报告编号：B6-2023-010301

报告来源：360CERT

报告作者：360CERT

更新日期：2023-01-03

0x01   事件导览

本周收录安全热点42项，话题集中在恶意程序、网络攻击方面，涉及的组织有：LockBit、Google、Facebook、Twitter等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

LockBit勒索集团表示对欧洲里斯本港发动了袭击

日期: 2022-12-30
标签: 葡萄牙, 信息技术, 供应链攻击, 网络犯罪, 供应链安全, 

里斯本港网站是在遭到网络攻击后，该网站仍处于关闭状态。LockBit声称其攻击了该港口的网络系统，并窃取了财务报告、审计、预算、合同、船舶日志以及有关货物和船员的其他信息。

详情

滥用 Google Ads 为部署恶意软件提供便利

日期: 2022-12-30
标签: 信息技术, 网络犯罪, 

攻击者可以利用看似可信的网站，这些网站的域名被错误抢注，通过劫持特定关键字的搜索，以恶意广告的形式出现在谷歌搜索结果的顶部。

此类攻击的最终目的是诱使毫无戒心的用户下载恶意程序或可能不需要的应用程序。

详情

LockBit勒索软件被用于攻击美国地方政府

日期: 2022-12-28
标签: 美国, 信息技术, 网络犯罪, 

2022年12月28日，美国俄亥俄州芒特弗农市表示，该市警察局、市法院和其他政府办公室受到了12月19日开始的勒索软件攻击的影响。2022年12月27日，美国政府发表声明称，有关官员已获悉这起始于19日凌晨3点的事件。市政府官员表示:“这次入侵是通过纽约市信息技术(IT)提供商使用的远程访问工具发生的，这也影响了该提供商的其他客户。”入侵者安装了名为LockBit的勒索软件，要求赎金才能访问某些文件。受影响的部门包括芒特弗农市法院、警察局、审计员办公室和公共工程部。”城市专家和他们的IT提供商动态网络(Dynamic Networks)上周一直在使用备份恢复所有受影响的系统。根据声明，易受攻击的软件已经从他们的所有系统中移除。该声明声称，没有任何带有个人身份信息的文件“从城市系统中删除或访问”。

详情

黑客滥用谷歌广告在合法软件中传播恶意软件

日期: 2022-12-27
标签: 美国, 信息技术, 谷歌（Google）, Raccoon Stealer, Vidar Stealer, IcedID, 

2022年12月27日，Guardio Labs 和 Trend Micro发布研究报告称，恶意软件运营商越来越多地滥用 Google Ads 平台，将恶意软件传播给毫无戒心的搜索流行软件产品的用户。这些活动中冒充的产品包括 Grammarly、MSI Afterburner、Slack、Dashlane、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird 和 Brave。该威胁会克隆上述项目的官方网站，并在用户单击下载按钮时分发软件的木马化版本。以这种方式传送到受害者系统的一些恶意软件包括 Raccoon Stealer 的变体、Vidar Stealer 的自定义版本和 IcedID 恶意软件加载程序。

详情

朝鲜黑客更新战术与武器库

日期: 2022-12-28
标签: 朝鲜, 信息技术, BlueNorOff, 网络犯罪, 

2022年12月下旬，网络安全公司卡巴斯基报道称，朝鲜的BlueNoroff黑客在针对银行和风险投资公司的新一波攻击中更新了他们的武器库和交付技术。经过几个月的沉寂，该组织于2022年秋天恢复了活动，利用新的恶意软件进行了新的攻击，并更新了包括新文件类型在内的交付技术，以及绕过微软的网络标记（MotW）保护的方法。

