安全事件周报 2023-07-03 第27周

原创
2023/07/10 18:16
阅读数 96


赶紧点击上方话题进行订阅吧!

报告编号:CERT-R-2023-266

报告来源:360CERT

报告作者:360CERT

更新日期:2023-07-10


1
 事件导览



本周收录安全热点57项,话题集中在安全分析安全漏洞行业动向,主要涉及的实体有:JumpCloudMeta(原Facebook)谷歌(Google)等,主要涉及的黑客组织有:BlackCat (ALPHV)TeamTNT等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。


2
 事件目录



恶意软件
专家检测到与朝鲜相关的 RUSTBUCKET macOS 恶意软件的新变种
新恶意软件“Meduza Stealer”窃取Windows用户数据
分析3CX供应链攻击中使用的恶意软件Smooth Operator
数据安全
伦敦市议会数据泄露面临指控
美国专利商标局数据泄露事件,住址信息6.1万个受影响
3000万客户账户被,盗微软否认数据泄露
网络攻击
使用 Ultimate Member 插件的 WordPress 网站受到攻击
欧洲使馆遭受SmugX网络钓鱼攻击
黑客从 Poly Network 平台窃取了价值数百万美元的加密资产
MOVEit 对 Aon 的攻击暴露了都柏林机场工作人员的数据
俄罗斯卫星互联网被瓦格纳集团攻击
专家警告即将发生的 TeamTNT Docker 攻击
荷兰壳牌石油公司确认遭受MOVEit黑客攻击
安全漏洞
ArcServe Backup 的严重漏洞将导致远程代码执行
黑客利用 Ultimate Member WordPress 插件中的零日漏洞
CISA公布存在利用漏洞的三星和D-Link设备
上百万FortiGate防火墙面临CVE-2023-27997关键安全漏洞
超过三分之二的 FortiGate 防火墙仍面临风险
Firefox 115 更新中修复的高危漏洞
3 个严重的 RCE 漏洞威胁工业太阳能电池板,危及电网系统
未打补丁的 SolarView 系统容易受到攻击
思科企业交换机漏洞暴露加密流量
Cisco数据中心交换设备存在高危漏洞,暂无补丁可用
StackRot Linux 内核漏洞EXP公开
安全分析
Kimsuky分发伪装成文档查看器的恶意批处理文件
Lazarus使用RUSTBUCKET的新变种攻击加密货币服务提供商
MuddyWater组织的新命令与控制框架PhonyC2
NCSC披露二十年前英国信号情报机构遭受网络间谍攻击细节
朝鲜APT组织频频下钩:对韩记者钓鱼攻击活动,最新发现华人受害
2023年有33家美国医院遭勒索软件攻击
报告显示,许多公司在运营技术(OT)资产的可见性方面严重不足
报告显示许多公司对暗网数据泄露毫无准备
疑似摩诃草组织利用WarHawk后门变种Spyder窥伺多国
英国公民对 NHS 人工智能的使用持谨慎态度
针对加密货币钱包的复杂电子邮件攻击
分析RustBucket用于逃避分析和检测的新技术
英国国家网络安全中心称可疑电子邮件报告增加了三分之一
人为错误是云数据泄露的主要原因
行业动向
多个美国组织遭受攻击后,CISA 发出 DDoS 警告
Avast 发布了针对 Windows 版本 Akira 勒索软件的免费解密器
Twitter无法解决恶意机器人问题
新的 Python 工具可检查 NPM 包是否存在明显的混淆问题
英国安全专家对在线安全法案表示主要担忧
欧盟委员会将针对跨境案件调整 GDPR
Microsoft Teams 利用工具自动传送恶意软件
持续发生的网络事件促使 JumpCloud 重置 API 密钥
隐私问题阻碍了 Instagram Threads的发布
勒索攻击
BlackCat 勒索软件通过 WinSCP 搜索广告传播Cobalt Strike
LockBit 团伙向半导体制造商台积电索要 7000 万美元赎金
勒索软件导致日本名古屋港停止运营
其他事件
新的代理劫持攻击利用被黑的 SSH 服务器
安全工具Snappy:可检测开放网络上恶意 WiFi 接入点
国际警察行动捣毁电话诈骗网络
Neo_Net 针对全球银行客户开展电子犯罪活动
谷歌将分析数据传输至美国,被瑞典政府罚款 100 万美元
警方逮捕了与 OPERA1ER 网络犯罪团伙有关的嫌疑人
OPERA1ER 网络犯罪集团头目被国际刑警组织逮捕

3
 恶意软件



专家检测到与朝鲜相关的 RUSTBUCKET macOS 恶意软件的新变种

日期: 2023-07-04
标签: 政府部门, macOS

Elastic 安全实验室的研究人员发现了RustBucket Apple macOS 恶意软件的新变种。2023年 4 月,安全公司 Jamf 观察到与朝鲜有关的 BlueNoroff APT 组织使用了一种名为 RustBucket 的新 macOS 恶意软件。BlueNoroff组织 被认为是在与朝鲜有关的臭名昭著的Lazarus APT组织 控制下运作的组织 。RustBucket 恶意软件允许操作者下载并执行各种有效负载。将其归咎于 BlueNoroff APT 是因为 卡巴斯基 2022 年 12 月发布的分析结果存在相似之处。这些相似之处包括 macOS 上的恶意工具与该活动中使用的人员的 TTP 密切相关。

详情

https://securityaffairs.com/148042/malware/rustbucket-macos-malware.html

https://securityaffairs.com/148042/malware/rustbucket-macos-malware.html

新恶意软件“Meduza Stealer”窃取Windows用户数据

日期: 2023-07-04
标签: 信息技术, Meduza Stealer

据Uptycs威胁研究团队发现,一种名为“Meduza Stealer”的新恶意软件专门针对Windows用户实施数据窃取。该软件由“Meduza”开发,目前只在十个国家外扩散。它的主要目标是窃取浏览器数据,包括登录凭据、浏览历史和书签。此外,它还能收集关于感染设备的系统相关信息。Uptycs与该软件的管理员进行了沟通,确认其不涉及勒索行为,仅专注于数据窃取。Meduza是一款活跃开发的工具,可以集成新功能。这款恶意软件的营销和分发主要通过暗网论坛和Telegram频道进行。如果不加以控制,Meduza可能导致严重后果,包括财务损失和大规模数据泄露。这一发现出现在FortiGuard Labs关于另一款针对Windows用户的恶意软件ThirdEye的研究之后。

详情

https://www.infosecurity-magazine.com/news/meduza-stealer-targets-windows/

https://www.infosecurity-magazine.com/news/meduza-stealer-targets-windows/

分析3CX供应链攻击中使用的恶意软件Smooth Operator

日期: 2023-07-04
标签: 信息技术, Smooth Operator, APT舆情

Smooth Operator恶意软件是在2023年3月被广泛报道的3CX供应链攻击中传播的。Windows和Mac系统都成为攻击的目标,其中恶意更新的软件包通过合法渠道传播。Smooth Operator由两个阶段组成:第一阶段被编译成动态库(dylib)文件作为3CX软件包的一部分分发,第二阶段由第一阶段下载并运行。

详情

https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/smooth-operator/NCSC_MAR-Smooth-Operator.pdf

https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/smooth-operator/NCSC_MAR-Smooth-Operator.pdf


4
 数据安全



伦敦市议会数据泄露面临指控

日期: 2023-07-04
标签: 政府部门, 英国信息专员办公室(ICO)

英国信息专员办公室(ICO)发出了对伦敦克罗伊登市议会的严厉批评,指责其反复违反信息自由法案。ICO已向该市议会下达强制通知,要求其在六个月内回复所有逾期的信息请求,并在35天内制定和公布行动计划。如果未能遵守,ICO可能会将此事提交高级法院,市议会可能会因为藐视法庭而受到处理。不过,这次不会罚款,ICO正在进行一项试点计划,对出错的公共部门机构采取更具和解性的方法。

