报告编号：B6-2023-022701

报告来源：360CERT

报告作者：360CERT

更新日期：2023-02-27

0x01   事件导览

本周收录安全热点46项，话题集中在恶意程序、网络攻击方面，涉及的组织有：Clasiopa、S1deload、LockBit、HardBit等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

macOS的盗版Final Cut Pro传播恶意软件

日期: 2023-02-23
标签: 信息技术, 

使用盗版 Apple 的 Final Cut Pro 视频编辑软件的人从许多可用的非法 torrent 中下载该软件时，他们得到的可能比他们预想的要多。至少在过去的几个月里，一个未知的威胁行为者使用盗版的 macOS 软件在属于下载该应用程序的人的系统上提供 XMRig 加密货币挖掘工具。最近发现该操作的 Jamf 研究人员无法确定有多少用户可能已经在他们的系统上安装了武器化软件并且目前正在运行 XMRig，但该软件的共享级别表明可能有数百人。Jamf 的 macOS 检测专家 Jaron Bradley 表示，他的公司发现了 400 多个播种者——或拥有完整应用程序的用户——通过 Torrent 将其提供给需要它的人。这家安全供应商发现，最初上传武器化版本的 Final Cut Pro 用于 Torrent 共享的人，多年来一直使用同一个加密矿工上传盗版 macOS 软件。威胁行为者之前将恶意软件潜入的软件包括盗版的 macOS 版本的 Logic Pro 和 Adobe Photoshop。

详情

瞄准亚洲材料研究的新型黑客组织Clasiopa分析

日期: 2023-02-23
标签: 信息技术, 网络犯罪, 

2023年2月23日，赛门铁克的研究人员发布报告称，Clasiopa是一个针对亚洲材料研究的新组织，它有一套独特的工具集，其中包括一个定制的恶意软件，一个名为Atharvan的后门。赛门铁克称之为Clasiopa，其特点是一个独特的工具集，其中包括一个自定义恶意软件（Backdoor.Atharvan）。

请注意，只有当攻击者具有管理凭据并且SEP管理员禁用了防篡改保护时，任何试图停止SEP的命令才会生效。 Clasiopa的特点是具有独特的工具集，其中包括一个自定义恶意软件 (Backdoor.Atharvan)。目前，没有确凿的证据表明 Clasiopa 位于何处或代表谁行事。

详情

新型恶意软件S1deload劫持Youtube和Facebook帐户

日期: 2023-02-22
标签: 信息技术, 网络犯罪, 

一个正在进行的恶意软件活动以YouTube和Facebook用户为目标，用一个新的信息窃取者感染他们的计算机，该窃取者将劫持他们的社交媒体帐户，并使用他们的设备来挖掘加密货币Bitdefender 的高级威胁控制 (ATC) 团队的安全研究人员发现了这种新的恶意软件，并将其命名为 S1deload Stealer，因为它广泛使用 DLL 旁加载来逃避检测。“在 2022 年 7 月至 2022 年 12 月期间，Bitdefender 产品检测到 600 多名独特用户感染了这种恶意软件，”Bitdefender 研究员 Dávid Ács 说。受害者被诱骗通过社交工程和 FaceBook 页面上的评论来感染自己，这些页面推送成人主题的档案（例如 AlbumGirlSexy.zip、HDSexyGirl.zip、SexyGirlAlbum.zip 等）。如果用户下载其中一个链接的档案，他们将获得一个使用有效的 Western Digital 数字签名签名的可执行文件和一个包含最终有效负载的恶意 DLL (WDSync.dll)。

详情

LockBit团伙因袭击葡萄牙自来水公司而受到谴责

日期: 2023-02-21
标签: 能源业, 信息技术, 网络犯罪, 

LockBit勒索软件组织因攻击葡萄牙第二大城市波尔图的自来水公司而受到谴责。Águas e Energia do Porto 于 2 月 8 日表示，它遭到了网络攻击，其安全团队能够限制损失。公共供水和卫生设施没有受到袭击的影响。 据网络安全专家 Dominic Alvieri 称，LockBit 组织于 2 月 18 日将该公司添加到其泄密站点。 LockBit 要求该公用事业公司在 3 月 7 日之前支付赎金，并威胁说，如果在截止日期过后仍未付款，它将公布从 Águas e Energia do Porto 系统中窃取的信息。该公用事业公司归该市所有，是葡萄牙最大的供水和污水处理公司之一，为大约 50 万人提供服务。“由于这起事件，一些客户服务受到限制，”该公用事业公司表示，并敦促人们寻找其他获取信息的途径，“Águas e Energia do Porto 表示，它已联系葡萄牙国家网络安全中心和司法警察局寻求协助。

详情

HardBit勒索软件分析

日期: 2023-02-20
标签: 金融业, 信息技术, 网络犯罪, 

一种名为 HardBit 的勒索软件威胁已升级到 2.0 版，其运营商正试图协商一笔由受害者的保险公司支付的赎金。具体来说，威胁行为者试图说服受害者，披露所有保险细节符合他们的利益，以便他们可以调整他们的要求，以便保险公司承担所有费用。根据数据安全和分析公司Varonis 的一份报告，HardBit 的第一个版本于 2022 年 10 月被发现，而 2.0 版于2022 年 11 月推出，它仍然是目前流行的变体。作为一种勒索软件，HardBit 2.0 具有一些降低受害者安全性的功能，例如修改注册表以禁用 Windows Defender 的实时行为监控、进程扫描和访问文件保护。该恶意软件还针对 86 个进程进行终止，以使敏感文件可用于加密。它通过将自己添加到“启动”文件夹来建立持久性，并删除卷影副本，使数据恢复更加困难。

详情

新型信息窃取程序分析

日期: 2023-02-20
标签: 信息技术, 网络犯罪, 

一种名为 Stealc 的新型信息窃取程序已出现在暗网上，因为其窃取功能的积极推广以及与 Vidar、Raccoon、Mars 和 Redline 等同类恶意软件的相似之处而受到关注。网络威胁情报公司 SEKOIA 的安全研究人员在 1 月份发现了这种新病毒，并注意到它在 2 月初开始受到关注。Stealc 已由一个名为“Plymouth”的用户在黑客论坛上发布广告，该用户将该恶意软件描述为一种具有广泛的数据窃取功能和易于使用的管理面板的恶意软件。根据广告商的说法，除了网络浏览器数据、扩展程序和加密货币钱包的典型目标之外，Stealc 还有一个可定制的文件抓取器，可以设置为针对操作员希望窃取的任何文件类型。在最初的帖子发布后，普利茅斯开始在其他黑客论坛和私人 Telegram 频道上推广该恶意软件，向潜在客户提供测试样本。卖家还建立了一个 Telegram 频道，专门发布 Stealc 的新版本更新日志，最新版本是 v1.3.0，于 2023 年 2 月 11 日发布。该恶意软件正在积极开发，每周都会在频道上出现一个新版本。Plymouth 还表示，Stealc 并不是从头开发的，而是依赖于 Vidar、Raccoon、Mars 和 Redline 窃取器。

