报告编号：B6-2022-091301

报告来源：360CERT

报告作者：360CERT

更新日期：2022-09-13

0x01   事件导览

本周收录安全热点50项，话题集中在恶意程序、网络攻击方面，涉及的组织有：Lorenz、Lazarus、U-Haul、Conti等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Lorenz 勒索软件通过电话系统入侵企业网络

日期: 2022-09-12
标签: 加拿大, 德国, 信息技术, Hensoldt, 网络犯罪, Mitel MiVoice VOIP, 

Lorenz 勒索软件团伙现在使用 Mitel MiVoice VOIP 设备中的一个严重漏洞来破坏企业，使用他们的电话系统来初始访问他们的公司网络。正如Crowdstrike 在 6 月报道的那样，Arctic Wolf Labs 安全研究人员在观察到与利用CVE-2022-29499 漏洞进行初始访问 的勒索软件攻击相关的战术、技术和程序 (TTP) 存在重大重叠后，发现了这种新策略 。虽然这些事件与特定的勒索软件团伙无关，但北极狼实验室能够高度自信地将类似的恶意活动归因于 Lorenz 团伙。安全研究人员在9月12日发布的一份报告中称：最初的恶意活动源于位于网络外围的 Mitel 设备，Lorenz 利用 CVE-2022-29499（一个影响 MiVoice Connect 的 Mitel Service Appliance 组件的远程代码执行漏洞）来获取反向外壳，随后使用 Chisel 作为隧道工具进入环境。这是该团伙武器库的重要补充，因为 Mitel IP 语音 (VoIP) 产品被全球关键部门（包括政府机构）的组织使用，目前有 超过 19,000 台设备 受到互联网攻击

详情

Bumblebee 恶意软件增加了用于隐蔽感染的后利用工具

日期: 2022-09-08
标签: 信息技术, BumbleBee, 

2022年9月8日，一个新版本的 Bumblebee 恶意软件加载程序在野外被发现，它具有一个新的感染链，使用 PowerSploit 框架将 DLL 有效负载隐蔽反射注入内存。Bumblebee 最初于 4 月被发现，参与了据信由 BazarLoader 和 TrickBot 背后的同一黑客组织（即 Conti ）策划的网络钓鱼活动。由于 Bumblebee 是一种具有高级反分析和反检测功能的进化加载程序，因此假设它将在最初的妥协攻击和随后的勒索软件部署中取代其他加载程序，例如 BazarLoader。使用新的加载流程，Bumblebee 从内存加载，从不接触主机磁盘，从而最大限度地减少被杀毒工具检测和阻止的机会。通过增加其隐蔽性，Bumblebee 成为更强大的初始访问威胁，并增加了诱使勒索软件和恶意软件运营商寻找部署其有效载荷的方法的机会。

详情

Shikitega - 针对 Linux 的新型隐形恶意软件

日期: 2022-09-07
标签: 信息技术, AT&T Alien Labs, 恶意攻击, Linux, 

AT&T Alien Labs 发现了一种针对运行 Linux 操作系统的端点和物联网设备的新恶意软件。Shikitega 在多阶段感染链中交付，其中每个模块响应一部分有效负载并下载并执行下一个。除了将被执行并设置为持续存在的加密货币矿工之外，攻击者还可以获得系统的完全控制权。此恶意软件关键特点如下：

• 恶意软件下载并执行 Metasploit 的“Mettle”meterpreter，以最大限度地控制受感染的机器。

• Shikitega 利用系统漏洞获取高权限、持久化和执行加密矿工。

• 该恶意软件使用多态编码器使其更难被反病毒引擎检测到。

• Shikitega 滥用合法的云服务来存储其一些命令和控制服务器 (C&C)。

详情

FBI：黑客利用DeFi Bugs窃取加密货币

日期: 2022-09-05
标签: 

FBI 警告投资者，黑客越来越多地利用去中心化金融 (DeFi) 平台的安全漏洞来窃取加密货币。根据2022年9月5日发布在 FBI 互联网犯罪投诉中心 (IC3) 上的 PSA，在 2022 年 1 月至 2022 年 3 月期间被盗的 13 亿美元比特币中，近 97% 来自 DeFi 网站。根据 FBI 的预测，这比 2021 年的 72% 和 2020 年的约 30% 有了很大的增长。FBI 建议：在投资之前，请研究 DeFi 平台、协议和智能合约，并了解与 DeFi 投资相关的危险。验证 DeFi 投资平台是否经过了由公正的审计师进行的一项或多项代码审计。代码审计通常需要仔细检查和研究平台的底层代码，以发现可能损害平台功能的任何缺陷或漏洞。警惕具有短加入窗口和快速智能合约推出的 DeFi 投资池，特别是如果它们不执行建议的代码审计。请注意众包解决方案为查找和修补漏洞带来的潜在风险。开源代码存储库为任何人提供未经授权的访问，即使是那些怀有恶意的人。

详情

SharkBot 恶意软件在 Google Play 上重新出现以窃取用户的凭据

日期: 2022-09-05
标签: 美国, 奥地利, 西班牙, 澳大利亚, 波兰, 德国, 金融业, 信息技术, SharkBot, 恶意攻击, 

据NCC 集团旗下Fox-IT 发布的一篇新博文，在 Google 的 Play 商店中发现了 SharkBot 移动恶意软件的升级版本。据报道，新版本的 SharkBot 通过总计安装了 60,000 次的应用程序针对 Android 用户的银行凭证。这些应用程序现在已被 Play 商店删除，它们是“Mister Phone Cleaner”和“Kylhavy Mobile Security”。Fox-IT 研究人员  警告说：“这个新的 dropper 不依赖辅助功能权限来自动执行 dropper Sharkbot 恶意软件的安装。相反，这个新版本要求受害者安装恶意软件作为防病毒软件的虚假更新，以保持免受威胁。”这些 C2 的新目标国家是西班牙、澳大利亚、波兰、德国、美国和奥地利。除了针对新国家之外，Fox-IT (2.25) 发现的新版 SharkBot 还具有从登录其银行账户的受害者那里窃取会话 cookie 的额外功能。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

U-Haul 披露暴露客户驾驶执照的数据泄露事件

日期: 2022-09-12
标签: 美国, 加拿大, 信息技术, 交通运输, U-Haul International, 数据泄露, 

移动和存储巨头 U-Haul International (U-Haul) 在客户合同搜索工具被黑客入侵以访问客户姓名和驾驶执照信息后披露了数据泄露事件。在发现违规行为后于 7 月 12 日开始进行事件调查后，该公司于 8 月 1 日发现攻击者在 2021 年 11 月 5 日至 2022 年 4 月 5 日期间访问了一些客户的租赁合同。

U-Haul 在发送给受影响个人的通知信中告诉受影响的客户：经过深入分析，调查于 2022 年 9 月 7 日确定，访问的信息包括姓名和驾照或身份证号 。攻击者在泄露了两个“唯一密码”后访问了 U-Haul 租赁合同搜索门户。虽然它没有解释凭据是如何被盗用的，但该公司在检测到违规行为后更改了它们以阻止其他恶意活动。这家美国搬家卡车、拖车和自助仓储租赁公司在美国和加拿大拥有超过 23,000 个地点的网络。它拥有大约 186,000 辆卡车、128,000 辆拖车和 46,000 台牵引装置的车队，是北美第三大自助仓储运营商。

