报告编号：B6-2023-022002

报告来源：360CERT

报告作者：360CERT

更新日期：2023-02-20

0x01   事件导览

本周收录安全热点57项，话题集中在恶意程序、网络攻击方面，涉及的组织有：Microsoft、斯堪的纳维亚航空公司、苹果、GitHub等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Mirai僵尸网络变体V3G4利用13个未修补的IoT漏洞进行传播

日期: 2023-02-19
标签: 信息技术, 

Unit 42 研究人员观察到威胁行为者在三项活动中利用名为 V3G4 的 Mirai 僵尸网络变体，针对在一系列物联网设备中发现的 13 个未修补漏洞进行传播。成功的利用可能会导致远程代码执行。研究人员检查了 2022 年 7 月至 2022 年 12 月的这些活动，发现在利用漏洞时，“wget 和 curl 实用程序自动执行以从恶意软件基础设施下载 Mirai 客户端样本，然后执行下载的 bot 客户端。”研究人员表示：“V3G4 继承了原始 Mirai 变体的最重要特征——一个数据部分，其中嵌入了用于扫描器和暴力破解目的的默认登录凭据。” “与最初的 Mirai 一样，它也使用 XOR 密钥 0x37 加密所有凭据。”Mirai 是一种众所周知的威胁，以不断发展其策略以利用其控制的设备和扩展其僵尸网络而闻名。研究人员之前已经注意到该变体利用了有效的蛮力强制策略和传播技术——对僵尸网络运营商非常有效。

详情

Frebniis恶意软件分析

日期: 2023-02-16
标签: 信息技术, 

2023年2月中旬，Broadcom Software 旗下的赛门铁克发现了一种新的恶意软件，它滥用 Microsoft 的 Internet 信息服务 (IIS) 的一项功能，在目标系统上部署后门。该恶意软件被称为 Frebniis (Backdoor.Frebniis)，目前未知的威胁行为者使用它来攻击台湾的目标。Frebniis 使用的技术涉及将恶意代码注入与 IIS 功能相关的 DLL 文件 (iisfreb.dll) 的内存中，该 IIS 功能用于对失败的网页请求进行故障排除和分析。这允许恶意软件偷偷监视所有 HTTP 请求并识别攻击者发送的特殊格式的 HTTP 请求，从而允许远程代码执行。为了使用这种技术，攻击者需要通过其他方式获得对运行 IIS 服务器的 Windows 系统的访问权限。在这种特殊情况下，尚不清楚这种访问是如何实现的。

详情

新的Mirai恶意软件变种感染Linux设备以构建DDoS僵尸网络

日期: 2023-02-16
标签: 信息技术, 

一种被追踪为“V3G4”的新 Mirai 僵尸网络变体针对基于 Linux 的服务器和物联网设备中的 13 个漏洞，用于 DDoS（分布式拒绝服务）攻击。该恶意软件通过暴力破解弱的或默认的 telnet/SSH 凭据并利用硬编码缺陷在目标设备上执行远程代码执行来传播。一旦设备遭到破坏，恶意软件就会感染该设备并将其招募到僵尸网络群中。Palo Alto Networks（第 42 单元）的研究人员在三个不同的活动中发现了这种特定的恶意软件，他们报告称在 2022 年 7 月至 2022 年 12 月期间监测了恶意活动。Unit 42 认为这三波攻击都来自同一个威胁参与者，因为硬编码的 C2 域包含相同的字符串，shell 脚本下载相似，并且所有攻击中使用的僵尸网络客户端具有相同的功能。

详情

研究人员将SideWinder集团与多个国家的数十起目标攻击联系起来

日期: 2023-02-16
标签: 信息技术, 

2021 年 6 月至 2021 年 11 月期间，多产的 SideWinder 组织被认为是企图攻击阿富汗、不丹、缅甸、尼泊尔和斯里兰卡的 61 个实体的幕后黑手。根据 Group-IB 发布的一份详尽报告，目标包括政府、军队、执法部门、银行和其他组织，该报告还发现对手与另外两个被追踪为 Baby Elephant 和 DoNot Team 的入侵集之间存在联系。SideWinder 也称为 APT-C-17、Hardcore Nationalist (HN2)、Rattlesnake、Razor Tiger 和 T-APT4。它被怀疑起源于印度，尽管卡巴斯基在 2022 年指出归因不再是确定性的。根据俄罗斯网络安全公司去年初的一份报告，自 2020 年 4 月以来，该组织与亚太地区不少于 1,000 起针对政府组织的攻击有关。

详情

LockBit和Royal Mail勒索软件谈判泄露

日期: 2023-02-15
标签: 信息技术, 网络犯罪, 

LockBit 勒索软件组织公布了其运营商与皇家邮政谈判代表之间的对话记录，显示该组织要求 6570 万英镑（7985 万美元）在 1 月份的网络攻击后安全归还该公司被盗的数据。事件发生数小时后，据报道，LockBit 团伙声称对这次袭击负责，这次袭击使皇家邮政的运营中断了好几天。快进到昨天，黑客组织泄露了他们与皇家邮政谈判代表之间的整个对话，据 ITPro 称，对话持续了将近三周。Secureworks 的安全研究员兼 LockBit 主题负责人蒂姆·米切尔 (Tim Mitchell) 解释说：“当 LockBit 开始发布谈判对话时，通常会在事后发生，即他们已经取消了任何获得报酬的机会，以对未来的受害者起到威慑作用。” .“信息是：如果你不付钱，我们也可以发布文件并共享这些数据。但这种策略也可以为进一步的谈判。”一个典型的例子是，谈判记录显示威胁者试图说服皇家邮政使用各种技术支付赎金。第一个是证明被盗文件的解密器有效——第二个是将赎金金额减少到大约 5740 万英镑（6976 万美元）。

详情

朝鲜APT37以新型M2RAT恶意软件攻击韩国

日期: 2023-02-15
标签: 信息技术, 网络犯罪, 

被追踪为 APT37 的与朝鲜有关的威胁行为者与一种名为 M2RAT 的新恶意软件有关，该恶意软件针对其南部对手发起攻击，表明该组织的特征和策略在不断演变。APT37 也以 Reaper、RedEyes、Ricochet Chollima 和 ScarCruft 的绰号进行跟踪，与朝鲜国家安全部 (MSS) 有关联，这与隶属于侦察总局 (RGB) 的 Lazarus 和 Kimsuky 威胁集群不同。据谷歌旗下的 Mandiant 称，MSS 的任务是“国内反间谍和海外反情报活动”，APT37 的攻击活动反映了该机构的优先事项。历史上，这些行动专门针对叛逃者和人权活动家等个人。“APT37 评估的主要任务是秘密收集情报，以支持朝鲜的战略军事、政治和经济利益，”这家威胁情报公司表示。

详情

专家警告“蜂鸣”——一种可以在雷达下飞行的新型规避恶意软件

日期: 2023-02-15
标签: 信息技术, 

网络安全研究人员发现了一种名为 Beep 的新型规避恶意软件，该恶意软件旨在躲避雷达并将额外的有效载荷投放到受感染的主机上。Minerva Labs 研究员 Natalie Zargarov 表示：“似乎这种恶意软件的作者正试图实施尽可能多的反调试和反 VM（反沙盒）技术。”“其中一种技术涉及通过使用 Beep API 函数延迟执行，因此是恶意软件的名称。”Beep 包含三个组件，第一个组件是一个释放器，负责创建新的 Windows 注册表项并执行存储在其中的 Base64 编码的 PowerShell 脚本。就 PowerShell 脚本而言，它会连接到远程服务器以检索注入器，注入器在确认未在虚拟机中调试或启动后，通过称为进程挖空的技术提取并启动有效负载。有效负载是一种信息窃取器，能够收集和泄露系统信息并枚举正在运行的进程。该恶意软件能够从命令和控制 (C2) 服务器接受的其他指令包括执行 DLL 和 EXE 文件的能力。