详情

IcedID 僵尸网络滥用 Google PPC 传播恶意软件

日期: 2022-12-27
标签: 信息技术, 谷歌（Google）, IcedID, 僵尸网络, 

2022年12月27日，趋势科技研究人员发布报告称，自 12 月初以来，IcedID 僵尸网络分发者一直在使用 SEO 中毒来诱使搜索引擎用户访问导致下载恶意软件的虚假网站。为了提高流量和销售额，企业利用 Google Ads 向特定目标人群投放广告。为了在有机搜索结果上方显示恶意广告，攻击者在 Google 按点击付费 (PPC) 广告中选择知名企业和应用程序使用的关键字并对其进行排名。IcedID 僵尸网络在恶意广告攻击中采用了多种策略来增加检测难度。tcl86.dll、sqlite3.dll、conEmuTh.x64.dll 和 libcurl.dll 等众所周知且经常使用的库都包含在更新文件中以充当 IcedID 加载程序。

详情

新型信息窃取软件RisePro分析

日期: 2022-12-26
标签: 信息技术, RisePro, PrivateLoader, 网络犯罪, 信息窃取, 

2022年12月26日，Flashpoint的安全研究人员发布报告，称发现名为PrivateLoader的按安装付费 (PPI) 恶意软件下载器服务被用于分发先前记录的名为RisePro的信息窃取恶意软件。RisePro 是一种基于 C++ 的恶意软件，据说与另一种信息窃取恶意软件 Vidar stealer 有相似之处，后者本身是2018 年出现的代号Arkei的窃取程序的分支。Flashpoint 于 2022 年 12 月 13 日发现了RisePro这个新型信息窃取软件，此前它发现了在名为俄罗斯市场的非法网络犯罪市场上使用该恶意软件泄露的“几组日志”。

详情

GuLoader恶意软件利用新技术绕过安全软件

日期: 2022-12-26
标签: 信息技术, GuLoader, 

2022年12月下旬，CrowdStrike 研究人员 Sarang Sonawane 和 Donato Onofri发布研究报告，揭示了名为GuLoader的高级恶意软件下载器采用的多种技术来逃避安全软件。GuLoader，也称为CloudEyE，是一种 Visual Basic Script (VBS) 下载程序，用于在受感染的计算机上分发远程访问木马。它于 2019 年首次在野外被发现。研究人员在技术文章中表示：“新的 shellcode 反分析技术试图通过扫描整个进程内存中任何与虚拟机 (VM) 相关的字符串来阻止研究人员和敌对环境。”

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

印度铁路数据泄露3000万用户信息

日期: 2022-12-30
标签: 印度, 交通运输, 信息泄露, 

印度铁路公司发生数据泄露事件，导致大约 3000 万人的个人信息泄露，主要包括姓名、电子邮件、电话号码和性别。

详情

Facebook 支付 7.25 亿美元以了结剑桥分析公司数据泄露诉讼

日期: 2022-12-27
标签: 美国, 信息技术, Meta（原Facebook）, 

2022年12月下旬，Facebook、Instagram 和 WhatsApp 的母公司 Meta Platforms 已同意支付 7.25 亿美元，以了结于 2018 年提起的长期集体诉讼。法律纠纷的爆发是为了回应社交媒体巨头允许第三方应用程序（例如 Cambridge Analytica 使用的应用程序）在未经用户同意的情况下访问用户个人信息以投放政治广告的消息。

详情

黑客声称正在出售4亿用户的Twitter数据

日期: 2022-12-26
标签: 美国, 信息技术, 推特（Twitter）, 网络犯罪, 

2022年12月26日，一名黑客声称要出售 2021 年使用现已修复的 API 漏洞收集的 4 亿 Twitter 用户的公共和私人数据。他们要价 200,000 美元进行独家销售。所谓的数据转储由名为“Ryushi”的威胁行为者在 Breached 黑客论坛上出售，该网站通常用于出售在数据泄露中被盗的用户数据。黑客声称已使用漏洞收集了 400 多万独立 Twitter 用户的数据。他们警告 Elon Musk 和 Twitter，他们应该在根据欧洲 GDPR 隐私法导致巨额罚款之前购买这些数据。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

