使用一种新的恶意软件进行情报收集。该组织还使用一种名为Hyperscrape的新工具从受害者的邮箱中提取电子邮件。

详情

0x08   其他事件

暗网市场BidenCash免费发布120万张信用卡作为推广方式

日期: 2022-10-08
标签: 美国, 信息技术, 金融业, 

2022年10月6日，一个名为“BidenCash”的暗网信用卡市场发布了高达1,221,551 张信用卡，并以此来推广他们的市场，任何人都可以免费下载这些信用卡来进行金融欺诈。BidenCash暗网犯罪市场于2022年9月底为响应 DDoS（分布式拒绝服务）攻击而推出，因此这可能是推广该犯罪市场的一种方式。发布的文件包含来自世界各地的2023 年至 2026 年到期的信用卡，大多数信用卡似乎来自美国。这些信用卡信息包括：卡号、截止日期、CVV 编号、持有人姓名、银行名称、卡类型、状态和等级、持有人的地址、州和邮政编码、电子邮件地址、社会保障号、电话号码。安全研究人员表示，这种规模的暗网帖子和优惠通常是骗局，因此大量的卡片转储很容易成为虚假数据或以新名称重新包装的旧转储的回收数据。

详情

美国连锁医院CommonSpirit遭勒索软件袭击

日期: 2022-10-08
标签: 美国, 卫生行业, CommonSpirit Health, 勒索, 

2022年10月上旬，美国最大的连锁医院之一Common Spirit遭受了勒索软件网络攻击，严重影响了医院的运营和患者的治疗。此次攻击导致手术延迟，患者护理延误，并迫使该医院重新安排全国各地的医生预约。目前，CommonSpirit Health 证实，它遇到了 IT 安全问题，迫使其部分基础设施脱机。虽然 CommonSpirit 拒绝透露具体细节，但相关人士证实，该医院遭受了勒索软件攻击。目前，没有一个勒索软件团伙声称对这次袭击负责，也尚不清楚黑客是否从连锁酒店的基础设施中窃取了数据。

详情

勒索团伙Everest入侵南非电力能源供应商

日期: 2022-10-08
标签: 南非, 能源业, Eskom, 勒索, 

2022年3月18日，Everest 勒索软件运营商发布公告，宣布以 125,000 美元的价格出售南非电力公司Eskom的根访问权限。Eskom是南非电力能源供应商，将煤炭、核能、燃料、柴油、水和风能等转化为 90% 以上的能源，供应给南非和南部非洲发展共同体 (SADC) 地区的众多客户。当时，Eskom否认遭遇安全漏洞。2022年10月8日，安全专家报告称 ESKOM Hld SOC Ltd 遇到了一些服务器问题。同日，Everest勒索团伙发布了有关南非国有电力公司被黑的声明，并声称可以访问Eskom公司的所有服务器，并对其中的许多服务器具有 root 访问权限。与此同时，Everest勒索团伙提供一个软件包（售价200,000 美元），其中包括带有管理员、root、用于 Linux 和 Windows 服务器的系统管理员密码的服务器等。

详情

BlackByte勒索软件滥用Windows驱动程序以禁用安全解决方案

日期: 2022-10-07
标签: 信息技术, BYOVD, 勒索软件, 

在引入自己的易受攻击的驱动程序（BYOVD）攻击的另一种情况下，BlackByte勒索软件的运营商正在利用合法Windows驱动程序中的缺陷来绕过安全解决方案。规避技术支持禁用超过1000个驱动程序的庞大列表，安全产品依靠这些驱动程序提供保护。BYOVD 是一种攻击技术，涉及威胁参与者滥用合法签名驱动程序中的漏洞，以实现成功的内核模式利用并夺取对受感染计算机的控制。该组织最近发起的攻击利用了权限提升和代码执行缺陷（CVE-2019-16098，CVSS评分：7.8），影响了Micro-Star MSI加力燃烧室RTCore64.sys驱动程序禁用安全产品。对勒索软件样本的分析发现了EDR旁路实现与基于C的开源工具EDRSandblast之间的多种相似之处，该工具旨在滥用易受攻击的签名驱动程序来逃避检测。为了防止 BYOVD 攻击，建议跟踪系统上安装的驱动程序并确保它们是最新的，或者选择将已知可利用的驱动程序列入阻止列表。