详情

https://www.infosecurity-magazine.com/news/croydon-council-enforcement-notice/

https://www.infosecurity-magazine.com/news/croydon-council-enforcement-notice/

美国专利商标局数据泄露事件,住址信息6.1万个受影响

日期: 2023-07-04
标签: 居民服务, 住址信息

美国专利商标局(USPTO)披露,2020年2月至2023年3月期间,约有6.1万个住址信息在商标申请中泄露。USPTO已采取快速行动解决问题,保证数据安全,并向受影响用户致以歉意。目前尚无数据滥用证据,也没有恶意活动的迹象。不过,专利商标局已尽力避免类似事件,替换数据文件以删除住址信息。此次事件凸显了组织对API清单的重要性,需要及时采取措施确保数据安全。

详情

https://www.infosecurity-magazine.com/news/uspto-api-flaw-years-leak/

https://www.infosecurity-magazine.com/news/uspto-api-flaw-years-leak/

3000万客户账户被,盗微软否认数据泄露

日期: 2023-07-04
标签: 信息技术, Outlook

2023年6月初,微软的一些服务遭受了严重的故障,包括Outlook邮件、OneDrive文件共享应用和云计算基础设施Azure。一个名为匿名苏丹(也称为Storm-1359)的集体声称对袭击微软服务的DDoS攻击负责。匿名苏丹集体活动自2023年1月以来,声称攻击任何反对苏丹的国家。然而,一些安全研究人员认为匿名苏丹是亲俄罗斯威胁组织Killnet的一个分支。攻击者依赖于访问多个虚拟专用服务器(VPS),并结合租用的云基础架构、开放代理和DDoS工具。起初,这家IT巨头未提供有关故障的详细信息,但后来在一份题为《微软对第7层分布式拒绝服务(DDoS)攻击的响应》的报告中确认遭受了DDoS攻击。公司指出,他们没有看到任何客户数据被访问或受损的证据。然而,匿名苏丹宣称已窃取了3000万个客户账户的凭证。匿名苏丹在其Telegram频道上发布的消息中说:“我们宣布成功黑客攻击了微软,并获得了一个包含3000万个微软账户、电子邮件和密码的大型数据库。完整数据库售价:50,000美元。”该集体分享了所谓的被窃取数据的样本,并以50,000美元的价格出售该数据库。目前,微软尚未对所谓的数据泄露发表公开评论。BleepingComputer要求微软发表评论,微软否认了任何数据泄露的主张。

详情

https://www.bleepingcomputer.com/news/security/microsoft-denies-data-breach-theft-of-30-million-customer-accounts/

https://www.bleepingcomputer.com/news/security/microsoft-denies-data-breach-theft-of-30-million-customer-accounts/


5
 网络攻击



使用 Ultimate Member 插件的 WordPress 网站受到攻击

日期: 2023-07-03
标签: 信息技术, WordPress

黑客正在积极利用未修补的 WordPress 插件漏洞(编号为 CVE-2023-3460(CVSS 评分:9.8))来创建秘密管理员帐户。Ultimate Member 是 WordPress 的流行用户配置文件和会员插件,它允许管理员创建高级在线社区和会员网站。Ultimate Member 允许创建几乎任何类型的网站,用户可以绝对轻松地加入并成为会员。目前该插件的活跃安装量已超过 200,000 次。攻击者可以利用此漏洞创建具有管理权限的新用户帐户,从而完全控制网站。目前WPScan 没有提供有关攻击的详细信息,但分享了此攻击的妥协指标 (IoC)。

详情

https://securityaffairs.com/148030/hacking/wordpress-ultimate-member-plugin-attacks.html

https://securityaffairs.com/148030/hacking/wordpress-ultimate-member-plugin-attacks.html

欧洲使馆遭受SmugX网络钓鱼攻击

日期: 2023-07-04
标签: 政府部门, SmugX

自2022年以来,SmugX网络钓鱼攻击一直瞄准英国、法国、瑞典等使馆。Check Point的研究人员发现攻击与之前的APT组织活动有重叠。攻击诱饵文档通常涉及欧洲政策。SmugX攻击使用HTML伪装技术隐藏恶意代码,并有多个感染链。攻击的目标是间谍活动,使用了PlugX远程访问木马。

详情

https://www.bleepingcomputer.com/news/security/hackers-target-european-government-entities-in-smugx-campaign/

https://www.bleepingcomputer.com/news/security/hackers-target-european-government-entities-in-smugx-campaign/

黑客从 Poly Network 平台窃取了价值数百万美元的加密资产

日期: 2023-07-05
标签: 金融业, Poly Network, 加密货币

Poly Network平台在2023年7月初遭受了一次网络攻击,导致数百万美元的加密资产被盗。该平台暂停服务以调查安全漏洞,并评估事件的严重程度。Poly Network是一个分散的互操作性协议,促进不同区块链网络之间的跨链交易和通信。攻击者窃取了加密资产,并将被盗资产公示在Google电子表格上。Binance CEO赵长鹏表示,安全漏洞不会影响Binance用户。公司通知中心化交易所和执法机构以识别和阻止欺诈交易,并希望攻击者合作归还被盗资产以避免潜在的法律后果。此次攻击是Poly Network遭受的第二次攻击,去年8月,攻击者盗取了6.11亿美元,成为迄今为止最大规模的DeFi攻击。攻击发生后,攻击者在获得平台的财务奖励后归还了大部分被盗加密资产。

详情

https://securityaffairs.com/148129/cyber-crime/poly-network-platform-hacked.html

https://securityaffairs.com/148129/cyber-crime/poly-network-platform-hacked.html

MOVEit 对 Aon 的攻击暴露了都柏林机场工作人员的数据

日期: 2023-07-05
标签: 柏林, 交通运输, MOVEit

爱尔兰都柏林机场的员工个人数据因专业服务提供商Aon遭受MOVEit攻击而泄露。约3000名员工的数据受影响。这是利用Progress Software的MOVEit文件传输平台漏洞CVE-2023-34362的最新攻击。都柏林机场已通知相关当局和爱尔兰数据保护委员会。Clop勒索软件组声称利用该漏洞攻击了全球数百家公司。供应链攻击不断增加,这类事件因涉及多个受害者和高额赎金而引起广泛关注。

详情

https://securityaffairs.com/148152/data-breach/dublin-airport-data-breach.html

https://securityaffairs.com/148152/data-breach/dublin-airport-data-breach.html

俄罗斯卫星互联网被瓦格纳集团攻击

日期: 2023-07-05
标签: 政府部门, 科研服务, 卫星

俄罗斯卫星互联网提供商Dozor-Teleport遭到网络攻击,导致通信中断和数据泄露。虽然瓦格纳集团声称对此负责,但专家对此表示怀疑。俄罗斯媒体称恢复需要两周时间,初步调查显示入侵是通过第三方云服务提供商实施的。威胁行为者通过Telegram发布了窃取的数据作为证据。然而,瓦格纳集团的Telegram频道并未提及此次攻击。网络安全和国际关系专家认为,乌克兰军方可能是幕后黑手,并指称此举是乌克兰的假旗行动。对于真正的幕后黑手仍存在争议。

详情

https://www.darkreading.com/attacks-breaches/hackers-claiming-wagner-group-ties-down-russian-satellite-internet-comms-

https://www.darkreading.com/attacks-breaches/hackers-claiming-wagner-group-ties-down-russian-satellite-internet-comms-