加密平台 3Commas 承认被黑客窃取了API密钥

日期: 2022-12-30
标签: 金融业, 加密货币, 

3Commas 调查了泄露的数据，并确认这些文件包含有效的 API 密钥。因此，该平台现在敦促所有支持的交易所，包括 Kucoin、Coinbase 和 Binance，撤销所有连接到 3Commas 的密钥。攻击者可以利用该密钥操作用户的3Commas账户自动执行投资和交易操作

详情

BitKeep证实网络攻击，数字货币损失超过900万美元

日期: 2022-12-28
标签: 金融业, 信息技术, BitKeep, 加密货币, 网络犯罪, 

2022年12月28日，去中心化的多链加密钱包BitKeep证实了一次网络攻击，该攻击允许威胁参与者分发其Android应用程序的欺诈版本，目的是窃取用户的数字货币。据称，该事件发生于2022年12月26日，黑客利用并劫持了其网站上托管的Android应用程序包（.APK）文件7.2.9版，以分发木马化变体。BitKeep 首席执行官凯文·科莫 (Kevin Como ) 称， “通过恶意植入代码，修改后的 APK 导致用户私钥泄露，并使黑客能够转移资金” ，并将其描述为“大规模黑客事件”。据区块链安全公司PeckShield和多链区块链浏览器 OKLink 称，迄今为止，估计价值 990 万美元的资产已被掠夺。

详情

BTC.com 在网络攻击中损失300 万美元的加密货币

日期: 2022-12-27
标签: 中国, 金融业, 信息技术, BTC.com, 加密货币, 

2022年12月27日，BTC.com 在一份新闻稿中表示，其客户拥有的价值约 70 万美元的加密货币和公司拥有的价值 230 万美元的数字资产在此次攻击中被盗。BTC.com 是世界上最大的加密货币矿池之一，根据其矿池跟踪器，BTC.com 是第七大加密货币矿池，占网络总哈希率的 2.66%。“在网络攻击中，部分数字资产被盗，包括BTC.com客户拥有的约70万美元资产价值，以及公司拥有的约230万美元资产价值，”BTC.com透露。在 2022 年 12 月 3 日检测到攻击后，BTC.com 向中国深圳执法部门报告了该事件。该公司此后已追回部分被盗的加密货币，但未透露具体金额。 BTC.com补充说：“2022年12月23日，当局已展开调查，开始收集证据，并要求相关机构提供协助和协调。”

详情

朝鲜APT组织针对NFT用户的大规模网络钓鱼攻击

日期: 2022-12-27
标签: 朝鲜, 信息技术, 金融业, 网络钓鱼, 

9月2日，SlowMist安全团队发现疑似APT组织正在针对加密系统中的NFT用户进行大规模网络钓鱼行动。经过进一步调查，发现此网络钓鱼攻击中使用的技术之一涉及使用恶意Mint创建与NFT相关的虚假诱饵网站。这些NFT在OpenSea、X2Y2和Rarible等平台上出售。朝鲜APT组织使用近500个不同的域名针对加密货币和NFT用户进行网络钓鱼行动。通过查看这些域名的注册信息，发现最早的注册日期可以追溯到7个月前。同时，还发现了朝鲜APT组织常用的一些独特的网络钓鱼特征。

详情

黑客从运行木马化BitKeep应用程序的用户那里窃取了800万美元

日期: 2022-12-27
标签: 美国, 金融业, 信息技术, BitKeep, 区块链, 

2022年12月27日，多位BitKeep加密钱包用户报告称，在圣诞节期间，黑客触发了无需验证的交易，他们的财产被清空了。BitKeep是一个去中心化的多链web3 DeFi钱包，支持超过30个区块链、76个主网、20,000个去中心化应用程序和超过223,000个资产。168个国家的800多万人使用它进行资产管理和交易处理。虽然该平台尚未在其网站上发布官方声明，但它已在官方Telegram频道上通知社区，该事件似乎影响了下载BitKeep应用程序非官方版本的用户。对于下载木马APK包的用户，建议在Google Play或App Store下载官方应用后，将资金全部转移至官方商店，创建新的钱包地址，将资金全部转移至该地址。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