详情

拜登签署新的美欧隐私框架，建立监控保障

日期: 2022-10-07
标签: 美国, 政府部门, 信息技术, 欧盟（EU Lawmakers）, 白宫, 隐私协议, 监视, 

2022年10月7日，美国白宫宣布，总统乔拜登签署了一项行政命令，巩固了美国和欧盟之间的隐私协议，重点是解决欧洲的监视问题并确保商业数据的持续流动。政府在一份新闻声明中表示：“美国和欧盟各行各业的大大小小的公司都依赖跨境数据流动来参与数字经济并扩大经济机会。”该命令概述了美国信号情报收集活动的额外保障措施以及如何处理通过这些系统收集的信息。在这些保障措施中，优先选择有针对性的进行收集。它还将通过批量收集的信息进一步防止恐怖主义、外国间谍活动、大规模杀伤性武器的扩散、对美国人员的威胁和外国网络安全威胁。但相关专家表示，尚不确定欧盟当局是否会支持这些法律要求。

详情

乌克兰网络警察局关停传播虚假消息的机器人农场网络

日期: 2022-10-06
标签: 乌克兰, 俄罗斯, 政府部门, 信息技术, 乌克兰国家警察局网络警察局, 俄乌战争, 机器人农场网络, 

2022年10月6日，乌克兰国家警察局网络警察局局长Yuriy Vykhodets在军事媒体中心举行的简报会上表示，乌克兰网络警察局关停了一个大规模的机器人农场网络，该网络传播虚假消息和宣传乌克兰战争。这是乌克兰2022年第五次对机器人农场采取行动，此次网络犯罪分子涉及俄罗斯联邦公民和乌克兰临时占领区的居民。网络犯罪分子通过乌克兰禁止的电子支付系统收取以俄罗斯犯罪分子的付款酬劳。这些网络犯罪分子每周产生近 3,000 个虚假账户，并且在botfarm 网络总共有超过 50,000 个机器人。此外，网络犯罪分子还发布了欺诈性网络钓鱼页面的广告。在搜查过程中，乌克兰网络警察局还查获了乌克兰和其他国家各种移动运营商的近 3.5 万张 SIM 卡，以及计算机设备、手机和文件。

详情

美国政府警告2022年美国选举前存在大量虚假信息活动

日期: 2022-10-06
标签: 美国, 政府部门, 美国联邦调查局 (FBI), 美国网络安全和基础设施安全局 (CISA), 虚假信息, 选举, 

2022年10月6日，美国联邦调查局FBI与CISA联合发布公共服务公告表示，外国黑客正在积极散布与美国选举相关基础设施的虚假信息，以操纵公众舆论、诋毁选举进程，并导致民主进程和机构失信，最终影响2022年中期选举的结果。此外，这些外国黑客可能制造并故意散布有关压制选民、选民或选票欺诈的虚假主张和叙述，利用各种平台传播选举基础设施已被破坏的说法，使用“被黑客入侵”或“泄露”的美国选民登记数据可能会对选举的合法性产生怀疑。联邦调查局FBI还称，外国黑客也可能以公众为目标，企图在中期之前和之后煽动暴力。FBI 和 CISA 表示，试图破坏选举基础设施的网络攻击不太可能影响选举结果，也不会阻止或导致投票过程的大规模中断。

详情

IBM调查显示网络安全工作者压力增加

日期: 2022-10-06
标签: 信息技术, IBM, 勒索软件, 网络安全工作者, 

根据 IBM 和 Morning Consult 的一项调查，数百名网络安全工作者表示，勒索软件攻击对他们的心理健康产生了巨大影响。2022年7月，IBM研究人员与 1,100 多名网络安全工作者讨论了他们处理网络安全事件的经验，81% 的人表示，勒索软件的兴起“加剧了与网络安全事件相关的心理需求” 。IBM Security X-Force 事件响应全球负责人 Laurance Dine 表示，勒索软件可能对企业造成直接破坏和直接经济损失，以及会造成潜在的公众影响。一方面，勒索软件会对企业的破坏性攻击。另一方面，勒索团伙的攻击目标也变得更加刻意，常针对关键服务。超过四分之三的受访者表示，由于应对网络事件，他们在日常生活中会感到压力和焦虑。 约 65% 的受访者因应对网络安全事件而寻求心理健康援助。 网络安全工作中压力最大的时期是前三天，超过三分之一的受访者表示他们每天工作超过 12 小时。 平均事件响应参与持续两到四个星期，大约三分之一的人表示他们通常处理超过四个星期的参与。网络攻击现在对现实世界的影响正在引起公共安全问题和市场压力风险的增长。