详情

Frebniis恶意软件利用Microsoft IIS功能

日期: 2023-02-20
标签: 信息技术, 

2023年2月16日，网络安全研究人员发现了一种新的恶意软件，它利用 Microsoft 互联网信息服务 (IIS) 的合法功能在目标系统中安装后门。根据赛门铁克发布的一份公告，这个名为“Frebniis”的恶意软件被一个以前不为人知的威胁行为者用来攻击台湾的目标。“Frebniis 使用的技术涉及将恶意代码注入 [动态链接库] DLL 文件的内存中 [...]，该文件与 IIS 功能相关，用于对失败的网页请求进行故障排除和分析，”技术文章中写道。根据安全研究人员的说法，利用此工具可以使恶意软件秘密监视所有 HTTP 请求，同时还可以自动识别攻击者发送的特殊格式的 HTTP 请求。“这些请求允许远程代码执行 [RCE] 并以隐秘的方式代理到内部系统，”咨询中写道。“系统上不会运行任何文件或可疑进程，这使得 Frebniis 成为一种相对独特且罕见的 HTTP 后门类型。”赛门铁克团队澄清说，要使用此技术，攻击者需要通过其他方式访问运行 IIS 服务器的 Windows 系统。在公告中描述的攻击中，安全研究人员写道，目前尚不清楚这种访问是如何实现的。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

动视确认员工和游戏信息数据泄露

日期: 2023-02-21
标签: 文化传播, 信息技术, 

Activision 已确认，在黑客通过使用 SMS 网络钓鱼文本欺骗员工获得对公司内部系统的访问权限后，它在 2022 年 12 月上旬遭受了数据泄露。这家视频游戏制造商表示，该事件并未泄露游戏源代码或玩家详细信息。“2022 年 12 月 4 日，我们的信息安全团队迅速解决了一次短信网络钓鱼企图并迅速解决了它。经过彻底调查，我们确定没有敏感的员工数据、游戏代码或玩家数据被访问，”公司发言人告诉 BleepingComputer .然而，安全研究小组 vx-underground 表示，威胁行为者“泄露了敏感的工作场所文件”以及内容发布时间表，直到 2023 年 11 月 17 日。研究人员分享的截图显示，黑客于 12 月 2 日获得了 Activision 员工的 Slack 帐户的访问权限，并试图诱骗其他员工点击恶意链接。视频游戏出版物“Insider Gaming”获得并分析了整个泄密事件，报告 称缓存中包含全名、电子邮件地址、电话号码、薪水、工作地点和其他员工详细信息。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

乌克兰称俄罗斯黑客在 2021 年就在其政府网站安装了后门

日期: 2023-02-23
标签: 政府部门, 信息技术, 

2023年2月23日，乌克兰计算机应急响应小组 (CERT-UA) 表示，俄罗斯国家黑客本周利用早在 2021 年 12 月就植入的后门入侵了多个政府网站。

CERT-UA 在周四早上在其中一个被黑网站上发现了一个 web shell 后发现了这些攻击，威胁行为者（跟踪为 UAC-0056、Ember Bear 或 Lorec53）用来安装其他恶意软件。根据 CERT-UA 的说法，这个 web shell 创建于 2021 年 12 月，并用于在一年前的 2022 年 2 月部署 CredPump、HoaxPen 和 HoaxApe 后门。攻击者还在攻击的早期阶段使用 GOST（Go Simple Tunnel）和 Ngrok 工具来部署 HoaxPen 后门。乌克兰网络安全防御和安全机构 SSSCIP 周四表示：“今天，2 月 23 日，在乌克兰中央和地方当局的多个网站上检测到攻击，导致其部分网页的内容被修改  。”“目前，在国家网络安全协调中心联合响应小组的框架内，SSSCIP、乌克兰安全局和网络警察的专家正在共同努力，隔离和调查网络事件。SSSCIP 补充说，该事件并未造成会影响乌克兰公共当局运作的“基本系统故障或中断”。

详情

黑客使用假冒的ChatGPT应用传播Windows、Android恶意软件

日期: 2023-02-22
标签: 信息技术, 

威胁行为者正在利用 OpenAI 的 ChatGPT 聊天机器人的流行来分发适用于 Windows 和 Android 的恶意软件，或将毫无戒心的受害者引导至网络钓鱼页面。ChatGPT 自 2022 年 11 月推出以来获得了巨大的吸引力，成为现代历史上增长最快的消费者应用程序，到 2023 年 1 月用户已超过 1 亿。这种巨大的普及和快速增长迫使 OpenAI 限制了该工具的使用，并为想要使用聊天机器人且没有可用性限制的个人推出了每月 20 美元的付费套餐 (ChatGPT Plus)。此举通过承诺不间断和免费访问高级 ChatGPT，为威胁行为者创造了利用该工具的流行的条件。这些优惠是虚假的，目的是引诱用户安装恶意软件或提供帐户凭据。安全研究员 Dominic Alvieri 是第一个注意到此类示例的人之一，该示例使用域“chat-gpt-pc.online”以下载 ChatGPT Windows 桌面客户端为幌子，用 Redline 信息窃取恶意软件感染访问者。

详情

DarkBit勒索软件攻击以色列顶尖科技大学

日期: 2023-02-21
标签: 信息技术, 教育行业, 

以色列顶尖技术学校 Technion Israel Institute of Technology (IIT) 是 DarkBit 黑客组织勒索软件攻击的受害者，该组织在一张满载反病毒软件的勒索票据中要求支付 80 比特币（截至发稿时约为 170 万美元） -以色列的情绪。根据BlackBerry 的一份报告，该大学于 2 月 12 日报告了这次攻击，也就是威胁行为者编译有效载荷的第二天。BlackBerry 的威胁研究员 Dmitry Bestuzhev 说：“这可能表明 DarkBit 在此之前的某个时间保持了对受害者网络的初始访问，而植入程序是在攻击发生前几个小时编译的。”BlackBit 还警告 IIT，如果该组织不在 48 小时内支付赎金，金额将猛增 30%。损害程度、违规来源和初始感染媒介尚未公开发布。

