安全事件周报 2023-07-31 第31周

原创
2023/08/07 17:17
阅读数 42


赶紧点击上方话题进行订阅吧!

报告编号:CERT-R-2023-328

报告来源:360CERT

报告作者:360CERT

更新日期:2023-08-07


1
 事件导览



本周收录安全热点56项,话题集中在恶意软件安全分析安全漏洞,主要涉及的实体有:微软(Microsoft)Meta(原Facebook)Apple等,主要涉及的黑客组织有:APT29Mysterious Team Bangladesh (MT)UNC4841等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。


2
 事件目录



恶意软件
新的 Android 恶意软件使用 OCR 从图像中窃取凭据
Linux 版本的 Abyss Locker 勒索软件针对 VMware ESXi 服务器
CISA 警告梭子鱼 ESG 攻击中使用了 SUBMARINE 后门
CISA 分析 Barracuda ESG 攻击中使用的恶意软件
Bahamut利用Android恶意软件攻击南亚地区的个人
CherryBlos 恶意软件使用 OCR 窃取 Android 用户的加密货币
《使命召唤》自传播蠕虫瞄准玩家大厅
恶意软件攻击工业控制系统 (ICS)
SpyNote Android 间谍软件袭击金融机构
新型恶意软件WikiLoader使用多种机制逃避检测
新型蠕虫状恶意软件 P2Pinfect 针对 Redis 部署
数据窃取恶意软件使用hVNC方法来针对 macOS 用户
亚马逊的 AWS SSM 代理可用作利用后 RAT 恶意软件
Chrome 恶意插件 Rilide 通过 PowerPoint 指南瞄准企业用户
数据安全
黑客利用虚假 Android 聊天应用窃取 Signal、WhatsApp 用户数据
法国汉堡王由于网站配置错误导致数据泄露
美国政府承包商 Serco 遭受 MoveIT 攻击后数据泄露
网络攻击
以色列最大炼油厂网站遭受 DDoS 攻击后离线
针对 Facebook 企业帐户的网络钓鱼活动中发现了新的信息窃取软件
黑客组织Space Pirates攻击俄罗斯和塞尔维亚
美国服装零售商 Hot Topic 遭受撞库攻击
黑客在 Facebook 网络钓鱼攻击中利用 Salesforce 零日漏洞
俄罗斯黑客在 Microsoft Teams 网络钓鱼攻击中针对政府组织
俄罗斯黑客组织Midnight Blizzard对 Microsoft Teams 发起一连串攻击
安全漏洞
Ivanti Endpoint Manager Mobile 中的新漏洞被广泛利用
2022 年发现的零日漏洞中有超过 40% 是之前漏洞的变体
美国、澳大利亚就 Web 应用程序中的访问控制漏洞发出警告
第二个 Ivanti EPMM 零日漏洞在针对性攻击中被利用
佳能喷墨打印机面临通过 Wi-Fi 遭受第三方攻击的风险
超过 640 台 Citrix 服务器在持续的攻击中带有 Web shell 后门
Ivanti 披露了 MobileIron Core 中新的严重身份验证绕过漏洞
Rapid7 发现了 Ivanti EPMM 漏洞的绕过方法
安全分析
数字孪生技术开启新的网络攻击媒介
谷歌:Android补丁差距使nday与0day一样危险
分析Konni组织的新攻击活动
Konni组织疑似针对韩国企业的攻击活动
黑客滥用 Google AMP 进行网络钓鱼活动
幽影长存:蔓灵花组织近期攻击活动分析
新型 Collide+Power 旁道攻击几乎影响所有 CPU
COLDRIVER将在2023年继续部署新基础设施
行业动向
Apple要求开发者公布使用特定API的原因
Instagram 标记人工智能生成的内容
CISA 呼吁改进UEFI更新机制的安全性
其他事件
APT29近期仿冒德国大使馆下发恶意PDF文件
Ryanair航空因使用面部识别技术而面临诉讼
俄罗斯 APT BlueBravo 通过 GraphicalProton 后门攻击外交实体
研究人员发现朝鲜 STARK#MULE 攻击活动
拜登宣布美国网络劳动力和教育战略
新型生成式人工智能黑客工具FraudGPT
人工智能增强型网络钓鱼导致勒索软件激增
AI 驱动的 CryptoRom 诈骗针对移动用户
英国冒充电商的毒品走私人员被判入狱
二手市场上出售的退役医用输液泵可能会泄露 Wi-Fi 配置设置
黑客组织Mysterious Team Bangladesh发起 DDoS 攻击
黑客可滥用 Microsoft Office 可执行文件来下载恶意软件
Microsoft Azure AD CTS 的新功能可被滥用于横向移动

3
 恶意软件



新的 Android 恶意软件使用 OCR 从图像中窃取凭据

日期: 2023-07-31
标签: 信息技术, Android(安卓), 移动安全

Google Play 上发现了两个名为“CherryBlos”和“FakeTrade”的新 Android 恶意软件系列,旨在窃取加密货币凭证和资金或进行诈骗。新的恶意软件菌株是由 趋势科技发现的,该公司观察到两者都使用相同的网络基础设施和证书,表明它们是由相同的威胁行为者创建的。这些恶意应用程序使用各种分发渠道,包括社交媒体、网络钓鱼网站以及 Android 官方应用商店 Google Play 上的欺骗性购物应用程序。

详情

https://www.bleepingcomputer.com/news/security/new-android-malware-uses-ocr-to-steal-credentials-from-images/

https://www.bleepingcomputer.com/news/security/new-android-malware-uses-ocr-to-steal-credentials-from-images/

Linux 版本的 Abyss Locker 勒索软件针对 VMware ESXi 服务器

日期: 2023-07-31
标签: 信息技术, VMware, VMware ESXi 服务器

Abyss Locker 是最新开发的 Linux 加密器,旨在针对 VMware 的 ESXi 虚拟机平台对企业进行攻击。随着企业从单个服务器转向虚拟机以实现更好的资源管理、性能和灾难恢复,勒索软件团伙创建了专注于针对该平台的加密器。Abyss Locker 是一种相对较新的勒索软件操作,据信 于 2023 年 3 月启动,当时它开始针对公司进行攻击。与其他勒索软件操作一样,Abyss Locker 威胁行为者将破坏企业网络、窃取数据以进行双重勒索,并对网络上的设备进行加密。随着 VMware ESXi 成为最流行的虚拟机平台之一,几乎每个勒索软件团伙都开始发布 Linux 加密器来加密设备上的所有虚拟服务器。

详情

https://www.bleepingcomputer.com/news/security/linux-version-of-abyss-locker-ransomware-targets-vmware-esxi-servers/

https://www.bleepingcomputer.com/news/security/linux-version-of-abyss-locker-ransomware-targets-vmware-esxi-servers/

CISA 警告梭子鱼 ESG 攻击中使用了 SUBMARINE 后门

日期: 2023-07-31
标签: 信息技术, SUBMARINE

美国网络安全和基础设施安全局 (CISA) 发布了有关恶意软件变体的警报,该变体被追踪为 SUBMARINE Backdoor,该变体用于利用梭子鱼电子邮件安全网关 (ESG) 设备中的漏洞 CVE-2023-2868 进行 攻击。漏洞 CVE-2023-2868 存在于电子邮件附件筛选模块中,威胁参与者利用该漏洞获取对 ESG 设备子集的未经授权的访问。SUBMARINE 是一种新颖的持久性后门,使用 root 权限执行,存在于 ESG 设备上的结构化查询语言 (SQL) 数据库中。SUBMARINE 包含多个工件,包括 SQL 触发器、shell 脚本和 Linux 守护程序的加载库,这些工件共同支持使用 root 权限、持久性、命令和控制以及清理来执行。

详情

https://securityaffairs.com/148942/malware/submarine-backdoor-barracuda-esg-attacks.html

https://securityaffairs.com/148942/malware/submarine-backdoor-barracuda-esg-attacks.html