详情

ESXiArgs勒索软件已经感染了欧洲数百个新目标

日期: 2023-02-15
标签: 信息技术, 网络犯罪, 

根据一家安全研究公司收集的数据，超过 500 家欧洲组织已成为 ESXiArgs 勒索软件的新目标。Censys 研究人员 Mark Ellzey 和 Emily Austin 一直在更新跟踪勒索软件活动传播的每日仪表板，勒索软件活动本月早些时候开始在全球范围内发出警报。在过去的几天里，Austin 和 Ellzey 表示他们观察到 500 多台主机最近感染了 ESXiArgs。法国有 217 起新事件，德国有 137 起，荷兰有 28 起，英国有 23 起，乌克兰有 19 起。研究中的另一项突出发现是，首次感染可追溯到 2022 年 10 月 12 日——远早于欧洲网络安全当局于 2023 年 2 月 2 日开始对勒索软件发出警告。Ellzey 和 Austin 说：“在分析过程中，我们发现两台主机的赎金票据惊人地相似，可追溯到 2022 年 10 月中旬，就在 ESXi 6.5 和 6.7 版生命周期结束之后。”“在广泛开展活动之前，威胁行为者通常会在选定的少数主机上‘测试’他们的方法，因此我们希望更多地了解这些攻击的早期阶段。对这些主机中的每一个的分析表明，在 443 端口上存在赎金票据，可追溯到 2022 年 10 月 12 日和 2022 年 10 月 14 日。”

详情

ALPHV（黑猫）勒索软件团伙声称袭击爱尔兰大学

日期: 2023-02-14
标签: 信息技术, 网络犯罪, 

ALPHV 勒索软件组织，也称为 BlackCat，列出了据称从爱尔兰明斯特科技大学 (MTU) 窃取的超过 6GB 的数据。发布在 ALPHV 的 .onion 网站上的目录声称包括员工记录和工资单详细信息，这两个都是可能导致欺诈和骚扰的极其敏感的数据集。上周，MTU 和网络安全专家均未公开将此次攻击归咎于特定的网络犯罪集团。该大学于 2 月 6 日宣布，由于“重大 IT 漏洞和电话中断”，其位于科克的校区将关闭，并警告说课程将被取消。在周一的更新中，该大学表示：“我们很高兴地报告，学生和教职工已经返回校园，校园内恢复面对面教学的工作现已成功进行。”MTU 的 IT 服务尚未完全运行，声明感谢“学生和教职员工在此期间的耐心、支持和合作时间。”它还警告说，该大学正在对该事件进行审查和调查，特别是围绕“在‘暗网’上发布数据”。作为勒索软件操作，ALPHV 因其丰富的经验和使用 Rust 编程语言对其恶意软件进行编码而在研究人员中脱颖而出——这是针对用于现实世界攻击的勒索软件的首例。

详情

RedEyes黑客使用新的恶意软件从Windows、手机窃取数据

日期: 2023-02-14
标签: 信息技术, 

APT37 威胁组织使用一种新的规避“M2RAT”恶意软件和隐写术来针对个人进行情报收集。APT37，也称为“RedEyes”或“ScarCruft”，是一个据信得到国家支持的朝鲜网络间谍黑客组织。2022 年，该黑客组织被发现利用 Internet Explorer 零日漏洞并针对目标实体和个人分发各种各样的恶意软件。例如，威胁行为者使用名为“Dolphin”的新版移动后门以欧盟组织为目标，部署了名为“Konni”的自定义 RAT（远程访问木马），并使用名为“黄金后门。在 AhnLab 安全应急响应中心 (ASEC) 今天发布的一份新报告中，研究人员解释了 APT37 现在如何使用一种名为“M2RAT”的新恶意软件变种，该变种使用共享内存部分进行命令和数据泄露，并且在网络上留下的操作痕迹非常少受感染的机器。

详情

MortalKombat勒索软件针对美国、英国、土耳其和菲律宾

日期: 2023-02-14
标签: 信息技术, 网络犯罪, 

2023年1月，美国、英国、土耳其和菲律宾的组织遭到网络安全研究人员称为 MortalKombat 的新型勒索软件的袭击。 思科 Talos 安全团队的研究人员表示，他们一直在追踪一个勒索软件组织，该组织一直在部署 MortalKombat，还开发了一种名为 Laplas Clipper 的新型恶意软件，可以从受害者那里窃取加密货币。 大多数受害者都在美国，而一小部分受害者来自其他列出的国家。 “MortalKombat 是一种新型勒索软件，威胁研究人员于 2023 年 1 月首次观察到它，对其开发人员和操作模型知之甚少，”Cisco Talos 说。“勒索软件的名称和它在受害者系统上投放的墙纸几乎可以肯定是指 Mortal Kombat 媒体专营权，其中包括一系列流行的视频游戏和电影。”勒索软件“加密受害者机器文件系统上的各种文件，例如系统、应用程序、数据库、备份和虚拟机文件，以及映射为受害者机器逻辑驱动器的远程位置上的文件，”研究人员说。他们的报告还说，勒索软件组织已经观察到在互联网上扫描让远程桌面协议 (RDP) 暴露在互联网上的组织。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

Atlassian因其第三方应用程序被破坏导致员工数据泄露

日期: 2023-02-19
标签: 信息技术, 

澳大利亚软件公司 Atlassian 证实，员工数据已通过他们在第三方应用程序上使用的帐户泄露到网络上。虽然网络安全公司 Check Point 的独立研究人员支持数据似乎并非来自 Atlassian 系统的说法，但该应用程序背后的制造商表示，Atlassian 员工的凭据被泄露是罪魁祸首。在发给 SC Media 的一份声明中，Atlassian 的一位发言人表示，泄密事件似乎是通过他们在 Envoy 的账户发起的，Envoy 是一家制造和销售工作场所协作软件的公司。“2023 年 2 月 15 日，我们了解到来自 Atlassian 用于协调办公室资源的第三方应用程序 Envoy 的数据遭到破坏并发布。 Atlassian 产品和客户数据无法通过 Envoy 应用程序访问，因此没有风险，”该发言人告诉 SC Media。 “Atlassians 的安全是我们的首要任务，我们迅速努力加强全球办事处的人身安全。我们正在积极调查此事件，并将在了解更多信息后继续向员工提供最新消息。”

详情

美国路易斯安那大学数据泄露

日期: 2023-02-14
标签: 教育行业, 

20223年2月，美国路易斯安那大学 (HBCU) 本周报告了一起数据泄露事件，涉及超过 44,000 名学生和供应商的社会安全号码和其他个人信息。在向缅因州总检察长办公室提交的文件中，路易斯安那州泽维尔大学表示，它在 11 月 22 日遭受了网络攻击。“Xavier 聘请了网络安全专家协助完成这一过程，”他们写道，并于 1 月 24 日确定“事件期间可能未经授权获取了学生和供应商的个人信息。”

“不明人士访问和可能获得的信息可能包括全名和社会安全号码。”受网络攻击影响的人将获得为期一年的 Experian 信用监控和身份保护服务。 目前尚不清楚通知中提到的九名缅因州居民是否是违规信件的唯一收件人，或者是否所有 44,000 人都收到了通知。美国各地的学院和大学继续面临网络攻击的冲击，导致大量学生信息涌入暗网。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