详情

印度票务平台遭受攻击，影响 3100 万用户

日期: 2023-02-20
标签: 信息技术, 交通运输, 

尽管 RailYatri 攻击发生在 2022 年 12 月，但被盗数据直到2023年2月才在知名黑客论坛上公开。除了泄露个人信息外，RailYatri 黑客事件还泄露了全印度数百万旅客的位置。印度著名铁路票务网站 RailYatri 发生重大数据泄露事件，暴露了近 3100 万 (31,062,673) 名订户和旅客的私人数据。该漏洞被认为发生在 2022 年 12 月下旬，私人数据数据库目前正在网上发布。电子邮件地址、全名、性别、电话号码和位置等数据已被黑客入侵，使数百万人面临身份盗用、网络钓鱼诈骗和其他在线犯罪的风险。一个名为 Breachforums 的黑客和犯罪网站成为著名且现已被占领的 Raidforums 的竞争对手，并且可以确认数据库已在那里暴露。

详情

加密货币交易平台Coinbase遭受网络攻击

日期: 2023-02-20
标签: 金融业, 信息技术, 

Coinbase 加密货币交易平台透露，一个未知的威胁行为者窃取了其一名员工的登录凭据，试图远程访问公司的系统。该公司表示，由于入侵，攻击者获得了属于多名 Coinbase 员工的一些联系信息，并补充说客户资金和数据未受影响。Coinbase 的网络控制阻止了攻击者直接访问系统，并防止了任何资金损失或客户信息泄露。Coinbase 分享了他们的调查结果，以帮助其他公司识别威胁行为者的策略、技术和程序 (TTP) 并建立适当的防御措施。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

CISA表示IBM文件传输工具易受网络攻击

日期: 2023-02-23
标签: 信息技术, 

2023年2月23日，据美国网络安全和基础设施安全局 (CISA) 称，数十家大型组织和企业使用的 IBM Aspera Faspex 文件传输工具存在严重漏洞，恶意黑客正在积极利用该漏洞。 CISA添加了错误——命名为CVE-2022-47986- 本周已知被利用的漏洞目录以及影响业务通信平台 Mitel 的另外两个漏洞。 该机构表示，IBM 漏洞“对联邦企业构成重大风险”。CISA 将其警报指向联邦政府，但它们通常也广泛适用于私营部门。该公告是在上个月安全研究人员发出多次警告之后发布的。IBM于 1 月 18 日发布了补丁。 联邦民间机构必须在 3 月 14 日之前修补该漏洞，该漏洞的CVSS 得分为 9.8（满分 10）。网络安全公司 Viakoo 的首席执行官 Bud Broomhead 表示，Aspera 的使用如此广泛，以至于它在 2014 年赢得了艾美奖，因为它支持更快的媒体制作工作流程，因为它允许公司快速发送大型视频文件。 Broomhead 解释说，对于任何传输大型数据集的公司——例如基因组学和生物医学研究、媒体制作、军事信号情报或金融服务——Aspera 可能是多年来的首选解决方案。

详情

研究人员在iOS和MacOS中发现新一类苹果漏洞

日期: 2023-02-22
标签: 信息技术, 

Apple 的 macOS 和 iOS 中的新漏洞允许攻击者窃取目标用户的通话记录、日历、地址簿和照片。据研究人员称，这些漏洞对 Apple 来说是个坏消息，他们表示它们代表了 Apple 安全态势中的一类新漏洞。Trellix 的研究人员周二报告的这些漏洞提供了“范围广泛”的对抗策略。这些漏洞“代表了对 macOS 和 iOS 安全模型的重大破坏，该模型依赖于各个应用程序对他们需要的资源子集进行细粒度访问并查询更高权限的服务以获得其他任何东西，”高级漏洞 Austin Emmitt 写道Trellix 的研究员在报告中表示。简而言之，“大量新错误”允许攻击者“绕过代码签名”保护，以验证在 iOS 或 macOS 设备上运行的应用程序是否安全。一旦绕过，未签名的代码将不会发出任何危险信号安全警告并执行——导致 macOS 和 iOS 设备上的权限升级和沙箱逃逸条件。

详情

黑客利用Fortinet漏洞在服务器中安装后门

日期: 2023-02-22
标签: 信息技术, 网络犯罪, 

威胁行为者利用针对 CVE-2022-39952 的漏洞攻击暴露在 Internet 上的 Fortinet 设备，这是 FortiNAC 网络服务器中未经身份验证的文件路径操纵漏洞，可被滥用于远程命令执行。这些攻击是在 Horizon3 安全研究人员针对严重缺陷发布概念验证利用代码一天后发生的，该漏洞将添加一个 cron 作业以作为 root 用户在受感染的系统上启动反向 shell。Fortinet 周四在一份安全公告中披露了该漏洞，称该漏洞影响其 FortiNAC 网络访问控制解决方案的多个版本，并允许攻击者在成功利用后执行未经授权的代码或命令。该公司已发布安全更新，并敦促客户将易受攻击的设备升级到解决该漏洞的最新可用版本。由于 Fortinet 未提供缓解指南或解决方法，因此更新是阻止攻击企图的唯一方法。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   其他事件

“响尾蛇”近期攻击活动披露，瞄准国内高校展开钓鱼

日期: 2023-02-23
标签: 教育行业, 

微步情报局近期通过威胁狩猎系统捕获到一起响尾蛇组织的攻击活动，经过分析有如下发现：

攻击者通过钓鱼邮件向我国某高校发起网络攻击，通过在邮件中附带恶意附件执行恶意代码，并且攻击者在打包压缩包过程中遗留了打包文件，通过打包文件可以关联出一批同属于该组织的其他攻击样本。

除了针对我国的攻击外，攻击者还利用模板注入的方式投递恶意文档，向巴基斯坦政府、军队等单位发起攻击，根据该组织以往的攻击活动判断，后续会下载攻击者的下载器木马执行后续攻击。

详情

SideCopy组织针对印度政府的APT攻击

日期: 2023-02-23
标签: 政府部门, 

近日，瑞星威胁情报平台捕获到一起针对印度政府部门发起的APT攻击事件，通过分析发现此次事件的攻击者疑似SideCopy组织。该组织通过钓鱼邮件等方式将诱饵文档发送给受害者，利用内嵌的远控木马ReverseRAT来达到信息窃取、远程控制的目的。

