安全事件周报 2023-08-14 第33周

原创
2023/08/21 17:42
阅读数 99
AI总结


赶紧点击上方话题进行订阅吧!

报告编号:CERT-R-2023-354

报告来源:360CERT

报告作者:360CERT

更新日期:2023-08-21


1
 事件导览



本周收录安全热点55项,话题集中在安全分析安全漏洞网络攻击,主要涉及的实体有:CitrixLinkedIn微软(Microsoft)等,主要涉及的黑客组织有:Charming KittenBlackCat (ALPHV)APT29等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。


2
 事件目录



恶意软件
Gafgyt 僵尸网络瞄准 EoL Zyxel 路由器
新型Windows 远程访问木马QwixxRAT分析
Monti 勒索软件团伙推出了新的 Linux 加密器
BlackCat 的 Sphynx 勒索软件嵌入 Impacket、RemCom
数据安全
英国政府承包商 MPD FM 泄露员工护照数据
美国科罗拉多州因MOVEit漏洞导致 400 万数据被盗
超过 10 万个黑客论坛帐户因信息窃取恶意软件而暴露
Discord.io 证实被黑客窃取 76 万用户数据
英国警方数据泄露,暴露受害者信息
网络攻击
Charming Kitten攻击在德国的伊朗反对派和流亡者
南非的发电公司遭遇 DroxiDat 和 Cobalt Strike 攻击
Xurum 攻击针对 Magento 2 电子商店
LinkedIn 帐户遭到黑客攻击
美国主要能源组织遭遇二维码网络钓鱼攻击
高乐氏 (Clorox) 运营因网络攻击而中断
针对带有后门的 Citrix NetScaler 的大规模利用活动分析
LinkedIn 账户遭受黑客攻击
安全漏洞
Python URL解析函数漏洞可导致命令执行
全球工业 PLC 受到 CODESYS V3 RCE 漏洞的影响
福特称存在 WiFi 漏洞的汽车仍可安全驾驶
微软:严重的 CODESYS 漏洞可能导致发电厂关闭
黑客利用ScrutisWeb ATM 机群软件中的漏洞攻击 ATM
近 2,000 台 Citrix NetScaler 服务器在黑客活动中被植入后门
Ivanti Avalanche 受到预身份验证堆栈缓冲区溢出漏洞的影响
PowerShell Gallery 容易遭受域名抢注和其他供应链攻击
CISA 警告 Citrix ShareFile 严重漏洞被广泛利用
Microsoft PowerShell Gallery 容易受到供应链攻击
谷歌发布 Chrome 浏览器更新,修复26个漏洞
CISA 敦促修补被积极利用的 Citrix 漏洞
安全分析
关于近期国内航空航天领域面临APT窃密攻击风险分析
疑似APT29针对北约国家外交部的攻击行动
MoustachedBouncer:针对驻白俄罗斯的外国大使馆的间谍行动
MaginotDNS 攻击针对 DNS 解析器
网络钓鱼活动越来越多地利用废弃网站作为诱饵
FBI 警告称加密货币追回骗局不断增加
超过 100,000 名黑客论坛用户感染恶意软件
人工智能可通过监听击键来窃取密码
APT-C-35(肚脑虫)组织在移动端采用新的投递方式分析
通过隐秘恶意软件感染构建的大规模代理僵尸网络
2022年英国大学三分之一的学生遭遇过网络欺诈
诈骗者利用被黑网站进行网络钓鱼
“Play”勒索组织在新活动中针对全球 MSP
网络钓鱼活动窃取全球 Zimbra 电子邮件服务器帐户
研究人员破解 iPhone 飞行模式
数千个恶意 Android APK抵抗反编译
行业动向
NIST 网络安全框架 2.0 新增“治理”功能
Mandiant 发布 CVE-2023-3519 扫描仪
谷歌发布首个量子弹性 FIDO2 密钥实现
CISA 发起联合倡议以保护 RMM 软件
其他事件
波兰当局捣毁托管服务商Lolek Hosted
Lapsus$ 黑客组织利用 SIM 卡交换攻击对美国多个组织发起攻击
Knight 勒索软件通过虚假的 Tripadvisor 投诉电子邮件传播
国际刑警组织关停网络钓鱼服务“16shops”
黑客使用测试版应用程序来绕过应用商店的安全检查
文件共享网站 Anonfiles 因滥用行为而关闭

3
 恶意软件



Gafgyt 僵尸网络瞄准 EoL Zyxel 路由器

日期: 2023-08-14
标签: 信息技术, CVE-2017-18368, Gafgyt 僵尸网络, 路由器

2023年8月初,Fortinet 发布了爆发警报,警告针对野外报废路由器的攻击激增。Gafgyt 僵尸网络的一个变体正在积极尝试利用漏洞,追踪为 CVE-2017-18368 (CVSS v3: 9.8),影响停产的 Zyxel P660HN-T1A 路由器。该漏洞是存在于远程系统日志转发功能中的命令注入漏洞,未经身份验证的用户可以访问该功能。该漏洞位于ViewLog.asp页面,可通过remote_host参数进行利用。该漏洞影响运行固件版本 7.3.15.0 v001/3.40(ULM.0)b31 或更早版本的设备。

详情

https://securityaffairs.com/149417/cyber-crime/gafgyt-botnet-targets-zyxel-p660hn-t1a-routers.html

https://securityaffairs.com/149417/cyber-crime/gafgyt-botnet-targets-zyxel-p660hn-t1a-routers.html

新型Windows 远程访问木马QwixxRAT分析

日期: 2023-08-16
标签: 信息技术, QwixxRAT(又名 Telegram RAT), Windows系统, RAT

Uptycs 威胁研究团队于 2023 年 8 月上旬发现了 QwixxRAT(又名 Telegram RAT),当时它通过 Telegram 和 Discord 平台进行了广告宣传。 RAT 能够收集敏感数据,并通过将信息发送到攻击者的 Telegram 机器人来窃取这些数据。攻击者通过 Telegram 机器人远程控制 RAT 并管理其操作。一旦安装在受害者的 Windows 平台计算机上,RAT 就会秘密收集敏感数据,然后将其发送到攻击者的 Telegram 机器人,从而使他们能够未经授权访问受害者的敏感信息。据专家称,QwixxRAT 经过精心设计,旨在窃取广泛的信息,包括浏览器历史记录、信用卡详细信息、屏幕截图和击键数据。

详情

https://securityaffairs.com/149525/cyber-crime/qwixxrat-telegramrat.html

https://securityaffairs.com/149525/cyber-crime/qwixxrat-telegramrat.html

Monti 勒索软件团伙推出了新的 Linux 加密器

日期: 2023-08-16
标签: 信息技术, Linux

Monti 勒索软件运营商在中断两个月后带着新的 Linux 版本的加密器再次出现。该变种用于针对政府和法律部门组织的攻击。Monti 组织自 2022 年 6 月(Conti 勒索软件团伙关闭其业务后不久)以来一直活跃。研究人员注意到两个团伙的 TTP 之间有许多相似之处,Monti 运营商的加密器也基于Conti 泄露的源代码。根据趋势科技的说法,这个变体与之前基于 Linux 的版本有很大不同。研究人员使用 BinDiff 将新变体与旧变体进行比较,发现相似率为 29%,而旧变体和 Conti 的相似率为 99%。新的 Linux 版本的加密器不接受旧版本的一些参数,并添加了 –whitelist 参数,该参数用于避免加密虚拟机。

详情

https://securityaffairs.com/149539/cyber-crime/monti-ransomware-news-linux-variant.html

https://securityaffairs.com/149539/cyber-crime/monti-ransomware-news-linux-variant.html