Microsoft Exchange ProxyShell漏洞在新的加密挖掘攻击中被利用

日期: 2023-02-16
标签: 金融业, 信息技术, 

一种名为“ProxyShellMiner”的新型恶意软件利用 Microsoft Exchange ProxyShell 漏洞在整个 Windows 域中部署加密货币矿工，为攻击者谋利。ProxyShell 是 Microsoft 在 2021 年发现并修复的三个 Exchange 漏洞的名称。当这些漏洞链接在一起时，允许未经身份验证的远程代码执行，使攻击者可以完全控制 Exchange 服务器并转移到组织网络的其他部分。在 Morphisec 发现的攻击中，威胁行为者利用被跟踪为 CVE-2021-34473 和 CVE-2021-34523 的 ProxyShell 漏洞来获得对组织网络的初始访问权限。接下来，攻击者将 .NET 恶意软件负载放入域控制器的 NETLOGON 文件夹中，以确保网络上的所有设备都运行该恶意软件。要激活恶意软件，它需要一个命令行参数，该参数也被称为 XMRig 矿工组件的密码。“ProxyShellMiner 使用嵌入式字典、XOR 解密算法和从远程服务器下载的 XOR 密钥，”Morphisec 报告描述道。

详情

斯堪的纳维亚航空公司称网络攻击导致乘客数据泄露

日期: 2023-02-16
标签: 信息技术, 

斯堪的纳维亚航空公司 (SAS) 已发布通知警告乘客，其网站和移动应用程序最近数小时的中断是由同时暴露客户数据的网络攻击造成的。网络攻击导致航空公司的在线系统出现某种形式的故障，导致乘客数据对其他乘客可见。这些数据包括联系方式、之前和即将到来的航班，以及信用卡号的最后四位数字。该航空公司运营着 131 架飞机的机队，将乘客送往 168 个目的地，该公司表示，这种暴露的风险很小，因为泄露的财务信息只是部分信息，不易被利用。此外，它澄清说没有护照详细信息被泄露。但是，全名和联系信息足以让威胁行为者和诈骗者在攻击期间访问暴露的数据时执行有针对性的网络钓鱼攻击。“当涉及安全问题时，我们始终与国家 CAA（民航局）、警察和安全警察合作——无论所讨论的问题如何，”SAS 声明总结道。“我们正密切关注事态发展，并继续分析和评估此次袭击及相关后果，并采取预防措施。”

详情

Burton Snowboards遭受网络攻击

日期: 2023-02-16
标签: 信息技术, 批发零售, 金融业, 

2022年2月16日，一家领先的滑雪板制造公司 Burton Snowboards 在发生所谓的“网络事件”后，取消了所有在线订单。“由于最近的网络事件，我们目前正在经历系统中断，此时无法处理在线订单，”该滑雪板品牌在其网站上的醒目警报中表示。伯顿在另一份声明中表示，目前正在外部专家的帮助下调查此事件，以确定其影响。虽然该公司正在努力恢复受影响的业务运营，但订单已停止处理。“伯顿最近经历了一起网络事件，这影响了我们的一些运营。我们正在与第三方专家密切合作，调查该事件并确定全部性质和范围，”伯顿说。“我们也在尽一切努力让我们的业务恢复正常运行，但不幸的是，目前无法处理订单。”建议想要购买单板滑雪装备或将其运送到他们所在地的客户前往 Burton 商店或使用公司新的在线租赁计划。

详情

斯堪的纳维亚航空公司遭网络攻击，“匿名苏丹”声称对此负责

日期: 2023-02-15
标签: 交通运输, 

2023年2月14日，针对斯堪的纳维亚航空公司 (SAS) 的网络攻击导致其网站离线并暴露了一些客户数据。尝试登录 SAS 移动应用程序的客户被转到其他人的帐户，并可以访问他们的联系信息和行程等。根据一份公司声明，SAS 在一份声明中表示，“不存在该信息被利用的风险”，并且护照详细信息不属于泄露信息的一部分。 SAS 是丹麦、挪威和瑞典的旗舰承运商，没有回应 The Record 要求提供更多有关有多少客户受到此次违规影响的信息的请求。对瑞典来说，这是一个艰难的情人节星期二。网络攻击使其国家公共电视广播公司 SVT 暂时离线，其许多公司、大学和电信运营商也成为网络攻击的接收端。一个自称“无名苏丹”的组织负责两次袭击，SVT 在其网站上发布的一份声明中说，该组织指责在 1 月份斯德哥尔摩抗议活动中焚烧古兰经引发了袭击。自称是 Anonymous Sudan 成员的人在 Telegram 上发表声明说了同样的话。

详情

汤加国有电信公司本周表示，该公司遭到勒索软件袭击，但袭击“并未影响语音和互联网服务的交付”（@jgreigj）

日期: 2023-02-13
标签: 信息技术, 

2023年2月13日，汤加国有电信公司向客户发出警告，称其受到了勒索软件的攻击。汤加通信公司 (TCC)——该国两家电信公司之一——在 Facebook 上发布了一份通知，称这次攻击可能会减缓行政运作。“勒索软件攻击已被证实可以加密和锁定对部分 TCC 系统的访问。这不会影响向客户提供语音和互联网服务，但是，它可能会减慢连接新客户、交付账单和管理客户查询的过程，”该公司表示。“我们正在与安全公司合作，以减轻这种恶意软件的负面影响。”这个波利尼西亚国家由大约 171 个岛屿组成，人口约 100,000。TCC 控制着所有的固定电话线路，并拥有 70% 的拨号和宽带互联网市场份额。它拥有 300 多名员工，通过其 UCall 管理大约一半的移动电话服务服务。网络安全专家多米尼克·阿尔维耶里 (Dominic Alvieri) 表示，美杜莎勒索软件组织将周一对 TCC 的攻击归功于此。

详情

Killnet DDoS攻击不断对医疗保健造成损害

日期: 2023-02-14
标签: 信息技术, 卫生行业, 

据报道，Killnet 黑客组织针对医疗保健的 DDoS 攻击和 1 月份的海量数据泄露只是第一轮攻击目标。行业领导者越来越担心民族国家行为者的影响——以及这种情况只会变得更糟的可能性。“这是一场战争，”First Health Advisory 创始人兼首席执行官 Carter Groome 在医疗保健网络安全虚拟峰会上表示。 “上周我们的时钟被民族国家的行为者清洗了，但没有人真正谈论它。”“每周，每年，我们都在前线。我们认为这不会变得更糟；然后它确实发生了，”他继续说道，并补充说，对医疗保健部门造成的损害程度，“国家关键基础设施的重要组成部分，怎么强调都不为过。简而言之，我们提供护理的能力处于危险之中。”一年前，俄罗斯入侵乌克兰引发了关于网络战可能性的多重警报。对于医疗保健，担心的是另一个 NotPetya 的可能性：卫生系统成为俄罗斯支持的黑客攻击的偶然受害者，这可能会破坏运营。

详情

东南亚新APT组织持续活跃，暗石组织（Saaiwc Group）借多国外交之名进行窃密活动

日期: 2023-02-13
标签: 政府部门, 信息技术, 

Saaiwc组织活动频繁，除织针对菲律宾军事部门、柬埔寨政府部门以及越南的攻击外，还针对马来西亚地区以及印度尼西亚外交部。从攻击者使用的诱饵文件来看，该组织针对印度尼西亚外交部的攻击活动较多，其次是针对菲律宾军事的攻击活动。本文将补充描述Saaiwc组织在恶意活动中使用的另一条.NET负载的攻击链，并披露近日捕获的该组织针对东南亚地区最新的攻击样本。

详情

勒索软件袭击后，以色列顶尖科技大学推迟考试

日期: 2023-02-13
标签: 信息技术, 网络犯罪, 

2023年2月12日，以色列领先的科技大学 Technion 遭受网络攻击，迫使其关闭系统并推迟本周的考试。来自一个以前不为人知的名为 DarkBit 的组织的黑客留下了一张赎金票据，解释了他们攻击背后的所谓动机，并要求 80 个比特币（170 万美元）来恢复大学的数据。尽管有赎金要求，但网络攻击似乎也是意识形态的。在给大学行政部门的信息中，DarkBit 指责“种族隔离政权”“占领、战争罪、杀害人民、摧毁未来、解雇高技能专家”，并要求以色列理工大学为此付出代价。以色列理工学院今天早上遭到勒索软件攻击。该组织威胁说，如果大学不同意支付赎金，他们将在未来两天内将赎金提高 30%，或者在未来五天内将数据出售。 DarkBit 还告诫大学不要试图自行恢复数据或寻求第三方公司的帮助。 “这将造成永久性损害，”黑客说，因为据称只有他们拥有解密密钥。在调查事件期间，该大学已禁用其网络和通信渠道。该大学表示，到目前为止，Technion 技术专家已成功恢复对 Office 365、Zoom 和该大学 Panopto 系统的访问。 Technion 的官方网站在撰写本文时已关闭。该大学的技术团队、网络安全专家和国家网络官员参与了事件的调查。