详情

Meta表示俄罗斯在 Facebook 和 Instagram上的影响力变弱

日期: 2023-02-23
标签: 信息技术, 政府部门, 文化传播, 

2023年2月23日，Meta宣布，自乌克兰战争开始以来，俄罗斯在 Facebook 和 Instagram 上的秘密影响力行动一直回避建立令人信服的品牌或角色。该公司在其季度威胁报告中解释说，相反，这些操作试图通过“同时创建大量低质量帐户，希望至少有一些帐户能够幸存下来”来逃避这家社交媒体巨头的检测。该公司表示，这项活动已经变得不像“我们过去破坏的隐秘和欺骗性的俄罗斯影响力行动”，而现在“更像是垃圾邮件发送者的剧本”。影响运动的新方法反映了所谓的俄罗斯策略，即试图用训练有素、装备简陋的征兵浪潮淹没根深蒂固的乌克兰阵地。据伦敦《泰晤士报》报道，这种战术意味着俄罗斯每前进 100 码就会损失多达 2,000 人。北约情报。在 Meta 的平台上，这些活动包括一个名为 Cyber Front Z 的活动，该活动与俄罗斯企业家 Yevgeny Prigozhin 有关联，后者还拥有雇佣军瓦格纳集团。Prigozhin 因参与干预 2016 年美国总统大选而受到制裁。Meta 表示，运营商采用类似垃圾邮件的方式来影响运营，导致“他们的活动总体回报率很低”。

详情

Microsoft敦促Exchange管理员删除某些防病毒排除项

日期: 2023-02-23
标签: 信息技术, 

2023年2月23日，微软表示，管理员应该删除一些 以前推荐的 Exchange 服务器的防病毒排除项，以提高服务器的安全性。正如该公司所解释的那样，不需要针对 Temporary ASP.NET Files 和 Inetsrv 文件夹以及 PowerShell 和 w3wp 进程的排除，因为它们不再影响稳定性或性能。但是，管理员应该注意扫描这些位置和进程，因为它们经常在攻击中被滥用以部署恶意软件。“保留这些排除项可能会阻止检测到 IIS webshell 和后门模块，这是最常见的安全问题，”Exchange 团队 表示。“我们已经验证，在运行最新 Exchange Server 更新的 Exchange Server 2019 上使用 Microsoft Defender 时，删除这些进程和文件夹不会影响性能或稳定性。”您还可以安全地从运行 Exchange Server 2016 和 Exchange Server 2013 的服务器中删除这些排除项，但您应该监视它们并准备好缓解可能出现的任何问题。

详情

Hydrochasma 威胁组织使用大量商品恶意软件和工具攻击医疗行业

日期: 2023-02-23
标签: 信息技术, 网络犯罪, 

2023年2月23日，研究人员发现，自去年 10 月以来，一个以前不为人知的威胁行为者专门使用大量公开可用的陆上工具，一直在以亚洲航运公司和医学实验室为目标进行情报收集行动。博通软件旗下赛门铁克的研究人员将其称为 Hydrochasma，该组织似乎尚未窃取任何数据，但似乎以涉及 COVID-19 相关治疗或网络间谍疫苗的行业为目标，赛门铁克的威胁猎手团队在本周发布的一篇博文中写道。研究人员写道：“虽然赛门铁克研究人员没有观察到数据从受害机器中泄露，但 Hydrochasma 部署的一些工具确实允许远程访问，并可能被用于泄露数据。”从其工具和策略来看，该组织的主要动机似乎是在不被发现的情况下持续访问受害机器，“以及努力提升权限并在受害者网络中横向传播，”他们指出。赛门铁克威胁猎人团队的高级情报分析师 Brigid O Gorman 表示，事实上，定制恶意软件的缺乏本身就是一种动机。“该组织对离地生活和公共可用工具的依赖是值得注意的，”她说。 “这可能会告诉我们一些关于该组织的事情，包括希望保持低调，并使他们的活动归因更加困难。”

详情

美国联邦贸易委员会称2022年美国因欺诈损失88亿美元

日期: 2023-02-23
标签: 政府部门, 金融业, 信息技术, 

2023年2月23日，美国联邦贸易委员会 (FTC) 透露，美国人在 2022 年因各种类型的诈骗损失了近 88 亿美元，与前一年相比，欺诈损失大幅增加了 30% 以上。2021 年，美国人还报告称欺诈造成的损失超过 58 亿美元，与 2020 年相比又大幅增加了 70% 以上。美国联邦贸易委员会周四表示，有 240 万消费者报告说他们因诈骗而蒙受损失，其中大多数人在过去一年中成为冒名顶替诈骗和在线购物诈骗的受害者。排名前五的欺诈类别还包括涉及奖品、抽奖和彩票、投资以及商业和工作机会的诈骗报告。FTC 表示：“消费者报告称，到 2022 年，他们因投资诈骗损失的资金超过 38 亿美元，超过任何其他类别。这一数额是 2021 年报告损失数额的两倍多 。 ”“第二高的报告损失金额来自冒名顶替者诈骗，报告的损失为 26 亿美元，高于 2021 年的 24 亿美元。”

详情

Forsage DeFi平台创始人因3.4亿美元骗局被起诉

日期: 2023-02-23
标签: 金融业, 加密货币, 网络犯罪, 

俄勒冈州联邦大陪审团起诉 Forsage 去中心化金融 (DeFi) 加密货币投资平台的四名俄罗斯国民创始人涉嫌经营全球庞氏骗局和金字塔计划，筹集了 3.4 亿美元。Forsage被推广为“智能合约系统”，可以根据算法自动向投资者分配收益，不需要手动提款请求。该项目承诺 100% 透明、完全去中心化、点对点交易、没有所有者/管理员、没有诈骗或突然关闭的机会、没有公司或第三方参与。然而，事实远非如此，因为大多数 Forsage 投资者很快发现他们没有盈利，而且在许多情况下，他们损失了所有投资。被告 Vladimir Okhotnikov、Olena Oblamska、Mikhail Sergeev 和 Sergey Maskalov 面临在社交媒体上投放攻击性虚假广告、向有抱负的投资者推销与 Forsage 相关的误导性投资和商业机会的指控。被告没有使用合法的投资系统，而是在 Forsage 上编写和部署了智能合约，实质上将以太坊、币安智能链和 Tron 区块链上的庞氏骗局和金字塔骗局组合系统化。