SNI代理配置错误易引发SSRF攻击

日期: 2022-12-30
标签: 信息技术, 错误配置, 漏洞攻击, 

通过使用 SNI 字段中的值来选择特定的后端服务器的方式被成为SNI代理，研究发现如果存在错误的nginx配置则可能导致攻击者利用SNI代理方式造成SSRF请求，进而危害内部网络安全。

详情

Netgear多个WiFi路由器高危漏洞更新

日期: 2022-12-30
标签: 信息技术, 路由器漏洞, 安全更新, 

Netgear 已经修复了一个影响多个 WiFi 路由器型号的高危漏洞，并建议客户尽快将他们的设备更新到最新的可用固件。攻击者可以在不需要权限或用户交互的情况下利用此漏洞并可以直接控制用户的路由器设备。

详情

谷歌家庭音箱易遭到黑客远程控制

日期: 2022-12-30
标签: 信息技术, 谷歌（Google）, Google, 智能音箱, 

研究人员在使用自己的Google Home迷你音箱进行实验时，发现使用Google Home应用程序添加的新帐户可以通过云API远程向其发送命令。

攻击者可以利用漏洞监视设备麦克风、在受害者的网络上发出任意 HTTP 请求，以及在设备上读取/写入任意文件。

详情

罗克韦尔自动化制造的控制器中的多个关键漏洞

日期: 2022-12-30
标签: 信息技术, 漏洞修复, 

CISA发布公告，描述了需要进行修复的重要漏洞，一个漏洞是CVE-2022-3156，它会影响 Studio 5000 Logix Emulate 控制器仿真软件。该漏洞是由错误配置引起的，该错误配置导致用户被授予对某些产品服务的提升权限。攻击者可以利用该漏洞远程执行代码。

第二个漏洞是CVE-2022-3157，影响 CompactLogix、GuardLogix（包括 Compact）和 ControlLogix 控制器。攻击者可以通过发送导致“重大不可恢复故障”的特制 CIP 请求，利用该漏洞对设备发起拒绝服务 (DoS) 攻击。

其余漏洞影响 MicroLogix 1100 和 1400可编程逻辑控制器 (PLC)。其中一个安全漏洞 CVE-2022-46670 是嵌入式网络服务器中存储的跨站点脚本 (XSS) 问题，可以利用该漏洞在无需身份验证的情况下远程执行代码。

详情

数千台Citrix服务器仍易受已修补漏洞的影响

日期: 2022-12-28
标签: 信息技术, Citrix, 

2022年12月28日，NCC集团Fox IT团队的研究人员报告称，数以千计的 Citrix ADC 和网关部署仍然容易受到供应商最近几个月修复的两个严重安全问题的影响。第一个漏洞是CVE-2022-27510，已于 11 月 8 日修复。它是一种影响两种 Citrix 产品的身份验证绕过。攻击者可以利用它获得对设备的未授权访问、执行远程桌面接管或绕过登录暴力破解保护。第二个漏洞被跟踪为CVE-2022-27518，于 12 月 13 日披露并修补。它允许未经身份验证的攻击者在易受攻击的设备上执行远程命令并控制它们。Fox IT 分析师于 2022 年 11 月 11 日扫描了网络，发现共有 28,000 台 Citrix 服务器在线。有超过 1,000 台服务器容易受到 CVE-2022-27510 的影响，大约 3,000 个端点可能容易受到这两个严重漏洞的影响。

详情

Kubernetes可能因容器验证错误而被黑客攻击

日期: 2022-12-27
标签: 美国, 信息技术, 云安全, Kubernetes, 

2022年12月21日，ARMO的研究人员发布研究报告，称容器映像的Kyverno准入控制器中存在一个极其严重的漏洞，可能允许恶意行为者利用此漏洞将大量恶意代码导入云提供商的生产环境中。使用Kyverno准入控制器，验证签名的能力作为一种机制提供，以确保只有经过验证和签名的容器被拉入运行Kubernetes的给定集群。这样做可以避免许多潜在的灾难性情况。然而，CVE-2022-47633可以被利用来破坏该机制的功能。据透露，攻击者可以利用此漏洞将未签名映像注入任何受保护的集群，从而绕过映像验证策略。研究人员警告说，攻击者可以有效地控制受害者的pod，并让自己访问pod的所有资产、凭据和服务帐户令牌，包括用于访问API服务器的服务帐户令牌。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   其他事件