详情

俄罗斯黑客扰乱北约抗震救灾行动

日期: 2023-02-13
标签: 政府部门, 信息技术, 

据《电讯报》报道，除了暂时关闭网站外，网络攻击还破坏了北约与其至少一架飞机之间的通信，这些飞机将搜索和救援设备运送到土耳其因切里克空军基地。据报道，总部位于俄罗斯的Killnet威胁组织声称对北约发动分布式拒绝服务（DDoS）攻击负责。

详情

在电子邮件服务被用于传播网络钓鱼诈骗后，Namecheap否认系统漏洞

日期: 2023-02-13
标签: 信息技术, 金融业, 网络犯罪, 网络欺诈, 

Namecheap 在电子邮件服务用于传播网络钓鱼诈骗后否认系统漏洞域名注册商和网络托管公司 Namecheap 否认其系统在周日晚上一些客户收到来自该平台的诈骗电子邮件后遭到破坏。在 Twitter 及其网站上发布的通知中，该公司解释说，他们用来向客户发送营销电子邮件和帐户信息的系统 SendGrid 被滥用来发送来自 DHL 的虚假包裹警报和与加密平台 MetaMask 相关的诈骗电子邮件。周日下午，多位客户在 Twitter 上分享了这些奇怪电子邮件的屏幕截图，许多人指出，这些消息包含将用户带到试图窃取凭据的单独页面的链接。但在周日晚间的一份声明中，Namecheap 表示他们的系统没有遭到破坏，客户产品、账户和个人信息“仍然安全”。“请忽略此类电子邮件，不要点击任何链接。我们已经停止了所有电子邮件（包括授权码发送、可信设备验证和密码重置电子邮件等），并联系我们的上游供应商来解决问题，”该公司的支持团队说。“与此同时，我们也在从我们这边调查这个问题。对于在此问题期间给您带来的任何不便，我们深表歉意，并提前感谢您的耐心和理解。”在周日晚上晚些时候的一份声明中，该公司表示邮件递送服务“已经恢复”，并且客户“从现在开始应该照常收到来自 Namecheap 的电子邮件。”

详情

美国费城管弦乐队、金梅尔中心网站因网络攻击而瘫痪

日期: 2023-02-13
标签: 文化传播, 

费城交响乐团、Kimmel 中心网站因网络攻击导致门票销售瘫痪。费城交响乐团及其主场的网站在发布通知称他们正在处理网络攻击后几天仍然无法访问。周五，乐团和 Kimmel 中心表示门票销售受到网络攻击的影响，但没有提供更多细节。费城交响乐团的发言人没有回应置评请求。这些组织写道：“在我们努力解决这个问题的过程中，我们向顾客保证，校园内 [在 Kimmel 中心] 的所有表演都将按计划进行，我们的安全协议正在按预期工作以保护敏感数据。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

Fortinet发布安全更新

日期: 2023-02-19
标签: 信息技术, 

Fortinet 发布了安全更新，以解决其软件系列中的 40 个漏洞，包括 FortiWeb、FortiOS、FortiNAC 和 FortiProxy 等。40 个缺陷中有 2 个被评为严重，15 个被评为高，22 个被评为中等，一个被评为低严重性。排在首位的是 FortiNAC 网络访问控制解决方案中存在的严重错误（CVE-2022-39952，CVSS 评分：9.8），它可能导致任意代码执行。“FortiNAC 网络服务器中的文件名或路径漏洞 [CWE-73] 的外部控制可能允许未经身份验证的攻击者在系统上执行任意写入，”Fortinet 在本周早些时候的一份公告中表示。

详情

DLP严重漏洞影响Windows的网格

日期: 2023-02-19
标签: 信息技术, 

领先的数据丢失防护 (DLP) 供应商 Trellix 敦促客户修补一个高危漏洞，该漏洞允许本地攻击者绕过限制并泄露他们无法访问的敏感数据。该缺陷 (CVE-2023-0400) 会影响2022 年 8 月发布的 Windows 版本的 Trellix DLP (11.9.x) 。敦促客户升级到 Trellix for Windows 11.10.0 以缓解该缺陷。安全研究人员警告说，这个NIST给出8.2 或“高”严重性评级的漏洞并不容易升级，这增加了安全团队可能忽视修复的可能性。尽管 NIST 对该漏洞的评级为高，但 Trellix 认为该漏洞构成的威胁较小，将其评为“中等严重性”。Trellix 评级的主要原因是该漏洞只能在产品安装期间被利用。Trellix 表示，要利用此漏洞，对手必须能够将网络驱动器映射到他们的本地计算机。此外，根据 Trellix 对该缺陷的描述，攻击者需要获得访问映射驱动器上已有数据或将数据复制到映射驱动器的权限。

详情

CISA本周将苹果和微软产品中的四个新漏洞添加到其已知漏洞列表中

日期: 2023-02-15
标签: 信息技术, 移动安全, 

2023年2月中旬，美国网络安全和基础设施安全局 (CISA) 将 Apple 和 Microsoft 产品中的四个新漏洞添加到其已知被利用漏洞列表中。该列表是一个错误目录，这些错误已成为恶意网络行为者的频繁攻击目标。 CISA 已要求非军事联邦机构在 3 月 7 日之前修补这些漏洞——其中包括零日漏洞，不仅针对一系列 Apple 产品，还针对 Microsoft Office 软件。Apple 零日漏洞（指定为 CVE 2023-23529）已在公司最新的操作系统更新中进行了修补。该公司周一表示，该漏洞影响 iPhone 8 之后的所有智能手机型号，以及所有 iPad Pro 型号； iPad Air 第三代及更新机型；和定期和第 5 代及更高版本的迷你 iPad。

详情

Microsoft 2023年2月补丁日

日期: 2023-02-14
标签: 信息技术, 

2023年2月14日是微软 2023 年 2 月的补丁星期二，安全更新修复了三个被积极利用的零日漏洞和总共 77 个漏洞。九个漏洞被归类为“严重”，因为它们允许在易受攻击的设备上远程执行代码。

每个漏洞类别中的错误数量如下所列：

• 12 提权漏洞

• 2 安全功能绕过漏洞

• 38 远程代码执行漏洞

• 8 信息泄露漏洞

• 10 个拒绝服务漏洞

• 8 欺骗漏洞

此计数不包括本月早些时候修复的三个 Microsoft Edge 漏洞。

详情

Apple 修复了新的 WebKit 零日漏洞，可用于破解 iPhone、Mac

日期: 2023-02-13
标签: 信息技术, 移动安全, 

Apple 发布了紧急安全更新，以解决用于攻击 iPhone、iPad 和 Mac 的新零日漏洞。今天修补的零日漏洞被追踪为 CVE-2023-23529 [1, 2]，这是一个 WebKit 混淆问题，可被利用来触发操作系统崩溃并在受感染的设备上获得代码执行。成功的利用使攻击者能够在打开恶意网页后在运行易受攻击的 iOS、iPadOS 和 macOS 版本的设备上执行任意代码（该错误还会影响 macOS Big Sur 和 Monterey 上的 Safari 16.3.1）。“处理恶意制作的网页内容可能会导致任意代码执行，”Apple 在描述零日漏洞时表示。“苹果公司知道一份报告称这个问题可能已被积极利用。”Apple 通过改进 iOS 16.3.1、iPadOS 16.3.1 和 macOS Ventura 13.2.1 中的检查解决了 CVE-2023-23529。受影响设备的完整列表非常广泛，因为该错误会影响较旧和较新的型号，其中包括：iPhone 8 及更新机型iPad Pro（所有机型）、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型运行 macOS Ventura 的 Mac