详情

Wiper 恶意软件3 个月内激增 53%

日期: 2023-02-23
标签: 信息技术, 

自去年初俄罗斯入侵乌克兰以来，磁盘擦除器在网络攻击中的使用有所增加，这种情况一直有增无减，而且该恶意软件已转变为对该地区和其他地区组织的强大威胁。Fortinet 的研究人员最近分析了 2022 年下半年的攻击数据，发现威胁行为者在今年第三和第四季度使用磁盘擦除器的次数惊人地增加了 53%。该安全供应商表示，这一轨迹表明短期内不会放缓。以俄罗斯为基地的高级持续威胁 (APT) 组织——致力于支持该国在乌克兰的军事目标——在去年雨刷器使用和持续活动的最初激增中占了很大一部分。然而，Fortinet 的数据显示，其他人，包括出于经济动机的网络犯罪分子、黑客组织和其他个人，也推动了这一增长，尤其是在 2022 年底。据 Fortinet 的 FortiGuard 实验室的安全研究员 Geri Revay 称，直到去年，擦除器活动几乎不存在。但他说，自从俄罗斯和乌克兰之间的冲突开始以来，威胁行为者对恶意软件的使用呈爆炸式增长。

详情

瑞典的研究人员表示，他们找到了一种方法来破解CRYSTAL Kyber的特定实现，CRYSTAL Kyber是为支持未来美国政府加密标准而选择的少数“后量子”公钥加密算法之一。

日期: 2023-02-22
标签: 信息技术, 

2023年2月中旬，瑞典的研究人员表示，他们找到了一种破解 CRYSTALS-Kyber 特定实现的方法，CRYSTALS-Kyber 是为支持未来美国政府加密标准而选择的少数“后量子”公钥加密算法之一。根据瑞典 KTH 皇家研究所发表的一篇论文，该算法是美国国家标准与技术研究所和美国国家安全局为未来加密标准选择的算法之一，旨在抵御未来量子计算机的黑客攻击。容易受到新的边信道攻击。

此类攻击避免直接针对系统或硬件的防御系统，而是利用它们发出的物理信号痕迹（例如电源电流、执行时间或电磁辐射）来提取秘密。最近，基于深度学习的侧信道分析的出现使得此类攻击与破解加密系统和恢复密钥特别相关。除了提高某些攻击的有效性外，它还允许对真正的随机数生成器和物理不可克隆函数进行攻击，以及对后量子加密算法进行非差分消息和密钥恢复攻击。

详情

荷兰情报部门称俄罗斯的许多网络攻击尚不为公众所知

日期: 2023-02-22
标签: 政府部门, 信息技术, 网络犯罪, 

2023年2月22日，根据荷兰两家情报机构本周发布的一份联合报告，俄罗斯在过去一年中针对乌克兰和北约成员国的许多网络行动尚未为公众所知。尽管数十份私营部门报告详细介绍了俄罗斯在乌克兰战争期间的行动，但专家质疑网络安全行业是否能够全面了解该活动。荷兰情报与安全总局 (AIVD) 及其军事情报与安全局 (MIVD) 的联合报告列举了“其中许多尝试尚未为公众所知”的两个原因。

报告称，“俄罗斯网络行动的步伐很快”是一个重要因素。许多目标机构的性质——例如军事和外交机构——导致对其弱点保密。“在战争之前和期间，俄罗斯情报和安全部门对乌克兰和北约盟国进行了广泛的数字间谍活动、破坏和影响，”该报告称，该报告将一年前的本周对乌克兰的全面入侵描述为“一个转折点”。历史节点。”这些机构表示，俄罗斯的目标选择“非常广泛”，这意味着即使是没有在“战争或政治决策过程中发挥直接作用”的乌克兰组织也会遭到黑客攻击。这份联合报告传达了情报机构的调查结果——通过“使用人力和技术资源的敏感行动”收集——关于俄罗斯政府对各种机构进行网络攻击、对海上基础设施进行物理破坏和信息操作所构成的威胁。

详情

亚洲的航运公司和医学实验室成为间谍活动的目标

日期: 2023-02-22
标签: 科研服务, 卫生行业, 交通运输, 

据赛门铁克的研究人员称，一个未指明的亚洲国家的几家航运公司和医学实验室已成为从 10 月开始的持续间谍活动的目标。该活动背后的黑客——研究人员将其命名为 Hydrochasma——与赛门铁克之前研究过的任何组织都没有任何关系。 赛门铁克威胁猎手团队的高级情报分析师 Brigid O Gorman 告诉 The Record，该公司并未公开确定目标国家。

研究人员不知道 Hydrochasma 的总部在哪里，但 O Gorman 表示，该组织专门针对与 COVID-19 治疗和疫苗相关的公司。 “黑客们没有使用任何定制的恶意软件，完全广泛地依赖于公开可用的和生活在陆地上的工具，”她说。使用这些策略“可以帮助使攻击更加隐蔽，同时也使归因更加困难。”赛门铁克在其报告中解释说，该活动背后最有可能的动机是情报收集和潜在的数据泄露。 最初的感染很可能是从一封网络钓鱼电子邮件开始的，因为研究人员发现了两份用受害者组织的母语写成的与运输信息相关的诱饵文件，以及一份工程简历。 从一台机器上的这些恶意文件中，黑客能够部署多种工具，使他们能够在受害者的网络中移动并暴露本地服务器，以便他们可以被接管。

详情

黑客模仿ChatGPT窃取商业凭据

日期: 2023-02-22
标签: 信息技术, 网络犯罪, 人工智能, 

根据卡巴斯基的一篇博客文章，一场新的运动正在利用社交媒体模拟，将毫无戒心的受害者引向一个假冒的ChatGPT登录页面，在那里“注册”意味着下载一个名为Fobo的信息窃取木马。据报道，这种骗局已经蔓延到非洲、美洲、亚洲和欧洲。卡巴斯基的研究人员观察到运行社交媒体账户的骗子要么直接冒充 OpenAI/ChatGPT 品牌，要么假装是该程序粉丝的社区。有时，这些帐户会发布与 ChatGPT 相关的中立内容，并在底部带有恶意链接。其他时候，根据博客文章，他们发布了“预创建帐户的虚假凭据，据说可以访问 ChatGPT。为了进一步激励潜在用户，攻击者说每个帐户的余额已经有 50 美元，可以花在使用聊天机器人上。”真正的程序有一个完全可选的订阅计划，但在其他方面可以免费供公众使用。跟随这些帖子中的恶意链接的不知情的社交媒体用户登陆了 ChatGPT 主页，这几乎在所有方面都与真实的东西一样。

详情

黑客攻击俄罗斯商业电台并播放虚假空袭警告

日期: 2023-02-22
标签: 政府部门, 信息技术, 

2023年2月22日上午，俄罗斯各地的商业广播电台广播了有关空袭和导弹袭击的警告。紧急情况部表示，这些广播是“黑客攻击的结果”。据俄罗斯媒体报道，俄罗斯最大的媒体公司 Gazprom-Media 是国有能源公司 Gazprom 的子公司，它表示“对卫星运营商基础设施的攻击”是罪魁祸首，并允许这些信息在多个广播电台播出。紧急情况部的一份声明说：“今天早上，在一些地区，广播电台的听众可以听到警报信号和要求他们前往避难所的短信。”