BlackCat 的 Sphynx 勒索软件嵌入 Impacket、RemCom

日期: 2023-08-18
标签: 信息技术, BlackCat (ALPHV), Remcom 黑客工具

微软发现了 BlackCat 勒索软件的新版本,该勒索软件嵌入了 Impacket 网络框架和 Remcom 黑客工具,两者都能够在被破坏的网络中横向传播。2023年4月,网络安全研究人员 VX-Underground 在推特上发布 了名为 Sphynx 的新 BlackCat/ALPHV 加密器版本。BlackCat 运营商表示,ALPHV/BlackCat 2.0:Sphynx 的基本功能测试已经完成。微软发布消息称,观察到最近的活动中使用了新版本的 BlackCat 勒索软件 。该版本包括开源通信框架工具 Impacket,威胁行为者使用该工具促进目标环境中的横向移动。

详情

https://www.bleepingcomputer.com/news/microsoft/microsoft-blackcats-sphynx-ransomware-embeds-impacket-remcom/

https://www.bleepingcomputer.com/news/microsoft/microsoft-blackcats-sphynx-ransomware-embeds-impacket-remcom/


4
 数据安全



英国政府承包商 MPD FM 泄露员工护照数据

日期: 2023-08-14
标签: 英国, 政府部门, MPD FM, 数据泄露

MPD FM 是一家为英国各政府部门提供服务的设施管理和安全公司,该公司留下了一个公开实例,暴露了员工护照、签证和其他敏感数据。MPD FM 号称是英国领先的“设施管理公司”。该公司成立于 2003 年,现已拥有 500 名员工。该公司为英国国家医疗服务体系 (NHS)、英国税务海关总署、英国各个行政区和议会、英国零售商 WHSmith 和其他组织等组织提供设施管理和安全 服务。被曝光的文件包含大量极其敏感的信息,暴露了 MDP FM 的员工。泄露的信息包括:护照、国民身份证、驾驶执照、出生证明、审核报告、工作合同等。

详情

https://securityaffairs.com/149440/security/mpd-fm-data-leak.html

https://securityaffairs.com/149440/security/mpd-fm-data-leak.html

美国科罗拉多州因MOVEit漏洞导致 400 万数据被盗

日期: 2023-08-15
标签: 政府部门, 卫生行业, CVE-2023-34362, MOVEit

2023年8月初,美国科罗拉多州医疗保健政策和融资部 (HCPF) 向超过 400 万人发出警报,称数据泄露影响了他们的个人和健康信息。科罗拉多州 HCPF 是一个州政府机构,负责管理科罗拉多州健康第一 (Medicaid) 和儿童健康计划 Plus 计划,并为低收入家庭、老年人和残疾公民提供支持。Clop 勒索软件在影响全球数百个组织的黑客活动中利用了 MOVEit Transfer 零日漏洞 (CVE-2023-34362),导致数据泄露 。HCPF 表示,虽然他们的系统没有直接受到损害,但数据泄露是通过他们的承包商 IBM 使用 MOVEit 软件发生的。总共有4,091,794人的数据被曝光。对于所有收到数据泄露通知的个人,HPCF 通过 Experian 提供两年的信用监控服务,以帮助打击欺诈企图。

详情

https://www.bleepingcomputer.com/news/security/colorado-warns-4-million-of-data-stolen-in-ibm-moveit-breach/

https://www.bleepingcomputer.com/news/security/colorado-warns-4-million-of-data-stolen-in-ibm-moveit-breach/

超过 10 万个黑客论坛帐户因信息窃取恶意软件而暴露

日期: 2023-08-15
标签: 信息技术, 黑客论坛

威胁情报公司 Hudson Rock 的研究人员发现 ,一些黑客无意中感染了他们的计算机,导致他们的登录信息被盗。Hudson Rock 表示,受感染的计算机中有 10 万台属于黑客,网络犯罪论坛的凭据数量超过 14 万个。研究人员从公开的泄漏信息以及直接来自黑客的信息窃取程序日志中收集了信息。通过分析数据,威胁研究人员发现,用于登录黑客论坛的密码通常比用于登录政府网站的密码更安全。据 Hudson Rock 称,大多数感染来自第三方信息窃取程序,这也恰好是许多黑客的热门选择:RedLine、Raccoon 和 Azorult。

详情

https://www.bleepingcomputer.com/news/security/over-100k-hacking-forums-accounts-exposed-by-info-stealing-malware/

https://www.bleepingcomputer.com/news/security/over-100k-hacking-forums-accounts-exposed-by-info-stealing-malware/

Discord.io 证实被黑客窃取 76 万用户数据

日期: 2023-08-15
标签: 信息技术, 信息泄露

Discord.io 自定义邀请服务因数据泄露导致 760,000 名会员信息泄露而暂时关闭。Discord.io 不是官方 Discord 网站,而是一项第三方服务,允许服务器所有者创建对其频道的自定义邀请。该社区的大部分内容都是围绕该服务的 Discord 服务器构建的,拥有超过 14,000 名成员。2023年8月13日,一个名为“Akhirah”的人开始在新的 Breached 黑客论坛上出售 Discord.io 数据库。作为盗窃的证据,威胁行为者共享了数据库中的四条用户记录。泄露中最敏感的信息是会员的用户名、电子邮件地址、账单地址(少数人)、加盐和散列密码(少数人)以及 Discord ID。

详情

https://www.bleepingcomputer.com/news/security/discordio-confirms-breach-after-hacker-steals-data-of-760k-users/

https://www.bleepingcomputer.com/news/security/discordio-confirms-breach-after-hacker-steals-data-of-760k-users/

英国警方数据泄露,暴露受害者信息

日期: 2023-08-16
标签: 政府部门, 警方数据

2023年8月15日,英国诺福克和萨福克警方已证实,包括犯罪受害者在内的 1000 多人的个人数据被意外泄露。 根据东安格利亚警察局的一份联合声明,“技术问题”导致 2021 年 4 月至 2022 年 3 月期间分发的信息自由回复中“极小比例”包含原始犯罪报告数据。此次事件是继 8 月 8 日北爱尔兰警察局无意中泄露了大约 10,000 名警官和工作人员的敏感信息之后,英国发生的最新一起涉及警方回应信息自由请求的数据泄露事件。诺福克和萨福克泄露事件中受损的数据包括存储在专门警察系统内的信息,包括犯罪报告数据、受害者、证人和嫌疑人的详细信息以及犯罪行为的描述。犯罪范围包括家庭事件、性犯罪、袭击、盗窃和仇恨犯罪。

详情

https://www.infosecurity-magazine.com/news/uk-police-breach-exposes-victim/

https://www.infosecurity-magazine.com/news/uk-police-breach-exposes-victim/


5
 网络攻击



Charming Kitten攻击在德国的伊朗反对派和流亡者

日期: 2023-08-14
标签: 政府部门, Charming Kitten, APT舆情

2022年,多家IT安全服务提供商报告了APT组织Charming Kitten,据称该组织参与调查伊朗反对派人士和伊朗流亡者。网络攻击主要针对持不同政见的组织和个人,例如律师、记者和伊朗境内和境外的记者或人权活动人士。根据联邦宪法保护办公室 (BfV) 目前的调查结果,可以推测Charming Kitten组织试图对德国境内的伊朗人民和组织进行间谍活动。为此,该组织使用复杂的社会工程并开发适合受害者的在线身份。

详情

https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2023-01-bfv-cyber-brief.pdf

https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2023-01-bfv-cyber-brief.pdf

南非的发电公司遭遇 DroxiDat 和 Cobalt Strike 攻击

日期: 2023-08-14
标签: 能源业, SystemBC, DroxiDat

卡巴斯基全球研究与分析团队 (GReAT) 的研究人员报告称,未知威胁者在针对南部非洲一家发电公司的攻击中使用了SystemBC代理恶意软件的新变种(名为 DroxiDat)。SystemBC 于 2019 年 8 月由 Proofpoint 的专家发现,它通过Fallout 和 RIG等漏洞利用工具包进行分发 。根据广告面板屏幕截图中显示的 URI 路径,该恶意软件被跟踪为“SystemBC”。该恶意软件使用在受感染 PC 上设置的 SOCKS5 代理隐藏恶意网络流量。至少自 2018 年起,SystemBC 平台就作为“恶意软件即服务”( MaaS)在各种地下论坛上出售 。在卡巴斯基发现的攻击中,代理后门与Cobalt Strike信标一起部署,研究人员认为该事件处于勒索软件攻击的初始阶段。