详情

CISA 警告利用 Fortra MFT、TerraMaster NAS 和 Intel 驱动程序缺陷的主动攻击

日期: 2023-02-13
标签: 信息技术, 网络犯罪, 

2023年2月10日，美国网络安全和基础设施安全局（CISA）在其已知漏洞（KEV）目录中添加了三个缺陷，引用了在野外活动的滥用证据。这三者中包括CVE-2022-24990，这是一个影响 TerraMaster 网络附加存储 (TNAS) 设备的错误，可能导致以最高权限执行未经身份验证的远程代码。埃塞俄比亚网络安全研究公司 Octagon Networks 于 2022 年 3 月披露了有关该漏洞的详细信息。根据美国和韩国政府当局发布的联合公告，该漏洞据说已被朝鲜民族国家黑客用作武器，以使用勒索软件攻击医疗保健和关键基础设施实体。添加到 KEV 目录中的第二个缺陷是CVE-2015-2291，它是适用于 Windows 的英特尔以太网诊断驱动程序（IQVW32.sys 和 IQVW64.sys）中的一个未指明缺陷，可能会使受影响的设备进入拒绝服务状态.CrowdStrike 上个月披露了 CVE-2015-2291 在野外的利用，详细描述了 Scattered Spider（又名 Roasted 0ktapus 或 UNC3944）攻击，该攻击需要尝试使用一种名为自带易受攻击的驱动程序 ( BYOVD )。这家网络安全公司表示，目标是绕过安装在受感染主机上的端点安全软件。这次袭击最终没有成功。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   其他事件

WIP26：针对中东电信提供商的网络间谍行动

日期: 2023-02-19
标签: 信息技术, 

SentinelLabs正在监控一个名为WIP26的威胁活动。WIP26背后的攻击者一直在攻击中东的电信供应商。WIP26的特点是滥用公共云基础设施Microsoft 365 Mail、Microsoft Azure、Google Firebase和Dropbox用于恶意软件分发、数据渗漏和C2功能。WIP26通过向员工发送包含指向恶意软件加载器的Dropbox链接的WhatsApp消息，欺骗员工下载和执行加载器以部署后门，利用Microsoft 365 Mail和Google Firebase实例作为C2服务器。后门名为CMD365和CMDEmber，主要功能是使用Windows命令解释器执行攻击者提供的系统命令。

详情

针对阿塞拜疆和亚美尼亚的攻击行动

日期: 2023-02-19
标签: 信息技术, 

2022年末，在阿塞拜疆和亚美尼亚之间因拉钦走廊问题而日益紧张的局势中，Check Point Research发现了一场针对亚美尼亚实体的恶意活动。此次活动中分发的恶意软件是新版本的OxtaRAT后门，这是一种基于AutoIt的远程访问和桌面监控工具。从2022年11月开始的最新活动显示了感染链的变化、改进的操作安全性以及改进窃取受害者数据方式的新功能。该攻击者一直以阿塞拜疆的人权组织、持不同政见者和独立媒体为目标。这是第一次有明确迹象表明攻击者使用OxtaRAT来攻击亚美尼亚目标和企业环境。

详情

研究人员发现最新的Windows后门

日期: 2023-02-19
标签: 信息技术, 

2023年2月19日，研究人员发现了一种复杂的恶意软件，它利用 Microsoft Internet Information Services 中的一项功能秘密泄露数据并在 Windows 设备 (IIS) 上运行恶意代码。IIS 是与 Windows 机器一起工作的通用 Web 服务器。它接受来自远程客户端的请求，并以网络服务器的角色做出适当的响应。根据网络分析公司 Netcraft 的数据，截至 2021 年 7 月，有 5160 万个 IIS 实例分散在 1350 万个不同的域中。当 Web 请求来自远程客户端时，IIS 的失败请求事件缓冲功能会记录指标和其他信息。可以收集的信息的两个示例是客户端 IP 地址、端口号和带有 cookie 的 HTTP 标头。犯罪黑客发现了一种利用此 FREB 功能将有害代码潜入已被渗透的网络安全区域并在那里执行的方法。黑客同样可以通过 FREB 窃取相同保护区的数据。该方法提供了一种渗透被黑网络的隐蔽方式，因为它会模仿合法的 eeb 请求。赛门铁克的研究人员将导致这种情况成为可能的后利用病毒命名为 Frebniis，并于周四报告了该病毒的使用情况。在劫持 FREB 的执行之前，Frebniis 首先确保它已启用。然后，它将恶意代码引入到IIS进程内存中并使其运行。代码就位后，Frebniis 能够检查 IIS 服务器收到的每个 HTTP 请求。

详情

美国首位国家网络总监Chris Inglis卸任

日期: 2023-02-19
标签: 政府部门, 

2023年2月中旬，美国首位国家网络总监克里斯·英格利斯 (Chris Inglis) 卸任，宣布在联邦机构工作近 30 年后，他将离开公共部门。前美国国家安全局副局长英格利斯在 2021 年被一致确认为拜登在网络安全方面的最高顾问。新设立的角色涉及国家网络政策和战略的协调和实施，与 CISA 主任 Jen Easterly 密切合作，促进国家网络事件响应工作。他最近致力于制定政府的国家网络战略，预计拜登总统将在未来几天宣布该战略。据获得一份草案副本的《华盛顿邮报》报道，据报道，它比以前的网络安全政策和行政命令走得更远。草案有两个显着的进步：实施了一套强制性规定，并制定了“回扣”政策。关于后者，EO预计将批准使用美国网络武库的全部冲击力来报复或先发制人威胁组织（和民族国家）对美国利益和资产（包括私营部门公司）的网络入侵。

详情

黑客以13种语言冒充高官发起BEC攻击

日期: 2023-02-19
标签: 信息技术, 网络犯罪, 人工智能, 

研究人员报告说，他们已经确定了两个团体使用高管模仿以至少 13 种不同的语言发起商业电子邮件妥协 (BEC) 攻击。Abnormal Security 研究人员在 2 月 16 日的一篇博文中表示，虽然跨地区和使用多种语言攻击目标并不是什么新鲜事，但在过去，这些攻击主要是由拥有大量预算和先进资源的复杂组织实施的。由于谷歌翻译等自动翻译工具的普及，威胁行为者可以更轻松地将电子邮件翻译成他们需要的任何语言。Abnormal Security 确定的两个组织分别是 Midnight Hedgehog（从事支付欺诈交易）和 Mandarin Capybara（执行工资转移攻击的组织）。这两个团体联合发起了丹麦语、荷兰语、爱沙尼亚语、法语、德语、匈牙利语、意大利语、挪威语、波兰语、葡萄牙语、西班牙语和瑞典语的 BEC 活动。

详情

黑客窃取GoDaddy源代码并安装恶意软件

日期: 2023-02-19
标签: 信息技术, 网络犯罪, 

2023年2月中旬，网络托管巨头 GoDaddy 表示，在多年的攻击中破坏其 cPanel 共享托管环境后，未知攻击者窃取了源代码并在其服务器上安装了恶意软件。虽然 GoDaddy 在 2022 年 12 月初客户报告他们的网站被用来重定向到随机域后发现了安全漏洞，但攻击者多年来一直在访问公司的网络。“根据我们的调查，我们认为这些事件是一个复杂的威胁行为者组织多年活动的一部分，该组织除其他外，在我们的系统上安装了恶意软件并获取了与 GoDaddy 内某些服务相关的代码片段，”托管公司在提交给美国证券交易委员会的文件中说。GoDaddy 现在正在与全球范围内的外部网络安全取证专家和执法机构合作，作为对违规根本原因进行持续调查的一部分。