CISA 分析 Barracuda ESG 攻击中使用的恶意软件

日期: 2023-08-01
标签: 信息技术, UNC4841, Barracuda ESG 攻击

美国网络安全和基础设施安全局(CISA)发布了针对利用梭子鱼电子邮件安全网关(ESG)中最近的远程命令注入漏洞的攻击中部署的三个恶意软件系列的分析报告。该漏洞被追踪为CVE-2023-2868,影响设备的版本 5.1.3.001 至 9.2.0.006,至少从 2022 年 10 月开始被用作 零日漏洞。Barracuda 于 2023 年 5 月下旬发布了该漏洞的补丁。一个被追踪为 UNC4841 的网络间谍组织被发现利用该漏洞访问受害者网络,执行反向 shell,然后下载自定义后门以实现持久性。已识别的恶意软件系列包括 SeaSpy、SaltWater 和 SeaSide 自定义后门、SandBar rootkit 以及 SeaSpray 和 SkipJack,它们是合法 Barracuda Lua 模块的木马版本。观察到的攻击针对至少 16 个不同国家的受害者,其中包括政府官员和知名学者。超过一半的受影响组织位于美洲。

详情

https://www.securityweek.com/cisa-analyzes-malware-used-in-barracuda-esg-attacks/

https://www.securityweek.com/cisa-analyzes-malware-used-in-barracuda-esg-attacks/

Bahamut利用Android恶意软件攻击南亚地区的个人

日期: 2023-08-01
标签: 信息技术, Bahamut APT, APT舆情

CYFIRMA团队最近捕获了针对南亚地区个人的高级Android恶意软件。可疑的Android恶意软件是一个虚假的聊天应用程序。初步技术分析表明Bahamut组织是这次攻击的幕后黑手。随着进一步的技术分析,还在Bahamut的可疑应用程序中发现了DoNot组织使用的战术。

详情

https://www.cyfirma.com/outofband/apt-bahamut-targets-individuals-with-android-malware-using-spear-messaging/

https://www.cyfirma.com/outofband/apt-bahamut-targets-individuals-with-android-malware-using-spear-messaging/

CherryBlos 恶意软件使用 OCR 窃取 Android 用户的加密货币

日期: 2023-08-01
标签: 金融业, 信息技术, CherryBlos, 加密货币

2023年7月下旬,研究人员称,名为 CherryBlos 和 FakeTrade 的两个相关恶意软件活动针对 Android 用户进行加密货币盗窃和其他出于经济动机的诈骗。该活动的运营者通过 Google Play、社交媒体平台和网络钓鱼网站上的虚假 Android 应用程序传播恶意软件。趋势科技研究人员发现了这两种恶意软件菌株,并观察到这些恶意软件使用相同的网络基础设施和应用程序证书。研究人员指出,这表明这两次活动背后都是同一威胁行为者。

详情

https://www.darkreading.com/attacks-breaches/cherrybios-malware-ocr-android-users-cryptocurrency

https://www.darkreading.com/attacks-breaches/cherrybios-malware-ocr-android-users-cryptocurrency

《使命召唤》自传播蠕虫瞄准玩家大厅

日期: 2023-08-01
标签: 文化传播, 动视, 游戏

动视公司是热门第一人称射击游戏《使命召唤:现代战争 II》的视频游戏发行商,由于一种自我传播的蠕虫病毒感染了使用 PC 平台的玩家,该游戏的服务器已下线。由于大众的需求,游戏被重新推出后,玩家很快就开始注意到异常行为,引发了 Steam 讨论页面上有关 PC 版游戏中存在的似乎是自传播蠕虫病毒的讨论。对恶意软件的分析证实,黑客正在用在在线大厅内自动传播的蠕虫病毒感染游戏玩家。研究人员正在调查黑客传播恶意软件的原因,但该公司在 X 上发布的帖子证实了问题的严重性。

目前,直接针对源头作弊开发者的新检测已导致超过 14,000 个《现代战争 II》和《战区》中作弊和黑客行为的帐户被封禁。

详情

https://www.darkreading.com/application-security/call-of-duty-self-spreading-worm-player-lobbies

https://www.darkreading.com/application-security/call-of-duty-self-spreading-worm-player-lobbies

恶意软件攻击工业控制系统 (ICS)

日期: 2023-08-01
标签: 制造业, 工业控制系统 (ICS)

工业控制系统 (ICS) 环境中的安全团队正在与一种突破气隙防御的蠕虫病毒作斗争。卡巴斯基 ICS-CERT 的研究人员一直在调查针对东欧 ICS 和关键基础设施的网络攻击,并发现了一种新颖的第二阶段恶意软件,该恶意软件可以绕过气隙系统提供的典型数据安全性。该团队表示,威胁行为者试图在目标网络上建立永久存在,以进行数据泄露。

详情

https://www.darkreading.com/ics-ot/air-gapped-ics-systems-targeted-sophisticated-malware

https://www.darkreading.com/ics-ot/air-gapped-ics-systems-targeted-sophisticated-malware

SpyNote Android 间谍软件袭击金融机构

日期: 2023-08-01
标签: 金融业, SpyNote, Android 间谍软件

自 2022 年底以来,名为 SpyNote 的 Android 间谍软件一直以金融机构为目标,同时扩大其进行银行欺诈的能力。 Cleafy的安全研究人员最近分享了有关 SpyNote 的新发现,称该恶意软件利用 Accessibility 服务和各种 Android 权限来执行多种恶意活动。 SpyNote 通过电子邮件网络钓鱼和网络钓鱼活动进行分发,其欺诈活动是使用远程访问木马 (RAT) 功能和网络钓鱼攻击的组合来执行的。2023 年 6 月和 7 月期间,针对不同银行的多个欧洲客户的针对性活动明显激增。

详情

https://www.infosecurity-magazine.com/news/spynote-spyware-financial/

https://www.infosecurity-magazine.com/news/spynote-spyware-financial/

新型恶意软件WikiLoader使用多种机制逃避检测

日期: 2023-08-02
标签: 信息技术, WikiLoader

安全研究人员发现了正在积极开发的新加载程序恶意软件,该恶意软件使用多种机制来逃避检测。Proofpoint表示,自 2022 年 12 月以来,它在多个活动中检测到“WikiLoader”,主要针对意大利组织。WikiLoader 通过各种载体进行分发,包括启用宏的文档、包含指向 JavaScript 负载的 URL 的 PDF 以及带有嵌入式可执行文件的 OneNote 附件。Proofpoint 检测到至少三个版本的 WikiLoader,这表明它正在快速开发,因为其作者希望使其更加复杂,并使研究人员更难检索有效负载。Proofpoint 警告称,该恶意软件可能成为初始访问代理 (IAB) 在攻击期间传播恶意软件的有用工具。

详情

https://www.infosecurity-magazine.com/news/new-wikiloader-malware-extreme/

https://www.infosecurity-magazine.com/news/new-wikiloader-malware-extreme/

新型蠕虫状恶意软件 P2Pinfect 针对 Redis 部署

日期: 2023-08-02
标签: 信息技术, P2Pinfect, Redis 数据存储

据观察,一种名为“P2Pinfect”的新型复杂恶意软件活动针对可公开访问的 Redis 数据存储部署。该恶意软件是用 Rust 编写的,由于编程语言的复杂性,分析起来很困难。Cado Security 研究人员观察到,P2Pinfect 恶意软件充当僵尸网络代理,并表现出 Windows 和 Linux 之间的跨平台兼容性。 他们在恶意软件样本中发现了嵌入式可移植可执行文件(PE)和额外的 ELF 可执行文件,证实了其能够感染 Windows 和 Linux 系统。该恶意软件通过利用 Redis 数据存储的复制功能获得对受感染系统的初始访问权限。复制完成后,恶意软件会加载恶意共享对象文件,授予反向 shell 访问权限以及在主机上运行任意 shell 命令的能力。

详情

https://www.infosecurity-magazine.com/news/p2pinfect-targets-redis-deployments/

https://www.infosecurity-magazine.com/news/p2pinfect-targets-redis-deployments/

数据窃取恶意软件使用hVNC方法来针对 macOS 用户

日期: 2023-08-02
标签: 信息技术, Apple, macOS

最近发现的数据窃取恶意软件通过使用隐藏虚拟网络计算 (hVNC) 的方法来针对 macOS 用户。它在暗网上以 60,000 美元的终生价格出售,并提供附加组件。IT 团队通常使用虚拟网络计算 (VNC) 软件为用户提供远程技术支持。该工具的另一个版本是 hVNC,它可以捆绑到秘密运行的恶意软件中,无需请求用户许可即可获得访问权限。据 Guardz 研究人员称,臭名昭著的俄罗斯地下论坛 Exploit 上已经出现了此类工具的 macOS 版本。它专门收集各种敏感信息,包括登录凭据、个人数据、财务信息等。对于苹果用户来说,该恶意软件还可以在系统重启和其他删除尝试中幸存下来。