详情

https://securityaffairs.com/149432/malware/power-generator-droxidat.html

https://securityaffairs.com/149432/malware/power-generator-droxidat.html

Xurum 攻击针对 Magento 2 电子商店

日期: 2023-08-15
标签: 信息技术, Magento, CVE-2022-24086, Xurum

Akamai 研究人员警告称,名为 Xurum 的持续攻击针对运行 Magento 2 CMS 的电子商务网站。攻击者正在积极利用Adobe Commerce 和 Magento Open Source 中的服务器端模板注入漏洞,该漏洞被跟踪为CVE-2022-24086 (CVSS 评分:9.8)。Xurum 这个名字来自攻击者的命令和控制(C2)服务器的域名。 该活动至少自 2023 年 1 月起就开始活跃,攻击者似乎对受害者 Magento 商店过去 10 天内下的订单的付款统计数据感兴趣。 在某些情况下,攻击者还部署软件窃取器来捕获信用卡信息并将其传输到远程服务器。研究人员收集的证据表明,这些攻击是由俄罗斯攻击者发起的。服务器 xurum.com 实际位于荷兰,由俄罗斯托管公司 VDSina.ru 托管。

详情

https://securityaffairs.com/149509/cyber-crime/xurum-adobes-magento-2-attacks.html

https://securityaffairs.com/149509/cyber-crime/xurum-adobes-magento-2-attacks.html

LinkedIn 帐户遭到黑客攻击

日期: 2023-08-16
标签: 信息技术, 商务服务, LinkedIn

LinkedIn 正成为一波帐户黑客攻击的目标,导致许多帐户出于安全原因被锁定或最终被攻击者劫持。据 Cyberint报道,许多 LinkedIn 用户一直在抱怨帐户被接管或锁定,以及无法通过 LinkedIn 支持解决问题。Cyberint 的研究员 Coral Tayar 表示:“有些人甚至被迫支付赎金才能重新获得控制权,或者面临账户被永久删除的情况。”虽然 LinkedIn 尚未发布正式公告,但他们的支持响应时间似乎已经延长,有报道称支持请求数量很大。

详情

https://www.bleepingcomputer.com/news/security/linkedin-accounts-hacked-in-widespread-hijacking-campaign/

https://www.bleepingcomputer.com/news/security/linkedin-accounts-hacked-in-widespread-hijacking-campaign/

美国主要能源组织遭遇二维码网络钓鱼攻击

日期: 2023-08-17
标签: 能源业, 网络钓鱼活动

据观察,网络钓鱼活动主要针对美国一家著名能源公司,利用二维码将恶意电子邮件放入收件箱并绕过安全措施。此次攻击活动引发的 1,000 封电子邮件中,大约有三分之一 (29%) 针对一家大型美国能源公司,而其余尝试则针对制造业 (15%)、保险业 (9%)、技术 (7%)、和金融服务(6%)。据发现该活动的 Cofense 称,这是首次如此大规模地使用二维码,表明更多的网络钓鱼行为者可能正在测试其作为攻击媒介的有效性。Cofense没有透露此次活动针对的能源公司的名称,但将其归类为一家“大型”美国公司。

详情

https://www.bleepingcomputer.com/news/security/major-us-energy-org-targeted-in-qr-code-phishing-attack/

https://www.bleepingcomputer.com/news/security/major-us-energy-org-targeted-in-qr-code-phishing-attack/

高乐氏 (Clorox) 运营因网络攻击而中断

日期: 2023-08-17
标签: 制造业, 批发零售, Clorox, 恶意软件传播

清洁产品制造商 Clorox 已确认最近的网络攻击造成了严重的运营中断。 根据该公司网站上发布的通知,该攻击于 8 月 14 日检测到,促使 Clorox 的 IT 团队立即采取行动,停止可疑活动并关闭受影响的系统。作为预防措施,受感染的系统直到今天仍保持离线状态,以加强安全措施。该事件的细节仍在调查中,因此尚不清楚 Clorox 面临哪种类型的攻击。然而,根据现有信息,该公司已关闭某些系统以遏制该事件。这可能表明攻击是勒索软件,而 Clorox 正在努力防止恶意软件传播到其他系统。

详情

https://www.infosecurity-magazine.com/news/clorox-disrupted-cyber-attack/

https://www.infosecurity-magazine.com/news/clorox-disrupted-cyber-attack/

针对带有后门的 Citrix NetScaler 的大规模利用活动分析

日期: 2023-08-17
标签: 信息技术, Citrix, CVE-2023-3519, Citrix NetScaler

网络安全公司 Fox-IT(NCC 集团旗下)与荷兰漏洞披露研究所 (DIVD) 合作,揭露了针对数千个 Citrix NetScaler 的广泛网络攻击。该活动涉及利用一个关键漏洞 CVE-2023-3519,该漏洞允许恶意行为者渗透并危害易受攻击的 NetScaler,即使在修补和重新启动后也是如此。NCC Group 在2023年8月15日发布的一份报告中描述了这一威胁,表示此次攻击的规模非常明显,在发现时发现有超过 1900 个 NetScaler 仍存在后门。攻击者采用自动化方法将 Web shell 放置到受感染的系统上,授予它们持久访问权限和执行任意命令的能力。尽管努力应用补丁和更新,但只有一半受感染的 NetScaler 已成功更新以修复该漏洞。

详情

https://www.infosecurity-magazine.com/news/mass-exploitation-campaign-citrix/

https://www.infosecurity-magazine.com/news/mass-exploitation-campaign-citrix/

LinkedIn 账户遭受黑客攻击

日期: 2023-08-18
标签: 商务服务, 信息技术, LinkedIn

2023年8月,黑客正在疯狂劫持LinkedIn帐户,在某些情况下,他们会向用户索要小额赎金以重新获得访问权限,并威胁永久删除,从而通过攻击获利。尽管微软子公司 LinkedIn尚未公开评论该活动,但它在过去几周影响了全世界的人们。社交媒体和谷歌搜索上的迹象表明,这个面向专业的社交媒体平台上的帐户黑客攻击“在过去 90 天内大幅增加” 。Cyberint 安全研究员 Coral Tayar 在报告中写道,在大量支持请求的情况下,LinkedIn 对用户的支持响应时间延长了,这表明出现了问题。

详情

https://www.darkreading.com/attacks-breaches/linkedin-suffers-significant-wave-of-account-hacks

https://www.darkreading.com/attacks-breaches/linkedin-suffers-significant-wave-of-account-hacks


6
 安全漏洞



Python URL解析函数漏洞可导致命令执行

日期: 2023-08-14
标签: 信息技术, CVE-2023-24329, Python

研究人员警告称,Python URL 解析函数中已披露了一个高严重性安全漏洞,编号为CVE-2023-24329 (CVSS 评分为 7.5),可利用该漏洞绕过阻止列表方法。成功利用该漏洞可导致任意文件读取和命令执行。该漏洞影响 3.11 之前的所有 python 版本。

详情

https://securityaffairs.com/149447/hacking/python-url-severe-vulnerability.html

https://securityaffairs.com/149447/hacking/python-url-severe-vulnerability.html

全球工业 PLC 受到 CODESYS V3 RCE 漏洞的影响

日期: 2023-08-14
标签: 制造业, PLC(可编程逻辑控制器)