详情

从葡萄牙被盗的北约机密文件现在在暗网上出售

日期: 2022-09-08
标签: 美国, 葡萄牙, 北约, 政府部门, EMGFA, 数据泄露, 

葡萄牙武装部队总参谋部 (EMGFA) 遭受网络攻击，据称允许盗窃北约机密文件，这些文件现在在暗网上出售。EMGFA 是负责葡萄牙武装部队控制、规划和行动的政府机构。该机构只是在黑客在暗网上发布了被盗材料的样本并提出将文件出售给感兴趣的个人后才意识到他们遭受了网络攻击。美国网络情报人员注意到被盗文件的出售，并向美国驻里斯本大使馆发出警报，后者又警告葡萄牙政府有关数据泄露。随即，来自国家安全局（GNS）和葡萄牙国家网络安全中心的专家组被派往EMGFA，对整个网络进行全面筛查。该事件由当地新闻机构 Diario de Noticias曝光，该机构声称已通过接近正在进行的调查的未具名消息来源证实了该信息的有效性。这些消息人士告诉新闻媒体，泄露的文件“极其严重”，因此它们的传播可能会导致该国在军事联盟中的信誉出现危机。

详情

国际执法行动查获WT1SHOP犯罪市场

日期: 2022-09-06
标签: 葡萄牙, 美国, 信息技术, 美国司法部（DoJ）, 数据售卖, WT1SHOP, 

2022年9月6日，美国司法部（DOJ）宣布，一项国际执法行动查获了 WT1SHOP 的网站（一个出售被盗信用卡、身份证和数百万登录凭据的犯罪市场）和域名。葡萄牙当局查封了 WT1SHOP 网站，美国查获了四个用于访问犯罪市场的互联网域名，包括 wt1shop.net、wt1store.cc、wt1store.com 和 wt1store.net。WT1SHOP 是最大的 PII 数据犯罪市场之一，出售了数百万用户的个人信息，包括被盗的登录凭证、银行账户、信用卡和扫描的政府身份证明，如护照和驾驶执照。美国执法部门在 2021 年 12 月对 WT1SHOP 的审查显示，该网站上的用户和卖家数量已增加到大约 106,273 名用户和 94 名卖家，可供出售的凭证总数约为 585 万张。黑客通常使用这些数据来购买用于帐户接管的凭证、用于在线购物的信用卡以及用于身份盗用的政府身份证。

详情

爱尔兰监管机构因青少年数据案对 Instagram 罚款 4.05 亿欧元

日期: 2022-09-05
标签: 爱尔兰, 文化传播, 信息技术, Meta（原Facebook）, 罚款, 

2022年9月5日，爱尔兰数据保护委员会通过电子邮件表示，它在2022年8月底做出了最终决定，对Instagram处以 4.05 亿欧元（4.02 亿美元）的罚款，具体细节会在2022年9月上旬公布。此前一项调查发现社交媒体平台对青少年个人信息的处理不当，违反了严格的欧盟数据隐私规则。爱尔兰监管机构的调查集中在 Instagram 如何显示 13 至 17 岁用户的个人详细信息，包括电子邮件地址和电话号码。Instagram 用户的最低年龄为 13 岁。这是继卢森堡监管机构去年对亚马逊罚款 7.46 亿欧元之后，根据欧盟严格的隐私规则发布的第二大罚款。同样拥有 Facebook 的 Instagram 母公司 Meta 表示，虽然它在整个调查过程中与监管机构“充分接触”，但“我们不同意这笔罚款的计算方式，并打算对其提出上诉。”

详情

2万用户数据被BlackByte勒索软件集团窃取

日期: 2022-09-05
标签: 美国, 文化传播, 勒索攻击, 

据旧金山湾区职业美式橄榄球队称，在 2022 年 2 月 6 日至 2 月 11 日的黑客攻击期间，共有 20,930 人的个人信息被访问和窃取。2022年9月5日，该公司宣布已经更新了一项调查，盗窃案历时六天。此外，它表示已开始向可能已暴露数据的人发送通知信。该组织表示，它“对这些数据进行了彻底的评估，以发现其中存储了数据的个人，并进行了额外的研究以定位和验证这些人的地址。”BlackByte勒索软件组织发布了一个包含 292 MB 文件的档案，声称是从 49个人 受感染系统中提取的发票。据专家称，该组织于 2021 年 9 月首次浮出水面，其勒索软件编码不良。其中发现了一个漏洞，网络安全公司 Trustwave 利用它来生产免费的解密器。然而，该组织在创建修复了 Trustwave 缺陷的第二版勒索软件后，能够进行许多攻击。在 49 人袭击事件广为人知后仅一天，联邦调查局就发布了有关 BlackByte 的安全通知。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

OakBend 医疗中心遭到勒索软件攻击

日期: 2022-09-11
标签: 美国, 卫生行业, OakBend, Daixin, 

2022年9月11日，美国德克萨斯州医疗中心OakBend 的 IT 部门表示他们遭到了勒索软件攻击。目前，该中心仍在努力恢复。医疗中心OakBend在其网站上的通知中披露，在 9 月 1 日遭到勒索软件攻击后，它立即将所有系统下线，将其置于锁定模式，并将攻击提交给 FBI、CYD 和 Ft进行调查。截至2022年9月9日，OakBend 报告称他们仍在重建过程中，电话和电子邮件仍然受到影响，但表示“患者的安全从未受到威胁。”黑客组织Daixin于2022年9月9日声称对 OakBend 医疗中心和 OakBend 医疗集团的攻击负责。黑客组织Daixin在DataBreaches上传了一个文件列表，其中显示了 258 个目录和 6,051 个文件。Daixin 声称他们泄露了大约 3.5 GB 的数据，其中包括 120 万条包含患者和员工数据的记录。

详情

黑客在新的 Browser-in-the-Browser 攻击中窃取 Steam 帐户

日期: 2022-09-12
标签: 信息技术, 文化传播, Steam, Dota 2, CS, PUBG, Browser-in-the-Browser, 网络犯罪, 游戏, 

黑客正在发起新的攻击以使用浏览器中的浏览器网络钓鱼技术窃取 Steam 凭据，该技术在威胁参与者中越来越流行。Browser-in-the-Browser 技术是一种趋势攻击方法，涉及在活动窗口中创建虚假浏览器窗口，使其显示为目标登录服务的登录弹出页面。2022年9月13日，  Group-IB 发布了一份关于该主题的新报告，说明了使用“浏览器中的浏览器”方法的新活动如何针对 Steam 用户，以追求专业游戏玩家的帐户。这些网络钓鱼攻击旨在出售对这些帐户的访问权限，一些著名的 Steam 帐户价值在 100,000 美元到 300,000 美元之间Group-IB 报告称，观察到的 Steam 活动中使用的网络钓鱼工具包在黑客论坛或暗网市场中并未广泛使用。相反，它被聚集在 Discord 或 Telegram 频道上的黑客私下使用，以协调他们的攻击。Steam 上的直接消息将潜在受害者作为目标，邀请他们加入英雄联盟、CS、Dota 2 或 PUBG 锦标赛的团队。在所有 Browser-in-the-Browser 网络钓鱼案例中，网络钓鱼窗口中的 URL 都是合法的，因为威胁参与者可以自由显示他们想要的任何内容，因为它不是浏览器窗口，而只是一个渲染窗口。