专家警告即将发生的 TeamTNT Docker 攻击

日期: 2023-07-07
标签: 信息技术, TeamTNT, 云原生环境

安全研究人员警告称,著名的TeamTNT组织可能正在准备一场针对云原生环境的重大攻击活动,因为他们发现了一名威胁行为者正在寻找配置错误的服务器。Aqua Security在其蜜罐中检测到一次攻击后展开了调查,随后发现了四个恶意容器镜像。研究人员推测,由于部分代码功能未被使用且存在一定程度的手动测试,这场攻击活动可能尚未完全启动。TeamTNT是一个以对云基础系统,特别是Docker和Kubernetes环境的激进攻击而闻名的犯罪组织。他们专门从事加密货币挖矿,并逐渐发展出其他恶意活动。Aqua Security通过常用的Tsunami恶意软件、dAPIpwn函数的使用以及以德语回复的C2服务器,将这次新的攻击活动与TeamTNT联系起来。研究人员没有排除“高级山寨组织”的可能性,但这个组织必须具备与TeamTNT相似的代码仿真能力,同时还有“独特的幽默感”和“对荷兰语的亲和力”。Aqua Security发布了一些建议,以帮助组织减轻威胁。

详情

https://www.infosecurity-magazine.com/news/experts-impending-teamtnt-docker/

https://www.infosecurity-magazine.com/news/experts-impending-teamtnt-docker/

荷兰壳牌石油公司确认遭受MOVEit黑客攻击

日期: 2023-07-07
标签: 能源业, MOVEit

荷兰壳牌石油公司确认遭受MOVEit黑客攻击,员工个人信息被泄露。壳牌称这是一起影响第三方软件MOVEit Transfer的网络安全事件,未对其它IT系统造成影响。壳牌尚未透露泄露的个人信息种类,只在Cl0p黑客团队发布窃取的数据后才确认遭受攻击。Cl0p勒索软件团伙利用MOVEit托管文件传输(MFT)从多个组织窃取数据,数百万人受到影响,包括美国联邦政府机构。

详情

https://www.darkreading.com/attacks-breaches/shell-latest-cl0p-moveit-victim

https://www.darkreading.com/attacks-breaches/shell-latest-cl0p-moveit-victim


6
 安全漏洞



ArcServe Backup 的严重漏洞将导致远程代码执行

日期: 2023-07-03
标签: 信息技术, RCE

MDSec ActiveBreach 红队最近进行的一次对手模拟发现了 ArcServe UDP 备份软件中的一个严重漏洞,跟踪为CVE-2023-26258。该漏洞影响该软件的 7.0 至 9.0 版本,并允许远程代码执行 (RCE),对依赖该软件进行备份基础设施的组织构成重大风险。安全专家表示,一旦发生安全漏洞,这些备份系统可能会被专门破坏,导致生产系统无法使用。据报道,MDSec 团队于 2 月 2 日向 ArcServe 披露了该漏洞,于 2023 年 6 月 27 日发布了补丁,解决了该漏洞。

详情

https://www.infosecurity-magazine.com/news/critical-flaw-exposes-arcserve/

https://www.infosecurity-magazine.com/news/critical-flaw-exposes-arcserve/

黑客利用 Ultimate Member WordPress 插件中的零日漏洞

日期: 2023-07-03
标签: 信息技术, CVE-2023-3460

黑客利用“Ultimate Member”WordPress 插件中的零日权限升级漏洞,通过绕过安全措施和注册流氓管理员帐户来危害网站。Ultimate Member 是一个用户个人资料和会员插件,可促进 WordPress 网站上的注册和建立社区,目前拥有超过 200,000 个活跃安装。该漏洞被追踪为 CVE-2023-3460,CVSS v3.1 得分为 9.8(“严重”),影响 Ultimate Member 插件的所有版本,包括其最新版本 v2.6.6。虽然开发人员最初尝试修复版本 2.6.3、2.6.4、2.6.5 和 2.6.6 中的缺陷,但仍然有方法利用该缺陷。开发人员表示,他们正在继续努力解决剩余的问题,并希望尽快发布新的更新。

详情

https://www.bleepingcomputer.com/news/security/hackers-exploit-zero-day-in-ultimate-member-wordpress-plugin-with-200k-installs/

https://www.bleepingcomputer.com/news/security/hackers-exploit-zero-day-in-ultimate-member-wordpress-plugin-with-200k-installs/

CISA公布存在利用漏洞的三星和D-Link设备

日期: 2023-07-04
标签: 制造业, 三星(Samsung), D-Link漏洞

最近,美国网络安全与基础设施安全局(CISA)公布了一份含有三星和D-Link设备中存在的利用漏洞的目录。CISA将六个三星漏洞和两个D-Link漏洞列入了这个目录,这些漏洞可能会被攻击者利用来入侵和控制易受攻击的设备。其中一个最为严重的漏洞是CVE-2019-17621,它是一个远程命令执行漏洞,存在于设备用于管理UPnP请求的代码中。这个漏洞可以被未经身份验证的攻击者利用来控制易受攻击的设备。但需要注意的是,攻击者必须能够访问易受攻击设备所在的局域网环境。自2023年3月以来,Unit 42的研究人员观察到Mirai僵尸网络变种正在利用D-Link、Zyxel和Netgear设备中的数十个漏洞进行传播。该僵尸网络针对流行的物联网设备中的多个漏洞,其中包括上述的这些问题。根据《操作指令绑定文件(BOD)22-01:降低已知被利用漏洞的显著风险》,联邦机构必须在规定的日期前处理这些漏洞,以保护网络免受利用这些漏洞进行攻击的威胁。除了联邦机构外,专家们还建议私营组织审查这个目录,并及时解决自己基础设施中存在的漏洞问题。鉴于此,CISA要求联邦机构在2023年7月20日之前修复此漏洞,以确保网络的安全性和稳定性。这是保护各机构和组织免受攻击的重要举措。

详情

https://securityaffairs.com/148091/apt/china-linked-apt-html-smuggling-europe.html

https://securityaffairs.com/148091/apt/china-linked-apt-html-smuggling-europe.html

上百万FortiGate防火墙面临CVE-2023-27997关键安全漏洞

日期: 2023-07-04
标签: 信息技术, CVE-2023-27997

近一个月后,Fortinet发布了解决该问题的更新,但众多FortiGate防火墙仍然面临严重的CVE-2023-27997安全漏洞。该漏洞是FortiOS操作系统中基于堆的缓冲区溢出问题,其严重程度评分为10分中的9.8分。攻击者可以利用该漏洞在暴露在Web上的SSL VPN接口上远程执行代码。尽管Fortinet发布了修补程序并呼吁及时安装,但Offensive Security解决方案公司Bishop Fox的研究人员报告称,超过30万台FortiGate防火墙仍然面临攻击,并且可以通过公共互联网访问。研究人员使用Shodan搜索引擎发现了回应特定HTTP响应头的设备,经进一步调查发现,其中约有15.3万个设备已经升级到安全的FortiOS版本。然而,仍有约33.5万台FortiGate防火墙容易受到攻击,其中一些设备已经8年没有接收到更新,仍在运行已于去年9月29日结束支持的FortiOS 6版本。为了证明CVE-2023-27997可以用于远程执行代码,Bishop Fox创建了一个利用程序,可以“捣毁堆栈,连接到攻击者控制的服务器,下载BusyBox二进制文件并打开交互式Shell”。这场漏洞严重的安全风险警示了及时更新和升级FortiGate防火墙的重要性,以确保网络安全。

详情

https://www.bleepingcomputer.com/news/security/300-000-plus-fortinet-firewalls-vulnerable-to-critical-fortios-rce-bug/

https://www.bleepingcomputer.com/news/security/300-000-plus-fortinet-firewalls-vulnerable-to-critical-fortios-rce-bug/

超过三分之二的 FortiGate 防火墙仍面临风险

日期: 2023-07-05
标签: 信息技术, FortiGate

根据Bishop Fox的安全研究人员称,近日发现的FortiOS漏洞影响了约69%的FortiGate防火墙,仍未修补。该漏洞可能导致远程代码执行,已有近490,000个受影响的SSL VPN接口在互联网上暴露。Bishop Fox的Capability Development团队成功开发了该漏洞的利用工具。仅有153,414台设备已经修补,剩余的设备仍存在风险。Bishop Fox敦促FortiGate用户立即修补设备,以免受到攻击。