详情

比利时启动全国白帽安全港框架

日期: 2023-02-19
标签: 信息技术, 

2023年2月中旬，比利时网络安全中心 (CCB) 宣布了一项机制，该机制可保护个人或组织在报告影响位于比利时的任何系统、网络或应用程序的安全漏洞时免于起诉（视满足某些“严格”条件而定）。无论易受攻击的技术属于私营部门还是公共部门组织，该框架都适用。据该国网络安全机构称，比利时已成为第一个为道德黑客采用全国性综合安全港框架的欧洲国家。

详情

SideWinder针对阿富汗、不丹、缅甸、尼泊尔和斯里兰卡的攻击行动

日期: 2023-02-16
标签: 政府部门, 信息技术, 

Group-IB威胁情报团队对国家支持的威胁组织活动的监控揭示了属于SideWinder的新工具。攻击活动发生在2021年6月至2021年11月，主要分析了SideWinder的网络钓鱼资源，并确定了该组织在阿富汗、不丹、缅甸、尼泊尔和斯里兰卡的60多个攻击目标。Group-IB团队发现的新工具包括远程访问木马(RAT)、后门、反弹shell和stager。然而，最有趣的发现是使用Telegram作为接收恶意命令通道的RAT样本。Group-IB对PDB路径的分析揭示了该组织的许多工具，从这些工具中提取网络IOC后，在SideWinder服务器上发现了带有备份存档的开放目录，证实了SideWinder对加密货币感兴趣。

详情

针对中东电信提供商的间谍活动分析

日期: 2023-02-16
标签: 信息技术, 

2023年2月16日，研究人员发布报告称，针对中东地区电信提供商的间谍活动通过微软、谷歌和 Dropbox 的一系列流行工具隐藏了其活动。网络安全公司 SentinelOne 的研究人员将该活动命名为“WIP26”——正在进行中——因为他们无法将其归因于任何参与者或国家。但研究人员表示，该活动之所以脱颖而出，是因为它严重依赖对公共云基础设施的利用，这些基础设施允许黑客通过使恶意流量看起来合法来逃避检测。Microsoft Azure 和 Dropbox 实例用于保存被盗数据和托管滥用 Microsoft 365 Mail 和 Google Firebase 服务的恶意软件。“WIP26 活动是通过 WhatsApp 消息精确定位员工发起的，这些消息包含指向恶意软件加载程序的 Dropbox 链接，”研究人员说。 “诱骗员工下载并执行加载程序最终会导致部署利用 Microsoft 365 Mail 和 Google Firebase 实例的后门作为恶意软件的命令和控制服务器。WhatsApp 消息包含 Dropbox 链接，其中包含有关阿富汗贫困相关问题的文件。

详情

黑客利用PayPal发送恶意发票

日期: 2023-02-16
标签: 金融业, 信息技术, 

威胁行为者一直在利用在线支付系统 PayPal 通过该平台直接向用户发送恶意发票。该活动最近被 Check Point 公司 Avanan 的安全研究人员发现，他们表示这与该公司之前看到的活动不同。“这与我们看到的大量欺骗 PayPal 的攻击不同。这是一张直接来自 PayPal 的恶意发票，”今天早些时候发布的一份公告中写道。这封被视为恶意活动一部分的网络钓鱼电子邮件警告用户，该帐户存在欺诈行为，并威胁如果受害者不采取行动，将被处以 699.99 美元的罚款。然而，Avanan 营销内容经理 Jeremy Fuchs 写道，电子邮件的正文可能会提醒一些谨慎的用户该电子邮件是不真实的。“首先，语法和拼写无处不在。其次，他们列出的电话号码与 PayPal 无关。”与此同时，Fuchs 表示，一些用户可能仍会决定拨打电话号码以获取有关电子邮件的更多信息。“总体目标是拨打电话或跟进了解更多详情。如果你拨打那个号码，他们现在就有了你的手机号码，可以用它来进行更多的攻击。这是另一个通过电话诈骗你的机会。”

详情

一个每周下载量达350万次的流行npm软件包被发现容易受到账户接管攻击

日期: 2023-02-16
标签: 信息技术, 恶意包, 

2023年2月中旬，一个每周下载量超过 350 万的流行 npm 包被发现容易受到帐户接管攻击。软件供应链安全公司 Illustria 在一份报告中说：“可以通过为其维护者之一恢复过期域名并重置密码来接管该软件包。”虽然 npm 的安全保护措施限制用户每个帐户只能有一个活动电子邮件地址，但这家以色列公司表示它能够使用恢复的域重置 GitHub 密码。简而言之，该攻击授予威胁行为者访问程序包相关 GitHub 帐户的权限，有效地使将木马化版本发布到 npm 注册表成为可能，这些版本可以被武器化以进行大规模供应链攻击。这是通过利用在存储库中配置的 GitHub 操作来实现的，以便在推送新代码更改时自动发布包。Illustria 联合创始人兼首席技术官 Bogdan Kortnov 表示：“即使维护者的 npm 用户帐户已正确配置 [双因素身份验证]，该自动化令牌也会绕过它。”

详情

拜登新的国家网络战略将风险从终端用户转移到技术生产商

日期: 2023-02-16
标签: 政府部门, 信息技术, 

2023年2月16日，一位美国高级官员在慕尼黑网络安全会议上表示，拜登政府期待已久的国家网络战略要求美国在网络空间保护自己的方式发生“根本性转变”。代理国家网络主管 Kemba Walden 表示，新战略将采取行动，将“网络安全风险的责任……从最终用户身上转移到生产者身上。”它还需要将负担从州政府转移到联邦一级。在与前网络安全和基础设施安全局局长克里斯克雷布斯的炉边谈话中，沃尔登的评论揭示了最近离职的网络负责人克里斯英格利斯宣布的延迟战略。沃尔登周三接任代理主任。沃尔登表示，该计划“有望”很快公布，但警告说“该战略与实施计划一样好。”她将其描述为“前瞻性且相当大胆”。“我们一直长时间打地鼠游戏。我们一直在以多种方式允许对手设定我们的议程。这是我们现在领先于此的机会，”她说。“然后你如何处理剩余风险？我们必须激励长期战略投资。这意味着确保技术、人员和流程保持弹性、可靠性和安全性。”

详情

Gamaredon利用Hoaxshell攻击乌克兰组织

日期: 2023-02-15
标签: 政府部门, 

根据赛门铁克、黑莓研究和Trellix的记录，2023年1月，与俄罗斯有关的组织继续对乌克兰的目标进行进攻性攻击。该活动旨在向乌克兰受害机器提供恶意软件，并大量使用混淆的PowerShell和VBScript (VBS)脚本。该恶意软件是一个WebShell，包括执行攻击者的远程命令以及在受感染机器上部署额外的二进制和基于脚本的有效载荷。

详情

APT37使用新恶意软件M2RAT从Windows、手机窃取数据

日期: 2023-02-15
标签: 信息技术, 

AhnLab安全应急响应中心(ASEC)在1月份确认，RedEyes攻击组织（也称为 APT37、ScarCruft）正在通过Hangul EPS漏洞 (CVE-2017-8291)传播恶意代码。之所以将此次攻击归因于RedEyes组织，是因为利用了隐写术下载恶意代码，并且自启动相关的注册表命令与过去的类似。此外，RedEyes组织使用PowerShell和Chinotto恶意软件窃取PC信息并执行远程控制。在这次攻击中，又发现了一种新的恶意软件M2RAT，它使用共享内存部分执行C&C命令。