详情

https://www.darkreading.com/application-security/apple-users-remote-control-tricky-macos-malware

https://www.darkreading.com/application-security/apple-users-remote-control-tricky-macos-malware

亚马逊的 AWS SSM 代理可用作利用后 RAT 恶意软件

日期: 2023-08-03
标签: 信息技术, 亚马逊(Amazon ), 远程访问木马 (RAT), AWS Systems Manager (SSM)

AWS Systems Manager (SSM) 是一个 Amazon 签名的二进制综合端点管理系统,管理员可以使用它来配置、修补和监控由 EC2 实例、本地服务器或虚拟机组成的 AWS 生态系统。研究人员在 Amazon Web Services (AWS) 中发现了一种新的后利用技术,该技术允许黑客使用该平台的系统管理器 (SSM) 代理作为无法检测的远程访问木马 (RAT)。这种攻击概念由 Mitiga 的安全研究人员设计,会影响 Windows 和 Linux 机器,并且比使用常见的恶意软件和后门更可取,因为其滥用行为不太可能被安全软件检测到。

详情

https://www.bleepingcomputer.com/news/security/amazons-aws-ssm-agent-can-be-used-as-post-exploitation-rat-malware/

https://www.bleepingcomputer.com/news/security/amazons-aws-ssm-agent-can-be-used-as-post-exploitation-rat-malware/

Chrome 恶意插件 Rilide 通过 PowerPoint 指南瞄准企业用户

日期: 2023-08-04
标签: 信息技术, Google Chrome, Rilide, 浏览器安全

恶意 Rilide Stealer Chrome 浏览器扩展程序在针对加密用户和企业员工的新活动中卷土重来,旨在窃取凭证和加密钱包。Rilide 是基于 Chromium 的浏览器(包括 Chrome、Edge、Brave 和 Opera)的恶意浏览器扩展,Trustwave SpiderLabs 最初于 2023 年 4 月发现。首次发现时,Rilide 浏览器扩展程序会冒充合法的 Google Drive 扩展程序来劫持浏览器、监控所有用户活动并窃取电子邮件帐户凭据或加密货币资产等信息。Trustwave Spiderlabs 发现了 Rilide 的新版本,现在支持 Chrome Extension Manifest V3,使其能够克服 Google 新扩展规范引入的限制,并添加额外的代码混淆以逃避检测。此外,最新的 Rilide 恶意软件扩展现在也针对银行账户。它可以通过 Telegram 频道或按预定时间间隔捕获屏幕截图并将其发送到 C2 服务器来泄露被盗数据。

详情

https://www.bleepingcomputer.com/news/security/chrome-malware-rilide-targets-enterprise-users-via-powerpoint-guides/

https://www.bleepingcomputer.com/news/security/chrome-malware-rilide-targets-enterprise-users-via-powerpoint-guides/


4
 数据安全



黑客利用虚假 Android 聊天应用窃取 Signal、WhatsApp 用户数据

日期: 2023-08-02
标签: 信息技术, SafeChat, 移动安全, Android(安卓)

黑客正在使用一款名为“SafeChat”的假冒 Android 应用程序,通过间谍软件恶意软件感染设备,从而窃取手机的通话记录、短信和 GPS 位置。这款 Android 间谍软件被怀疑是“Coverlm”的变种,它会窃取 Telegram、Signal、WhatsApp、Viber 和 Facebook Messenger 等通讯应用程序的数据。CYFIRMA 研究人员表示,印度 APT 黑客组织“Bahamut”是该活动的幕后黑手,他们最新的攻击主要通过 WhatsApp 上的鱼叉式网络钓鱼消息进行,将恶意负载直接发送给受害者。在 CYFIRMA 观察到的最新活动中,巴哈姆特的目标是南亚的公民。

详情

https://www.bleepingcomputer.com/news/security/hackers-steal-signal-whatsapp-user-data-with-fake-android-chat-app/

https://www.bleepingcomputer.com/news/security/hackers-steal-signal-whatsapp-user-data-with-fake-android-chat-app/

法国汉堡王由于网站配置错误导致数据泄露

日期: 2023-08-03
标签: 住宿餐饮业, 汉堡王, 数据泄露

汉堡王是一家著名的美国国际快餐巨头,在全球拥有超过 19000 家餐厅,收入达 18 亿美元。2023 年 6 月 1 日,Cybernews 研究团队发现了属于汉堡王法语网站的可公开访问的环境文件 (.env),其中包含各种凭据。该文件托管在用于发布工作机会的子域上。2023年7月,Cybernews 研究团队发现,法国汉堡王由于网站配置错误而向公众泄露了敏感凭证。在恶意行为者手中,泄露的凭证可能会成为针对该链系统发起网络攻击的工具。由于受影响的网站用于求职,因此在法国汉堡王求职的人可能会受到影响。这并不是汉堡王第一次泄露敏感数据。据报道,2019 年,由于类似的配置错误,法国分公司泄露了购买汉堡王菜单的儿童的个人身份信息 (PII)。

详情

https://securityaffairs.com/149076/data-breach/burger-king-exposed-sensitive-credentials.html

https://securityaffairs.com/149076/data-breach/burger-king-exposed-sensitive-credentials.html

美国政府承包商 Serco 遭受 MoveIT 攻击后数据泄露

日期: 2023-08-04
标签: 政府部门, Serco, 数据泄露

跨国外包公司 Serco Group 的美洲分部 Serco Inc 披露了一起数据泄露事件,攻击者从第三方供应商的 MoveIT 托管文件传输 (MFT) 服务器窃取了 10,000 多人的个人信息。Serco 在向缅因州总检察长办公室提交的违规通知中表示,这些信息是从其福利管理提供商 CBIZ 的文件传输平台中泄露的。2023 年 6 月 30 日,Serco 获悉第三方福利管理提供商 CBIZ 遭遇勒索软件攻击和数据泄露。该事件始于 2023 年 5 月,CBIZ 于 2023 年 6 月 5 日采取措施缓解该事件。CBIZ 系统的入侵并未影响 Serco 系统的安全性。攻击中泄露的个人信息包括以下信息的任意组合:姓名、美国社会安全号码、出生日期、家庭邮寄地址、Serco 和/或个人电子邮件地址以及当年选定的健康福利。Serco 目前正在与 CBIZ 合作调查此次违规行为并评估事件的全部范围,重点是确保第三方供应商已实施安全措施以防止未来发生此类事件。

详情

https://www.bleepingcomputer.com/news/security/us-govt-contractor-serco-discloses-data-breach-after-moveit-attacks/

https://www.bleepingcomputer.com/news/security/us-govt-contractor-serco-discloses-data-breach-after-moveit-attacks/


5
 网络攻击



以色列最大炼油厂网站遭受 DDoS 攻击后离线

日期: 2023-07-31
标签: 以色列, 能源业, BAZAN, 炼油厂, DDoS 攻击

2023年7月下旬,以色列最大的炼油厂运营商 BAZAN 集团的网站在世界大部分地区都无法访问,因为威胁行为者声称已经侵入了该集团的网络系统。总部位于海法湾的 BAZAN Group(前身为 Oil Refineries Ltd.)年收入超过 135 亿美元,拥有员工 1,800 多人。该公司拥有年炼油总能力约980万吨原油。2023年7月下旬,伊朗黑客组织“网络复仇者”(Cyber Avengers)又名“网络复仇者”(CyberAv3ngers)在一个电报频道中声称,该组织侵入了 BAZAN 的网络。2023年7月29日晚,该组织还泄露了 BAZAN 公司 SCADA 系统的截图,这些系统是用于监控和操作工业控制系统的软件应用程序。

详情

https://www.bleepingcomputer.com/news/security/israels-largest-oil-refinery-website-offline-after-ddos-attack/

https://www.bleepingcomputer.com/news/security/israels-largest-oil-refinery-website-offline-after-ddos-attack/

针对 Facebook 企业帐户的网络钓鱼活动中发现了新的信息窃取软件

日期: 2023-08-02
标签: 信息技术, 文化传播, Meta(原Facebook), Facebook

Unit 42 研究人员发现了另一场网络钓鱼活动,旨在使用新发现的信息窃取者变种接管 Facebook 企业帐户。这一新颖的活动据信是由越南裔威胁行为者实施的,是过去一年中针对 Facebook 企业帐户进行广告欺诈和其他目的的攻击者不断增长的趋势的一部分。与越南的链接基于多个因素,包括 Python 脚本中的许多字符串都是用越南语编写的。不过这一特定活动据信不再活跃。Unit 42 表示,有迹象表明,其背后的威胁行为者今后将继续使用类似的技术来劫持 Facebook 企业帐户,对个人和组织都构成巨大风险。这包括目标的经济损失和声誉损害,以及使用从浏览器窃取的凭据发起的进一步攻击。