该部表示，由于影响未命名卫星的违规行为，“未经授权的搭售正在播出”，并强调警报信号“与现实不符”。声明没有提到乌克兰。俄罗斯地区的当局不得不发表公开声明，否认导弹袭击的威胁。别尔哥罗德和沃罗涅日地区的政府表示，他们认为袭击是“从乌克兰方面发起的”。沃罗涅日当局将这一事件描述为“对基辅政权同伙的挑衅，这不是事实。该地区的局势得到控制，没有发生任何事件。”

2023年2月21日，乌克兰黑客声称他们在俄罗斯总统弗拉基米尔普京的一次演讲中破坏了两个媒体网站。

详情

攻击者使用谷歌搜索攻击中国公民

日期: 2023-02-22
标签: 信息技术, 

2023年2月中旬，研究人员已发现一种新的恶意活动，该活动通过使用受污染的 Google 搜索结果来宣传恶意网站和虚假安装程序。 FatalRAT 主要针对东亚和东南亚的中国人。威胁活动的 IOC 与之前确定的任何威胁组都不对应。根据 ESET 研究人员收集的遥测数据，该活动始于 2022 年 5 月，一直持续到 2023 年 1 月。目标受害者最多的地区是中国、香港和台湾，泰国、新加坡、印度尼西亚、菲律宾、日本、马来西亚和缅甸。攻击者通过谷歌付费广告宣传他们托管木马化安装程序的流氓网站。这些广告现已被删除。为了托管恶意网站，攻击者注册了几个来自 (telegram[.]org) 的合法域名仿冒域名（例如 telegraem[.]org）。这些虚假域托管的网站看起来与真实网站一模一样，而且它们都指向同一个IP地址。该 IP 地址与托管多个虚假网站和受感染安装程序以及实际安装程序和 FatalRAT 加载程序的服务器相关联。

详情

摩尔多瓦因涉嫌俄罗斯政变计划而面临网络攻击，请求西方支持

日期: 2023-02-21
标签: 政府部门, 

2023年2月中旬，亲欧洲的摩尔多瓦总统马亚·桑杜 (Maia Sandu) 警告称，俄罗斯正在积极策划推翻该国政府的阴谋。周六，她在慕尼黑安全会议上表示，她需要其他欧洲国家的一系列支持，以捍卫其国家的完整性.她呼吁支持是在摩尔多瓦危机时刻发出的，总理纳塔利娅·加夫里利塔 (Natalia Gavrilita) 上周因国内挑战辞职，包括通货膨胀和俄罗斯活动加剧的能源安全问题。桑杜总统表示，俄罗斯正在“对摩尔多瓦发动混合战争”，包括通过“宣传和虚假信息”以及“多次网络攻击”和“多次虚假炸弹警报”。她说，这些行动旨在破坏社会凝聚力、挑起抗议并允许外部破坏者发动政变。在关于“为欧洲合作”的小组讨论中发言安全”——与北约秘书长延斯·斯托尔滕贝格、芬兰总统绍利·尼尼斯托和丹麦首相梅特·弗雷德里克森一起——桑杜描述了俄罗斯数月来对她的国家的侵略。“在秋天，他们试图利用能源危机，希望我们无法支付非常高的天然气和电力价格。当他们看到政府设法找到钱时，俄罗斯天然气工业股份公司将天然气供应减少了 60%，希望我们不会找到替代来源，而付费抗议将推翻合法选举产生的政府。”

详情

中东各国政府被指控在逮捕LGBT人士时使用假约会资料

日期: 2023-02-21
标签: 信息技术, 

根据人权观察 (HRW) 的一份新报告，一些中东和北非国家的政府使用虚假的社交媒体或约会应用程序资料来引诱和逮捕女同性恋、男同性恋、双性恋和变性人。人权观察组织高级 LGBT 权利研究员拉莎·尤尼斯 (Rasha Younes) 与 90 名直接受数字定位影响的人以及 30 名有关该问题的专家进行了交谈。人权观察发现，埃及、伊拉克、约旦、黎巴嫩和突尼斯当局因人们的身份而诱捕、拘留和折磨他们。HRW 表示，它总共发现了至少 45 起埃及、约旦、黎巴嫩和突尼斯的 LGBT 人群成为攻击目标并被任意逮捕的案件的书面证据。在 23 起案件中，人们在对包括“煽动放荡”、“放荡”和“卖淫”在内的指控提出上诉后被宣告无罪。 22 人没有受到指控，而是被关押了不同时间的监狱，包括在黎巴嫩的一种情况，有人被关押了 52 年天。其中五起案件的人被定罪并被判处三年或以下徒刑。人权观察发现，大多数被捕者都没有得到律师的帮助，最终被迫在供词上签字才能离开。Younes 说，埃及、伊拉克、约旦、黎巴嫩和突尼斯的执法部门“已经将技术整合到他们对 LGBT 人群的警务中”。

详情

研究人员创建了一个AI网络防御器，对攻击者做出反应

日期: 2023-02-21
标签: 信息技术, 机器学习, 深度学习, 人工智能, 

基于深度强化学习 (DRL) 的新创建的人工智能 (AI) 系统可以在模拟环境中对攻击者做出反应，并在网络攻击升级之前阻止 95%。这是根据能源部太平洋西北国家实验室的研究人员的说法，他们对网络中攻击者和防御者之间的数字冲突进行了抽象模拟，并训练了四种不同的 DRL 神经网络，以在防止妥协和最大限度地减少网络中断的基础上最大化奖励。

模拟的攻击者使用了一系列基于MITRE ATT&CK框架分类的策略，从最初的访问和侦察阶段转移到其他攻击阶段，直到达到他们的目标：影响和渗透阶段。AI 系统在简化的攻击环境中的成功训练表明，AI 模型可以实时处理对攻击的防御响应。