详情

阿尔巴尼亚政府再次遭受伊朗黑客攻击

日期: 2022-09-12
标签: 阿尔巴尼亚, 伊朗, 政府部门, HomeLand Justice, 网络犯罪, 

2022年9月10日，阿尔巴尼亚总理埃迪·拉玛在推特上表示，称阿尔巴尼亚实施全面信息管理系统 (TIMS)于2022年9月9日再次遭受伊朗黑客攻击。这次攻击针对的是 TIMS 的数据存储和传输系统。声称对 7 月袭击事件负责的黑客组织Homeland Justice在其 Telegram 频道和网站上发布了一段视频，显示似乎是来自 TIMS 系统。这次袭击是在阿尔巴尼亚政府与伊朗断绝外交关系几天后发生的，原因是阿尔巴尼亚2022年7月15日的网络攻击归因于多个与伊朗目标一致的组织。美国政府于2022年9月9日就7月的袭击事件对伊朗情报部及其情报部长实施制裁。

详情

巴勒斯坦黑客组织GhostSec入侵以色列55个PLC

日期: 2022-09-12
标签: 以色列, 巴勒斯坦, 制造业, 能源业, GhostSec, PLC, 

亲巴勒斯坦的黑客组织GhostSec声称，他们入侵了以色列组织使用的多达 55 个 Berghof 可编程逻辑控制器 ( PLC )，作为“#FreePalestine”运动的一部分。GhostSec（又名 Ghost Security）于 2015 年首次发现，自称是治安团体，最初成立的目的是针对宣扬伊斯兰极端主义的 ISIS 网站。2022年9月4日，GhostSec 在其 Telegram 频道上分享了一段视频，该视频展示了成功登录 PLC 的管理面板，并从被黑客入侵的控制器中转储数据后，妥协的细节首次曝光。与此同时，GhostSec 还发布了更多截图，声称已经获得了另一个控制面板的访问权限，该面板可用于改变水中的氯和 pH 值。网络安全公司 OTORIO在进行调查后表示，由于 PLC 可以通过互联网访问并存在弱凭据，因此可能会被破坏。

详情

美国富兰克林大学遭黑客攻击，影响近6000人

日期: 2022-09-08
标签: 美国, 教育行业, Franklin College, 网络犯罪, 

2022年9月8日，研究人员称与富兰克林大学可能已经遭受数据泄漏，黑客通过恶意代码攻击破坏了学校的网络。网络攻击发生在2022年1月21日，其学校工作人员隐瞒了信息，以调查确定黑客可能获取了哪些数据。在2022年6月完成一项调查后，学校工作人员于2022年8月29日向可能受到影响的个人发出了一封信。信中说，所获取的信息可能包括与富兰克林学院有关的人的姓名、驾照和州身份证号码。此次攻击事件可能影响了 5,900 多人，这表明不仅限于当前的学生和教职员工受到影响。学校工作人员建议学生在发现任何可疑活动或涉嫌身份盗窃时联系他们的银行或信用卡公司。学生还可以考虑在他们的信用报告中设置欺诈警报或免费对其信用档案进行安全冻结。

详情

朝鲜Lazarus黑客将目标瞄准了美国能源供应商

日期: 2022-09-08
标签: 美国, 加拿大, 日本, 朝鲜, 能源业, 信息技术, VMware, Lazarus, MagicRAT, YamaBot, VSingle, 网络犯罪, APT舆情, 

朝鲜 APT 组织“Lazarus”(APT38) 正在利用 VMWare Horizon 服务器访问美国、加拿大和日本的能源供应商的企业网络。

Lazarus 是国家支持的威胁行为者，以在过去十年中进行间谍活动、数据盗窃和加密货币窃取活动而闻名。威胁行为者对国际上数百起复杂的攻击负责。据发现最新行动的 Cisco Talos 研究人员称，Lazarus 在 2022 年 2 月至 2022 年 7 月期间针对能源组织，利用公共 VMWare Horizon 漏洞进行初始访问。他们使用了自定义恶意软件系列，例如“VSingle”和“YamaBot”，以及一个以前未知的名为“MagicRAT”的远程访问木马 (RAT)，用于搜索和窃取受感染设备的数据。Cisco Talos 展示了几种攻击策略，展示了 Lazarus 的最新技术、策略和程序 (TTP)，并突出了复杂黑客组织的多功能性。

详情

Conti勒索组织的前成员重用工具攻击乌克兰

日期: 2022-09-07
标签: 乌克兰, 住宿餐饮业, 政府部门, 信息技术, UAC-0098, 网络犯罪, 俄乌战争, 

2022年9月7日，谷歌威胁分析小组 (TAG) 发布研究报告报告称，Conti 勒索软件组织的前成员已将他们的许多工具重新用于攻击乌克兰组织。谷歌指出，来自 CERT-UA 的乌克兰网络安全专家将该组织追踪为 UAC-0098，并表示他们与 2022 年 4 月至 2022 年 8 月进行的至少五次不同的活动有关。根据多项指标，TAG 评估 UAC-0098 的一些成员是 Conti 网络犯罪组织的前成员，他们将其技术重新用于针对乌克兰。UAC-0098黑客组织在历史上交付了 IcedID 银行木马，导致人为勒索软件攻击。UAC-0098黑客组织最近将注意力转移到针对乌克兰组织、乌克兰政府以及欧洲人道主义和非营利组织。TAG 评估 UAC-0098 作为各种勒索软件组织的初始访问代理，包括 Quantum 和 Conti，俄罗斯网络犯罪团伙 FIN12 / WIZARD SPIDER。

详情

20万个North Face账户遭到黑客攻击

日期: 2022-09-07
标签: 信息技术, 批发零售, The North Face, 撞库攻击, 网络犯罪, 

户外服装品牌“The North Face”成为大规模撞库攻击的目标，该攻击导致 thenorthface.com 网站上的 194,905 个账户遭到黑客攻击。撞 库攻击 是指威胁参与者使用从数据泄露中获得的电子邮件地址/用户名和密码组合，试图侵入其他网站上的用户帐户。这些攻击的成功依赖于密码回收的做法，其中一个人在多个在线平台上使用相同的凭据。The North Face 网站的撞库攻击始于 2022 年 7 月 26 日，但该网站的管理员在 2022 年 8 月 11 日检测到异常活动，并于 2022 年 8 月 19 日阻止了该攻击。在对攻击进行调查后，North Face 确定攻击者使用有效凭据成功入侵了近 200,000 个帐户，可能访问了以下客户信息：全名、购买历史、帐单地址、收件地址、 电话号码、帐户创建日期、性别、XPLR Pass 奖励记录。

详情

大量反俄信息中断了勒索组织的Cobalt Strike服务器

日期: 2022-09-07
标签: 俄罗斯, 信息技术, 网络犯罪, 俄乌战争, 

2022年9月7日，网络情报公司Advanced Intelligence (AdvIntel)发现，有不明攻击者现在正在跟踪勒索组织使用的 TeamServers (C2)，以控制受感染主机（客户端）上的 Cobalt Strike (CS) Beacon 有效负载，从而允许在网络上横向移动。网络情报公司Advanced Intelligence (AdvIntel) 的首席执行官 Vitali Kremez 称，无论是谁运行这些攻击，最初都针对至少四台据称由前 Conti 成员控制的 Cobalt Strike 服务器。这些攻击者用许多反俄罗斯信息以大约每秒两条的高速度涌入Cobalt Strike的服务器。由于大量 ping 的影响，TeamServer 的 Java 应用程序超载，并且活动以类似于拒绝服务 (DoS) 条件的方式中断。目前尚不清楚此次活动的幕后黑手。