详情

https://www.infosecurity-magazine.com/news/two-thirds-fortigate-risk/

https://www.infosecurity-magazine.com/news/two-thirds-fortigate-risk/

Firefox 115 更新中修复的高危漏洞

日期: 2023-07-06
标签: 信息技术, Mozilla

Mozilla 基金会已将 Firefox 115 发布到其稳定频道。该更新解决了几个高危漏洞。其中之一CVE-2023-37201涉及 WebRTC 证书生成中的释放后使用问题。 另一个CVE-2023-37202是一个释放后使用漏洞,由 SpiderMonkey(Firefox 使用的 JavaScript 引擎)中的隔间不匹配引起。同时,CVE-2023-37211强调了 Firefox 115、ESR 102.13 和 Thunderbird 102.13 中修复的内存安全错误。同样,CVE-2023-37212与 Firefox 115 中专门修复的内存安全错误有关。 Mozilla 建议用户立即将 Firefox 浏览器更新到版本 115,以便从这些关键错误修复中受益并维护安全的浏览环境。

详情

https://www.infosecurity-magazine.com/news/high-severity-fixes-firefox-115/

https://www.infosecurity-magazine.com/news/high-severity-fixes-firefox-115/

3 个严重的 RCE 漏洞威胁工业太阳能电池板,危及电网系统

日期: 2023-07-06
标签: 制造业, 远程代码执行漏洞

数百个太阳能电力监控系统存在三个关键的远程代码执行漏洞,专家们预测,Mirai僵尸网络的黑客和业余爱好者已经开始利用这些漏洞,其他人也将效仿。Palo Alto Networks的Unit 42研究人员此前发现,Mirai僵尸网络正在通过CVE-2022-29303在制造商Contec开发的SolarView系列软件中传播,这是一个命令注入漏洞。据Contec的网站称,SolarView已被用于超过30,000个太阳能电站。漏洞情报公司VulnCheck在一篇博文中指出,CVE-2022-29303是SolarView中的三个关键漏洞之一,不仅Mirai黑客在针对它们,其他人也会跟进。这些漏洞可能导致监控设备失去可见性,甚至可能造成设备故障。同时,攻击者可能利用受损的监控系统来造成更大的破坏或深入渗透环境。这三个漏洞都已在SolarView 8.00版本中修复。

详情

https://www.darkreading.com/ics-ot/3-critical-rce-bugs-threaten-industrial-solar-panels

https://www.darkreading.com/ics-ot/3-critical-rce-bugs-threaten-industrial-solar-panels

未打补丁的 SolarView 系统容易受到攻击

日期: 2023-07-07
标签: 制造业, 信息技术, 工业控制系统 (ICS)

VulnCheck安全研究人员指出,广泛用于太阳能发电和储能监控的工业控制系统(ICS)硬件SolarView Series存在漏洞被利用的问题。此前,Palo Alto Networks Unit 42在2023年6月22日发布的报告揭示了一种利用多个新漏洞的Mirai僵尸网络变种。根据VulnCheck的博客文章,CVE-2022-29303是一种影响Contec SolarView Series的无需身份验证和远程命令注入漏洞,对依赖这些ICS设备的组织构成重大威胁。研究发现,受影响的系统范围远远超出最初报告的范围,不到三分之一的面向互联网的SolarView安装应用了必要的补丁,暴露了许多系统面临被利用的风险。为了保护关键基础设施并防止未经授权的访问,使用SolarView硬件的组织必须迅速应用补丁。漏洞的利用已经在多个来源中得到证实,包括Exploit-DB条目、GitHub漏洞以及公开的YouTube视频展示了对SolarView系统的攻击。为了降低风险,组织应尽快修补漏洞,并重新评估系统的补丁方法和确保采用自动化方法。

详情

https://www.infosecurity-magazine.com/news/solarview-systems-vulnerable/

https://www.infosecurity-magazine.com/news/solarview-systems-vulnerable/

思科企业交换机漏洞暴露加密流量

日期: 2023-07-07
标签: 制造业, 信息技术, 思科(Cisco), 思科企业交换机漏洞

思科应用中心基础架构(ACI)多站点CloudSec加密功能存在严重安全漏洞,可能允许黑客读取或篡改站点间的加密流量。该漏洞(CVE-2023-20185)影响运行14.0及更高版本的思科Nexus 9000系列交换机,特别是当它们作为多站点拓扑的一部分并启用了CloudSec加密功能时。思科表示,由于受影响交换机上CloudSec加密功能所使用的密码实现问题,攻击者可在ACI站点之间截取和破坏加密流量。目前,思科尚未发布软件更新来解决此漏洞,也没有可用的解决方法。建议使用该功能的客户禁用它并与支持组织联系以评估替代选项,以降低未经授权访问和潜在数据篡改的风险。独立运行NX-OS模式的思科Nexus 9000系列交换机不受此安全漏洞影响。目前尚未发现任何公开公告或恶意利用此漏洞的情况。

详情

https://www.infosecurity-magazine.com/news/cisco-switches-flaw-exposes-traffic/

https://www.infosecurity-magazine.com/news/cisco-switches-flaw-exposes-traffic/

Cisco数据中心交换设备存在高危漏洞,暂无补丁可用

日期: 2023-07-07
标签: 信息技术, 制造业, 思科

思科公司公布了其数据中心交换设备中的一个高危漏洞,可能允许威胁行为者读取和修改加密流量,目前还没有可用的补丁。漏洞影响思科Nexus 9000系列Fabric交换机上的Application Centric Infrastructure (ACI) Multi-Site CloudSec加密功能。思科建议用户禁用该功能,并联系支持组织评估替代方案。专家表示,漏洞复杂,导致修复补丁的延迟。团队应遵循断开设备连接的建议,因为利用Nexus 9000漏洞可能允许攻击者查看和更改站点之间传输的加密数据。该漏洞涉及加密功能的密码实现问题,攻击者可利用此漏洞拦截加密流量并破解加密。

详情

https://www.darkreading.com/perimeter/patchless-cisco-flaw-cloud-encryption-aci-traffic

https://www.darkreading.com/perimeter/patchless-cisco-flaw-cloud-encryption-aci-traffic

StackRot Linux 内核漏洞EXP公开

日期: 2023-07-07
标签: 信息技术, Linux

安全研究人员发现并向Linux管理员报告了一个关键漏洞,该漏洞影响Linux内核6.1至6.4版本。该漏洞被称为StackRot(CVE-2023-3269),攻击者可以利用该漏洞在受影响的系统上提升权限。中国北京大学的安全研究人员李瑞涵发现了这个漏洞,并表示几乎所有Linux内核配置都受到影响,触发漏洞所需的能力很低。Linux创始人Linus Torvalds领导的一个应急团队花了大约两周时间开发了一套修补程序来解决这个漏洞。修补程序已经被合并到Linux内核6.5版本,并且已经回溯到6.1.37、6.2.11和6.4.1版本。李瑞涵表示,完整的利用代码和详细说明将在7月底之前公开发布。这个漏洞是与Linux内核的堆栈扩展机制有关,涉及到虚拟内存空间管理的数据结构处理中的使用后释放问题。修复这个漏洞的方法是修改内核的用户模式堆栈扩展代码,以防止使用后释放的情况发生。

详情

https://www.darkreading.com/vulnerabilities-threats/stackrot-linux-kernel-bug-exploit-code

https://www.darkreading.com/vulnerabilities-threats/stackrot-linux-kernel-bug-exploit-code


7
 安全分析



Kimsuky分发伪装成文档查看器的恶意批处理文件

日期: 2023-07-03
标签: 信息技术, APT舆情

ASEC发现疑似通过电子邮件传播的恶意代码正在以批处理文件(*.bat)的形式传播。恶意代码根据目标机器不同杀软下载不同脚本,包括安装在用户环境中的产品。通过查看恶意代码使用的函数名称和下载URL参数,推测该恶意代码是由Kimsuky组织传播的。