详情

美国CBI查克拉行动打击电信欺诈

日期: 2022-10-06
标签: 美国, 信息技术, 电信欺诈, 网络犯罪, 

2022年10月4日，美国CBI 发起了“查克拉行动”，以揭穿“网络金融犯罪”，在美国众多州和联邦直辖区的 105 个地点进行突袭。这些行动与国际刑警组织、联邦调查局 (FBI) 以及州警察部队协调实施。  该行动是在 CBI 捣毁浦那和艾哈迈达巴德的两个网络犯罪中心后采取的，据称这些网络犯罪中心针对警惕性较低的美国公民。这些犯罪中心由近 150 人组成，他们会向美国的潜在目标发出欺诈性电话，诱使受害者以各种借口进行交易。据称，这些电话是通过互联网协议语音技术进行的，以躲避检测。2022年4月，FBI 就曾向 CBI 通报了有关该骗局的初步信息。目前，CBI扣押了包括手机、笔记本电脑和硬盘在内的数字证据，以供进一步调查。

详情

虚假LinkedIn配置文件的使人力资源部门与机器人发生冲突

日期: 2022-10-05
标签: 信息技术, LinkedIn, 

最近，LinkedIn上虚假高管个人资料的激增正在为商业社交网站以及依赖它来雇用和筛选潜在员工的公司带来某种身份危机。捏造的LinkedIn身份 - 将AI生成的个人资料照片与从合法帐户提取的文本配对 - 正在为企业人力资源部门和管理仅限邀请的LinkedIn组的人带来重大麻烦。KrebsOnSecurity检查了大量不真实的LinkedIn个人资料，这些个人资料都声称在多家财富500强公司担任首席信息安全官（CISO）职务，包括Biogen，雪佛龙，埃克森美孚和惠普。LinkedIn用户和读者的反应清楚地表明，这些虚假的个人资料正在出现在几乎所有的高管职位上，尤其是与最近的全球事件和新闻趋势相邻的就业和行业。到目前为止，LinkedIn在很大程度上避免了困扰Facebook和Twitter等网络的机器人丑闻。但这种光芒开始消失，因为越来越多的用户被迫浪费更多的时间来对抗不真实的帐户。

详情

法拉利遭受RansomEXX勒索软件攻击

日期: 2022-10-05
标签: 意大利, 制造业, 信息技术, Ferrari（法拉利）, 网络犯罪, 

意大利汽车设计师法拉利S.p.A可能已成为勒索软件攻击的最新受害者。根据路透社的一份报告，属于该品牌的内部文件发布在勒索软件组织LemsomEXX拥有的黑暗网络泄漏网站上。然而，汽车制造商挫败了这种说法，称没有证据表明勒索软件攻击或破坏了公司的系统。该公司表示，它正在调查内部文件的泄漏情况，并将根据需要采取适当的行动，并补充说其业务和运营没有中断。Corriere Della Sera报纸援引意大利网站“红热网络”报道称，这位豪华车设计师是勒索软件攻击的受害者。LemsomEXX声称它已经破坏了法拉利窃取了6.99 GB的数据，其中不仅包括内部文档，还包括数据表和维修手册等。 这些文件的来源仍然不明。

详情

前NSA雇员出售美国网络机密，被控违反间谍法

日期: 2022-09-29
标签: 美国, 政府部门, 美国国家安全局（NSA）, 网络犯罪, 国家机密, 

2022年9月29日，据美国司法部称，美国国家安全局（NSA）前雇员Jareh Sebastian Dalke在联邦法院出庭，被指控试图将美国机密的“国防信息”传送给一名他认为是俄罗斯特工的联邦调查局特工，以谋利85,000美元。据称，Jareh Sebastian Dalke告诉卧底特工，他可以访问“与外国针对美国系统和网络行动有关的信息”的内容。据 FBI 称，Dalke 在2022年7月1日辞职之前只在 NSA 工作了大约三周，但在此期间，他作为“信息系统安全设计师”获得了绝密许可。在 2022 年 8 月至 2022 年 9 月期间，Dalke 使用加密的电子邮件帐户“将他在受雇期间获得的三份机密文件的摘录传输给据信为外国政府工作的个人 Dalke。Dalke 被指控三项违反间谍法的行为，该法可能判处死刑或任何数年至终身监禁的刑期。