详情

阿尔巴尼亚指责伊朗7月网络攻击，并断绝外交关系

日期: 2022-09-07
标签: 美国, 伊朗, 政府部门, 外交关系, 

阿尔巴尼亚总理埃迪·拉马在2022年9月7日宣布，要求伊朗伊斯兰共和国大使馆全体工作人员在 24 小时内离开。这一决定是在 7 月针对阿尔巴尼亚政府基础设施的网络攻击归因于伊朗威胁行为者之后与伊朗断绝外交关系之后做出的 。拉玛表示：深入调查为我们提供了无可争辩的证据，表明针对我国的网络攻击是由伊朗伊斯兰共和国通过实施侵略的四个团体的参与精心策划和赞助的。美国政府还正式指责伊朗在 7 月袭击了阿尔巴尼亚，并表示该国将对威胁北约盟国的安全负责。伊朗政府进行了这种鲁莽和不负责任的网络攻击，并且对随后的黑客攻击和泄密行动负有责任。美国将采取进一步行动，追究伊朗对威胁美国盟友安全的行为负责，并为网络空间开创一个令人不安的先例。

详情

亲俄组织NoName057(16)通过 DDoS 攻击瞄准乌克兰支持者

日期: 2022-09-06
标签: 挪威, 波兰, 乌克兰, 俄罗斯, 爱沙尼亚, 立陶宛, 金融业, 政府部门, 文化传播, 制造业, 交通运输, NoName057(16), Killnet, Anonymous（匿名者）, 俄乌战争, 

乌克兰战争开始至今已经六个月了。从那时起，亲俄罗斯和亲乌克兰的黑客组织，如 KillNet、Anonymous、乌克兰 IT 军队、Legion Spetsnaz RF 进行了网络攻击。一个名为NoName057(16)的鲜为人知的组织是攻击乌克兰及其周边国家并与乌克兰站在一起的亲俄罗斯组织之一。NoName057(16)正在对属于乌克兰政府、新闻机构、军队、供应商、电信公司、运输当局、金融机构等的网站以及支持乌克兰的邻国（如乌克兰本身、爱沙尼亚、立陶宛、挪威）进行 DDoS 攻击。该小组目标的完整列表可在本文末尾找到。 为了进行 DDoS 攻击，黑客组织利用僵尸网络。他们通过 C&C 服务器控制它们，向单个机器人发送命令，这些机器人基本上充当士兵。发现和跟踪僵尸网络既复杂又耗时。研究人员得到了名为Bobik的恶意软件。Bobik并不新鲜，它自 2020 年以来就已经存在，被称为远程访问木马。然而，最近情况发生了变化。感染Bobik的设备现在成为僵尸网络的一部分，NoName057(16)利用其进行 DDoS 攻击。

详情

英国洲际酒店集团遭受网络攻击，预订系统中断

日期: 2022-09-06
标签: 英国, 住宿餐饮业, 英国洲际酒店集团（InterContinental Hotels Group PLC）, 

2022年9月6日，英国洲际酒店集团（InterContinental Hotels Group PLC）表示，其信息技术（IT）系统自2022年9月5日网络被破坏后一直中断。IHG 是一家英国跨国公司，目前在 100 多个国家/地区经营 6,028 家酒店，并有 1,800 多家在开发中。其品牌包括豪华、高档和基本连锁酒店，如 洲际、 丽晶、六善、 皇冠假日、 假日酒店等。专家表示，英国洲际酒店集团可能遭受了勒索软件攻击，黑客在 IHG 的网络上部署了勒索软件有效负载和加密系统。而在2022年8月，Lockbit 勒索软件团伙声称对 IHG 旗下酒店之一伊斯坦布尔卡德柯伊假日酒店发动了攻击。英国洲际酒店集团已聘请外部专家对事件进行调查，并正在通知相关监管机构。

详情

名为Worok的黑客组织攻击者目标是亚洲政府组织

日期: 2022-09-06
标签: 中东, 非洲, 亚洲, 政府部门, Worok, 恶意攻击, 

一个名为 Worok 的不知名间谍组织自 2020 年底以来一直活跃，其目标是总部位于亚洲的知名企业和市政府。该网络团伙最初被 ESET 专家确定为 Worok，该组织还袭击了中东和非洲的目标。根据 ESET 研究员 Thibaut Passilly 的说法，Worok 的工具包“包括 C++ 加载程序 CLRLoad、PowerShell 后门 PowHeartBeat 和 C# 加载程序 PNGLoad，它使用隐写术从 PNG 文件中提取隐藏的恶意负载。”在 2021 年 5 月至 2022 年 1 月期间，该组织的恶意操作经历了重大中断。2022 年的感染链现已放弃 CLRLoad，转而使用 PowHeartBeat，这是一个功能齐全的 PowerShell 植入程序，可启动 PNGLoad 并通过 HTTP 或 ICMP 与远程服务器通信，以执行相关文件操作、传输和接收文件以及执行任意命令。攻击者是在窃取受害者的信息，因为他们针对亚洲和非洲的知名组织，重点关注私营和公共部门，但特别强调政府实体。

详情

美国第二大学区LAUSD遭到勒索软件袭击

日期: 2022-09-05
标签: 美国, 教育行业, 美国第二大学区洛杉矶联合大学 (LAUSD), 

2022年9月5日，美国第二大学区洛杉矶联合大学 (LAUSD) 发布紧急通告，称勒索软件攻击在2022年9月4日袭击了其信息技术 (IT) 系统。洛杉矶联合大学 LAUSD 招收了从幼儿园到12 年级的640,000多名学生，分布在洛杉矶和 31 个较小的城市中。在发现攻击者破坏了对 LAUSD 系统（包括电子邮件服务器）的访问后，学区首先 披露了全学区的技术问题。大约七个小时后，LAUSD 确认 这是一次勒索软件攻击，并将该事件标记为“犯罪性质”。尽管袭击破坏了 LAUSD 的基础设施，但该学区表示，学校在2022年9月5日（周一）仍将开放，同时努力恢复受影响的服务器，预计一些延迟会影响一些服务。LAUSD 已报告该事件，并正在与执法部门和联邦机构（FBI 和 CISA）合作进行调查。

详情

西北工业大学遭美国NSA网络攻击

日期: 2022-09-05
标签: 中国, 美国, 信息技术, 教育行业, 政府部门, 西北工业大学, 

2022年9月5日，中国国家计算机病毒应急处理中心和360公司发布针对西北工业大学遭美国NSA网络攻击事件调查报告。2022年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。陕西省西安市公安局正式立案调查。国家计算机病毒应急处理中心和360公司联合组成技术团队（以下简称“技术团队”），全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，并得到了欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Office of Tailored Access Operation，后文简称TAO）。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