APT组织CONFUCIUS针对巴基斯坦IBO反恐行动的网络攻击事件分析

日期: 2022-12-30
标签: 巴基斯坦, CONFUCIUS, APT, C2, 

11月30日，绿盟科技伏影实验室捕获了一起针对巴基斯坦木尔坦地区武装力量的网络攻击事件，攻击者以木尔坦的罗德兰区IBO行动报告为诱饵，尝试投递一种变种木马程序以控制受害者设备。绿盟科技伏影实验室经过分析，确认该事件的主导者为印度方向的APT组织Confucius。本次攻击事件中，Confucius攻击者沿用了其常见的诱饵构建模式，并且使用了该组织已知攻击工具MessPrint的新版本变种程序。

详情

TikTok 被禁止在众议院设备上使用

日期: 2022-12-27
标签: 信息技术, 文化传播, TikTok（抖音）, 

2022年12月27日，美国众议院首席行政办公室宣布，TikTok将被禁止在众议院管理的所有设备上使用。

该机构的网络安全办公室在一封电子邮件中说，“由于一些安全风险，TikTok移动应用程序对用户来说是高风险的。”该消息称，工作人员“不允许在众议院的任何移动设备上下载TikTok应用程序”，该应用程序“不允许在众议院的移动设备上下载”。

详情

BlueNoroff使用新方法规避MoTW

日期: 2022-12-28
标签: 日本, 金融业, BlueNorOff, 

BlueNoroff组织是一个出于经济动机的威胁组织，目的是从其网络攻击中获利。今年10月，观察到其武器库中采用了新的恶意软件变种。该组织通常利用Word文档和快捷方式文件进行初始入侵，但是最近为了规避MOTW，测试了不同的文件类型以改进恶意软件的投递方法。在研究了该组织所使用的基础设施之后，发现其使用了70多个域名，这意味着它们最近仍然非常活跃。此外，他们还创建了许多看起来像风险投资和银行的假域名。大部分域名模仿日本风险投资公司，表明该组织对日本金融实体有着广泛的兴趣。

详情

EarSpy:通过加速计捕捉手机振动进而监听电话

日期: 2022-12-30
标签: 侧信道攻击, 

德克萨斯 A&M 大学、坦普尔大学、新泽西理工学院、罗格斯大学和代顿大学的研究人员在发表的一篇论文中描述了这种名为EarSpy的攻击方法。因为目前从智能手机中的运动传感器访问原始数据不需要任何特殊权限。研究人员表示Android 开发人员已开始对传感器数据收集设置一些限制，但 EarSpy 攻击仍有可能实施。通过

植入设备上的恶意软件可以使用 EarSpy 攻击来捕获潜在的敏感信息并将其发回给攻击者。

详情

Royal 勒索软件声称攻击 Intrado 电信提供商

日期: 2022-12-27
标签: 美国, 信息技术, 网络犯罪, 

2022年12月27日，Royal 勒索软件团伙声称对针对电信公司 Intrado 的网络攻击负责。尽管 Intrado 尚未分享有关此事件的任何信息，但消息人士本月早些时候告诉 BleepingComputer，攻击于 12 月 1 日开始，最初的赎金要求为 6000 万美元。Royal 勒索组织由经验丰富的黑客组成，在没有附属机构的情况下运作，据报道，他们从 Intrado 的系统中窃取了一些数据，现在威胁要将其发布在他们的数据泄露网站上，除非该公司支付赎金。攻击者声称已从受感染的 Intrado 设备中获取内部文件、护照和员工驾照。尽管勒索软件团伙尚未泄露任何据称从 Intrado 网络泄露的文件，但他们确实共享了一个 52.8 MB 的档案，其中包含护照、商业文件和驾驶执照的扫描件，作为泄露的证据。