详情

https://asec.ahnlab.com/ko/54952/

https://asec.ahnlab.com/ko/54952/

Lazarus使用RUSTBUCKET的新变种攻击加密货币服务提供商

日期: 2023-07-03
标签: 信息技术, APT舆情

Elastic Security Labs团队检测到了RUSTBUCKET恶意软件的新变种,该家族此前曾被Jamf威胁实验室于2023年4月归属于BlueNorOff组织。RUSTBUCKET的这个变种是一个针对macOS系统的恶意软件家族,它增加了以前未观察到的持久性功能,并且在报告时尚未被VirusTotal签名引擎检测到。根据攻击者使用的主机、二进制和网络进行分析,以高置信度将其归因于Lazarus组织,该组织继续出于经济动机对加密货币服务提供商进行攻击。

详情

https://www.elastic.co/kr/security-labs/DPRK-strikes-using-a-new-variant-of-rustbucket

https://www.elastic.co/kr/security-labs/DPRK-strikes-using-a-new-variant-of-rustbucket

MuddyWater组织的新命令与控制框架PhonyC2

日期: 2023-07-03
标签: 信息技术, APT舆情

Deep Instinct的威胁研究团队已经确定了一个新的C2(命令和控制)框架PhonyC2,该C2框架是定制的,持续开发中,至少从2021年起就已被MuddyWater组织使用,曾用于攻击以色列理工学院。PhonyC2目前被MuddyWater用于PaperCut攻击行动中。PhonyC2类似于MuddyWater之前创建的C2框架MuddyC3。

详情

https://www.deepinstinct.com/blog/phonyc2-revealing-a-new-malicious-command-control-framework-by-muddywater

https://www.deepinstinct.com/blog/phonyc2-revealing-a-new-malicious-command-control-framework-by-muddywater

NCSC披露二十年前英国信号情报机构遭受网络间谍攻击细节

日期: 2023-07-03
标签: 政府部门, 英国国家网络安全中心 ( NCSC )

英国国家网络安全中心 ( NCSC ) 透露,二十年前,英国信号情报机构遭受了一名国家行为者的网络间谍攻击。在一名员工发现工作站上存在可疑活动后,信息保障机构通信电子安全小组 ( CESG ) 的网络专家被要求进行调查。随后的分析显示,旨在窃取数据并绕过防病毒保护的恶意软件已通过网络钓鱼电子邮件安装在计算机上。2003 年 6 月的事件是 GCHQ 首次将信号情报与网络安全相结合,以识别威胁行为者并得出网络间谍活动是他们的意图的结论。NCSC 声称这是一起开创性事件,启动了 GCHQ 的网络威胁响应活动。

详情

https://www.infosecurity-magazine.com/news/gchq-reveals-details-of/

https://www.infosecurity-magazine.com/news/gchq-reveals-details-of/

朝鲜APT组织频频下钩:对韩记者钓鱼攻击活动,最新发现华人受害

日期: 2023-07-03
标签: 信息技术, 政府部门, APT舆情

在对移动APT的狩猎监测中,安天移动威胁情报团队发现一起针对韩国记者的移动端恶意窃密活动,攻击者在聊天软件上引诱该记者安装一款名为“Fizzle Messenger”的应用程序,Fizzle会下载多重恶意载荷,窃取用户敏感隐私信息并上传。该攻击自2022年9月活跃至今,恶意载荷已多次更新,受害者超过50人,主要受害区域为韩国,与此同时发现了受害华人的相关敏感数据。

详情

https://mp.weixin.qq.com/s/Zze2exIXHUNzyggIuabkOQ

https://mp.weixin.qq.com/s/Zze2exIXHUNzyggIuabkOQ

2023年有33家美国医院遭勒索软件攻击

日期: 2023-07-05
标签: 卫生行业, 勒索攻击

根据Emsisoft的数据,今年迄今已有至少19家美国医疗机构遭到勒索软件团伙攻击。这些机构经营着33家医院,其中至少16家机构的数据被窃取。与去年相比,去年全年美国医院受到的事件有25起,这似乎表明2023年的妥协率更高。然而,去年受影响的医院总数远远超过了今年,达到290家,这是因为CommonSpirit Health遭到了攻击,该机构经营着近150家医院。去年数据窃取发生在68%的事件中,而2023年上半年达到了84%。最近,Callow在Twitter上透露,Jefferson County Health Center被列入了Karakurt团伙的泄露网站,该团伙声称从位于俄克拉荷马州Waurika的Jefferson County Hospital窃取了超过1TB的数据,包括医疗记录、检测结果和员工、患者的个人身份信息(PII)。

详情

https://www.infosecurity-magazine.com/news/thirtythree-us-hospitals/

https://www.infosecurity-magazine.com/news/thirtythree-us-hospitals/

报告显示,许多公司在运营技术(OT)资产的可见性方面严重不足

日期: 2023-07-05
标签: 制造业, 工业控制系统(ICS)

工业控制系统(ICS)成为网络攻击的目标,但安全领导者在运营技术(OT)资产的可见性方面严重不足。SANS研究所的一份报告显示,在组织内部,IT和OT资产的可见性存在重大差异。仅有50%的受访者声称能够监控OT资产,如可编程逻辑控制器(PLC)、传感器和远程终端单元(RTU)。报告还指出,技能和流程方面的问题是改善IT和OT环境中安全和运营团队之间协作的主要障碍。然而,67%的安全领导者计划扩展安全运营中心(SOC)以包括更多OT资产功能。此外,76%的安全领导者计划在未来两年内在OT设备上部署终端检测和响应(EDR)解决方案,70%计划使用网络安全监控(NSM)工具。

详情

https://www.infosecurity-magazine.com/news/ot-high-priority-security-leaders/

https://www.infosecurity-magazine.com/news/ot-high-priority-security-leaders/

报告显示许多公司对暗网数据泄露毫无准备

日期: 2023-07-05
标签: 信息技术, 暗网

卡巴斯基数字足迹情报团队的报告揭示,全球多家公司在处理暗网数据泄露时准备不足。他们追踪了暗网发布的供应公司访问权限和被入侵账户等帖子,并及时通知了受害公司。报告显示,258家公司中,欧洲公司受影响最多,占通知的25%以上。令人担忧的是,42%的公司没有网络安全事件联系人,28%漠不关心,2%完全否认。欧洲的严格GDPR法规可能导致处罚和信任损失。然而,22%的公司做出适当反应,6%积极监测和检测。卡巴斯基强调暗网监测的重要性,建议保持软件更新、使用最新威胁情报等措施保护组织免受类似威胁。

详情

https://www.infosecurity-magazine.com/news/companies-unprepared-darknet-data/

https://www.infosecurity-magazine.com/news/companies-unprepared-darknet-data/

疑似摩诃草组织利用WarHawk后门变种Spyder窥伺多国

日期: 2023-07-06
标签: 政府部门, 摩诃草组织, APT舆情

近期,奇安信威胁情报中心在日常样本跟踪分析过程中,发现一批与摩诃草存在关联的恶意样本,攻击者使用的后门并非摩诃草组织此前常用的木马。无独有偶,国外安全研究人员也发现了其中几个样本,根据C2服务器登录界面的信息将该后门命名为Spyder,并指出样本与WarHawk后门存在相似之处。后者由Zscaler在去年10月发布的报告中披露,被认为是南亚另一个APT组织响尾蛇(Sidewinder)的攻击武器。根据Spyder后门早期样本使用的数字签名和以此关联到的Remcos木马样本,更倾向于认为背后的攻击团伙是摩诃草。

详情

https://mp.weixin.qq.com/s/ewGyvlmWUD45XTVsoxeVpg

https://mp.weixin.qq.com/s/ewGyvlmWUD45XTVsoxeVpg

英国公民对 NHS 人工智能的使用持谨慎态度

日期: 2023-07-06
标签: 信息技术, 人工智能

VMware 的研究显示,出于安全和隐私方面的考虑,超过一半 (56%) 的英国公民不相信 NHS 使用人工智能来分析患者数据。此外,VMware 调查的 2000 多名受访者中,有四分之一 (25%) 表示,他们完全反对 NHS 使用人工智能处理患者数据。研究还发现,87% 的英国消费者认为将他们的 NHS 患者数据存储在英国非常重要。在这些受访者中,39% 认为这些数据保存在本国境内将确保其符合英国数据隐私法规。VMware 在报告中强调,许多英国 NHS 和社会护理提供商都使用公共云服务,这意味着患者数据目前托管在英国、欧洲经济区 (EEA) 或英国认为足够的国家/地区。