联邦调查局在多次 CISA 警报后警告医疗设备存在漏洞

日期: 2022-09-12
标签: 美国, 卫生行业, 漏洞利用, 

联邦调查局在2022年9月12日警告，广泛使用的医疗设备中的一个漏洞正在为网络敞开大门。在联邦调查局互联网犯罪投诉 (IC3) 的一份白色通知中，执法机构中心表示，发现“正在运行多个”的安全漏洞设备是由在过时的软件和广泛打上的未完成的的医疗设备造成的。FBI特别提到了除在激波、移动心脏遥测、起搏器和霞内泵中发现的漏洞，并通过拦截器以管理设备的方式并改变、探测药物喷射或“其他”危及患者健康”。利用安全漏洞网络威胁行为者造成医疗机构的运营功能、患者数据遗传和数据泄露的不良影响、影响。这些医疗设备漏洞主要是因为包括了日常挑战使用标准化配置、专用配置（包括网络上大量安全设备）、广泛的嵌入式设备功能以及无法升级的设备软件管理。美国医疗设备硬件通常在某个医疗机构中使用了 30 多年，这让网络犯罪分子和国家行为者有可能会发现和利用漏洞。

详情

苹果警告 macOS 内核零日漏洞利用

日期: 2022-09-12
标签: 信息技术, Apple, 漏洞利用, 

2022年9月12日，Apple 的安全响应引擎加速运转，为各种产品中的安全缺陷提供补丁，包括对已在野外利用的两个关键 macOS 内核漏洞的修复。苹果公司在一份公告中承认了 macOS 的零日漏洞，但没有分享技术细节或妥协指标，以帮助防御者寻找感染迹象。这两个漏洞——CVE-2022-32894 和 CVE-2022-32917——影响 macOS Big Sur，并由一位匿名研究人员报告给 Cupertino。应用程序可能能够以内核权限执行任意代码。苹果知道有报道称这个问题可能已被积极利用。

苹果表示，这些错误已通过改进边界检查得到解决。macOS Big Sur 11.7 更新还涵盖了 8 个额外的安全漏洞，其中一些严重到足以让 Apple 客户面临代码执行攻击和隐私绕过。Apple 还发布了 iOS 16，其中修复了十几个记录在案的安全漏洞。有趣的是，CVE-2022-32917 内核漏洞列在 iOS 修复程序中，但 Apple 并未将其标记为在野外被利用。iOS 16 更新涵盖了联系人、内核、地图、MediaLibrary、Safari、Safari 扩展、快捷方式和 WebKit 中的安全漏洞。

详情

勒索软件集团泄露从思科窃取的文件

日期: 2022-09-12
标签: 美国, 信息技术, 思科（Cisco）, LAPSUS$, 网络犯罪, 

一个网络犯罪组织泄露了今年从思科窃取的文件，但这家网络巨头坚持对事件的初步评估，并表示对其业务没有影响。思科于 8 月 10 日承认，它在 5 月 24 日发现了安全漏洞。这一承认是由一个名为 Yanluowang 的勒索软件组织提出的，该组织声称已获得千兆字节的信息，并公布了一份据称从思科窃取的文件列表。黑客在9月初公布了从思科窃取的实际文件，该公司已确认这些文件来自其系统。思科在9月12日的更新中表示：这些文件的内容与已经确定和披露的内容相符，之前对该事件的分析保持不变——仍然认为思科的业务没有受到影响，包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。8 月，思科将攻击归咎于与俄罗斯相关的威胁参与者 UNC2447、Lapsus$ 团伙和 Yanluowang 勒索软件组有联系的初始访问代理。该公司表示，攻击者的目标是其一名员工。它声称只有存储在 Box 帐户中的非敏感文件和来自 Active Directory 的员工身份验证数据被盗。黑客最初获取了该员工的思科凭证，然后使用社交工程和其他方法绕过多因素身份验证 (MFA) 并获取更多信息。

详情

关于DEV-0270勒索活动的分析报告

日期: 2022-09-07
标签: 伊朗, 信息技术, 政府部门, 微软（Microsoft）, 网络犯罪, 勒索攻击, 

微软威胁情报团队一直在关注多个勒索软件活动，并将这些攻击与 DEV-0270（也称为 Nemesis Kitten）联系起来，它是伊朗演员 PHOSPHORUS 的一个子组织。微软代表评估 DEV-0270 伊朗政府进行广泛的网络行动，包括广泛调查。然而，他们的地理和部门目标来看，目标通常以低信任度评估 DEV 广泛的战略价值-020 勒索软件是一种合作形式，为个人或特定公司所用。DEV-0270利用对高重大漏洞的访问设备，并利用早期采用披露的新漏洞而出众。DEV-0270正在测试链中广泛使用的整个链路访问性文件（LOLBIN）来进行LOBIN和连接访问。这扩展了它的工具包的 BitLocker 来加密受感染设备上的文件。在该加密成功的情况下，从最初访问到赎金记录期间的赎金（TTR）大约是需要的时间。据观察，组织可以通过 8,000 美元用于加密密钥。另外，有人观察到该演员其运营该其他途径选择收货。选择一次攻击中，接受赎金，因此开发者发布在组织中寻求组织的攻击来创造数据，以打包SQL数据库转储中销售。

详情

思科针对影响多个产品的新漏洞发布安全补丁

日期: 2022-09-07
标签: 信息技术, 思科（Cisco）, 漏洞修补, 

思科在2022年9月7日推出了补丁，以解决影响其产品的三个安全漏洞，其中包括8月底在 NVIDIA 数据平面开发套件 (MLNX_DPDK) 中披露的一个高严重性漏洞。跟踪为CVE-2022-28199（CVSS 评分：8.6），该漏洞源于 DPDK 的网络堆栈中缺乏适当的错误处理，使远程攻击者能够触发拒绝服务 (DoS) 条件并对数据完整性和机密性。思科在 9 月 7 日发布的通知中表示：如果在设备接口上观察到错误情况，设备可能会重新加载或无法接收流量，从而导致拒绝服务 (DoS) 情况。DPDK是指一组用于快速数据包处理的库和优化的网络接口卡 (NIC) 驱动程序，为高速网络应用程序提供框架和通用 API。思科表示，它调查了其产品阵容并确定以下服务受到该漏洞的影响，促使网络设备制造商发布软件更新：

• 思科 Catalyst 8000V 边缘软件

• 自适应安全虚拟设备 (ASAv)，以及

• Secure Firewall Threat Defense Virtual（以前称为 FTDv）

除了 CVE-2022-28199 之外，思科还解决了其 Cisco SD-WAN vManage 软件中的一个漏洞，该漏洞可能“允许访问 VPN0 逻辑网络的未经身份验证的相邻攻击者也访问受影响系统上的消息服务端口。”

详情

HP 修复了预装 Support Assistant 工具中的严重漏洞

日期: 2022-09-07
标签: 信息技术, 惠普（HP）, Omen, 漏洞利用, 

惠普发布了一份安全公告，提醒用户注意 HP Support Assistant 中新发现的漏洞，该软件工具预装在所有惠普笔记本电脑和台式电脑上，包括 Omen 子品牌。HP Support Assistant 用于解决问题、执行硬件诊断测试、深入了解技术规格，甚至检查 HP 设备上的 BIOS 和驱动程序更新。该漏洞由 Secure D 的研究人员发现并报告给 HP，被跟踪为 CVE-2022-38395，严重性得分为 8.2，因为它使攻击者能够提升他们对易受攻击系统的权限。CVE-2022-38395 可以被已经通过低权限恶意软件或 RAT 工具在系统上建立存在的攻击者利用。由于安装了 HP Support Assistant 的设备数量众多且利用的复杂性较低，建议所有 HP 用户尽快升级 Support Assistant。