详情

Binance，Huobi冻结了在1亿美元Harmony黑客中被盗的一些加密货币

日期: 2023-02-15
标签: 金融业, 信息技术, 加密货币, 网络犯罪, 

加密货币交易所 Binance 和 Huobi 冻结了去年 6 月从区块链公司 Harmony 窃取的价值 140 万美元资产的账户。这些平台收到了区块链研究公司 Elliptic 的资金通知，该公司设法通过受制裁的加密货币混合器 Tornado Cash 对其进行追踪。美国当局表示，Tornado Cash 经常被与朝鲜军方有关的黑客使用，其中一些人被 FBI 牵涉到对 Harmony 的攻击中。Elliptic 表示，在 6 月 24 日袭击事件发生后，从 Harmony 窃取的资金通过 Tornado Cash 进行了洗钱，但“直到最近才一直处于休眠状态”，当时该公司的调查人员发现加密货币正通过复杂的交易链流入 Binance 和 Huobi 等交易所。“今天，洗钱活动被发现，与朝鲜有关的被盗资金被实时冻结。作为一个行业，我们有权力和责任防止数字资产成为避风港洗钱者和制裁逃避者，并确保他们是一股向善的力量，”Elliptic 首席执行官 Simone Maini 说。作为仅存的巨头之一，币安在加密货币世界中扮演着复杂的角色。虽然 Binance 经常寻求宣传其在冻结通过盗窃获得并通过其平台路由的加密资产方面的作用，但它也面临着促进洗钱的指控。2022 年 4 月，币安首席执行官赵长鹏表示，该加密货币平台冻结了与朝鲜政府有关联的网络犯罪分子从流行的 DeFi 平台 Ronin Network 窃取的 580 万美元资金。

详情

谷歌在Android 13设备上推出隐私沙盒测试版

日期: 2023-02-15
标签: 信息技术, 商务服务, 隐私, 

谷歌已正式开始在有限数量的 Android 13 设备上推出其隐私沙盒功能的测试版。隐私沙盒于 2020 年首次亮相，旨在限制数字广告中的用户数据共享和跨应用标识符的影响。“在过去的一年里，我们与业界密切合作，收集反馈并开始测试这些新技术，”谷歌周二在一篇博文中写道。“今天，我们正在进入该计划的下一阶段，向符合条件的设备推出 Android 隐私沙盒的第一个 Beta 版。通过测试版，用户和开发人员将能够在现实世界中体验和评估这些新解决方案。”从技术角度来看，Privacy Sandbox Beta 提供了新的 API，这些 API 不使用可以跨应用程序和网站跟踪用户活动的标识符。目前，这将取决于参与测试版并使用 API 展示相关广告并衡量其广告效果的各个应用程序对客户的有效性。另一方面，用户将能够通过转到“设置”的“隐私沙盒”部分来控制 Beta 参与。

详情

GitHub Copilot更新以阻止AI模型泄露秘密

日期: 2023-02-15
标签: 信息技术, 深度学习, 人工智能, 

GitHub 更新了 Copilot 的 AI 模型，Copilot 是一种在 Visual Studio 中生成实时源代码和功能推荐的编程助手，并表示它现在更安全、更强大。该公司表示，将于本周向用户推出的新 AI 模型可以在更短的时间内提供更优质的建议，通过提高接受率进一步提高软件开发人员使用它的效率。CoPilot 将引入一种称为“Fill-In-the-Middle”的新范式，它使用已知代码后缀库并为 AI 工具留下空白来填补，从而与项目的其余代码实现更好的相关性和连贯性。此外，GitHub 还更新了 CoPilot 的客户端，将不需要的建议减少了 4.5%，从而提高了整体代码接受率。“当我们于 2022 年 6 月首次推出 GitHub Copilot for Individuals 时，平均超过 27% 的开发人员代码文件是由 GitHub Copilot 生成的，”产品管理高级总监赵书银说。“如今，在所有编程语言中，GitHub Copilot 平均支持 46% 的开发人员代码——而在 Java 中，这一数字跃升至 61%。”

详情

俄罗斯网络安全专家在黑客和交易计划中被定罪

日期: 2023-02-19
标签: 信息技术, 网络犯罪, 

一名俄罗斯国民被指控侵入两家为上市公司准备文件的美国公司，然后在信息公开之前进行交易，周二在波士顿被联邦陪审团裁定有罪。42 岁的Vladislav Klyushin是莫斯科网络安全公司 M-13 的老板，他被判犯有串谋未经授权访问计算机、电汇欺诈和证券欺诈罪。“我们很失望，但尊重陪审团的裁决，”Klyushin 的律师 Maksim Nemtsev 告诉 CyberScoop。“我们打算就各种问题提出上诉，包括有偏见的统计证据的可采性，以及股票欺诈的新理论和从未被第一巡回法院或最高法院审查或采用的地点。”Klyushin 最初于 2021 年 3 月 21 日在瑞士被捕，并于 2021 年 12 月 18 日被引渡到美国。联邦检察官指控Klyushin 和四名共同被告在该计划中扮演不同角色，美国证券交易委员会称该计划使该集团净赚 82.5 美元2018 年 1 月至 2020 年 9 月期间为百万。

详情

奥克兰市因勒索软件攻击进入紧急状态

日期: 2023-02-15
标签: 信息技术, 网络犯罪, 

在勒索软件攻击阻碍当地政府运作一周后，奥克兰市宣布进入紧急状态。在2023年2月14日的一份声明中，纽约市临时行政长官 G. Harold Duffey 表示，他发布声明是“由于 2 月 8 日开始的勒索软件攻击造成的网络中断的持续影响”。“奥克兰继续经历网络中断，导致包括奥克兰市内的电话线在内的几个非紧急系统受到影响或离线，”Duffey 说。紧急声明允许该市“加快设备和材料的采购，必要时启动应急人员，并加快发布命令。”达菲补充说，在该市的“网络”被关闭以遏制攻击后，“许多系统仍然处于停机状态”。该市没有进一步评论哪些政府部门受到的影响特别大。除非得到市议会的批准，否则声明不能持续超过一周。它允许城市管理者“就与保护生命和财产以及维护公共和平与秩序合理相关的事项颁布命令、规则和条例”。该命令还要求州和联邦资金支付与袭击相关的恢复费用。加利福尼亚市已尝试对业务流程实施变通办法，IT 部门正在与网络安全公司合作以补救该事件。该市指出，多个州和联邦机构现在都参与了应对工作。

详情

APT-C-56（透明部落）伪装简历攻击活动分析

日期: 2023-02-14
标签: 政府部门, 信息技术, 

在今年年初，透明部落与SideCopy被发现利用相同的基础设施并使用相同主题针对相似目标行动，其利用走私情报相关诱饵、伪装印度国防部邮件针对印度频频发起攻击。还发现了其利用外链针对外贸行业的攻击活动。近日，360高级威胁研究院监测到了疑似透明部落的一批攻击活动样本。推测是之前行动未被发现的样本，样本利用诱饵文档最终释放其专属木马CrimsonRAT。

详情

2022年，针对工业基础设施的勒索软件攻击翻倍

日期: 2023-02-14
标签: 信息技术, 网络犯罪, 

根据网络安全公司 Dragos 的研究，去年针对工业基础设施的勒索软件攻击数量翻了一番。 该公司在 2022 年追踪到 600 多起影响工业基础设施的勒索软件攻击——比前一年增长 87%——其中近四分之三针对制造业。“所以他们肯定会追求制造业。比电力和天然气要多得多，”Dragos 首席执行官 Rob Lee 表示。网络犯罪分子越来越多地将目标对准管理工厂和其他工业设施核心功能的运营技术 (OT) 和工业控制系统 (ICS)。Dragos 表示，在其跟踪的 600 多次攻击中，针对 OT 和 ICS 的勒索软件尝试增加了 35%。 共有 437 家制造实体遭到勒索软件攻击，其中 42 家针对金属制品公司，37 家针对汽车企业，超过 20 家针对塑料、工业设备、建筑材料和电子或半导体公司。 列表的其余部分包括对从事航空航天、家具、化妆品、化学品、服装、医疗设备、造纸等行业的公司的数十次攻击。Dragos 列出的重大事件包括对Subex、Kojima、AGCO、富士康、South Staffordshire Water、DESFA的勒索软件攻击，以及对Copper Mountain Mining等矿业和金属公司的多次攻击。