详情

https://www.infosecurity-magazine.com/news/uk-nhs-ai-privacy/

https://www.infosecurity-magazine.com/news/uk-nhs-ai-privacy/

针对加密货币钱包的复杂电子邮件攻击

日期: 2023-07-06
标签: 金融业, 信息技术, 加密货币

研究人员发现了一种依赖电子邮件攻击的新恶意活动,其目标是最流行的加密货币存储形式:热钱包和冷钱包。卡巴斯基网络安全专家发现,该活动仅在 2023 年春季就发送了 85,000 封诈骗电子邮件。该活动在 3 月份达到顶峰,拦截了超过 34,000 条恶意消息。据该公司称,热钱包在全球拥有超过 4 亿用户,其受欢迎程度的激增是由于其易于访问。这些在线存储服务,包括加密货币交易所和专用应用程序,由于其持续的互联网连接而成为网络犯罪分子的主要目标。 针对热钱包用户的网络钓鱼攻击通常采用简单的策略,攻击非技术人员。诈骗者通过欺诈性电子邮件冒充知名加密货币交易所,敦促用户验证交易或确认钱包的安全性。

详情

https://www.infosecurity-magazine.com/news/email-attacks-cryptocurrency/

https://www.infosecurity-magazine.com/news/email-attacks-cryptocurrency/

分析RustBucket用于逃避分析和检测的新技术

日期: 2023-07-07
标签: 政府部门, 信息技术, APT舆情

早在4月份,JAMF的研究人员就详细介绍了一场针对macOS用户的复杂APT行动,其中包含多阶段恶意软件,最终释放了一个Rust后门,能够在受感染的设备上下载并执行更多恶意软件。RustBucket被归因于BlueNoroff APT组织,该组织通常被认为是Lazarus的子组织。5月,ESET在推特上发布了针对macOS用户的第二个RustBucket变种的详细信息,随后Elastic在6月发现了第三个变种,其中包括以前未见过的持久化功能。在这篇文章中,回顾了该行动中使用的多个恶意软件有效载荷,并重点介绍了RustBucket用于逃避分析和检测的新技术。

详情

https://www.sentinelone.com/blog/bluenoroff-how-dprks-macos-rustbucket-seeks-to-evade-analysis-and-detection/

https://www.sentinelone.com/blog/bluenoroff-how-dprks-macos-rustbucket-seeks-to-evade-analysis-and-detection/

英国国家网络安全中心称可疑电子邮件报告增加了三分之一

日期: 2023-07-07
标签: 信息技术, 政府部门, 主动网络防御(ACD)计划

英国国家网络安全中心(NCSC)的报告显示,他们的主动网络防御(ACD)计划取得了进展。该计划旨在使英国成为网络安全的最安全地方。报告指出,通过可疑电子邮件报告服务,潜在恶意电子邮件的报告数量增加了33%,达到创纪录的710万份。NCSC声称,他们已经从互联网上删除了近25万个恶意网站链接。报告还显示,英国组织对ACD的免费服务的采用率总体增长了39%,其中包括邮件检查和网站检查服务。此外,NCSC还宣布早期警告服务的用户增长了38%,并且越来越多的组织使用他们的网络安全演练工具。NCSC表示,他们将继续为企业提供免费工具和平台,以加强网络防御能力。

详情

https://www.infosecurity-magazine.com/news/suspicious-email-reports-up-a/

https://www.infosecurity-magazine.com/news/suspicious-email-reports-up-a/

人为错误是云数据泄露的主要原因

日期: 2023-07-07
标签: 信息技术, 云数据泄露

根据2023年Thales全球云安全研究报告,2022年有39%的企业在云环境中遭遇数据泄露,比2021年增长了4%。报告还指出,2022年云中存储的敏感数据量大幅增加,75%的受访者表示超过40%的数据是敏感的。报告显示,云数据泄露的主要原因是人为错误,占55%。此外,报告还强调了SaaS应用程序和多云环境对云安全的复杂性带来的挑战,呼吁组织加强数据加密和采用强大的多因素身份验证措施。

详情

https://www.infosecurity-magazine.com/news/human-error-cloud-data-breaches/

https://www.infosecurity-magazine.com/news/human-error-cloud-data-breaches/


8
 行业动向



多个美国组织遭受攻击后,CISA 发出 DDoS 警告

日期: 2023-07-03
标签: 政府部门, DDOS

2023年6月30日,美国网络安全和基础设施安全局 (CISA) 警告称,在美国多个行业的组织受到攻击后,持续存在分布式拒绝服务 (DDoS) 攻击。建议所有美国组织采取主动措施,确保其安全团队准备好阻止或减轻此类攻击的影响。例如,网络管理员应该准备好快速应用防火墙规则或通过 DoS 保护服务重定向传入的恶意流量,以防止攻击者破坏目标在线门户或服务。另外,互联网服务提供商 (ISP) 也可以提供有关在这种情况下采取的适当步骤的指导。

详情

https://www.bleepingcomputer.com/news/security/cisa-issues-ddos-warning-after-attacks-hit-multiple-us-orgs/

https://www.bleepingcomputer.com/news/security/cisa-issues-ddos-warning-after-attacks-hit-multiple-us-orgs/

Avast 发布了针对 Windows 版本 Akira 勒索软件的免费解密器

日期: 2023-07-03
标签: 信息技术, 解密器

网络安全公司 Avast 发布了 Akira 勒索软件的免费解密器,可以让受害者无需支付赎金即可恢复数据。Akira 是一个 Windows 勒索软件,具有 64 位 Windows 二进制文件,它是用 C++ 编写的,并使用 Boost 库 来实现异步加密代码。Akira 勒索软件自 2023 年 3 月以来一直活跃,该恶意软件背后的威胁行为者声称已经入侵了多个行业的多个组织,包括教育、金融和房地产,

详情

https://securityaffairs.com/148007/cyber-crime/akira-ransomware-decryptor.html

https://securityaffairs.com/148007/cyber-crime/akira-ransomware-decryptor.html

Twitter无法解决恶意机器人问题

日期: 2023-07-04
标签: 信息技术, 文化传播, 推特(Twitter), Twitter

尽管 Twitter 所有者埃隆•马斯克(Elon Musk)在收购该平台时保证,他将解决这一问题,但 Twitter 与僵尸程序之间的问题似乎正变得越来越严重。安全研究人员发现大量色情机器人开始关注和点赞账号。用户们也遭到类似问题,收到大量垃圾信息。马斯克曾承诺打败垃圾机器人,但实际行动不一致,还裁员过半。Twitter似乎让问题恶化,真实用户被封锁。用户体验受影响,无法完成操作。此外,马斯克试图解决另一种机器人问题,但未取得成功。他宣布限制阅读帖子的账户,以防止数据被滥用。Twitter在解决机器人问题上面临困境。

详情

https://www.infosecurity-magazine.com/news/musk-losing-battle-bots-rate/

https://www.infosecurity-magazine.com/news/musk-losing-battle-bots-rate/

新的 Python 工具可检查 NPM 包是否存在明显的混淆问题

日期: 2023-07-05
标签: 信息技术, Python

一位安全研究员和系统管理员开发了一款工具,可以帮助用户检查NPM JavaScript软件注册表中包的清单不匹配问题。这个问题可能导致恶意软件隐藏在依赖项中或在安装过程中执行脚本。为了解决这个问题,开发者可以使用这个工具来检查NPM包的一致性。工具可以检测版本、依赖项、脚本和包名称等方面的不匹配。这个工具能够帮助开发者及时发现潜在的安全风险,并防止供应链攻击的发生。