详情

https://www.infosecurity-magazine.com/news/infostealer-phishing-facebook/

https://www.infosecurity-magazine.com/news/infostealer-phishing-facebook/

黑客组织Space Pirates攻击俄罗斯和塞尔维亚

日期: 2023-08-02
标签: 俄罗斯, 塞尔维亚, 政府部门, 教育行业, 农林牧渔, 能源业, Space Pirates

自 2019 年底以来,Space Pirates网络犯罪组织将其工作重点放在间谍活动和数据盗窃上。但最近几个月,研究人员注意到方法论的变化,表明该小组已经解锁了新技术知识的宝库。Positive Technologies 的研究人员警告说,近几个月来,太空海盗不仅发起了越来越多的攻击,而且还使用了新的非常规恶意软件和技术。研究人员在最新报告中表示,曾经几乎完全依赖后门的盗版者最近开始使用 Deed RAT 对俄罗斯公司进行大幅加强的攻击。Positive Technologies 表示,过去一年,至少有 17 个组织成为 Space Pirates对关键基础设施进行网络攻击的受害者,其中包括俄罗斯和塞尔维亚政府、国防、教育、农业、能源和信息安全机构。

详情

https://www.darkreading.com/threat-intelligence/space-pirates-train-cyber-sabers-on-russian-serbian-organizations

https://www.darkreading.com/threat-intelligence/space-pirates-train-cyber-sabers-on-russian-serbian-organizations

美国服装零售商 Hot Topic 遭受撞库攻击

日期: 2023-08-02
标签: 批发零售, Hot Topic, 数据泄露

美国服装零售商 Hot Topic 向客户通报 2 月 7 日至 6 月 21 日期间发生的多起网络攻击,导致敏感信息暴露给黑客。Hot Topic 是一家专门从事反文化服装和配饰以及授权音乐的零售连锁店,在美国拥有 675 家商店,根据 SametimeWeb 的数据,它还经营一家每月有近 1000 万访客的在线商店。黑客使用窃取的帐户凭据多次访问奖励平台,也可能窃取客户数据。Hot Topic表示:“经过仔细调查,我们确定未经授权的各方于2023年2月7日、3月11日、5月19日至21日、5月27日至28日和6月18日至21日,使用获得的有效帐户凭据对我们的网站和移动应用程序发起了自动攻击。来自未知的第三方来源。”

详情

https://www.bleepingcomputer.com/news/security/retail-chain-hot-topic-discloses-wave-of-credential-stuffing-attacks/

https://www.bleepingcomputer.com/news/security/retail-chain-hot-topic-discloses-wave-of-credential-stuffing-attacks/

黑客在 Facebook 网络钓鱼攻击中利用 Salesforce 零日漏洞

日期: 2023-08-03
标签: 信息技术, Meta(原Facebook), 零日漏洞, PhishForce

黑客利用 Salesforce 电子邮件服务和 SMTP 服务器中的零日漏洞发起了针对有价值的 Facebook 帐户的复杂网络钓鱼活动。攻击者利用了一个名为“PhishForce”的漏洞,绕过 Salesforce 的发件人验证保护措施和 Facebook 网页游戏平台的怪癖,大规模发送网络钓鱼电子邮件。使用 Salesforce 等信誉良好的电子邮件网关分发网络钓鱼电子邮件的好处是规避安全电子邮件网关和过滤规则,确保恶意电子邮件到达目标的收件箱。该活动由Guardio Labs分析师 Oleg Zaytsev 和 Nati Tal发现,他们向 Salesforce 报告了这一未知漏洞并帮助他们完成修复过程。然而,Facebook 游戏平台中发现的问题非常突出,Meta 的工程师仍在试图找出现有缓解措施未能阻止攻击的原因。

详情

https://www.bleepingcomputer.com/news/security/hackers-exploited-salesforce-zero-day-in-facebook-phishing-attack/

https://www.bleepingcomputer.com/news/security/hackers-exploited-salesforce-zero-day-in-facebook-phishing-attack/

俄罗斯黑客在 Microsoft Teams 网络钓鱼攻击中针对政府组织

日期: 2023-08-03
标签: 俄罗斯, 政府部门, 微软(Microsoft), 网络钓鱼攻击

2023年8月2日,微软表示,一个被追踪为 APT29 并与俄罗斯对外情报局 (SVR) 有联系的黑客组织在 Microsoft Teams 网络钓鱼攻击中针对包括政府机构在内的全球数十个组织。微软目前的调查表明,该活动影响了不到 40 个全球组织。此次活动的目标组织可能表明了 Midnight Blizzard 针对政府、非政府组织 (NGO)、IT 服务、技术、离散制造和媒体部门的特定间谍目标。威胁行为者利用受损的 Microsoft 365 租户创建新的技术支持主题域并发送技术支持诱饵,试图使用社会工程策略欺骗目标组织的用户。他们的目的是操纵用户批准多因素身份验证 (MFA) 提示,最终目的是窃取他们的凭据。

详情

https://www.bleepingcomputer.com/news/security/russian-hackers-target-govt-orgs-in-microsoft-teams-phishing-attacks/

https://www.bleepingcomputer.com/news/security/russian-hackers-target-govt-orgs-in-microsoft-teams-phishing-attacks/

俄罗斯黑客组织Midnight Blizzard对 Microsoft Teams 发起一连串攻击

日期: 2023-08-04
标签: 信息技术, 微软(Microsoft), Midnight Blizzard

SolarWinds 攻击背后的俄罗斯国家支持的黑客组织Midnight Blizzard再次卷土重来,他们现在使用 Microsoft Teams 应用程序发起有针对性的活动,旨在窃取 Microsoft 365 密码,并侵入组织的 Azure Active Directory 环境及其他环境。微软于2023年8月3日标记了这一活动,指出高级持续威胁组织Midnight Blizzard(又名Nobelium、APT29、UNC2452 和 Cozy Bear)迄今已攻击约 40 个政府组织、非政府组织 (NGO)、IT 服务、技术、离散制造和全球媒体部门。为了实施攻击,Midnight Blizzard 使用受感染的 Microsoft 365 租户,主要是小型企业。

详情

https://www.darkreading.com/ics-ot/russia-midnight-blizzard-hackers-microsoft-teams-attacks

https://www.darkreading.com/ics-ot/russia-midnight-blizzard-hackers-microsoft-teams-attacks


6
 安全漏洞



Ivanti Endpoint Manager Mobile 中的新漏洞被广泛利用

日期: 2023-07-31
标签: 信息技术, Ivanti , CVE-2023-35081

Ivanti 披露了一个影响 Endpoint Manager Mobile (EPMM) 的新安全漏洞,编号为 CVE-2023-35081(CVSS 评分:7.8),该漏洞已被威胁行为者作为漏洞利用链的一部分在野外利用。CVE-2023-35081 使经过身份验证的管理员能够对 EPMM 服务器执行任意文件写入。该公司表示,攻击者可以将此漏洞与CVE-2023-35078链接起来,以绕过管理员身份验证和 ACL 限制(如果适用)。成功利用该漏洞可将恶意文件写入设备,最终允许恶意攻击者以 tomcat 用户身份在设备上执行操作系统命令。到目前为止,Ivanti 表示受 CVE-2023-35078 影响的客户数量与受 CVE-2023-35081 影响的客户数量相同。该漏洞影响受支持的版本 11.10、11.9 和 11.8,旧版本/版本也面临风险。

详情

https://securityaffairs.com/148957/hacking/ivanti-epmm-flaw.html

https://securityaffairs.com/148957/hacking/ivanti-epmm-flaw.html

2022 年发现的零日漏洞中有超过 40% 是之前漏洞的变体

日期: 2023-07-31
标签: 信息技术, 零日漏洞

谷歌威胁分析小组表示,2022 年发现的零日漏洞中有超过 40% 是之前问题的变体。2022 年,研究人员披露了 41 个被积极利用的零日漏洞,这是自2014 年中期开始跟踪以来有记录以来第二多的漏洞。2021 年,研究人员发现的零日漏洞数量为 69 个。 报告还表示,超过 40% 的 0day 漏洞是之前报告的漏洞的变体。自 2022 年起,在 41 个被积极利用的零日漏洞中,有 17 个是先前报告的漏洞的变体,该数据证实了研究人员在先前报告中观察到的趋势。