详情

美国司法部逮捕了攻击 Mango Markets 的幕后黑手

日期: 2022-12-27
标签: 美国, 金融业, Mango Markets, 

2022年12月27日，美国司法部宣布，一名承认对加密平台 Mango Markets 发起超过 1 亿美元黑客攻击的男子在波多黎各被捕。 Mango Markets 是一种去中心化的加密货币交易所，拥有自己的原生加密令牌，称为 MNGO。亚伯拉罕·艾森伯格 (Avraham Eisenberg) 在被捕后出现在纽约南区的法庭上。一份未密封的起诉书指控 Eisenberg 犯有商品欺诈和商品操纵罪。

详情

法国数据机构罚款微软6300万美元

日期: 2022-12-28
标签: 法国, 信息技术, 商务服务, 微软（Microsoft）, 罚款, 

2022年12月下旬，法国数据隐私监管机构向微软开出了超过6300万美元的罚单，原因是微软在必应搜索引擎处理cookie的方式上违反了几项规定。在2020年9月至2021年5月的一项调查中，法国国家信息委员会libertés (CNIL)发现，当用户访问bing时，“未经他们同意，cookie被保存在他们的终端上，而这些cookie被用于广告等目的。”这违反了法国的《数据保护法》。CNIL还发布了一项命令，要求该公司在三个月内获得居住在法国的个人在使用cookie和“带有广告目的的追踪器”时的同意，否则将面临每日6万欧元的罚款。

详情

美国医院遭受勒索病毒袭击，影响270000名患者

日期: 2022-12-28
标签: 美国, 信息技术, 卫生行业, 美国查尔斯湖纪念医疗系统 (LCMHS), 网络犯罪, 

2022年12月下旬，美国查尔斯湖纪念医疗系统 (LCMHS) 发出数据泄露通知，影响了近 270,000 名在其医疗中心之一接受治疗的患者。LCMHS 是路易斯安那州莱克查尔斯最大的医疗机构，包括一家拥有 314 个床位的医院、一个拥有 54 个床位的妇女医院、一个拥有 42 个床位的行为健康医院和一个面向未投保公民的初级保健诊所。根据 LCMHS 网站上发布的公告，网络安全事件发生在 2022 年 10 月 21 日，当时该组织的安全团队检测到计算机网络上存在异常活动。一项于 2022 年 10 月 25 日结束的内部调查显示，黑客获得了对 LCMHS 网络的未授权访问权限，然后窃取了敏感文件。这些文件包含患者信息，例如：全名、出生日期、病历、患者识别号、健康保险信息和支付信息等。

详情

APT 黑客转向恶意 Excel 加载项作为初始入侵向量

日期: 2022-12-27
标签: 信息技术, 网络钓鱼, 

2022年12月27日，Cisco Talos的研究人员发布报告，称高级持续性威胁 (APT) 攻击者和商品恶意软件家族越来越多地使用 Excel 加载项 (.XLL) 文件作为初始入侵向量。通过鱼叉式网络钓鱼电子邮件和其他社会工程攻击传递的武器化 Office 文档仍然是寻求执行恶意代码的犯罪集团广泛使用的切入点之一。

这些文档传统上会提示受害者启用宏来查看看似无害的内容，只会在后台秘密激活恶意软件的执行。

详情

APT-C-36（盲眼鹰）近期攻击活动分析

日期: 2022-12-27
标签: APT-C-36, 网络钓鱼, APT舆情, 

APT-C-36近期常采用鱼叉攻击，以PDF文件作为入口点，诱导用户点击文档里面的恶意链接下载RAR压缩包文件。大部分压缩包文件需要密码才能解压，密码基本为4位纯数字，解压后是伪装成PDF文件名的VBS脚本。VBS脚本被用户点击执行后将开启一段复杂多阶段的无文件攻击链，最终加载程序为混淆过的AsyncRAT或NjRAT木马，并且加入了绕过AMSI机制的代码，这都表明该组织在不断优化其攻击武器。