详情

https://www.bleepingcomputer.com/news/security/new-python-tool-checks-npm-packages-for-manifest-confusion-issues/

https://www.bleepingcomputer.com/news/security/new-python-tool-checks-npm-packages-for-manifest-confusion-issues/

英国安全专家对在线安全法案表示主要担忧

日期: 2023-07-06
标签: 政府部门, 在线安全法案

英国安全和隐私专家对《在线安全法案》的条款表示担忧,该法案要求监测加密消息中的虐待儿童内容。专家们认为,这种监控方式违背了隐私保证,可能导致滥用和侵犯个人权利。他们指出,现有的扫描算法并不有效,可能产生错误的判断。此外,一些国际通信供应商已表示不愿遵守这一法案,可能离开英国市场,使英国居民面临安全风险。一项调查显示,83%的英国人希望保护他们的私人对话免受政府监控,70%的人认为扫描这类消息无法阻止犯罪活动。

详情

https://www.infosecurity-magazine.com/news/security-experts-major-concerns/

https://www.infosecurity-magazine.com/news/security-experts-major-concerns/

欧盟委员会将针对跨境案件调整 GDPR

日期: 2023-07-06
标签: 政府部门, GDPR

欧洲委员会提出修改GDPR,旨在改善跨境案件中数据保护机构之间的合作。新规定将确保投诉人在投诉被拒绝时有权发表意见,受调查方有权在程序的关键阶段发言,同时加强DPA在跨境案件中的影响力,促进早期共识形成,减少分歧。这一提案旨在加强执法,保护人民和企业的利益,并将数据主体置于中心位置,赋予他们更多参与投诉过程的机会。

详情

https://www.infosecurity-magazine.com/news/european-commission-tweak-gdpr/

https://www.infosecurity-magazine.com/news/european-commission-tweak-gdpr/

Microsoft Teams 利用工具自动传送恶意软件

日期: 2023-07-06
标签: 信息技术, TeamsPhisher

一款名为"TeamsPhisher"的工具在GitHub上发布,利用最近披露的Microsoft Teams漏洞,自动向目标组织中的用户发送恶意文件。该工具绕过了Teams中的安全特性,可以绕过文件共享限制。攻击者可以直接将恶意文件发送到受害者的收件箱,无需传统的网络钓鱼或社交工程手段。这个工具整合了多种攻击技术,包括IDOR漏洞利用和用户枚举。JUMPSEC实验室建议组织审查是否有必要启用内部和外部Teams用户之间的通信,并加强安全控制措施。

详情

https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware

https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware

持续发生的网络事件促使 JumpCloud 重置 API 密钥

日期: 2023-07-07
标签: 信息技术, JumpCloud

JumpCloud为受影响的客户重置了管理员应用程序编程接口(API)密钥,以应对一起正在发生的事件。JumpCloud强调此举是为了保护敏感信息,并提供了重置API密钥的指南和指导模拟,以帮助客户。这将影响多个功能,包括AD导入、HRIS集成、JumpCloud Powershell模块、Jumpcloud-Slack-App等。JumpCloud承诺将继续向受影响的客户提供更新,并提供支持以重新设置或重新创建API密钥。受影响的客户应立即采取行动,重置API密钥以确保系统的安全性。此前,美国专利和商标局(USPTO)披露了与其商标状态和文件审查系统(TSDR)中的API漏洞有关的数据安全事件。

详情

https://www.infosecurity-magazine.com/news/incident-jumpcloud-reset-api-keys/

https://www.infosecurity-magazine.com/news/incident-jumpcloud-reset-api-keys/

隐私问题阻碍了 Instagram Threads的发布

日期: 2023-07-07
标签: 信息技术, 文化传播, Meta(原Facebook), Instagram Threads

Meta推出的Twitter竞争对手Instagram Threads在欧盟上线,吸引了超过2,000万用户注册。然而,欧盟用户由于数据隐私问题无法使用该服务。Meta的子应用Threads收集了大量用户数据,包括健康信息、购买历史、财务数据和位置信息。Meta因违反欧盟的GDPR法被罚款13亿美元,并暂停在欧盟推出该服务。原因是欧盟的数字市场法对公司如何使用行为广告和各种数据来源存在不明确之处。用户可以通过隐私设置限制Meta获取的数据,以保护个人隐私。

详情

https://www.darkreading.com/endpoint/privacy-woes-hold-up-global-instagram-threads-launch

https://www.darkreading.com/endpoint/privacy-woes-hold-up-global-instagram-threads-launch


9
 勒索攻击



BlackCat 勒索软件通过 WinSCP 搜索广告传播Cobalt Strike

日期: 2023-07-03
标签: 信息技术, BlackCat (ALPHV), Windows

BlackCat 勒索软件组织(又名 ALPHV)正在开展恶意活动,以引诱人们进入模仿 Windows WinSCP 文件传输应用程序官方网站的虚假页面,推送充满恶意软件的安装程序。WinSCP(Windows 安全复制)是一款流行的免费开源 SFTP、FTP、S3、SCP 客户端和文件管理器,具有 SSH 文件传输功能,仅在 SourceForge 上每周就有 400,000 次下载。BlackCat 使用该程序作为诱饵,潜在地感染系统管理员、网络管理员和 IT 专业人员的计算机,以首次访问有价值的企业网络。这种以前未知的 ALPHV 勒索软件感染载体是由趋势科技的分析师发现的,他们发现了在 Google 和 Bing 搜索页面上宣传虚假页面的广告活动。

详情

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-pushes-cobalt-strike-via-winscp-search-ads/

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-pushes-cobalt-strike-via-winscp-search-ads/

LockBit 团伙向半导体制造商台积电索要 7000 万美元赎金

日期: 2023-07-03
标签: 制造业, 台湾积体电路制造公司 ( TSMC ), 勒索

LockBit勒索软件组织声称已入侵台湾积体电路制造公司 ( TSMC ),并勒索 7000 万美元赎金。台积电是全球最大的芯片合约制造商,为苹果和高通等科技巨头提供芯片。2023年6月28日,Lockbit 旗下一家名为 Bassterlord 的公司通过 Twitter 宣布台积电遭到黑客攻击,并分享了包含该公司相关信息的屏幕截图作为此次攻击的证据。该勒索软件组织声称从该公司窃取了大量敏感信息,并威胁在拒绝付款的情况下将其公布。该组织还计划发布允许威胁行为者访问该公司基础设施的信息。该组织最初给台积电7天时间支付赎金,后来将截止日期推迟至8月6日。台积电否认其被 Lockbit 攻破,但证实该组织已攻破该公司的 IT 硬件供应商之一 Kinmax Technology。

详情

https://securityaffairs.com/148022/cyber-crime/tsmc-lockbit-ransomware.html

https://securityaffairs.com/148022/cyber-crime/tsmc-lockbit-ransomware.html

勒索软件导致日本名古屋港停止运营

日期: 2023-07-06
标签: 交通运输, 港口

2023年7月4日凌晨,名古屋港的网络遭受勒索软件攻击,装满来自世界各地的进出口货物的集装箱被困在名古屋港。该港口是日本最大的港口,也是国际汽车制造商丰田的中央航运枢纽。据《日本时报》报道,名古屋港运输公司表示,2023年7月4日早上 6 点 30 分系统故障后,该公司收到了LockBit 3.0 的赎金要求。港务局表示预计将于2023年7月6日上午恢复运营。

详情

https://www.darkreading.com/attacks-breaches/ransomware-halts-operations-at-japan-port-of-nagoya

https://www.darkreading.com/attacks-breaches/ransomware-halts-operations-at-japan-port-of-nagoya