详情

芬兰安全情报局表示俄罗斯极可能在冬季进行网络间谍活动

日期: 2022-09-29
标签: 俄罗斯, 芬兰, 政府部门, 芬兰安全情报局（SUPO）, 情报窃取, 网络间谍, 俄乌战争, 

2022年9月29日，芬兰安全情报局（Suojelupoliisi或SUPO）负责人表示，俄罗斯极有可能在冬季进行网络间谍活动。在2022年9月29日芬兰安全情报局发布的非机密《2022 年国家安全概览》中，芬兰安全情报局（SUPO）表示自俄罗斯在乌克兰发动侵略战争以来，俄罗斯利用外交掩护间谍进行的传统情报收集方法变得更加困难，因为许多俄罗斯外交官已被驱逐出西方国家。目前，芬兰仍有一些活跃的俄罗斯情报人员在工作，但芬兰政府称已经切断了与俄罗斯网络的联系。SUPO表示，加入北约将使芬兰成为俄罗斯情报行动的目标，特别是军事政策方面。

详情

新的皇家勒索软件在数百万美元的攻击中出现

日期: 2022-09-29
标签: 信息技术, 网络犯罪, 

一个名为Royal的勒索软件操作正在迅速增加，针对的是赎金要求从25万美元到超过200万美元的公司。Royal是一项于2022年1月启动的行动，由一组经过审查且经验丰富的勒索软件参与者组成，这些勒索软件参与者来自以前的行动。与大多数活跃的勒索软件操作不同，Royal不作为勒索软件即服务运行，而是一个没有关联公司的私人团体。该组织声称窃取数据以进行双重勒索攻击，但到目前为止，似乎还没有以Royal品牌推出数据泄漏网站。但是，强烈建议网络，窗口和安全管理员密切关注此组，因为他们正在迅速增加操作，并可能成为更重要的针对企业的勒索软件操作之一。

详情

印度斯瓦赫城平台遭遇数据泄露，泄露了1600万用户数据

日期: 2022-09-29
标签: 印度, 信息技术, 数据泄露, 

一个名为LeakBase的威胁行为者分享了一个数据库，其中包含据称影响印度投诉补救平台Swachh City的1600万用户的个人信息。泄露的详细信息包括用户名，电子邮件地址，密码哈希值，手机号码，一次性密码，上次登录时间和IP地址等。该数据库包含101，718个唯一的电子邮件地址和15，835，111个唯一的手机号码，使用户面临网络钓鱼，诈骗，社交工程和身份盗用的风险。该数据库包含101，718个唯一的电子邮件地址和15，835，111个唯一的手机号码，使用户面临网络钓鱼，诈骗，社交工程和身份盗用的风险。建议该服务的用户实施强密码策略、轮换密码并启用双重身份验证。

详情

黑客通过代理，泄漏和黑客攻击协助针对伊朗政府的抗议活动

日期: 2022-09-29
标签: 伊朗, 信息技术, 政府部门, 数据泄露, 

CyberArmy黑客组织正在使用Telegram和其他工具来帮助伊朗的反政府抗议活动，以绕过政权审查限制，因为Mahsa Amini在拘留期间死亡后该国正在发生骚乱。Check Point在报告中表示关键活动是数据泄露和出售，包括官员的电话号码和电子邮件，以及敏感地点的地图。该公司表示，它还见证了代理和开放VPN服务器的共享，以规避审查和有关该国互联网状态的报道，其中一个团体帮助反政府示威者访问社交媒体网站。其中最主要的是一个名为官方阿特拉斯情报集团（AIG）的电报频道，主要负责发布与政府官员相关的数据以及重要地点的地图。根据Cyberint的说法，网络雇佣兵演员还声称与欧洲几个执法机构的人有联系，他们可以专门提供有关某些人的敏感信息。