全球工业环境中使用的数百万个 PLC(可编程逻辑控制器)面临 CODESYS V3 软件开发套件中 15 个漏洞的风险,这些漏洞允许远程代码执行 (RCE) 和拒绝服务 (DoS) 攻击。超过 500 家设备制造商使用 CODESYS V3 SDK 根据 IEC 61131-3 标准对 1,000 多种 PLC 型号进行编程,从而允许用户开发自定义自动化序列。该 SDK 还提供 Windows 管理界面和模拟器,允许用户在将其部署到生产中之前测试其 PLC 配置和编程。Microsoft 研究人员发现了CODESYS V3 SDK 中的 15 个漏洞 ,并于 2022 年 9 月向 CODESYS 报告了这些漏洞。该供应商于 2023 年 4 月发布了安全更新以解决已发现的问题。

详情

https://www.bleepingcomputer.com/news/security/lolekhosted-admin-arrested-for-aiding-netwalker-ransomware-gang/

https://www.bleepingcomputer.com/news/security/lolekhosted-admin-arrested-for-aiding-netwalker-ransomware-gang/

福特称存在 WiFi 漏洞的汽车仍可安全驾驶

日期: 2023-08-14
标签: 交通运输, 制造业, CVE-2023-29468, WiFi

福特警告称,许多福特和林肯汽车所使用的 SYNC3 信息娱乐系统存在缓冲区溢出漏洞,该漏洞可能允许远程执行代码,但表示车辆驾驶安全不会受到影响。SYNC3 是一款现代信息娱乐系统,支持车载 WiFi 热点、电话连接、语音命令、第三方应用程序等。该漏洞被追踪为 CVE-2023-29468,位于汽车信息娱乐系统中集成的 WiFi 子系统的 WL18xx MCP 驱动程序中,该漏洞允许 WiFi 范围内的攻击者使用特制的帧触发缓冲区溢出。系统供应商的安全公告中写道:“潜在易受攻击设备的无线范围内的攻击者可以获得覆盖执行 MCP 驱动程序的主机处理器内存的能力。 ”

详情

https://www.bleepingcomputer.com/news/security/ford-says-cars-with-wifi-vulnerability-still-safe-to-drive/

https://www.bleepingcomputer.com/news/security/ford-says-cars-with-wifi-vulnerability-still-safe-to-drive/

微软:严重的 CODESYS 漏洞可能导致发电厂关闭

日期: 2023-08-15
标签: 能源业, CODESYS, 发电厂, DoS

微软研究人员发现了多个高严重性漏洞,可能使攻击者关闭发电厂。这些漏洞是在 CODESYS 软件开发套件 (SDK) 中发现的,该套件广泛用于对制造和能源等行业的工业操作技术 (OT) 系统中的可编程逻辑控制器进行编程和设计。3.5.19.0 之前的所有 CODESYS V3 SDK 版本均受到这 15 个漏洞的影响,这些漏洞已在2023 年 8 月 10 日发布的Microsoft博客文章中列出。微软网络物理系统研究团队表示,利用已发现的漏洞可能会使关键基础设施组织面临远程代码执行(RCE)和拒绝服务(DoS)等攻击的风险。研究人员表示,针对使用易受攻击的 CODESYS 版本的设备进行 DoS 攻击可能使攻击者能够关闭发电厂。此外,攻击者可能会篡改操作,导致 PLC 以异常方式运行,或者通过 RCE 部署后门来窃取关键信息。

详情

https://www.infosecurity-magazine.com/news/microsoft-codesys-flaws-power-plant/

https://www.infosecurity-magazine.com/news/microsoft-codesys-flaws-power-plant/

黑客利用ScrutisWeb ATM 机群软件中的漏洞攻击 ATM

日期: 2023-08-16
标签: 金融业, ATM

Synack Red Team 的研究人员在ScrutisWeb ATM 机群监控软件中发现了多个漏洞( CVE-2023-33871、CVE-2023-38257、CVE-2023-35763 和 CVE-2023-35189 ) ,可利用这些漏洞远程攻击 ATM。 ScrutisWeb 软件由 Lagona 开发,它允许远程管理 ATM 机群。操作员可以使用该软件向设备发送和接收文件、修改数据、重新启动设备或关闭终端。研究人员发现了多个漏洞,包括绝对路径遍历和用户控制密钥问题的授权绕过、硬编码加密密钥以及危险类型文件的无限制上传。Lagona 于 2023 年 7 月发布了 ScrutisWeb 版本 2.1.38,解决了这些漏洞。 美国网络安全和基础设施安全局(CISA)在2023年8月针对这些漏洞发布了公告。

详情

https://securityaffairs.com/149533/hacking/scrutisweb-atm-sw-atms.html

https://securityaffairs.com/149533/hacking/scrutisweb-atm-sw-atms.html

近 2,000 台 Citrix NetScaler 服务器在黑客活动中被植入后门

日期: 2023-08-16
标签: 信息技术, CVE-2023-3519

网络安全公司 Fox-IT(NCC 集团旗下)和荷兰漏洞披露研究所 (DIVD) 的安全研究人员发现了一项大规模活动,该活动在易受 CVE-2023-3519 影响的 Citrix Netscaler 服务器上植入了 Webshell。黑客利用被跟踪为 CVE-2023-3519 的关键严重性远程代码执行,在一场大规模活动中入侵了近 2,000,000 台 Citrix NetScaler 服务器。尽管该漏洞于 7 月 18 日收到了补丁,但黑客开始 在野外利用它作为零日漏洞, 在未经身份验证的情况下执行代码。2023年7 月 21 日,美国网络安全和基础设施安全局 (CISA) 警告称,该漏洞已被利用 破坏了 美国的一个关键基础设施组织。研究人员表示,在管理员安装该漏洞补丁之前,已有 1,200 多台服务器被植入后门,并且由于没有检查是否有成功利用的迹象,因此它们继续受到损害。

详情

https://www.bleepingcomputer.com/news/security/almost-2-000-citrix-netscaler-servers-backdoored-in-hacking-campaign/

https://www.bleepingcomputer.com/news/security/almost-2-000-citrix-netscaler-servers-backdoored-in-hacking-campaign/

Ivanti Avalanche 受到预身份验证堆栈缓冲区溢出漏洞的影响

日期: 2023-08-16
标签: 信息技术, Ivanti, CVE-2023-32560

两个基于堆栈的缓冲区溢出(统称为 CVE-2023-32560)影响 Ivanti Avalanche,这是一种企业移动管理 (EMM) 解决方案,旨在管理、监控和保护各种移动设备。这些漏洞被评为严重漏洞(CVSS v3:9.8),无需用户身份验证即可远程利用,可能允许攻击者在目标系统上执行任意代码。攻击者发送特制的数据包,其中包含十六进制字符串(类型 3)或由“;”分隔的十进制字符串列表。(类型 9)可能会由于用于存储转换数据的固定大小的基于堆栈的缓冲区而导致缓冲区溢出。该漏洞影响 WLAvalancheService.exe 版本 6.4.0.0 及更早版本,该版本通过 TCP 端口 1777 接收通信。

详情

https://www.bleepingcomputer.com/news/security/ivanti-avalanche-impacted-by-critical-pre-auth-stack-buffer-overflows/

https://www.bleepingcomputer.com/news/security/ivanti-avalanche-impacted-by-critical-pre-auth-stack-buffer-overflows/

PowerShell Gallery 容易遭受域名抢注和其他供应链攻击

日期: 2023-08-17
标签: 信息技术, 微软(Microsoft), PowerShell Gallery

Aqua Nautilus 的研究人员表示,微软的 PowerShell Gallery 存在软件供应链风险,因为它对想要将恶意包上传到在线存储库的攻击者的保护相对较弱。他们测试了存储库有关包名称和所有者的策略,发现威胁行为者可以轻松地滥用它们来欺骗合法包,并使用户难以识别包的真正所有者。PowerShell Gallery 是一个广泛使用的存储库,用于查找、发布和共享 PowerShell 代码模块和所谓的所需状态配置 (DSC) 资源。