详情

https://securityaffairs.com/148965/hacking/zero-day-2022-google-report.html

https://securityaffairs.com/148965/hacking/zero-day-2022-google-report.html

美国、澳大利亚就 Web 应用程序中的访问控制漏洞发出警告

日期: 2023-08-01
标签: 信息技术, 政府部门, 访问控制漏洞

澳大利亚网络安全中心 (ACSC)、美国网络安全和基础设施安全局 (CISA) 和国家安全局 (NSA) 发布的新指南警告开发人员、供应商和组织注意 Web 应用程序中的访问控制漏洞。它们被描述为不安全的直接对象引用 (IDOR) 问题,允许威胁参与者通过包含有效用户标识符的应用程序编程接口 (API) 请求读取或篡改敏感数据。这些请求之所以成功,是因为提交请求的用户的身份验证或授权未得到正确验证。指南指出,IDOR 漏洞允许用户在相同权限级别或更高权限级别访问他们不应该访问的数据,修改或删除他们不应该访问的数据,或者访问他们不应该访问的功能。

详情

https://www.securityweek.com/us-australia-issue-warning-over-access-control-vulnerabilities-in-web-applications/

https://www.securityweek.com/us-australia-issue-warning-over-access-control-vulnerabilities-in-web-applications/

第二个 Ivanti EPMM 零日漏洞在针对性攻击中被利用

日期: 2023-08-01
标签: 信息技术, Ivanti, CVE-2023-35078, CVE-2023-35081

Ivanti 警告客户,其 Endpoint Manager Mobile (EPMM) 产品中存在第二个零日漏洞,该漏洞已被用于有针对性的攻击。挪威当局于 7 月 24 日宣布,十几个政府部门已成为涉及利用 CVE-2023-35078 的网络攻击的目标, CVE-2023-35078是一个 Ivanti EPMM 零日漏洞,允许未经身份验证的攻击者获取敏感信息并对受影响的服务器进行更改。 2023年7月末,Ivanti 发布了一份公告,CISA 也发布了一份警报,向各组织通报第二个漏洞,并警告他们主动利用该漏洞。已敦促组织立即修补其设备。Ivanti 指出,CVE-2023-35081 可以与 CVE-2023-35078 结合利用来绕过管理员身份验证和访问控制列表 (ACL) 限制。 虽然目前这些漏洞已在有限的攻击中得到利用,但考虑到存在数千个潜在易受攻击的互联网暴露系统,并且CVE-2023-35078的概念验证 (PoC) 代码已经可用,利用情况可能会增加。

详情

https://www.securityweek.com/second-ivanti-epmm-zero-day-vulnerability-exploited-in-targeted-attacks/

https://www.securityweek.com/second-ivanti-epmm-zero-day-vulnerability-exploited-in-targeted-attacks/

佳能喷墨打印机面临通过 Wi-Fi 遭受第三方攻击的风险

日期: 2023-08-02
标签: 制造业, 佳能, 佳能打印机

佳能本周发布了一份安全公告,详细介绍了对其喷墨打印机的风险以及存储在内存中的 Wi-Fi 设置的敏感信息的担忧,并声称这些信息可能无法在常规过程中被充分删除。如果此漏洞被利用,可能会导致数据泄露,使用户面临风险并损害整体数据安全。当任何这些可能受到威胁的打印机落入第三方手中时,就会存在未经授权的访问风险,最终可能导致信息落入威胁行为者手中。佳能提供了一份 受影响打印机的冗长列表,因为每个打印机存储的信息类型因型号而异,很明显问题是巨大的,有 196 种不同的型号受到影响。

详情

https://www.darkreading.com/endpoint/canon-inkjet-printers-at-risk-for-third-party-compromise-via-wi-fi

https://www.darkreading.com/endpoint/canon-inkjet-printers-at-risk-for-third-party-compromise-via-wi-fi

超过 640 台 Citrix 服务器在持续的攻击中带有 Web shell 后门

日期: 2023-08-03
标签: 信息技术, 制造业, Citrix, CVE-2023-3519, Citrix 服务器

数百台 Citrix Netscaler ADC 和网关服务器已在针对 CVE-2023-3519 的关键远程代码执行 (RCE) 漏洞的一系列攻击中遭到破坏并被设置后门。该漏洞此前曾被用作零日漏洞,用于破坏美国关键基础设施组织的网络。Shadowserver 基金会(一家致力于增强互联网安全的非营利组织)的安全研究人员现在透露,在这些攻击中,攻击者在至少 640 台 Citrix 服务器上部署了 Web shell。

详情

https://www.bleepingcomputer.com/news/security/over-640-citrix-servers-backdoored-with-web-shells-in-ongoing-attacks/

https://www.bleepingcomputer.com/news/security/over-640-citrix-servers-backdoored-with-web-shells-in-ongoing-attacks/

Ivanti 披露了 MobileIron Core 中新的严重身份验证绕过漏洞

日期: 2023-08-03
标签: 信息技术, Ivanti

IT 软件公司 Ivanti 今天披露了其 MobileIron Core 移动设备管理软件中的一个新的严重安全漏洞。该漏洞编号为CVE-2023-35082,是一个远程未经身份验证的 API 访问漏洞,影响 MobileIron Core 11.2 及更早版本。成功利用该漏洞后,攻击者可以通过将该漏洞与其他缺陷链接起来,通过部署 Web shell 来访问移动设备用户的个人身份信息 (PII) 和受后门攻击的服务器。Ivanti 表示不会发布安全补丁来修复此漏洞,因为该产品的新版本已解决该问题,并更名为 Endpoint Manager Mobile (EPMM)。

详情

https://www.bleepingcomputer.com/news/security/ivanti-discloses-new-critical-auth-bypass-bug-in-mobileiron-core/

https://www.bleepingcomputer.com/news/security/ivanti-discloses-new-critical-auth-bypass-bug-in-mobileiron-core/

Rapid7 发现了 Ivanti EPMM 漏洞的绕过方法

日期: 2023-08-04
标签: 信息技术, CVE-2023-35082

Rapid7 网络安全研究人员发现了 Ivanti Endpoint Manager Mobile (EPMM) 中最近修补的主动利用漏洞的绕过方法。新漏洞的编号为 CVE-2023-35082 (CVSS 评分:10.0),未经身份验证的攻击者可利用该漏洞访问不受支持的旧版 MobileIron Core(11.2 及更低版本)中的 API。Ivanti 通过发布 MobileIron Core 11.3 版本解决了该漏洞。

详情

https://securityaffairs.com/149116/security/ivanti-epmm-bypass-cve-2023-35082.html

https://securityaffairs.com/149116/security/ivanti-epmm-bypass-cve-2023-35082.html


7
 安全分析



数字孪生技术开启新的网络攻击媒介

日期: 2023-07-31
标签: 信息技术, 人工智能

”“数字孪生”——经过训练的人工智能助手,通过了解并以某种方式模仿我们来满足我们的多种需求——结果却有无数种方式可能会反过来攻击人类。佛罗里达大学教授 Ben Sawyer 和 Beyond Layer Seven 首席执行官 Matthew Canham 指出,尽管人们对大型语言模型 (LLM) 将使黑客能够设计更多、更好的网络钓鱼电子邮件、网络钓鱼电话和机器人,这种东西已经过时了。 索耶和坎纳姆认为,明天的社会工程将由人工智能模仿我们并影响我们潜意识偏好。由于能够无形地拉动我们潜意识的心理杠杆,未来的人工智能数字孪生所构成的威胁比任何数据盗窃或网络钓鱼都要大得多,恶意行为者可能会利用这一点造成真正的伤害。

详情

https://www.darkreading.com/attacks-breaches/ai-pitfall-digital-mirroring-opens-new-cyberattack-vector

https://www.darkreading.com/attacks-breaches/ai-pitfall-digital-mirroring-opens-new-cyberattack-vector