详情

漏洞攻击工具包Brute Ratel被黑客破解并滥用

日期: 2022-09-28
标签: 信息技术, Brute Ratel, 网络犯罪, 红队工具, 破解, 

2022年9月28日，网络威胁情报研究员 Will Thomas发布报告称，Brute Ratel 后利用工具包已被破解，现在正在俄语系和英语系的黑客社区免费共享。 Brute Ratel C4  (BRC4) 是由 Mandiant 和 CrowdStrike 的前红队队员 Chetan Nayak 创建的一个后开发工具包。与 Cobalt Strike 类似，Brute Ratel 是红队使用的一个工具包，用于在受感染的网络设备上部署称为 badger 的代理，并使用它们远程执行命令并在网络上进一步传播。在过去的几年里，破解版的Cobalt Strike被黑客组织和勒索软件团伙严重滥用 ，以至于它更容易被安全软件检测到。因此，一些黑客和勒索软件团伙一直在暗地里对Brute Ratel 进行攻击。自 9 月中旬以来，黑客一直在分享破解版的 Brute Ratel C4 版本 1.2.2。黑客创建了多个主题，在BreachForums、CryptBB、RAMP、Exploit[.]in 和 Xss[.]is，以及各种 Telegram 和 Discord 组中进行传播。

详情

美国国税局警告美国公民短信网络钓鱼攻击大量增加

日期: 2022-09-28
标签: 美国, 金融业, 政府部门, 社会工程学, 网络钓鱼, 网络犯罪, 

2022年9月28日，美国国税局 (IRS) 警告美国公民，在过去几周内，以 IRS 为主题的短信网络钓鱼攻击呈指数级增长，这类攻击试图窃取美国公民的财务和个人信息。到 2022 年为止，美国国税局已经识别并报告了数千个与针对纳税人的多个彩信/短信/短信诈骗（称为诈骗）相关的欺诈性域名，而2022年9月中旬，以国税局为主题的诈骗呈指数级增长。此类诈骗文本将美国纳税人重定向到旨在使用各种诱饵（例如，未付账单、银行账户问题或执法行动）收集敏感信息的网络钓鱼登陆页面。美国国税局表示：“这是工业规模的网络钓鱼，因此成千上万的人可能面临收到这些诈骗信息的风险。这些活动的规模远远超过了以前的水平。”

详情

数据盗窃黑客在乌克兰被捕

日期: 2022-09-28
标签: 乌克兰, 信息技术, 网络犯罪, 俄乌战争, 

2022年9月28日，乌克兰安全局 (SSU) 网络部门称已经捣毁了一群窃取 3000 万个账户并在暗网上出售数据的黑客组织。据调查，黑客组织以约 1400 万阿联酋航空（37.5 万美元）的价格出售了这些被盗账户。黑客出售了亲俄组织大量购买的数据包，然后利用这些账户在社交媒体上散布虚假信息，引发恐慌，并破坏乌克兰和其他国家的稳定。这些黑客以欧盟和乌克兰的系统为目标，通过用恶意软件感染系统，收集敏感数据和登录密码。这些黑客最终在乌克兰利沃夫的住所遭到突袭被捕。

详情

美国政府批准《保护开源软件法》

日期: 2022-09-28
标签: 美国, 信息技术, 政府部门, 开源软件, Log4J, 

2022年9月28日，美国参议院国土安全委员会批准《保护开源软件法》。该法案是由广泛存在的 Log4j 漏洞引起的。该漏洞于2021年底被发现，对全球的私营部门以及政府影响巨大。这项跨党派立法将要求网络安全和基础设施安全局（CISA）在2023年内制定一个风险框架，详细说明联邦政府如何依赖开源代码。与此同时，管理和预算办公室将发布关于联邦实体如何保护开源软件的指南。CISA 还必须聘请一批开源安全专家来加强防御未来使用此类代码的黑客攻击。