详情

https://www.darkreading.com/application-security/powershell-gallery-prone-to-typosquatting-other-supply-chain-attacks

https://www.darkreading.com/application-security/powershell-gallery-prone-to-typosquatting-other-supply-chain-attacks

CISA 警告 Citrix ShareFile 严重漏洞被广泛利用

日期: 2023-08-17
标签: 信息技术, Citrix, CVE-2023-24489, Citrix ShareFile

CISA 警告称,一个被追踪为 CVE-2023-24489 的关键 Citrix ShareFile 安全文件传输漏洞正成为未知攻击者的攻击目标,并已将该漏洞添加到其已知的已知安全漏洞目录中。Citrix ShareFile(也称为 Citrix Content Collaboration)是一种托管文件传输 SaaS 云存储解决方案,允许客户和员工安全地上传和下载文件。2023 年 6 月 13 日,Citrix 发布了关于新的 ShareFile 存储区域漏洞的安全公告,该漏洞的编号为 CVE-2023-24489,严重程度评分为 9.8/10,该漏洞可能允许未经身份验证的攻击者破坏客户管理的存储区域。CISA警告称,威胁行为者通常会利用这些类型的缺陷,并对联邦企业构成重大风险。

详情

https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-citrix-sharefile-flaw-exploited-in-the-wild/

https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-citrix-sharefile-flaw-exploited-in-the-wild/

Microsoft PowerShell Gallery 容易受到供应链攻击

日期: 2023-08-18
标签: 信息技术, 微软(Microsoft), Microsoft PowerShell Gallery

Microsoft PowerShell Gallery 代码存储库上的软件包命名政策松懈,允许威胁行为者执行误植攻击、欺骗流行软件包,并可能为大规模供应链攻击奠定基础。PowerShell Gallery 是 Microsoft 运行的在线软件包存储库,由更广泛的 PowerShell 社区上传,托管大量用于各种目的的脚本和 cmdlet 模块。它是一个非常流行的代码托管平台,其上的一些软件包每月下载量达到数千万次。Aqua Nautilus 于 2022 年 9 月发现了市场政策中的问题,尽管微软已承认收到相应的错误报告和 PoC 漏洞,但尚未采取行动修复这些缺陷。

详情

https://www.bleepingcomputer.com/news/security/microsoft-powershell-gallery-vulnerable-to-spoofing-supply-chain-attacks/

https://www.bleepingcomputer.com/news/security/microsoft-powershell-gallery-vulnerable-to-spoofing-supply-chain-attacks/

谷歌发布 Chrome 浏览器更新,修复26个漏洞

日期: 2023-08-18
标签: 信息技术, 谷歌(Google), Chrome

谷歌发布了最新版本的 Chrome 浏览器,解决了 26 个漏洞,其中包括 8 个严重漏洞。Chrome 116 涵盖了各种功能的更新,包括离线、V8 引擎、设备信任连接器、全屏、网络、ANGLE 和 Skia。其中,CVE-2023-2312 是最严重的漏洞之一。问题源于需要回调的‘ScheduleDownload’函数。在这个函数中,指向 WebContents 对象的原始指针作为参数传递给回调。另一个值得关注的释放后使用漏洞是 CVE-2023-4349,它会影响设备信任连接器,特别是 DeviceTrustKeyManager 和 ThreadPool 之间的交互。

详情

https://www.infosecurity-magazine.com/news/google-26-bugs-fake-update-warning/

https://www.infosecurity-magazine.com/news/google-26-bugs-fake-update-warning/

CISA 敦促修补被积极利用的 Citrix 漏洞

日期: 2023-08-18
标签: 信息技术, Citrix, CVE-2023-24489

美国网络安全和基础设施安全局 (CISA) 警告称,6 月份修复的 Citrix 漏洞正在被积极利用。2023年8月16日,CVE-2023-24489 被添加到该机构的已知利用漏洞目录中,CISA 警告它“对联邦企业构成重大风险”。该漏洞被描述为 Citrix ShareFile(又名 Citrix Content Collaboration)中的不当访问控制漏洞。CISA 表示,如果被利用,未经身份验证的攻击者可能会远程破坏客户管理的 ShareFile 存储区域控制器。Citrix 于 6 月 13 日发布了有关该漏洞的公告,该漏洞的 CVSS 评分为 9.1。此漏洞影响 5.11.24 版本之前的所有当前受支持的客户管理 ShareFile 存储区域控制器版本。

详情

https://www.infosecurity-magazine.com/news/cisa-patching-actively-exploited/

https://www.infosecurity-magazine.com/news/cisa-patching-actively-exploited/


7
 安全分析



关于近期国内航空航天领域面临APT窃密攻击风险分析

日期: 2023-08-14
标签: 政府部门, 交通运输, APT舆情

西工大遭受网络攻击以来,科研院所一直是APT攻击的重要目标,据监测,2023上半年受攻击的相关单位至少包括5所高级院校以及1所高级科研单位。其中最引人注意的是CNC组织针对某学校的攻击事件。此次攻击自23年1月起筹划,定向针对某重点实验室实施窃密攻击。而在近期CNC组织针对某学校的攻击活动中,攻击者结合目标的特点,使用了更加定向的投递方式,即仅向近期即将发表论文的作者发送“论文校对”或“论文确认”邮件,邮件内容除链接外,均与真实邮件完全相同。该特征在不同目标中多次出现,具有稳定性,攻击成功率极高。

详情

https://mp.weixin.qq.com/s/FJXfNLhWjBjBHMqWKgdPNw

https://mp.weixin.qq.com/s/FJXfNLhWjBjBHMqWKgdPNw

疑似APT29针对北约国家外交部的攻击行动

日期: 2023-08-14
标签: 政府部门, APT29, APT舆情

EclecticIQ分析师发现针对北约国家外交部的两份PDF文档,这些PDF文件伪装成来自德国大使馆,并包含两个外交邀请诱饵。其中一个PDF提供了Duke的变种,这是一种与俄罗斯国家资助的APT29网络间谍组织相关的恶意软件。另一个文件很可能用于测试或侦察,因为它不包含有效载荷,但如果受害者打开电子邮件附件,则会通知攻击者。受害者学、诱饵文件、恶意软件传播和恶意软件本身都将该活动与APT29联系起来。威胁攻击者使用Zulip(一款开源聊天应用程序)进行命令和控制,以逃避检测并将其活动隐藏在合法的网络流量后面。

详情

https://blog.eclecticiq.com/german-embassy-lure-likely-part-of-campaign-against-nato-aligned-ministries-of-foreign-affairs

https://blog.eclecticiq.com/german-embassy-lure-likely-part-of-campaign-against-nato-aligned-ministries-of-foreign-affairs

MoustachedBouncer:针对驻白俄罗斯的外国大使馆的间谍行动

日期: 2023-08-14
标签: 政府部门, MoustachedBouncer, APT舆情

MoustachedBouncer是ESET Research发现的一个新的网络间谍组织,至少自2014年起就一直活跃,仅针对驻白俄罗斯的外国大使馆,ESET Research以中等信心评估该组织符合白俄罗斯的利益。自2020年以来,MoustachedBouncer有能力在白俄罗斯境内的ISP级别执行AitM攻击,以危害其目标。该组织使用两个独立的工具集NightClub和Disco,都支持其他间谍插件,包括屏幕截图程序、录音程序和文件窃取程序。

详情

https://www.welivesecurity.com/en/eset-research/moustachedbouncer-espionage-against-foreign-diplomats-in-belarus/

https://www.welivesecurity.com/en/eset-research/moustachedbouncer-espionage-against-foreign-diplomats-in-belarus/