谷歌:Android补丁差距使nday与0day一样危险

日期: 2023-07-31
标签: 信息技术, 移动安全

谷歌发布了年度 0day 漏洞报告,提供了 2022 年以来的野外利用统计数据,并强调了 Android 平台中长期存在的问题,该问题提高了已披露缺陷的价值和长期使用。更具体地说,谷歌的报告强调了 Android 中的 n 天对于威胁行为者来说是 0 天的问题。 零日漏洞是 在供应商意识到或修复之前已知的软件缺陷,使其在补丁可用之前就可以在攻击中被利用。然而, n 天漏洞 是一种在有或没有补丁的情况下已为公众所知的漏洞。该问题源于Android生态系统的复杂性,涉及上游厂商(谷歌)和下游厂商(手机厂商)之间的多个步骤、不同设备型号之间的安全更新间隔存在显着差异、支持周期短、责任混淆等问题。谷歌警告说,尽管谷歌或其他供应商已经提供了补丁,但攻击者可以使用已知的利用方法或设计自己的方法,在数月内攻击未打补丁的设备。这是由补丁间隙造成的,谷歌或其他供应商修复了一个错误,但设备制造商需要几个月的时间才能在自己的 Android 版本中推出它。

详情

https://www.bleepingcomputer.com/news/security/google-android-patch-gap-makes-n-days-as-dangerous-as-zero-days/

https://www.bleepingcomputer.com/news/security/google-android-patch-gap-makes-n-days-as-dangerous-as-zero-days/

分析Konni组织的新攻击活动

日期: 2023-08-01
标签: 政府部门, Konni APT, APT舆情

6月27日,Genience安全中心发现了Konni发起的新网络威胁活动,该组织被确定为朝鲜黑客组织。此案例伪装成国税局邮件中心发送的通知服务。当国税局有信息通知纳税人时,它将向纳税人的地址发送邮件。攻击者利用这一点,将其作为鱼叉式网络钓鱼攻击的主题。邮件中附有一个压缩文件,包含2个HWP文档文件和1个LNK快捷方式文件。执行快捷方式文件时,会收集并渗漏受害者计算机的关键信息,并添加其他恶意文件(VBS、BAT、Powershell)。

详情

https://www.genians.co.kr/blog/threat_intelligence_report_konni

https://www.genians.co.kr/blog/threat_intelligence_report_konni

Konni组织疑似针对韩国企业的攻击活动

日期: 2023-08-02
标签: 信息技术, APT舆情

安天CERT近期发现APT组织Konni的攻击活动,结合诱饵文件内容及以往的攻击活动推测,此次攻击可能为针对韩国企业进行的网络攻击。Konni组织可能通过向目标投递与税务相关的ZIP文件实施攻击。在用户打开ZIP文件内的诱饵LNK文件时,执行设置好的PowerShell指令,打开LNK文件内包含的掩饰文档以及压缩包,执行压缩包内的脚本文件,设置注册表实现持久化机制,获取目标机的部分文件列表、进程列表等基础信息并回传至服务端,最终下载后续载荷并执行。

详情

https://mp.weixin.qq.com/s/8aoOtjXn3C5sVIaE08-_GQ

https://mp.weixin.qq.com/s/8aoOtjXn3C5sVIaE08-_GQ

黑客滥用 Google AMP 进行网络钓鱼活动

日期: 2023-08-02
标签: 信息技术, 谷歌(Google), 网络钓鱼

安全研究人员警告说,网络钓鱼活动有所增加,这些活动滥用 Google Accelerated Mobile Pages (AMP) 绕过电子邮件安全措施并进入企业员工的收件箱。Google AMP 是由 Google 与 30 个合作伙伴共同开发的开源 HTML 框架,旨在提高移动设备上网页内容的加载速度。AMP 页面托管在 Google 的服务器上,其中内容经过简化,并且预加载了一些较重的媒体元素,以便更快地交付。使用嵌入网络钓鱼电子邮件中的 Google AMP URL 背后的想法是确保电子邮件保护技术不会由于 Google 的良好声誉而将邮件标记为恶意或可疑邮件。

详情

https://www.bleepingcomputer.com/news/security/threat-actors-abuse-google-amp-for-evasive-phishing-attacks/

https://www.bleepingcomputer.com/news/security/threat-actors-abuse-google-amp-for-evasive-phishing-attacks/

幽影长存:蔓灵花组织近期攻击活动分析

日期: 2023-08-03
标签: 信息技术, 政府部门, 蔓灵花, APT舆情

奇安信威胁情报中心红雨滴团队一直以来都在对全球各大APT组织进行追踪,在对南亚相关APT组织进行追踪时发现蔓灵花组织近期非常活跃,本文内容仅是对过去一段时间内蔓灵花组织的攻击手法做一个分享,揭示其攻击手段、目标和动机,为相关机构提供有效的安全建议。

详情

https://mp.weixin.qq.com/s/HVhXyIB4sKuG6dDwwe4Pcw

https://mp.weixin.qq.com/s/HVhXyIB4sKuG6dDwwe4Pcw

新型 Collide+Power 旁道攻击几乎影响所有 CPU

日期: 2023-08-03
标签: 信息技术, 制造业, CVE-2023-20583, 旁道攻击

格拉茨科技大学的研究人员发现了一种名为“Collide+Power”的新的基于软件的电源旁道攻击,该攻击几乎影响所有 CPU,并可能导致数据泄露。然而,研究人员警告说,该漏洞风险较低,很可能不会用于对最终用户的攻击。Collide+Power 的主要概念是,当攻击者的数据集与其他应用程序发送的数据在 CPU 缓存内存中发生数据“冲突”以覆盖前者时,从测量的 CPU 功耗值中泄漏数据。尽管发现的漏洞(CVE-2023-20583)具有研究意义,但在大多数现实情况下利用它实际上非常具有挑战性;因此它的严重程度较低。

详情

https://www.bleepingcomputer.com/news/security/new-collide-pluspower-side-channel-attack-impacts-almost-all-cpus/

https://www.bleepingcomputer.com/news/security/new-collide-pluspower-side-channel-attack-impacts-almost-all-cpus/

COLDRIVER将在2023年继续部署新基础设施

日期: 2023-08-04
标签: 信息技术, 政府部门, COLDRIVER(Calisto), APT舆情

最近,Insikt Group观察到BlueCharlie构建了可能用于网络钓鱼活动和凭据收集的新基础设施,其中包含94个新域名。最近的活动中看到的几个TTP与过去的活动背道而驰,这表明BlueCharlie正在改进其运营,可能是为了规避行业报告中公开披露的运营情况。自Insikt Group于2022年9月对该组织进行首次跟踪以来,BlueCharlie的TTP进行了多次转变。这些转变表明,攻击者了解行业报告,并混淆或修改其活动,旨在阻碍安全研究人员。

详情

https://www.recordedfuture.com/bluecharlie-previously-tracked-as-tag-53-continues-to-deploy-new-infrastructure-in-2023

https://www.recordedfuture.com/bluecharlie-previously-tracked-as-tag-53-continues-to-deploy-new-infrastructure-in-2023


8
 行业动向



Apple要求开发者公布使用特定API的原因

日期: 2023-08-01
标签: 信息技术, Apple, 隐私协议, API安全

为了通过防止不必要的数据收集来增强用户隐私,Apple 要求应用程序开发人员声明使用特定 API 的原因。该计划最初是在上个月的开发者大会上宣布的,目标是一小部分 API,苹果表示,这些 API“可能被滥用,通过指纹识别收集有关用户设备的数据”,而这是该公司开发者计划所禁止的。为了防止滥用,Apple 将要求开发者在其应用程序的隐私清单中包含使用此类 API 的原因,以确保这些 API 仅用于其预期目的。

详情

https://www.securityweek.com/apple-lists-apis-that-developers-can-only-use-for-good-reason/

https://www.securityweek.com/apple-lists-apis-that-developers-can-only-use-for-good-reason/

Instagram 标记人工智能生成的内容

日期: 2023-08-03
标签: 信息技术, 文化传播, Meta(原Facebook), Instagram, AI, ChatGPT

在美国关于人工智能安全和非人类内容的全国性讨论中,一位应用程序研究人员发现该社交媒体应用程序为其 2 亿多用户标记人工智能帖子。Instagram正在实施一项功能,将 ChatGPT 和其他人工智能创建的社交媒体帖子标记为“人工智能生成的内容”。安全研究人员表示,此举是让网络更安全的重要一步。应用研究员 Alessandro Paluzzi最近发现了该功能,紧接着 Instagram 母公司 Meta 和其他六家大型科技公司在白宫举行会议,宣布自愿承诺保护人工智能安全。这些承诺包括实施水印来标记源自“合成”用户的内容。