详情

俄罗斯在苹果从App Store踢VK应用程序后要求给出原因

日期: 2022-09-28
标签: 美国, 俄罗斯, 乌克兰, 信息技术, VKontakte, Apple, 俄乌战争, 

俄罗斯电信监管机构Roskomnadzor今天要求苹果公司就9月26日从其App Store中删除所有VK应用程序（包括该国最大的社交网络VKontakte的应用程序）做出解释。从Apple Store中删除的两个应用程序，VKontakte社交网络应用程序和 Mail.ru 邮件应用程序，包含在俄罗斯数字发展部的应用程序列表中，这些应用程序必须在俄罗斯的移动设备上进行预安装。VKontakte每月有超过7500万用户使用，根据监管机构的统计数据，它是俄罗斯最受欢迎的社交网络。美国公司行动的后果是数百万俄罗斯用户失去了使用VKontakte社交网络和其他应用程序的机会，包括：VK音乐，VK剪辑，VK信使，VK管理员，Mail.ru。苹果证实VK将从其App Store中删除，并表示它被迫这样做是为了遵守英国最近对俄罗斯实体实施的制裁，其中一些与VK有关（该公司首席执行官弗拉基米尔·谢尔盖耶维奇·基里延科自3月以来也受到英国的制裁）。

详情

CISA发布三份关于Zimbra服务器上JSP webshell的恶意软件报告

日期: 2022-09-27
标签: 美国, 政府部门, 信息技术, 美国网络安全和基础设施安全局 (CISA), webshell, 

2022年9月27日，美国CISA发布了三份关于Zimbra服务器上部署的三个JSP web shell的恶意软件报告，名称分别是security.jsp、formatter_8252022_909am.jsp和cmd.jsp。CISA总共对8个样本文件进行分析。其中有5个 Java Server Pages (JSP) webshell 文件旨在解析入站请求以执行命令、下载文件和上传文件。1个Java Server Pages (JSP) webshell 文件包含一个带有输入字段的表单，提示攻击者在输入框中输入命令并单击“运行”执行。命令输出将显示在 JSP 页面中。bash 文件旨在执行 ldapsearch 查询并将输出存储到新创建的目录中。1个Java Server Pages (JSP) webshell允许攻击者执行 shell 命令并读取命令的输出。1 个 Java Server Pages (JSP) webshell 是服务器端代码，允许远程命令执行和文件上传到目标。

详情

针对军事承包商的新秘密攻击活动

日期: 2022-09-27
标签: 政府部门, 交通运输, 信息技术, 网络犯罪, 

Securonix威胁研究小组最近发现了一项针对多家军事/武器承包商公司的新秘密攻击活动，其中可能包括F-35闪电II战斗机的战略供应商。主要是针对PowerShell的使用，虽然用PowerShell编写的恶意活动并不独特，但所涉及的过程具有一系列有趣的策略，持久性方法，反取证和层层的混淆来隐藏其代码。此外，与攻击者使用的远程基础设施或命令和控制（C2）相对复杂。其中有三个独特的域利用 Cloudflare CDN，本文将更深入地介绍每个域如何发挥作用。

详情

马来西亚电信公司redONE遭受网络攻击

日期: 2022-09-27
标签: 马来西亚, 信息技术, 数据泄露, 

9月19日，DESORDEN声称已经击中了重做网络私人有限公司。redONE是马来西亚的一家电信公司，拥有超过120万用户。redONE还通过银行合作（其红卡计划）提供金融服务，并通过保险公司合作伙伴关系（其redCARE计划）提供保险服务。当REDONE没有回应DESORDEN的勒索要求时，在9月21日左右DESORDEN发动了第二次攻击，袭击了他们的redCARD and redCARE。此次数据泄露涉及 redONE 数据库和源编码。个人数据包括全名，身份证（身份证号码），地址，电话，电子邮件等。目前该公司尚未对此次攻击事件做出回应。

详情

俄乌冲突导致全球的DDoS攻击强度增加

日期: 2022-09-27
标签: 乌克兰, 俄罗斯, 爱尔兰, 印度, 中国台湾, 伯利兹, 罗马尼亚, 意大利, 立陶宛, 挪威, 波兰, 芬兰, 拉脱维亚, 政府部门, 信息技术, Killnet, 网络犯罪, 俄乌战争, 

2022年9月27日，网络安全公司NETSCOUT发布报告显示，战争和地区争端正在助长强大的分布式拒绝服务(DDoS)攻击的增加。该公司记录到，在2022年上半年，包括俄罗斯、乌克兰、印度、爱尔兰、芬兰等几个国家的DDoS攻击数量有所增加。DDoS攻击是指向目标网站发送垃圾流量，使其无法访问。他们追踪了600多万起事件，使用的带宽比去年增加了57%。自俄罗斯2月入侵乌克兰以来，俄罗斯和乌克兰一直在用DDoS攻击攻击对方，但其他几个国家也受到了攻击，例如爱尔兰、印度、中国台湾、伯利兹、罗马尼亚、意大利、立陶宛、挪威、波兰、芬兰和拉脱维亚。这些国家的DDoS攻击都有所增加，而其大多数受到攻击的原因是他们在俄乌战争中的立场问题，其中几个国家是亲俄黑客组织Killnet的目标。专家表示，DDoS攻击频率增加的部分原因是因为它们价格便宜、易于部署并且可以在风险或影响很小的情况下进行访问。