MaginotDNS 攻击针对 DNS 解析器

日期: 2023-08-14
标签: 信息技术, MaginotDNS

来自加州大学欧文分校和清华大学的研究人员团队开发了一种名为“MaginotDNS”的新型强大缓存中毒攻击,该攻击针对条件 DNS (CDNS) 解析器,可以危害整个 TLD 顶级域。由于不同 DNS 软件和服务器模式(递归解析器和转发器)实施安全检查的不一致,导致攻击成为可能,导致大约三分之一的 CDNS 服务器容易受到攻击。

详情

https://www.bleepingcomputer.com/news/security/maginotdns-attacks-exploit-weak-checks-for-dns-cache-poisoning/

https://www.bleepingcomputer.com/news/security/maginotdns-attacks-exploit-weak-checks-for-dns-cache-poisoning/

网络钓鱼活动越来越多地利用废弃网站作为诱饵

日期: 2023-08-15
标签: 信息技术, 网络钓鱼活动

卡巴斯基的一项新研究表明,攻击者越来越多地瞄准废弃和几乎不维护的网站来托管网络钓鱼页面。在许多情况下,网络钓鱼者的重点是 WordPress 网站,因为广泛使用的内容管理系统及其众多插件中存在大量已知漏洞。卡巴斯基实验室的研究人员统计了 22,400 个独特的 WordPress 网站,这些网站在 5 月 15 日中旬至 7 月底期间遭到威胁,被用来托管网络钓鱼页面。该数字包括攻击者实际上能够进入的网站,因为它们提供了对控制面板的开放访问,以及攻击者必须通过漏洞利用、凭据盗窃和其他方式侵入的网站。卡巴斯基检测到用户有 200,213 次尝试访问威胁行为者在这些网站上托管的网络钓鱼页面。

详情

https://www.darkreading.com/attacks-breaches/-phishing-operators-make-ready-use-of-abandoned-websites-for-bait

https://www.darkreading.com/attacks-breaches/-phishing-operators-make-ready-use-of-abandoned-websites-for-bait

FBI 警告称加密货币追回骗局不断增加

日期: 2023-08-15
标签: 信息技术, 金融业, 加密货币

2023年8月初,美国联邦调查局 (FBI) 警告称,冒充恢复公司的诈骗者数量有所增加,这些公司可以帮助加密货币投资诈骗的受害者恢复损失的资产。公告提到,2022 年加密货币投资欺诈造成的损失超过 25 亿美元,这仅涉及向当局报告的案件。此外,许多人通过信息窃取恶意软件或窃取钱包的网络钓鱼攻击丢失了加密货币,这可能会使这个数字更大。这种情况为追偿计划诈骗者创造了机会,他们利用这一庞大的受害者群体,利用他们的绝望来追回资金,进行二次欺骗。声称提供加密货币追踪并承诺能够追回损失资金的欺诈企业代表可能会直接在社交媒体或消息平台上联系受害者。受害者还可能在有关加密货币的在线新闻文章和视频的评论部分、加密货币的在线搜索结果或社交媒体上遇到欺诈性加密货币恢复服务的广告。

详情

https://www.bleepingcomputer.com/news/security/fbi-warns-of-increasing-cryptocurrency-recovery-scams/

https://www.bleepingcomputer.com/news/security/fbi-warns-of-increasing-cryptocurrency-recovery-scams/

超过 100,000 名黑客论坛用户感染恶意软件

日期: 2023-08-16
标签: 信息技术, 网络犯罪论坛

威胁情报公司 Hudson Rock 在大约 120,000 台感染各种信息窃取恶意软件的计算机上发现了与网络犯罪论坛相关的凭据。专家发现,许多在 2018 年至 2023 年期间遭到入侵的计算机都属于威胁行为者。研究人员分析了 包含超过 1450 万台感染信息窃取程序的计算机的数据库。研究人员能够根据计算机上发现的附加凭据(附加电子邮件、用户名)、包含个人信息(姓名、地址、电话号码)的自动填充数据和系统信息等指标来揭示黑客的真实身份。研究人员发现,受感染用户数量最多的网络犯罪论坛是“Nulled.to”(57,203),其次是“Cracked.io”(19,062)和“Hackforums.net”(13,366)。

详情

https://securityaffairs.com/149547/cyber-crime/cybercrime-forums-credentials-info-stealers.html

https://securityaffairs.com/149547/cyber-crime/cybercrime-forums-credentials-info-stealers.html

人工智能可通过监听击键来窃取密码

日期: 2023-08-16
标签: 信息技术, AI, 侧信道攻击

一种新的人工智能模型通过通过智能手机传输笔记本电脑上的按键进行训练,能够偷听打字并窃取密码,准确率高达 95%。康奈尔大学的一组研究人员本月提出了他们的报告“基于深度学习的实用键盘声学侧通道攻击”,除了智能手机之外,还通过会议应用程序 Zoom 训练了AI 模型。对于后者,该模型能够以 93% 的准确率复制密码。研究人员解释说:“随着深度学习的最新发展、麦克风的普及以及个人设备在线服务的兴起,声学侧通道攻击对键盘的威胁比以往任何时候都更大。” ”我们的结果证明了这些通过现成设备和算法进行侧信道攻击的实用性。”

详情

https://www.darkreading.com/attacks-breaches/ai-model-can-replicate-password-listening-to-keystrokes

https://www.darkreading.com/attacks-breaches/ai-model-can-replicate-password-listening-to-keystrokes

APT-C-35(肚脑虫)组织在移动端采用新的投递方式分析

日期: 2023-08-17
标签: 孟加拉国, 斯里兰卡, 信息技术, APT-C-35(肚脑虫), APT舆情

360烽火实验监控到一批肚脑虫组织的移动端攻击样本,通过对样本进行分析发现,这批样本使用的字符串加密方式以及载荷投递方式均有别于此前的攻击。通过对受害者的地理位置进行分析我们发现,攻击活动受影响的地区主要是孟加拉国和斯里兰卡,受影响的时间范围从2022年6月至2023年2月。

详情

https://mp.weixin.qq.com/s/WJji5Dr9OHSgwIaySetCfg

https://mp.weixin.qq.com/s/WJji5Dr9OHSgwIaySetCfg

通过隐秘恶意软件感染构建的大规模代理僵尸网络

日期: 2023-08-17
标签: 信息技术, Windows 系统, 住宅代理

2023年8月17日,研究人员发现了一项大规模活动,该活动向至少 400,000 个 Windows 系统提供了代理服务器应用程序。这些设备在未经用户同意的情况下充当住宅出口节点,并且一家公司正在对通过这些机器运行的代理流量进行收费。这个拥有 400,000 个节点的代理网络是通过使用传递代理应用程序的恶意负载构建的。尽管僵尸网络背后的公司声称用户已同意,但研究人员发现代理悄悄地安装在设备上。住宅代理对于网络犯罪分子来说很有价值,因为它们可以帮助部署来自新 IP 地址的大规模撞库攻击。它们还有合法目的,例如广告验证、数据抓取、网站测试或增强隐私的重新路由。一些代理公司出售住宅代理的访问权限,并向同意共享带宽的用户提供金钱奖励。

详情

https://www.bleepingcomputer.com/news/security/massive-400-000-proxy-botnet-built-with-stealthy-malware-infections/

https://www.bleepingcomputer.com/news/security/massive-400-000-proxy-botnet-built-with-stealthy-malware-infections/

2022年英国大学三分之一的学生遭遇过网络欺诈

日期: 2023-08-17
标签: 英国, 教育行业, 网络欺诈

根据英国国民西敏寺银行 (NatWest) 的一项新研究,2022年英国大学三分之一的学生遭遇过网络欺诈。2023年 5 月,这家商业银行委托咨询公司 RedBrick 对来自 63 个城镇的 3000 多名英国大学生进行了民意调查,三分之一的受访者表示他们在过去 12 个月内遇到过诈骗。NatWest 称,受访者也经常遇到社交媒体和英国税务海关总署 (HMRC) 税务诈骗。然而,与商业街银行相关的欺诈行为似乎较 2022 年有所下降,仅占该研究受访者的 10%。NatWest 表示,在过去 12 个月中,女性遭遇诈骗的可能性“略高”,但遭受损失的可能性是男性的两倍多。欺诈受害者的平均损失金额约为 80 英镑(102 美元)。