详情

Coinbase 加密货币交易所陷入与“Oktapus”相关的网络钓鱼攻击

日期: 2023-02-21
标签: 金融业, 信息技术, 社会工程学, 加密货币, 网络犯罪, 

在网络攻击者绕过多因素身份验证 (MFA) 以直接访问其公司系统后，威胁行为者将加密货币交易所Coinbase的员工作为攻击目标，暴露了“有限数量”的个人员工数据。Coinbase 在最近的一篇博客文章中概述了这次攻击——该公司认为这与之前确定的Oktapus 活动有关，该活动 针对几名 Okta 员工发送恶意短信——在最近的一篇博客文章中，提供了关于它如何展开的深入、逐步的描述，升级，并最终在没有重大违规的情况下被挫败。其中一名被攻击的员工回复了攻击者的短信，并放弃了公司系统的凭证；在最初的登录尝试被 MFA 安全阻止后，此人随后接到了一个试图获得访问权限的后续电话。该公司表示，Coinbase 的计算机安全事件响应小组 (CSIRT) 在攻击发生后 10 分钟内做出响应将其关闭，从而避免了更严重的事件。Coinbase 的 CISO Jeff Lunglhofer 在博客文章中指出，这种情况再次表明人为错误仍然是网络攻击成功的关键因素，以及日益复杂的社会工程活动给企业带来的风险。

详情

乌克兰黑客声称在普京演讲期间破坏了俄罗斯电视网站

日期: 2023-02-21
标签: 政府部门, 信息技术, 网络犯罪, 

2023年2月21日，至少有两家俄罗斯媒体网站在总统弗拉基米尔·普京(Vladimir Putin) 对俄罗斯精英阶层的现场直播中瘫痪。俄罗斯国有广播公司 VGTRK 的网站表示，由于“技术问题”而无法访问，直播平台 Smotrim 的网站根本无法加载。 在向俄罗斯议会、国家官员、军事指挥官和士兵发表的近两个小时的讲话中，普京誓言要继续俄罗斯在乌克兰长达一年的战争，并指责西方对俄罗斯发动经济战争。

乌克兰黑客组织 IT Army 声称对周二的事件负责。“我们对广播普京地址的频道发起了 DDoS 攻击，”该组织在 Telegram 上写道。该组织还将俄罗斯国家控制的电视频道 1TV 列为其受害者之一。

IT Army 是一群乌克兰技术专家，成立于战争初期，旨在对俄罗斯网站进行分布式拒绝服务攻击。DDoS 事件往往会破坏网站，但通常不会造成持久的损害。在过去的一年里，乌克兰黑客攻击了超过 15,000 个俄罗斯网站，包括政府服务、银行和私营公司。任何人都可以加入该组织——IT Army 甚至编写了关于如何对俄罗斯发起 DDoS 攻击的详细说明。

详情

欧洲数字权利协会（EDRi）呼吁在整个欧盟禁止间谍软件

日期: 2023-02-21
标签: 政府部门, 信息技术, 

2023年2月21日，欧洲公民自由和人权组织协会呼吁欧洲议会进行调查，建议在整个欧盟范围内禁止间谍软件。欧洲数字权利 (EDRi) 协会周二呼吁调查间谍软件的欧洲议会委员会修改其关于该技术的建议，着重于彻底终止其使用，而不是改革治理系统以确保其不滥用人权。“没有任何保障措施可以减轻 [间谍软件工具] 带来的侵犯人权行为。因此，我们强烈鼓励 PEGA 委员会呼吁禁止间谍软件技术，”该协会表示。它的正式名称是调查 Pegasus 和等效监视间谍软件 (PEGA) 使用的调查委员会，它没有很大的权力来制定立法。正如它所抱怨的那样，它也没有大多数其他议会赋予官方调查的相同权力。例如，PEGA 不能像在其他议会制度中那样强迫证人提供证据，它或其成员也不能向议会提出立法动议以改变已经通过的法律。

详情

新型间谍集团瞄准中东电信

日期: 2023-02-21
标签: 信息技术, 网络犯罪, 

一个以前不为人知的威胁行为者正在以中东的电信公司为目标，这似乎是一场网络间谍活动，类似于近年来袭击多个国家电信组织的许多活动。发现新活动的 SentinelOne 研究人员表示，他们将其追踪为 WIP26，该公司使用该名称来表示无法归因于任何特定网络攻击组织的活动。在本周的一份报告中，他们指出，他们观察到WIP26 使用公共云基础设施来传送恶意软件和存储泄露的数据，以及用于命令和控制 (C2) 目的。安全供应商评估说，威胁行为者正在使用这种策略——就像如今许多其他人所做的那样——来逃避检测，并使其活动更难在受感染的网络上被发现。 SentinelOne 观察到的攻击通常始于针对中东目标电信公司内特定个人的 WhatsApp 消息。这些消息包含指向 Dropbox 中一个存档文件的链接，该文件声称包含与该地区相关的贫困相关主题的文件。但实际上，它还包括一个恶意软件加载程序。

详情

朝鲜APT组织利用安卓恶意软件RambleOn攻击韩国记者

日期: 2023-02-20
标签: 文化传播, 信息技术, 

近日韩国某记者收到匿名举报者发送的恶意APK文件。Interlab威胁研究员Ovi Liber分析发现，该APK文件及其安装后的行为包含严重恶意功能,包括读取和渗漏目标联系人列表、短信、语音通话内容、位置等功能。本报告中提到的名为RambleOn的恶意APK文件包含的独特特征有：使用pCloud和Yandex作为基础设施；使用FCM服务进行C&C通信。

详情

Earth Kitsune通过水坑攻击分发新后门WhiskerSpy

日期: 2023-02-20
标签: 信息技术, 

2022年底，趋势科技发现了一个亲朝鲜组织的网站遭到入侵和修改以传播恶意软件。当目标访问者试图在网站上观看视频时，攻击者注入的恶意脚本会显示一条消息提示，通知受害者视频编解码器错误，以诱使他们下载并安装木马化的编解码器安装程序。安装程序被修改以加载一个新的后门“WhiskerSpy”，研究人员将其归因于Earth Kitsune组织。此外，还发现该组织采用了一种有趣的持久化技术，滥用了Google Chrome的本机消息传递主机, 每次启动Chrome浏览器时都会执行恶意负载。

详情

使用Python/C API加载恶意代码，APT组织针对东欧中亚地区的攻击披露

日期: 2023-02-20
标签: 政府部门, 信息技术, 

近期，安恒中央研究院猎影实验室在威胁狩猎中发现一批样本使用新型窃密软件针对东欧中亚地区国家发起攻击。安恒猎影实验室将本次攻击背后的组织标为内部追踪代号APT-LY-1006，并进行持续追踪。同时，经过分析发现该组织疑似与Kasablanka组织存在关联。攻击活动以包含lnk文件的压缩包为载体，疑似通过邮件投递至政府部门。受害者运行lnk文件后将访问远程hta脚本，hta脚本从C2下载用于释放窃密程序的载荷，最终窃密程序通过调用Python/C API将用户敏感信息上传至Telegram-API接口。