详情

持续十年的美国外汇诈骗

日期: 2022-09-27
标签: 美国, 荷兰, 信息技术, 金融业, 网络犯罪, 金融诈骗, 

2022年9月27日，两名美国男子Gallagher 和 Dion都对一项为期十年的外汇业务中的一项共谋金融犯罪指控表示认罪。根据美国司法部的说法，Gallagher 和 Dion建立了一个名为 Global Forex Management 的虚假组织，并根据过去的虚假交易表现向投资者保证巨额利润，从而引诱投资者。而这两名犯罪分子在与荷兰其他犯罪分子合作的同时，还从受害者投资者那里窃取了资金。Gallagher 和 Dion 于 2012 年 5 月实施了他们的计划，故意为投资者设置负面交易，有效地从受害者那里窃取了 3000 万美元。在编造巨额交易损失后，Gallagher 和 Dion利用他们在世界各地建立的空壳企业转移被盗资金。建议用户尽量寻找可靠的外汇经纪商，学会辨别，多家调查。

详情

乌克兰安全局逮捕亲俄黑客组织

日期: 2022-09-27
标签: 乌克兰, 俄罗斯, 信息技术, 乌克兰安全局（SSU）, 网络犯罪, 俄乌战争, 

乌克兰安全局（SSU）的网络部门已经捣毁了一个代表俄罗斯利益的黑客组织，该组织在乌克兰西部最大的城市利沃夫开展活动。 该黑客组织在暗网上出售了属于乌克兰和欧盟居民的 3000 万个账户，通过在乌克兰被禁止的电子支付系统 YuMoney、Qiwi 和 WebMoney 积累了 372,000 美元的利润。该黑客组织是亲俄组织，主要针对乌克兰公民和欧洲人民，以窃取用户的私人信息。 黑客利用这些帐户通过虚假宣传活动在该地区散布混乱和恐慌，并通过假新闻鼓励乌克兰大规模破坏稳定。在搜查过程中，乌克兰执法机构没收了包含私人数据的磁盘以及计算机设备、手机、SIM 卡和闪存驱动器，其中包含在黑客的非法活动证据。

详情

MS SQL服务器被黑客入侵，向组织发送勒索软件

日期: 2022-09-27
标签: 信息技术, 网络犯罪, 

AhnLab的ASEC分析团队警告说，使用FARGO（aka Mallox, aka TargetCompany）勒索软件的网络犯罪分子正在瞄准微软SQL（MS SQL）服务器。尚未确定攻击者如何访问目标服务器，但指出针对数据库服务器的典型攻击包括暴力破解和字典攻击，旨在找出现有安全不良帐户的密码。微软SQL Server是一种流行的数据库服务器和管理系统，其主要目的是存储数据并在各种类型的应用程序请求时提供数据。其他广泛使用的数据库服务器解决方案包括 MySQL、Redis、后格雷SQL 和蒙哥数据库。MS SQL服务器通常被攻击者瞄准并受到各种目标的破坏：使它们成为加密僵尸网络的一部分，将它们变成可以或多或少地用于恶意目的的代理服务器。这一次攻击可能对运行这些服务器的组织造成更直接，更深远的破坏性影响。为了防止通过受感染的MS SQL服务器成为此威胁和其他威胁的受害者，建议管理员定期修补其安装并使用复杂，唯一的密码来保护其帐户。