详情

https://www.infosecurity-magazine.com/news/third-uk-uni-students-targeted/

https://www.infosecurity-magazine.com/news/third-uk-uni-students-targeted/

诈骗者利用被黑网站进行网络钓鱼

日期: 2023-08-17
标签: 信息技术, 网络钓鱼

网络安全公司卡巴斯基最近的一项研究揭示了网络钓鱼者用来逃避检测和利用受损网站进行网络钓鱼攻击的技术。根据安全研究人员 Tatyana Machneva 和 Olga Svistunova 发表的技术文章,一种常见的策略是攻击废弃或维护不善的网站。这些网站由于过时的安全补丁而变得脆弱,为网络犯罪分子提供了一个简单的切入点。然后,网络钓鱼者可以在这些网站中嵌入恶意内容,而且通常会在很长一段时间内不被注意。

详情

https://www.infosecurity-magazine.com/news/phishers-exploit-hacked-websites/

https://www.infosecurity-magazine.com/news/phishers-exploit-hacked-websites/

“Play”勒索组织在新活动中针对全球 MSP

日期: 2023-08-18
标签: 商务服务, 法律, 交通运输, 信息技术, Play, Play 勒索软件组织

2023年8月,Adlumin 的研究人员发现Play 勒索软件组织以奥克兰市为目标,正在发起网络攻击活动,向全球托管服务提供商 (MSP) 发起攻击,向其下游客户分发勒索软件。研究报告表示,Play 的目标似乎是美国、澳大利亚、英国、意大利和其他国家的金融、法律、软件、航运、执法和物流领域的中型企业。Adlumin 的研究人员以 PlayCrypt 的身份跟踪该活动,他们表示,攻击者还针对这些国家的州、地方和部落实体。与涉及 MSP 的其他攻击一样,Play 或 PlayCrypt 组织侵入 MSP 系统并使用其远程监控和管理 (RMM) 工具不受限制地访问 MSP 客户的网络和系统。其他威胁行为者使用的这一策略产生了重大影响。

详情

https://www.darkreading.com/cloud/-play-ransomware-group-targeting-msps-worldwide-in-new-campaign

https://www.darkreading.com/cloud/-play-ransomware-group-targeting-msps-worldwide-in-new-campaign

网络钓鱼活动窃取全球 Zimbra 电子邮件服务器帐户

日期: 2023-08-18
标签: 信息技术, Zimbra, 网络钓鱼活动

2023年8月上旬,ESET 研究人员发布报告称,至少从 2023 年 4 月起,这项新发现的网络钓鱼活动就一直在进行,试图窃取全球 Zimbra Collaboration 电子邮件服务器的凭据。攻击始于一封假装来自组织管理员的网络钓鱼电子邮件,通知用户即将进行电子邮件服务器更新,这将导致帐户暂时停用。研究人员强调,尽管该活动缺乏复杂性,但其传播范围和成功令人印象深刻,Zimbra Collaboration 的用户应该意识到这一威胁。

详情

https://www.bleepingcomputer.com/news/security/phishing-campaign-steals-accounts-for-zimbra-email-servers-worlwide/

https://www.bleepingcomputer.com/news/security/phishing-campaign-steals-accounts-for-zimbra-email-servers-worlwide/

研究人员破解 iPhone 飞行模式

日期: 2023-08-18
标签: 信息技术, Apple, iPhone

研究人员已经找到了如何操纵 iPhone 用户界面来假装飞行模式,同时秘密地保持互联网连接。在2023年8月上旬发布的一份报告中,Jamf 威胁实验室重点介绍了控制iOS 16 飞行模式体验各个元素的代码,以及如何操纵它们以模拟真实情况。移动设备攻击者可以在利用后使用这种技巧,在目标设备中实现 24/7 持久性,而用户却一无所知。

详情

https://www.darkreading.com/endpoint/researchers-trick-iphone-faking-airplane-mode

https://www.darkreading.com/endpoint/researchers-trick-iphone-faking-airplane-mode

数千个恶意 Android APK抵抗反编译

日期: 2023-08-18
标签: 信息技术, Android APK, 移动安全

威胁行为者越来越多地分发恶意 Android APK(打包的应用程序安装程序),这些 APK 使用不受支持、未知或经过大量调整的压缩算法来抵抗反编译。这种方法的主要优点是使用静态分析来逃避安全工具的检测,并妨碍研究人员的检查,从而延迟了对 Android 恶意软件菌株如何工作的深入了解。

详情

https://www.bleepingcomputer.com/news/security/thousands-of-android-apks-use-compression-trick-to-thwart-analysis/

https://www.bleepingcomputer.com/news/security/thousands-of-android-apks-use-compression-trick-to-thwart-analysis/


8
 行业动向



NIST 网络安全框架 2.0 新增“治理”功能

日期: 2023-08-15
标签: 信息技术, 政府部门, NIST 网络安全框架

美国国家标准与技术研究所 (NIST) 的网络安全框架于近十年前首次推出,作为针对能源、银行和医院等关键基础设施利益的技术网络安全指南,该框架刚刚进行了更新,现在针对各种规模的组织。流行的 NIST 网络安全框架的新版本 2.0 已经超出了原始框架有效网络安全计划的五项功能——识别、保护、检测、响应和恢复——并添加了第六项功能,即治理。它强调网络安全是企业风险的主要来源,与法律、财务和其他风险并列,作为高级领导层的考虑因素。NIST 框架的首席开发人员 Cherilyn Pascoe在 8 月 8 日发布的 CSF 2.0中表示:“通过此次更新,我们试图反映网络安全框架的当前使用情况,并预测未来的使用情况。”

详情

https://www.darkreading.com/operations/whats-new-in-nist-cybersecurity-framework-2-0

https://www.darkreading.com/operations/whats-new-in-nist-cybersecurity-framework-2-0

Mandiant 发布 CVE-2023-3519 扫描仪

日期: 2023-08-16
标签: 信息技术, Mandiant, CVE-2023-3519

2023年8月15日,Mandiant 发布了一款扫描器,用于检查 Citrix NetScaler 应用程序交付控制器 (ADC) 或 NetScaler Gateway 设备是否在利用 CVE-2023-3519 漏洞的广泛攻击中受到损害。 CVE-2023-3519 Citrix 漏洞于 2023 年 7 月中旬作为零日漏洞被发现,黑客积极利用该漏洞远程执行代码,而无需在易受攻击的设备上进行身份验证。Citrix 进行安全更新以解决该问题一周后, Shadowserver 报告 称仍有 15,000 台暴露在互联网上的设备尚未应用补丁。然而,即使对于安装了安全更新的组织来说,被攻击的风险仍然存在,因为该补丁不会删除攻击者在攻击后阶段植入的恶意软件、后门和 Webshell。

详情

https://www.bleepingcomputer.com/news/security/new-cve-2023-3519-scanner-detects-hacked-citrix-adc-gateway-devices/

https://www.bleepingcomputer.com/news/security/new-cve-2023-3519-scanner-detects-hacked-citrix-adc-gateway-devices/

谷歌发布首个量子弹性 FIDO2 密钥实现

日期: 2023-08-17
标签: 信息技术, FIDO2, 多重身份验证 (MFA)

2023年8月上旬,谷歌宣布推出首个开源量子弹性 FIDO2 安全密钥实现,它使用与苏黎世联邦理工学院共同创建的独特 ECC/Dilithium 混合签名模式。FIDO2 是快速身份在线身份验证标准的第二个主要版本,FIDO2 密钥用于无密码身份验证并用作多重身份验证 (MFA) 元素。谷歌解释说,随着量子计算方法的出现和该领域的发展不断加速,实施抗量子 FIDO2 安全密钥是确保安全的关键一步。