详情

欧洲刑警组织破获CEO诈骗团伙

日期: 2023-02-20
标签: 信息技术, 

一项由欧洲刑警组织支持的联合调查导致拆除了涉及大规模 CEO 欺诈的法以犯罪网络。该犯罪网络由法国和以色列国民组成，目标是位于法国的公司。 2021 年 12 月初，其中一名嫌疑人冒充了一家位于法国东北部上马恩省的冶金专业公司的首席执行官。欺诈者要求该公司的会计师向匈牙利的一家银行紧急秘密转账 30 万欧元。几天后，当会计师认为他代表公司 CEO 试图转账 500,000 欧元时，欺诈行为被发现。

详情

三星推出消息卫士保护用户免受网络威胁

日期: 2023-02-20
标签: 信息技术, 制造业, 

2023年2月20日，三星发布了一项新的智能手机功能，旨在保护用户设备免受伪装成图像附件的威胁。这项名为“Message Guard”的新功能目前与 Samsung Messages 应用程序以及 Google Messages 兼容。“根据三星开放协作的理念，软件更新将在晚些时候推出，让三星 Message Guard 也能在第三方消息应用程序中保护你，”该公司在周五发布的博客文章中写道。从技术角度来看，Message Guard 充当高级沙箱层，将图像文件与设备的其余部分隔离开来。该公司解释说：“这可以防止恶意代码访问您手机的文件或与其操作系统进行交互。” “Samsung Message Guard 一点一点地检查文件并在受控环境中对其进行处理，以确保它不会感染您设备的其余部分。”如果文件被认为是无害的，则允许其正常访问用户。如果不是，则将其处理掉。“Samsung Message Guard 会自动消除隐藏在图像文件中的任何潜在威胁，以免它们有机会对您造成任何伤害。它还在后台安静地运行，并且在很大程度上是隐形的，不需要由用户激活，”该公司写道。

详情

BEC攻击利用谷歌翻译和机器学习增加可信度

日期: 2023-02-20
标签: 信息技术, 网络犯罪, 人工智能, 

商业电子邮件妥协 (BEC) 团伙正在利用翻译工具和机器学习平台以更有效的方式进行支付欺诈诈骗，成功地分发了多种语言的欺诈性电子邮件。BEC 攻击需要冒充高级管理人员或业务合作伙伴，并说服公司目标将大量现金电汇到攻击者控制的银行账户。成功发起这种网络攻击的国际变体通常需要大量时间和精力。根据 Abnormal Security 发布的一项研究，Midnight Hedgehog 和 Mandarin Capybara 是最能代表趋势的两个 BEC 组。两者都使用谷歌翻译，这使得威胁行为者能够以几乎任何语言快速创建令人信服的网络钓鱼诱饵。此外，该研究的研究人员还警告说，商业营销服务等工具正在帮助资源较少和不太复杂的 BEC 攻击取得成功。销售和营销团队主要使用它们来寻找“潜在客户”，从而可以轻松找到最佳目标，而不管他们所在的地区。事实上，BEC 攻击已经很有利可图，根据 FBI 的犯罪报告，仅在 2021 年就造成了 24 亿美元的损失，而且 BEC 攻击的数量还在不断增加。

详情

Chainalysis的评估宣布2022年为“加密盗窃年”

日期: 2023-02-20
标签: 金融业, 信息技术, 加密货币, 网络犯罪, 

Chainalysis 是一个著名的区块链数据平台，为 70 多个国家的交易所、金融机构、保险机构和网络安全公司提供数据、软件、服务和研究。Chainalysis 最近的一项分析表明，去年勒索软件和欺诈增加了加密货币盗窃。《2023 年加密货币犯罪报告》由 Chainalysis 发布。该论文还讨论了 2022 年建立加密货币黑客记录的原因，以及针对 Hydra、Tornado Cash 和其他公司的制裁对加密货币犯罪的影响。此外，报告还包括有关年度最大黑客攻击、暗网市场和勒索软件变体的案例研究。2023 年加密货币犯罪报告解决了 2022 年加密货币市场的不稳定性。该文件还强调了欺诈者使用加密货币洗钱的最新方法。

详情

三星为Galaxy设备添加零点击攻击保护

日期: 2023-02-20
标签: 信息技术, 

三星开发了一种名为 Samsung Message Guard 的新安全系统，以帮助 Galaxy 智能手机用户免受使用恶意图像文件的所谓“零点击”攻击。这家韩国科技巨头表示，当这些威胁以消息形式到达设备时，其新的安全系统将能够检测到这些威胁，并在它们造成任何损害之前阻止它们。零点击攻击是复杂的威胁，无需与用户进行任何交互即可利用漏洞。通常，依赖零点击漏洞的攻击涉及向目标发送带有恶意代码的消息或文件，以触发设备上的漏洞，使攻击者无需受害者打开消息或文件即可访问。利用 NSO 的 Pegasus 间谍软件曾利用 Apple iMessage 中的 KISMET 和 FORCEDENTRY 漏洞利用NSO 的 Pegasus 间谍软件针对记者和活动家发起了著名的零点击攻击。

详情

谷歌披露俄罗斯对乌克兰的网络攻击激增

日期: 2023-02-20
标签: 政府部门, 信息技术, 网络犯罪, 

谷歌的威胁分析小组 (TAG) 和 Mandiant 在一份新的联合报告中披露，与两年前相比，俄罗斯对乌克兰的网络攻击在 2022 年激增了 250%。这一目标恰逢该国于 2022 年 2 月军事入侵乌克兰后一直存在，重点关注乌克兰政府和军事实体，以及关键基础设施、公用事业、公共服务和媒体部门。Mandiant表示，它观察到，“2022 年前四个月，乌克兰的破坏性网络攻击比过去八年更具破坏性，攻击在入侵开始时达到顶峰。”多达六种独特的擦除器变种——包括 WhisperGate、HermeticWiper、IsaacWiper、CaddyWiper、Industroyer2 和 SDelete——已针对乌克兰网络部署，这表明俄罗斯威胁行为者愿意放弃持久访问。同期，针对北约国家的网络钓鱼攻击激增了 300%。这些努力是由白俄罗斯政府支持的名为PUSCHA（又名 Ghostwriter 或 UNC1151）的组织推动的，该组织与俄罗斯结盟。TAG 的 Shane Huntley 指出：“俄罗斯政府支持的攻击者进行了积极的、多管齐下的努力，以在网络空间获得决定性的战时优势，结果往往好坏参半。”

详情

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x09   时间线

2023-02-27 360CERT发布安全事件周报