详情

澳大利亚网络安全部长批评Optus攻击事件

日期: 2022-09-26
标签: 澳大利亚, 信息技术, Optus, 网络犯罪, 

2022年9月26日，澳大利亚内政和网络安全部长克莱尔·奥尼尔（Clare O'Neil）在 ABC730 上讨论了澳大利亚第二大电信公司 Optus 的违规行为，并对Optus对此次攻击事件的回应表示批评。2022年9月22日，澳大利亚第二大电信公司Optus，在网络攻击之后，它正在“调查之前和之前的客户信息可能未经授权的访问”。此次黑客攻击涉及盗窃与 980 万澳大利亚人有关的基本个人信息。并且此次事件还包括来自 280 万人的大量个人数据，例如驾照号码和护照号码。而澳大利亚的人口约为2500万，这使得“身份盗窃和欺诈的范围相当大。网络安全部长Clare O'Neil表示，澳大利亚在隐私保护方面“可能落后了十年”，在 Optus 的网络安全漏洞之后，政府“必须在风险如此之高时参与进来”。虽然在过去，澳大利亚的网络安全被视为私人公司和客户之间的事情，但她表示，该行业现持有大量的敏感数据，政府需要进行干预。

详情

乌克兰警告俄罗斯可能对关键基础设施发动网络攻击

日期: 2022-09-26
标签: 乌克兰, 俄罗斯, 政府部门, 俄乌战争, 

2022年9月26日，乌克兰政府表示，俄罗斯政府正计划对乌克兰的关键基础设施进行“大规模网络攻击”，以“增加导弹袭击对供电设施的影响”。俄罗斯国防情报局在乌克兰政府网站上发布的一份声明中表示，俄罗斯人还计划“加大对乌克兰最亲密盟友（主要是波兰和波罗的海国家）关键基础设施的 DDoS 攻击力度” 。Mandiant 情报分析副总裁 John Hultquist 表示：“迄今为止，我们看到的许多破坏性和破坏性网络攻击都已被破坏。除了少数例外，我们还没有看到在战争开始之前就预料到的大规模严重袭击。到目前为止，俄罗斯在乌克兰以外的网络攻击一直非常克制。”Hultquist 补充说，“俄罗斯面临着巨大的压力，网络攻击可能会给他们一种回应手段，而不会冒严重军事后果的风险。”多个欧洲国家已经处理了来自他们所说的俄罗斯或亲俄罗斯团体的 DDoS 攻击，包括挪威、罗马尼亚、意大利和其他国家。

详情

恶意SEO活动传播JavaScript恶意软件

日期: 2022-09-26
标签: 澳大利亚, 加拿大, 新西兰, 英国, 美国, 政府部门, 商务服务, 卫生行业, 教育行业, 房地产, SEO 中毒攻击, 

来自安全公司 Deepwatch 的威胁分析师发现了一项复杂的搜索引擎优化 (SEO) 中毒活动，目标是来自多个行业和政府实体的员工，当他们搜索与其工作相关的特定词并单击排名较高的恶意搜索结果后，受害者会在不知不觉中下载流行的 JavaScript 恶意软件下载器。研究人员补充说：“这些可疑的博客文章涵盖了从政府、法律到房地产、医疗和教育的各种主题。涉及国家涵盖澳大利亚、加拿大、新西兰、英国、美国、和其他国家。”威胁分析师将此恶意活动归咎于一个被跟踪为 TAC-011 的组织，该组织已活跃多年，可能已经利用了数百个真实的 WordPress 网站，并可能生成了数千篇个人博客文章来抬高他们的谷歌搜索排名。研究人员建议组织培训他们的员工，对 SEO 中毒攻击保持警惕，并且永远不要打开带有恶意扩展名的文件。

详情

研究人员发现三个黑客组织与俄罗斯GRU合作

日期: 2022-09-26
标签: 俄罗斯, 乌克兰, 政府部门, XakNet Team, Infoccentr, CyberArmyofRussia_Reborn, 俄乌战争, 

2022年9月23日，谷歌旗下的威胁情报和事件响应公司Mandiant发布报告称，正在追踪多个自称自 2022 年初俄罗斯入侵开始以来针对乌克兰的黑客活动组织。特别是XakNet Team、Infoccentr 和 CyberArmyofRussia_Reborn。这些组织主要进行分布式拒绝服务 (DDoS) 攻击并从受害组织泄露被盗数据。Mandiant以适度的信心评估，运营 Telegram 频道 XakNet Team、Infoccentr 和 CyberArmyofRussia_Reborn 的威胁参与者正在与 GRU 赞助的 APT28 协调他们的行动。

详情

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0a   时间线

2022-10-10 360CERT发布安全事件周报