详情

https://www.darkreading.com/application-security/instagram-flags-ai-generated-content

https://www.darkreading.com/application-security/instagram-flags-ai-generated-content

CISA 呼吁改进UEFI更新机制的安全性

日期: 2023-08-04
标签: 信息技术, 政府部门, 统一可扩展固件接口 (UEFI)

在缓解 BlackLotus bootkit 造成灾难的背景下,网络安全和基础设施安全局 (CISA) 呼吁改进统一可扩展固件接口 (UEFI) 更新机制的安全性。在2023年8月3日发布的一篇博文中,CISA 敦促计算机行业全面采用安全设计方法来增强 UEFI 的整体安全性,UEFI 是负责系统启动例程的固件。它由多个组件组成,包括安全和平台初始化程序、驱动程序、引导加载程序和电源管理接口。UEFI 是一种流行的攻击面,因为如果它加载了恶意代码,威胁参与者就可以在系统上实现高水平的持久性,因为该代码将在操作系统或任何安全软件之前启动。这使得它对于大多数事件响应策略和操作系统级防御来说都是不可见的,并且不受系统重新启动的影响。CISA 的行动呼吁是要求全面开展标准行动,通过创建软件和附带的本质上强化的更新路径来消除对 UEFI 的威胁。

详情

https://www.darkreading.com/application-security/cisa-sounds-alarm-uefi-security

https://www.darkreading.com/application-security/cisa-sounds-alarm-uefi-security


9
 其他事件



APT29近期仿冒德国大使馆下发恶意PDF文件

日期: 2023-07-31
标签: 政府部门, APT29, APT舆情

安恒信息猎影实验室在对该组织的持续追踪时发现,APT29在俄乌冲突时期加大了对各国相关部门的攻击活动。今年先后仿冒了波兰、乌克兰、土耳其、挪威等欧盟国家大使馆,进行鱼叉式网络钓鱼邮件攻击。该组织在活动中利用合法服务DropBox、GoogleDrive、Slack、Trello、Notion API进行通信,最后下发CobaltStrike、BruteRatel等恶意负载。近期,再次捕获到APT29仿冒德国大使馆的攻击活动。

详情

https://mp.weixin.qq.com/s/32U2nBhyE0hjBWSKhwCT4g

https://mp.weixin.qq.com/s/32U2nBhyE0hjBWSKhwCT4g

Ryanair航空因使用面部识别技术而面临诉讼

日期: 2023-07-31
标签: 居民服务, 交通运输, Ryanair航空, 面部识别技术

由于潜在的数据收集和隐私问题,Ryanair航空成为最新一家因其使用面部识别技术而面临法律诉讼的组织。 总部位于维也纳的数字版权组织欧洲数字版权中心提起诉讼,指控瑞安航空侵犯其部分客户的隐私权。诉讼中称瑞安航空的面部识别选项是不必要的,并且给该航空公司的客户带来了令人无法接受的高隐私风险。“航空公司将此流程外包给一家名为 GetID 的外部公司,这意味着客户必须将他们的生物识别数据委托给他们从未听说过或与之签订过合同的公司。然而,Ryanair航空 表示,额外的验证是必要的,因为第三方代理通常不会向瑞安航空提供乘客的正确联系信息和付款详细信息。该公司坚称:“Ryanair航空需要执行此验证流程,以确保我们能够遵守安全和安保要求。”

详情

https://www.darkreading.com/application-security/ryanair-hit-with-lawsuit-over-use-of-facial-recognition-technology

https://www.darkreading.com/application-security/ryanair-hit-with-lawsuit-over-use-of-facial-recognition-technology

俄罗斯 APT BlueBravo 通过 GraphicalProton 后门攻击外交实体

日期: 2023-07-31
标签: 政府部门, BlueBravo(又名APT29、Cloaked Ursa 和 Midnight Blizzard、Nobelium), 外交实体, 鱼叉式网络钓鱼

据观察,与俄罗斯有关的威胁国家组织 BlueBravo(又名APT29、Cloaked Ursa 和 Midnight Blizzard、Nobelium)针对整个东欧的外交实体。据观察,该组织正在进行鱼叉式网络钓鱼活动,最终目标是使用名为 GraphicalProton 的新后门感染收件人。该活动于 2023 年 3 月至 5 月期间进行。威胁行为者滥用合法互联网服务 (LIS) 进行命令与控制 (C2) 混淆,扩大了为此目的滥用的服务范围。

详情

https://securityaffairs.com/148920/apt/bluebravo-graphicalproton-backdoor.html

https://securityaffairs.com/148920/apt/bluebravo-graphicalproton-backdoor.html

研究人员发现朝鲜 STARK#MULE 攻击活动

日期: 2023-08-01
标签: 政府部门, STARK#MULE

安全研究人员发现了一种名为 STARK#MULE 的持续攻击活动,该活动利用美国军事相关文件作为诱饵,通过合法的受感染网站传播恶意软件。 该活动似乎是针对说韩语的受害者,可能表明其起源于朝鲜,尽管这一点尚未得到证实。 这些诱饵文件据称包含有关美国陆军/军队招募资源的信息,诱使收件人打开附件,从而在不知不觉中激活嵌入的恶意软件。STARK#MULE 活动的整个恶意基础设施都以已受到损害的合法韩国电子商务网站为中心。 通过利用这些站点,威胁行为者可以融入常规流量,逃避检测,同时传播恶意软件并保持对受害者系统的完全控制。

详情

https://www.infosecurity-magazine.com/news/starkmule-attack-campaign/

https://www.infosecurity-magazine.com/news/starkmule-attack-campaign/

拜登宣布美国网络劳动力和教育战略

日期: 2023-08-01
标签: 美国, 信息技术, 政府部门, 美国国家网络劳动力和教育战略 (NCWES)

2023年7月31日,在全球网络安全劳动力缺口达 340 万人的背景下,白宫宣布了新的国家网络劳动力和教育战略 (NCWES)。除了填补空缺之外,该战略还旨在为普通美国人提供参与数字生态系统所需的网络安全技能。公告称, NCWES设想了一个基于技能的数字化未来,工人可以在其社区内获得高薪、中产阶级的网络工作。此外,教育工作者能够不断提高公众的技能,雇主也可以扩大其劳动力并使其多样化。白宫指出,NCWES 强调,没有任何一个行为者可以单独影响所需的大规模变革。这意味着所有利益相关者——包括教育工作者、行业、政府等——都必须执行该战略中规定的目标。

详情

https://www.infosecurity-magazine.com/news/national-cyber-workforce-education/

https://www.infosecurity-magazine.com/news/national-cyber-workforce-education/

新型生成式人工智能黑客工具FraudGPT

日期: 2023-08-02
标签: 信息技术, FraudGPT, AI

网络安全公司 SlashNext 研究人员的一项调查显示,CanadianKingpin12 正在积极使用来自暗网的不受限制的数据集或基于为打击网络犯罪而开发的复杂大型语言模型来训练新的聊天机器人。继WormGPT(一个针对恶意软件数据进行训练的 ChatGPT 克隆)之后,一种名为 FraudGPT 的新型生成式人工智能黑客工具出现了,并且至少还有一个正在开发中,据称该工具是基于谷歌的人工智能实验 Bard。这两个人工智能驱动的机器人都由同一个开发者开发,他似乎深入参与了提供专门针对恶意目的(从网络钓鱼和社会工程到利用漏洞和创建恶意软件)训练的聊天机器人的游戏。FraudGPT 于 7 月 25 日推出,并由用户名为 CanadianKingpin12 的用户在各种黑客论坛上做广告,他表示该工具是针对欺诈者、黑客和垃圾邮件发送者的。

详情

https://www.bleepingcomputer.com/news/security/cybercriminals-train-ai-chatbots-for-phishing-malware-attacks/

https://www.bleepingcomputer.com/news/security/cybercriminals-train-ai-chatbots-for-phishing-malware-attacks/

人工智能增强型网络钓鱼导致勒索软件激增

日期: 2023-08-03
标签: 信息技术, 人工智能增强型网络钓鱼

根据数据保护提供商 Barracuda Networks 于 2023 年 8 月 2 日发布的一份新报告,报告的针对市政、教育和医疗保健的攻击数量自去年以来增加了一倍,自 2021 年以来增加了四倍多。同期,针对基础设施相关行业的攻击增加了一倍。过去三年来,政府机构以及教育和医疗保健组织已成为勒索软件运营商的主要目标。分析师认为,诸如支持大型语言模型 (LLM) 的聊天机器人等生成式人工智能工具的出现导致了最近勒索软件的激增。