详情

Moobot 僵尸网络正在攻击您未打补丁的 D-Link 路由器

日期: 2022-09-06
标签: 制造业, 信息技术, 海康威视, MooBot, Mirai, 漏洞利用, 

被称为“MooBot”的 Mirai 恶意软件僵尸网络变种在上月初开始的新攻击浪潮中重新出现，针对具有新旧漏洞的易受攻击的 D-Link 路由器。MooBot 于 2021 年 12 月被 Fortinet 的分析师发现，目标是海康威视摄像头中的一个漏洞，以迅速传播并将大量设备纳入其 DDoS（分布式拒绝服务）军队。

2022年9月6日，该恶意软件已经更新了它的目标范围，这对于寻找可以诱捕的未开发漏洞设备池的僵尸网络来说是典型的。根据 Palo Alto Network 的Unit 42 研究人员编制的一份报告，MooBot 现在针对 D-Link 设备中的以下关键漏洞：

• CVE-2015-2051：D-Link HNAP SOAPAction 标头命令执行漏洞

• CVE-2018-6530：D-Link SOAP 接口远程代码执行漏洞

• CVE-2022-26258：D-Link 远程命令执行漏洞

• CVE-2022-28958：D-Link 远程命令执行漏洞

详情

Zyxel发布CVE-2022-34747RCE漏洞通告

日期: 2022-09-06
标签: 信息技术, 制造业, 网络设备公司合勤科技（Zyxel）, 

2022年9月6日，网络设备制造商Zyxel发布安全更新通告，警告其客户一个新的远程代码执行（RCE）严重漏洞会影响其网络连接存储（NAS）产品的三种型号。该漏洞被跟踪为 CVE-2022-34747  ，CVSS v3 严重性评分为 9.8，被评为严重，但没有太多漏洞细节。该漏洞存在于 Zyxel NAS 产品的特定二进制文件中，是一个格式字符串漏洞，该漏洞可能允许攻击者通过精心设计的 UDP 数据包实现未经授权的远程代码执行。易受攻击的固件版本为 NAS326 的 V5.21(AAZF.11)C0 及更早版本，NAS540 的 V5.21(AATB.8)C0 及更早版本，以及 NAS542 的 V5.21(AATB.8)C0 或更早版本。Zyxel已经以固件更新的形式发布了受影响设备的安全更新，并在安全公告中提供了下载链接。

详情

QNAP修复DeadBolt 勒索组织利用的零日漏洞

日期: 2022-09-05
标签: 中国台湾, 制造业, 信息技术, QNAP, 0day, 

2022年9月3日，在 DeadBolt 勒索组织开始利用零日漏洞攻击的 12 小时后，网络设备制造商QNAP 发布了 Photo Station 安全更新公告，敦促 NAS 客户立即将 Photo Station 更新到最新版本。QNAP称检测到DeadBolt 勒索软件利用 Photo Station 漏洞来加密直接连接到 Internet 的 QNAP NAS。自 2022 年 1 月以来，DeadBolt 勒索软件团伙一直在攻击 NAS 设备，他们在 Internet 暴露的 NAS 设备上使用了该零日漏洞（现已修复）。并且在 2022 年5 月和2022 年 6 月对 QNAP 设备进行了进一步的攻击。即使QNAP已经修复了该安全漏洞，但截止2022年9月6日，攻击仍然在继续，且攻击范围很广。建议对所有 NAS 用户帐户使用强密码，并定期拍摄快照，以防止在受到攻击时丢失数据。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   其他事件

伊朗APT42在14个国家发动了30多次间谍袭击

日期: 2022-09-12
标签: 伊朗, 信息技术, 政府部门, 卫生行业, 商务服务, 制造业, 文化传播, APT42, APT舆情, 

2022年9月12日，网络安全公司 Mandiant 发布报告，将针对14个国家的 30 多次网络间谍攻击归因于国家支持的伊朗威胁组织 APT42（前身为 UNC788），其活动至少可以追溯到 2015 年。 根据 APT42 的活动，研究人员认为该黑客组织代表伊斯兰革命卫队情报组织 (IRGC-IO) 运作，并且与另一个与伊朗有关的 APT 组织 APT35有活动重叠。APT42 针对多个行业，如非营利组织、教育、政府、医疗保健、法律、制造、媒体和制药业，横跨 14 个国家/地区，包括澳大利亚、欧洲、中东和美国。APT42 活动对外交政策官员、评论员和记者构成威胁，特别是在美国、英国和以色列从事与伊朗相关项目的工作人员。

详情

谷歌完成对情报公司Mandiant的收购

日期: 2022-09-12
标签: 美国, 信息技术, 谷歌（Google）, Mandiant, 云计算, 收购, 

2022年9月12日，Google LLC 宣布完成对动态网络防御、威胁情报和事件响应公司Mandiant, Inc.的收购服务。Mandiant 将加入 Google Cloud 并保留 Mandiant 品牌。通过此次收购，谷歌云和 Mandiant 将提供一个端到端的安全运营套件，该套件具有更强大的功能，可以跨云和本地环境为客户提供支持。如今组织正面临着频率、严重性和多样性加速的网络安全挑战，从而产生了全球安全当务之急。企业需要能够快速检测并响应恶意行为者，并利用可操作的威胁情报来持续保护其组织免受新攻击。Mandiant表示，“将我们 18 年的威胁情报和事件响应经验与 Google Cloud 的安全专业知识相结合，可以以安全行业所需的速度和规模进行交付。”埃森哲安全全球主管Paolo Dal Cin表示：“Google Cloud 和 Mandiant 的结合以及他们对多云的承诺将进一步支持加强协作，推动整个网络安全行业的创新并增强威胁研究能力。”

详情

SBU拘留了一名俄罗斯特种部队特工

日期: 2022-09-12
标签: 俄罗斯, 乌克兰, 政府部门, 俄乌战争, 特工, 

在敖德萨的一次特别行动中，一名精通阴谋手段的俄罗斯特种部队特工被拘留。他原来是乌克兰内政部打击有组织犯罪局（称为 UBOZ，于 2015 年解散）的前刑事情报负责人。

该特工收集了情报，包括有关安全服务领导层的信息。特工还对有关内政部官员和退伍军人身份识别数据的机密信息以及对高调案件的调查结果感兴趣。他将收集到的信息转交给他在莫斯科的“联络人”，即俄罗斯联邦内政部的一名工作人员谢尔盖·耶罗明，他的活动由 FSB 协调。俄罗斯利用收到的信息来识别乌克兰安全部队中的“潜在目标”，进行破坏和特殊信息行动，抹黑他们并试图招募他们。根据SBU反情报数据，叛徒于2022年6月被侵略国代表招募。从那时起，根据莫斯科“策展人”的指示，特工一直在收集有关安全和国防军的情报，以及有关乌克兰南部社会政治局势的信息。为了在俄罗斯联邦传输数据，他使用了以前开发的电子通信通道。在搜查被拘留者的住所时，执法人员发现了他用来与俄罗斯联邦代表交流的通讯方式。到目前为止，SBU 调查人员已告知肇事者涉嫌叛国罪，在戒严令下犯下，法院已选择以拘留形式对他采取预防措施。