详情

被指控与普京有联系的俄罗斯公民因黑客和贸易计划被定罪

日期: 2023-02-14
标签: 信息技术, 政府部门, 网络犯罪, 

2023年2月14日，一家据称与克里姆林宫有联系的科技公司的俄罗斯老板在波士顿被定罪，罪名是侵入计算机网络以获取股票走势的高级信息。 42 岁的 Vladislav Klyushin被联邦陪审团定罪，罪名是密谋未经授权访问计算机并实施电汇欺诈和证券欺诈。后者最高可判处 20 年监禁，而黑客指控最高可判处五年徒刑。 根据一份联邦起诉书，Klyushin 是总部位于莫斯科的 M-13 公司的所有者和董事，该公司“提供渗透测试和‘高级持续威胁 (APT) 仿真’。” 该公司在其网站上声称已为俄罗斯总统弗拉基米尔普京的政府以及其他俄罗斯政府机构提供服务。从 2018 年初到 2020 年 9 月，Klyushin 和四名涉嫌同谋的人实施了黑客交易计划，以获取收益报告的高级访问权限，并根据他们的发现代表客户进行投资。为此，他们侵入了 Donnelley Financial Solutions 和 Toppan Merrill 的网络，后者协助公司准备向美国证券交易委员会提交的文件。 “近三年来，他和他的同谋多次侵入美国计算机网络，以获取今天的明天头条新闻。他们利用这些非公开信息非法交易数百家上市公司的股票，”美国检察官 Rachael Rollins 在司法部宣布判决时说。“他得到了答案，并利用窃取的内幕信息获得了巨大的经济利益。”检察官说，该计划总共净赚了 9000 万美元。

详情

Lazarus使用新的混合器清洗至少1亿美元的加密货币资产

日期: 2023-02-14
标签: 金融业, 信息技术, 加密货币, 网络犯罪, 

根据区块链分析师发现的证据，朝鲜黑客已经找到了绕过美国实施制裁的方法，以清洗他们抢劫所得的加密货币收益。自 2022 年 10 月以来，作为威胁行为者的典型称呼，拉撒路集团 (Lazarus Group) 已通过一项名为 Sinbad 的单一加密货币混合服务清洗了约 1 亿美元的被盗比特币。2022年，美国财政部外国资产控制办公室 (OFAC) 宣布对加密货币混合服务 Blender 和 Tornado Cash 实施制裁，Lazarus 曾利用这些服务洗钱近 5 亿美元的非法获得的加密货币。

详情

Cloudflare称其阻止了有记录以来最大的DDoS攻击

日期: 2023-02-13
标签: 信息技术, 网络犯罪, 

2023年2月上旬，技术Cloudflare 表示它阻止了有记录以来最大规模的 DDoS 攻击互联网基础设施公司 Cloudflare 表示，它在周末检测到并缓解了有史以来最大的分布式拒绝服务 (DDoS) 攻击。每秒 7100 万次请求 (rps) 的 DDoS 攻击比之前报告的 2022 年 6 月 4600 万次 rps 的记录高出 35% 以上。此类攻击的工作原理是用垃圾流量淹没目标网站，使其无法访问。根据周一发布的一篇博客文章，在这次新观察到的攻击之后，还有数十次其他攻击达到了 50-70 百万 rps 的峰值。未知攻击者的目标是一家流行的游戏提供商、加密货币公司、托管提供商和云计算平台。DDoS 攻击源自众多云提供商，Cloudflare 一直与他们合作打击攻击背后的僵尸网络。“在过去的一年里，我们看到更多的攻击来自云计算提供商，”该公司说。这不是 Cloudflare 第一次声称已经阻止了有记录以来“最大的”DDoS 攻击。该公司表示，这些攻击正变得“规模更大、更复杂、更频繁”。

详情

451个PyPI包安装Chrome扩展以窃取加密货币

日期: 2023-02-13
标签: 金融业, 加密货币, 恶意包, 

2023年2月10日，安全研究人员发现超过 450 个恶意 PyPI python 包安装恶意浏览器扩展，以劫持通过基于浏览器的加密钱包和网站进行的加密货币交易。这一发现是最初于 2022 年 11 月发起的一项活动的延续，该活动最初仅从 27 个恶意 PyPi 包开始，现在在过去几个月中大幅扩展。这些软件包通过仿冒流行软件包的域名仿冒活动进行推广，但有细微的变化，例如更改或交换字符。目的是欺骗软件开发人员下载这些恶意包而不是合法包。正如 Phylum 在周五发布的一份报告中解释的那样，除了扩大活动规模外，威胁行为者现在还使用一种新颖的混淆方法，包括在函数和变量名称中使用中文表意文字。

详情

美国NIST发现物联网数据保护的加密算法

日期: 2023-02-13
标签: 金融业, 信息技术, 加密货币, 密码学, 量子计算, 

2023年2月13日，美国国家标准与技术研究院 (NIST) 宣布 ASCON 赢得了“轻量级密码学”计划，该计划寻求最佳算法来保护硬件资源有限的小型 IoT（物联网）设备。小型物联网设备正变得越来越流行和无处不在，用于可穿戴技术、“智能家居”应用等。然而，它们仍然被用来存储和处理敏感的个人信息，如健康记录、财务信息等。话虽如此，实施数据加密标准对于保护人们的数据至关重要。然而，这些设备内部的薄弱芯片需要使用一种算法，该算法能够提供强大的加密，同时使用非常少的计算能力。NIST 的计算机科学家 Kerry McKay 表示，“世界正朝着使用小型设备执行从传感到识别再到机器控制的许多任务的方向发展，并且因为这些小型设备的资源有限，它们需要具有紧凑实施的安全性。这些算法应该涵盖大多数具有此类资源限制的设备。”在领先的密码学家、实施和基准测试结果以及研讨会反馈进行了几轮安全分析后，ASCON 被选为提交给 NIST 的 57 个提案中的最佳提案。

详情

网络安全专家警告情人节浪漫骗局

日期: 2023-02-13
标签: 金融业, 网络犯罪, 网络欺诈, 

美国多家政府机构和非营利组织警告个人要警惕与情人节有关的浪漫骗局。2023年2月初，美国联邦调查局(FBI)分别发表了两份声明，警告德克萨斯州和新墨西哥州的公民提防这些犯罪企图。据该局网络犯罪投诉中心(IC3)称，与其他网络犯罪相比，浪漫诈骗造成的经济损失最高。2021年，全国范围内与网络恋爱骗局相关的受害者损失总计约59亿美元。“浪漫骗子是骗子和小偷，但他们也是操纵者，”联邦调查局埃尔帕索外勤办公室的特工杰弗里·r·唐尼评论道。“受害者可能会感到尴尬，但如果你怀疑你的网上仰慕者是骗子，站出来联系联邦调查局很重要，这样我们就可以在他们伤透别人的心和银行账户之前将他们绳之以法。”非营利组织商业改善局(BBB)最近也发布了一篇关于情人节诈骗警报的博客文章。企业安全解决方案提供商Hoxhunt的首席执行官米卡·阿尔托表示，浪漫骗局在约会网站上尤其有效，因为人们愿意相信陌生人。“如果你觉得自己成了目标，一定要尽快和这个‘人’解除匹配关系。如果你想帮助清理这些平台，那就做一份报告，让应用程序的审核团队来处理。”

详情

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x09   时间线

2023-02-20 360CERT发布安全事件周报