10
 其他事件



新的代理劫持攻击利用被黑的 SSH 服务器

日期: 2023-07-03
标签: 信息技术, SSH 服务器

一系列正在进行的代理劫持攻击背后的攻击者正在侵入在线暴露的易受攻击的 SSH 服务器,通过代理软件服务获利,这些代理软件服务为共享未使用的互联网带宽付费。Akamai 于 6 月 8 日首次发现这些攻击,当时该公司的安全情报响应团队 (SIRT) 管理的蜜罐建立了多个 SSH 连接。一旦连接到其中一台易受攻击的 SSH 服务器,攻击者就会部署一个 Base64 编码的 Bash 脚本,将受黑客攻击的系统添加到 Honeygain 或 Peer2Profit 的代理网络中。该脚本还通过下载 Peer2Profit 或 Honeygain Docker 镜像并杀死其他竞争对手的带宽共享容器来设置容器。虽然威胁行为者还可以使用被黑客入侵的设备来设置代理,以帮助他们隐藏痕迹并混淆恶意活动,但该活动背后的网络犯罪分子只对通过商业代理软件服务获利感兴趣。

详情

https://www.bleepingcomputer.com/news/security/new-proxyjacking-attacks-monetize-hacked-ssh-servers-bandwidth/

https://www.bleepingcomputer.com/news/security/new-proxyjacking-attacks-monetize-hacked-ssh-servers-bandwidth/

安全工具Snappy:可检测开放网络上恶意 WiFi 接入点

日期: 2023-07-03
标签: 信息技术, 安全工具

网络安全研究人员发布了一款名为“Snappy”的新工具,可以帮助检测试图从毫无戒心的人那里窃取数据的假冒或恶意 WiFi 接入点。攻击者可以在超市、咖啡店和购物中心创建虚假接入点,冒充当地已建立的真实接入点。这样做是为了诱骗用户连接到恶意接入点并通过攻击者的设备中继敏感数据。当威胁行为者控制路由器时,他们可以通过执行中间人攻击来捕获和分析传输的数据。Neaves 开发了一种工具来解决这一常见风险,帮助人们检测他们正在使用的接入点是否与他们上次(以及每次)使用的接入点相同,或者它是否可能是假冒或恶意设备。

详情

https://www.bleepingcomputer.com/news/security/twitters-bot-spam-keeps-getting-worse-its-about-porn-this-time/

https://www.bleepingcomputer.com/news/security/twitters-bot-spam-keeps-getting-worse-its-about-porn-this-time/

国际警察行动捣毁电话诈骗网络

日期: 2023-07-04
标签: 信息技术, 电信诈骗

欧洲警察局(Europol)领导的一次多国合作行动成功逮捕了一支针对老年受害者进行电话诈骗的犯罪团伙。英国国家犯罪局(NCA)在伦敦附近逮捕了团伙头目,波兰和德国警方在欧洲多个地点展开了搜查,查获了大量证据和财物。该团伙通过冷呼方式谎称是警察或官员,骗取老年人的信任,并以亲属涉案的谎言诱使受害者交款。此次行动不仅拘捕了数十名嫌疑人,还挽回了数百万欧元的损失,有力打击了这种残忍的诈骗活动。欧洲警察局强调,此类诈骗不仅造成经济损失,还给受害者带来严重精神压力,并呼吁公众提高警惕,保护自己和家人免受此类罪恶的伤害。

详情

https://www.infosecurity-magazine.com/news/police-operation-dismantles-scam/

https://www.infosecurity-magazine.com/news/police-operation-dismantles-scam/

Neo_Net 针对全球银行客户开展电子犯罪活动

日期: 2023-07-05
标签: 金融业, 银行

墨西哥威胁行为者Neo_Net发起了一场针对全球银行的Android恶意软件攻击。该威胁行为者利用定制的攻击基础设施,从2021年6月至2023年4月,针对西班牙和智利等国家的银行客户进行攻击。尽管使用的工具相对不复杂,但专家们认为该攻击成功的原因在于针对特定目标进行攻击。据估计,该威胁行为者从受害者的银行账户中窃取了超过35万欧元,并泄露了数千名受害者的个人身份信息。攻击采用多阶段攻击策略,以钓鱼短信为起点,伪装成知名金融机构,诱骗受害者。Neo_Net还租用了广泛的攻击基础设施,并向多个合作伙伴提供恶意软件和窃取的受害者数据,还推出了名为Ankarex的Smishing-as-a-Service服务。

详情

https://securityaffairs.com/148137/cyber-crime/neo_net-ecrime-campaign-targets-banks.html

https://securityaffairs.com/148137/cyber-crime/neo_net-ecrime-campaign-targets-banks.html

谷歌将分析数据传输至美国,被瑞典政府罚款 100 万美元

日期: 2023-07-05
标签: 政府部门, 信息技术, 谷歌(Google), 数据隐私

瑞典隐私保护机构(IMY)对两家公司使用Google Analytics进行罚款,金额为1230万瑞典克朗,并警告另外两家公司。这些公司违反了欧盟的《通用数据保护条例》(GDPR)第46(1)条,禁止将个人数据转移到缺乏安全保障和法律救济机制的国家。根据IMY的审核,Google Analytics工具传输的数据被视为个人信息,且这些公司的技术安全措施不足以与欧盟/欧洲经济区内的保护水平相媲美。这是IMY首次对违规者处以罚款,对整个行业具有指导意义,其他使用Google Analytics的公司可能会调整策略以符合欧盟的规定。

详情

https://www.bleepingcomputer.com/news/security/google-analytics-data-transfer-to-us-brings-1-million-fine-to-swedish-firms/

https://www.bleepingcomputer.com/news/security/google-analytics-data-transfer-to-us-brings-1-million-fine-to-swedish-firms/

警方逮捕了与 OPERA1ER 网络犯罪团伙有关的嫌疑人

日期: 2023-07-06
标签: 信息技术, OPERA1ER 网络犯罪团伙

执法部门逮捕了OPERA1ER网络犯罪组织的关键成员,该组织以恶意软件、钓鱼和商业电子邮件欺诈攻击移动银行和金融机构。该团伙在过去四年中在非洲、亚洲和拉丁美洲的15个国家进行了30多次攻击,涉嫌窃取1100万至3000万美元。嫌疑人于科特迪瓦被逮捕,此次行动名为“Nervone行动”,得到了国际刑警组织、AFRIPOL、Group-IB和Orange等的协助。此次合作的成功展示了威胁数据交流的重要性,促进了公私部门的合作,揭开了整个谜团

详情

https://www.bleepingcomputer.com/news/security/police-arrest-suspect-linked-to-notorius-opera1er-cybercrime-gang/

https://www.bleepingcomputer.com/news/security/police-arrest-suspect-linked-to-notorius-opera1er-cybercrime-gang/

OPERA1ER 网络犯罪集团头目被国际刑警组织逮捕

日期: 2023-07-06
标签: 政府部门, 网络犯罪集团

据国际刑警组织(Interpol)透露,涉嫌犯罪团伙OPERA1ER的首要成员被捕。该团伙利用恶意软件、网络钓鱼和商业电子邮件欺诈等手段,在金融和电信组织中进行了多种诈骗活动,据估计共窃取了约3000万美元。该团伙还使用别名BlueBottle、NX$M$、DESKTOP Group和Common Raven,在非洲、亚洲和拉丁美洲的15个国家发起了30次攻击。此次调查名为“Operation Nervone”,是在Group-IB和Orange S.A.于2022年11月发布的详细概述之后展开的。逮捕行动涉及了国际刑警组织、AFRIPOL、Group-IB和科特迪瓦的信息和技术痕迹部之间的广泛合作。

详情

https://www.darkreading.com/dr-global/opera1er-cybercrime-leader-arrested-interpol

https://www.darkreading.com/dr-global/opera1er-cybercrime-leader-arrested-interpol


11
 产品侧解决方案



若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。


12
 时间线



2023-07-03 360CERT发布安全周报


13
 特制报告相关说明



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。


360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们


点击在看,进行分享

本文分享自微信公众号 - 三六零CERT(CERT-360)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
0 评论
0 收藏
0
分享
返回顶部
顶部