详情

美国国会正在考虑禁止加密货币开采，以应对气候变化

日期: 2022-09-08
标签: 美国, 信息技术, 金融业, 能源业, 加密货币, 

2022年9月8日，根据拜登总统的行政命令，白宫科技办公室提交了关于比特币开采对气候影响的报告，称比特币开采对环境产生负面影响，并暗示禁止开采加密货币。加密资产是数字资产使用加密技术实现，并拥有当前的全球市场市值近1万亿美元。然而，一些加密资产技术目前需要用于资产生成、所有权和交换的大量电力。电数字资产的使用导致温室气体排放、额外污染、噪音和其他当地影响。比特币挖矿设施还会对电网造成额外压力，导致停电、火灾隐患和设备老化。报告中表示，政府应该探索行政行动，国会可能会考虑立法，以限制或消除在加密资产开采中使用高能量强度共识机制。

详情

微软调查伊朗对阿尔巴尼亚政府的袭击

日期: 2022-09-08
标签: 伊朗, 阿尔巴尼亚, 信息技术, 微软（Microsoft）, DEV-0861, 漏洞利用, 网络犯罪, APT舆情, 

2022年9月8日，微软安全研究团队发布研究报告称，调查了伊朗黑客攻击阿尔巴尼亚政府的事件。在2022年 7 月中旬阿尔巴尼亚政府遭受破坏性网络攻击后不久，阿尔巴尼亚政府聘请微软检测和响应小组 (DART) 对这些攻击进行了调查。微软检测和响应小组 (DART) 调查显示，2022 年 7 月 15 日，由伊朗政府赞助的行为者对阿尔巴尼亚政府进行了破坏性网络攻击，扰乱了政府网站和公共服务。微软评估有多个伊朗黑客参与了这次攻击，并且不同的参与者负责不同的阶段。一个隶属于伊朗政府的组织 DEV-0861 可能在 2021 年 5 月通过利用未修补的 SharePoint Server administrata.al (Collab) 上的 CVE-2019-0604 漏洞访问了阿尔巴尼亚政府受害者的网络。对 Exchange 日志的分析表明，DEV-0861 后来在 2021 年 10 月至 2022 年 1 月期间从受害者的网络中窃取了邮件。

详情

Shiba Inu加密代币的AWS凭证泄露

日期: 2022-09-08
标签: 信息技术, 金融业, Shiba Inu, 云计算, 加密货币, AWS凭证, 

2022年9月8日，PingSafe的研究人员发布报告称，Shiba Inu 开发人员在公共代码存储库中泄露 AWS 访问密钥，导致其基础设施遭到破坏。Shiba Inu（代码：SHIB）是一种加密代币，市值为 $6.7B，目前是按市值计算的第 14 大代币。2022 年 8 月 22 日下午 2:11，Pingsafe 的研究人员在公共代码存储库上发现了泄露的 Shiba Inu AWS 账户凭证。凭证有效期为两天，发布后无效。泄露凭证的原因是 Shiba 的一位内部开发人员在公共 GitHub 存储库上提交了 AWS 基础设施密钥。此提交是由他们的一位开发人员在官方 Shiba Inu 存储库中完成的。该漏洞严重暴露了公司的 AWS 账户，据Pingsafe估计有可能导致严重的安全漏洞，包括但不限于用户资金被盗、代币被盗用、服务中断等。

详情

Mandiant 发布关于APT42的研究报告

日期: 2022-09-07
标签: 伊朗, 信息技术, Mandiant, APT42, APT舆情, 

2022年9月7日，Mandiant 发布了一份全面的报告，详细介绍了 APT42，这是一个由伊朗国家资助的网络间谍组织，其任务是对伊朗政府具有战略利益的个人和组织进行信息收集和监视行动。我们有把握地估计，APT42 代表伊斯兰革命卫队 (IRGC) 的情报组织 (IRGC-IO) 根据与该组织的行动任务和优先事项相一致的目标模式开展行动。完整发布的报告涵盖了至少可追溯到 2015 年的 APT42 最近和历史活动、该组织的战术、技术和程序、目标模式，并阐明了与 APT35 的历史联系。APT42 部分与 TA453 ( Proofpoint )、Yellow Garuda ( PwC )、ITG18 ( IBM X-Force )、Phosphorus ( Microsoft ) 和 Charming Kitten ( ClearSky和CERTFA ) 的公开报道一致。

详情

美国国家安全局称美国网络安全领先世界

日期: 2022-09-07
标签: 美国, 政府部门, 

2022年9月7日，美国国家安全局副局长乔治·巴恩斯 ( George Barnes ) 在华盛顿特区举行的比灵顿网络安全峰会上表示， 美国及其民主盟友“享受在专制社会中无法轻易复制的东西”。George Barnes表示，由于美国的“开放社会”性质，在网络安全和技术方面，美国仍然领先于外国对手。“其中的核心是创新。创新激发创造力和解决方案。这使我们处于领先地位，这不仅在于我们的技术，还在于我们的流程，以及我们解决问题的方式，”George Barnes特别提到了中国，中国在超级计算和高级分析等尖端技术上进行了大量投资。但George Barnes认为中国“追求的规模令人生畏，令人恐惧。但我仍然认为他们无法复制我们将技术、技术人员与始终产生尖端技术的事物结合在一起的方式。”

详情

美国政府即将出台一项新的网络安全战略

日期: 2022-09-07
标签: 美国, 政府部门, 

2022年9月7日，美国国家网络主管克里斯·英格利斯（ChrisInglis）表示，他的办公室正在努力制定一项新的国家网络安全战略，并已从美国政府和私营部门的300多个组织获得了该文件的反馈。白宫一直在与国家安全委员会、网络安全和基础设施安全局、联邦调查局以及“广泛的联邦机构和部门合作”。该文件预计将于 9 月底发布，其中将包含许多意见，并指出超过三分之二的组织来自私营部门。美国第一个国家网络安全战略于 2018 年在特朗普政府领导下发布，但因其专注于进攻性网络行动 而遭到专家的强烈反对。

详情

Mandiant 揭露伊朗APT 42多年来的网络间谍活动

日期: 2022-09-07
标签: 伊朗, 政府部门, APT舆情, 

2022年9月7日，网络安全公司 Mandiant 的研究人员表示，至少自 2015 年以来，伊朗伊斯兰革命卫队情报组织一直在对伊朗政府感兴趣的个人和组织（包括美国境内）开展庞大的网络间谍活动和监视行动。各种行动集中在一个组织保护伞下，Mandiant 将其称为 APT 42。该组织目标主要集中在中东地区，一直以西方智库、研究人员、记者、现任西方政府官员、前伊朗政府官员和海外伊朗侨民为目标。APT 42的特点是有针对性的鱼叉式网络钓鱼活动和监视行动。研究人员说，该机构还花费大量时间与受害者建立融洽的关系，以促进成功的攻击，其中可能包括提供用于跟踪位置的恶意软件、记录电话对话、访问视频和图像以及提取整个 SMS 文本收件箱。