详情

朝鲜黑客组织冒充风险投资公司

日期: 2022-12-27
标签: 美国, 日本, 信息技术, 金融业, Beyond Next Ventures, Z venture capital, ABF capital, 美国银行(Bank of America), 三井住友银行(Sumitomo Mitsui Banking Corporation), 三菱日联金融集团(Mitsubishi UFJ financial Group), BlueNorOff, 网络犯罪, 

2022年12月27日，卡巴斯基的安全研究人员发布报告称，一个与朝鲜有关的、以经济为动机的黑客组织一直在冒充日本、美国和其他国家的风险投资公司，试图攻击初创公司的员工和相关企业。这个组织——卡巴斯基称之为“BlueNoroff”，其他人称之为“HiddenCobra”——在过去一年里注册了至少70个网站域名，模仿日本真正的风险投资公司和其他金融机构的网站。这些网站起到了钓鱼诱饵的作用，以传播恶意软件。该集团似乎主要对日本企业感兴趣，目标是Beyond Next Ventures、Z venture capital和ABF capital等日本本土风险投资公司。他们还冒充了一家台湾风险投资基金，以及美国银行(Bank of America)、三井住友银行(Sumitomo Mitsui Banking Corporation)和三菱日联金融集团(Mitsubishi UFJ financial Group)等金融机构。

详情

云安全漏洞在疫情后的2022年依然存在

日期: 2022-12-27
标签: 美国, 信息技术, 云安全, 云计算, 

2022年12月27日，SC media发布安全研究报告，称到 2022 年，安全从业者努力应对由于他们在过去两年中快速推动远程工作和基于云的操作而造成的不断扩大的攻击面。网络罪犯利用新的漏洞——包括第三方软件的使用越来越多而引入的漏洞——来发起勒索软件和其他攻击。但是，借助零信任、XDR 和更自动化的威胁情报技术等工具来加强漏洞管理、云、电子邮件和端点安全，组织进行了反击，并制定了在未来两年内投资更多以保护网络和数据的计划。安全管理人员认识到，大多数业务技术系统将在不断发展的环境中进行维护。

详情

加拿大最大的儿童医院仍未从勒索软件攻击中恢复过来

日期: 2022-12-27
标签: 加拿大, 卫生行业, 多伦多病童医院, 

加拿大最大的儿科保健中心多伦多病童医院仍在从 12 月 18 日开始的勒索软件攻击中恢复。 2022年12 月 23 日，该医院确认他们的所有系统都需要数周时间才能正常运行。医院解释说，临床和运营团队正在为尚未访问的系统实施备份程序。 这次攻击影响了医生访问实验室和成像结果的能力，导致患者等待时间延长。发送处方的流程也受到了影响。

该医院已通知了政府机构，并聘请了第三方专家来处理响应。

详情

EarSpy 攻击通过运动传感器窃听 Android 手机

日期: 2022-12-27
标签: 美国, 信息技术, 制造业, 谷歌（Google）, 侧信道攻击, 机器学习, 深度学习, 网络犯罪, 人工智能, 移动安全, 

2022年12月27日，一组研究人员开发了一种针对 Android 设备的窃听攻击，可以在不同程度上识别来电者的性别和身份，甚至可以辨别私人谈话。

名为 EarSpy 的侧信道攻击旨在通过捕获移动设备中耳机扬声器的混响引起的运动传感器数据读数来探索窃听的新可能性。EarSpy 是来自五所美国大学（德克萨斯 A&M 大学、新泽西理工学院、天普大学、代顿大学和罗格斯大学）的研究人员的学术成果。