一方面,利用生成式人工智能的写作能力,网络攻击者“现在可以更快、更准确地进行攻击,因为网络钓鱼电子邮件中的拼写错误和语法问题更容易消除,从而使攻击更加规避和令人信服。

另一方面,他们可以利用生成式人工智能的代码生成功能编写恶意代码以利用软件漏洞。通过这些变化,发起勒索软件攻击所需的技能可以减少为构建恶意人工智能提示并访问勒索软件即服务工具,从而引发全新一波攻击。

详情

https://www.infosecurity-magazine.com/news/ai-phishing-driving-ransomware/

https://www.infosecurity-magazine.com/news/ai-phishing-driving-ransomware/

AI 驱动的 CryptoRom 诈骗针对移动用户

日期: 2023-08-03
标签: 信息技术, 金融业, CryptoRom, 杀猪盘, AI诈骗

CryptoRom 是一种骗局,结合了虚假加密货币交易和浪漫骗局,它利用生成人工智能 (AI) 聊天工具来引诱受害者并与受害者互动。 2023年8月2日,Sophos安全研究人员 Jagadeesh Chandraiah 和 Sean Gallagher 在发布的一份报告中分享了这一发现,他们表示,他们调查了“shā zhū pán”(宰猪)诈骗的增长趋势,该诈骗在过去两年中一直针对移动设备用户。CryptoRom 诈骗通常首先通过约会应用程序或社交媒体平台联系潜在目标。 一旦对话转移到 WhatsApp 或 Telegram 等私人消息应用程序,诈骗者就会引入交易加密货币的想法,并提出通过安装和资助虚假的加密货币交易应用程序来指导目标。

详情

https://www.infosecurity-magazine.com/news/cryptorom-targets-mobile-users-ai/

https://www.infosecurity-magazine.com/news/cryptorom-targets-mobile-users-ai/

英国冒充电商的毒品走私人员被判入狱

日期: 2023-08-04
标签: 信息技术, EncroChat

据国家犯罪局 ( NCA ) 称,警方秘密监控了数万条他们认为已加密的信息,导致有组织犯罪集团 (OGC) 的几名成员被判刑。此次查获是英国正在进行的一项行动“威尼斯行动”的一部分,该行动源于欧洲警方捣毁犯罪分子使用的加密通讯平台 EncroChat。NCA 表示,该团伙向英国进口了超过 100 公斤的可卡因,然后一些成员将其转售给其他人。他们显然竭尽全力隐藏自己的活动,例如代表一家虚构的计算机公司雇用一个工业部门。另外,一些成员使用一辆故障回收卡车和一辆窗户安装货车来运送可卡因和金钱,同时隐藏他们的活动。据称,来自利物浦 Inchape 路的 36 岁的团体负责人 Craig Gallagher 拥有两个 EncroChat 账号。NCA 表示,官员们搜查了 40,000 条信息,以了解有关他每周两次在电脑内走私 50-100 公斤可卡因的计划的更多信息。该机构指出,加拉格尔已经进口了至少 100 公斤可卡因,市价约为 800 万英镑。除了毒品犯罪外,他还承认试图代理销售枪支,包括 AR-15 突击步枪、AK47、格洛克手枪、蝎子冲锋枪和自动手枪。

详情

https://www.infosecurity-magazine.com/news/cocaine-smugglers-posed-pc-sellers/

https://www.infosecurity-magazine.com/news/cocaine-smugglers-posed-pc-sellers/

二手市场上出售的退役医用输液泵可能会泄露 Wi-Fi 配置设置

日期: 2023-08-04
标签: 卫生行业, Wi-Fi

通过二级市场出售退役的医用输液泵可能会导致Wi-Fi配置设置的潜在暴露。研究人员发现,大多数从 eBay 等二级市场服务购买的医用输液泵仍然包含来自部署这些设备的原始医疗组织的无线身份验证数据。研究人员分析了 13 个输液泵,尽管它们已不再生产,但仍在全球众多医疗机构中使用。专家们通过分析紧凑型闪存卡的内容、使用产品的维护软件串行通信捕获串行通信以及从主电路板上的闪存芯片物理移除和提取数据来获得敏感数据。通过对 Alaris 8015 的分析,研究人员能够检索包含域信息的主机名、用于加密的 AES 密钥、SSID、明文形式的 Wi-Fi 预共享密钥 (PSK) 密码、Microsoft Active Directory 身份验证的凭据以及 Wi-Fi 配置设置。

详情

https://securityaffairs.com/149130/hacking/decommissioned-medical-infusion-pumps-wi-fi-leak.html

https://securityaffairs.com/149130/hacking/decommissioned-medical-infusion-pumps-wi-fi-leak.html

黑客组织Mysterious Team Bangladesh发起 DDoS 攻击

日期: 2023-08-04
标签: 政府部门, 交通运输, 金融业, Mysterious Team Bangladesh (MT), DDoS, DDoS攻击

2023年8月3日, IB 的威胁情报团队发布报告称,一群受宗教和政治动机驱动的黑客活动分子已成为一种巨大的新威胁,他们利用开源实用程序在短短一年的时间里发动了超过 750 次分布式拒绝服务 (DDoS) 攻击和 78 次网站篡改。该组织被称为“孟加拉国神秘团队”,其目标是荷兰、塞内加尔和阿拉伯联合酋长国等不同地区的组织,但主要目标是印度和以色列的政府、金融和交通部门组织。虽然该组织由在线账号 D4RK TSN 的威胁行为者于 2020 年创立,但直到 2022 年 6 月才真正开始其网络犯罪活动。

详情

https://www.darkreading.com/dr-global/hactivist-group-mysterious-team-bangladesh-goes-on-ddos-rampage

https://www.darkreading.com/dr-global/hactivist-group-mysterious-team-bangladesh-goes-on-ddos-rampage

黑客可滥用 Microsoft Office 可执行文件来下载恶意软件

日期: 2023-08-04
标签: 信息技术, 微软(Microsoft), Microsoft Office

LOLBAS 文件列表(Windows 中存在的可被滥用于恶意目的的合法二进制文件和脚本)很快将包括 Microsoft Outlook 电子邮件客户端和 Access 数据库管理系统的主要可执行文件。Microsoft Publisher 应用程序的主要可执行文件已被确认可以从远程服务器下载有效负载。 LOLBAS 代表 Living-off-the-Land Binaries and Scripts,通常被描述为 Windows 操作系统本机或从 Microsoft 下载的签名文件。它们是合法工具,黑客可以在后利用活动中滥用它们来下载和/或运行有效负载,而不会触发防御机制。

详情

https://www.bleepingcomputer.com/news/security/hackers-can-abuse-microsoft-office-executables-to-download-malware/

https://www.bleepingcomputer.com/news/security/hackers-can-abuse-microsoft-office-executables-to-download-malware/

Microsoft Azure AD CTS 的新功能可被滥用于横向移动

日期: 2023-08-04
标签: 信息技术, 微软(Microsoft), Microsoft Azure AD CTS

Microsoft 于 2023 年 6 月推出的新 Azure Active Directory 跨租户同步 (CTS) 功能创建了一个新的潜在攻击面,可能使威胁行为者更容易横向传播到其他 Azure 租户。Microsoft 租户是 Azure Active Directory 中的客户端组织或子组织,它们配置有自己的策略、用户和设置。然而,由于大型组织可能出于组织目的而分为多个租户,因此有时允许用户在同一实体控制的授权租户之间进行同步可能更容易。配置 CTS 时,Azure“源”租户将与“目标”租户同步,其中源用户可以自动同步到目标租户。同步用户时,仅从源推送用户,而不从目标拉取用户,这是一种单方面的同步。然而,如果配置不当,已经危害租户并获得提升权限的攻击者可能会利用新功能横向移动到其他连接的租户,然后部署恶意 CTS 配置以在这些网络上建立持久性。

详情

https://www.bleepingcomputer.com/news/security/new-microsoft-azure-ad-cts-feature-can-be-abused-for-lateral-movement/

https://www.bleepingcomputer.com/news/security/new-microsoft-azure-ad-cts-feature-can-be-abused-for-lateral-movement/


10
 产品侧解决方案



若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。


11
 时间线



2023-07-31 360CERT发布安全周报


12
 特制报告相关说明



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。


360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们


点击在看,进行分享

本文分享自微信公众号 - 三六零CERT(CERT-360)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部