详情

DangerousSavanna：为期两年针对非洲法语区的金融机构的恶意活动

日期: 2022-09-06
标签: 科特迪瓦, 摩洛哥, 喀麦隆, 塞内加尔, 中非, 西非, 金融业, 恶意攻击, DangerousSavanna, 

最近的研究表明，中非和西非超过 85% 的金融机构多次遭受多重破坏性网络攻击。在其中四分之一的案例中，对网络系统的入侵给金融和银行业带来了最坏的结果：信息泄露、身份盗窃、汇款欺诈和银行因虚假支票而取款。在本文中，分析了一个名为 DangerousSavanna 的恶意活动，该活动在过去两年中一直针对非洲法语区的多个主要金融服务集团。该活动背后的威胁行为者使用鱼叉式网络钓鱼作为初始感染手段，向至少五个不同法语国家的金融机构员工发送带有恶意附件的电子邮件：科特迪瓦、摩洛哥、喀麦隆、塞内加尔和多哥. 在过去的几个月里，该活动主要集中在科特迪瓦。从受害者学和战术、技术和程序 (TTP) 来看，可以以中等到高度的信心评估 DangerousSavanna 背后的动机可能是经济上的。DangerousSavanna 倾向于在受感染的环境中安装相对简单的软件工具。这些工具都是自行编写的，并且基于Metasploit、PoshC2、DWservice和AsyncRAT等开源项目. 攻击者的创造力在初始感染阶段就展现出来，他们不断地追捕目标公司的员工，不断改变利用各种恶意文件类型的感染链，从自写的可执行加载程序和恶意文档，到各种组合的 ISO、LNK、JAR 和 VBE 文件。威胁参与者不断演变的感染链反映了在过去几年中看到的威胁格局的变化，因为感染媒介变得越来越复杂和多样化。

详情

SSU 关闭了 2 个在乌克兰传播破坏性内容的机器人农场

日期: 2022-09-06
标签: 乌克兰, 政府部门, 俄乌战争, 

SSU 网络部门已经拆除了另外 2 个机器人农场：基辅地区和敖德萨。近 7,000 个帐户的“机器人军队”被用来传播破坏性内容，旨在：1、 诋毁乌克兰国防军和国家领导；2、为俄罗斯的武装侵略辩护；3、破坏乌克兰的社会和政治局势。根据调查，目前居住在基辅地区的一名 24 岁的扎波罗热地区本地人创建并管理了一个拥有 5,000 个帐户的机器人农场。为保密起见，他通过俄罗斯电子邮件服务和俄罗斯和白俄罗斯移动运营商的虚拟号码注册了虚假账户。在某些情况下，他使用伪造的乌克兰公民文件进行验证。组织者将“现成”机器人出租或出售给感兴趣的各方，接受银行卡付款。他的“客户”包括政党公关部门的代表和俄罗斯公民，他们在乌克兰信息空间宣传破坏性和挑衅性材料。

详情

Minecraft 是黑客最喜欢的隐藏恶意软件的游戏

日期: 2022-09-06
标签: 文化传播, Minecraft, 游戏, 

2022年9月6日，安全公司卡巴斯基的安全研究人员发布研究报告称，Minecraft 是网络犯罪分子滥用最严重的游戏名称，他们使用它来引诱毫无戒心的玩家安装恶意软件。根据卡巴斯基在 2021 年 7 月至 2022 年 7 月期间收集的统计数据，与 Minecraft 相关的文件约占通过游戏品牌滥用传播的恶意文件的 25%，其次是 FIFA (11%)、Roblox (9.5%)、Far Cry ( 9.4%）和使命召唤（9%）。在此期间滥用比例较高的其他游戏有《极品飞车》、《侠盗猎车手》、《勇敢者》、《模拟人生》和 GS:GO。黑客之所以利用游戏引诱，主要是因为其庞大的目标池，因为被滥用的游戏吸引了数千万人的兴趣。建议用户谨慎下载Internet上的免费软件，只从受信任的站点下载。此外，如程序声明必须禁用防病毒软件才能正常运行程序，应当十分警惕且避免下载运行，因为这会导致恶意软件无限制地进行恶意活动。

详情

TikTok在用户数据泄露后否认受到网络攻击

日期: 2022-09-05
标签: 中国, 文化传播, 信息技术, TikTok（抖音）, AgainstTheWest, 

2022年9月5日，TikTok 否认最近遭受网络攻击、源代码和用户数据被盗等事件，并称发布到黑客论坛的数据与该公司“完全无关”。2022年9月2日，一个名为“AgainstTheWest”的黑客组织在一个黑客论坛上创建了一个主题，声称已经入侵了 TikTok 和微信，并且分享了一个属于这些公司的所谓数据库的屏幕截图，称该数据库是在一个包含 TikTok 和微信用户数据的阿里云实例上访问的。AgainstTheWest表示，该服务器在一个 790GB 的庞大数据库中保存 20.5 亿条记录，其中包含用户数据、平台统计信息、软件代码、cookie、身份验证令牌、服务器信息等。TikTok的安全团队调查了这一声明，称确定有问题的代码与 TikTok 的后端源代码完全无关，后者从未与微信数据合并。TikTok 还称，泄露的用户数据不可能是直接抓取其平台造成的，因为它们有足够的安全保护措施来防止自动脚本收集用户信息。

详情

勒索软件攻击者滥用 Genshin Impact 反作弊系统来禁用杀毒软件

日期: 2022-09-05
标签: 文化传播, 信息技术, mhyprot2.sys, Genshin Impact, 

根据趋势科技的调查结果，网络犯罪分子利用一个易受攻击的 Genshin Impact 视频游戏的反作弊驱动程序来禁用防病毒程序以促进勒索软件的部署。勒索软件感染于 2022 年 7 月底，其原因是相关驱动程序（“mhyprot2.sys”）使用有效证书签名，从而可以规避特权并终止与端点保护应用程序。Genshin Impact 是一款流行的动作角色扮演游戏，由上海开发商 miHoYo 于 2020 年 9 月开发并发行。攻击链中使用的驱动据说是2020年8月构建的，游戏发布后讨论的模块中存在漏洞，导致漏洞可以杀死任意进程并升级到内核模式。威胁行为者旨在在受害者的趋势科技指出，该游戏“无需安装在受害者的设备上即可运行”，这意味着攻击者可以简单地安装反作弊驱动程序作为勒索软件部署的前兆。设备中部署勒索软件，然后传播感染。

详情

暗网中出现 MFA 绕过的 EvilProxy 网络钓鱼服务

日期: 2022-09-05
标签: 信息技术, GoDaddy, 推特（Twitter）, 雅虎, Apple, 谷歌（Google）, Meta（原Facebook）, 微软（Microsoft）, GitHub, Instagram, Dropbox, Yandex, 网络钓鱼, EvilProxy, Twilio, 网络犯罪, 

在最近的 Twilio 黑客攻击导致 2FA (OTP) 代码泄露之后，网络犯罪分子继续升级他们的攻击库，以策划针对全球用户的高级网络钓鱼活动。Resecurity 最近发现了一种新的网络钓鱼即服务 (PhaaS)，称为EvilProxy，在暗网上宣传。在某些消息来源中，替代名称是Moloch，它与之前针对金融机构和电子商务部门的几个著名地下参与者开发的网络钓鱼工具包有某种联系。虽然 Twilio 事件仅与供应链有关，但网络安全风险显然会导致对下游目标的攻击，而像 EvilProxy 这样的产品化地下服务使威胁行为者能够最大规模地攻击启用了 MFA 的用户，而无需破解上游服务。EvilProxy 参与者正在使用反向代理和Cookie 注入方法绕过 2FA 身份验证——代理受害者的会话。以前，此类方法已在 APT 和网络间谍组织的有针对性的活动中看到，但现在这些方法已在 EvilProxy 中成功产品化，这凸显了针对在线服务和 MFA 授权机制的攻击增长的重要性。

详情

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x09   时间线

2022-09-13 360CERT发布安全事件周报