详情

专家批评英国的数据改革法案

日期: 2022-12-26
标签: 英国, 信息技术, 政府部门, 

英国正在寻求脱离欧盟的《通用数据保护条例》(GDPR)，该条例于2018年5月生效。四年后的2022年5月，英国政府提出了一项新法案，全面改革现行制度，并将2018年的《数据保护法》、英国GDPR和英国对欧盟电子隐私指令、《隐私和电子通信条例》(PECR)的应用纳入一个指令之下。该提案的正式名称为《数据保护和数字信息法案》，被称为“数据改革法案”(DRB)，于7月在下议院进行了一读，9月进行了二读，之后在政府换届后被暂停。一些数据保护专家严厉批评了这项拟议中的法案，认为它根本没有必要消除繁文缛节。虽然该法案草案仍处于正式暂停状态，但英国政府已证实，它希望摆脱欧盟数据保护制度。

详情

美国总统拜登签署量子网络安全准备法案成为法律

日期: 2022-12-26
标签: 美国, 政府部门, 信息技术, 量子计算, 

2022 年 12 月 21 日，美国总统乔·拜登签署了《量子计算网络安全准备法案》 ，使其成为法律。该法律旨在保护联邦政府系统和数据免受量子数据泄露的威胁，赶在“Q 日”之前——量子计算机能够破解现有加密算法的时间点。专家认为，量子计算将在未来 5 到 10 年内推进到这一阶段，可能会使所有数字信息在当前加密协议下容易受到网络威胁行为者的攻击。此外，在美国国家标准与技术研究院 (NIST) 发布后量子密码学标准后的一年内，管理和预算办公室 (OMB) 将发布指南，要求联邦机构优先考虑 IT 系统以迁移到后量子密码学。然后，这些机构将必须制定迁移计划。

详情

疑似SideCopy组织针对印度政府的攻击行动

日期: 2022-12-26
标签: SideCopy, APT舆情, 

Securonix威胁研究团队最近发现了一个新的恶意攻击行动STEPPY#KAVACH，可能针对与印度政府有关的受害者。Securonix威胁研究团队认为该行动似乎与SideCopy/APT36共享许多常见的TTP，该组织在2021年非常活跃，此前被一些研究人员归因于巴基斯坦。STEPPY#KAVACH攻击行动通过有针对性的网络钓鱼活动开始感染，.LNK文件用于启动代码执行，最终下载并运行恶意C#有效载荷，其功能是远程访问木马（RAT）。

详情

MyKings僵尸网络的最新活动分析

日期: 2022-12-26
标签: 金融业, 信息技术, 加密货币, MyKings僵尸网络, 

2022年12月26日，sophos的研究人员发布报告，分析了MyKings僵尸网络的最新活动。MyKings僵尸网络通过攻击MySQL、MSSQL、telnet、ssh、IPC、WMI、RDP和闭路电视服务器中的弱用户名/密码组合来传播。MyKings僵尸网络包含约45,000个受感染主机，并在其最近的活动中添加了引导套件功能，以避免检测并建立持久性。这个僵尸网络背后的黑客组织更喜欢使用开源或其他公共领域

软件，并有足够的技能，使定制和增强的源代码

代码。

详情

研究人员通过利用Elastic IP Transfer功能发现了一个新的潜在攻击向量

日期: 2022-12-26
标签: 信息技术, AWS, 网络犯罪, 

2022年12月27日，研究人员发现了一种新的潜在攻击向量，通过利用AWS弹性IP传输（EIP）功能，对AWS帐户进行现有控制的黑客可以破坏IP地址，然后发起凭证盗窃和钓鱼攻击。研究人员表示，AWS正试图让组织更便捷地移动IP地址，因此黑客更容易地找到了滥用IP地址的方法。

详情

微软员工意外泄露微软记事本标签功能更新

日期: 2022-12-26
标签: 美国, 信息技术, 微软（Microsoft）, 

2022年12月末，微软的一位高级产品经理意外泄露了Windows 11的Notepad应用程序更新，尽管机密警告要求员工不要讨论功能或截图。这位微软员工在推特上分享的截图显示了一个带有标签的记事本内部版本。借助处于内部测试早期阶段的记事本选项卡功能，研究人员预计新版本将在未来几周内以预览版的形式提供给 Windows Insiders。

详情

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x09   时间线

2023-01-03 360CERT发布安全事件周报