详情

https://www.bleepingcomputer.com/news/security/google-released-first-quantum-resilient-fido2-key-implementation/

https://www.bleepingcomputer.com/news/security/google-released-first-quantum-resilient-fido2-key-implementation/

CISA 发起联合倡议以保护 RMM 软件

日期: 2023-08-18
标签: 信息技术, 远程监控和管理(RMM)

美国网络安全和基础设施安全局(CISA)公布了远程监控和管理(RMM)网络防御计划。 该计划是通过联合网络防御协作组织 (JCDC) 与行业和政府利益相关者合作制定的,是应对与利用 RMM 软件相关的不断升级的风险的决定性一步。RMM 工具专为系统的持续监控和远程管理而设计,已成为网络威胁参与者的首选目标,特别是在勒索软件攻击领域。 这些攻击者利用 RMM 平台内的漏洞渗透托管服务提供商 (MSP) 并操作托管安全服务提供商 (MSSP) 的服务器。由此产生的漏洞不仅会危及受感染的服务器,还会影响 MSP 和 MSSP 服务的众多中小企业。

详情

https://www.infosecurity-magazine.com/news/cisa-joint-initiative-secure-rmm/

https://www.infosecurity-magazine.com/news/cisa-joint-initiative-secure-rmm/


9
 其他事件



波兰当局捣毁托管服务商Lolek Hosted

日期: 2023-08-14
标签: 信息技术, Lolek Hosted

Lolek Hosted是一家防弹托管服务提供商,用于促进信息窃取恶意软件的分发,还可以发起 DDoS(分布式拒绝服务)攻击、管理虚构的在线商店、管理僵尸网络服务器以及在全球范围内分发垃圾邮件。欧洲和美国执法机构开展的联合行动捣毁了 Lolek Hosted,波兰当局逮捕了五名管理员。据波兰警方称,Lolek 托管服务被用来针对数十万私人实体和公共机构,造成的损失高达数百万美元。

详情

https://securityaffairs.com/149458/cyber-crime/police-dismantled-lolek-hosted.html

https://securityaffairs.com/149458/cyber-crime/police-dismantled-lolek-hosted.html

Lapsus$ 黑客组织利用 SIM 卡交换攻击对美国多个组织发起攻击

日期: 2023-08-14
标签: 信息技术, SIM 卡交换攻击

美国政府在分析了 Lapsus$ 勒索组织利用 SIM 交换等简单技术破坏数十个安全态势良好的组织后发布了一份报告。2022年12 月, 在 Lapsus$ 泄露了所谓受害者的专有数据后,发生了一系列归因于或由 Lapsus$ 声称的事件后,对该组织的运作进行了审查 。该组织利用 SIM 卡交换来访问目标公司的内部网络,并窃取源代码、专有技术详细信息或业务和客户相关文档等机密信息。受 Lapsus$ 影响的知名公司包括 微软、 思科、 Okta、 Nvidia、 T-Mobile、 三星、 Uber、 沃达丰、 育碧和 Globant。

详情

https://www.bleepingcomputer.com/news/security/lapsus-hackers-took-sim-swapping-attacks-to-the-next-level/

https://www.bleepingcomputer.com/news/security/lapsus-hackers-took-sim-swapping-attacks-to-the-next-level/

Knight 勒索软件通过虚假的 Tripadvisor 投诉电子邮件传播

日期: 2023-08-14
标签: 信息技术, Knight

Sophos 研究员 Felix 发现了一个新的垃圾邮件活动,假装是 TripAdvisor 投诉,但却分发 Knight 勒索软件。虽然实际的电子邮件并未共享,但 Felix 表示,这些电子邮件包含名为“TripAdvisorComplaint.zip”的 ZIP 文件附件,其中包含名为“TripAdvisor Complaint - Maybe Suspension.exe”的可执行文件 [VirusTotal ]。Knight 勒索软件是 Cyclop 勒索软件即服务的最新品牌重塑,该服务于 2023 年 7 月底更名。Cyclops 勒索软件运营于 2023 年 5 月启动,当时运营商开始在 RAMP 黑客论坛上招募新的勒索软件即服务 (RaaS) 的附属机构。

详情

https://www.bleepingcomputer.com/news/security/knight-ransomware-distributed-in-fake-tripadvisor-complaint-emails/

https://www.bleepingcomputer.com/news/security/knight-ransomware-distributed-in-fake-tripadvisor-complaint-emails/

国际刑警组织关停网络钓鱼服务“16shops”

日期: 2023-08-15
标签: 信息技术, 网络钓鱼服务

印度尼西亚和日本的三人因涉嫌参与“16shop”而被捕。16shop 是一个网络钓鱼即服务平台,向犯罪分子出售黑客工具(也称为“网络钓鱼工具包”),意图欺骗互联网用户。该组织的工具被用来攻击 43 个国家的约 70,000 名受害者。 来自印度尼西亚、日本和美国的执法部门以及网络防御研究所、Group-IB、Palo Alto Networks Unit 42、Trend Micro 和 Cybertoolbelt 联手开展了此次拆除行动。

详情

https://www.darkreading.com/threat-intelligence/interpol-shuts-down-phishing-service-16shops

https://www.darkreading.com/threat-intelligence/interpol-shuts-down-phishing-service-16shops

黑客使用测试版应用程序来绕过应用商店的安全检查

日期: 2023-08-15
标签: 信息技术, 移动安全, APP安全

美国联邦调查局 (FBI) 警告网络犯罪分子采用了一种新策略,他们在流行的移动应用商店上推广恶意“测试版”加密货币投资应用程序,然后用于窃取加密货币。 威胁行为者将恶意应用程序作为“测试版”提交到移动应用程序商店,这意味着它们处于早期开发阶段,旨在供技术爱好者或粉丝在软件正式发布之前进行测试并向开发人员提交反馈。 这种方法的好处是,测试版应用程序不会经过标准、严格的代码审查流程,而是对其安全性进行表面审查。 这种 不太彻底的代码审查过程 不足以发现隐藏的恶意代码,这些代码会激活安装后执行各种恶意操作。

详情

https://www.bleepingcomputer.com/news/security/threat-actors-use-beta-apps-to-bypass-mobile-app-store-security/

https://www.bleepingcomputer.com/news/security/threat-actors-use-beta-apps-to-bypass-mobile-app-store-security/

文件共享网站 Anonfiles 因滥用行为而关闭

日期: 2023-08-17
标签: 信息技术, Anonfiles

Anonfiles 是一项流行的匿名共享文件服务,在表示无法再应对用户的大量滥用后已关闭。Anonfiles 是一个匿名文件共享网站,允许人们匿名共享文件,而无需记录其活动。Anonfiles是黑客中最流行的文件共享服务之一,用于共享被盗数据、 被盗凭证和受版权保护的材料的样本。2023年8月11日,Anonfiles 用户 开始报告 该服务在尝试上传文件时会超时。正如网络安全研究人员g0njxa发现的那样 ,Anonfiles 运营商现已关闭该服务,并表示他们的代理提供商最近关闭了他们,并且他们无法再处理上传到该网站的大量滥用材料。

详情

https://www.bleepingcomputer.com/news/security/file-sharing-site-anonfiles-shuts-down-due-to-overwhelming-abuse/

https://www.bleepingcomputer.com/news/security/file-sharing-site-anonfiles-shuts-down-due-to-overwhelming-abuse/


10
 产品侧解决方案



若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。


11
 时间线



2023-08-14 360CERT发布安全周报


12
 特制报告相关说明



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。


360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们


点击在看,进行分享

本文分享自微信公众号 - 三六零CERT(CERT-360)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
0 评论
0 收藏
0
分享
AI总结
返回顶部
顶部